AVG

Verwerking en omgang met persoonsgegevens.
Verantwoordelijk omgaan met persoonsgegevens is essentieel.

AVG in een notendop

De algemene verordening persoonsgegevens (AVG) is een verordening die in de hele EU het verwerken van persoonsgegevens standaardiseert. In een notendop stelt de uitvoeringswet vast welke persoonsgegevens opgeslagen mogen worden en welke gegevens niet bewaard mogen blijven. De AVG heeft daarmee invloed als u de identiteit van klanten of flexwerkers wilt controleren en opslaan. Daarom besteden we er bij 24ID Check aandacht aan in een pagina die specifiek gewijd is aan de algemene verordening persoonsgegevens.

 

24ID Check en de AVG: veilige verwerking persoonsgegevens

De producten die 24 ID Check beschikbaar stelt zijn stuk voor stuk AVG-proof. Wel is het belangrijk om te beseffen dat er per toepassing verschillende voorwaarden gelden voor het verwerken en opslaan van persoonsgegevens. Op de Branche pagina’s is hier per branche meer informatie over te vinden.

 

Hoe werkt de verwerking van persoonsgegevens door 24ID Check?

Na digitalisering van ID-bewijzen (zoals paspoort en rijbewijs) vindt een echtheidscontrole plaats. Het BSN-nummer wordt gecontroleerd waarna afgeschermd, niet opgeslagen. De verkregen gegevens kunnen worden geverifieerd cq. verrijkt met externe databronnen Dataverkeer middels webservices over een beveiligde VPN verbinding. Alle afbeeldingen en gegevens worden versleuteld en gescheiden opgeslagen. Dataopslag middels gecertificeerde informatiebeveiliging ISO 27001. Beperkte algemene accountgegevens zichtbaar bij transacties.

Omgang met persoonsgegevens

Door 24ID Check worden alleen persoonsgegevens verwerkt als de desbetreffende persoon daar, direct of indirect, toestemming voor heeft gegeven. De persoon wordt vooraf, direct of indirect, geïnformeerd over het doel van de verwerking van de persoonsgegevens. 24ID Check zal uitsluitend ten behoeve van de het doel waarvoor de persoonsgegevens zijn verzameld, registreren, opslaan en beheren. Biometrische persoonsgegevens worden niet opgeslagen. Door Verantwoordelijke (organisatie en/of bedrijf waarmee de overeenkomst of transactie wordt afgesloten) is een melding aan het Autoriteit Persoonsgegevens gedaan zoals bedoeld in art. 27 e.v. Wet Bescherming Persoonsgegevens.

Doel verwerking persoonsgegevens

Het doel van 24ID Check is het vastleggen en controleren van een identiteit ten behoeve van het aangaan van een overeenkomst en/of een transactie voor de periode dat de overeenkomst of een transactie duurt. Geen zwervende kopietjes van ID-bewijzen, maar een digitaal dossier waar de persoon zelf inzage en het beheer heeft over zijn of haar eigen persoonsgegevens. Daarnaast een beperkte inzage (AVG secure) in de persoonsgegevens voor medewerkers van de organisaties en/of bedrijven waar de persoonsgegevens aan zijn verstrekt.

Persoonsgegevens die wij verwerken

Er kunnen verschillende soorten persoonsgegevens onderscheiden worden. Niet voor alle toepassingen zijn alle persoonsgegevens nodig. Denk bijvoorbeeld aan de toegang tot een casino, daar zijn andere persoonsgegevens voor nodig dan bij het verhuren van een auto. Per branche zijn er dus verschillende soorten persoonsgegevens relevant.
 
Persoonsgegevens worden alleen verwerkt wanneer ze in overeenstemming zijn met het doel waartoe zij zijn verzameld. 24ID Check verwerkt onder andere de navolgende gegevens:

•  Naam
•  Geboortedatum
•  Adres en woonplaats
•  Geboorteland
•  Nummer en type legitimatiebewijs
•  Geslacht
•  Nationaliteit
•  Telefoon en email gegevens

Paspoort scanner 24ID check

AVG als leidraad

De persoonsgegevens wet (AVG) legt wettelijke restricties op aan de opslag van persoonsgegevens. In een notendop komt het erop neer dat persoonsgegevens alleen mogen worden opgeslagen als dit ‘gerechtvaardigd is’. Dat houdt dus in dat er geen persoonsgegevens bewaard mogen worden als dat voor uw organisatie niet direct noodzakelijk is. De producten van 24ID check sluiten aan op dit gerechtvaardigde belang dat in de AVG wordt omschreven. Er worden dus niet onnodig persoonsgegevens bewaard en beschikbaar gesteld aan onze opdrachtgevers als dat volgens de AVG niet gerechtvaardigd is.

