Uw bedrijf zal, net als veel andere bedrijven, waarschijnlijk online registratieformulieren gebruiken voor onboarding van klanten, maken van afspraken en ondersteuning allerhande.
Wanneer uw bedrijf gevoelige informatie verwerkt, moet u extra voorzichtig zijn. De Nederlandse GDPR toezichthouder heeft een niet nader genoemde orthodontie-praktijk een boete van € 12.000 opgelegd wegens het niet implementeren van passende technische en organisatorische maatregelen om persoonsgegevens, ook van kinderen, op haar website te beveiligen.
Het registratieformulier op de website van de orthodontiepraktijk vroeg om persoonlijke gegevens, waaronder naam, adres, geboortedatum, telefoonnummer en burgerservicenummer, evenals gezondheidsgegevens van patiënten. De toezichthouder heeft technisch vastgesteld dat de communicatie van de patiënt met de website, inclusief het versturen van een ingevuld inschrijfformulier, plaatsvond over een niet-versleutelde en dus onbeveiligde verbinding.
Op grond van artikel 32 lid 1 van de GDPR zijn bedrijven verplicht passende technische en organisatorische maatregelen te nemen om de verwerking van persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking van de gegevens. Deze maatregelen moeten een passend beveiligingsniveau garanderen, rekening houdend met de stand van de techniek en de uitvoeringskosten, de risico’s en de aard van de gegevens, de uitvoeringskosten, de risico’s verbonden aan de verwerking en de aard van de gegevens te beschermen.
Zorg er dus voor dat u bij het vastleggen van persoonlijke gegevens over passende beveiligingsmaatregelen beschikt. Als het om gevoelige gegevens, zoals medische gegevens, gaat, moeten de beveiligingsmaatregelen uiteraard van hoog niveau zijn. Het niet voldoen aan deze normen kan resulteren in een forse boete.
Bekijk onze gratis GDPR-kennisbank over data security. U vindt er echte praktische handleidingen, inclusief een lijst met vragen die u kunt stellen aan uw websitebouwer of IT-implementatiepartner.
Meer informatie over de specifieke Nederlandse casus vindt u via de volgende link:
https://edpb.europa.eu/ nieuws / nationaal-nieuws / 2021 / dpa-orthodontische-praktijk-boete-unsecured-patient-website_nl
