Het is slecht gesteld met de beveiliging van internetverkeer naar websites van zorginstellingen. Ongeveer tweederde heeft geen standaardprocedure voor het versleutelen van webverkeer ingesteld. Slechts een derde van de zorginstellingen dwingt het gebruik van https af. Vooral de thuiszorginstellingen, fysiotherapeuten en aanbieders van paramedische zorg scoren slecht. Ziekenhuizen en huisartsen hebben het webverkeer relatief goed beveiligd.
Dat blijkt uit onderzoek van belangenorganisatie voor digitale transparantie Open State Foundation. ‘Slechts 39 procent van de onderzochte websites van zorgaanbieders ondersteunt https. Van de 8.637 zorgwebsites met een https-verbinding blijkt dat dit bij 1.786 niet wordt afgedwongen waardoor bezoekers alsnog onnodig risico’s lopen bij 69 procent van de zorgsites.’ Dat concludeert Open State na een inventarisatie van 22.393 zorgwebsites.
Van de onderzochte websites van verloskundigen, aanbieders van geestelijke gezondheidszorg en thuiszorg ondersteunt slechts 34 procent https. Bij minder dan een derde van deze onderzochte websites wordt https afgedwongen. Ook websites van fysiotherapeuten (30 procent) en aanbieders van paramedische zorg (24 procent) scoren laag.
Volgens de belangenorganisatie ondersteunt iets minder dan de helft van de onderzochte websites van apotheken https waarbij 45 procent wordt afgedwongen. Bij websites voor tandartsen, mondhygiënisten en aanbieders van gehandicaptenzorg is dit bijna 40 procent. Bij 33 procent van deze websites wordt https ook afgedwongen. Volgens Open State kunnen zorgaanbieders https afdwingen door hun webservers zo in te stellen dat deze alleen webverkeer verwerken via het https-protocol en niet linken naar sites of bestanden die via http worden verstuurd.
Ziekenhuizen en huisartsen
Volgens de onderzoekers zijn websites van ziekenhuizen en huisartsen het meest beveiligd. Ruim 75 procent van de 108 onderzochte websites van ziekenhuizen ondersteunen een https-verbinding. Van 3475 websites van huisartsen ondersteunt 66 procent een https-verbinding. Bij 68 procent van de websites van ziekenhuizen en 61 procent van de onderzochte websites van huisartsen wordt https afgedwongen. Van de 161 onderzochte websites van aanbieders van jeugdzorg ondersteunt 56 procent een https-verbinding, maar minder dan 37 procent van de domeinen dwingt https af.
Bij onbeveiligd webverkeer is het risico dat bijvoorbeeld gegevens die via online formulieren worden gevraagd, persoonsgegevens zoals bsn nummers en medische gegevens worden onderschept.
Overheid
In december 2016 lanceerde Open State Foundation het dashbord Pulse waarop gebruikers kunnen zien of een website van de overheid een veilige https-verbinding ondersteunt. Sindsdien is het aantal overheid websites dat https ondersteunt gegroeid van 44 procent naar 66 procent. Begin 2017 heeft het kabinet aangegeven om https voor alle overheid websites te willen verplichten.
Voor de zorginstellingen kan nog geen vergelijking met eerdere cijfers gemaakt worden omdat dit de eerste keer is dat Open State die gegevens verzameld heeft.
Internetprotocol https
Bij gebruik van internetprotocol https wordt webverkeer beveiligd door de gegevens te versleutelen. Daardoor moet het voor een buitenstaander, bijvoorbeeld iemand die afluistert, niet mogelijk zijn om te weten welke gegevens verstuurd worden. Ook controleert https de integriteit van de informatie het aanpassen van uitgewisselde gegevens niet mogelijk is.
Niet alleen de zorg sites, ook de kleinere webshop zijn vaak nog niet voorzien van HTTPS verbinding. Er is wel een stijging van het aantal beveiligde sites, maar je verwacht wel dat de zorg hierin een voorbeeldrol in moet vervullen,
Oorzaak van het problem is dat een veilige verbinding vanuit de overheid niet door regels wordt afgedwongen. De meeste kleine zorgverleners hebben geen tot weinig verstand van de materie, en vertrouwen dus op hun leveranciers om e.e.a. in te regelen. Ondanks dat er bijv. NEN 7510 bestaat, zijn er maar heel weinig zorgverleners die hun ICT leveranciers kunnen controleren op het naleven van de regels en richtlijnen..