Herhaalrecept is online niet veilig
CBP: zorgverlener moet informatie ‘versleutelen’
Het College Bescherming Persoonsgegevens (CBP) constateert dat bij 43 van de 150 onderzochte websites medische gegevens over een onbeveiligde verbinding worden verzonden. Hierdoor kunnen anderen deze gevoelige informatie relatief eenvoudig meelezen, verwijderen of aanpassen.
Het betreft in deze steekproef negentien huisartspraktijken, achttien apotheken en zes apotheekhoudende huisartsen.
Deze huisartsen en apothekers, die onvoldoende beveilingsmaatregelen hebben getroffen, handelen volgens het CBP in strijd met artikel 13 van de Wet bescherming persoonsgegevens (Wbp). Huisartsen en apothekers hebben de wettelijke verantwoordelijkheid de persoonsgegevens van hun patiënten veilig te versturen, zodat derden hier geen toegang toe hebben. Daarom dienen apothekers en huisartsen de informatie tussen browser en server te ‘versleutelen’: https in plaats van http. Dat versleutelen kan plaatsvinden via onder andere Secure Sockets Layer (SSL).
Onderzoek
In het onderzoek richt het CPB zich in het bijzonder op de beantwoording van de vragen ‘wordt het online-aanvraagformulier vanaf de browser van de pc van de patiënt met of zonder SSL-verbinding verzonden?’ en ‘wordt het online aanvraagformulier met de ingevulde medische gegevens naar een server met of zonder SSL-verbinding verzonden?’.
Indien in beide gevallen niet is voorzien in een SSL-verbinding dan hebben huisartsen en apothekers onvoldoende beveiligingsmaatregelen getroffen. Uit deze steekproef blijkt dat bij 43 websites het online aanvraagformulier zowel vanaf de browser als naar de server zonder SSL-verbinding wordt gestuurd.
Het CPB heeft in mei 2013 de steekproef onder de 150 websites van apothekers en huisartsen uitgevoerd. In het najaar van dit jaar zal het college opnieuw onderzoek doen en controleren of huisartsen en apothekers de verbindingen hebben beveiligd. Als dat niet het geval is, zal het CBP in individuele gevallen nader onderzoek doen.