ICTRecht B.V.

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
Vestiging Amsterdam: 020 663 1941 / Vestiging Groningen: 050 209 3499
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Waarom is een SSL certificaat wel verplicht bij mijn contactformulier en niet bij ‘gewone’ e-mail?

9 september 2011 Door

Een webwinkelier vroeg mij: Ik heb op mijn website op de contactpagina zowel een contactformulier dat men kan invullen als mijn gewone emailadres: info@abcd.nl. Beiden leiden naar dezelfde inbox.

Het contact formulier moet ik beveiligd hebben met het SSL-certificaat. Bij mijn ‘gewone’ e-mail adres is zo’n SSL- certificaat echter niet verplicht. Hoe zit dat?

Een SSL beveiliging heeft als doel de pagina’s waar men persoonsgegevens invoert te beveiligen tegen misbruik door derden. Daarnaast is het belangrijk omdat het de identiteit ofwel domeinnaam van de website bekend maakt.

De Wet bescherming persoonsgegevens (Wbp) geeft aan wanneer je persoonsgegevens mag verwerken en aan welke eisen dat dan moet voldoen.

Onder ‘verwerken’ worden veel dingen verstaan, namelijk elke handeling (of elk geheel van handelingen) met betrekking tot persoonsgegevens.

Hieronder valt in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen en gebruiken van persoonsgegevens. Ook het verstrekken door middel van doorzending, verspreiding of elke andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen valt hieronder. Dit geldt eveneens voor het afschermen, uitwissen of vernietigen van gegevens.

Maar wat is precies een persoonsgegeven? Alle (!) gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon zijn persoonsgegevens in de zin van de Wbp. Denk hierbij niet alleen aan naam, adres en telefoonnummers. Ook een e-mailadres of een foto is een persoonsgegeven. Daarnaast vallen zelfs waarderingen over een natuurlijk persoon hieronder, denk aan iemands IQ.

U bent als webwinkelier verplicht de website op alle gebieden waar men persoonsgegevens invoert te beveiligen tegen misbruik hiervan. Dit betreft niet alleen het bestelproces maar ook, zoals voor u van toepassing, contactformulieren. Indien u hier niet aan voldoet, kan dit een boete opleveren van maar liefst 4500 euro!

Het contactformulier staat immers op uw website, en u bent daar dan ook voor verantwoordelijk. U bent tenslotte de aanbieder van dat contactformulier.

Bij het verzenden van mail via uw ‘gewone’ e-mailadres (info@abcd.nl) ligt dat anders. Op het moment dat men daar op klikt, opent zich een nieuw venster. Dit venster leidt naar bijvoorbeeld Outlook of Gmail. Dit wordt de cliënt genoemd.

Via deze cliënt verzend de klant/bezoeker van uw website dus zijn e-mail en niet via uw website. U bent daarom niet meer verantwoordelijk voor de beveiliging van de persoonsgegevens, maar de client.

Dat zowel het contactformulier als het ‘gewone’ e-mailadres naar dezelfde inbox leiden, maakt dat niet anders.

> Meer over webwinkels & e-commerce

Maaike Lassche

Voormalig juridisch adviseur ICTRecht.

Voormalig juridisch adviseur ICTRecht.


Er zijn 18 reacties

  1. Maar dat zegt Maaike toch ook? Juist omdat de webpagina de client is waarmee gecommuniceerd is, en de webpagina onder beheer van de site-eigenaar staat, moet de site-eigenaar maatregelen nemen.

    Bij een gewone e-mail vanuit de eigen mailclient is alles onder beheer van de bezoeker. De site-eigenaar kan geen beveiliging toepassen op mail die iemand hem stuurt, en hoeft dat dan ook niet.

  2. Op de contact pagina je vraagt ​​de klant om contact met u op te nemen in twee mogelijke manieren:

    1. Via het contactformulier van het contact pagina, die is een onderdeel van uw website en de klant heeft geen controle over het, hij of zij weet niet welke code de pagina gebruikt of wat de website zal doen met zijn / haar persoonlijke gegevens, dus het moet beveiligd worden met een SSL protocol.

    2. Door het sturen van u een e-mail op het adres vermeld op de pagina. In dit geval uw klant zal gebruik maken van zijn e-mail service: webmail, Outlook Express of IMAP-client (zal de e-mail van zijn / haar smartphone direct sturen) waarvan hij / zij heeft volledige controle over het.
    In dit geval is er geen extra beveiliging nodig, omdat elke e-mail dienst al beveiligd met SSL-protocol is.

  3. @Arnoud, dat zegt Maaike nu juist niet. En of de webpaginga onder beheer van de sit-eigenaar staat, daar valt over te twisten. Immers de hele pagina en alles wat er op en er aanzit wordt namelijk gedownload op jouw PC. Je vult je gegegevens in en d.m.c. ‘OK’ of ‘Enter’ verstuur je je gegevens. Op het moment dat ik dit verhaal aan het tikken ben, kan ik rustig mijn netwerkkabel uit mijn PC halen.

    Vandaar dat ik het onderscheid wat gekunsteld vind.

  4. @webdesign.

    Wat jij zegt klopt niet

    IMAP en POP3 zegt iets over de manier van afhandelen van de mail. Bij IMAP blijft de mail (ook) op de server staat, bij POP3 in principe niet.
    Er worden ook verschillende TCPpoorten gebruikt, IMAP port 143, POP3 110 en SMTP 25.
    Maar dat is niet beveiligd.

