Zorgaanbieders moeten zich houden aan specifiek voor de informatiebeveiliging in de zorg opgestelde normen, maar een overzicht van instellingen waar die NEN-normen zijn getoetst is er niet. Mochten zorgaanbieders zich willen aansluiten op de uitwisseling van medische dossiers, moeten ze zich wel aan die normen houden. Daarbij komen ook nog aanvullende eisen, verwoord in het Goed Beheerd Zorgsysteem. Maar in antwoorden op Kamervragen aan Henk Krol, fractievoorzitter van 50Plus, blijft minister Opstelten vaag of die normen en eisen ook worden getoetst voordat een zorgverlener zich aan mag sluiten bij het voormalige Landelijke Schakel Punt.

Vragen naar aanleiding van hack Groene Hart

Krol heeft vragen gesteld aan de ministers van Volksgezondheid en van Veiligheid en Justitie omtrent de veiligheid van medische gegevens bij zorginstellingen. Dat mede naar aanleiding van de hack bij het Groene Hart Ziekenhuis in Gouda, waarvoor een verdachte is opgepakt. Deze zou meer dan 7 GB aan data gestolen hebben vanaf een server waar medische gegevens van patiënten van dat ziekenhuis waren opgeslagen.

Overigens weigert Opstelten op die zaak in te gaan omdat “het onderzoek nog niet is afgerond.” Een aantal vragen van Krol gaan specifiek in op het verzoek van de politie om journalist Brenno de Winter als getuige in deze zaak te horen, en dan met name op het recht van journalisten om hun bronnen te beschermen. Opstelten zegt dat het verzoek aan De Winter op basis van vrijwilligheid is gedaan, dat er rekening wordt gehouden met bronbescherming, maar dat de hacker, die al bekend heeft, al heeft laten weten dat hij de bron is waarop De Winter zijn publicaties baseerde.

Krol is ervaringsdeskundige

Krol zelf is inmiddels gedeeltelijk veroordeeld vanwege het bekijken van medische dossiers via de systemen van medisch onderzoekscentrum Diagnostiek voor U. De rechtbank twijfelde niet aan de goede bedoelingen van de politicus, maar vond dat Krol de grenzen overschreed door vaker in te loggen en te snel naar de media te stappen. Over het meerdere malen inloggen en verzamelen van gegevens vond de rechtbank dat Krol "zich had moeten beperken tot het hoogst noodzakelijke." Krol kreeg 750 euro boete.

Een en ander was voor Krol dus wel aanleiding om vragen te stellen over de beveiliging van zorgaanbieders. Maar Opstelten stelt meerdere malen in zijn antwoord aan de 50Plusser dat die beveiliging primair de verantwoordelijkheid is van de zorgaanbieder zelf. De Inspectie voor de Gezondheidszorg (IGZ) moet toezicht houden en voert soms inspecties uit.

Ziekenhuizen lekten massaal medische dossiers

Zulke inspecties in 2003 en 2007 bij 20 ziekenhuizen heeft ertoe geleid dat alle ziekenhuizen is gevraagd zich extern te laten auditen. Dit is in 2010 gedaan. Dat leverde uiteindelijk na wat bijspijkerwerk op dat alle ziekenhuizen een voldoende scoorden voor de informatiebeveiliging, zegt Opstelten. Hij zwijgt in zijn antwoord over de hack op het Groene Hart ziekenhuis die niettemin toch mogelijk bleek.

Opstelten vindt dat het toezicht op de informatiebeveiliging bij zorgaanbieders “momenteel voldoende belegd is” bij IGZ en het College bescherming persoonsgegevens. “De huidige wettelijke bepalingen en bestaande veldnormen bieden voldoende aanknopingspunten voor toezicht op de beveiliging van medische dossiers.”