Datalekken in de jeugdsector
Jeugdzorg
Brief regering
Nummer: 2019D26926, datum: 2019-06-24, bijgewerkt: 2024-02-19 10:56, versie: 3
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-31839-686).
Gerelateerde personen:- Eerste ondertekenaar: H.M. de Jonge, minister van Volksgezondheid, Welzijn en Sport
Onderdeel van kamerstukdossier 31839 -686 Jeugdzorg.
Onderdeel van zaak 2019Z13057:
- Indiener: H.M. de Jonge, minister van Volksgezondheid, Welzijn en Sport
- Volgcommissie: vaste commissie voor Justitie en Veiligheid
- Voortouwcommissie: vaste commissie voor Volksgezondheid, Welzijn en Sport
- 2019-06-25 16:50: VAO Jeugdhulp (AO d.d. 13/06) (Plenair debat (tweeminutendebat)), TK
- 2019-06-26 13:45: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2019-07-03 10:30: Procedurevergadering (Procedurevergadering), vaste commissie voor Volksgezondheid, Welzijn en Sport
- 2019-09-11 13:50: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2018-2019 |
31 839 Jeugdzorg
Nr. 686 BRIEF VAN DE MINISTER VAN VOLKSGEZONDHEID, WELZIJN EN SPORT
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 24 juni 2019
In het plenair debat van 17 april jl. over een datalek in het jeugdveld (Handelingen II 2018/19, nr. 76, item 3), heb ik aangegeven uw Kamer voor de zomer nader te informeren over de ingezette acties. In de Commissiebrief van 13 juni jl.1 ben ik hierop al kort ingegaan. Met deze brief informeer ik u – mede namens de Minister voor Rechtsbescherming – uitgebreider over de stand van zaken. Dit ter voorbereiding van het VAO Jeugdhulp op 25 juni 2019 (Handelingen II 2018/19, nr. 97, VAO Jeugdhulp).
Datalekken zijn altijd onwenselijk en bijzonder vervelend voor alle betrokkenen. Informatieveiligheid van de hele zorg is daarom van groot belang. Incidenten zoals het datalek bij de Stichting Kwaliteitsregister Jeugd (SKJ) en Samen Veilig Midden Nederland (SVMN) tonen aan hoe belangrijk dit is. Informatieveiligheidsrisico’s zijn nooit helemaal te voorkomen, maar we moeten zorgen dat in de zorg de bewustwording groeit, de bewaking en beveiliging worden versterkt en voldoende capaciteit bestaat om te «blussen» als het nodig is. Het is in eerste instantie aan organisaties zelf om te zorgen dat ze hun bedrijfsvoering op orde hebben. Dat geldt ook voor informatieveiligheid. Gegevensverwerking bij jeugdhulpaanbieders, VT-organisaties en gecertificeerde instellingen dient te voldoen aan de vereisten van de Algemene verordening gegevensbescherming (AVG) en de Jeugdwet.
Met deze brief zal ik uw Kamer eerst informeren over aandacht voor informatieveiligheid in het jeugdveld, het thematisch onderzoek informatieveiligheid in de jeugdsector dat de Inspectie Gezondheidszorg en Jeugd (hierna: inspectie) uitvoert en toelichten hoe ik uitvoering geef aan de motie Hijink/Ramaekers2. Ten slotte zal ik kort ingaan op de datalekken bij de SKJ en SVMN.
Aandacht voor dataveiligheid in de jeugdhulp
Naar aanleiding van het datalek bij SVMN in april jl. heb ik Jeugdzorg Nederland – mede namens de Minister voor Rechtsbescherming en de VNG – gevraagd dringend het belang van goede informatiebeveiliging onder de aandacht te brengen van hun leden en hen te adviseren om hun eigen informatiebeveiliging te evalueren, risico’s in kaart te brengen en – op basis van geconstateerde risico’s – aanvullende maatregelen te nemen. Jeugdzorg Nederland onderzoekt op dit moment welke extra maatregelen nodig zijn om het informatiebeveiligingsniveau in de sector te verbeteren. Zij geven aan dat ze zich bewust zijn van het grote belang van goede informatiebeveiliging en hebben de brief met de oproep onder hun leden verspreid. Zij zullen mij in de zomer informeren over welke extra maatregelen hun leden zullen nemen om het informatiebeveiligingsniveau te verbeteren. Tevens laten zij mij weten welke rol Jeugdzorg Nederland als brancheorganisatie op zich kan nemen om ervoor te zorgen dat de maatregelen voortvarend worden opgepakt. Een zelfde oproep als aan Jeugdzorg Nederland heb ik gedaan aan de Branches Gespecialiseerde Zorg voor Jeugd (BGZJ), waarvan Jeugdzorg Nederland deel uit maakt. Hierover zullen zij mij in het najaar informeren.
Onderzoek informatieveiligheid in de jeugdsector
De inspectie gaat als toezichthouder na of er verantwoorde en veilige jeugdhulp wordt geboden. Dat doet zij via toezicht naar aanleiding van signalen en meldingen van incidenten en calamiteiten en via risicogestuurd toezicht.
Voor de inspectie is het niet op orde hebben van de ICT een risico als de kwaliteit van de jeugdhulp daardoor in gevaar komt.
De inspectie voert dit jaar in het jeugddomein een onderzoek uit dat bestaat uit een quick scan als verkenning in de breedte naar de stand van zaken ICT, waaronder informatiebeveiliging, gevolgd door verdiepend toezicht bij enkele instellingen. Dat samen resulteert in een eerste beeld over risico’s op het gebied van ICT voor de kwaliteit van de jeugdhulp. Daarover zal de inspectie aan het eind van het jaar rapporteren en ik zal uw Kamer daarover informeren. De resultaten van het onderzoek van de inspectie zijn input voor een eventueel vervolgtraject; hoe dit traject eruit ziet, is afhankelijk van de resultaten die uit het onderzoek komen.
Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens (AP) is de onafhankelijke toezichthouder in Nederland die de bescherming van persoonsgegevens bevordert en bewaakt. Het onderzoek naar dataveiligheid in de jeugdhulp staat niet als zelfstandig speerpunt genoemd in het toezichtskader van de AP. Het toezien op de verplichting door (jeugd)zorgaanbieders om adequate beveiligingsmaatregelen te treffen komt aan de orde in individuele kwesties naar aanleiding van klachten en signalen van burgers en gemelde datalekken afhankelijk van de ernst en omvang van de mogelijke overtreding.
Uitvoering motie Hijink/Ramaekers
Conform motie Hijink/Ramaekers (Kamerstuk 31 839, nr. 640) laat ik bij een aantal jeugdzorginstellingen penetratietesten uitvoeren om inzicht te krijgen in de risico’s en kwetsbaarheden van (netwerk)systemen en infrastructuren van instellingen om op basis van dit inzicht de informatiebeveiliging binnen de gehele jeugdzorg naar een hoger niveau te helpen tillen. De bevindingen van deze penetratietesten kunnen aanleiding zijn om te komen tot extra maatregelen, of een aanscherping van al getroffen (beleidsmatige)maatregelen op het gebied van informatieveiligheid en bescherming van persoonsgegevens bij de onderzochte jeugdzorginstellingen. De inspectie zal de uitkomsten van deze penetratietesten meenemen in haar hierboven genoemd thematisch toezicht.
Update casus Stichting Kwaliteitsregister Jeugd
Op 13 juni jl. heb ik uw Kamer geïnformeerd over het datalek bij SKJ (Kamerstuk 31 839, nr. 674). SKJ is bezig met de ontwikkeling van een kennisbank waarop alle beslissingen na een tuchtzaak geanonimiseerd vindbaar zullen zijn. De testwebsite die hiervoor wordt gebouwd is per abuis online gezet en op de testwebsite stonden niet geanonimiseerde beslissingen.
De testwebsite is offline gezet en de URL verwijderd, waardoor de testwebsite niet meer beschikbaar is. SKJ heeft melding gemaakt van het datalek bij de Autoriteiten Persoonsgegevens en is een onderzoek gestart naar het aantal niet geanonimiseerde beslissingen en het aantal malen dat de website is bezocht. Uit de onderzoeksresultaten concludeert SKJ dat 3 natuurlijke personen 6 niet geanonimiseerde beslissingen hebben bekeken. De betrokkenen van deze 6 beslissingen zijn geïnformeerd. Tot slot worden verbetervoorstellen opgepakt om een dergelijk fout in de toekomst te doen voorkomen.
Update casus Samen Veilig Midden Nederland
Op 15 april jl. heb ik uw Kamer geïnformeerd3 over informatieveilighied in de Jeugdsector naar aanleiding van het datalek bij SAVE Midden Nederland. SVMN heeft een extern bureau gevraagd de omvang en inhoud van het datalek te onderzoeken en heeft direct melding bij de Autoriteit Persoonsgegevens gemaakt.
Naar aanleiding van het datalek bij SVMN op 9 april 2019 heeft SVMN op 15 april 2019 een cybersecurity ingeschakeld forensisch onderzoek te doen naar technisch aspecten van het datalek om te achterhalen van welke cliënten er gegevens bij de klokkenluiders terecht is gekomen. De bevindingen van het onderzoek hebben inmiddels bevestigd dat het lek dicht is. Ook is de crisistool van Veilig Thuis Utrecht, die gezien wordt als een belangrijke bron van de cliëntgegevens die in het datalek zijn aangetroffen, is stilgelegd.
Aangezien genoemd bedrijf geen opsporingsbevoegdheden heeft, is op 25 april 2019 de politie en het OM geïnformeerd over het onderzoek. Zij kunnen dan indien zij daartoe besluiten, vervolgonderzoek doen waarbij opsporingsbevoegdheden nodig zijn, bijvoorbeeld om te achterhalen wie de berichten ontvangen heeft.
Gemeente Utrecht laat namens de samenwerkende jeugdregio’s in de provincie Utrecht een onderzoek uitvoeren naar de organisatorische en beleidsmatige aspecten van de informatieveiligheid.
Aandacht voor informatiebeveiliging in de zorgsector, inclusief de jeugdsector, is essentieel. De Minister voor Medische Zorg en Sport zal daarom na de zomer een aparte brief over informatiebeveiliging in de gehele zorgsector aan uw Kamer sturen en daarin ook in gaan op informatiebeveiliging in de jeugdsector.
De Minister van Volksgezondheid, Welzijn en Sport,
H.M. de Jonge