You are on page 1of 5

De wettelijke plichten bij het bouwen van een website

Inleiding
Doordat er op moment van schrijven veel te doen is over het verwerken van persoonsgegevens, moet
er bekeken worden wat voor wettelijke eisen relevant zijn voor ICT-projecten. Dit is in het belang van
beginnende website bouwers die zich aan steeds meer regels moeten houden, en door de bomen het
bos niet meer zien. Welke wettelijke eisen zijn er als een website wordt gebouwd en hoe kunnen
deze gemplementeerd worden? Als de eisen bekend zijn, dan kan de gewone techneut ook een
website bouwen, zonder zich af te vragen of hij wellicht strafbaar is. De wild west dagen van het
internet zijn helaas voorbij.
Informatievergaring
Een bedrijf kan wel eens behoefte hebben om informatie over een klant te verzamelen. Door
bijvoorbeeld effectiever te marketen of te personaliseren. Een bedrijf wat echter persoonsgegevens
verzamelt van een klant, moet zich beperken tot de informatie die vereist is. Hierbij moet het doel van
de gegevens: welbepaald, uitdrukkelijk omschreven en gerechtvaardigd zijn. Dit betekent dat alle
informatie die niet gebruikt word of valide doel heeft om verzamelt te worden verwijderd moet
worden[1]. Door een formulier in te vullen kan bepaald worden of het wel gerechtvaardigd is. Mits dit
niet het geval is, kunnen er grote boetes uitgeschreven worden.
Verwijderen gegevens
Sommige bedrijven worden gedwongen om informatie op aanvraag te verwijderen, waaronder
recentelijk Google[4]. Hoewel dit op moment van schrijven afgedwongen moet worden door de
rechter, is het aan te raden om voor te bereiden op de mogelijkheid dat dit de standaard wordt. Dit
gaat niet voor websites gelden als ze geen informatie verzamelen over klanten, omdat deze gegevens
dan ook niet beschikbaar zijn.
Beveiliging
De toegang moet beperkt blijven tot de mensen die hier toestemming voor hebben[1]. Er moeten
hiervoor passende technische en organisatorische maatregelen genomen worden, om een passend
beveiligingsniveau te garanderen. Er moet hier vooral gedacht worden aan unieke wachtwoorden per
gebruiker en versleutelde verbindingen als persoonsgegevens worden verwerkt.
Maar dit is niet alles, Social Engineering kan ingezet worden om gegevens te ontfutselen die anders
technisch gezien niet voor de social engineer beschikbaar waren. Social engineering is het voordoen
als iemand anders, of mensen ervan te overtuigen dat je toestemming tot iets hebt wat niet zo is. Door
misbruik te maken van bepaalde menselijke eigenschappen, kan de reguliere technische beveiliging
omzeild worden. Door training tegen dit soort trucjes kan het effect van Social Engineering echter
geminimaliseerd blijven.
De beginnende website bouwer zal zich waarschijnlijk afvragen: Hoe maak ik een veilige website? Dit
is een goede vraag, want de waarheid is dat een website nooit 100% veilig gemaakt kan worden. Zelf
de grootste bedrijven hebben hier last van, en misschien zelfs meer last dan de kleinere bedrijven.
Doordat de code achter de website steeds groter wordt, en het aantal mensen die graag naar binnen
wil ook groter is. Dan is de kans een stuk groter dat er een kwetsbaarheid gevonden en misbruikt
wordt.
Kwetsbaarheden
De website van het Open Web Application Security Project (OWASP) houdt de meest bekende
kwetsbaarheden bij. Hieronder staan de top tien kwetsbaarheden genoemd, met de meest
voorkomende kwetsbaarheden bovenaan.
Door te kijken of deze kwetsbaarheden in de website zitten kan je aantonen bij een data lek dat er niet
nalatig gehandeld is. Desondanks moet een data lek altijd gemeld worden.
Kwetsbaarheid Omschrijving
Injection Door slechte validatie van input, SQL code
kunnen draaien.
Broken Authentication and Session
Management
Sessie ID van een cookie stelen.
Cross-Site Scripting (XSS) Manier Javascript in iemand anders zn
browser te draaien. Gebeurt als input niet
goed gevalideerd wordt.
Insecure Direct Object References Identifiers van parameters aanpassen om
objecten te bereiken waar je normaal geen
toegang tot zou hebben
Security Misconfiguration Configuratie die van nature onveilig is, door
standaard geen wachtwoord te hebben
bijvoorbeeld.
Sensitive Data Exposure Verschil in wat een site publiek vindt en wat
een gebruiker publiek vindt
Missing Function Level Access Control Security moet in elke laag aanwezig zijn, als
deze in een laag mist dan kan daar misbruik
van worden gemaakt.
