AP geeft orthodontiepraktijk boete wegens inschrijfformulier zonder https
De Autoriteit Persoonsgegevens heeft een orthodontiepraktijk een boete van 12.000 euro opgelegd omdat de website waarop patiënten zich konden inschrijven geen gebruik van https maakte. Daardoor werden gevoelige gegevens van patiënten, zoals burgerservicenummer, onversleuteld verstuurd en zouden door kwaadwillenden kunnen worden onderschept.
De toezichthouder ontving eind 2018 een klacht dat het online inschrijfformulier van de orthodontiepraktijk geen gebruik van https maakte. Dit formulier bevatte velden voor naam, adresgegevens, geboortedatum, BSN, telefoonnummers van de patiënt en de ouders, gegevens over de school, huisarts, tandarts en de verzekeringsmaatschappij.
De AVG stelt dat bij het verwerken van persoonsgegevens er "passende technische en organisatorische maatregelen" moeten worden getroffen om onder meer verlies of onrechtmatige verwerking van de gegevens te voorkomen. "Deze maatregelen dienen een passend beveiligingsniveau te waarborgen, rekening houdend met de stand van de techniek en de uitvoeringskosten, de risico’s van de verwerking en de aard van de te beschermen gegevens", aldus de AP.
Door het niet gebruiken van https nam de orthodontiepraktijk geen passende technische en organisatorische maatregelen en heeft daarmee de AVG overtreden, zo stelt de toezichthouder. Die zou voor de overtreding een boete van tussen de nul en 200.000 euro kunnen opleggen, waarbij de basisboete 100.000 euro bedraagt. Mede vanwege de draagkracht van de onderneming kwam de toezichthouder uit op een boete van 12.000 euro. De orthodontiepraktijk maakte bezwaar tegen de opgelegde boete, maar de Autoriteit Persoonsgegevens verklaarde het bezwaar ongegrond. Daarop stapte de praktijk naar de rechter, die nog uitspraak moet doen.
"Je moet ervan uit kunnen gaan dat je zorgverleners niet alleen vertrouwelijk met je gegevens omgaan, maar dat ze ook de beveiliging van je gegevens uiterst serieus nemen en goed op orde hebben. Helaas is dat niet altijd het geval. Als de vertrouwelijkheid van deze gevoelige informatie wordt geschonden, kan dat voor iemand een groot risico betekenen. Dit kan bijvoorbeeld leiden tot oplichting", zegt AP-vicevoorzitter Monique Verdier.
Je zou ook kunnen zeggen 'we fucked up' en jezelf verbeteren. Uiteindelijk... is dat wat je deed. En niet een heel klein beetje.
Dit is dus een praktijk waar je niet moet zijn. Als de beginselen van fatsoenlijk met elkaar omgaan al de mist in gaan...
Tipje voor de AP duik eens in de wereld van 'het theater'. Vrijwel nergens kun je nog kaartjes online kopen zonder jouw privacy te gronde te richten. Recentelijk nog bij Het Klooster in Woerden kaartjes willen kopen, draait tijdens het bestellen (dus ook waar jij jouw persoonsgegevens in mag vullen) scripts van Facebook en Google mee (daar blijft het overigens niet bij).
Sla dan helaas over om te bestellen dat is zo jammer, dat drie keer; artiest, theater en ik.
Je zou ook kunnen zeggen 'we fucked up' en jezelf verbeteren. Uiteindelijk... is dat wat je deed. En niet een heel klein beetje.
Dit is dus een praktijk waar je niet moet zijn. Als de beginselen van fatsoenlijk met elkaar omgaan al de mist in gaan...
Als de computer van de klant gehackt is dan maakt het weinig uit.
Als de computer van de praktijk gehackt is, dan maakt het weinig uit.
Blijft over degene die computervredebreuk pleegt door ds verbinding te hacken. Alle addins plugins op de vele websites die gewoon meekijken daar geeft de AP niet thuis. Dat is massaal en al vele jaren bekend.
In dit theoretisch geval is het reageren op een klacht. Als de politie zo te werk zou gaan dan gingen ze behoorlijk nat bij de rechter.
Kwalijker ze hanteren nu een argument met de laatste stand der techniek waar ze zelf voodtdurend falen. Denk aan autenticatie en biometrie. Het is helaas een gedrag dat past bij de big brother houding van de AP.
Graag even ook de jurisprudentie erbij halen van de casus, want hier kan ik dus echt niets mee.
Dan is AP tevreden en de klant is netto slechter af want nu kunnen niet "kwaadwillenden" (die er waarschijnlijk niet zijn) de boel afluisteren maar komt gewoon alle data in de Google molen.
