PRIVACYWETGEVING - 05.05.2023

Uw webwinkel voldoende beveiligd inzake privacy?

Een slecht beveiligde webshop kan leiden tot een datalek en vervolgens tot misbruik van persoonsgegevens, zoals identiteitsfraude. Daarom is een goede beveiliging van uw gegevensverwerking cruciaal. Wat moet u weten?

Persoonsgegevens verwerken

Als webwinkelier verwerkt u persoonsgegevens van uw klanten, zoals naw-gegevens, bankgegevens, IP-adressen en e-mailadressen. Op het moment dat uw klant bij u een product koopt, vertrouwt uw klant u deze gegevens toe. Zo moeten klanten erop kunnen vertrouwen dat u goed omgaat met hun gegevens en dat u uw webshop goed beveiligd heeft. Een slecht beveiligde webshop kan immers leiden tot een datalek en vervolgens tot misbruik van persoonsgegevens, zoals identiteitsfraude.

Wat is een datalek? Bij een datalek gaat het om toegang tot, vernietiging, wijziging of het vrijkomen van persoonsgegevens, zonder dat u dat heeft bedoeld. Let op.  Op grond van de Algemene verordening gegevensbescherming (AVG) bent u dan ook verplicht om persoonsgegevens die u verwerkt, goed te beveiligen. Hiervoor dient u passende technische en organisatorische maatregelen te nemen.

Welke maatregelen moet u nemen?

Welke passende technische en organisatorische maatregelen moet u nemen om persoonsgegevens te beschermen?

  • U moet gebruikmaken van moderne beveiligingstechnieken.
  • U mag niet meer persoonsgegevens verwerken dan noodzakelijk is voor een specifiek doel. Als u bijv. kleding verkoopt, zijn het geslacht en de geboortedatum van uw klant helemaal niet relevant. Deze gegevens zijn niet noodzakelijk voor de verkoop van uw product.
  • U dient de toegang tot de persoonsgegevens te beperken. Hoe meer personen binnen uw onderneming toegang hebben tot persoonsgegevens, hoe groter de kans op misbruik.

Eerst in kaart brengen. Omdat een goede beveiliging afhangt van uw situatie en dus maatwerk is, zult u eerst in kaart moeten brengen welke verwerkingen u uitvoert en welke risico’s dit met zich meebrengt. Daarna kijkt u welke passende technische en organisatorische maatregelen u moet treffen om de verwerkingen goed te beveiligen.

Voorbeelden technische maatregelen

We sommen enkele technische maatregelen voor u op.

  • HTTPS-beveiliging van uw website. Als u als u persoonsgegevens verzamelt via een website (zoals met een contactformulier of webshop), dan moet uw website beveiligd zijn met Hypertext Transfer Protocol Secure (HTTPS). Dit zorgt voor een beveiligde verbinding tussen een webserver en een internetbrowser. Let op.  Zonder het gebruik van HTTPS kunnen persoonsgegevens die worden verstuurd, worden onderschept. Om een website te voorzien van HTTPS heeft u een Secure Socket Layers (SSL) of Transport Layer Security (TLS) certificaat nodig. Dit wordt meestal geregeld door uw webhosting provider. TLS is overigens de meest recente versie van SSL. Om te achterhalen of uw website gebruikmaakt van een SSL- of TSL-certificaat kunt u klikken op het slotje wat getoond wordt in de adresbalk van uw browser. Hier kunt u meer lezen over het SSL- of TSL-certificaat van uw website.
  • Het up-to-date houden van uw webwinkelsoftware, browsers en virusscanners.
  • Het maken van back-ups waarmee u de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig kunt herstellen.
  • Gebruik sterke en unieke wachtwoorden voor de beheerderstoegang tot uw webwinkelsysteem, toegang tot gegevens van de webhost, webserver, etc. Zorg altijd voor een sterk en uniek wachtwoord dat voor hackers lastig te achterhalen is.

Sterke wachtwoorden

Een sterk wachtwoord bestaat uit een willekeurige combinatie van de volgende tekens:

  • kleine letters (a-z);
  • hoofletters (A-Z);
  • cijfers (0-9);
  • speciale tekens (#$%&*?).

Enkele adviezen. Nog enkele tips dienaangaande.

