Eisen omtrent https
Is een SSL/TLS certificaat juridisch verplicht ?

Letterlijk staat er in de Wet bescherming persoonsgegevens (Wbp) het volgende:
“De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.” Wat er met passend wordt bedoeld hangt af van hoe gevoelig gegevens zijn.
Logisch is dat in geval van een webwinkel waarbij die persoonsgegevens zoals creditcardgegevens en andere betaalgegevens worden verzonden een SSL certificaat absoluut verplicht is.
Maar is een SSL certificaat verplicht bij een simpel contactformulier? Immers met slechts een naam en e-mailadres kunnen kwaadwillenden weinig. Is het dan verplicht om een SSL certificaat op uw website te hebben?
College Bescherming Persoonsgegevens (CBP) adviseert het volgende:
- Voorkom de onnodige publicatie van persoonsgegevens
- Scherm specifieke pagina’s met persoonsgegevens af voor zoekmachines
- Gebruik wachtwoorden of een andere passende methode om de doelgroep af te bakenen
- Beveilig het gegevenstransport door middel van het SSL protocol
- Beveilig machine(s) en achterliggende databases tegen onbevoegde toegang door derden
Dit kan niet worden uitgelegd dat er directe eisen omtrent https zijn. Wel kunnen we duidelijk lezen dat het beter is om de website met https te beveiligen als er sprake is van uitwisseling van gegevens.
Noot: GDPR vervangt de Wbp
Overigens zal mei 2018 de General Data Protection Regulation (GDPR) van kracht worden. Deze Europese wet zal naar verwachting de Wbp (Wet beschermings persoonsgegevens) gaan vervangen. Regels omtrent hoe organisaties dienen om te gaan met privacy worden strenger. Zo moet de bezoeker expliciet akkoord geven dat de persoonsgegevens verwerkt mogen worden. En ondanks dat we niet van bangmakerij houden; “Bij het niet naleven van deze regels kunnen net als bij de Wbp, er hoge boetes worden opgelegd”.
Het lijkt ons duidelijk dat we er vanuit kunnen gaan dat er een moment gaat komen dat het SSL certificaat juridisch verplicht gaat worden voor élke website.
Door uw website naar https over te zetten gaat u nu al profiteren van de voordelen, lees ons andere bericht “Uw website al op https”. Los van het feit of dit nu al juridisch verplicht is of niet.