    SSL gebruikt port 443. Dat is stap 1. Verder laat het certificaat zien dat de server (beter: domein) waarmee jij praat ook daadwerkelijk het domein is waarmee je praat. De paspoortfunctie dus.
    De software er omheen zorgt ervoor dat de *verbinding* beveiligt is middels encrypte. Op de webserver zelf moet ook aangegeven worden welke mappen beveiligd moeten zijn. Vaak is dat maar een deel van een website.

    Neem internetbankieren, de gevoelige delen zijn beveiligd middels de rest is gewoon http bijvoorbeeld de reclame naast je rekeningoverzicht.

    Dat een website voorzien is van een SSL-certificaat en https gebruikt wil niet zeggen dat de site veilig is. Hij kan zo lek als een mandje zijn en een http-site kan veilig als Fort Knox zijn.
    SSL helpt ook niet tegen bekende kraakmethodes als een SQL-injectie. In principe is het statement dat je daarvoor gebruikt een geldige in SQL-queries.

  5. Het lijkt me dat de wet hierin is doorgeschoten. De meeste eigenaren van kleine websites hebben geen zin in de extra kosten voor een SSL certificaat. En gezien de beperkte gegevens die een doorsnee contactformulier ‘vraagt’, geef ik ze geen ongelijk.

    Wel fijn om te zien dat ICTrecht dat kennelijk ook vindt. De verschillende contactformulier van jullie site werken immers ook niet via een https verbinding.

  6. Dit artikel zoekt volgens mij de grenzen van de Wbp wel op : Artikel 13 van de Wbp spreekt over ‘passende maatregelen ten opzichte van de aard van de te verwerken gegevens’.
    Ik vraag me ook af of dit de strekking van Wbp is geweest : De meeste NAW gegevens zijn ook in een telefoonboek te vinden. Zodra je echter over gegevens als BSN en banknummers begint is SSL wel te rechtvaardigen. Al is de kans op misbruik omdat iemand gaat tappen wel zo ongeveer nihil.

  7. @Ingmar; ik begrijp wat je bedoelt, maar mijn gegevens staan niet in het telefoonboek, eveneens wil IK bepalen welke instantie welke gegevens van mij heeft.

    Ik verwacht van de partij die de gegevens beheert dan ook dat zij dat beveiligen.

  8. hoe kan het dan bij keurmerk.info webwinkels gecertificeerd worden welke helemaal niets via een ssl verbinding versturen. in oktober zijn er 70 winkels aangesloten door deze partij en daarvan zijn er 35 welke niet aan de eisen voldoen (alleen al in oktober). Dus statistisch gezien is 50% van de webwinkels welke een keurmerk hebben van keurmerk.info onveilig en dus onbetrouwbaar. Is dit nou weer een bevestiging dat zo’n keurmerk dus echt nergens op slaat en in dit geval de consument wordt belazerd met het feit dat bij webwinkels welke zijn aangesloten bij keurmerk.info mensen betrouwbaar en veilig kunnen winkelen?

    ps. ben geen webshop eigenaar maar verbaas mij over de toenemende posities van verschillende alles belovende niet zeggende keurmerken welke op slinkse wijze en een mooi logo de consument telkens weer op een zijspoor weet te zetten.

    1. Heel formeel is een SSL niet verplicht maar in de praktijk is het de enige manier om te voldoen aan de wet”. SSL is zeker belangrijk maar het is uiteindelijk aan het keurmerk welke eisen ze opleggen.

  9. Stel nou dat je bij een contactformulier een selectievakje aanmaakt die geselecteerd dient te worden voor verzending met de tekst: Ik ga ermee akkoord dat de gegevens in dit formulier niet verzonden worden via een beveiligde verbinding. Is het dan wel mogelijk contact formulieren aan te maken op een niet met SSL beveiligde server/hosting?

    1. De wet stelt helaas dat je verplicht bent om alle plaatsen op de website waar men persoonsgegevens invult te beveiligen. Denk aan het bestelproces, tell- a- friend systemen, plaatsen waar men een review kan invoeren of aan kan melden voor de nieuwsbrief, maar ook contactformulieren. Dit is dus een verplichting voor de webwinkelier. Het is niet mogelijk deze wettelijke verplichting door te schuiven naar de consument door hem een hokje aan te laten vinken

  10. Ik vraag me toch af hoe u tot de conclusie komt dat een SSL-verbinding altijd verplicht is bij een online contactformulier. Maakt u dat louter op uit de Wbp, of zijn hier nog aanvullende regels voor vastgesteld?

  11. Doorgeschoten…. Je hebt een beveiligde vebinding met de website als gebruiker. Je gegevens worden beveiligd verzonden naar een vaak onbeveiligde slecht afgedichte MySql database. Bij 5/10 webwinkels zijn alle klantgegevens in een paar stappen voor iedereen te downloaden. Tja SSL…

  12. Een vraag die deze discussie bij mij oproept: als een klant mijn SSL-beveiligde contactformulier invult, en ik wil de vraag beantwoorden via de mail, dan gaan de persoonsgegevens uit de vraag toch net zo goed nog onbeveiligd over internet? En dan is het niet de klant die mailt (zie oorspronkelijke vraag) maar mijn bedrijf en ligt de verantwoordelijkheid dus weer daar. Iemand enig idee hoe dat zit?

    1. Dan ligt inderdaad de verantwoordelijk bij het bedrijf om deze gegevens te beveiligen. In dit geval zul je vaak via de beveiligde inbox van e-mail client reageren op de klant en zo lang deze mail niet per ongeluk naar een ander persoon gemaild wordt (datalek) is er niets aan de hand.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *