Search

Meer resultaten...

Generic filters
1
1
1
1
Jarno Baselier > Security > Wettelijke veiligheidseisen website

Wettelijke veiligheidseisen website

*Let op, deze post is geschreven in 2014. De content op de pagina is reeds verouderd!

Natuurlijk willen we allemaal onze website veilig hebben. Een veilige website is fijn voor (potentiele) klanten en geeft minder kopzorgen. Maar wist u dat er ook wettelijke eïssen zijn gesteld m.b.t. de veiligheid van uw website. Dus mocht u de beveiliging van uw website niet zo belangrijk vinden en toch persoonlijke data verwerken dan is het even goed om het tweede en derde lid van artikel 10 in de Grondwet te lezen alsmede de 12 artikelen van de Wet bescherming persoonsgegevens.

Of… u leest dit artikel dat volgens mij een stuk duidelijker en sneller is!

Wet bescherming persoonsgegevens:

In de wet bescherming persoonsgegevens zijn de regels beschreven en uitgewerkt die onze persoonsgegevens beschermen. In de bijbehorende artikelen staat beschreven waarin u zich als burger moet houden als u omgaat met persoonsgegevens. De 12 artikelen beschrijven de toepasbaarheid, inzichtelijkheid en controleerbaarheid op deze regels alsmede de sancties als deze regels worden geschonden.

Hoewel de wet niet specifiek ingaat op online toepassingen kunnen we de regels hier wel op toepassen. Feitelijk moet u “alles in uw macht doen om persoonsgegevens te beschermen en te waarborgen”. “Alles in uw macht” lijkt misschien wat onduidelijk. Maar het komt feitelijk neer op een letterlijke passage uit het wetboek die als volgt staat omschreven:

De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen.

Juist… dat verdient nog steeds geen schoonheidsprijs voor duidelijkheid.

Gelukkig weten we best wel wat er van u verlangd wordt zodat u volgens de wet het onderwerp “beveiliging van uw website” serieus neemt en u dus niet strafbaar bevonden zult worden.

U verwerkt geen persoonsgegevens:

Er zijn heel veel websites en bedrijven die geen persoonsgegevens verwerken (een contactformulier kan ook persoonlijke gegevens kan bevatten). Als u geen persoonsgegevens verwerkt dan is de “wet bescherming persoonsgegevens” niet van toepassing. Dit betekend niet dat er helemaal geen wettelijke bepalingen in het spel zijn m.b.t. beveiliging.

Cookies:
In Nederland moeten alle websites toestemming van de gebruiker vragen alvorens ze niet-functionele cookies mogen plaatsen op het apparaat. Een functionele cookie is een cookie die noodzakelijk is voor de werking van de website en geen persoonlijke, inlog of tracking gegevens bevat. Pas na toestemming mogen deze cookies geplaatst worden. Vele malware applicaties kopiëren, lezen of misbruiken uw cookies en daarin aanwezige (persoonlijke) gegevens. Omdat een lokale malware infectie buiten de beveiligingsscope van de website beheerder staat is deze regel voor extra veiligheid in gebruik genomen. Echter door vele vervelende bijeffecten plaatsen vele websites deze meldingen nog niet.

U verwerkt wel persoonsgegevens:

Websites die vragen om persoonlijke gegevens zijn bijvoorbeeld webshops, social media websites en websites waarbij een lidmaatschap wordt aangegaan. Maar ook als u een contactformulier heeft (waarbij u meer dan een naam en reactie vraagt) dan bent u digitaal bezig met verwerking van persoonsgegevens. Hoewel voor hackers een database met creditkaartgegevens en BSN nummers een stuk interessanter zal zijn dan een database met alleen NAW gegevens wil dat niet zeggen dat u alleen met de verwerking van NAW gegevens niet onder de wet valt.

Als u persoonsgegevens verwerkt dan zijn er een aantal zaken die u minimaal geregeld moet hebben:

SSL certificaat:
Een SSL certificaat versleuteld de verbinding tussen uw server en de bezoeker. Deze verbinding is veilig en kan niet afgeluisterd worden. Zorg er dus voor dat pagina’s waar persoonsgegevens verwerkt EN opgevraagd worden versleuteld zijn. Meer over SSL certificaten kunt u hier lezen.

Backup:
Om de opgeslagen persoonsgegevens te beschermen tegen verlies is een backup van deze data noodzakelijk en verplicht. Let op dat persoonsgegevens meestal niet langer bewaard mogen worden dan dat deze nodig zijn. Als uw website echter uw “klanten” de mogelijkheid biedt om persoonlijke data op te slaan en terug op te vragen dan zijn deze data ook relevant voor de “klant” en moet u deze data minimaal bewaren tot de klant hier geen aanspraak meer op zal maken en dus zijn registratie heeft opgezegd. Als de gegevens al 2 jaar niet meer zijn opgevraagd of gemodificeerd mag u de gegevens ook verwijderen omdat deze dan niet meer actief worden gebruikt en bewerkt.

