AP adviseert fysiotherapeuten over beveiliging vertrouwelijke gegevens

De Autoriteit Persoonsgegevens (AP) vraagt in een brief aandacht voor het treffen van adequate maatregelen door fysiotherapeuten om vertrouwelijke gegevens te beschermen.

Fysiotherapeuten die via het contactformulier op hun website bijzondere persoonsgegevens verwerken moeten daarbij gebruikmaken van https, zo heeft de AP laten weten. De toezichthouder kreeg van verschillende fysiotherapeuten vragen hoe zij het contactformulier op hun website moeten beveiligen. Het ging dan vooral om de vraag wanneer er een beveiligde verbinding via https moet worden gebruikt.

Als de fysiotherapeut via het contactformulier bijzondere persoonsgegevens verwerkt, waaronder gezondheidsgegevens en het burgerservicenummer (BSN) van patiënten, moet de gehele webapplicatie via https worden aangeboden. Is dit niet het geval, dan moet de fysiotherapeut zelf op basis van een risicoanalyse en classificatieschema vaststellen of het nodig is om de webapplicatie via https aan te bieden, aldus de AP in een brief aan het KNGF.

De Wet bescherming persoonsgegevens (Wbp) vereist dat de verantwoordelijke, in dit geval de fysiotherapeut, ‘passende’ beveiligingsmaatregelen treft om persoonsgegevens te beveiligen tegen bijvoorbeeld verlies. Om te bepalen wat in dit geval passend is heeft de AP zich gebaseerd op twee algemeen geaccepteerde beveiligingsstandaarden, namelijk de NEN 7512:2015 norm en de ICT-Beveiligingsrichtlijnen voor Webapplicaties van het Nationaal Cyber Security Center. ‘Fysiotherapeuten moeten rekening houden met deze twee standaarden als zij hun website (laten) bouwen’, zo stelt de Autoriteit Persoonsgegevens.

Ga voor meer informatie naar ICT-Beveiligingsrichtlijnen voor Webapplicaties van het Nationaal Cyber Security Centrum (NCSC).

Bron: security.nl
Beeld: Fotolia