Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Bewindvoerder die DigiD gebruikt. Welke risico's zijn er?

30-12-2020, 23:21 door Pachacuti, 43 reacties
Bewindvoerder die DigiD van cliënt met Alzheimer gebruikt, terwijl dat eigenlijk niet mag (DigiD is namelijk strikt persoonlijk en niet overdraagbaar). Dit wordt echter gedoogd door vele instanties heb ik begrepen.

De vraag is niet of het wel of niet mag, maar welke veiligheids- en privacy-risico's er verbonden zijn aan dit gebruik in de volgende situaties:

1. Bewindvoerder werkt op laptop van de zaak (waar de DigiD op wordt bewaard); de laptop wordt fysiek van kantoor naar huis verplaatst (bijv. in de auto); er wordt vanaf een particulier woon-adres ingelogd.
2. Bewindvoerder deelt de inloggegevens met zijn/haar assistent.
3. De bewindvoerder (of ass. bewindvoerder) logt in bij DigiD vanaf een Open Wifi verbinding, bijv. in een hotel.
4. Cloud - office gebruik om DigID op te halen van de zaak

Ik zou graag willen weten hoe veiligheidsexperts hier op Security.nl hier over denken. Met name ben ik geïnteresseerd in
de stappen die je als bewindvoerder zou moeten nemen om e.e.a. goed te beveiligen. Op de laptop zou je kunnen denken aan het up-to-date houden van je Windows en Anti-Virus software. Firewall VPN et cetera. Dan uiteraard het netwerk en de router. Verder Anti-Diefstal beveiliging bijv. encryptie en tracking tools voor het geval de laptop uit de auto gestolen wordt.
Reacties (43)
30-12-2020, 23:29 door Anoniem
Door Pachacuti: Bewindvoerder die DigiD van cliënt met Alzheimer gebruikt, terwijl dat eigenlijk niet mag (DigiD is namelijk strikt persoonlijk en niet overdraagbaar). Dit wordt echter gedoogd door vele instanties heb ik begrepen.

De vraag is niet of het wel of niet mag, maar welke veiligheids- en privacy-risico's er verbonden zijn aan dit gebruik in de volgende situaties:

1. Bewindvoerder werkt op laptop van de zaak (waar de DigiD op wordt bewaard); de laptop wordt fysiek van kantoor naar huis verplaatst (bijv. in de auto); er wordt vanaf een particulier woon-adres ingelogd.
2. Bewindvoerder deelt de inloggegevens met zijn/haar assistent.
3. De bewindvoerder (of ass. bewindvoerder) logt in bij DigiD vanaf een Open Wifi verbinding, bijv. in een hotel.
4. Cloud - office gebruik om DigID op te halen van de zaak

Ik zou graag willen weten hoe veiligheidsexperts hier op Security.nl hier over denken. Met name ben ik geïnteresseerd in
de stappen die je als bewindvoerder zou moeten nemen om e.e.a. goed te beveiligen. Op de laptop zou je kunnen denken aan het up-to-date houden van je Windows en Anti-Virus software. Firewall VPN et cetera. Dan uiteraard het netwerk en de router. Verder Anti-Diefstal beveiliging bijv. encryptie en tracking tools voor het geval de laptop uit de auto gestolen wordt.
Voor dit soort gevallen bestaat de machtigingen voor iemand!
31-12-2020, 00:11 door Anoniem
Waarom zou een bewindvoerder met het Digid van een client anders om gaan dan met z'n persoonlijke Digid ?

Beantwoord de vragen eerst voor 'is dit OK voor _mijn_ digid' . Zo nee, dan is het toch ook niet OK voor Digid gegevens van een client ?

Overigens : jij/de bewindvoerder zou heel goed naar

https://www.digid.nl/digid-aanvragen-activeren/machtigen/

moeten kijken. Misschien is één keer het gebruik van het 'native' Digid nodig om de machtiging te geven, maar erna is duidelijk door wie dingen gedaan zijn namens de client .

1) encryptie van de harddisk , laptop moet (zelf) locken, en überhaupt een goed beheerd (updates, firewall, virusscanner) worden. "Van de zaak" zegt _hopelijk_ dat dat het geval is.
2) dubieus- maar aan de andere kant - veel vertrouwelijke zaken zijn feitelijk tussen een 'kantoor' en een client - secretaresses en junior medewerkers op een advocaten kantoor zien ook veel van zaken die tussel advocaat en client spelen. Idem ondersteunend personeel in de medische sector .
Met een machtiging - die kan aan meer Digids hangen - is in elk geval zichtbaar welke handelingen door welke persoon - bewindvoerder zelf of medewerker - gedaan zijn

3) - moet kunnen , daar is TLS voor.
4) - met de juiste cloud provider, en goed ingericht moet dat ook kunnen ...
31-12-2020, 00:33 door Anoniem
Simpel, geen DigiD gebruiken. Overheid/instanties zorgen maar voor een oplossing.

Overigens geldt bovenstaande in elke situatie. Mits je ook maar iets om privacy geeft.
31-12-2020, 01:18 door Anoniem
Als bewindvoerder kunt u aanvragen gemachtigd te worden. Dan krijgt de cliënt een code die hij/zij aan de bewindvoerder kan geven. De bewindvoerder kan dan met eigen gebruikersnaam en wachtwoord en de code communiceren als gemachtigde van de cliënt. Het is niet wenselijk dat de bewindvoerder gebruik maakt van naam en wachtwoord van de cliënt.
31-12-2020, 07:33 door Anoniem
Het grootste risico lijkt mij nog steeds identiteitsfraude. Dat is strafbaar en zal een veel grotere consequentie hebben dan dat de DigiD inloggegevens op straat komen te liggen. Zo kan ik mij goed voorstellen dat een bewindvoerder die op deze manier inlogt straks niet meer aan de slag kan als bewindvoerder. Waarom zou je dat risico willen lopen en niet gebruik maken van DigiD machtigingen die hier voor bedoeld zijn?
31-12-2020, 08:14 door Anoniem
Wat bedoel je precies als je schrijft dat de DigiD op de laptop van de zaak wordt bewaard? Een DigiD is niet een bestandje dat je op een harde schijf kan zetten. Bedoel je de inloggegevens of heb je het over iets anders?

Kennelijk is er geen voorziening voor bewindvoerders, wordt daar wel aan gewerkt en wordt het overtreden van de wet door bewindvoerders die zo werken tot het anders kan gedoogd:
https://www.trouw.nl/binnenland/bewindvoerders-overtreden-noodgedwongen-de-wet-met-digid-inlogs~b988bc7d/?referrer=https%3A%2F%2Fmyprivacy.dpgmedia.nl%2F
31-12-2020, 08:17 door Anoniem
Je moet dus NIET je eigen DIGID afgeven maar een machtiging aanvragen:

Wat is DigiD machtigen?
Met DigiD Machtigen kunt u iemand anders uw zaken met de Belastingdienst laten regelen. Bijvoorbeeld uw aangifte inkomstenbelasting. U hoeft dan niet uw eigen DigiD af te geven. Want de gemachtigde logt in met zijn eigen DigiD en machtigingscode.

