Is SSL verplicht voor contactformulieren? Hoe een Amerikaans initiatief meer rechtszekerheid schept

Johannes Benz Laatst bijgewerkt op 21.01.2020
3 Min.
Contactformulier SSL verplichting Wettelijke veiligheid

Het non-profit Let's Encrypt initiatief uit San Francisco biedt sinds mei dit jaar gratis SSL-certificaten aan. Volgens hun eigen verklaringen is het doel om het internet te democratiseren en veiliger te maken. Zo zorgen de Amerikanen voor meer rechtszekerheid in Europa. Bijvoorbeeld de vraag of SSL verplicht is voor een contactformulier.

HTTPS wordt de nieuwe standaard in het netwerk. Tenminste als de Amerikaanse Internet Security Research Group zijn zin krijgt. Met het Let's Encrypt project wil dit bedrijf elke websitebeheerder wereldwijd voorzien van een gratis SSL-certificaat. Ongeacht de oorsprong of de solvabiliteit.

Vooral nederlandse website-exploitanten kunnen van dit nobele idee profiteren. Dankzij sponsors zoals Facebook, Mozilla of Linux genieten de Let's Encrypt-certificaten een hoge mate van betrouwbaarheid. En de gratis SSL is technisch gezien niet anders dan de betaalde versie.

Zo kunnen ook beheerders van kleinere blogs of bedrijfswebsites genieten van de voordelen van HTTPS: meer snelheid dankzij HTTP/2, meer gegevensbeveiliging en vooral meer rechtszekerheid. Of beter gezegd, minder rechtsonzekerheid, want tot nu toe werden vooral bloggers en exploitanten van kleinere sites geconfronteerd met de vraag of SSL verplicht is voor bijvoorbeeld een contactformulier, en of zij misschien met een waarschuwing zouden kunnen worden bedreigd.

Is SSL-encryptie verplicht?

In Duitsland is het al jaren verplicht om back-ups te maken van gevoelige gegevens. Tenminste in theorie. Omdat volgens §13 van de Telemedia Wet:

"Aanbieders van diensten [...] moeten, voor zover dit technisch mogelijk en economisch redelijk is, in het kader van hun respectieve verantwoordelijkheid voor bedrijfsmatig aangeboden telemedia, door middel van technische en organisatorische voorzorgsmaatregelen ervoor zorgen dat [...] de gebruikte technische voorzieningen [...] worden beveiligd tegen een inbreuk op de bescherming van persoonsgegevens [...]"
- Telemediawet §13

Vooral de onduidelijke formulering heeft bij de Duitse websitebeheerders voor veel onzekerheid gezorgd: Is je eigen blog zakelijk? Vanaf wanneer kan het als zodanig worden geclassificeerd? Wat is er technisch mogelijk? Wat is economisch gezien redelijk? Sommige van deze en andere vragen zijn al uitvoerig besproken. Zonder duidelijk resultaat.

De teneur lijkt echter te zijn: SSL-versleuteling is niet verplicht. Maar alleen een back-up van de gegevens. Dit hoeft niet via een SSL-certificaat te gebeuren. Encryptie van de communicatie tussen de browser en de webserver is echter een zeer goede manier om de gevoelige gegevens van sitebezoekers te beschermen.
Naast de onduidelijke juridische formuleringen is er ook een gebrek aan precedenten.

Het gevaar van een waarschuwing moet vrij laag zijn

Dit heeft ook te maken met problemen van de kant van de autoriteiten. Dit komt omdat de toezichthoudende autoriteiten gewoonlijk eenvoudigweg niet over de middelen beschikken om alle websites in hun bevoegdheidsgebied systematisch op overtredingen te scannen. Het risico dat u daadwerkelijk wordt gewaarschuwd, zou dus vrij laag moeten zijn. Maar: je kunt hier niet zeker van zijn.

Als websitebeheerder kun je je nu effectief en vooral eenvoudig beschermen tegen al deze onberekenbare en juridische grijze gebieden. Omdat de gratis SSL-certificaten van Let's Encrypt het hostinglandschap nederlandse onder druk hebben gezet. En dus hebben hostingbedrijven verschillende mogelijkheden gecreëerd om gratis SSL-certificaten te krijgen.

Theoretisch kan iedereen vandaag een gratis SSL-certificaat kopen

De klanten van de grote en gespecialiseerde Duitse aanbieders hoeven tenminste niet langer te betalen voor eenvoudige SSL-certificaten. Omdat de providers op de gratis SSL uit Amerika hebben gereageerd met ten minste drie verschillende benaderingen:

  • Volledige integratie van Let's Encrypt: Enkele hosters hebben de certificaten van San Francisco volledig in hun aanbod geïntegreerd. Op RAIDBOXES , bijvoorbeeld, kunt u SSL instellen met slechts één klik.
  • Gedeeltelijke integratie van Let's Encrypt: Andere hostingbedrijven hebben rekening gehouden met Let's Encrypt en staan installatie toe. Gedeeltelijk, de Let's Encrypt optie is tarief-afhankelijk. De gratis SSL was hier echter niet geïntegreerd in de gebruikersinterface van de hosting. De gebruiker moet zelf actie ondernemen en zijn gratis SSL-certificaat instellen met behulp van de software genaamd Certbot.
  • Omzeilen van Let's Encrypt: Vooral de grote hosters zoals 1und1 of Mittwald hebben volledig afgezien van de integratie van Let's Encrypt certificaten. In plaats daarvan bieden zij gratis SSL-certificaten aan van hun samenwerkingspartners.

Conclusie: minder bezorgdheid over rechtsonzekerheid voor Nederlandse websitebeheerders

Of je nu een blog, een bedrijfssite of een winkel runt: dankzij de huidige bewegingen in de hostingmarkt hebben veel gebruikers vandaag al gratis certificaten beschikbaar. Deze kunnen worden gebruikt om zeer eenvoudig de juridische onzekerheden rond de Telemediawet en de verplichtingen voor websitebeheerders weg te nemen. Want of het nu gaat om een gratis of betalend certificaat: gevoelige gegevens worden betrouwbaar versleuteld en dus beschermd tegen ongeoorloofde toegang.

Gerelateerde artikelen

Reacties op dit artikel

Laat een opmerking achter

Jouw e-mailadres zal niet worden gepubliceerd. Verplichte velden zijn met een * gemarkeerd.