In ons vorige blog benadrukten we het belang van een SSL certificaat. Hierbij ging het vooral over webwinkels die persoonsgegevens zoals creditcardgegevens en andere betaalgegevens verzenden. In zo’n geval is een SSL certificaat gewoon verplicht, daar is geen enkele twijfel over. Als kwaadwillenden deze informatie onderscheppen kunnen ze hier namelijk veel (financieel) voordeel uit halen.

Sinds de aankondiging van Google om bij Chrome (vanaf versie 62) foutmeldingen te melden op een HTTP- website extra aandacht aan SSL en HTTPS in ons blog.

Onzid webdesign | Is een SSL certificaat verplicht?

Maar hoe zit het nu bij een ‘normale’ website?

Stel, je hebt een winkel en via het contactformulier op jouw website informeert een klant of je aanstaande zondag open bent? Hoe zit het dan met zo’n een eenvoudig contactformulier? Want wat kunnen kwaadwillenden nu met slechts een naam en e-mailadres, is het dan verplicht om een SSL certificaat op jouw website te hebben?

Hierover zegt het College Bescherming Persoonsgegevens (CBP) het volgende:
‘De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen…’ (bron)

Kijken we beter naar de CBP richtsnoeren over de beveiliging van persoonsgegevens, dan kunnen we lezen dat het begrip ‘passend’ afhangt van hoe gevoelig gegevens zijn:
‘Het begrip ‘passend’ duidt mede op een proportionaliteit tussen de beveiligingsmaatregelen en de te beschermen gegevens. Naarmate bijvoorbeeld de gegevens een gevoeliger karakter hebben, of de context waarin deze worden gebruikt een grotere bedreiging voor de persoonlijke levenssfeer betekenen, worden zwaardere eisen gesteld aan de beveiliging van de gegevens. Er is geen verplichting om steeds de allerzwaarste beveiliging te nemen.’ (bron)

Met andere woorden, het is verplicht om persoonsgegevens te beschermen met een passend beveiligingsniveau aan de hand van de risico’s. Zo zijn betaalgegevens zeer waardevol, maar een naam en e-mailadres natuurlijk veel minder. Is het dan verplicht om een eenvoudig contactformuliertje te voorzien van een SSL certificaat? Een eenvoudig antwoord is hier eigenlijk niet op. Hoewel een naam en e-mailadres nauwelijks waarde hebben, kan de context er wel weer voor zorgen dat SSL noodzakelijk is, denk aan b.v. een contactformulier bij een huisarts.

Het CBP zelf komt met vijf aanbevelingen op het gebied van publicaties op het internet:
1) Voorkom de onnodige publicatie van persoonsgegevens
2) Scherm specifieke pagina’s met persoonsgegevens af voor zoekmachines
3) Gebruik wachtwoorden of een andere passende methode om de doelgroep af te bakenen
4) Beveilig het gegevenstransport door middel van het SSL protocol
5) Beveilig machine(s) en achterliggende databases tegen onbevoegde toegang door derden

Het CPB geeft dus duidelijk aan dat het absoluut beter is om een SSL certificaat te installeren!

Conclusie

We kunnen er vanuit gaan dat het een kwestie van tijd is voordat een SSL certificaat juridisch verplicht wordt voor iedere website. Chrome gaat websites zonder SSL vanaf begin 2017 als onveilig bestempelen en het inmiddels ook bekend dat websites zonder SSL minder gewaardeerd worden, en dus lager in de zoekresultaten terecht komen.

Kortom, better safe than sorry, een SSL certificaat zal je sowieso voordeel opleveren, of dit juridisch verplicht is of niet.