Veilige website - Aan deze 4 dingen uit de privacywet moet jouw website voldoen

Vrijwel elke website verzendt of verzamelt persoonsgegevens. De jouwe ook. Een simpel contactformulier is al voldoende. Als website-eigenaar ben jij er voor verantwoordelijk dat privacygevoelige informatie veilig wordt opgeslagen en er veilig mee wordt omgesprongen. In de Wet bescherming persoonsgegevens (Wbp) is vastgelegd aan welke voorwaarden je moet voldoen. Sinds 1 januari 2016 is deze wetgeving aangescherpt, en kan de privacywaakhond Autoriteit Persoonsgegevens (voorheen College bescherming persoonsgegevens) flinke boetes uitdelen als er niet aan de gestelde eisen wordt voldaan.

De  Wbp is taaie kost. En ik kan me dan ook goed voorstellen dat je geen zin hebt om het wetsartikel voor wetsartikel uit te pluizen. Daarom highlighten we voor jou het belangrijkste:

1. Ga zorgvuldig om met persoonsgegevens en zorg voor een versleutelde verbinding

Dit is een behoorlijk open deur. Maar toch gaat het nog vaak mis, blijkt uit de praktijk. Recent nog bleek dat bij veel gemeentewebsites de beveilig zo lek is als een mandje. Een belangrijk punt waaraan het vaak schort is dat de website persoonsgegevens via een niet-beveiligde verbinding verstuurt.

Tip 1: Installeer een SSL-certificaat

Dit probleem is gemakkelijk op te lossen met een SSL-certificaat. SSL staat voor Secure Sockets Layer. Met dit certificaat worden vertrouwelijke gegevens versleuteld verzonden, zodat ze niet onderschept kunnen worden. Je kunt zo’n veilige verbinding eenvoudig herkennen aan de URL. Deze begint namelijk met https:// in plaats van http://. Soms staat er ook een slotje in de adresbalk. Bovendien geeft Google jouw website pluspunten als je een SSL-certificaat hebt.
Er zijn verschillende soorten SSL-certificaten op de markt. En er zijn ook verschillende aanbieders waartussen ook kwaliteitsverschillen zijn. Wil je eraan schaffen? Vergelijk dan verschillende SSL-certificaten met een productvergelijker.

2. Meld een datalek

Je spreekt van een datalek wanneer persoonsgegevens verloren raken of onrechtmatige verwerking redelijkerwijs niet kan worden uitgesloten. Een datalek kan ontstaan door technisch falen (bijvoorbeeld: je verzendt persoonsgegevens niet via een beveiligde verbinding of iemand hackt je database), maar ook door menselijke fouten (bijvoorbeeld: je verliest een USB-stick met daarop persoonsgegevens of verzendt een e-mail en zet alle mailadressen in het CC-veld in plaats van het BCC-veld). En natuurlijk kunnen persoonsgegevens ook in verkeerde handen komen doordat een laptop of externe harde schijf gestolen wordt. Of omdat er een kwetsbaarheid in je website of CMS waardoor kwaadwillenden bij de database kunnen.

Een datalek kan dus in vele vormen voorkomen. Volgens de Wbp ben je verplicht om elk datalek bij de Autoriteit Persoonsgegevens (AP) te melden. De betrokkenen (van wie de persoonsgegevens zijn) hoef je alleen te informeren als ‘het datalek ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.’ Denk hierbij bijvoorbeeld aan reputatieschade of identiteitsfraude.
Kan de AP aantonen dat het datalek is ontstaan door verwijtbare nalatigheid? Bijvoorbeeld omdat je gegevens verzendt via een onbeveiligde verbinding of het wachtwoord van de database nergens hebt afgeschermd, dan kun je een boete opgelegd krijgen. Deze kan oplopen tot 820.000 of 10 procent van je jaaromzet.

Tip 2: Sla gegevens versleuteld op of verdeel ze over meerdere servers

Een compleet veilig internet is een utopie. Desalniettemin is het wel belangrijk dat jij in ieder geval de randvoorwaarden op orde hebt, zodat jou in ieder geval niets te verwijten valt. En je geen of een lage boete krijgt, in het geval van een datalek.
Dit begint met een SSL-certificaat (zie tip 1). Maar wij adviseren ook om persoonsgegevens versleuteld in de database op te slaan.

Voor complexe databases met veel privacygevoelig materiaal kan het versleuteld opslaan een duur grapje worden. En soms ook ten koste van de functionaliteit van de website gaan. Een alternatief is dan om de database met persoonsgegevens op een andere server te plaatsen dan waar de website staat. De database-server is dan alleen toegankelijk voor de website en bepaalde ip-adressen, zoals je eigen IP-adres en die van de webbouwer.

3. Zorg voor een bewerkersovereenkomst

Als website-eigenaar ben je niet alleen eigenaar van de website, maar ook van de data die de website van haar bezoekers opslaat. Het webdesignbureau waarmee je samenwerkt heeft meestal toegang tot deze gegevens. Sommige toegang is nodig om aan de website te kunnen werken. En misschien zijn er ook wel andere externe partijen die toegang hebben tot de database. Volgens de Wbp moet je officieel toestemming geven aan externe partijen om de persoonsgegevens te verwerken. Dit kan via een bewerkersovereenkomst. Hierin kun je afspraken opnemen over:

  • De beschikbaarheid van de persoonsgegevens;
  • Beveiligingsmaatregelen;
  • Uit te voeren audits;
  • Melden van beveiligingsincidenten.

