Sinds gisteren weten we dat de AP boetes oplegt wegens het niet naleven van de AVG als persoonsgegevens op een onbeveiligde website worden ingevuld. De kans dat deze overtreding veel vaker voorkomt is groot. Waarom is dat en wat is de oplossing?
Toen drie jaar geleden handhaving van de AVG startte werd de vraag gesteld wat er met bestaande websites moest gebeuren. Een website die alleen informatie verstrekt was waarschijnlijk geen probleem. Anders was het bij websites waarop men informatie kon achtergelaten. Als het gaat om een forum, het aanmelden voor een nieuwsbrief of het plaatsen van een bestelling op dat moment kan het om data gaan waarvoor de AVG geldt.
Artikel 32 AVG
De AVG schrijft in artikel 32 voor dat “passende organisatorische en technische maatregelen” genomen moeten worden om persoonsgegevens te beschermen. Wat persoonsgegevens zijn is bekend. Wat precies passende maatregelen zijn was vaker voer voor discussie.
Mede door vergelijkbare discussies in het buitenland drong in Nederland toch wel snel door dat de AVG nog een hele goede reden was elke website te voorzien van een SSL certificaat (“het groene slotje”). Daarmee kan de website eigenaar aantonen dat er maatregelen zijn getroffen om de invoer van persoonsgegevens te beschermen.
Wat we in Nederland niet meekregen is dat buiten de landsgrenzen al in 2018 de eerste websites werden gesommeerd de ontbreken van een SSL certificaat op te lossen. Die acties werden niet door toezichthouders maar door klagende advocaten en tech publicaties ondernomen.
Boete van 12.000 Euro
Sinds gisteren weten we dat het ook in Nederland nodig is je aan de AVG, en dan vooral artikel 32, te houden. De boete van 12.000 Euro opgelegd aan een orthodontiepraktijk wegens de onbeveiligde patiënten website is fors wegens het overtreden van de AVG . Iedereen met technische basiskennis zal verbaasd zijn dat op deze site geen certificaat aanwezig was.
Mogelijke verklaringen
Een korte rondvraag leverde meerder plausibele verklaringen op. Meerder keren gehoord is dat websitebouwers zelf geen kennis van de AVG hebben. De klant bepaald en wordt geacht de juiste instructies te geven. Een andere verklaring is dat een website is ontworpen en opgeleverd om informatie te verstrekken. Als er achteraf extra functionaliteit, zoals formulieren, bij komen kan dat gebeuren zonder dat iemand aan de AVG denkt. Dat speelt helemaal als die opdracht aan weer een andere partij terechtkomt dan de oorspronkelijke bouwer. En last but not least is er gewoon te weinig uitwisseling van kennis over het onderwerp tussen website bouwers onderling, maar ook de gebruikers.
Rol voor het IT kanaal
De meeste IT resellers hebben ervaring met de AVG, maar dat is vooral commerciële ervaring. Hostingproviders leveren (al dan niet tegen betaling) ook SSL certificaten. Wat deze groep tot op heden nog niet heeft gedaan is de klanten wijzen op de noodzaak van een dergelijk certificaat. Geen enkele aanbieder heeft tot nu toe verwezen naar artikel 32 van de AVG. Maar wellicht gaat dat veranderen nu de eerste boete is opgelegd.