Ik maak me zorgen over de security van het SaaS-platform van de kinderopvang. Welke juridische mogelijkheden heb ik?
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Onze kinderen gaan naar de kinderopvang. Het bureau gebruikt hiervoor een SaaS-platform van een derde, met daarin dus alle persoonsgegevens (inclusief bsn en benodigde gezondheidsinformatie). Maar meer dan een wachtwoord wordt er niet gebruikt, en je mag zo te zien onbeperkt wachtwoorden proberen. Ik maak me daar grote zorgen over, ik zie dit zo gehackt worden. Wat kan ik doen, zijn er juridische middelen?
Antwoord: Er zijn vele, vele pakketten en diensten als deze. Nu we als maatschappij graag onze zaakjes zo veel mogelijk online willen regelen, is het logisch dat er allerhande portalen, apps en diensten komen waarmee dat kan. En die slaan dan dus al die gegevens op, die vaak wettelijk nodig zijn (zoals bsn bij kinderopvang) of waarzonder men niet kan werken (zoals allergie-gegevens).
Er zijn tegelijk maar weinig wettelijke kaders. De AVG is natuurlijk de bekendste. Deze bepaalt dat zulke gegevens goed beschermd moeten zijn, maar schrijft geen specifieke security-eisen voor. Je moet zelf, op basis van de situatie, de kosten en de te verwachten bedreigingen, een afweging maken om het zo goed mogelijk op orde te maken.
Er is ook geen toezichthouder die preventief je platform komt screenen of een audit komt uitvoeren. Of zelfs maar komt eisen dat jij een audit laat uitvoeren of wat dan ook. Wie het heel treurig wil formuleren, komt dus tot de conclusie dat alles AVG proof is totdat blijkt dat dat niet zo is. Door een hack of datalek dus. Ik word daar inderdaad niet vrolijk van.
En natuurlijk, dan mag de kinderopvang de rommel opruimen en de schade vergoeden. Want ook als ze dit zonder enige kennis van digitale zaken inkopen, zij blijven onder de AVG de verwerkingsverantwoordelijke en zij zijn aansprakelijk voor alles dat er mis gaat. (Op papier kunnen ze dat verhalen op de leverancier, of ze dit in de onderhandelingen van het servicelevelcontract afdwingen blijft natuurlijk giswerk.)
Als je als ouder een vermoedelijk datalek of ander probleem zit, kun je dat natuurlijk aankaarten. Alleen lastig: het bureau kan er niets mee, want die heeft de kennis niet. En de leverancier van het platform is vaak lastig bereikbaar voor de eindklanten, of heeft er weinig belang bij theoretische risico's snel op te pakken.
Dus veel praktische oplossingen zijn er niet. Specifiek bij kinderopvang is er wellicht nog de route van de oudercommissie, die bij het bureau kan aankaarten dat er zorgen leven en of er wat anders bedacht kan worden. Mijn gevoel is dat bij veel van dergelijke commissies de zorg om digitale veiligheid niet heel hoog is, maar het is het proberen waard.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Dit roept de vraag op of dan nu tweefactor authenticatie (2FA) een wettelijke verplichting is. De gehanteerde norm, NEN7510, zegt daarover:
‘Gezondheidsinformatiesystemen die persoonlijke gezondheidsinformatie verwerken, behoren de identiteit van gebruikers vast te stellen en dit behoort te worden gedaan door middel van authenticatie waarbij ten minste twee factoren betrokken worden’.
NEN7510 maakt onderscheid tussen zaken die ‘moeten’ en zaken die ‘behoren’. Zoals je hierboven leest is 2FA één van de maatregelen die een zorginstelling (kinderopvang) dan ook niet ‘moet’ maar ‘behoort’ toe te passen.
gebracht hebt, de kinderopvang.
En dan raar kijkt als die kinderopvang vervolgens hun informatie verwerking in een SaaS platform doet.
Als het kind straks naar school gaat ga je met hetzelfde probleem te maken krijgen, met de bijkomstige complicatie dat de mensen die je aan het irriteren bent de toekomst van je kind in handen hebben.
Indien onvoldoende/weet niet.krijgt u niet/etc wordt je in jouw belang geschaad en heb je juridichse mogelijkeden, wel civielrechterlijk dus jij moet aantonen.
Ik ben leek dus benieuws wat @ArnoudEngelfriet hiervan vindt.
Kortom: je bent gewoon vogelvrij. Andere kinderopvang zoeken is de enige afdoende oplossing.
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/gezondheid/zorgverleners-en-de-avg#hoe-moet-ik-het-identificatieproces-rondom-het-inloggen-in-medische-dossiers-regelen-6924.