Altijd traceerbaar.

https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/prive/aangifte_doen/praktische_informatie/digid_machtigen/#wat-is-digid-machtigen

Zaken uit handen geven brengt altijd risico's van misbruik met zich mee, van open WIFI tot delen van gegevens. Dat ga je nooit tegenhouden maar je moet dus wel altijd proberen te zorgen dat acties herleidbaar zijn naar een persoon.

Dus niet afgeven maar machtigen.


Als bewindvoerder kan je zelf ook het nodige doen, gebruik een laptop alleen voor je zakelijke werkzaamheden en doe er geen privé zaken op daarmee voorkom je "kruisbesmetting", ja een VPN kan helpen, nog beter is om geen open WIFI punten e.d. te gebruiken voor zakelijke werkzaamheden. Ja up to date houden, geen Windows gebruiken omdat de aanvals factor vele malen hoger is dan bij welk ander OS.
31-12-2020, 13:19 door Briolet
Of je wel of niet machtigt heeft niet direct met de vraag van TS te maken. Met beide DigiD inlogcodes kun je bij de gegevens van die persoon. Dus de veiligheidseissen zijn gelijk.


In het stuk lees ik:
Sommige burgers, bijvoorbeeld mensen met dementie, zijn daarvoor afhankelijk van mantelzorgers of een bewindvoerder, stelt Meldpunt, maar bij veel instanties is het niet toegestaan hen op naam van deze mensen in te laten loggen.
Veel instanties laten dus al niet toe dat je de inlogcodes van een handelsonbekwaam persoon gebruikt en eisen dus al een machtiging.

Als een machtiging wel is toegestaan, is die slechts tijdelijk geldig, stelt Meldpunt, en als een familielid of cliënt handelingsonbekwaam is, mag die machtiging niet langer worden verstrekt. …

Tja, dat is inderdaad een kip-ei probleem. Een handelsonbekwaam persoon kan natuurlijk niemand meer machtigen. En als de machtiging altijd tijdelijk is, kan hij hem ook niet meer verlengen.

…Het ministerie van Binnenlandse Zaken laat in een reactie aan het programma weten zich bewust te zijn van het probleem en wil uiterlijk begin 2022 een oplossing presenteren. In de tussentijd wordt het 'gedoogd' dat wettelijke vertegenwoordigers de privégegevens van cliënten of hun familieleden gebruiken om in te loggen via DigiD.

Een bewindvoerder wordt door de rechter aangewezen. Ik zou het logisch gevonden hebben dat het al lang geregeld zou zijn dat hij gedurende het bewindvoerderschap ook zo'n machtiging zou krijgen.
31-12-2020, 14:14 door Tintin and Milou
Door Pachacuti: Bewindvoerder die DigiD van cliënt met Alzheimer gebruikt, terwijl dat eigenlijk niet mag (DigiD is namelijk strikt persoonlijk en niet overdraagbaar). Dit wordt echter gedoogd door vele instanties heb ik begrepen.

De vraag is niet of het wel of niet mag, maar welke veiligheids- en privacy-risico's er verbonden zijn aan dit gebruik in de volgende situaties:

1. Bewindvoerder werkt op laptop van de zaak (waar de DigiD op wordt bewaard); de laptop wordt fysiek van kantoor naar huis verplaatst (bijv. in de auto); er wordt vanaf een particulier woon-adres ingelogd.
2. Bewindvoerder deelt de inloggegevens met zijn/haar assistent.
3. De bewindvoerder (of ass. bewindvoerder) logt in bij DigiD vanaf een Open Wifi verbinding, bijv. in een hotel.
4. Cloud - office gebruik om DigID op te halen van de zaak

Ik zou graag willen weten hoe veiligheidsexperts hier op Security.nl hier over denken. Met name ben ik geïnteresseerd in
de stappen die je als bewindvoerder zou moeten nemen om e.e.a. goed te beveiligen. Op de laptop zou je kunnen denken aan het up-to-date houden van je Windows en Anti-Virus software. Firewall VPN et cetera. Dan uiteraard het netwerk en de router. Verder Anti-Diefstal beveiliging bijv. encryptie en tracking tools voor het geval de laptop uit de auto gestolen wordt.

Is dit een officiële Bewindvoerder of gewoon iemand een bekend persoon dit voor deze persoon doet?


Door Anoniem: Simpel, geen DigiD gebruiken. Overheid/instanties zorgen maar voor een oplossing.

Overigens geldt bovenstaande in elke situatie. Mits je ook maar iets om privacy geeft.
Complete onzin natuurlijk.

DigiD heeft hier namelijk al een hele goede mogelijkheid toe, dat is namelijk een machtiging gebruiken.
31-12-2020, 14:46 door Anoniem
Door Anoniem: Simpel, geen DigiD gebruiken. Overheid/instanties zorgen maar voor een oplossing.

Overigens geldt bovenstaande in elke situatie. Mits je ook maar iets om privacy geeft.

Het is de verwachting dat de overheid in 2022 met een oplossing komt. Dit was onlangs bij Omroep Max.
https://www.trouw.nl/binnenland/bewindvoerders-overtreden-noodgedwongen-de-wet-met-digid-inlogs~b988bc7d/

Dus tot die tijd lijkt het gedoog beleid van toepassing te zijn.
31-12-2020, 16:56 door Anoniem
Door Anoniem: Je moet dus NIET je eigen DIGID afgeven maar een machtiging aanvragen:

Wat is DigiD machtigen?
Met DigiD Machtigen kunt u iemand anders uw zaken met de Belastingdienst laten regelen. Bijvoorbeeld uw aangifte inkomstenbelasting. U hoeft dan niet uw eigen DigiD af te geven. Want de gemachtigde logt in met zijn eigen DigiD en machtigingscode.

Altijd traceerbaar.

https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/prive/aangifte_doen/praktische_informatie/digid_machtigen/#wat-is-digid-machtigen

Zaken uit handen geven brengt altijd risico's van misbruik met zich mee, van open WIFI tot delen van gegevens. Dat ga je nooit tegenhouden maar je moet dus wel altijd proberen te zorgen dat acties herleidbaar zijn naar een persoon.

Dus niet afgeven maar machtigen.


