Wat wil VWS bereiken?

’Wij willen dat het gebruik van gegevens in de zorg optimaal gaat bijdragen aan de uitdagingen in de zorg. Zodat we beter kunnen omgaan met de arbeidstekorten, behandelingen beter en sneller worden afgestemd en de administratielasten afnemen – met als gevolg lagere kosten en meer werkplezier. Hiervoor moeten we de beweging maken van gegevensuitwisseling naar databeschikbaarheid.’

Hoe willen jullie dat bereiken?

’Met helder, eenduidig en samenhangend beleid voor een goed werkend, integraal en toekomstbestendig gezondheidsinformatiestelsel. Daarvoor is de Nationale visie en strategie opgesteld, waarmee we toewerken naar die databeschikbaarheid voor burgers, zorgverleners en de wetenschap.’

‘Een belangrijke pijler onder de NVS is een landelijk dekkend netwerk van infrastructuren, dat zorgaanbieders met elkaar verbindt voor het uitwisselen en beschikbaar stellen van gezondheidsgegevens. Daarnaast zijn afspraken en voorzieningen nodig, zogeheten generieke functies, voor onder meer identificatie, authenticatie en autorisatie. En technische, organisatorische en juridische afspraken voor veilige en betrouwbare gegevensuitwisseling en databeschikbaarheid in de gezondheidszorg: het landelijk vertrouwensstelsel.’

Waarom is vertrouwen zo belangrijk?

’Omdat mensen alleen gegevens willen delen en gebruiken, als ze erop kunnen vertrouwen dat die gegevens juist, volledig, actueel én veilig zijn. Zorgverleners moeten ervan uit kunnen gaan dat gegevens kloppen en relevant zijn en burgers dat ze niet ongewenst of voor verkeerde doelen worden gebruikt. Kortom, zonder vertrouwen worden gegevens niet gedeeld – en komt databeschikbaarheid niet van de grond.’

‘Cyberaanvallen kun je nooit helemaal voorkomen. Wat je wél kunt doen, is risicobeperkende maatregelen nemen. En vooral: open en transparant zijn. De ransomware-aanval op Clinical Diagnostics waarbij de persoonsgegevens van honderdduizenden deelnemers aan bevolkingsonderzoeken zijn buitgemaakt is buitengewoon vervelend. Dan is het belangrijk dat helder en duidelijk is hoe daarmee wordt omgegaan, wat de handelingsmogelijkheden zijn voor de slachtoffers en welke maatregelen worden genomen voor de toekomst.’

‘Cyberaanvallen kun je nooit helemaal voorkomen. Wat je wél kunt doen, is risicobeperkende maatregelen nemen’

Welke rol speelt digitale weerbaarheid daarbij?

’Het landschap aan ICT-systemen in de zorg moet voldoen aan een aantal normen, zoals NEN7510, en wordt bij veranderingen doorlopend aangepast. ICT-leveranciers moeten zorgen dat hun software voldoet en blíjft voldoen. En zorgbestuurders moeten zorgen dat er telkens wordt opgeschaald.’

‘De nieuwe Cyberbeveiligingswet gaat daar vanaf volgend jaar nog een extra zwiep aan geven. Met techniek kan heel veel, maar het gedragselement in de dagelijkse zorgpraktijk is minstens zo belangrijk. 60 procent van de datalekken in de zorg wordt veroorzaakt door menselijke fouten. Dus informatieveilig gedrag is essentieel. Het zit soms in kleine dingen, zoals je beeldscherm vergrendelen in het ziekenhuis als je even wegloopt. Geen laboratoriumpapiertje gebruiken als boodschappenlijstje en dat in je winkelwagentje laten liggen. En niet die informatie delen over een bekende Nederlander.’

‘Digitale weerbaarheid is de verantwoordelijkheid van íedereen. We zijn nog vooral gewend te denken vanuit fysieke weerbaarheid, maar digitale weerbaarheid moet net zo vanzelfsprekend zijn. Het is heel logisch dat we goede sloten op onze deuren en alarmsystemen hebben. Dit vraagt de digitale wereld ook.’

‘Met techniek kan heel veel, maar het gedragselement in de dagelijkse zorgpraktijk is minstens zo belangrijk’

Wat doet VWS om de digitale weerbaarheid in de zorg te versterken?

’Wij pakken de regierol. Bijvoorbeeld met het landelijk vertrouwensstelsel, waarmee we de landelijke kaders vastleggen voor afspraken over bijvoorbeeld een veilige infrastructuur voor gegevensuitwisseling en generieke functies voor identificatie, authenticatie, toestemming en autorisatie. Hierin staat aan welke normen en kaders een zorgaanbieder moet voldoen. Zo werken we toe naar de hoogste normen voor veiligheid.’

‘Daarnaast werken we aan betere bescherming tegen cyberdreigingen. Dat doen we via wetgeving: de Europese NIS2- en de CER-richtlijn worden omgezet naar de nationale Cyberbeveiligingswet en Wet weerbaarheid kritieke entiteiten. Daarbinnen is er ruimte voor sectorspecifieke regels voor de zorgsector en wordt er wettelijke samenhang aangebracht in digitale en fysieke weerbaarheid.’

‘We zijn ook mede-initiatiefnemer en -financier van Stichting Z-CERT, het expertisecentrum voor cybersecurity in de zorg, dat zorgorganisaties helpt bij het voorkomen, signaleren en oplossen van digitale dreigingen en incidenten. En binnen het programma ‘Informatieveilig gedrag in de zorg’ van platform ECP werken we nauw samen met veldpartijen om zorgmedewerkers te helpen veilig digitaal te werken.’

‘Beleid en uitvoering staan daarbij dicht bij elkaar, waardoor we de theorie snel kunnen aanpassen aan de praktijk. Dat is mooi, want de digitalisering gaat razendsnel. Ik merk dan ook dat de zorgsector vertrouwen heeft in de regierol van VWS, waardoor er steeds beter wordt samengewerkt en versnelling mogelijk is. En die versnelling is nodig, ook om digitaal weerbaar te blíjven. Daarbij blijven we zoekende: hoe kunnen we het als VWS nog beter doen? Alle ideeën en suggesties zijn welkom!’