image

Ik maak me zorgen over de security van het SaaS-platform van de kinderopvang. Welke juridische mogelijkheden heb ik?

woensdag 5 januari 2022, 12:23 door Arnoud Engelfriet, 19 reacties

Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Onze kinderen gaan naar de kinderopvang. Het bureau gebruikt hiervoor een SaaS-platform van een derde, met daarin dus alle persoonsgegevens (inclusief bsn en benodigde gezondheidsinformatie). Maar meer dan een wachtwoord wordt er niet gebruikt, en je mag zo te zien onbeperkt wachtwoorden proberen. Ik maak me daar grote zorgen over, ik zie dit zo gehackt worden. Wat kan ik doen, zijn er juridische middelen?

Antwoord: Er zijn vele, vele pakketten en diensten als deze. Nu we als maatschappij graag onze zaakjes zo veel mogelijk online willen regelen, is het logisch dat er allerhande portalen, apps en diensten komen waarmee dat kan. En die slaan dan dus al die gegevens op, die vaak wettelijk nodig zijn (zoals bsn bij kinderopvang) of waarzonder men niet kan werken (zoals allergie-gegevens).

Er zijn tegelijk maar weinig wettelijke kaders. De AVG is natuurlijk de bekendste. Deze bepaalt dat zulke gegevens goed beschermd moeten zijn, maar schrijft geen specifieke security-eisen voor. Je moet zelf, op basis van de situatie, de kosten en de te verwachten bedreigingen, een afweging maken om het zo goed mogelijk op orde te maken.

Er is ook geen toezichthouder die preventief je platform komt screenen of een audit komt uitvoeren. Of zelfs maar komt eisen dat jij een audit laat uitvoeren of wat dan ook. Wie het heel treurig wil formuleren, komt dus tot de conclusie dat alles AVG proof is totdat blijkt dat dat niet zo is. Door een hack of datalek dus. Ik word daar inderdaad niet vrolijk van.

En natuurlijk, dan mag de kinderopvang de rommel opruimen en de schade vergoeden. Want ook als ze dit zonder enige kennis van digitale zaken inkopen, zij blijven onder de AVG de verwerkingsverantwoordelijke en zij zijn aansprakelijk voor alles dat er mis gaat. (Op papier kunnen ze dat verhalen op de leverancier, of ze dit in de onderhandelingen van het servicelevelcontract afdwingen blijft natuurlijk giswerk.)

Als je als ouder een vermoedelijk datalek of ander probleem zit, kun je dat natuurlijk aankaarten. Alleen lastig: het bureau kan er niets mee, want die heeft de kennis niet. En de leverancier van het platform is vaak lastig bereikbaar voor de eindklanten, of heeft er weinig belang bij theoretische risico's snel op te pakken.

Dus veel praktische oplossingen zijn er niet. Specifiek bij kinderopvang is er wellicht nog de route van de oudercommissie, die bij het bureau kan aankaarten dat er zorgen leven en of er wat anders bedacht kan worden. Mijn gevoel is dat bij veel van dergelijke commissies de zorg om digitale veiligheid niet heel hoog is, maar het is het proberen waard.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (19)
05-01-2022, 12:31 door Anoniem
Ook als oudercommissie is er weinig eer te behalen, wanneer je de zorgen neerlegd, en vraagt of de ouders met een ICT achtergrond gerichte vragen kunnen stellen is dit niet een van de mogelijkheden, er wordt verteld dat het platform is getest (door het bedrijf zelf) en er geen problemen zijn tegen gekomen. Op gericht technische vragen wordt er niet gereageerd, zelfs uiterst kinderachtig gereageerd met beste meneer/mevrouw, ons platform is uitvoerig getest en we kunnen u verzekeren dat de gegevens bij ons veilig zijn...Nu is dit mijn eigen ervaring, maar ik ga ervanuit dat dit met de meeste platformen (ook van scholen ed) hier op deze wijze mee omgaan.
05-01-2022, 14:25 door Anoniem
Je kan natuurlijk wel vragen stellen of de SaaS leverancier ISO 27001 gecertificeerd is. Ook niet zaligmakend, maar dan heeft de saas leverancier in ieder geval over de meeste zaken nagedacht. Mochten er ook medische gegevens verwerkt worden zou naar nen7510-7513 ook gevraagd kunnen worden.
05-01-2022, 15:12 door Anoniem
Volgens NEN (https://www.nen.nl/media/PDF/NEN_7510_voor_wie_doelgroepen_VvT_juni_def_.pdf) is de kinderopvang een van de doelgroepen van de NEN7510 norm.

