De cyberbeveiliging van ziekenhuizen - Mondelinge vraag aan minister Vandenbroucke

Commissie Gezondheid 17 oktober 2023: 

Frieda Gijbels (N-VA):

Mijnheer de minister, mijn vraag gaat over de cyberveiligheid van ziekenhuizen. De digitalisering in de medische wereld is een goede zaak, maar het maakt ons wel kwetsbaar voor cyberaanvallen. Zo werd in augustus nog 127 gigabyte aan data van een ziekenhuis, waaronder patiëntengegevens en gegevens over zorgverstrekkers, gepubliceerd op het darknet.

In het verleden heb ik al vragen gesteld over de cyberveiligheid in ziekenhuizen en de beveiliging van gevoelige patiëntengegevens. Tijdens de covidcrisis werden ziekenhuizen tijdelijk ondersteund om hun gegevens extra te beveiligen. De oorlog in Oekraïne en dus in Europa is meer dan ooit ook een cyberoorlog en benadrukt nog eens het belang van de bescherming van onze gevoelige data.

Wat is de stand van zaken rond de cyberveiligheid van ziekenhuizen? Zijn er nieuwe initiatieven gepland om de beveiliging van gegevens te verbeteren? Is er een nieuwe risicoanalyse gebeurd met betrekking tot cyberaanvallen op ziekenhuizen? Welke conclusies zijn daaruit getrokken?

Hoe kan een ziekenhuis een datalek melden? Zijn deze meldingen verplicht? Op welke manier wordt dat opgevolgd? Bestaat het initiatief We Help our Hospitals nog?

Hoeveel incidenten zijn er gemeld sinds 2022? Kunt u verduidelijken welke gevolgen hieraan werden gegeven?

Op welke manier wordt voorkomen dat patiëntengegevens of instellingen van medische apparatuur die op het netwerk is aangesloten extern worden gewijzigd? Wordt dat actief opgespoord?

Is er een concrete dreiging of zijn er aanwijzingen dat Rusland of een andere mogendheid pogingen zou ondernemen om cyberaanvallen op Belgische ziekenhuizen uit te voeren?

Minister Frank Vandenbroucke:

In de periode 2022-2023 werd een budget van 20 miljoen euro ter beschikking gesteld voor de cybersecurity van de ziekenhuizen, aangevuld met een recurrent budget van 15 miljoen euro vanaf 1 juli 2023. Elk ziekenhuis heeft een evenredig deel gekregen. Een eerste actieplan is gedefinieerd met de Federale raad voor Ziekenhuisvoorzieningen. Er werd een maturiteitsmeting uitgevoerd, een prioriteitenlijst opgesteld en een projectcoördinator aangesteld. Verder werd ook een toolbox met materiaal voor creatie van awareness en incident response ter beschikking gesteld. Daarenboven is er ook een periodiek overleg met de sector en data protection officers van elk ziekenhuis.

Tegen 17 oktober 2024 moeten alle Europese lidstaten de nieuwe NIS2-richtlijnen in hun wetgeving hebben opgenomen. De NIS2-richtlijn zal gelden voor sectoren en organisaties die van vitaal belang zijn, zoals de gezondheidszorg. De bespreking van de omzetting in onze wetgeving loopt nog.

Er werd in 2022 een maturiteitsanalyse van de ziekenhuizen op het vlak van cybersecurity uitgevoerd. Op die basis wordt een aantal prioritaire thema's uitgewerkt door de FOD Volksgezondheid en het eHealthplatfom.

Ik geef u een beetje inkijk. De verbeterpunten zijn het crisismanagement, de operationele continuïteit van IT en van het ziekenhuis indien bepaalde IT-systemen uitvallen. Sommige ziekenhuizen zijn de voorbije jaren een of meerdere keren slachtoffer geweest van een poging tot cyberaanval. Op basis van die onfortuinlijke ervaringen hebben ze robuustere procedures voor crisisbeheer, gegevensback-ups en systeemisolatie ingevoerd. Bij ziekenhuizen met een hogere maturiteit is er reeds een bedrijfscontinuïteitsplan. Aandachtspunten blijven daar incidentdetectie en incidentrespons.

