Samen met SIDN brachten we vanuit MKB Servicedesk.nl woensdag 25 januari verontrustende cijfers naar buiten: bijna 9 op de 10 bedrijfswebsites die persoonlijke gegevens verwerken, doen dit zonder afdoende beveiligingsmaatregelen zoals SSL-encryptie (ook wel https genoemd). Terwijl die beveiliging wettelijk verplicht is, op straffe van maximaal 4500 euro boete.
Shocking cijfers, mogen we wel zeggen, die onze verwachtingen overtroffen in negatieve zin. Geen wonder dat tal van grote media er dan ook bovenop doken. Indrukwekkend om te zien dat we van geprinte De Telegraaf, Nu.nl, Radiointerview op BNR, NOS Radio 1 journaal, DutchCowboys en zelfs een item om RTLZ
Puur plat publicitair gewin? Nou, eerlijk toegegeven, we hoopten er wel een beetje op. Want Op MKBServicedesk.nl zijn we dagelijks op tal van manieren bezig ondernemers te inspireren en vooral te informeren zodat ze kunnen slagen in hun missie. We worden dan ook overladen met de meest uiteenlopende vragen. Maar over cybersecurity en hetbeveiligen van data in het algemeen en encryptie in het bijzonder, blijft het al lange tijd iets te stil. Dit ondanks dat er in wetgeving en in zoekmachines een hoop is veranderd.
De blinde vlek
Waar is nu die ophef over ontstaan? Waar zit de blinde vlek? Nou de vraag is hoe veilig is de privacygevoelige informatie van klanten die via je website tot je komt. Denk aan eenvoudige webformuliertjes, inschrijven voor een nieuwsbrief of een simpele login naar een portaal. Hoe veilig is het ‘data-lijntje’ waar je met jouw klanten over communiceert? Is er in de browser wel een slotje te zien? Ben je wel te vertrouwen online?
In bijna 9 op de 10 gevallen gebeurt dat zonder deugdelijke beveiliging, blijkt uit ons onderzoek met SIDN onder 779.000 zakelijke websites.
Tijdens een scan van alle 429.000 bedrijfswebsites die gevoelige gegevens verwerken, bleek dat 86% niet voorzien was van SSL-certificaat.
Daarentegen hadden alle webshops het wél voor elkaar, maar dat is logisch aangezien de bedrijven die de banktransacties verzorgen dat eisen.
Hoe komt dit dan, is de logische vraag die journalisten mij stellen. We hebben er geen onderzoek naar gedaan, maar we durven er op basis van onze ervaring en vele gesprekken met ondernemers wel een gooi naar te doen.
Het is onbekend
Als je op Google Trends een analyse doet op de zoektermen “SSL-encryptie” en “Wet datalekken” dan krijg je een verontrustend beeld. Er wordt niet op gezocht en daaruit mag je voorzichtig concluderen dat het onderwerp totaal onbekend is.
Het heeft geen prioriteit
Vorig jaar was er rondom de Meldplicht Datalekken wél een hoop te doen, want “megaboetes!”. Dus als ondernemers al bezig zijn met ict-veiligheid, dan blijft het vrijwel tot dat onderwerp beperkt: de veiligheid van gegevens die IN hun database zitten. Alles daarbuiten is voor veel ondernemers een blinde vlek, vooral als ‘IT’ niet een onderdeel is van hun eigen business maar een bijkomend gegeven.
Ja, maar het is zo technisch
Klopt, maar maak het niet zo moeilijk. Dat wil zeggen, stel je sitebouwer of -beheerder de vraag of alles veilig is, voor je eigen onderneming én voor je (potentiële) klanten. Nee? Laat het hem dan regelen. Je hoeft het niet te snappen, je hoeft het alleen maar belangrijk te vinden. Toch een paar termen zodat je weet waar het over gaat:
DV SSL (Domain Validated SSL)
De meest gangbare variant, tegenwoordig vaak gratis te krijgen. Beveiligt puur het verkeer tussen een website en een bezoeker.
OV SSL (Organisation Validated SSL)
Gelijk aan DV SSL, echter worden bij de aanvraag ook controles uitgevoerd naar de identiteit van de aanvrager.
EV SSL (Extended Validation SSL)
De meest herkenbare variant, websites worden voorzien van een duidelijke groene balk en de bedrijfsnaam van de aanvrager is prominent in beeld. Tijdens het aanvraagproces worden diepgaande controles uitgevoerd naar de identiteit en tekenbevoegdheid van de aanvrager.
Ja, maar dat kost geld……
Zeker! Maar regel je dit niet, dan riskeer je niet alleen een boete maar de echte BLINDE VLEK zit ‘m in de positie die jou website heeft in de zoekmachines. Regel je het niet dan gaat dit je klanten en dus omzet kosten. Want niet alleen plaatst Google je in de toekomst hierdoor steeds lager in de zoekresultaten, zonder SSL-certificaat waarschuwen Chrome (ook van Google) en Firefox expliciet voor een ‘onveilige website’ die je van plan bent te gaan bezoeken.
Dan haakt vrijwel iedereen meteen af om linea recta naar een concurrent te gaan. Dat kost meer dan die paar tientjes per jaar voor een fatsoenlijk SSL-certificaat. (En pssst, Google er eens naar, het kan zelfs gratis)