In dat geval
zouden kwaadwillenden gevoelige informatie als herhaalrecepten,
BSN-nummers en verwijsbriefjes kunnen onderscheppen. “Als je
persoonsgegevens verwerkt, moet je ervoor zorgen dat niemand anders mee
kan kijken”, aldus Tomesen. “Doe je dat niet, dan is dat in strijd met
de wet.” De privacywaakhond heeft zorginstellingen al vaker
gewaarschuwd dat ze gegevens goed moeten beveiligen, en hint er nu op
actie te ondernemen. “Het is ons al jaren menens. Dwangboetes liggen
desnoods klaar, maar dat zou eigenlijk niet nodig moeten zijn”, aldus
Tomesen. “Wij zijn ervoor om dit te handhaven.”

Veel
zorginstellingen hebben een contact- of aanmeldingsformulier waar mensen
herhaalrecepten kunnen achterlaten of een afspraak kunnen maken. “De
inhoud daarvan kan heel veel zeggen over jou als persoon”, zet Tomesen.
“Dat geldt ook voor websites die alleen maar informatie aanbieden. De
zorgaanbieder moet ervoor zorgen dat dit veilig kan.”

Nu wel geregeld

Een
van de zorgorganisaties die tot voor kort een onbeveiligde verbinding
had, is GGZ-instelling Lievegoed. “Nu is onze website beveiligd”, zegt
Hans Kompanje, de privacy officer van die instelling. “Tot voor kort was dat niet zo”, geeft Kompanje toe.

Wie doen het slecht?

1. Fysiotherapie (20% dwingt veilige verbinding af)

2. Thuiszorg (23%)

3. Geestelijke gezondheidszorg (23%)

4. Verloskundigen en kraamzorg (25%)

5. Medische klinieken (26%)

“We hebben
op onze website een mogelijkheid voor patiënten om zich aan te melden”,
zegt Kompanje. Informatie die via dat formulier werd verzonden, was tot
afgelopen maandag onversleuteld en kon worden onderschept. Na melding
van de NOS werd de verbinding ingesteld, maar volgens Kompanje stond dat
al op de planning.

Kompanje wordt ingehuurd door zorginstellingen
om de beveiliging op te schroeven. Bij andere zorginstellingen ziet hij
hetzelfde, zegt hij. “Veel zorginstellingen zijn zich niet bewust van
de gevaren”, zegt Kompanje. “Wat ze vergeten, is dat ze heel vaak
persoonsgegevens van patiënten verwerken.”

Het Lievegoed kwam de
onveilige verbinding op het spoor bij de voorbereidingen op een nieuwe,
Europese privacywet die volgend jaar ingaat. In het kader van die wet
moeten zorginstellingen een privacy officer als Kompanje instellen, al kan een onbeveiligde verbinding ook volgens de huidige wet al niet door de beugel. “Je
moet volgens de wet persoonsgegevens adequaat beveiligen”, aldus
ict-jurist Arnoud Engelfriet. “De nieuwe wet verandert daar eigenlijk
niet zoveel aan. Met medische gegevens staat buiten kijf dat gegevens
versleuteld moeten zijn.”

Andere
zorginstellingen zijn nog niet zo ver als het Lievegoed. Zo heeft
zorginstelling in de regio Alkmaar nog een onbeveiligd formulier online
staan, waar onder meer wordt gevraagd naar psychische aandoeningen en
het gebruik van medicatie. “Ik geloof niet dat onze zorginstelling geen beveiliging heeft”, reageert een manager van de zorginstelling verbaasd.

De
Patiëntenfederatie Nederland is geschokt door de bevindingen, laat een
woordvoerder weten. “Je mag toch verwachten dat kwetsbare
patiëntgegevens veilig worden opgeslagen. Dat blijkt in een zeer groot
aantal gevallen niet zo te zijn. Dat is kwalijk”, zegt directeur Dianda
Veldman.

Wifi-hotspots

Kwaadwillenden
zouden kunnen meekijken als ze op de een of andere manier toegang
kunnen krijgen tot de internetverbinding van een slachtoffer. Dat kan
bijvoorbeeld op openbare wifi-hotspots, waar iedereen het
internetverkeer kan onderscheppen. Wanneer een site goed versleuteld is,
is dat praktisch onmogelijk.

De branchevereniging van
fysiotherapeuten, een van de sectoren die er slecht uit komt, noemt het
beeld dat het onderzoek van de Open State Foundation schetst
‘herkenbaar’ en’ onwenselijk’. De collectieve branchevereniging van de
zorg wilde niet reageren op een verzoek van de NOS.

Eerder onderzocht
de Open State Foundation de beveiligde verbinding van overheidssites.
Slechts 44 procent ondersteunde een beveiligde verbinding. Inmiddels is
dat 66 procent.

Bron: NOS.nl