Twinkle | Digital Commerce

Thuiswinkel.org: ‘Niet aan ons om dataopslag leden te controleren’

2017-05-27
300224
  • 2:22

Thuiswinkel.org is in het defensief gedrukt door het datalek van lid Cheaptickets.nl. Directeur Wijnand Jongen noemt het een ‘onmogelijke opgave en de facto niet de taak’ van de belangenvereniging om toe te zien op de dataopslag.

Webwereld.nl maakte gistermiddag in het kader van zijn ‘Lektober’-campagne melding van een beveiligingsfout bij Cheaptickets.nl, waardoor gegevens van 715.000 klanten in handen kwamen van een hacker. De reisaanbieder werd afgelopen maart nog gecertificeerd door Thuiswinkel.org.

Dataverkeer
Volgens de wet zijn webwinkels verplicht persoonsgegevens te beveiligen naar de laatste stand van de techniek. Het College bescherming persoonsgegevens (CBP) vertaalt die plicht zo dat webwinkeliers bij het dataverkeer met klanten gebruik moeten maken van SSL-verbindingen. Thuiswinkel.org neemt die verplichting expliciet mee in de certificering van zijn leden.

Dataopslag
Volgens Jongen is het niet de taak van Thuiswinkel.org om toe te zien op de dataopslag van leden. In het toetsingskader staat dan ook niet meer dan het volgende hieromtrent: ‘Elk bedrijf dient een “privacy statement” te publiceren waarin is vastgelegd hoe het bedrijf omgaat met persoonlijke gegevens van de consument en welke rechten de consument heeft.’

‘Onmogelijke opgave’
Jongen noemde toezicht op dataopslag tegenover de NOS (video) allereerst een ‘onmogelijke opgave’, om vervolgens te wijzen naar het CBP. Gevraagd waarom Thuiswinkel.org wel regels over dataverkeer, maar geen regels over dataopslag heeft opgenomen in zijn toetsingskader, zegt Jongen tegen Twinkle: ‘Het is ontzettend complex om daarop toe te zien, want data worden over de hele wereld opgeslagen. Wij kunnen niet iedere dag naast al die servers gaan staan, zoals we ook niet checken of chauffeurs van Wehkamp.nl zich wel aan de maximaal toegestane snelheid houden.’

Proactieve maatregelen
Feitelijk geeft Jongen aan dat een fout als die van Cheaptickets.nl niet of nauwelijks te voorkomen is en dat de vereniging niet bij machte is daar veel aan te veranderen. Tegen de NOS zei de directeur al dat Thuiswinkel.org ‘niet het spel gaat spelen om leden op te leggen waar ze hun gegevens moeten opslaan.’ Tegen Twinkle zegt Jongen vandaag dat de belangenvereniging zich wel zal beraden op proactieve maatregelen: ‘We gaan kijken wat we in redelijkheid en billijkheid kunnen vragen, ook van onze kleinere leden. Je kunt denken aan een protocol met eisen en voorwaarden over opslag, maar dagelijkse controle is niet aan ons en bovendien lastig. Dat geldt zeker voor testomgevingen, waar het lek van Cheaptickets.nl zich voordeed. In zo'n geval ligt de verantwoordelijkheid echt bij de ondernemer.’

Waarde van het Thuiswinkel Waarborg
Media en politici stellen hardop de vraag wat de waarde van het Thuiswinkel Waarborg nog is als de veiligheid van opgeslagen klantgegevens niet kan worden gegarandeerd. Jongen pareert: ‘Feit is dat we onze leden testen op de naleving van wetten en regels en dat we toezien op de veiligheid van hun betalings- en dataverkeer. We houden onze leden, die willen laten zien dat ze transparant zijn, daar ook echt aan. We steken er onze nek mee uit en dat blijft zo.’