Is een SSL certificaat verplicht (juridisch gezien)?
In een eerdere blog benadrukten we het belang van een SSL certificaat. Hierin ging het nog vooral over webwinkels die persoonsgegevens zoals creditcardgegevens en andere betaalgegevens verzenden. In dit geval is een SSL certificaat absoluut verplicht. Zodra kwaadwillenden deze informatie onderscheppen, kunnen ze hier namelijk veel (financieel) voordeel uit halen. Hierdoor is het van groot belang om deze informatie uit vreemde/verkeerde handen te houden.
SSL certificaat verplicht bij een simpel contactformulier?
Maar hoe zit het dan met een simpel contactformulier? Stel, je hebt een fysieke winkel en potentiële klanten vragen via het contactformulier van jouw website of het aanstaande zondag koopzondag is? Met slechts een naam en e-mailadres kunnen kwaadwillenden nauwelijks iets. Is het dan verplicht om een SSL certificaat op jouw website te hebben?
De wet is hier niet helemaal duidelijk in. Officieel zegt het College Bescherming Persoonsgegevens (CBP) het volgende:
‘De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen…’ (bron)
Wanneer we beter kijken naar de CBP richtsnoeren over de beveiliging van persoonsgegevens, kunnen we lezen dat het begrip 'passend' afhangt van hoe gevoelig gegevens zijn. Men zegt hierover:
'Het begrip ‘passend’ duidt mede op een proportionaliteit tussen de beveiligingsmaatregelen en de te beschermen gegevens. Naarmate bijvoorbeeld de gegevens een gevoeliger karakter hebben, of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden zwaardere eisen gesteld aan de beveiliging van de gegevens. Er is geen verplichting om steeds de allerzwaarste beveiliging te nemen.' (bron)
Dit betekent dat het verplicht is om persoonsgegevens te beschermen met een passend beveiligingsniveau aan de hand van de risico's. Zo zijn betaalgegevens zeer waardevol, maar een naam en e-mailadres veel minder. Is het dan verplicht om een simpel contactformuliertje te voorzien van een SSL certificaat? Een eenduidig antwoord is er niet. Hoewel een naam en e-mailadres nauwelijks waarde hebben, kan de context er wel weer voor zorgen dat een SSL noodzakelijk is. Denk bijvoorbeeld aan een contactformulier op een medische website.
Daarnaast komt het CBP zelf met vijf aanbevelingen op het gebied van publicaties op het internet:
1) Voorkom de onnodige publicatie van persoonsgegevens
2) Scherm specifieke pagina’s met persoonsgegevens af voor zoekmachines
3) Gebruik wachtwoorden of een andere passende methode om de doelgroep af te bakenen
4) Beveilig het gegevenstransport door middel van het SSL protocol
5) Beveilig machine(s) en achterliggende databases tegen onbevoegde toegang door derden
Ze geven dus duidelijk aan dat het absoluut beter is om een SSL certificaat te installeren.
Better safe than sorry
We kunnen wel stellen dat er absoluut een moment gaat komen dat het SSL certificaat juridisch verplicht gaat worden voor élke website. Chrome gaat websites zonder SSL begin 2017 als onveilig bestempelen en in Google is het inmiddels ook bekend dat websites zonder SSL minder gewaardeerd worden en dus lager in de zoekresultaten geplaatst worden. Kortom: better safe than sorry.
Het aanschaffen van een SSL certificaat zal je sowieso voordeel opleveren, of dit nu al juridisch verplicht is of niet.