Website niet veilig oplossen: de Belgische aanpak

Ergens tussen klanten bedienen en de boekhouding door opende u uw eigen website op uw telefoon, en Chrome verwelkomde u met "Niet veilig" in de adresbalk. Voor een Belgische winkel, praktijk of restaurant die op lokaal vertrouwen draait, doet dat label pijn. Eerst het goede nieuws: het is geen virus en geen inbraak. Vermoedt u een echte hack, volg dan ons stappenplan website gehackt. Het label vertelt bezoekers enkel dat het verkeer tussen hun browser en uw server onversleuteld reist, omdat een SSL-certificaat ontbreekt of verkeerd is ingesteld.

Twee zaken maken deze gids Belgisch in plaats van generiek. Ten eerste raakt een onversleuteld contactformulier aan uw verplichtingen onder artikel 32 van de AVG, waarop de GBA in België toeziet. Ten tweede biedt de federale overheid gratis hulpmiddelen voor precies dit soort basishygiëne, via Safeonweb@work en het Centrum voor Cybersecurity België. We behandelen beide, meteen na de praktische reparatie.

De waarschuwing, ontcijferd

Een browser kan uw pagina's via twee protocollen ophalen. HTTP stuurt alles als leesbare tekst over het netwerk. HTTPS verpakt hetzelfde verkeer in versleuteling, zodat niemand tussen uw klant en uw server kan meelezen of knoeien. Sinds 2018 markeren de grote browsers de onversleutelde variant actief: Chrome zet "Niet veilig" naast het adres, Firefox streept zijn hangslot door en Safari schakelt stilletjes bepaalde functies uit op HTTP-pagina's.

Voor een kleine onderneming volgen daaruit drie gevolgen. Google weegt HTTPS mee in de rangschikking, dus de waarschuwing kost u zichtbaarheid. Bezoekers aarzelen, en een contactformulier op een pagina met het label onveilig levert minder berichten en minder bestellingen op. En juridisch: zodra dat formulier om een naam of e-mailadres vraagt, verwerkt u persoonsgegevens over een verbinding die iedereen op het netwerkpad zou kunnen afluisteren.

Wat het Belgische recht verwacht van een onversleutelde site

Artikel 32 van de AVG verplicht elke onderneming die persoonsgegevens verwerkt tot "passende technische en organisatorische maatregelen". In België is die verplichting verankerd in de wet van 30 juli 2018 en houdt de Gegevensbeschermingsautoriteit (GBA/APD) er toezicht op.

"Passend" is een proportionele norm. Niemand verwacht van een bakkerij met vijf medewerkers dat ze een security operations centre draait. Maar versleuteling wordt in artikel 32 expliciet genoemd, certificaten kosten niets en de activering duurt enkele minuten. Een pagina in gewoon HTTP die klantgegevens verzamelt via een contact- of reserveringsformulier is daarom moeilijk te verdedigen als passend wanneer de GBA ooit uw beveiliging onderzoekt, bijvoorbeeld na een datalekmelding. Onze gids AVG en een veilige website behandelt artikel 32 in de diepte. De korte versie voor dit artikel: de browserwaarschuwing wegwerken en de wettelijke ondergrens halen zijn één en dezelfde klus.

Zoek de oorzaak voordat u repareert

De waarschuwing heeft vier gangbare aanleidingen, en het medicijn verschilt per aanleiding.

Het certificaat is nooit geïnstalleerd. Typisch voor sites die gebouwd zijn voordat HTTPS de standaard werd. Niemand heeft de schakelaar bij de hostingprovider ooit omgezet.

Het certificaat is verlopen. Let's Encrypt-certificaten zijn 90 dagen geldig, betaalde meestal een jaar. Een mislukte of vergeten vernieuwing brengt de waarschuwing van de ene op de andere dag terug.

Mixed content. De pagina zelf reist via HTTPS, maar een afbeelding, script of stylesheet erin wijst nog naar een http://-adres. Eén onveilige resource doet de hele pagina omslaan naar onveilig.

Een ontbrekende redirect. SSL werkt, maar het oude HTTP-adres antwoordt nog steeds zonder door te sturen naar HTTPS, dus wie uw domein zonder voorvoegsel intikt, belandt op de onversleutelde versie.

Een gratis scan vertelt u in 30 seconden welke van de vier op uw site speelt.

De reparatie, stap voor stap

1. Controleer wat u al heeft

Open de site in Chrome en klik op het icoon links van het adres. "Verbinding is beveiligd" betekent dat er een certificaat bestaat en dat uw probleem een redirect of mixed content is, spring dan meteen naar stap 3 en 4. "Niet veilig" betekent dat u bij stap 2 begint.

