Fysiotherapeuten die via het contactformulier op hun website bijzondere persoonsgegevens verwerken moeten daarbij gebruikmaken van https, zo heeft de Autoriteit Persoonsgegevens (AP) laten weten. De toezichthouder kreeg van verschillende fysiotherapeuten vragen hoe zij het contactformulier op hun website moeten beveiligen. Het ging dan vooral om de vraag wanneer er een beveiligde verbinding via https moet worden gebruikt.

Als de fysiotherapeut via het contactformulier bijzondere persoonsgegevens verwerkt, waaronder gezondheidsgegevens en het burgerservicenummer (BSN) van patiënten, moet de gehele webapplicatie via https worden aangeboden. Is dit niet het geval, dan moet de fysiotherapeut zelf op basis van een risicoanalyse en classificatieschema vaststellen of het nodig is om de webapplicatie via https aan te bieden, aldus de AP in een brief aan de KNGF, de overkoepelende vereniging van fysiotherapeuten.

De Wet bescherming persoonsgegevens (Wbp) vereist dat de verantwoordelijke, in dit geval de fysiotherapeut, 'passende' beveiligingsmaatregelen treft om persoonsgegevens te beveiligen tegen bijvoorbeeld verlies. Om te bepalen wat in dit geval passend is heeft de Autoriteit Persoonsgegevens zich gebaseerd op twee algemeen geaccepteerde beveiligingsstandaarden, namelijk de NEN 7512:2015 norm en de ICT-Beveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Center. "Fysiotherapeuten moeten rekening houden met deze twee standaarden als zij hun website (laten) bouwen", zo stelt de AP.