Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Gebruik/verwerking BSN door opvangorganisatie.

Pagina: 1
Acties:

  • Ouders
  • Registratie: maart 2021
  • Laatst online: 05-04 11:01
Goedenavond,

De organisatie van onze kinderopvang heeft sinds kort een App in gebruik genomen waarmee mensen allerhande zaken kunnen regelen. Op dit moment wordt de App alleen nog gebruikt voor het inplannen van opvangdagen en het doorgeven en up-to-date houden van persoonsgegevens. In de toekomst wordt hier mogelijk het delen van foto's/facturen en het sturen van (privé)berichten aan toegevoegd.

Eén van de gegevens welke momenteel zichtbaar zijn in de App is het BSN. Opvangorganisaties hebben de wettelijke plicht om het BSN te registreren in verband met het aanvragen van toeslagen. Maar nu vroeg ik mij af of het BSN zo in de App opgeslagen mag worden en zichtbaar mag zijn. De enige functie welke dit BSN-veld momenteel lijkt te hebben is om het BSN door te kunnen geven/wijzigen.

De reden dat ik er zorgen over heb is omdat de App maar matig beveiligd is. Om even wat te noemen:
  • De App vereist een gebruikersnaam (e-mailadres) en een wachtwoord maar het wachtwoord mag alleen uit letters en cijfers bestaan. Speciale tekens zijn niet toegestaan.
  • Er zit geen beperking op het aantal inlogpogingen.
  • Middels de 'wachtwoord vergeten' functie kun je checken of iemand een account heeft. (Verschillende meldingen bij wel/niet actief e-mailadres.)
  • Geen enkele mogelijkheid om te checken of iemand anders gebruik maakt van het account. Je wordt niet op de hoogte gesteld van inlogpogingen of nieuwe apparaten en er wordt geen inloggeschiedenis bijgehouden.
Daarnaast zijn er nog wat zorgen m.b.t. de privacy. De app vroeg bij ingebruikname geen akkoord voor gegevensverwerking. In de App zelf is geen link naar de privacy policy te vinden. De contactgegevens van de ontwikkelaar (in de Play Store) kloppen grotendeels niet meer. De privacy policy wordt gehost op een domein waar alleen maar een leeg WordPress template staat. En zo zijn er nog meer kleinigheden die mij doen twijfelen aan de veiligheid/betrouwbaarheid van het systeem.

Nu wil ik een mail sturen naar de opvangorganisatie met mijn bevindingen, maar ik zou dus graag willen weten of het BSN überhaupt in de App kan/mag staan.

  • DJMaze
  • Registratie: juni 2002
  • Niet online
Ouders schreef op woensdag 24 maart 2021 @ 20:53:
ik zou dus graag willen weten of het BSN überhaupt in de App kan/mag staan.
Als het in de app staat, staat het op een server/cloud.
Als het dan net zo werkt als bij de GGD dan kunnen er vast heel veel onbevoegden bij.

Je hebt dus even iets meer uitzoekwerk nodig.

Welke app is het (MyChapp, Partou, Konnect, etc.)?
Dan kunnen we even de boel beter analyseren voor gebreken.

[Voor 3% gewijzigd door DJMaze op 24-03-2021 22:22]

Maak je niet druk, dat doet de compressor maar


  • ThinkPad
  • Registratie: juni 2005
  • Laatst online: 12:32

ThinkPad

Moderator Duurzame Energie & Domotica
Hoe heb je bij het aanmelden je BSN doorgegeven? Kun je in de app niet gewoon 111111111 invullen nu? Ben wel benieuwd of de app dat accepteert, als het goed is checken ze op de elfproef. Voor de functies die je beschrijft van de app lijkt een BSN mij niet nodig.

[Voor 63% gewijzigd door ThinkPad op 24-03-2021 22:25]

Gas besparen door CV-tuning | Elektriciteit besparen
Geen vragen via privébericht die ook via het forum kunnen a.u.b.


  • Icephase
  • Registratie: mei 2008
  • Laatst online: 12:55

Icephase

Alle generalisaties zijn FOUT!

Als het niet nodig is, mag het niet. Je kunt prima ipv een bsn een klantnr oid aanmaken, dan los je het op. Alleen kun je dan niet meer een bsn-wijziging doorgeven via de app, dus misschien is het tóch nodig. In dat geval moet de koo een verwerkersovereenkomst hebben met de maker van de app. Van afstand, zonder meer info, is het lastig te zeggen. Er mag heel veel niet, maar er mag ook best veel wél. Maar het moet altijd transparant en met goede reden gebeuren.

