image

Kan ik een boete van de Autoriteit Persoonsgegevens verhalen op mijn webbouwer?

woensdag 23 juni 2021, 09:16 door Arnoud Engelfriet, 41 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik las dat de AP een orthodontiepraktijk 12.000 euro boete had gegeven. Als mijn bedrijf zoiets overkomt (ik ben ook mkb'er zonder speciaal verstand van websites bouwen) kan ik dat dan verhalen op mijn webbouwer?

Antwoord: De aanleiding voor deze boete was voor het ontbreken van het 'slotje' oftewel het SSL certificaat op het aanmeldformulier op de website. Daardoor liepen patiënten de kans dat gevoelige gegevens, zoals hun BSN, in verkeerde handen zouden terechtkomen. Opmerkelijk dat die basale beveiligingsmaatregel er niet was, maar minstens zo opmerkelijk dat de AP er voor in actie kwam gezien de beperkte scope.

Is het heel erg? Mwa. Technisch betekent het dat iedereen die in het netwerk tussen de klant en de orthodontist zit, de data kan onderscheppen. Het klassieke voorbeeld is het internetcafé of bibliotheek, waar je met de juiste software alles kunt zien dat anderen in diezelfde ruimte opsturen naar websites. Door https te gebruiken, is dit niet langer inzichtelijk – de communicatie naar de site is versleuteld en daarmee niet meer te lezen.

Het aantal scenario’s waarin dit een reëel risico is, is dus beperkt. Vanuit huis is dit bijvoorbeeld geen issue, de buren die ook bij Ziggo zitten kunnen sowieso niet meelezen. Huisgenoten mogelijk wel. Werk je met mobiel internet, dan is dit ook geen serieus risico. Maar natuurlijk is er een niet te verwaarlozen groep mensen die alleen via publieke terminals (zoals de bieb) kan werken, en ook die moet gewoon veilig internet op kunnen.

Daar komt bij: al sinds jaar en dag weet iedereen dat zo’n slotje weinig moeite is, zeker sinds initiatieven als Let's Encrypt die je gratis certificaten geven om het slotje te realiseren. Dus het voelt als "oké beperkt risico maar het is zo gedaan, doe het dus gewoon" voor mij. Ik blogde er ooit in 2013 over en concludeerde dat het eigenlijk onvermijdelijk is, behalve wellicht bij triviale formulieren zoals de plek hieronder waarin u het hartgrondig met mij oneens gaat zijn.

In het boetebesluit kan de AP het nog simpeler houden: het gaat hier om persoonsgegevens in de zorg, daarbij is NEN 7510-2 leidend en daaruit volgt het gebruik van TLS. Punt, klaar, next. En dan gaat het om zeer gevoelige gegevens, ook nog eens (vooral) van kinderen en dan mag dat al helemaal niet gebeuren. Normaal kom je dan op een boete van een ton, maar omdat deze orthodontist dat absoluut niet kan betalen wordt deze gematigd naar 12.000 euro.

En dan gooi ik met dit citaat even de knuppel in het hoenderhok:

[Betrokkene] heeft erkend dat de oude website geen gebruik maakte van een versleutelde verbinding. De ontwikkelaar van de oude website heeft haar nooit gewezen op die mogelijkheid. Anders had zij daar zeker gebruik van gemaakt, aldus [betrokkene].

We hebben het dus over 2019. Let's Encrypt was toen al best bekend, en het algemene idee dat SSL-certificaten verstandig waren ook. Om dus nog maar niet te spreken van die NEN-norm in de zorg. Dan wil ik van een kleine orthodontie-praktijk nog wel geloven dat die weinig verstand van internet heeft (de nieuwe site heeft geen online formulier meer maar een uit te printen pdf, ik bedoel maar) maar van de webbouwer mag dit wel verwacht worden toch?

Natuurlijk, niet iedere webbouwer die werkt voor het mkb zal weten van de specifieke eisen in de zorg. Maar ik denk dat je wél mag verwachten dat je weet dat er mogelijk speciale regels zijn, en dat je dan even onderzoek doet of het navraagt bij een collega. Het voelt als nodeloos een risico nemen door dat niet te doen. En daarom mag die orthodontist van mij de webbouwer op grond van schending zorgplicht aansprakelijk houden voor die 12.000 euro wat mij betreft.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (41)
23-06-2021, 09:48 door Anoniem
Natuurlijk, niet iedere webbouwer die werkt voor het mkb zal weten van de specifieke eisen in de zorg. Maar ik denk dat je wél mag verwachten dat je weet dat er mogelijk speciale regels zijn, en dat je dan even onderzoek doet of het navraagt bij een collega. Het voelt als nodeloos een risico nemen door dat niet te doen. En daarom mag die orthodontist van mij de webbouwer op grond van schending zorgplicht aansprakelijk houden voor die 12.000 euro wat mij betreft.

Geheel met deze conclusie eens, iedere professionele webbouwer behoort dit te weten.
23-06-2021, 09:50 door Anoniem
Jemig Arnoud, geen serieus risico?

