Toon posts:

Gebruik/verwerking BSN door opvangorganisatie.

Pagina: 1
Acties:

woensdag 24 maart 2021 20:53

Acties:
  • 0Henk 'm!
  • Ouders
  • Registratie: Maart 2021
  • Laatst online: 05-04-2021

Ouders

Topicstarter
Goedenavond,

De organisatie van onze kinderopvang heeft sinds kort een App in gebruik genomen waarmee mensen allerhande zaken kunnen regelen. Op dit moment wordt de App alleen nog gebruikt voor het inplannen van opvangdagen en het doorgeven en up-to-date houden van persoonsgegevens. In de toekomst wordt hier mogelijk het delen van foto's/facturen en het sturen van (privé)berichten aan toegevoegd.

Eén van de gegevens welke momenteel zichtbaar zijn in de App is het BSN. Opvangorganisaties hebben de wettelijke plicht om het BSN te registreren in verband met het aanvragen van toeslagen. Maar nu vroeg ik mij af of het BSN zo in de App opgeslagen mag worden en zichtbaar mag zijn. De enige functie welke dit BSN-veld momenteel lijkt te hebben is om het BSN door te kunnen geven/wijzigen.

De reden dat ik er zorgen over heb is omdat de App maar matig beveiligd is. Om even wat te noemen:
  • De App vereist een gebruikersnaam (e-mailadres) en een wachtwoord maar het wachtwoord mag alleen uit letters en cijfers bestaan. Speciale tekens zijn niet toegestaan.
  • Er zit geen beperking op het aantal inlogpogingen.
  • Middels de 'wachtwoord vergeten' functie kun je checken of iemand een account heeft. (Verschillende meldingen bij wel/niet actief e-mailadres.)
  • Geen enkele mogelijkheid om te checken of iemand anders gebruik maakt van het account. Je wordt niet op de hoogte gesteld van inlogpogingen of nieuwe apparaten en er wordt geen inloggeschiedenis bijgehouden.
Daarnaast zijn er nog wat zorgen m.b.t. de privacy. De app vroeg bij ingebruikname geen akkoord voor gegevensverwerking. In de App zelf is geen link naar de privacy policy te vinden. De contactgegevens van de ontwikkelaar (in de Play Store) kloppen grotendeels niet meer. De privacy policy wordt gehost op een domein waar alleen maar een leeg WordPress template staat. En zo zijn er nog meer kleinigheden die mij doen twijfelen aan de veiligheid/betrouwbaarheid van het systeem.

Nu wil ik een mail sturen naar de opvangorganisatie met mijn bevindingen, maar ik zou dus graag willen weten of het BSN überhaupt in de App kan/mag staan.

woensdag 24 maart 2021 22:16

Acties:
  • +2Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

Ouders schreef op woensdag 24 maart 2021 @ 20:53:
ik zou dus graag willen weten of het BSN überhaupt in de App kan/mag staan.
Als het in de app staat, staat het op een server/cloud.
Als het dan net zo werkt als bij de GGD dan kunnen er vast heel veel onbevoegden bij.

Je hebt dus even iets meer uitzoekwerk nodig.

Welke app is het (MyChapp, Partou, Konnect, etc.)?
Dan kunnen we even de boel beter analyseren voor gebreken.

[Voor 3% gewijzigd door DJMaze op 24-03-2021 22:22]

Maak je niet druk, dat doet de compressor maar

woensdag 24 maart 2021 22:19

Acties:
  • +1Henk 'm!
  • ThinkPad
  • Registratie: Juni 2005
  • Laatst online: 10:50

ThinkPad

Moderator Wonen & Mobiliteit
Hoe heb je bij het aanmelden je BSN doorgegeven? Kun je in de app niet gewoon 111111111 invullen nu? Ben wel benieuwd of de app dat accepteert, als het goed is checken ze op de elfproef. Voor de functies die je beschrijft van de app lijkt een BSN mij niet nodig.

[Voor 63% gewijzigd door ThinkPad op 24-03-2021 22:25]

Gas besparen door CV-tuning | Elektriciteit besparen
Geen vragen via privébericht die ook via het forum kunnen a.u.b.

woensdag 24 maart 2021 22:34

Acties:
  • 0Henk 'm!
  • Icephase
  • Registratie: Mei 2008
  • Laatst online: 10:33

Icephase

Alle generalisaties zijn FOUT!

Als het niet nodig is, mag het niet. Je kunt prima ipv een bsn een klantnr oid aanmaken, dan los je het op. Alleen kun je dan niet meer een bsn-wijziging doorgeven via de app, dus misschien is het tóch nodig. In dat geval moet de koo een verwerkersovereenkomst hebben met de maker van de app. Van afstand, zonder meer info, is het lastig te zeggen. Er mag heel veel niet, maar er mag ook best veel wél. Maar het moet altijd transparant en met goede reden gebeuren.

woensdag 24 maart 2021 23:14

Acties:
  • 0Henk 'm!
  • Ouders
  • Registratie: Maart 2021
  • Laatst online: 05-04-2021

Ouders

Topicstarter
DJMaze schreef op woensdag 24 maart 2021 @ 22:16:
[...]