  • Tip 1. Hoe meer tekens u gebruikt, hoe beter het wachtwoord (minimaal twaalf tekens is aan te raden).
  • Tip 2. In plaats van een wachtwoord kunt u ook kiezen voor een wachtwoordzin, eventueel aangevuld met leestekens en cijfers. Een wachtwoordzin is vaak makkelijker te onthouden en sterker dan een wachtwoord. Zo is een wachtwoordzin die bestaat uit twaalf kleine letters moeilijker te achterhalen dan een wachtwoord van acht karakters met leestekens en cijfers.
  • Tip 3. Maak gebruik van een wachtwoordmanager. U hoeft dan nog maar Ă©Ă©n hoofdwachtwoord te onthouden. De rest vult de wachtwoordmanager automatisch voor u in.
  • Tip 4. Gebruik nooit gegevens van uzelf of gegevens van uw partner, kinderen of huisdier in een wachtwoord, zoals geboortedatum en naam. Deze gegevens zijn vaak makkelijk online te achterhalen.
  • Tip 5. Maak gebruik van beveiligingstools, zoals:
  • het instellen van een tweefactorauthenticatie (2FA). Om in te loggen op uw webshop (beheerderstoegang) heeft u dan naast uw gebruikersnaam en wachtwoord een extra verificatiecode nodig die u bijv. op uw telefoon ontvangt;
  • het aantal inlogpogingen te beperken met bijv. drie keer. Zo wordt dan bij de vierde keer het IP-adres van de hacker geblokkeerd.
  • Tip 6. Maak geen gebruik van openbare wifi-netwerken. Als webwinkelier kunt u in principe overal werken waar internet is. Een openbaar wifi-netwerk is nooit veilig. Zodra u hierop inlogt, kan een hacker toegang krijgen tot uw apparaat met alle gevolgen van dien!

Organisatorische maatregelen, zoals ...

  • Het opstellen van een procedure om op gezette tijdstippen de beveiligingsmaatregelen te testen en te beoordelen en te evalueren of de technische en organisatorische maatregelen nog steeds effectief zijn.
  • Het opstellen van een protocol hoe u een datalek of andere beveiligingsincidenten afhandelt.
  • Zo min mogelijk mensen binnen uw organisatie toegang geven tot persoonsgegevens.
  • Regelmatig de logbestanden controleren. Aan de hand van een logbestand kunt u achterhalen wie toegang had tot welke gegevens en wie welke gegevens heeft gewijzigd. Uw host of websitebouwer kan u vertellen waar u het logbestand vindt.
  • Het sluiten van verwerkersovereenkomsten. Een verwerkersovereenkomst is vereist als anderen voor u persoonsgegevens verwerken. Denk hierbij aan uw webhost die persoonsgegevens op zijn server bewaart. Zo zal bijv. een bedrijf dat veel klanten heeft de verwerkersovereenkomst in zijn algemene voorwaarden hebben opgenomen. Dit omdat het afsluiten van een separate verwerkersovereenkomst bij heel veel klanten niet te doen is.
  • Het sluiten van geheimhoudingsovereenkomsten.
  • Nagaan of u dezelfde doelen kunt bereiken met minder persoonsgegevens. Let op.  Onder de AVG heeft u een verantwoordingsplicht. U moet kunnen aantonen dat u voldoende maatregelen heeft genomen om de door u verwerkte persoonsgegevens te beveiligen.

Vijf basisprincipes digitaal ondernemen

Op de website van het Digital Trust Center van het Ministerie van Economische Zaken en Klimaat ( https://bit.ly/3Z4rLZD ) vindt u de vijf basisprincipes van veilig digitaal ondernemen voor MKB’ers. Met de Basisscan Cyberweerbaarheid ( https://bit.ly/3UF8YUg ) kunt u nagaan of uw onderneming de basis op orde heeft op het gebied van digitale veiligheid. Tip.  Op de website van de Autoriteit Persoonsgegevens (AP) vindt u meer informatie over wat u als organisatie kunt doen om de kans op een datalek te verkleinen ( https://bit.ly/3TqZQSx ).

Op grond van de AVG moet u passende technische en organisatorische maatregelen nemen om persoonsgegevens goed te beschermen. Op de website van het Digital Trust Center van het Ministerie van Economische Zaken en Klimaat ( https://bit.ly/3Z4rLZD) vindt u de vijf basisprincipes van veilig digitaal ondernemen voor MKB’ers.

Contactgegevens

Indicator BV | Schootense Dreef 31 | Postbus 794 | 5700 AT Helmond

Tel.: 0492 - 59 31 31 | Fax: 040 - 711 17 00

klantenservice@indicator.nl | www.indicator.nl

 

KvK-nummer: 17085336 | Btw-nummer: NL-803026468B01