  • Ouders
  • Registratie: maart 2021
  • Laatst online: 05-04 11:01
DJMaze schreef op woensdag 24 maart 2021 @ 22:16:
[...]

Als het in de app staat, staat het op een server/cloud.
Als het dan net zo werkt als bij de GGD dan kunnen er vast heel veel onbevoegden bij.

Je hebt dus even iets meer uitzoekwerk nodig.

Welke app is het (MyChapp, Partou, Konnect, etc.)?
Dan kunnen we even de boel beter analyseren voor gebreken.
Ik heb opzettelijk de naam van de app niet genoemd. Het is niet mijn bedoeling om de ontwikkelaar een slechte naam te bezorgen. Daarnaast lijkt het mij niet echt handig omdat ik net gemeld heb dat de beveiliging te wensen overlaat. Overigens kun je zonder inloggegevens ook bijzonder weinig in de app.

  • Ouders
  • Registratie: maart 2021
  • Laatst online: 05-04 11:01
ThinkPad schreef op woensdag 24 maart 2021 @ 22:19:
Hoe heb je bij het aanmelden je BSN doorgegeven? Kun je in de app niet gewoon 111111111 invullen nu? Ben wel benieuwd of de app dat accepteert, als het goed is checken ze op de elfproef. Voor de functies die je beschrijft van de app lijkt een BSN mij niet nodig.
Ik heb in het verleden mijn BSN schriftelijk doorgegeven op het aanmeldingsformulier. De organisatie heeft deze in de app gezet. Of beter gezegd, de app heeft een koppeling met een intern systeem van de organisatie. Ik had mijn BSN vervangen door een . (net als de meeste andere gegevens in de app).

Op de factuur van afgelopen maand stond daardoor ook alleen maar ...... i.p.v. mijn NAW-gegevens. Ik kreeg vandaag een mailtje van de organisatie dat de belastingdienst mijn gegevens niet accepteerde. Ze hadden zelf niet opgemerkt dat mijn gegevens 10 dagen geleden 'verwijderd' waren. Blijkbaar is het allemaal gekoppeld en geautomatiseerd.

  • DJMaze
  • Registratie: juni 2002
  • Niet online
Ouders schreef op woensdag 24 maart 2021 @ 23:14:
Het is niet mijn bedoeling om de ontwikkelaar een slechte naam te bezorgen. Daarnaast lijkt het mij niet echt handig omdat ik net gemeld heb dat de beveiliging te wensen overlaat. Overigens kun je zonder inloggegevens ook bijzonder weinig in de app.
Dat begrijp ik heel goed.

Kan je zelf de app analyseren door bijvoorbeeld in je router te kijken met welke domeinnamen de app verbinding maakt?
En dan die domeinnamen routeren naar je eigen PC met 'fake' https om te onderzoeken?
Of die domeinnamen door een SSL tool halen ivm beveiliging.

Als je niet zo technisch bent kan je beter iemand inschakelen die dit dan via responsible disclosure doorgeeft aan het bedrijf.

Maak je niet druk, dat doet de compressor maar


  • F_J_K
  • Registratie: juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

DJMaze schreef op woensdag 24 maart 2021 @ 22:16:
[...]
Als het in de app staat, staat het op een server/cloud.
Als het dan net zo werkt als bij de GGD dan kunnen er vast heel veel onbevoegden bij.
Dat is wel heel erg kort door de bocht. Kan je zeggen van alle data overal...
Ouders schreef op woensdag 24 maart 2021 @ 20:53:
• De App vereist een gebruikersnaam (e-mailadres) en een wachtwoord maar het wachtwoord mag alleen uit letters en cijfers bestaan. Speciale tekens zijn niet toegestaan.
'W@c4tw00rD' als wachtwoord is minder veilig dan 'lampfietskastgang' zonder rare tekens. Wat dat betreft _hoeft_ dat niet onveilig te zijn. Desalniettemin is die beperking op zn minst vreemd ja. En wijst niet op goed nadenken over de authenticatie.
• Er zit geen beperking op het aantal inlogpogingen.
• Middels de 'wachtwoord vergeten' functie kun je checken of iemand een account heeft. (Verschillende meldingen bij wel/niet actief e-mailadres.)
• Geen enkele mogelijkheid om te checken of iemand anders gebruik maakt van het account. Je wordt niet op de hoogte gesteld van inlogpogingen of nieuwe apparaten en er wordt geen inloggeschiedenis bijgehouden.
Yup, slecht zeker als er ook een BSN is opgeslagen/getoond.
Daarnaast zijn er nog wat zorgen m.b.t. de privacy. De app vroeg bij ingebruikname geen akkoord voor gegevensverwerking.
Dat is niet erg. Sterker nog: toestemming vragen is qua privacy een zwaktebod. Liever een andere grondslag voor de verwerking. Zoals in dit geval uitvoer van de overeenkomst tussen jou en de kinderopvang. Het zou waarschijnlijk fout zijn als ze -wel- om toestemming vragen.

Een duidelijke en vindbare privacy policy is dan wel erg belangrijk inderdaad. (Al kan je ook daar van zeggen dat je die moet zoeken bij het kinderdagverblijf, niet de app-bouwer).

Al met al idd geen goed gevoel. Zeker met iets als een BSN mag je naar de stand der techniek goede beveiliging verwachten. En daar mag je als betrokkene dan best vragen over stellen.

Overigens is in eerste instantie de opvangorganisatie verantwoordelijk. Dus die aanspreken. Ook al zal het in de praktijk waarschijnlijker beter werken als je (ook) die leverancier aanspreekt.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


  • DJMaze
  • Registratie: juni 2002
  • Niet online
F_J_K schreef op donderdag 25 maart 2021 @ 12:53:
Dat is wel heel erg kort door de bocht. Kan je zeggen van alle data overal...
Dat vind ik ook, totdat het tegendeel bewezen is.
Er zijn tegenwoordig gigantisch veel data lekken.
Of heb je geen auto... ;)

Als iemand mijn e-mailadres lekt... Niet interessant, ik heb een goeie spam filter.

Mijn BSN is ook overal bekend (BTW-nummer eenmanszaak).

Mijn banknr ook (webshop iDeal).

Ik let wel op de beveiliging of ik überhaupt zaken ga doen.
Zo let ik bij een webshop op de onderliggende techniek, openstaande poorten, waar de server staat, etc. etc.

In dit geval is TS afhankelijk van een kinderdagverblijf die natuurlijk geen kennis heeft van techniek, maar van kinderen.

Maak je niet druk, dat doet de compressor maar


  • Ouders
  • Registratie: maart 2021
  • Laatst online: 05-04 11:01
DJMaze schreef op donderdag 25 maart 2021 @ 08:21:
[...]

Dat begrijp ik heel goed.

Kan je zelf de app analyseren door bijvoorbeeld in je router te kijken met welke domeinnamen de app verbinding maakt?
En dan die domeinnamen routeren naar je eigen PC met 'fake' https om te onderzoeken?
Of die domeinnamen door een SSL tool halen ivm beveiliging.

Als je niet zo technisch bent kan je beter iemand inschakelen die dit dan via responsible disclosure doorgeeft aan het bedrijf.
Ik begrijp wat je hier schrijft en ik zou het met (flink) wat tijd en energie waarschijnlijk ook wel uit kunnen vogelen en op kunnen zetten, maar helaas heb ik aan beide momenteel een tekort.

Ik ga de opvangorganisatie op de hoogte stellen van mijn bevindingen/zorgen en kijken hoe zij reageren.

  • Ouders
  • Registratie: maart 2021
  • Laatst online: 05-04 11:01
F_J_K schreef op donderdag 25 maart 2021 @ 12:53:
[...]

Dat is wel heel erg kort door de bocht. Kan je zeggen van alle data overal...


[...]

'W@c4tw00rD' als wachtwoord is minder veilig dan 'lampfietskastgang' zonder rare tekens. Wat dat betreft _hoeft_ dat niet onveilig te zijn. Desalniettemin is die beperking op zn minst vreemd ja. En wijst niet op goed nadenken over de authenticatie.

[...]

Yup, slecht zeker als er ook een BSN is opgeslagen/getoond.

[...]

Dat is niet erg. Sterker nog: toestemming vragen is qua privacy een zwaktebod. Liever een andere grondslag voor de verwerking. Zoals in dit geval uitvoer van de overeenkomst tussen jou en de kinderopvang. Het zou waarschijnlijk fout zijn als ze -wel- om toestemming vragen.

Een duidelijke en vindbare privacy policy is dan wel erg belangrijk inderdaad. (Al kan je ook daar van zeggen dat je die moet zoeken bij het kinderdagverblijf, niet de app-bouwer).

Al met al idd geen goed gevoel. Zeker met iets als een BSN mag je naar de stand der techniek goede beveiliging verwachten. En daar mag je als betrokkene dan best vragen over stellen.

Overigens is in eerste instantie de opvangorganisatie verantwoordelijk. Dus die aanspreken. Ook al zal het in de praktijk waarschijnlijker beter werken als je (ook) die aanspreekt.
Bedankt voor je input. Daar kan ik zeker wat mee.
Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True