De beveiliging van de patiëntportalen die ziekenhuizen aanbieden is nog te vaak onvoldoende omdat er voor het inloggen geen tweefactorauthenticatie wordt gebruikt. Dat stelt de Autoriteit Persoonsgegevens in een brief aan de Nederlandse Vereniging van Ziekenhuizen.

Steeds meer ziekenhuizen hebben een patiëntenportaal. Via zo’n portaal kunnen patiënten online hun gegevens inzien. Bij de toegang tot gegevens die onder het medisch beroepsgeheim vallen is patiënt-authenticatie, controleren of degene die wil inloggen daadwerkelijk de patiënt is, op het hoogste betrouwbaarheidsniveau vereist, zo laat de toezichthouder weten.

Dat betekent dat het niet betrouwbaar genoeg is als patiënten inloggen met alleen een gebruikersnaam en een wachtwoord, maar dat er nog een verificatiemiddel nodig is. Bijvoorbeeld een token of een sms-code. De aanleiding voor de brief (pdf) van de Autoriteit Persoonsgegevens is een onderzoek van Nictiz waaruit blijkt dat bij een aanzienlijk aantal patiëntenportalen geen gebruik wordt gemaakt van de vereiste tweefactorauthenticatie.

Alles bij de bron; Security