Hijink had de vragen op 17 januari ingediend, nadat een ICT-storing de zorg van twee ziekenhuizen in Alkmaar en Den Helder ernstig verstoord had. Hijink wilde van Bruins onder meer weten hoe het kon dat er - zoals èen IT-expert in de media had gesteld -geen plan B ofwel noodscenario was om de gevolgen van een ICT-storing te beperken. Ook vroeg Hijink of de minister vond dat alle ziekenhuizen dergelijke noodscenario's moeten hebben en of bekend was bij welke ziekenhuizen dat (nog) niet het geval is.
Het ging om twee ziekenhuizen van de Noordwest Ziekenhuisgroep. De ICT-storing vond plaats op 15 januari 2019. Als gevolg van de storing was geen toegang tot het EPD. Operaties en andere behandelingen konden niet doorgaan, maar afzeggen was ook niet mogelijk: er was geen toegang tot de benodigde contactgegevens. Het gevolg was dat mensen onverrichter zake naar het ziekenhuis kwamen, zelfs als zij een operatie of bijvoorbeeld een bestraling tegen kanker zouden ondergaan.
Passende maatregelen
De bewindsman benadrukte in zijn antwoord diverse malen dat ziekenhuizen in eerste plaats zelf verantwoordelijk voor de ICT-voorzieningen en de toegankelijkheid van gegevens, maar ook dat ICT-storingen nooit volledig voorkomen kunnen worden. 'Ze moeten passende maatregelen nemen om weerbaar te zijn tegen cyberaanvallen en om computerstoringen zoveel mogelijk te voorkomen. Ze moeten ook kunnen optreden en adequaat handelen wanneer een incident of storing zich voordoet.'
Zorginstellingen moeten zich onder meer houden aan de Nederlandse normen voor informatieveiligheid in de zorg - NEN-norm 7510. De getroffen Noordwest ziekenhuisgroep had desgevraagd aan Bruins laten weten dat ze over een noodscenario als onderdeel van Integraal Crisisbeleid beschikken dat direct na de ICT-storing ook in werking is getreden. Het doel van dit noodscenario is het vastleggen van het handelen en het inzichtelijk maken van alternatieven, in geval van uitval van systemen.
Zorgcontinuïteit
De Inspectie Gezondheidszorg en Jeugd (IGJ) is verantwoordelijk voor toezicht op het gebied zorgcontinuïteit, stelt Bruins, onder meer bij e-health. Bij inspecties komt aan de orde welke voorzieningen en plannen aanwezig zijn om op storingen te kunnen reageren. 'Belangrijk is dan dat de zorgverlening op een verantwoorde wijze wordt voortgezet (met tijdelijke maatregelen op het gebied van bijvoorbeeld dossierinzage) dan wel op een gecontroleerde manier tijdelijk wordt gestaakt met minimale gevolgen voor patiënten.'
Momenteel loopt er een onderzoek naar de digitale veiligheid van ziekenhuizen, uitgevoerd door de Onderzoeksraad voor de Veiligheid (OVV). Uit informatie die Bruins van de OVV ontving, blijkt dat in het lopende onderzoek naar de digitale veiligheid in de ziekenhuizen vooral wordt gekeken naar hoe ziekenhuizen storingen en misbruik van informatietechnologie proberen te voorkomen. Ook wordt gekeken in hoeverre zij voorbereid zijn om de gevolgen daarvan te beperken.
Afhankelijk van de uitkomsten van het OVV-onderzoek, dat ik verwacht in kwartaal drie van dit jaar, bezie ik of/welke acties nodig zijn om risico’s op ICT-storingen in ziekenhuizen te mitigeren', zo besluit Bruins.
Impact storingen groeit
De afgelopen jaren bleek uit ICT-storingen bij een reeks ziekenhuizen dat de impact op de ziekenhuiszorg steeds groter wordt. Dat gebeurde in 2018 onder meer bij Amsterdam UMC-locatie VUmc (oktober), het IJsselland (juni), het RadboudUMC en het CWZ (januari) en in 2017 onder andere bij de Elisabeth-locatie van het ETZ. In de meeste gevallen was het EPD niet langer beschikbaar en moesten behandelingen uitgesteld worden. Ook was vaak een opnamestop het gevolg en werd soms de spoedeisende hulp gesloten.
