Websites ziekenhuizen niet goed beveiligd

Websites van ziekenhuizen zijn slecht beveiligd. Een deel heeft verouderde of helemaal geen beveiliging. Juist organisaties die medische informatie opslaan en beheren, moeten hier zorgvuldig mee omgaan. Anders overtreden zij de privacywet.

10 januari 2017 | Door redactie

Ruim een derde van de onderzochte websites van ziekenhuizen heeft geen beveiligde verbinding om persoonsgegevens te versturen en 10% beschikt over verouderde beveiliging. Dat zou blijken uit onderzoek van Women in Cybersecurity (WICS) naar 97 websites. Bij ongeveer een derde van de sites die zijn bekeken werden persoonsgegevens (bijvoorbeeld via ingevulde klachtenformulieren) verstuurd via een onbeveiligde verbinding. De problemen deden zich niet alleen bij kleinere ziekenhuizen voor; ook bij grote ziekenhuizen werd gebrekkige beveiliging geconstateerd. Dat maakt ze kwetsbaar voor een datalek.

Extra regels voor gevoelige persoonsgegevens

Volgens de Wet bescherming persoonsgegevens (WBP) zijn medische gegevens gevoelige persoonsgegevens. De verwerking van dit soort gegevens moet op een passende manier worden beveiligd, zodat de informatie niet in verkeerde handen kan vallen. Voor bijzondere persoonsgegevens (tool), zoals over ras, gezondheid en geloofsovertuiging, gelden extra strenge regels. Organisaties die persoonsgegevens opslaan en verwerken moeten dit melden bij de Autoriteit Persoonsgegevens. Uitzonderingen hierop staan in het Vrijstellingsbesluit WBP.

Beveiligde verbinding verplicht

Het versturen van gevoelige persoonsgegevens, zoals gegevens over de gezondheid, via internet moet verplicht gebeuren via een beveiligde verbinding. Bij een beveiligde verbinding staan de letters ‘https’ voor de url (webadres) en staat er een groen slotje links bovenaan de pagina. Een beveiligde verbinding voorkomt dat hackers persoonsgegevens kunnen buitmaken; de gegevens worden dan immers versleuteld verstuurd.