Vanaf 1 januari 2016 heeft de Autoriteit Persoonsgegevens (AP) ruimere mogelijkheden om boetes te geven voor websites met slechte beveiliging. Daarnaast moet de verbinding naar elke website/-applicatie met persoonsgegevens versleuteld worden. Omdat wij merken dat de betekenis en gevolgen hiervan nog niet bij iedereen even bekend zijn, gaan we in dit blog dieper in op deze wet en wat je er aan kunt doen om hieraan te voldoen.
Over de wet
1 januari 2016 is de “Wet meldplicht datalekken en uitbreiding boetebevoegdheid” in werking getreden. Deze wet regelt in beginsel 3 dingen:
- Je moet als bedrijf zorgvuldig omgaan met persoonsgegevens
- Je moet als bedrijf zorgen voor voldoende en juiste beveiliging van gegevens
- Elk datalek moet gemeld worden
De eerste twee punten zijn niet nieuw, want deze eisen bestonden al langer. De vernieuwde wet zorgt er echter voor dat de AP nu de bevoegdheid krijgt om ook boetes op te leggen. Deze boetes kunnen zelfs oplopen tot een bedrag van € 820.000,-. Reden genoeg dus om even te controleren of je wel aan de nieuwe eisen voldoet!
Het derde punt is overigens wél nieuw: Bedrijven moeten een melding maken bij de AP én bij de getroffenen wanneer persoonsgegevens zijn ingezien door mensen die daar geen recht op hebben. Dit is natuurlijk het geval wanneer je site “gehackt” is en alle gegevens op straat zijn komen te liggen, maar bijvoorbeeld ook al wanneer eigen medewerkers door onvoldoende afscherming privacygevoelige data van je klanten in hebben kunnen zien.
Wanneer kun je een boete krijgen?
De AP kan je als eigenaar van een website vanaf 1 januari 2016 een boete opleggen, wanneer je een datalek niet zelf meldt. Daarnaast kan de AP ook boetes opleggen voor het niet nakomen van de bepalingen uit de Wet Bescherming Persoonsgegevens (WBP).
In deze bepalingen staat dat er een duidelijk doel moet zijn voor de gegevensverwerking. Ook moeten alle betrokkenen hier duidelijk over worden geïnformeerd. Dit kan bijvoorbeeld al door middel van een privacy-pagina waarop je duidelijk uitlegt waarom je om gegevens vraagt, en wat er met de gegevens die mensen op je website achterlaten gebeurt.
De WBP zegt daarnaast dat je een passend beveiligingsniveau moet bieden, gezien de huidige stand van de techniek en de aard van de te beschermen gegevens. Wat “passend” is staat niet exact omschreven, maar in de praktijk zou dit kunnen betekenen dat er voor het onveilig opslaan van een e-mailadres een minder hoge boete wordt opgelegd dan bij het onveilig opslaan van bank- en/of creditcardgegevens van je klanten.
Je kunt overigens niet out-of-the-blue een boete opgelegd krijgen. De AP zal hieraan voorafgaand altijd eerst contact met je opnemen en een bindende aanwijzing geven.
Is je website al veilig?
Om te bepalen of je eigen website al voldoende aan de nieuwe wet voldoet kun je het volgende nagaan:
- Verwerk je online persoonsgegevens? In principe doe je dit al als je website een standaard contactformulier bevat (bijvoorbeeld: netvlies.valet/contact).
- Zijn deze persoonsgegevens voldoende beveiligd? Alleen bepaalde medewerkers mogen toegang krijgen tot de data.
- Waar blijven de gegevens? Controleer of je data binnen-, of buiten Europa wordt opgeslagen. Wanneer je persoonsgegevens op servers buiten de Europese Unie worden opgeslagen is het moeilijker om aan te tonen dat dat veilig genoeg gebeurt (Bij Netvlies hosten wij al onze websites standaard op servers in Nederland).
- Zijn je wachtwoorden “sterk” genoeg? Een goed wachtwoord voldoet aan een aantal eisen zodat deze moeilijker te kraken is bij een aanval van hackers.
- Is alle data die via je website verstuurd wordt versleuteld? Dit voorkomt dat andere internetters het verkeer (zoals de ingevulde velden van een contactformulier of een ingevuld wachtwoord) kunnen lezen terwijl het over het internet verstuurd wordt.
