Wetgeving rondom SSL-certificaten

Ja, elke website is verplicht om persoonsgegevens en vertrouwelijke informatie te beveiligen tegen verlies of enige vorm van misbruik. Er staat letterlijk in de Wet bescherming persoonsgegevens (Wbp): "De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen..."

De aansprakelijkheid ten aanzien van de beveiliging heeft betrekking op alle onderdelen van het verwerken van gegevens. U kunt de volledige tekst van de Wet bescherming persoonsgegevens nalezen op: wet bescherming persoonsgegevens.

De Wbp wordt gehandhaafd door het College Bescherming Persoonsgegevens. Wanneer het CBP constateert dat de wettelijke verplichtingen niet worden nageleefd kan het een boete tot € 4500,- opleggen. Daarnaast kunnen slachtoffers van internetcriminaliteit als gevolg van jouw slecht beveiligde website jou aansprakelijk stellen en een schadevergoeding eisen. Deze worden niet zelden toegekend wanneer aangetoond kan worden dat persoonlijke gegevens via jouw website makkelijk te onderscheppen blijken.

Nee. Het CBP adviseert de installatie van een SSL certificaat wanneer er persoonsgegevens via het internet worden verzonden. Hierover staat woordelijk vermeld: Om te voldoen aan de beveiligingsnorm van artikel 13 Wbp dienen verantwoordelijken zich, gegeven de huidige stand van de techniek en de normontwikkeling in eerdere uitspraken van het CBP, bij publicaties op internet te houden aan de volgende vijf verplichtingen:

• Voorkom de onnodige publicatie van persoonsgegevens
• Scherm specifieke pagina's met persoonsgegevens af voor zoekmachines
• Gebruik wachtwoorden of een andere passende methode om de doelgroep af te bakenen
• Beveilig het gegevenstransport door middel van het SSL protocol
• Beveilig machine(s) en achterliggende databases tegen onbevoegde toegang door derden

Ja. De Wbp eist van elke website dat de verwerking van persoonsgegevens behoorlijk en zorgvuldig wordt uitgevoerd. Dus ook als bezoekers een contactformulier invullen is er sprake van het verzenden van vertrouwelijke gegevens en je dient alle noodzakelijke maatregelen te treffen om deze gegevens te beveiligen tegen enige vorm van misbruik.

Ja. Het is jouw website dus jij bent volgens de Wbp te allen tijde verantwoordelijk voor de beveiliging van de gegevens die via jouw website worden verzonden. Het verwerken van gegevens via een website op een server in het buitenland vereist overigens extra nauwlettendheid, want je mag alleen gegevens op een buitenlandse server verwerken wanneer het beschermingsniveau afdoende is. Ook bij aangetoonde bescherming in het buitenland dien je expliciet toestemming te vragen, of je benadert het Ministerie van Justitie voor een vergunning. Overigens, in alle EU landen wordt verondersteld een adequaat beschermingsniveau te zijn.

Ja. Hoe gevoeliger de informatie en hoe waardevoller deze informatie voor criminele derden is, hoe strenger de eisen ten aanzien van de beveiliging. In de Wbp is een duidelijke correlatie verdisconteerd tussen de inspanningen ten aanzien de beveiliging en de gevoeligheid dan wel waarde van de informatie. Voor websites die veel gevoelige of waardevolle informatie verzenden adviseren we te allen tijde een Extended Validation SSL Certificaat.