Het kan onderschept worden op:
* Wifi access-points en routers thuis, en bij huisgenoten --> maar ook in het internetcafé, scholen, werkomgevingen etc.
* Op elke hop tussen bezoeker en diens ISP dus
* Op elke netwerkcomponent en hop bij de ISP zelf
* Van de ISP, en elke hop daartussen, naar de website toe
* En natuurlijk op de webserver zelf

De boete is volstrekt terecht.
23-06-2021, 10:04 door Anoniem
Beste Engelfriet, hou je mond over dingen waar je geen verstand van hebt. Ik erger me mateloos aan de onzorgvuldigheid van jouw columns. Zonder SSL is het bezoeken van een website niet veilig thuis. Je gebruikt een onbeveiligde verbinding, niet alleen in jouw netwerk kunnen de gegevens worden ingezien, maar in de hele weg naar deze website toe ook. Dat betekend dus dat jouw (medische) gegevens met derden partijen worden gedeeld, dat is het probleem. Thuis internetter is het overigens niet per se veiliger, de meeste mensen hebben geen geweldig beveiligd thuis netwerk.
De AP legde een boete op omdat de praktijk het vertikte er wat aan te doen. Dat is dus sowieso niet de schuld van de webbouwer, die voert namelijk de opdracht uit. Als jij als praktijk besluit daar niks aan te laten doen is dat je eigen probleem. De enige nuance mogelijk zit wellicht er in als de parktijk hier expliciet advies over had gevraagd bij deze bewuste uitvoerder.
23-06-2021, 10:27 door Anoniem
En daarom mag die orthodontist van mij de webbouwer op grond van schending zorgplicht aansprakelijk houden voor die 12.000 euro wat mij betreft.
Interessanter voor de vraagsteller is natuurlijk wat de kans is dat dit ook wat gaat opleveren.
De webbouwer zal vast ook voorwaarden hebben waarmee akkoord gegaan is, en waarin staat dat deze op geen enkele manier verantwoordelijk is voor dingen die fout gaan in het gebruik van de website nadat die is opgeleverd.
Dat is natuurlijk discutabel maar het betekent wel dat er een rechter deze twee kanten van de zaak zal moeten gaan afwegen en een van de twee het voordeel geven.
En dan moet je nog hopen dat die webbouwer geen zzp'er is voor wie 12000 euro niet zomaar even op te hoesten is... want dan zit je wellicht met een toegewezen vordering die niet of alleen met nog meer gedoe te innen is.

Het is een lastig probleem, vooral ook omdat wat vandaag een prima oplossing is, morgen weer wordt neergezet als "ja maar dat is ook dom, dat had je niet zo moeten doen, dat weet toch iedereen".
Kijk maar met wat voor fanatisme er gewapperd wordt met allerlei triviale inbraakmogelijkheden (meestal door "onderzoekers") waar dan de hele wereld weer achteraan moet rennen met updates en ingewikkelde oplossingen.
Er rekening mee houden dat een BSN in een formulier ineens als "gevoelig" en "onvergeeflijk dat dit lekt" gezien zou gaan worden dat is er daar maar 1 van.
23-06-2021, 11:07 door Anoniem
Door Anoniem: Jemig Arnoud, geen serieus risico?

Het kan onderschept worden op:
* Wifi access-points en routers thuis, en bij huisgenoten --> maar ook in het internetcafé, scholen, werkomgevingen etc.
* Op elke hop tussen bezoeker en diens ISP dus
* Op elke netwerkcomponent en hop bij de ISP zelf
* Van de ISP, en elke hop daartussen, naar de website toe
* En natuurlijk op de webserver zelf

De boete is volstrekt terecht.

Of het een serieus risico is hangt er niet alleen vanaf of het theoretisch mogelijk is het te onderscheppen, maar ook van
hoe waarschijnlijk het is dat dit gebeurt en dat er dan vervolgens wat mee gedaan wordt.

"En natuurlijk op de webserver zelf" dat had je er ook niet bij hoeven te zeggen want zelfs nadat er een TLS verbinding van gemaakt is kan het op de webserver zelf nog steeds onderschept worden! Dus maakt het daar niks uit.

Sterker nog, het risico dat er op de webserver zelf wordt ingebroken is heel wat groter dan op al die andere plekken die je noemt.
Immers, als je zo graag BSN's wilt verzamelen dan hoef je daar alleen maar iets te planten wat alles aftapt of een database leeghaalt, terwijl als je op een van de andere plekken gaat zitten meekijken je vooral troep langs ziet komen.
Dan krijg je weer het verhaal dat de website software niet geupdate is en wie daar voor verantwoordelijk is.
23-06-2021, 11:37 door Anoniem
Ik zit net even onze verenigingswebsite te bekijken, die draait ook niet op https en wij hebben een contactformulier waar mensen naam, emailadres invullen samen met een stukje tekst dat een vraag of informatie bevat.

Los van de vraag of naam en emailadres onder 'Persoonsgegevens' vallen zou je kunnen aanvoeren dat wij, als eigenaar van de website en daarmee het contactformulier, niet weten wat iemand gaat invullen en dat het daarmee niet uit te sluiten is dat er persoonsgegevens onversleuteld verstuurd gaan worden.

Concrete vraag dus: is het een probleem dat je een contactformulier hebt op een website die geen gebruik maakt van versleuteling?
23-06-2021, 11:59 door Anoniem
Door Anoniem: Jemig Arnoud, geen serieus risico?

