Boete voor het onvoldoende beveiligen van een website

De website van de orthodontiepraktijk bevatte een formulier voor het inschrijven van nieuwe patiënten (veelal minderjarigen). In dit formulier dienden de patiënten hun NAW-gegevens, geboortedatum, BSN, telefoonnummer(s), gegevens over school, huisarts, tandarts en de verzekeringsmaatschappij in te vullen. Door een betrokkene was een klacht ingediend bij de AP over het niet versleuteld verzenden van deze gegevens door de orthodontiepraktijk. Na onderzoek van de AP bleek inderdaad dat de communicatie met de website, waaronder het verzenden van een ingevuld inschrijvingsformulier, over een niet-versleutelde en dus onbeveiligde verbinding verliep. Hierdoor bestond het risico dat verzonden informatie onrechtmatig kon worden onderschept, uitgelezen en/of gewijzigd via een zogenoemde “man-in-the-middle-attack”.

In de privacywetgeving is vastgelegd dat persoonsgegevens middels ‘passende technische en organisatorische maatregelen’ moeten worden beveiligd. Wat passend is, hangt af van de stand van de techniek, kosten, aard, omvang en context van de persoonsgegevens die worden verwerkt en de risico’s voor de betrokkenen. Dat is uiteraard weinig concreet. Echter, nu het een orthodontiepraktijk betrof, en dus een gezondheidsinstelling die het BSN verwerkt, diende de website te zijn beveiligd conform NEN 7510 (welke nader is uitgewerkt in NEN 7510-1 en NEN 7510-2). In NEN 7510-2 worden maatregelen neergelegd t.a.v. cryptografie (het versleutelen van gegevens) en beveiliging van informatietransport. Voor het beveiligen van verbindingen via een website, zijn deze kaders door het Nationaal Cyber Security Centrum (NCSC) nog verder geconcretiseerd. Het NCSC geeft namelijk aan dat verbindingen op een website dienen te zijn beveiligd met een Transport Layer Security (TLS) protocol, welke wordt toegepast via het HTTPS-protocol aan de hand van een TLS-certificaat.

Wanneer via een website persoonsgegevens worden verwerkt, en al helemaal wanneer dit gevoelige persoonsgegevens zijn, dienen de verbindingen van deze website te worden beveiligd. Dit kan worden gedaan door het toepassen van een HTTPS-protocol aan de hand van een TLS-certificaat. Een TLS-certificaat kan in beginsel kosteloos worden verkregen, en het beveiligen van de verbindingen van een website hoeft dus ook geen dure aangelegenheid te zijn. Geen enkele reden dus om het niet te doen.

Wilt u meer weten over de regels die gelden voor het beveiligen van websites? Neem dan gerust contact op.

Natascha van Duuren, advocaat / managing partner IT, Privacy & Cybersecurity