Te veel ziekenhuizen hebben een onbeveiligde website

Onbekend of de slecht beveiligde sites al tot datalekken hebben geleid

Ruim een derde van de websites van ziekenhuizen is slecht beveiligd blijkt uit een onderzoek van Women in Cybersecurity (WICS).

WICS heeft in zijn onderzoek de websites van 97 willekeurig gekozen ziekenhuizen bekeken. Bij ongeveer een derde werden persoonsgegevens (bijvoorbeeld in ingevulde klachtenformulieren) verstuurd via een onbeveiligde verbinding. Bij een beveiligde verbinding staan de letters ‘https’ voor de url (webadres) en staat er een groen slotje links bovenaan de pagina. De gebrekkige beveiliging brengt het risico met zich mee dat gevoelige informatie op straat kan komen te liggen.

Computerbeveiliging als prioriteit

“Dat de beveiliging van de sites bij zoveel ziekenhuizen niet goed is geregeld, laat zien dat beveiligingsproblemen in alle vaten van het ziekenhuis zitten”, zegt Mary-Jo de Leeuw, Vice-President van WICS. “Juist een ziekenhuis, dat met zoveel privacygevoelige informatie te maken heeft, zou computerbeveiliging als prioriteit moeten zien.” WICS heeft een melding gemaakt van zijn bevindingen bij de AP.

110 miljoen voor betere beveiliging

Het is niet de eerste keer dat WICS aan de bel trekt. Al eerder hebben zij gewezen op digitale risico’s in de huidige ziekenhuiscultuur. Wachtwoorden zouden nog op post-its bij de computers hangen en veel medisch apparatuur zou zwaar verouderd zijn.

De problemen oplossen rondom medische databeveiliging staat dan ook hoog op de nationale prioriteitenlijst. “Het probleem wordt erkend, nu moeten we toe gaan werken naar een oplossing. Vorig jaar heeft minister Schippers 110 miljoen euro beschikbaar gesteld om de beveiliging van ziekenhuiswebsites te verbeteren. Binnen vier jaar is het mogelijk om veilig online gegevens in te zien en afspraken te maken”, zo meldt de Nederlandse Vereniging van Ziekenhuizen.

Meteen actie ondernomen

Het onderzoek van WICS blijkt effectief te zijn. Een aantal negatief benoemde ziekenhuizen heeft meteen actie ondernomen.

“Het klopt helaas dat de huidige website van het St. Antonius Ziekenhuis (nog) niet https-beveiligd is. We zijn ons bewust van het risico hiervan. Daarom heeft het ziekenhuis een aanvraag gedaan voor een tijdelijk SSL-certificaat voor onze huidige website”, aldus het St. Antonius Ziekenhuis.

Het Admiraal de Ruyterziekenhuis laat in een reactie weten dat de beveiliging van de site afgelopen woensdag een update heeft gekregen, nadat het geattendeerd werd op de slechte beveiliging.

Ook het Martini ziekenhuis heeft acties ondernomen. “We hebben direct ingegrepen, maar ik denk echt dat we er niet alert genoeg op zijn geweest. We schenken veel aandacht aan het opslaan van gegevens, maar dit is er doorheen geglipt”, laat woordvoerder Tessa Horsman weten. “Voor zover we er zicht op hebben, is er niks gebeurd”, zegt Horsman. “Ik snap dat mensen er ongerust over zijn, maar het gaat om een formulier hier en niet om patiëntgegevens van ons uit. Die zijn bij ons veilig.”

Het is onduidelijk of de slecht beveiligde sites al eens tot een datalek hebben geleid.

Tamara van Tulder, redacteur VIP

Tamara van Tulder is 24 jaar. Na haar studies rechten en International Communication Management heeft ze de focus gelegd op communicatie en journalistiek. Behalve VIPdoc-redacteur is ze junior consultant bij Revnext.

Anderen lazen ook

Laat een bericht achter