Op 25 mei treedt de nieuwe privacywet Algemene vordering Gegevensbescherming (AVG) in werking. Voor veel bedrijven, instellingen, de overheid, maar ook zeker verenigingen betekent dit dat er veel geregeld moet worden. Vooral online is het zaak om te zorgen dat de hosting- en mailservers up-to-date zijn. Op internet.nl kunnen websites en mailservers gescand worden. Hier verwijst de website autoriteitpersoonsgegevens.nl ook naar. Pixelsz heeft op 2 april voor alle voetbalclubs in de provincie Groningen deze test uitgevoerd. Tot grote schrik blijken er maar 2 van de 139 clubs 100% veilig te zijn. Daarnaast is er getest of er ook privacygevoelige informatie verzonden wordt met digitale formulieren.
In dit korte rapport geven wij onze bevindingen weer en is een overzicht te zien van alle uitkomsten per club.
Websitecheck beveiliging server
Waarom de websitecheck. Verenigingen zijn tegenwoordig afhankelijk van hun clubwebsite om in contact te blijven met de leden, maar ook om mededelingen te doen zoals de te spelen wedstrijden, afgelastingen en het nieuws. Hierdoor komen er dagelijks honderden leden op de clubwebsites. Bij het niet juist beveiligen van deze sites lopen de apparaten van de bezoekers gevaar om geïnfecteerd te raken, waardoor er privacygevoelige informatie van het apparaat (computer of telefoon) gehaald kan worden. Ook kan er spam verstuurd worden of in de ergste gevallen de computer gegijzeld worden met randsomware. We moeten websites dus beter beveiligen tegen dergelijk risico’s en gevaren. Slechts 47 clubwebsites scoorden een voldoende in de test die we hebben uitgevoerd. Dat betekent dat 92 clubwebsites draaien op een server die niet aan de hedendaagse standaarden voldoet of met de juiste technieken is beveiligd.
De test die we hebben uitgevoerd gaat niet dieper in op het systeem van de website zelf of de staat van de update’s. Wij hebben met de test (internet.nl) gekeken naar de beveiliging van de server waarop de website wordt gehost en of deze werkt met moderne standaarden.
Veiligheid mailserver
Via de mail worden regelmatig persoonsgegevens uitgewisseld die eigenlijk niet openbaar mogen worden. Als vereniging ben je verantwoordelijk voor het veilig verzenden van deze informatie. Het is daarom zaak te zorgen dat er maatregelen worden getroffen om onbevoegden buiten de deur te houden. Je wil immers niet dat e-mails onderschept worden door een kwaadwillende. Door er voor te zorgen dat je mailinstellingen voldoen aan de moderne internetstandaarden ben je hierop voorbereid. Dit is te controleren via internet.nl/test-mail
Uit ons onderzoek blijkt dat 82 clubs, 50% of minder scoren in de test en hier niet aan voldoen. Deze clubs versturen via mailadressen die gekoppeld zijn aan hun url (bijvoorbeeld: naam@mijn-club.nl) geen veilige e-mails.
HTTPS beveiliging ontbreekt.
HTTPS is iets wat niet meer mag ontbreken op een website. Met HTTPS is een website beveiligd met een SSL-certificaat waardoor er geen gegevens onderschept kunnen worden van de bezoeker van een website. Voorbeeld: je stelt een vraag aan de club via het contactformulier. Als je dit doet op een website zonder een HTTPS certificaat dan kunnen de gegevens op moment van verzending worden onderschept of onderweg worden aangepast. Voor een onschuldig contactformulier is dit nog niet zo’n heel groot probleem, tenzij je er gegevens in vermeld die anderen niets aangaat, maar bij het verzenden kunnen ze wel je naam, mailadres en misschien je telefoonnummer achterhalen. Een groter probleem wordt het als je je digitaal kunt aanmelden op de clubwebsite. Dit was in 25 van de geteste websites het geval. Bank-, adres- en andere persoonsgegevens zoals een ID-nummer zijn verplichte velden om in te vullen en dit zijn toch wel serieuze persoonsgegevens.
Van de 139 voetbalclubs die wij hebben gecontroleerd blijkt dat 102 geen HTTPS beveiliging op hun website te hebben. 25 van deze clubsites maken ook nog eens gebruik van een digitaal inschrijfformulier. Deze websites lopen dan ook een direct risico. Deze 25 clubs zouden per direct moeten stoppen met hun digitale inschrijfformulier tot de site voldoende is beveiligd.
Conclusie
Het merendeel van de voetbalclubs heeft de zaakjes niet op orde als het gaat om de online beveiliging van hun website en mail. Je moet als bezoeker van een clubwebsite dan ook goed controleren of je veilig je gegevens in kan vullen of op kan sturen via de mail.
In onderstaande PDF download is per club het resultaat van de verschillende tests te bekijken. Staat jouw club er niet bij, heb je vragen over het onderzoek of wil je dat jouw clubwebsite 100% beveiligd is? Neem gerust contact met ons op.
