Het uitvoeren van deze pentests is een gevolg van een motie uit 2019. Een Kamermeerderheid steunde het voorstel om de cybersecurity van zorginstellingen te onderzoeken naar aanleiding van een groot datalek bij Jeugdzorg Utrecht. Desondanks ging het dit jaar weer mis. Zo kreeg een journalist van RTL toegang tot medisch dossiers van minderjarigen door een lek bij Kenter Jeugdhulp. “Dat het weer mogelijk was om op vergelijkbare wijze toegang tot persoonsgegevens te krijgen is zorgelijk”, schrijft de staatssecretaris daarover.
Nieuwe norm
Blokhuis wijst erop dat de zes uitgevoerde pentests ervoor gezorgd hebben dat instellingen hun veiligheidsbeleid aanscherpten. Ook meldt de staatssecretaris dat gewerkt wordt aan een handleiding die organisaties moet helpen om de wettelijk verplichte NEN 7510 norm te implementeren. Deze norm wordt in december verwacht.
Ketenverantwoordelijkheid
Om inzichtelijk te maken hoe de beveiliging daarna ervoor staat, komen er opnieuw zes pentests, laat Blokhuis weten. De volle verantwoordelijkheid voor de datasecurity neemt hij niet. “Het ministerie van VWS draagt ketenverantwoordelijkheid voor de dataveiligheid in het jeugddomein. Jeugdhulpaanbieders dragen echter zelf de verantwoordelijkheid voor het op orde houden van hun eigen dataveiligheid”, aldus Blokhuis.