CBP:
Het College Bescherming Persoonsgegevens ziet erop toe dat de bescherming van deze gegevens nageleefd wordt. Wettelijk moet u aan het CBP melden dat u persoonsgegevens verzameld wanneer deze gegevens te herleiden zijn tot individuele personen. U moet bij deze aanvraag het CBP inzicht geven in:

  • De specifieke gegevens die u verzamelt.
  • Het doel van de gegevensverzameling.
  • De categorieën personen van wie u gegevens verzamelt.

Er zijn echter een groot aantal uitzonderingen op bovenstaande regel. Deze staan hieronder vermeld. Een groot aantal van de websites en webshops zal volgens deze uitzonderingen de vastlegging niet hoeven te melden.

Paragraaf 1. Lidmaatschap en begunstiging

  • Verenigingen, stichtingen en publiekrechtelijke beroepsorganisaties
  • Genootschappen op geestelijke grondslag

Paragraaf 2. Arbeid en pensioen

  • Sollicitanten
  • Uitzendkrachten
  • Personeelsadministratie
  • Salarisadministratie
  • Uitkering bij ontslag 8. Pensioen en vervroegde uittreding

Paragraaf 3. Goederen en diensten

  • Abonnementen
  • Debiteuren en crediteuren
  • Afnemers en leveranciers
  • Huur en verhuur
  • Juridische dienstverleners en accountants

Paragraaf 4. Zorg en welzijn

  • Individuele gezondheidszorg
  • Verzorgingshuizen en verpleeghuizen
  • Kinderopvang

Paragraaf 5. Onderwijs

  • Leerlingen, deelnemers en studenten
  • Leerplicht
  • Leerlingenvervoer

Paragraaf 6. Overheid

  • Vergunning en melding
  • Decentrale belastingen
  • Reisdocumenten
  • Grafrechten
  • Naturalisatie
  • Naamswijziging
  • Dienstplicht

Paragraaf 7. Archieven en onderzoek

  • Archiefbestemming
  • Wetenschap, onderzoek en statistiek

Paragraaf 8. Beheer en beveiliging

  • Documentenbeheer
  • Netwerksystemen
  • Computersystemen
  • Communicatieapparatuur
  • Toegangscontrole
  • Overig intern beheer
  • Bezoekersregistratie
  • Camereratoezicht
  • Intranet
  • Persoonlijke websites

Paragraaf 9. Overige verwerkingen

  • Bezwaarschriften en gerechtelijke procedures
  • Registers en lijsten
  • Oud-leden en oud-leerlingen
  • Communicatiebestanden

Sancties:

Als de wet niet nageleefd wordt dan kunnen er sancties toegepast worden. Hoewel binnen Nederland de wet achterloop zijn er een aantal casus bekend waarbij wel zeker boetes zijn uitgedeeld. Let op dat u als ondernemer aansprakelijk gesteld kunt worden voor de geleden schade en dat u additioneel nog een geldboete kunt verwachten die kan oplopen tot € 5000.

Dat mag ook al niet…

Naast het feit dat er regels zijn aan het beveiligen van uw website zijn er ook regels tegen het opzetten van een “kwaadaardige” website. U bent dus niet verplicht om uw website te beveiligen maar u mag hem ook niet opzettelijk onveilig maken. Een onveilige website kan namelijk ook persoonsgegevens achterhalen en misbruiken maar kan ook opzettelijke schade toebrengen wat weer in strijd is met het strafrecht.

Conclusie:

Omdat we steeds meer online (kunnen) regelen verwacht ik dat de wet op digitale veiligheid zich spoedig zal aandienen waarbij we met meer zaken rekening moeten houden dan alleen met de “wet bescherming persoonsgegevens”. Momenteel zijn de regels redelijk soepel. Dat betekend echter niet dat u ze niet moet naleven. Er staan hoge boetes tegenover het niet naleven van deze regels. Daarnaast komt u zonder een deugdelijke beveiliging nooit in aanmerking voor een degelijk keurmerk en blijft er een gedegen kans bestaan dat uw mooi opgebouwde website gehackt kan worden.

Mijn advies is: gebruik de wettelijke eisen als een startpunt voor uw veiligheidsmaatregelen. In dit geval is meer toch echt beter!

Phishing / Spam Checker:
Have you received a strange mail and do you want to make a better assessment? Is it phishing or spam? Use my "CheckForPhishing" tool!
Check your email
Laatst geüploade video:
Bekijk de meest recente video hier of bekijk alle video's op mijn:
YouTube kanaal
Top