De Autoriteit Persoonsgegevens (AP) heeft een orthodontiepraktijk op de vingers getikt voor het niet-versleuteld delen van (gevoelige) persoonsgegevens van nieuwe klanten. Uit deze casus, uit 2019, blijkt dat nieuwe klanten zich via een onveilig aanmeldformulier aan konden melden. Tegen deze uitspraak en de boete kan de betreffende praktijk nog beroep aantekenen bij de rechtbank.
Wat is er gebeurd?
De AP ontving een klacht over het versturen van nieuwe klantinformatie via een niet-versleutelde verbinding op de website van de orthodontiepraktijk. De AP constateerde dat er op de website onvoldoende passende maatregelen zijn getroffen ter bescherming van deze persoonsgegevens.
De AP stelde daarbij vast dat het in deze casus om zorggegevens gaat die extra gevoelig zijn en dus extra bescherming verdienen. Hierbij refereert AP aan de voor de zorg geldende NEN 7510 norm. Tevens ging het om gegevens, zoals het BSN, die mogelijk misbruikt kunnen worden bij bijvoorbeeld identiteitsfraude.
Ook weegt mee dat veel patiënten van de orthodontist minderjarig zijn. Deze groep verdient extra bescherming.
Relevantie voor ondernemend Nederland
Op basis van deze uitspraak, geeft de AP nadere invulling aan de eisen die vanuit de AVG worden gesteld. Een conclusie is dat HTTPS voor websites en TLS als technische oplossing noodzakelijk zijn om aan de aangehaalde standaarden in de zorg (NEN 7510) te kunnen voldoen.
Hoe staat het nu?
In 2018 bleek nog een kwart van de websites in Nederland geen gebruik te maken van HTTPS. In de afgelopen jaren ziet het DTC dat veel ondernemers hun bedrijfswebsites hebben beveiligd. Mede doordat internet browsers actief websites die niet voorzien zijn van HTTPS als onveilig zijn gaan aanmerken, zijn veel websites overgestapt op HTTPS.
In de praktijk betekent dit dat de communicatie tussen de gebruiker en de server veiliger is geworden. Maar is dat voldoende? Wil jij weten of een website veilig is en voldoet aan de meeste recente standaarden van bijvoorbeeld versleuteling, ga dan naar deze vragenlijst van het DTC of naar https://www.internet.nl.
Meer informatie over beveiligde communicatie vind je in het DTC bericht over de TLS richtlijnen.
Deze richtlijnen zijn ook te vinden bij het Nationaal Cyber Security Centrum.
Tot slot
Wil je meer weten over digitaal weerbaar ondernemen? Dan heeft het Digital Trust Center informatie en verschillende hulpmiddelen om jouw bedrijf verder te helpen, zoals een risicotool (welk digitaal risico loop ik) en de basisscan digitale weerbaarheid (waar sta ik).
Daarmee kan jij als ondernemer stappen zetten in de digitale weerbaarheid van jouw bedrijf.