Preview document (🔗 origineel)

---

27 529 Informatie- en Communicatietechnologie (ICT) in de Zorg

Nr.

INBRENG VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld …………. 2026

In de vaste commissie voor Volksgezondheid, Welzijn en Sport bestond bij enkele fracties behoefte een aantal vragen en opmerkingen voor te leggen aan de minister van Volksgezondheid, Welzijn en Sport over de brief van 4 december 2025 inzake Informatieveiligheid in de zorg (Kamerstuk 27 529, nr. 353).

De vragen en opmerkingen zijn op 26 januari 2026 aan de minister van Volksgezondheid, Welzijn en Sport voorgelegd. Bij brief van ………………. zijn de vragen beantwoord.

De fungerend voorzitter van de commissie,

Mohandis

Adjunct-griffier van de commissie,

Sjerp

Inhoudsopgave blz.

1. Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de D66-fractie

Vragen en opmerkingen van de leden van de VVD-fractie

Vragen en opmerkingen van de leden van de GroenLinks-PvdA-fractie

Vragen en opmerkingen van de leden van de PVV-fractie

Vragen en opmerkingen van de leden van de CDA-fractie

Vragen en opmerkingen van de leden van de BBB-fractie

2. Reactie van de minister

1. Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de D66-fractie

De leden van de D66-fractie hebben met belangstelling kennisgenomen van de brief van de minister over de ontwikkelingen op het gebied van informatieveiligheid in de zorgsector. Deze leden onderschrijven het grote belang van een veilig en betrouwbaar gezondheidsinformatiestelsel als randvoorwaarde voor goede, toegankelijke en toekomstbestendige zorg.

De leden van de D66-fractie lezen in de brief dat het gebruik van clouddiensten in de zorgsector steeds verder toeneemt en dat hiermee ook de afhankelijkheid van specifieke leveranciers groeit. Deze leden vragen of de minister zicht heeft op de mate waarin de Nederlandse zorgsector afhankelijk is van specifieke clouddiensten en leveranciers, in het bijzonder waar het gaat om cruciale infrastructuur zoals ziekenhuizen en spoedzorg. Kan de minister aangeven in hoeverre zorginstellingen in staat zijn om bij verstoringen of uitval van deze diensten zelfstandig te blijven functioneren? Worden dergelijke scenario’s structureel getest, bijvoorbeeld via continuïteitsplannen of crisisoefeningen, en welke lessen worden daaruit getrokken?

Deze leden begrijpen dat zorgaanbieders primair zelf verantwoordelijk zijn voor hun risicobeoordelingen en leverancierskeuzes. Tegelijkertijd vragen zij of de minister wil verkennen welke meer sturende en monitorende rollen voor het Rijk beschikbaar zijn om digitale afhankelijkheden in de zorg beter in beeld te brengen en te beheersen. Is de minister bereid te onderzoeken of sectorbrede monitoring van kritieke afhankelijkheden wenselijk is, en of bijvoorbeeld minimumeisen kunnen worden gesteld aan exit-strategieën en continuïteitsvoorzieningen bij het gebruik van clouddiensten?

De leden van de D66-fractie lezen in de brief dat het incident bij Clinical Diagnostics voor de Inspectie Gezondheidszorg en Jeugd (IGJ) aanleiding is om laboratoria nadrukkelijker in het toezicht te betrekken en dat eventuele specifieke risico’s die uit de lopende onderzoeken naar voren komen als aandachtspunt zullen worden meegenomen bij het toezicht in andere zorgsectoren. Deze leden benadrukken dat het hier gaat om een zeer ernstig incident waarbij gevoelige gegevens zijn buitgemaakt. Zij vragen de minister wat de huidige stand van zaken is van de onderzoeken naar dit incident en wanneer de Kamer hierover concreet zal worden geïnformeerd. Ook vragen zij hoe wordt geborgd dat eventuele structurele kwetsbaarheden die hieruit naar voren komen niet vrijblijvend worden opgevolgd, maar leiden tot duidelijke verbetermaatregelen.

Vragen en opmerkingen van de leden van de VVD-fractie

De leden van de VVD-fractie hebben met interesse kennisgenomen van de brief over de informatieveiligheid in de zorg. Ze hebben hierover enkele vragen.

In de brief die de minister op 4 december 2025 naar de Kamer heeft gestuurd, staan talloze bestuurlijke plannen omtrent dataveiligheid. De leden van de VVD-fractie onderschrijven het belang van dataveiligheid, maar erkennen ook de diversiteit en complexiteit ervan. Kan de minister reflecteren op het diverse en complexe beleid omtrent dataveiligheid? Acht hij de huidige “versnippering” gewenst?

