Overslaan en naar de inhoud gaan

Webwinkels nemen beveiliging niet serieus

Onlineconsumentenbestedingen zitten in de lift. Toch vertrouwen veel consumenten het bestellen via internet nog niet. En terecht. Het bestelproces op internet is vaak ondoorzichtig. De consument krijgt te weinig uitleg. Wettelijk verplichte informatie ontbreekt vaak (zie kader Informatieverplichtingen). Tevens is de consument op zoek naar meer klantvriendelijke webwinkels, waarbij hij niet steeds opnieuw een grote hoeveelheid gegevens hoeft in te vullen voordat een bestelling wordt geplaatst.
Tech & Toekomst
Shutterstock
Shutterstock


Ook krijgt de onlinekoper het idee dat persoonlijke informatie op straat komt te liggen. De Automatisering Gids van 16 mei 2006 beschrijft het resultaat van een enquête door TNS-Nipo: 70 procent van de internetconsumenten wil weten wat bedrijven met hun persoonsgegevens doen (zie kader Privacy). Consumenten zijn terecht extra terughoudend bij onlinebetalingen, met name als ze creditcardgegevens moeten invoeren.
De beveiliging van webwinkels is lang niet altijd toereikend. Soms vallen al na een korte blik op de site de kwetsbaarheden op. Een voorbeeld hiervan is de site van een grote reisorganisatie waar persoonlijke gegevens (huisadres en vakantieperiode) onversleuteld over internet worden verzonden. Kwaadwillenden kunnen hier zeer makkelijk misbruik van maken. Het is essentieel voor de start van de webwinkel zorgvuldig na te denken over beveiliging. Een risicoanalyse is hiervoor een bruikbaar hulpmiddel (zie kaders).

Inzicht
Wat moet er veranderen? Het wettelijk kader is aanwezig, maar dit wordt niet altijd nageleefd. Daadwerkelijk toezicht vanuit de overheid kan verbeteren, maar dit is onvoldoende om het consumentenvertrouwen te vergroten. Toezicht werkt immers vooral achteraf. De overheid kan nog meer doen aan voorlichting. Digibewust (www.digibewust.nl) en Surfopsafe.nl zijn hier goede podia voor. Op de sites zijn al eenvoudige checklisten te vinden die bedrijven en consumenten helpen bij het ‘veilig’ doen van online-aankopen.
Initiatieven vanuit de markt dragen ook bij aan het consumentenvertrouwen. Betaaloplossingen, zoals iDEAL en PayPal, geven de consument meer inzicht en zekerheid bij betalingen. De meeste sites met prijsvergelijkingen publiceren ervaringen met de betrouwbaarheid van webwinkels. Ook de Consumentenbond is actief op dit gebied en kan in de toekomst een grotere rol spelen als vertegenwoordiger van consumentenbelangen. Aankoopgaranties geven de consument nog meer zekerheid. Een voorbeeld hiervan is Vergelijk.nl dat aankopen in geval van een faillissement tot maximaal 750 euro dekt.

Lapmiddelen
Meer voorlichting aan consumenten en de genoemde initiatieven uit de markt helpen om het vertrouwen in het ‘bestellen op afstand’ te vergroten, maar zijn uiteindelijk lapmiddelen. Het is essentieel dat de aanbieders van webwinkels zich bewust zijn van het belang van consumentenvertrouwen en zelf actie ondernemen. Keurmerken kunnen helpen om een basisniveau van betrouwbaarheid te creëren en dit voor een consument inzichtelijk te maken. De gedragsregels van Thuiswinkel Waarborg (thuiswinkel.org) zijn een stap in de goede richting om de consument meer duidelijkheid te bieden bij zijn internetbestelling, maar tot nog toe heeft relatief slechts een klein aantal aanbieders zich ertoe verplicht om zich aan deze gedragsregels te conformeren.
De branche kan het vertrouwen stimuleren door aanvullend op gedragsregels ook afspraken te maken over de minimale beveiligingseisen waar elke webwinkel aan moet voldoen, zoals eisen voor omgang met persoonlijke gegevens, eisen aan de betaling, eisen aan technische beveiliging van de web-winkel, eisen aan periodieke controle van de beveiliging van de webwinkel et cetera. Ook een branche-initiatief als een ‘calamiteitenfonds’, zoals in de reisbranche, kan de consument meer zekerheid bieden bij onder meer het faillissement van een webwinkel.

Sleutel
De webwinkel heeft een gouden toekomst. Webwinkels moeten daarvoor wel zelf de handschoen oppakken om beveiliging en regelgeving ook echt serieus te nemen. De winkels zelf en de branche als geheel hebben de sleutel in handen om het consumentenvertrouwen verder te laten toenemen. De winkels zelf kunnen dat doen door bewust om te gaan met beveiliging en regelgeving en concrete maatregelen te treffen. De keuze voor een betaalmethode die de consument kent en vertrouwt helpt enorm. De branche kan bijdragen door initiatieven als de Thuiswinkel Waarborg. Aanvullende afspraken over minimale beveiligingseisen en zekerheden bij calamiteiten kunnen verder bijdragen aan het vertrouwen.

Mr. Peter M. Kits (peter.kits@hollandlaw.nl) is advocaat bij Holland Van Gijzen Advocaten & Notarissen. Hij is gespecialiseerd in intellec­tuele eigendom en ICT. Ir. Marc Gill’ard MBA (marc.gillard@vka.nl) is partner en manager van de risicomanagementpraktijk bij Verdonck, Klooster & Associates.

Privacy
Persoonsgegevens zijn alle op natuurlijke personen herleidbare gegevens. E-mailadressen vallen daar ook onder. Persoonsgegevens zijn voor aanbieders een kostbaar bezit (afzet), maar uiteraard ook voor de consument zelf (bescherming privacy). Naast een meldplicht voor bedrijven bepaalt de Wet Bescherming Persoonsgegevens ook hoe veilig met persoonsgegevens moet worden omgegaan. Consumenten hebben het recht om te weten wat er met hun gegevens gebeurt. Ten onrechte wijzen veel aanbieders daar niet op. Maar ook: ten onrechte maken consumenten nauwelijks gebruik van de mogelijkheden die zij hebben. Voor beiden een gemiste kans. Een regel op de site als ‘Wij voldoen aan de eisen van de WBP’ is nietszeggend. Het consumentenvertrouwen wordt pas vergroot wanneer door de aanbieder duidelijk wordt verteld welke eisen de WBP stelt, op welke manier de aanbieder daar aan voldoet en hoe de consument daadwerkelijk inzage kan krijgen.

Security-by-design
Een risicoanalyse is onlosmakelijk verbonden met het onderwerp van een betrouwbare webwinkel. Alleen als bij de start de beveiligingseisen worden vastgesteld kunnen kosteneffectief de noodzakelijke maatregelen worden getroffen voor een betrouwbare webtoepassing. Of nu een pakket wordt geselecteerd of een applicatie gebouwd, de beveiligingseisen moeten bij aanvang worden meegenomen. Aanbieders moeten vooraf expliciet kiezen voor ‘security-by-design’ in plaats van complexe en kostbare ‘security retrofit’ achteraf.

Informatie-verplichtingen
Sinds de Aanpassingswet E-commerce (2004) dienen aanbieders aan een aantal algemene en – bij consumentenkoop – specifieke informatieverplichtingen te voldoen. Vermeld moeten zijn: de identiteit van de dienstverlener, adres van vestiging, gegevens die een snel contact mogelijk maken (e-mail en BTW-nummer) en duidelijke en ondubbelzinnig aangegeven prijzen. Voor de consument moet duidelijk zijn:
• Hoe de overeenkomst tot stand komt.
• Of de overeenkomst wordt gearchiveerd en zo ja, hoe deze weer raadpleegbaar is.
• Hoe hij niet gewilde handelingen constateert en hoe deze kunnen worden hersteld.
• In welke talen de overeenkomst kan worden ­gesloten.
Dit alles op straffe van vernietigbaarheid van de online gesloten overeenkomst. In de praktijk voldoen slechts weinig webwinkels aan deze verplichtingen. Voor kleine transacties zal dit niet zo’n probleem zijn, maar naar mate de transacties groeien, zowel in omvang als in aantal, nemen de risico’s toe. Voor de aanbieder is het relatief eenvoudig om aan deze verplichtingen te voldoen. Dit creëert de broodnodige zekerheid voor de aanbieder en duidelijkheid voor de consument.

Eigen organisatie
De interne organisatie van de aanbieder moet er klaar voor zijn om de producten te leveren. De informatie op de webshop moet overeenkomen met de praktijk. De consequentie kan anders zijn dat de klant een product bestelt, terwijl de webwinkel niet uit voorraad kan leveren. Niet leveren, niet tijdig leveren of tegen hoge kosten leveren is nieuws dat zich snel verspreid via het internet; veel prijsvergelijkingssites publiceren ervaringen met webwinkels. Uit de laatste ICT Barometer van Ernst & Young (trends-in-ict.nl) blijkt dat 60 procent van de ondervraagden zich het meest stoort aan de hoge kosten die met de levering van online bestelde producten gepaard gaan.
Ook in de eigen organisatie moet de security op orde zijn. Naarmate de ‘voordeuren’ beter beveiligd worden, zullen kwaadwillenden op zoek gaan naar ‘achterdeuren’. Het is daarom de verwachting dat incidenten met medewerking van binnenuit zullen toenemen. Aanbieders dienen hier rekening mee te houden, door bijvoorbeeld een zorgvuldig selectieproces voor nieuwe medewerkers, door functiescheiding, door de toegang te beperken tot wat strikt nodig is voor een functie en door logging van relevante gebeurtenissen. Het is daarnaast essentieel dat aanbieders vooraf voorbereidingen treffen voor eventuele calamiteiten, zoals stroomuitval of een denial-of-service-aanval.

Providerselectie
De provider voor een webwinkel wordt vaak onbewust geselecteerd. Het is immers gemakkelijk om de provider, die de (statische) bedrijfswebsite host, nu ook de webwinkel te laten hosten. Het is verstandig altijd vooraf de eisen in kaart te brengen en op basis hiervan een zorgvuldige leveranciersselectie uit te voeren. Aanbieders moeten bewust kiezen voor een provider die aantoonbare ervaring heeft met veilige webtoepassingen. Op termijn kan een aanbieder aanzienlijke kosten besparen door bij de start een provider te kiezen die bij andere klanten al hogere beveiligingsniveaus heeft gerealiseerd en doorgroeimogelijkheden heeft geboden.

Lees dit PRO artikel gratis

Maak een gratis account aan en geniet van alle voordelen:

  • Toegang tot 3 PRO artikelen per maand
  • Inclusief CTO interviews, podcasts, digitale specials en whitepapers
  • Blijf up-to-date over de laatste ontwikkelingen in en rond tech

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in