Techniek

Communicatie via internet kent risico’s die, zoals de AVG voorschrijft, passende maatregelen verlangen om “een, op het risico afgestemd beveiligingsniveau te waarborgen“. Onderdeel van die passende maatregelen is het gebruik van voorgeschreven standaarden bij de inrichting en laten werken van een website en het systeem dat de uitwisselen van berichten verzorgt (mailserver). Maar hoe kom je er achter dat die standaarden ook daadwerkelijk worden toegepast. Hoe stel je vast of jouw recht op een veilige verbinding en mailuitwisseling wordt gerespecteerd? Het Platform Internetstandaarden en de Internet Cleanup Foundation bieden hulp.

Platform Internetstandaarden

Het initiatief internet.nl is een site waar bezoekers op een, voor zoveel mogelijke mensen begrijpelijke manier, worden geïnformeerd over het belang van de juiste standaarden. Bezoekers worden ook in staat gesteld om te checken:

  • hoe het is gesteld met de eigen verbinding [zie de toelichting]
  • of een website met de voorgeschreven standaarden is toegerust [zie de toelichting] of
  • een mailvoorziening van dat (of een ander) domein van de voorgeschreven standaarden gebruik maakt (bv om phishing te voorkomen) [zie deze toelichting]

Het resultaat van een websitetest is direct zichtbaar en wordt uitgedrukt in een percentage. Is die 100%, dan wordt het domein opgenomen in de Hall of Fame websites. Voor een succesvolle mailtest in de Hall of Fame E-mail. Wordt voor beide tests 100% gescoord, dan volgt opname in de Hall of Fame Kampioenen en verwerf je het recht om dat kenbaar te maken met een badge. In de footer van deze site zie je badges, die ik voor deze gelegenheid ook aanklikbaar heb gemaakt zodat je kunt zien dat inderdaad aan alle voorgeschreven eisen wordt voldaan.

Het initiatief (basisbeveiliging.nl) richt zich op de grotere organisaties (overheid, gemeenten, provincies en ziekenhuizen). In tegenstelling tot de testomgeving internet.nl, is het niet mogelijk om als bezoeker een willekeurig domein aan een test te onderwerpen. Basisbeveiliging.nl toont naast testresultaten, de naam van de betreffende organisatie, de vestigingsplaats en de gebruikte domeinen per sector in een topografische map. Daarmee wordt bezoekers de mogelijkheid geboden om op verschillende manieren te zoeken. In tegenstelling tot de Hall of Fame van internet.nl, worden de domeinen van een sector met elkaar vergeleken. Resultaat van die vergelijking komt tot uitdrukking in een pagina met de best scorende en slechtst scorende organisatie. Door een aantal partijen wordt voor de dienst betaald. Betalende organisaties beschikken over een scala aan extra functionaliteiten waaronder het ontvangen van notificaties en een geconstateerde afwijking toe te lichten volgens het “Pas toe of leg uit” principe.

In de praktijk blijken de testomgeving en de Hall of Fame van internet.nl betekenisvolle instrumenten voor het op gang brengen van de dialoog tussen domeinhouders en beheerders van hun website en/of ISP. Ook geeft de uitkomst van de tests steun in de rug van betrokkenen die meer willen weten of specifieke vragen hebben over de de verwerking van de eigen persoonsgegevens dan wel die van hun zoon of dochter of ander familielid. 

Een toenemend aantal organisaties ziet het belang van de voorgeschreven standaarden voor de beveiliging van de communicatie met hun relaties (ingezetenen, medewerkers, patiënten, leden of klanten). Die organisaties willen dan ook graag dat hun domein vermeld wordt in de Hall of Fame Kampioenen en dat de beide 100% badges kunnen worden gebruikt in hun communicatie uitingen naar hun relaties [zie deze toelichting]. Als houder van een domein heb je echter niet alles zelf in de hand. Voor bepaalde onderdelen van de test (in het bijzonder bij de mailtest) ben je afhankelijk van je Internet Service Provider (Host). En als die niet biedt wat de (op dit moment 39) providers bieden die op deze pagina worden vermeld, heb je een probleem.

Je zou verwachten dat iedere partij die hosting diensten aanbiedt er als de kippen bij is om opgenomen te worden in de Hall of Fame Hosters. Vermelding is niet alleen een mooi visitekaartje voor de host zelf, maar ook voor de organisaties aan wie diensten worden geleverd en diens relaties. Bovendien: als er één partij zich bewust is van alle risico’s die samenhangen met “oude” en daardoor onveilige protocollen en standaarden, dan is dat een ISP. In de praktijk blijkt dat soms toch anders te liggen. Voor sommige hostende partijen blijkt het (nog) geen vanzelfsprekendheid om klanten, die de communicatie met hun relaties optimaal willen beveiligen, daartoe in staat te stellen zoals de ISP’s op deze pagina.

Als je ISP geen perspectief biedt is dat vervelend, vooral omdat de overstap naar een andere ISP soms best enige voeten in de aarde kan hebben. Word je geconfronteerd met zo’n situatie blijf dan toch aandringen en wijs de ISP op het belang voor hem zelf, voor jou als klant, maar vooral ook voor de relaties waarmee je communiceert.

Maak ook duidelijk dat je niet wilt dat die relaties je de rug toekeren of zich niet bij je melden omdat jij niet biedt wat de AVG wettelijk voorschrijft: passende technische maatregelen”, om “een, op het risico afgestemd beveiligingsniveau te waarborgen” (AVG artikel 25).