Antwoord schriftelijke vragen : Antwoord op vragen van de leden Rajkowski en Tielen over het bericht ‘Ziekenhuizen kwetsbaar voor cyberaanval: Wachten totdat het misgaat’

Antwoord van Minister Kuipers (Volksgezondheid, Welzijn en Sport) (ontvangen 8 maart
2022).

Vraag 1

Bent u bekend met het bericht «Ziekenhuizen kwetsbaar voor cyberaanval: Wachten totdat
het misgaat» van 26 januari jongstleden?1

Antwoord 1

Ja.

Vraag 2

Deelt u de zorgen bij het lezen van de constatering van beveiligingsexperts dat Nederlandse
ziekenhuizen nog altijd kwetsbaar zijn voor cyberaanvallen? Zo nee, wat is dan uw
oordeel over deze constatering?

Antwoord 2

Ik deel de zorgen dat er een toename is aan veiligheidsdreigingen voor zorginstellingen
door een toename van cyberaanvallen. Tegelijkertijd kunnen cyberaanvallen nooit helemaal
worden voorkomen. Informatiebeveiliging vraagt daarmee continue aandacht om de beschikbaarheid,
integriteit en vertrouwelijkheid van (patiënt)informatie te waarborgen. Zorgaanbieders,
zoals ziekenhuizen, moeten daar alert op zijn. Zij zijn verantwoordelijk voor het
op orde hebben en houden van hun informatiebeveiliging. Onderdeel daarvan is het voldoen
aan de wettelijk verplichte NEN 7510-norm die de kaders stelt om beschikbaarheid,
integriteit en vertrouwelijkheid van medische gegevens te borgen. Daarnaast worden
ziekenhuizen ondersteund door Z-CERT (het Computer Emergency Response Team voor de
zorg) bij (dreigende) cyberincidenten en bij het vergroten van hun digitale weerbaarheid.
Er zijn de laatste jaren door de ziekenhuizen al grote stappen gezet op het gebied
van informatiebeveiliging, waaronder ook het aantoonbaar voldoen aan de NEN 7510.
Dit komt ook naar voren in het recent gepubliceerd inspectierapport van de Inspectie
Gezondheidzorg en Jeugd (IGJ) bij ziekenhuizen2. Ziekenhuizen die op het moment van het inspectiebezoek hun informatiebeveiliging
niet op orde hadden, hebben na het inspectiebezoek beveiligingsmaatregelen genomen
waaronder het aantoonbaar voldoen aan de NEN7510 norm.

Vraag 3

Hoeveel Nederlandse ziekenhuizen en andere zorginstellingen zijn in 2021 geraakt door
cyberaanvallen, en hoeveel in 2020 en 2019? Om welk type cyberaanvallen ging het in
die gevallen? In hoeveel gevallen is de continuïteit van zorg in gevaar gekomen als
gevolg van een cyberaanval?

Antwoord 3

Cybercrime en het aantal cyberincidenten nemen in rap tempo toe. Het is niet bekend
hoeveel zorginstellingen in 2021, 2020 en 2019 precies geraakt zijn door cyberaanvallen.
Daarvan is geen meldingsplicht. Wel heeft Z-CERT op mijn verzoek gemeld dat er in
de afgelopen drie jaar ruim 1300 hulpverzoeken en (cyber)incidenten zijn gemeld bij
Z-CERT. Met name in 2021 is het aantal meldingen fors gestegen. Dit komt mede omdat
er in 2021 een grote groep nieuwe deelnemers is aangesloten. Onder andere meldden
in 2021 vijf zorginstellingen te zijn geraakt door een ransomware-aanval, vier meer
dan in 2020 aldus Z-CERT in haar recent gepubliceerde «Cyber Dreigingsbeeld in de zorg 2021»3. In 2019 werden 176 en in 2020 182 hulpverzoeken gemeld bij Z-CERT.

Vraag 4

Deelt u de mening dat het zorgelijk is dat beveiligingsexperts constateren dat de
zorgsector qua digitale beveiliging achterloopt op andere sectoren? Hoe beoordeelt
u dit in het licht van het vitale karakter van zorgprocessen?

