VakantieVeilingen.nl voldoet niet aan WBP

Na een tip van een Jeroen, besloot ik eens een kijkje te nemen op de website VakantieVeilingen.nl. Best een leuk concept wat kan resulteren in scherpe prijzen. Toen ik me wilde aanmelden om te kunnen bieden op veilingen, viel het me op dat de site standaard geen gebruik maakt van een beveiligde HTTPS verbinding. Uit principe geef ik geen persoonsgegevens (in dit geval NAW, telefoonnummer, rekeningnummer) via internet af over een onbeveiligde verbinding. Een handmatige poging om een HTTPS verbinding te maken, resulteert in een waarschuwing van mijn browser: “Uw verbinding met deze website is slechts gedeeltelijk versleuteld en zal afluisteren niet voorkomen”. Niet het antwoord waar ik naar op zoek was.

Op 13 oktober nam ik per e-mail contact op met VakantieVeilingen.nl. Gewoon om ze even te attenderen op het feit dat de beveiliging niet op orde is, en dat ik liever geen persoonsgegevens verstrek over een onbeveiligde verbinding. Een dag later kreeg ik netjes een antwoord terug: “Binnen enkele weken zal onze website beter beveiligd zijn waardoor dit aangepast zal worden”. Ze lijken de klacht dus serieus te nemen en dat is in ieder geval een goed teken.

Op moment van schrijven zijn er nog geen aanpassingen doorgevoerd, maar we zijn dan ook slechts één week verder. Alhoewel ik me afvraag of je hier echt zoveel tijd voor nodig hebt. Volgens mij moet dit makkelijk binnen één dag geregeld kunnen worden. Zeker als je het certificaat al hebt en het lijkt te gaan om een configuratiefout.

Anyway, uit nieuwsgierigheid naar de juridische kant van dit voorval (hier heb ik de laatste tijd wel vaker last van), besloot ik een en ander uit te zoeken. Gewapend met het boek ‘De wet op internet‘ van Arnoud Engelfriet stuitte ik op artikel 13 van de Wet Bescherming Persoonsgegevens:

De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Met andere woorden: de verwerker van persoonsgegevens is verplicht tot het nemen van passende beveiligingsmaatregelen. Zou dit dan betekenen dat VakantieVeilingen.nl op dit moment niet handelde conform de eisen uit de WBP?

Daar twijfelde ik over omdat de tekst in Arnoud’s boek en de wettekst voor mijn gevoel wat meer de nadruk legt op ‘de verzameling’ en niet zozeer op ‘de aanlevering’. Dus ik besloot om het aan Arnoud te vragen, en een kwartier later had ik zijn reactie in mijn mailbox. Volgens Arnoud valt ook de aanlevering van persoonsgegevens onder de noemer ‘verwerken’ en HTTPS lijkt hem praktisch gezien een vereiste bij digitale transmissie. Hij wijst er echter ook op dat het beveiligen strikt genomen ook op een andere manier mag, en noemt als voorbeeld “een applet of Activex control die de gegevens clientside encrypt met AES en dat als bestand uploadt naar de server”.

Nu heb ik zojuist even de broncode van VakantieVeilingen.nl doorgekeken (met name de javascripts), maar ik zie zo snel geen teken van clientside encryptie. Als dit inderdaad zo is, dan durf ik best te stellen dat VakantieVeilingen.nl niet voldoet aan de Wet Bescherming Persoonsgegevens. Ze zijn verantwoordelijk voor een veilige verwerking en nemen wat mij betreft onvoldoende maatregelen om klanten te beschermen tegen verlies van persoonsgegevens. En dat is niet alleen slordig, maar kan ook nog eens duur zijn. Nu maar hopen dat ze het snel oplossen en dat bestaande klanten van VakantieVeilingen.nl geen schade hebben ondervonden.

Afbeelding door Kanaalstreek.nl.