De Inspectie voor de Volksgezondheid (IGZ) heeft niet in beeld hoe het met de beveiliging van medische gegevens gesteld is. Ook is niet bekend of zorginstelling aan de gestelde normen voldoen. In de toekomst moet dat wel worden afgedwongen.

Dat schrijft Justitie-minister Ivo Opstelten aan de Tweede Kamer in antwoord op vragen van 50Plus-kamerlid Henk Krol. Na een reeks beveiligingsincidenten in de zorg wilde het kamerlid weten of zorginstellingen nu hun zaken aantoonbaar in orde hebben.

''Er worden geen lijsten bijgehouden van zorgverleners en zorginstellingen waar is getoetst op de NEN-norm'', stelt Opstelten in antwoorden op kamervragen. Wel houdt de IGZ bij waar er inspecties zijn uitgevoerd en daarbij wordt ook gekeken of zorginstellingen zich aan normeringen voor informatiebeveiliging houden.

De minister erkent dat er in 2007 zoveel beveiligingsproblemen waren dat in 2010 ziekenhuizen werd gevraagd audits uit te laten voeren. Aan andere zorginstellingen die ook gevoelige medische gegevens verwerken, werd dit niet gevraagd. Overigens is volgens de bewindvoerder uiteindelijk de zorginstelling verantwoordelijk voor het goed beveiligen van de medische gegevens.

Wetgeving

Opstelten stelt dat in de toekomst zaken beter geregeld zullen worden. Zo is het wetvoorstel 'cliëntenrechten bij de elektronische verwerking van gegevens' bij het parlement ingediend. Daarin bestaat de mogelijkheid het gebruik van beveiligingsstandaarden af te dwingen. De minister belooft expliciet de NEN-normen voor de zorg af te gaan dwingen.

Ook wijst de minister op komende wetgeving met betrekking tot een meldplicht rond datalekken, waarbij zorginstelling verplicht zijn beveiligingsproblemen bij de gebruikers te melden. In het wetvoorstel 'Gebruik camerabeelden en meldplicht datalekken' worden ook regels voor camerabewaking meegenomen.

Groene Hart Ziekenhuis

Aanleiding voor de kamervragen is het onderzoek naar de verdachte rond een hack op het Groene Hart Ziekenhuis. NU.nl publiceerde hoe medische gegevens van meer dan een half miljoen mensen toegankelijk waren, omdat het ziekenhuis de informatie op een publiek toegankelijke server bewaarde.

Het is niet de eerste keer dat het ziekenhuis onveilig met medische gegevens bleek om te gaan. Eerder greep de IGZ al in bij de organisatie. Zelfs nadat beterschap werd beloofd, bleken gevoelige gegevens toch nog op verkeerde plaatsen te staan. De hacker meldde zich bij NU.nl om die misstand aan te kaarten.

Bronbescherming

In het onderzoek verzocht de politie NU.nl-journalist Brenno de Winter herhaaldelijk te verschijnen als getuige en wilde daarvoor een videoverhoorstudio inzetten. Uit oogpunt van bronbescherming weigerde hij te getuigen. Volgens Opstelten was dat om de zaak te helpen oplossen. De minister erkent dat de journalist een verschoningsrecht met betrekking tot bronnen heeft.

Opstelten erkent nog steeds te werken aan wetgeving die de bronbescherming voor journalisten goed moet regelen.

Op de computers van de verdachte in de Groene Hart Zaak bleek na het kraken van een versleutelde schijf ook kinderporno te zijn aangetroffen.