Tip 3: Laat je bewerkersovereenkomst door een advocaat of notaris opstellen

Heb je nog geen bewerkersovereenkomst? Ga deze dan als de wiedeweerga opstellen met je advocaat of notaris. Een bewerkersovereenkomst is een juridisch document en door hem op te stellen met een advocaat of notaris weet je zeker dat je goed zit. Bij Insyde werken we met een kant-en-klare bewerkersovereenkomst die voor al onze klanten geschikt is. Onze advocaat Bieneke Braat van Legaltree heeft deze opgesteld. Ook interesse in een bewerkersovereenkomst? Dan kun je met haar contact opnemen

4. Gebruik een cookiemelding als je persoonsgegevens verwerkt

Dit komt niet voort uit de Wbp, maar uit de Wet Telecommunicatie, maar hangt er wel heel erg mee samen. Een cookie is een klein tekstbestandje dat een website na bezoek op je computer, mobiele telefoon of tablet plaatst. Er bestaan drie soorten cookies:

  • Analytische cookies. Deze houden bezoekersstatistieken bij. Zoals de bezoekersaantallen en de tijd op de pagina. Met uiteindelijke doel: verbetering van de website. Deze analytische cookies hebben geen gevolgen voor de privacy. Voorwaarde is wel dat het statistiekprogramma goed ingesteld staat. Je hoeft een bezoeker dan ook geen toestemming te vragen voor het gebruik van deze cookies. Analytische cookies zijn zogeheten first party cookies, omdat de website ze zelf plaatst.
  • Functionele cookies. Webshops en websites met bijvoorbeeld inlogfunctionaliteit gebruiken deze bijvoorbeeld. Door functionele cookies worden bijvoorbeeld de loginnaam of de inhoud van je winkelwagentje onthouden. Ook hier is geen cookiemelding nodig, omdat de privacy niet in het gedrang komt. Functionele cookies zijn net als analytische cookies first party cookies.
  • Tracking cookies. Deze houden individueel surfgedrag bij en stellen profielen op om bijvoorbeeld gerichte advertenties te laten zien. Deze cookies maken wel inbreuk op de privacy van de bezoeker, en daarom moet je ook vooraf toestemming vragen via een cookiemelding.
    Tracking cookies worden ook wel onder de zogeheten third party cookies geschaard. Third party cookies zijn cookies die via jouw website of webshop worden geplaatst door een externe. Ook als je bijvoorbeeld a/b-testen doet met een programma als Optimizly of Hotjar, dan maak je gebruik van third party cookies en is een melding nodig.

Welke cookies jij gebruikt, kan jouw webbouwer voor je controleren.

Tip 4: Vergeet niet je privacyverklaring aan te passen

Een cookiemelding is niet voldoende. Ook in de privacyverklaring op de site moet je aangeven welke cookies je gebruikt. Ook als dat alleen analytische en/of functionele cookies zijn. Zorg dat minimaal de volgende informatie over cookies bekend is:

  • Welke cookies op de computer worden geplaatst.
  • Welke informatie iedere cookies vastlegt.
  • Wat het doel van de cookies is.
  • Hoelang de cookies op de computer bewaard blijven.

Wil jij een website die aan de nieuwe wetgeving voldoet? Neem dan contact met ons op!

Geschreven door Caroline de Vor

Projectleider

Blijf up-to-date en ontvang updates in je mailbox

Lees ook deze interessante blogs

Roast your boss 2019

We leren graag. Zodat we kunnen groeien en beter worden in ons vak. Feedback is hierbij essentieel. Wat gaat er goed, wat kan er beter en waar kun je beter direct mee stoppen. Waardevol. Soms pijnlijk. Altijd inzichtelijk. Niet alleen voor medewerkers maar ook voor bazen.

Drop-down-navigatiemenu’s: waarom niet?

Met enige regelmaat krijgen wij de vraag of we een drop-down-menu kunnen implementeren als basisnavigatie voor een website. Een drop-down-menu – ook wel bekend als pull-down-menu – is een lijst van subpagina’s onder de items van een hoofdmenu. Deze klapt zich direct uit onder het hoofditem. In de afgelopen decennia is het een gangbare manier geworden om veel pagina’s te groeperen op een website. Deze vorm van navigatie wordt echter steeds minder populair – en...

Easy LMS - Van de eerste stapjes naar een volwassen product

Easy LMS is ons online Saas Learning Management System. In een kleine 4 jaar is ons product uitgegroeid tot een volwaardig Learning Management Systeem met meer dan 1500 betalende klanten wereldwijd. In deze serie artikelen neem ik jullie mee in onze ontdekkingsreis van het ontwikkelen van een Saas-product voor de internationale markt. Lees hier deel I.

Is Insyde een geschikte partner voor jou?

Wij geloven in de kracht van een relatie. Samen ervoor gaan. Elkaar uitdagen. Voor langere termijn. Maar we willen best eerst een kop koffie doen om elkaar te leren kennen ;)