Hoe zorg je ervoor dat een website toegankelijk blijft en tegelijkertijd veilig is? In deze boeiende workshop alles over online veiligheid, privacy en cookie wetgeving. Hoe veilig is jullie website? Wie heeft jullie website ontwikkeld en onderhoudt ‘m? Tot welke gegevens heeft deze persoon of organisatie toegang? Welke risico’s lopen jullie en kunnen jullie de gevolgen van het niet goed beschermen van gegevens goed overzien?

1. Cookiewetgeving
Een korte blik in de cookiejungle
Academy Oost, 16 april 2013
Frank van Doorn

2. › De cookiewetgeving per 5 juni 2012
› Voorbeelden
› Ontwikkelingen sinds de invoering
› Wat moet ik als bedrijf doen?
AGENDA

3. › 2009: Introductie nieuwe wetgeving op Europees
niveau over het gebruik van cookies
› 5 juni 2012: Omzetting naar Nederlands recht
Europese wetgeving

4. › Het is niet toegestaan om content (dus niet alleen cookies) te
plaatsen op of uit lezen van randapparatuur (PC’s en andere
devices) van een gebruiker in Nederland zonder toestemming
vooraf van de gebruiker, als deze cookies niet functioneel zijn
› Naast cookies gaat dit dus ook om geïnstalleerde apps en/of
plugins, informatie opgeslagen over screen size, OS, browser
type -> device fingerprinting
› De gebruiker moet volledig worden geïnformeerd en moet
vooraf toestemming geven (opt in)
Wat zegt de nieuwe wet?
(Artikel 11.7a van de Telecommunicatiewet)

5. › Een cookie is een hoeveelheid data die een server naar de
browser stuurt met de bedoeling dat deze opgeslagen wordt
en bij een volgend bezoek weer naar de server teruggestuurd
wordt.
› Cookies worden gebruikt voor:
‐ het onthouden van loginnaam of instellingen
‐ het vergaren van surfinformatie (profiling)
‐ het koppelen van een browser aan tijdelijke variabelen op de server (session cookie)
Wat is een cookie?

6. › Websites moeten per direct voldoen aan twee verplichtingen
voor niet functionele cookies:
‐ Informeren: het verstrekken van duidelijke en volledige informatie
over welke cookies waarvoor nodig zijn
‐ Toestemming: er dient toestemming gevraagd te worden voor het
plaatsen van cookies
› Wat is “functioneel”?
‐ Definitie is behoorlijk streng: “indien de cookie strikt noodzakelijk is
voor de uitvoering van de gevraagde dienst”
‐ Voorbeelden: language selector, shopping cart, login, onthouden
input gebruiker (b.v. formulieren)
Verplichtingen

7. › Alleen first party cookies en sessie cookies zijn toegestaan
(levensduur van de cookie mag niet langer zijn dan nodig voor het doel)
› Alleen functionele/noodzakelijke cookies zijn toegestaan
› Third party cookies zijn per definitie niet functioneel (b.v. Google Analytics)
› Cookie plaatsen om vast te leggen dat je geen cookies mag plaatsen is als enige
uitzondering wel toegestaan
› Toestemming voor meerdere domeinen en diensten tegelijk mag
› Website moet voorzien in het veranderen van cookie voorkeuren
› Je hebt als website eigenaar het recht om bezoekers toegang te weigeren
› Social plugins mogen, mits je ingelogd bent op het sociale netwerk (b.v. “Like”)
› Intranetten en extranetten: onduidelijk gebied
Toestemming?

8. › De verplichting om te voldoen aan de cookiewet rust op
diegene die verantwoordelijk is voor het plaatsen van cookies
en voor het verkrijgen van toegang tot de opgeslagen
gegevens.
› Echter, de OPTA klopt aan bij de website owner indien men het
vermoeden heeft dat er een overtreding is, niet bij de partij
die de website heeft gebouwd en/of in beheer heeft
‐ Met ingang van 2013 (vooralsnog alleen handhaven tegen schrijnende gevallen)
‐ Op eigen initiatief of na klachten gebruikers
‐ OPTA waarschuwt voor boetes uit te delen
‐ Maximale boete: EUR 450.000 per type overtreding
Verantwoordelijkheid

