Uit een recent onderzoek (gepubliceerd op 17 augustus 2017) van de Open State Foundation kwam naar voren dat een groot deel (61%) van de onderzochte websites van zorgpartijen geen gebruik maakt van een versleutelde HTTPS verbinding. Dit klinkt zorgwekkend. De vraag is echter wanneer een partij gehouden is een versleutelde verbinding te gebruiken.
Bij het bouwen van een website voor een zorgpartij (bijvoorbeeld een ziekenhuis, huisarts, apotheek, fysiotherapeut of psychiater) dient rekening te worden gehouden met de NEN 7512:2015 norm en de NCSC ICT-Beveiligingsrichtlijnen voor webapplicaties (2015). Verder is de Wet Bescherming Persoonsgegevens (Wbp) van belang.
Artikel 13 van de Wbp vereist dat de verantwoordelijke (de partij die de website in gebruik heeft) passende beveiligingsmaatregelen treft om er voor te zorgen dat persoonsgegevens adequaat worden beveiligd tegen verlies of tegen enige vorm van onrechtmatige verwerking. Om te bepalen wat in het voorkomende geval als passende technische en organisatorische maatregelen in de zin van artikel 13 Wbp moet worden beschouwd zijn de NEN 7512 norm en de ICT-Beveiligingsrichtlijnen voor webapplicaties van belang.
De NEN 7512 norm heeft betrekking op alle elektronische communicatie in de zorg, dus communicatie tussen zorgverleners en zorginstellingen onderling maar ook communicatie met patiënten en cliënten, met zorgverzekeraars en andere partijen die bij de zorg betrokken zijn. Op grond van de NEN 7512 norm is versleuteling alleen dan niet vereist, wanneer de communicatie niet vertrouwelijk is. In alle andere gevallen moet versleuteling plaatsvinden.
De ICT-Beveiligingsrichtlijnen voor webapplicaties 4 (IBW) bepaalt dat gevoelige of vertrouwelijke gegevens moeten worden beschermd door gebruik van cryptografische technieken in de communicatie. De IBW bepaalt verder dat wanneer de webapplicatie een contactformulier bevat, de gehele webapplicatie via HTTPS dient te worden versleuteld.
Op grond van het bovenstaande kan worden geconcludeerd dat webapplicaties (websites, contactformulieren e.d.) die in gebruik zijn bij zorgpartijen eigenlijk altijd versleuteld middels HTTPS dienen te worden aangeboden. Alleen dan wordt voldaan aan de Wbp. De kans dat middels deze webapplicaties (bijzondere) persoonsgegevens of andere vertrouwelijke informatie wordt gedeeld is immers bijzonder groot. Ook de Autoriteit Persoonsgegevens (AP) hanteert deze norm voor zorgpartijen.
Per 25 mei 2018 wordt de Wet Bescherming Persoonsgegevens vervangen door de Algemene Verordening Gegevensbescherming (AVG). Onder de AVG zullen bovenstaande vereisten niet veranderen. Wel wordt het toezicht en de mogelijkheid tot handhaving door de AP verscherpt met de AVG. Nog meer reden om goed te inventariseren of uw verbindingen voldoende beveiligd zijn.
Neemt u gerust contact met ons op. Wij helpen u graag verder!
Meldt u zich vrijblijvend aan voor onze nieuwsbrief.
Download het bestand.
Dehaanlaw.nl maakt gebruik van cookies
Als u kiest voor ’Nodige cookies’ plaatsen wij slechts functionele en analytische cookies met weinig tot geen gevolgen voor uw privacy. Indien u kiest voor ‘Alle cookies’ plaatsen wij ook tracking cookies waarmee wij informatie over u verzamelen om u gepersonaliseerde content aan te kunnen bieden. U geeft hiermee tevens toestemming voor het verwerken van de middels deze cookies verkregen persoonsgegevens conform ons Privacy Statement en Cookie Statement.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
Undefined cookies are those that are being analyzed and have not been classified into a category as yet.