Veilig shoppen is de basis voor het bestaan van online winkelen

Laptop met Europese vlag en slotje in het midden

Online shoppen bestaat al bijna twintig jaar, maar heeft pas een vlucht genomen toen consumenten vertrouwen kregen in deze nieuwe manier van winkelen. Vragen als “Krijg ik de producten wel geleverd?” en “Hoe veilig is het online betalen?” waren en zijn nog steeds belangrijke factoren in dit vertrouwen. De laatste jaren zien we ook andere vormen van veiligheid belangrijker worden. Zo hebben de privacy van consumenten in relatie tot veilige webwinkels en het verzamelen, gebruiken en misbruiken van consumentdata eveneens een prominentere rol gekregen.

Veiligheid is dus een must voor het succes van online shoppen en consumenten moet erop kunnen vertrouwen dat ze krijgen wat ze bestellen en dat hun persoonsgegevens met gepast zorg worden behandeld. Deze veiligheid wordt op verschillende manieren geborgd binnen Nederland en Europa.

Wetgeving

Het is een misvatting dat de veiligheid en privacy van consumenten pas door de nieuwe Europese wetgeving AVG (Algemene verordening gegevensbescherming) wettelijk is geborgd in Nederland. Al onder de oude, Nederlandse privacywet (Wet bescherming persoonsgegevens, Wbp) moesten bedrijven de juiste aandacht aan veiligheid geven. In de AVG is dit misschien iets anders verwoord, maar de essentie is nog steeds hetzelfde.

Meer over de Europese Parlementsverkiezingen

Europese vlagDe Europese Verkiezingen en de richting die de EU hierna opgaat, zijn van groot belang voor de Europese (en daarmee Nederlandse) e-commercesector. Daarom komen er deze periode relevante blogs en artikelen over de belangrijkste thema's op onze website te staan. Je vindt deze op onze speciale pagina over de Europese Parlementsverkiezingen.

Om goed in te kunnen spelen op deze Europese privacywet zijn ondernemerschap en het inschatten van risico’s van groot belang. De globale strekking van de wetgeving ten aanzien van persoonsgegevens luidt: “De verantwoordelijke legt, rekening houdend met de stand der techniek, uitvoeringskosten en de omvang van risico’s, passende technische en organisatorische maatregelen ten uitvoer om (persoons)gegevens te beveiligen.”

Er zijn dus geen vaste eisen als “Iedereen moet een antivirusproduct op alle systemen hebben”. Voor beveiligingskaders is de insteek dat de organisatie zelf prioriteiten kan bepalen via het ‘pas toe of leg uit’-principe, waarmee op basis van een doordachte risicoanalyse een maatregel wel of niet wordt uitgevoerd. Vanuit Europa is in deze wetgeving, rondom de bescherming van persoonsgegevens, wel verder uitgebreid en biedt deze meer middelen voor consumenten om de privacy te waarborgen.

Development

Voor webshops is applicatieveiligheid een van de belangrijkste aandachtspunten. Dit begint bij de opleidingsinstituten die developers opleiden. Zo moet Security by Design een verplicht vak zijn, zodat niet alleen de architecturen veilig zijn, maar de developer ook vanuit zichzelf veilige software wil afleveren en de onderneming en anderen daarin meeneemt. Met andere woorden: potentieel onveilige software wordt dan niet meer in gebruik genomen voordat hier de nodige testen op zijn verricht.

Afspraken met leveranciers

Het is als ondernemer van belang om goede afspraken te maken op het gebied van beveiliging. Zoals met zoveel bedrijfsrisico’s is voorkomen beter dan genezen. Het inrichten van het juiste niveau van beveiliging is niet alleen het hooghouden van de reputatie van je organisatie en het vermijden van schade. 

Organisaties besteden veel zaken uit die met bescherming van gegevens en beheer van netwerk- en informatiesystemen te maken hebben. De onderneming blijft echter zelf nog steeds aansprakelijk voor de correcte verwerking, waardoor het weglekken of misbruik van gegevens en systemen een bedrijfsrisico blijft. Afspraken maken met – en toezicht houden op – de leveranciers van specialistische diensten zorgt ervoor dat de afhandeling van betalingen, de gegevensopslag en het beschermen van eventuele bedrijfsgeheimen betrouwbaar en volledig gebeurt. Als ondernemer moet je ook inzien dat je hiervoor moet betalen. Security is geen bijzondere kostenpost, maar net zoiets als kosten voor bijvoorbeeld de huur van je pand.

Fraudepreventie

Naarmate we steeds meer digitaal gaan shoppen, verschuift criminaliteit ook van fysieke retail naar digital commerce. Dit vraagt om informatiedeling in de keten. De behoefte aan het soort informatie over cybersecurity is sterk afhankelijk van de cybermaturity van de organisatie.

Bedrijven die niet of minder volwassen zijn op het gebied van cybersecurity, hebben veelal behoefte aan meer generieke informatie, zoals handreikingen, best practices en stappenplannen. Bedrijven die wel cybermature zijn, hebben juist behoefte aan hoogwaardige informatie over dreigingen en kwetsbaarheden. Vaak hangt de cybervolwassenheid samen met de grootte van het bedrijf, maar dit is niet altijd het geval. De benodigde informatiedeling (vanuit de overheid of door bedrijven onderling) moet passen bij de doelgroep en dus op verschillende niveaus plaatsvinden.

Handhaving of intrinsieke drijver

Ondanks dat er wet- en regelgeving bestaat, is het handhaven daarvan een onmogelijke taak. Afgezien van het feit dat 100% veiligheid niet bestaat, worden er dagelijks zoveel nieuwe applicaties in gebruik genomen, dat dit niet te controleren is. Veiligheid moet daarom vanuit de ondernemingen en leveranciers zelf komen. Het moet normaal worden dat veiligheid de hygiënefactor is waarmee we het vertrouwen kunnen vergroten, zodat online winkelen nog verder wordt omarmd.