Inbreng verslag schriftelijk overleg : Inbreng verslag schriftelijk overleg over informatieveiligheid in de zorg (Kamerstuk 27529-353)
2026D03356 INBRENG VERSLAG VAN EEN SCHRIFTELIJK OVERLEG
In de vaste commissie voor Volksgezondheid, Welzijn en Sport bestond bij enkele fracties
behoefte een aantal vragen en opmerkingen voor te leggen aan de Minister van Volksgezondheid,
Welzijn en Sport over de brief van 4 december 2025 inzake Informatieveiligheid in
de zorg (Kamerstuk 27 529, nr. 353).
De fungerend voorzitter van de commissie,
Mohandis
Adjunct-griffier van de commissie,
Sjerp
Inhoudsopgave
I.
Vragen en opmerkingen vanuit de fracties
Vragen en opmerkingen van de leden van de D66-fractie
Vragen en opmerkingen van de leden van de VVD-fractie
Vragen en opmerkingen van de leden van de GroenLinks-PvdA-fractie
Vragen en opmerkingen van de leden van de PVV-fractie
Vragen en opmerkingen van de leden van de CDA-fractie
Vragen en opmerkingen van de leden van de BBB-fractie
II.
Reactie van de Minister
I. Vragen en opmerkingen vanuit de fracties
Vragen en opmerkingen van de leden van de D66-fractie
De leden van de D66-fractie hebben met belangstelling kennisgenomen van de brief van
de Minister over de ontwikkelingen op het gebied van informatieveiligheid in de zorgsector.
Deze leden onderschrijven het grote belang van een veilig en betrouwbaar gezondheidsinformatiestelsel
als randvoorwaarde voor goede, toegankelijke en toekomstbestendige zorg.
De leden van de D66-fractie lezen in de brief dat het gebruik van clouddiensten in
de zorgsector steeds verder toeneemt en dat hiermee ook de afhankelijkheid van specifieke
leveranciers groeit. Deze leden vragen of de Minister zicht heeft op de mate waarin
de Nederlandse zorgsector afhankelijk is van specifieke clouddiensten en leveranciers,
in het bijzonder waar het gaat om cruciale infrastructuur zoals ziekenhuizen en spoedzorg.
Kan de Minister aangeven in hoeverre zorginstellingen in staat zijn om bij verstoringen
of uitval van deze diensten zelfstandig te blijven functioneren? Worden dergelijke
scenario’s structureel getest, bijvoorbeeld via continuïteitsplannen of crisisoefeningen,
en welke lessen worden daaruit getrokken?
Deze leden begrijpen dat zorgaanbieders primair zelf verantwoordelijk zijn voor hun
risicobeoordelingen en leverancierskeuzes. Tegelijkertijd vragen zij of de Minister
wil verkennen welke meer sturende en monitorende rollen voor het Rijk beschikbaar
zijn om digitale afhankelijkheden in de zorg beter in beeld te brengen en te beheersen.
Is de Minister bereid te onderzoeken of sectorbrede monitoring van kritieke afhankelijkheden
wenselijk is, en of bijvoorbeeld minimumeisen kunnen worden gesteld aan exit-strategieën
en continuïteitsvoorzieningen bij het gebruik van clouddiensten?
De leden van de D66-fractie lezen in de brief dat het incident bij Clinical Diagnostics
voor de Inspectie Gezondheidszorg en Jeugd (IGJ) aanleiding is om laboratoria nadrukkelijker
in het toezicht te betrekken en dat eventuele specifieke risico’s die uit de lopende
onderzoeken naar voren komen als aandachtspunt zullen worden meegenomen bij het toezicht
in andere zorgsectoren. Deze leden benadrukken dat het hier gaat om een zeer ernstig
incident waarbij gevoelige gegevens zijn buitgemaakt. Zij vragen de Minister wat de
huidige stand van zaken is van de onderzoeken naar dit incident en wanneer de Kamer
hierover concreet zal worden geïnformeerd. Ook vragen zij hoe wordt geborgd dat eventuele
structurele kwetsbaarheden die hieruit naar voren komen niet vrijblijvend worden opgevolgd,
maar leiden tot duidelijke verbetermaatregelen.