Als bewindvoerder kan je zelf ook het nodige doen, gebruik een laptop alleen voor je zakelijke werkzaamheden en doe er geen privé zaken op daarmee voorkom je "kruisbesmetting", ja een VPN kan helpen, nog beter is om geen open WIFI punten e.d. te gebruiken voor zakelijke werkzaamheden. Ja up to date houden, geen Windows gebruiken omdat de aanvals factor vele malen hoger is dan bij welk ander OS.
Het probleem met machtigen is dat het te specifiek moet voor veel gevallen. Je kan iemand een machtiging geven voor "belastingaangifte 2019" maar voor 2020 moet dat opnieuw gebeuren. Voor iedere instantie moet je een nieuwe machtiging maken. Nu is dit op zich heel erg veilig maar het werkt niet als iemand met alle administratie geholpen moet worden.
01-01-2021, 01:40 door Anoniem
Door Anoniem:
Het probleem met machtigen is dat het te specifiek moet voor veel gevallen. Je kan iemand een machtiging geven voor "belastingaangifte 2019" maar voor 2020 moet dat opnieuw gebeuren. Voor iedere instantie moet je een nieuwe machtiging maken. Nu is dit op zich heel erg veilig maar het werkt niet als iemand met alle administratie geholpen moet worden.
Zover ik weet, kan je ook iemand voor 5 jaar machtigen voor alles!
01-01-2021, 12:32 door Anoniem
Door Anoniem: Als bewindvoerder kunt u aanvragen gemachtigd te worden. Dan krijgt de cliënt een code die hij/zij aan de bewindvoerder kan geven. De bewindvoerder kan dan met eigen gebruikersnaam en wachtwoord en de code communiceren als gemachtigde van de cliënt. Het is niet wenselijk dat de bewindvoerder gebruik maakt van naam en wachtwoord van de cliënt.
Ooit, ik denk nog voordat DigiD bestond, ben ik bij een bedrijf dat zich in bewindvoering specialiseert geweest om een IT-probleem op te helpen lossen. Het bleek verrassend lastig om het adres te vinden, we zijn er uiteindelijk via de telefoon heen geloodst. Dat bleek geen toeval te zijn, ze waren doelbewust moeilijk te vinden. Waarom? Omdat ze bewindvoerder waren van mensen die dat door de rechter opgelegd hadden gekregen, die het er absoluut niet mee eens waren dat ze niet vrijelijk over hun eigen geld konden beschikken en die het volkomen normaal vonden om ongenoegen over zoiets met grof geweld duidelijk te maken. Ze waren zo onzichtbaar en onvindbaar als ze konden omdat ze met levensgevaarlijke cliënten te maken hadden.

Ik denk dat onder dat soort cliënten van professionele bewindvoerders er de nodige zitten die echt niet mee gaan werken aan het regelen van een machtiging. Ik denk ook dat er cliënten zijn die onder bewindvoering staan omdat ze niet (meer) in staat zijn om dit soort dingen zelf te regelen. En dus denk ik dat voor bewindvoering een andere constructie dan een machtiging nodig is. Het moet niet van de cliënt afhangen of het lukt, het moet afhangen van het feit dat een rechter de bewindvoerder heeft aangewezen.
01-01-2021, 14:31 door Briolet
Door Anoniem: …Waarom? Omdat ze bewindvoerder waren van mensen die dat door de rechter opgelegd hadden gekregen, die het er absoluut niet mee eens waren dat ze niet vrijelijk over hun eigen geld konden beschikken …

Voor de duidelijkheid. Een bewindvoerder is altijd door een (kanton)rechter aangewezen.
https://www.rechtspraak.nl/Onderwerpen/Bewind/Paginas/procedures-bewind.aspx

Ik denk dat onder dat soort cliënten van professionele bewindvoerders er de nodige zitten die echt niet mee gaan werken aan het regelen van een machtiging.

Waarschijnlijk niet, maar daarom moet de rechter besluiten dat de bewindvoerder gemachtigd is. Je kunt zeker niet hun gewone inlogcode gebruiken, want dan veranderen ze direct hun wachtwoord.

Ik denk ook dat er cliënten zijn die onder bewindvoering staan omdat ze niet (meer) in staat zijn om dit soort dingen zelf te regelen. En dus denk ik dat voor bewindvoering een andere constructie dan een machtiging nodig is. Het moet niet van de cliënt afhangen of het lukt, het moet afhangen van het feit dat een rechter de bewindvoerder heeft aangewezen.

Dat laatste denk ik ook. Als er een bewindvoerder is, dan kan die persoon niet meer zelfstandig handelen. Dan moet misschien zelfs de gewone inlogcode voor de beheerde persoon ontoegankelijk gemaakt worden. In dat geval kan de bewindvoerder die inlogcode gebruiken omdat duidelijk is dat hij degene is die inlogt.

Alles hierboven lezend is het iemand machtigen voor een ander die onder bewind staat, geen abc-tje.
01-01-2021, 14:56 door Anoniem
Door Anoniem:
Door Anoniem:
Het probleem met machtigen is dat het te specifiek moet voor veel gevallen. Je kan iemand een machtiging geven voor "belastingaangifte 2019" maar voor 2020 moet dat opnieuw gebeuren. Voor iedere instantie moet je een nieuwe machtiging maken. Nu is dit op zich heel erg veilig maar het werkt niet als iemand met alle administratie geholpen moet worden.
Zover ik weet, kan je ook iemand voor 5 jaar machtigen voor alles!

Hier twijfelde ik over.
Maar 'anoniem zegt : voor zo ver ik weet' , dus daar kunnen we op bouwen ...

Inderdaad kan dat - (hoewel het misschien afhangt van de instantie) - Bij de belastingdienst kan het inderdaad 'meerdere jaren' .

https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/prive/aangifte_doen/praktische_informatie/digid_machtigen/


Hoe lang is een DigiD-machtiging geldig?

Bij de aanvraag van de DigiD-machtiging kunt u zelf kiezen voor welke periode de machtiging moet gelden. Een machtiging voor 1 bepaald aangiftejaar, 1 dag, 1 jaar of meerdere jaren? Of een machtiging voor alle aangiftejaren? Dat laatste is handig als iemand voor u jaren achter elkaar aangifte inkomstenbelasting doet. Dan hoeft u niet elk jaar opnieuw een machtiging aan te vragen.
01-01-2021, 15:04 door Anoniem
Volgens de rechter moet je de inlogcode van de cliënt die onder bewindvoering staat gebruiken, zolang de overheid niet komt met een goede oplossing.
01-01-2021, 15:16 door Anoniem
Door Briolet:
Door Anoniem: …Waarom? Omdat ze bewindvoerder waren van mensen die dat door de rechter opgelegd hadden gekregen, die het er absoluut niet mee eens waren dat ze niet vrijelijk over hun eigen geld konden beschikken …

Voor de duidelijkheid. Een bewindvoerder is altijd door een (kanton)rechter aangewezen.
https://www.rechtspraak.nl/Onderwerpen/Bewind/Paginas/procedures-bewind.aspx

Ik denk dat onder dat soort cliënten van professionele bewindvoerders er de nodige zitten die echt niet mee gaan werken aan het regelen van een machtiging.

Waarschijnlijk niet, maar daarom moet de rechter besluiten dat de bewindvoerder gemachtigd is. Je kunt zeker niet hun gewone inlogcode gebruiken, want dan veranderen ze direct hun wachtwoord.

Iemand kan met z'n Digid ook een machtiging weer intrekken.

Ik denk dat er in het concept Digid/machtiging gewoon geen voorziening zit voor "tegenstribbelende" gemachtigden .

Aan de andere kant - ook voor Digid bestond er bewindvoering, en bewindvoeringsregisters waar partijen die (grote) zaken doen geacht worden in te kijken , dat ze geen geldige transactie kunnen/mogen aangaan met een onder bewind gestelde .
Dus ook al heeft de onder bewind gestelde (ook)controle over eigen Digid - gedane beslissingen kunnen door de bewindvoerder teruggedraaid worden .
Plus - voor het type 'failliet met koopzucht' - het soort dingen wat je met een Digid doet is nou ook weer niet zo boeiend.


