Kamer debatteert over een datalek in de jeugdzorg

17 april 2019, debat - Door onvoldoende digitale beveiliging bij een jeugdzorginstelling zijn privacygevoelige gegevens van cliënten gelekt. De Kamer debatteert met minister De Jonge (Volksgezondheid, Welzijn en Sport) over de gevolgen.

Door een fout van Bureau Jeugdzorg Utrecht zijn de dossiers van duizenden kwetsbare kinderen gelekt, zo meldde RTL Nieuws. In die dossiers staat gevoelige informatie, bijvoorbeeld over psychische stoornissen en seksueel misbruik. De nieuwssite had de gegevens gekregen van twee klokkenluiders, die wilden waarschuwen tegen dataonzorgvuldigheid in de zorg.

Bureau Jeugdzorg Utrecht ging in 2015 op in Samen Veilig Midden-Nederland. De oude website ging drie jaar later offline en werd ten onrechte niet beveiligd. De domeinnaam werd vervolgens gekocht door de klokkenluiders. Die gelukkig zorgvuldig met de gegevens zijn omgegaan, zegt Westerveld (GroenLinks).

De gevolgen waren niet te overzien geweest als deze privégegevens in verkeerde handen waren gevallen, benadrukt Hijink (SP). Er was geen enkel besef van privacy en digitale veiligheid, concludeert Mulder (PVV). Hij wil dat de minister de instelling onder verscherpt toezicht plaatst.

Incident?

We bespreken een incident, zegt Van Kooten (PvdD), maar in de zorg is sprake van een structureel gebrek aan goede ICT-infrastructuur en gegevensbescherming. Eerst de dataveiligheid op orde en pas dan verder met de digitalisering van de zorg, betoogt Raemakers (D66).

Westerveld (GroenLinks) wil één duidelijk systeem voor digitale gegevens in de zorg. In reactie daarop verwijst de minister naar de ontwikkeling van de PGO, de persoonlijke gezondheidsomgeving. Voor dat persoonlijke medische dossier worden internationale gegevensstandaarden gebruikt, waarbij dataveiligheid vooropstaat.

Waarom gunnen we zorginstellingen zo veel vrijblijvendheid als het om zulke gevoelige informatie gaat, vraagt Kuiken (PvdA). Zij wil instellingen verplichten om protocollen te volgen. Peters (CDA) denkt niet dat nieuwe regels nodig zijn: er zijn genoeg regels, maar ze zijn in dit geval niet nageleefd.

Honderd procent garantie dat er nooit meer een datalek optreedt kan ik niet geven, zegt De Jonge. De zorgsector heeft volgens hem een grote opdracht. Maar uit de omvang van het aantal meldingen ten opzichte van de grote hoeveelheid vertrouwelijke gegevens in de zorg leidt de minister af dat de alertheid groot is.

Acties

Het bestuur van een organisatie en de medewerkers moeten wetten en regels opvolgen, zegt Tielen (VVD). Maar wie moet worden aangesproken als dat niet goed gaat? Tielen wil dat de verantwoordelijkheid en het toezicht helder geregeld worden.

Hijink (SP) dringt aan op regelmatige hacktests in alle zorgsectoren. Dergelijke tests moeten deel uitmaken van het reguliere toezicht, voegt Raemakers (D66) toe.

Er komt een thematisch onderzoek naar dataveiligheid door de Autoriteit Persoonsgegevens en de Inspectie Gezondheidszorg en Jeugd, zegt de minister. Hacktests kunnen daar naar zijn mening deel van uitmaken.

De minister heeft Jeugdzorg Nederland gevraagd om de gegevensbescherming bij de instellingen te evalueren en om, zo nodig, maatregelen te treffen. Daarnaast wil hij dat Z-CERT, een organisatie voor cybersecurity in de zorg, passende acties onderneemt. De organisatie heeft inmiddels alle bekende domeinnamen geregistreerd, waardoor ze niet meer beschikbaar zijn voor anderen.

De Kamer stemt op 23 april over de ingediende moties.

Zie ook:

  • Het overzicht van de laatste debatten in het kort

  • De geredigeerde woordelijke verslagen van Kamervergaderingen (het stenogram). Deze zijn maximaal vier uur na het uitspreken beschikbaar.

  • Kijk debatten terug via Debat Gemist