image

Juridische vraag: Zijn websites door de Wbp verplicht https te gebruiken wanneer gebruikers gevoelige informatie kunnen versturen?

woensdag 1 februari 2017, 12:23 door Arnoud Engelfriet, 19 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Honderdduizenden zakelijke websites laten gebruikers gevoelige informatie verzenden zonder dat daarvoor van een beveiligde verbinding gebruik wordt gemaakt, zo las ik onlangs. De 'gevoelige gegevens' zijn meestal NAWE-gegevens, maar ook inloggegevens en wachtwoorden komen voor. Maar liefst 86% van de onderzochte sites doet dat zonder 'slotje', https dus. Maar is dat dan verplicht?

Antwoord: Het laten insturen van persoonsgegevens – ook triviale zoals naam en adres – via een website of andere internetdienst mag alleen als de eigenaar daarvan zorgt voor adequate beveiliging. Dat staat al sinds 2000 in de wet (artikel 13 Wet bescherming persoonsgegevens), maar nergens staat wat dat dan precies inhoudt. Er is dus geen eis dat je beveiliging gecertificeerd moet zijn of zelfs maar aan bepaalde specifieke eisen moet voldoen.

De vraag wat 'adequaat' is, is dus een lastige om in het algemeen te beantwoorden. Je moet een afweging maken van de risico’s bij een lek tegenover de kosten en moeite om maatregelen te nemen. Perfectie wordt niet verlangd, en het kan ook prima zo zijn dat je bij formulier A een andere beveiliging hanteert dan bij formulier B. Waar het vooral om gaat, is dat je kunt onderbouwen waaróm je voor die of die maatregelen hebt gekozen (of juist waarom je die hebt weggelaten).

Specifiek bij contactformulieren kun je je afvragen of het echt wel nodig is, een ssl-certificaat. Ik zie het nog steeds niet, dat risico. Daar staat tegenover dat ssl tegenwoordig best goedkoop is (zowel qua cpu als qua prijs) en dus eigenlijk een no-brainer zou moeten zijn om toe te voegen. Dus dan wordt het wel een beetje theoretisch verhaal, er kan weinig misgaan maar hoe moeilijk is de maatregel nou?

Bij een login/wachtwoord voelt dat net anders. Daar is er voor mij geen excuus om zonder ssl te werken. Met dat account kun je allerlei dingen, en daarmee zijn er reële mogelijkheden voor fraude of overlast. Dan is de afweging snel gemaakt: no-brainer ter voorkoming van overlast, dat moet gewoon.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (19)
01-02-2017, 12:27 door Anoniem
Maar... Staat er ergens in de WBP ook niet dat je nergens aan hoeft te voldoen als de eigenaar van de gegevens daarmee (al dan niet nadrukkelijk) accoord gaat?
Ofwel: als je nergens pretendeert dat de data 'veilig' (voor wat dat waard is...) zijn en de gebruiker vult het zelf in... Moet je dan wel ergens aan voldoen? Het is tenslotte strikt genomen de gebruiker die ze openbaar maakt, niet de eigenaar van de site...
01-02-2017, 13:08 door Wim ten Brink
Hoewel SSL tegenwoordig spotgoedkoop en zelfs gratis is, is het probleem vooral dat het technisch nog steeds erg ingewikkeld is voor veel bedrijven. Er zijn genoeg bedrijven waar het neefje van de directeur dienst doet als systeembeheerder en web designer en dan is SSL al snel te ingewikkeld terwijl het overbodig wordt geacht. Immers, wat weet dat neefje nou over privacy? hij zit immers al op Facebook...
01-02-2017, 13:34 door Anoniem
Wim: voor de introduktie van letsencrypt had je een punt. maar nu (IMHO) niet meer. je moet welgeteld twee commando's copieren en uitvoeren vanaf de website, en één cronjob installeren op een normale Linux distributie.
01-02-2017, 13:54 door Anoniem
Indien je een web site niet beveiligd met een certificaat kunnen derden allerlei zaken injecteren tijdens het transport van de web pagina's. Hiermee kun je dus ook heel gericht een doelgroep zoals een community die bij een politieke partij hoort aanvallen. Het versleutelen van verkeer betekent gewoon dat je de veiligheid van je klanten serieus neemt. Het niet versleutelen van verkeer is gewoon laks en dom gedrag. Het feit dat veel organisaties VEEL te weinig kennis hebben van de risico's die men zelf loopt of hun klanten laat lopen is een feit. De wetgever laat hierook duidelijk een flinke steek vallen door op laffe wijze niet en aantal minimale voorwaarden te stellen aan beveiliging. Waarom kunnen we wel een gordelin de auto verplicht stellen maar niet de versleuteling van informatie die verstuurd wordt over Internet.