De toegenomen veiligheidsdreiging moet volgens de leden van de VVD-fractie het hoofd worden geboden en zij zijn daarom verheugd te lezen dat de minister ambitieuze plannen heeft. Genoemde leden achten samenwerking essentieel in het realiseren van deze plannen. Zij hebben voorkeur in het bieden van vroegtijdige duidelijkheid richting zorgorganisaties over wat hen te wachten staat. Deze leden vragen of zorgorganisaties nog duidelijkheid ervaren over het huidige en toekomstige dataveiligheidsbeleid. De leden van de VVD-fractie vragen verder of er voor zorgorganisaties toegankelijke informatie beschikbaar is over het toekomstige beleid. Wordt toekomstig beleid verwerkt in de bestaande NEN normen?

De leden van de VVD-fractie lezen dat de IGJ een grote rol krijgt in het controleren van zorgorganisaties in het naleven van hun verplichtingen omtrent dataveiligheid. Deze leden lezen ook dat de IGJ hier meer middelen voor krijgt, maar vragen of de IGJ deze middelen ook toereikend acht. Kan de minister verduidelijken of hij overeenstemming had met de IGJ over de hoeveelheid extra financiële middelen?

De minister verwijst in de brief naar de invoering van de European Health Data Space-verordening (EHDS) bij het onderdeel “Bouwen aan een veilig gezondheidsinformatiestelsel”. In hoeverre ligt de invoering hiervan op schema? Wat is de huidige verwachting van de invoeringsdatum? De leden van de VVD-fractie vragen dit in verband met de nog steeds nadrukkelijke wens die zij hebben, gesteund door vrijwel het hele zorgveld en patiëntenorganisaties, om te komen tot een opt-out voor gegevensdeling voor de acute zorg en spoedeisende hulp. De minister heeft aangegeven hiermee te willen wachten tot de inwerkingtreding van de EHDS. Is de minister bereid, bij eventuele vertraging, de opt-out voor de acute zorg toch eerder mogelijk te maken? Genoemde leden merken daarbij overigens op dat zij nog steeds van mening zijn dat de opt-out voor de acute zorg op zo kort mogelijke termijn mogelijk moet zijn.

Bij het onderdeel “Inspelen op gewijzigd dreigingsbeeld en technologische ontwikkelingen” willen deze leden nog eens wijzen op de aangenomen motie Bushoff/Bevers “Bezien of bij fusies en overnames vanuit het buitenland van digitale zorginfrastructuur vergelijkbare voorwaarden gesteld kunnen worden als bij andere cruciale sectoren”, Kamerstuk 27 529, nr. 349. Kan de minister aangeven of hij het met de leden van de VVD-fractie de mening deelt dat het verzoek in de motie ook onderdeel is van de strategie ten aanzien de andere en grotere dreigingen die we wereldwijd zien op het gebied van dataveiligheid?

Vragen en opmerkingen van de leden van de GroenLinks-PvdA-fractie

De leden van de GroenLinks-PvdA-fractie hebben kennisgenomen van de brief over het thema van informatieveiligheid in de zorg. Zij hebben hierbij nog enkele vragen.

De leden van de GroenLinks-PvdA-fractie lezen dat zorgaanbieders primair verantwoordelijk zijn voor hun informatiebeveiliging en dat de rol van de overheid vooral ondersteunend en stimulerend is. Zij maken zich echter zorgen, gelet op de nieuwsberichten en casuïstiek waarbij de informatieveiligheid niet op orde is. Acht de minister het houdbaar om informatiebeveiliging in de zorg hoofdzakelijk als een onderdeel van de bedrijfsvoering van individuele zorgaanbieders te blijven beschouwen, zeker gelet op het feit dat het falen van dergelijke systemen directe gevolgen heeft voor patiënten en eventueel de (continuïteit van) zorg? Kan nader worden toegelicht welke concrete rol u voor uzelf ziet weggelegd in het voorkomen en reageren op cyberaanvallen? Kan de minister tevens nader reflecteren op de balans tussen de marktwerking in zorg-ICT en de publieke regie op informatieveiligheid, mede in het licht van ketenafhankelijkheden?

De leden van de GroenLinks-PvdA-fractie lezen tevens dat er nog verschillende onderzoeken lopen naar de hack en het datalek bij Clinical Diagnostics en dat toegezegd wordt dat de Kamer doorlopend op de hoogte wordt gehouden over deze situatie en de maatregelen die zijn, en mogelijk nog, worden getroffen. Kan nader worden toegelicht welke maatregelen tot op heden zijn getroffen naar aanleiding van de hack?

De leden van de GroenLinks-PvdA-fractie lezen dat de naleving van de NEN 7510 norm (de Nederlandse norm voor informatiebeveiliging in de zorg) al jaren tekortschiet, ondanks wettelijke verplichtingen en toezicht door de IGJ. Kan nader toegelicht worden hoeveel zorgaanbieders op dit moment aantoonbaar wel voldoen aan NEN 7510, uitgesplitst naar sector en omvang? Hoe reflecteert de minister op het feit dat naleving pas na meerdere toezichtcycli en verbetertrajecten op niveau komt, terwijl er ondertussen reële risico’s bestaan voor patiënten?

