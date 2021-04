Minister van Volksgezondheid Frank Vandenbroucke (Vooruit): ‘Naar aanleiding van recente cyberaanvallen is de overheid opnieuw in overleg gegaan met de sector van de ziekenhuizen en de laboratoria om de cyberveiligheid te verhogen.'

België heeft nagelaten om ziekenhuizen te bestempelen als ‘aanbieders van essentiële diensten’ die beschermd moeten worden tegen cyberaanvallen. Dat vernam De Tijd. Minister van Volksgezondheid Frank Vandenbroucke (Vooruit) wil de situatie herbekijken en de cyberbeveiliging van de ziekenhuizen verbeteren.

Een Waals ziekenhuis, het Centre Hospitalier de Wallonie picarde (CHwapi) in Doornik, kreeg op een zondagavond in januari een cyberaanval te verduren die 80 computerservers aantastte en vergrendelde. Een honderdtal medische ingrepen moest worden uitgesteld. Cyberexperts uit Lille moesten het ziekenhuis uit de nood helpen. Het was een nachtmerrie in volle coronacrisis.

De essentie Een Europese richtlijn van 2016 verplicht alle Europese lidstaten om 'aanbieders van essentiële diensten' in zes sectoren, zoals de gezondheidszorg, beter te beschermen tegen cyberaanvallen.

De lijst met essentiële diensten is vertrouwelijk, maar er blijkt geen enkel ziekenhuis op de Belgische lijst te staan.

Het incident legt een belangrijk pijnpunt bloot. Het ziekenhuis was niet officieel aangeduid als een ‘aanbieder van essentiële diensten’. Daardoor was het ziekenhuis niet eens verplicht het incident te melden aan de federale overheid via het daarvoor opgerichte platform. Via zo’n melding kunnen instellingen die wel zijn bestempeld als aanbieders van essentiële diensten meteen aangeven of ze hulp nodig hebben van de federale cyberspecialisten van Cert.be. Die dienst maakt deel uit van het Centrum Cybersecurity België (CCB), dat onder de eerste minister valt.

In 2016 verplichtte een Europese richtlijn de lidstaten om alle essentiële instellingen en bedrijven in zes sectoren te beschermen tegen cyberaanvallen: energie, vervoer, financiën, drinkbaar water, de digitale infrastructuur en de gezondheidszorg. In mei 2019 werden de regels gepubliceerd in het Belgisch Staatsblad. De zogenoemde NIS-wet voor de beveiliging van netwerk- en informatiesystemen moest garanderen dat de aanbieders van essentiële diensten alle incidenten meteen melden, en alle technische en organisatorische beveiligingsmaatregelen nemen om incidenten te voorkomen of de impact ervan te beperken, om zo 'de veiligheid en continuïteit van het leven van de Belgische burgers en ondernemingen te verzekeren'.

Dode

De Belgische lijst met aanbieders van essentiële diensten is vertrouwelijk, maar een rondvraag bevestigt ons vermoeden dat ons land geen enkel ziekenhuis heeft aangeduid als aanbieder van essentiële diensten. Dat bevestigt Wendy Lee, de woordvoerster van de federale overheidsdienst Volksgezondheid. ‘Als een ziekenhuis om welke reden dan ook niet operationeel is, kan dat opgevangen worden door andere ziekenhuizen. De sector zal overeind blijven. Het juridische kader voor de bescherming van ziekenhuizen tegen cyberaanvallen is dat van eHealth. Dat omvat bepalingen over de cyberbeveiliging, urgentieplannen, een waarschuwingsnetwerk,… Het is geldig voor alle ziekenhuizen in België, ongeacht het type. Om die redenen werden ziekenhuizen in ons land niet opgenomen onder de NIS-richtlijn.’

Vinden ze dat ook een wijze beslissing bij het CCB? ‘De gezondheidssector valt wel degelijk onder de NIS-richtlijn. Maar het was telkens aan de sectorale overheid - in dit geval de minister van Volksgezondheid - om specifieke entiteiten aan te wijzen als aanbieders van essentiële diensten. Daar kunnen wij niet op reageren’, zegt woordvoerster Katrien Eggers. 'Het CCB respecteert de beslissing en keuzes van die overheden. De onderhandelingen waren voor bepaalde sectoren ingewikkeld om zeer uiteenlopende redenen.’

Een rapport van de Europese Commissie legde in december vorig jaar de vinger op de wonde dat sommige lidstaten - zonder namen te noemen - amper instellingen uit de gezondheidszorg op hun lijst hebben gezet. Terwijl een andere lidstaat zo ver ging naast alle ziekenhuizen ook alle dokterspraktijken op zijn lijst te zetten. Het rapport laat er geen twijfel over bestaan dat op z’n minst de grote ziekenhuizen onder het systeem zouden moeten vallen. Zeker tijdens de coronacrisis waren ze het doelwit van cyberaanvallen. Er viel een dode bij een cyberaanval op een ziekenhuis in Düsseldorf in september vorig jaar. Het rapport waarschuwt ook dat de gezondheidssector minder goed beveiligd is dan bijvoorbeeld de banken.

Coronacrisis

Minister van Volksgezondheid Frank Vandenbroucke (Vooruit) zegt in een reactie dat hij de situatie wil verbeteren. ‘Naar aanleiding van de recente cyberaanvallen is de overheid - zowel Volksgezondheid, Sciensano als het eHealthplatform - opnieuw in overleg gegaan met de sector van de ziekenhuizen en de laboratoria, en werden een aantal instrumenten aangereikt om de cyberveiligheid te verhogen. Sinds begin dit jaar wordt de richtlijn NIS-2 besproken. Binnen dit kader willen we tot een aanpak komen op maat van de ziekenhuissector.’