Hoe veilig zijn Nederlandse webwinkels eigenlijk?

Op Emerce verscheen gister een artikel over de toenemende invloed van cybercrime in ons land. Hoewel in de media de grootste aandacht uitgaat naar de veiligheid van data bij financiële instellingen lijken maar weinig consumenten zich echt te beseffen dat al onze betalingsgegevens ook in databases van allerlei winkels worden opgeslagen. Hoe veilig zijn creditcardgegevens eigenlijk bij onze Nederlandse webwinkels?

In eerder genoemd artikel wordt afgesloten met de verwijzing naar de Duitse markt. IT-systemen van online reisbureaus bleken lek en creditcardnummers, verloopdata, NAW en CVV-nummers werden gekopieerd naar een onbekende bestemming. Het doet je afvragen hoe vaak dit voorkomt in eigen land en hoe veilig de consument online betalingsystemen en webwinkels acht.

Onderzoek

Recent Brits onderzoek laat zien dat slechts 24% denkt dat zijn of haar betalingsgegevens veilig zijn bij supermarkten. 36% denkt dat de gegevens veilig zijn online retailers als Amazon of eBay. Mijn zoektocht naar Nederlandse cijfers leverde geen direct beeld op van de consument alhier. Kunnen we dat scharen onder naïviteit of desinteresse?

Eind vorig jaar concludeerde Consuwijzer dat online shoppers een groot vertrouwen hebben in webwinkels en dat we het niet echt nodig vinden de betrouwbaarheid te controleren. Gegevens achter de keurmerken worden niet gecontroleerd en weten wat de keurmerken garanderen doen we zeker niet. We volgen ons boerenverstand en hopen dat onze creditcardgegevens niet in Oost-Europa belanden.

Invloed van een keurmerk

Ook Paul Alfering, bij Thuiswinkel.org verantwoordelijk voor betalingsverkeer en veiligheid, bevestigt dit beeld. “In Nederland is een behoorlijk vertrouwen in webwinkels. Hoewel dit niet cijfermatig hard is te maken wijst het gebruik van bijvoorbeeld iDeal hier wel op.” Alfering geeft aan dat dat komt doordat iDeal wordt bestuurd vanuit de eigen vertrouwde bankomgeving. Dat er naast de daadwerkelijke betaling ook allerlei betalingsgegevens op kunnen worden geslagen bij de winkelier zelf lijken weinig mensen zich te beseffen. Volgens Alfering kijkt de consument met name “of het er uit ziet zoals bij anderen.” Thuiswinkel.org raadt natuurlijk aan altijd te kijken naar keurmerken maar, zo weten ook zij, zelfs deze zijn eenvoudig te vervalsen.

Volgens Jasper Weijts van Digisafe wekken de bekende keurmerken met schijnveiligheid allerlei valse verwachtingen. “Thuiswinkel.org claimt jaarlijks de veiligheid van leden na te lopen maar niemand kan het controleren. Zelfs leden zijn niet op de hoogte van resultaten.” Digisafe deed onlangs voor NRC Handelsblad onderzoek naar de beveiliging bij 60 willekeurige leden van verschillende keurmerken. Resultaat: De databases van 12 gecertificeerde webwinkels waren lek.

Verantwoordelijkheid

De betrouwbaarheid van een webwinkel lijkt lastig aan te geven. Met het keurmerk hoopt Digisafe dit bewustzijn te vergroten. “Winkeliers hebben vaak geen idee wie verantwoordelijk is voor de veiligheid. Zijn zij dat zelf? De webhoster? De leverancier van software?” De organisatie is sinds januari actief en controleert  onder andere aan de hand van de meest voorkomende veiligheidspunten volgens OWASP.

De consument lijkt er niet van wakker te liggen. Je kunt het haar nauwelijks kwalijk nemen. Maar wie dan wel? Niemand lijkt zich écht verantwoordelijk te voelen voor de veiligheid van een webwinkel. Het is wachten tot het een keer goed misgaat.