Steeds vaker vindt de aanmelding van cliënten, patiënten of klanten online via de website plaats. Dat is gebruiksvriendelijk en efficiënt, maar het brengt ook serieuze privacyrisico’s met zich mee. De Autoriteit Persoonsgegevens (AP) toont met het opleggen van een boete aan welke risico’s ontstaan bij onvoldoende websitebeveiliging. Deze zaak maakt duidelijk dat een online aanmeldformulier zonder goede beveiliging grote gevolgen kan hebben.
Een orthodontiepraktijk kreeg een boete van 12.000 euro, omdat nieuwe patiënten zich konden aanmelden via een onbeveiligde website. Daarbij ontstond het risico op misbruik van gevoelige informatie, waaronder het BSN. De boodschap is helder: wie persoonsgegevens via zijn website verwerkt, moet de beveiliging aantoonbaar op orde hebben.
Aanmelden via de website betekent persoonsgegevens verwerken
Wanneer iemand zich via jouw website aanmeldt, verwerk je vrijwel altijd persoonsgegevens. Vaak gaat het om:
- naam-, adres- en contactgegevens;
- geboortedatum en BSN;
- gegevens van ouders of verzorgers;
- informatie over huisarts, tandarts of zorgverzekeraar.
Deze gegevens worden meestal verzameld via een webformulier. In de onderzochte situatie werden de ingevulde gegevens via een niet-versleutelde verbinding verzonden. Dat betekent dat derden de gegevens onderweg konden onderscheppen. Onder de AVG is dat een ernstig beveiligingsgebrek.
Gevoelige gegevens vragen om extra bescherming
In de zorg gaat het vrijwel altijd om gevoelige persoonsgegevens. Bij veel praktijken komt daar nog bij dat het vaak om gegevens van kinderen gaat. Kinderen gelden binnen de AVG als een extra kwetsbare groep en krijgen daarom aanvullende wettelijke bescherming.
Volgens de toezichthouder moeten patiënten erop kunnen vertrouwen dat zorgverleners niet alleen zorgvuldig omgaan met hun gegevens, maar dat ook de technische en organisatorische beveiliging goed is geregeld. Als de vertrouwelijkheid van deze informatie wordt geschonden, kan dat leiden tot grote risico’s, zoals identiteitsfraude of oplichting.
Wanneer is een online aanmeldformulier niet AVG-proof?
Veel organisaties onderschatten de privacyrisico’s van hun website. Een formulier is al snel gebruiksvriendelijk, maar niet automatisch veilig. Risico’s ontstaan bijvoorbeeld wanneer:
- formulieren niet via een versleutelde HTTPS-verbinding worden verzonden;
- meer persoonsgegevens worden gevraagd dan noodzakelijk;
- toestemmingsvakjes vooraf zijn aangevinkt, waardoor geen sprake is van geldige en vrije toestemming;
- er geen duidelijke afspraken zijn over toegang tot de gegevens;
- inzendingen onveilig worden opgeslagen of te lang worden bewaard;
- datalekken niet tijdig worden herkend of gemeld.
Een zichtbaar slotje in de browser is slechts het begin. De AVG vereist dat je passende beveiligingsmaatregelen treft, afgestemd op de aard en gevoeligheid van de gegevens.
De rol van de Privacy Officer bij websitebeveiliging
Juist bij online aanmeldingen speelt de Privacy Officer een belangrijke rol. De Privacy Officer zorgt ervoor dat privacy niet pas achteraf wordt bekeken, maar al wordt meegenomen bij het ontwerp en beheer van de website. Dat betekent onder andere:
- beoordelen van webformulieren op privacy- en beveiligingsrisico’s;
- toezien op dataminimalisatie: alleen vragen wat echt nodig is;
- afstemmen met IT en webbouwers over beveiligingsmaatregelen;
- vastleggen van duidelijke procedures voor datalekken;
- controleren of de website voldoet aan de AVG-verplichtingen.
De Privacy Officer vormt de schakel tussen beleid, techniek en dagelijkse praktijk. Zo voorkom je dat een praktisch online proces leidt tot juridische en reputatieschade.
Van klacht tot boete: een realistisch scenario
De onbeveiligde website kwam in beeld na een klacht bij de AP. Omdat het ging om slechte beveiliging in de zorg, waar hoge normen gelden, startte de toezichthouder een onderzoek. Dat leidde uiteindelijk tot een boete.
Deze zaak laat zien dat handhaving niet beperkt blijft tot grote organisaties. Ook kleinere zorgverleners en andere organisaties die online aanmeldingen aanbieden, kunnen worden onderzocht en beboet.
Online gemak vraagt om privacybewuste keuzes
Online aanmelden via de website is handig, maar het brengt ook verantwoordelijkheid met zich mee. Zeker wanneer je gevoelige gegevens of gegevens van kinderen verwerkt, moet de beveiliging en organisatie op orde zijn.
De kernvraag is daarom niet alleen: is mijn website gebruiksvriendelijk?
Maar vooral: is mijn website goed beveiligd en voldoet het aan de AVG?
Met duidelijke procedures, passende technische maatregelen en een actieve Privacy Officer verklein je de risico’s aanzienlijk en laat je zien dat je privacy net zo serieus neemt als je dienstverlening.