Het kan onderschept worden op:
* Wifi access-points en routers thuis, en bij huisgenoten --> maar ook in het internetcafé, scholen, werkomgevingen etc.
* Op elke hop tussen bezoeker en diens ISP dus
* Op elke netwerkcomponent en hop bij de ISP zelf
* Van de ISP, en elke hop daartussen, naar de website toe
* En natuurlijk op de webserver zelf

De boete is volstrekt terecht.

Maar is dit ook echt een reeel scenario en een echt risico?
Waarom zouden de gegevens ingevuld op die specifieke website interessant zijn voor een aanvaller?
Iemand die de moeite doet om het onderscheppen voor mekaar te krijgen, kan dan waarschijnlijk veel interessantere aanvallen uitvoeren op de gebruiker.
Dus een risico en kosten baten afweging zijn zeker noodzakelijk, daar ga je in je opmerking helemaal aan voorbij.
Daarmee is conclussie van Arnoud dat het geen serieus risico is dus zeker wel op zijn plaats.
23-06-2021, 12:32 door Anoniem
Ik mis in dit verhaal wanneer die webbouwer die site gebouwd heeft en of dat een eenmalige opdracht was. En of dat de bouwer die site nog steeds in onderhoud heeft. Die NEN 7510-2 is voor zover ik kan zien uit 2017, dus als die site daarvoor (als losse opdracht) gebouwd is kun je die webbouwer daar niet voor verantwoordelijk houden. Ik deel de mening dat TLS toen al best practice was, maar de NEN 7510-2 als motivatie gebruiken kan dus wat te kort door de bocht zijn.
23-06-2021, 14:37 door Anoniem
Door Anoniem: Ik zit net even onze verenigingswebsite te bekijken, die draait ook niet op https en wij hebben een contactformulier waar mensen naam, emailadres invullen samen met een stukje tekst dat een vraag of informatie bevat.

Los van de vraag of naam en emailadres onder 'Persoonsgegevens' vallen zou je kunnen aanvoeren dat wij, als eigenaar van de website en daarmee het contactformulier, niet weten wat iemand gaat invullen en dat het daarmee niet uit te sluiten is dat er persoonsgegevens onversleuteld verstuurd gaan worden.

Concrete vraag dus: is het een probleem dat je een contactformulier hebt op een website die geen gebruik maakt van versleuteling?

Ja, een naam en emailadres zijn persoonsgegevens. Dus ja, je wil (en moet) https gaan gebruiken.
23-06-2021, 14:42 door Anoniem
Door Anoniem:
De AP legde een boete op omdat de praktijk het vertikte er wat aan te doen. Dat is dus sowieso niet de schuld van de webbouwer, die voert namelijk de opdracht uit. Als jij als praktijk besluit daar niks aan te laten doen is dat je eigen probleem. De enige nuance mogelijk zit wellicht er in als de parktijk hier expliciet advies over had gevraagd bij deze bewuste uitvoerder.

Daar ben ik het behoorlijk mee oneens. Als ik bij een garage een custom auto of motor laat bouwen waarmee ik aangeef de weg op te willen, dan is deze bouwer er op zijn minste mede voor verantwoordelijk dat dit voertuig aan de wettelijke eisen (verlichting bv.) voldoet. Ik weet niets van auto's of de wetgeving hieromtrent, ik verwacht van een dienstverlener die zich hierin specialiseert dat deze weet welke regels er gelden.
23-06-2021, 14:45 door sjonniev
Door Anoniem: Ik zit net even onze verenigingswebsite te bekijken, die draait ook niet op https en wij hebben een contactformulier waar mensen naam, emailadres invullen samen met een stukje tekst dat een vraag of informatie bevat.

Los van de vraag of naam en emailadres onder 'Persoonsgegevens' vallen zou je kunnen aanvoeren dat wij, als eigenaar van de website en daarmee het contactformulier, niet weten wat iemand gaat invullen en dat het daarmee niet uit te sluiten is dat er persoonsgegevens onversleuteld verstuurd gaan worden.

Concrete vraag dus: is het een probleem dat je een contactformulier hebt op een website die geen gebruik maakt van versleuteling?

Dat kan inderdaad een probleem zijn. Wanneer browsers https-only werken heb je niets aan je website.

Wanneer een voor- en/of achternaam van een natuurlijk persoon onderdeel uitmaakt van een email-adres, is dat volgens de wet een persoonsgegeven. Hierboven staat al vermeld welke risico's men loopt wanneer persoonsgegevens via een onbeveiligde verbinding moeten worden verstuurd. Wanneer alle verenigingsleden emailadressen gebruiken die niet herleidbaar zijn naar natuurlijke personen is het inderdaad geen probleem, tenzij dat stukje tekst het invoeren van persoonsgegevens mogelijk maakt.

Voorbeelden van persoonsgegevens: https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_nl
23-06-2021, 14:55 door Anoniem
Dit is typisch 'the blame game' van juristen.
23-06-2021, 14:56 door Anoniem
De webbouwer zal vast ook voorwaarden hebben waarmee akkoord gegaan is, en waarin staat dat deze op geen enkele manier verantwoordelijk is voor dingen die fout gaan in het gebruik van de website nadat die is opgeleverd.

