Boete voor orthodontiepraktijk – dataveiligheid
De Autoriteit Persoonsgegevens meldt dat zij een boete van € 12.000,- oplegt aan een orthodontiepraktijk. De reden is dat de website van de praktijk niet voldoende was beveiligd.
Aanleiding tot de boete was een klacht van een patiënt. Op basis van die klacht is de Autoriteit Persoonsgegevens (AP) een onderzoek gestart.
Het bleek dat de website een online invulmogelijkheid had. Daar werden veel persoonsgegevens van de patiënt gevraagd. De websitebeheerder stuurde vervolgens die gegevens op onbeveiligde wijze naar de orthodontiepraktijk.
Het gaat om de combinatie van persoonsgegevens en medische gegevens. Daarvoor stelt de wet (AVG) extra zware eisen aan de veiligheid van de data. Bij gegevens over minderjarigen worden de eisen aan de dataveiligheid nog zwaarder.
Tegen de boete heeft de praktijk bezwaar gemaakt bij de AP. Dat bezwaar is door de AP afgewezen. Vervolgens is er nog beroep mogelijk bij de rechter.
Conclusies:
1. Het zijn vaak klachten van (ontevreden?) patiënten die leiden tot sancties en boetes van toezichthouders.
2. De klacht van uw eigen patiënt vereist een goed antwoord. Vooraf vastgesteld en vastgelegd beleid is daarvoor noodzaak.
3. Voldoende aandacht voor privacy beleid, procedures en registraties is (dus) noodzaak. Zeker voor zorgpraktijken.
4. Het is belangrijk om een goede leverancier te kiezen voor uw website diensten.
5. Het is belangrijk om te onderzoeken (vragen) of de website leverancier de juiste beveiliging heeft ingeregeld.
6. Uw IT-ers zijn belangrijk bij het beoordelen van uw veilige website en uw veilige IT omgeving.
Wij vragen ons af:
· Wist de orthodontiepraktijk hoe de websitebeheerder de beveiliging had ingeregeld?
· Welke eisen heeft de praktijk aan de websitebeheerder gesteld?
· Welke controles kon de praktijk uitvoeren op de instellingen van de website?
· Wat voor contract had de praktijk met de websiteleverancier? Dit is belangrijk in verband met de aansprakelijkheid.
Weet u de antwoorden op deze vragen in uw eigen praktijk of organisatie?
Het zijn aandachtspunten die aandacht vereisen binnen uw praktijk. De wet eist immers beleid en controles van uw praktijk.
De AVG management portalen van Waveland helpen u op weg met deze aandachtpunten en houden u scherp.
Het bevat de belangrijkste wetgeving voor uw praktijk.
Voor u samengesteld als direct toepasbaar en aantoonbaar beleid, procedures en (de vereiste) registraties.