Nieuws
image

D66 vraagt Schippers om aanpak van zorgsites zonder https

maandag 21 augustus 2017, 13:40 door Redactie, 9 reacties

D66 heeft minister Schippers van Volksgezondheid gevraagd om zorgsites die geen gebruik van een beveiligde https-verbinding maken aan te pakken. Aanleiding is recent onderzoek onder ruim 22.000 websites waaruit blijkt dat een meerderheid (61 procent) geen htttps ondersteunt.

Kamerleden Pia Dijkstra en Verhoeven van D66 hebben Schippers nu om een reactie gevraagd. Zo moet de minister laten weten waarom minder dan een kwart van de websites van de geestelijke gezondheidszorg, verloskundigen, thuiszorg en fysiotherapie een veilige verbinding afdwingt. Ook vragen de Kamerleden welke mogelijkheden Schippers ziet om deze situatie aan te pakken en of de minister het ermee eens is dat gegevens in de zorgsector goed beschermd moeten zijn. De minister heeft drie weken de tijd om de vragen te beantwoorden (pdf).

Reacties (9)
21-08-2017, 14:01 door Anoniem
Geen https zegt zo weinig.

Mijn fysio heeft ook een site: geen contactformulier te bekennen.
Alles gaat over de email.

Maar die email, daar is dan wel weer van alles mis mee.

En stel dat deze fysio wel https en een contactformulier had, dan hadden mijn PII op een shared server gestaan van bedrijven die weinig kaas hebben gegeten van privacy. Over slechte ideeen gesproken.
21-08-2017, 17:15 door Anoniem
Door Anoniem: Geen https zegt zo weinig.

Mijn fysio heeft ook een site: geen contactformulier te bekennen.
Alles gaat over de email.

Maar die email, daar is dan wel weer van alles mis mee.

En stel dat deze fysio wel https en een contactformulier had, dan hadden mijn PII op een shared server gestaan van bedrijven die weinig kaas hebben gegeten van privacy. Over slechte ideeen gesproken.

Zonder https is een MitM attack mogelijk. Even alsnog een "officieel" contact formulier toevoegen voor een nieuwe dienst.
21-08-2017, 20:00 door Anoniem
Https maakt niet onkwetsbaar voor MITM-aanvallen: lees https://www.google.nl/url?sa=t&source=web&rct=j&url=https://news.netcraft.com/archives/2016/03/17/95-of-https-servers-vulnerable-to-trivial-mitm-attacks.html&ved=0ahUKEwikwvDN8-jVAhVHbFAKHUTkCE8QFggjMAE&usg=AFQjCNErh_VdGEGKfqFeTSJ9PojzaWQt_A.
21-08-2017, 20:11 door Anoniem
Toch tragisch dat als je niet in zo'n bericht vermeldt dat er gratis SSL/TLS/https-certificaten van Let's Encrypt verkrijgbaar zijn en D66 dus een schot voor open doel mist in het voordragen van verplichtingen voor websiteontwi?kelaars, hostingproviders enz. Alleen hapklare brokken werken bij de Haagse keffende pseudo-hoeders van onze veiligheid!
21-08-2017, 20:24 door karma4
Door Anoniem:
Door Anoniem: Geen https zegt zo weinig.

Mijn fysio heeft ook een site: geen contactformulier te bekennen.
Alles gaat over de email.

Maar die email, daar is dan wel weer van alles mis mee.

En stel dat deze fysio wel https en een contactformulier had, dan hadden mijn PII op een shared server gestaan van bedrijven die weinig kaas hebben gegeten van privacy. Over slechte ideeen gesproken.

Zonder https is een MitM attack mogelijk. Even alsnog een "officieel" contact formulier toevoegen voor een nieuwe dienst.
De vraag is me er of wen mitm aanval voor dd hand liggend is als er veel andere gemakkelijke manieren zijn.
Een webformulier inbouwen waar die niet bestond en niet aangekondigd is moet alarmbellen laten afgaan. De mitm zit bij de de bekabelaar? Dan is er een veel groter probleem.

