Antwoord schriftelijke vragen : Antwoord op vragen van de leden Raemakers en Hijink en en Wörsdörfer over wederom een datalek in de jeugdzorg

Antwoord van Staatssecretaris Blokhuis (Volksgezondheid, Welzijn en Sport) (ontvangen
16 november 2020).

Vraag 1

Bent u bekend met het artikel «Groot datalek bij Jeugdriagg: medische dossiers kwetsbare
kinderen gelekt»?1

Antwoord 1

Ja.

Vraag 2

Had dit specifieke datalek volgens u voorkomen kunnen worden, kijkend naar een eerder
datalek in april 2019 en het recent uitgebrachte rapport van de IGJ «Extra aandacht
nodig voor ICT in de jeugdzorg»?2
3

Antwoord 2

Het datalek bij Kenter is op een vergelijkbare wijze ontstaan als een eerder datalek
in april 2019. Dat het weer mogelijk was om op vergelijkbare wijze toegang tot persoonsgegevens
te krijgen is zorgelijk. Naar aanleiding van het datalek in 2019 bij SAVE Utrecht
heeft Z-CERT een domein naam check gedaan en JZNL heeft jeugdhulpaanbieders opgeroepen
zelf een check te doen op oude domeinnamen. De oude domeinnamen van Kenter waren in
2015 voor 5 jaar afgekocht en verliepen op 1 januari 2020 en ontliepen daarmee onder
andere de Z-CERT check in 2019. Het niet afsluiten van een oude domein naam kan eenvoudig
worden voorkomen.

Vraag 3

Hoe is de aangenomen motie van de leden Raemakers en Hijink van 2 juli 2020 uitgevoerd
waarin de regering verzocht wordt om met branches in gesprek te gaan over ICT-problemen
in de jeugdzorg om jeugdzorgorganisaties uiterlijk 1 oktober te helpen met het beveiligen
van de aan hen toevertrouwde data van jongeren en hun ouders?4

Antwoord 3

Naar aanleiding van de motie Raemakers en Hijink uit 2019 en 2020 zijn gesprekken
gevoerd met Jeugdzorg Nederland en Z-CERT. In samenwerking met Jeugdzorg Nederland
is Deloitte in staat gesteld penetratietesten uit te voeren. Daarnaast heeft Jeugdzorg
Nederland zijn achterban geïnformeerd over het risico van niet goed afgesloten domeinnamen.
De in de BGZJ verzamelde branches hebben dit in een breder kader gedaan. Naar aanleiding
van de pentesten uit 2019 hebben de zes gepenteste aanbieders hun beleid aangepast.
Op basis van de genomen maatregelen wordt een handreiking geschreven, met aandacht
voor de implementatie van de wettelijk verplichte NEN 7510 norm, die in december 2020
wordt verwacht, waarna deze nog beter kan worden geïmplementeerd.

Vraag 4

Wanneer wordt jeugdzorgaanbieders eindelijk de mogelijkheid geboden om zich aan te
sluiten bij Z-CERT conform de aangenomen motie-Raemakers en Hijink van 25 juni 2019,
aangezien Z-CERT in het genoemde artikel meldt dat de meeste incidenten nog steeds
plaatsvinden omdat de basis niet op orde is?5

Antwoord 4

Datalekken hebben vaak een systeem- en een menselijke component. Voor de systeem component
kan Z-CERT, als de ICT brandweer, ondersteuning bieden bij een crisis en informatie
delen en ter voorkoming van cyber incidenten informatie delen over relevante dreigingen
en kwetsbaarheden van gebruikte systemen inzake dataveiligheid. Z-CERT is dan ook
binnen deze context in gesprek met Jeugdzorg Nederland over wat zij voor elkaar kunnen
betekenen. Door de risico gestuurde aanpak van Z-CERT gaan we opnieuw de mogelijkheden
voor aansluiting onderzoeken. De aansluiting van Jeugdhulpaanbieders op Z-Cert kan
dan op zijn vroegst in Q1 van 2021 starten.

Vraag 5

Kijkt u nu anders naar de rol van het Ministerie van VWS als het gaat om het beter
beveiligen van gegevens in de jeugdzorg?

Antwoord 5

Het Ministerie van VWS draagt ketenverantwoordelijkheid voor de dataveiligheid in
het jeugddomein. Jeugdhulpaanbieders dragen echter zelf de verantwoordelijkheid voor
het op orde houden van hun eigen dataveiligheid, ook indien er sprake is van een fusie
en/of naamswijziging. Zodoende vragen wij de branches Jeugdzorg Nederland, VGN en
GGZ-Nederland een voortrekkersrol te spelen op het gebied van informatiebeveiliging.
Voor dataveiligheid zijn door het Rijk als ketenverantwoordelijke regels gesteld,
zoals de wettelijk verplichte NEN 7510 norm. Bovendien zijn er toezichthouders, zoals
de AP en de IGJ. Alle jeugdhulporganisaties dienen aan deze wettelijke vereisten te
voldoen.

Vraag 6

Hoeveel pentesten zijn er afgelopen half jaar gedaan door het Ministerie van VWS en
hoeveel worden er de komende periode uitgevoerd?

Antwoord 6

In 2019 zijn er bij zes jeugdhulpaanbieders en Gecertificeerde Instellingen pentesten
uitgevoerd en voor 2021 worden deze pentesten bij zes andere jeugdhulporganisaties
uitgevoerd. De testen hebben plaatsgevonden bij grote jeugdhulporganisaties, omdat
een datalek daar een impact zou kunnen hebben op een groot aantal cliënten.

Vraag 7

Welke regels zijn er ten aanzien van ethisch hacken door derden, zoals journalisten,
omdat hierbij inzage is in privacygevoelige gegevens?

Antwoord 7

Met het oog op het verminderen van kwetsbaarheden in ICT-systemen heeft het Nationaal
Cyber Security Centrum (NCSC) een Leidraad Coordinated Vulnerability Disclosure (CVD) opgesteld.6 Veel grotere Nederlandse organisaties hebben een eigen CVD gedragscode opgesteld
en gepubliceerd op hun website. De organisatie geeft hiermee aan dat het is toegestaan
– onder bepaalde randvoorwaarden – om de beveiliging van de ICT systemen van de organisatie
ongevraagd te onderzoeken op mogelijke beveiligingsissues zonder dat er aangifte wordt
gedaan. Als een ethische hacker zich houdt aan de gedragscode, zoals het niet publiceren
van ingeziene data, zal de organisatie geen aangifte doen van computervredebreuk.
Het vinden van kwetsbaarheden kan niettemin gepaard gaan met het overtreden van de
wet. Als er aangifte wordt gedaan, is in Nederland het bestaan en naleven van CVD-beleid
een relevante omstandigheid die de officier van justitie zal meenemen in zijn beslissing
om al dan niet een strafrechtelijk onderzoek in te laten stellen en/of te vervolgen.

Vraag 8

Kunt u deze vragen afzonderlijk en ruim voor het wetgevingsoverleg Jeugd van 23 november
2020 beantwoorden?

Antwoord 8

Ja.