Wist je dat een SSL certificaat verplicht is?
Als je een website of webshop hebt dan zal je ook moeten nadenken over de beveiliging. De beveiliging van persoonsgegevens is een belangrijk onderdeel hier van. Er gaan verschillende verhalen rond wat er verplicht is en wat niet. Begin van dit jaar (2016) is ook nog de meldplicht datalekken in gegaan. Ik zal het duidelijk voor je op een rij zetten zodat je weet waar je aan toe bent.
Persoonsgegevens
Op websites wordt regelmatig gebruik gemaakt van persoonsgegevens. Bij online aankopen worden diverse persoonsgegevens achtergelaten op een website maar ook bij het invullen van een simpel contactformulier gebeurt dit. Bij beide is er sprake van het delen van persoonsgegevens. Echter is het natuurlijk een stuk gevoeliger als de complete adresgegevens en bankgegevens van een persoon uitlekken t.o.v. een naam en e-mailadres.
SSL
SSL staat voor Secure Socket Layer, dit zorgt voor een versleutelde verbinding tussen een webserver en een internetbrowser. Hierdoor zijn alle gegevens die worden verzonden beveiligd en deze kunnen niet door buitenstaanders worden gestolen.
Wet bescherming persoonsgegevens (Wbp)
De Wet bescherming persoonsgegevens verplicht iedere website en webshop om persoonsgegevens te beveiligen. Het college bescherming persoonsgegevens (cbp) ziet er op toe dat deze wetgeving wordt nageleefd. En kan boetes tot wel €4.500,- uitdelen als de wet niet wordt nageleefd.
Wat staat er nou precies in de Wbp?
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen…’
De wetgeving verplicht websites dus om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen. Maar hoe je dat precies moet doen wordt niet genoemd. Op verschillende websites lees je dat een SSL certificaat verplicht is als je met persoonsgegevens werkt. Dat is dus een vrije interpretatie van de wetgeving. Nergens staat genoemd dat je verplicht bent om persoonsgegevens met een SSL certificaat te beveiligen. Het is echter wel een van de meest voor de hand liggende manieren, maar dus niet verplicht. Het cbp adviseert ook het gebruik van een SSL certificaat als persoonsgegevens worden achtergelaten op een website.
Meldplicht datalekken
Vanaf 1 januari 2016 zijn organisaties verplicht om een melding te maken bij de Autoriteit Persoonsgegevens zodra er een datalek heeft plaatsgevonden. Er wordt dus steeds meer waarde gehecht aan het beveiligen van persoonsgegevens om het datalekken zoveel mogelijk te beperken.
Zoekmachines
Google hecht ook waarde aan beveiligde websites. Websites met een SSL certificaat worden dan ook positief beoordeeld. SSL is namelijk een rankingfactor. Het is echter nog maar een kleine rankingfactor waar je niet te veel invloed van moet verwachten.
Verplicht of niet
Zoals hier boven staat aan gegeven staat er in de wetgeving dat iedere website/webshop verplicht is om de persoonsgegevens, die worden achtergelaten op de website, te beschermen. Er staat nergens dat een SSL certificaat verplicht is. Wel is dit de meest voor de hand liggende manier om een website te beveiligen. Je begrijpt dat voor banken en ziekenhuizen beveiliging een stuk essentiëler is dan voor een website met alleen een contactformulier. De gevolgen van het uitlekken van persoonsgegevens bij banken heeft immers veel grotere gevolgen dan het uitlekken van een e-mailadres. De toezicht op dit soort websites zal dan ook veel strenger zijn.
Conclusie
Het is duidelijk dat er steeds meer waarde wordt gehecht aan het beveiligen van persoonsgegevens. Google beloond websites met een SSL certificaat en niet beveiligde websites krijgen boetes van het cbp. Hoewel SSL op dit moment een kleine rankingfactor is verwacht ik dat deze steeds meer waarde zal krijgen. Worden er op jouw website of webshop persoonsgegevens achtergelaten en wil je het zekere voor het onzekere nemen? Zorg er dan voor dat je een SSL certificaat heeft. Zeker websites met gevoelige informatie kunnen niet meer zonder SSL certificaat.