Per 25 mei wordt de Wet Bescherming Persoonsgegevens vervangen voor de Algemene Verordening Gegevensbescherming (AVP).

Wat zegt de Wet Bescherming Persoonsgegevens (WBP)

Persoonsgegevens zijn steeds interessanter handelswaar voor hackers. Als organisatie moet je hier verstandig mee omgaan. De wet zegt dat organisaties hiervoor ‘passende technische en organisatorische maatregelen moeten nemen’. Deze wet geldt voor iedereen met een website waar persoonsgegevens op gebruikt worden. Op het moment dat je een contactformulier op jouw website hebt staan, werk je al met persoonsgegevens en is deze wet op jouw site van toepassing.

Op deze pagina geven we je uitleg wat je kunt doen om naar beste kunnen aan de wet bescherming persoonsgegevens te voldoen. Daarbij kijken we naar zowel de techniek als naar de organisatorische kant van het hebben en beheren van een website.

Hosting

Veiligheid begint natuurlijk bij jouw webhost. Die zal alles doen om haar servers en klanten te beschermen op het moment dat een deelnemende website wordt gehackt. In principe is de basis solide.

SSL (Secure Socket Layer)

Tegenwoordig vliegen de SSL certificaten als warme broodjes over de toonbank. SSL wordt een beetje gezien als de basis van een veilige website. Maar dit is een beetje een wassen neus. SSL beschermt namelijk alleen de verbinding tussen de gebruiker en de website. Die gebruiker kan nog steeds een hacker zijn die probeert jouw database binnen te komen. SSL is dan ook de meest minimale inspanning die je kunt verrichten om jouw website in lijn te brengen met de Wet Bescherming Persoonsgegevens voor websites.

Welk SSL certificaat heb je nodig? Er zijn verschillende certificaten. Dit heeft te maken met de sterkte van de beveiliging, de partij waar je ze afneemt en de vraag of je meerdere domeinen met één certificaat kunt dekken. Bij twijfel kan jouw webdesigner jou goed voorlichten.

Hoe kom je aan een SSL verbinding? Neem contact op met jouw webdesigner om de aanschaf van het SSL certificaat met de host te regelen. Doorgaans vraagt dit een kleine, eenmalige aanpassing aan de website.

Heb je een premium WordPress onderhoudsabonnement, dan hoef je alleen bij jouw host SSL aan te schaffen. Wij activeren SSL ondersteuning dan op de website.

Website

Wellicht draait jouw website op een CMS. Een Content Management Systeem. Dit kan het populaire WordPress zijn, maar ook Drupal, Joomla etc. Hoe groter de populariteit onder gebruikers, hoe groter de populariteit onder hackers. Gelukkig zijn er tegenwoordig vele manieren om dit soort CMS systemen goed te beveiligen en dat begint met een gezond deurbeleid, maar gaat nog veel verder qua technische maatregelen die te nemen zijn.

De bouw van de website

Voor de webdesigner is het taak om te weten wat de veiligheid is van de thema’s en plugins die hij voor jouw website gaat inzetten. Natuurlijk is maatwerk de meest veilige oplossing, maar in de praktijk heeft niet iedere website eigenaar het budget om alle plugins en thema’s op maat te laten maken. Het zijn met name de gratis thema’s en plugins die gevaar opleveren omdat deze gebruikt kunnen worden om bijvoorbeeld te spammen, andere websites aan te vallen en virussen te verspreiden. Aan de webdesigner is het dus de taak om de geleverde thema’s en plugins goed genoeg te kennen.

Website beveiliging

Waar er virusscanners zijn voor websites, zijn er beveiligingspakketten voor websites. Deze pakketten pakken niet alleen kwetsbaarheden in de code aan, maar zijn doorgaans ook ontwikkeld om het gedrag van kwaadwillende bezoekers te herkennen en daarop te anticiperen. Het installeren van een beveiligingspakket is niet genoeg. Het moet ook professioneel worden ingesteld. Net als een bewakingssysteem voor thuis.

Een goede beveiliging, zoals dat van onze premium plugin, is in staat om bijvoorbeeld malware scans uit te voeren. Mocht de webdesigner per ongeluk een thema of plugin gebruikt hebben die de website misbruikt om bijvoorbeeld virussen te versturen, zal het systeem je daarvan op de hoogte stellen en kunnen er passende maatregelen genomen worden.

