De Autoriteit Persoonsgegevens heeft een brief geschreven aan de KNGF, de overkoepelende vereniging van fysiotherapeuten, waarin uitleg wordt gegeven over de beveiliging van contactformulieren op hun website. Dit in reactie op vragen van fysiotherapeuten over wanneer zij een beveiligde verbinding (https) moeten gebruiken.
In de brief licht de Nederlandse privacytoezichthouder toe hoe fysiotherapeuten de beveiligingsnormen uit de Wet bescherming persoonsgegevens (Wbp) kunnen toepassen om het contactformulier op hun website goed te beveiligen. De Wbp vereist dat de verantwoordelijke - in dit geval de fysiotherapeut - ‘passende’ beveiligingsmaatregelen treft om persoonsgegevens te beveiligen tegen bijvoorbeeld verlies.Verwerking bijzondere persoonsgegevens
De belangrijkste vraag hierbij is volgens de AP of de fysiotherapeut via het contactformulier bijzondere persoonsgegevens verwerkt, zoals gezondheidsgegevens en het burgerservicenummer (BSN) van patiënten. Is dat het geval, dan moet de fysiotherapeut de gehele webapplicatie via https aanbieden. Zo nee, dan moet de fysiotherapeut zelf op basis van een risicoanalyse en classificatieschema vaststellen of het nodig is om de webapplicatie via https aan te bieden.Om te bepalen wat in dit geval passend is, heeft de Autoriteit Persoonsgegevens zich gebaseerd op twee algemeen geaccepteerde beveiligingsstandaarden. Fysiotherapeuten moeten rekening houden met deze standaarden als zij hun website (laten) bouwen. Het gaat om:
• De NEN 7512:2015 norm. Deze beveiligingsnorm richt zich op elektronische communicatie in de zorg. De norm is van belang voor de beveiligde verzending van het contactformulier.
• De NCSC ICT-Beveiligingsrichtlijnen voor webapplicaties (2015). Deze richtlijnen vormen een leidraad voor het veiliger ontwikkelen, beheren en aanbieden van webapplicaties en bijbehorende infrastructuur.