En zo vallen we steeds verder terug door de AVG.
Door incompetent personeel aan te nemen en door gebruik van brakke software heeft er bij jullie een datalek plaatsgevonden waar de mogelijke datalek bij die orthodontist maar een paar druppeltjes zijn.
Dat wordt dus sparen voor een boete van een paar miljoen euro.
Je zou ook kunnen zeggen 'we fucked up' en jezelf verbeteren. Uiteindelijk... is dat wat je deed. En niet een heel klein beetje.
Dit is dus een praktijk waar je niet moet zijn. Als de beginselen van fatsoenlijk met elkaar omgaan al de mist in gaan...
In het artikel van Tweakers staat de orthodontist gequote, en ik parafrasseer hier: "Er is mij nooit door de ontwikkelaar van de website verteld dat dit kon".
Ik ben geen jurist maar ik kan de beste man (helaas) ergens wel begrijpen dat als professional een website voor je maakt. Dat die dan ook zorgt dat het goed zit.
Ik ben ook benieuwd wat de rechter hierover te zeggen heeft. En wie aansprakelijk is hier.
Je zou ook kunnen zeggen 'we fucked up' en jezelf verbeteren. Uiteindelijk... is dat wat je deed. En niet een heel klein beetje.
Dit is dus een praktijk waar je niet moet zijn. Als de beginselen van fatsoenlijk met elkaar omgaan al de mist in gaan...
Als de computer van de klant gehackt is dan maakt het weinig uit.
Als de computer van de praktijk gehackt is, dan maakt het weinig uit.
Als de router van de klant gehackt is dan maakt het wel uit.
Als de router van de internetprovider van de klant gehackt is dan maakt het wel uit.
Als de router van de internetprovider van de praktijk gehackt is dan maakt het wel uit.
Als er ergens langs de verbinding het internetverkeer wordt afgeluisterd, dan maakt het wel uit.
En heb ik het nog niet eens gehad over DNS spoofing of BGP hijjacks.
Wat zijn de kosten om het goed in te richten? Nihil.
Met andere woorden, er is geen enkel excuus om deze basale en goedkope beveiligingsmaatregel te nemen om zo de uitgewisselde persoonsgegevens te beschermen tegen een ongeoorloofde verwerking door een derde partij.
Maar aan de andere kant: bij medische informatiebeveiliging geldt wel dat medische organisaties horen te weten dat er een norm is waar die aan moeten voldoen: NEN 7510. Met die kennis kost het maar een simpele zoekopdracht om een informatiepagina van NEN zelf daarover te vinden waarin heel wat wordt verteld over wat erbij komt kijken om eraan te voldoen. Een zoekopdracht op NEN7510 en orthodontie levert diverse praktijken op die melden dat ze aan de norm voldoen, dus kennelijk is dat voor elkaar te krijgen. Een praktijk waar men geen idee van dit alles heeft zou wel eens ernstig nalatig kunnen zijn geweest.
Als het wifi-netwerk van de klant niet beveiligd is en afgeluisterd wordt maakt het wel uit.
Als de router van de klant gehackt is dan maakt het wel uit.
Als de router van de internetprovider van de klant gehackt is dan maakt het wel uit.
Als de router van de internetprovider van de praktijk gehackt is dan maakt het wel uit.
Als er ergens langs de verbinding het internetverkeer wordt afgeluisterd, dan maakt het wel uit.
En heb ik het nog niet eens gehad over DNS spoofing of BGP hijjacks.
Wat zijn de kosten om het goed in te richten? Nihil.
Met andere woorden, er is geen enkel excuus om deze basale en goedkope beveiligingsmaatregel te nemen om zo de uitgewisselde persoonsgegevens te beschermen tegen een ongeoorloofde verwerking door een derde partij.
Een router van de klant gehackt... en dat zou door https opgelost worden grmpf... Dat je dat niet als onzinnig ziet, vreemd.
Wat je ook zo tussendoor doet is dat het op die specifieke technische manier moet want anders is het niet goed. Dat is niet de taak van de AP om er zo in te steken de AVG is techniek neutraal. Ze zijn dan meteen in tegenspraak met zichzelf want biometrie voor autenticatie en beveiliging vinden ze juist eng en niet goed.
Bllijft over het acteren op aangeven van een derde, een stasi big brother had dat als de basis. Ben je daar tegen dan kan je dit van de AP ook niet goed vinden.
Kun je aangeven waar en hoe kwetsbaarheden onder de GDPR vallen? Gebruik dasrvoor aub de engelstalige versie met die definities om vertaalproblemen en eigen uitleg te vermijden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.