Klantgegevens apotheken 'voor het oprapen'

De persoonsgegevens van patiënten lagen tot zeer onlangs 'voor het oprapen' op websites van apothekers. Dit blijkt uit onderzoek van het College Bescherming Persoonsgegevens (CBP). Ook gemeenten en een attractiepark bleken hun websites niet goed te hebben beschermd tegen hackers.

'We zijn geschrokken van de uitkomsten. Zelfs de eenvoudigste ABC'tjes voor een goede beveiliging waren niet op orde', zegt CBP-voorzitter Jacob Kohnstamm. Het CBP onderzocht de laatste maanden vijftien publieke en private bedrijven en instanties; negen onderzoeken lopen nog. De namen van de bedrijven worden niet bekendgemaakt.

Geen beleid
In de meeste onderzochte gevallen is er geen beleid om de persoonsgegevens van klanten te beschermen. Bij veel van de bedrijven ontstonden datalekken - onbeveiligde ingangen - omdat bijvoorbeeld een zogeheten https-verbinding ontbrak. Daarmee worden de gegevens van personen versleuteld zodat anderen er geen toegang tot kunnen krijgen. Ook wachtwoorden van klanten waren vaak niet goed beveiligd.

Voor hackers of fraudeurs was het kinderlijk eenvoudig herhaalrecepten van apotheekbezoekers in te zien. 'Een regelrecht gevaar voor de privacy', zegt Kohnstamm. 'Medische dossiers gaan niemand wat aan.' In andere gevallen lag identiteitsfraude op de loer. De onderzochte bedrijven en instanties zijn gewaarschuwd en de datalekken zijn alle gedicht.

Besef
Bedrijven die te maken hebben met persoonsgegevens moeten investeren in de beveiliging, zegt Kohnstamm. 'Dat kost geld, maar het besef moet doordringen. Tot nu toe was de beveiliging vaak sluitstuk in het ontwerp van een product of dienst, dat is niet meer houdbaar. De beveiliging van persoonsgegevens op internet moet topprioriteit hebben.'

Het CBP presenteert rond de zomer richtsnoeren voor beveiliging van persoonsgegevens. Staatssecretaris Teeven(Veiligheid en Justitie) werkt aan een wetsvoorstel om het CBP de bevoegdheid te geven boetes uit te delen aan bedrijven die zich niet houden aan die regels.