Uw website beveiligen

Het ontwikkelen en onderhouden van een website, dat kost heel wat tijd en verdient de nodige aandacht. Incidenten zoals de diefstal van klantengegevens kunnen een grote impact hebben op uw bedrijf of merk, bijvoorbeeld:

  • reputatieschade
  • een verstoorde dienstverlening
  • verlies aan vertrouwen bij de klant
  • sancties en rechtszaken

Webshops kunnen het slachtoffer worden van:

  • diefstal van klantgegevens
  • onjuiste informatie op het e-commerceplatform
  • een complete blokkering van de website
  • lekken van vertrouwelijke bedrijfsinformatie

Weet welke gevoelige informatie er op uw website staat, ook al heeft u nog nooit problemen gehad. Stel uzelf de volgende vragen:

  • Welke informatie is onmisbaar om mijn bedrijf te laten draaien?
  • Waar staan die gegevens?
  • Hoe snel kan ik die herstellen bij diefstal of een aanval?

Geef uw systeem een volledige audit, noteer de belangrijkste componenten en traceer alle verkeer. Zorg dat u in uw organisatie niet de enige bent die over die informatie beschikt, maar geef anderen alleen toegang tot alle gegevens op "need-to-know"-basis.

Informatie op uw website beschermen

Hoe is de informatie op uw website en onlinediensten beveiligd? Bekijk de essentiële aspecten — vertrouwelijkheid, integriteit en beschikbaarheid — en bedenk welke aanpassingen er nodig zijn. Wat er precies nodig is, hangt ook af van andere elementen die in uw systeem geïntegreerd zijn.

Wilt u een veilig systeem, dan moet u in ieder geval zorgen voor:

  • Vertrouwelijkheid: informatie zoals nummers van betaalkaarten, creditcards en andere persoonlijke gegevens mogen niet bij onbevoegden terechtkomen. Dat kunt u garanderen door:
    • een passend authenticatiemechanisme (zoals multifactorauthenticatie, waarbij gebruikers twee keer of zelfs vaker hun identiteit moeten bewijzen)
    • een versleutelde verbinding (https; ssl security protocol) waardoor alleen bevoegden vertrouwelijke informatie kunnen bekijken
  • Integriteit: alle gegevens moeten correct en betrouwbaar zijn en blijven, wat betekent dat onbevoegden ze niet kunnen wijzigen. Dit kunt u bereiken door:
    • een dagelijkse controle om na te gaan of er bestanden gewijzigd zijn
    • periodieke veiligheidstests voor uw website en diensten, om aanvallen te voorkomen
    • een anti-inbraaksysteem
  • Beschikbaarheid: zorg, als u uw website zelf host, dat uw website altijd operationeel is. Daar kunt u voor zorgen door:
    • een noodstroomvoorziening
    • feilloos onderhoud van alle hardware

Wat moet u doen bij incidenten?

Stel dat er toch een beveiligingsprobleem opduikt. Dan is het belangrijk dat u een actieplan heeft liggen met specifieke, concrete maatregelen en procedures. Daarbij moet vastliggen:

  • wie de leiding heeft
  • hoe u essentiële medewerkers kunt bereiken
  • welke data, netwerken en diensten het eerst hersteld moeten worden
  • wie u moet inlichten (eigenaren van data, klanten, zakelijke partners) als hun data of netwerken in gevaar zijn of komen

Ontdekt u een veiligheidslek? Neem dan de volgende stappen:

  • informeer uw klanten over het incident, zodat zij hun vertrouwen niet verliezen
  • informeer ook alle partijen die verder bij uw website of webshop betrokken zijn; wijs een vaste IT-medewerker om het probleem op te lossen
  • onderzoek de oorzaak, en verzamel bewijsmateriaal voor het geval het tot een rechtszaak komt
  • zijn er financiële gegevens in gevaar, zoals creditcardgegevens, informeer dan ook de bank of het bedrijf dat voor u de financiële transacties doet

Bepaal ook een beleid om betrokken partijen te informeren bij een datalek. U kunt dat opnemen in uw privacyverklaring, zodat duidelijk is wanneer en hoe u met iedereen contact opneemt als hun persoonsgegevens in gevaar komen. Vergeet ook niet dat u volgens de algemene verordening gegevensbescherming (AVG of GDPR) verplicht bent om de toezichthouder voor gegevensbescherming in te lichten zodra u een lek ontdekt.

Op nationaal niveau zijn er Computer Emergency Response Teams (CERT), teams van beveiligingsdeskundigen die bij incidenten kunnen ingrijpen en helpen (bijvoorbeeld om betrokkenen in te lichten en veiligheidsrisico's in te dammen). Bij een cyberaanval kunnen zij u zeggen wat u moet doen en wie u verder kan helpen. Ook verspreiden zij waarschuwingen als er in uw land sprake is van kwetsbare situaties of dreigingen.

Gegevensbescherming

In de algemene verordening gegevensbescherming (AVG) staan uw plichten als bedrijf wanneer u persoonsgegevens verzamelt, opslaat en beheert. De twee belangrijkste boodschappen van die AVG: wees transparant, en vertel uw bezoekers hoe u hun gegevens gebruikt.

Meer over de AVG en wat die betekent voor uw bedrijf, leest u onder Gegevensbescherming.

Het belangrijkste aan de AVG voor uw webshop, is de privacyverklaring (of het privacybeleid). Het is een openbaar document waarin u als bedrijf uitlegt hoe u persoongegevens verwerkt en gegevensbescherming toepast. Verzamelt u rechtstreeks persoonsgegevens van uw bezoekers, dan moet u die privacyverklaring onmiddellijk laten zien.

Wat zijn de regels voor een privacyverklaring?

  • beknopt, transparant en begrijpelijk
  • makkelijk te vinden
  • gratis en op tijd zichtbaar

Wat moet er in uw privacyverklaring staan?

Wat moet er in de privacyverklaring op uw webshop staan?

  • identiteit en contactgegevens van uw bedrijf, degene die het bedrijf vertegenwoordigt en de functionaris voor gegevensbescherming en binnen het bedrijf
  • het doel waarvoor uw bedrijf persoonsgegevens verzamelt, en de rechtsgronden daarvoor
  • het rechtmatige belang van uw bedrijf bij de verwerking van persoonsgegevens
  • alle ontvangers van gebruikersgegevens
  • of er persoonsgegevens worden doorgegeven aan een land buiten de EU
  • hoe lang de gegevens worden bewaard
  • de rechten van gebruikers in verband met hun gegevens, met name hun recht om:
    • hun toestemming te allen tijde in te trekken
    • een klacht in te dienen bij een toezichthoudende autoriteit
  • of de gebruikers hun persoonsgegevens op grond van wettelijke of contractuele verplichtingen moeten afstaan
  • of de persoonsgegevens worden gebruikt om automatisch beslissingen te nemen, zoals dataprofilering (waarbij verzamelde gegevens statistisch geanalyseerd worden)

Wat moet er in de privacyverklaring op uw webshop staan?

  • identiteit en contactgegevens van uw bedrijf, degene die het bedrijf vertegenwoordigt en de functionaris voor gegevensbescherming binnen het bedrijf
  • het doel waarvoor uw bedrijf persoonsgegevens verzamelt, en de rechtsgronden daarvoor
  • het rechtmatige belang van uw bedrijf bij de verwerking van persoonsgegevens
  • alle ontvangers van gebruikersgegevens
  • of er persoonsgegevens worden doorgegeven aan een land buiten de EU
  • hoe lang de gegevens worden bewaard
  • de rechten van gebruikers in verband met hun gegevens, met name hun recht om:
    • hun toestemming te allen tijde in te trekken
    • een klacht in te dienen bij een toezichthoudende autoriteit
  • de categorieën persoonsgegevens die uw bedrijf verzamelt
  • of de persoonsgegevens worden gebruikt om automatisch beslissingen te nemen, zoals dataprofilering

U moet de privacyverklaring schriftelijk en online aanbieden (indien van toepassing) op een aparte plaats op uw website (bijv. in een rubriek Privacybeleid en ) die vanaf elke pagina van de site rechtstreeks te bereiken is.

Meer informatie en advies over uw privacybeleid nodig? Bekijk dan de praktische Richtsnoeren en .

EU-wetgeving

Advies van een expert? Wij helpen u op weg.

Vraag advies aan experts

Hebt u vragen over zakendoen in het buitenland? Denkt u aan exporteren of uitbreiden naar een ander EU-land? Zo ja, dan kan het Enterprise Europe Network u gratis advies geven.

U kunt ook gebruikmaken van de zoekfunctie voor ondersteunende diensten om de juiste hulp voor u te vinden.

Laatste controle: 24/05/2024
Deze bladzijde delen