Author - wth

12feb

Waarom overstappen op HTTPS?

Vanaf juli dit jaar zal de nieuwste versie van Google Chrome websites zonder HTTPS-verbinding als ‘niet veilig’ markeren.

Dat heeft Google donderdag bekend gemaakt op zijn blog. Wij verwachten dat andere browser dit voorbeeld snel gaan volgen.

Werking van SSL-certificaat (HTTPS)

Websites met een SSL-certificaat tonen een groen slotje in de adresbalk en worden als ‘veilig’ gemarkeerd door Google Chrome. Websites zonder SSL-certificaat tonen geen slotje en worden dus eerdaags als ‘niet veilig’ gemarkeerd.

De werking van een SSL-certificaat is drieledig.

  1. Het dataverkeer tussen de website en de bezoeker wordt gecodeerd. Zo is het veel lastiger geworden om deze gegevens af te luisteren. Handig als je met vertrouwelijke gegevens werkt zoals betalingen of persoonsgegevens.
  2. De echtheid van de website wordt gevalideerd door de browser van de bezoeker. Zo weet de bezoeker zeker dat hij op jouw website zit en niet op een nagemaakte website (phishing).
  3. Beveiliging met SSL/HTTPS geeft vertrouwen bij je bezoekers. Je geeft het signaal dat je op een serieuze manier omgaat met je bezoekers. Over het algemeen bestellen klanten vaker en meer op bijvoorbeeld je webshop.


''Met SSL wordt je vertrouwelijke informatie versleuteld verzonden, zodat je gegevens niet onderschept kunnen worden. Als je kiest voor de meest uitgebreide SSL-certificaat zien de bezoekers van je website een groene adresbalk met je bedrijfsgegevens. Zo weten ze meteen met wie ze te maken hebben, cruciaal voor extra vertrouwen en daardoor meer omzet.''

HTTPS - Wettelijk verplicht?

Een SSL-certificaat is wettelijk verplicht wanneer uw website persoonsgegevens verwerkt. Dit is volgens de AVG/GDPR al het geval als je formulieren of nieuwsbrief aanmeldingen op slaat op je website.

Voordelen HTTPS

Naast de veelal wettelijke verplichting (vanaf 25 mei 2018) kan het hebben van een SSL-certificaat/HTTPS- verbinding zorgen voor een betere positie in de zoekresultaten voor Google. We adviseren daarom om zo snel mogelijk over te gaan naar HTTPS.

Kosten SSL-certificaat / HTTPS

De kosten van een certificaat is afhankelijk van het type certificaat. Iedere hostingpartij verschilt verschillende tarieven. Het is daarom belangrijk om in overweging te nemen wat je doelstelling is met de website. Een bank zal logischerwijs andere maatregelen nemen dan een platte website.

Bij het overzetten naar HTTPS is het in ieder geval belangrijk alle websites links door te lopen om te kijken of deze op de juiste manier verwijzen! Gebeurd dit niet dan zal niet overal het 'groene slotje' zichtbaar zijn, waardoor het voor de bezoeker lijkt of delen van de website niet veilig zouden zijn.

By Beveiliging, 1 Comment
Read more...
01nov

AVG / GDPR voor MKB en de gevolgen voor je website

De General Data Protection Regulation (GDPR) is de nieuwe Europese privacywetgeving die op 25 mei 2018 de Nederlandse AVG (Algemene Verordening Gegevensbescherming) vervangt.Deze wetgeving geldt voor iedereen die persoonsgegevens verzamelt van Europese burgers. Ook de huidige Cookiewet en de Meldplicht datalekken zijn straks onderdeel van de GDPR.

Een persoonsgegeven is élk gegeven dat te herleiden is naar een natuurlijk persoon. Dus heb je een contactformulier op je website, of registreer je bezoekersinformatie met IP adres (denk aan Google Analytics), dan geldt de GDPR voor jou! De GDPR heeft daardoor invloed op je website, je klantenbestand, de administratie én marketing.

Gevolgen GDPR voor kleine bedrijven/ MKB bedrijven?

Het is dus best wat werk om aan de GDPR-regelgeving te voldoen. Maar het biedt ook kansen. In heel Europa gelden straks dezelfde regels, en dat is handig als jouw website ook op een doelgroep buiten Nederland is gericht. Of als je in de toekomst naar het buitenland wilt uitbreiden.

