Ziekenhuizen onvoldoende aandacht voor privacy

wo 23 januari 2019 - 14:31
Laptop-vrouw-zoeken
Privacy
Nieuws

Nederlandse ziekenhuizen nemen privacy onvoldoende serieus. Dat zou blijken uit onderzoek van datacenteraanbieder BIT. De organisatie onderzocht de websites van 73 ziekenhuizen op gebruik van TLS, DNSSEC, IPv6 en Google Analytics. Van de onderzochte ziekenhuizen is er volgens BIT maar één die voldoet aan de genoemde internetstandaarden. Wel maakt deze partij gebruik van Google Analytics, waardoor privacy alsnog niet wordt gewaarborgd.

In 2016 en 2017 was er veel ophef over beveiliging en privacy-waarborgen van ziekenhuiswebsites. Zo zou bij een kwart van de ziekenhuissites een beveiligde verbinding volledig ontbreken volgens dagblad Trouw begin 2017. Dat zou betekenen dat informatie die een patiënt via een webformulier invult, volledig onversleuteld verstuurd worden. Gaat het om ‘bijzondere persoonsgegevens’, bijvoorbeeld over iemands geloof of gezondheid, dan is de versleuteling verplicht. Dit geldt al snel voor ziekenhuizen. Overigens bleek in december 2016 dat ook de websites van huisartsen onvoldoende beveiligd zijn. En in augustus 2017 dreigde de Autoriteit Persoonsgegevens met sancties wanneer er niet snel verbetering zou komen. Destijds stelde Open State Foundation dat er een half jaar na de eerdere publicaties nog niets veranderd was.

Onvoldoende beveiliging

De medische wereld heeft ook twee jaar later nog stappen te zetten met betrekking tot beveiliging en andere internetprotocollen, concludeert BIT. Van de onderzochte ziekenhuizen maakt bijvoorbeeld 60 procent geen of onvolledig gebruik van TLS, oftewel het gebruik van HTTPS (HyperText Transfer Protocol Secure). Met dit protocol wordt transport op het internet beveiligd. Van een deel van de organisaties biedt de website wel HTTPS aan, maar is dit niet volledig geconfigureerd. Bijna de helft (49%) gebruikt geen DNSSEC, een protocol dat doorverwijzingen naar frauduleuze websites kan voorkomen. Steeds meer ziekenhuizen bieden ook patiëntportalen aan via hun website, waarmee vaak zeer privacygevoelige informatie uitgewisseld kan worden. NVZ-woordvoerster Corine Bakker benadrukt dat het hier om gescheiden platforms gaat. "Een portaal is een apart systeem met andere eisen want dat gaat over medische informatie. Ziekenhuisportalen moeten voldoen aan de NEN7510, en dat doen ze."

'Geen aandacht voor privacy'

Bijna de helft (49%) van de ziekenhuizen gebruikt daarnaast Google Analytics, zo stelt Alex Bik, CTO bij BIT. Hij vindt het zeer opvallend dat bijna de helft van alle onderzochte ziekenhuizen Google Analytics gebruikt. Als consument mag je volgens Bik verwachten dat juist de medische wereld aandacht heeft voor privacy, maar dit blijkt niet het geval. "Door gebruik van Google Analytics worden gegevens aan Google gegeven. Doordat veel websites dit doen, kan Google een gedetailleerd profiel opstellen van de gebruiker in kwestie. Als je een Google-account hebt, weet het bedrijf wie je bent. Dat geldt ook als je niet meer ingelogd bent. Zeker in het geval van ziekenhuizen en zorgverzekeraars is dit een probleem, aangezien er vanuit kan worden gegaan dat je een pagina over bijvoorbeeld een zwangerschap of een soa niet zomaar bezoekt.” Het gebruik van GA is niet per definitie slecht, meent NVZ-woordvoerster Bakker. "Je moet het wel zorgvuldig inrichten. Bijvoorbeeld door een verwerkersovereenkomst af te sluiten en door de instellingen goed te configureren. Daar is aandacht voor, maar het kan voorkomen dat er wat wijzigt aan een website, bijvoorbeeld een update of vernieuwing, waardoor de instellingen opnieuw aangepast moeten worden. Daar moeten ziekenhuismedewerkers continu alert op zijn."