image

AP geeft orthodontiepraktijk boete wegens inschrijfformulier zonder https

donderdag 10 juni 2021, 17:02 door Redactie, 13 reacties

De Autoriteit Persoonsgegevens heeft een orthodontiepraktijk een boete van 12.000 euro opgelegd omdat de website waarop patiënten zich konden inschrijven geen gebruik van https maakte. Daardoor werden gevoelige gegevens van patiënten, zoals burgerservicenummer, onversleuteld verstuurd en zouden door kwaadwillenden kunnen worden onderschept.

De toezichthouder ontving eind 2018 een klacht dat het online inschrijfformulier van de orthodontiepraktijk geen gebruik van https maakte. Dit formulier bevatte velden voor naam, adresgegevens, geboortedatum, BSN, telefoonnummers van de patiënt en de ouders, gegevens over de school, huisarts, tandarts en de verzekeringsmaatschappij.

De AVG stelt dat bij het verwerken van persoonsgegevens er "passende technische en organisatorische maatregelen" moeten worden getroffen om onder meer verlies of onrechtmatige verwerking van de gegevens te voorkomen. "Deze maatregelen dienen een passend beveiligingsniveau te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten, de risico’s van de verwerking en de aard van de te beschermen gegevens", aldus de AP.

Door het niet gebruiken van https nam de orthodontiepraktijk geen passende technische en organisatorische maatregelen en heeft daarmee de AVG overtreden, zo stelt de toezichthouder. Die zou voor de overtreding een boete van tussen de nul en 200.000 euro kunnen opleggen, waarbij de basisboete 100.000 euro bedraagt. Mede vanwege de draagkracht van de onderneming kwam de toezichthouder uit op een boete van 12.000 euro. De orthodontiepraktijk maakte bezwaar tegen de opgelegde boete, maar de Autoriteit Persoonsgegevens verklaarde het bezwaar ongegrond. Daarop stapte de praktijk naar de rechter, die nog uitspraak moet doen.

"Je moet ervan uit kunnen gaan dat je zorgverleners niet alleen vertrouwelijk met je gegevens omgaan, maar dat ze ook de beveiliging van je gegevens uiterst serieus nemen en goed op orde hebben. Helaas is dat niet altijd het geval. Als de vertrouwelijkheid van deze gevoelige informatie wordt geschonden, kan dat voor iemand een groot risico betekenen. Dit kan bijvoorbeeld leiden tot oplichting", zegt AP-vicevoorzitter Monique Verdier.

Reacties (13)
10-06-2021, 17:10 door Anoniem
Ben benieuwd of hier ook gebruik is gemaakt van responsible disclosure van de klager; eerst even de praktijk erop wijzen dat de beveiliging een aandachtspuntje is. Dat levert op korte en lange termijn vaak meer (veiligheid) op voor alle betrokkenen, ipv zo'n boete... Tenzij de praktijk het natuurlijk willens en wetens zo heeft gelaten.
10-06-2021, 17:16 door Anoniem
Het ergste is eigenlijk nog dat ze bezwaar maken / in beroep gaan.
Je zou ook kunnen zeggen 'we fucked up' en jezelf verbeteren. Uiteindelijk... is dat wat je deed. En niet een heel klein beetje.

Dit is dus een praktijk waar je niet moet zijn. Als de beginselen van fatsoenlijk met elkaar omgaan al de mist in gaan...
10-06-2021, 17:27 door Anoniem
"De AVG stelt dat bij het verwerken van persoonsgegevens er "passende technische en organisatorische maatregelen" moeten worden getroffen om onder meer verlies of onrechtmatige verwerking van de gegevens te voorkomen."
Tipje voor de AP duik eens in de wereld van 'het theater'. Vrijwel nergens kun je nog kaartjes online kopen zonder jouw privacy te gronde te richten. Recentelijk nog bij Het Klooster in Woerden kaartjes willen kopen, draait tijdens het bestellen (dus ook waar jij jouw persoonsgegevens in mag vullen) scripts van Facebook en Google mee (daar blijft het overigens niet bij).
Sla dan helaas over om te bestellen dat is zo jammer, dat drie keer; artiest, theater en ik.
10-06-2021, 18:59 door karma4
Door Anoniem: Het ergste is eigenlijk nog dat ze bezwaar maken / in beroep gaan.
Je zou ook kunnen zeggen 'we fucked up' en jezelf verbeteren. Uiteindelijk... is dat wat je deed. En niet een heel klein beetje.

