Veiligheidslekken zijn een enorm risico voor webwinkels

De Consumentenbond liet 109 websites testen van de 100 grootste webwinkelbedrijven die zich op Nederlandse consumenten richten. Bij tweederde van de sites was de digitale beveiliging niet op orde, bij de helft daarvan ging het zelfs om ernstige veiligheidslekken. Daaronder niet de minste: ANWB, Beltegoed.nl, Coolblue en 123tijdschrift.nl.

Thuiswinkel Waarborg zegt niets

Opvallend is dat er geen verschil zit in webwinkels met of zonder Thuiswinkel Waarborg. De risico’s voor webwinkelaars variëren van gegevens op straat tot besmetting en gijzeling van computers. De bond adviseert goede antivirus-software, slim wachtwoordgebruik en gezond verstand – altijd een goed advies. Wat zijn de risico’s voor de bedrijven?

Boetes tot 100 miljoen euro

Dat tweederde van de online winkels veiligheidslekken heeft, is onrustbarend. Schokkend zijn de lauwe reacties van site-eigenaren. De helft van de webwinkels met een ernstig lek reageerde niet op de bevindingen. Misschien zien zij het als calculeerbaar risico. Die instelling kan hen vanaf volgend jaar duur komen te staan. In 2016 wordt waarschijnlijk de nieuwe EU-privacywet van kracht, General Data Protection Regulation (GDPR).

Die EU-wet is bedoeld om gebruik van persoonsgegevens transparanter en verantwoordelijkheden ‘afrekenbaar’ te maken. Zo moeten bedrijven proactief dataveiligheid controleren en klanten binnen 24 uur na constatering van een veiligheidslek informeren. Voldoen ze niet aan de nieuwe privacyregels dan kan de EU boetes opleggen van 250.000 tot 100 miljoen euro. Als bedrijven niet vanzelf dataveiligheid serieus nemen, dan zou de GDPR een mooie aanmoediging moeten zijn.

Drie aanbevelingen

1. Voer een duidelijk beleid in voor omgang met klantgegevens. Maak dat beleid niet te complex en zorg ervoor dat iedereen de regels kent en naleeft.

2. Maak één medewerker intern en extern verantwoordelijk voor gegevensveiligheid.

3. Versleutel persoonsgegevens. Encryptie is de beste methode om privacygevoelige data te beschermen, ook als er toch datalekken ontstaan. Met versleuteling kun je ook aantonen dat je serieuze veiligheidsmaatregelen hebt genomen.

Over gegevensveiligheid mogen bedrijven niet te licht denken. Nu al niet, maar binnenkort kan vrijblijvendheid desastreuze gevolgen hebben.

Dit blog is geschreven door Pieter Lacroix, managing director Sophos Nederland. Sophos informeert bedrijven al geruime tijd over de EU-wet en over de maatregelen die ze kunnen nemen om lekken te voorkomen en de organisatie klaar te maken voor de GDPR.