Ik denk ook dat er cliënten zijn die onder bewindvoering staan omdat ze niet (meer) in staat zijn om dit soort dingen zelf te regelen. En dus denk ik dat voor bewindvoering een andere constructie dan een machtiging nodig is. Het moet niet van de cliënt afhangen of het lukt, het moet afhangen van het feit dat een rechter de bewindvoerder heeft aangewezen.

Dat laatste denk ik ook. Als er een bewindvoerder is, dan kan die persoon niet meer zelfstandig handelen. Dan moet misschien zelfs de gewone inlogcode voor de beheerde persoon ontoegankelijk gemaakt worden. In dat geval kan de bewindvoerder die inlogcode gebruiken omdat duidelijk is dat hij degene is die inlogt.

Alles hierboven lezend is het iemand machtigen voor een ander die onder bewind staat, geen abc-tje.

Als de onder bewind gestelde min of meer meewerkt - of in elk geval niet actief (kan - vraag ging over Alzheimer) tegenwerkt - is het enige wat technisch nodig is voor een machtiging toegang tot de (fysieke) brievenbus van de onder bewind gestelde persoon.
Je kunt een machtigingscode aanvragen die als brief naar het huisadres van de persoon gaat .
Machtigingen kunnen ook aan meerdere personen gegeven worden .

Het probleem van 'netjes bewaren van inloggegevens van cliënt' en "delen van inloggegevens met assistent/vervanger" vervallen bij gebruik van een machtiging.
01-01-2021, 16:54 door Anoniem
Volgens mij is DigiD machtigen meestal geen oplossing, o.a. omdat slechts 5% van de organisaties hierop is aangesloten.
Voor het hele verhaal lees:
https://www.maxmeldpunt.nl/digitalisering/mantelzorgers-en-bewindvoerders-in-de-knoop-met-digid/

93% van de bewindvoerders en andere wettelijke vertegenwoordigers gebruiken dus toch Digid van de client,
maar wettelijk "hang je" in geval er iets mis gaat. Want officieel mag het niet.
Dus je vraag is heel logisch, want je wil natuurlijk zo weinig mogelijk risico lopen, en je moet toch wat.
Toch denk ik dat je in dit geval voor jezelf het laagste risico loopt als je netjes met papier werkt, en geen DigiD van de client gebruikt. Maar ik snap dat het lastig is, en dat het met DigiD makkelijker en sneller gaat.

Met een computer zijn er in potentie zoveel verschillende risico's dat het vrijwel ondoenlijk is om alles op te sommen.
Gelukkig is het wel zo dat veel van die risico's erg klein zijn, en daarom gaat het best nog wel vaak goed.
Als je het wil doorzetten met DigiD kan je op dit forum misschien wat tips krijgen, zodat je hopelijk wat minder kans loopt
dat het fout afloopt, maar geen 100% garantie dat het nooit en te nimmer fout zou kunnen gaan.
Wees je hier goed van bewust voordat je een keuze maakt.

Als je het dan toch op eigen risico zou doorzetten om het met DigiD te doen,
reageer ik hieronder alvast met enkele tips op wat je had aangegeven:
1. Bewindvoerder werkt op laptop van de zaak (waar de DigiD op wordt bewaard); de laptop wordt fysiek van kantoor naar huis verplaatst (bijv. in de auto); er wordt vanaf een particulier woon-adres ingelogd.
2. Bewindvoerder deelt de inloggegevens met zijn/haar assistent.
3. De bewindvoerder (of ass. bewindvoerder) logt in bij DigiD vanaf een Open Wifi verbinding, bijv. in een hotel.
4. Cloud - office gebruik om DigID op te halen van de zaak

Met het oog op punt 1:
- wees bedacht op diefstal uit de auto, en dat er niet te gemakkelijk toegang is tot alles wat op de laptop staat als een onbevoegde hem in handen krijgt. (wordt alles versleuteld opgeslagen, zodat niet te gemakkelijk alles wat op de laptop staat door een onbevoegde is te lezen of te gebruiken?)
- zorg dat je een werkende backup of copy achter de hand hebt van belangrijke data.
- wees ervan verzekerd dat op beide plekken de modem/router -instellingen zo veilig mogelijk zijn.
punt 2:
- heeft de assistent ervoor getekend dat wachtwoord en alles wat onder zijn of haar ogen komt vertrouwelijk moet blijven?
punt 3: Gebruik liefst helemaal geen wifi van een hotel, of als het echt niet anders kan: gebruik een betrouwbare VPN,
en zorg ervoor dat die VPN ook correct is ingesteld als er via de wifi van het hotel wordt gewerkt.
punt 4: werken vanuit een cloud kan een privacy risico zijn.
Verdiep je in de privacyvoorwaarden van het gebruik van die cloud,
en/of sla bestanden alleen goed versleuteld op in die cloud.
22-01-2021, 12:00 door Anoniem
Door Anoniem: Simpel, geen DigiD gebruiken. Overheid/instanties zorgen maar voor een oplossing.

Overigens geldt bovenstaande in elke situatie. Mits je ook maar iets om privacy geeft.

Overheid is al ruim 8 jaar bezig met een "oplossing", deze is er nog steeds niet...
22-01-2021, 14:43 door Anoniem
Door Anoniem:
Door Anoniem: Simpel, geen DigiD gebruiken. Overheid/instanties zorgen maar voor een oplossing.

Overigens geldt bovenstaande in elke situatie. Mits je ook maar iets om privacy geeft.

Overheid is al ruim 8 jaar bezig met een "oplossing", deze is er nog steeds niet...
Die oplossing IS er al lang, namelijk de machtiging!
22-01-2021, 15:03 door Briolet
Door Anoniem:
Die oplossing IS er al lang, namelijk de machtiging!

Heb jij dit draadje wel gelezen? Het probleem is juist dat machtiging vaak niet mogelijk is bij iemand die onder bewind staat.
22-03-2021, 13:07 door Pachacuti
Door Anoniem:
Door Pachacuti: Bewindvoerder die DigiD van cliënt met Alzheimer gebruikt, terwijl dat eigenlijk niet mag (DigiD is namelijk strikt persoonlijk en niet overdraagbaar). Dit wordt echter gedoogd door vele instanties heb ik begrepen.

De vraag is niet of het wel of niet mag, maar welke veiligheids- en privacy-risico's er verbonden zijn aan dit gebruik in de volgende situaties:

1. Bewindvoerder werkt op laptop van de zaak (waar de DigiD op wordt bewaard); de laptop wordt fysiek van kantoor naar huis verplaatst (bijv. in de auto); er wordt vanaf een particulier woon-adres ingelogd.
2. Bewindvoerder deelt de inloggegevens met zijn/haar assistent.
3. De bewindvoerder (of ass. bewindvoerder) logt in bij DigiD vanaf een Open Wifi verbinding, bijv. in een hotel.
4. Cloud - office gebruik om DigID op te halen van de zaak

Ik zou graag willen weten hoe veiligheidsexperts hier op Security.nl hier over denken. Met name ben ik geïnteresseerd in
de stappen die je als bewindvoerder zou moeten nemen om e.e.a. goed te beveiligen. Op de laptop zou je kunnen denken aan het up-to-date houden van je Windows en Anti-Virus software. Firewall VPN et cetera. Dan uiteraard het netwerk en de router. Verder Anti-Diefstal beveiliging bijv. encryptie en tracking tools voor het geval de laptop uit de auto gestolen wordt.
Voor dit soort gevallen bestaat de machtigingen voor iemand!
22-03-2021, 13:08 door Pachacuti
De vraag is niet of het wel of niet mag, maar welke veiligheids- en privacy-risico's er verbonden zijn aan dit gebruik in de situaties 1 t/m 4

Toch bedankt voor de reactie!
22-03-2021, 13:12 door Pachacuti
Door Anoniem: Waarom zou een bewindvoerder met het Digid van een client anders om gaan dan met z'n persoonlijke Digid ?

