Een groot aantal websites van zorgaanbieders gebruikt nog steeds geen veilige HTTPS-verbinding (waarbij een slotje zichtbaar is bij het internetadres). Dat brengt digitale transparantie-organisatie Open State Foundation naar buiten. De conclusies zijn gebaseerd op cijfers van het online dashboard Pulse (pulse.openstate.eu). Van de 22.393 onderzochte websites van zorgaanbieders ondersteunt slechts een derde een verbinding die ervoor zorgt dat het websiteverkeer versleuteld wordt.
"Onder meer de geestelijke gezondheidszorg, verloskundigen, thuiszorg en fysiotherapie doen het niet goed", zegt Arjan El Fassed van de Open State Foundation in een toelichting tegenover de NOS. Minder dan een kwart van de websites in die sectoren dwingt een veilige verbinding af. "Dat betekent dat kwaadwillende zouden kunnen meelezen."
Meelezen is al een privacy-risico wanneer websites gewoon informatie aanbieden, omdat kwaadwillende partijen dan kunnen zien welke pagina's iemand bezoekt. Ook partijen zoals Google en Facebook kunnen daar al heel veel persoonlijke gegevens uit halen zoals geslacht, religie, voorkeuren. Websites van verloskundigen, ggz-aanbieders en thuiszorg scoren het slechtst. Die van ziekenhuizen en huisartsen het best.
Bij gebruik van HTTPS worden de gegevens versleuteld, waardoor het voor een buitenstaander, bijvoorbeeld iemand die afluistert, onmogelijk zou moeten zijn om te weten welke gegevens verstuurd worden. Daarnaast controleert HTTPS op de integriteit van de informatie zodat aanpassing van de uitgewisselde gegevens niet mogelijk is.
Vooral verloskundigen, aanbieders van geestelijke gezondheidszorg en de thuiszorg scoren dus slecht. Bij hen ondersteunt slechts 34 procent van de website HTTPS. Bij minder dan een derde van deze onderzochte websites wordt HTTPS afgedwongen. Ook websites van fysiotherapeuten (30%) en aanbieders van paramedische zorg (24%) scoren laag.
Bij apotheken gaat het beter. Iets minder dan de helft van de onderzochte websites van apotheken ondersteunt HTTPS, waar bij 45 procent dit wordt afgedwongen. Bij websites voor tandartsen, mondhygiënisten en aanbieders van gehandicaptenzorg is dit bijna 40 procent. Bij 33 procent van deze websites wordt HTTPS daarnaast ook afgedwongen.
Bij 68 procent van de websites van ziekenhuizen en 61 procent van de onderzochte websites van huisartsen wordt HTTPS afgedwongen. Van de 161 onderzochte websites van aanbieders van jeugdzorg ondersteunt 56 procent een HTTPS-verbinding, maar minder dan 37 procent van de domeinen dwingt HTTPS af.
Via deze online formulieren wordt gevraagd naar persoonsgegevens (bijvoorbeeld bsn nummers) en medische gegevens (bijvoorbeeld aandoeningen, laatste menstruatie). Ook zijn op deze websites zonder HTTPS online formulieren te vinden voor het aanvragen van (herhaal)recepten en voor het stellen van vragen. Een potentiële goudmijn dus voor hackers.
De privacytoezichthouder heeft de afgelopen jaren al meer waarschuwingen uitgedeeld naar aanleiding van slechte beveiliging van zorgwebsites. Tomesen stelt nu dat sancties de volgende stap kunnen zijn. "Het is ons al jaren menens. Dwangboetes liggen desnoods klaar, maar dat zou eigenlijk niet nodig moeten zijn. Wij zijn ervoor om dit te handhaven."
De branchevereniging van fysiotherapeuten, een van de sectoren die er slecht uit komt, noemt het beeld dat het onderzoek van de Open State Foundation schetst 'herkenbaar' en' onwenselijk'. De collectieve branchevereniging van de zorg wilde niet reageren op een verzoek van de NOS.
"Onder meer de geestelijke gezondheidszorg, verloskundigen, thuiszorg en fysiotherapie doen het niet goed", zegt Arjan El Fassed van de Open State Foundation in een toelichting tegenover de NOS. Minder dan een kwart van de websites in die sectoren dwingt een veilige verbinding af. "Dat betekent dat kwaadwillende zouden kunnen meelezen."
Meelezen is al een privacy-risico wanneer websites gewoon informatie aanbieden, omdat kwaadwillende partijen dan kunnen zien welke pagina's iemand bezoekt. Ook partijen zoals Google en Facebook kunnen daar al heel veel persoonlijke gegevens uit halen zoals geslacht, religie, voorkeuren. Websites van verloskundigen, ggz-aanbieders en thuiszorg scoren het slechtst. Die van ziekenhuizen en huisartsen het best.
