Kamerbrief over versleuteling gegevens LSP

08-02-2019

Minister Bruins (Medische Zorg en Sport) informeert de Tweede Kamer over de beveiliging van zorggegevens die gedeeld worden via het Landelijk Schakelpunt (LSP).

Ik heb tijdens het Algemeen Overleg over Gegevensuitwisseling in de zorg op 30 januari j.l. – op vragen van de leden van de Partij voor de Dieren en de Socialistische Partij – uw Kamer toegezegd om informatie te sturen over de beveiliging van gegevens die gedeeld worden via het Landelijk Schakelpunt (LSP).

Zoals ik u heb gemeld tijdens het AO heb ik geen rol bij de organisatie van de gegevensuitwisseling in de zorg. De Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) beheert het LSP. Daarom heb ik hen verzocht mij de informatie aan te leveren. Daaruit is het volgende gebleken.

De Vereniging van Zorgaanbieders voor Zorgcommunicatie (VZVZ) geeft aan zeer hoge eisen te stellen aan de beveiliging van de zorginfrastructuur. In de zorginfrastructuur meldt een opvragende partij zich altijd vanaf een gecertificeerd goed beheerd zorgsysteem (GBZ) bij VZVZ via een gecertificeerde, beveiligde verbinding, met een sterk identificatiemiddel (de UZI-pas). De gegevens worden vervolgens opgevraagd door het verzoek versleuteld door te zenden via een gecertificeerde, beveiligde verbinding. Indien er relevante gegevens beschikbaar zijn in het brondossier, worden deze over diezelfde gecertificeerde verbindingen in versleutelde vorm verzonden, met het schakelpunt als zwaar beveiligd tussenstation.

Ten aanzien van uw vraag over hoe de versleuteling is geregeld geeft VZVZ het volgende aan. De beveiliging is conform NEN-7512. Versleuteling is niet end-toend, maar op de verbindingen. NEN-7512 schrijft geen end-to-end encryptie voor. Er zijn meerdere manieren om tot een sterke beveiliging te komen. De norm biedt die ruimte. De veiligheid is nu gewaarborgd via alle benodigde aanvullende maatregelen.

VZVZ geeft aan te voldoen aan de wettelijke beveiligingsverplichtingen. Dit is bevestigd in uitspraken van de Rechtbank in Utrecht, in hoger beroep bij het Gerechtshof in Arnhem en in een arrest van de Hoge Raad (1).

In het licht van het grote belang van informatieveiligheid in de digitalisering van de zorg zal ik NEN vragen om te beoordelen of aanpassing van de normen hierover naar aanleiding van de stand van de techniek wenselijk is.

(1) https://uitspraken.rechtspraak.nl/#zoekverfijn/zt[0][zt]=vzvz+vph&zt[0][fi]=AlleVelden&zt[ 0][ft]=Alle+velden&idx=1&so=Relevance&ps[]=ps1

Klik hier om de Kamerbrief in een pdf-bestand te bekijken

Dit artikel is ook te vinden in het dossier Privacy in de zorg

bron: Rijksoverheid

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer