Bijna 1 op de 3 huisartsen schendt de privacyregels door bij online inschrijvingen en bij het online verwerken van herhaalrecepten geen beveiligde https-verbinding te gebruiken. Bij 197 praktijken waar patiënten zich online kunnen inschrijven of een herhaalrecept kunnen aanvragen, werd in 29,3 procent van de gevallen geen gebruik gemaakt van een beveiligde https-verbinding bij het versturen van medische data en persoonsgegevens.
Dat concludeert RTL Nieuws na onderzoek. Het online inschrijven vormt volgens RTL het grootste risico. Door het ontbreken van een beveiligde verbinding wordt namelijk privacygevoelige informatie via internet verstuurd. HyperText Transfer Protocol Secure, afgekort https is een uitbreiding op het http-protocol met als doel een veilige uitwisseling van gegevens.
RTL: ‘Een inschrijfformulier bevat veel privacygevoelige informatie, waaronder de NAW-gegevens in combinatie met het burgerservicenummer. Het is dan wettelijk verplicht om een beveiligde verbinding te gebruiken. Dat geldt ook voor het online aanvraagformulier voor een herhaalrecept, omdat ook daar om medische informatie wordt gevraagd zoals welke medicijnen gebruikt worden.’
Door de gebrekkige beveiliging ligt identiteitsfraude op de loer en hackers kunnen in sommige gevallen recepten inzien en doseringen aanpassen. De Autoriteit Persoonsgegevens (AP) belooft aan de nieuwszender strenger op te treden. Wilbert Tomesen, vicevoorzitter van de AP: ‘We hebben de afgelopen jaren heel veel aandacht besteed aan het beveiligen van persoonsgegevens bij huisartsen. Blijkbaar is het gevoel van urgentie nog niet genoeg doorgedrongen.’ Hij zegt dat AP in 2017 huisartsen beter in de gaten zal houden. ‘En als het weer mis gaat, zullen we zeker niet aarzelen om op te treden.
Overheid
Naast huisartsen blijken ook overheden laks met https om te gaan. Begin december 2016 toonde belangenorganisatie Open State Foundation aan dat 62 procent van de websites van Nederlandse overheidsorganisaties geen of een verkeerd geconfigureerde https-verbinding heeft.
Van de 1816 onderzochte domeinen ondersteunt minder dan de helft (44 procent) een verbinding die ervoor zorgt dat het websiteverkeer versleuteld wordt. Van de 797 overheidswebsites met een https-verbinding zijn 108 niet correct geconfigureerd.
Kennelijk moet er eerst iets serieus misgaan alvorens men concrete maatregelen neemt. De Autoriteit Persoonsgegevens belooft strenger op te treden? Dat klinkt niet als dat men het gevaar realistisch inschat. voor de overheid geldt hetzelfde. In zekere zin heeft men een voorbeeldfunctie en is het toch enigszins beschamend dat men de veiligheid gewoon niet op orde heeft.
Ook in het bedrijfsleven is het nog lang niet overal op orde. Regelmatig “test” ik wat simpele zaken door bijvoorbeeld mijn wachtwoord op te vragen. En regelmatig maak ik mee dat men doodleuk een e-mail stuurt met het wachtwoord er in. Onversleuteld wel te verstaan. Onversleutelde verbinding, onversleutelde e-mail, alles gewoon open en bloot en voor de hele wereld leesbaar.
Mag ik voorzichtig concluderen dat er in IT-land nog steeds hordes onkundigen werkzaam zijn? Ja, ik geloof dat ik dat mag. Ik heb zelf een formele informatica-opleiding (HIO) genoten en werk al bijna 30 jaar in de IT. Bijna dagelijks kom ik ze tegen, de knutselaars en hobbyisten. Ze hebben het zelf niet in de gaten, maar het erge is dat het management niet in de gaten heeft hoe onprofessioneel deze mensen zijn.
Eind 2016 toonde belangenorganisatie Open State Foundation aan dat 62 procent van de websites van Nederlandse overheidsorganisaties geen of een verkeerd geconfigureerde https-verbinding heeft.
BEN ZEER BENIEUWD WAT HET % IN BELGIE IS!
De artsen zijn niets te verwijten, de ontwikkelaars moeten beter weten. Zij moeten op de hoogte zijn van de (wettelijke) eisen en daarop gepaste maatregelen nemen. Zelf heb ik de ontwikkelaar van de website van mijn huisarts meerdere malen hierop gewezen. Tevergeefs! De herhaalrecepten gaan nog steeds via http!
Zijn hier sancties van toepassing? Zo ja wie legt die op?
@GHulst – de bouwer van de website zal daar weinig boodschap aan hebben; voor hem of haar betekent het alleen maar meer werk en is het lastig (vooral als je niet weet hoe je e.e.a. voor elkaar moet krijgen).
Je zou de arts er op moeten aanspreken en ook duidelijk maken dat er een wettelijke verplichting is. Ook mag je al op voorhand duidelijk maken dat mocht er op redelijke termijn (een aantal weken lijkt me redelijk) niets aan gedaan worden dat je dan naar de Autoriteit Persoonsgegevens stapt en aangifte doet.