informationsecurity-zorgaanbieders

Onderzoek door Open State Foundation: meerderheid websites zorgaanbieders lopen risico.

Een groot aantal websites van zorgaanbieders gebruikt nog steeds geen veilige HTTPS-verbinding. Dat blijkt uit onderzoek van digitale transparantie organisatie Open State Foundation met het online dashboard Pulse (pulse.openstate.eu). Van de 22.393 onderzochte websites van zorgaanbieders ondersteunt slechts 39% HTTPS. Van de 8.637 zorgwebsites met een HTTPS-verbinding blijkt dat dit bij 1.786 niet wordt afgedwongen waardoor bezoekers alsnog onnodig risico’s lopen bij 69% van de zorgsites.

Bij gebruik van HTTPS worden de gegevens versleuteld, waardoor het voor een buitenstaander, bijvoorbeeld iemand die afluistert, onmogelijk zou moeten zijn om te weten welke gegevens verstuurd worden. Daarnaast controleert HTTPS op de integriteit van de informatie zodat aanpassing van de uitgewisselde gegevens niet mogelijk is.

Verdeeld naar zorgdomein kwamen de volgende resultaten naar voren in het onderzoek:

Geestelijke gezondheidszorg, verloskundigen en fysiotherapie: slechts 34% ondersteunt HTTPS waarbij bij slechts 1/3 HTTPS wordt afgedwongen. Hierbij scoren websites van fysiotherapeuten (30%) en aanbieders van paramedische zorg (24%) scoren laag.

Apotheken, tand en mondzorg, gehandicaptenzorg: <50% van de onderzochte websites van apotheken ondersteunt HTTPS waarbij 45% dit wordt afgedwongen. Websites voor tandartsen, mondhygiënisten en aanbieders van gehandicaptenzorg is dit bijna 40%. Bij 33% van deze websites wordt HTTPS daarnaast ook afgedwongen.

Websites ziekenhuizen en huisartsen zijn het meest beveiligd: ruim 75% van de 108 onderzochte websites van ziekenhuizen ondersteunen een HTTPS-verbinding. Van 3.475 websites van huisartsen ondersteunt 66% een HTTPS-verbinding. Bij 68% van de websites van ziekenhuizen en 61% van de onderzochte websites van huisartsen wordt HTTPS afgedwongen.

Onbeveiligde formulieren persoonsgegevens en medische informatie

Uit een steekproef door Open State Foundation van de onderzochte websites blijkt ook nog eens dat verschillende zorgaanbieders op onbeveiligde websites online formulieren aanbieden. Zo zijn er aanmeldings- en inschrijfformulieren te vinden op onbeveiligde websites van huisartsen, apotheken, verloskundigen en aanbieders van geestelijke gezondheidszorg. Via deze online formulieren wordt gevraagd naar persoonsgegevens (bijvoorbeeld bsn nummers) en medische gegevens (bijvoorbeeld aandoeningen, laatste menstruatie). Ook zijn op deze websites zonder HTTPS online formulieren te vinden voor het aanvragen van (herhaal)recepten en voor het stellen van vragen.

Mogelijk gevolgen van onbeveiligde HTTPS verbindingen:

Bij het invullen van persoonsgegevens op onbeveiligde HTTPS websites kan het volgende gebeuren:
1.Een hacker kan zonder veel moeite je login en password ontfutselen.
2.Je privacy data kan door anderen worden onderschept en gebruikt.
3.Hackers kunnen je data naar hun website sluizen of zelfs eigen pagina’s vertonen op de website zonder HTTPS zonder dat je het doorhebt.
4.Een aanvaller kan je naar zijn betaalmodule toe leiden zodat je aan de verkeerde betaald.
5.Aanvallers kunnen met behulp van de login en password van jou op de site inbreken en zo de website gebruiken voor spam of deze gewoon platleggen.

De lijst kan nog worden aangevuld maar het moge duidelijk zijn dat een HTTPS verbinding echt nodig is. Maar let op! Het is niet HTTPS alleen wat de website veilig maakt. Daarvoor zijn ook andere maatregelen nodig. InformationSecure.nl kan je hierbij helpen.

Meerderheid websites zorgaanbieders zonder HTTPS-verbinding

Leave a Reply