Verantwoordelijkheid

24ID Check verwerkt persoonsgegevens ten behoeve van organisaties of bedrijven, in overeenstemming met diens instructies en onder diens verantwoordelijkheid. 24ID Check zal de Bestanden met daarin opgenomen de te verwerken Persoonsgegevens deze gegevens conform geldende richtlijnen te controleren en opslaan. Bestanden zullen door 24ID Check niet voor commerciële doeleinden worden aangewend. 24ID Check heeft geen zeggenschap over het doel en de middelen voor de verwerking van Persoonsgegevens. Het verantwoordelijke bedrijf of organisatie is verantwoordelijk voor het gebruik van de gegevens, de verstrekking aan derden en de duur van de opslag van de gegevens. 24ID Check mag persoonsgegevens bekendmaken die ingevolge een wettelijke verplichting bekend gemaakt moeten worden of op bevel van een rechter of bestuurlijke instantie, op voorwaarde dat 24ID Check verantwoordelijke zo spoedig mogelijk schriftelijk in kennis stelt:

•    Van het bestaan van deze verplichting.
•    Van alle procedures die op gang worden gebracht of naar verwachting worden gestart en die tot een dergelijk bevel kunnen leiden.
•    Van de ontvangst van een dergelijk bevel, maar in elk geval voor de feitelijke bekendmaking krachtens een dergelijk bevel of wettelijke verplichting, om Verantwoordelijke in staat te stellen alle benodigde maatregelen te treffen om de bekendmaking krachtens een dergelijk bevel of wettelijke verplichting te voorkomen of te beperken.

Toepasselijke privacywetgeving

24ID Check handelt altijd in lijn met de toepasselijke privacywetgeving. De toepasselijke privacywetgeving is de Europese Richtlijn 95/46/EG van 24 oktober 1995, betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (“de Richtlijn”) en de Wet Bescherming Persoonsgegevens van 6 juli 2000, houdende de regels voor de bescherming van persoonsgegevens

Onder de verwerking van gegevens verstaan we elke handeling of het geheel van handelingen met betrekking tot Persoonsgegevens zoals beschreven in art. 1 sub b WBP.

Veilige kopie paspoort, rijbewijs en ID-kaart: onze maatregelen

De kopieën en scans die door een ID-scanner van 24ID Check worden gemaakt zijn 100% veilig en volledig in overeenstemming met de AVG wetgeving. De scanners zijn in staat om de gegevens op een ID bewijs te herkennen en op te slaan wat nodig is. Zo kunt u als organisatie een veilige kopie van paspoort, rijbewijs of ID-kaart maken en de gegevens vervolgens veilig en volgens de AVG richtlijnen opslaan.

24ID check

Authenticatie

Gebruikers authentiseren zich middels hun e-mailadres en een zelf gekozen wachtwoord. Alvorens gegevens aan de gebruiker te verstrekken dient deze zich in alle gevallen te authentiseren. De wachtwoorden van 24ID Check gebruikers worden versleuteld opgeslagen middels een 1-weg hashing in combinatie met salts, zodat de login gegevens alleen te verifiëren zijn, en nooit terug te leiden zijn naar hun oorspronkelijke waarde.

Opslag privacygevoelige informatie

Privacygevoelige informatie zoals BSN-nummers op persoonsdocumenten worden onherkenbaar gemaakt voor opslag. Afbeeldingen van ID-bewijzen zijn voorzien van een 24ID Check watermerk. De module met afbeeldingen van ID-bewijzen is uitsluiten zichtbaar voor gebruikers die op basis van hun toegekende rol gerechtigd zijn toegang te krijgen tot de opgevraagde gegevens. Alle toegang en acties met betrekking tot de 24ID Check accounts wordt opgeslagen in een audit log.

Autorisatie

Toegang tot de gegevens in de 24ID Check backend zal enkel verleend worden via web interfaces. Alleen gebruikers die op basis van hun toegekende rol genoeg rechten hebben, zullen toegang krijgen tot de opgevraagde gegevens.

Veiligheid webapplicatie

De applicatie is beveiligd op gebied van cross-site kwetsbaarheden zoals XSS en CSRF. Alle user input wordt expliciet gefilterd als bescherming tegen kwetsbaarheden als SQL injectie. Ter bescherming tegen session hijacking worden sessie cookies versleuteld en gemarkeerd.

Veiligheid terminal cliënt

Alle documentgegevens die door de 24ID Check software op de terminal/werkplek worden verzameld, worden na doorsturen naar de 24ID Check backend vernietigd. Alle communicatie met de 24ID Check backend verloopt uitsluitend over een VPN specifiek opgezet voor de 24ID Check software.

