Zijn webwinkels met iDeal onveilig?

In een recent onderzoek van networking4all wordt geconstateerd dat het beroerd is gesteld met de veiligheid van de Nederlandse webwinkels waarin betaald kan worden met iDeal.

De resultaten van het onderzoek zijn vastgelegd in een mooi rapport, “Beveiliging van persoonsgegevens bij webwinkels, aangesloten bij iDeal”.

Is iDeal onveilig?

 

Bij dit onderzoek, en bij de wijze waarop het in de media is gekomen, mogen echter wel enige kanttekeningen worden geplaatst. Zo is het niet het betalen met iDeal zelf dat onveilig is. iDeal biedt een beveiligde omgeving voor online betaaltransacties, die uitstekend voldoet.

 

Het onderzoek heeft dan ook feitelijk helemaal niets te maken met de (on)veiligheid van iDeal. Er is in feite uitsluitend gekeken naar de beveiliging van persoons- en transactiegegevens in webshops die (ook) iDeal als betaalfaciliteit aanbieden.

Wat heeft dit rapport te maken met iDeal?

 

De stellingname van de schrijvers van het rapport is kennelijk dat iDeal een onterecht gevoel van veiligheid oproept bij de consument. Oók iDeal shops doen het kennelijk niet zo goed met de beveiliging van persoons- en transactiegegevens. En dan gaat het niet om een klein percentage, maar om welgeteld 91% van die shops.

 

Om nu aan iDeal te verwijten dat webwinkels die dit op zich veilige betaalmiddel inzetten, in andere onderdelen van de winkel onvoldoende aandacht besteden aan dat onderwerp, is wel een beetje vergezocht. Het lijkt vooral een poging van de rapportschrijvers om media-aandacht te krijgen.

  

Kortweg dus: nee, dit rapport heeft helemaal niets te maken met de veiligheid of onveiligheid van iDeal.

Is er nu wel of niet sprake van "onveiligheid"?

 

Om welke risico’s gaat het nu eigenlijk?

 

In een typisch bestelproces worden producten in een winkelmand geplaatst. Nadat de consument is uitgewinkeld, worden het factuur- en verzendadres ingegeven en wordt een betaalwijze gekozen. Als er gekozen wordt voor iDeal wordt de consument doorgeleid naar de beveiligde iDeal betaalomgeving. Vanaf dat moment wordt al het dataverkeer standaard versleuteld.

 

Waar het in het rapport echter om gaat zijn de gegevens die worden uitgewisseld vóór het betalen. De gegevens in de winkelmand en de factureringsgegevens. Als die gegevens onversleuteld over de lijn gaan kan worden achterhaald wie u bent en wat u heeft gekocht.

So what?

 

Nu maken Nederlanders zich in het algemeen niet zo druk over privacy, en zal het ook in dit geval de meerderheid van kopers in webshops een zorg wezen dat er een kleine kans bestaat dat deze gegevens op straat komen te liggen.

 

In de meeste gevallen en voor de meesten van u is dat ook wel terecht. Dat iemand zou kunnen achterhalen dat u een vakantiereis hebt geboekt (en dat uw huis dus waarschijnlijk gedurende een bepaalde periode waarschijnlijk leeg staat) is waar; maar er zijn nog wel eenvoudiger manieren om dat te achterhalen dan door in te breken op uw dataverkeer. Want ook al gaan gegevens onversleuteld over een lijn, een hacker moet er echt nog wel wat voor doen voordat die gegevens ook echt in zijn bezit zijn.

 

Dus een beetje een storm in een glas water, en het mag worden vermoed dat de rapportschrijvers toch ook enige commerciële motieven hebben bij dit rapport. Zij verkopen tenslotte SSL-certificaten.

Ligt er een wettelijke plicht?

 

De rapportschrijvers wijzen op de Wet Bescherming Persoonsgegevens. In deze wet worden eisen gesteld aan de beveiliging van verwerking van persoonsgegevens. Het rapport klopt de zaak nog eens op door te vermelden dat het College Bescherming Persoonsgegevens een boete kan opleggen wanneer een bedrijf of organisatie zich niet houdt aan de Wet.

 

De genoemde (maximale) boete van 4500 euro wordt opgelegd als een registratie van persoonsgegevens onterecht niet wordt aangemeld bij het CBP. maar de wet stelt ook dat aanmelden in veel gevallen helemaal niet hoeft. Er is onder meer een algemene vrijstelling voor administraties van leveranciers en afnemers. En daarnaast heeft de genoemde boete betrekking op het al dan niet aanmelden van administraties, en al helemaal niet op het beveiligen van het dataverkeer. 

 

Dus ja, er ligt een wettelijke plicht; maar de genoemde boete heeft hier helemaal niets mee te maken, die gaat over de verplichting om een administratie aan te melden en dat hoeft hier helemaal niet.

 

Advies: koop een SSL certificaat

 

De rapportschrijvers nemen dus een lange omweg om aandacht te vragen voor een op zich relevant onderwerp. Het is, ook in de standaard en maatwerk shops van Integrace, zeker verstandig om dataverkeer te beveiligen en bij de shop een SSL-certificaat aan te schaffen.

 

Door dit certificaat af te nemen stelt u zeker dat uw shop voldoet aan de Wet Beveiliging Persoonsgegevens, en – belangrijker nog - geeft u het signaal aan uw klanten dat u hun veiligheid serieus neemt.