Vergeet daarbij niet dat de wet leidend is, en dat een statement in voorwaarden nietszeggend is, indien je wettelijk gezien -wel- aansprakelijk bent.
23-06-2021, 15:09 door sjonniev
Door Anoniem:
Door Anoniem:
De AP legde een boete op omdat de praktijk het vertikte er wat aan te doen. Dat is dus sowieso niet de schuld van de webbouwer, die voert namelijk de opdracht uit. Als jij als praktijk besluit daar niks aan te laten doen is dat je eigen probleem. De enige nuance mogelijk zit wellicht er in als de parktijk hier expliciet advies over had gevraagd bij deze bewuste uitvoerder.

Daar ben ik het behoorlijk mee oneens. Als ik bij een garage een custom auto of motor laat bouwen waarmee ik aangeef de weg op te willen, dan is deze bouwer er op zijn minste mede voor verantwoordelijk dat dit voertuig aan de wettelijke eisen (verlichting bv.) voldoet. Ik weet niets van auto's of de wetgeving hieromtrent, ik verwacht van een dienstverlener die zich hierin specialiseert dat deze weet welke regels er gelden.

+1
23-06-2021, 16:02 door Anoniem
Door Anoniem:
Door Anoniem:
De AP legde een boete op omdat de praktijk het vertikte er wat aan te doen. Dat is dus sowieso niet de schuld van de webbouwer, die voert namelijk de opdracht uit. Als jij als praktijk besluit daar niks aan te laten doen is dat je eigen probleem. De enige nuance mogelijk zit wellicht er in als de parktijk hier expliciet advies over had gevraagd bij deze bewuste uitvoerder.

Daar ben ik het behoorlijk mee oneens. Als ik bij een garage een custom auto of motor laat bouwen waarmee ik aangeef de weg op te willen, dan is deze bouwer er op zijn minste mede voor verantwoordelijk dat dit voertuig aan de wettelijke eisen (verlichting bv.) voldoet. Ik weet niets van auto's of de wetgeving hieromtrent, ik verwacht van een dienstverlener die zich hierin specialiseert dat deze weet welke regels er gelden.
Die wagen wordt gebouwd naar de eisen die NU gelden. Je weet niet wat de eisen in de toekomst gaan worden, dus je kan de bouwer dan niet verantwoordelijk houden voor gebreken, die dan zogenaamd optreden.
Als de eis voor https toen niet wettelijk verplicht was, kan de de bouwer niet aansprakelijk gesteld worden!
23-06-2021, 18:11 door Anoniem
Door Anoniem:
De webbouwer zal vast ook voorwaarden hebben waarmee akkoord gegaan is, en waarin staat dat deze op geen enkele manier verantwoordelijk is voor dingen die fout gaan in het gebruik van de website nadat die is opgeleverd.

Vergeet daarbij niet dat de wet leidend is, en dat een statement in voorwaarden nietszeggend is, indien je wettelijk gezien -wel- aansprakelijk bent.

Je had even de rest moeten lezen (die je hier weg geknipt hebt)...
Of de webbouwer betaalt wordt niet bepaald door wie er wettelijk gelijk heeft, maar door wie er gelijk krijgt en volhoudt.
23-06-2021, 20:18 door Wim ten Brink
Persoonlijk denk ik dat de webbouwer maximaal verantwoordelijk gehouden kan worden voor het bedrag dat is betaald voor het bouwen van de website. Het klinkt mij namelijk dat deze MKB'er niet gezocht heeft op kwaliteit maar gewoon de goedkoopste bouwer heeft ingehuurd. Mogelijk eentje met WordPress ervaring en een beetje programmeerwerk. Kan een neefje zijn van de MKB'er die het heeft gebouwd voor 50 euro en een kratje bier. Dan kan de MKB'er wat mij betreft het kratje bier en de 50 euro terugeisen, maar verder niets...
Kijk, als MKB'er ben je misschien onwetend op dit gebied maar dan heb je nog wel de plicht om er iets over te leren of een deskundige in te huren. Maar ik ken genoeg MKB'ers die hun site door een vriend of familielid hebben laten bouwen voor een vriendenprijsje en zo spontaan in de problemen kwamen omdat de site gewoon niet doet wat het moest doen.
Maar dat de MKB'er een forse claim van 12.000 euro doorstuurt naar de zwaar onderbetaalde webbouwer vind ik niet kunnen. Ja, je geld terug en dat is de maximale garantie die je dan krijgt...
23-06-2021, 21:26 door Briolet
Door Wim ten Brink: Persoonlijk denk ik dat de webbouwer maximaal verantwoordelijk gehouden kan worden voor het bedrag dat is betaald voor het bouwen van de website. Het klinkt mij namelijk dat deze MKB'er niet gezocht heeft op kwaliteit maar gewoon de goedkoopste bouwer heeft ingehuurd.…

Die indruk krijg ik niet als ik andere info probeer te vinden. b.v. op https://www.vpngids.nl/nieuws/ap-legt-orthodontiepraktijk-boete-van-12-000-euro-op/

Daar lees ik dat de orthodontist om de twee jaar een audit heeft laten uitvoeren door een certificeringsbureau. Als hij daar geld aan uit geeft, zal hij dat ook wel aan de website gedaan hebben. Maar zelfs in de audit van voorjaar 2018 was er geen opmerking over het ontbreken van ssl op die site.