2. Activeer een gratis certificaat bij uw host

Belgische ondernemingen hosten doorgaans bij een Belgische aanbieder zoals Combell of Register.be, bij een internationale shared host, of op een websitebouwer. De route verschilt, de bestemming is dezelfde.

Belgische en internationale shared hosting. Log in op het controlepaneel en zoek een sectie met de naam SSL, SSL/TLS of Beveiliging. Hosts die op cPanel draaien tonen dit als "SSL/TLS Status": selecteer uw domein en start AutoSSL, dat zelfstandig een gratis certificaat installeert en configureert. Panelen met Let's Encrypt-integratie hebben meestal een gewone aan/uit-schakelaar. Reken op vijf tot tien minuten voor de activering. Vindt u de optie niet, vraag dan aan de support van uw host welk certificaat uw pakket bevat voordat u er een koopt. Een gratis Let's Encrypt-certificaat is voor de site van een kleine onderneming technisch gelijkwaardig aan een betaald exemplaar.

Websitebouwers (Wix, Squarespace, Shopify). Het platform beheert de certificaten zelf. Een waarschuwing betekent hier vrijwel altijd dat een eigen domein onvolledig is gekoppeld. Open de domeininstellingen en controleer of de SSL-optie aan staat.

Managed WordPress (Kinsta, WP Engine, Cloudways) en platformen zoals Vercel of Netlify. Certificaten worden automatisch per domein uitgerold. Een aanhoudende waarschuwing is meestal terug te voeren op DNS-records die naar het verkeerde doel wijzen.

3. Stuur al het verkeer door naar HTTPS

Een certificaat alleen volstaat niet. Het http://-adres moet bezoekers doorsturen naar de versleutelde versie, anders blijven oude links en handmatig getypte domeinen op de onveilige variant uitkomen.

Op WordPress zet de plugin Really Simple SSL de redirect op en herstelt die meteen de meeste mixed content. Op Apache-hosting kunt u de regel zelf toevoegen in .htaccess:

RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

cPanel-gebruikers vinden onder Domains een schakelaar "Force HTTPS Redirect". Websitebouwers regelen de redirect zelf zodra het certificaat actief is.

4. Spoor mixed content op

Open de site in Chrome en druk op F12 voor DevTools, kies daarna het tabblad Console. Onveilige resources verschijnen als gele of rode meldingen met de tekst "Mixed Content: The page was loaded over HTTPS, but requested an insecure resource".

De remedie is die resource-adressen omzetten naar https://. Op WordPress herschrijft de plugin Better Search Replace elke verwijzing naar http://uwsite.be in de database in één doorloop. Adressen die hardcoded in een thema of in eigen CSS staan, past u handmatig aan. Een externe resource zonder HTTPS-versie vervangt u door een die er wel een aanbiedt.

5. Meld de verhuizing aan Google

Google behandelt de HTTP- en HTTPS-versie van een domein als aparte sites. Voeg de HTTPS-property toe in Search Console, genereer uw sitemap opnieuw met HTTPS-adressen en werk de link bij in uw Google Bedrijfsprofiel, uw socialemediakanalen en eventuele bedrijvengidsen.

Gratis hulp van de Belgische overheid

België is een van de weinige EU-landen met een toegewijde, gratis ondersteuningslaag voor precies deze categorie problemen. Safeonweb@work is de bedrijfstak van het Safeonweb-programma, beheerd door het Centrum voor Cybersecurity België (CCB), de federale autoriteit voor cyberveiligheid. Drie onderdelen zijn uw tijd waard zodra uw certificaat in orde is.

• Het CyberFundamentals Framework. CyberFundamentals vertaalt standaarden zoals NIST CSF, ISO 27001 en de CIS Controls naar concrete maatregelen, verdeeld over vier zekerheidsniveaus. Het niveau "Small" is geschreven voor micro-organisaties zonder eigen IT-kennis, wat het een realistische volgende stap maakt na HTTPS.
• Een gratis zelfevaluatie en beleidssjablonen, om te bepalen waar uw organisatie staat en om basisregels op papier te zetten.
• Cyberdreigingsalerts en een Quick Scan Report voor geregistreerde organisaties, met een overzicht van kwetsbaarheden in uw online middelen.

