Honderdduizenden zakelijke websites laten gebruikers gevoelige informatie verzenden zonder dat daarvoor van een beveiligde verbinding gebruik wordt gemaakt, blijkt uit een onderzoek van domeinbeheerder SIDN en MKB Servicedesk dat woensdag wordt gepubliceerd.

SIDN, de stichting die alle .nl-domeinnamen toewijst, voerde een scan uit waarbij 780.000 zakelijke websites werden gevonden. Daarvan accepteren er zo'n 429.000 gevoelige gegevens. Het kan bijvoorbeeld gaan om formulieren waarin naam, adres, telefoonnummer of e-mailadres kunnen worden ingevuld, of om inlogsystemen met gebruikersnamen en wachtwoorden.

Van de websites die gegevens accepteren, doet zo'n 86 procent dat niet via HTTPS, de beveiligingsstandaard die te herkennen is aan een 'slotje' in de browser, naast het webadres. Omdat gegevens onversleuteld worden verstuurd, kunnen ze door kwaadwillenden vrij gemakkelijk worden onderschept.

SSL-certificaat
Het is in Nederland wettelijk verplicht om persoonsgegevens goed te beveiligen. In het ernstigste geval kan de toezichthouder Autoriteit Persoonsgegevens boetes opleggen als dat niet gebeurt.

Ruim 80.000 webwinkels die door SIDN werden gecontroleerd, gebruikten wel allemaal een SSL-verbinding voor het afronden van betalingen. Dat is ook een eis van de organisaties die het betalingsverkeer afhandelen.

Google
Volgens Willem Overbosch, directeur van de MKB Servicedesk, is databeveiliging niet de enige reden om een HTTPS-verbinding in te voeren. Ook in de Google-zoekresultaten worden sites zonder beveiligde verbinding tegenwoordig 'gestraft' met een lagere plaatsing. Browsers Chrome en Firefox waarschuwen als een website niet met een HTTPS-verbinding beveiligd is.

"Steek je als ondernemer veel geld in je online vindbaarheid, dan is het wel heel zonde als je om deze redenen toch klandizie misloopt", aldus Overbosch. "Met een paar simpele stappen en tegengeringe kosten of soms zelfs gratis is het voor elkaar. Er is dus eigenlijk geen enkele reden meer om dit niet geregeld te hebben."

Overheid
Uit een vergelijkbaar onderzoek bleek onlangs dat minder dan de helft van de overheidsdomeinen een HTTPS-verbinding gebruikt. Bij veel van de onbeveiligde sites konden echter geen gevoelige gegevens worden opgestuurd.

Overheidssites die dat wel mogelijk maken, moeten eind 2017 verplicht een beveiligde verbinding aanbieden. Minister Plasterk (Binnenlandse Zaken) wil beveiligde verbindingen in de toekomst voor alle overheidssites verplichten.

Zorgwekkend
Een woordvoerder van de Autoriteit Persoonsgegevens (AP) benadrukt in een reactie dat het verplicht is om persoonsgegevens goed te beveiligen. "Deze cijfers verbazen ons niet, maar vinden wij wel zorgwekkend."

Organisaties moeten blijvend aandacht besteden aan beveiliging, stelt de zegsvrouw, bijvoorbeeld door software regelmatig te voorzien van updates. De AP waarschuwt dat de "correctiemogelijkheden" van de toezichthouder vanaf 2018 een stuk groter worden, door de invoering van Europese privacyregels.