Cross-Site Request Forgery (CSRF) Vanaf een andere site een verzoek sturen
om iets te doen wat niet normaal niet zou
mogen
Using Components with Known
Vulnerabilities
Software gebruiken met bekende lekken,
makkelijk te voorkomen door regelmatig te
updaten
Unvalidated Redirects and Forwards Zorg ervoor dat herleidingen vanaf de site
gecheckt wordt, zodat een hacker niet er zelf
een kan invullen.
Top ten vulnerabilities - Open Web Application Security Project
Dit zijn alleen de kwetsbaarheden die het meest worden gebruikt. Echter stopt het hier niet mee, er
zijn ontelbare kwetsbaarheden in allerlei verschillende soorten software. Houd hier dus rekening mee,
je bent nooit helemaal veilig.
Meldplicht
Er ligt momenteel een wetsvoorstel in de tweede kamer die het melden van datalekken verplicht
maakt. Dit heet de Meldplicht Datalekken Wet. Als een data lek gedetecteerd is door een medewerker,
dan heeft het bedrijf 24 uur om zich te melden. Gebeurt dit niet, dan kan er door nalatigheid een boete
toegewezen worden door het College Bescherming Persoonsgegevens (CBP) van maximaal 450.000
euro. Het melden van zon data lek kan reputatieschade opleveren aan het bedrijf. Het is dus
belangrijk om in het ontwerpproces van een website al te kijken of data lekken voorkomen kunnen
worden.
Informatieplicht
Als er gegevens worden verzameld over een natuurlijk persoon, dan heeft deze het recht om deze
informatie op te vragen. Elke toepassing die hiermee te maken heeft moet dit dus ondersteunen. Dit
hoeft echter niet geautomatiseerd te gebeuren[2]. Enkele uitzonderingen op deze regel zijn
opsporingsinstanties en bepaalde overheidsinstanties zoals de belastingdienst, echter geld dit
uiteraard niet voor de meeste projecten.
Privacy by Design
Dit is een principe die wellicht in de toekomst verplicht wordt voor nieuwe websites. Door enkele
principes in het ontwerp te zetten die de persoonsgegevens standaard beschermen. Het College
Bescherming Persoonsgegevens zegt hier het volgende over:

Privacy Enhancing Technologies (PET)
Er zijn een paar maatregelen die getroffen kunnen worden om de privacy van een bezoeker standaard
te beschermen. Hierdoor is er minder kans op datalekken en daarmee minder kans op boetes of
reputatieschade. Voorbeelden hiervan zijn het beperken van informatie versturen als de medewerker
niet alles nodig heeft om zijn taak uit te voeren. Op basis van rol kan dit bepaald worden. Er kan ook
gegevens geminimaliseerd worden. Door bijvoorbeeld alleen aan te geven of een persoon boven of
onder de achttien is, of alleen de laatste nummers van een postcode of bankrekeningnummer op te
slaan[6]. Door zo weinig mogelijk expliciete informatie te geven, kan bij een data lek bij n van de
medewerkers niet veel schade worden gedaan met de ontfutselde persoonsgegevens. Dit bemoeilijkt
identiteitsdiefstal en fraude.
Meer technische oplossingen houden het scheiden van gegevens in. Door bepaalde gevoelige
gegevens in een aparte tabel of database te houden, het liefst met aparte authenticatie, kunnen
datalekken niet voorkomen, maar wel beperkt worden. Doordat een enkele kwetsbaarheid of hack niet
alle gegevens kan vrijgeven.
Opt-in
Als er via een website gegevens worden verzameld dan moet de gebruiker hier expliciet (dus niet
impliciet) mee toestemmen[1]. Deze regelgeving staat het best bekend als de cookiewet, hoewel dit
niet helemaal accuraat is. Elke vorm van tracking moet toestemming vragen, dit is niet exclusief voor
cookies. Meestal wordt dit in de vorm van een pop-up op de website gedaan, waar de gebruiker kan
kiezen of hij/zij gevolgd wil worden[3].
Een uitzondering op deze regel is als de website in kwestie alleen technische cookies gebruikt.
Hierbij moet er gedacht worden aan digitale winkelwagentjes en een cookie om bij te houden dat de
bezoeker niet gevolgd wil worden. Dit is voor de meeste kleine websites echter voldoende, omdat
deze zich niet al te veel bezig houden met uitgebreide marketing en/of profilering.
Privacy by Design gaat uit van het principe dat er in een vroeg
stadium nagedacht wordt over het goede gebruik van
persoonsgegevens binnen een organisatie, de noodzaak van het
gebruik van deze gegevens en de bescherming ervan.
