Wat is de waarde van het Thuiswinkel Waarborg?

Wat is de waarde van het Thuiswinkel Waarborg?

Afgelopen maandag publiceerde Webwereld in het kader van "lektober" een lek bij Cheaptickets.nl, waarbij persoonsgegevens van meer dan 700.000 klanten op straat blijken te liggen. Deze hack (of dit lek) is er een van velen waarbij wederom duidelijk wordt dat wachtwoorden in tekstvorm opgeslagen zijn. Naast de wachtwoorden zijn o.a. NAW gegevens, telefoonnummers en van 80.000 gebruikers zelfs het paspoortnummer buitgemaakt. In een reactie op de hack laat CEO Raymond Vrijenhoek weten dat er voor zover bekend geen misbruik is gemaakt van de gegevens, mede omdat het oude data is. Dat laatste klinkt mij erg vreemd in de oren, want voor een groot gedeelte van hen zijn deze gegevens onveranderd.

Deze gastbijdrage is geschreven door Sander van Leeuwen (@zoefff). Sander is Project manager bij React B.V.

Tot zover eigenlijk niet zo veel nieuws. Wat echter frappant is, is dat Cheaptickets.nl ook het Thuiswinkel.org Waarborg draagt. Bedoeld om de consument een houvast te geven om te beoordelen of een shop betrouwbaar is of niet. Een goed initiatief om de betrouwbaarheid van webshops te vergroten en een onafhankelijk controlemiddel te hebben op de beveiliging, probleemoplossing, etc. van webshops.

Geen toezicht op beveiliging

Mijn verbazing was dan ook groot toen ik in een reactie van Thuiswinkel las dat zij geen toezicht houdt op de beveiliging van dataopslag en de verantwoordelijk hiervan afschuift naar het College Bescherming Persoonsgegevens. Enerzijds schermt Thuiswinkel.org dus met de speerpunten dat certificering zes zekerheden waaronder "Veiligheid en privacy" biedt, terwijl anderzijds de verantwoordelijkheid wordt afgeschoven naar het CBP als er problemen zijn met de veiligheid van gegevens. Des te stuitender dat het CPB heeft op haar beurt geen juridische mogelijkheden heeft om partijen, die niet goed omgaan met de opslag van deze gegevens, aan te pakken.

SSL verbinding

De statements "veiligheid en privacy" en "veilig betalen" slaan, voor zover ik zie, vooral op het feit dat webwinkels een https verbinding gebruiken voor bepaalde acties. Maar als ik de ledenlijst van Thuiswinkel alfabetisch doorloop kom ik bij meerdere leden al constructies tegen waarbij dat ontbreekt, of waarbij de implementatie op z'n minst dubieus is. Een paar voorbeelden:

  • aboland.nl
    De bestelformulieren of andere formulieren om bijvoorbeeld adreswijzigingen door te geven gaan gewoon over http. Er is geen aanwijzing van een beveiligde omgeving te vinden.
  • adlifestyle.nl
    Als ik m'n winkelwagentje vul en naar het bestelformulier ga, kom ik op een https omgeving terecht. Pas ik de url echter aan naar http, dan krijg ik keurig hetzelfde formulier te zien. Kortom, een man in the middle (b.v. bij open wifi hotspots) kan hier eenvoudig tussen gaan zitten, gebruikers naar de onbeveiligde omgeving doorsturen en vervolgens alle persoonsgegevens afvangen.
  • aircoshop.nl en aircodump.nl
    Hetzelfde verhaal als hierboven, zonder problemen bestellen via een onbeveiligde omgeving.
  • Ook webshops die in de Tweakers.net pricewatch prijken met het Thuiswinkel waarborg hebben last van dezelfde veiligheidslekken. Bij een snelle blik bijvoorbeeld http://www.redcoon.nl/.

Cheaptickets

Sterker nog, Cheaptickets heeft op dit vlak z'n zaken óók niet op orde en maakt precies dezelfde fout als bovenstaande webshops. Na het zoeken van een vlucht wordt de gebruiker naar een https pagina met resultaten doorgestuurd. Vanwege de stap van http naar https kan een kwaadwillend persoon hier de https url al aanpassen naar een http variant die exact hetzelfde toont. De boekingslink kan daar ook automatisch aangepast worden naar een http variant, waardoor de klant wederom op een niet beveiligde pagina terecht komt waar telefoonnummers, adresgegevens en andere data onbeveiligd over het internet vliegt.

