Info verzenden via onbeveiligde verbinding of een alu-hoedje

Ik denk dat het payroll bedrijf hun zaakjes niet op orde heeft eerlijk gezegd

Ik zou eens melden dat ze in overtreding van Artikel 13 van de Wet Bescherming Persoonsgegevens (http://wetten.overheid.nl/BWBR0011468/2016-01-01) zijn:

Artikel 13
De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Mij lijkt dat de kosten van een SSL certificaat (en het juist implementeren daarvan) nu niet dermate hoog zijn, dat dit niet opweegt tegen de gevolgen van onderschepte NAW/BSN's, bijvoorbeeld via een roque accesspoint.

Verzenden via mail is natuurlijk onzin, tenzij ze kunnen garanderen dat dat wel van a-z beveiligd is. Wat ongetwijfeld niet zal zijn..

Je kunt van e-mail niet garanderen dat het versleuteld is. Je hebt >= 3 deeltrajecten: zender -> serverA, serverA -> serverB, serverB -> ontvanger. Ze hebben alleen iets zeggen over de derde stap. En moeten er 'dus' van uit gaan dat mail onversleuteld is. Niet voor niets zijn er bedrijven (bijv. zorgmail.nl) die beveiligde maildiensten bieden.

Payrollbedrijven ("alles wat ze doen" betreft persoonsgegevens) en beveiligingsbedrijven (ook fysiek) moeten beter weten. Ik denk dat beide wettelijk verplicht zijn zichzelf te melden bij de Autoriteit Persoonsgegevens... (https://autoriteitpersoon...-persoonsgegevens/tip-ons). Meldplicht datalekken etc.

Ondertussen wil je wel betaald krijgen. Je kunt je data in een goedversleuteld bestand zetten en dat mailen, of bijv. op je eigen (https ) webserver zetten en het wachtwoord via een ander kanaal aan ze geven.

Aganim schreef op donderdag 23 juni 2016 @ 14:31:
Ik zou eens melden dat ze in overtreding van Artikel 13 van de Wet Bescherming Persoonsgegevens (http://wetten.overheid.nl/BWBR0011468/2016-01-01) zijn:


[...]


Mij lijkt dat de kosten van een SSL certificaat (en het juist implementeren daarvan) nu niet dermate hoog zijn, dat dit niet opweegt tegen de gevolgen van onderschepte NAW/BSN's, bijvoorbeeld via een roque accesspoint.

Verzenden via mail is natuurlijk onzin, tenzij ze kunnen garanderen dat dat wel van a-z beveiligd is. Wat ongetwijfeld niet zal zijn..

Sterker nog, een SSL Certificaat hoeft tegenwoordig niet eens iets te kosten.

Meekoh schreef op donderdag 23 juni 2016 @ 14:59:
[...]

Sterker nog, een SSL Certificaat hoeft tegenwoordig niet eens iets te kosten.

Mja, maar Letsencrypt heeft blijkbaar al moeite met CC/BCC, wat ik voor een beginnend CA (in een tak van sport die effectief geheel op vertrouwen drijft) eigenlijk onvergeeflijk vind. Als bedrijf zou ik er gewoon een paar tientjes tegenaan gooien.

Overigens, gratis zal je niet gaan redden, je zal altijd wat implementatiekosten hebben (al was het maar eigen tijd) en wellicht ook nog connecties naar backends/soap-achtige kopplingen. Die wil je (normaal gesproken) toch ook graag beveiligd hebben. Maar zelfs als zou het wat kosten, dat mag met dit soort gegevens gewoon geen reden zijn om het niet te doen.

maartend schreef op donderdag 23 juni 2016 @ 14:20:
Ik heb dat aangegeven bij dat bedrijf, die sturen een mail terug, geef het dan maar via de mail in een document.

Gewoon reageren: Helaas kan ik jullie e-mailadres PGP/GPG sleutel niet vinden in de keyrings.
Zouden jullie de publieke sleutel kunnen e-mailen zodat ik de e-mail met mijn NAW gegevens veilig kan versturen conform Artikel 13 van de Wet Bescherming Persoonsgegevens ?

[ Voor 4% gewijzigd door DJMaze op 23-06-2016 16:55 ]

Aparte manier van doen, als het echt zo onveilig is zou ik het bij je werkgever aangeven en zelf zeker niks doorgeven. Laat hun het dan maar oppakken. In dit geval zou je denken dat ze die gegevens gewoon bij de vorige "payroller" opvragen, dat maakt het helemaal vaag

[ Voor 134% gewijzigd door LocK_Out op 25-06-2016 02:11 ]