We gebruiken cookies om content en advertenties te personaliseren, om sociale mediafuncties aan te bieden en om ons verkeer te analyseren. We delen ook informatie over uw gebruik van onze site met onze sociale media-, advertentie- en analysepartners, die deze kunnen combineren met andere informatie die u aan hen heeft verstrekt of die zij hebben verzameld op basis van uw gebruik van hun diensten.
Onze privacyverklaring:
Hieronder kunt u kiezen voor welke doeleinden u cookies op de website van De Clercq wilt toestaan.
De website van de orthodontiepraktijk bevatte een formulier voor het inschrijven van nieuwe patiënten (veelal minderjarigen). In dit formulier dienden de patiënten hun NAW-gegevens, geboortedatum, BSN, telefoonnummer(s), gegevens over school, huisarts, tandarts en de verzekeringsmaatschappij in te vullen. Door een betrokkene was een klacht ingediend bij de AP over het niet versleuteld verzenden van deze gegevens door de orthodontiepraktijk. Na onderzoek van de AP bleek inderdaad dat de communicatie met de website, waaronder het verzenden van een ingevuld inschrijvingsformulier, over een niet-versleutelde en dus onbeveiligde verbinding verliep. Hierdoor bestond het risico dat verzonden informatie onrechtmatig kon worden onderschept, uitgelezen en/of gewijzigd via een zogenoemde “man-in-the-middle-attack”.
In de privacywetgeving is vastgelegd dat persoonsgegevens middels ‘passende technische en organisatorische maatregelen’ moeten worden beveiligd. Wat passend is, hangt af van de stand van de techniek, kosten, aard, omvang en context van de persoonsgegevens die worden verwerkt en de risico’s voor de betrokkenen. Dat is uiteraard weinig concreet. Echter, nu het een orthodontiepraktijk betrof, en dus een gezondheidsinstelling die het BSN verwerkt, diende de website te zijn beveiligd conform NEN 7510 (welke nader is uitgewerkt in NEN 7510-1 en NEN 7510-2). In NEN 7510-2 worden maatregelen neergelegd t.a.v. cryptografie (het versleutelen van gegevens) en beveiliging van informatietransport. Voor het beveiligen van verbindingen via een website, zijn deze kaders door het Nationaal Cyber Security Centrum (NCSC) nog verder geconcretiseerd. Het NCSC geeft namelijk aan dat verbindingen op een website dienen te zijn beveiligd met een Transport Layer Security (TLS) protocol, welke wordt toegepast via het HTTPS-protocol aan de hand van een TLS-certificaat.
Wanneer via een website persoonsgegevens worden verwerkt, en al helemaal wanneer dit gevoelige persoonsgegevens zijn, dienen de verbindingen van deze website te worden beveiligd. Dit kan worden gedaan door het toepassen van een HTTPS-protocol aan de hand van een TLS-certificaat. Een TLS-certificaat kan in beginsel kosteloos worden verkregen, en het beveiligen van de verbindingen van een website hoeft dus ook geen dure aangelegenheid te zijn. Geen enkele reden dus om het niet te doen.
Wilt u meer weten over de regels die gelden voor het beveiligen van websites? Neem dan gerust contact op.
Natascha van Duuren, advocaat / managing partner IT, Privacy & Cybersecurity