Het probleem speelt met de website huisartsen.nl. Op deze site kunnen patiënten recepten aanvragen na het leveren van de nodige gevoelige informatie en loggen huisartsen in om informatie over hun praktijk te geven. Zowel het verkeer van het inloggen door medici en het invoeren van recepten door patiënten gebeurt via een niet-versleutelde, dus afluisterbare verbinding.

Gevoelige gegevens

Dat het netwerkverkeer niet wordt versleuteld biedt kwaadwillenden de mogelijkheid om een namaaksite te bouwen en na een gerichte aanval artsen en patiënten naar die webstek te loodsen zonder dat dit opvalt. Ook is het mogelijk dat het netwerkverkeer wordt afgeluisterd, waardoor een bestelling van een recept plus bijbehorende medische- en inloggegevens van artsen in verkeerde handen kunnen vallen.

Volgens directeur Hans van de Looy oprichter van beveiligingsbedrijf Madison Gurkha is het moeilijk het risico precies in te schatten. “Het hoort zeker niet zo. Het risico is dat er data wordt afgeluisterd. Er zou gewoon de sterkste vorm van encryptie gebruikt moeten worden”, vertelt hij aan Webwereld. “Bij een audit zou dit zeer zeker als risico worden aangemerkt.”

Privacy-probleem

Omdat bij de recepten medische informatie een rol speelt, worden er “bijzondere persoonsgegevens” verwerkt. De Wet bescherming persoonsgegevens stelt dan aan de beveiliging hogere eisen.

“Ik vraag me dan ook sterk af of ze de wet niet overtreden door geen versleuteling te gebruiken”, vraagt Van de Looy zich hardop af. “Dat had echt anders gemoeten.”

Snelle actie

In een reactie laat de website-eigenaar, farmaciegigant MSD, weten te schrikken van de bevindingen en belooft beterschap. “Zover wij wisten, was het systeem goed beveiligd. Wij hadden geen aanleiding om te vermoeden dat er iets mis is”, vertelt Hester de Voogd, voorlichter bij het bedrijf. “Nu we het weten gaan we daar natuurlijk wel iets mee doen. We nemen dit heel serieus. Het is fijn dat jullie ons hierop wijzen.”

Eigenlijk is dat bedankje gericht aan het adres van trouwe Webwereld-lezer Mark Sluis, die het probleem ontdekte en de redactie tipte.

MSD pareert de vraag of het wel aan een farmaceut is om een dergelijke website te hosten en ze bezweert dat zij zich niet met de inhoud van de bestellingen bemoeien. “Dat zou niet correct zijn en daarvoor is de site niet bedoeld”, stelt De Voogd. “Voor statistieken hoeven we dit ook niet te doen. Daar wordt onderzoek naar gedaan en die krijgen we langs andere weg. Nee dat hoeft niet via de website.”

Geen database

Desgevraagd ontkent De Voogd ook dat de patiëntgegevens of receptaanvragen in een database worden bewaard. “Gelukkig maar, want dat zou veel kwalijker zijn. Natuurlijk is het altijd wel zo dat voor het verwerken altijd iets wordt opgeslagen hoe kort ook”, reageert Van de Looy. Een belangrijke vaststelling concludeert hij, omdat ook bij bijvoorbeeld verzending van e-mail meestal niet versleuteld wordt gewerkt. “En e-mails worden wel opgeslagen.”

MSD stelt in een tweede reactie van mening te zijn de Wet bescherming persoonsgegevens niet te overtreden.

Update 13:12: Reactie over overtreden Wbp toegevoegd