Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie
Toon posts:

Gebruik/verwerking BSN door opvangorganisatie.

Pagina: 1
Acties:

  • Ouders
  • Registratie: maart 2021
  • Laatst online: 05-04 11:01
Goedenavond,

De organisatie van onze kinderopvang heeft sinds kort een App in gebruik genomen waarmee mensen allerhande zaken kunnen regelen. Op dit moment wordt de App alleen nog gebruikt voor het inplannen van opvangdagen en het doorgeven en up-to-date houden van persoonsgegevens. In de toekomst wordt hier mogelijk het delen van foto's/facturen en het sturen van (privé)berichten aan toegevoegd.

Eén van de gegevens welke momenteel zichtbaar zijn in de App is het BSN. Opvangorganisaties hebben de wettelijke plicht om het BSN te registreren in verband met het aanvragen van toeslagen. Maar nu vroeg ik mij af of het BSN zo in de App opgeslagen mag worden en zichtbaar mag zijn. De enige functie welke dit BSN-veld momenteel lijkt te hebben is om het BSN door te kunnen geven/wijzigen.

De reden dat ik er zorgen over heb is omdat de App maar matig beveiligd is. Om even wat te noemen:
  • De App vereist een gebruikersnaam (e-mailadres) en een wachtwoord maar het wachtwoord mag alleen uit letters en cijfers bestaan. Speciale tekens zijn niet toegestaan.
  • Er zit geen beperking op het aantal inlogpogingen.
  • Middels de 'wachtwoord vergeten' functie kun je checken of iemand een account heeft. (Verschillende meldingen bij wel/niet actief e-mailadres.)
  • Geen enkele mogelijkheid om te checken of iemand anders gebruik maakt van het account. Je wordt niet op de hoogte gesteld van inlogpogingen of nieuwe apparaten en er wordt geen inloggeschiedenis bijgehouden.
Daarnaast zijn er nog wat zorgen m.b.t. de privacy. De app vroeg bij ingebruikname geen akkoord voor gegevensverwerking. In de App zelf is geen link naar de privacy policy te vinden. De contactgegevens van de ontwikkelaar (in de Play Store) kloppen grotendeels niet meer. De privacy policy wordt gehost op een domein waar alleen maar een leeg WordPress template staat. En zo zijn er nog meer kleinigheden die mij doen twijfelen aan de veiligheid/betrouwbaarheid van het systeem.

Nu wil ik een mail sturen naar de opvangorganisatie met mijn bevindingen, maar ik zou dus graag willen weten of het BSN überhaupt in de App kan/mag staan.

  • Ouders
  • Registratie: maart 2021
  • Laatst online: 05-04 11:01
DJMaze schreef op woensdag 24 maart 2021 @ 22:16:
[...]

Als het in de app staat, staat het op een server/cloud.
Als het dan net zo werkt als bij de GGD dan kunnen er vast heel veel onbevoegden bij.

Je hebt dus even iets meer uitzoekwerk nodig.

Welke app is het (MyChapp, Partou, Konnect, etc.)?
Dan kunnen we even de boel beter analyseren voor gebreken.
Ik heb opzettelijk de naam van de app niet genoemd. Het is niet mijn bedoeling om de ontwikkelaar een slechte naam te bezorgen. Daarnaast lijkt het mij niet echt handig omdat ik net gemeld heb dat de beveiliging te wensen overlaat. Overigens kun je zonder inloggegevens ook bijzonder weinig in de app.

  • Ouders
  • Registratie: maart 2021
  • Laatst online: 05-04 11:01
ThinkPad schreef op woensdag 24 maart 2021 @ 22:19:
Hoe heb je bij het aanmelden je BSN doorgegeven? Kun je in de app niet gewoon 111111111 invullen nu? Ben wel benieuwd of de app dat accepteert, als het goed is checken ze op de elfproef. Voor de functies die je beschrijft van de app lijkt een BSN mij niet nodig.
Ik heb in het verleden mijn BSN schriftelijk doorgegeven op het aanmeldingsformulier. De organisatie heeft deze in de app gezet. Of beter gezegd, de app heeft een koppeling met een intern systeem van de organisatie. Ik had mijn BSN vervangen door een . (net als de meeste andere gegevens in de app).

Op de factuur van afgelopen maand stond daardoor ook alleen maar ...... i.p.v. mijn NAW-gegevens. Ik kreeg vandaag een mailtje van de organisatie dat de belastingdienst mijn gegevens niet accepteerde. Ze hadden zelf niet opgemerkt dat mijn gegevens 10 dagen geleden 'verwijderd' waren. Blijkbaar is het allemaal gekoppeld en geautomatiseerd.

  • Ouders
  • Registratie: maart 2021
  • Laatst online: 05-04 11:01
DJMaze schreef op donderdag 25 maart 2021 @ 08:21:
[...]

Dat begrijp ik heel goed.

Kan je zelf de app analyseren door bijvoorbeeld in je router te kijken met welke domeinnamen de app verbinding maakt?
En dan die domeinnamen routeren naar je eigen PC met 'fake' https om te onderzoeken?
Of die domeinnamen door een SSL tool halen ivm beveiliging.

Als je niet zo technisch bent kan je beter iemand inschakelen die dit dan via responsible disclosure doorgeeft aan het bedrijf.
Ik begrijp wat je hier schrijft en ik zou het met (flink) wat tijd en energie waarschijnlijk ook wel uit kunnen vogelen en op kunnen zetten, maar helaas heb ik aan beide momenteel een tekort.

Ik ga de opvangorganisatie op de hoogte stellen van mijn bevindingen/zorgen en kijken hoe zij reageren.

  • Ouders
  • Registratie: maart 2021
  • Laatst online: 05-04 11:01
F_J_K schreef op donderdag 25 maart 2021 @ 12:53:
[...]

Dat is wel heel erg kort door de bocht. Kan je zeggen van alle data overal...


[...]

'W@c4tw00rD' als wachtwoord is minder veilig dan 'lampfietskastgang' zonder rare tekens. Wat dat betreft _hoeft_ dat niet onveilig te zijn. Desalniettemin is die beperking op zn minst vreemd ja. En wijst niet op goed nadenken over de authenticatie.

[...]

Yup, slecht zeker als er ook een BSN is opgeslagen/getoond.

[...]

Dat is niet erg. Sterker nog: toestemming vragen is qua privacy een zwaktebod. Liever een andere grondslag voor de verwerking. Zoals in dit geval uitvoer van de overeenkomst tussen jou en de kinderopvang. Het zou waarschijnlijk fout zijn als ze -wel- om toestemming vragen.

Een duidelijke en vindbare privacy policy is dan wel erg belangrijk inderdaad. (Al kan je ook daar van zeggen dat je die moet zoeken bij het kinderdagverblijf, niet de app-bouwer).

Al met al idd geen goed gevoel. Zeker met iets als een BSN mag je naar de stand der techniek goede beveiliging verwachten. En daar mag je als betrokkene dan best vragen over stellen.

Overigens is in eerste instantie de opvangorganisatie verantwoordelijk. Dus die aanspreken. Ook al zal het in de praktijk waarschijnlijker beter werken als je (ook) die aanspreekt.
Bedankt voor je input. Daar kan ik zeker wat mee.
Pagina: 1


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True