Minister: 'Diepgravend onafhankelijk onderzoek naar privacylek bij Jeugdzorg'

”Zorgorganisaties dienen zorgvuldig om te gaan met persoonlijke gegevens. Zeker kwetsbare kinderen en hun ouders moeten hiervan op aan kunnen. Cliënten moeten er te allen tijde op kunnen vertrouwen dat hun gegevens veilig zijn en alleen beveiligd worden gedeeld.” Dat schrijft Minister de Jonge aan de Tweede Kamer als reactie op het onlangs geconstateerde privacylek (https://www.ggztotaal.nl/nw-29166-7-3716861/nieuws/datalek_bij_jeugdzorg_utrecht_gaf_inzicht_in_ruim_3000_dossiers.html?page=1) bij Samen Veilig in Mindden Nederland. Ook schrijft de Minister dat de betrokken gemeenten het bestuur en de raad van toezicht van Samen Veilig Midden-Nederland ter verantwoording hebben geroepen en naast het onderzoek dat SVMN zelf uitvoert een eigen diepgravend onafhankelijk onderzoek laten doen naar hoe er met de persoonsgegevens en de privacy van de kinderen is omgegaan.

Begin deze maand werd bekend dat dossiers van duizenden kinderen zijn gelekt door een fout bij Bureau Jeugdzorg Utrecht. De documenten waren aan RTL Nieuws aangeleverd door twee klokkenluiders, die wilden waarschuwen voor de onzorgvuldigheid in de zorgsector. Volgens de klokkenluiders werden de dossiers zonder beveiliging in platte tekst per e-mail verstuurd. Daardoor waren de dossiers inzichtelijk.

In totaal ging het om 3.278 dossiers van 2.702 kinderen. In de documenten staan gegevens zoals volledige namen en geboortedata, maar ook informatie zoals psychische stoornissen, gegevens over seksueel misbruik en zelfmoordpogingen verstrekt.

De hele tekst van de Kamerbrief:

Conform uw verzoek bij regeling van werkzaamheden van 11 april 2019 informeer ik u bij deze – mede namens de minister voor Rechtsbescherming - over berichtgeving in de media van 10 april 2019 over een datalek bij Samen Veilig Midden-Nederland (2019Z07439).
 
Zorgorganisaties dienen zorgvuldig om te gaan met persoonlijke gegevens. Zeker kwetsbare kinderen en hun ouders moeten hiervan op aan kunnen. Cliënten moeten er te allen tijde op kunnen vertrouwen dat hun gegevens veilig zijn en alleen beveiligd worden gedeeld. Gegevensverwerking bij jeugdhulpaanbieders en gecertificeerde instellingen dient te voldoen aan de vereisten van de Algemene verordening gegevensbescherming (AVG) en de Jeugdwet.

Datalek Samen Veilig Midden-Nederland

Het datalek dat afgelopen week is ontdekt bij Samen Veilig Midden-Nederland is ontstaan door het gebruik van oude e-mailadressen met een oude domeinnaam. Deze domeinnaam was vanaf december 2017 niet meer bij Samen Veilig MiddenNederland in beheer. Naar nu blijkt zijn de consequenties hiervan onvoldoende ingeschat en afgedekt. Samen Veilig Midden-Nederland (SVMN) heeft ons laten weten dat het lek inmiddels is gedicht en dat men een extern bureau heeft gevraagd de omvang en inhoud van het datalek te onderzoeken. Ook is er direct melding gemaakt bij de Autoriteit Persoonsgegevens. Betrokken gemeenten hebben het bestuur en de raad van toezicht van Samen Veilig Midden-Nederland ter verantwoording geroepen en gaan naast het onderzoek dat SVMN zelf uitvoert een eigen diepgravend onafhankelijk onderzoek laten doen naar hoe er met de persoonsgegevens en de privacy van de kinderen is omgegaan.

Gegevensuitwisseling en aansluiting bij Z-CERT

Toegankelijke en veilige informatie-uitwisseling dient een vast punt van aandacht te zijn in het beleid en op de bestuurstafels van zorginstellingen. Zorginstellingen zijn zelf verantwoordelijk voor het treffen van maatregelen om persoonsgegevens te beschermen. Ze moeten passende maatregelen nemen om weerbaar te zijn tegen cyberaanvallen, om computerstoringen zoveel mogelijk te voorkomen en om
te zorgen dat binnen hun organisaties goed met persoonsgegevens wordt omgegaan. Daarbij past niet het via gewone mail versturen van gevoelige persoonsgegevens. Alle zorg -en jeugdhulpinstellingen zouden daarom tenminste gebruik moeten maken van beveiligde e-mail verbindingen, waarvoor ook een NEN1-norm beschikbaar komt. De organisaties moeten ook adequaat kunnen optreden en handelen wanneer zich een incident of storing voordoet.

Bij cyberincidenten kunnen aangesloten zorginstellingen rekenen op de hulp van Z-CERT (Zorg Computer Emergency Response Team). Deze organisatie helpt bij preventie en fungeert als ”brandweer” bij ICT-incidenten in de zorg. Alle zorg- en jeugdhulpinstellingen zouden wat mij betreft aangesloten moeten zijn bij een organisatie als Z-CERT. Zoals toegezegd in reactie op de motie Ellemeet zal ik in 2019 het verplichtstellen van de deelname van zorg- en jeugdhulpinstellingen aan Z-CERT onderzoeken en tevens de publieke rol ten aanzien van informatieveiligheid in de zorg herijken. Vooruitlopend hierop vraag ik Samen Veilig Midden-Nederland en andere instellingen voor jeugdhulp en jeugdbescherming zich aan te sluiten bij Z-CERT. Desgevraagd heeft Z-CERT laten weten graag bereid te zijn de instelling te voorzien van advies en informatie over hoe dergelijke incidenten in de toekomst voorkomen kunnen worden. 

Tot slot Ik heb Jeugdzorg Nederland – mede namens de minister voor Rechtsbescherming en de VNG – gevraagd dringend het belang van goede gegevensbescherming onder de aandacht te brengen van de leden en hen te adviseren om hun eigen gegevensbescherming te evalueren, risico’s in kaart te brengen en – op basis van geconstateerde risico’s – aanvullende maatregelen te nemen. Ik heb Jeugdzorg Nederland gevraagd mij rond de zomer te informeren over de uitkomsten.
Hoogachtend, 
de minister van Volksgezondheid, Welzijn en Sport,
Hugo de Jonge

Bron: Rijksoverheid (https://www.rijksoverheid.nl/ministeries/ministerie-van-volksgezondheid-welzijn-en-sport/documenten/kamerstukken/2019/04/15/kamerbrief-over-gegevensbescherming-jeugdsector)

 

Vind je dit interessant? Misschien is een abonnement op de gratis nieuwsbrief dan iets voor jou! Opgeven van je mailadres is voldoende.
Abonneren kan direct via het inschrijffomulier (http://www.ggztotaal.nl/pg-29166-7-89775/pagina/abonneren.html), of kijk eerst naar de artikelen in de vorige magazines (http://www.ggztotaal.nl/pg-29166-7-89779/pagina/e-magazine.html)

 

bureaucratie GGZ bureaucratie GGZ