Bol.com, Hema.nl en Christine le Duc zijn enkele positieve uitzonderingen op de algemene conclusie van het Algemeen Dagblad dat webwinkels slecht omgaan met de persoonsgegevens van klanten.
De krant deed onderzoek naar twintig webwinkels, waarvan er veertien 'zo slordig om springen met persoonsgegevens van klanten, dat criminelen deze informatie eenvoudig kunnen bemachtigen', aldus het AD.
Hacker
Een hacker wist ingevulde persoonsgegevens te onderscheppen bij de meerderheid van de onderzochte webwinkels. Hij slaagde daar onder andere in bij de shops van Bart Smit, Albert Heijn en V&D. Een aantal webwinkels, waaronder die van Free Record Shop, Kijkshop en Overtoom, verstuurt gebruikersnamen en wachtwoorden zelfs onbeveiligd, stelt het AD.
Wet Bescherming persoonsgegevens
De Consumentenbond heeft het College bescherming persoonsgegevens inmiddels opgeroepen de webwinkels aan te pakken, omdat ze de aangescherpte Wet bescherming persoonsgegevens overtreden.
Onwetendheid
Het AD schrijft dat de webwinkels in kwestie zelf zijn 'geschrokken van het onderzoek'. In een ander artikel haalt de krant een woordvoerder van Thuiswinkel.org aan, die de problemen erkent en verklaart op basis van de vermeende onwetendheid van de retailorganisaties.
Maatregelen
Volgens de krant hebben V&D, Kijkshop, Overtoom en Bart Smit direct maatregelen getroffen om de gegevens van zijn klanten beter af te schermen. Free Record Shop stuurde reeds een mail naar zijn klanten, waarin het aangeeft een 'belangrijke beveiligingsupdate' te hebben uitgevoerd.
Albert Heijn
Ook Albert Heijn zegt maatregelen te nemen om verbetering aan te brengen in de situatie. 'Er vinden geen financiële transacties plaats op onze site, dus wat dat betreft lopen onze online-klanten geen risico. Dat neemt niet weg dat we het een belangrijk onderwerp vinden', aldus een woordvoerster aan Twinkle. Volgens de woordvoerster is Albert Heijn 'ingehaald' door de technische vindingrijkheid van hackers. 'Maar binnen enkele dagen is het opgelost.'
Twinkle-blogger Steven Ras concludeerde een jaar geleden al uit een eigen onderzoek dat veel webwinkels meer zouden moeten doen aan privacybescherming. Afgelopen zomer verscheen een artikel van zijn hand in Twinkle, waarin hij ingaat op de gevolgen van de Wet bescherming persoonsgegevens. Dat artikel kunt u hier lezen.
Wat een hoop ophef om eigenlijk niets. De naw gegevens staan ook in een telefoonboek dus wat moet een hacker daar mee. Die heeft vast wel iets leukers te doen. Vergeet niet dat deze hacker precies wist wanneer de verzending was (er op de knop gedrukt werd) Dit gaan ze heus niet de hele week doen om te kijken wanneer je nu eindelijk iets besteld bij Otto om dan je naam eruit te vissen....
inderdaad het gaat om naw gegevens, niet om mijn cc nummer etc.
Ook webwinkels moeten aan de wet voldoen (Wbp) of nu om naw gaat of niet. Daarbij ik zou niet graag hebben dat iemand mijn naw-gegevens kaapt als ik heb geshopt bij bv Christine Le Duc.
En ook nog eens:
'Een aantal webwinkels, waaronder die van Free Record Shop, Kijkshop en Overtoom, verstuurt gebruikersnamen en wachtwoorden zelfs onbeveiligd'
Dus bagatelliseren lijkt me niet op zn plaats.
Wat wordt hier verward met wat? Als ik ergens winkel, vul ik NAW in. Maar die staan ook in het telefoonboek! Ik denk namelijk niet dat er transactiegegevens (bank, cc nummer, etc.) in combinatie met NAW onderschept worden.
Een crimmineel gaat echt niet dagen of weken wachten voor een deur met een onbeveiligd netwerk, dat iemand een bestelling doet. Daarna moet hij meestral nog tussen 3 tot 30 dagen wachten dat het pakketje komt. De postbode mag niet zomaar pakketjes afgeven aan iemand die voor de deur staat. En ik lees niks over onlineshoppen met gebruik van onveilige webmails accounts. In plaats de bal bij de webwinkels neer te leggen, zouden ze de tijd beter kunnen besteden door de consument bewuster te maken van hun eigen ovelige gedrag. Draadloos internetten zonder beveiliging, geen goeie antivirus of spyware op de computer. Niet voor Online shoppen gebruik maken van Livemail, Gmail en Yahoomail. Kortom bij het betaalproces moet de boel 100% dicht zijn. Maar een webformulier met naw gegevens die je ook in andere sites tegenkomt die ook niet beveiligd zijn, gaat wel heel erg ver. Maar is weer een mooi persbericht waar onze IT specialisten leuk centje aan kunnen verdienen door SSL certificaten te kunnen verkopen.
