Summer Deal
‘Het nieuwe verbintenissenrecht & koop/verkoop’

6 webinars on demand

Summer Deal
‘Soft kills & Legal English’

3 webinars on demand

Summer Deal
‘ICT & Privacy’

5 webinars on demand

Privacy, gegevensbescherming en arbeidsrecht: de ontwikkelingen van het afgelopen jaar

Webinar on demand

SaaS-contracten: valkuilen en aandachtspunten

Webinar on demand

ICT-contracten opstellen en beoordelen

Webinar on demand

Standaarden voor veilige websites: wat betekent dit nu concreet? (Sirius Legal)

Auteur: Roeland Lembrechts (Sirius Legal)

Op 22/10/2021 oordeelde de Gegevensbeschermingsautoriteit (GBA) over een klacht wegens een onbeveiligde verbinding van de website van een ziekenhuis. Eindelijk eens wat overwegingen van de GBA over de nodige veiligheidsmaatregelen ter bescherming van persoonsgegevens. Want laten we eerlijk zijn, het begrip ‘technische en organisatorische maatregelen’ blijft tot op vandaag een containerbegrip waar een kat haar jongen niet in terugvindt.

Er zijn wel wat algemene adviezen, guidelines, overwegingen, etc. maar beslissingen van de GBA die concrete parameters uitzetten, blijven voorlopig toch uit. Een ruwe lezing van de gepubliceerde beslissingen van de GBA leert dat er slechts twee voorgaande beslissingen het veiligheidsaspect aankaarten:

  • Een eerste beslissing behandelt de problematische identificatieprocedure waarbij een derde ten onrechte een telefoonnummer dat iemand anders toebehoorde, had toegekend gekregen. Deze beslissing, waarbij een boete werd opgelegd van 25.000 Euro, werd door tussenkomst van het Marktenhof echter inmiddels reeds ingetrokken.
  • Een tweede beslissing behandelde het gebrek aan een logging procedure op de toegang van een beveiligde databank. Het gebrek aan deze maatregel leverde een boete op van 100.000 Euro.

De verwachtingen van deze ‘derde’ beslissing waren dus hoog.

De onveilige website van een ziekenhuis

De klacht die de GBA in deze beslissing behandelde, was die van een bezoeker op de website. Deze bezoeker stelde vast dat het contactformulier op onversleutelde wijze zou worden verzonden naar het ziekenhuis. Door gebruik te maken van een onbeveiligde verbinding zouden derden kennis kunnen nemen van de ingevulde (gezondheids-)gegevens. Het ziekenhuis zou dus niet voldoende technische en organisatorische maatregelen nemen.

Het ziekenhuis verdedigde zich op haar beurt met de melding dat ze enerzijds een project gestart was met als einddoel een ISO27001 certificering en anderzijds verwerkersovereenkomsten had afgesloten met haar betrokken verwerkers. Aangezien de website gelinkt was aan haar interne systemen, stelde het ziekenhuis ook dat zij gebruik maakte van two-factor authenticatie. Maar ondanks deze maatregelen, blijkt het ziekenhuis wel te erkennen dat een beveiligingscertificaat had moeten worden geïmplementeerd toen daar op gewezen werd. Het formulier zelf werd van de website gehaald.

Overwegingen van de GBA

Vooraleer de GBA ingaat op de inhoud van het probleem, stelt zij vast dat de klager geen persoonlijk belang had zodat het dossier werd geseponeerd. De klager had immers enkel de gegevens van zijn arts willen opzoeken, waarbij er geen eigen gegevens werden verwerkt. De klager had het bewuste online formulier dus niet zelf ingevuld, waardoor er geen eigen persoonsgegevens verwerkt werden. Op zich is dat een spijtige vaststelling, aangezien op die manier de melding van kwetsbaarheden in een systeem van een organisatie in dat geval maar een beperkte praktijk zullen kennen.

Nochtans is zo’n aanklacht en een effectieve behandeling van die klacht op zich een belangrijke veiligheidsmaatregel in het algemeen belang. We verwijzen hier graag naar de praktijk van de vulnerability disclosure policies als erkende beveiligingsmaatregel. De mogelijkheid tot melding en effectieve klachten behandeling biedt dan een mooi tegengewicht t.o.v. de lage meldingsgraad van datalekken door ondernemingen. Maar dat is het onderwerp niet van dit artikel.

Ondanks de seponering van de klacht achtte de GBA het wel nuttig om een reeks algemene overwegingen te maken met betrekking tot de technische en organisatorische maatregelen. Dit in het kader van haar algemene opdracht om bij te dragen aan een hoog niveau van gegevensbescherming. Zij geeft daarbij voornamelijk een kort overzicht van de geldende principes onder de GDPR, nl.:

  • de verplichting tot het nemen van maatregelen die steeds geëvalueerd en geactualiseerd moeten worden
  • deze maatregelen dienen risico-gebaseerd te zijn, met o.a. pseudonimisering en versleuteling van gegevens, de permanente waarborg op vertrouwelijkheid, integriteit en beschikbaarheid van de verwerkingssystemen, het vermogen om op incidenten te reageren en gegevens tijdig te herstellen en een permanente evaluatie van deze maatregelen
  • het principe van een verhoogde waakzaamheid wanneer het om gevoelige gegevens gaat.

Naast deze algemene overwegingen wijst de GBA op het belang van goedgekeurde certificeringsmechanismen. Toegespitst op het probleem van het websiteformulier stelt zij dat gegevens voldoende sterk versleuteld moeten verzonden worden van de computer van de gebruiker naar de server die een website met een formulier aanbiedt. Dit kan gebeuren door gebruik te maken van een beveiligingscertificaat.

Bron: Sirius Legal