Wat is de waarde van het Thuiswinkel Waarborg?

27 oktober 2011, 05:55

Afgelopen maandag publiceerde Webwereld in het kader van “lektober” een lek bij Cheaptickets.nl, waarbij persoonsgegevens van meer dan 700.000 klanten op straat blijken te liggen. Deze hack (of dit lek) is er een van velen waarbij wederom duidelijk wordt dat wachtwoorden in tekstvorm opgeslagen zijn. Naast de wachtwoorden zijn o.a. NAW gegevens, telefoonnummers en van 80.000 gebruikers zelfs het paspoortnummer buitgemaakt. In een reactie op de hack laat CEO Raymond Vrijenhoek weten dat er voor zover bekend geen misbruik is gemaakt van de gegevens, mede omdat het oude data is. Dat laatste klinkt mij erg vreemd in de oren, want voor een groot gedeelte van hen zijn deze gegevens onveranderd.

Deze gastbijdrage is geschreven door Sander van Leeuwen (@zoefff). Sander is Project manager bij React B.V.

Tot zover eigenlijk niet zo veel nieuws. Wat echter frappant is, is dat Cheaptickets.nl ook het Thuiswinkel.org Waarborg draagt. Bedoeld om de consument een houvast te geven om te beoordelen of een shop betrouwbaar is of niet. Een goed initiatief om de betrouwbaarheid van webshops te vergroten en een onafhankelijk controlemiddel te hebben op de beveiliging, probleemoplossing, etc. van webshops.

Geen toezicht op beveiliging

Mijn verbazing was dan ook groot toen ik in een reactie van Thuiswinkel las dat zij geen toezicht houdt op de beveiliging van dataopslag en de verantwoordelijk hiervan afschuift naar het College Bescherming Persoonsgegevens. Enerzijds schermt Thuiswinkel.org dus met de speerpunten dat certificering zes zekerheden waaronder “Veiligheid en privacy” biedt, terwijl anderzijds de verantwoordelijkheid wordt afgeschoven naar het CBP als er problemen zijn met de veiligheid van gegevens. Des te stuitender dat het CPB heeft op haar beurt geen juridische mogelijkheden heeft om partijen, die niet goed omgaan met de opslag van deze gegevens, aan te pakken.

SSL verbinding

De statements “veiligheid en privacy” en “veilig betalen” slaan, voor zover ik zie, vooral op het feit dat webwinkels een https verbinding gebruiken voor bepaalde acties. Maar als ik de ledenlijst van Thuiswinkel alfabetisch doorloop kom ik bij meerdere leden al constructies tegen waarbij dat ontbreekt, of waarbij de implementatie op z'n minst dubieus is. Een paar voorbeelden:

  • aboland.nl

    De bestelformulieren of andere formulieren om bijvoorbeeld adreswijzigingen door te geven gaan gewoon over http. Er is geen aanwijzing van een beveiligde omgeving te vinden.

  • adlifestyle.nl

    Als ik m'n winkelwagentje vul en naar het bestelformulier ga, kom ik op een https omgeving terecht. Pas ik de url echter aan naar http, dan krijg ik keurig hetzelfde formulier te zien. Kortom, een man in the middle (b.v. bij open wifi hotspots) kan hier eenvoudig tussen gaan zitten, gebruikers naar de onbeveiligde omgeving doorsturen en vervolgens alle persoonsgegevens afvangen.

  • aircoshop.nl en aircodump.nl

    Hetzelfde verhaal als hierboven, zonder problemen bestellen via een onbeveiligde omgeving.

  • Ook webshops die in de Tweakers.net pricewatch prijken met het Thuiswinkel waarborg hebben last van dezelfde veiligheidslekken. Bij een snelle blik bijvoorbeeld http://www.redcoon.nl/.