GDPR-eisen en uitgangspunten

De nieuwe wet bestaat uit allerlei nieuwe eisen en uitgangspunten. Dat maakt het invoeren van de GDPR vrij lastig – zeker voor kleine bedrijven – want wat er moet gebeuren kan per bedrijf en markt verschillen. De volgende uitgangspunten moet elk bedrijf straks toepassen:

Transparantie

Je moet openheid kunnen geven over hoe jouw bedrijf persoonsgegevens verwerkt. Dat betekent dat je privacyverklaring in een heldere taal geschreven moet zijn. Kort en overzichtelijk. Daarin leg je uit hoe jouw bedrijf omgaat met persoonsgegevens. Zorg ook dat elke medewerker die werkt met persoonsgegevens de nieuwe privacywetgeving begrijpt.

Toestemming of ‘rechtsgrond’

De tijd van klakkeloos persoonsgegevens verzamelen en gebruiken is voorbij. Je hebt een rechtsgrond nodig. Heb je een webshop? Dan heb je natuurlijk naam- en adresgegevens nodig om je pakket te versturen. Wil je een geboortedatum zodat je bijvoorbeeld een kaartje kan sturen? Dan moet je die reden ook geven, en je mag het geen verplicht veld maken.

Aansprakelijkheid

Je bent verantwoordelijk voor alle persoonsgegevens binnen jouw bedrijf. Ook als die door externe partijen worden opgeslagen of toegepast. Zoals bijvoorbeeld MailChimp doet: die partij houdt voor jou e-mailgegevens bij en registreert het klikgedrag. Als MKB’er moet jij je dus inlezen hoe die partijen omgaan met de persoonsgegevens van jouw klanten.

Privacy by default

Standaard moet je de privacy van je klanten op de hoogste setting zetten. Dat betekent dat je niet ongevraagd iemands websitebezoek en IP-adres mag registreren. Bij iedere persoonsgegeven moet jij je daarom afvragen: heb ik dat wel echt nodig?

Privacy by design

Bedenk je een nieuw product of dienst? Dan moet je direct rekening gaan houden met de privacy. Persoonsgegevens verzamelen bijvoorbeeld via een verplichte registratie, mag alleen als dat nodig is voor het kunnen leveren van je product of dienst.

Datalek

Je moet er alles aan doen om persoonsgegevens veilig te bewaren. Toch een datalek door een verloren USB-stick of laptop? Dan moet je dat binnen 72 uur melden bij de Autoriteit Persoonsgegevens. Dat was al zo onder de wet Datalekken. Die gaat per 25 mei 2018 dus op in de GDPR, net als de Cookiewet. De Meldplicht datalekken gaat per 2018 ook op in de GDPR.

10 website gerelateerde zaken waarmee je rekening moet houden m.b.t. GDPR

Het gaat om vier hoofdvragen die je continu moet stellen: welke persoonsgegevens sla ik op? Hoe gebruik ik die? Waar sla ik die op en wie kan er bij? Heb ik die gegevens nog wel nodig? Hieronder de belangrijkste online actiepunten die van toepassing zijn op onze klanten:

1. Formulieren

Je mag alleen vragen om informatie die je nodig hebt. Dus een telefoonnummer of e-mailadres om te kunnen reageren, of een adres om een brochure te versturen. Wil je die gegevens ook voor iets anders gebruiken? Dan moet je dat expliciet vragen.

2. Privacyverklaring

Hou het kort en bondig. Leg precies uit welke persoonsgegevens je waar verzamelt, waarom en wat ermee gebeurt. Bovendien geef je opties om persoonsgegevens op te vragen, te verwijderen of te verplaatsen naar een concurrent. Je noemt ook de verantwoordelijke binnen het bedrijf die gaat over privacy.

3. Google Analytics

Gebruik je Google Analytics, dan moet je een overeenkomst sluiten met Google. Google is namelijk een dataverwerker die je toestemming geeft om de persoonsgegevens van jouw bedrijf te verwerken. Om een bewerkersovereenkomst met Google af te sluiten ga je naar de accountinstellingen, daar staat onderin een knop om akkoord te gaan. Een ander aandachtspunt is het IP-adres, dat is namelijk een persoonsgegeven. Vraag je nieuwe bezoekers niet vooraf om hun akkoord, dan moet je het IP-adres laten anonimiseren.