Juridisch klopt het namelijk trouwens ook niet want met veel van de partijen die data vervoeren over internet hebben organisaties geen verwerkersovereenkomst. Dit betekent dat de transporten versleuteld MOETEN zijn om dat het transport anders wel degelijk een overtreding is van de wetgeving.

My two cents...
01-02-2017, 14:30 door Anoniem
Door Wim ten Brink: Hoewel SSL tegenwoordig spotgoedkoop en zelfs gratis is, is het probleem vooral dat het technisch nog steeds erg ingewikkeld is voor veel bedrijven. Er zijn genoeg bedrijven waar het neefje van de directeur dienst doet als systeembeheerder en web designer en dan is SSL al snel te ingewikkeld terwijl het overbodig wordt geacht. Immers, wat weet dat neefje nou over privacy? hij zit immers al op Facebook...

Gratis SSL bestaat eigenlijk nog niet. althans je kan ze idd gratis krijgen maar neem even let's encrypt als voorbeeld.
Die hebben al 3x revoked in 2 jaar tijd, dat is dus ook kansloos op het moment.
01-02-2017, 16:18 door Anoniem
Specifiek bij contactformulieren kun je je afvragen of het echt wel nodig is, een ssl-certificaat. Ik zie het nog steeds niet, dat risico

Een contactformulier versmallen tot een formulier waarop alleen je email adres staat ingevuld is een versimplificering, zo niet ontkenning van de waarheid.

De combinatie van een email adres en een naam is al een privé aangelegenheid als dat email adres niet jouw werkelijke naam bevat.
Wanneer een dergelijk formulier ook vraagt om meer gegevens, meer schering en inslag dan uitzondering, zoals ;
naam, email, telefoonnummer, adres, woonplaats, ..
Dan ben je als persoon kwetsbaarder voor misbruik.
Alle (phishing) misbruik begint met een beginnetje en wordt stapje voor stapje uitgebouwd.
Je helpt misbruikers enorm door een lijstje als hierboven al direct toe te spelen, tijdwinst!

Die andere wireless gebruiker uit dat cafe van je voorbeeld zou er om te beginnen al helemaal geen bezwaar tegen hebben over deze informatie te kunnen beschikken als de dame in kwestie, zoals dat heet, 'een geweldig stuk' is.
Maar daar gaat het niet om, mooie èn lelijke mensen hebben recht op bescherming van privacy.
En zoals mannen niet bepalen wat vrouwen als seksueel aanmatigende of intimiderende opmerkingen beschouwen, zo hoort een ander niet (al dan niet uit eigenbelang en nonchalance) te bepalen welke privacy voor een ander wel of niet van belang is.
Persoonsgegevens hoor je gewoon te beschermen.
Punt!

(En 'maar' omdat dat veelal niet gebeurt is het aan de eindgebruiker wel of niet de beslissing wel of geen gegevens in te vullen. Al ben je niet altijd vrij in je keuze.)
01-02-2017, 18:46 door Anoniem
Door Anoniem:Gratis SSL bestaat eigenlijk nog niet. althans je kan ze idd gratis krijgen maar neem even let's encrypt als voorbeeld. Die hebben al 3x revoked in 2 jaar tijd, dat is dus ook kansloos op het moment.