Het installeren van websitebeveiliging is een passende, technische maatregel binnen de Wet Bescherming Persoonsgegevens. Het woord ‘passende’ zegt meteen al dat de wet flexibel is. Van een kleine webshop mag niet hetzelfde beveiligingsniveau als dat van een bank worden verwacht. Simpelweg omdat dergelijke budgetten niet voor iedereen beschikbaar zijn. De wet verwacht wel dat je iets ‘passends’ regelt.

Website onderhoud

Alleen een beveiligingsoplossing inzetten is niet genoeg. Je kunt als website eigenaar bij het lekken van persoonsgegevens ook als nalatig worden beschouwd wanneer je onzorgvuldig met het updaten van jouw website omgaat. Zowel het CMS als plugins hebben regelmatig onderhoud nodig.

Het is de onvoorspelbaarheid van deze updates die de grootste uitdaging vormen. Updates zijn taken die je in theorie prima zelf kunt uitvoeren, maar wat als een update jouw site om zeep helpt? En is het altijd wel zo slim om een update meteen uit te voeren? Er zijn bijvoorbeeld thema’s en plugins bekend waarbij het handig is om een paar dagen te wachten. Dan zijn de eerste problemen opgelost. Hier speelt natuurlijk ervaring met het onderwerp een belangrijke rol.

WebsiteNazorg.nl is één van de aanbieders van beveiligingsoplossingen en onderhoud voor bijvoorbeeld WordPress websites. Wij bieden dit aan als onderdeel van een veel groter pakket aan maatregelen. Nieuwsgierig of deze in jouw budget passen? Bekijk bijvoorbeeld ons WordPress aanbod.

Organisatie

Met het vakkundig en regelmatig uitvoeren van onderhoud hebben we natuurlijk al een typische organisatorische maatregel benoemd, maar er is meer. We proberen hieronder een aantal organisatorische maatregelen uit te lichten, maar we weten ook dat het onmogelijk is een volledig beeld te geven.

Beveiliging van computers

Begin met het simpelweg aanschaffen van een goede beveiliging voor computers en servers die binnen het bedrijf worden gebruikt. Neem contact op met jouw ICT dienstverlener als je hier over twijfelt. Een goede beveiliging van de computer, is een goede beveiliging van de persoonsgegevens die op de computer staan. En dat is natuurlijk wat de Wet Bescherming Persoonsgegevens van je mag verlangen.

Beveiliging van datadragers

Mag het personeel gegevens van klanten meenemen op bijvoorbeeld een USB stick? Wees dan verstandig en laat het personeel gebruik maken van USB sticks met encryptie. Alleen met een wachtwoord zijn de gegevens dan toegankelijk en daarmee onbruikbaar bij verlies of diefstal.

Personeel

Ga ook na binnen de organisatie wie bij de persoonsgegevens van klanten kan. Stel je print alles uit, kan de schoonmaker hier dan gemakkelijk bij komen? Of liggen de gegevens in een kluis of beveiligde ruimte?

Sla je persoonsgegevens op een server op, moet dan al het personeel hier bij kunnen? Denk dus goed na over wie toegang krijgt tot welke gegeven. En vanuit waar? Mogen de gegevens ook vanuit thuis te benaderen zijn? En kan dat via een gewone internetverbinding, of gaat dat netjes via een VPN? En wie zitten er nog meer op die VPN verbinding?

Blijf alert

Heb je de nodige maatregelen toegepast? Super! Maar blijf ze vooral evalueren. Houd de vinger aan de pols. Bekijk jaarlijks of de maatregelen nog passen bij de organisatie. De Wet Bescherming Persoonsgegevens is hier duidelijk in.

Meldplicht datalekken

Is jouw website toch gehackt? Dan is het belangrijk om te weten in hoeverre persoonsgegevens in de database staan en of deze gelekt kunnen zijn. Als organisatie is het verplicht om datalekken te melden. Ongetwijfeld zal je als organisatie dan moeten aantonen hoe je met bovenstaande onderwerpen bent omgegaan. Heb je maatregelen genomen die passend zijn binnen jouw organisatie en budget of niet. Dat bepaald in hoeverre je aansprakelijk bent voor het kwaad dat een ander je heeft aangedaan.