Over de LVVP

Voorkom een boete en beveilig uw website

Voorkom een boete en beveilig uw website

04-02-2017 Print

In onze nieuwsbrief van maart 2017 wezen we reeds op de onveiligheid van online aanmeldingen via de praktijkwebsite. Nu blijkt uit onderzoek van de Open State Foundation dat twee van de drie zorgaanbieders in (onder meer) de ggz een onbeveiligde website heeft. Een beveiligde verbinding is te herkennen aan een slotje in de browser. De Autoriteit Persoonsgegevens dreigt inmiddels met boetes, want het is in Nederland verboden om persoonsgegevens onbeveiligd te verzenden. Dat geldt overigens ook voor uw mailverkeer met uw cliënten via een onbeveiligde mailroute zoals hotmail of gmail. Onbeveiligde verzending van persoonsgegevens wordt aangemerkt als datalek.

Hoe beveiligt u uw website:

  • Installeer een SSL-certificaat
    Met de installatie van een SSL-certificaat, waarmee http:// wordt omgezet in https://, worden eventuele persoonsgegevens tijdens het inschrijven beveiligd en vindt er geen transport van de persoonsgegevens naar een eventuele tracker plaats. De kosten van een certificaat variëren -met de zekerheid van de beveiliging c.q. de lengte van de digitale sleutel- van enkele euro’s per maand tot circa € 250,- per jaar.
  • Het is daarnaast aan te bevelen om de persoonsgegevens niet op de website te laten staan, maar deze over te hevelen naar een eigen systeem en daarna op de site te wissen. De website staat immers altijd in contact met de buitenwereld. De opgegeven persoonsgegevens mogen sowieso niet bewaard blijven indien er geen behandelrelatie ontstaat.
  • HTTPS of HTTPS-afgedwongen?
    Niet alle beveiligde websites dwingen de beveiligde verbinding ook echt af. Dat betekent dat niet iedereen automatisch op de veilige versie terechtkomt. Mensen moeten dan handmatig naar de veilige versie, wat veel mensen niet zullen doen. Soms is een deel van de website wel beveiligd, en komen mensen daar ook automatisch terecht als ze naar dat deel surfen. Van de Autoriteit Persoonsgegevens moet echter de hele website worden versleuteld als er persoonsgegevens worden verwerkt.

 

Bewerkersovereenkomst
Indien de praktijkwebsite wordt gehost door een firma, en daar persoonsgegevens worden opgeslagen onder verantwoordelijkheid van de behandelaar, dan is het noodzakelijk dat de behandelaar een bewerkersovereenkomst afsluit met deze firma. Een voorbeeld van een bewerkersovereenkomst kunt u downloaden op Mijn LVVP.

Overige tips voor de online beveiliging van uw vrijgevestigde ggz-praktijk vindt u hier.

Ook interessant

Staatssecretaris Blokhuis wil aanpak regeldruk intensiveren

In de brief die staatssecretaris Paul Blokhuis recentelijk naar de Kamer stuurde, schrijft hij: “Samen met alle betrokken partijen wil ...

Lees meer

De LVVP zoekt leden voor projectgroepen indicatorontwikkeling

Zoals u weet, worden door het Netwerk kwaliteitsontwikkeling GGZ van 2015 tot 2017 18 kwaliteitsstandaarden ontwikkeld. Onderdeel hiervan is de ontwikkeling van kwaliteitsindicatoren. ...

Lees meer