Advocaten en notariaat in Leiden en Den Haag
Menu
Overzicht Delen
IT, IE & Privacy

Boete voor het onvoldoende beveiligen van een website

Natascha van Duuren

23 juni 2021 - 2 minuten leestijd

Onlangs heeft de Autoriteit Persoonsgegevens (AP, de Nederlandse privacytoezichthouder) een boete uitgedeeld van €12.000,- aan een orthodontiepraktijk voor het onvoldoende beveiligen van de website. Hoe had de website beveiligd moeten zijn?

Reden van de boete

De website van de orthodontiepraktijk bevatte een formulier voor het inschrijven van nieuwe patiënten (veelal minderjarigen). In dit formulier dienden de patiënten hun NAW-gegevens, geboortedatum, BSN, telefoonnummer(s), gegevens over school, huisarts, tandarts en de verzekeringsmaatschappij in te vullen. Door een betrokkene was een klacht ingediend bij de AP over het niet versleuteld verzenden van deze gegevens door de orthodontiepraktijk. Na onderzoek van de AP bleek inderdaad dat de communicatie met de website, waaronder het verzenden van een ingevuld inschrijvingsformulier, over een niet-versleutelde en dus onbeveiligde verbinding verliep. Hierdoor bestond het risico dat verzonden informatie onrechtmatig kon worden onderschept, uitgelezen en/of gewijzigd via een zogenoemde “man-in-the-middle-attack”.

Beveiligen van een website

In de privacywetgeving is vastgelegd dat persoonsgegevens middels ‘passende technische en organisatorische maatregelen’ moeten worden beveiligd. Wat passend is, hangt af van de stand van de techniek, kosten, aard, omvang en context van de persoonsgegevens die worden verwerkt en de risico’s voor de betrokkenen. Dat is uiteraard weinig concreet. Echter, nu het een orthodontiepraktijk betrof, en dus een gezondheidsinstelling die het BSN verwerkt, diende de website te zijn beveiligd conform NEN 7510 (welke nader is uitgewerkt in NEN 7510-1 en NEN 7510-2). In NEN 7510-2 worden maatregelen neergelegd t.a.v. cryptografie (het versleutelen van gegevens) en beveiliging van informatietransport. Voor het beveiligen van verbindingen via een website, zijn deze kaders door het Nationaal Cyber Security Centrum (NCSC) nog verder geconcretiseerd. Het NCSC geeft namelijk aan dat verbindingen op een website dienen te zijn beveiligd met een Transport Layer Security (TLS) protocol, welke wordt toegepast via het HTTPS-protocol aan de hand van een TLS-certificaat.

Conclusie

Wanneer via een website persoonsgegevens worden verwerkt, en al helemaal wanneer dit gevoelige persoonsgegevens zijn, dienen de verbindingen van deze website te worden beveiligd. Dit kan worden gedaan door het toepassen van een HTTPS-protocol aan de hand van een TLS-certificaat. Een TLS-certificaat kan in beginsel kosteloos worden verkregen, en het beveiligen van de verbindingen van een website hoeft dus ook geen dure aangelegenheid te zijn. Geen enkele reden dus om het niet te doen.

Wilt u meer weten over de regels die gelden voor het beveiligen van websites? Neem dan gerust contact op.

Natascha van Duuren, advocaat / managing partner IT, IE & Privacy

Ook interessant?