Als het in de app staat, staat het op een server/cloud.
Als het dan net zo werkt als bij de GGD dan kunnen er vast heel veel onbevoegden bij.

Je hebt dus even iets meer uitzoekwerk nodig.

Welke app is het (MyChapp, Partou, Konnect, etc.)?
Dan kunnen we even de boel beter analyseren voor gebreken.
Ik heb opzettelijk de naam van de app niet genoemd. Het is niet mijn bedoeling om de ontwikkelaar een slechte naam te bezorgen. Daarnaast lijkt het mij niet echt handig omdat ik net gemeld heb dat de beveiliging te wensen overlaat. Overigens kun je zonder inloggegevens ook bijzonder weinig in de app.

woensdag 24 maart 2021 23:23

Acties:
  • +1Henk 'm!
  • Ouders
  • Registratie: Maart 2021
  • Laatst online: 05-04-2021

Ouders

Topicstarter
ThinkPadd schreef op woensdag 24 maart 2021 @ 22:19:
Hoe heb je bij het aanmelden je BSN doorgegeven? Kun je in de app niet gewoon 111111111 invullen nu? Ben wel benieuwd of de app dat accepteert, als het goed is checken ze op de elfproef. Voor de functies die je beschrijft van de app lijkt een BSN mij niet nodig.
Ik heb in het verleden mijn BSN schriftelijk doorgegeven op het aanmeldingsformulier. De organisatie heeft deze in de app gezet. Of beter gezegd, de app heeft een koppeling met een intern systeem van de organisatie. Ik had mijn BSN vervangen door een . (net als de meeste andere gegevens in de app).

Op de factuur van afgelopen maand stond daardoor ook alleen maar ...... i.p.v. mijn NAW-gegevens. Ik kreeg vandaag een mailtje van de organisatie dat de belastingdienst mijn gegevens niet accepteerde. Ze hadden zelf niet opgemerkt dat mijn gegevens 10 dagen geleden 'verwijderd' waren. Blijkbaar is het allemaal gekoppeld en geautomatiseerd.

donderdag 25 maart 2021 08:21

Acties:
  • +1Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

Ouders schreef op woensdag 24 maart 2021 @ 23:14:
Het is niet mijn bedoeling om de ontwikkelaar een slechte naam te bezorgen. Daarnaast lijkt het mij niet echt handig omdat ik net gemeld heb dat de beveiliging te wensen overlaat. Overigens kun je zonder inloggegevens ook bijzonder weinig in de app.
Dat begrijp ik heel goed.

Kan je zelf de app analyseren door bijvoorbeeld in je router te kijken met welke domeinnamen de app verbinding maakt?
En dan die domeinnamen routeren naar je eigen PC met 'fake' https om te onderzoeken?
Of die domeinnamen door een SSL tool halen ivm beveiliging.

Als je niet zo technisch bent kan je beter iemand inschakelen die dit dan via responsible disclosure doorgeeft aan het bedrijf.

Maak je niet druk, dat doet de compressor maar

donderdag 25 maart 2021 12:53

Acties:
  • +1Henk 'm!
  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

DJMaze schreef op woensdag 24 maart 2021 @ 22:16:
[...]
Als het in de app staat, staat het op een server/cloud.
Als het dan net zo werkt als bij de GGD dan kunnen er vast heel veel onbevoegden bij.
Dat is wel heel erg kort door de bocht. Kan je zeggen van alle data overal...
Ouders schreef op woensdag 24 maart 2021 @ 20:53:
• De App vereist een gebruikersnaam (e-mailadres) en een wachtwoord maar het wachtwoord mag alleen uit letters en cijfers bestaan. Speciale tekens zijn niet toegestaan.
'W@c4tw00rD' als wachtwoord is minder veilig dan 'lampfietskastgang' zonder rare tekens. Wat dat betreft _hoeft_ dat niet onveilig te zijn. Desalniettemin is die beperking op zn minst vreemd ja. En wijst niet op goed nadenken over de authenticatie.
• Er zit geen beperking op het aantal inlogpogingen.
• Middels de 'wachtwoord vergeten' functie kun je checken of iemand een account heeft. (Verschillende meldingen bij wel/niet actief e-mailadres.)
• Geen enkele mogelijkheid om te checken of iemand anders gebruik maakt van het account. Je wordt niet op de hoogte gesteld van inlogpogingen of nieuwe apparaten en er wordt geen inloggeschiedenis bijgehouden.
Yup, slecht zeker als er ook een BSN is opgeslagen/getoond.
Daarnaast zijn er nog wat zorgen m.b.t. de privacy. De app vroeg bij ingebruikname geen akkoord voor gegevensverwerking.
Dat is niet erg. Sterker nog: toestemming vragen is qua privacy een zwaktebod. Liever een andere grondslag voor de verwerking. Zoals in dit geval uitvoer van de overeenkomst tussen jou en de kinderopvang. Het zou waarschijnlijk fout zijn als ze -wel- om toestemming vragen.