Wanneer is Let's Encrypt revoked ? Volgens mij nog nooit. Denk je niet toevallig aan StartSSL en het Chinese bedrijf dat hun had gekocht ?
02-02-2017, 10:07 door Ron625
Waar blijft de eigen verantwoordelijkheid?
Je ziet geen https, je ziet geen slotje en gaat het dan toch invullen?
We moeten oppassen, dat we niet in een soort overregulering terecht komen.
02-02-2017, 10:51 door Anoniem
Door Ron625: Waar blijft de eigen verantwoordelijkheid?
Je ziet geen https, je ziet geen slotje en gaat het dan toch invullen?
We moeten oppassen, dat we niet in een soort overregulering terecht komen.

Idd sommige gebruikers moeten respecteren dat ze niet technisch genoeg onderlegd zijn om zonder zulke hulpstukken te werken... maarja vaak worden de formulieren sneller ingevuld dan het gedachteproces hierover doorloopt. Dan beland je in no time in een situatie van overregulering.
02-02-2017, 11:08 door Anoniem
Door Ron625: Waar blijft de eigen verantwoordelijkheid?
Je ziet geen https, je ziet geen slotje en gaat het dan toch invullen?
We moeten oppassen, dat we niet in een soort overregulering terecht komen.

De eigen verantwoording hierin kun je pas nemen, als je weet wat je doet. De meeste mensen hebben inzake SSL en slotjes en groene icoontjes geen flauw benul wat dit allemaal inhoud, laat staan wat voor gevolgen dit kan hebben als men toch naar een site gaat die niet versleuteld is.
Wij dienen te voldoen aan de "pas toe en leg uit" regel en hebben sinds dit jaar ook nog meer verplichtingen inzake security van websites (DNSSEC). Als je systeembeheer/netwerkbeheer en security allemaal een beetje serieus neemt dan gebruik je gewoon httpS voor je sites.
Het excuus van bedrijven en organisaties dat men dit niet weet of kan is zeker niet meer van deze tijd. Als je diensten aanbied via het Internet en je wilt serieus genomen worden, dan dien je ook aan https te voldoen. Ik werk in de publieke sector en wij moeten voldoen aan een hoop eisen, de houding van het bedrijfsleven in het algemeen inzake httpS vind ik ver achter lopen.
Stel een voorbeeld en maak jezelf door het gebruik van httpS meer geloofwaardig met het aanbieden van je diensten. Per slot van rekening veranderen doe je zelf.
02-02-2017, 11:30 door User2048
Door Anoniem: Maar... Staat er ergens in de WBP ook niet dat je nergens aan hoeft te voldoen als de eigenaar van de gegevens daarmee (al dan niet nadrukkelijk) accoord gaat?
Ofwel: als je nergens pretendeert dat de data 'veilig' (voor wat dat waard is...) zijn en de gebruiker vult het zelf in... Moet je dan wel ergens aan voldoen? Het is tenslotte strikt genomen de gebruiker die ze openbaar maakt, niet de eigenaar van de site...
Nee, dat staat niet in de Wbp. In de Wbp staat dat degene die bepaalt welke gegevens er verwerkt worden en hoe (en dat is dus degene die de website runt) verantwoordelijk is voor de beveiliging. Een klant kan wel zelf kiezen om een website niet te gebruiken.
02-02-2017, 12:23 door Anoniem
Door Wim ten Brink: Hoewel SSL tegenwoordig spotgoedkoop en zelfs gratis is, is het probleem vooral dat het technisch nog steeds erg ingewikkeld is voor veel bedrijven. Er zijn genoeg bedrijven waar het neefje van de directeur dienst doet als systeembeheerder en web designer en dan is SSL al snel te ingewikkeld terwijl het overbodig wordt geacht. Immers, wat weet dat neefje nou over privacy? hij zit immers al op Facebook...
De bedrijven waar het neefje van de directeur de IT doet zijn ook niet in staat hun eigen webserver op te zetten. Dan is het dus nog slechts een keuze van een competente hosting partij uit te zoeken waarbij het vaak mogelijk is om via het web administratiepaneel met 2 klikken via een GUI een certificaat aan te vragen. Bij mijn eigen host wordt zelfs Let's Encrypt ondersteund mét automatische verlenging. Geen enkel excuus meer om het niet aan te bieden.
02-02-2017, 14:02 door Anoniem
De Autoriteit Persoonsgegevens is op dit gebied zowel wetgevend, controlerend als sanctionerend. Hoewel hun uitspraken in formele zin geen Wet zijn, is dat in de praktijk wel het geval wil je een dwingende aanwijzing ontlopen.
Als ik in een van hun rapportages lees dat er bij afwezigheid van een risicoanalyse (die de basis is voor de gewenste 'afweging tussen kosten en moeite') "de volledige maatregelenset ISO 27002" van toepassing verklaart wordt. Als ze echt willen, dan wijzen ze in ISO 27002 op paragraaf 13.1.1, waarin de verwijzing naar ISO 27033 staat. En vervolgens staat in deel 3, in 9.3 en 14.3, dat ssl gespecificeerd staat als maatregel tegen unauthorized access...
02-02-2017, 14:35 door Anoniem
Door Ron625: Waar blijft de eigen verantwoordelijkheid?
Je ziet geen https, je ziet geen slotje en gaat het dan toch invullen?
We moeten oppassen, dat we niet in een soort overregulering terecht komen.

Dat zou werken als je van de gemiddelde nederlander met het IQ van een SBS6 kijker mag verwachten dat ze enig niveau boven een amoebe staat...

Dat is helaas niet zo...

Dus het is een afweging van bescherming van debielen en het onnodig belasten van wat hoger bedeelden... En vaak gaat dat ten koste van de beter bedeelden...
Zo kan mijn auto met keramische remmen en rubber van 250 euro per hoek in een derde van de afstand stil staan dan de auto van mijn buurvrouw, die op 20 euro kostende chineese banden rijdt met 130km... Toch mag zij op de autoweg ook 130km/h rijden en ik ook. Terwijl de wet ingesteld is op de gemiddelde remafstand van een 1980 Volkswagen (en die heb ik ook gereden en die remmen net iets sneller dan een trein).
Mijn wifi heeft WPA enterprise + cert dus, en daarop moet je een vpn starten.. haar wifi staat open. (linksys, admin/admin)...

Dus ja, nitwits moet je beschermen tegen hun stupiditeit en ontwetendheid.
02-02-2017, 15:51 door Anoniem
Afz FB

@ Anoniem en vele anderen
Anoniem schrijft:
" En zoals mannen niet bepalen wat vrouwen als seksueel aanmatigende of intimiderende opmerkingen beschouwen, zo hoort een ander niet (al dan niet uit eigenbelang en nonchalance) te bepalen welke privacy voor een ander wel of niet van belang is. Persoonsgegevens hoor je gewoon te beschermen. Punt!"

Anoniem heeft het goed begrepen. Het gaat altijd om de ontvanger (in deze bedoel ik de kleine burger ipv de 'grote organisatie'). Die burger (ook de niet-opgeleiden) moet vertrouwen kunnen hebben in het systeem dat de grote organisatie gebruikt (desnoods uitgesproken door een onderwezen vriend). De meeste organisaties kijken alleen maar naar het eigen belang (gemak, kosten, etc). En dat is jammer. Met name als er sprake is van 'gedwongen' winkelnering kan het zelfs direct schadelijk zijn (directe schade, verlies van vertrouwen, vergrote kans voor misbruik, etc).

Tav de verplichting van beveiligen. Arnoud heeft gelijk. Er zijn geen beveiligingsmaatregelen voorgeschreven. Er is echter wel voorgeschreven dat persoonsgegevens beschermd moeten worden. En wel naar de stand der techniek (incl de kostprijs ervan). Bijv volgens ISO 27005. En in de wet staat ook dat dit moet gebeuren in het belang van de particulier (EVRM). Zeker bij 'gedwongen' winkelnering lijkt het me te kort door de bocht te stellen dat een gebruiker zelf heeft gekozen om onbeveiligd persoonsgegevens in te vullen. Het lijkt me een mooie zaak als een organisatie als het EFF hier eens een proefproces over begint. Ik wil wel meewerken.