9. › De wet geldt voor Nederlandse gebruikers
‐ En als mijn bedrijf in Duitsland zit?
‐ Of als mijn website internationaal is?
‐ En ik host mijn website in een ander land?
› Het gaat om waar de eindgebruiker zit, want het gaat om de
randapparatuur van de gebruiker en de gegevens die daar
opgeslagen worden
› Andere landen in Europa hanteren: informeren en opt-out
Nederland

10. Voorbeelden
Uitzending Gemist:
Telegraaf:

11. Voorbeelden
werkenbijtrimm.nl:

12. Voorbeelden
Bolletje:

13. Voorbeelden
ICT Recht:

14. › 20 December 2012: Minister Kamp wil first party
analytics cookies toestaan, volgens een voorstel
van Kees Verhoeven (D66)
› Februari 2013: Minister Kamp wil de verplichting tot instemming
beperken tot tracking cookies.
› Maart 2013: Cookiemuren worden door Minister Kamp onwenselijk
genoemd.
‐ SP en D66 willen wel expliciete goedkeuring van de gebruiker (motie afgekeurd)
‐ PvdA en VVD voorstel: “wel een actieve handeling vereist” (meerderheid voor)
› 8 April 2013: De Publieke Omroep kondigt aan cookiemuren neer te
halen
› Voorbeeld: Verzoek PAN voor affiliate cookies
Ontwikkelingen sinds de invoering

15. › Je kunt niet niets doen!
› PIBN adviseert de wet te volgen zolang er nog geen wijziging is
in de wet.
› Stappenplan:
En wat nu?

16. › Inventariseer welke cookies je gebruikt
› Maak een cookie statement en een privacy policy
‐ welke cookies worden geplaatst
‐ voor welk doel (bezoekersaantallen registreren, plaatjes laden, online
advertising)
‐ welke informatie met een cookie wordt vastgelegd
‐ of de informatie verstrekt wordt aan derden
‐ voor welke periode de cookie op de apparatuur wordt geplaatst
› Bedenk hoe je de gebruiker om toestemming wilt vragen
› Zorg ervoor dat instellingen ZICHTBAAR te wijzigen zijn
Stappenplan

17. Oplossing Wehkamp

18. Vragen?

19. Fin

20. Cybersecurity
Ivo te Kiefte

21. › Cyberaanval website Telegraaf (08-04)
› Cyberaanval rechtspraak.nl (11-04)
› Cyberattack NS website en Reisplanner (12-04)
› Aanvallen op Banken (ING, Rabobank, iDeal)
› Aanval Cyberbunker op Spamhaus
› Aanvallen op banken en tv Zuid-Korea
Cybersecurity actueel

22. › Maakt webapplicatie onbruikbaar voor gebruikers
› Inzet van botnetwerk
› Misbruik van resources van webservers
› Misbruik van bandbreedte datacenter
Actueel:
Distributed denial-of-service

24. “Cybercriminelen zijn geen
onoverwinnelijke genieën”

25. › Weinig/geen interactie
› Gebruikers anoniem
› Informatie stroom in één
richting
Internet toen

26. › Websites zijn functionele applicaties
› Data-gestuurd
› Interactief
› Koppelingen met achterliggende bedrijfssystemen
Internet nu

27. › Informatie stroom in 2 richtingen client/server
› Content “op maat”
› Informatie is persoonlijk en waardevol
Internet nu

28. › Systemen die informatie uitwisselen met input uit bijv url (sql
injectie)
› Malafide hyperlinks naar bonafide site met (verborgen) script
code (XSS)
› Code uitvoeren via bijv. Webformulieren (injectie)
› Misbruik van gebruikers sessies (Broken Authentication)
› Makkelijk te raden urls naar niet-publieke info (Insecure Direct
Object Refererences)
› Ongefilterde foutmeldingen
Enkele voorbeelden

29. › Eenvoudige hacker die wil pronken (Henkie was here)
› Activisten (beweging) met ideologisch/politiek doel
› Georganiseerde misdaad, uit op geldelijk gewin (direct:
phishing/afpersing, indirect: doorverkoop bedrijfsgegevens)
› Staten, uit op verbetering van hun geopolitieke situatie (n-
korea/Z-korea)
Wie en waarom?