Vragen en opmerkingen van de leden van de VVD-fractie
De leden van de VVD-fractie hebben met interesse kennisgenomen van de brief over de
informatieveiligheid in de zorg. Ze hebben hierover enkele vragen.
In de brief die de Minister op 4 december 2025 naar de Kamer heeft gestuurd, staan
talloze bestuurlijke plannen omtrent dataveiligheid. De leden van de VVD-fractie onderschrijven
het belang van dataveiligheid, maar erkennen ook de diversiteit en complexiteit ervan.
Kan de Minister reflecteren op het diverse en complexe beleid omtrent dataveiligheid?
Acht hij de huidige «versnippering» gewenst?
De toegenomen veiligheidsdreiging moet volgens de leden van de VVD-fractie het hoofd
worden geboden en zij zijn daarom verheugd te lezen dat de Minister ambitieuze plannen
heeft. Genoemde leden achten samenwerking essentieel in het realiseren van deze plannen.
Zij hebben voorkeur in het bieden van vroegtijdige duidelijkheid richting zorgorganisaties
over wat hen te wachten staat. Deze leden vragen of zorgorganisaties nog duidelijkheid
ervaren over het huidige en toekomstige dataveiligheidsbeleid. De leden van de VVD-fractie
vragen verder of er voor zorgorganisaties toegankelijke informatie beschikbaar is
over het toekomstige beleid. Wordt toekomstig beleid verwerkt in de bestaande NEN
normen?
De leden van de VVD-fractie lezen dat de IGJ een grote rol krijgt in het controleren
van zorgorganisaties in het naleven van hun verplichtingen omtrent dataveiligheid.
Deze leden lezen ook dat de IGJ hier meer middelen voor krijgt, maar vragen of de
IGJ deze middelen ook toereikend acht. Kan de Minister verduidelijken of hij overeenstemming
had met de IGJ over de hoeveelheid extra financiële middelen?
De Minister verwijst in de brief naar de invoering van de European Health Data Space-verordening
(EHDS) bij het onderdeel «Bouwen aan een veilig gezondheidsinformatiestelsel». In
hoeverre ligt de invoering hiervan op schema? Wat is de huidige verwachting van de
invoeringsdatum? De leden van de VVD-fractie vragen dit in verband met de nog steeds
nadrukkelijke wens die zij hebben, gesteund door vrijwel het hele zorgveld en patiëntenorganisaties,
om te komen tot een opt-out voor gegevensdeling voor de acute zorg en spoedeisende
hulp. De Minister heeft aangegeven hiermee te willen wachten tot de inwerkingtreding
van de EHDS. Is de Minister bereid, bij eventuele vertraging, de opt-out voor de acute
zorg toch eerder mogelijk te maken? Genoemde leden merken daarbij overigens op dat
zij nog steeds van mening zijn dat de opt-out voor de acute zorg op zo kort mogelijke
termijn mogelijk moet zijn.
Bij het onderdeel «Inspelen op gewijzigd dreigingsbeeld en technologische ontwikkelingen»
willen deze leden nog eens wijzen op de aangenomen motie Bushoff/Bevers «Bezien of
bij fusies en overnames vanuit het buitenland van digitale zorginfrastructuur vergelijkbare
voorwaarden gesteld kunnen worden als bij andere cruciale sectoren», Kamerstuk 27 529, nr. 349. Kan de Minister aangeven of hij het met de leden van de VVD-fractie de mening deelt
dat het verzoek in de motie ook onderdeel is van de strategie ten aanzien de andere
en grotere dreigingen die we wereldwijd zien op het gebied van dataveiligheid?
Vragen en opmerkingen van de leden van de GroenLinks-PvdA-fractie
De leden van de GroenLinks-PvdA-fractie hebben kennisgenomen van de brief over het
thema van informatieveiligheid in de zorg. Zij hebben hierbij nog enkele vragen.
