Met de komst van de AVG (Algemene Verordening Gegevensbescherming) vorig jaar wordt er van bedrijven een heleboel verwacht op het gebied van privacy. Een veelgehoorde term is een SSL- of TLS-certificaat. Dit is een certificaat dat voor een veilige verbinding zorgt tussen de website en de bezoeker van de website. Maar wanneer is een SSL-certificaat verplicht? En wat als je geen SSL-certificaat hebt? Wij leggen je het één en ander uit.
Een SSL-certificaat versleutelt vertrouwelijke informatie tussen de bezoeker en de website, vandaar het slotje in de adresbalk. Hierdoor kunnen derden de gegevens niet meer lezen. Naast het slotje, herken je een SSL-certificaat aan de ‘https’ in de URL, in plaats van ‘http’. In sommige adresbalken zie je ook de naam van de organisatie (zoals bij ons). Bij deze websites is er sprake van een Extended Validation (EV) SSL-certificaat. Voordat dit certificaat verstrekt wordt, vindt eerst een uitgebreide bedrijfscheck plaats. Zo weet de bezoeker zeker dat de website van de organisatie is.
De grote hamvraag is of jouw website een SSL-certificaat nodig heeft. Als jij persoonsgegevens op je website uitwisselt, dan is een SSL-certificaat vanuit de AVG verplicht. Voorbeelden van situaties waarin jouw website persoonsgegevens verwerkt zijn:
Bevat jouw website een contactformulier, foto’s en/of tests? Vraag dan minimaal een Domain Validation SSL-certificaat aan. Gratis SSL-certificaten worden veelal door phishing-websites aangevraagd waardoor websitebezoekers steeds kritischer worden op deze certificaten. Zodra een websitebezoeker ziet dat jij een Domain Validation SSL via Sectigo verkregen hebt, weet deze dat het om een betrouwbare website gaat. Cybercriminelen vragen niet snel een betaald SSL-certificaat aan, aangezien de phishing op grote schaal plaatsvindt en de websites snel offline gaan wanneer men er achterkomt.
Heb je een webshop of een website van bijvoorbeeld een overheidsinstelling, onderwijsinstelling of medische instelling waarbij bijvoorbeeld herhaalrecepten aangevraagd kunnen worden? Dan wisselt jouw website betaalgegevens of erg privacygevoelige persoonsgegevens uit. Jouw websitebezoekers willen zeker weten dat hun gegevens veilig zijn. Ga daarom voor het EV-certificaat. Bij dit certificaat zien de bezoekers niet alleen het welbekende slotje en de ‘https’ in de adresbalk, maar ook de naam van je organisatie. Met een Extended Validation vindt er, zoals genoemd, ook een uitgebreide bedrijfsvalidatie plaats waarbij je als aanvrager van het certificaat door iemand van Sectigo gebeld wordt en ze onder andere je KvK gegevens controleren.
Voor de AVG was het vanuit de Wbp (Wet bescherming persoonsgegevens) al verplicht voor organisaties om persoonsgegevens te beveiligen. In de wet stond dat de organisatie technische en organisatorische maatregelen moest nemen om persoonsgegevens te beveiligen. Dit geldt ook bij de AVG, alleen zijn de maatregelen omtrent privacy flink aangescherpt. Bij de Wbp liepen de boetes “maar” tot €4.500,- op. Bij de AVG? Daar zijn de boetes nét iets hoger. Laat ik het zo zeggen: als jouw organisatie 20 miljoen euro kan missen, dan hoef je geen maatregelen te nemen wat betreft AVG (grapje natuurlijk!).
Als je persoonsgegevens op jouw website uitwisselt, kom je door de AVG simpelweg niet onder een SSL-certificaat uit. Wat nu als jouw website geen persoonsgegevens uitwisselt? Ook dan raden we je een Domain Validation SSL-certificaat aan. Waarom? We leggen het je uit:
Een SSL-certificaat is áltijd goed voor jouw website. Als je na dit blog niet precies weet welk SSL-certificaat nu het beste bij jouw website past, raad ik je aan om ons blog over de verschillende SSL-certificaten te lezen. En ook de SSL-check helpt je bij jouw keuze. Succes!
Er zijn nog geen reacties op dit artikel.