Tav wettelijk kader. Het lijkt me zeer moeilijk een technisch wettelijk kader te stellen die enerzijds nu goed werkt en anderzijds later niet achterloopt of organisaties op de rand van faillisement kan brengen. Dat moet je niet willen. Dat zou ook tot excell sheets leiden waarachter organisaties zich gaan verschuilen. Maar meer dwingend op doelstellingen (te behalen resultaten) wetgeving maken moet haalbaar zijn.
Ik roep daarom ook nu weer dat het tijd is voor meer wettelijke kaders. Net als de verkeerswetten waar je wetgeving hebt op gebied van
- voertuigen (eindgebruikers apparatuur en software incl IOT devices)
- wegen (hoe internet werkt en hoe diensten worden verzorgd)
- gedrag (hoe organisaties en particulieren zich behoren te gedragen op de publieke netwerken)
Er moet wel wat gebeuren. De hoeveelheid phishing en andere misbruik is zo groot geworden dat opsporing nagenoeg onmogelijk is.

Tav de discussie van gratis certificaten. Het is veel belangrijker dat de particulier (bijna vanzelf) vertrouwen kan hebben in de uitgever. Imho betekent dit dat organisaties 1. of een certificaat koopt (of gratis krijgt) bij een hele grote wereldwijd bekende certificaatleverancier 2. of een certificaat koopt bij een kleine lokaal goed bekende leverancier (lokaal betekent hier de lokatie van de particulieren die bediend worden).

Tav de betekenis van de certificaten. Encryptie is natuurlijk heel belangrijk. Maar net zo belangrijk is de herkomst van de pagina. Weet je zeker dat het de goede pagina is. De authenticatie dus. Dat is niet alleen belangrijk voor de webpagina's, maar zeker ook voor de emails. Omdat organisaties in de emails een link opnemen voor verdere doorgeleiding. Makkelijk, maar kwetsbaar.
Nu is vercijferen van emails wat ingewikkelder dan https (met name schaalbaarheid). Maar een mail authenticeren (digitaal met een certificaat ondertekenen) is heel gemakkelijk. Ook hiervoor hoeft een organisatie slechts 1 certificaat te kopen (EIDAS verordening). Daarmee is de verzender geauthenticeerd en de link kan niet veranderd zijn. Ook hier weer. Niet om die organisatie te beschermen, maar juist weer om de ontvanger te beschermen (bijv tegen phishing, ransomwareinjectie, etc).

Wederom: richt je op de ontvanger.
02-02-2017, 17:07 door Anoniem
Het laten insturen van persoonsgegevens – ook triviale zoals naam en adres – via een website of andere internetdienst mag alleen als de eigenaar daarvan zorgt voor adequate beveiliging. Dat staat al sinds 2000 in de wet (artikel 13 Wet bescherming persoonsgegevens), maar nergens staat wat dat dan precies inhoudt.
Dat staat er zo niet!
02-02-2017, 18:31 door Ron625
Door Anoniem:
Wij dienen te voldoen aan de "pas toe en leg uit" regel
Dat is alleen verplicht voor overheden en gesubsidieerde instellingen, zoals b.v. scholen.
03-02-2017, 09:35 door Anoniem
Door Anoniem:
Het laten insturen van persoonsgegevens – ook triviale zoals naam en adres – via een website of andere internetdienst mag alleen als de eigenaar daarvan zorgt voor adequate beveiliging. Dat staat al sinds 2000 in de wet (artikel 13 Wet bescherming persoonsgegevens), maar nergens staat wat dat dan precies inhoudt.
Dat staat er zo niet!
Hoe dan wel!
03-02-2017, 12:41 door Anoniem
Door Anoniem: Maar... Staat er ergens in de WBP ook niet dat je nergens aan hoeft te voldoen als de eigenaar van de gegevens daarmee (al dan niet nadrukkelijk) accoord gaat?
Ofwel: als je nergens pretendeert dat de data 'veilig' (voor wat dat waard is...) zijn en de gebruiker vult het zelf in... Moet je dan wel ergens aan voldoen? Het is tenslotte strikt genomen de gebruiker die ze openbaar maakt, niet de eigenaar van de site...
Je bent wettelijk verplicht passende technische en organisatorische maatregelen te treffen los van waar de betrokkene al dan niet mee instemt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.