Wettelijke eisen voor online beveiliging

Wat valt er onder een “persoonsgegeven”?

Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon zijn persoonsgegevens in de zin van de WBP. Wanneer u een contactformulier op uw website heeft en daar wordt gevraagd om het invullen van een naam beschikt u dus al over een persoongegeven en bent u verplicht om deze informatie te beschermen.

Wat staat er in de wet?

Als we de wet er op naslaan staat daar dat er passende technische en organisatorische maatregelen moeten worden getroffen om persoonsgegevens te beveiligen. Een erg brede interpretatie is hierbij mogelijk. In het document van het College bescherming persoonsgegevens staat tevens een stroomschema waarin staat dat als de toegang effectief is beperkt (bijvoorbeeld d.m.v. een wachtwoord) de wet verder niet van toepassing is.

Aangezien alle persoonsgegevens achter een CMS wachtwoord staan zou u daarmee voldoende maatregelen hebben genomen. Daarbij is het in het geval van een contactformulier zonder CMS lijst geeneens sprake van opslag van gegevens en valt er dus volgens deze wet ook niets te beveiligen.

Dus niks aan de hand?

Dus wel. Om meer duidelijkheid te geven heeft het CBP een document gemaakt waarin specifieker wordt toegelicht welke maatregelen er genomen dienen te worden. Daar staat op pagina 32 punt 4: Beveilig het gegevenstransport door middel van het SSL-protocol. Daar is geen speld meer tussen te krijgen.

Wat is een SSL-Protocol?

SSL is een beveiligde verbinding tussen twee netwerken. Wanneer u een website bezoekt doet u dat vanaf uw eigen netwerk thuis. Als u dan het contactformulier invult worden de ingevulde gegevens verstuurd naar de server waar de website op staat. Dat is het tweede netwerk. Zonder verdere beveiliging zouden kwaadwillenden in theorie deze informatie onderweg kunnen onderscheppen en misbruiken.

Om dat te voorkomen kan de verbinding tussen de netwerken worden versleuteld met het SSL protocol. De netwerken praten dan in ‘geheimtaal’ met elkaar en is de informatie waardeloos als deze wordt onderschept. Als tweede zorgt SSL ervoor dat u ook echt verbinding hebt met de gene waarmee u verbinding denkt te hebben (authenticatie).

Wat moet ik nu doen?

Om uw website te beveiligen met SSL moet u een SSL-certificaat laten installeren. Deze zijn en in verschillende vormen:

  • Algemeen certificaat zonder vermelding van de afzender
  • Eigen certificaat met vermelding bedrijfsnaam
  • Eigen certificaat met vermelding bedrijfsnaam en groene balk

Een voorbeeld van een certificaat zonder vermelding afzender (Google) en met afzender en groene balk (Rabobank)

 

En als ik dat niet doe?

Dat veranderd er niets en blijft uw website gewoon draaien. Maar let wel; het CBP ziet er op toe dat deze wet wordt nageleefd. Boetes bij het niet naleven van de regels kunnen oplopen tot € 4500,-. Afgezien van deze boete loopt bij eventuele schade het nalatige bedrijf ook nog het risico aansprakelijk gesteld te worden.

Meer weten?

Wilt u meer weten over dit onderwerp en wat de consequenties zijn voor uw website? Neem dan contact op.

Update 2018: nieuwe wetgeving

De Nederlandse privacywetgeving gaat per 25 mei 2018 definitief vervangen worden voor de nieuwe Europese General Data Protection Regulation (GDPR). Lees er alle over in ons nieuwe blog.

Deel dit artikel