30. “De mens is en blijft –
zowel IT-professional als
eindgebruiker - vaak de
zwakste schakel”

31. › http://owasp.org
› Non-profit organisatie
› Focus op verbetering van software security
› Richt zich op bewustwording bij alle partijen
› Publiceert jaarlijks Top 10 bedreigingen
Open Web Application
Security Project

32. “Cybersecurity gaat
minder om technologie
dan u waarschijnlijk
denkt”

33. Preventiebegint met beheer en organisatie. Naast
technische maatregelen, beleggen van verantwoordelijkheden
en creëren van bewustzijn
Aandachtsgebieden

34. Preventiebegint met beheer en organisatie. Naast
technische maatregelen, beleggen van verantwoordelijkheden
en creëren van bewustzijn
Detectie. Monitoring en data-mining teneinde afwijkende
patronen in gegevensverkeer te detecteren.
Aandachtsgebieden

35. Preventiebegint met beheer en organisatie. Naast
technische maatregelen, beleggen van verantwoordelijkheden
en creëren van bewustzijn
Detectie. Monitoring en data-mining teneinde afwijkende
patronen in gegevensverkeer te detecteren.
Response. In werking stellen van een response- en
herstelplan.
Aandachtsgebieden

36. Aandachtsgebieden

37. › Bekijk cybercrime als “business as usual”
› Riskmanagement zoals bij brand of fraude
› 100% veiligheid is illusie. Najagen leidt tot frustratie en
schijnveiligheid
“Business as usual”

38. Vragen voor uw organisatie

39. Hoe groot is het risico voor mijn organisatie?
Hoeveel risico zijn we bereid te lopen (risk apetite)?
Welke processen vertegenwoordigen grootse waarde?
Is er integratie/afhankelijkheid van partners en hoe is hun
riskmanagment?
Risico
Uw Organisatie

40. Hoe is onze organisatie structuur?
Zijn we in staat een gedrags- en cultuurverandering door te
voeren?
Dragen we vanuit bestuur commitment uit op security?
Voorbereid op een incident? Helder communicatieplan?
organisatie
Uw Organisatie

41. Hoeveel budget vrijmaken en waaraan besteden?
Incidenten bestrijden of “Security by design”?
Middelen of bewustwording?
Budget
Uw Organisatie

42. Fin

43. Toegankelijkheid
In design.

44. Toegankelijkheid
In design.
Verbeteringen voor iedereen

45. Theorie

46. Wat is je
designprincipe?

47. “Help people make
their lives better”

48. Wat is het doel website?
vanuit perspectief leverancier

49. doel website
Waar de focus?
INFORMEREN
TAAKGERICHT
ERVARINGSGERICHT
VERLEIDEN

51. 1. Het essentiële te krijgen,
2. Eenvoudig en intuïtief
3. Een intelligent systeem, dat hun begrijpt
4. Fun om te gebruiken.
5. En natuurlijk ziet het er goed uit.
Zeker in het APP TIJDPERK zijn mensen gewend :

52. Wat is de behoefte van de
gebruiker?
vanuit gebruikersperspectief

53. Wat is de behoefte van de
gebruiker?
vanuit gebruikersperspectief
Ontwerp vanuit user journeys / stories

54. “Sturend design”
Gebruikersperspectief
leid de gebruiker naar wat hij wil
klantperspectief

55. “Sturend design”
Gebruikersperspectief
leid de gebruiker naar wat hij wil
Leverancierperspectief
(+meer)

56. “Sturend design”
Gebruikersperspectief klantperspectief
leid de gebruiker naar wat hij wil (+meer)
(+wat jij wilt)

57. Praktische richtlijnen

58. Reduceren  schrap het overbodige!
Essentiële Simplicitylaws

59. Organiseren
‐ Goede layout!
‐ Groepeer informatie,
‐ Verberg informatie
‐ Verplaats informatie
‐ onderscheid hoofd- bijzaken,
‐ Wees niet bang voor groot (groter lettertype, veel witruimte)
Essentiële Simplicitylaws

60. Tijd gevoel van snelheid geeft gevoel van eenvoud
- Snelle laadtijd
- Korte formulieren
- Weten waar je bent
- Grote hitarea van bv menuitem
Essentiële Simplicitylaws

61. Consistent
Intuïtief
‐ Hergebuik interface oplossingen die mensen verwachten
(klikken op logo=home)
‐ Metaforen uit echte leven (tabbladen, )
En

