Aanmelden
Keurmerk aanvragen
Contact
Contact opnemen

SSL voor webwinkels verplicht?

Regelmatig komen we veel onduidelijkheid tegen over het wel of niet nemen van een SSL-certificaat als webwinkel. In het kort komt het er op neer dat een SSL-certificaat voor elke wettelijk webwinkel verplicht is. Hoe we komen tot deze conclusie leggen we graag uit.

In Nederland gaat de autoriteit persoonsgegevens over de naleving van de wet met betrekking tot persoonsgegevens, of zoals ze het zelf verwoorden:

“De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens en adviseert over nieuwe regelgeving.”

In Nederland gelden veel regels voor de opslag en verwerking van persoonsgegevens. Kort door de bocht zijn persoonsgegevens alle gegevens waarmee personen identificeerbaar zijn. Discussie over wat wel en wat geen persoonsgegevens zijn is denkbaar. In het geval van een webwinkel zult u echter om naam, adres en e-mailadres vragen om uw producten te kunnen leveren. In dit geval is er dus zeker sprake van persoonsgegevens.

Kijken we naar de wet bescherming persoonsgegevens (Wbp) dan lezen we daarin (Artikel 13) dat er passende technische en organisatorische maatregelen moeten worden getroffen om persoonsgegevens te beveiligen. Een erg brede interpretatie is hierbij mogelijk. Om meer duidelijkheid te geven heeft het CPB een document gemaakt waarin specifieker wordt toegelicht welke maatregelen er genomen dienen te worden.

Op pagina 32 van het document zien we dan ook 5 verplichtingen waaraan voldaan moeten worden. We lezen als punt 4:

Beveilig het gegevenstransport door middel van het SSL-protocol.

Hiermee is dus antwoord gegevens op de vraag of een webwinkel wettelijk SSL moet gebruiken. JA! Nog vaak zien we echter webwinkels zonder SSL, we voeren momenteel een overgangsbeleid bij onze leden om hierin verandering te brengen.

Bij onze security scan zit een GRATIS Comodo EV SSL certificaat met groene balk.

Veelgestelde vragen over SSL

Maar ik heb een payment service provider?
Dat maakt voor de wet niets uit. Het gaat om de verzending van de persoonsgegevens. Deze worden al door uw webwinkel verwerkt. Zelfs met enkel een contactformulier zou u wettelijk een SSL-certificaat moeten hebben.

Wat is SSL precies?
SSL (Secure Sockets Layer) zorgt voor twee zaken. Allereerst zorgt het voor de beveiliging van de verzonden gegevens door versleuteling, hiermee is de inhoud niet makkelijk leesbaar voor derden. Als tweede zorgt SSL ervoor dat u ook echt verbinding hebt met degene waarmee u verbinding denkt te hebben (authenticatie). U leest meer over de werking in ons blog “Hoe werkt SSL precies?“.

Welk SSL certificaat moet ik hebben?
In principe zijn er veel verschillende SSL certificaten. De verificatie van eigenaar, garanties et cetera verschillen bij deze certificaten. Wettelijk is een basis certificaat echter voldoende. Een SSL-certificaat is al beschikbaar vanaf 12 euro per jaar. We raden u aan om u door uw hoster hierover te laten adviseren voor u een certificaat aanschaft.

Moet ik nog andere kosten maken voor SSL?
Door de techniek achter SSL is een eigen IP-adres voor uw webwinkel vaak aan te raden, er zijn echter technieken waardoor dit niet noodzakelijk is. Ook in dit geval raden wij u aan contact op te nemen met uw hoster om te kijken wat de mogelijkheden zijn.

Ik wil mij webwinkel onder SSL laten draaien, wat moet ik daarvoor doen?
We hebben een stappenplan voor installatie van SSL op uw webwinkel voor u beschikbaar. Hierin staat veel informatie om de overstap op SSL in goede banen te leiden.

Ik heb een aanbieder voor online webwinkel software
Veel aanbieders waaronder Lightspeed, CCVshop, Mijnwebwinkel.nl en Luondo hebben standaard centrale oplossingen voor SSL. Vaak is het bij deze aanbieders mogelijk om zonder extra kosten binnen de winkelwagen gebruik te maken van SSL. Wil u site-wide url, dan zijn er meestal wel extra kosten. Neem hiervoor even contact op met uw software aanbieder.

Meer vragen rondom SSL en uw wettelijke verplichtingen? Stel ze gerust onderaan dit artikel. Voor specifieke vragen met betrekking tot uw lidmaatschap kunt u natuurlijk persoonlijk contact opnemen. Bekijk ook onze securityscan.

Over de auteur
Marcel Landeweerd (Website)

Marcel heeft meer dan 10 jaar ervaring op webwinkel gebied. In 2010 starte hij met Stichting WebwinkelKeur. Doelstelling was op een betaalbare en moderne manier een kwalitatief keurmerk op te zetten. Inmiddels is Stichting WebwinkelKeur hiermee uitgegroeid tot één van de grootste keurmerken van Nederland.


Over Stichting WebwinkelKeur

Stichting WebwinkelKeur is een onafhankelijke organisatie met een transparant webwinkel keurmerk in combinatie met klantbeoordelingen.

Ook lid worden voor slechts € 8,95 per maand?

Lid worden

Reacties

18 Reacties
  1. derwort schreef:

    Sinds kort krijg ik dit bericht voor jullie website ongeldig beveiligings certificaat webwinkelkeur.nl:443 bij taalmarkt.nl
    Hoe kan ik dit veranderen, mijn hosting is hosting2.go die dit niet veranderen. Hoe en waar vind ik aan een basis certificaat van 12 euro?
    Wat is hier de oplossing voor?

    Vriendelijke groet, J. Derwort

    • webwinkelkeur schreef:

      Dit probleem komt de laatste tijd bij meer leden voor, hoewel het slechts sporadisch (dus niet bij elke bezoeker) voorkomt, is het natuurlijk een vervelend probleem. We werken samen met de hoster aan een oplossing. We verwachten binnen een week een oplossing te hebben.

      UPDATE: Probleem zou verholpen moeten zijn.

      Wat SSL certificaat betreft, dit kan o.a. via http://www.sslcertificaten.nl, bij het betalingskenmerk kunt u WebwinkelKeur opgeven, dan krijgt u nog eens aanvullend 10% korting. Tevens is een ssl certificaat ook vaak bij de hoster zelf aan te schaffen.

      Mocht u nog vragen hebben, mail dan gerust. Dan kunnen we voor u persoonlijk bekijken wat een oplossing is.

  2. […] is verplicht voor een webshop, je werkt met persoonsgegevens en die moeten veilig worden verwerkt. http://blog.webwinkelkeur.nl/ssl-voo…els-verplicht/ Gelukkig is basis een certificaat niet zo duur en voldoende voor bescherming. […]

  3. sofie schreef:

    Beste

    Bij mijn websiteprovider kost dit meer dan honderd euro.Kan ik dit ook ergens anders aanvragen? Ik ben momenteel bij shoptrader.nl

    Mvg

    • webwinkelkeur schreef:

      U heeft uw webwinkel bij ShopTrader, helaas is het dan moeilijk om zonder hun toestemming ergens anders een certificaat te regelen. Zelf zijn we van mening dat webwinkel software standaard SSL zou moeten bevatten. Zelf hebben wij dit al eens bij ShopTrader aangekaart. Op dat punt verschillen we echter van mening. Ik zou u aanraden nogmaals contact op te nemen met ShopTrader om tot een oplossing te komen.

  4. Rik schreef:

    Hallo,

    Als ik het goed begrijp is de meest eenvoudige (en goedkope) verificatie van een webshop d.m.v. een SSL certificaat dus al voldoende voor de Nederlands wetgeving?
    Elk duurder certificaat (wat ook meer informatie verifieert) voegt alleen maar extra betrouwbaarheid toe voor de klant?

    Vriendelijke groet

    • webwinkelkeur schreef:

      Klopt helemaal, recent zijn de CPB richtsnoeren echter wel gewijzigd. In de nieuwe richtsnoeren wordt SSL niet meer expliciet genoemd. We blijven echter van mening dat dit valt onder de nodige maatregelen die genomen moeten worden om de veiligheid van gegevens te garanderen.

  5. Johan de Groot schreef:

    Dank jullie wel voor dit artikel, ik was niet op de hoogte van deze niet ontwikkeling.
    Ik heb verschillende websites, tot voor kort zonder SSL-certificatie.

    Nu heb ik het aangeschaft bij sslsecure.nl wat zeer voordelig en goed bevalt.

    Kunnen we nog meer van deze verscherpte regels verwachten?

    • webwinkelkeur schreef:

      Op het gebied van SSL zijn de richtlijnen van het CPB wel veranderd. SSL wordt niet meer expliciet genoemd. Toch volgt uit de richtsnoeren nog impliciet de verplichting. Dit blijven we dus elke webwinkel aanraden.

      Wat verdere regels betreft, eind dit jaar staan er nieuwe Europese richtlijnen op het programma. Deze zullen we ook richting onze leden gaan communiceren en doorvoeren. Daarover meer wanneer de exacte invulling in Nederland bekend is.

  6. Gerard schreef:

    L.S.

    Helder uiteen gezet artikel!

    Op zich goed dat er wettelijk SSL vereist wordt bij het gebruik van een webshop. Als je verder echter niets aan onderhoud doet aan infrastructuur e.d. is SSL gebruik een wassen neus. De overheid, zij het voor andere certificaat typen en onder andere voorwaarden, beschrijft in “Programma van Eisen” heel specifieke kenmerken van de te gebruiken certificaten en cryptografie.

    Schrijft de wet m.b.t SSL gebruik bij webshops nog iets voor m.b.t. beveiliging van infrastructuur, cryptografie, etc?

    Dank en groet,

    • webwinkelkeur schreef:

      Er zijn geen specifieke eisen, maar de beveiliging moet voldoen aan de stand en mogelijkheden van de technologie. Dus deze moet deugdelijk zijn. Daarbij hoort een bepaald niveau van beveiliging, hoe dat precies moet heeft het CPB niet omschreven. De reden hiervoor is dat de techniek zo snel veranderd dat dergelijke beschrijvingen het risico hebben snel gedateerd te raken.

  7. Gerard schreef:

    L.S.

    (nog bedankt voor de reactie op mijn vorige commentaar). Onder wat voor zwaarte van ‘misdrijf’ vallen de mensen die *wel* een webshop hebben maar dit *niet* over SSL doen? Is dat zonder licht in het donker fietsen of hebben we het hier over erger?

    NB: Daar het CBP het, als ik het goed begrijp, alleen nog impliciet aangeeft dat het nodig is lijkt het niet zo ernstig. Echter is dat een subjectieve uitlating mijnerzijds. Ik kijk uit naar een reactie.

    Dank en groet,

    Gerard.

    • webwinkelkeur schreef:

      Naar ons idee is de beveiliging van je webwinkel gegevens belangrijk. Om een voorbeeld te geven van de gevaren. Stel je webwinkel is gehackt en je gebruikt geen SSL. De checkout van je cart kan zo zonder dat de consument het merkt doorgestuurd worden naar het platform van de hacker. Zo kan deze hacker de betaalstap “kapen” waarbij de klant betaald naar de hacker in plaats aan de webwinkel. De meeste webwinkels zullen dit laat door hebben, waarbij dus meerdere dagen omzet in de zak van een hacker kan verdwijnen. Ik denk dat je hier als webwinkel verantwoordelijk voor bent en voor de schade moet op draaien. Het is niet zo dat enkel SSL zorgt voor een veilige webwinkel, maar doordat de kosten tegenwoordig laag zijn en de voordelen hoog zou ik als webwinkel nooit het risico durven nemen.

  8. Jasmien schreef:

    Ik zie weleens dat SSL certificaten op een shared hosting staan. Stel, jij hebt geen https versie, en je gaat toch naar de https versie van je site, krijg je een andere site te zien (eentje in de shared hosting van je hosting provider). Kan dit een gevaar zijn voor je website?

    • webwinkelkeur schreef:

      Dat kan in principe geen kwaad. Dit komt omdat bij goedkopere hosting om 1 computer meerdere websites op hetzelfde ip draaien. Ga je dan naar https, dan kom je niet bij het goede pakket uit. In dat geval heeft de webwinkel zelf echter geen SSL.

      Wat we ook veel zien bij SAAS software zoals SEOshop en Biedmeer is een gezamelijke url voor de checkout. Voor SSL is een eigen IP nodig, om die kosten te besparen kan een SSL verbinding gedeeld worden. Zolang de software die erachter zit maar goed beveiligd is, kan dat in principe geen kwaad.

  9. Nico schreef:

    Kots misselijk wordt ik weer van dit bericht over de ssl certificaten
    Weer een blog met totaal verkeerde informatie
    De ssl Beveiligen is voor het betalingsverkeer en hoeft niet voor de webwinkel zelf.
    Zodra er een betaling aan te pas komt moet dit in een ssl omgeving worden gedaan om de transactie te versleutelen
    En meteen holt iedereen weer achter een ssl certificaat aan En ja hoor de afsluit commissies vliegen je weer om de oren. wie wordt daar beter van?
    2 partijen de certificaatprovider en de affiliate die de protegé aangeeft.
    Wie zou dat nu zijn denk ik dan.

    ssl in een webshop omgeving heeft geen enkele zin ( op de wens van google search na dan) en brengt alleen maar weer extra kosten met zich mee voor certificaten

    Als de wet het toestaat dat google shopping adwords en beslist nl en kieskeurig met hun CPC een volledig beeld van de webshop mogen vormen alle data mogen ge(mis)bruiken en de overheid nog tot in de lengte van dagen achterloopt op deze voortgang is de privacy van consumenten een lachertje.

    De webwinkels moeten wel meegaan met dit soort praktijken om in de almachtige zoekmachine terug te vinden zijn. Een ssl geeft geen enkele meerwaarde voor de bescherming van gegevens Beslist nl spant de kroon die slaat zonder enige cookiemelding en mogelijkheid tot uitschakeling al je bezoekdata op ook al zet je de cookies op streng dan zien ze alsnog vreemd gedrag van de bezoeker en hoe meet je dat gedrag Juist door data te controleren en op te slaan
    Wil je volledig anoniem surfen valt er meteen niet meer te surfen.

    Als consument heb je geen schijn van kans het is bij hun take it or leave.
    En wat doet u daar aan Niets.
    WAt kan de consument doen? NIETS
    wie hebben de MACHT? de zoekmachines en vergelijkingssites

    Een Vergelijkingssites mag je het eigenlijk niet noemen want het is meer de weergave site voor de webwinkels met het grootste reclamebudget.
    Een eerlijk beeld over de beste koop voor de consument geeft ze niet je komt er daar alleen achter wie de minste marge nodig heeft en het meeste bereid is om te betalen.
    In ieder geval gaan ze er erg prat op dat ze de grootste site zijn geworden en de beste vergelijkingssite zijn.
    Dat komt maar door 1 ding RECLAME het meesterschap in SEO en koppelingen creëren naar andere hoge ranking sites. Niet omdat ze echt voor de consument worden gewaardeerd.
    Alle verkopen en bezoeken worden geregistreerd voor de verkoop fee van 10 tot 65 procent En wat wordt daar aan gedaan? niets ondernemerschap noemt men dat

    Nee er is weer iets bedacht om de webwinkel geld uit de zak te kloppen met zogenaamde schijnveiligheid van een keurmerken, certificaten onder het motto van wet persoonsbescherming en ga zomaar door.

    En nu doet Webwinkelkeur ook schijnheilig mee aan het geenwinkelkeurmerk
    (wat ik overigens een top idee vind) om maar te laten zien dat zij wel fantastisch meedenken met de web winkeliers. Of is het meer om de geloofwaardigheid van je concurrenten te ondermijnen.
    Als jullie dat echt menen reken dan geen 84,- excl. abonnementskosten p/j dan ben je pas echt een org en onafhankelijk bezig. Als je de mening van de web winkeliers steunt, hef jezelf dan op want je geeft daarmee ook aan dat het inderdaad alleen maar schijnveiligheid geeft en dat je de verkoper met slechte bedoelingen er met geen enkel keurmerk certificaat of wat er nog op het verzin lijstje staat aan te komen helpt te voorkomen.
    Ga eens aan de consument abonnement geld vragen als zij behoefte heeft aan een keurmerk. Ik kan je verzekeren dat als het de consument geld kost het keurmerk ineens niet meer zo erg belangrijk is.
    De consument krijgt bij GEEN ENKEL keurmerk aangesloten webshop zijn geld terug als de shop niet voldoet aan de door hunzelf opgestelde regels.

    Besteed liever aandacht aan de consument zodat zij gaat begrijpen dat je een ipad nieuw niet kunt kopen voor 150 euro minder dan de reguliere prijs. Dan heb je al deze onzin niet meer nodig. Op de dag dat justitie in staat is om alle hackers fisching mailers spookfacturisten en ander tuig te lokaliseren en ook te vervolgen ben je al een stuk verder dan aan de deuren extra sloten erop te gaan zetten en iedere crimineel lekker vrij zijn ding laat doen.

    Als alle keurmerken gezamenlijk hun geïnde abonnementsgelden nu eens niet voor hun privébezit auto’s vakanties en huisvesting gebruiken maar voor de opsporing van de criminelen en laten vervolgen door justitie ben ik bereid om de helft van mijn inkomsten aan die organisatie te geven Tot die tijd
    STOP MET DEZE ONZIN EN GA WERKEN VOOR JE GELD.
    Maar goed het is alleen maar mijn mening.

    • webwinkelkeur schreef:

      U mag uw mening hebben, natuurlijk zijn we het daar niet mee eens.

      Om het bij de feiten te houden. Een webwinkel verstuurd persoonsgegevens en moet daarom een Ssl certificaat hebben. Het CPB is daar duidelijk over en is de instantie die belast is met de controle. Wij hebben er dan ook niets aan om SSL aan te prijzen wanneer het niet nodig is.

      En is een keurmerk 100% waterdicht, nee. Maar we doen ons uiterste best om de goede webwinkels van de slechtend te scheiden en hebben daarmee al veel gedupeerden voorkomen. Zo hebben we al in meerdere gevallen potentiële oplichters offline gekregen voordat deze konden oplichten. En nee, daarmee is het probleem niet uit de wereld, maar we dragen wel ons steentje bij.

      Werken voor ons geld? Volgens mij doen we dat en heel hard zelfs. De suggestie dat we auto’s, vakanties en andere luxe goederen zouden kopen is dan ook geheel uit de lucht gegrepen. Onze medewerkers moeten echter ook hun brood kopen, maar verdienen minder dan menig medewerker van een webwinkel.

      Het staat u echter vrij om een webwinkel te runnen zonder keurmerk. Ons geenkeurmerk initiatief is dan ook niet bedoeld om de waarde van keurmerken in twijfel te trekken, enkel de wildgroei ervan en aan te geven dat wij de meerwaarde van een keurmerk zien, maar dat webwinkels daarin zelf een keuze kunnen maken.

      Zoals u echter al aangeeft mag iedereen zijn eigen mening hebben, maar laten we de feiten niet verdraaien.

  10. […] en veiligheid Zoals in een eerder blog beschreven zegt de Wet Bescherming Persoonsgegevens dat je ‘passende technische en […]

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *