Ik hoor het regelmatig van klanten: ze zijn ineens bezig met een fantastisch website redesign. Uitgevoerd door een top notch bureau uiteraard. En negen van de tien keer hebben ze geen idee wat voor dra-ma-ti-sche consequenties dat kan hebben.

Oke, ik chargeer. Maar het kan echt goed fout gaan, al merken klant en bureau dat vaak pas maanden na het succesvolle live gaan van de site. Er is één aspect dat iedereen lijkt te vergeten bij het (re)designen, wat de klant serieus in de problemen kan brengen. En wat de relatie met het bureau serieus kan verzieken.

Niet sexy

De focus van website (re)design ligt voor klant en agency op usability, analytics en conversie – de sexy stuff. Maar wie houdt security & privacy in het oog? Het minder flitsende aspect van een nieuw ontwerp valt vaak tussen wal en schip. De klant vertrouwt er blind op dat het design qua beveiliging voldoet, en de agency gaat ervan uit dat de klant dit in de gaten houdt. In de praktijk blijkt vaak dat géén van beide partijen zich bij het design bekommert om privacy en security. Tot het eerste datalek zich aandient. En dan is het vingers wijzen.

Keuzes en consequenties

Bij een (re)design kiest het bureau voor bepaalde features, plugins en extensies. Omdat via sites steeds vaker persoonsgegevens worden verwerkt (o.a. via responseformulieren) hebben die keuzes consequenties voor privacy en security. Zo wordt een agency ongemerkt ‘eindverantwoordelijke’ voor de betrouwbaarheid en beveiliging van de website van de klant, plus de data die ermee verwerkt wordt.

‘Hebben jullie dan niet…?’ De klant moet persoonsgegevens volgens artikel 32 van de AVG adequaat beschermen, maar is niet de architect van het domein. Een lekke plugin kan dan een jaar na oplevering de relatie met de klant opeens zwaar onder druk zetten. Want, wie is aansprakelijk? Simpel: wie daarvoor in het projectplan dusdanig aangewezen is. Oh… niemand!

De meest gemaakte fout bij website redesign

Security & privacy staan zelden als deliverable beschreven in het projectplan, er is geen budget voor gealloceerd en er wordt ook geen controle of audit op gedaan bij het live gaan van de website. Oeps! Er is gelukkig een niet al te complexe oplossing voor.

Veiligheid afdekken bij de (re)design van een domein

Je kunt missers makkelijk voorkomen door een duidelijk beveiligingsprotocol mee te nemen in het (re)design projectplan. Dat kan relatief eenvoudig als je de valkuilen en criteria helder op een rijtje hebt. Met een praktische checklist als controle-instrument, kun je direct een assessment of audit doen van alle beveiligingsmaatregelen; dit geldt als belangrijk bewijsstuk voor de artikel 32 verplichting onder de AVG. Het bureau kan dit als service aanbieden, of het aan de klant zelf adviseren en overlaten.

Website & Domain Security Checklist

Wat behelst zo’n checklist? Een uitgekiende verzameling controlevragen, waarbij je moet denken aan:

  • Is er een up to date SSL-certificaat en wanneer verloopt dat?
  • Zijn er aparte gebruikersrollen gedefinieerd voor toegang tot de website?
  • Welke plugins kunnen persoonsgegevens verwerken en hoe is dat contractueel geregeld met de ontwikkelaars?

Zelf kom je vast een heel eind als je ervoor gaat zitten. Of als je geïnteresseerd bent in toegankelijke privacy-oplossingen voor jullie klanten, dan kun je ook bij ons de volledige Website & Domain Security Checklist vóór 01 juni 2021 opvragen.

Wat je ook doet, je weet nu beter. Webdesign kan niet meer worden los gezien van websitebeveiliging. Door het voor iedereen inzichtelijk te maken help je je klanten, je bureau én de onderlinge relatie.

Mail me voor de complete lijst!

Gert-Jan Kroese

Co-Founder at Privacy Valley

Publicatiedatum: 18-05-2021

Nieuwsbrief

Meld je aan voor onze nieuwsbrief en blijf op de hoogte van de laatste ontwikkelingen en events!