62. Voorbeeld simplicitylaws
Bron : cxpartners
Cxpartners vroeg sollicitanten:
“Maak dit eenvoudiger”

63. Oplossing 1 : verwijderen
Bron : cxpartners

64. Oplossing 2 : verbergen
Bron : cxpartners

65. Oplossing 3 : groeperen
Bron : cxpartners

66. Oplossing 4 : verplaatsen
Bron : cxpartners

67. Test een website
Knipper met je ogen
blijft er een overzichtelijk plaatje achter?

68. Richtlijnen drempels weg

69. Webrichtijnen gaan over:
› Bouwkwaliteit: het volgen van webstandaarden.
Dus toegankelijk op alle devices (mobile maar ook screenreaders, braillereader enz)
› Toegankelijkheidvoor mensen en zoekmachines.
Ook door mensen die niet (goed) kunnen zien of horen, moeite hebben met ingewikkelde teksten of
geen muis kunnen gebruiken. Denk bijvoorbeeld aan (kleuren-)blinden, doven, mensen met dyslexie
en mensen die de Nederlandse taal minder goed machtig zijn
› Klantvriendelijkheid en gebruiksvriendelijkheid
Het is voor uw bezoekers prettig als u alternatieve contactmogelijkheden biedt en goed uitlegt hoe
zij gemaakte fouten kunnen herstellen. Andere voorbeelden zijn het gebruik van vriendelijke
webadressen en het creëren van aangepaste foutpagina’s
Waarom:

70. Ontwerpers: eisen aan kleur, contrast en interactie
› Vertrouw niet op kleur alleen. Gebruik naast kleur ook vorm en/of tekst om betekenis over te
dragen (niveau 1).
› Enz
IJkpunten waaraan voldaan moet
worden

71. Ontwerpers: eisen aan kleur, contrast en interactie
› Vertrouw niet op kleur alleen. Gebruik naast kleur ook vorm en/of tekst om betekenis over te
dragen (niveau 1).
› Enz
Ontwikkelaars: eisen aan code, templates, CMS en editor
› Zorg dat de webpagina's ook zonder style sheets nog begrijpelijk zijn (niveau 1).
› Zorg dat de website ook zonder scripts en applets nog goed werkt (niveau 1).
› Enz
IJkpunten waaraan voldaan moet
worden

72. Ontwerpers: eisen aan kleur, contrast en interactie
› Vertrouw niet op kleur alleen. Gebruik naast kleur ook vorm en/of tekst om betekenis over te
dragen (niveau 1).
› Enz
Ontwikkelaars: eisen aan code, templates, CMS en editor
› Zorg dat de webpagina's ook zonder style sheets nog begrijpelijk zijn (niveau 1).
› Zorg dat de website ook zonder scripts en applets nog goed werkt (niveau 1).
› Enz
Webredacteuren: toegankelijke content publiceren
› Gebruik de duidelijkste en eenvoudigste taal die zich leent voor de content van een site (niveau 1).
› Zorg dat afbeeldingen voorzien zijn van een alternatieve tekst (niveau 1).
› Geef bovenaan elke pagina een korte samenvatting van de inhoud (niveau 3).
› Enz.
IJkpunten waaraan voldaan moet
worden

73. Niveau 1 : 16 van de 95 ijkpunten.
Basisijkpunten van toegankelijkheid: Zo zijn afbeeldingen voorzien van duidelijke alternatieve
teksten, en zijn tabellen toegankelijk voor mensen met een visuele beperking.
Niveau 2: 46 van de 95 ijkpunten.
Zeer goed toegankelijk, onder andere voor mensen met een visuele beperking. Bijvoorbeeld
eisen voor het minimale contrast dat moet bestaan tussen tekst- en achtergrondkleur, en
voor het toegankelijk opstellen van webformulieren.
Niveau 3: 95 van de 95 ijkpunten.
Naast de richtlijnen voor toegankelijkheid worden in de Webrichtlijnen ook
kwaliteitsaspecten van websites behandeld, en zijn er richtlijnen voor klantvriendelijkheid.
De website is optimaal toegankelijk voor iedereen, ook mensen met een functiebeperking en
ouderen. Daarnaast is de website zeer degelijk gebouwd, en wordt er bijvoorbeeld gebruik
gemaakt van vriendelijke URL's.
Verplicht voor alle overheidswebsites.
3 niveau’s (en keurmerken)

74. Bouw gelaagd
zorg dat een website ook nog werkt zonder alle extra's.
› Dat betekent niet dat een interactieve Web 2.0 site met een mooie vormgeving niet meer kan. Al
die verrijkingen moeten alleen als extra lagen bovenop deze basislaag worden gebouwd.
› Benaderen via 3-schillenmodel (full design, no javascript, no JS en CSS)
Praktisch voor RIA’s

75. Fin