39% onderzochte websites ondersteunt HTTPS
Om precies te zijn: gemiddeld 39 procent van de onderzochte websites van zorgaanbieders ondersteunt HTTPS. Van de 8.637 zorgwebsites met een HTTPS-verbinding blijkt dat dit bij 1.786 niet wordt afgedwongen waardoor bezoekers alsnog onnodig risico’s lopen bij 69 procent van de zorgsites. Zo kunnen op de website ingevulde patiëntgegevens eenvoudig gestolen worden.Bij gebruik van HTTPS worden de gegevens versleuteld, waardoor het voor een buitenstaander, bijvoorbeeld iemand die afluistert, onmogelijk zou moeten zijn om te weten welke gegevens verstuurd worden. Daarnaast controleert HTTPS op de integriteit van de informatie zodat aanpassing van de uitgewisselde gegevens niet mogelijk is.
Vooral verloskundigen, aanbieders van geestelijke gezondheidszorg en de thuiszorg scoren dus slecht. Bij hen ondersteunt slechts 34 procent van de website HTTPS. Bij minder dan een derde van deze onderzochte websites wordt HTTPS afgedwongen. Ook websites van fysiotherapeuten (30%) en aanbieders van paramedische zorg (24%) scoren laag.
Bij apotheken gaat het beter. Iets minder dan de helft van de onderzochte websites van apotheken ondersteunt HTTPS, waar bij 45 procent dit wordt afgedwongen. Bij websites voor tandartsen, mondhygiënisten en aanbieders van gehandicaptenzorg is dit bijna 40 procent. Bij 33 procent van deze websites wordt HTTPS daarnaast ook afgedwongen.
Ziekenhuizen, huisartsen beste beveiliging
Websites van ziekenhuizen en huisartsen zijn het meest beveiligd. Ruim 75 procent van de 108 onderzochte websites van ziekenhuizen ondersteunen een HTTPS-verbinding. Van 3.475 websites van huisartsen ondersteunt 66 procent een HTTPS-verbinding.Bij 68 procent van de websites van ziekenhuizen en 61 procent van de onderzochte websites van huisartsen wordt HTTPS afgedwongen. Van de 161 onderzochte websites van aanbieders van jeugdzorg ondersteunt 56 procent een HTTPS-verbinding, maar minder dan 37 procent van de domeinen dwingt HTTPS af.
Online formulieren potentiële goudmijn
Uit een steekproef van de onderzochte websites blijkt verder dat verschillende zorgaanbieders op onbeveiligde websites online formulieren aanbieden. Zo zijn er aanmeldings- en inschrijfformulieren te vinden op onbeveiligde websites van huisartsen, apotheken, verloskundigen en aanbieders van geestelijke gezondheidszorg.Via deze online formulieren wordt gevraagd naar persoonsgegevens (bijvoorbeeld bsn nummers) en medische gegevens (bijvoorbeeld aandoeningen, laatste menstruatie). Ook zijn op deze websites zonder HTTPS online formulieren te vinden voor het aanvragen van (herhaal)recepten en voor het stellen van vragen. Een potentiële goudmijn dus voor hackers.
Versleuteling verplicht bij online formulieren
Als sites van zorginstellingen een contact- of aanmeldingsformulier hebben, dan moet de verbinding sowieso versleuteld worden, aldus adjunct-voorzitter Wilbert Tomesen van privacy-toezichthouder Autoriteit Persoonsgegevens. Veel zorginstellingen hebben volgens hem een contact- of aanmeldingsformulier waar mensen bijvoorbeeld herhaalrecepten kunnen achterlaten of een afspraak kunnen maken. "De inhoud daarvan kan heel veel zeggen over jou als persoon. Dat geldt ook voor websites die alleen maar informatie aanbieden. De zorgaanbieder moet ervoor zorgen dat dit veilig kan."De privacytoezichthouder heeft de afgelopen jaren al meer waarschuwingen uitgedeeld naar aanleiding van slechte beveiliging van zorgwebsites. Tomesen stelt nu dat sancties de volgende stap kunnen zijn. "Het is ons al jaren menens. Dwangboetes liggen desnoods klaar, maar dat zou eigenlijk niet nodig moeten zijn. Wij zijn ervoor om dit te handhaven."
Brancheorganisaties geschokt
De Patiëntenfederatie Nederland is geschokt door de bevindingen. "Je mag toch verwachten dat kwetsbare patiëntgegevens veilig worden opgeslagen. Dat blijkt in een zeer groot aantal gevallen niet zo te zijn. Dat is kwalijk", zegt directeur Dianda Veldman. Uit zelf gepubliceerd onderzoek van de Patiëntenfederatie blijkt overigens dat de helft van de Nederlandse ziekenhuizen nog geen ziekenhuisportaal aanbiedt voor informatie-uitwisseling of communicatie met patiënten.De branchevereniging van fysiotherapeuten, een van de sectoren die er slecht uit komt, noemt het beeld dat het onderzoek van de Open State Foundation schetst 'herkenbaar' en' onwenselijk'. De collectieve branchevereniging van de zorg wilde niet reageren op een verzoek van de NOS.
