AP waarschuwt: certificaatverkoper doet zich voor als AVG-toezichthouder

13 november 2019

De Autoriteit Persoonsgegevens (AP) laat weten dat er een neptoezichthouder actief is in Nederland. Deze benadert eigenaren van websites en zet ze met dreiging van AVG-boetes onder druk om beveiligingscertificaten aan te schaffen. "We gaan nu verdere stappen ondernemen", laat de AP weten aan AG Connect. De organisatie waar de AP nu voor waarschuwt, stelt in reactie echter dat er sprake is van "verkeerd geïnformeerd zijn".

Het gaat om een organisatie die zich 'Persoonsgegevens Nederland' noemt en de bijbehorende .nl-domeinnaam heeft. De woordvoerster van de AP legt uit dat de aangekondigde "verdere stappen" erop gericht zijn om deze website uit de lucht te krijgen. Dat doet de AP dan niet in de hoedanigheid van toezichthouder, maar als partij waarvan de naam nu wordt misbruikt door een ander. Overigens is er op de bewuste website niet de naam 'AP' of  Autoriteit Persoonsgegevens' te vinden.

'Overheid verplicht SSL-certificaat'
 
Op de gewraakte site zijn ook geen contactgegevens te vinden, maar wel de claim dat het "een zelfstandig bestuursorgaan" is. De paar webpagina's van de site bieden informatie over de AVG (Algemene Verordening Gegevensbescherming), over het online achterlaten van persoonsgegevens, berichten over datalekken en over toename van privacyklachten, en informatie over SSL-certificaten. "De overheid heeft een SSL-certificaat verplicht gesteld. Heeft jouw website al een SSL-certificaat?", aldus de website.

Volgens de AP doet deze organisatie zich via zijn website onterecht voor als de Nederlandse toezichthouder op de Algemene verordening gegevensbescherming (AVG). Dit blijkt uit meldingen die de Nederlandse AVG-toezichthouder heeft gekregen. Deze meldingen komen van website-eigenaren die zijn benaderd door 'Persoonsgegevens Nederland' en volgens de AP daarbij onder druk zijn gezet "om bepaalde beveiligingscertificaten aan te schaffen".

AVG-boetes noemen
 
"Onder meer door te dreigen met boetes", stelt de AP. In een eerste reactie aan AG Connect laat 'Persoonsgegevens Nederland' weten dat hier geen sprake van is. "Ik benader bedrijven en maak ze erop attent dat ze geen SSL-certificaat hebben", vertelt de accountmanager van de organisatie. Hij zegt dat daarbij wel wordt genoemd dat boetes opgelegd kunnen worden door "toezichthouders vanuit Brussel".

Ook wijst hij erop dat Google waarschuwt voor sites met onbeveiligde verbindingen. Dit kan een afschrikkende werking hebben op potentiële klanten van bedrijven met websites zonder beveiligingscertificaten. Over de AP-waarschuwing reageert de accountmanager in eerste instantie dat AG Connect verkeerd is geïnformeerd. In een tweede reactie, nadat hij het nieuwsbericht van de AP heeft gezien, gaat de accountmanager verder in de ontkenning van het AP-bericht. "Wij hebben nergens gemeld dat wij toezichthouder zijn."

'Achter ons laten'
 
Hij legt uit dat er in augustus en begin september een twintigtal bedrijven zijn benaderd. Middels zogeheten cold calls. "Wij willen bedrijven helpen", om hun websites en formulieren daarop te beveiligen met SSL-certificaten. Volgens de accountmanager zijn ze begin september al gestopt met dit benaderen. Geen van de bereikte bedrijven had interesse, of ze bleken wel klant te zijn bij een hoster of online-marketingbureau die voor beveiligingscertificaten kan zorgen.

"We zijn er al mee gestopt", vertelt de accountmanager van 'Persoonsgegevens Nederland' in zijn tweede telefonische toelichting. "We hebben dit allang achter ons gelaten", verwijst hij naar het begin september beëindigen van de benaderingsacties. Volgens hem wordt de zaak nu groter gemaakt dan het is. "We willen dit de wereld uit hebben." Kort na het contact met AG Connect blijkt de website offline te zijn gehaald.

Update:
 
De Autoriteit Persoonsgegevens geeft in een nagekomen reactie nog een toelichting op de waarschuwing: "De reden waarom wij deze waarschuwing uit doen is omdat we z.s.m. organisaties willen waarschuwen."

Meer informatie