Dit is dus een praktijk waar je niet moet zijn. Als de beginselen van fatsoenlijk met elkaar omgaan al de mist in gaan...
Geef even aan wat het risico in de praktijk is van http vs https.
Als de computer van de klant gehackt is dan maakt het weinig uit.
Als de computer van de praktijk gehackt is, dan maakt het weinig uit.

Blijft over degene die computervredebreuk pleegt door ds verbinding te hacken. Alle addins plugins op de vele websites die gewoon meekijken daar geeft de AP niet thuis. Dat is massaal en al vele jaren bekend.

In dit theoretisch geval is het reageren op een klacht. Als de politie zo te werk zou gaan dan gingen ze behoorlijk nat bij de rechter.
Kwalijker ze hanteren nu een argument met de laatste stand der techniek waar ze zelf voodtdurend falen. Denk aan autenticatie en biometrie. Het is helaas een gedrag dat past bij de big brother houding van de AP.
10-06-2021, 19:28 door Anoniem
Als de politie zo te werk zou gaan dan gingen ze behoorlijk nat bij de rechter.
En om welk wettelijk voorschrift gaat het waar de politie dan volgens u 'nat' gaat bij de rechter?
Graag even ook de jurisprudentie erbij halen van de casus, want hier kan ik dus echt niets mee.
10-06-2021, 20:02 door Anoniem
Tja dan denkt die tandartspraktijk natuurlijk "hoe moeten we dat oplossen onze budgethoster heeft geen https" en dan is er gelukkig het handige neefje wat weet dat je dit simpel kunt oplossen met een Google form.

Dan is AP tevreden en de klant is netto slechter af want nu kunnen niet "kwaadwillenden" (die er waarschijnlijk niet zijn) de boel afluisteren maar komt gewoon alle data in de Google molen.

En zo vallen we steeds verder terug door de AVG.
10-06-2021, 23:19 door Anoniem
Nou GGD, maak je borst maar nat.
Door incompetent personeel aan te nemen en door gebruik van brakke software heeft er bij jullie een datalek plaatsgevonden waar de mogelijke datalek bij die orthodontist maar een paar druppeltjes zijn.
Dat wordt dus sparen voor een boete van een paar miljoen euro.
11-06-2021, 01:17 door Anoniem
Door Anoniem: Het ergste is eigenlijk nog dat ze bezwaar maken / in beroep gaan.
Je zou ook kunnen zeggen 'we fucked up' en jezelf verbeteren. Uiteindelijk... is dat wat je deed. En niet een heel klein beetje.

Dit is dus een praktijk waar je niet moet zijn. Als de beginselen van fatsoenlijk met elkaar omgaan al de mist in gaan...

In het artikel van Tweakers staat de orthodontist gequote, en ik parafrasseer hier: "Er is mij nooit door de ontwikkelaar van de website verteld dat dit kon".

Ik ben geen jurist maar ik kan de beste man (helaas) ergens wel begrijpen dat als professional een website voor je maakt. Dat die dan ook zorgt dat het goed zit.

Ik ben ook benieuwd wat de rechter hierover te zeggen heeft. En wie aansprakelijk is hier.
11-06-2021, 08:03 door Anoniem
Door karma4:
Door Anoniem: Het ergste is eigenlijk nog dat ze bezwaar maken / in beroep gaan.
Je zou ook kunnen zeggen 'we fucked up' en jezelf verbeteren. Uiteindelijk... is dat wat je deed. En niet een heel klein beetje.

Dit is dus een praktijk waar je niet moet zijn. Als de beginselen van fatsoenlijk met elkaar omgaan al de mist in gaan...
Geef even aan wat het risico in de praktijk is van http vs https.
Als de computer van de klant gehackt is dan maakt het weinig uit.
Als de computer van de praktijk gehackt is, dan maakt het weinig uit.
Als het wifi-netwerk van de klant niet beveiligd is en afgeluisterd wordt maakt het wel uit.
Als de router van de klant gehackt is dan maakt het wel uit.
Als de router van de internetprovider van de klant gehackt is dan maakt het wel uit.
Als de router van de internetprovider van de praktijk gehackt is dan maakt het wel uit.
Als er ergens langs de verbinding het internetverkeer wordt afgeluisterd, dan maakt het wel uit.
En heb ik het nog niet eens gehad over DNS spoofing of BGP hijjacks.

Wat zijn de kosten om het goed in te richten? Nihil.