L-E-Z-E-N, heren. Martin herhaalt wat Wim heeft gezegd. En Martin V ook zo'n beetje. Dus nogmaals: hou je aan de wet, 'Een aantal webwinkels, waaronder die van Free Record Shop, Kijkshop en Overtoom, verstuurt gebruikersnamen en wachtwoorden zelfs onbeveiligd'
Voor gebruikersnamen en wachtwoorden valt nog iets te zeggen, maar eigenlijk zijn die voor bestellingen niet nodig. Ook zonder login kan iemand de naw gegevens invullen en een bestelling doen. Verder staat er in wet bescherming persoonsgegevens:
Hoe gevoeliger de gegevens, hoe zwaarder de toegepaste beveiliging moet zijn. Zijn de gegevens minder gevoelig, dan hoeft u niet steeds de zwaarst mogelijke beveiligingsmaatregelen nemen.
Dus waarom zwaar beveiligen als het zoiets is als naw.
De opmerking dat NAW gegevens ook in het telefoonboek staan vindt ik volstrekt misplaatst. Allereerst staan er tegenwoordig een stuk minder mensen in het telefoonboek vermeld en ten tweede is er van NAW gegevens uit een telefoonboek niet af te leiden waar iemand shopt.
Mijn shop slaat alleen NAW gegeven, afleveradres en order op. Dat gebeurt toch in iedere shop? Kan iemand mij vertellen wat nu exact het probleem is als je verder niets met die gegevens doet, alleen de order verwerken? En hoe kun je aangeven aan de klant dat je shop aan de wet voldoet?
Het mooiste komt nog. Zowel AD als Twinklemagazine hebben een onveilige website. Zij vragen NAW gegevens om je te abonneren op een onbeveiligde website. Leuk dat ze webwinkels een negatief imago geven, terwijl ze zelf de boel niet op orde hebben. Jullie zijn een beetje dom geweest. Verbeter de wereld en begin bij jezelf.
Dat is een sterke Martin. Maar dan is er nog eentje... De consumentenbond die nu het College bescherming persoonsgegevens inmiddels opgeroepen de webwinkels aan te pakken doet het trouwens zelf ook. Zowel naw gegevens als gebruikersnaam en wachtwoord gaan via een onbeveiligde website!! Wie moet er nu aangepakt worden?
Bij Twinkle of het AD 'onbeveiligd' abonneren? Niks mis mee. Vergelijk het met een bonnetje uit de krant knippen en opsturen - hoe beveiligd is dat? En zelfs op dat bonnetje vul je dan ook nog je bankgegevens in, als het om een machtiging gaat. Zo kun je al decennia lang een boek bestellen via een bonnetje. De postorderbond is er groot mee geworden, en het AD inderdaad zelf ook. Dus 'beveiligd' winkelen? Waar hebben we het over? Storm in een glas water, veroorzaakt door 'redacteuren' van het AD die ergens een klok horen luiden.
Het wordt steeds leuker, je gelooft je ogen niet. De consumentenbond heeft ook inderdaad een webformulier die onbeveilgd is, maar ook hun webwinkel in onbeveiligd. En nu komt het. De CBP die ons als webwinkels zou moeten gaan controleren en aanpakken, hebben zelf een webformulier die onbeveiligd is. Wie pakt het CBP nu aan? Bedankt AD dat niet alleen de webwinkels onveilig zijn maar zelfs de controlerende organisaties zijn zo lek als een mandje. Is echt een BEERPUT die nu is open getrokken. Aan een ieder kijk overal waar je NAW gegevens moet invoeren of er een slotje staat, nu blijkt dat zelfs verantwoordelijke organisaties zich niet aan de wet houden. Ben benieuwd wat er nog meer voor organisaties voorbij gaan komen. Laat het ons zeker weten, gaan we weer terug naar de envelop en postzegel :)
Zelfs de Thuiswinkelwaarborg.nl heeft een vragen formulier over leden voor consumenten, die onbeveiligd is. Ook op dat formulier wordt om NAW gegevens gevraagd. Leuk als je daarbij aangesloten bent als webwinkel en een waarschuwing krijgt, terwijl ze zelf de zaak niet op orde hebben. Ik geloof dat ik nu maar een lijst samen gaat stellen van websites en/of winkels die wel beveilgd zijn wanneer er om NAW gegevens gevraagd wordt. Dan ben ik sneller klaar.