De nieuwe Europese privacy-wetgeving ‘General Data Protection Regulation (GDPR)’, wordt vanaf mei 2018 afdwingbaar. Zijn Belgische webshops er klaar voor? Uit een onderzoek van Safeshops.be blijkt dat er op gebied van veiligheidsbeleid nog werk aan de winkel is.
Tegen 2018 legt de GDPR of de nieuwe Europese regelgeving rond klantengegevens bijkomende veiligheidseisen op voor webshops. De nieuwe wetgeving heeft als hoofddoelstelling om klantengegevens en privacy beter te beschermen, maar ze heeft ook een impact op de beveiliging van een website of webshop. Zo is een ondernemer hoofdelijk aansprakelijk voor zijn veiligheidsbeleid.
Zolang je niet gehackt wordt, is er uiteraard geen probleem, maar wat als dat wel zo is? Zijn Belgische webshops er klaar voor? Safeshops, de vereniging die vooral bekend is van het Safeshops.be kwaliteits- en securitylabel, liet een onderzoek uitvoeren door BA bij 1149 webshops.
“We stellen een positieve evolutie vast, maar we zijn er nog niet”, gaat Greet Dekocker, Directeur SafeShops, van start. “Webshops laten steeds vaker een security check uitvoeren. Tegelijkertijd moeten we echter ook vaststellen dat veiligheid nog steeds een taboe is, zeker bij starters en kleine webshops.”
Een derde (30%) van het Belgische onlinelandschap opgemaakt wordt door grotere webshops die over een veiligheidsbeleid beschikken. De overige 70% zijn echter beginnende of kleine webshops die niet (voldoende) op de hoogte zijn van de nieuwe regelgeving op gebied van veiligheid. “Met de nieuwe regelgeving in het vooruitzicht is een groeiend bewustzijn geen overbodige luxe”, aldus Safeshops.
"Bij een fysieke winkel sluit je elke dag de deur, zet je het alarm op en heb je misschien camera's die je winkel monitoren. Bij een webwinkel, is dat niet anders. Ook daar moet je alles in het werk stellen om je webshop te beveiligen", gaat Greet Dekocker verder. “Informatieveiligheid is bovendien te belangrijk om enkel aan IT’ers, webdevelopers of hosts over te laten. Net als de financiële toestand van de onderneming moet ‘cybersecurity’ ook structureel opgevolgd en gecontroleerd worden door het management of de eigenaar van de webshop.“
2 op 5 webshops versleutelt nu al correct hun data op het internet
Wanneer consumenten rondklikken op webshops blijven er heel wat persoonlijke gegevens en interesses achter op de website. Daarom is het belangrijk dat alle communicatie tussen pc, tablet of smartphone en de webshop op een veilige manier verloopt. Om dit te garanderen, wordt ‘SSL’ Secure Socket Layer - gebruikt. Dit garandeert de bezoeker niet alleen dat er niemand kan meelezen maar ook dat hij met de juiste shop aan het praten is.
Deze beveiliging is herkenbaar aan de url https:// en het sleuteltje dat naast de URL staat. Browserfabrikanten zorgen er ook voor dat de eindgebruiker een veiligheidsalarm krijgt als dit niet correct is opgezet. Google gaat zelfs zo ver om een site die https:// gebruikt, in plaats van het onveilige http, hoger te plaatsen in de zoekresultaten.
6 op de 10 online shoppende Belgen weten een dergelijke beveiligde website te herkennen en weten waar de ‘s’ voor staat. 41% van de Belgische webshops beantwoordt hieraan en past het SSL-certificaat ook effectief (een stijging van 8% versus vorig jaar) toe. 59% van de webshops hebben echter nog steeds geen, een slecht of een half werkend SSL-certificaat geïmplementeerd. Dit verhoogt de kans dat er iemand "meeluistert" en dus in het bezit van ingevulde data kan komen.
Phishing, gekend bij consument én webshop
Het fenomeen ‘phishing’ (waarbij iemand anders dan de eigenlijke eigenaar zich uitgeeft via e-mail voor een bedrijf of webshop) is alom gekend. 60% van de Belgische online consumenten weet wat phishing is. Toch blijkt dat een belangrijk deel van deze consumenten er al één of meerdere keren ingetrapt is.
Het merendeel van de webshops heeft hiervoor al de nodige voorzorgsmaatregelen genomen, maar 28% heeft het zogenaamde Sender Policy Framework (SPF), een protocol dat helpt vast te stellen of de verzender van een mailbericht gerechtigd is om een bericht te verzenden namens de afzender van het bericht, nog niet geïmplementeerd. Eigenlijk betekent dit dat om het even wie op het internet mails kan sturen in naam van de slecht-beveiligde webshop.
Cyberverzekering vs. brandverzekering
Greet Dekocker, Directeur SafeShops: "Webshops die het niet nauw nemen met hun privacy en veiligheidsbeleid, lopen vanaf 2018 het risico fikse boetes te moeten betalen. Een bedrijf dat gehackt wordt, maakt niet alleen de consument kwetsbaar. De webshop brengt ook zichzelf en zijn eigen business in gevaar. Daarom pleiten we er als vereniging voor om een verplichte cyberverzekering in te voeren, net zoals de verplichte brandverzekering voor een huis of appartement."