De naleving van de NEN-normen voor informatiebeveiliging door zorgaanbieders baart de Tweede Kamer zorgen. Tot schrik van GroenLinks-PvdA gaat het met name fout bij de NEN 7510 norm. Vaak ontbreekt het aan een Information Security Management System (ISMS) dat voldoet aan de eisen van deze wettelijke verplichting.
GroenLinks-PvdA vraagt minister Jan Anthonie Bruijn (Volksgezondheid, Welzijn en Sport) hoeveel zorgaanbieders op dit moment aantoonbaar wel voldoen aan NEN 7510, uitgesplitst naar sector en omvang. Gevreesd wordt dat dit er maar weinig zijn.
Vooral kleine zorgaanbieders hebben het er maar moeilijk mee. Ze worden onevenredig zwaar belast. Ze moeten zich niet alleen aan NEN-normen houden, maar ook aan de Cyberbeveiligingswet (Cbw), de Wet elektronische gegevensuitwisseling in de zorg (Wegiz) en de European Health Data Space-verordening (EHDS). Het ministerie heeft voor naleving van de NEN 7510 norm voor kleinere zorginstellingen een quickscan beschikbaar gesteld. De PVV vraagt in hoeverre daar gebruik van wordt gemaakt.
Afhankelijkheid groeit
Aanleiding tot de vragen vanuit de Kamer is een brief van de minister over de ontwikkelingen op het gebied van informatieveiligheid in de zorgsector. Daaruit blijkt dat het gebruik van clouddiensten in de zorgsector steeds verder toeneemt en dat hiermee ook de afhankelijkheid van specifieke leveranciers groeit. D66 wil weten hoe sterk dit geldt voor cruciale infrastructuur zoals ziekenhuizen en spoedzorg.
De vraag is in hoeverre zorginstellingen in staat zijn om bij verstoringen of uitval van deze diensten zelfstandig te blijven functioneren. D66 vindt dat dergelijke scenario’s structureel moeten worden getest, bijvoorbeeld via continuïteitsplannen of crisisoefeningen. Het CDA vraagt wat de minister specifiek doet om bij zorg-it-systemen digitaal autonomer te worden. Een meer dwingend kader zou op zijn plaats zijn.
De VVD herhaalt de wens om te komen tot een opt-out voor gegevensdeling voor de acute zorg en spoedeisende hulp. Daarbij doet iedereen mee behalve mensen die hebben aangegeven dat niet te willen. De minister heeft gezegd hiermee te willen wachten tot de inwerkingtreding van de eerder genoemde European Health Data Space-verordening. Maar de VVD vreest dat dit vertragend werkt.
Non-compliance is een vorm van bestuurlijke nalatigheid wat kan leiden tot civielrechtelijke aansprakelijkheid, bestuursrechtelijke sancties en reputatieschade. Gezien het feit dat civielrechtelijke casus beperkt zijn en het ook niet storm loopt met de boetes is een bestuurlijke onwetendheid tot op heden een deugd. Het temmen van papieren tijgers kent nu eenmaal minder risico dan het nemen van verantwoordelijkheid. Dit mede door een politiek-bestuurlijke paradox welke te typeren valt als het kip‑en‑ei‑probleem van regelgeving versus naleving. De kamer schrikt van gebrekkige naleving van NEN 7510 in de sector maar het blijft vooral bij zorgen en signalering omdat een dwingend kader leidt tot kosten die om de begroting gaan.
Blijkbaar is soeveriteit geen onderdeel van NEN 7510.
Wetgeving is dwingend, maar controle op naleving blijkbaar laks.
En soevereiniteit is blijkbaar al helemaal optioneel.
Zo van: voor als je tijd over hebt..
Toch gaat het om “cruciale infrastructuur zoals ziekenhuizen en spoedzorg.”
Er gaat op iets Europees gewacht worden.
voor als je tijd over hebt.