Ruim een derde van de websites van ziekenhuizen is slecht beveiligd. Dat blijkt uit onderzoek van Women in Cybersecurity (WICS), waar Trouw over schrijft. Dat is een Nederlands netwerk van vrouwen die werkzaam zijn in de computerbeveiliging. Ze bekeken 97 ziekenhuissites.
Bij een kwart van de sites ontbreekt een beveiligde verbinding zelfs helemaal, waardoor gegevens die een patiënt op een webformulier invult, onversleuteld worden verstuurd.
Een website met een beveiligde verbinding herken je aan het groene slotje links boven de pagina. Voor het webadres staat bovendien de aanduiding https, in plaats van http. De beveiligde verbinding moet voorkomen dat gegevens door hackers te onderscheppen zijn, omdat data versleuteld worden verstuurd.
Boete
Is de beveiliging niet op orde, waardoor informatie wordt gelekt, dan kan het ziekenhuis een boete krijgen. Gaat het om 'bijzondere persoonsgegevens', bijvoorbeeld over iemands geloof of gezondheid, dan is de versleuteling verplicht. Met die categorie heeft een ziekenhuis al snel te maken: als een klachtenformulier op de website wordt ingevuld
met daarin een relaas naar aanleiding van een bezoek aan een arts, dan kan dat wat zeggen over iemands gezondheid.
Women in Cybersecurity vindt dat een ziekenhuis, dat met zoveel privacygevoelige informatie te maken heeft, computerbeveiliging als prioriteit moet zien.
Al eerder trokken ze aan de bel: uit onderzoek bleek dat ziekenhuizen intern heel slordig zijn met computers en digitale apparatuur. Inlogcodes en wachtwoorden die op een post-it worden geschreven tot verouderde beveiliging van medische apparatuur.
'Beveiligingsproblemen zitten in alle vaten van het ziekenhuis', zegt Mary-Jo de Leeuw, bestuurslid van WICS, in Trouw.
25 sites niet beveiligd
Van de 97 sites die WICS onderzocht, bleken er 25 geen beveiligde verbinding te hebben.
Namen en shamen:
Het OLVG West (voorheen Sint Lucas Andreas Ziekenhuis) in Amsterdam.
Het St. Antonius Ziekenhuis in de regio Utrecht.
Beide ziekenhuizen zeggen dat de beveiliging binnenkort op orde zal zijn.
Het Admiraal de Ruyterziekenhuis met vestigingen in Zeeland laat weten dat de beveiliging van de site afgelopen woensdag een update heeft gekregen, nadat het geattendeerd werd op de slechte beveiliging.
Tip: vul je iets in op de website van een ziekenhuis, kijk dan ten minste of er https voor het webadres staat en zo’n slotje in de adresbalk zichtbaar is. Bij twijfel: vragen!
Vragen? Stel ze!
Heb je nog vragen of wil je reageren? Stuur ons dan hier een berichtje in onze chat. Elke donderdag vertellen we in de Doe mee-nieuwsbrief wat we met alle reacties doen. Wil je die in je mail? Meld je dan hier aan.