Cheaptickets

Sterker nog, Cheaptickets heeft op dit vlak z'n zaken óók niet op orde en maakt precies dezelfde fout als bovenstaande webshops. Na het zoeken van een vlucht wordt de gebruiker naar een https pagina met resultaten doorgestuurd. Vanwege de stap van http naar https kan een kwaadwillend persoon hier de https url al aanpassen naar een http variant die exact hetzelfde toont. De boekingslink kan daar ook automatisch aangepast worden naar een http variant, waardoor de klant wederom op een niet beveiligde pagina terecht komt waar telefoonnummers, adresgegevens en andere data onbeveiligd over het internet vliegt.

De waarde van het waarborg

Aan de ene kant wil ik vertrouwen houden in het Thuiswinkel Waarborg omdat ze garanties zoals 14 dagen bedenktijd (hoewel de wet dat ook al afdwingt), onafhankelijke klachtenbemiddeling en andere controles aanbieden, maar aan de andere kant illustreert bovenstaande dat het Thuiswinkel Waarborg geen garantie op het gebied van veiligheid en privacy biedt.

Het is niet mijn doel om Thuiswinkel.org door het slijk te halen, maar ik vraag me wel af wat dergelijke waarborgen nu echt inhouden als blijkt dat op de twee punten die ik het meest belangrijk vind (privacy en beveiliging van je gegevens) niet zijn ontsloten in de voorwaarden en partijen de verantwoordelijkheid afschuiven. De consument begeeft zich nu in een omgeving van schijnveiligheid, die als puntje bij paaltje komt niet veilig is.

Deze schijnveiligheid vind ik bijzonder kwalijk, en ik ben eigenlijk heel benieuwd wat jullie hiervan vinden. Maak ik van een mug een olifant of is het met dit soort voorwaarden voor waarborgen slecht gesteld met veiligheid op internet?

Onder deze gastblogaccount schrijven auteurs die geen blogger zijn van Marketingfacts. Heb jij een blog die je wilt delen, of wil je graag blogger worden, stuur dan een tweet of mail naar de redactie.

Categorie
Tags

7 Reacties

    Bob

    Eerlijk gezegd heb ik nog nooit waarde gehecht aan een webwinkel keurmerk. Elk keurmerk heeft zijn specifieke eisen en allemaal kosten ze geld. Wellicht moet er vanuit de overheid een gratis keurmerk ten behoeve van de consument komen, dan creëer je echt vertrouwen. Op deze manier is het één grote commerciële bedoeling.


    27 oktober 2011 om 06:37
    Jasper

    Gisteren las ik inderdaad ook over de plannen van Thuiswinkel om dit onderwerp op de agenda te zetten. Alleen in hoeverre gaan ze hierin slagen? Gaan ze bij de aangesloten partijen toegang tot de database vragen, de broncode doorspitten om lekken te ontdekken?

    Het hele Thuiswinkel waarborg is, zoals Bob al zei, één grote commerciële bedoening waar ik als consument nooit waarde aan heb gehecht en als webwinkel eigenaar ver van wil blijven.


    27 oktober 2011 om 07:21
    Wes

    Helemaal mee eens, wat is de waarde van deze grote organisatie als ze zulke dingen niet controleren. De specifieke eisen voor de keurmerken zijn meestal prijs gebonden. Keurmerken zijn er alleen om de consumenten in een goed gevoel (vertrouwen) te geven bij het doen van een aankoop voor de rest hebben ze totaal geen toegevoegde waarde. Het is alleen jammer dat het bijna een standaard is geworden dat men een keurmerk moet hebben, zonder keurmerk hoor je er al bijna niet meer bij en kun je klanten verliezen.

    Het blijft en is gewoon een commerciële bedoeling om geld in het latje te krijgen. Netzoals die awards, ik vindt het bizar dat men moet betalen om mee te doen. Als je een uitstekende webshop heb met laatste functies en goede ux, maar je betaald niet voor de awards, doe je dus niet meer voor deze prijzen. Terwijl je het misschien wel meer verdient als de standaard partijen die altijd winnen.


    27 oktober 2011 om 07:28
    Peter

    Het feit dat je voor het keurmerk moet betalen maakt het inderdaad eenzelfde keurmerk als het “Ïk kies bewust” keurmerk dat je vaak op levensmiddelen vindt. Het suggereert dat je een product neemt dat gezonder is dan producten die het keurmerk niet hebben: 1 grote commerciele bende. Er zijn genoeg producten die gezonder zijn, maar die niet hebben betaald om het keurmerk te mogen voeren.

    Als Thuiswinkel echt onafhankelijk wil zijn zal ze alle webwinkels moeten beoordelen en vervolgens het keurmerk gratis laten voeren. Willen ze er toch een vergoeding voor hebben, dan moeten ze beginnen de prijs niet van de omzet af te laten hangen: grote website betalen meer dan de kleine websites, naar rato van hun omzet. Tevens zouden ze de webwinkels iets van waarde terug kunnen geven, want behalve dat je grof betaald om het keurmerk te mogen voeren, moet je voor hun workshops en conferences ook nog vaak een bijdrage betalen.


    27 oktober 2011 om 08:43
    k

    Naar mijn idee stelt dit thuiswinkel waarborg niks voor!!

    Heb 2 maanden geleden bij webwinkel klein & fijn een bestelling geplaatst en betaald, nog niks gekregen, geen enkele reactie op mijn mails. Las toen dat er meer mensen gedupeerd zijn door deze webwinkel. Aan het thuiswinkel waarborg heb je niks!!!


    30 oktober 2011 om 06:48
    DannyOosterveer

    Thuiswinkel.org heeft hier vanochtend een uitspraak over gedaan:

    Veiligheid is een belangrijk thema, zeker als het om persoonsgegevens gaat. Thuiswinkel.org stelt haar leden daarom ‘tools’ ter beschikking en biedt een gratis veiligheidsscan aan. Het Waarborg biedt echter geen garantie tegen ‘hackers’.

    ‘Wat doet Thuiswinkel.org nou precies op het gebied van veiligheid?’ en ‘Het Thuiswinkel Waarborg staat toch garant voor veilige webwinkels?’ Dit soort krijgt Thuiswinkel.org regelmatig voorgelegd. Zeker na ‘lektober’ is er in de media veel aandacht voor veiligheid op het internet en de bescherming van persoonlijke gegevens. Er waren tal van veiligheidsincidenten bij overheden en bedrijven. Ook bij webwinkels werden ‘lekken’ ontdekt.

    Wat garandeert het Thuiswinkel Waarborg?

    – Uw persoonsgegevens worden verwerkt volgens de Wet Bescherming Persoonsgegevens

    – Leden hebben een maximale inspanningsverplichting om te zorgen voor veilig transport, veilige verwerking en opslag van persoongsgegevens.

    – Thuiswinkel.org spant zich in om de leden hierop aan te spreken.

    – Pagina’s waarop persoonsgegevens worden getoond of ingevuld zijn tenminste beveiligd met een SSL-certificaat.

    – Als klanten commerciële e-mails ontvangen van leden en dat niet op prijs stellen kunnen ze zich daarvoor op eenvoudige wijze uitschrijven.

    Wat garandeert het Thuiswinkel Waarborg niet?

    – Volledige veiligheid.

    – Dat websites van leden niet gehackt kunnen worden.

    Een garantie voor volledig veilige websites van onze leden kan Thuiswinkel.org nooit geven. Een website van een lid kan vandaag veilig zijn en morgen niet meer. Alle bijna 1500 leden van Thuiswinkel.org zijn daarom in de eerste plaats zelf verantwoordelijk voor de veiligheid van hun websites.

    Thuiswinkel.org biedt al haar leden een gratis veiligheidsscan aan en een aantal ’tools’ om de veiligheid van de webwinkel te vergroten.

    Tegenover nu.nl zegt directeur Wijnand Jongen dat de organisatie het afgelopen jaar 36 leden heeft geroyeerd omdat zij de veiligheid niet op orde hadden, of bijvoorbeeld niet voldeden aan de wet- en regelgeving.


    13 februari 2012 om 10:46

Marketingfacts. Elke dag vers. Mis niks!