Waarom je vandaag nog moet overstappen op https!
Of het nu gaat om Search, Chrome, Gmail of een andere service, nagenoeg iedereen gebruikt weleens een product van Google en laat daarmee gegevens achter. Je moet er niet aan denken dat die gegevens op een of andere manier op straat komen te liggen. Vandaar ook dat Google al jaren gigantisch investeert in beveiliging van eigen diensten. Bijvoorbeeld door https-encryptie toe te passen.
Google vindt dat andere bedrijven dat ook zouden moeten doen om zo een veiliger internet te creëren. In dit blog geef ik je 4 redenen om vandaag nog met https-encryptie te beginnen.
Websites die beveiligd zijn met encryptie zijn te herkennen aan een ‘slotje’ in de browserbalk. Ik zal je de technische details besparen, maar om kort te gaan: https is eigenlijk het gewone http-protocol, met daar overheen een veilige laag, een Secure Socket Layer (SSL). Deze laag zorgt voor versleuteling van gegevens die worden uitgewisseld via een website. Zonder deze laag is de uitwisseling van gegevens dus niet veilig. Meer over de technische aspecten van SSL lees je in een later blog. In dit artikel lees je waarom je vandaag nog met https moet beginnen vanuit minder technische oogpunten.
1. SSL is goed voor SEO
Om te bereiken dat het web https omarmt, zet Google stappen met onder andere Google Search en Chrome. Websites die maatregelen hebben genomen om gegevens te beveiligen, krijgen bijvoorbeeld voorrang in de zoekresultaten op websites zonder https. Https-beveiliging is sinds 2014 een ranking factor. Niet zo’n zware als bijvoorbeeld kwaliteit van content, maar toch. SSL geeft dus een licht voordeel in de zoekmachines en Google sluit absoluut niet uit dat de encryptie-factor steeds zwaarder gaat meetellen.
2. SSL is goed voor online betrouwbaarheid
Uit onderzoek blijkt dat gebruikers de afwezigheid van een groen ‘slotje’ in de browserbalk niet opvatten als een veiligheidsrisico. En daarom krijg je vanaf januari 2017 een expliciete beveiligingswaarschuwing in je browserbalk (vanaf Chrome 56) wanneer je een http-website bezoekt. De melding markeert de pagina die je bezoekt als ‘Niet Veilig”.
In eerste instantie gaat het dan om pagina’s waar je wordt gevraagd om creditcardgegevens in te voeren of pagina’s waar je kunt inloggen. Bij volgende updates worden de beveiligingswaarschuwingen verder uitgebreid naar alle http-websites. Uiteindelijk zal de waarschuwing nog duidelijker worden gemaakt door een rode waarschuwingsdriehoek te laten zien.
Deze ontwikkeling maakt het voor elke professionele website bijna verplicht om over te stappen op https. Want wil je echt dat je bezoekers afgeschrikt worden door waarschuwingen als je op je website komen? Geheid dat je klanten kwijtraakt, omzet misloopt of minder leads genereert omdat bezoekers van je website voortijdig afhaken vanwege een veiligheidsrisico. Slecht voor je reputatie. Want als je website al niet veilig genoeg is, is je product of dienst dan überhaupt wel betrouwbaar? Met een SSL-certificaat laat je zien dat je de privacy en veiligheid van je bezoekers serieus neemt.
3. SSL verplicht bij uitwisseling persoonsgegevens
Er is nog een belangrijke reden om over te stappen: wetgeving. In de Wet Bescherming Persoonsgegevens (die op termijn wordt vervangen door EU-wetgeving), Artikel 13 staat het volgende:
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen…
Artikel 13 Wet bescherming persoonsgegevens
Nu zou je kunnen zeggen dat er niet met zoveel woorden staat dat je SSL-encryptie moet gebruiken wanneer je persoonsgegevens verwerkt via je website. Maar je bent wel verplicht om ‘passende technische en organisatorische maatregelen’ te nemen om gegevens te beschermen. Om met je website hieraan te kunnen voldoen is er eigenlijk maar 1 manier en dat is het gebruik van SSL. Zelfs voor een website met een contactformulier.
4. Https is niet duur
Het is een misvatting dat een beveiligde verbinding duur is. Er zijn verschillende vormen met elk een eigen kostenniveau; gemiddeld kost een certificaat tussen € 25,- en € 100,- per jaar. Naast de aanschaf van een certificaat moet je website aangepast worden, zodat alle links en content naar het veilige https-protocol gedwongen worden. Die aanpassingen kosten wat natuurlijk wat werk. Maar dat alles is een peulenschil vergeleken bij wat reputatieschade of een boete wegens overtreden van de Wbp kan kosten (tot € 810.000 of maximaal 10% van de jaaromzet). Gelukkig komen deze boetes niet zo maar uit de lucht vallen en zal je in de meeste gevallen eerst een ‘bindende aanwijzing’ krijgen met daarin een termijn waarbinnen deze moet zijn opgevolgd. Maar het allerbeste is natuurlijk om het niet zover te laten komen!
We praten graag met je verder over de mogelijkheden om jouw website te voorzien van een 'slotje' en het predicaat 'veilig'.