Is jouw website klaar voor de Algemene Verordening gegevensbescherming?

Vanaf 25 mei 2018 zal de Autoriteit Persoonsgegevens  de Algemene Verordening Gegevensbescherming gaan handhaven. Wanneer je als bedrijf of organisatie persoonsgegevens van klanten en of van personeel verzamelt, moet je vanaf dan kunnen aantonen dat je daarvoor alle passende veiligheidsmaatregelen hebt genomen tegen privacyschending. Een beveiligde website hoort daar ook bij.

Misschien is het je opgevallen dat bij steeds meer websites  het ‘http’ voor de domeinnaam in de adresbalk is vervangen door  ‘https’ (zie afbeelding 1). Http is een al ouder protocol dat de communicatie tussen een webbrowser en een website regelt. Die communicatie is niet beveiligd en derden kunnen deze communicatie onderscheppen of aanpassen.

Beveiligde site

Veiliger is het als aan het http protocol een versleutelingsmethode (SSL/TLS) wordt toegevoegd.  Deze versleutelingsmethode zorgt er dan voor dat alle communicatie die via de website verloopt eerst omgezet wordt in een geheime code, voordat de communicatie wordt verstuurd. Dat maakt onderscheppen en/of aanpassen van de informatie door kwaadwillenden veel moeilijker. In plaats van http staat er dan https voor de domeinnaam (de ‘s’ staat voor secured, ofwel beveiligd).

Afbeelding 1.Voorbeeld van een website die beveiligd is via het https protocol

Afbeelding 1.Voorbeeld van een website die beveiligd is via het https protocol

SSL-certificaat

Daarvoor moet er voor de website een geldig SSL-certificaat zijn afgegeven. Het certificaat bewijst de identiteit van de website aan browsers, zoals Google Chrome , Mozilla Firefox of Internet Explorer. Dat betekent dan dat bezoekers ervan op aan kunnen dat de website is van het adres dat in de adresbalk wordt weergegeven. Dat is niet altijd het geval. Denk bijvoorbeeld aan hackers die in het najaar van 2017 de officiële site van internetbank knab namaakten  en daar nietsvermoedende klanten naar toe wisten te lokken. De criminelen konden daardoor talloze inloggegevens van bezoekers  achterhalen om vervolgens hun rekeningen te plunderen.

SSL of de nieuwere versie TLS is in verschillende soorten verkrijgbaar afhankelijk van welk soort website je hebt.

Website identiteitsknop (slotje)

Webbrowser Google Chrome en Mozilla Firefox tonen bij websites met een https-protocol aan het begin van de adresbalk een  zogenaamde website identiteitsknop in de vorm van een hangslotje (zie afbeelding 2). Als je daar met je muis op klikt kun je zien of  de site versleuteld is, of er een geldig SSL-certificaat  is en bijvoorbeeld ook hoeveel cookies de site op je laptop of telefoon achterlaat.

Afbeelding 2. Als je met je linker muis op het slotje klikt dan krijg je gegevens over de beveiliging van de site en de geldigheid van het certificaat

Afbeelding 2. Als je met je linker muis op het slotje klikt dan krijg je gegevens over de beveiliging van de site en de geldigheid van het certificaat

 

 

 

 

 

 

 

 

 

 

 

Als het slotje groen is, betekent dat dat alle communicatie via de site versleuteld is. Het slotje kan er ook anders uitzien, bijvoorbeeld een grijs hangslot met een gele waarschuwingsdriehoek, als de site slechts gedeeltelijk versleuteld is of geen betrouwbaar certificaat heeft. Een grijs hangslot met een rode streep erdoor betekent ook dat de site maar gedeeltelijk versleuteld. In beide laatste gevallen is het af te raden om  vertrouwelijke  gegevens  via de site te versturen.

Praktijkwebsite

En nu naar jouw eigen website van je pedicurebedrijf. Is jouw site beveiligd?  Als er op de een of andere manier via jouw site persoonsgegevens lekken ( zie ook het artikel over de AVG in Podopost nr. 1, 2018) dan kan de Autoriteit Persoonsgegevens  je ter verantwoording roepen en zelfs een boete opleggen, als je niet kunt aantonen dat je er alles aan gedaan hebt om persoonsgegevens te beschermen. Zeker als je een contactformulier op je website hebt staan, of als je een webshop op je site hebt, dan is een beveiligde site onmisbaar. Alleen een formulier beveiligen heeft geen zin, de hele website moet beveiligd zijn.

Ranking

Maar niet alleen voor pedicures die een contactformulier of en webshop hebben is een beveiligde site een must. De verwachting is dat Google in de nabije toekomst sites die niet beveiligd zijn, niet meer in de zoekresultaten toont of in elk geval pas onderaan in de zoekresultaten plaatst.  Dat betekent dat potentiële klanten je website steeds lastiger via internet kunnen vinden. Daarnaast zie je nu al dat steeds meer mensen sites die niet beveiligd zijn, gaan mijden uit vrees dat hun gegevens worden onderschept. Een niet beveiligde site kan dus ook imagoschade opleveren.

Regelen

Indien je nog geen beveiligde website hebt, informeer dan bij het bedrijf waar jouw website is gehost welk soort SSL of TSL-certificaat je nodig hebt voor jouw type website (bijvoorbeeld met of zonder webshop) en hoe je een vertrouwd certificaat kunt bemachtigen. Meestal kunnen zij dat voor je regelen. De kosten bedragen, afhankelijk van het soort certificaat enkele euro’s tot meer dan honderd euro per jaar.