Ik denk ook dat de webbouwer voor een flink deel aansprakelijk gehouden kan worden omdat een orthodontist er geen verstand van heeft en daarvoor juist een specialist inschakelt. (Tenzij het een bouwer was die zulk lage prijzen rekent dat je je kunt afvragen of je wel een vakman inhuurt)
23-06-2021, 22:59 door Anoniem
Door Anoniem: Beste Engelfriet, hou je mond over dingen waar je geen verstand van hebt. Ik erger me mateloos aan de onzorgvuldigheid van jouw columns. Zonder SSL is het bezoeken van een website niet veilig thuis. Je gebruikt een onbeveiligde verbinding, niet alleen in jouw netwerk kunnen de gegevens worden ingezien, maar in de hele weg naar deze website toe ook. Dat betekend dus dat jouw (medische) gegevens met derden partijen worden gedeeld, dat is het probleem. Thuis internetter is het overigens niet per se veiliger, de meeste mensen hebben geen geweldig beveiligd thuis netwerk.
De AP legde een boete op omdat de praktijk het vertikte er wat aan te doen. Dat is dus sowieso niet de schuld van de webbouwer, die voert namelijk de opdracht uit. Als jij als praktijk besluit daar niks aan te laten doen is dat je eigen probleem. De enige nuance mogelijk zit wellicht er in als de parktijk hier expliciet advies over had gevraagd bij deze bewuste uitvoerder.
Nogal kinderachtige reactie. De antwoorden van Arnoud gaan niet om de technische analyse, maar om de juridische kant. Ik vind de antwoorden van Arnoud altijd erg interessant. Er zijn weinig juristen die zelfs maar een beetje van ICT snappen.
24-06-2021, 09:22 door Anoniem
Door Briolet:
Door Wim ten Brink: Persoonlijk denk ik dat de webbouwer maximaal verantwoordelijk gehouden kan worden voor het bedrag dat is betaald voor het bouwen van de website. Het klinkt mij namelijk dat deze MKB'er niet gezocht heeft op kwaliteit maar gewoon de goedkoopste bouwer heeft ingehuurd.…

Die indruk krijg ik niet als ik andere info probeer te vinden. b.v. op https://www.vpngids.nl/nieuws/ap-legt-orthodontiepraktijk-boete-van-12-000-euro-op/

Daar lees ik dat de orthodontist om de twee jaar een audit heeft laten uitvoeren door een certificeringsbureau. Als hij daar geld aan uit geeft, zal hij dat ook wel aan de website gedaan hebben. Maar zelfs in de audit van voorjaar 2018 was er geen opmerking over het ontbreken van ssl op die site.

Ik denk ook dat de webbouwer voor een flink deel aansprakelijk gehouden kan worden omdat een orthodontist er geen verstand van heeft en daarvoor juist een specialist inschakelt. (Tenzij het een bouwer was die zulk lage prijzen rekent dat je je kunt afvragen of je wel een vakman inhuurt)

ah ja auditors.... papieren tijgers dat het zijn. specialisten in facturen sturen!
24-06-2021, 09:58 door Anoniem
Door Anoniem: Beste Engelfriet, hou je mond over dingen waar je geen verstand van hebt. Ik erger me mateloos aan de onzorgvuldigheid van jouw columns. Zonder SSL is het bezoeken van een website niet veilig thuis. Je gebruikt een onbeveiligde verbinding, niet alleen in jouw netwerk kunnen de gegevens worden ingezien, maar in de hele weg naar deze website toe ook. Dat betekend dus dat jouw (medische) gegevens met derden partijen worden gedeeld, dat is het probleem. Thuis internetter is het overigens niet per se veiliger, de meeste mensen hebben geen geweldig beveiligd thuis netwerk.
De AP legde een boete op omdat de praktijk het vertikte er wat aan te doen. Dat is dus sowieso niet de schuld van de webbouwer, die voert namelijk de opdracht uit. Als jij als praktijk besluit daar niks aan te laten doen is dat je eigen probleem. De enige nuance mogelijk zit wellicht er in als de parktijk hier expliciet advies over had gevraagd bij deze bewuste uitvoerder.

Dag Meneer:

Ik vind dat U ten eerste wat respectvoller moet reageren.
Ten 2e vind ik het antwoord van Arnoud best genuanceerd.Daar gaat U m.i. te weinig op in.
Het is een discussie geen elkaar afzeiken.
Probeer het de volgende keer als U op dit Forum reageerd.
24-06-2021, 10:20 door Anoniem
Door Anoniem:
Door Anoniem: Beste Engelfriet, hou je mond over dingen waar je geen verstand van hebt. Ik erger me mateloos aan de onzorgvuldigheid van jouw columns. Zonder SSL is het bezoeken van een website niet veilig thuis. Je gebruikt een onbeveiligde verbinding, niet alleen in jouw netwerk kunnen de gegevens worden ingezien, maar in de hele weg naar deze website toe ook. Dat betekend dus dat jouw (medische) gegevens met derden partijen worden gedeeld, dat is het probleem. Thuis internetter is het overigens niet per se veiliger, de meeste mensen hebben geen geweldig beveiligd thuis netwerk.
De AP legde een boete op omdat de praktijk het vertikte er wat aan te doen. Dat is dus sowieso niet de schuld van de webbouwer, die voert namelijk de opdracht uit. Als jij als praktijk besluit daar niks aan te laten doen is dat je eigen probleem. De enige nuance mogelijk zit wellicht er in als de parktijk hier expliciet advies over had gevraagd bij deze bewuste uitvoerder.
Nogal kinderachtige reactie. De antwoorden van Arnoud gaan niet om de technische analyse, maar om de juridische kant. Ik vind de antwoorden van Arnoud altijd erg interessant. Er zijn weinig juristen die zelfs maar een beetje van ICT snappen.
Behalve kinderachtig ook nogal kortzichtig:
Arnoud moet zwijgen zodat we een echte expert uit het slagveld te horen krijgen?
Mooi die gedetaileerde maar irrelevante specificatie van de theorie, misschien bedoelde Arnoud de werkelijke schade, het complete plaatje zegmaar, dat bij de techneut nogal incompleet is.
Doe eens iets vriendelijker, dat motiveert je opponent misschien tot dialoog, tenzij je werkelijk wenst dat hij zwijgt.
24-06-2021, 19:29 door Anoniem
Door sjonniev:
Door Anoniem: Ik zit net even onze verenigingswebsite te bekijken, die draait ook niet op https en wij hebben een contactformulier waar mensen naam, emailadres invullen samen met een stukje tekst dat een vraag of informatie bevat.