Dit roept de vraag op of dan nu tweefactor authenticatie (2FA) een wettelijke verplichting is. De gehanteerde norm, NEN7510, zegt daarover:

‘Gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, behoren de identiteit van gebruikers vast te stellen en dit behoort te worden gedaan door middel van authenticatie waarbij ten minste twee factoren betrokken worden’.

NEN7510 maakt onderscheid tussen zaken die ‘moeten’ en zaken die ‘behoren’. Zoals je hierboven leest is 2FA één van de maatregelen die een zorginstelling (kinderopvang) dan ook niet ‘moet’ maar ‘behoort’ toe te passen.
05-01-2022, 15:39 door Anoniem
Als je naar de basis terug gaat dan is het natuurlijk zo dat je het opvoeden van je kinderen (deels) naar een SaaS platform
gebracht hebt, de kinderopvang.
En dan raar kijkt als die kinderopvang vervolgens hun informatie verwerking in een SaaS platform doet.
05-01-2022, 15:47 door Anoniem
Hier is geen juridische oplossing voor. Tegen de tijd dat je iets hebt afgedwongen en de gewenste veranderingen zijn doorgevoerd zit jouw kind niet meer op een kinderdagverblijf. Je hebt dus 2 hele simpele opties: je kind naar een ander dagverblijf brengen of er zelf op passen.

Als het kind straks naar school gaat ga je met hetzelfde probleem te maken krijgen, met de bijkomstige complicatie dat de mensen die je aan het irriteren bent de toekomst van je kind in handen hebben.
05-01-2022, 16:24 door Anoniem
Je kunt als belanghebbende, in dit geval betalende klant en persoonlijke dataeigenaar, opvragen op welke gronden deze leverancier is verkozen. Dit moet volgens heersende normen (state-of-the-art) zijn. Je kunt dan de eisenlijst naast de antwoorden van deze leverancier leggen.
Indien onvoldoende/weet niet.krijgt u niet/etc wordt je in jouw belang geschaad en heb je juridichse mogelijkeden, wel civielrechterlijk dus jij moet aantonen.

Ik ben leek dus benieuws wat @ArnoudEngelfriet hiervan vindt.
05-01-2022, 16:28 door Anoniem
Nu we als maatschappij graag onze zaakjes zo veel mogelijk online willen regelen
Willen we dat? Het wordt doorgaans opgedrongen 'omdat het alleen nog maar zo kan'. Niemand die er om vraagt.
Er zijn tegelijk maar weinig wettelijke kaders. De AVG is natuurlijk de bekendste
En tevens een wassen neus. Men heeft er lak aan en als een misser naar buiten komt, dan zijn de schadevergoedingen / boetes een lachertje. Als je kijkt naar ziekenhuizen waar de boel op straat ligt: 5 tot 10 euro per persoon aan gelekte data. GGD: niet de moeite waard. Fiscus: lachertje.
Kortom: je bent gewoon vogelvrij. Andere kinderopvang zoeken is de enige afdoende oplossing.
05-01-2022, 16:38 door User2048
Bij het verwerken van gezondheidsgegevens stelt de AP wel degelijk eisen:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/gezondheid/zorgverleners-en-de-avg#hoe-moet-ik-het-identificatieproces-rondom-het-inloggen-in-medische-dossiers-regelen-6924.

@Arnoud: Valt de verwerking van gezondheidsgegevens door de kinderopvang hieronder?
06-01-2022, 08:29 door Anoniem
Door Anoniem:
Nu we als maatschappij graag onze zaakjes zo veel mogelijk online willen regelen
Willen we dat? Het wordt doorgaans opgedrongen 'omdat het alleen nog maar zo kan'. Niemand die er om vraagt.
Dat is hoe je het zelf ervaart. Ik zou je voor willen stellen om even uit je bubbel te komen en te kijken naar de rest van Nederland. Dan zie je dat men bij voorkeur het hele leven online wil doen.
06-01-2022, 09:29 door Anoniem
Zou je als bezorgde ouders via de kinderopvang/oudercommissie niet kunnen aandringen om gebruik te maken van 'Right to Audit' om zo onafhankelijk een controle te kunnen doen?
06-01-2022, 09:53 door Anoniem
De enige tool die je hebt in deze is marktwerking, je kunt aangeven geen klant meer te willen zijn als dit niet wordt opgelost.
Dat is de kracht van het kapitalisme, echter weten wij dit als consument slecht te benutten omdat het organisatie vereist om dit te kunnen benutten.
Nu is dit natuurlijk een zeer ideologische opmerking en is het in de praktijk lastig, maar dit is wel hoe het zou moeten werken.
06-01-2022, 12:24 door Arnoud Engelfriet
Volgens NEN (https://www.nen.nl/media/PDF/NEN_7510_voor_wie_doelgroepen_VvT_juni_def_.pdf) is de kinderopvang een van de doelgroepen van de NEN7510 norm.
Dat klopt, maar nergens blijkt dat men verplicht is deze norm toe te passen. "Doelgroep" betekent "hier zou je wat mee kunnen, dit is relevant" maar niet dat het verplicht is.