De meeste van de bovenstaande vragen zijn eenvoudig door jezelf te beantwoorden. Het laatste punt, het versleutelen van het dataverkeer kun je regelen door een SSL-certificaat aan te vragen en te installeren.
Wat is een SSL-certificaat?
Een korte uitleg: SSL-certificaten zijn kleine bestanden die een cryptografische sleutel digitaal aan de gegevens van een bedrijf koppelen. Wanneer deze op een webserver zijn geïnstalleerd, activeren ze het hangslot en het https-protocol (via poort 443) en zorgen ze voor beveiligde verbindingen tussen een webserver en een browser. SSL wordt doorgaans gebruikt voor het beveiligen van creditcardtransacties, gegevensoverdracht en logins. Mede door de veranderde wetgeving wordt het stilaan de nieuwe norm voor het veilige gebruik van websites.
Een bedrijf moet het SSL-certificaat op zijn webserver installeren om veilige sessies met browsers te kunnen bieden. Afhankelijk van het aangevraagde type SSL-certificaat, moet het bedrijf verschillende validatieniveaus doorlopen. Na de installatie kan er verbinding worden gemaakt met de website via https://www.domein.nl. Zo weet de server dat er een veilige verbinding met de browser kan worden gemaakt. Nadat een veilige verbinding tot stand is gebracht, verloopt alle webverkeer tussen de webserver en de webbrowser op een veilige manier. Browsers laten bezoekers weten dat een website met SSL beveiligd is via verschillende aanduidingen. De makkelijkste manier om een SSL-certificaat te herkennen is aan het webadres dat begint met https://… in plaats van http://… en aan het slotje dat in de adresbalk staat.
Hoger in Google
Naast het voldoen aan de nieuwe wetgeving en verbeterde veiligheid biedt een SSL-certificaat nog meer voordelen:
- De aanwezigheid van een SSL-certificaat zorgt ervoor dat je website bij Google meer kans heeft om op een hogere positie in de zoekresultaten terecht te komen. Websites met SSL-certificaat zijn in ieder geval in het voordeel t.o.v. vergelijkbare sites zonder zo'n certificaat.
- Verkeer over https:// door middel van een SSL-certificaat wordt de nieuwe standaard. Als je je website hiermee uitrust laat je zien dat je zorgvuldig met gegevens omgaat en dat geeft je bezoekers vertrouwen.
Hoe krijg ik een SSL-certificaat?
Bij het aanvragen van een SSL-certificaat komen een paar zaken kijken. Zo wordt een certificaat alleen uitgegeven aan de persoon die ook daadwerkelijk als “eigenaar” van een domein geregistreerd staat. Een certificaat is niet oneindig geldig, dit moet eens in de zoveel jaar vernieuwd worden. Daarnaast moet je website soms op een aantal punten worden aangepast om op https te kunnen draaien.
Er zijn verschillende typen SSL-certificaten, elk met hun eigen beveiligingsniveau en bijbehorend kostenplaatje. Bij Netvlies hebben wij hierin de volgende opties:
QUICKEVWildcard
- supersnel online aanvragen
- 256-bit encryptie en ondersteuning door 99% van de browsers
- hoogst mogelijke encryptieniveau
- eigen (geverifieerde) identiteit tonen aan je bezoekers
- hoogst mogelijke encryptieniveau
- beveilig meerdere hostnamen (domein + sub-domeinen) van je website
€ 150,00 p.j.€ 200,00 p.j.€ 300,00 p.j.
Hoe hoger het niveau van het certificaat, hoe meer verificatiestappen moeten worden doorlopen voordat deze wordt uitgegeven. Vaak zal een basis SSL-certificaat al voldoende zijn. In ieder geval om aan de nieuwe wetgeving te voldoen.
Wil je je eigen website ook op https:// gaan draaien? Wij kunnen je helpen te bepalen welk certificaat het meest geschikt is voor jouw omgeving/website. Daarna kunnen we alles rondom de aanschaf en installatie van het juiste SSL-certificaat voor je regelen, zodat ook jouw website in een handomdraai aan de nieuwe veiligheidseisen voldoet. Interesse in een quickscan? Neem contact op met mijn collega Martijn de Nijs.