Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Gebruik/verwerking BSN door opvangorganisatie.

Pagina: 1
Acties:

  • DJMaze
  • Registratie: juni 2002
  • Niet online
Ouders schreef op woensdag 24 maart 2021 @ 20:53:
ik zou dus graag willen weten of het BSN überhaupt in de App kan/mag staan.
Als het in de app staat, staat het op een server/cloud.
Als het dan net zo werkt als bij de GGD dan kunnen er vast heel veel onbevoegden bij.

Je hebt dus even iets meer uitzoekwerk nodig.

Welke app is het (MyChapp, Partou, Konnect, etc.)?
Dan kunnen we even de boel beter analyseren voor gebreken.

[Voor 3% gewijzigd door DJMaze op 24-03-2021 22:22]

Maak je niet druk, dat doet de compressor maar


  • ThinkPad
  • Registratie: juni 2005
  • Laatst online: 10:38

ThinkPad

Moderator Duurzame Energie & Domotica
Hoe heb je bij het aanmelden je BSN doorgegeven? Kun je in de app niet gewoon 111111111 invullen nu? Ben wel benieuwd of de app dat accepteert, als het goed is checken ze op de elfproef. Voor de functies die je beschrijft van de app lijkt een BSN mij niet nodig.

[Voor 63% gewijzigd door ThinkPad op 24-03-2021 22:25]

Gas besparen door CV-tuning | Elektriciteit besparen
Geen vragen via privébericht die ook via het forum kunnen a.u.b.


  • Ouders
  • Registratie: maart 2021
  • Laatst online: 05-04 11:01
ThinkPad schreef op woensdag 24 maart 2021 @ 22:19:
Hoe heb je bij het aanmelden je BSN doorgegeven? Kun je in de app niet gewoon 111111111 invullen nu? Ben wel benieuwd of de app dat accepteert, als het goed is checken ze op de elfproef. Voor de functies die je beschrijft van de app lijkt een BSN mij niet nodig.
Ik heb in het verleden mijn BSN schriftelijk doorgegeven op het aanmeldingsformulier. De organisatie heeft deze in de app gezet. Of beter gezegd, de app heeft een koppeling met een intern systeem van de organisatie. Ik had mijn BSN vervangen door een . (net als de meeste andere gegevens in de app).

Op de factuur van afgelopen maand stond daardoor ook alleen maar ...... i.p.v. mijn NAW-gegevens. Ik kreeg vandaag een mailtje van de organisatie dat de belastingdienst mijn gegevens niet accepteerde. Ze hadden zelf niet opgemerkt dat mijn gegevens 10 dagen geleden 'verwijderd' waren. Blijkbaar is het allemaal gekoppeld en geautomatiseerd.

  • DJMaze
  • Registratie: juni 2002
  • Niet online
Ouders schreef op woensdag 24 maart 2021 @ 23:14:
Het is niet mijn bedoeling om de ontwikkelaar een slechte naam te bezorgen. Daarnaast lijkt het mij niet echt handig omdat ik net gemeld heb dat de beveiliging te wensen overlaat. Overigens kun je zonder inloggegevens ook bijzonder weinig in de app.
Dat begrijp ik heel goed.

Kan je zelf de app analyseren door bijvoorbeeld in je router te kijken met welke domeinnamen de app verbinding maakt?
En dan die domeinnamen routeren naar je eigen PC met 'fake' https om te onderzoeken?
Of die domeinnamen door een SSL tool halen ivm beveiliging.

Als je niet zo technisch bent kan je beter iemand inschakelen die dit dan via responsible disclosure doorgeeft aan het bedrijf.

Maak je niet druk, dat doet de compressor maar


  • F_J_K
  • Registratie: juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

DJMaze schreef op woensdag 24 maart 2021 @ 22:16:
[...]
Als het in de app staat, staat het op een server/cloud.
Als het dan net zo werkt als bij de GGD dan kunnen er vast heel veel onbevoegden bij.
Dat is wel heel erg kort door de bocht. Kan je zeggen van alle data overal...
Ouders schreef op woensdag 24 maart 2021 @ 20:53:
• De App vereist een gebruikersnaam (e-mailadres) en een wachtwoord maar het wachtwoord mag alleen uit letters en cijfers bestaan. Speciale tekens zijn niet toegestaan.
'W@c4tw00rD' als wachtwoord is minder veilig dan 'lampfietskastgang' zonder rare tekens. Wat dat betreft _hoeft_ dat niet onveilig te zijn. Desalniettemin is die beperking op zn minst vreemd ja. En wijst niet op goed nadenken over de authenticatie.
• Er zit geen beperking op het aantal inlogpogingen.
• Middels de 'wachtwoord vergeten' functie kun je checken of iemand een account heeft. (Verschillende meldingen bij wel/niet actief e-mailadres.)
• Geen enkele mogelijkheid om te checken of iemand anders gebruik maakt van het account. Je wordt niet op de hoogte gesteld van inlogpogingen of nieuwe apparaten en er wordt geen inloggeschiedenis bijgehouden.
Yup, slecht zeker als er ook een BSN is opgeslagen/getoond.
Daarnaast zijn er nog wat zorgen m.b.t. de privacy. De app vroeg bij ingebruikname geen akkoord voor gegevensverwerking.
Dat is niet erg. Sterker nog: toestemming vragen is qua privacy een zwaktebod. Liever een andere grondslag voor de verwerking. Zoals in dit geval uitvoer van de overeenkomst tussen jou en de kinderopvang. Het zou waarschijnlijk fout zijn als ze -wel- om toestemming vragen.

Een duidelijke en vindbare privacy policy is dan wel erg belangrijk inderdaad. (Al kan je ook daar van zeggen dat je die moet zoeken bij het kinderdagverblijf, niet de app-bouwer).

Al met al idd geen goed gevoel. Zeker met iets als een BSN mag je naar de stand der techniek goede beveiliging verwachten. En daar mag je als betrokkene dan best vragen over stellen.

Overigens is in eerste instantie de opvangorganisatie verantwoordelijk. Dus die aanspreken. Ook al zal het in de praktijk waarschijnlijker beter werken als je (ook) die leverancier aanspreekt.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


  • DJMaze
  • Registratie: juni 2002
  • Niet online
F_J_K schreef op donderdag 25 maart 2021 @ 12:53:
Dat is wel heel erg kort door de bocht. Kan je zeggen van alle data overal...
Dat vind ik ook, totdat het tegendeel bewezen is.
Er zijn tegenwoordig gigantisch veel data lekken.
Of heb je geen auto... ;)

Als iemand mijn e-mailadres lekt... Niet interessant, ik heb een goeie spam filter.

Mijn BSN is ook overal bekend (BTW-nummer eenmanszaak).

Mijn banknr ook (webshop iDeal).

Ik let wel op de beveiliging of ik überhaupt zaken ga doen.
Zo let ik bij een webshop op de onderliggende techniek, openstaande poorten, waar de server staat, etc. etc.

In dit geval is TS afhankelijk van een kinderdagverblijf die natuurlijk geen kennis heeft van techniek, maar van kinderen.

Maak je niet druk, dat doet de compressor maar

Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True