Minister Bruins stuurt brief over informatiebeveiliging en opslag medische gegevens bij Amazon, Google of Microsoft

Minister Bruno Bruins liet de Tweede Kamer in juli weten dat hij na de zomer een brief zou sturen over informatieveiligheid en privacy in de zorg. De aanleiding: kamervragen over de opslag van medische gegevens bij Amerikaanse cloudproviders, datalekken bij zorginstellingen en berichten dat medische scans van 25.000 Nederlandse personen onbeveiligd publiek te benaderen zijn. Gisteren stuurde de minister de beloofde brief naar de Tweede Kamer, precies op tijd voor een Algemeen Overleg over informatie-uitwisseling in de zorg.

Naar aanleiding van de berichtgeving in het AD over de opslag van medische data in de Google Cloud, beloofde Bruins een onafhankelijk advies te vragen over de wenselijkheid van de opslag van medische data bij cloudproviders met vestigingslocaties in Nederland, de EU, de Verenigde Staten en overige landen. Het in zorgrecht gespecialiseerde juridisch adviesbedrijf ICTRecht schreef het advies, dat als bijlage bij de brief naar de Kamer is gestuurd.

Cloudproviders met vestiging in EU: AVG van toepassing

Uit het onderzoek  van ICTRecht is volgens Bruins naar voren gekomen dat het wenselijk is om gebruik te maken van een cloudprovider met een vestiging, vertegenwoordiging of opslagcapaciteit binnen de Europese Unie. Google, Amazon en Microsoft voldoen aan die criteria, al noemt het advies of Bruins deze niet met name. Op cloudproviders met een EU-vestiging is de AVG van toepassing, zegt hij. Hiermee worden de data beschermd tegen onrechtmatig gebruik door de cloudprovider en kan naleving van de AVG effectief worden afgedwongen. Hij gaat de zorginstellingen hierop wijzen en wil dat zij voldoende maatregelen treffen in de aanbesteding om de data goed te beschermen. Hiermee wil hij aanvullende wet- en regelgeving over data-opslag in de cloud voor zorgaanbieders voorkomen.

ICTRecht geeft in zijn advies een groot aantal technische en organisatorische maatregelen om te kunnen waarborgen dat de opslag van medische gegevens die op de servers van Amerikaanse cloudproviders worden opgeslagen voldoet aan de eisen die Nederlandse en Europese wet- en regelgeving daaraan stelt. Voorbeelden zijn versleuteling, zogeheten two-factor authenticatie, voldoende logging en het aanwezig zijn van de juiste certificeringen bij cloud-providers. Zorgorganisaties als ziekenhuizen hebben altijd een grote eigen verantwoordelijkheid in het vaststellen en controleren van die passende maatregelen.

Medische data bij Amazon of Google kan volgens wet- en regelgeving mits ..

Mede op basis van het advies concludeert Bruins dat de opslag van zorgdata bij de grote Amerikaanse aanbieders, bij toepassing van de juiste maatregelen, geen inbreuk op hiervoor geldende wet- en regelgeving hoeft op te leveren. ICTRecht zegt het stelliger, en adviseert een “cloud wenselijk mits” beleid. Sta het gebruik van clouddiensten voor medische data toe en moedig dat aan, zegt het advies, op voorwaarde dat de aanbevelingen in het rapport worden nageleefd door zowel de aanbieder als de afnemer.

De opstellers van het advies onderkennen op basis van gesprekken met de sector wél dat er sprake is van een vertrouwenskwestie ten aanzien van niet-EU cloudproviders (zoals Amazon, Google en Microsoft). De oorzaken voor deze vertrouwenskwestie zijn volgens ICTRecht hoofdzakelijk terug te voeren naar de angst dat buitenlandse autoriteiten toegang krijgen tot de opgeslagen medische data.

Daarmee is een merkwaardige paradox ontstaan. Veel zorgpartijen noemen de technisch superieure beveiliging van de grote cloudproviders een belangrijke reden om data niet meer in op eigen computers of bij lokale providers op te slaan. Het rapport zegt hierover:

“De wens vanuit zorgpartijen om 'de cloud in' te gaan is zeer goed te begrijpen. Cloudproviders bieden in het algemeen mogelijkheden voor verwerking én bescherming van medische data die door zorgpartijen zelf niet goed zijn te evenaren. Cloudproviders zijn gespecialiseerd in het aanbieden van zo betrouwbaar en veilig mogelijke systemen voor opslag en verwerking van data. Het zo goed mogelijk beschermen van deze data is in hun bedrijfsbelang. Zij investeren daar veel in en kunnen daarbij substantiële schaalvoordelen bieden.”

Maar ondanks de state of the art beveiligingsmaatregelen die de in Nederland populaire cloudproviders treffen, juridische toezeggingen dat medische data niet zonder juridische grond wordt afgestaan, sluitende wetgeving in de vorm van de AVG die onrechtmatige toegang verbiedt en een sluitend systeem van handhaving hierop, lijkt vertrouwen één van de oorzaken waarom in sommige gevallen zeer terughoudend om wordt gegaan met de gang naar een clouddienst als het gaat om opslag van medische data, concludeert het rapport.

