AP legt orthodontiepraktijk boete van 12.000 euro op

Tools van een orthodontist

Een orthodontiepraktijk moet een bedrag van 12.000 euro ophoesten. De praktijk moet deze boete betalen, omdat persoons- en andere gevoelige gegevens van nieuwe patiënten niet goed beveiligd waren. Daardoor kon deze data in de verkeerde handen terecht komen. De praktijk heeft bezwaar aangetekend tegen de boete.

Dat schrijft de Autoriteit Persoonsgegevens.

Orthodontiepraktijk verstuurde gegevens onbeveiligd

De toezichthouder stuitte op deze misstand nadat een klant een klacht hierover had ingediend. De privacywaakhond besloot direct om in actie te komen, omdat voor zorgverleners extra hoge eisen gelden voor de beveiliging van persoonsgegevens. Dit omdat er in de zorgsector naast persoonlijke data ook veel andere privacygevoelige informatie wordt gedeeld met zorgverleners. Dan moet je denken aan gegevens over de ouders, huisarts, behandelend artsen, verzekeringsmaatschappij, burgerservicenummer, en ga zo maar door.

Het volgende deed zich voor bij de orthodontiepraktijk. Nieuwe klanten konden zich aanmelden via een online formulier. Naast hun NAW-gegevens moesten ze een groot aantal gevoelige gegevens verplicht doorgeven. De ingevulde gegevens werden vervolgens via een http-verbinding doorgestuurd naar de praktijk. Dat betekent dat de data niet versleuteld en dus onbeveiligd werd verstuurd. Dat is niet hoe dergelijke gegevens behandeld mogen worden.

Het onbeveiligd doorsturen van gevoelige gegevens gebeurde volgens de Autoriteit Persoonsgegevens in de periode van 1 juli 2018 tot en met 29 mei 2019, zo staat er in het boetebesluit.

‘Goede zorg voor je patiënten betekent ook goede zorg voor hun persoonsgegevens’

De toezichthouder stelt dat voornamelijk kinderen patiënt zijn bij een orthodontiepraktijk. In de Europese privacywetgeving worden kinderen als kwetsbare groep gezien. Om misbruik van hun gegevens te voorkomen, geldt voor hen dat zij extra bescherming genieten in de AVG.

Omdat de orthodontiepraktijk geen gebruikmaakte van een beveiligde verbinding om gegevens door te sturen, vindt de Autoriteit Persoonsgegevens dat de praktijk verwijtbaar heeft gehandeld. Daarmee overtreedt de praktijk artikel 32 lid 1 van de Algemene Verordening Gegevensbescherming (AVG). Dat artikel verplicht de verwerkingsverantwoordelijke en verwerker om ‘passende technische en organisatorische maatregelen’ te treffen om persoonsgegevens te beveiligen. Dat is nagelaten en daarom vindt de toezichthouder een boete van 12.000 euro ‘passend en geboden’.

Monique Verdier, vicevoorzitter van de Autoriteit Persoonsgegevens hoopt dat de bestuurlijke boete een signaal afgeeft. “Als je je inschrijft bij een orthodontist, geef je een combinatie van persoonsgegevens in vertrouwen af. Die gegevens zijn nodig voor de orthodontiepraktijk, maar zijn tegelijkertijd erg interessant voor criminelen. Goed zorgen voor je patiënten is ook goed zorgen voor de persoonsgegevens van je patiënten. Dat is niet alleen van toepassing bij grote zorgorganisaties, maar geldt voor iedere zorgverlener.”

Praktijk tekent bezwaar aan tegen bestuurlijke boete

De betreffende praktijk is het niet eens met de boete. De eigenaar zegt dat hij door de ontwikkelaar van de website nooit gewezen is op de mogelijkheid om met een versleutelde verbinding te werken. Daarnaast zegt hij dat hij geprobeerd heeft om de voldoen aan de AVG door om de twee jaar een audit te laten uitvoeren door een certificeringsbureau. Dat bureau verstrekte in maart 2018 een stappenplan om daaraan te voldoen, wat de praktijk puntsgewijs heeft afgewerkt. In het stappenplan werd niets gezegd over een versleutelde verbinding. Ook collega orthodontisten wezen de eigenaar daar niet op. Tot slot is er naar eigen zeggen geen schade geleden, is de oude website direct offline gehaald en heeft hij opdracht gegeven om de nieuwe site beter te beveiligen.

De orthodontiepraktijk heeft bezwaar gemaakt tegen de opgelegde boete. De Autoriteit Persoonsgegevens heeft dit bezwaar ongegrond verklaard. De enige manier om onder de boete uit te komen, is door naar de rechter te stappen. Of de praktijk dat ook daadwerkelijk gaat doen is onbekend.

Deze boetes heeft de AP dit jaar opgelegd

Dit jaar heeft de Autoriteit Persoonsgegevens al een fors aantal AVG-boetes openbaar gemaakt. In februari deelde de toezichthouder een boete van 440.000 euro uit aan het Onze Lieve Vrouwe Gasthuis (OLVG). Het Amsterdamse ziekenhuis had jarenlang onvoldoende maatregelen genomen om ongeautoriseerde toegang tot medische dossiers te voorkomen. Ook werd er geen meerfactorauthenticatie toegepast om de dossiers te beveiligen.

Booking.com moet een bedrag van 475.000 euro betalen, omdat het pas na drie weken een datalek meldde bij de toezichthouder. Om dezelfde reden kreeg de PVV Overijssel in mei een privacyboete opgelegd. Omdat het echter een politieke stichting zonder winstoogmerk en beperkte financiële middelen is, verlaagde de AP het boetebedrag van 525.00 euro naar 7.500 euro. Tot slot kreeg de website Locatefamiliy.com te horen dat ze 525.000 euro moet aftikken, omdat het zonder medeweten of toestemming persoonsgegevens van mensen publiceerde. Het verwijderen van deze gegevens was volgens de privacywaakhond ‘niet eenvoudig’.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen