Nieuws Actueel

Webshops laks met gegevens

Van de bijna 15.000 webshops in Nederland maakt maar liefst 28 procent gebruik van onveilige verbindingen, meldt het AD. Hierdoor kunnen hackers persoonlijke informatie en wachtwoorden, die door deze webwinkels online worden verzameld, aftappen en manipuleren.

Marcia Nieuwenhuis | Foto: Niek Verhoeven 10 november 2017

Brenno2

Geen https

Uit onderzoek van Dutch Internet Marketing blijkt dat van die bijna 15.000 shops op internet zo'n 4.100 géén 'https-verbinding' hebben. Veilige verbindingen versleutelen gegevens zodat ze onleesbaar zijn voor buitenstaanders. Https is te herkennen aan een groen slotje in de adresbalk van de browser.

Nederlandse webwinkels vragen geregeld om persoonlijke gegevens en wachtwoorden zonder dat er een slotje op de pagina zit. Bij babywinkel Prénatal kun je bijvoorbeeld je e-mailadres, wachtwoord, adres, geboortedatum en de verwachte bevaldatum achterlaten op een onbeveiligde site.

Schandalig

Beveiligingsexpert Brenno de Winter reageert onthutst. ,,Het is schandalig dat een groot bedrijf als Prénatal dit niet op orde heeft.'' Prénatal erkent bij monde van woordvoerder Coen van de Plas dat die gegevens 'wél achter het beveiligde deel moeten'. ,,Maar we zitten in een overgangsfase naar een compleet nieuwe website, die volgende maand online gaat. Daar is wel iedere pagina https.''

Hackers hebben volgens Prénatal nooit kunnen meelezen, omdat de pagina op een andere, onzichtbare manier is beveiligd. ,,Op het moment dat er een tweede gebruiker in dezelfde sessie komt, wordt de website meteen afgesloten.''

Wet bescherming persoonsgegevens

Webshop AllesVoorTV.nl, die bijvoorbeeld een LG-televisie van 29.999 euro verkoopt, vroeg tot gisteren op het onbeveiligde deel van de site naar adresgegevens. ,,Het is zeker niet de bedoeling om een onbeveiligde klantomgeving te hebben'', zegt Jeroen Kwaad van Retail&Clicks, die de website host. ,,Een van de certificaten bleek niet meer geldig te zijn, dit hebben wij direct aangepast en nu werkt de site naar behoren.''

Ook bekende websites zoals die van Blokker, Xenos en Leen Bakker - ketens die allemaal behoren tot de Blokker Holding - vragen op de onbeveiligde homepage om een e-mailadres voor het versturen van een nieuwsbrief. ,,Alleen als jij op een openbaar netwerk zit en als dat gehackt is, dan zou enkel een e-mailadres onderschept kunnen worden'', benadrukt Blokker-directeur Antoine Brouwer. ,,Maar het zou beter zijn als alles https is, dat gaan we ook doen de komende maanden.''

Webwinkels die onveilige verbindingen gebruiken bij het opvragen van persoonsgegevens lijken de Wet bescherming persoonsgegevens te overtreden. ,,De wet vereist dat de organisatie achter de webshop 'passende' maatregelen neemt om persoonsgegevens te beveiligen'', legt Inger Sanders van de Autoriteit Persoonsgegevens uit. ,,Passende maatregelen zijn dat de verbinding met de website altijd moet worden beveiligd met https.''

57 procent

Van alle keurmerken scoort mkbOK het slechtst als het gaat om het aantal onbeveiligde webwinkels. Van de ruim 1.100 aangesloten webshops heeft 57 procent géén https-verbinding. mkbOK was niet bereikbaar voor commentaar. Het best scoort het keurmerk Thuiswinkel Waarborg. Van de ruim 2.100 aangesloten webshops heeft 13 procent géén beveiligde verbinding. Wijnand Jongen, directeur van Thuiswinkel.org: ,,Wij zijn blij dat we goed uit het onderzoek komen, maar iedere winkel die nog geen beveiligde verbinding heeft is er eentje te veel.''

Het keurmerk van Thuiswinkel.org controleert ook veilige omgang met persoonsgegevens en gaat met de leden overleggen 'om eventuele gaten zo snel mogelijk te dichten'. ,,Wij zijn het enige keurmerk dat de beveiliging van persoonsgegevens checkt. We doen dat tweemaal per jaar, maar dat betekent niet dat er tussentijds niet iets fout kan gaan.''

Voor meer informatie: Dutch Internet Marketing.

Wij zijn blij dat we goed uit het onderzoek komen, maar iedere winkel die nog geen beveiligde verbinding heeft is er eentje te veel.

Wijnand Jongen, directeur Thuiswinkel.org