Beveiliging van contactformulieren

0

De Autoriteit Persoonsgegevens stuurde 15 maart jl. een brief aan de KNGF, de branchevereniging van fysiotherapeuten, over de beveiliging van persoonsgegevens op websites[1]. De brief vloeit voort uit meerdere vragen over de wijze waarop websites waarop een contactformulier staat beveiligd moeten worden.

In de brief schrijft de Autoriteit Persoonsgegevens hoe zij bij dergelijke websites de wettelijke norm om persoonsgegevens te beveiligen interpreteert. Hoewel de brief is gericht aan fysiotherapeuten, is de toelichting ook voor andere organisaties met websites met een contactformulier van belang.

Kort gezegd komt het neer op het volgende.

Passende beveiligingsmaatregelen: https

Artikel 13 van de Wet bescherming persoonsgegevens (Wbp) bevat de norm om passende technische en organisatorische maatregelen te treffen voor de beveiliging van persoonsgegevens. Wat in een concreet geval ‘passend’ is hangt van meerdere zaken af. Bijvoorbeeld van de gegevens die verwerkt worden, de stand van de techniek, de kosten van maatregelen en bijvoorbeeld in de praktijk gangbare standaarden. Voor de zorgsector is in dit kader onder meer NEN 7512:2015[2] van belang. Deze norm geeft minimumeisen over de bron van de gegevens, het transportkanaal en de ontvanger van de gegevens. Op webapplicaties zijn de NCSCICT-Beveiligingsrichtlijnen voor webapplicaties (2015) van toepassing[3].

Als via een contactformulier op de website bijzondere persoonsgegevens verwerkt worden, moet de webapplicatie via https worden aangeboden. Dat geldt voor de gehele webapplicatie, niet slechts voor het contactformulier. Gezondheidsgegevens en BSN zijn bijzondere persoonsgegevens.

Indien uitsluitend andersoortige gegevens worden verwerkt geldt (nog steeds) de algemene norm van artikel 13 Wbp. Een organisatie moet dan zelf op basis van een risicoanalyse en classificatieschema vaststellen of de webapplicatie via https wordt aangeboden, dan wel of andere maatregelen nodig zijn.

Relevantie voor andere organisaties

Hoewel de brief is gericht tot fysiotherapeuten, vormt de toelichting op de beveiligingsnorm uit artikel 13 Wbp ook voor andere zorgaanbieders een welkome verduidelijking. Het kan deze organisaties helpen de invulling van wat in een concreet geval ‘passend’ is.

[1] Zie www.autoriteitpersoonsgegevens.nl.

[2] In andere sectoren gelden – soms – andere uitwerkingen van de algemene norm om passende beveiligingsmaatregelen te treffen.

[3] Zie www.ncsc.nl. De  e ICT-Beveiligingsrichtlijnen voor Webapplicaties van het Nationaal Cyber Security Centrum (NCSC) vormen een leidraad voor het veiliger ontwikkelen, beheren en aanbieden van webapplicaties en bijbehorende infrastructuur.

Deel via:

Over de auteur

Monique Ravoo

Jurist : Mededingingsrecht; Privacy; Toezicht en Governance; Verbintenissen- en contractenrecht Contact: 06 49 12 19 09

Reageer

Time limit is exhausted. Please reload CAPTCHA.