Kortom: vanuit het oogpunt van wet- en regelgeving zijn er principieel geen bezwaren, maar de subjectievere en minder juridische notie van vertrouwen speelt een minstens net zo belangrijke rol bij de vraag of je Amazon, Google of Microsoft medische data van burgers toevertrouwt. En die afweging – vertrouw ik de Amerikaanse technologiebedrijven - zullen bestuurders en toezichthouders dus nog steeds zelf moeten maken. Bruins zal hier waarschijnlijk geen expliciet standpunt over innemen.

Belangrijke rol voor Z-CERT

Wanneer het gaat om een betere informatiebeveiliging en het voorkomen van datalekken, ziet Bruins een belangrijke rol voor Z-CERT, het cybersecuritycentrum voor de zorg. Bruins beleid op informatieveiligheid loopt langs vier lijnen:

• Bewust worden van informatieveiligheid door de kennis erover te verhogen,
• Beveiligen van systemen met passende wet- en regelgeving en certificering,
• Bewaken van de naleving van de veiligheidsregels en monitoring van (cyberkwetsbaarheden om de weerbaarheid te vergroten en alertheid te verhogen,
• Blussen van (cyber)incidenten door de juiste instanties in staat te stellen cyberincidenten snel te bestrijden en de schade zoveel mogelijk te beperken.

Verplicht lidmaatschap Z-CERT?

Bruins zegt dat In de eerste jaren na oprichting van Z-CERT door deze organisatie met name invulling gegeven aan het ‘blussen’ bij incidenten. Een goed voorbeeld daarvan is volgens hem het recente optreden van Z-CERT bij het datalek waarin de medische scans van 25.000 personen waren in te zien.

Duizenden servers met radiologische beelden niet goed beveiligd

Voor publicatie van berichten in de pers hierover was Z-CERT hiervan al op de hoogte gebracht en een onderzoek gestart. De komende periode zullen ook ‘bewust worden, beveiligen en bewaken’ steeds meer verweven raken en onderdeel worden van de reguliere dienstverlening van Z-CERT, zegt Bruins. Z-CERT zal daarmee dienstverlening verzorgen op alle vier de lijnen die hij onderscheidt in zijn beleid ten aanzien van informatieveiligheid in de zorg.

In reactie op de motie van het Kamerlid Ellemeet om te verkennen of deelname aan Z-CERT verplicht kan worden, zegt Bruins dat het eerst duidelijk moet worden welke type instellingen en sectoren precies onder die eventuele verplichting zouden moeten vallen en welke typen instellingen en sectoren de meeste risico lopen. Sectoren en ketens die de meeste risico’s hebben, hebben immers het meeste baat bij een spoedige aansluiting, aldus Bruins. Hij wil samen met Z-CERT tot een dergelijke risicogestuurde aanpak komen, want “of het nu een verplichting is of niet: een beheerst tempo van aansluiting is nodig om de continuïteit en kwaliteit van de dienstverlening van Z-CERT gelijke tred te laten houden met het tempo van aansluiting.” Met andere woorden: de capaciteit van Z-CERT moet de vraag naar aanvullende cybersecurity diensten wel aankunnen.

Jeugdhulp: meer dan technische ondersteuning

De jeugdhulp-sector kwam recent in het nieuws omdat vertrouwelijke patiëntgegevens via e-mails naar ‘gekaapte’ e-mail-adressen op straat kamen te liggen. Voor de aansluiting van de jeugdhulpsector bij Z-CERT heeft hij naar aanleiding van de motie van kamerleden Hijink en Raemakers Z-CERT gevraagd samen met de jeugdhulpsector een eerste verkenning uit te voeren. Daaruit blijkt volgens hem dat de hulpvraag van de jeugdhulpinstellingen niet aansluit op de huidige dienstverlening van Z-CERT.

Dossiers van kwetsbare jongeren verstuurd via onveilige email

Jeugdhulpinstellingen hebben hun IT vaak uitbesteed aan externe ICT-leveranciers die zelf de informatiebeveiliging regelen, aldus de brief. Binnen de jeugdhulpinstellingen zelf is weinig gespecialiseerde, technische informatieveiligheidskennis aanwezig. De dienstverlening van Z-CERT is technisch van aard, terwijl de behoefte van jeugdhulpinstellingen functioneel organisatorisch van aard is. Zo monitort Z-CERT operational alerts en kwetsbaarheden, controleert periodiek of domeinnamen op “zwarte lijsten staan” van virussen, wormen en botnets en adviseert over aanpak en oplossing van cyberincidenten. De behoefte van jeugdhulpinstellingen ligt met name op risicomanagement, het verhogen van cyberbewustwording van medewerkers, het ontwikkelen van concrete uitwerkingen op basis van de NEN-norm 7510 en het doorlichten van de IT-omgeving binnen de jeugdhulpsector. Om inzicht te krijgen in wat dan wel nodig is en wat dat vraagt van de jeugdhulpsector zelf, laat hij op dit moment zogeheten “pentesten” uitvoeren op ICT- systemen in de jeugdhulp. Het onderzoek naar de publieke rol van Z-CERT loopt. Hij verwacht daarvan in de eerste helft van 2020 de resultaten.

Masterclass Cybersecurity in de zorg

Wat zijn de belangrijkste ontwikkelingen en trends op het brede terrein van cybersecurity in de zorg? Dat is de focus van de SmartHealth masterclass cybersecurity op donderdag 31 oktober en vrijdag 1 november. Bekijk de website van de masterclass voor programma en gastsprekers.