Je kunt als belanghebbende, in dit geval betalende klant en persoonlijke dataeigenaar, opvragen op welke gronden deze leverancier is verkozen. Dit moet volgens heersende normen (state-of-the-art) zijn. Je kunt dan de eisenlijst naast de antwoorden van deze leverancier leggen.
Volgens mij is er geen wetteiljke grond waarop je kunt afdwingen een antwoord op die vraag te krijgen, laat staan dat men de eisenlijst moet laten zien of de antwoorden van de leverancier.

Zou je als bezorgde ouders via de kinderopvang/oudercommissie niet kunnen aandringen om gebruik te maken van 'Right to Audit' om zo onafhankelijk een controle te kunnen doen?
Er is geen recht van audit voor betrokkenen. Op basis van welke wet zie jij dit recht?

@Arnoud: Valt de verwerking van gezondheidsgegevens door de kinderopvang hieronder?
Ik denk het niet, omdat het gaat om simpeler vermeldingen zoals "Bart heeft eczeem" of "Sterre mag geen koemelk". Dat voelt een ander niveau dan medische dossiers van een arts (een kinderopvangmedewerker is ook geen arts). Ik kan dat niet specifiek onderbouwen.
06-01-2022, 15:09 door Anoniem
Ik heb zelf gewerkt voor een ICT-dienstverlener die deze verschillende kinderopvang softwarepakketten aanbiedt aan kinderopvang organisaties.

Een aantal zaken die ik in de praktijk ben tegengekomen:
- Verouderde versleuteling van inloggegevens.
- Ontbreken van 2FA voor zowel gebruiker als beheerder.
- IP-whitelisting voor beheerders wel aanwezig, zelden toegepast.
- Beperkte mogelijkheden m.b.t. functionele scheiding (least privilege/need-to-know)

Adviezen die ik zou willen geven:
- Vraag of de aanbieder van de software ISO 27001 is gecertificeerd.
- Vraag wie verantwoordelijk is voor ICT dienstverlening (Kinderopvang heeft eigen ICT-afdeling of neemt diensten elders af)
- Vraag of verantwoordelijke voor ICT dienstverlening kinderopvang ISO 27001 is gecertificeerd
- Indien partijen ISO 27001 zijn gecertificeerd, vraag of je een toepasselijkheidsverklaring (statement of applicability) mag inzien. Dit geeft je een idee van de risico's die men onderkent en accepteert.
- Vraag of 2FA tot de mogelijkheden behoort en zo ja, waarom het niet wordt toegepast (gezien de gevoeligheid van data)
- Vraag welke technische maatregelen de software leverancier neemt om de veiligheid van de user portal te waarborgen (controleert men op bruteforcing, past men GEO-IP blokkades toe, etc.)
- Vraag of en zo ja in welke regelmaat de software door een externe partij wordt geaudit.
- Vraag of de kinderopvangorganisatie een Privacy Officer heeft (verplicht bij bepaalde omvang organisatie)
- Vraag of de kinderopvangorganisatie een Privacy Impact Assessment (PIA) heeft uitgevoerd op de betreffende dienst.
- Vraag een uitdraai van jouw persoonsgegevens uit het systeem zodat je een idee hebt wat ze exact verwerken.
- Vraag of er een verwerkingsovereenkomst is tussen kinderopvang en leverancier software (wettelijk verplicht) waarin afspraken zijn gemaakt over het beveiligingsniveau.
- Vraag of werknemers die toegang hebben tot jouw persoonsgegevens worden gescreend op

Het antwoord van een aantal vragen kun je online vast ook wel terug vinden en een groot deel gaan ze niet/deels beantwoorden. Maar met de feedback die je krijgt kun je vast beter inschatten wat voor risico je neemt.

Wat overigens wel een meevaller is, zij het beperkt, is dat alle medewerkers in de kinderopvang (dus ook IT personeel) onderhevig zijn aan een continue screening proces (VOG). Er zal dus niemand met een strafblad directe toegang hebben tot jouw persoonsgegevens.
07-01-2022, 23:39 door Anoniem
De beste beveiliging in deze lijkt me om de kinderopvang zo veel mogelijk niet (geheel) juiste informatie te leveren. Ze hebben immers zeer beperkte verificatierechten. De waarde van geschonden privacy ligt vooral in het matchen met ander data. Als er al een punt of komma niet overeenkomt dan wordt het al veel lastiger. Daarnaast, schrijf- en tikfoutjes maken in formulieren mag gewoon. Want vergissen blijft menselijk.