De leden van de GroenLinks-PvdA-fractie lezen dat zorgaanbieders primair verantwoordelijk
zijn voor hun informatiebeveiliging en dat de rol van de overheid vooral ondersteunend
en stimulerend is. Zij maken zich echter zorgen, gelet op de nieuwsberichten en casuïstiek
waarbij de informatieveiligheid niet op orde is. Acht de Minister het houdbaar om
informatiebeveiliging in de zorg hoofdzakelijk als een onderdeel van de bedrijfsvoering
van individuele zorgaanbieders te blijven beschouwen, zeker gelet op het feit dat
het falen van dergelijke systemen directe gevolgen heeft voor patiënten en eventueel
de (continuïteit van) zorg? Kan nader worden toegelicht welke concrete rol u voor
uzelf ziet weggelegd in het voorkomen en reageren op cyberaanvallen? Kan de Minister
tevens nader reflecteren op de balans tussen de marktwerking in zorg-ICT en de publieke
regie op informatieveiligheid, mede in het licht van ketenafhankelijkheden?
De leden van de GroenLinks-PvdA-fractie lezen tevens dat er nog verschillende onderzoeken
lopen naar de hack en het datalek bij Clinical Diagnostics en dat toegezegd wordt
dat de Kamer doorlopend op de hoogte wordt gehouden over deze situatie en de maatregelen
die zijn, en mogelijk nog, worden getroffen. Kan nader worden toegelicht welke maatregelen
tot op heden zijn getroffen naar aanleiding van de hack?
De leden van de GroenLinks-PvdA-fractie lezen dat de naleving van de NEN 7510 norm
(de Nederlandse norm voor informatiebeveiliging in de zorg) al jaren tekortschiet,
ondanks wettelijke verplichtingen en toezicht door de IGJ. Kan nader toegelicht worden
hoeveel zorgaanbieders op dit moment aantoonbaar wel voldoen aan NEN 7510, uitgesplitst
naar sector en omvang? Hoe reflecteert de Minister op het feit dat naleving pas na
meerdere toezichtcycli en verbetertrajecten op niveau komt, terwijl er ondertussen
reële risico’s bestaan voor patiënten?
De leden van de GroenLinks-PvdA-fractie lezen dat kleine zorgaanbieders vaker moeite
hebben met de naleving van de normen en verplichtingen. Kan nader toegelicht worden
hoe wordt voorkomen dat kleine zorgaanbieders onevenredig worden belast door de cumulatie
van verplichtingen uit NEN normen, de Cyberbeveiligingswet (Cbw), de Wet elektronische
gegevensuitwisseling in de zorg (Wegiz) en de European Health Data Space-verordening
(EHDS)? Kan tevens nader toegelicht worden hoe zij hierin ondersteund zouden kunnen
worden?
De leden van de GroenLinks-PvdA-fractie maken zich ten slotte ernstige zorgen over
de grote afhankelijkheid van vaak niet-Europese cloud- en ICT-leveranciers in de zorg.
Zij hechten veel waarde aan digitale autonomie, zeker in tijden van grote onzekerheid.
Is de Minister bereid om, in lijn met eerdere Kameruitspraken, het gebruik van Europese
en open source-oplossingen actiever te stimuleren?
Vragen en opmerkingen van de leden van de PVV-fractie
De leden van de PVV-fractie hebben kennisgenomen van de brief van de Minister over
informatieveiligheid in de zorg en hebben hierover nog enkele vragen.
Wanneer ontvangt de Kamer verdere informatie over het onderzoek naar de hack bij het
lab Clinical Diagnostics? Welke gevolgen heeft de Cyberbeveiligingswet (Cbw) voor
het zorgveld?
