Het zal niemand ontgaan zijn, er is veel te doen om de privacy van internetgebruikers. Een klokkenluider heeft bekend gemaakt dat de Amerikaanse overheid internetgebruikers af kan luisteren. Servers van bijvoorbeeld Facebook, Google en Microsoft kunnen met behulp van PRISM afgetapt worden. Dit alles onder het mom van bestrijding van terrorisme, zo stelde president Obama.
Een middel dat zijn doel volledig voorbijschiet. Zonder enige verdenking kunnen gegevens van internetgebruikers opgevraagd worden. Mensen krijgen het gevoel dat ze bespioneerd worden, en veel mensen vinden dit geen prettig gevoel. Daarom is het van belang om zorgvuldig met persoonsgegevens om te gaan die verkregen worden.
Een webwinkel vraagt om persoonsgegevens. Naam, adres, e-mailadres en soms creditcardgegevens zijn immers nodig om een bestelling af te handelen. Regelmatig worden er om uiteenlopende redenen meer gegevens gevraagd. Zo moeten klanten van sommige webwinkels 18 jaar of ouder zijn om een bestelling te plaatsen en verplichten webwinkels opgave van een telefoonnummer.
Maar let op, des te meer persoonsgegevens er verzameld worden, des te interessanter de database met gegevens voor kwaadwillenden wordt. Een database met naam, adres, woonplaats, betaalgegevens en geplaatste bestellingen is goud waard. Zorgvuldige omgang en beveiliging van deze gegevens is van belang, en niet geheel onbelangrijk, zelfs wettelijk verplicht.
Voordat er technische en organisatorische maatregelen getroffen worden om de klantgegevens afdoende te beveiligen is het goed om na te gaan welke klantgegevens er eigenlijk nodig zijn. Daarbij moet het uitgangspunt het verzamelen van zo min mogelijk gegevens zijn. Heeft een webwinkel de geboortedatum, het geslacht of het telefoonnummer van een klant nodig? Sterker nog, heeft een webwinkel de naam van een klant nodig?
Recent vertelde een webwinkelier mij zelfs dat hij de naam niet hoeft te weten, als hij maar een adres heeft waar het pakketje bezorgd moet worden. Wellicht ietwat gechargeerd, want wie spreek je aan als er niet betaald wordt? Maar het geeft wel aan dat er genoeg ruimte voor verbetering is met betrekking tot het verzamelen van gegevens.
Regelmatig lees ik in goedbedoelde privacyverklaringen van webwinkels dat ze inderdaad veel waarde hechten aan zorgvuldige omgang en dat gegevens nooit met derden gedeeld worden. Een snelle blik op de website leert dan dat de privacy verklaring een loze belofte bevat. De basisbeveiliging in de vorm van een SSL verbinding ontbreekt of werkt niet zoals deze zou moeten werken.
Daarnaast zie ik ook geregeld de deur van webwinkels wagenwijd openstaan voor SQL injecties of andere, relatief gemakkelijk uit te voeren handelingen. Een SSL verbinding is een stap in de goede richting om de persoonsgegevens veilig naar de database te versturen. Maar een SSL verbinding is totaal nutteloos als de deur van de database vervolgens voor iedereen openstaat.
Zorgvuldige omgang met persoonsgegevens is niet alleen wettelijk verplicht, maar mensen stellen dat ook op prijs. Tevreden klanten zijn toch het uitgangspunt van iedere winkelier?
Met de juridische generatoren van ICTRecht op JuriDox.nl kunt u snel en tegen een gunstig tarief uw documenten opstellen. Van arbeidsvoorwaarden tot een VOF-contract.U vindt al uw arbeidsrecht, ICT, privacy of andere juridische documenten voor uw onderneming bij JuriDox.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.