Uw profiel is aangemaakt

U heeft een e-mail ontvangen met een activatielink. Vergeet niet binnen 24 uur uw profiel te activeren. Veel leesplezier!

Ziekenhuizen beveiligen sites niet goed

samenleving

Kristel van Teeffelen

Ziekenhuizen hebben te weinig beveiliging op hun website. © anp
Privacy

Patiënten moeten bij een op de drie ziekenhuizen hun gegevens via een slechtbeveiligde verbinding versturen. Ruim een derde van de websites van ziekenhuizen is slecht beveiligd. Bij een kwart van de sites ontbreekt een beveiligde verbinding zelfs helemaal, waardoor gegevens die een patiënt op een webformulier invult onversleuteld worden verstuurd.

Dat de beveiliging van de sites bij zoveel ziekenhuizen niet goed is geregeld, laat zien dat be­vei­li­gings­pro­ble­men in alle vaten van het ziekenhuis zitten

Mary-Jo de Leeuw, bestuurslid WICS

Het risico bestaat dat de data op straat komen te liggen. Dat blijkt uit onderzoek van Women in Cybersecurity (WICS). Het Nederlandse netwerk van vrouwen die werkzaam zijn in de computerbeveiliging bekeek 97 ziekenhuissites.

Een website met een beveiligde verbinding herken je aan het groene slotje links bovenaan de pagina. Voor het webadres staat bovendien de aanduiding https, in plaats van http. De beveiligde verbinding moet voorkomen dat gegevens door hackers te onderscheppen zijn, omdat data versleuteld worden verstuurd. Dat is ook de reden dat bijvoorbeeld Google beveiligde sites voorrang geeft bij de zoekresultaten. Het bedrijf wil daarmee een goede beveiliging stimuleren.

Boete

Zowel door het Nationaal Cyber Security Centrum, (onderdeel van het ministerie van veiligheid en justitie), als de privacywaakhond Autoriteit Persoonsgegevens (AP) wordt het gebruik van https geadviseerd als een website bezoekers vraagt om privégegevens in te vullen. Is de beveiliging niet op orde, waardoor informatie wordt gelekt, dan kan een boete volgen.

Gaat het om 'bijzondere persoonsgegevens', bijvoorbeeld over iemands geloof of gezondheid, dan is de versleuteling verplicht. Met die categorie heeft een ziekenhuis al snel te maken: als een klachtenformulier op de website wordt ingevuld met daarin een relaas naar aanleiding van een bezoek aan een arts, dan kan dat wat zeggen over iemands gezondheid.

Sinds vorig jaar zijn organisaties verplicht om een melding te maken bij de AP als persoonsgegevens gelekt zijn. De zorgsector deed dat vorig jaar het vaakste: bijna dertig procent van de 5500 meldingen kwam uit de zorg. Het is onbekend of er daarbij sprake is geweest van een lek door een slechte beveiliging op de site. De privacywaakhond maakt verder geen details bekend.

Lees verder na de advertentie

WICS

Voor Women in Cybersecurity maakt dat geen verschil. Een ziekenhuis, dat met zoveel privacygevoelige informatie te maken heeft, zou computerbeveiliging als prioriteit moeten zien. WICS trok eerder al aan de bel vanwege digitale risico's in ziekenhuizen zelf - van inlogcodes en wachtwoorden die op een post-it bij een computer staan geschreven, tot verouderde beveiliging van medische apparatuur.

Het onderzoek naar websites is het vervolg daarop. "Dat de beveiliging van de sites bij zoveel ziekenhuizen niet goed is geregeld, laat zien dat beveiligingsproblemen in alle vaten van het ziekenhuis zitten", zegt Mary-Jo de Leeuw, bestuurslid van WICS. De organisatie heeft melding gemaakt bij de privacywaakhond van de bevindingen.

Van de 97 sites die WICS onderzocht, bleken er 25 geen beveiligde verbinding te hebben. Het OLVG West (voorheen Sint Lucas Andreas Ziekenhuis) in Amsterdam is er daar één van. Het ziekenhuis erkent dat het een zwak punt is, maar zegt dat op het moment dat de site werd gebouwd zo'n versleuteling nog niet standaard was. Ook het St. Antonius Ziekenhuis in de regio Utrecht erkent het risico van het ontbreken aan een https-verbinding, maar het zegt te wachten op de nieuwe site die het eerste kwartaal van dit jaar live moet gaan.

Maar ook bij sites die op het eerste gezicht wel beveiligd zijn, was er in elf gevallen iets mis. Zo bleek de beveiliging verouderd, waardoor die alsnog kwetsbaar is voor hackers. Het Admiraal de Ruyterziekenhuis met vestigingen in Zeeland laat weten dat de beveiliging van de site afgelopen woensdag een update heeft gekregen, nadat het geattendeerd werd op de slechte beveiliging.

Het ziekenhuis erkent dat er vertrouwelijke patiëntgegevens worden verstuurd via een webformulier op de site. Maar er zijn volgens een woordvoerder 'geen indicaties' dat er via dat formulier gegevens zijn gelekt.

Trouw.nl is vernieuwd. Vanaf nu is onbeperkte toegang tot Trouw.nl alleen voor (proef)abonnees.

Deel dit artikel

Advertentie
Dat de beveiliging van de sites bij zoveel ziekenhuizen niet goed is geregeld, laat zien dat be­vei­li­gings­pro­ble­men in alle vaten van het ziekenhuis zitten

Mary-Jo de Leeuw, bestuurslid WICS

Wilt u dit artikel verder lezen?

Maak vrijblijvend een profiel aan en krijg gratis 2 maanden toegang tot Trouw.nl.

Het e-mailadres bij dit profiel is nog niet bevestigd. Een link om te bevestigen kun je vinden in je inbox.
Ben je de link kwijt? Vraag hier een nieuwe aan.

Ongeldig e-mailadres

Wachtwoord is niet correct

tonen

Wachtwoord komt niet overeen

tonen

U moet akkoord gaan met de gebruiksvoorwaarden

Wij gaan vertrouwelijk om met uw gegevens. Lees onze privacy statement.