Door al bij het ontwikkelen van systemen privacy en bescherming
van persoonsgegevens in te bouwen is de kans op het succes ervan
het grootst.
College Bescherming Persoonsgegevens
Nieuwsbrieven versturen
Ongewenste mail is voor de ontvanger niet leuk en de verstuurder krijgt er geen blije klanten van.
Echter besloten enkele partijen dat dit niet uitmaakte en alsnog miljarden e-mails versturen. Daarom is
het wettelijk verplicht geworden dat de degene die een nieuwsbrief wil ontvangen zich ondubbelzinnig
inschrijft. Dit betekend dat een persoon zich zelf in moet schrijven, en via een email moet bevestigen
dat hij hiervoor de benodigde privileges heeft. Als nieuwsbrieven zonder toestemming toch verstuurd
worden, dan is dat in Nederland strafbaar.
Als een persoon is ingeschreven op een nieuwsbrief, dan is het verplicht een manier te geven waar de
ontvanger zich kan uitschrijven[5]. Het staat in de wet niet specifiek aangegeven hoe de persoon zich
uit kan schrijven, alleen dat het makkelijk en voor de gebruiker kosteloos moet zijn. De trend is om een
link in de nieuwsbrief zelf, meestal onderaan, te geven waarbij de ontvanger zich direct kan
uitschrijven. Dus als de website in kwestie nieuwsbrieven gaat versturen, dan is het belangrijk deze
eisen mee te nemen.
Conclusie
Er zijn een paar wetten waar rekening mee moet worden gehouden als je een website bouwt.
Door alleen doelbewust informatie te verzamelen, en de gebruiker eerst daarvoor toestemming te
laten geven, wordt er al aan de meeste eisen voldaan. Daarnaast moet rekening worden gehouden
dat een persoon het recht heeft zijn informatie op te vragen en eventueel te verwijderen.
Daarnaast moet er rekening gehouden worden met de veiligheid van de informatie die wordt
opgeslagen, als deze niet voldoende is, dan kan je financile schade oplopen. Door middel van
Privacy by Design en PET toe te passen in de ontwerp fase, kan dit geminimaliseerd worden.
Bovendien moet de ontvanger van een nieuwsbrief de mogelijkheid hebben zich kosteloos uit te
schrijven en zich eerst inschrijven voordat hij berhaupt een email krijgt.
Discussiepunten
Naast de wettelijke eisen onderzoeken moet natuurlijk ook gekeken worden of deze nog relevant zijn,
of dat er betere oplossingen zijn dan degene waarmee nu gewerkt wordt.
Zouden bedrijven beboet moeten worden als gevoelige data gelekt wordt, wetende dat het tot een
bepaald punt dweilen met de kraan open is?
Worden beginnende websitebouwers nu niet overrompelt met eisen waarmee rekening gehouden
moet worden?
Is er een manier om de persoonsgegevens alleen bij de persoon zelf op te slaan, zodat er geen
comprimerende gegevens van bedrijven gestolen kunnen worden.
Is een meldplicht binnen 24 uur wel haalbaar voor een normaal bedrijf?
Moet er een richtlijn komen dat bepaalde kwetsbaarheden wijzen op nalatigheid?
Glossary
Social Engineering Social engineering is het voordoen als iemand anders, of mensen
ervan te overtuigen dat je toestemming tot iets hebt wat niet zo is.
Cookie Een lokaal bestand die allerlei eigenschappen over de bezoeker kan
bevatten, die de website kan opvragen.
Identifier Een uniek kenmerk of eigenschap van een entiteit. Dit kan een
product maar ook bijvoorbeeld een persoon zijn.
Javascript Een scripttaal die in webbrowsers wordt gebruikt
SQL Staat voor Structured Query Language, wordt gebruikt bij veel
databanken gebruikt om informatie op te slaan en op te halen.
Opt-in Is synoniem voor instemmen. Wordt gebruikt om aan te geven of de
gebruiker expliciet toestemming heeft gegeven aan deze dienst. Opt-out gaat ervan uit dat de
gebruiker standaard toestemming geeft, en dat de gebruiker expliciet geen toestemming moet
geven.

Bronnen
1. Mr. L.B. Sauerwein, Mr. J.J. Linnemann, Handleiding voor verwerkers van persoonsgegevens,
2002, pg 20,21,38
2. Artikel 35, lid 1 van de Wet Bescherming Persoonsgegevens
3. Artikel 11.7a, lid 1 en 2 van de Telecommunicatiewet
4. http://nos.nl/artikel/654520-vergeetmijformulier-van-google.html, 02-06-2014
5. Artikel 11.7, lid 2 van de Telecommunicatiewet
6. http://www.cbpweb.nl/downloads_technologie/witboek_pet.pdf