@Arnoud: Valt de verwerking van gezondheidsgegevens door de kinderopvang hieronder?
Dat is de kracht van het kapitalisme, echter weten wij dit als consument slecht te benutten omdat het organisatie vereist om dit te kunnen benutten.
Nu is dit natuurlijk een zeer ideologische opmerking en is het in de praktijk lastig, maar dit is wel hoe het zou moeten werken.
Een aantal zaken die ik in de praktijk ben tegengekomen:
- Verouderde versleuteling van inloggegevens.
- Ontbreken van 2FA voor zowel gebruiker als beheerder.
- IP-whitelisting voor beheerders wel aanwezig, zelden toegepast.
- Beperkte mogelijkheden m.b.t. functionele scheiding (least privilege/need-to-know)
Adviezen die ik zou willen geven:
- Vraag of de aanbieder van de software ISO 27001 is gecertificeerd.
- Vraag wie verantwoordelijk is voor ICT dienstverlening (Kinderopvang heeft eigen ICT-afdeling of neemt diensten elders af)
- Vraag of verantwoordelijke voor ICT dienstverlening kinderopvang ISO 27001 is gecertificeerd
- Indien partijen ISO 27001 zijn gecertificeerd, vraag of je een toepasselijkheidsverklaring (statement of applicability) mag inzien. Dit geeft je een idee van de risico's die men onderkent en accepteert.
- Vraag of 2FA tot de mogelijkheden behoort en zo ja, waarom het niet wordt toegepast (gezien de gevoeligheid van data)
- Vraag welke technische maatregelen de software leverancier neemt om de veiligheid van de user portal te waarborgen (controleert men op bruteforcing, past men GEO-IP blokkades toe, etc.)
- Vraag of en zo ja in welke regelmaat de software door een externe partij wordt geaudit.
- Vraag of de kinderopvangorganisatie een Privacy Officer heeft (verplicht bij bepaalde omvang organisatie)
- Vraag of de kinderopvangorganisatie een Privacy Impact Assessment (PIA) heeft uitgevoerd op de betreffende dienst.
- Vraag een uitdraai van jouw persoonsgegevens uit het systeem zodat je een idee hebt wat ze exact verwerken.
- Vraag of er een verwerkingsovereenkomst is tussen kinderopvang en leverancier software (wettelijk verplicht) waarin afspraken zijn gemaakt over het beveiligingsniveau.
- Vraag of werknemers die toegang hebben tot jouw persoonsgegevens worden gescreend op
Het antwoord van een aantal vragen kun je online vast ook wel terug vinden en een groot deel gaan ze niet/deels beantwoorden. Maar met de feedback die je krijgt kun je vast beter inschatten wat voor risico je neemt.
Wat overigens wel een meevaller is, zij het beperkt, is dat alle medewerkers in de kinderopvang (dus ook IT personeel) onderhevig zijn aan een continue screening proces (VOG). Er zal dus niemand met een strafblad directe toegang hebben tot jouw persoonsgegevens.
De beste manier om van die ongecontroleerde zweefsystemen in de cloud af te komen is om er GIGA-systemen van te maken. Kent u die term, GIGA-systeem? Dat staat voor Garbage In is Garbage Out.
Dat betekent in de praktijk een volledige willekeur van meningen opinies met framing. Schuldig verklaard bij voorbaat.
Advocaten zullen er een goede boterham en luxe bolide aan overhouden, Daar wordt je niet vrolijk van.
De enige uitweg is een keuring waar je het mee moet doen totdat het tegendeel vermoed wordt.
Niet bijzonders in technische omgevingen.
Overigens is het eerste probleem 'kinderopvang'. Als je er niet voor kunt of wilt zorgen, neem dan geen kinderen. Dat is een keuze.
Maar dat betekent natuurlijk niet dat de rest van Nederland dat ook vindt!
De meeste mensen hier zullen het ook niet eens zijn met wat D66 en de VVD allemaal willen, maar toch is er een flinke
groep Nederlanders die op dat soort partijen stemt. En zelfs op het CDA en de CU.
Maar tegenwoordig kan een gezin met 2-3 kinderen en een eigen huis financieel alleen nog rondkomen als moeder ook werkt.
Waarmee kinderen een voorrecht zijn geworden voor de elite.
Waarmee kinderen een voorrecht zijn geworden voor de elite.
Tenzij je in de bible belt woont, waar het geboortecijfer het hoogst in Nederland is. Maar daar werken de moeders natuurlijk niet en zijn de huizen betaalbaar.
Vwb de elite, is er een interessante paradox. Het aantal kinderen in een gezin neemt af naarmate het inkomen hoger is. https://opendata.cbs.nl/#/CBS/nl/dataset/83932NED/table?ts=1641917316805
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.