Versleutelde verbinding (HTTPS) in de zorg

Uit een recent onderzoek (gepubliceerd op 17 augustus 2017) van de Open State Foundation kwam naar voren dat een groot deel (61%) van de onderzochte websites van zorgpartijen geen gebruik maakt van een versleutelde HTTPS verbinding. Dit klinkt zorgwekkend. De vraag is echter wanneer een partij gehouden is een versleutelde verbinding te gebruiken.

Bij het bouwen van een website voor een zorgpartij (bijvoorbeeld een ziekenhuis, huisarts, apotheek, fysiotherapeut of psychiater) dient rekening te worden gehouden met de NEN 7512:2015 norm en de NCSC ICT-Beveiligingsrichtlijnen voor webapplicaties (2015). Verder is de Wet Bescherming Persoonsgegevens (Wbp) van belang.

Artikel 13 van de Wbp vereist dat de verantwoordelijke (de partij die de website in gebruik heeft) passende beveiligingsmaatregelen treft om er voor te zorgen dat persoonsgegevens adequaat worden beveiligd tegen verlies of tegen enige vorm van onrechtmatige verwerking. Om te bepalen wat in het voorkomende geval als passende technische en organisatorische maatregelen in de zin van artikel 13 Wbp moet worden beschouwd zijn de NEN 7512 norm en de ICT-Beveiligingsrichtlijnen voor webapplicaties van belang.  

De NEN 7512 norm heeft betrekking op alle elektronische communicatie in de zorg, dus communicatie tussen zorgverleners en zorginstellingen onderling maar ook communicatie met patiënten en cliënten, met zorgverzekeraars en andere partijen die bij de zorg betrokken zijn. Op grond van de NEN 7512 norm is versleuteling alleen dan niet vereist, wanneer de communicatie niet vertrouwelijk is. In alle andere gevallen moet versleuteling plaatsvinden.

De ICT-Beveiligingsrichtlijnen voor webapplicaties 4 (IBW) bepaalt dat gevoelige of vertrouwelijke gegevens moeten worden beschermd door gebruik van cryptografische technieken in de communicatie. De IBW bepaalt verder dat wanneer de webapplicatie een contactformulier bevat, de gehele webapplicatie via HTTPS dient te worden versleuteld.

Op grond van het bovenstaande kan worden geconcludeerd dat webapplicaties (websites, contactformulieren e.d.) die in gebruik zijn bij zorgpartijen eigenlijk altijd versleuteld middels HTTPS dienen te worden aangeboden. Alleen dan wordt voldaan aan de Wbp. De kans dat middels deze webapplicaties (bijzondere) persoonsgegevens of andere vertrouwelijke informatie wordt gedeeld is immers bijzonder groot. Ook de Autoriteit Persoonsgegevens (AP) hanteert deze norm voor zorgpartijen.

Verscherpt toezicht na introductie AVG

Per 25 mei 2018 wordt de Wet Bescherming Persoonsgegevens vervangen door de Algemene Verordening Gegevensbescherming (AVG). Onder de AVG zullen bovenstaande vereisten niet veranderen. Wel wordt het toezicht en de mogelijkheid tot handhaving door de AP verscherpt met de AVG. Nog meer reden om goed te inventariseren of uw verbindingen voldoende beveiligd zijn.