“Let op het slotje in de adresbalk van de internetbrowser”. Een advies dat al sinds de jaren 90 geldt. Het slotje wordt namelijk weergegeven indien een verbinding tussen een computer en website is versleuteld. Indien de verbinding niet is versleuteld kunnen gegevens die worden uitgewisseld worden afgeluisterd en/of aangepast. Een kwaadwillende vestigt zich dan tussen de gebruiker en de website en tapt zo alle informatie af.
Indien een verbinding is versleuteld met behulp van een certificaat zijn de gegevens onleesbaar voor een kwaadwillende, maar wél leesbaar voor de gebruiker en website.
In de jaren 90 waarschuwden banken er reeds voor. Twee decennia later, omstreeks 2010, werd het de standaard bij grotere ondernemingen zoals Google en Facebook. Omstreeks 2015 werd het de standaard voor iedere website, groot of klein. Althans, voor bijna iedere website…
Boete
Zo heeft de Autoriteit Persoonsgegevens (‘AP’) onlangs een boete van EUR 12.000,- uitgedeeld aan een orthodontiepraktijk wegens het onvoldoende beveiligen van de website. De website kon namelijk tot 2019 geen versleutelde verbinding faciliteren met websitebezoekers.
Op zichzelf is dat geen probleem. Zolang er géén gevoelige informatie wordt uitgewisseld loopt een websitebezoeker geen aanvullende risico’s op schade. In het onderhavige geval bood de praktijk echter een online inschrijfformulier aan.
Nieuwe patiënten (overwegend jongeren) konden zich met dat formulier bij de praktijk inschrijven. Patiënten dienden hiervoor onder meer hun NAW-gegevens, geboortedatum, BSN, telefoonnummer(s), alsmede gegevens over hun school, huisarts, tandarts en verzekeringsmaatschappij in te vullen. De inschrijving werd vervolgens verzonden op de wijze zoals geïllustreerd in de eerste afbeelding; volledig inzichtelijk voor eventuele kwaadwillenden die op de loer lagen.
AVG en NEN7510
Artikel 32 van de Algemene Verordening Gegevensbescherming (‘AVG’) verplicht de verwerkingsverantwoordelijke gegevens te verwerken middels ‘passende technische en organisatorische maatregelen’. Om te kunnen beoordelen welke maatregelen passend zijn, moet worden gekeken naar de techniek, kosten, aard, omvang en context.
Als snelle controle is het daarom eenvoudiger om te onderzoeken welke beveiligingsmaatregelen de ‘maatman’ heeft geïmplementeerd. De maatman is een gemiddelde concurrent in eenzelfde sector. In het onderhavige geval betekent dat: een gemiddelde instelling in de gezondheidssector.
Als gezondheidsinstelling moet een orthodontiepraktijk patiëntgegevens verwerken conform de NEN7510-standaard. Deze standaard is voor alle gezondheidsinstellingen verplicht, en beoogt een minimumbeveiligingsstandaard in de zorg. Hierin worden ook handvatten gegeven voor de maatregelen die getroffen dienen te worden, waaronder versleuteling.
Resultaat
Met of zonder NEN7510 was het in 2018 reeds geruime tijd gemeengoed dat een gevoelige digitale gegevensuitwisseling slechts plaatsvond middels een versleutelde verbinding. Het verweer van de praktijk dat de websiteontwikkelaar nooit heeft gewezen op het bestaan van een dergelijke beveiliging doet daar vanzelfsprekend niets aan af. De praktijk is tenslotte volledig verantwoordelijk voor de beveiliging van (de verwerking van) persoonsgegevens.
Meer weten over de beveiliging van persoonsgegevens en verbindingen? Neem dan gerust contact op met Samuel Wiegerinck of één van de andere leden van het Privacy-team.