Naar aanleiding van het bericht over de nieuwe phishing attack op de Monster database wist Jolande in een reactie te melden dat volgens de CBP Richtsnoeren een veilig gegevenstransport vereist is.

De vraag is echter of onze grote vacaturesites zich aan deze richtsnoeren houden. Tijd voor een klein onderzoekje.

Beveiligen van het gegevenstransport
Maar laten we eerst even kijken wat CBP nou precies over een veilig gegevenstransport zegt. Dat is onderdeel van een 5-tal maatregelen die zeer duidelijk zijn:

1. Voorkom de onnodige publicatie van persoonsgegevens
2. Scherm specifieke pagina’s met persoonsgegevens af voor zoekmachines
3. Gebruik wachtwoorden of een andere passende methode om de doelgroep af te bakenen
4. Beveilig het gegevenstransport door middel van het SSL-protocol
5. Beveilig machine(s) en achterliggende databases tegen onbevoegde toegang door derden

En alsof dat nog niet voldoende is, gaat CBP nader in op elk van die maatregelen. Over het beveiligen van het gegevenstransport zegt zij onder meer het volgende:

Verantwoordelijken dienen ervoor te zorgen dat het verzamelen van persoonsgegevens via websites beveiligd plaatsvindt, bijvoorbeeld met een https-verbinding. Met het gebruik van een via het SSL-protocol beveiligde verbinding zijn nauwelijks kosten gemoeid en de inzet ervan beveiligt het verkeer over netwerkknooppunten.

De inzet van een SSL-certificaat is ook van belang voor authenticatie van de website zelf, om het risico op ‘phishing’ te verkleinen. Sites die onbeveiligd zijn, kunnen makkelijker geïmiteerd worden door
sites met vergelijkbare domeinnamen. Daarmee kunnen derden op frauduleuze wijze in bezit komen van persoonsgegevens.

Nou, daar zit geen woord Spaans bij.

Een korte vergelijking
Nu maar eens kijken of onze grote vacaturesites zich aan de richtlijnen van de CBP houden.

Werk.nl
Naar Werk.nl hoef ik niet eens te kijken; want het irriteert me al jaren dat ook het publieke deel van de site beveiligd is. Dit is dus een site die zijn zaken wat betreft beveiligd gegevenstransport voor elkaar heeft

Nationale Vacaturebank
Helaas, helaas. Geen beveiliging te vinden als ik mij bij de Nationale Vacaturebank probeer in te schrijven. En dat betekent dus dat de site niet voldoet aan de richtlijnen van het CBP.

Monsterboard
Tja, de site waardoor dit allemaal aan het rollen ging. En helaas, net als bij Nationale Vacaturebank is er niets aan beveiligd gegevenstransport te herkennen. Dom, dom, dom

Totaljobs
En kijk eens aan; Totaljobs heeft haar zaakjes op dit gebied goed voor elkaar. Op het moment dat ik op de hyperlink Registreren klik verschijnt er een keurig klein slotje onder in beeld. Ze hebben een keurig SSL certificaat. Way to go!

JobTrack
En ook JobTrack voldoet keurig aan de eis van beveiligd gegevenstransport. Ook hier verschijnt direct bij aanvang van het registratieproces een slotje in beeld. Veilig gevoel, toch?

En nog een paar:

• Vacaturekrant: Nee
• Careerbuilder: Nee
• Stepstone: Ja!
• JobNews: Nee
• Werkenbijdeoverheid: Ja!

Conclusie
Een verdeeld beeld dus; van de 10 vacaturesites hebben er 5 hun zaakjes op dit gebied voor elkaar. En dat Monsterboard dit niet heeft geregeld is natuurlijk volstrekt krankzinnig. Zeker gezien het feit dat zij nu voor de tweede keer ‘slachtoffer’ zijn van een phishing attack. Daar staat mijn verstand bij stil…

En zou CBP er iets aan doen? Ik durf te wedden van niet. Want deze tandeloze tijger bestaat weliswaar al sinds jaar en dag maar ik kan me niet herinneren dat ooit een vacaturesite ook maar zelfs op de vingers is getikt. Wat een droefmakende verspilling van belastinggeld.