Twee derde zorginstellingen versleutelt webverbinding niet

Twee derde van de zorginstellingen versleutelen hun webverbinding niet. Dat blijkt uit onderzoek van de Open State Foundation. Met name verloskundigen, thuiszorg, fysiotherapie en geestelijke gezondheidszorg hebben hun webverkeer over het algemeen niet versleuteld. Dat is een zorgwekkende ontwikkeling, zeker met de komst van nieuwe privacywetgeving AVG, ofwel GDPR in het achterhoofd.

Lees Blog

Het is tegenwoordig een goede gewoonte: je website aan bezoekers aanbieden via een versleutelde verbinding. Zorginstellingen en apothekers doen dat vooralsnog grotendeels niet, zo blijkt uit onderzoek van de Open State Foundation. Dat baart zorgen: bezoekers worden op deze manier onnodig blootgesteld aan privacyrisico’s.

HTTPS verkleint kans op datalek

Met zogeheten HTTPS-verbinding kunnen webbeheerders hun website versleuteld aanbieden. Dat verkleint de kans dat derden het verkeer tussen de bezoeker en de site kunnen onderscheppen.

Zeker bij contact- en aanmeldformulieren is een HTTPS-verbinding cruciaal. Zorginstellingen verzamelen op deze manier niet zelden persoonsgegevens.

Zonder versleutelde verbinding is het onderscheppen van deze data geen ingewikkelde exercitie. Een datalek komt op dan wel erg dichtbij. Hackers kunnen dan vrij eenvoudig bij zaken als BSN-nummers, herhaalrecepten en andere privacygevoelige persoonsgegevens.

Bezochte pagina’s

Ook voor websites die alleen informatie aanbieden is HTTPS geen overbodige luxe. Een derde persoon zou zonder een versleutelde verbinding kunnen achterhalen welke pagina’s iemand bezocht heeft. Dergelijke informatie is, zeker in de gezondheidsbranche, beslist gevoelig.

Ziekenhuizen en huisartsen doen het relatief goed: respectievelijk 68 en 61 procent van die instellingen dwingt wel een beveiligde verbinding af. Toch liggen ook deze percentages nog niet op het gewenste niveau. In een privacygevoelige branche als de gezondheidszorg moet het versleutelen van de webverbinding een minimumvereisten zijn.

Reactie Patiëntenfederatie Nederland

De Patiëntenfederatie Nederland laat in de pers weten geschokt te zijn door de onderzoeksresultaten. Volgens de federatie mag je verwachten dat kwetsbare patiëntgegevens veilig worden opgeslagen. Het feit dat dit niet gebeurt, is een kwalijke zaak, aldus de directeur van de organisatie.

Het implementeren van HTTPS op websites is beslist geen kostbare of ingewikkelde zaak. Het vereist een certificaat, dat al voor enkele tientjes per jaar kan worden afgenomen. De vereiste technische aanpassingen aan een website zijn beperkt en bovendien vaak relatief eenvoudig.

Meer werk aan de winkel

De installatie van HTTPS is echter niet het enige dat veel zorgorganisaties moeten doen voor een betere bescherming van privacygevoelige persoonsgegevens. Veel organisaties moeten daarnaast een keur aan technische en organisatorische maatregelen doorvoeren eer een veilige dataomgeving een feit is.

Zorginstellingen dragen een grote verantwoordelijkheid als het gaat om de bescherming van persoonsgegevens. Zij verwerken doorgaan medische gegevens, data die de wet kenmerkt als bijzondere persoonsgegevens. Deze data verdienen extra bescherming, omdat een lek ervan ernstige consequenties kan hebben voor de betrokkene. Denk aan een werkgever, die een sollicitant weigert omdat het heeft gezien dat de betrokkene rugklachten of een astmatische aandoening heeft. Of denk aan een tienermoeder, die op school gepest wordt omdat haar medeleerlingen erachter zijn gekomen dat ze een abortus heeft laten plegen. Dergelijke zaken zijn zeer ongewenst en kunnen nog grote emotionele en financiële schade aanrichten.

Wettelijke verplichting

Naast de morele plicht om dergelijke data goed te beschermen, hebben zorgorganisaties ook een wettelijke verplichting om hun zaakjes hieromtrent op het droge te hebben. De huidige nationale privacywetgeving, maar zeker de toekomstige Algemene Verordening Gegevensbescherming (AVG) ofwel General Data Protection Regulation (GDPR), stelt allerlei eisen aan deze bescherming. Zorgorganisaties moeten ‘passende technische en organisatorische maatregelen’ nemen om de gevoelige persoonsgegevens afdoende te beschermen.

