Onvoldoende beveiligde website kan boete opleveren

Onvoldoende beveiligde website kan boete opleveren


Wanneer je via je website persoonsgegevens verwerkt, dan dien je rekening te houden met een passend beveiligingsniveau. De Autoriteit Persoonsgegevens (AP) heeft een bestuurlijke boete van €12.000 opgelegd aan een orthodontiepraktijk. Deze praktijk had haar website onvoldoende beveiligd, terwijl er gevoelige informatie met patiënten via de site werd uitgewisseld.

Verwerking van persoonsgegevens

Op de website van de orthodontiepraktijk was een formulier opgenomen waarmee nieuwe patiënten zich konden inschrijven. Deze nieuw patiënten zijn met name minderjarigen. Onder meer de volgende gegevens werden gevraagd: NAW-gegevens, geboortedatum, BSN, telefoonnummers van de patiënt en de ouders, gegevens over de school, huisarts, tandarts en de verzekeringsmaatschappij.

Klacht over onbeveiligde website

De AP had de klacht ontvangen dat er op de website gevoelige gegevens werden gevraagd die vervolgens niet versleuteld werden verzonden. De AP gaat op basis van deze klant op onderzoek uit. 

De AP stelt vast dat de website van de orthodontiepraktijk niet beschikte over een zogenaamd “TLS-certificaat” Hierdoor werd er geen gebruik gemaakt van het “HTTPS-protocol”. De communicatie met de website verliep daardoor over een onbeveiligde verbinding. 

Via de onbeveiligde verbinding werden er dus gegevens van minderjarige naar de website verzonden. Hierbij ging het om gegevens die nauw verwant zijn aan de gezondheid van de patiënt en om de BSN-gegevens. 

Wat is HTTPS of TLS?

Even een klein beetje de techniek in. De afkorting TLS staat voor Transport Layer Security. Dit is een verbeterde en veiligere versie van het meer bekende encryptieprotocol SSL. De encryptieprotocollen SSL en TLS beveiligen de communicatie op het internet door het versleutelen van HTTP-verkeer. Wanneer een website is beveiligd met een SSL of TLS certificaat verschijnt het bekende hangslotje samen met “HTTPS” in de URL. HTTPS is de afkorting voor  Hyper Text Transfer Protocol Secure. Met de toepassing hiervan wordt gezorgd voor een beveiligde verbindingen tussen een webserver en een internetbrowser.

Geen correcte implementatie van NEN 7510

De AP rekent het de orthodontiepraktijk aan dat zij geen zorg heeft gedragen voor een correcte implementatie van NEN 7510.

Als professioneel zorgverlener had de orthodontiepraktijk zorg dienen te dragen voor de in artikel 32 lid 1 AVG bedoelde passende technische en organisatorische maatregelen. Voor het BSN geldt dat zij daartoe verplicht zijn op grond van de “regeling gebruik burgerservicenummer in de zorg”. Voor de overige gegevens die via het formulier werden verzonden, geldt dat NEN 7510 de in de zorg algemeen geaccepteerde beveiligingsstandaarden bevat. 

Passend beveiligingsniveau

Artikel 32 van AVG legt aan verwerkingsverantwoordelijke de plicht op om gegevens te verwerken middels “passende technische en organisatorische maatregelen”.

De AVG brengt het “passende beveiligingsniveau” in relatie tot het “verwerkingsrisico”. Overweging 83 bij de AVG voegt hieraan toe dat je om tot een passend niveau te komen mede rekening kan houden met de stand van de techniek en de uitvoeringskosten. Dit afgezet tegen de risico’s en de aard van de persoonsgegevens.

Omdat het hier om een gezondheidsinstelling gaat, moet de orthodontiepraktijk patiëntgegevens verwerken conform NEN 7510. Deze norm is voor alle gezondheidsinstellingen verplicht en geeft handvatten voor beveiligingsmaatregelen die getroffen dienen te worden. In hoofdstuk 10 van NEN 7510-2 wordt ingegaan op beheersmaatregelen met betrekking tot cryptografie. Zo is in paragraaf 10.1.1 vermeld dat, ter bescherming van informatie, een beleid voor het gebruik van cryptografische beheersmaatregelen behoort te worden ontwikkeld en geïmplementeerd.

Beveilig je website op een passende manier

Wanneer je via je website persoonsgegevens verwerkt, dan dien je dus rekening te houden met een passend beveiligingsniveau. Wat “passend” is zal van situatie tot situatie moeten worden beoordeeld. Het toepassen van het HTTPS protocol is vaak erg eenvoudig en zonder al te veel kosten te realiseren aan de hand van een TLS-certificaat.

Heb je nog vragen over het veilig uitwisselen van persoonsgegevens? Neemt dan gerust contact op of lees andere artikelen over dit onderwerp.