Antwoord 4

De beveiliging en beschikbaarheid van ICT in de zorg verdienen blijvend aandacht.
Mijn beleid focust zich op het verhogen van bewustwording van de noodzaak tot beveiliging
van de gevoelige persoonsgegevens die juist in de gezondheidszorg zo’n grote rol spelen.
Ik herken mij niet in het beeld dat de zorgsector achter zou lopen op andere sectoren
als het gaat om digitale weerbaarheid. Er zijn de laatste jaren door de ziekenhuizen
en andere zorginstellingen grote stappen gezet op het gebied van informatiebeveiliging,
waaronder het verhogen van cyberbewustwording, het (collectief) aansluiten bij Z-CERT
en ook het aantoonbaar voldoen aan de wettelijk verplichte NEN 7510.

Vraag 5

Klopt het dat de Inspectie Gezondheidszorg en Jeugd (IGJ) in 2021 al concludeerde
dat de informatiebeveiliging van de meeste ziekenhuizen niet voldoet aan de gestelde
eisen? Zo ja, welke consequenties zijn er voor ziekenhuizen die hier niet aan voldoen?
Zijn sinds de conclusie van de Inspectie stappen gezet om de informatiebeveiliging
van deze ziekenhuizen op het juiste niveau te krijgen? Zo ja, welke? Zo nee, waarom
niet?

Antwoord 5

Het artikel van Nu.nl refereert aan een publicatie van de IGJ van december 2021 over
het toezicht op e-health bij 22 ziekenhuizen («Professionele digitale zorg vraagt
van ziekenhuizen steeds opnieuw evalueren en verbeteren»). De inspectiebezoeken vonden
plaats in de periode tussen september 2017 en oktober 2021. Hierbij keek de inspectie
onder andere naar het thema informatiebeveiliging: ziekenhuizen moeten een managementsysteem
voor informatiebeveiliging hebben dat voldoet aan de wettelijk verplichte norm NEN
7510. Een onderdeel van deze norm is dat een onafhankelijke beoordeling van het managementsysteem
voor informatiebeveiliging aanwezig moet zijn. Bij meer dan de helft van de bezochte
ziekenhuizen bleek dit op het moment van het inspectiebezoek niet het geval. De ziekenhuizen
die onvoldoende konden aantonen dat zij voldeden aan de norm, kregen de opdracht van
de inspectie om dit alsnog aan te tonen. Dit betekende in de praktijk dat de meeste
van deze ziekenhuizen alsnog een onafhankelijke beoordeling moesten laten uitvoeren
en zo nodig naar aanleiding van de uitkomsten een verbeterplan moesten doorvoeren.

De desbetreffende ziekenhuizen gaven hieraan gehoor. Bij acht ziekenhuizen heeft dit
er vervolgens toe geleid dat zij een (niet wettelijk verplicht) certificaat hebben
behaald voor NEN 7510. Uit de publicatie van de IGJ van december 2021 kunnen geen
conclusies worden getrokken over de ziekenhuizen die niet zijn bezocht. In de publicatie
van de inspectie roept de inspectie alle ziekenhuizen op om hun informatiebeveiliging
snel aantoonbaar op orde te krijgen voor zover dat nu nog niet het geval is. De inspectie
zal ook andere ziekenhuizen hierop in de toekomst aanspreken als bij een thematisch
bezoek blijkt dat de informatiebeveiliging niet aantoonbaar voldoet aan de norm.

Vraag 6

Welke maatregelen nemen ziekenhuizen al dan niet in samenwerking met Z-CERT, om cyberaanvallen
te voorkomen? In hoeverre wordt bijvoorbeeld geoefend met Z-CERT op cyberincidenten?
In hoeverre wordt de Kwetsbaarheden Analyse Tool (KAT) al ingezet binnen de zorgsector
om doorlopend te scannen op kwetsbaarheden?

