Van verschillende fysiotherapeuten heeft de Autoriteit Persoonsgegevens de vraag gekregen hoe zij het contactformulier op hun website moeten beveiligen. Zij vragen zich vooral af wanneer zij een beveiligde verbinding (https) moeten gebruiken. De Autoriteit Persoonsgegevens heeft daarom een brief met uitleg geschreven aan de KNGF, de overkoepelende vereniging van fysiotherapeuten. In deze brief licht de Autoriteit Persoonsgegevens toe hoe fysiotherapeuten de  beveiligingsnormen uit de Wet bescherming persoonsgegevens (Wbp) kunnen toepassen om het contactformulier op hun website goed te beveiligen.

- tekst gaat verder na deze advertentie -


FysioVacature, de vacaturesite voor de fysiotherapeut

Verwerking bijzondere persoonsgegevens

De belangrijkste vraag hierbij is of de fysiotherapeut via het contactformulier bijzondere persoonsgegevens verwerkt, waaronder gezondheidsgegevens en het burgerservicenummer (BSN) van patiënten.

Zo ja, dan moet de fysiotherapeut de gehele webapplicatie via https aanbieden.  Zo nee, dan moet de fysiotherapeut zelf op basis van een risicoanalyse en classificatieschema  vaststellen of het nodig is om de webapplicatie via https aan te bieden.

Beveiligingsstandaarden

De Wbp vereist dat de verantwoordelijke – in dit geval de fysiotherapeut – ‘passende’ beveiligingsmaatregelen treft om persoonsgegevens te beveiligen tegen bijvoorbeeld verlies.

Om te bepalen wat in dit geval passend is, heeft de Autoriteit Persoonsgegevens zich gebaseerd op 2 algemeen geaccepteerde beveiligingsstandaarden. Fysiotherapeuten moeten rekening houden met deze 2 standaarden als zij hun website (laten) bouwen.

Deze beveiligingsstandaarden zijn:

  • De NEN 7512:2015 norm. Deze beveiligingsnorm richt zich op elektronische communicatie in de zorg. De norm is van belang voor de beveiligde verzending van het contactformulier.
  • De NCSC ICT-Beveiligingsrichtlijnen voor webapplicaties (2015). Deze richtlijnen vormen een leidraad voor het veiliger ontwikkelen, beheren en aanbieden van webapplicaties en bijbehorende infrastructuur.

Begin deze maand bracht de toezichthouder ook het advies uit dat het ondersteunen van het verouderde sslv2 tot overtreding van de wet kan leiden. Daarvoor was bekend geworden dat websites daardoor kwetsbaar kunnen zijn voor de zogenaamde ‘Drown’-aanval.