De waarde van het waarborg

Aan de ene kant wil ik vertrouwen houden in het Thuiswinkel Waarborg omdat ze garanties zoals 14 dagen bedenktijd (hoewel de wet dat ook al afdwingt), onafhankelijke klachtenbemiddeling en andere controles aanbieden, maar aan de andere kant illustreert bovenstaande dat het Thuiswinkel Waarborg geen garantie op het gebied van veiligheid en privacy biedt.

Het is niet mijn doel om Thuiswinkel.org door het slijk te halen, maar ik vraag me wel af wat dergelijke waarborgen nu echt inhouden als blijkt dat op de twee punten die ik het meest belangrijk vind (privacy en beveiliging van je gegevens) niet zijn ontsloten in de voorwaarden en partijen de verantwoordelijkheid afschuiven. De consument begeeft zich nu in een omgeving van schijnveiligheid, die als puntje bij paaltje komt niet veilig is.

Deze schijnveiligheid vind ik bijzonder kwalijk, en ik ben eigenlijk heel benieuwd wat jullie hiervan vinden. Maak ik van een mug een olifant of is het met dit soort voorwaarden voor waarborgen slecht gesteld met veiligheid op internet?


Geplaatst in

Delen

0
0


Er zijn 7 reacties op dit artikel

  • Eerlijk gezegd heb ik nog nooit waarde gehecht aan een webwinkel keurmerk. Elk keurmerk heeft zijn specifieke eisen en allemaal kosten ze geld. Wellicht moet er vanuit de overheid een gratis keurmerk ten behoeve van de consument komen, dan creëer je echt vertrouwen. Op deze manier is het één grote commerciële bedoeling.

    geplaatst op
  • Thuiswinkel kijkt op dit moment wel naar mogelijkheden om de certificering aan te scherpen, zo las ik gisteren op Twinkle: http://www.twinklemagazine.nl/nieuws/2011/10/regels-over-dataopslag-mogelijk-in-certificering-thuiswinkel/index.xml

    PS: Voor zover ik weet is de bedenktermijn volgens de wet op dit moment nog 7 dagen (dit gaat inderdaad wel naar 14 dagen door Europese wetgeving).

    geplaatst op
  • Gisteren las ik inderdaad ook over de plannen van Thuiswinkel om dit onderwerp op de agenda te zetten. Alleen in hoeverre gaan ze hierin slagen? Gaan ze bij de aangesloten partijen toegang tot de database vragen, de broncode doorspitten om lekken te ontdekken?

    Het hele Thuiswinkel waarborg is, zoals Bob al zei, één grote commerciële bedoening waar ik als consument nooit waarde aan heb gehecht en als webwinkel eigenaar ver van wil blijven.

    geplaatst op
  • Helemaal mee eens, wat is de waarde van deze grote organisatie als ze zulke dingen niet controleren. De specifieke eisen voor de keurmerken zijn meestal prijs gebonden. Keurmerken zijn er alleen om de consumenten in een goed gevoel (vertrouwen) te geven bij het doen van een aankoop voor de rest hebben ze totaal geen toegevoegde waarde. Het is alleen jammer dat het bijna een standaard is geworden dat men een keurmerk moet hebben, zonder keurmerk hoor je er al bijna niet meer bij en kun je klanten verliezen.

    Het blijft en is gewoon een commerciële bedoeling om geld in het latje te krijgen. Netzoals die awards, ik vindt het bizar dat men moet betalen om mee te doen. Als je een uitstekende webshop heb met laatste functies en goede ux, maar je betaald niet voor de awards, doe je dus niet meer voor deze prijzen. Terwijl je het misschien wel meer verdient als de standaard partijen die altijd winnen.

    geplaatst op
  • Het feit dat je voor het keurmerk moet betalen maakt het inderdaad eenzelfde keurmerk als het "Ïk kies bewust" keurmerk dat je vaak op levensmiddelen vindt. Het suggereert dat je een product neemt dat gezonder is dan producten die het keurmerk niet hebben: 1 grote commerciele bende. Er zijn genoeg producten die gezonder zijn, maar die niet hebben betaald om het keurmerk te mogen voeren.

