Is een SSL-certificaat verplicht voor jouw website?

Met de komst van de AVG (Algemene Verordening Gegevensbescherming) vorig jaar wordt er van bedrijven een heleboel verwacht op het gebied van privacy. Een veelgehoorde term is een SSL- of TLS-certificaat. Dit is een certificaat dat voor een veilige verbinding zorgt tussen de website en de bezoeker van de website. Maar wanneer is een SSL-certificaat verplicht? En wat als je geen SSL-certificaat hebt? Wij leggen je het één en ander uit.

Wat is een SSL-certificaat?

Een SSL-certificaat versleutelt vertrouwelijke informatie tussen de bezoeker en de website, vandaar het slotje in de adresbalk. Hierdoor kunnen derden de gegevens niet meer lezen. Naast het slotje, herken je een SSL-certificaat aan de ‘https’ in de URL, in plaats van ‘http’. In sommige adresbalken zie je ook de naam van de organisatie (zoals bij ons). Bij deze websites is er sprake van een Extended Validation (EV) SSL-certificaat. Voordat dit certificaat verstrekt wordt, vindt eerst een uitgebreide bedrijfscheck plaats. Zo weet de bezoeker zeker dat de website van de organisatie is.

Is een SSL-certificaat verplicht voor mijn website?

De grote hamvraag is of jouw website een SSL-certificaat nodig heeft. Als jij persoonsgegevens op je website uitwisselt, dan is een SSL-certificaat vanuit de AVG verplicht. Voorbeelden van situaties waarin jouw website persoonsgegevens verwerkt zijn:

Contactformulier. Heb je een contactformulier op jouw website? Zodra mensen hun gegevens invullen, is er sprake van uitwisseling van persoonsgegevens. Een SSL-certificaat is dus verplicht.
Foto’s. Let goed op met foto’s van mensen. Een foto verstrekt persoonsgegevens als ras en leeftijd. Soms zijn ook de religie en medische gegevens (bijvoorbeeld een bril) te zien. Hoe dit precies allemaal zit, lees je in dit blog over foto’s publiceren na de AVG. Vraag altijd toestemming aan de gefotografeerde en vraag een SSL-certificaat aan voor je website.
Tests. Heeft jouw website zo’n leuke test (bijvoorbeeld: ‘Welk Game of Thrones personage ben jij?’)? en vraag je na de test een naam en e-mailadres aan de websitebezoeker? Ah, persoonsgegevens! Dit soort tests zijn ideaal om jouw e-mailbestand een boost te geven, maar vraag wel even een SSL-certificaat aan.
Webshop. Bij het verwerken van bestellingen heb jij als webshop-eigenaar informatie nodig over betalingen en verzendadressen. Ook deze gegevens zijn persoonsgegevens.

Bevat jouw website een contactformulier, foto’s en/of tests? Vraag dan minimaal een Domain Validation SSL-certificaat aan. Gratis SSL-certificaten worden veelal door phishing-websites aangevraagd waardoor websitebezoekers steeds kritischer worden op deze certificaten. Zodra een websitebezoeker ziet dat jij een Domain Validation SSL via Sectigo verkregen hebt, weet deze dat het om een betrouwbare website gaat. Cybercriminelen vragen niet snel een betaald SSL-certificaat aan, aangezien de phishing op grote schaal plaatsvindt en de websites snel offline gaan wanneer men er achterkomt.

Yourhosting domain validation URL Comodo

Bestel Domain Validation SSL

Uitgebreide validatie met een EV-certificaat

Heb je een webshop of een website van bijvoorbeeld een overheidsinstelling, onderwijsinstelling of medische instelling waarbij bijvoorbeeld herhaalrecepten aangevraagd kunnen worden? Dan wisselt jouw website betaalgegevens of erg privacygevoelige persoonsgegevens uit. Jouw websitebezoekers willen zeker weten dat hun gegevens veilig zijn. Ga daarom voor het EV-certificaat. Bij dit certificaat zien de bezoekers niet alleen het welbekende slotje en de ‘https’ in de adresbalk, maar ook de naam van je organisatie. Met een Extended Validation vindt er, zoals genoemd, ook een uitgebreide bedrijfsvalidatie plaats waarbij je als aanvrager van het certificaat door iemand van Sectigo gebeld wordt en ze onder andere je KvK gegevens controleren.

Bestel Extended Validation SSL

SSL en de AVG-wet

Voor de AVG was het vanuit de Wbp (Wet bescherming persoonsgegevens) al verplicht voor organisaties om persoonsgegevens te beveiligen. In de wet stond dat de organisatie technische en organisatorische maatregelen moest nemen om persoonsgegevens te beveiligen. Dit geldt ook bij de AVG, alleen zijn de maatregelen omtrent privacy flink aangescherpt. Bij de Wbp liepen de boetes “maar” tot €4.500,- op. Bij de AVG? Daar zijn de boetes nét iets hoger. Laat ik het zo zeggen: als jouw organisatie 20 miljoen euro kan missen, dan hoef je geen maatregelen te nemen wat betreft AVG (grapje natuurlijk!).

Wat als ik geen SSL-certificaat heb?

Als je persoonsgegevens op jouw website uitwisselt, kom je door de AVG simpelweg niet onder een SSL-certificaat uit. Wat nu als jouw website geen persoonsgegevens uitwisselt? Ook dan raden we je een Domain Validation SSL-certificaat aan. Waarom? We leggen het je uit:

Vindbaarheid website: zoekmachines houden niet van onveilige websites zonder SSL-certificaat. Daarom zetten ze de websites lager in de zoekresultaten dan wanneer de website wél een SSL-certificaat heeft. Doordat de website lager in de zoekresultaten staat, wordt ‘ie minder snel gevonden, zonde!
Vertrouwen. Bezoekers willen betrouwbare websites. In het nieuws verschijnen steeds vaker artikelen over phishing-websites. Ook als je website geen persoonsgegevens uitwisselt, wil je niet dat jouw bezoekers de website verlaten vanwege een ‘niet veilig’ melding.

Een SSL-certificaat is áltijd goed voor jouw website. Als je na dit blog niet precies weet welk SSL-certificaat nu het beste bij jouw website past, raad ik je aan om ons blog over de verschillende SSL-certificaten te lezen. En ook de SSL-check helpt je bij jouw keuze. Succes!