SSL, https en het groene slotje onder de AVG

Is een beveiligde verbinding een passende technische AVG maatregel en kun je een boete krijgen bij afwezigheid van een groen slotje, werd ons gevraagd.

Eerder is er vanuit Blue 2 Blond al bericht over SSL voor SEO. De primaire beweegreden om een SSL / TLS certificaat af te sluiten, zou echter conform AVG wetgeving voor bescherming van persoonsgegevens moeten zijn. Middels een SSL / TLS certificaat wordt een website voorzien van een https verbinding, te herkennen aan een groen slotje. Dit geeft aan dat eventuele persoonsgegevens bij verzending over een beveiligde verbinding worden verstuurd tussen browser en server. Bijvoorbeeld in het geval van:

  • contact­formulieren;
  • registratie­formulieren;
  • bestel­formulieren;
  • (nieuwsbrief)inschrijf­formulieren;
  • elk ander online formulier of proces waarmee persoonsgegevens wordt verwerkt.

Houdt er rekening mee dat eventuele andere third-party widgets, ook gegevens en meta-data door kunnen sluisen. Een Twitter widget zal onverhoopt bijvoorbeeld ip-adressen of gedrag-gegevens kunnen verwerken (wat de reden is dat er toestemming voor dergelijke widgets en cookies gegeven moet kunnen worden).

SSL / TLS kanttekeningen

Merk echter het volgende op, wanneer er al dan niet een groen slotje wordt aangetroffen binnen een website:

  • In tegenstelling tot andere browsers, gaat Google Chrome de https aanduiding met groen slotje verwijderen, vanaf september 2018. Daartegenover staat dat Chrome vanaf oktober 2018 bij invoer van gegevens op websites met http verbinding, een rode markering gaat tonen;
  • Een groen slotje betekent dat gegevens versleuteld verstuurd worden, maar betekent niet dat de website en organisatie zelf per definitie bonafide is, bleek uit onderzoek van de NOS. De aanschaf van een SSL certifcaat om een groen slotje te verkrijgen, is laagdrempelig. Gevolg is dat het voor kwaadwillenden eenvoudiger is om bonafide websites na te bootsen, met alle gevolgen van dien (ontfutseling van persoonsgegevens).

HTTPS als technische maatregel

Een SSL of TLS certificaat zal voor een website aangeschaft moeten worden, waarna HTTPS ingesteld kan worden. Soms doet een hostingpartij dit ook, soms is er een aanpassing benodigd vanuit de website of CMS. Bij correcte configuratie, verschijnt het groen slotje. Dit betreffen technische handelingen, wat SSL een passende technische maatregel maakt.

Dat deze technische maatregel niet voor de hand ligt, bewijzen nog veel websites die weliswaar formulieren bevatten, maar geen beveiligde verbinding via HTTPS ondersteunen. Sterker, in een discussie over specifiek HTTPS werd door een ICT jurist gesteld dat HTTPS als technische maatregel ter overweging van de website eigenaar was (later onderzoek leert dat deze ICT jurist na de dialoog toch overstag is gegaan).

HTTPS onder de Wbp

Dat dat incorrect is, bewijst de Wbp. Het Wbp stelde het volgende:

De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

Hierbij diende er rekening gehouden te worden met de stand van de techniek en de kosten van de tenuitvoerlegging. Daarbij wordt een passend beveiligingsniveau genoemd. Is er bijvoorbeeld sprake van bijzondere persoonsgegevens, dan kan een ander type SSL certificaat op zijn plaats zijn.

Bij constatering van niet naleving van de wettelijke verplichtingen, kon het een boete tot €4500,- opleveren. Ook in het geval van bijvoorbeeld internetcriminaliteit als gevolg van een slecht beveiligde website, kan de website houder aansprakelijk worden gesteld.

HTTPS onder de AVG

Veel blijft onder de AVG nog intact. Verschil is de boetes die onder de AVG uitgedeeld kan woren door de privacy toezichthouder. Elk type formulier zorgt voor (mogelijkheid tot) verwerking van persoonsgegevens, waarbij een SSL certificaat een passende maatregel is. Gevolgen zoals identiteitsfraude bij gebrek aan een beveiligde verbinding, kunnen hiermee worden uitgesloten.

Is er reeds een SSL certificaat afgesloten of heb je een site zoals Wordpress? Lees dan vooral het volgende:

Website CMS en SSL

Houdt rekening met automatische systemen. In sommige systemen valt af te dwingen dat een gehele website over SSL moet lopen. Dit hoeft niet altijd standaard goed te gaan, of kan zelfs in toekomstig onderhoud of updates gebroken worden.

HTTPS bij Wordpress en open source

Het volgende zien wij vooral bij open source systemen als Wordpress gebeuren, ook bij juridisch gerelateerde websites (andere AVG toolboxen of gewoonweg bedrijfswesbites).

  1. Een plugin laadt widgets in, die een HTTPS verbinding opheffen doordat bronbestanden over HTTP worden geladen.
    Raadzaam is om de juiste plugins te kiezen die HTTPS niet onverhoopt op kunnen heffen;
  2. Een plugin heeft een upload- of invoegmogelijkheid voor afbeeldigen of youtube beeldmateriaal, maar dwingt geen HTTPS af voor deze bronnen. Omtrent (Wordpress) plugins, geldt hiervoor hetzelfde als punt 1;
  3. Er is een SSL certificaat aanwezig, maar wordt niet afgedwongen door de website, waardoor mensen die op HTTP binnen komen, op HTTP blijven navigeren binnen de website.

Bovenstaand komt helaas nog met enige regelmaat voor. In de gevallen waar we dit aantreffen, proberen we instanties hiervan op de hoogte te stellen. Hiermee komt het bericht echter niet altijd bij de juiste persoon terecht. Laat een eigen webbureau of webbouwer nagaan of de configuratie nog intact is, of vraag bij ons een website audit aan.

Niet de juiste kennis in huis en/of geen risico lopen omtrent boetes, maar belangrijker, datalekken? Wij adviseren om die en andere redenen, voor dynamische websites het LightBolt CMS. Naast nodige SEO voordelen door onder meer een snelheid van 0,0010 seconden, tackelt het algehele https als ook -in het kader van de AVG- geanonimiseerde ip-adressen, op correcte wijze.