Beantwoord de vragen eerst voor 'is dit OK voor _mijn_ digid' . Zo nee, dan is het toch ook niet OK voor Digid gegevens van een client ?

Overigens : jij/de bewindvoerder zou heel goed naar

https://www.digid.nl/digid-aanvragen-activeren/machtigen/

moeten kijken. Misschien is één keer het gebruik van het 'native' Digid nodig om de machtiging te geven, maar erna is duidelijk door wie dingen gedaan zijn namens de client .

1) encryptie van de harddisk , laptop moet (zelf) locken, en überhaupt een goed beheerd (updates, firewall, virusscanner) worden. "Van de zaak" zegt _hopelijk_ dat dat het geval is.
2) dubieus- maar aan de andere kant - veel vertrouwelijke zaken zijn feitelijk tussen een 'kantoor' en een client - secretaresses en junior medewerkers op een advocaten kantoor zien ook veel van zaken die tussel advocaat en client spelen. Idem ondersteunend personeel in de medische sector .
Met een machtiging - die kan aan meer Digids hangen - is in elk geval zichtbaar welke handelingen door welke persoon - bewindvoerder zelf of medewerker - gedaan zijn

3) - moet kunnen , daar is TLS voor.
4) - met de juiste cloud provider, en goed ingericht moet dat ook kunnen ...
22-03-2021, 13:13 door Pachacuti
Bedankt voor deze reactie. Het zijn bruikbare zaken bij het checken van de beveiliging, die worden opgesomd.
22-03-2021, 13:17 door Pachacuti
Door Anoniem: Simpel, geen DigiD gebruiken. Overheid/instanties zorgen maar voor een oplossing.

Overigens geldt bovenstaande in elke situatie. Mits je ook maar iets om privacy geeft.
22-03-2021, 13:18 door Pachacuti
Helemaal mee eens. Mijn vraag was echter was zijn de risico's als er toch gebruik van wordt gemaakt van de DigiD.
22-03-2021, 13:19 door Pachacuti
Door Anoniem: Het grootste risico lijkt mij nog steeds identiteitsfraude. Dat is strafbaar en zal een veel grotere consequentie hebben dan dat de DigiD inloggegevens op straat komen te liggen. Zo kan ik mij goed voorstellen dat een bewindvoerder die op deze manier inlogt straks niet meer aan de slag kan als bewindvoerder. Waarom zou je dat risico willen lopen en niet gebruik maken van DigiD machtigingen die hier voor bedoeld zijn?
22-03-2021, 13:22 door Pachacuti
Hartelijk dank voor uw reactie. Ik zie identiteitsfraude ook als groot risico, maar vraag me af hoe e.e.a. in de praktijk in zijn werk gaat. In de door mij geschetste situaties wel te verstaan. Hoe maken criminelen misbruik van de zwakheden die ik opsomde? Moet ik dan denken aan het op grote schaal aanvragen van toeslagen en dergelijk?
22-03-2021, 13:29 door Pachacuti
Door Anoniem: Als bewindvoerder kunt u aanvragen gemachtigd te worden. Dan krijgt de cliënt een code die hij/zij aan de bewindvoerder kan geven. De bewindvoerder kan dan met eigen gebruikersnaam en wachtwoord en de code communiceren als gemachtigde van de cliënt. Het is niet wenselijk dat de bewindvoerder gebruik maakt van naam en wachtwoord van de cliënt.


Dank voor uw reactie. De vraag was niet of het wel of niet mag, maar welke veiligheids- en privacy-risico's er verbonden zijn aan dit gebruik in de eerdergenoemde situaties. V.w.b. het aanvragen van een machtiging is het lastig omdat de client Alzheimer heeft en niet meer wilsbekwaam is ( WLZ5 -indicatie)
22-03-2021, 14:04 door Pachacuti
Door Anoniem: Wat bedoel je precies als je schrijft dat de DigiD op de laptop van de zaak wordt bewaard? Een DigiD is niet een bestandje dat je op een harde schijf kan zetten. Bedoel je de inloggegevens of heb je het over iets anders?

Kennelijk is er geen voorziening voor bewindvoerders, wordt daar wel aan gewerkt en wordt het overtreden van de wet door bewindvoerders die zo werken tot het anders kan gedoogd:
https://www.trouw.nl/binnenland/bewindvoerders-overtreden-noodgedwongen-de-wet-met-digid-inlogs~b988bc7d/?referrer=https%3A%2F%2Fmyprivacy.dpgmedia.nl%2F

Ik bedoel dus met de DigId op de laptop, de inloggegevens (gebruikersnaam en wachtwoord). Dat bewindvoerders noodgedwongen de wet overtreden is me duidelijk. De vraag die dan overblijft is dan ... hoe veilig doe je dat dan? Je doet iets dat eigenlijk niet mag, maar hoe doe je dat dan vervolgens?
22-03-2021, 14:14 door Pachacuti
Door Anoniem: Je moet dus NIET je eigen DIGID afgeven maar een machtiging aanvragen:

Wat is DigiD machtigen?
Met DigiD Machtigen kunt u iemand anders uw zaken met de Belastingdienst laten regelen. Bijvoorbeeld uw aangifte inkomstenbelasting. U hoeft dan niet uw eigen DigiD af te geven. Want de gemachtigde logt in met zijn eigen DigiD en machtigingscode.

Altijd traceerbaar.

https://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/belastingdienst/prive/aangifte_doen/praktische_informatie/digid_machtigen/#wat-is-digid-machtigen

Zaken uit handen geven brengt altijd risico's van misbruik met zich mee, van open WIFI tot delen van gegevens. Dat ga je nooit tegenhouden maar je moet dus wel altijd proberen te zorgen dat acties herleidbaar zijn naar een persoon.

Dus niet afgeven maar machtigen.


Als bewindvoerder kan je zelf ook het nodige doen, gebruik een laptop alleen voor je zakelijke werkzaamheden en doe er geen privé zaken op daarmee voorkom je "kruisbesmetting", ja een VPN kan helpen, nog beter is om geen open WIFI punten e.d. te gebruiken voor zakelijke werkzaamheden. Ja up to date houden, geen Windows gebruiken omdat de aanvals factor vele malen hoger is dan bij welk ander OS.

