Wijzigingen door nieuwe Europese privacywet

17 mei 2018

Per 25 mei 2018 wordt de nieuwe Europese privacywet van kracht, in Nederland de Algemene Verordening Gegevensbescherming (AVG) genoemd. Wat wijzigt er voor jou als klant en op het gebied van SSL?

Waarom nieuwe wetgeving?

Er is al erg veel over geschreven: de AVG of GDPR. Deze vervangt in Nederland de Wet bescherming persoonsgegevens (WBP). Op dit moment hebben de Europese lidstaten ieder hun nationale wetten, gebaseerd op de Europese privacyrichtlijn uit 1995. Vanaf 25 mei 2018 geldt dezelfde privacywetgeving in de gehele EU. Iedereen die persoonsgegevens verzamelt en verwerkt door middel van een website, CRM of interne database is verplicht om aan de nieuwe wetgeving te voldoen. De GDPR moet de privacyrechten verbeteren en uitbreiden, en legt hiervoor meer verantwoordelijkheid bij organisaties. Daarnaast krijgen alle Europese privacytoezichthouders dezelfde bevoegdheden, en mogen ze bijvoorbeeld boetes tot 20 miljoen opleggen bij overtreding van de privacywet.

Wijzigingen in validatieproces

Voor uitgifte van een certificaat controleren we of de aanvrager controle heeft over het domein waar de aanvraag voor is. De meestgebruikte methode voor deze domein validatie is e-mail validatie, waarbij we een DCV (Domain Control Validation) mail naar het opgegeven e-mailadres sturen die bevestigd moet worden door te klikken op een link in de e-mail.

Toegestane e-mailadressen voor domein validatie zijn admin-, administrator-, hostmaster-, postmaster-, webmaster@domeinnaam.tld. Daarnaast mogen de e-mailadressen die in het Whois register geregistreerd zijn voor de domeinnaam gebruikt worden, dus een technisch of administratief contactpersoon. Om te voldoen aan de GDPR tonen enkele registrars de e-mail adressen van een technisch of administratief contactpersoon nu niet meer, omdat het persoonsgegevens zijn. In deze gevallen kunnen wij deze e-mailadressen dus niet meer controleren. Om mogelijke vertraging in de certificaatuitgifte voorkomen adviseren we je gebruik te maken van één van de 5 standaard e-mail adressen. Voor Comodo certificaten kun je als alternatief voor e-mail validatie gebruik maken van CNAME of bestandsvalidatie.

Wat wijzigt er verder voor jou als klant?

Xolphin is ISO 9001:2015, ISO 27001:2013 en WebTrust  gecertificeerd en voor het behalen en behouden van deze certificeringen is privacy een belangrijke waarde. Het aanpassen van onze voorwaarden was daarom niet nodig. Onze Privacy Policy en andere voorwaarden lees je hier.

Wat wijzigt er specifiek voor onze resellers?

Koop je bij ons (ook) producten voor jouw klanten? We zijn verplicht met onze resellers een zogenaamde Verwerkersovereenkomst aan te gaan, omdat wij bepaalde gegevens van jouw klanten opslaan en verwerken. In deze Verwerkersovereenkomst zijn onze wettelijke verplichtingen op dit gebied helder vastgelegd. Je kunt de overeenkomst gemakkelijk ondertekenen in het Control Panel. Let op: ook als je met een standaard (niet-reseller) account bij ons inkoopt voor derde partijen, ben je wettelijk gezien een wederverkoper.

Wat is de impact op onze producten?

Het veilig omgaan met gegevens van klanten was uiteraard altijd al belangrijk, maar het onveilig omgaan met klantgegevens kan door deze wet nu zwaarder worden bestraft. Zoals wel vaker met wetgeving, wordt het gebruik van een SSL certificaat niet specifiek benoemd. Wel ben je verantwoordelijk voor het nemen van maatregelen om misbruik van klantgegevens te voorkomen. De enige breed inzetbare oplossing voor het beveiligen van de verzending van gegevens via websites is https://. Daarom stelt de Autoriteit Persoonsgegevens ook: ''Als u persoonsgegevens verzamelt via uw website, moet u in ieder geval https gebruiken. Zo voorkomt u dat onbevoegde derden mee kunnen lezen met het verkeer naar uw website.''  Alle invulvelden op je website moeten dus bereikbaar zijn via https://. Naast veilige verzending van gegevens is het van belang je website vrij te houden van malware en andere schadelijke code, om te voorkomen dat data gestolen wordt of malware verspreidt. Hiervoor kun je je website regelmatig controleren met een vulnerability scan of penetration test.

Heb je nog vragen? Neem dan even contact met ons op!