Het datalek bij Jeugdzorg waardoor dossiers van duizenden kwetsbare kinderen zijn gelekt

Vragen

1. V1Kunt u bevestigen dat dat door een fout van Bureau Jeugdzorg Utrecht in totaal 3278 dossiers van 2702 kinderen zijn gelekt? 1

2. V2Waarom is de oude website van Jeugdzorg Utrecht niet beveiligd afgesloten nadat deze offline is gehaald?

3. V3Is het gebruikelijk dat binnen de jeugdzorg dossiers van patiënten onbeveiligd en geautomatiseerd doorgestuurd worden naar e-mailadressen van werknemers?

4. V4Deelt u de mening dat het niet zo kan zijn dat zorginstellingen patiëntendossiers onbeveiligd en zonder authenticatie worden rondgestuurd? Zo nee, waarom niet? Zo ja, op welke wijze denkt u te kunnen waarborgen dat dit in het vervolg wel goed wordt gedaan?

5. V5Klopt het dat Bureau Jeugdzorg Utrecht niet voldeed aan de concrete normen ten aanzien van informatieveiligheid zoals door Z-CERT geformuleerd? Bent u van mening dat deelname aan Z-CERT door (jeugd)zorgaanbieders verplicht gesteld moet worden? Zo nee, waarom niet?

6. V6Welke verplichtingen hebben (jeugd)zorginstellingen voor wat het securitybeleid betreft? Welke standaardnormen zijn hieraan verbonden waar in ieder geval aan voldaan moeten worden?

7. V7Wat is uw reactie op de bewering van de klokkenluiders dat er nog tientallen soortgelijke zorgorganisaties zijn waarvan de oude domeinnaam is verlopen, en die door kwaadwillenden zijn over te nemen of reeds zijn overgenomen?

8. V8Bent u bereid te inventariseren welke websites dit betreft om hier zo spoedig mogelijk actie op te zetten om deze beveiligd af te (laten) sluiten?