Zorgorganisaties lopen aanzienlijke risico’s bij het gebruik van Microsoft 365 en Google Workspace voor het versturen van gevoelige patiëntgegevens.
Dat blijkt uit een nieuw rapport van beveiligingsbedrijf Paubox. De studie onderzocht 180 e-mailgerelateerde datalekken in de zorg tussen januari 2024 en januari 2025 en analyseerde hoe de twee grootste cloudleveranciers bijdragen aan deze kwetsbaarheden.
Hoewel beide platforms encryptie toepassen, toont het rapport aan dat deze beveiliging vaak ontoereikend is. Google Workspace gebruikt in sommige gevallen verouderde TLS-versies, zoals TLS 1.0 of 1.1, die door beveiligingsexperts als onveilig worden beschouwd. Microsoft 365 gaat zelfs een stap verder door in specifieke configuraties gevoelige data als platte tekst te verzenden.
Het probleem ligt volgens Paubox niet alleen bij de technologie zelf, maar ook bij de verantwoordelijkheid die bij zorginstellingen wordt neergelegd. Microsoft en Google leveren de infrastructuur, maar verwachten dat klanten zelf zorgen voor een juiste implementatie van veilige e-mailinstellingen. Hierdoor ontstaat een situatie waarin gebruikers ten onrechte aannemen dat hun communicatie automatisch aan wet- en regelgeving voldoet.
Instellingen onderschatten risico’s
Een opvallende bevinding uit het rapport is de kloof tussen perceptie en realiteit. 92 procent van de IT-leiders in de zorgsector zegt dat hun organisatie bestand is tegen e-mailgerelateerde datalekken. Tegelijkertijd laat het rapport zien dat veel instellingen cruciale beveiligingsmaatregelen niet toepassen of niet weten te controleren of hun e-mails daadwerkelijk veilig verzonden worden.
Paubox adviseert zorginstellingen om het gebruik van end-to-end encryptie te overwegen, TLS-versies actief te monitoren en e-mailverkeer periodiek te testen. Daarbij onderstreept het rapport dat vertrouwen op standaardconfiguraties van grote techbedrijven niet volstaat om patiëntgegevens adequaat te beschermen.
Het rapport dient als wake-upcall voor een sector die steeds digitaler werkt, maar waarvan de digitale communicatie in veel gevallen kwetsbaarder is dan gedacht. De conclusie is duidelijk: zonder extra maatregelen blijft e-mail een onvoorspelbare en onveilige schakel in het beheer van medische gegevens.
Lees ook: Oracle waarschuwt klanten dat patiëntendata gelekt is