En staat u ooit voor een echt incident in plaats van een configuratieprobleem, dan neemt het nationale CERT van het CCB meldingen aan via notif.safeonweb.be of incident@ccb.belgium.be. De gids over gehackte websites bovenaan deze pagina loopt dat scenario door, inclusief de datalekmelding aan de GBA binnen 72 uur.

Uw .be-domein en DNS Belgium

De extensies .be, .vlaanderen en .brussels worden beheerd door DNS Belgium, het Belgische register, dat rond de zone een eigen beveiligingsprogramma voert, met onder meer ondersteuning voor DNSSEC, een protocol dat de integriteit van DNS-antwoorden voor uw domeinnaam beschermt.

Twee verduidelijkingen die Belgische site-eigenaren verwarring besparen. Een domeinnaam en een certificaat zijn twee verschillende dingen: DNS Belgium beheert de naam, terwijl uw hostingprovider of een certificaatautoriteit het SSL-certificaat uitgeeft, dus het register kan HTTPS niet voor u "aanzetten". En DNSSEC vervangt HTTPS niet, want het ene authenticeert DNS-opzoekingen en het andere versleutelt het verkeer naar uw site. Vraag uw registrar of DNSSEC actief is voor uw domein, en behandel het certificaat daarna als een apart punt op dezelfde checklist.

Veelgestelde vragen

Is HTTPS wettelijk verplicht voor een Belgische website?

Geen enkele wettekst noemt HTTPS letterlijk. Artikel 32 van de AVG eist beveiligingsmaatregelen die passen bij het risico, en de Belgische wet van 30 juli 2018 verankert die verplichting in het Belgische recht onder toezicht van de GBA. Omdat versleuteling onderweg gratis en moeiteloos beschikbaar is, valt een onversleuteld formulier dat persoonsgegevens verzamelt zeer moeilijk te rechtvaardigen als passend. Voor een puur statische site zonder formulieren of login is de juridische druk kleiner, maar de browserwaarschuwing en het effect op de rangschikking blijven.

Wat kost een SSL-certificaat?

Meestal niets. Let's Encrypt geeft gratis certificaten uit en de meeste hostingpakketten bevatten ze. Betaalde certificaten van aanbieders zoals DigiCert of Sectigo kosten enkele tientallen tot enkele honderden euro's per jaar en voegen niets toe wat de site van een kleine onderneming technisch nodig heeft. Rekent uw host geld voor basis-SSL, vraag dan eerst naar Let's Encrypt-ondersteuning, en overweeg een andere host als het antwoord nee is.

Hoe lang blijft een certificaat geldig?

Let's Encrypt-certificaten gelden 90 dagen en vernieuwen automatisch. Betaalde certificaten lopen doorgaans een jaar. Uw host regelt de vernieuwing in vrijwel alle gevallen. Op een zelfbeheerde server plant u automatische vernieuwing in met Certbot.

Kan de overstap naar HTTPS mijn site breken?

Zelden, en als het gebeurt is de schade cosmetisch: mixed content die zich toont als kapotte afbeeldingen of ontbrekende opmaak, op te lossen met de URL-aanpassingen uit stap 4. Maak een back-up voordat u begint, zoals voor elke wijziging.

Maakt versleuteling mijn website trager?

Nee. TLS 1.3 voegt een verwaarloosbare overhead toe, en HTTPS ontgrendelt HTTP/2, waardoor pagina's vaak sneller laden dan voorheen over gewoon HTTP.

Waar controleer ik de rest van de naleving van mijn site?

Doe de GDPR website check voor België. Die loopt uw cookiebanner, privacyverklaring en beveiliging na, samen met de SSL-configuratie.

---

Controleer het SSL-certificaat, de redirect en de mixed content van uw website gratis op trustyourwebsite.com/scan. Resultaat in 30 seconden.

Bronnen

• Verordening (EU) 2016/679 (AVG), artikel 32 - Beveiliging van de verwerking (eur-lex.europa.eu)
• Wet van 30 juli 2018 - Belgische gegevensbeschermingswet (ejustice.just.fgov.be)
• Gegevensbeschermingsautoriteit / GBA (gegevensbeschermingsautoriteit.be)
• Safeonweb@work - Centrum voor Cybersecurity België (atwork.safeonweb.be)
• CyberFundamentals Framework (atwork.safeonweb.be)
• Meld een incident - CCB / CERT.be (ccb.belgium.be)
• DNS Belgium, register voor .be, .vlaanderen en .brussels (dnsbelgium.be)
• Let's Encrypt (letsencrypt.org)

---

Dit is een technische analyse, geen juridisch advies. Raadpleeg een advocaat voor specifiek juridisch advies.