Onveilige website? Met HTTPS beschermt u uw klanten en hun gegevens.
Recentelijk stond in het nieuws dat drie kwart van de websites in de zorg onbeveiligd zijn. Dat betekent, in dit geval, dat de website-eigenaar toestaat dat privacy gevoelige gegevens, zoals geboortedatum, aandoening, bsn nummer, etc., onversleuteld, dus onbeschermd, over het Internet worden verzonden. Dit is niet alleen een overtreding van de privacywetgeving, maar kan de klant in grote problemen brengen als zijn data in verkeerde handen valt. Het staat voor mij vast dat dit probleem niet alleen in de zorg speelt. Heeft u, als MKB-er, er ooit bij stil gestaan of uw website veilig is voor uw klanten? En wat u daaraan kan doen?
In alle gevallen waarin uw bedrijf privacy gevoelige data opvraagt, online of offline, (en daarna verwerkt en opslaat) is de privacywetgeving van toepassing. Daar volgen diverse regels uit waaraan uw bedrijf geacht wordt te voldoen. Een overtreding kan tot een boete van de Autoriteit Persoonsgegevens leiden. Daar wil ik het nu niet over hebben, maar focussen op hoe u uw website eenvoudig veiliger maakt voor uw klanten en uzelf.
Indien uw website onbeveiligd is, en iedere website waarvan de URL, wat staat voor “Uniform Resource Locator”, begint met "http" is dat per definitie, brengt u de privacy van uw klanten in gevaar. Hoe kont dat? Omdat dit betekent dat in principe iedereen die dit wil het verkeer dat via uw website wordt verzonden kan meelezen. Dus inclusief de privacygevoelige gegevens die u uw (potentiële) klanten vraagt in te vullen. U hoeft alleen te kijken naar de balk bovenaan de internetpagina waarin uw domeinnaam, bv www.mkbcyberadvies.nl, staat om te weten of dit het geval is. Begint uw URL met http, dan is uw website onveilig.
Als uw website nooit iets opvraagt, dan kunt u volstaan met http, dus een onbeveiligde website. Dit is een keuze. In alle andere gevallen, is het sterk aan te bevelen maatregelen te nemen. Dit kunt u doen door uw website over te zetten op "https". Kijk bijvoorbeeld eens bij uw bank. Dan ziet u een groen slotje voor de URL staan, die begint met https, waarbij de s voor ‘Secure’ staat. Het is een uitbreiding op het http protocol, dat een veilige verzending van gegevens mogelijk maakt. Het slotje is een symbool voor de aangeboden veiligheid. Wat er gebeurt, is dat er naast de http verbinding een tweede verbinding wordt opgezet, een TLS verbinding, die zorg draagt dat het verkeer versleuteld naar uw servers wordt verzonden. Partijen die het Internet afspeuren naar bijvoorbeeld bank- en privacygegevens, kunnen nu niet langer de verzonden gegevens uitlezen.
Dit veilig alternatief, https, toont aan dat u zich verantwoordelijk toont naar uw klanten toe en hun persoonlijke veiligheid serieus neemt. Het verlies van persoonlijke gegevens kan voor hen desastreuze gevolgen hebben. Van creditcardfraude tot identiteitsverlies. Persoonlijk vind ik het meest bizarre voorbeeld van privacyverlies, dat tandartsgegevens (van Nederlanders) te koop staan op Russische websites. Waarom? Ik heb geen idee, maar kennelijk zijn dit soort gegevens geld waard. Laat staan bankgegevens of BSN nummer in combinatie met naam en geboorte datum. Criminelen verdienen hier veel geld aan. Iets dat onder andere start bij een onbeveiligde website. Hier kunt u iets aan doen. Letterlijk vandaag nog.
Uw websitespecialist kan u direct adviseren over hoe deze transitie aan te pakken. Kan hij dit niet, dan moet u zich serieus afvragen of u bij de juiste specialist klant bent. Dan heeft hij ongetwijfeld ook nog nooit van de OWASP top 10 gehoord. Dat is een kleine test die u zo kunt afnemen en veel zegt over hoe veilig uw bedrijf zelf is waar het uw website aangaat.