Bedankt voor de reactie. Het machtigingsverhaal snap ik. Wat ik een interessante opmerking vond, was kruisbesmetting. Dit gaat uiteraard verder dan mijn vraag over de DigiD. Je zou dan kunnen denken aan onzorgvuldig prive-gebruik waardoor hackers toegang krijgen of je keyloggers en andere malware binnenhaalt.
22-03-2021, 14:22 door Pachacuti
Door Briolet: Of je wel of niet machtigt heeft niet direct met de vraag van TS te maken. Met beide DigiD inlogcodes kun je bij de gegevens van die persoon. Dus de veiligheidseissen zijn gelijk.


In het stuk lees ik:
Sommige burgers, bijvoorbeeld mensen met dementie, zijn daarvoor afhankelijk van mantelzorgers of een bewindvoerder, stelt Meldpunt, maar bij veel instanties is het niet toegestaan hen op naam van deze mensen in te laten loggen.
Veel instanties laten dus al niet toe dat je de inlogcodes van een handelsonbekwaam persoon gebruikt en eisen dus al een machtiging.

Als een machtiging wel is toegestaan, is die slechts tijdelijk geldig, stelt Meldpunt, en als een familielid of cliënt handelingsonbekwaam is, mag die machtiging niet langer worden verstrekt. …

Tja, dat is inderdaad een kip-ei probleem. Een handelsonbekwaam persoon kan natuurlijk niemand meer machtigen. En als de machtiging altijd tijdelijk is, kan hij hem ook niet meer verlengen.

…Het ministerie van Binnenlandse Zaken laat in een reactie aan het programma weten zich bewust te zijn van het probleem en wil uiterlijk begin 2022 een oplossing presenteren. In de tussentijd wordt het 'gedoogd' dat wettelijke vertegenwoordigers de privégegevens van cliënten of hun familieleden gebruiken om in te loggen via DigiD.

Een bewindvoerder wordt door de rechter aangewezen. Ik zou het logisch gevonden hebben dat het al lang geregeld zou zijn dat hij gedurende het bewindvoerderschap ook zo'n machtiging zou krijgen.

Bedankt voor de reactie. Het is inderdaad een kip-ei verhaal. Feit is dat er in de praktijk wisselend mee omgegaan wordt. Interessant is dan ook de vraag Wat als het fout gaat? Wie is er dan aansprakelijk? De bewindvoerder? Of kan de overheid aansprakelijk gesteld worden?
22-03-2021, 14:25 door Pachacuti
Door Tintin and Milou:
Door Pachacuti: Bewindvoerder die DigiD van cliënt met Alzheimer gebruikt, terwijl dat eigenlijk niet mag (DigiD is namelijk strikt persoonlijk en niet overdraagbaar). Dit wordt echter gedoogd door vele instanties heb ik begrepen.

De vraag is niet of het wel of niet mag, maar welke veiligheids- en privacy-risico's er verbonden zijn aan dit gebruik in de volgende situaties:

1. Bewindvoerder werkt op laptop van de zaak (waar de DigiD op wordt bewaard); de laptop wordt fysiek van kantoor naar huis verplaatst (bijv. in de auto); er wordt vanaf een particulier woon-adres ingelogd.
2. Bewindvoerder deelt de inloggegevens met zijn/haar assistent.
3. De bewindvoerder (of ass. bewindvoerder) logt in bij DigiD vanaf een Open Wifi verbinding, bijv. in een hotel.
4. Cloud - office gebruik om DigID op te halen van de zaak

Ik zou graag willen weten hoe veiligheidsexperts hier op Security.nl hier over denken. Met name ben ik geïnteresseerd in
de stappen die je als bewindvoerder zou moeten nemen om e.e.a. goed te beveiligen. Op de laptop zou je kunnen denken aan het up-to-date houden van je Windows en Anti-Virus software. Firewall VPN et cetera. Dan uiteraard het netwerk en de router. Verder Anti-Diefstal beveiliging bijv. encryptie en tracking tools voor het geval de laptop uit de auto gestolen wordt.

Is dit een officiële Bewindvoerder of gewoon iemand een bekend persoon dit voor deze persoon doet?


Door Anoniem: Simpel, geen DigiD gebruiken. Overheid/instanties zorgen maar voor een oplossing.

Overigens geldt bovenstaande in elke situatie. Mits je ook maar iets om privacy geeft.
Complete onzin natuurlijk.

DigiD heeft hier namelijk al een hele goede mogelijkheid toe, dat is namelijk een machtiging gebruiken.

Het gaat in deze casus om een officiële Bewindvoerder, maar om antwoord te geven op de veiligheidsaspecten is dat niet zo van belang denk ik.
22-03-2021, 14:42 door Pachacuti
Door Anoniem:
Door Anoniem: Als bewindvoerder kunt u aanvragen gemachtigd te worden. Dan krijgt de cliënt een code die hij/zij aan de bewindvoerder kan geven. De bewindvoerder kan dan met eigen gebruikersnaam en wachtwoord en de code communiceren als gemachtigde van de cliënt. Het is niet wenselijk dat de bewindvoerder gebruik maakt van naam en wachtwoord van de cliënt.
Ooit, ik denk nog voordat DigiD bestond, ben ik bij een bedrijf dat zich in bewindvoering specialiseert geweest om een IT-probleem op te helpen lossen. Het bleek verrassend lastig om het adres te vinden, we zijn er uiteindelijk via de telefoon heen geloodst. Dat bleek geen toeval te zijn, ze waren doelbewust moeilijk te vinden. Waarom? Omdat ze bewindvoerder waren van mensen die dat door de rechter opgelegd hadden gekregen, die het er absoluut niet mee eens waren dat ze niet vrijelijk over hun eigen geld konden beschikken en die het volkomen normaal vonden om ongenoegen over zoiets met grof geweld duidelijk te maken. Ze waren zo onzichtbaar en onvindbaar als ze konden omdat ze met levensgevaarlijke cliënten te maken hadden.

Ik denk dat onder dat soort cliënten van professionele bewindvoerders er de nodige zitten die echt niet mee gaan werken aan het regelen van een machtiging. Ik denk ook dat er cliënten zijn die onder bewindvoering staan omdat ze niet (meer) in staat zijn om dit soort dingen zelf te regelen. En dus denk ik dat voor bewindvoering een andere constructie dan een machtiging nodig is. Het moet niet van de cliënt afhangen of het lukt, het moet afhangen van het feit dat een rechter de bewindvoerder heeft aangewezen.
22-03-2021, 14:45 door Pachacuti
Bedankt voor de reactie. Mijn vraag gaat niet over alternatieven voor DigiD zoals machtigen

De vraag is niet of het wel of niet mag, maar welke veiligheids- en privacy-risico's er verbonden zijn aan dit gebruik in de eerder genoemde 4 situaties.
22-03-2021, 14:54 door Pachacuti
Door Anoniem: Volgens de rechter moet je de inlogcode van de cliënt die onder bewindvoering staat gebruiken, zolang de overheid niet komt met een goede oplossing.

Bedankt voor de reactie. Ik zou best een link (bijv. ECLI) willen naar die uitspraak van de rechter. Is daar eerder een uitspraak over gedaan?

