De beveiliging van medische gegevens

Frieda Gijbels (N-VA): Mijnheer de minister, tijdens een congres aan de Universiteit Antwerpen in september 2025 werd de aandacht gevestigd op de verplichting om wachtwoorden van minstens 12 tekens te gebruiken bij de toegang tot medische gegevens. Die regel vloeit voort uit een recente beslissing van de Gegevensbeschermingsautoriteit (GBA) en een nota van het Informatieveiligheidscomité. In een beslissing van 17 december 2024 heeft de geschillencommissie van de GBA wachtwoorden van zes tot acht tekens in een medische context als zwak bestempeld en gewezen op de de facto norm van minstens 12 tekens. Bovendien werden aanvullende maatregelen aanbevolen, zoals tweefactorauthenticatie, beperking van het aantal inlogpogingen, nauwkeurig toegangsbeheer en tracerbaarheid van raadplegingen. Ook nationale aanbevelingen, zoals via Safeonweb, volgen die logica. Ik heb daarover een aantal vragen voor u, want ik twijfel eraan of die norm overal wordt toegepast. Hoe zal de federale overheid erop toezien dat die nieuwe norm van minstens 12 tekens daadwerkelijk wordt toegepast in instellingen die medische gegevens verwerken of beheren? Hoe zal dat worden geïmplementeerd? Komt er een uniform kader of wordt het volledig overgelaten aan de zorginstellingen zelf? Wordt ten slotte gewerkt aan een gefaseerde invoering van extra veiligheidsmaatregelen, zoals die tweefactorauthenticatie en het verfijnen van toegangsrechten, zodat zorginstellingen zich daarop kunnen voorbereiden?

Minister Frank Vandenbroucke: Mevrouw Gijbels, de ziekenhuissector heeft geprofiteerd van een budgettaire inspanning van de overheid om de cyberbeveiliging te versterken. Voor de periode 2022-2023 werd een budget van 20 miljoen euro vrijgemaakt, en vanaf 2023 is er jaarlijks 15 miljoen euro uitgetrokken om het cyberprogramma te ondersteunen. Dat programma heeft tot doel verdere verlamming te voorkomen door ervoor te zorgen dat instellingen een evenwichtig niveau van cybermaturiteit bereiken. Naarmate de ziekenhuizen steeds meer met elkaar verbonden raken, hangt de veiligheid van de instellingen af van de zwakste schakel. Het is daarom van essentieel belang om zowel de minst geavanceerde instellingen als de instellingen die al een goed niveau van volwassenheid op het gebied van cyberbeveiliging hebben te ondersteunen. De prioriteiten die in samenwerking met de sector zijn vastgesteld, hebben betrekking op CSIRT (Computer Security Incident Response Team), cybersecurity awareness en information systems penetration testing. Het doel is de basis te leggen voor een continue en collectieve verbetering van de veerkracht en de veiligheid van de sector, alsook de data die ze beheren. Concreet moeten de Belgische ziekenhuizen tegen april 2026 en 2027 voldoen aan de vereisten van de NIS2-wet. Wachtwoordbeheer vormt een essentieel onderdeel van de beveiliging van informatiesystemen en maakt deel uit van de nalevingsvereisten die deze wet oplegt. De middelen die de overheid aan de sector heeft toegekend, in combinatie met deze nalevingsverplichting, zullen de ziekenhuissector aanmoedigen om dit aspect te versterken. 

Frieda Gijbels (N-VA): Dank u wel, mijnheer de minister. U had het over de ziekenhuissector. U gaf terecht aan dat de veiligheid afhankelijk is van de zwakste schakel in het netwerk. De ziekenhuizen zijn inderdaad steeds meer met elkaar verbonden, wat natuurlijk een goede zaak is voor de uitwisseling van gegevens. De ziekenhuizen zijn echter niet alleen onderling verbonden, ze zijn ook verbonden met ambulante praktijken. Ik vraag me dus af of daar niet mogelijk een probleem rijst. Ik meen dat men in de ambulante sector nog niet zo ver is, afgaand op mijn eigen praktijk en de praktijken van collega’s. Ik weet niet of men daar geïnformeerd is dat het van belang is om een wachtwoord veilig genoeg te maken. Dat lijkt misschien een detail, maar dat is het echt niet. Ik meen dat medische gegevens in de geopolitieke context die we vandaag kennen, met toch een heel onrustige sfeer, mogelijk een doelwit zijn. Ik ben voorstander van digitalisering, maar ze maakt ons als bevolking echt wel kwetsbaar. Ik vraag me af of er niet toch een bredere campagne moet komen, ook richting de ambulante sector, om die te informeren en te sensibiliseren inzake het belang van cyberveiligheid. Op zich is het iets vrij eenvoudigs, om dat wachtwoord sterker en veiliger te maken. Ik wil u vragen om er toch eens over na te denken of er een algemene campagne kan komen voor de volledige zorgsector. 

Bekijk hier het volledige fragment: https://media.dekamer.be/meeting/56-018849-U1073/fragment/7Bd-hlUby4mfl420jBW2rXOhK3snJnUg-RVC6exRFsCIijRcmgRzRKqpNalT6du9nkxZm43YYSI9La6JLQ_s7Jx-LRQHMf3YWFVaPQibt2g