Antwoord 6

In de afgelopen jaren hebben ziekenhuizen extra beveiligingsmaatregelen getroffen
om de toenemende cyberdreiging het hoofd te bieden. De wettelijk verplichte NEN 7510
norm biedt hiervoor een goed kader. Ook zien we dat steeds meer ziekenhuizen zich
laten certificeren tegen deze NEN norm. Met onder meer de publicatie van richtlijnen
ter voorkoming van ransomware en met het organiseren van webinars draagt Z-CERT bij
aan het vergroten van het bewustzijn en het treffen van adequate maatregelen. Z-CERT
informeert en adviseert ziekenhuizen dagelijks over dreigingen en incidenten met betrekking
tot hun zorginformatiesystemen. Ook helpt Z-CERT-ziekenhuizen zich voor te bereiden
op (en om te gaan met) ernstige ICT-incidenten of ICT-crises. Deze inspanningen dragen
bij aan het voorkomen van cyberincidenten. In samenwerking met een aantal ziekenhuizen
voert Z-CERT op beperkte schaal al cyberoefeningen uit. Het voornemens is om in de
komende jaren verder te investeren in het organiseren van cyberoefeningen bij ziekenhuizen
en andere deelnemers van Z-CERT. Dat ondersteun ik.

De Kwetsbaarheden Analyse Tool (KAT) wordt op dit moment specifiek toegepast in het
zorgdomein. Thans loopt er een project bij Z-CERT om deze dienst in te richten en
te operationaliseren en deze beschikbaar te stellen aan zorginstellingen. Dit in aanvulling
op andere middelen die worden ingezet om deelnemers van Z-CERT te controleren op kwetsbaarheden
en proactief te waarschuwen.

Vraag 7

Deelt u de mening dat het van groot en urgent belang is dat ziekenhuizen maatregelen
treffen, zeker gezien de COVID-19-crisis, om cyberaanvallen te voorkomen? Zo ja, bent
u bereid om op korte termijn mét de sector en Z-CERT te werken aan maatregelen om
zorginstellingen, zoals ziekenhuizen, digitaal weerbaar te maken? Op welke termijn
verwacht u de Kamer hierover te kunnen informeren? Zo nee, waarom niet?

Antwoord 7

Ik vind het van belang dat zorginstellingen de aan hun toevertrouwde informatie beveiligen
en beschermen. Tegelijkertijd zullen er in de digitale wereld altijd cyberrisico’s
blijven. Het is zaak die te onderkennen, zoveel mogelijk te mitigeren, voortdurend
te bewaken en in te grijpen bij (dreigende) verstoringen. Zorginstellingen moeten
daar alert op zijn aangezien zij zelf verantwoordelijk zijn voor het op orde hebben
en houden van hun informatiebeveiliging. Ik werk momenteel al samen met de sector
en Z-CERT om de zorg weerbaarder te maken.

Ik ondersteun Z-CERT met het risicogestuurd uitbreiden van het aantal deelnemers.
Z-CERT heeft nu ruim 200 zorginstellingen aangesloten. Dit is een verdubbeling ten
opzichte van een jaar eerder. Daarnaast werk ik samen met Z-CERT om openbare diensten
en producten te ontwikkelen zoals de reeds verschenen «handreiking verlopen domeinnamen» Z-CERT_Handreiking2021.pdf. Deze handreiking helpt bij het proactief en continu monitoren op kwetsbaarheden
van verlopen zorgdomeinnamen.

Om bewustwording over informatiebeveiliging in de zorg te verhogen heb ik in samenwerking
met Brancheorganisaties Zorg de wegwijzer «Aan de slag met Informatieveilig gedrag» ontwikkeld en deze medio 2021 beschikbaar gesteld aan het veld4. De wegwijzer helpt zorginstellingen om de informatieveiligheid te verbeteren en
helpt hen ook concreet bij het voldoen aan de wettelijk verplichte NEN 7510. In mijn
volgende Kamerbrief over elektronische gegevensuitwisseling in de zorg zal ik uw Kamer
nader informeren over de vorderingen op het gebied van informatieveiligheid in de
zorg.