Uit onderzoek van de Consumentenbond blijkt dat twee derde van de grootste webshops de online beveiliging niet op orde heeft. Klantgegevens en soms hele klantbestanden waren vrij eenvoudig toegankelijk. Dat is slecht nieuws voor consumenten. Het zou ook slecht nieuws voor de webshops zelf moeten zijn, maar uit die hoek bleef het aardig stil. Bedrijven komen nu nog vrij gemakkelijk weg met onzorgvuldige omgang met persoonsgegevens. Dat is binnenkort echt anders.
Bedrijven die klantgegevens slecht beschermen kunnen nu te maken krijgen met het College bescherming persoonsgegevens (Cbp). Die geeft een waarschuwing of legt in het uiterste geval een last onder dwangsom op. Dit jaar wordt de boetebevoegdheid van het Cbp uitgebreid; het college kan boetes opleggen van maximaal 810.000 euro of van 10 procent van de jaaromzet. De echte stap in handhaving volgt naar verwachting in 2016. Dan wordt in de hele EU de General Data Protection Regulation (GDPR) van kracht. Vanaf dat moment moeten bedrijven zich zeker grote zorgen maken als ze hun online veiligheid niet op orde hebben.
Die GDPR is bedoeld om burgers meer grip op hun online gegevens te geven en gebruik van persoonsgegevens transparanter en verantwoordelijkheden ‘afrekenbaar’ te maken. Burgers moeten op verzoek volledig inzage krijgen in alle informatie die door een bedrijf of instelling over hen is vastgelegd. Willen ze dat hun gegevens niet meer worden bewaard en verwerkt, en er zijn geen wettelijke gronden die dat tegenhouden, dan dienen bedrijven die gegevens op verzoek direct te verwijderen. Verder moeten bedrijven kunnen aantonen dat ze technische en organisatorische maatregelen hebben genomen om de beveiliging te garanderen. Bovendien moeten bedrijven proactief dataveiligheid controleren en klanten binnen 24 uur informeren als er een veiligheidslek wordt geconstateerd. Voldoen ze niet aan de nieuwe privacyregels dan kan de EU boetes opleggen van 250.000 tot honderd miljoen euro of een omzetgerelateerde boete van tussen de 0,5 en 5 procent.
Toch zouden de dreigende boetes niet de belangrijkste motivatie moeten zijn om serieus werk te maken van bescherming van persoonsgegevens. Ieder bedrijf zou uit zichzelf afdoende organisatorische en technologische maatregelen moeten nemen. Maar kennelijk zit dat niet in het dna van elke organisatie. Na het onderzoek benaderde de Consumentenbond alle webwinkels waar veiligheidslekken werden geconstateerd. Een aantal winkels kwam direct in actie. De helft van de webwinkels nam echter niet eens de moeite om te reageren op de bevindingen. Zo’n laconieke houding kan bedrijven in de nabije toekomst zeer duur komen te staan.
Pieter Lacroix, Managing Director, Sophos Nederland
“Burgers moeten op verzoek volledig inzage krijgen in alle informatie die door een bedrijf of instelling over hen is vastgelegd”
Wie gaat de burgers toegang geven tot “bij welk bedrijf of instelling is er over hen vastgelegd”.
Wat ik mis in dit artikel is een paar handreikingen, zoals:
1. gebruik https (beter hsts)
2. zorg ervoor dat de database niet “van buiten” bereikbaar is, dus alleen de webserver zelf mag de database gebruiken
3. kontroleer dagelijks op veiligheids-updates van de webshop en laadt die ook
4. kontroleer dagelijks op veiligheids-patches voor de webserver en laadt die ook
5. volg de aanwijzingen voor een betere security bij installatie van een webshop, slordigheid kan men zich niet veroorloven
Momenteel is het al zo dat een goede security een marktvoordeel biedt, de klanten beginnen er op te letten.
Wie zijn huiswerk doet kan een behoorlijke webshop, ook een uit de FOSS software, goed beveiligen.
Zet geen webshop op met een goedwillende amateur, dat gebeurt helaas al te vaak.
“Bedrijven komen nu nog vrij gemakkelijk weg met onzorgvuldige omgang met persoonsgegevens. Dat is binnenkort echt anders.”
Binnenkort echt anders? Geloof je ’t zelf…
Bijna alles wordt overgelaten aan het bedrijfsleven zelf; kijk maar bijv. eens naar de Reclame Code Commissie: de helft van de commissie komt uit ’t bedrijfsleven. Geen wonder dat reclame in NL misleidend mag zijn (in de praktijk) tot-en-met.
Bedrijven gaan echt niet eens een hoop investeren in security; dat doen ze pas als de pakkans hoog is èn als bijv. ‘de buren’ zwaar beboet zijn. Dat zie ik de komende jaren echt niet gebeuren.
Het CPB krijgt gewoon de middelen niet; alleen i.g.v. extreme gevallen zal men een schamele boete krijgen.
Terug naar gezellig winkelen en niet meer online shoppen dan maar he…:)
@ed:
Dan kom je weer een ander privacy-probleem tegen: dat je tegenwoordig je kenteken moet intikken bij het parkeren (in een aantal gemeentes). En natuurlijk wordt je kenteken gefotograveerd als je over de snelweg gaat. En ze willen nu ook RFID’s in je nummerplaat inbouwen, zodat ze op nog veel meer plaatsen kunnen registreren waar je allemaal hebt geshopt.
Bestuurdersaansprakelijkheid en productaansprakelijkheid is een absolute must o. De digitale wereld veiliger te maken. Hoge sancties zijn de enige manier om dat voor elkaar te krijgen. Tot nu toe is steeds gebleken dat zelfregulering niet heeft gewerkt.