SSL-certificaat verplicht? Beveiliging van gegevens blijft een grijs gebied

"Wist u dat een SSL certificaat verplicht is? Ook als u alleen een contactformulier heeft op uw website? En wist u ook dat een eventuele boete kan oplopen tot EUR 4500,--?? Vraag een ssl certificaat aan en loop geen risico!"

Bovenstaand bericht werd onlangs door een hostingprovider op Facebook geplaatst. Het bedrijf verkoopt SSL certificaten, dat mag duidelijk zijn. Dat men voor het contactformulier op de eigen website, waarbij het invullen van naam, telefoonnummer en e-mailadres verplicht is, niet standaard een beveiligde verbinding hanteert, moeten we waarschijnlijk even door de vingers zien.

Het is een typisch voorbeeld van de manier waarop de theoretische mogelijkheid van een dergelijke boete voor verkoopdoeleinden wel eens wordt benadrukt. Details worden vaak niet gegeven, maar men verwijst indirect naar artikel 13 van de Wet bescherming persoonsgegevens (Wbp), waarin staat beschreven:

"De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking."

Dat een beveiligde verbinding verplicht zou zijn bij het aanbieden van een eenvoudig contactformulier, is een vrije interpretatie van deze wet. Wat is immers een "passende technische en organisatorische [maatregel]", en wanneer en voor wie is zo'n maatregel passend?

Kamerstukken geven enige duiding

Uit Kamerstukken blijkt dat men uitgaat van "een proportionaliteit tussen de beveiligingsmaatregelen en de te beschermen gegevens" (CBP richtsnoeren, 1.4). De mate waarin persoonsgegevens verzameld worden, en met name de privacygevoeligdheid van die gegevens, bepaalt dus de zwaarte van de eisen die gesteld worden aan de beveiliging ervan.

Van een bank of ziekenhuis eisen wordt natuurlijk de hoogst mogelijke beveiliging verwacht, en bij het plaatsen van een bestelling in een webshop moet zorgvuldig met persoons- en betaalgegevens worden omgesprongen. Van de overheid wordt verwacht dat zij erop toeziet dat dit adequaat gebeurt.

Maar in hoeverre geldt dat voor een contactformulier op de website van de lokale sportvereniging?

Grijs gebied

Dat brengt ons in een grijs gebied. Wie een naam en e-mailadres opgeeft, deelt daarmee twee persoonsgegevens, maar redelijkerwijs kleven er geen grote risico's aan het onbeveiligd verzenden hiervan. Kwaadwillenden moeten toch enige moeite doen om deze gegevens te onderscheppen, en met enkel een naam en een e-mailadres valt vervolgens weinig winst te behalen.

De vraag is dan ook of de kosten die gemoeid zijn bij het opzetten van een beveiligde verbinding, zoals het aanschaffen, installeren en verlengen van een certificaat, opwegen tegen de risico's.

De praktijk

Het College bescherming persoonsgegevens (CBP), dat toeziet op de naleving van de Wbp, heeft beperkte middelen, en treedt doorgaans alleen op bij "ernstige, structurele overtredingen die veel mensen treffen en waarbij het cbp door de inzet van handhavingsinstrumenten effectief verschil kan maken" (5.2).

Sancties die in schrijnende gevallen kunnen worden toegepast zijn onder meer bestuurlijke boeten (met de genoemde 4,500 EUR als maximum) en het opleggen van bestuursdwang. In het ergste geval, zoals bij grove nalatigheid of grote maatschappelijke schade, kunnen er strafrechtelijke stappen worden ondernomen.

Risico's

Het aanbieden van een onbeveiligd contactformulier, waarbij enkel naar basale gegevens zoals naam en e-mailadres gevraagd wordt, kan niet worden gerekend tot de "ernstige, structurele overtredingen".

Om die reden heerst er als het ware een passief gedoogbeleid: men weet dat persoonsgegevens op internet veelvuldig in onbeveiligde vorm worden verzonden en ontvangen, maar de hieraan verbonden risico's zijn doorgaans dermate klein, dat er geen maatregelen getroffen worden.

Conclusie

De werkelijkheid is dus minder zwart-wit dan de bangmakende advertentie doet vermoeden. In de praktijk is het niet realistisch om aan te nemen dat het aanbieden van een onbeveiligd contactformulier beboet wordt.

Een website-eigenaar zal niettemin zijn of haar gezonde verstand moeten gebruiken bij de overweging om wel of geen beveiligde verbinding op te zetten, en doet er ook verstandig aan om de hoeveelheid persoonsgegevens tot een minimum te beperken. Hoe meer persoonsgegevens er immers verwerkt worden, hoe hoger de nood wordt om dit via een beveiligde verbinding te laten verlopen.

Reacties (0)

Er zijn nog geen reacties geplaatst.

Reageren

Reacties worden direct gepubliceerd. We vertrouwen er dan ook op dat je reactie relevant is, geen reclame-uitingen bevat, en de algemeen geldende fatsoensregels niet overschrijdt. Je e-mailadres wordt niet gepubliceerd.