Een derde websites ziekenhuizen onvoldoende beveiligd

zo 8 januari 2017 - 11:05
Nieuws

Opnieuw ophef over onvoldoende beveiliging van patiëntgegevens door ziekenhuizen. Ditmaal betreft het een artikel in Trouw waarin staat dat ruim een derde van de websites van ziekenhuizen slecht beveiligd is. Bij een kwart van de sites ontbreekt een beveiligde verbinding volledig, waardoor gegevens die een patiënt op een webformulier invult onversleuteld worden verstuurd.

Dat brengt het risico met zich mee dat data van patiënten door bijvoorbeeld hackers gestolen kan worden of op andere manier op de spreekwoordelijke straat kan komen te liggen, aldus onderzoek van Women in Cybersecurity (WICS). Dit Nederlandse netwerk van vrouwen, werkzaam in de ICT-beveiliging, bekeek 97 ziekenhuissites.

Trouw citeerde eind november ook al uit onderzoek van WICS, destijds in het kader van de ruim 300 bij de Autoriteit Persoonsgegevens gemelde datalekken door ziekenhuizen. Eind december bleek dat bijn 30 procent van alle in 2016 gemelde datalekken afkomstig was van organisaties uit de gezondheidszorg (ook zorgverzekeraars), zo melde KPMG.

Beveiligde verbinding

Een website met een beveiligde verbinding is te herkennen aan het groene slotje links bovenaan de pagina. Voor het webadres staat verder de aanduiding https, in plaats van http. Zo’n beveiligde verbinding moet voorkomen dat gegevens door hackers te onderscheppen zijn, omdat data versleuteld worden verstuurd.

Zowel het Nationaal Cyber Security Centrum, (onderdeel van het ministerie van veiligheid en justitie), als Autoriteit Persoonsgegevens (AP) adviseren het gebruik van https geadviseerd als een website bezoekers vraagt om privégegevens in te vullen. Is de beveiliging niet op orde, waardoor informatie wordt gelekt, dan kan een boete volgen. Gaat het om 'bijzondere persoonsgegevens', bijvoorbeeld over iemands geloof of gezondheid, dan is de versleuteling verplicht. Dit geldt al snel voor ziekenhuizen. Als bijvoorbeeld een klachtenformulier op de website wordt ingevuld met daarin een relaas naar aanleiding van een bezoek aan een arts, dan kan dat wat zeggen over iemands gezondheid.

Computerbeveiliging prioriteit

Women in Cybersecurity stelt tegenover Trouw dat het niet uitmaakt wat de oorzaak is van een datalek zoals die vorig jaar gemeld zijn bij de AP. Een ziekenhuis, dat met zoveel privacygevoelige informatie te maken heeft, zou computerbeveiliging als prioriteit moeten zien. WICS kwam al eerder naar buiten met een waarschuwing over digitale risico's in ziekenhuizen - van inlogcodes en wachtwoorden die op een post-it bij een computer staan geschreven, tot verouderde beveiliging van medische apparatuur. Het onderzoek naar websites volgde hier op.

"Dat de beveiliging van de sites bij zoveel ziekenhuizen niet goed is geregeld, laat zien dat beveiligingsproblemen in alle vaten van het ziekenhuis zitten", zegt Mary-Jo de Leeuw, bestuurslid van WICS. De organisatie heeft melding gemaakt bij de privacywaakhond van de bevindingen.

Nog niet standaard

Van de 97 door WICS onderzochte sites van ziekenhuizen, hadden er 25 geen beveiligde verbinding. Het OLVG West (voorheen Sint Lucas Andreas Ziekenhuis) in Amsterdam is er één van. Het ziekenhuis erkent dat het een zwak punt is, maar zegt dat op het moment dat de site werd gebouwd zo'n versleuteling nog niet standaard was. Ook het St. Antonius Ziekenhuis in de regio Utrecht erkent het risico van het ontbreken aan een https-verbinding, maar het zegt te wachten op de nieuwe site die het eerste kwartaal van dit jaar live moet gaan.

Ook bij sites die op het eerste gezicht wel beveiligd zijn, was er in elf gevallen een probleem. Zo bleek beveiliging soms verouderd, waardoor de site alsnog kwetsbaar is voor hackers. Het Admiraal de Ruyterziekenhuis, met vestigingen in Zeeland, stelt  dat de beveiliging van de site afgelopen woensdag een update heeft gekregen, nadat het geattendeerd werd op de slechte beveiliging. Het ziekenhuis erkent dat er vertrouwelijke patiëntgegevens worden verstuurd via een webformulier op de site. Maar er zijn volgens een woordvoerder 'geen indicaties' dat er via dat formulier gegevens zijn gelekt.

Slechte beveiliging websites huisartsen

Niet alleen bij ziekenhuizen is de beveiliging van websites vaak niet op orde, dat geldt ook voor huisartsen, zo bleek eind december uit een inventarisatie van RTLZ. Bij bijna één op de drie dokterspraktijken waar het mogelijk is voor mensen om zich online in te schrijven of een herhaalrecept aan te vragen, worden privégegevens niet beveiligd. Daarmee overtreden ze de Nederlandse privacywet, zo bleek uit onderzoek onder ruim 300 dokterspraktijken.

Overigens is het volgens ander recent onderzoek onmogelijk om beveiliging van medische gegevens waterdicht te krijgen. Incidenten met het verlies van data – door een hack of door menselijke fouten – zijn niet te voorkomen. Ook staan vertrouwelijkheid en de beschikbaarheid van gegevens soms op gespannen voet met elkaar, aldus een studie van PBLQ in een onderzoek naar de beveiliging van patiëntgegevens.

De meeste zorginstellingen zijn de afgelopen jaren wel meer aandacht gaan besteden aan informatiebeveiliging en privacybescherming. Ook is de bewustwording bij instellingen op beide gebieden toegenomen.  Het onderzoek  is uitgevoerd in opdracht van minister Schippers van Volksgezondheid, Welzijn en Sport (VWS), nadat verschillende incidenten met patiëntgegevens aan het licht kwamen.