U vraagt hoe men een datalek meldt. Ziekenhuizen zijn nu niet verplicht om een incident te melden waarbij geen persoonsgegevens betrokken zijn, maar dat verandert met NIS2, omdat NIS2 voorziet in de oprichting van een verplichte melding bij cybersecurityincidenten. Ik moet wel opmerken dat standaard de CCB wordt ingelicht in het geval van diefstal van persoonsgegevens en ziekenhuizen verplicht zijn om de GBA en de slachtoffers op de hoogte te stellen.

We help out hospitals was een initiatief van een aantal securitybedrijven om ons te helpen tijdens de coronacrisis, met het CCB als coördinator. Ik denk niet dat dit gehandhaafd is. Er was ook geen contractuele relatie. Er was geen middelenverbintenis en ook geen resultaatsverbintenis.

U vraagt hoeveel incidenten er zijn gemeld sinds 2022. Dat ligt een beetje moeilijk, omdat er geen meldingsplicht is. Ik heb dus geen officiële gegevens. Ik kan u de volgende lijst geven van ziekenhuizen die, voor zover wij weten, slachtoffer zijn geworden van een aanval: het Sint-Andriesziekenhuis in januari 2022, CHU de Liège in mei 2022, Vivalia in mei 2022, CHC MontLégia in november 2023, het Sint-Pietersziekenhuis in maart 2023, CHR Sambre et Meuse in mei 2023. Dat zijn de gevallen waarvan ik weet heb, mevrouw Gijbels.

U vroeg ook hoe we zullen voorkomen dat patiëntengegevens extern worden gewijzigd. Elk ziekenhuis is gestart met data protection. Er wordt regelmatig overlegd met de DPO’s en met het e-Health platform om kennis en ervaring te delen. Het informatieveiligheidscomité speelt ook een rol bij het definiëren van de technische en organisatorische middelen die moeten worden gebruikt om datatransfers te beveiligen en privacy te verzekeren. CCB ondersteunt de ziekenhuizen en de rest van de medische sector bij cyberaanvallen, en de Belgische ziekenhuizen zijn ook opgenomen in het early warning system voor cyberdreigingen. Het kader dat wordt gecreëerd binnen het NIS2-overleg zal zeker ook bijdragen aan verhoogde maturiteit op het vlak van cybersecurity.

Uw laatste vraag. Op dit ogenblik hebben we geen concrete aanwijzingen met betrekking totdreigingen vanuit Rusland. CCB houdt de situatie nauwlettend in de gaten en zal, indien nodig, onmiddellijk via de bestaande kanalen concreet advies en instructies doorgeven aan degenen die risico lopen.

Frieda Gijbels (N-VA):

Mijnheer de minister, bedankt voor uw antwoord. We hebben geen zicht op het aantal aanvallen omdat er geen meldingsplicht van kracht is. Dat vind ik echt wel problematisch. Gespecialiseerde websites rapporteren elke dag wel een aanval op een ziekenhuisnetwerk, op ziekenhuissoftware. Dat moeten we volgens mij veel beter monitoren. Heel waarschijnlijk zitten aanvallers al in de systemen. Wellicht zijn er al aanvallen gebeurd waarvan men het bestaan niet kent. Het is dan maar een kwestie van tijd eer er zaken mislopen. Daar wil ik echt voor waarschuwen. We kunnen ons een cyberoorlog goed voorstellen en ziekenhuizen zullen altijd een kwetsbaar doelwit zijn, gelet op de aard van de activiteiten en de daar aanwezige patiëntengegevens.

Ik vind het goed dat er extra geld wordt uitgetrokken. Ik wil ook graag dat geëvolueerd wordt in hoeverre dat volstaat. Ziekenhuizen hebben het tegenwoordig namelijk al heel moeilijk om hun financiële situatie op punt te houden of te krijgen.

U zegt dat NIS2 binnenkort geïmplementeerd zal worden in onze wetgeving. Begrijp ik daarmee goed dat ziekenhuizen ook worden aangemeld als leverancier van essentiële diensten? Voor zover ik weet, is dat nu nog niet het geval, waardoor er ook geen meldingsplicht is. Mocht dat nog niet het geval zijn, dan dring ik er zeker op aan dat ziekenhuizen ook worden beschouwd als aanbieders van essentiële diensten, zodat de wetgeving dienaangaande ook voor hen van toepassing zal zijn.