Kijk eens als een inbreker. Waar weinig te halen valt is de beveiliging slecht op orde. Het is pas opvallend ala er een zware kostbare beveiliging is met vlak er naast vergeten zaken zoals een makkelijk bereikbare bovenverdieping met slecht sluitwerk. Dan is zichtbare dakvenster op een gevaarlijk dak het minste van her geheel ook als dat heel makkelijk open te krijgen.
21-08-2017, 21:43 door Anoniem
De richtsnoeren van het voormalige CBP zijn heel duidelijk; indien er persoonsgegevens via een webformulier ingevoerd of opgevraagd kan worden, dan dient die verbinding voldoende beveiligd te zijn, zoals met httpS.
Ik heb meerdere zorgverleners en de Autoriteit Persoonsgegevens (AP) hierop geattendeerd en tot op heden is daar weinig meegedaan.
In plaats een minister iets te vragen, kan de politiek beter gaan eisen dat AP haar taak zou gaan uitvoeren. AP moet hier boetes voor gaan uitdelen en let dan eens op hoe snel die sites opeens wel https ondersteunen. En zoals hier boven is aangegeven, het certificaat hoeft je niets te kosten, de implementatie is goed beschreven en het kan vrij vlot uitgevoerd zijn.
22-08-2017, 09:41 door Anoniem
De eerste reactie samen met die van 21:43 halen de punten aan waar de Kamerleden het laten liggen.

Https is voor gemiddelde Nederlanders een term die ze nog kunnen begrijpen. Kamerleden verschillen mogelijk weinig van gemiddelde Nederlanders, net als de ondernemers en zorgverleners die een website hebben.

Het is een gemis dat de discussie op het lage niveau blijft hangen. Met een beetje geld heb je makkelijk een domein en website, maar nog geen verstand van bijvoorbeeld goed toepassen van wetgeving op gebied van privacy, financiën of zorg. Daar zou de focus inmiddels moeten liggen.
22-08-2017, 10:56 door Anoniem
Door Anoniem: De richtsnoeren van het voormalige CBP zijn heel duidelijk; indien er persoonsgegevens via een webformulier ingevoerd of opgevraagd kan worden, dan dient die verbinding voldoende beveiligd te zijn, zoals met httpS.
Ik heb meerdere zorgverleners en de Autoriteit Persoonsgegevens (AP) hierop geattendeerd en tot op heden is daar weinig meegedaan.
In plaats een minister iets te vragen, kan de politiek beter gaan eisen dat AP haar taak zou gaan uitvoeren. AP moet hier boetes voor gaan uitdelen en let dan eens op hoe snel die sites opeens wel https ondersteunen. En zoals hier boven is aangegeven, het certificaat hoeft je niets te kosten, de implementatie is goed beschreven en het kan vrij vlot uitgevoerd zijn.

de vraag is niet OF de AP de boetes wil uitdelen (of waarschuwingen) maar meer of ze voldoende resources krijgen om dit te doen (lees; menskracht)
22-08-2017, 15:15 door Anoniem
Door Anoniem: De richtsnoeren van het voormalige CBP zijn heel duidelijk; indien er persoonsgegevens via een webformulier ingevoerd of opgevraagd kan worden, dan dient die verbinding voldoende beveiligd te zijn, zoals met httpS.
Ik heb meerdere zorgverleners en de Autoriteit Persoonsgegevens (AP) hierop geattendeerd en tot op heden is daar weinig meegedaan.
In plaats een minister iets te vragen, kan de politiek beter gaan eisen dat AP haar taak zou gaan uitvoeren. AP moet hier boetes voor gaan uitdelen en let dan eens op hoe snel die sites opeens wel https ondersteunen. En zoals hier boven is aangegeven, het certificaat hoeft je niets te kosten, de implementatie is goed beschreven en het kan vrij vlot uitgevoerd zijn.

Ja maar waar de overheid zich niet aan haar eigen wetten en regels houdt, kan ik me voorstellen dat anderen ook niet zo geneigd en genegen zijn zich aan die regels te houden. Een vis rot vanaf de kop.
Dus: én zelf het goede voorbeeld geven én handhaven. De AP handhaaft nu soms ineens heel streng en op andere momenten laten ze van alles lopen. Dat maakt ook niet zo'n consistente indruk, zeg maar. Met geldgebrek lijkt dat weinig te maken te hebben, meer met sturing.

(zelfde als bij de Belastingdienst: bezuinigen op manieren om snel meer inkomsten te genereren is natuurlijk nooit bedrijfseconomisch te onderbouwen. Daar moet een andere reden achter zitten, politiek, eigenbelang, gestoord, etc)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure