Bent u bekend met de berichten «Ziekenhuizen beveiligen hun sites niet goed» 1 en «Deel websites ziekenhuizen slecht beveiligd»? 2

◆ Kamervraag· 2017Z00213Beantwoord

Slechte beveiliging van ziekenhuiswebsites

Astrid OosenbrugPvdA11 jan 2017

Bekijk op tweedekamer.nl

Jouw stem · kamervraag

Stem· kamervraag

Nog geen stemmen — wees de eerste.

Vragen

V1Bent u bekend met de berichten «Ziekenhuizen beveiligen hun sites niet goed» 1 en «Deel websites ziekenhuizen slecht beveiligd»? 2
V2Deelt u de mening dat het zeer zorgelijk is dat 35% van de ziekenhuizen uit het onderzoek van Women in Cybersecurity geen beveiligde internetverbinding hebben, nog eens een kwart van de ziekenhuizen een verouderdere internetverbinding heeft en patiëntgegevens hierdoor gemakkelijk in verkeerde handen kunnen vallen?
V3Zijn bij u gevallen van datalekken bij ziekenhuizen bekend met als oorzaak het versturen van gegevens via een onbeveiligde internetverbinding? Zo ja, om hoeveel datalekken gaat het?
V4Deelt u de mening dat de reacties van ziekenhuizen op het onderzoek van Women in Cybersecurity (zoals «we hadden nog geen versleuteling toen onze site ontstond» en «bij de nieuwe site die binnenkort «live» gaat, is dit probleem opgelost») in schril contrast staan tot de verplichting om te zorgen voor goede beveiliging van websites als bezoekers gevraagd wordt om bijzondere persoonlijke gegevens, zoals iemands gezondheid?
V5Deelt u de mening dat ziekenhuizen zich onvoldoende bewust lijken van de risico’s die het versturen van patiëntgegevens via een onbeveiligde internetverbinding met zich meebrengen?
V6Zijn alle ziekenhuizen actief geïnformeerd over deze risico’s? Zo nee, bent u bereid de ziekenhuizen op zeer korte termijn te informeren over deze risico’s? Zijn alle ziekenhuizen op de hoogte van de richtlijnen voor het veiliger ontwikkelen, beheren en aanbieden van webapplicaties, zoals de ICT-Beveiligingsrichtlijnen voor Webapplicaties van het Nationaal Cyber Security Centrum (NCSC)? 3 Zijn ziekenhuizen verplicht zich aan deze richtlijnen te houden? Zo nee, waarom niet en bent u bereid ziekenhuizen nogmaals op deze richtlijn te wijzen?
V7Bent u voornemens aanvullende verplichte regels/richtlijnen op te stellen die ziekenhuizen moeten volgen, om zo dergelijke datalekken te voorkomen? Zo ja, door wie zal controle op deze regels/richtlijnen uitgevoerd worden? Hoort een onafhankelijke responsible disclosure daar ook bij?