De Minister heeft voor naleving van de NEN 7510 norm voor kleinere zorginstellingen
een quickscan beschikbaar gesteld. In hoeverre wordt daar gebruik van gemaakt? Hoe
brengt de Minister kleinere instellingen van het bestaan hiervan op de hoogte? Welke
redenen geeft de IGJ voor ondermaatse naleving van de normen? Verschillende die per
zorgveld?
De Minister gaat een verkenning doen naar het centraal en uniform beschikbaar maken
van hulpmiddelen voor informatiebeveiliging. Wanneer kan de Kamer hiervan resultaat
verwachten?
Vragen en opmerkingen van de leden van de CDA-fractie
De leden van de CDA-fractie hebben kennisgenomen van de brief van de Minister over
informatieveiligheid in de zorg en hebben hierover nog enkele vragen.
Naar aanleiding van paragraaf 2.2.1 Cyberbeveiligingswet (Cbw). De leden van de CDA-fractie
constateren dat de Cyberbeveiligingswet (Cbw) grote impact gaat hebben en veel zal
vragen van organisaties, niet in het minst van zorgaanbieders. Deze leden vragen of
de Minister wil toelichten wat de gevolgen zijn van de Cyberbeveiligingswet voor zorgaanbieders
en of er specifieke uitdagingen zijn in de implementatie voor zorgaanbieders. Zo ja,
dan vragen deze leden hoe de Minister deze punten adresseert. Genoemde leden zijn
benieuwd naar de ministeriële regeling voor de zorg, en vragen wanneer deze naar verwachting
naar de Kamer komt en welke elementen deze regeling bevat.
Naar aanleiding van paragraaf 2.4 Toezicht. De leden van de CDA-fractie lezen dat
de IGJ constateert dat de naleving van NEN normen door zorgaanbieders achterblijft.
Los van de acties van de Minister om zorgaanbieders te ondersteunen vragen deze leden
ook naar de rol van de IGJ. Zij vragen hoe de IGJ hiermee omgaat en of en zo ja, de
IGJ extra inzet op handhaving of andere interventies. Ook vragen deze leden welke
andere sectoren, naast de ziekenhuiszorg, gehandicaptenzorg en ouderenzorg aandacht
krijgen van de IGJ.
Naar aanleiding van paragraaf 3.2.1 Digitale autonomie. De leden van de CDA-fractie
maken zich zorgen over de snel opvolgende geopolitieke ontwikkelingen, die het belang
van digitale autonomie alleen maar meer benadrukken. Zij vragen of de Minister dit
deelt en zo ja, of het dan voldoende is de sector op te roepen dit in hun afwegingen
mee te nemen. Zoals de Minister terecht aangeeft, is zorgverlening vaak kritieke dienstverlening
die niet kan wachten. Deze leden vragen daarom wat de Minister van VWS specifiek doet
om bij zorg-IT-systemen digitaal autonomer te worden. Zij vragen of de Minister nader
wil toelichten waarom hij niet een meer dwingend kader aan de sector wil meegeven.
Zij vragen wat de Minister doet om in het cloudbeleid specifiek aandacht te besteden
aan de zorgsector, vanwege het cruciale publieke belang.
De leden van de CDA-fractie vragen tot slot naar het advies van de Autoriteit Consument
& Markt (ACM) over het verbeteren van de zorg-ICT-markt. Deze leden vragen of de Minister
deelt dat een betere ICT-markt, met minder afhankelijkheid van enkele leveranciers
ook bijdraagt aan informatieveiligheid in de zorg. Deze leden vragen of de Minister
wil ingaan op de aanbevelingen van de ACM uit januari 2025.
Vragen en opmerkingen van de leden van de BBB-fractie
De leden van de BBB-fractie hebben kennisgenomen van de brief over informatieveiligheid
in de zorg. Genoemde leden hebben geen vragen aan de Minister.
II. Reactie van de Minister
Ondertekenaars
-
Eerste ondertekenaar
M. Mohandis, voorzitter van de vaste commissie voor Volksgezondheid, Welzijn en Sport -
Mede ondertekenaar
E.M. Sjerp, adjunct-griffier
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.