Los van de vraag of naam en emailadres onder 'Persoonsgegevens' vallen zou je kunnen aanvoeren dat wij, als eigenaar van de website en daarmee het contactformulier, niet weten wat iemand gaat invullen en dat het daarmee niet uit te sluiten is dat er persoonsgegevens onversleuteld verstuurd gaan worden.

Concrete vraag dus: is het een probleem dat je een contactformulier hebt op een website die geen gebruik maakt van versleuteling?

Dat kan inderdaad een probleem zijn. Wanneer browsers https-only werken heb je niets aan je website.

Wanneer een voor- en/of achternaam van een natuurlijk persoon onderdeel uitmaakt van een email-adres, is dat volgens de wet een persoonsgegeven. Hierboven staat al vermeld welke risico's men loopt wanneer persoonsgegevens via een onbeveiligde verbinding moeten worden verstuurd. Wanneer alle verenigingsleden emailadressen gebruiken die niet herleidbaar zijn naar natuurlijke personen is het inderdaad geen probleem, tenzij dat stukje tekst het invoeren van persoonsgegevens mogelijk maakt.

Voorbeelden van persoonsgegevens: https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_nl


Helaas klopt dit niet helemaal. Emailadressen zijn herleidbaar naar en persoon en dus sowieso een persoonsgeven. Het maakt daarbij niet uit of hier een naam in staat. In een rekeningnummer of telefoonnummer staat ook geen naam....
25-06-2021, 08:45 door Anoniem
Door Anoniem:
Door sjonniev:
Door Anoniem: Ik zit net even onze verenigingswebsite te bekijken, die draait ook niet op https en wij hebben een contactformulier waar mensen naam, emailadres invullen samen met een stukje tekst dat een vraag of informatie bevat.

Los van de vraag of naam en emailadres onder 'Persoonsgegevens' vallen zou je kunnen aanvoeren dat wij, als eigenaar van de website en daarmee het contactformulier, niet weten wat iemand gaat invullen en dat het daarmee niet uit te sluiten is dat er persoonsgegevens onversleuteld verstuurd gaan worden.

Concrete vraag dus: is het een probleem dat je een contactformulier hebt op een website die geen gebruik maakt van versleuteling?

Dat kan inderdaad een probleem zijn. Wanneer browsers https-only werken heb je niets aan je website.

Wanneer een voor- en/of achternaam van een natuurlijk persoon onderdeel uitmaakt van een email-adres, is dat volgens de wet een persoonsgegeven. Hierboven staat al vermeld welke risico's men loopt wanneer persoonsgegevens via een onbeveiligde verbinding moeten worden verstuurd. Wanneer alle verenigingsleden emailadressen gebruiken die niet herleidbaar zijn naar natuurlijke personen is het inderdaad geen probleem, tenzij dat stukje tekst het invoeren van persoonsgegevens mogelijk maakt.

Voorbeelden van persoonsgegevens: https://ec.europa.eu/info/law/law-topic/data-protection/reform/what-personal-data_nl


Helaas klopt dit niet helemaal. Emailadressen zijn herleidbaar naar en persoon en dus sowieso een persoonsgeven. Het maakt daarbij niet uit of hier een naam in staat. In een rekeningnummer of telefoonnummer staat ook geen naam....
De vraag is dan of emailadressen en namen 'persoonsgegevens' zijn die niet unencrypted verstuurd mogen worden.

Een argument voor het unencrypted mogen versturen van deze gegevens is het feit dat in email headers, die ook allemaal unencrypted zijn, het email adres en de naam ook gewoon zichtbaar zijn.

Ik denk dat dit een goed voorbeeld is van regelgeving die op een veel breder vlak toepasbaar is dan waar de regel oorspronkelijk voor is bedoeld.
25-06-2021, 13:12 door Valheru
Ik vraag mij in deze ernstig af of de webbouwer ook de hosting heeft geregeld, grote kans dat de bouwer uitsluitend de zaak heeft opgeleverd en dat de praktijk zelf een hosting partij heeft gezocht. SSL dient nog altijd ingesteld te worden in de webserver.
Tegenwoordig werken veel hosting partijen met een self service systeem en is de kans dus zeer groot dat de orthodontist zelf in het controle panel van de hosting partij gewoon een vinkje moet zetten om SSL te enablen, eventueel met het uploaden van bijbehorende certificaten. gezien de orthodontist weinig kennis had en de webbouwer waarschijnlijk uitsluitend FTP gegevens kreeg om de site in te uploaden is dit niet gebeurd.

