Kamerlid Renske Leijten (SP) stelde vorige maand enkele vragen aan de ministers van Volksgezondheid, Welzijn en Sport en van Veiligheid en Justitie. Ze wilde onder meer weten of beide ministers bekend waren met een bericht waarin de FBI waarschuwt voor het risico van cyberaanvallen op zorgdata, met als doel die illegaal te verkopen aan de hoogst biedende.
Ik geef het toe: ik luister graag naar Leijten. Haar politieke keuzes zijn niet altijd de mijne. Maar in debatten en interpellaties toont ze vaak een authentieke verontwaardiging. Die zie ik liever dan de berekende schijninterpellaties van kamerleden die weten dat hun fractieleiders over hun schouder meekijken, bang om politieke schade aan te richten.
Maar wat Leijten bezielde met die kamervragen is niet eenvoudig te raden. Het begint er al mee dat het FBI rapport waarnaar ze verwijst zo’n twee jaar geleden werd gepubliceerd. In ICT-termen is dat zo’n beetje het pleistoceen, maar dat wil natuurlijk niet zeggen dat de inhoud er niet meer toe doet. Wij schreven mede naar aanleiding van het FBI rapport destijds hoe veilig zijn de Nederlandse zorgdossiers? En inderdaad: als je het artikel nu leest is er verbluffend weinig veranderd in de Nederlandse situatie.
Wil jij die vraag beantwoorden?
Evengoed blijft het vreemd: waarom, twee jaar na de verschijningsdatum, aan de minister vragen of ze een vrij willekeurige publicatie kent, zonder een verdere specifieke aanleiding? En bovendien met vragen die zo algemeen zijn dat ze direct afglijden van het teflon van de minister. Leijten wil bijvoorbeeld weten: "Is de beveiliging van de computersystemen en elektronische apparaten die gebruikt worden in Nederlandse zorgorganisaties en ziekenhuizen voldoende om de veiligheid van medische gegevens te garanderen?"
Het zal wel het ritueel van de schriftelijke vragen zijn dat ik niet begrijp. Beleidsmedewerkers op ministeries zetten altijd een lacherig, geheimzinnig House of Cards gezicht op als je ze vraagt naar de manier waarop ze die vragen beantwoorden. Alsof het een ambacht is dat van generatie op generatie overgaat.
Wat had Leijten nu verwacht? Dat Edith Schippers zou antwoorden:
Goed dat u me attendeert op dit stuk van de FBI van twee jaar terug. Nu ik dit lees, realiseer ik me dat de beveiliging van zorgdata in Nederland niet in orde is. Ik ga er direct mee aan de slag, en laat u weten wanneer een en ander gereed is.
Schippers meldt volkomen voorspelbaar dat a) zorgorganisaties aan strenge (Europese) normen moeten voldoen en b) dat de Autoriteit Persoonsgegevens (AP) daarop moet toezien. Aan een oordeel over de kwaliteit van de beveiliging in Nederland brandt ze haar vingers niet.
Touché
Het echte antwoord dat een kamerlid zoekt staat zelden in antwoorden op kamervragen, en dat geldt ook hier. Maar Schippers' brief bevat wel een al dan niet bedoelde verwijzing naar een meer inhoudelijk antwoord. De beleidsmedewerker die de antwoordbrief voor Schippers schreef laat eerst een tikje uit de hoogte weten dat het realiseren van structurele aandacht voor dit onderwerp voor de minister belangrijker is dan “attendering van zorgpartijen op elke publicatie over dit thema”. Touché Leijten, moet de auteur hebben gedacht, om te vervolgen met: “Dit neemt niet weg dat de AP in een open brief aan de Raden van Bestuur van zorginstellingen nogmaals aandacht heeft gevraagd voor de bescherming van patiëntgegevens.”
Intensieve verbetertrajecten
In die open brief van vorige maand staat het antwoord dat Leijten waarschijnlijk zoekt. De AP onderzocht sinds 2012 negen zorginstellingen en kwam tot de conclusie dat hun maatregelen tegen datalekken en diefstal onvoldoende waren. Er bleken “intensieve verbetertrajecten nodig om de overtredingen te beëindigen.” Maar hoe zit het dan met de niet onderzochte instellingen? Volgens de AP is duidelijk geworden dat de geconstateerde tekortkomingen “zich niet beperken tot de onderzochte zorginstellingen, maar zich ook bij veel andere zorginstellingen voordoen.”
Graag gedaan, Renske.
Plaats een Reactie
Meepraten?Draag gerust bij!