< Terug

Boete voor het onvoldoende beveiligen van uw website

 

De landelijke toezichthouder op de privacy, de Autoriteit Persoonsgegevens (AP), heeft onlangs een boete van € 12.000 opgelegd aan een orthodontiepraktijk, omdat deze haar website onvoldoende had beveiligd. Hoe kunt u dit voorkomen?

 

Inschrijfformulier

Alle relevante gegevens. Op de (oude) website van de orthodontiepraktijk, die in juni 2010 online was gegaan, was een formulier te vinden voor het inschrijven van nieuwe patiënten, veelal minderjarigen. Op dit formulier moesten patiënten hun naw-gegevens, geboortedatum, BSN, telefoonnummer(s), gegevens over school, huisarts, tandarts en de verzekeringsmaatschappij invullen.

 

Klacht bij de AP

Niet versleuteld verzonden. Door een betrokkene is een klacht ingediend bij de AP. Volgens deze klager worden via het inschrijfformulier op de website van de orthodontiepraktijk gevoelige gegevens, zoals het BSN, gevraagd en ingevuld, maar worden de gegevens vervolgens via een onbeveiligde verbinding verzonden naar de praktijk.

Onbeveiligde verbinding. Na onderzoek van de AP bleek inderdaad dat de communicatie via de website, waaronder het verzenden van een ingevuld inschrijvingsformulier, over een niet-versleutelde en dus onbeveiligde verbinding verliep. Hierdoor bestond het risico dat verzonden informatie onrechtmatig kon worden onderschept, uitgelezen en/of gewijzigd via een zogenoemde ‘man-in-the-middle-aanval’.

 

Beveiligen van een website

In de privacywetgeving van de AVG (  https://www.autoriteitpersoonsgegevens.nl/nl/over-privacy/wetten/algemene-verordening-gegevensbescherming-avg ) is vastgelegd dat persoonsgegevens middels “passende technische en organisatorische maatregelen” moeten worden beveiligd. Wat passend is, hangt af van de stand van de techniek, kosten, aard, omvang en context van de persoonsgegevens die worden verwerkt en de risico’s voor de betrokkenen (patiënten). Dat is weinig concreet.

 

Instelling voor gezondheidszorg

Norm voor beveiliging. Omdat het een orthodontiepraktijk betrof en dus een gezondheidszorginstelling die het BSN en gegevens die nauw verwant zijn aan de gezondheid van de desbetreffende patiënt verwerkt, had de website beveiligd moeten zijn volgens de normen voor informatiebeveiliging in de zorg, de NEN 7510 ( https://www.nen.nl ).

 

Uitgewerkte beveiligingsnormen. Deze norm is nader uitgewerkt in de NEN 7510-1 en de NEN 7510-2. In de NEN 7510-2 worden bijv. maatregelen neergelegd ten aanzien van cryptografie (het versleutelen van gegevens) en beveiliging van informatietransport. Voor het beveiligen van verbindingen via een website, zijn deze kaders door het Nationaal Cyber Security Centrum (NCSC) ( https://www.ncsc.nl ) verder geconcretiseerd. Het NCSC geeft namelijk aan dat verbindingen op een website beveiligd moeten zijn met een Transport Layer Security (TLS)-protocol.

 

Gevoelige gegevens. Relevant is enerzijds de gevoelige aard van de gegevens welke via het inschrijvingsformulier konden worden verzonden en anderzijds de stand van de techniek en de daarmee samenhangende zeer geringe kosten van een versleutelde verbinding. Op deze grond concludeert de AP dat de praktijk geen passende technische en organisatorische maatregelen heeft getroffen om de verwerking van persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Daarmee heeft deze artikel 32 lid 1 van de AVG overtreden. De AP legt een boete op van € 12.000.

 

Wanneer via een website persoonsgegevens worden verwerkt, zeker als het om gevoelige persoonsgegevens gaat, moeten de verbindingen van deze website worden beveiligd. Dit kan worden gedaan door het toepassen van een Hypertext Transfer Protocol aan de hand van een TLS-certificaat, dat in beginsel kosteloos kan worden verkregen.