Opvallend want het Min. van BZK is er duidelijk over. DigiD is strict persoonlijk. Bewindvoerder mag die inloggegevens niet gebruiken, want daarvoor is machtiging mogelijk. etc ...

Mijn vraag was echter niet of het MAG, maar wat de risico's zijn die gepaard gaan met het (onzorgvuldig) gebruik van DigiD.

Helaas zijn er veel reacties, die gaan over wat MAG en welke Alternatieven er zijn. Dat is niet de vraagstelling:

De vraag is niet of het wel of niet mag, maar welke veiligheids- en privacy-risico's er verbonden zijn aan dit gebruik in de volgende situaties:

1. Bewindvoerder werkt op laptop van de zaak (waar de DigiD op wordt bewaard); de laptop wordt fysiek van kantoor naar huis verplaatst (bijv. in de auto); er wordt vanaf een particulier woon-adres ingelogd.
2. Bewindvoerder deelt de inloggegevens met zijn/haar assistent.
3. De bewindvoerder (of ass. bewindvoerder) logt in bij DigiD vanaf een Open Wifi verbinding, bijv. in een hotel.
4. Cloud - office gebruik om DigID op te halen van de zaak
22-03-2021, 14:57 door Pachacuti
Door Anoniem:
Door Briolet:
Door Anoniem: …Waarom? Omdat ze bewindvoerder waren van mensen die dat door de rechter opgelegd hadden gekregen, die het er absoluut niet mee eens waren dat ze niet vrijelijk over hun eigen geld konden beschikken …

Voor de duidelijkheid. Een bewindvoerder is altijd door een (kanton)rechter aangewezen.
https://www.rechtspraak.nl/Onderwerpen/Bewind/Paginas/procedures-bewind.aspx

Ik denk dat onder dat soort cliënten van professionele bewindvoerders er de nodige zitten die echt niet mee gaan werken aan het regelen van een machtiging.

Waarschijnlijk niet, maar daarom moet de rechter besluiten dat de bewindvoerder gemachtigd is. Je kunt zeker niet hun gewone inlogcode gebruiken, want dan veranderen ze direct hun wachtwoord.

Iemand kan met z'n Digid ook een machtiging weer intrekken.

Ik denk dat er in het concept Digid/machtiging gewoon geen voorziening zit voor "tegenstribbelende" gemachtigden .

Aan de andere kant - ook voor Digid bestond er bewindvoering, en bewindvoeringsregisters waar partijen die (grote) zaken doen geacht worden in te kijken , dat ze geen geldige transactie kunnen/mogen aangaan met een onder bewind gestelde .
Dus ook al heeft de onder bewind gestelde (ook)controle over eigen Digid - gedane beslissingen kunnen door de bewindvoerder teruggedraaid worden .
Plus - voor het type 'failliet met koopzucht' - het soort dingen wat je met een Digid doet is nou ook weer niet zo boeiend.


Ik denk ook dat er cliënten zijn die onder bewindvoering staan omdat ze niet (meer) in staat zijn om dit soort dingen zelf te regelen. En dus denk ik dat voor bewindvoering een andere constructie dan een machtiging nodig is. Het moet niet van de cliënt afhangen of het lukt, het moet afhangen van het feit dat een rechter de bewindvoerder heeft aangewezen.

Dat laatste denk ik ook. Als er een bewindvoerder is, dan kan die persoon niet meer zelfstandig handelen. Dan moet misschien zelfs de gewone inlogcode voor de beheerde persoon ontoegankelijk gemaakt worden. In dat geval kan de bewindvoerder die inlogcode gebruiken omdat duidelijk is dat hij degene is die inlogt.

Alles hierboven lezend is het iemand machtigen voor een ander die onder bewind staat, geen abc-tje.

Als de onder bewind gestelde min of meer meewerkt - of in elk geval niet actief (kan - vraag ging over Alzheimer) tegenwerkt - is het enige wat technisch nodig is voor een machtiging toegang tot de (fysieke) brievenbus van de onder bewind gestelde persoon.
Je kunt een machtigingscode aanvragen die als brief naar het huisadres van de persoon gaat .
Machtigingen kunnen ook aan meerdere personen gegeven worden .

Het probleem van 'netjes bewaren van inloggegevens van cliënt' en "delen van inloggegevens met assistent/vervanger" vervallen bij gebruik van een machtiging.
22-03-2021, 15:51 door Pachacuti
Beste anoniem, helaas een beetje een off-topic reactie, maar zeker interessant wat u zegt De vraag was echter niet het probleem rond het machtigen, maar:

De vraag is niet of het wel of niet mag, maar welke veiligheids- en privacy-risico's er verbonden zijn aan dit gebruik in de volgende situaties:

1. Bewindvoerder werkt op laptop van de zaak (waar de DigiD op wordt bewaard); de laptop wordt fysiek van kantoor naar huis verplaatst (bijv. in de auto); er wordt vanaf een particulier woon-adres ingelogd.
2. Bewindvoerder deelt de inloggegevens met zijn/haar assistent.
3. De bewindvoerder (of ass. bewindvoerder) logt in bij DigiD vanaf een Open Wifi verbinding, bijv. in een hotel.
4. Cloud - office gebruik om DigID op te halen van de zaak

Verder zegt u:
Het probleem van 'netjes bewaren van inloggegevens van cliënt' en "delen van inloggegevens met assistent/vervanger" vervallen bij gebruik van een machtiging.

Volgens mij moet je als bedrijf moet je altijd netjes omgaan met je cliëntgegevens en deze goed beveiligen. Dat is niet alleen van toepassing op DigID gegevens, maar ook voor persoonsgegevens (AVG)
22-03-2021, 16:09 door Pachacuti
Door Anoniem: Volgens mij is DigiD machtigen meestal geen oplossing, o.a. omdat slechts 5% van de organisaties hierop is aangesloten.
Voor het hele verhaal lees:
https://www.maxmeldpunt.nl/digitalisering/mantelzorgers-en-bewindvoerders-in-de-knoop-met-digid/

93% van de bewindvoerders en andere wettelijke vertegenwoordigers gebruiken dus toch Digid van de client,
maar wettelijk "hang je" in geval er iets mis gaat. Want officieel mag het niet.
Dus je vraag is heel logisch, want je wil natuurlijk zo weinig mogelijk risico lopen, en je moet toch wat.
Toch denk ik dat je in dit geval voor jezelf het laagste risico loopt als je netjes met papier werkt, en geen DigiD van de client gebruikt. Maar ik snap dat het lastig is, en dat het met DigiD makkelijker en sneller gaat.

Met een computer zijn er in potentie zoveel verschillende risico's dat het vrijwel ondoenlijk is om alles op te sommen.
Gelukkig is het wel zo dat veel van die risico's erg klein zijn, en daarom gaat het best nog wel vaak goed.
Als je het wil doorzetten met DigiD kan je op dit forum misschien wat tips krijgen, zodat je hopelijk wat minder kans loopt
dat het fout afloopt, maar geen 100% garantie dat het nooit en te nimmer fout zou kunnen gaan.
Wees je hier goed van bewust voordat je een keuze maakt.