Inzage

In een aantal gevallen is het mogelijk om inzicht te krijgen in de persoonsgegevens die zijn opgeslagen. Houd er wel rekening mee dat 24ID Check geeft slechts inzage in een compleet dossier geeft in geval van:

•    Wanbetaling
•    Schade
•    Fraude
•    Diefstal
•    Verduistering
•    Onrechtmatige betreding
•    Identiteitsdiefstal
•    Identiteitsfraude
•    Verzoek van opsporende instanties en verzekeringsmaatschappij

Organisatorische en technische maatregelen van 24ID Check voor beveiliging persoonsgegevens
24ID Check heeft de volgende technische en organisatorische maatregelen getroffen om de veiligheid en vertrouwelijkheid van opgeslagen persoonsgegevens te waarborgen. Zo kunt u gegarandeerd elk rijbewijs, elke ID-kaart en elk paspoort veilig scannen.

Inzage in verwerkte persoonsgegevens

Iedere persoon heeft middels persoonlijke inlog zelf het beheer over en inzage in zijn of haar persoonsgegevens. Meent een persoon dat een gegeven van hem feitelijk onjuist, voor het doel van de registratie niet relevant, onvolledig, in strijd met dit reglement of de Wet Bescherming Persoonsgegevens is vastgelegd, dan kan bij 24ID Check een verzoek tot wijziging of verwijdering worden ingediend.

Organisatorische maatregelen

Alleen medewerkers van opdrachtgever en 24ID Check hebben toegang tot de data welke is opgeslagen op de systemen van 24ID Check. Middels een gebruikers en rechtensysteem kan opdrachtgever (in de vorm van de aangewezen en daartoe bevoegde medewerker) toegangsrechten aanvragen, vrijgeven en intrekken op specifieke onderdelen. Medewerkers van 24ID Check hebben geen toegang tot data van opdrachtgever, tenzij zij uit hoofde van hun functie, deze toegang nodig hebben om vragen van opdrachtgever te kunnen beantwoorden of de betreffende systemen dienen te beheren.

Toegang en medewerkers

Toegang tot het systeem is uitsluitend mogelijk met een combinatie van gebruikersnaam en wachtwoord. Volledige beheersrechten van de systemen zijn slechts aan drie personen uitgegeven. Toegang tot data zonder in te loggen is niet mogelijk, evenals het inzien van data welke niet behoort tot de accounts van opdrachtgever. De servers van 24ID Check zijn ondergebracht in datacenters welke elk op zich een uitgebreide toegangscontrole hebben geïmplementeerd, waardoor alleen bevoegde personen fysiek toegang hebben tot de server ruimtes. Deze serverruimtes worden 24/7 bewaakt en alleen bevoegde personen krijgen (na identificatie met vingerafdrukken) toegang tot deze ruimtes.

Alle wachtwoorden van de systemen worden versleuteld opgeslagen door middel van 128-bit AES (Rijndael) encryptie. Medewerkers hebben geen toegang tot deze sleutel. Het password management systeem kent een uitgebreide access control list. Alleen medewerkers die uit hoofde van hun functie beheertoegang nodig hebben tot netwerkapparatuur en fysieke servers kunnen de betreffende wachtwoorden inzien. Alle wachtwoorden van beheeraccounts van de systemen zijn minimaal 20-tekens random en zijn versleuteld opgeslagen. Toegang is gekoppeld aan kerberos authenticatie en de eerder besproken access control list. Toegang is uitsluitend mogelijk vanaf de kantoorlocatie (medewerkers in de binnendienst) of via VPN (medewerkers in de buitendienst). Toegang is daar waar mogelijk beperkt tot enkel binnen kantoortijden.

Technische maatregelen

Servers

De servers van 24ID Check zijn binnen de serverruimtes ondergebracht in afgesloten 19-inch racks. In deze racks is alleen apparatuur van 24ID Check geplaatst. Er worden geen colocatie activiteiten bedreven die toegang tot de racks voor derden noodzakelijk zou maken. Een beperkt aantal medewerkers van 24ID Check heeft toegang tot de serverracks, waar het uit hoofde van hun functie noodzakelijk is fysiek toegang te hebben tot de systemen. De directie van 24ID Check kan op elk moment direct besluiten iemand de toegang te ontzeggen en dit middels een eenvoudige handeling bekrachtigen.

Firewall

Alle systemen zijn van het Internet gescheiden door middel van een hardwarematig firewall. Het beheer van de firewall is beperkt tot senior level medewerkers. Backup’s worden opgeslagen op backup-servers welke niet direct aan internet gekoppeld zijn. Alle backup’s worden door middel van een versleutelde verbinding geografisch verspreid over meerdere datacentra. De versleuteling gebeurt wederom met AES-128 bits (Rijndael) encryptie.