Wel raar dat de audit partij hier niets over gezegd heeft.
25-06-2021, 13:23 door Anoniem
Ik denk dat een stagiair de column van Arnoud heeft geschreven.
25-06-2021, 17:16 door Anoniem
"Door https te gebruiken, is dit niet langer inzichtelijk – de communicatie naar de site is versleuteld en daarmee niet meer te lezen." Je vergeet behalve door de Amerikanen, die het weer aan onze overheid doorgeven.
25-06-2021, 17:35 door Anoniem
"slotje weinig moeite is, zeker sinds initiatieven als Let's Encrypt die je gratis certificaten geven om het slotje te realiseren"

Kan je stoppen met die onzin verkopen. Letsencrypt kan je alleen gebruiken als je je aan hun systeembeheer vereisten voldoet, zoals dat je hun software moet runnen op de server waar je het gebruikt.

En als je de amazon cloud blokkeert werkt het helemaal niet.
25-06-2021, 21:36 door Anoniem
De ontwikkelaar is niet verantwoordelijk voor de infrastructuur maar voor de correcte werking v/d site.

De technisch applicatie beheerder is verantwoordelijk dat de site ergens draait waar de infra structuur op orde is (zoals een geldig certificaat).

Ieder zo z'n vak...
26-06-2021, 00:25 door Anoniem
Ik heb recent naar de 12 orthodontisten/tandartsen en 1 huisarts die geen SSL hebben op hun inschrijfformulier, een mailtje gestuurd.

0 reactie, geen bedankje, niets.
26-06-2021, 11:47 door [Account Verwijderd]
Door Anoniem: Ik heb recent naar de 12 orthodontisten/tandartsen en 1 huisarts die geen SSL hebben op hun inschrijfformulier, een mailtje gestuurd.

0 reactie, geen bedankje, niets.

Als jij een e-mail krijgt over een bij jou geconstateerd gebitsprobleem vanaf een foto op Facebook, wat doe je er dan mee? Juist ja, de SPAM-folder. Die mensen hebben geen benul van technische zaken en reageren al snel op een soortgelijke manier bij e-mails met obscure technische inhoud.
26-06-2021, 12:49 door Erik van Straten - Bijgewerkt: 26-06-2021, 12:54
Door Anoniem: Beste Engelfriet, hou je mond over dingen waar je geen verstand van hebt.
Het zou mij niet verbazen als Arnoud veel meer verstand heeft van PKI-achtige zaken dan jij (naast van rechten). Zie bijv. https://www.iusmentis.com/technologie/digitalehandtekeningen/scriptie/.

Ik vermoed dat Arnoud, net als ik, nogal eens provoceert om te leren van (radicaal) andere denkwijzen/standpunten: dat is vaak erg leerzaam. Bovendien zal Arnoud ook wel eens "foute" klanten verdedigen, dat doen advocaten (en dat is m.i. prima).

M.b.t. https: het primaire doel daarvan is authenticatie van de server, en dat is (al vele jaren) het enige doel van https servercertificaten. Een versleutelde verbinding met een server van een crimineel (i.p.v. met de bedoelde server) is immers zinloos. Pas nadat de browser heeft vastgesteld dat de server over een private key beschikt passend bij het ontvangen servercertificaat en de browser heeft gecheckt dat de in de URL-balk getoonde domeinnaam is opgenomen in het certificaat, en nadat de gebruiker heeft vastgesteld dat de getoonde domeinnaam van de bedoelde organisatie is, loopt de gebruiker nauwelijks het risico dat ingevoerde vertrouwelijke gegevens "onderweg" in verkeerde handen vallen. Nb. zo'n https slotje zegt helemaal niets over de beveiliging van de server zelf, noch over de beveiliging van eventuele achterliggende systemen en wie daar allemaal toegang tot hebben.

Eén van de grote nadelen [*] van DV- (domain validated, zoals Let's Encrypt) https servercertificaten is dat de bezoeker de exacte domeinnaam moet kennen; het handmatig checken van dit soort certificaten is zinloos omdat deze geen informatie over de eigenaar (organisatienaam, vestigingsland etc.) bevatten.

[*] T.o.v. OV- (organization validated) en EV- (extended validation) certificaten.

Naast de mogelijkheden voor het afluisteren en wijzigen van onversleuteld netwerkverkeer die Anoniem van 23-06-2021, 09:50 noemt, is toegang tot de directe netwerkroute tussen client en server niet de enige zorg: mogelijk zijn er in het verleden meer slachtoffers van DNS-spoofing geweest. DNSSEC is nog steeds een lachertje en veel modem/routers draaien verouderde of sowieso kwetsbare firmware.

De server-authenticatie feature van https zorgt ervoor dat als als jouw browser een DNS-lookup doet voor bijv. security.nl en een cybercrimineel jou daar een IP-adres in Rusland voor retourneert, jouw browser een certificaatfoutmelding geeft zodra deze https://security.nl/ opent [**] (HSTS-ondersteuning versterkt deze beveiliging).

