Fysiotherapie: veilige contact formulieren

Mark

Mark

4 min read
Fysiotherapie: veilige contact formulieren

Form Knox heeft een missie: veilige formulieren voor iedereen. Onze focus ligt op formulieren die (al dan niet gevoelige) persoonsgegevens verzamelen. Die vinden we veel in de zorg. Daarom doen wij per branch onderzoek naar de veiligheid van aanmeld- en contactformulieren. Vandaag is de fysiotherapie branch aan de beurt.

Meest gebruikte contactformulieren

Fysiotherapie praktijken maken veel gebruik van WordPress websites. Er staat vaak een contactformulier op de website om in contact te komen met nieuwe patiënten. Voor de meeste contactformulieren worden WordPress plugins gebruikt. We hebben onderzocht wat de meest gebruikte formulieren plugins zijn voor een groep van meer dan 1000 websites van fysiotherapie praktijken.

Meer dan de helft van de websites maakt gebruikt van een van bovenstaande plugins. Contact Form 7 wordt met afstand het meest gebruikt

U vraagt zich wellicht af waarom de website en specifiek de contactformulieren hierop relevant zijn. Het antwoord is simpel. Contactformulieren verzamelen persoonsgegevens. In het geval van fysiotherapie praktijken ook vaak bijzondere persoonsgegevens. Om de privacy van de gebruikers te beschermen moeten daarom de formulieren daarom voldoen aan de AVG. In hoeverre dit kan heeft te maken met het gebruikte formulier, en de configuratie hiervan.

De twee meest gemaakte fouten

Inzendingen worden verzonden naar naar mailbox

Het merendeel van de onderzochte praktijken maakt gebruik van bekende WordPress plugins. Deze plugins versturen inzendingen doorgaans door naar een mailbox. Dit is een probleem om drie reden:

  • Geen toegangsbeheer (geen controle over wie welke informatie ziet op welk moment)
  • Geen bewaartermijnen (inzendingen worden vaak niet uit een mailbox verwijderd)
  • Geen goede beveiliging (een mailserver is geen plek om privacy gevoelige iniformatie op te slaan)

Verouderde WordPress plugins

WordPress plugins moeten net als je computer regelmatig worden geüpdatet om de veiligheid van de software behouden. We hebben de gebruikte versies van de plugins onderzocht en kwamen tot de conclusie dat een groot deel verouderd was. We concludeerden dat meer dan 50% van de formulieren werd blootgesteld aan ten minste 1 veiligheidsrisico.

Van alle onderzochte websites gebruikte het meerendeel verouderde formulieren. Men loopt hiermee het risico dat iemand in de website kan inbreken en de verzamelde persoonsgegevens kan stelen.

Inbreken website

Voor elke plugin in de grafiek vonden we enkele websites die zelfs blootgesteld werden aan een kritiek veiligheidsrisico. In deze gevallen kan een kwaadwillende direct in een website inbreken. Deze risico’s zijn zo ernstig dat we deze praktijken zullen benaderen.

Overige plugins

Wordpress websites gebruiken vaak meerdere plugins tegelijk. We hebben alleen de formulieren plugins onderzocht. We nemen aan dat voor andere plugins hetzelfde geld en het is dus zeer aannemelijk dat u de plugins op uw website zal moeten updaten na het lezen van dit artikel. Wilt u weten hoe het gesteld is met de veiligheid van uw huidige website? We leggen uit hoe in ons blog: 'Hacker voor een dag, hack je eigen website'

Hoe om te gaan met deze risico’s

Verstuur inzendingen niet naar een mailbox. Sla de gegevens tijdelijk op in een goed beveiligde database. Let hierbij goed op drie dingen:

  1. Beveilig de database goed. Enkele voorbeelden van goede beveiliging:
    1. Sla de gegevens versleuteld op
    2. Gebruik een unieke gebruikersnaam (niet admin)
    3. Gebruik een sterk wachtwoord van ten minste 12 tekens, waarvan minimaal 1 hoofdletter, kleine letter, cijfer en speciaal teken. Een wachtwoord van 8 tekens is binnen 1 minuut gekraakt. Gebruik daarom een langere zin die je goed kunt onthouden.
    4. Gebruik waar mogelijk twee factor authenticatie
  2. Stel bewaartermijnen in. Persoonsgegevens mogen niet langer bewaard worden dan noodzakelijk. Zorg er voor dat de gegevens worden verwijderd zodra de termijn is verlopen.
  3. Beperk de toegang zo veel mogelijk. Zorg er voor dat alleen de personen die met de gegevens moeten werken bij de gegevens kunnen.

Neem de veiligheid van uw website serieus

  1. Laat uw website beheren door een professionele partij. Als u niet over de juiste kennis beschikt.
  2. Gebruik zo min mogelijk plugins. Hoe minder plugins, hoe minder kwetsbaarheden.
  3. Gebruik de meest recente versie van de plugins.
  4. Zorg er voor dat je gebruikersnaam niet is af te leiden uit je website zoals beschreven in 'Niemand weet, niemand weet, dat ik je gebruikersnaam weet'.
  5. Gebruik een sterk wachtwoord zoals uitgelegd in 'Hoe snel is jouw wachtwoord gekraakt? 8 letters, 1 minuut'.

Hoe Form Knox kan helpen

Onze missie is simpel: ‘veilige formulieren voor iedereen’. Daarom maken veilige formulieren heel toegankelijk.

Wij verzorgen de versleuteling van formulier inzendingen, de bewaartermijnen, het gebruikersbeheer en meer.

Dit doen we op twee manieren:

  1. Wij integreren met uw bestaande formulier. Inzendingen komen daarna binnen in onze beveiligde omgeving. U hoeft dus bijna niets te doen.
  2. We vervangen uw bestaande formulier met een Form Knox formulier. Inzendingen komen daarna binnen in onze beveiligde omgeving. Ook hier hoeft u dus bijna niets te doen.

Methodiek Onderzoek

Er zijn in Nederland ongeveer 14 duizend praktijken van fysiotherapeuten. Van ongeveer dan 1100 praktijken hebben we de website bezocht. Van ongeveer 720 websites konden we met zekerheid vaststellen dat er gebruik werd gemaakt van een WordPress website met plugins. We hebben onderzocht welke plugins er werden gebruikt, en welke versies. Vervolgens hebben we met behulp van openbare data onderzocht welke kwetsbaarheden bekend zijn voor deze plugins. Deze informatie ligt aan de basis van dit rapport.

Read more