Dat blijkt in de praktijk vaak een flinke dobber. De sector digitaliseert in hoog tempo, maar de aandacht voor en kennis rondom privacy en security zijn niet navenant gestegen. Lang niet alle zorginstellingen zijn compliant met de privacywetgeving, en zijn (te) haastig omgesprongen met de transitie naar digitale gegevensverwerking. Het IT-park bestaat vaak uit verouderde systemen, met besturingssystemen die al even niet meer worden voorzien van veiligheidsupdates.

Personeel is ook een risicofactor

Daarnaast zijn medewerkers ook een potentiële risicofactor. Digitalisering is nooit hun core business geweest, en alle ontwikkelingen hieromtrent kunnen ze om begrijpelijke redenen niet altijd goed bijbenen. Dat vraagt om extra training en bewustwording, bijvoorbeeld rondom de omgang met webmail, social media, mobiele datadragers, veilige wifi-verbindingen en gebruik van het Elektronisch Patiëntendossier (EPD). Personeel dat achteloos op links klikt, bijlagen bij e-mails opent of medische dossiers via webmail verstuurt, zo allerlei technische en organisatorische veiligheidsmaatregelen weer teniet.

Ondertussen zijn de risico’s alleen maar gestegen. Datalekken kunnen voor enorme vertrouwensbreuk zorgen, en bovendien deelt de wetgevende macht onder de vlag van de AVG hoge boetes uit aan organisaties die aantoonbaar laks zijn omgesprongen met de beveiliging van persoonsgegevens. Dat is niet alleen een dreigmiddel: de wetgevende macht is niet te beroerd om die hoge boetes van honderdduizenden tot miljoenen euro’s ook daadwerkelijk op te leggen.

YourSafetynet helpt

Een compliancetraject richting een veilige dataprivacyomgeving dat voldoet aan de eisen van de AVG wordt door besturen van zorgorganisaties vaak gezien als duur, ingewikkeld en kostbaar. Toch hoeft dat beslist niet het geval te zijn. YourSafetynet stelt een turn-key softwareoplossing beschikbaar waarmee zorgorganisaties kosteneffectief en relatief eenvoudig aan de privacywetgeving kunnen voldoen. Meer informatie vind je op de webpagina ‘Wat is YourSafetynet?’

YourPrivacy Zorg

YourPrivacy

YourSafetynet heeft onlangs het magazine YourPrivacy uitgegeven. Deze editie richt zich geheel op privacyproblematiek in de zorgsector, datalekken en compliance-issues met de AVG. Het magazine is kosteloos en zonder enige verplichting te downloaden.

Stap-voor-stap: Google Analytics AVG-vriendelijk

Google Analytics is veruit de meestgebruikte oplossing voor het bijhouden van webstatistieken. De oplossing is echter niet vanzelf AVG-compliant. Daarvoor moet je een aantal instellingen aanpassen. Wij laten zien hoe je dat aanpakt.

Privacymaatregelen? Vergeet het papier niet

Met de deadline voor de AVG / GDPR in het vooruitzicht zijn veel bedrijven druk doende met de noodzakelijke voorbereidingen. Daarbij focussen velen enkel op de digitale datahuishouding en is papier een ondergeschoven kindje. Dat kan allerlei vervelende gevolgen hebben en leidt in ieder geval niet tot volledige compliance.

Op Weg Naar De GDPR - Whitepaper YourSafetynet

Whitepaper:
Op weg naar de GDPR

Inmiddels is de nieuwe privacywetgeving AVG een feit. Wat moet je weten? Wat moet je regelen? Onze uitgebreide whitepaper vertelt je alles.

Aanmelden nieuwsbrief

Blogs en artikelen over dataprivacy, IT-beleid, de privacywetgeving en aanverwante onderwerpen. Blijf up-to-date en laat je niet verrassen.

Je bent succesvol aangemeld voor onze nieuwsbrief!

YourSafetynet Folder

De 4 pijlers van YourSafetynet

Voldoen aan de AVG duur, tijdrovend en ingewikkeld? Niet met YourSafetynet. Onze totaaloplossing maakt jouw organisatie 100% AVG-proof. Zonder ingewikkeld gedoe. Download de 4 pijlers van YourSafeynet.

Bedankt voor je aanvraag. Check je e-mail... ook de SPAM-box. Binnen een paar minuten ontvang je een bericht.

Share This