De leden van de GroenLinks-PvdA-fractie lezen dat kleine zorgaanbieders vaker moeite hebben met de naleving van de normen en verplichtingen. Kan nader toegelicht worden hoe wordt voorkomen dat kleine zorgaanbieders onevenredig worden belast door de cumulatie van verplichtingen uit NEN normen, de Cyberbeveiligingswet (Cbw), de Wet elektronische gegevensuitwisseling in de zorg (Wegiz) en de European Health Data Space-verordening (EHDS)? Kan tevens nader toegelicht worden hoe zij hierin ondersteund zouden kunnen worden?

De leden van de GroenLinks-PvdA-fractie maken zich ten slotte ernstige zorgen over de grote afhankelijkheid van vaak niet-Europese cloud- en ICT-leveranciers in de zorg. Zij hechten veel waarde aan digitale autonomie, zeker in tijden van grote onzekerheid. Is de minister bereid om, in lijn met eerdere Kameruitspraken, het gebruik van Europese en open source-oplossingen actiever te stimuleren?

Vragen en opmerkingen van de leden van de PVV-fractie

De leden van de PVV-fractie hebben kennisgenomen van de brief van de minister over informatieveiligheid in de zorg en hebben hierover nog enkele vragen.

Wanneer ontvangt de Kamer verdere informatie over het onderzoek naar de hack bij het lab Clinical Diagnostics? Welke gevolgen heeft de Cyberbeveiligingswet (Cbw) voor het zorgveld?

De minister heeft voor naleving van de NEN 7510 norm voor kleinere zorginstellingen een quickscan beschikbaar gesteld. In hoeverre wordt daar gebruik van gemaakt? Hoe brengt de minister kleinere instellingen van het bestaan hiervan op de hoogte? Welke redenen geeft de IGJ voor ondermaatse naleving van de normen? Verschillende die per zorgveld?

De minister gaat een verkenning doen naar het centraal en uniform beschikbaar maken van hulpmiddelen voor informatiebeveiliging. Wanneer kan de Kamer hiervan resultaat verwachten?

Vragen en opmerkingen van de leden van de CDA-fractie

De leden van de CDA-fractie hebben kennisgenomen van de brief van de minister over informatieveiligheid in de zorg en hebben hierover nog enkele vragen.

Naar aanleiding van paragraaf 2.2.1 Cyberbeveiligingswet (Cbw). De leden van de CDA-fractie constateren dat de Cyberbeveiligingswet (Cbw) grote impact gaat hebben en veel zal vragen van organisaties, niet in het minst van zorgaanbieders. Deze leden vragen of de minister wil toelichten wat de gevolgen zijn van de Cyberbeveiligingswet voor zorgaanbieders en of er specifieke uitdagingen zijn in de implementatie voor zorgaanbieders. Zo ja, dan vragen deze leden hoe de minister deze punten adresseert. Genoemde leden zijn benieuwd naar de ministeriële regeling voor de zorg, en vragen wanneer deze naar verwachting naar de Kamer komt en welke elementen deze regeling bevat.

Naar aanleiding van paragraaf 2.4 Toezicht. De leden van de CDA-fractie lezen dat de IGJ constateert dat de naleving van NEN normen door zorgaanbieders achterblijft. Los van de acties van de minister om zorgaanbieders te ondersteunen vragen deze leden ook naar de rol van de IGJ. Zij vragen hoe de IGJ hiermee omgaat en of en zo ja, de IGJ extra inzet op handhaving of andere interventies. Ook vragen deze leden welke andere sectoren, naast de ziekenhuiszorg, gehandicaptenzorg en ouderenzorg aandacht krijgen van de IGJ.

Naar aanleiding van paragraaf 3.2.1 Digitale autonomie. De leden van de CDA-fractie maken zich zorgen over de snel opvolgende geopolitieke ontwikkelingen, die het belang van digitale autonomie alleen maar meer benadrukken. Zij vragen of de minister dit deelt en zo ja, of het dan voldoende is de sector op te roepen dit in hun afwegingen mee te nemen. Zoals de minister terecht aangeeft, is zorgverlening vaak kritieke dienstverlening die niet kan wachten. Deze leden vragen daarom wat de minister van VWS specifiek doet om bij zorg-IT-systemen digitaal autonomer te worden. Zij vragen of de minister nader wil toelichten waarom hij niet een meer dwingend kader aan de sector wil meegeven. Zij vragen wat de minister doet om in het cloudbeleid specifiek aandacht te besteden aan de zorgsector, vanwege het cruciale publieke belang.

De leden van de CDA-fractie vragen tot slot naar het advies van de Autoriteit Consument & Markt (ACM) over het verbeteren van de zorg-ICT-markt. Deze leden vragen of de minister deelt dat een betere ICT-markt, met minder afhankelijkheid van enkele leveranciers ook bijdraagt aan informatieveiligheid in de zorg. Deze leden vragen of de minister wil ingaan op de aanbevelingen van de ACM uit januari 2025.

Vragen en opmerkingen van de leden van de BBB-fractie

De leden van de BBB-fractie hebben kennisgenomen van de brief over informatieveiligheid in de zorg. Genoemde leden hebben geen vragen aan de minister.

2. Reactie van de minister