Antwoorden op Kamervragen van het Kamerlid Hijink (SP) over het bericht ‘Grote ICT-storing treft ziekenhuis, maar Luus (hier 10 uur oud) komt gewoon’. (2019Z00651)

Vraag 1

Wat is uw reactie op het bericht dat de ziekenhuizen in Alkmaar en Den Helder met een grote ICT-storing kampten waardoor een chaos in de ziekenhuizen ontstond, onder andere omdat het medisch personeel geen toegang had tot agenda’s, patiëntendossiers of hersenscans?

Antwoord op vraag 1

Laat ik vooropstellen dat toegankelijke en veilige informatie nodig is voor goede zorg. Ziekenhuizen zijn in eerste plaats zelf verantwoordelijk voor de ICT-voorzieningen en de toegankelijkheid van gegevens. Ze moeten passende maatregelen nemen om weerbaar te zijn tegen cyberaanvallen en om computerstoringen zoveel mogelijk te voorkomen. Ze moeten ook kunnen optreden en adequaat handelen wanneer een incident of storing zich voordoet.

Vraag 2

Wat is uw reactie op de opmerking van de IT-expert in het desbetreffende artikel dat het bijzonder is dat er in zo’n geval geen plan B beschikbaar is en dat men op de EHBO bijvoorbeeld terug moet kunnen naar de gegevens van een dag eerder? Deelt u deze opvatting?

Vraag 3

Bent u van mening dat in alle ziekenhuizen in Nederland effectieve noodscenario’s klaar moeten liggen voor het geval er (grote) ICT-storingen plaatsvinden?

Antwoord op vragen 2 en 3

Zorgaanbieders zijn verantwoordelijk voor het leveren van goede en veilige zorg. Een onderdeel daarvan is, dat zij risico’s in de zorg inventariseren en bijpassende maatregelen treffen om de risico’s te beheersen. Een voorbeeld van een risicobeheersmaatregel is een noodscenario om bij uitval van ICT-systemen tijdelijk een alternatieve voorziening te gebruiken, mits dit leidt tot goede en veilige zorg.

Zorginstellingen moeten zich onder meer houden aan de Nederlandse normen voor informatieveiligheid in de zorg (NEN-norm 7510).

De getroffen Noordwest ziekenhuisgroep heeft op mijn vraag laten weten dat ze over een noodscenario als onderdeel van Integraal Crisisbeleid beschikken dat direct na de ICT-storing ook in werking is getreden. Het doel van dit noodscenario is het vastleggen van het handelen en het inzichtelijk maken van alternatieven, in geval van uitval van systemen.

Tot slot is het onderwerp zorgcontinuïteit één van de aandachtspunten bij inspecties van de Inspectie Gezondheidszorg en Jeugd (IGJ) op het gebied van

eHealth. Daarbij komt aan de orde welke voorzieningen en plannen aanwezig zijn om op storingen te kunnen reageren. Bij dergelijke maatregelen is wel altijd een zorgvuldige afweging nodig tussen risico’s, kosten en stand der techniek. Storingen kunnen daarom nooit volledig worden uitgesloten. Belangrijk is dan dat de zorgverlening op een verantwoorde wijze wordt voortgezet (met tijdelijke maatregelen op het gebied van bijvoorbeeld dossierinzage) dan wel op een gecontroleerde manier tijdelijk wordt gestaakt met minimale gevolgen voor patiënten.

Vraag 4

Is bekend welke ziekenhuizen in Nederland momenteel nog geen noodscenario’s voor ICT-storingen beschikbaar hebben? Zo nee, wordt dit onderdeel meegenomen door de Onderzoeksraad voor de Veiligheid in haar onderzoek naar de digitale veiligheid van ziekenhuizen? Zo nee, bent u bereid dit apart te inventariseren?

Vraag 5

Kunt u garanderen dat er binnen afzienbare tijd bij alle ziekenhuizen in Nederland noodscenario voor ICT-storingen klaarliggen? Zo ja, welke maatregelen gaat u nemen om dit voor elkaar te krijgen? Zo nee, waarom niet?

Antwoord op vragen 4 en 5

Het is mij niet bekend welke ziekenhuizen wel of geen noodscenario’s hebben voor ICT-storingen. Zoals reeds gemeld bij het antwoord op vraag 2 en 3 zijn ziekenhuizen zelf verantwoordelijk voor het leveren van goede en veilige zorg onder alle omstandigheden. De IGJ ziet hier op toe.

Uit de informatie die ik ontving van de Onderzoeksraad voor Veiligheid (OVV) blijkt dat in het lopende onderzoek naar de digitale veiligheid in de ziekenhuizen vooral wordt gekeken naar hoe ziekenhuizen storingen en misbruik van informatietechnologie proberen te voorkomen. Ook wordt gekeken in hoeverre zij voorbereid zijn om de gevolgen daarvan te beperken. Afhankelijk van de uitkomsten van het OVV-onderzoek, dat ik verwacht in kwartaal drie van dit jaar, bezie ik of/welke acties nodig zijn om risico’s op ICT-storingen in ziekenhuizen te mitigeren.