Beveiliging ziekenhuiswebsites schiet tekort

De websites van het Martiniziekenhuis en het UMCG zijn onvoldoende beveiligd. Bij het Martiniziekenhuis kon je tot vrijdagmiddag afgekeken worden bij het invullen van een klachtenformulier met medische informatie.

Na een vraag van onder andere RTV Noord, heeft het ziekenhuis de beveiliging snel aangepast.

Kwart van ziekenhuizen onbeveiligd
Women in Cybersecurity (WICS), een netwerk van vrouwelijke deskundigen op het gebied van computerveiligheid, onderzocht een kleine honderd ziekenhuiswebsites en concludeerde dat in bijna een kwart van die gevallen de digitale veiligheid te wensen overlaat. Dit is ook het geval bij de sites van het UMCG en het Martiniziekenhuis.

Waar het gaat het om?
Een beveiligde website is te herkennen aan 'https' en het slotje aan het begin van de adresregel. Als deze code ontbreekt, betekent dit dat kwaadwillenden stiekem kunnen meelezen als je bijvoorbeeld een contactformulier invult.

Afbeelding

Bij het UMCG kan je op een onbeveiligde versie van de website terecht komen, zonder https voor het adres. Die krijg je als je www.umcg.nl bezoekt. Typ je het adres in zonder www, dan heb je wel een beveiligde verbinding.

Maar bij het Martiniziekenhuis ontbrak tot vrijdagmiddag een beveiligde verbinding helemaal.

'Beveiliging is verplicht'
'Bij het UMCG egaat het fout, maar bij het Martiniziekenhuis helemaal fout', zegt Mathieu Paapst van het Groningse ICTRecht vrijdagochtend. Hij wijst daarbij nadrukkelijk op het klachtenformulier dat het ziekenhuis online heeft staan. Daarop wordt patiënten gevraagd om behalve persoonlijke informatie, ook de naam van de medewerker of afdeling te benoemen, en de klacht te beschrijven.

Afbeelding

'Er zijn scripts die mailadressen verzamelen vanaf formulieren. Zo komen afzenders van spam vaak aan mailadressen. Jammer, maar dat is niet zo erg. Maar als je een klacht over je eigen gezondheid omschrijft, wordt het wel naar. Je wil als patiënt niet dat een verzekeraar of een hacker die gegevens onderschept.'

'Bij de verwerking van persoonsgegevens is het wettelijk verplicht om de verbinding te beveiligen', zegt Paapst. 'Doe je dat niet, dan overtreed je de wet.' Overtreding van de regels kan leiden tot hoge boetes. 'Maximaal 820.000 euro', zegt Lysette Rutgers van de Autoriteit Persoonsgegevens.

Functionaris
'Privacybewaking moet voor ziekenhuizen topprioriteit zijn', zegt Rutgers. 'Niet voor niets hebben veel van dit soort instanties een speciale functionaris voor gegevensbescherming in dienst. En vanaf mei 2018 is dat Europees zelfs verplicht.'

Martini: probleem aangepakt
Zo'n twee uur na de vraag waarom de beveiliging ontbreekt, is de pagina van het klachtenformulier van het Martiniziekenhuis alsnog beveiligd met een https-verbinding.

Woordvoerder Tessel Horsman: 'We hebben direct ingegrepen, maar ik denk echt dat we er niet alert genoeg op zijn geweest. We schenken veel aandacht aan het opslaan van gegevens, maar dit is er doorheen geglipt.'

'Voor zover we er zicht op hebben, is er niks gebeurd', zegt Horsman. 'Ik snap dat mensen er ongerust over zijn, maar het gaat om een formulier hier en niet om patiëntgegevens van ons uit. Die zijn bij ons veilig.'

UMCG: 'We werken eraan'
Woordvoerder Joost Wessels van het UMCG benadrukt graag dat je de beveiligde versie van de website krijgt als je de website bezoekt via Google. 'Maar dat gebeurt niet als je gewoon www.umcg.nl intypt. Patiënten hoeven nooit medische informatie in te vullen op onze website, maar het kan natuurlijk wel zijn dat mensen een persoonlijk verhaal typen in ons algemene tipformulier. Binnen 2 à 3 weken moet het zijn opgelost.'

Treant doet het wel goed
De websites van het Ommelander Ziekenhuis Groningen en de Treant Zorggroep, waar het Refaja in Stadskanaal onder valt, zijn wel goed beveiligd.

Lees ook:
- Cybercrime? Zo kun je jezelf eenvoudig online beschermen
- Negen gemeenten hebben geen beveiligde website
Meer over dit onderwerp:
GRONINGEN
Deel dit artikel:

Recent nieuws