Nadat afgelopen maand Kamervragen werden gesteld rondom datalekken bij ziekenhuizen, is de beveiliging binnen ziekenhuizen deze week wederom in opspraak.
Uit een onderzoek van Women in Cybersecurity (WICS) is gebleken dat het slecht is gesteld met de beveiliging van ziekenhuiswebsites. Ziekenhuizen verwerken grote hoeveelheden gegevens van patiënten via webformulieren op hun websites. Een derde van deze websites blijkt slecht te zijn beveiligd en bij een kwart wordt er zelfs geen gebruik gemaakt van beveiligde internetverbindingen. Patiëntgegevens kunnen hierdoor gemakkelijk worden ontvreemd.
Iedereen die gebruik maakt van het internet zal het in zijn webbrowser hebben zien staan: “http:/”. Http staat voor ‘Hypertext Transfer Protocol’ en is kort gezegd een techniek die wordt gebruikt om informatie te versturen over het internet. Naast ‘http’ wordt ook steeds vaker gebruikt gemaakt van ‘https’. Anders dan bij een http-verbinding worden bij een https-verbinding gegevens versleuteld verzonden. Deze beveiligde verbinding, herkenbaar aan het groene slotje links bovenaan de pagina, dient te voorkomen dat gegevens in verkeerde handen terecht komen.
Volgens de Autoriteit Persoonsgegevens (hierna: AP) moet eenieder er op kunnen vertrouwen dat de veiligheid van zijn persoonsgegevens voldoende wordt gewaarborgd. De AP raadt het gebruik van een https-verbinding aan in het geval van verwerking van privé-gegevens via een website. Wanneer het gaat om verwerking van bijzondere persoonsgegevens, zoals ras, geloof en gezondheid, is beveiliging verplicht. Ziekenhuizen zullen snel te maken hebben met deze verwerking van bijzondere persoonsgegevens en zijn dus vaak verplicht gebruik te maken van een https-verbinding.
Uit het onderzoek van WICS blijkt dat van de 97 onderzochte ziekenhuiswebsites er 25 geen beveiligde verbinding hebben. Bij elf andere websites waar op het eerste oog niets mis bleek te zijn, is de beveiliging verouderd en hierdoor toch kwetsbaar voor hackers.
Ziekenhuizen erkennen het probleem en zeggen bezig te zijn met de verbetering en vernieuwing van hun websites. Ook de Nederlandse Vereniging van Ziekenhuizen laat weten aan een oplossing te werken. Met het geld dat minister Schippers in oktober 2016 beschikbaar heeft gesteld voor het digitaal toegang krijgen van patiënten tot hun ziekenhuisgegevens moet het mogelijk zijn de veiligheid van websites te verbeteren.
Of de slechte beveiliging van de websites van ziekenhuizen tot de eerder genoemde datalekken heeft geleid is nog onduidelijk. WICS heeft melding gemaakt van haar bevindingen bij de AP.
Met dank aan Mirli Devilee.