Als je het dan toch op eigen risico zou doorzetten om het met DigiD te doen,
reageer ik hieronder alvast met enkele tips op wat je had aangegeven:
1. Bewindvoerder werkt op laptop van de zaak (waar de DigiD op wordt bewaard); de laptop wordt fysiek van kantoor naar huis verplaatst (bijv. in de auto); er wordt vanaf een particulier woon-adres ingelogd.
2. Bewindvoerder deelt de inloggegevens met zijn/haar assistent.
3. De bewindvoerder (of ass. bewindvoerder) logt in bij DigiD vanaf een Open Wifi verbinding, bijv. in een hotel.
4. Cloud - office gebruik om DigID op te halen van de zaak

Met het oog op punt 1:
- wees bedacht op diefstal uit de auto, en dat er niet te gemakkelijk toegang is tot alles wat op de laptop staat als een onbevoegde hem in handen krijgt. (wordt alles versleuteld opgeslagen, zodat niet te gemakkelijk alles wat op de laptop staat door een onbevoegde is te lezen of te gebruiken?)
- zorg dat je een werkende backup of copy achter de hand hebt van belangrijke data.
- wees ervan verzekerd dat op beide plekken de modem/router -instellingen zo veilig mogelijk zijn.
punt 2:
- heeft de assistent ervoor getekend dat wachtwoord en alles wat onder zijn of haar ogen komt vertrouwelijk moet blijven?
punt 3: Gebruik liefst helemaal geen wifi van een hotel, of als het echt niet anders kan: gebruik een betrouwbare VPN,
en zorg ervoor dat die VPN ook correct is ingesteld als er via de wifi van het hotel wordt gewerkt.
punt 4: werken vanuit een cloud kan een privacy risico zijn.
Verdiep je in de privacyvoorwaarden van het gebruik van die cloud,
en/of sla bestanden alleen goed versleuteld op in die cloud.

Bedankt voor de reactie. Ik vond met name hetgeen u onder punt 2 zegt over het tekenen vwb vertrouwelijkheid interessant. Ik denk dat dit in het onderhavige geval niet het geval is. Voor de rest denk ik dat de technische oplossingen die ik zelf al had aangedragen aardig in de buurt komen, van een goede oplossing.
22-03-2021, 16:34 door Pachacuti
Door Pachacuti: Bewindvoerder die DigiD van cliënt met Alzheimer gebruikt, terwijl dat eigenlijk niet mag (DigiD is namelijk strikt persoonlijk en niet overdraagbaar). Dit wordt echter gedoogd door vele instanties heb ik begrepen.

De vraag is niet of het wel of niet mag, maar welke veiligheids- en privacy-risico's er verbonden zijn aan dit gebruik in de volgende situaties:

1. Bewindvoerder werkt op laptop van de zaak (waar de DigiD op wordt bewaard); de laptop wordt fysiek van kantoor naar huis verplaatst (bijv. in de auto); er wordt vanaf een particulier woon-adres ingelogd.
2. Bewindvoerder deelt de inloggegevens met zijn/haar assistent.
3. De bewindvoerder (of ass. bewindvoerder) logt in bij DigiD vanaf een Open Wifi verbinding, bijv. in een hotel.
4. Cloud - office gebruik om DigID op te halen van de zaak

Ik zou graag willen weten hoe veiligheidsexperts hier op Security.nl hier over denken. Met name ben ik geïnteresseerd in
de stappen die je als bewindvoerder zou moeten nemen om e.e.a. goed te beveiligen. Op de laptop zou je kunnen denken aan het up-to-date houden van je Windows en Anti-Virus software. Firewall VPN et cetera. Dan uiteraard het netwerk en de router. Verder Anti-Diefstal beveiliging bijv. encryptie en tracking tools voor het geval de laptop uit de auto gestolen wordt.

Update:

Ik zie veel reacties van mensen die niet ingaan op mijn vraag wat de veiligheids- en privacy-risico's zijn, maar in plaats daarvan komen met oplossingen, zoals machtigen of adviezen geven hoe te handelen.

Jammer, want ik wilde met name weten welk risico's een bewindvoerder nu neemt door gewoon met de DigiD-inloggevens van zijn cliënt te werken.

De bewindvoerder in dit voorbeeld kiest er dus bewust voor om gewoon met de DigiD-inloggevens van zijn cliënt - een wilsonbekwamen persoon met Alzheimer - te werken. Gewoon omdat het kan en het makkelijk is, tijd wordt bespaard en er toch geen sancties volgen (zolang het goed gaat). DigID zelf is geen opsporingsinstantie en gaat ook niet handhaven. Het is volgens mij aan de instanties die gebruik maken van DigiD (Belastingsdienst, Zorgkantoren enzovoorts) om te handhaven in het geval er problemen ontstaan. Zolang dat niet het geval is gaat de bewindvoerder gewoon zijn gang.

Ik ken een aantal bewindvoerders die "worstelen" met dit probleem. Een aantal van hen laat medewerkers (assistent bewindvoerders) gewoon van thuis uit (of vanuit een hotel met OpenWifi) werken met de DigID gegevens van cliënten.
Er zijn wel algemene afspraken gemaakt over het omgaan met cliëntgegevens en privacy, maar niet specifiek tav DigiD.
Gezien de reacties hier, ga ik er van uit dat dit niet zonder risico is. Ik denk dat de bewindvoerder in kwestie denken dat het wel meevalt. Een andere vraag die dan naa rvoren komt is wie er dan aansprakelijk is. De cliënt of de bewindvoerder? Maar dat is een vraag voor een ander forum.
22-03-2021, 17:46 door Anoniem
Net zoals gewoon gebruik van Digid zijn de risico’s sterk beperkt, zeker als via de app wordt ingelogd. Je maakt je te veel zorgen.
22-03-2021, 18:06 door Anoniem
Ik vind het niet gek dat de meeste mensen met de machtigingsoplossing komen.
Qua veiligheidsrisico's zie ik namelijk weinig verschil tussen een DigiD in het algemeen tov een DigiD die door een bewindvoerder tbv de client gebruikt wordt.
Herleidbaarheid van handelingen in een systeem is een kwaliteitskenmerk van softwaresystemen die wel degelijk met veiligheid van doen heeft en die juist wel specifiek voor deze toepassing van DigiD geldt. Het is naar mijn mening dus wel degelijk een veiligheidsrisico dat er niet inzichtelijk gemaakt kan worden wie een bepaalde handeling uitgevoerd heeft (zeker als u ivm aansprakelijkheid wilt kunnen aantonen welke acties door de bewindvoerder zijn uitgevoerd). U vroeg inderdaad niet naar oplossingen, maar impliciet wordt bij het geven van de machtingsoplossing wel dit veiligheidsrisico benoemd.

Over punt 3: TLS en VPNs zijn inderdaad mitigerende maatregelen voor dit voorbeeld, maar dekken niet alle kwetsbaarheden af. Een DNS redirection is in deze beide gevallen nog steeds mogelijk en vrij eenvoudig uit te voeren. De meeste security.nl bezoekers zijn hier minder ontvankelijk voor, maar voor bewindvoerders is het wellicht aan te raden om niet met onbekende netwerken verbinding te maken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.