De veiligheidslekken bij meer dan tweederde van de honderd grootste webwinkels in Nederland zijn (alweer) een waarschuwing voor consumenten: neem online veiligheid serieus. Bij webwinkels die lek blijken, zouden na het onderzoek van de Consumentenbond alle alarmbellen moeten afgaan.
Nu nog komen ze weg met een milde ‘naming & shaming’. Vanaf volgend jaar riskeren ze enorme EU-boetes.
Door: gastblogger Pieter Lacroix
De Consumentenbond liet 109 websites van de webwinkelbedrijven uit de Twinkle100 testen. Bij tweederde van de sites was de digitale beveiliging niet op orde, bij de helft daarvan ging het zelfs om ernstige veiligheidslekken. Daaronder niet de minste partijen: ANWB, Beltegoed.nl, Coolblue en 123tijdschrift.nl, om er een aantal te noemen. Opvallend is dat er niet of nauwelijks verschil zit in de beveiliging van webwinkels met of zonder Thuiswinkel Waarborg. De risico’s voor webshoppers variëren van gegevens op straat tot besmetting en gijzeling van computers. De bond adviseert goede antivirus-software, slim wachtwoordgebruik en gezond verstand – altijd een goed advies.
Wat zijn de risico’s voor de bedrijven?
Boetes tot 100 miljoen euro
Dat tweederde van de online winkels veiligheidslekken heeft, is onrustbarend. Schokkend zijn de lauwe reacties van site-eigenaren. De helft van de webwinkels met een ernstig lek reageerde niet op de bevindingen. Misschien zien zij het als calculeerbaar risico. Die instelling kan hen vanaf volgend jaar duur komen te staan. In 2016 wordt waarschijnlijk de nieuwe EU-privacywet van kracht, de General Data Protection Regulation (GDPR). Die is bedoeld om gebruik van persoonsgegevens transparanter en verantwoordelijkheden ‘afrekenbaar’ te maken. Zo moeten bedrijven proactief dataveiligheid controleren en klanten binnen 24 uur na constatering van een veiligheidslek informeren. Voldoen ze niet aan de nieuwe privacyregels dan kan de EU boetes opleggen van 250.000 tot 100 miljoen euro.
Versleuteling van gegevens
Als bedrijven dataveiligheid zelf niet serieus nemen, dan zou de GDPR een mooie aanmoediging moeten zijn. Bij Sophos informeren we bedrijven over de maatregelen die ze kunnen nemen om lekken te voorkomen en de organisatie klaar te maken voor de GDPR.
Drie aanbevelingen:
1. Voer een duidelijk beleid in voor omgang met klantgegevens. Maak dat beleid niet te complex en zorg ervoor dat iedereen de regels kent en naleeft.
2. Maak één medewerker intern en extern verantwoordelijk voor gegevensveiligheid.
3. Versleutel persoonsgegevens. Encryptie is de beste methode om privacygevoelige data te beschermen, ook als er toch datalekken ontstaan. Met versleuteling kun je ook aantonen dat je serieuze veiligheidsmaatregelen hebt genomen.
Over gegevensveiligheid mogen bedrijven niet te licht denken. Nu al niet, maar binnenkort kan vrijblijvendheid desastreuze gevolgen hebben.
Pieter Lacroix is managing director van Sophos in Nederland.
We moeten wel eerlijk zijn wat betreft het onderzoek. Niet 2/3e van deze lijst heeft z'n beveiliging niet op orde, echter worden bepaalde 'lekken' op andere manieren afgevangen waardoor deze niet te misbruiken zijn. Een veiligheidsscan zal inderdaad een lek vinden, terwijl dit dus eigenlijk geen lek is. Bij de meerderheid van de partijen die 'matig' scoren zal dat het geval zijn. Dit weet de Consumentenbond met zijn incompetentie natuurlijk niet, maar deze partijen zullen ook geen boetes krijgen in de toekomst.
Even off-topic: Ik blijf het jammer vinden dat de Consumentenbond nog bestaat en als autoriteit wordt gezien. Altijd als er een onderzoek/ test van spullen zijn waar ik toevallig wat vanaf weet kloppen deze van geen kant.