menu

CBP miskent webwinkelier met Richtsnoeren

'Kleine webwinkel kan weinig met Richtsnoeren CBP'Recent heeft het CBP haar Richtsnoeren, oftewel de toelichting met betrekking tot hoe het de beveiligingsnormen uit de Wet bescherming persoonsgegevens toepast, vernieuwd. Beter zijn ze er helaas niet op geworden volgens Joos Lambrechtsen, zelf webwinkelier en daarnaast voorzitter van de commissie betalingsverkeer, veiligheid en distributie bij Thuiswinkel.org.

Als webwinkelier doe je zaken op afstand. Je hebt daarmee vrijwel automatisch te maken met persoonsgegevens (zoals de contactgegevens van je klant) en dus met de Wet bescherming persoonsgegevens (Wbp). Met de persoonsgegevens, zoals adresgegevens maar ook e-mailadressen of andere gegevens die de klant bij je achterlaat, dien jij namelijk zorgvuldig om te gaan.

Omdat zorgvuldig een vrij rekbaar begrip is biedt het College Bescherming Persoonsgegevens (CBP),  het orgaan dat onder andere het toezicht, de voorlichting en de informatieverstrekking biedt, hiervoor zogenaamde ‘Richtsnoeren’. Dat klinkt als richtlijnen en als je ze leest kun je dat vrij gemakkelijk ook zo interpreteren maar deze Richtsnoeren bestaan weldegelijk uit dwingende wetgeving waarop forse sancties kunnen staan indien je hier niet secuur mee omgaat.

Bij het kopje ‘veelgevraagd’ op de site staat nog steeds het document uit 2007, maar al enkele maanden zijn er officieel nieuwe Richtsnoeren actief. Het internet staat tenslotte niet stil en er waren alweer aardig wat uitspraken van de minister die ervoor zorgden dat ook het CBP haar toelichting moest vernieuwen. Wij spraken Joos Lambrechtsen, eigenaar van Herensokken.nl en daarnaast voorzitter van de commissie betalingsverkeer, veiligheid en distributie bij Thuiswinkel.org, die de nieuwe Richtsnoeren uitvoerig heeft doorgenomen.

Weinig praktijkgericht document
“Blij kan ik er niet van worden. Het document bevat veel toelichting op hoe het zou kunnen gaan of wat een oplossing zou kunnen zijn, maar richt zich daarmee erg sterk op de theorie. Er komt veel materiaal voorbij waarop je een goede basis zou kunnen leggen voor een ISO-certificering en dat kan een goede oplossing zijn voor grote multinationals, maar in de ecommerce hebben we toch veel te maken met kleinere bedrijven. Die zoeken praktische voorbeelden en juist die zijn in de nieuwe versie soms vervallen.”

“Neem bijvoorbeeld het SSL-certificaat. Ik heb mij destijds hard gemaakt binnen Thuiswinkel.org en er mede voor gezorgd dat deze in de voorwaarden van het keurmerk van deze organisatie zijn opgenomen en daar zullen ze voorlopig wel verplicht blijven. In de oude Richtsnoeren stonden ze met naam genoemd als oplossing, in het nieuwe document komt het hele SSL-certificaat niet meer voor. Onhandig, want juist aan dit soort praktische oplossingen hebben kleine webwinkeliers enorm veel houvast.”

‘Veiligheid zolang de portemonnee het redt’
“Maar het is niet alleen de praktische kant. Ook de inhoud van de Richtsnoeren zelf zijn eerder een raamwerk, dan gedetailleerde handvatten om duidelijkheid in te vinden. Neem bijvoorbeeld het punt waarin omschreven wordt hoever je moet gaan met het zorgen voor veiligheid. Daarin staat dat als een benodigde aanpassing meer geld kost dan redelijk is, dit vanwege de kosten niet hoeft te worden uitgevoerd. Minstens een erg risicovolle interpretatie.”

“Niet alleen voor webwinkeliers die vrijwel zonder marges leven en waar elk dubbeltje dus al snel te duur is maar ook juridisch gezien. Het zou bijvoorbeeld kunnen betekenen dat webwinkeliers met meer flexibele software eerder verplicht zijn om aan veiligheidseisen te moeten voldoen – want als iets flexibel en up-to-date is, is het meestal ook goedkoper aan te passen – dan webwinkeliers met logge ouderwetse oplossingen waarin eigenlijk niets mogelijk is.”

E-mailadres, de sleutel voor fraudeurs, niet langer veilig
En zelfs onze data is niet langer veilig als we de vrijheden nemen uit het document. Zo zegt het CBP dat een e-mailadres ‘normaal gesproken geen gevoelig gegeven is’, maar dat dit wel kan gebeuren door de context. Als voorbeeld wordt er een organisator van een sm-feestjes bijgehaald die per ongeluk een mailtje rondstuurt met daarin de e-mailadressen van alle geadresseerden. Maar volgens Lambrechtsen is een e-mailadres ook in veel onschuldiger ogende gevallen een gevoelig gegeven.

“Het voorbeeld is wel duidelijk maar hoe weten wij nu wat een klant wel of niet ziet als onschuldig? Zo verkoop ik sokken en daarbij lijkt het mij dat dit minder gevoelig ligt dan een SM-feestje, maar dat hóéft niet zo te zijn. Want stel nou dat mijn klant werkt voor mijn concurrent en die komt erachter? Dat zou zomaar erg gevoelig kunnen liggen. De SM-organisator zal als uitdrager van zijn hobby veel minder schaamte voelen dan de opstellers van het richtsnoer zelf ervaren. Waar ligt de grens? Het is opmerkelijk dat ervoor wordt gekozen dat het aan de “beheerder” is om te bepalen of deze andermans gegevens mag delen.”

“En wat eigenlijk nog veel belangrijker is, is dat het e-mailadres een zeer belangrijke sleutel is voor kwaadwillenden. Juist ontvreemde e-mailadressen zijn database-technisch een prettig attribuut  omdat ze doorgaans zijn  geverifieerd in tegenstelling tot de andere gegevens. Daarnaast vormt het de sleutel om gegevens ‘gevonden’ in meerdere systemen geautomatiseerd aan elkaar te koppelen. Een combinatie van voorletter en achternaam is zelden uniek. Echter gecombineerd met een e-mailadres is het gegarandeerd te traceren naar een persoon. Met deze sleutel kunnen persoonsgegevens uit verschillende bestanden eenvoudig samengevoegd worden tot een completer persoonsprofiel. Waar aanvankelijk de “beheerder” een veilige combinatie van gegevens leek te beheren, ontstaat door samenvoeging een gevaarlijke combinatie die wel geschikt is voor identiteitsmisbruik.”

Tags

Reacties