De beste manier om van die ongecontroleerde zweefsystemen in de cloud af te komen is om er GIGA-systemen van te maken. Kent u die term, GIGA-systeem? Dat staat voor Garbage In is Garbage Out.
08-01-2022, 11:50 door karma4
Met het ontbreken van kwaliteitseisen kun je ook zeggen dat niets voldoet want er is geen kader wanneer iets voldoende is.
Dat betekent in de praktijk een volledige willekeur van meningen opinies met framing. Schuldig verklaard bij voorbaat.
Advocaten zullen er een goede boterham en luxe bolide aan overhouden, Daar wordt je niet vrolijk van.

De enige uitweg is een keuring waar je het mee moet doen totdat het tegendeel vermoed wordt.
Niet bijzonders in technische omgevingen.
09-01-2022, 07:51 door Anoniem
Door Anoniem:
Door Anoniem:
Nu we als maatschappij graag onze zaakjes zo veel mogelijk online willen regelen
Willen we dat? Het wordt doorgaans opgedrongen 'omdat het alleen nog maar zo kan'. Niemand die er om vraagt.
Dat is hoe je het zelf ervaart. Ik zou je voor willen stellen om even uit je bubbel te komen en te kijken naar de rest van Nederland. Dan zie je dat men bij voorkeur het hele leven online wil doen.
Grappig... Jij ziet dat zo. Maar ik zie (en blijkbaar de poster ook...) vooral mensen die het lastig en ingewikkeld vinden. Dus wie zit er nou in een bubbel?

Overigens is het eerste probleem 'kinderopvang'. Als je er niet voor kunt of wilt zorgen, neem dan geen kinderen. Dat is een keuze.
09-01-2022, 20:03 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Nu we als maatschappij graag onze zaakjes zo veel mogelijk online willen regelen
Willen we dat? Het wordt doorgaans opgedrongen 'omdat het alleen nog maar zo kan'. Niemand die er om vraagt.
Dat is hoe je het zelf ervaart. Ik zou je voor willen stellen om even uit je bubbel te komen en te kijken naar de rest van Nederland. Dan zie je dat men bij voorkeur het hele leven online wil doen.
Grappig... Jij ziet dat zo. Maar ik zie (en blijkbaar de poster ook...) vooral mensen die het lastig en ingewikkeld vinden. Dus wie zit er nou in een bubbel?
Jij, de poster, en nog wat andere mensen die hier vaak rondhangen.
Maar dat betekent natuurlijk niet dat de rest van Nederland dat ook vindt!
De meeste mensen hier zullen het ook niet eens zijn met wat D66 en de VVD allemaal willen, maar toch is er een flinke
groep Nederlanders die op dat soort partijen stemt. En zelfs op het CDA en de CU.
Overigens is het eerste probleem 'kinderopvang'. Als je er niet voor kunt of wilt zorgen, neem dan geen kinderen. Dat is een keuze.
Inderdaad. Toen ik klein was, was mijn moeder gewoon thuis. Ze is pas gaan werken toen ik naar de middelbare school ging. Dat was toen nog gebruikelijk.
Maar tegenwoordig kan een gezin met 2-3 kinderen en een eigen huis financieel alleen nog rondkomen als moeder ook werkt.
10-01-2022, 09:54 door Anoniem
Maar tegenwoordig kan een gezin met 2-3 kinderen en een eigen huis financieel alleen nog rondkomen als moeder ook werkt.
In mijn omgeving (Amsterdam) is combi eigen huis / 0 kinderen vrij onmogelijk zonder partner.
Als je er niet voor kunt of wilt zorgen, neem dan geen kinderen. Dat is een keuze.
Komt eigenlijk meer omdat lonen gekoppeld zijn aan inflatie, en inflatie a.d.h.v. een boodschappenmandje gaat, welke geen rekening houdt met de primaire levensbehoefte wonen, terwijl huizenprijzen soms 20% per jaar stijgen...
Waarmee kinderen een voorrecht zijn geworden voor de elite.
11-01-2022, 17:16 door Anoniem

Waarmee kinderen een voorrecht zijn geworden voor de elite.

Tenzij je in de bible belt woont, waar het geboortecijfer het hoogst in Nederland is. Maar daar werken de moeders natuurlijk niet en zijn de huizen betaalbaar.

Vwb de elite, is er een interessante paradox. Het aantal kinderen in een gezin neemt af naarmate het inkomen hoger is. https://opendata.cbs.nl/#/CBS/nl/dataset/83932NED/table?ts=1641917316805
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.