Onbeveiligde websites van zorginstellingen

26-09-2017 | ict / data | 0 Reacties

In onder meer de eerder gepubliceerde artikelen “Wet cliëntenrechten bij elektronische verwerking van gegevens”, “Urgent onderwerp: de bescherming van persoonsgegevens” en “De ICT Commissaris” is erop gewezen op het belang van de bescherming van persoonsgegevens en de noodzaak om het bewustzijn daarvan nog verder te ontwikkelen. Het is zaak dat toezichthouders in de zorg nagaan of dat bewustzijn voldoende ter hand wordt genomen in de organisatie waarop zij toezicht houden. In dit artikel wordt aangeven dat toezichthouders nog werk te doen hebben. Wat dacht u van onbeveiligde websites!

Zoals ik eerder schreef moeten organisaties, om de bescherming van persoonsgegevens in het algemeen te waarborgen, voldoende passende technische en organisatorische maatregelen nemen. Dat brengt met zich mee dat, om de bescherming van bijzondere persoonsgegevens (waaronder vooral moet worden gedacht aan medische gegevens) te waarborgen, voor extra waarborgen moet worden gezorgd.

Onbeveiligde websites in de zorg

Met dit in het achterhoofd is de uitkomst van een onderzoek dat de meerderheid van websites van zorginstellingen geen veilige https-verbinding heeft, schrikbarend te noemen. Van de 22.393 onderzochte websites blijkt slechts 1/3 een verbinding te ondersteunen die ervoor zorgt dat het websiteverkeer versleuteld wordt.

Het draait allemaal om beveiligingscertificaten, die op een juiste wijze geïnstalleerd moeten zijn om een verhoogde beveiliging te bieden aan het gebruik van de website. Vervolgens moet de website op de juiste wijze zijn ingesteld om ervoor te zorgen dat bij het gebruik ervan een beveiligde verbinding wordt afgedwongen. Gebeurt dat niet dan loopt de bezoeker, zonder het te weten, de nodige risico’s.

HTTPS maakt onbeveiligde websites veiliger

Bij gebruik van een website via een https-adres worden de daarop uitgewisselde gegevens versleuteld. Op die manier zal het voor een buitenstaander (lees: hacker) onmogelijk moeten zijn om te achterhalen welke gegevens verstuurd worden. Bovendien zorgt een https-verbinding ervoor dat de integriteit van de informatie wordt gecontroleerd, waarmee het aanpassen van de uitgewisselde gegevens niet mogelijk is.

Hoewel het enigszins gerust stemt dat ruim 75% van de websites van ziekenhuizen en 66% van die van huisartsen een https-verbinding ondersteunen en dat bij meer dan 60% van beide https wordt afgedwongen, scoren andere categorieën zorginstellingen die percentages bij lange na niet.

Onbeveiligde websites en online formulieren

Tot slot is daarbij nog gebleken dat verschillende zorgaanbieders op de onbeveiligde websites online formulieren aanbieden. Via deze websites worden meerdere bijzondere persoonsgegevens (waaronder zelfs bsn-nummers, die enkel onder zeer strikte en wettelijk zeer beperkte voorwaarden verwerkt mogen worden) opgevraagd en op deze websites (zonder https) zijn online formulieren te vinden voor het aanvragen van (herhaal)recepten en voor het stellen van vragen.

De conclusie is dat in de zorg het bewustzijn van het belang van de bescherming van (bijzondere) persoonsgegevens nog niet volledig is ingedaald. Toezichthouders in de zorg wordt dan ook geadviseerd om de resultaten van het genoemde onderzoek aan te grijpen en na te gaan of de bescherming van (bijzondere) persoonsgegevens in de eigen organisatie voldoende is gewaarborgd. Mocht dat niet het geval zijn, dan is het zaak om de verantwoordelijken erop aan te spreken en alsnog de maatregelen te nemen voor de veilige uitwisseling van persoonsgegevens.

Het is zowel aan de bestuurders als aan de toezichthouders van de zorginstellingen om er voor te zorgen dat de beveiliging van (bijzondere) persoonsgegevens, onder meer die persoonsgegevens die via websites worden uitgewisseld, tijdig vóór 25 mei 2018 (de datum van inwerkingtreding van de Algemene Verordening Gegevensbescherming) op orde is.

Ruben Veenhuysen is advocaat sinds 2001 en is gespecialiseerd in het Internationaal contractenrecht, intellectuele eigendomsrecht en het privacyrecht. Op deze gebieden staat hij ondernemingen, instellingen en overheden bij. .

Ruben Veenhuysen
Advocaat Thuis & Partners

linkedin email telefoon043-3521397

0 reacties

Een reactie versturen

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Share This