» » Wettelijk verplichting ssl certificaat?

Wettelijk verplichting ssl certificaat?

Geplaatst in: Nieuws | 0

Hier is enige uitleg bij nodig. Wanneer uw website persoonlijke gegevens van uw bezoekers vraagt en/of opslaat, doet u namelijk aan ‘het verwerken van persoonsgegevens’. Dat klinkt als een heel ver-van-uw-bed-verhaal, tenzij u bijvoorbeeld een webwinkel beheert. Maar, zo ver is het eigenlijk helemaal niet. Denk maar eens aan dat contactformulier op uw website. U vraagt hierbij bijvoorbeeld om mijn naam, e-mailadres en telefoonnummer. Dat zijn mijn persoonsgegevens. Die verwerkt u, want uw website neemt mijn gegevens in ontvangst en stuurt ze vervolgens naar u toe of slaat ze op in een database.

Met andere woorden, bijna iedere website verwerkt zo’n beetje persoonsgegevens, ook al is het maar alleen een naam en e-mail adres. En dus treedt de Wet Bescherming Persoonsgegevens, hoofdstuk 2, artikel 13, in werking:

De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

En hier ontstaat een discussiepunt. Wat zijn ‘passende technische en organisatorische maatregelen’? Wat is een ‘passend beveiligingsniveau’ en welke risico’s zijn er verbonden aan het vragen van mijn gegevens? Dit is natuurlijk helemaal afhankelijk van wat u van mij vraagt.

Bij het invullen van een contactformulier vraagt u me vermoedelijk alleen maar om mijn naam en e-mailadres. Misschien mijn telefoonnummer, maar dat zou een vrijwillig veld kunnen zijn. Wat is dan het risico, stel dat deze gegevens onderschept zouden worden? Iemand zou mij een mail kunnen sturen? Dat gebeurt dagelijks regelmatig, ook ongewenst, dus dat is niet echt risico. Van de andere kant, het zijn wel mijn gegevens, dus u moet daar zuinig mee om gaan. Een SSL beveiliging zou hier dus feitelijk wel verplicht zijn, maar hier zult u geen problemen mee krijgen als u het niet heeft.

Een ander verhaal wordt het als u me om mijn BSN, DigiD inlogcode of andere persoonlijke gegevens zou vragen. Deze gegevens kunnen namelijk wél misbruikt worden als ze in verkeerde handen vallen en moeten dus te allen tijde beveiligd worden. In zo’n geval is een SSL certificaat vereist en zult u behoorlijk in de problemen komen als hier op gecontroleerd wordt en u dit niet heeft.

Helemaal uit den boze is het natuurlijk als u mijn NAW- en betalingsgegevens zou hebben en deze onbeveiligd zou versturen of op zou slaan, maar dit zal voor zich spreken. Daarom maken veel webshops ook gebruik van een externe betalingsprovider, dat scheelt zelf weer een investering en het risico wordt verlegd naar een andere partij.

Geef een reactie