Ik ben niet onder de indruk van het onderzoek als de resultaten zijn zoals Trouw het brengt. In plaats van dat het echt om veiligheid gaat lijkt het WICS en Trouw toch meer te gaan om de ophef en aandacht trekken. Waarom ik die mening heb?
Ruim een derde van de websites van ziekenhuizen is slecht beveiligd. Bij een kwart van de sites ontbreekt een beveiligde verbinding zelfs helemaal, waardoor gegevens die een patiënt op een webformulier invult onversleuteld worden verstuurd.
Een groot aantal van de sites zonder https heeft en had geen webformulier om persoonsgegevens te versturen. Maar dat melden ze niet. Kan je wel beweren dat het ontbreken van https een risico is, maar aan alles kleeft een risico. Dit is als klagen dat voetgangers onvoldoende beschermende kleding dragen in het verkeer. De vraag is of een risico acceptabel is in combinatie met het gebruik.
Patiënten moeten bij een op de drie ziekenhuizen hun gegevens via een slechtbeveiligde verbinding versturen
Moeten? Een patient heeft overal keuze om via een andere weg te communiceren. Telefonisch overal, post kan ook en afhankelijk van het onderwerp kan email ook gebruikt worden. De vraag is of patienten zelf verantwoordelijkheid nemen om een zorgvuldige keuze te maken. Het
moeten noemen gaat veel te ver.
Dat de beveiliging van de sites bij zoveel ziekenhuizen niet goed is geregeld, laat zien dat beveiligingsproblemen in alle vaten van het ziekenhuis zitten
Dat je websites van ziekenhuizen ontdekt zonder https of met zwakkere https dan aanbevolen maakt het nog geen beveiligingsprobleem. Een goede onderzoeker zet een vermeend gebrek aan beveiliging in het juiste perspectief. Zie ik niet terug in de uitspraken en beweringen.
Waarschijnlijk krijg ik hier kritiek op. Er zijn genoeg figuren die perse https willen omdat het kan, omdat https veiliger is en veiliger is altijd beter, omdat het niet zo ingewikkeld is als vroeger, enz. Ik heb weinig met zulke eisen. Er schort zeker veel aan de beveiliging en omgang met persoonsgegevens in de zorg. Maar dat is geen argument om dan willekeurig gebrek aan https als iets heel heel ergs te benoemen zonder eerlijk te zijn wat het uit maakt.
Websites zonder https zijn niet per definitie onveilig. Websites met perfecte https bij contactformulieren zijn niet perse veiliger (weet u of de data na de website per mail of vpn verder gaat?). Benoem aub wat echt onveilig is met een goede onderbouwing in plaats van mensen wijs te maken dat iets wat veiliger kan onveilig is en het allemaal heel heel erg is.