Twee op de drie sites van zorginstellingen en apotheken zorgen niet voor een veilige verbinding. Dat blijkt uit onderzoek van de Open State Foundation onder ruim 22.000 sites van zorginstellingen. Zo’n beveiligde verbinding is te herkennen aan een slotje in de browser.

“Onder meer de geestelijke gezondheidszorg, verloskundigen, thuiszorg en fysiotherapie doen het niet goed”, zegt Arjan El Fassed van de Open State Foundation. Minder dan een kwart van de websites in die sectoren dwingt een veilige verbinding af. “Dat betekent dat kwaadwillenden zouden kunnen meelezen”, aldus El Fassed.

Ziekenhuizen en huisartsen doen het relatief goed: respectievelijk 68 en 61 procent van die instellingen dwingt wel een beveiligde verbinding af.

Meelezen is al een privacy-risico als websites enkel informatie aanbieden, omdat kwaadwillenden dan mogelijk kunnen zien welke pagina’s een internetter bezoekt. Als sites van zorginstellingen een contact- of aanmeldingsformulier hebben, dan moet de verbinding sowieso versleuteld worden, zegt adjunct-voorzitter Wilbert Tomesen van de Autoriteit Persoonsgegevens.

Als je persoonsgegevens verwerkt, moet je ervoor zorgen dat niemand anders mee kan kijken.

Vicevoorzitter Wilbert Tomesen van de Autoriteit Persoonsgegevens

In dat geval zouden kwaadwillenden gevoelige informatie als herhaalrecepten, BSN-nummers en verwijsbriefjes kunnen onderscheppen. “Als je persoonsgegevens verwerkt, moet je ervoor zorgen dat niemand anders mee kan kijken”, aldus Tomesen. “Doe je dat niet, dan is dat in strijd met de wet.”

De privacywaakhond heeft zorginstellingen al vaker gewaarschuwd dat ze gegevens goed moeten beveiligen, en hint er nu op actie te ondernemen. “Het is ons al jaren menens. Dwangboetes liggen desnoods klaar, maar dat zou eigenlijk niet nodig moeten zijn”, aldus Tomesen. “Wij zijn ervoor om dit te handhaven.”

Veel zorginstellingen hebben een contact- of aanmeldingsformulier waar mensen herhaalrecepten kunnen achterlaten of een afspraak kunnen maken. “De inhoud daarvan kan heel veel zeggen over jou als persoon”, zet Tomesen. “Dat geldt ook voor websites die alleen maar informatie aanbieden. De zorgaanbieder moet ervoor zorgen dat dit veilig kan.”

Nu wel geregeld

Een van de zorgorganisaties die tot voor kort een onbeveiligde verbinding had, is GGZ-instelling Lievegoed. “Nu is onze website beveiligd”, zegt Hans Kompanje, de privacy officer van die instelling. “Tot voor kort was dat niet zo”, geeft Kompanje toe.

Wie doen het slecht?

1. Fysiotherapie (20% dwingt veilige verbinding af)

2. Thuiszorg (23%)

3. Geestelijke gezondheidszorg (23%)

4. Verloskundigen en kraamzorg (25%)

5. Medische klinieken (26%)

“We hebben op onze website een mogelijkheid voor patiënten om zich aan te melden”, zegt Kompanje. Informatie die via dat formulier werd verzonden, was tot afgelopen maandag onversleuteld en kon worden onderschept. Na melding van de NOS werd de verbinding ingesteld, maar volgens Kompanje stond dat al op de planning.

Kompanje wordt ingehuurd door zorginstellingen om de beveiliging op te schroeven. Bij andere zorginstellingen ziet hij hetzelfde, zegt hij. “Veel zorginstellingen zijn zich niet bewust van de gevaren”, zegt Kompanje. “Wat ze vergeten, is dat ze heel vaak persoonsgegevens van patiënten verwerken.”

Het Lievegoed kwam de onveilige verbinding op het spoor bij de voorbereidingen op een nieuwe, Europese privacywet die volgend jaar ingaat. In het kader van die wet moeten zorginstellingen een privacy officer als Kompanje instellen, al kan een onbeveiligde verbinding ook volgens de huidige wet al niet door de beugel.

“Je moet volgens de wet persoonsgegevens adequaat beveiligen”, aldus ict-jurist Arnoud Engelfriet. “De nieuwe wet verandert daar eigenlijk niet zoveel aan. Met medische gegevens staat buiten kijf dat gegevens versleuteld moeten zijn.”

Andere zorginstellingen zijn nog niet zo ver als het Lievegoed. Zo heeft zorginstelling in de regio Alkmaar nog een onbeveiligd formulier online staan, waar onder meer wordt gevraagd naar psychische aandoeningen en het gebruik van medicatie.

“Ik geloof niet dat onze zorginstelling geen beveiliging heeft”, reageert een manager van de zorginstelling verbaasd.

Dit is kwalijk.

Directeur Dianda Veldman van de Patiëntenfederatie

De Patiëntenfederatie Nederland is geschokt door de bevindingen, laat een woordvoerder weten. “Je mag toch verwachten dat kwetsbare patiëntgegevens veilig worden opgeslagen. Dat blijkt in een zeer groot aantal gevallen niet zo te zijn. Dat is kwalijk”, zegt directeur Dianda Veldman.

Wifi-hotspots

Kwaadwillenden zouden kunnen meekijken als ze op de een of andere manier toegang kunnen krijgen tot de internetverbinding van een slachtoffer. Dat kan bijvoorbeeld op openbare wifi-hotspots, waar iedereen het internetverkeer kan onderscheppen. Wanneer een site goed versleuteld is, is dat praktisch onmogelijk.

De branchevereniging van fysiotherapeuten, een van de sectoren die er slecht uit komt, noemt het beeld dat het onderzoek van de Open State Foundation schetst ‘herkenbaar’ en’ onwenselijk’. De collectieve branchevereniging van de zorg wilde niet reageren op een verzoek van de NOS.

Eerder onderzocht de Open State Foundation de beveiligde verbinding van overheidssites. Slechts 44 procent ondersteunde een beveiligde verbinding. Inmiddels is dat 66 procent.

HTTPS of HTTPS-afgedwongen?

Van de zorgsites dwingt 30,6 procent een beveiligde verbinding af. Toch heeft een groter percentage een beveiligde verbinding: 38,5 procent. Dat komt doordat niet alle websites de verbinding ook echt afdwingen: dat betekent dat niet iedereen automatisch op de veilige versie terechtkomt. Mensen moeten handmatig naar de veilige versie, wat veel mensen niet zullen doen.

Soms is een deel van de website wel beveiligd, en komen mensen daar ook automatisch terecht als ze naar dat deel surfen. Maar ook dat is een risico: hackers kunnen het onbeveiligde deel van de website manipuleren en zo voorkomen dat er een beveiligde verbinding wordt opgezet. Van de privacywaakhond moet dan ook de hele website worden versleuteld als er persoonsgegevens worden verwerkt.

Bron: Meerderheid zorgsites onbeveiligd, privacy-autoriteit dreigt met boetes | NOS