Techniek

Communicatie via internet is niet zonder risico’s. Die risico’s kun je beperken door, zoals de AVG voorschrijft, passende maatregelen maatregelen te nemen. Onderdeel van die passende maatregelen is het gebruik van voorgeschreven standaarden bij de inrichting (en laten werken) van een website. Ook voor het verminderen van de risico’s bij het uitwisselen van e-mailberichten moeten voorgeschreven standaarden worden gebruikt. Maar hoe kom je er achter dat die standaarden ook daadwerkelijk worden toegepast en jouw recht op een veilige verbinding en mailuitwisseling wordt gerespecteerd? Gelukkig zijn er initiatieven om je daarbij te helpen. Door te klikken op de badges die je onderaan iedere pagina van deze site aantreft kun je zien dat de site en mailserver van privacyovereenkomst.nl voor de volle 100% voldoen aan eisen. Dankzij een initiatief van het Platform Internetstandaarden is dit domein opgenomen in de Hall of Fame van domeinen die het helemaal voor elkaar hebben.

Platform Internetstandaarden

Het Platform Internetstandaarden legt bezoekers op een uit wat het belang is van het toepassen van voorgeschreven standaarden voor het Internet. Ook worden ze ook in staat gesteld om te checken:

  • hoe het is gesteld met de eigen verbinding [zie de toelichting]
  • of een website met de voorgeschreven standaarden is toegerust [zie de toelichting] of
  • een mailvoorziening van dat (of een ander) domein van de voorgeschreven standaarden gebruik maakt (bv om phishing te voorkomen) [zie deze toelichting]

Het resultaat van een websitetest is direct zichtbaar en wordt uitgedrukt in een percentage. Is die 100%, dan wordt het domein opgenomen in de Hall of Fame websites. Voor een succesvolle mailtest in de Hall of Fame E-mail. Wordt voor beide tests 100% gescoord, dan volgt opname in de Hall of Fame Kampioenen en verwerf je het recht om dat kenbaar te maken met een badge. In de footer van deze site zie je badges, die ik voor deze gelegenheid ook aanklikbaar heb gemaakt zodat je kunt zien dat inderdaad aan alle voorgeschreven eisen wordt voldaan.

Het initiatief (basisbeveiliging.nl) richt zich op de grotere organisaties (overheid, gemeenten, provincies en ziekenhuizen). In tegenstelling tot de testomgeving internet.nl, is het niet mogelijk om als bezoeker een willekeurig domein aan een test te onderwerpen. Basisbeveiliging.nl toont naast testresultaten, de naam van de betreffende organisatie, de vestigingsplaats en de gebruikte domeinen per sector in een topografische map. Daarmee wordt bezoekers de mogelijkheid geboden om op verschillende manieren te zoeken. In tegenstelling tot de Hall of Fame van internet.nl, worden de domeinen van een sector met elkaar vergeleken. Resultaat van die vergelijking komt tot uitdrukking in een pagina met de best scorende en slechtst scorende organisatie. Door een aantal partijen wordt voor de dienst betaald. Betalende organisaties beschikken over een scala aan extra functionaliteiten waaronder het ontvangen van notificaties en een geconstateerde afwijking toe te lichten volgens het “Pas toe of leg uit” principe.

In de praktijk blijken de testomgeving en de Hall of Fame van internet.nl betekenisvolle instrumenten voor het op gang brengen van de dialoog tussen domeinhouders en beheerders van hun website en/of ISP. Ook geeft de uitkomst van de tests steun in de rug van betrokkenen die meer willen weten of specifieke vragen hebben over de de verwerking van de eigen persoonsgegevens dan wel die van hun zoon of dochter of ander familielid. 

Een toenemend aantal organisaties ziet het belang van de voorgeschreven standaarden voor de beveiliging van de communicatie met hun relaties (ingezetenen, medewerkers, patiënten, leden of klanten). Die organisaties willen dan ook graag dat hun domein vermeld wordt in de Hall of Fame Kampioenen en dat de beide 100% badges kunnen worden gebruikt in hun communicatie uitingen naar hun relaties [zie deze toelichting]. Als houder van een domein heb je echter niet alles zelf in de hand. Voor bepaalde onderdelen van de test (in het bijzonder bij de mailtest) ben je afhankelijk van je Internet Service Provider (Host). En als die niet biedt wat de (op dit moment 39) providers bieden die op deze pagina worden vermeld, heb je een probleem.

Je zou verwachten dat iedere partij die hosting diensten aanbiedt er als de kippen bij is om opgenomen te worden in de Hall of Fame Hosters. Vermelding is niet alleen een mooi visitekaartje voor de host zelf, maar ook voor de organisaties aan wie diensten worden geleverd en diens relaties. Bovendien: als er één partij zich bewust is van alle risico’s die samenhangen met “oude” en daardoor onveilige protocollen en standaarden, dan is dat een ISP. In de praktijk blijkt dat soms toch anders te liggen. Voor sommige hostende partijen blijkt het (nog) geen vanzelfsprekendheid om klanten, die de communicatie met hun relaties optimaal willen beveiligen, daartoe in staat te stellen zoals de ISP’s op deze pagina.

Als je ISP geen perspectief biedt is dat vervelend, vooral omdat de overstap naar een andere ISP soms best enige voeten in de aarde kan hebben. Word je geconfronteerd met zo’n situatie blijf dan toch aandringen en wijs de ISP op het belang voor hem zelf, voor jou als klant, maar vooral ook voor de relaties waarmee je communiceert.

Maak ook duidelijk dat je niet wilt dat die relaties je de rug toekeren of zich niet bij je melden omdat jij niet biedt wat de AVG wettelijk voorschrijft: passende technische maatregelen”, om “een, op het risico afgestemd beveiligingsniveau te waarborgen” (AVG artikel 25).