De cijfers over gebrekkige versleuteling van ziekenhuiswebsites komen uit onderzoek van Women in Cybersecurity (WICS). Dat is een Nederlandse netwerk van vrouwen die werken in de ict-beveiliging. Ze onderzochten 97 ziekenhuizen en deelden de uitkomsten met dagblad Trouw.
Van de 97 sites die WICS onderzocht, bleken er 25 geen beveiligde verbinding te hebben. Het gaat onder meer om OLVG West in Amsterdam (voorheen Sint Lucas Andreas Ziekenhuis). Het ziekenhuis erkent tegenover de krant het gebrek aan een beveiligde verbinding een zwak punt is, maar zegt dat op het moment dat de site werd gebouwd versleuteling van het webverkeer nog niet standaard was.
Ook het St. Antonius Ziekenhuis, dat actief op verschillende locaties in en rond Utrecht, geeft aan dat het ontbreken van een https-verbinding een risico vormt, maar het zegt te wachten op de nieuwe site die het eerste kwartaal van 2017 live moet gaan.
Beveiligingsrisico's
De cybersecurityspecialisten troffen bij websites die in eerste instantie goed beveiligd leken ook verouderde beveiliging aan die de webpagina's kwetsbaar maakt voor hackers. Het Admiraal de Ruyterziekenhuis met vestigingen in Zeeland heeft de beveiliging aangepast nadat het door WICS op de risico's is gewezen.
WICS uitte eerder haar zorgen over beveiligingsrisico's binnen de ict op ziekenhuislocaties. Het trof bijvoorbeeld inlogcodes en wachtwoorden aan die op een briefje op schermen waren geplakt. Ook wees het op de verouderde beveiliging van medische apparatuur.
Huisartsen slordig met HTTPS
Eerder werd bekend dat huisartsen vaak de fout ingaan met de beveiliging van websites. Ook daar vormen online formulieren vaak een privacy-risico.
Bij 197 praktijken waar patiënten zich online kunnen inschrijven of een herhaalrecept kunnen aanvragen, werd in 29,3 procent van de gevallen geen gebruik gemaakt van een beveiligde https-verbinding bij het versturen van medische data en persoonsgegevens.
Reacties
Een organisatie die zijn klanten een voorziening biedt om op een onbeveiligde manier privacy-gevoelige informatie via internet te communiceren, creëert daarmee volgens mij datalekken. Tenminste als ik de definitie van de Autoriteit Persoonsgegevens c.q. de wetgever juist interpreteer.
Als je er van uit mag gaan dat deze voorzieningen zijn gebruikt, is de Autoriteit Persoonsgegevens dan niet aan zet om handhavend op te treden? En (om te starten) is het dan niet aan al die organisaties om onmiddellijk die voorzieningen offline te halen en het gebruik ervan (tot nu toe) als datalek aan te melden bij de AP?
Laten we even beginnen met de aanhef.....
Ziekenhuizen zullen ongetwijfeld NIET te laks zijn met het goed en gedegen inrichten van hun IT. Degenen die dat wel zijn zijn namelijk de IT toeleverancier(s) die daar gewoon standaard werk van had moeten maken. Zo ziet u maar weer mijn beste mede IT professional. Als je geen idee hebt van de standaard IT keten, kun je nog zo'n krek zijn in je vak. Maar als je dit soort artikelen in toenemende mate beziet, dan moet je gewoon het schaamrood op je kaken krijgen.
Datzelfde geld natuurlijk ook de toelverancier waar de betrokken IT professionals door zijn geleverd dan wel in dienst zijn. De IT keten is gewoon een standaard waar je verstand van moet hebben, ongeacht op welke plaats jouw vakdiscipline is in die keten. Heb je dat niet en geen oog voor de aansluitende disciplines, krijg je dit.
Heel voorspelbaar.