Meerderheid zorgwebsites heeft geen veilige HTTPS-verbinding

Zo concludeert de Open State Foundation na onderzoek onder ruim 22.000 websites.

Best merkwaardig als je kijkt naar de geldende beveiligingsstandaarden in de zorg zoals een NEN 7512:2015 en de NCSC ICT-Beveiligingsrichtlijnen voor webapplicaties (2015).

Advies Autoriteit Persoonsgegevens

Daarnaast heeft de Autoriteit Persoonsgegevens al in maart 2016 een advies uitgebracht aan het Koninklijk Nederlands Genootschap voor Fysiotherapie (KNGF) over de beveiliging van de websites (en meer specifiek de (contact)formulieren) van fysiotherapeuten. Aanleiding voor dit advies was de vraag die de Autoriteit van verschillende fysiotherapeuten had gekregen hoe zij het contactformulier op de website moesten beveiligen. Zij concludeerde toen:

“Indien via een contactformulier op de website bijzondere persoonsgegevens – waaronder gezondheidsgegevens en bsn – worden verwerkt, dient de gehele webapplicatie via https te worden aangeboden.

Indien uitsluitend andersoortige gegevens worden verwerkt dan moet de organisatie zelf op basis van een risicoanalyse en classificatieschema vaststellen of de webapplicatie via https wordt aangeboden.”

Verwerking persoonsgegevens

Ons inziens kan dit advies één op één worden overgenomen door zorgverleners die onder dezelfde beveiligingsstandaarden vallen. Zo werkt het – zo blijkt – echter niet in de praktijk. Uit het onderzoek komt namelijk ook naar voren dat verschillende zorgverleners op onbeveiligde websites formulieren aanbieden. Dit terwijl via deze formulieren al vrij snel persoonsgegevens in de zin van de Wet bescherming persoonsgegevens (Wbp) verwerkt worden. Een e-mailadres of telefoonnummer van een patiënt achtergelaten via een formulier op de website is namelijk al een persoonsgegeven in de zin van de Wbp. Daarnaast worden medische gegevens aangemerkt als ‘bijzondere persoonsgegevens’ wat ervoor zorgt dat de beveiligingseisen nog hoger zijn. En ook deze gegevens ontvang je als zorgverlener al vrij snel; denk aan een contactformulier voor het stellen van een vraag, het opgeven van de reden voor het maken van een afspraak bij de fysio of het doorgeven van je bsn-nummer voor de verzekeringscheck. Om deze gegevens te mogen verwerken dienen ‘passende beveiligingsmaatregelen’ getroffen te worden. ‘Passend’ is volgens de standaarden en de AP minimaal een https verbinding, maar kennelijk voldoen nog veel zorgverleners niet aan deze wettelijke verplichting.

Dit artikel is geschreven door Daphne Schrauwen (paralegal).

Meer weten over hoe je als zorgverlener on- en offline passende maatregelen treft om je patiëntgegevens voldoende te beschermen? Neem contact met ons op:

Stadsplateau 17
3521 AZ Utrecht
d.schrauwen@vandiepen.com
030 – 236 46 00