Is een SSL certificaat verplicht?

18 augustus, 2014
Vragen & antwoorden
Webhosting, SSL, TLS

De implementatie van een SSL-certificaat maakt het mogelijk om alle gegevens die een website en bezoeker onderling uitwisselen met behulp van cryptografische versleuteling automatisch en doorzichtig te beveiligen, waardoor tussenliggende of afluisterende partijen deze niet kunnen lezen.

In de Nederlandse wet wordt niet expliciet gesproken over de beveiliging van gegevens via het internet. Wel staat in artikel 13 van de Wet bescherming persoonsgegevens (Wbp) beschreven dat "[d]e verantwoordelijke [...] passende technische en organisatorische maatregelen [legt] ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking." Het implementeren van een via SSL/TLS beveiligde (HTTPS-)verbinding is inderdaad een technische maatregel om verlies of onrechtmatige verwerking van gegevens te voorkomen.

Wanneer op een website of in een applicatie privacygevoelige (persoons)gegevens zoals namen, (e-mail)adressen en bankrekeningnummers worden verwerkt, wordt derhalve van de beheerder verwacht dat deze zorg draagt voor de beveiliging daarvan, bij voorkeur met behulp van moderne technologieën. Dat gaat verder dan alleen een SSL-certificaat: ook zodra de gegevens uitgewisseld en opgeslagen zijn, moeten ze immers met passende maatregelen bewaakt blijven worden. Passend, omdat de exacte implementatie, en de zwaarte van de beveiliging, afhankelijk is van het type gegevens.

Een HTTPS-verbinding met een geldig SSL-certificaat zou voor websites die persoonsgegevens verwerken als een minimumvereiste gezien kunnen worden. Dit geldt met name voor webshops die online, tijdens en na het bestelproces, de persoons- en betaalgegevens van klanten dienen te beveiligen.

Omdat de maatregelen in proportie tot de te beschermen gegevens moeten staan, is het niet voor iedere website verplicht om een SSL-certificaat in te zetten. Van alle websites waarbij de enige vorm van de verwerking van persoonsgegevens bijvoorbeeld uit een eenvoudig contactformulier bestaat, kan vanwege het lage risico op misbruik niet verwacht worden dat zij tijd en geld investeren in een dergelijke beveiligingsmaatregel.

Het College bescherming persoonsgegevens (CBP) ziet toe op de naleving van de Wbp, maar treedt doorgaans alleen op bij ernstige overtredingen.