Een duidelijke en vindbare privacy policy is dan wel erg belangrijk inderdaad. (Al kan je ook daar van zeggen dat je die moet zoeken bij het kinderdagverblijf, niet de app-bouwer).

Al met al idd geen goed gevoel. Zeker met iets als een BSN mag je naar de stand der techniek goede beveiliging verwachten. En daar mag je als betrokkene dan best vragen over stellen.

Overigens is in eerste instantie de opvangorganisatie verantwoordelijk. Dus die aanspreken. Ook al zal het in de praktijk waarschijnlijker beter werken als je (ook) die leverancier aanspreekt.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

donderdag 25 maart 2021 19:44

Acties:
  • +1Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

F_J_K schreef op donderdag 25 maart 2021 @ 12:53:
Dat is wel heel erg kort door de bocht. Kan je zeggen van alle data overal...
Dat vind ik ook, totdat het tegendeel bewezen is.
Er zijn tegenwoordig gigantisch veel data lekken.
Of heb je geen auto... ;)

Als iemand mijn e-mailadres lekt... Niet interessant, ik heb een goeie spam filter.

Mijn BSN is ook overal bekend (BTW-nummer eenmanszaak).

Mijn banknr ook (webshop iDeal).

Ik let wel op de beveiliging of ik überhaupt zaken ga doen.
Zo let ik bij een webshop op de onderliggende techniek, openstaande poorten, waar de server staat, etc. etc.

In dit geval is TS afhankelijk van een kinderdagverblijf die natuurlijk geen kennis heeft van techniek, maar van kinderen.

Maak je niet druk, dat doet de compressor maar

zaterdag 27 maart 2021 11:14

Acties:
  • 0Henk 'm!
  • Ouders
  • Registratie: Maart 2021
  • Laatst online: 05-04-2021

Ouders

Topicstarter
DJMaze schreef op donderdag 25 maart 2021 @ 08:21:
[...]

Dat begrijp ik heel goed.

Kan je zelf de app analyseren door bijvoorbeeld in je router te kijken met welke domeinnamen de app verbinding maakt?
En dan die domeinnamen routeren naar je eigen PC met 'fake' https om te onderzoeken?
Of die domeinnamen door een SSL tool halen ivm beveiliging.

Als je niet zo technisch bent kan je beter iemand inschakelen die dit dan via responsible disclosure doorgeeft aan het bedrijf.
Ik begrijp wat je hier schrijft en ik zou het met (flink) wat tijd en energie waarschijnlijk ook wel uit kunnen vogelen en op kunnen zetten, maar helaas heb ik aan beide momenteel een tekort.

Ik ga de opvangorganisatie op de hoogte stellen van mijn bevindingen/zorgen en kijken hoe zij reageren.

zaterdag 27 maart 2021 11:15

Acties:
  • 0Henk 'm!
  • Ouders
  • Registratie: Maart 2021
  • Laatst online: 05-04-2021

Ouders

Topicstarter
F_J_K schreef op donderdag 25 maart 2021 @ 12:53:
[...]

Dat is wel heel erg kort door de bocht. Kan je zeggen van alle data overal...


[...]

'W@c4tw00rD' als wachtwoord is minder veilig dan 'lampfietskastgang' zonder rare tekens. Wat dat betreft _hoeft_ dat niet onveilig te zijn. Desalniettemin is die beperking op zn minst vreemd ja. En wijst niet op goed nadenken over de authenticatie.

[...]

Yup, slecht zeker als er ook een BSN is opgeslagen/getoond.

[...]

Dat is niet erg. Sterker nog: toestemming vragen is qua privacy een zwaktebod. Liever een andere grondslag voor de verwerking. Zoals in dit geval uitvoer van de overeenkomst tussen jou en de kinderopvang. Het zou waarschijnlijk fout zijn als ze -wel- om toestemming vragen.

Een duidelijke en vindbare privacy policy is dan wel erg belangrijk inderdaad. (Al kan je ook daar van zeggen dat je die moet zoeken bij het kinderdagverblijf, niet de app-bouwer).

Al met al idd geen goed gevoel. Zeker met iets als een BSN mag je naar de stand der techniek goede beveiliging verwachten. En daar mag je als betrokkene dan best vragen over stellen.

Overigens is in eerste instantie de opvangorganisatie verantwoordelijk. Dus die aanspreken. Ook al zal het in de praktijk waarschijnlijker beter werken als je (ook) die aanspreekt.
Bedankt voor je input. Daar kan ik zeker wat mee.
Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee