'Meeste bedrijfssites die gevoelige info verwerken onveilig'
Het overgrote deel van de bedrijfswebsites die persoonlijke gegevens verwerken, doet dat zonder beveiliging. Dat constateren domeinbeheerder SIDN en MKB Servicedesk in een analyse.
SIDN, de organisatie die .nl-domeinen uitgeeft, scande 780.000 zakelijke websites. Daarvan verwerken er zo'n 429.000 gevoelige gegevens. Het gaat daarbij bijvoorbeeld om formulieren waarop persoonlijke gegevens worden ingevuld en inloggedeeltes waarbij gebruikers een gebruikersnaam en wachtwoord moet invullen. Het gaat niet om websites die betalingen verwerken. Van de 429.000 websites heeft volgens het onderzoek 86 procent geen beveiliging.
"Hoewel er sinds 1 januari 2016 een meldplicht is om datalekken te melden, zijn ondernemers er gewoon niet mee bezig", zegt een woordvoerder van MKB Servicedesk. Volgens hem moeten de verantwoordelijke organisaties meer bewustwording creëren.
Via een onbeveiligde website gegevens versturen kan gevaar opleveren. Het is voor kwaadwillenden dan veel makkelijker om gegevens te onderscheppen. Daarom gebruiken steeds meer websites https in plaats van http. Zoekgigant Google heeft bovendien besloten om websites die geen versleuteling aanbieden lager in zoekresultaten te plaatsen.
Verbaast niet
In Nederland houdt de Autoriteit Persoonsgegevens toezicht op het juist verwerken van persoonlijke gegevens. Als de privacywaakhond ontdekt dat daar fouten worden gemaakt kan de organisatie in een uiterst geval een boete opleggen. "Deze cijfers verbazen ons niet", zegt een woordvoerder van de Autoriteit Persoonsgegevens in een reactie. "Maar dit is uiteraard niet best. Bedrijven moeten echt aan de bak om de beveiliging te verbeteren. De eerste verantwoordelijkheid ligt bij henzelf."
In de wet staat niet letterlijk dat bedrijven hun website van het zogenoemde 'slotje' moeten voorzien, maar het wordt wel verwacht, zegt internetjurist Arnoud Engelfriet. "Je moet zorgen voor een adequate beveiliging en dat vertaalt zich eigenlijk dus altijd naar een versleutelde verbinding."
Volgens Engelfriet ligt de verantwoordelijkheid daarvoor bij de eigenaar van de site, maar ook bij de websitebouwer. "Die heeft hierin een zorgplicht, net zoals dat de elektricien ervoor moet zorgen dat alle bedrading in een winkel op de juiste manier is aangelegd."
Websites overheid
Onlangs verscheen eenzelfde soort onderzoek over overheidswebsites van de Open State Foundation. Daaruit blijkt dat 56 procent van de sites ook geen versleuteling gebruiken. Na Kamervragen heeft minister Plasterk van Binnenlandse Zaken toegezegd dat in de wet wordt vastgelegd dat alle overheidssites gebruik moeten gaan maken van versleuteling.