|
|
Internetwinkels - Beveiliging van betalingsgegevens - Versleutelen van adresgegevens - Controle
internet
elektronische handel
internetsite
gegevensbescherming
elektronisch betaalmiddel
elektronische bankhandeling
computercriminaliteit
codering van informatie
| 23/12/2009 | Verzending vraag (Einde van de antwoordtermijn: 25/1/2010) |
| 8/2/2010 | Antwoord |
Volgens Networking4all, een Nederlands bedrijf dat alle internetwinkels controleerde waar klanten met een interfacesysteem direct via de eigen bank kunnen betalen, hebben vooral kleine aanbieders de betalingsbeveiliging niet onder controle. De meeste bekende winkels op internet hebben wel een secure sockets layer (SSL)-verbinding: een internetter ziet dan een slotje verschijnen, of de letters " https " in het adresveld. Hij weet dan dat niemand de verstuurde gegevens kan aftappen.
Gegevens als naam, adres, telefoonnummer en e-mail-adres worden bij slecht beveiligde websites onversleuteld verzonden. Kwaadwillende personen kunnen meelezen en bijvoorbeeld het afleveradres veranderen of met de gestolen identiteit aankopen uitvoeren.
Graag kreeg ik van de geachte minister een uitvoerig en duidelijk antwoord op volgende vragen:
1. Welke maatregelen dienen Belgische webshops wettelijk te nemen om de betalingsgegevens van hun klanten te beschermen?
2. Is hij op de hoogte van het percentage Belgische webwinkels die een veilige website hebben? Kan hij hieromtrent cijfers geven? Als hij niet op de hoogte zou zijn van precieze cijfers, wat is in het algemeen zijn mening daarover?
3. Is het waar dat webwinkels wettelijk verplicht zijn om persoonsgegevens te versleutelen? Hoe gaat dit versleutelen technisch in zijn werk? Kunnen deze webwinkels dit versleutelen eenvoudig toepassen?
4. Wie is verantwoordelijk voor de toezicht op deze webwinkels? Als er geen toezichthouder is, is dat een wenselijke situatie aangezien er sprake is van een wettelijke plicht? Als er wel een toezichthouder is, kan dan gezegd worden dat deze heeft gefaald?
5. Zijn er getallen bekent over het aantal klanten van deze webwinkels die slachtoffer zijn geworden van fraude door de laakbare houding van de webwinkels? Zo ja, kan hij deze meedelen? Zo nee, wil hij daar naar laten kijken?
Ik verwijs naar de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (Privacywet). Artikel 16 §4 zegt: “Om de veiligheid van de persoonsgegevens te waarborgen, moeten de verantwoordelijke van de verwerking, en in voorkomend geval zijn vertegenwoordiger in België, alsmede de verwerker, de gepaste technische en organisatorische maatregelen treffen die nodig zijn voor de bescherming van de persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens. Deze maatregelen moeten een passend beveiligingsniveau verzekeren, rekening houdend, enerzijds, met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico's, enz.”. Deze regel geldt niet enkel voor de bewaring van gegevens bij de webwinkels, maar ook voor de overdracht van betalings-, adres-en andere gegevens via de webwinkel. De Commissie voor de bescherming van de persoonlijke levenssfeer houdt toezicht over de naleving van deze wet.
85 % van alle Belgische webwinkels is uitgerust met een beveiligd online-betaalsysteem van de belangrijkste Belgische dienstverlener op dit vlak.
Voor wat betreft de wettelijke verplichtingen verwijs ik naar mijn antwoord in punt 1. De Federale Overheidsdienst (FOD) Economie heeft een “Gids voor websitehouders” uitgegeven, te raadplegen op http://economie.fgov.be/nl/binaries/designers_internetguide_nl_tcm325-36214.pdf. In deze gids wordt ook de problematiek van de beveiliging van betaal- en andere gegevens besproken. Samenvattend wordt erin het volgende vermeld :
Er bestaan twee grote standaarden voor de beveiliging van betalingen op netwerken : SSL en SET.
SSL (Secure Sockets Layer) : Dit is een protocol dat zorgt voor de betrouwbaarheid en integriteit van online overgedragen gegevens door het coderen van die gegevens (via een digitale handtekening). Dit efficiënt systeem kent een ruime verspreiding op de netwerken en wordt door de grote meerderheid van de providers gebruikt. Dankzij die standaard circuleren de bankgegevens - kaartnummer en vervaldatum - in gecodeerde vorm op de netwerken. Als de gegevens tijdens de overdracht door een derde worden onderschept, kan hij ze niet ontcijferen.
SET (Secure Electronic Transaction): Deze standaard werd specifiek ontworpen om onlinekaartbetalingen te beveiligen. De verkoper heeft met dit systeem geen toegang tot de bankgegevens van de klant. Dit voorkomt hacking van in een databank opgeslagen bankgegevens. Die gegevens worden namelijk rechtstreeks in gecodeerde vorm naar de uitgever van de kredietkaart gestuurd. Alleen hij kan ze ontcijferen om de geldigheid van de verrichting na te gaan. De SET-standaard maakt het ook mogelijk de klant online te identificeren dankzij een certificaat. Zo kan niemand anders dan de klant met zijn kredietkaart betalen.
Dit systeem wordt ook gebruikt met een chipkaartlezer voor internetbetalingen met een debetkaart. Het is heel gebruiksvriendelijk en de klant moet er geen software op zijn computer voor installeren. Om zijn aankopen op een site te vereffenen, hoeft de klant enkel een hyperlink aan te klikken en wordt hij meteen doorverwezen naar het beveiligd betaalplatform. Via een in de website ingebouwd programma worden alle gegevens over de aankoop (prijs, identificatie van de verkoper, enz.) veilig doorgegeven aan dit betaalplatform. Daarop voert de klant zijn bankgegevens (kaartnummer, vervaldatum en kaarttype) rechtstreeks in op de beveiligde server en niet op de site van de verkoper. Zo kunnen eventuele hackers die gegevens niet bemachtigen. Vervolgens bevestigt het betaalplatform de verkoper dat de betaling geldig werd geregistreerd.
De Cel “Internetbewaking” van de Algemene Directie Controle en Bemiddeling van de FOD Economie controleert de webwinkels op het vlak van de naleving van de economische regelgeving. Voor inbreuken op de wet van 14 juli 1991 betreffende de handelspraktijken en de voorlichting en bescherming van de consument, voor inbreuken op de wet van 11 maart 2003 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, alsook voor inbreuken op de hierboven vermelde privacywet zijn strafrechtelijke sancties voorzien.
De Algemene Directie Controle en Bemiddeling van de FOD Economie heeft voor wat betreft de in de vraag van het geachte lid geschetste problematiek geen klachten van klanten van webwinkels ontvangen.