Privacy - Wat niemand over je mag weten

Moet het verwerken van alleen gebruikersnaam en wachtwoord in verwerkersovereenkomst?

29-10-2021, 15:15 door Sam55623462343, 8 reacties

Een organisatie maakt managementdashboards voor verschillende bedrijven. Om daarop in te loggen is altijd een gebruikersnaam (soms is dat een emailadres) + wachtwoord nodig; verder komen er geen persoonsgegevens bij kjiken.

Moeten deze dan worden opgenomen in de bijlage van de verwerkersovereenkomst bij de categorieen te verwerken persoonsgegevens? Oftewel, moet deze organisatie dan altijd met elke klant een VO afsluiten puur en alleen om de verwerking van inloggegevens te legitimiseren, ook al worden er verder geen persoonsgegevens verwerkt?

Privacy coronatest

Tor browser of een VPN voor meeste privacy

Reacties (8)

29-10-2021, 15:22 door Anoniem

Ik vind zelf het gebruiken van een emailadres als gebruikersnaam onverstandig. Het lokt het hergebruiken van wachtwoorden en gevaar bij lekken daarvan uit.
Anderen vinden het juist weer verstandig omdat het gebruikersnamen uniek maakt. Elk nadeel hep se foordeel zei een voetballer al.

Maar in dit geval zit je dan nog met de complicatie dat een emailadres door de doorgeschoten wetgeving gezien wordt als persoonsgegeven. Dat kun je wellicht voorkomen door neutralere gebruikersnamen te kiezen die buiten het systeem niet als persoonsgegeven herkend worden.

01-11-2021, 23:32 door Anoniem

Door Anoniem: Ik vind zelf het gebruiken van een emailadres als gebruikersnaam onverstandig. Het lokt het hergebruiken van wachtwoorden en gevaar bij lekken daarvan uit.
Anderen vinden het juist weer verstandig omdat het gebruikersnamen uniek maakt. Elk nadeel hep se foordeel zei een voetballer al.

Maar in dit geval zit je dan nog met de complicatie dat een emailadres door de doorgeschoten wetgeving gezien wordt als persoonsgegeven. Dat kun je wellicht voorkomen door neutralere gebruikersnamen te kiezen die buiten het systeem niet als persoonsgegeven herkend worden.

Ook die neutrale namen zijn een persoonsgegeven. Alles wat een persoon identificeert is een persoonsgegeven. Binnen de wet heb je wel de optie om deze persoonsgegevens te gebruiken als het technisch gezien nodig is voor de uitvoering van de dienst. In veel gevallen heb je toch wel een emailadres nodig (password reset en dergelijke).

Technisch gezien zou ik adviseren om te kijken naar een federation service (ADFS in de Microsoft wereld). Gebruikers authentiseren dan tegen hun eigen AD en die geeft aan jouw systeem door of gebruiker x mag inloggen.

02-11-2021, 10:50 door Anoniem

https://blog.iusmentis.com/2019/12/11/wie-met-verwerkersovereenkomsten-smijt-snapt-niets-van-de-avg/

02-11-2021, 13:20 door Anoniem

Door Anoniem:

Ook die neutrale namen zijn een persoonsgegeven. Alles wat een persoon identificeert is een persoonsgegeven.

De naam pqr123 identificeert geen persoon.

02-11-2021, 13:59 door Briolet

Door Anoniem: De naam pqr123 identificeert geen persoon.

Zeker wel omdat deze tot een uniek persoon terug te leiden is. b.v. via loggegevens i.c.m een IP adres dat bij die inlog gebruikt is.

15-11-2021, 12:08 door Anoniem

Nee, want je doet de verwerking van die gegevens niet in opdracht van de verantwoordelijke maar uit eigen keuze om een degelijke app te bieden. Dat is dus een verwerking als verantwoordelijke, niet als verwerker.

19-01-2022, 13:07 door Sam55623462343

Door Anoniem: Nee, want je doet de verwerking van die gegevens niet in opdracht van de verantwoordelijke maar uit eigen keuze om een degelijke app te bieden. Dat is dus een verwerking als verantwoordelijke, niet als verwerker.

Dit is wat ik ook vermoed. In die zin zijn wij verwerkersverantwoordelijke. Iedereen bedankt voor het meedenken.

19-01-2022, 15:18 door Anoniem

Wat ook fijn werkt zijn OTP, dan hoef je alleen een e-mailadres te verwerken.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Switchen naar een dumbphone wegens:

Vacature

Toezichthouder informatiebeveiliging Overheid

Rijksinspectie Digitale Infrastructuur (RDI)

Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.

Lees meer

Vacature

Adviseur Informatiebeveiliging

Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!

Lees meer

Vacature

Digital Designer

Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.

Lees meer

Vacature

Senior Full Stack Developer

Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.

Lees meer

Security.NL - X

10-01-2024 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons ook op X!

Lees meer

Moet het verwerken van alleen gebruikersnaam en wachtwoord in verwerkersovereenkomst?

Switchen naar een dumbphone wegens:

Wachtwoord Vergeten

Password Reset

Registreren