Het beroemde shopping(card)wagentje van Webshops blijkt zo lek te zijn als het karretje zelf.
Volgens onderzoek van Networking4all, die alle webshops onderzocht welke gebruik maken van het in Nederland zo populaire iDEAL-betaalsysteem, kan bij 88% van de onderzochte 13.607 webwinkels de data met vertrouwelijke persoonsgegevens worden afgetapt. Een haast ongelofelijk en schrikbarend hoog percentage.
Consumenten en eigenaren van webwinkels lijken zich nauwelijks bewust te zijn van de risico’s die zij lopen. Zij gaan er vanuit dat de beveiliging van de transactie voldoende is. De betaalmethode van iDEAL is beveiligd, maar de handelingen op de website van de webshops daarentegen niet. Aanbieder iDEAL is hiervan op de hoogte, maar onderneemt volgens de onderzoekers geen stappen. Sterker nog, beheerder Currence lijkt er niet mee te zitten. “Hoe de beveiliging van de webwinkels is geregeld maakt ons niet uit. Wij bieden slechts de elektronische betaalmethode aan. Uiteraard melden we wel dat ze erop moeten letten, maar verplichten kunnen we het niet. Dat is niet onze taak, maar van de webwinkeliers zelf”, aldus woordvoerder Bob Goulooze.
De beveiliging van persoonsgegevens is bij de wet verplicht. Het College Bescherming Persoonsgegevens (CBP) adviseert webwinkeliers om gebruik te maken van een SSL Certificaat. Het CBP zou hierop toe moeten zien, maar ook zij zeggen pas actie te ondernemen bij structurele gevallen. Maar ieder geval is er al één te veel. Zo blijkt uit het onderzoek dat onder andere de bekende websites van de Nederlandse Spoorwegen, Kras.nl en Madurodam niet goed zijn beveiligd en dat kwaadwillenden op deze websites zonder veel moeite persoonsgegevens van consumenten kunnen ‘afluisteren’. Dit kan grote gevolgen hebben voor de gedupeerden, waarbij de onderschepping zelfs kan oplopen tot een gerichte diefstal of identiteitsfraude.
Uit een grafiek in het raport blijkt dat het percentage veilige webwinkels ieder jaar stijgt. Bekijk je echter het aantal webwinkels dat tussen 2007 en 2009 persoonsgegevens over een onbeveiligde verbinding verstuurd, dan is dat aantal opgelopen van 5.209 in 2007 naar 11.980 in 2009. Een forse toename van 57 procent. Daar tegenover staat de groei in het aantal websites dat de gegevens wél beveiligd. Van slechts 385 in 2007 naar 1.627 in 2009, een toename van 76 procent.
Het onderzoek laat verder zien dat bij Thuiswinkel.org, belangenorganisatie van ongeveer duizend webwinkeliers in Nederland, slechts 39 procent van de webwinkels met het thuiswinkel waarborg een beveiligde verbinding aanbiedt. Terwijl Thuiswinkel.org begin 2009 eiste dat alle leden vanaf 1 januari 2010 beveiligd zijn. Die deadline wordt niet door iedereen gehaald en daarom heeft Thuiswinkel.org de deadline verplaatst naar 1 april 2010. Wijnand Jongen, directeur van Thuiswinkel.org zegt hierover: “Wanneer deze webwinkels na die tijd niet over een afdoende beveiliging beschikken wordt hun licentie ingetrokken.” Terwijl je met het thuiswinkel waarborg toch mag verwachten dat ze de zaakjes goed voor elkaar hebben. Het waarborg wordt immers niet voor niets afgegeven.
Download hier het volledige rapport (.pdf).