    Als Thuiswinkel echt onafhankelijk wil zijn zal ze alle webwinkels moeten beoordelen en vervolgens het keurmerk gratis laten voeren. Willen ze er toch een vergoeding voor hebben, dan moeten ze beginnen de prijs niet van de omzet af te laten hangen: grote website betalen meer dan de kleine websites, naar rato van hun omzet. Tevens zouden ze de webwinkels iets van waarde terug kunnen geven, want behalve dat je grof betaald om het keurmerk te mogen voeren, moet je voor hun workshops en conferences ook nog vaak een bijdrage betalen.

    geplaatst op
  • Naar mijn idee stelt dit thuiswinkel waarborg niks voor!!
    Heb 2 maanden geleden bij webwinkel klein & fijn een bestelling geplaatst en betaald, nog niks gekregen, geen enkele reactie op mijn mails. Las toen dat er meer mensen gedupeerd zijn door deze webwinkel. Aan het thuiswinkel waarborg heb je niks!!!

    geplaatst op
  • Thuiswinkel.org heeft hier vanochtend een uitspraak over gedaan:

    Veiligheid is een belangrijk thema, zeker als het om persoonsgegevens gaat. Thuiswinkel.org stelt haar leden daarom ‘tools’ ter beschikking en biedt een gratis veiligheidsscan aan. Het Waarborg biedt echter geen garantie tegen ‘hackers’.

    'Wat doet Thuiswinkel.org nou precies op het gebied van veiligheid?' en 'Het Thuiswinkel Waarborg staat toch garant voor veilige webwinkels?' Dit soort krijgt Thuiswinkel.org regelmatig voorgelegd. Zeker na ‘lektober’ is er in de media veel aandacht voor veiligheid op het internet en de bescherming van persoonlijke gegevens. Er waren tal van veiligheidsincidenten bij overheden en bedrijven. Ook bij webwinkels werden ‘lekken’ ontdekt.

    Wat garandeert het Thuiswinkel Waarborg?
    - Uw persoonsgegevens worden verwerkt volgens de Wet Bescherming Persoonsgegevens
    - Leden hebben een maximale inspanningsverplichting om te zorgen voor veilig transport, veilige verwerking en opslag van persoongsgegevens.
    - Thuiswinkel.org spant zich in om de leden hierop aan te spreken.
    - Pagina’s waarop persoonsgegevens worden getoond of ingevuld zijn tenminste beveiligd met een SSL-certificaat.
    - Als klanten commerciële e-mails ontvangen van leden en dat niet op prijs stellen kunnen ze zich daarvoor op eenvoudige wijze uitschrijven.

    Wat garandeert het Thuiswinkel Waarborg niet?
    - Volledige veiligheid.
    - Dat websites van leden niet gehackt kunnen worden.

    Een garantie voor volledig veilige websites van onze leden kan Thuiswinkel.org nooit geven. Een website van een lid kan vandaag veilig zijn en morgen niet meer. Alle bijna 1500 leden van Thuiswinkel.org zijn daarom in de eerste plaats zelf verantwoordelijk voor de veiligheid van hun websites.

    Thuiswinkel.org biedt al haar leden een gratis veiligheidsscan aan en een aantal 'tools' om de veiligheid van de webwinkel te vergroten.


    Tegenover nu.nl zegt directeur Wijnand Jongen dat de organisatie het afgelopen jaar 36 leden heeft geroyeerd omdat zij de veiligheid niet op orde hadden, of bijvoorbeeld niet voldeden aan de wet- en regelgeving.

    geplaatst op

Plaats zelf een reactie

Log in zodat je (in het vervolg) nóg sneller kunt reageren

Vul jouw naam in.
Vul jouw e-mailadres in. Vul een geldig e-mailadres in.
Vul jouw reactie in.

Herhaal de tekens die je ziet in de afbeelding hieronder


Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.