Tientallen websites van Brabantse zorgverleners onveilig

EINDHOVEN - Privacygevoelige informatie die verstuurd wordt via de websites van tientallen Brabantse zorginstellingen, huisartsen en psychologen, kan eenvoudig onderschept worden. De websites zijn onvoldoende beveiligd, zo blijkt uit onderzoek van Omroep Brabant. Het gaat onder andere om een Brabants meldpunt voor slachtoffers van huiselijk geweld, een verslavingsinstelling uit Breda en een Tilburgse organisatie waar je eergerelateerd geweld kunt melden.

Een medische vraag over een lichamelijk probleem. Een melding van huiselijk geweld bij jezelf, of een vermoeden van huiselijk geweld bij de buren. Het is informatie waarvan je niet wilt dat anderen die kunnen lezen. Maar door de slechte beveiliging van de sites die Omroep Brabant onderzocht kan deze informatie wel gemakkelijk onderschept worden. Zo kan het gebeuren dat een contact- of aanmeldformulier bestemd voor huisarts of psycholoog in verkeerde handen belandt. Anderen kunnen zo meelezen, maar ook informatie aanpassen of verwijderen.

Omroep Brabant keek naar een deel van alle zorgverleners in de grote steden van onze provincie. In meer dan twintig gevallen bleek hun beveiliging niet op orde. De namen van de instellingen worden in dit artikel bewust niet genoemd om misbruik te voorkomen.

‘Te gek voor woorden‘
De reden waarom de websites niet veilig zijn, is het ontbreken van een TLS-certificaat. Zo’n certificaat is te herkennen aan een slotje in de adresbalk van je browser. Het certificaat zorgt er voor dat informatie die via de site verzonden wordt versleuteld is. Bij sites zonder TLS certificaat is dit niet het geval en kunnen kwaadwillenden eenvoudig meelezen als iemand een formulier op de site invult en verstuurt.

 

Bij banken en andere instellingen die gevoelige informatie verzamelen moet zo‘n certificaat standaard aanwezig zijn. Jaap-Henk Hoepman, computerwetenschapper verbonden aan de Tilburg University reageert desgevraagd op het nieuws: "Dit is te gek voor woorden, het installeren van een certificaat op je website is tegenwoordig dermate simpel dat eigenlijk iedereen het kan doen."

Berichten onderscheppen
Thijs Schoonbrood, ethisch hacker bij beveiligingsbedrijf WhiteHats in Eindhoven bevestigt dit. Volgens hem is het niet meer van deze tijd om geen beveiligingscertificaat te gebruiken: “Dit zijn de basics, vandaag de dag moet dit gewoon op orde zijn.“ Met zijn bedrijf komt Schoonbrood vaker vergelijkbare zaken tegen: “We weten wel dat dit vaak het geval is, maar het is niet goed.“ 

Een van de websites die de beveiliging niet op orde heeft, is een site die zich richt op huiselijk geweld. Slachtoffers van huiselijk geweld, of mensen die huiselijk geweld bij bekenden vermoeden, kunnen hun verhaal doen. Schoonbrood heeft de site bekeken: “Iemand die in dezelfde koffiebar of hetzelfde hotel als de melder aanwezig is, kan deze berichten onderscheppen. Hetzelfde geldt voor huisgenoten of mensen die bij hetzelfde bedrijf als de melder werken.“ Het gaat dan om mensen die samen een draadloze internetverbinding delen.

Hoe werkt zoiets precies? Thijs Schoonbrood en Kamil Wasylkiewicz van WhiteHats laten het op verzoek van Omroep Brabant zien:

Normen veranderen
Volgens Schoonbrood is het ontbreken van een certificaat historisch gegroeid. “Vroeger was het gebruikelijk om met onbeveilgde verbindingen te werken, maar de normen veranderen. De praktijk loopt vaak nog achter de theorie aan.“ Met de komst van de nieuwe privacywet, de AVG, wordt jouw privacy de laatste tijd steeds serieuzer genomen.

Kunnen gebruikers zelf iets doen als ze veilig willen internetten? “Mensen kunnen goed opletten dat ze alleen met sites met een beveiligde verbinding werken en die kun je herkennen aan het slotje in de adresbalk“, zo adviseert Schoonbrood.

Hoge prioriteit, geen boetes
Martijn Pols  van de Autoriteit Persoonsgegevens laat weten dat de veiligheid van websites in de zorg hun speciale aandacht heeft. “Dat is niet voor niks, met name in de zorg gelden extra strenge eisen.“

Toch zijn er voor het ontbreken van een werkend TLS-certificaat nog geen boetes uitgedeeld. "Dat er geen boetes zijn uitgedeeld wil niet zeggen dat we niks doen. Bij ons heeft het prioriteit. We doen regelmatig onderzoeken en gaan er vanuit dat de zorgsector er zelf ook scherp op is", aldus Pols. De resultaten uit het onderzoek van Omroep Brabant wil Pols graag gebruiken om instellingen op hun online beveiliging aan te spreken.

Gevaar voor duizenden mensen
"Als 95 of 96 procent van de sites veilig zou zijn, zijn we nog niet per se tevreden. Iedere zorginstelling zal moeten zorgen dat hun gegevens veilig zijn. Een instelling waar dat niet is geregeld, kan in theorie een gevaar voor duizenden mensen betekenen“, aldus Pols.