Zijn er wettelijke bepalingen waaraan de veiligheid van een website moet voldoen?

Ja, er is de verplichting om persoonsgegevens te beveiligen tegen verlies of enige vorm van misbruik. In de Wet bescherming persoonsgegevens (Wbp) staat:

“De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen…”

De beveiligingsverplichting heeft betrekking op alle onderdelen van gegevensverwerking. De letterlijke tekst van de Wet bescherming persoonsgegevens vindt u op: http://www.justitie.nl/onderwerpen/opsporing_en_handhaving/wbp/

Als ik niet voldoe aan de wettelijke bepalingen van de Wbp, wat zijn dan de gevolgen en in hoeverre kan ik aansprakelijk worden gesteld?

Wanneer de wettelijke verplichtingen niet worden nageleefd, kan het College Bescherming Persoonsgegevens (CBP) een boete tot € 4.500,- opleggen. Waar u beslist ook rekening mee dient te houden is, dat u bij schade van de betrokkene, aansprakelijk kunt worden gesteld. In dat geval kan een schadevergoeding worden geëist.

Kan ik ook op een andere manier aan de Wbp voldoen, behalve door het gebruik van een SSL certificaat?

Nee. Bij het versturen van persoonsgegevens via het internet adviseert het CBP het gebruik van een SSL certificaat. De letterlijke tekst luidt als volgt:

“Om te voldoen aan de beveiligingsnorm van artikel 13 Wbp dienen verantwoordelijken zich, gegeven de huidige stand van de techniek en de normontwikkeling in eerdere uitspraken van het CBP, bij publicaties op internet te houden aan de volgende vijf verplichtingen:

1. Voorkom de onnodige publicatie van persoonsgegevens
2. Scherm specifieke pagina’s met persoonsgegevens af voor zoekmachines
3. Gebruik wachtwoorden of een andere passende methode om de doelgroep af te bakenen
4. Beveilig het gegevenstransport door middel van het SSL protocol
5. Beveilig machine(s) en achterliggende databases tegen onbevoegde toegang door derden”

Op mijn website staat alleen een contactformulier. Moet ik mijn site nu toch beveiligen?

Ja. De Wet bescherming persoonsgegevens eist een behoorlijke en zorgvuldige verwerking van persoonsgegevens. U dient alle maatregelen te treffen om persoonsgegevens te beveiligen tegen enige vorm van misbruik.

Mijn website staat op een server in het buitenland. Val ik dan ook onder de WBP?

Ja, u blijft verantwoordelijk dus u moet voldoen aan de Wbp. U mag trouwens geen gegevens verwerken in een land dat geen adequaat beschermingsniveau heeft. Is dit laatste het geval, dan dient u daarvoor expliciet toestemming te hebben. Of u moet een vergunning aanvragen bij het ministerie van Justitie. Alle landen binnen de EU worden geacht een geschikt beschermingsniveau te hebben.

Als mijn website zeer gevoelige informatie bevat, mag ik dan volgens de Wbp een Lite SSL certificaat gebruiken? Stelt de Wbp bepaalde eisen aan het certificaat, zoals bijvoorbeeld minimaal met bedrijfs-/contactinformatie?

Hoe gevoeliger de gegevens, bijvoorbeeld een bedreiging voor de persoonlijke levenssfeer, hoe zwaarder de eisen aan de beveiliging. Voor een website met zeer gevoelige informatie adviseren wij een Extended Validation SSL certificaat. Dit geeft een betere beveiliging dan een domeinnaam gevalideerd SSL Certificaat.