Met andere woorden, er is geen enkel excuus om deze basale en goedkope beveiligingsmaatregel te nemen om zo de uitgewisselde persoonsgegevens te beschermen tegen een ongeoorloofde verwerking door een derde partij.
11-06-2021, 17:24 door Anoniem
Door Anoniem: In het artikel van Tweakers staat de orthodontist gequote, en ik parafrasseer hier: "Er is mij nooit door de ontwikkelaar van de website verteld dat dit kon".
Dat komt uit het rapport van AP.

Ik ben geen jurist maar ik kan de beste man (helaas) ergens wel begrijpen dat als professional een website voor je maakt. Dat die dan ook zorgt dat het goed zit.
Aan de ene kant: ja, dat is niet veel anders dan erop vertrouwen dat de loodgieter die je inschakelt weet hoe die buizen aan elkaar moet solderen zonder dat er gas gaat lekken. Je hoeft als klant zelf geen verstand van soldeerverbindingen te hebben, en ze dus ook niet te hoeven kunnen controleren, daar huur je nou juist iemand voor in.

Maar aan de andere kant: bij medische informatiebeveiliging geldt wel dat medische organisaties horen te weten dat er een norm is waar die aan moeten voldoen: NEN 7510. Met die kennis kost het maar een simpele zoekopdracht om een informatiepagina van NEN zelf daarover te vinden waarin heel wat wordt verteld over wat erbij komt kijken om eraan te voldoen. Een zoekopdracht op NEN7510 en orthodontie levert diverse praktijken op die melden dat ze aan de norm voldoen, dus kennelijk is dat voor elkaar te krijgen. Een praktijk waar men geen idee van dit alles heeft zou wel eens ernstig nalatig kunnen zijn geweest.

Ik ben ook benieuwd wat de rechter hierover te zeggen heeft. En wie aansprakelijk is hier.
Daar ben ik ook benieuwd naar. De afweging hoeft niet dezelfde te zijn die AP maakt, en dan is jurisprudentie erover belangrijk.
12-06-2021, 16:18 door karma4
Door Anoniem:
Als het wifi-netwerk van de klant niet beveiligd is en afgeluisterd wordt maakt het wel uit.
Als de router van de klant gehackt is dan maakt het wel uit.
Als de router van de internetprovider van de klant gehackt is dan maakt het wel uit.
Als de router van de internetprovider van de praktijk gehackt is dan maakt het wel uit.
Als er ergens langs de verbinding het internetverkeer wordt afgeluisterd, dan maakt het wel uit.
En heb ik het nog niet eens gehad over DNS spoofing of BGP hijjacks.

Wat zijn de kosten om het goed in te richten? Nihil.

Met andere woorden, er is geen enkel excuus om deze basale en goedkope beveiligingsmaatregel te nemen om zo de uitgewisselde persoonsgegevens te beschermen tegen een ongeoorloofde verwerking door een derde partij.
Je argumenten hebben het niveau van "als de hemel naar beneden valt dan zijn alle mussen dood". Ik zie geen enkele onderbouwing van iets wat realistisch in de praktijk is.
Een router van de klant gehackt... en dat zou door https opgelost worden grmpf... Dat je dat niet als onzinnig ziet, vreemd.

Wat je ook zo tussendoor doet is dat het op die specifieke technische manier moet want anders is het niet goed. Dat is niet de taak van de AP om er zo in te steken de AVG is techniek neutraal. Ze zijn dan meteen in tegenspraak met zichzelf want biometrie voor autenticatie en beveiliging vinden ze juist eng en niet goed.

Bllijft over het acteren op aangeven van een derde, een stasi big brother had dat als de basis. Ben je daar tegen dan kan je dit van de AP ook niet goed vinden.
12-06-2021, 20:18 door Erik van Straten
Door karma4: Een router van de klant gehackt... en dat zou door https opgelost worden grmpf...
Ja nou en of. En ook de andere kwetsbaarheden die Anoniem 11-06-2021 08:03 beschreef.
16-06-2021, 06:11 door karma4
Door Erik van Straten:
Door karma4: Een router van de klant gehackt... en dat zou door https opgelost worden grmpf...
Ja nou en of. En ook de andere kwetsbaarheden die Anoniem 11-06-2021 08:03 beschreef.
Kwetsbaarheden zijn geen datalekken. Alleen een dictatoriaal ingesgelde instantie met big brother neigingen zal een wet zo trachten te vervormen.

Kun je aangeven waar en hoe kwetsbaarheden onder de GDPR vallen? Gebruik dasrvoor aub de engelstalige versie met die definities om vertaalproblemen en eigen uitleg te vermijden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.