Thuiswinkel.org is in het defensief gedrukt door het datalek van lid Cheaptickets.nl. Directeur Wijnand Jongen noemt het een ‘onmogelijke opgave en de facto niet de taak’ van de belangenvereniging om toe te zien op de dataopslag.
Webwereld.nl maakte gistermiddag in het kader van zijn ‘Lektober’-campagne melding van een beveiligingsfout bij Cheaptickets.nl, waardoor gegevens van 715.000 klanten in handen kwamen van een hacker. De reisaanbieder werd afgelopen maart nog gecertificeerd door Thuiswinkel.org.
Dataverkeer
Volgens de wet zijn webwinkels verplicht persoonsgegevens te beveiligen naar de laatste stand van de techniek. Het College bescherming persoonsgegevens (CBP) vertaalt die plicht zo dat webwinkeliers bij het dataverkeer met klanten gebruik moeten maken van SSL-verbindingen. Thuiswinkel.org neemt die verplichting expliciet mee in de certificering van zijn leden.
Dataopslag
Volgens Jongen is het niet de taak van Thuiswinkel.org om toe te zien op de dataopslag van leden. In het toetsingskader staat dan ook niet meer dan het volgende hieromtrent: ‘Elk bedrijf dient een “privacy statement” te publiceren waarin is vastgelegd hoe het bedrijf omgaat met persoonlijke gegevens van de consument en welke rechten de consument heeft.’
‘Onmogelijke opgave’
Jongen noemde toezicht op dataopslag tegenover de NOS (video) allereerst een ‘onmogelijke opgave’, om vervolgens te wijzen naar het CBP. Gevraagd waarom Thuiswinkel.org wel regels over dataverkeer, maar geen regels over dataopslag heeft opgenomen in zijn toetsingskader, zegt Jongen tegen Twinkle: ‘Het is ontzettend complex om daarop toe te zien, want data worden over de hele wereld opgeslagen. Wij kunnen niet iedere dag naast al die servers gaan staan, zoals we ook niet checken of chauffeurs van Wehkamp.nl zich wel aan de maximaal toegestane snelheid houden.’
Proactieve maatregelen
Feitelijk geeft Jongen aan dat een fout als die van Cheaptickets.nl niet of nauwelijks te voorkomen is en dat de vereniging niet bij machte is daar veel aan te veranderen. Tegen de NOS zei de directeur al dat Thuiswinkel.org ‘niet het spel gaat spelen om leden op te leggen waar ze hun gegevens moeten opslaan.’ Tegen Twinkle zegt Jongen vandaag dat de belangenvereniging zich wel zal beraden op proactieve maatregelen: ‘We gaan kijken wat we in redelijkheid en billijkheid kunnen vragen, ook van onze kleinere leden. Je kunt denken aan een protocol met eisen en voorwaarden over opslag, maar dagelijkse controle is niet aan ons en bovendien lastig. Dat geldt zeker voor testomgevingen, waar het lek van Cheaptickets.nl zich voordeed. In zo'n geval ligt de verantwoordelijkheid echt bij de ondernemer.’
Waarde van het Thuiswinkel Waarborg
Media en politici stellen hardop de vraag wat de waarde van het Thuiswinkel Waarborg nog is als de veiligheid van opgeslagen klantgegevens niet kan worden gegarandeerd. Jongen pareert: ‘Feit is dat we onze leden testen op de naleving van wetten en regels en dat we toezien op de veiligheid van hun betalings- en dataverkeer. We houden onze leden, die willen laten zien dat ze transparant zijn, daar ook echt aan. We steken er onze nek mee uit en dat blijft zo.’
Ik begrijp dat het geen taak is maar misschien moet de organisatie er wel over nadenken hoe dit te toetsen. Het komt tenslotte steeds meer in het nieuws plus dat het de klant steeds onzekerder maakt of internet nu wel zo veilig is
Politici die zich afvragen wat de waarde van Thuiswinkel.org keurmerk is kunnen zich dan ook gaan afvragen wat de waarde is van de wet kopen op afstand aangezien hier niet tot nauwelijks op gecontroleerd word.
Hoeveel webshops zijn er niet zonder SSL verbinding en dan wil ik nog niet eens weten hoeveel webwinkels hun database niet versleuteld hebben.
Twee heel simpele maatregelen om het wackers en scriptkiddies het in ieder geval een heel stuk lastiger te maken.
Stel je voor dat ze bij Thuiswinkel.org nog moeten werken voor hun geld. Dit is de enige manier voor de consument om ECHTE toegevoegde waarde te zijn. Voorlopig is het waarborg nog een grote dikke wassen neus.
Tsja, Extreme-Discount.nl ging failliet toen het bij het Thuiswinkel Waarborg zat, royeren ze het lid wel maar goed, het bedrijf bestond toen al niet meer. Achteraf kunnen ze dan niks meer voor de consument doen.
Nu dit weer. Zolang ze geen echte eisen durfen te stellen, aan zoveel eisen hoef je niet eens te voldoen, en ze eigenlijk alleen maar veel geld vragen aan de leden wordt de waarde van het waarborg wat mij betreft steeds lager.
Thuiswinkel blijft wat mij betreft het enige echte keurmerk; de anderen doen er niet tot weinig toe. Als gelover dat perceptie waarheid is, lijkt het mij niet echter meer dan een logisch dat een serieuze webwinkelier garanties wil afgeven dat deze de laatste serversoftware / patches heeft draaien. Dat doe ik graag als webwinkelier (en lid Thuiswinkelwaarborg). Veilig webwinkelen gaat verder dan https en financiele zekerheid, up to date zijn qua software is wellicht belangrijker dunkt me.
In een nieuwe episode van Lektober presenteert Webwereld een beveiligingstekort van QQ Tickets.
De verkoper van concertkaartjes verschafte vreemden toegang als beheerder, door het standaard wachtwoord voor de beheerder niet te veranderen. Zo waren klantgegevens te achterhalen.
Webwereld schrijft onder meer: 'De webshop wil geen prijsvechter zijn, maar biedt uitsluitend de betere zitplaatsen bij concerten en theatershows. Daarom is er een relatief klein klantenbestand van iets meer dan duizend klanten, die hierdoor te achterhalen zijn. Tussen de gegevens zitten naam, adres, woonplaats en gekochte tickets. Bankrekeningnummers en creditcardnummers zijn niet leesbaar.'