[**] Tenzij die fake server beschikt over een onterecht uitgegeven certificaat (bijv. voor security.nl, en de aanvaller natuurlijk ook beschikt over de bijpassende private key), maar dat komt gelukkig zelden voor. De kans dat aanvallers moeite gaan doen om, voor een orthodontiepraktijk, een DNS-aanval uit te voeren en een vervalst certificaat te bemachtigen, lijkt me verwaarloosbaar, zoveel zijn die gegevens van een paar patiënten ook weer niet waard. Bovendien is een phishing-site met een lijkt-op domeinnaam veel eenvoudiger en sneller gerealiseerd.
26-06-2021, 12:49 door Erik van Straten - Bijgewerkt: 26-06-2021, 12:51
sorry dubbele post
26-06-2021, 21:26 door karma4 - Bijgewerkt: 26-06-2021, 21:27
Door Anoniem: Helaas klopt dit niet helemaal. Emailadressen zijn herleidbaar naar en persoon en dus sowieso een persoonsgeven. Het maakt daarbij niet uit of hier een naam in staat. In een rekeningnummer of telefoonnummer staat ook geen naam....
Dst klipt dus niet het is "kunnen herleisbaar zijn" niet een axioma dst het zo is. Mac en ip adressen daar geld hetzelfde voor of je moet een lift als persoon gaan zien dan wel een datacenter cloud.
26-06-2021, 21:37 door karma4
Door Anoniem: Behalve kinderachtig ook nogal kortzichtig:
Arnoud moet zwijgen zodat we een echte expert uit het slagveld te horen krijgen?
Mooi die gedetaileerde maar irrelevante specificatie van de theorie, misschien bedoelde Arnoud de werkelijke schade, het complete plaatje zegmaar, dat bij de techneut nogal incompleet is.
Doe eens iets vriendelijker, dat motiveert je opponent misschien tot dialoog, tenzij je werkelijk wenst dat hij zwijgt.
Wat nief correct is is dat Arnoud meteen een schuldig verklaring poneert. Een echte advocaat zou meerdere kanten benoemen met "it depends". Verwonderlijk in dit geval is die schuldig verklaring wetende dat het allemaal op "zou kunnen zijn dat" gestoeld is.
Het zou kunnen dat als jij ergens een portemonnee ziet dat je hem opraapt dus daarmee schuldig bent aan diefstal.
Met zoiets kom je bij een goede ethische rechter niet door voor een veroordeling.

Dat de AP dat wel doet op aangeven van derden is een slechte zaak. De stap naar chinese praktijken zit er al in.
28-06-2021, 11:11 door Anoniem
Door Anoniem:De AP legde een boete op omdat de praktijk het vertikte er wat aan te doen. Dat is dus sowieso niet de schuld van de webbouwer, die voert namelijk de opdracht uit. Als jij als praktijk besluit daar niks aan te laten doen is dat je eigen probleem.
Dit verandert de zaak. De websitebouwer heeft een zwakke website gemaakt en de opdrachtgever is erop gewezen dat daar een probleem zit. Dat die er vervolgens niets aan laat doen is m.i. rede genoeg om een boete op te leggen. Je bent gewaarschuwd en onderneemt toch geen actie.
28-06-2021, 14:23 door Anoniem
Website heeft een slotje. Ik vul een formulier met bijzondere persoonsgegevens in. Veilig, denk ik. Het is een standaard WordPress-installatie. Het ingevulde formulier wordt als email verzonden aan een beheerder/gebruiker. Onbeveiligd. Tja...
28-06-2021, 15:00 door Anoniem
Door Erik van Straten:[**] Tenzij die fake server beschikt over een onterecht uitgegeven certificaat (bijv. voor security.nl, en de aanvaller natuurlijk ook beschikt over de bijpassende private key), maar dat komt gelukkig zelden voor.
De fake server hoeft alleen maar over een door de browser vertrouwd certificaat te beschikken dat past bij de domainnaam. Als je de DNS toch al kan manipuleren is dat bij een DV certificaat natuurlijk een koud kunstje om te regelen. Het is natuurlijk iets ingewikkelder als je ook de DNS van een certificaat uitgever moet manipuleren.

Overigens, als de website zelf ook slecht beveiligd is,hoef je niet eens zo veel moeite te doen, je kan daar al het verkeer aftappen ( de webserver heeft dan zelf al het verkeer onsteluteld).

Goed,ik dwaal af, want het webverkeer van de betreffende website was sowieso niet beveiligd met een certificaat, dat was nu juist het oorspronkelijke probleem wat tot een boete leidde.
28-06-2021, 15:44 door Anoniem
Door karma4:Wat nief correct is is dat Arnoud meteen een schuldig verklaring poneert.
Dat is toch het moderne denken. De gewone burger is schuldig totdat die zelf het tegendeel kan bewijzen.
Als voorbeeld, kijk maar naar de toeslagenaffaire, naar het corona passport, de banken met hun z.g. 'witwas controle' etc.
28-06-2021, 15:48 door Anoniem
Door Anoniem: Concrete vraag dus: is het een probleem dat je een contactformulier hebt op een website die geen gebruik maakt van versleuteling?
Geen probleem, zolang of niemand het invult of je niet naar PII vraagt.
28-06-2021, 16:05 door Anoniem
dat de orthodontist om de twee jaar een audit heeft laten uitvoeren door een certificeringsbureau
Hang natuurlijk helemaal van de scope van die audit af, misschien ging het niet om een AVG check, maar om een check op spelfouten.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.