Organisatie: Ministerie van VWS
Vorm: Verslag Schriftelijk Overleg
Onderwerp: Data, AI, informatiebeveiliging
Datum: 12 mei
Snelkoppeling: Website
Inhoud bericht:
* In 2023 registreerde Z-CERT 29 cyberincidenten bij zorgaanbieders in Europa met impact op 101 locaties. In 2024 waren er 37 getroffen zorgorganisaties met impact op 91 zorglocaties. De aanvallen werden voornamelijk uitgevoerd door criminele hackers. Er zijn geen bekende gevallen van aanvallen door statelijke actoren, maar de dreiging vanuit die hoek neemt toe door geopolitieke spanningen en de inzet van nieuwe technologieën.
* De Europese Commissie heeft een digitale publieke consultatie geopend over het actieplan, die loopt tot eind juni 2025. De minister zal deze consultatie onder de aandacht brengen van koepels en brancheorganisaties in de Nederlandse zorgsector.
* Het actieplan bevat veel voorstellen die nog onvoldoende zijn uitgewerkt. Het kabinet heeft daarom de Europese Commissie om verduidelijking gevraagd over de inhoud en uitvoering van deze voorstellen, in het bijzonder over de financiële gevolgen voor de EU-begroting en voor de lidstaten. De kosten zijn op dit moment nog niet bekend en daarom ook niet opgenomen in de Nederlandse begroting. In het derde kwartaal van 2025 komt de minister hierop terug in de Kamerbrief over cybersecurity in het zorgveld.
* Het kabinet heeft twijfels over de verhouding van sommige voorgestelde acties in het actieplan tot de bestaande nationale verantwoordelijkheden. Het kabinet wil voorkomen dat er taken worden overgenomen die al op nationaal niveau zijn geregeld en zal dit punt inbrengen in de Europese onderhandelingen.
* Z-CERT biedt zorgaanbieders ondersteuning bij het uitvoeren van ethische hacktesten via het ZORRO-raamwerk. De resultaten van de testen worden geanonimiseerd gedeeld binnen de Z-CERT-community, zodat andere zorginstellingen hiervan kunnen leren.
* Het programma ‘Informatieveilig gedrag in de zorg’ is uitgebreid met hulpmiddelen zoals toolkits, podcasts, webinars en masterclasses. In 2024 hebben meer dan 340 zorgorganisaties deelgenomen aan trainingsactiviteiten. De hulpmiddelen zijn duizenden keren geraadpleegd en ondersteunen zorginstellingen bij het verbeteren van informatieveilig gedrag.
* Zorginstellingen zijn verplicht om te voldoen aan de informatiebeveiligingsnorm in de zorg, NEN7510. De IGJ houdt toezicht op de naleving van deze norm: bij onvoldoende naleving worden eerst informele maatregelen genomen, gevolgd door formele maatregelen indien nodig. De minister ondersteunt de naleving met onder andere quickscans, opleidingen en praktische handvatten.
* Steeds meer zorginstellingen maken gebruik van een Security Operations Center (SOC) om hun digitale systemen te monitoren en te beschermen. Daarnaast kunnen zorginstellingen zich aansluiten op het Zorg Detectie Netwerk van Z-CERT, waar zij informatie over dreigingen kunnen uitwisselen. Het actieplan biedt mogelijkheden om dit netwerk op Europees niveau verder te ontwikkelen.
* Het kabinet zet zich in om duplicatie van acties tussen het Europese actieplan en nationale initiatieven te voorkomen. In de Europese werkgroep voor cybervraagstukken en binnen het bestuur van ENISA pleit Nederland ervoor dat Europese en nationale taken elkaar aanvullen. Daarbij worden Nederlandse best practices zoals Z-CERT en het programma ‘Informatieveilig gedrag’ actief gedeeld.
Parlementaire behandeling:
Het verslag zal worden behandeld tijdens de eerstvolgende procedurevergadering van VWS op 28 mei (10:15–11:30).
