De Autoriteit Persoonsgegevens heeft een boete opgelegd aan een orthodontiepraktijk. Patiënten konden er zich namelijk via een onbeveiligde website aanmelden en dat mag niet. Een orthodontiepraktijk verwerkt gevoelige persoonsgegevens en moet dan ook voldoende beveiligingsmaatregelen treffen. Het toont aan dat je maar beter zorgvuldig met persoonsgegevens omgaat. MKBrecht.nl informeert je hierover.
Geen versleutelde gegevens bij een inschrijfformulier
De orthodontiepraktijk had op de website een formulier geplaatst dat (vaak minderjarige) patiënten gebruikten om zich in te schrijven. De patiënten dienden daarbij een aantal persoonsgegevens in te vullen, zoals hun geboortedatum, burgerservicenummer, telefoonnummer, school, huisarts, tandarts, verzekeringsmaatschappij en NAW-gegevens. Bij de Autoriteit Persoonsgegevens kwam er een klacht binnen: deze gevoelige gegevens werden klaarblijkelijk niet versleuteld. Hierdoor zouden kwaadwilligen via een zogenaamde person-in-the-middle-aanval de persoonlijke gegevens kunnen onderscheppen of wijzigen.
Na een onderzoek van de Autoriteit Persoonsgegevens bleek de klacht inderdaad te kloppen. Hoewel niet vaststaat dat er daadwerkelijk persoonsgegevens werden onderschept, legde de Autoriteit Persoonsgegevens de orthodontiepraktijk toch een boete van 12.000 euro op.
Strenge eisen aan beveiliging in de zorg
Er zijn verschillende redenen waarom de Autoriteit Persoonsgegevens zo streng optreedt. Enerzijds gaat het hier om de verwerking van persoonsgegevens in de zorg. In de zorg zijn de standaarden dan ook extra hoog. Daarnaast werden er gevoelige persoonsgegevens aan de patiënt gevraagd. Bovendien zijn patiënten van een orthodontiepraktijk vaak kinderen en worden kinderen als een extra kwetsbare groep beschouwd.
In de privacywetgeving is vastgelegd dat organisaties technische en organisatorische maatregelen moeten treffen om persoonsgegevens te beveiligen. Er is niet vastgelegd hoe zo’n beveiliging eruit moet komen te zien, want dit is afhankelijk van onder meer de context en de omvang van de persoonsgegevens, de kosten, de aard, de hoeveelheid persoonsgegevens, de risico’s enzovoort. De eisen die we aan de beveiliging moeten stellen, zullen dan ook per geval verschillen.
Hierbij geeft de Autoriteit Persoonsgegevens aan dat men in de zorg en bij persoonsgegevens van minderjarigen extra aandacht moet schenken aan de beveiliging. Volgens de Autoriteit Persoonsgegevens had de website van de orthodontiepraktijk aan de eisen van de norm NEN 7510 moeten voldoen. Hierbij is het versleutelen van gegevens noodzakelijk. Op basis van het kader van het NCSC (Nationaal Cyber Security Centrum) had de beveiliging via een TLS-protocol moeten gebeuren. Door de gegevens niet versleuteld te verzenden, voldeed de orthodontiepraktijk dus niet aan de strenge eisen die aan de beveiliging in de zorg worden gesteld.
Privacy-advies in de zorg
De Autoriteit Persoonsgegevens waakt nauwgezet over het verwerken en beveiligen van persoonsgegevens in de zorg. Zo kreeg het HagaZiekenhuis in Den Haag eerder al een boete van 460.000 euro – dit werd later door de rechtbank teruggebracht naar 350.000 euro – nadat bleek dat medewerkers onrechtmatig toegang hadden tot patiëntendossiers. Recent kreeg het Amsterdamse OLVG-ziekenhuis dan weer een boete van 440.000 euro omdat onder meer de beveiliging van de computersystemen niet op orde was.
Aan eenieder die actief is in de zorg, ongeacht of het nu gaat om een groot ziekenhuis of om een kleine praktijk, raden wij dan ook aan om zich juridisch te laten adviseren. Niet alleen over de manier waarop je persoonsgegevens moet beveiligen, maar ook over hoe je met persoonsgegevens moet en mag omgaan. Lees alvast meer over onze aanpak, tarieven en diensten.
MKBrecht.nl Bedrijfsjuristen & Advocaten
Met onze brede expertise binnen onze praktijkgebieden bedienen we cliënten in uiteenlopende sectoren. Van MKB, beursgenoteerde bedrijven en internationale ondernemingen tot (semi-)overheden en non-profit. We bieden juridische adviezen op alle niveaus, van boardroom tot individuele medewerker. Kenmerkend voor onze dienstverlening zijn de hoge kwaliteit, betrouwbaarheid en verdieping in specialismen.
Op zoek naar:
Meer weten over onze dienstverlening? Bel 085 25000 44