Google Analytics Data Processing Amendement
Een bewerkersovereenkomst met Google is eenvoudig af te sluiten via Accountinstellingen.

4. Cookiebeleid

De tekst “Doordat je deze website bezoekt, gaan we ervan uit dat je akkoord gaat met cookies” mag straks niet meer onder de GDPR. Voor iedere cookie die een bezoeker apart kan identificeren, moet toestemming worden gegeven. Daardoor kun je niet meer ongevraagd mensen over verschillende websites volgen.Een cookiewall, waarmee je gebruikers verplicht cookies te accepteren voordat ze de site mogen bekijken, mag je straks niet meer gebruiken. Per 25 mei kun je als gebruiker via de browserinstelling aangeven of je analytische en tracking cookies wel of niet wilt accepteren.

5. Bezoekers opnemen

Met analytische software zoals Hotjar kun je heel mooi zien wat je bezoekers op je site doen. Hun bezoeksessie neem je hiermee op, inclusief muisbewegingen. Zorg er daarom voor dat je niet het invullen van velden opneemt, en dat alle persoonsgegevens zijn geanonimiseerd.

6. HTTPS

Met een SSL-certificaat beveilig je je website. Er komt dan HTTPS voor je URL, waaraan bezoekers zien dat hun bezoek is beveiligd. Onder de GDPR ben je verplicht om te zorgen voor een optimale beveiliging van persoonsgegevens. Sla je formulieren of nieuwsbrief aanmeldingen op via je site? Dan is HTTPS verplicht. We hebben hier eerder al over geschreven.

HTTPS belangrijk binnen GDPR (AVG)
Webmaster te huur draait op HTTPS

7. Gebruikers aanmaken

Geef je iemand toegang tot het CMS van je site, dan moet die persoon daar ook een geldige reden voor hebben. Die reden moet je apart gaan vastleggen, zodat helder is wie waarom toegang heeft tot persoonsgegevens. Onnodige accounts moet je verwijderen.

8. Hosting

Maakt jouw hostingpartij een back-up van je website? En kan hij direct in de gegevens kijken van jouw website? Onder de GDPR is je hoster een dataverwerker en heb je een overeenkomst nodig. Nu kijkt de hostingbranche naar de best werkbare oplossing voor iedereen, onder het project Partnering Trust.

9. Up to date

Na oplevering van je website ben je verantwoordelijkheid voor de veiligheid ervan. Ben je hier niet goed in thuis? Deze taken kun je met een onderhoudscontract overdragen aan je websitebouwer of hoster. Anders moet jij zorg dragen voor het tijdig updaten van je CMS (zoals WordPress) en eventuele plugins.

10. Nieuwsbrief versturen?

Elke externe partij waarmee je je nieuwsbrief verstuurt, is een dataverwerker waarmee je straks een overeenkomst nodig hebt. Een e-mailadres en klikgedrag zijn persoonsgegevens. Gebuik je een speciaal CRM-pakket? Dan speelt dit ook!

Hoe nu verder?

De Autoriteit Persoonsgegevens dat straks de GDPR handhaaft, kijkt achteraf naar je inspanningen. Het is dus belangrijk dat je bewust bent van deze wet en hier naar handelt er daar ben je met het lezen van dit blog al mee begonnen.Wij vinden de Europese wetgeving een goede zaak en met bovenstaande richtlijnen ben je als MKB al een eind goed op weg, maar er is meer waarmee je rekening dient te houden. We begrijpen dat het lastig is om in te schatten waar je nu staat met je bedrijf en wat je verder allemaal nog moet doen om te voldoen aan de regelgeving. Mocht je dit nog niet gedaan hebben, kijk dan eens naar de AVG Status Check van het DDMA!Mochten wij ergens mee kunnen helpen, neem dan gerust contact op.

Dit artikel wordt als kennisgeving aangeboden, maar vormt geen juridisch advies. Voor een volledig verhaal verwijzen we je graag door naar de officiële wetgeving óf een gespecialiseerd GDPR-specialist of jurist om te horen hoe de GDPR jouw organisatie kan beïnvloeden.

By AVG/GDPR, 0 Comments
Read more...