Privacy en veiligheid
Doel verwerking persoonsgegevens
De doelstelling van 24ID Check is het vastleggen en controleren van een identiteit ten behoeve van het aangaan van een overeenkomst en/of een transactie voor de periode dat de overeenkomst of een transactie duurt. Geen zwervende kopietjes van ID-bewijzen, maar een digitaal dossier waar de persoon zelf inzage en het beheer heeft over zijn of haar eigen persoonsgegevens. Daarnaast een beperkte inzage in de persoonsgegevens voor medewerkers van de organisaties en/of bedrijven waar de persoonsgegevens aan zijn verstrekt.
Omgaan met persoonsgegevens
Door 24ID Check worden alleen persoonsgegevens verwerkt indien de desbetreffende persoon daar, direct of indirect, toestemming voor heeft gegeven. De desbetreffende persoon wordt vooraf, direct of indirect, geïnformeerd over het doel van de verwerking van de persoonsgegevens. 24ID Check zal uitsluitend ten behoeve van de het doel waarvoor de persoonsgegevens zijn verzameld, registreren, opslaan en beheren. Biometrische persoonsgegevens worden niet opgeslagen. Door Verantwoordelijke (organisatie en/of bedrijf waarmee de overeenkomst of transactie wordt afgesloten) is een melding aan het Autoriteit Persoonsgegevens gedaan zoals bedoeld in art. 27 e.v. Wet Bescherming Persoonsgegevens.
Vastgelegde gegevens
Persoonsgegevens worden uitsluitend verwerkt wanneer zulks in overeenstemming is met het doel waartoe zij zijn verzameld.
24ID Check verwerkt onder andere de navolgende gegevens:
• Naam
• Geboortedatum
• Adres en woonplaats
• Geboorteland
• Nummer en type legitimatiebewijs
• Geslacht
• Nationaliteit
• Telefoon en email gegevens
Het Proces
Na digitalisering van ID-bewijzen vindt een echtheidscontrole plaats. Het BSN-nummer wordt gecontroleerd waarna afgeschermd, niet opgeslagen. De verkregen gegevens kunnen worden geverifieerd cq verrijkt met externe databronnen Dataverkeer middels webservices over een beveiligde VPN verbinding. Alle afbeeldingen en gegevens worden versleuteld en gescheiden opgeslagen. Dataopslag middels gecertificeerde informatiebeveiliging ISO 27001. Beperkte algemene accountgegevens zichtbaar bij transacties.
Inzage en verbetering
Iedere persoon heeft middels persoonlijke inlog zelf het beheer over en inzage in zijn of haar persoonsgegevens. Meent een persoon dat een gegeven van hem feitelijk onjuist, voor het doel van de registratie niet relevant, onvolledig, in strijd met dit reglement of de Wet Bescherming Persoonsgegevens is vastgelegd, dan kan bij 24ID Check een verzoek tot wijziging of verwijdering worden ingediend.
Inzage
24ID Check geeft slechts inzage in een compleet dossier in geval van:
• Wanbetaling
• Schade
• Fraude
• Diefstal
• Verduistering
• Onrechtmatige betreding
• Identiteitsdiefstal
• Identiteitsfraude
• Verzoek van opsporende instanties en verzekeringsmaatschappij
Toepasselijke privacywetgeving
De toepasselijke privacywetgeving is de Europese Richtlijn 95/46/EG van 24 oktober 1995, betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (“de Richtlijn”) en de Wet Bescherming Persoonsgegevens van 6 juli 2000, houdende de regels voor de bescherming van persoonsgegevens
(“de WBP”).
Verwerking van gegevens
Elke handeling of geheel van handelingen met betrekking tot Persoonsgegevens zoals beschreven in art. 1 sub b WBP.
Verantwoordelijkheid
24ID Check verwerkt persoonsgegevens ten behoeve van organisaties of bedrijven, overeenkomstig diens instructies en onder diens verantwoordelijkheid. 24ID Check zal de Bestanden met daarin opgenomen de te verwerken Persoonsgegevens deze gegevens conform geldende richtlijnen te controleren en opslaan. Bestanden zullen door 24ID Check niet voor commerciële doeleinden worden aangewend. 24ID Check heeft geen zeggenschap over het doel en de middelen voor de verwerking van Persoonsgegevens. Het verantwoordelijke bedrijf of organisatie is verantwoordelijk voor het gebruik van de gegevens, de verstrekking aan derden en de duur van de opslag van de gegevens. 24ID Check mag persoonsgegevens bekendmaken die ingevolge een wettelijke verplichting bekend gemaakt moeten worden of op bevel van een rechter of bestuurlijke instantie, op voorwaarde dat 24ID Check verantwoordelijke zo spoedig mogelijk schriftelijk in kennis stelt:
(a) van het bestaan van deze verplichting.
(b) van alle procedures die op gang worden gebracht of naar verwachting worden gestart en die tot een dergelijk bevel kunnen leiden.
(c) van de ontvangst van een dergelijk bevel, maar in elk geval voor de feitelijke bekendmaking krachtens een dergelijk bevel of wettelijke verplichting, om Verantwoordelijke in staat te stellen alle benodigde maatregelen te treffen om de bekendmaking krachtens een dergelijk bevel of wettelijke verplichting te voorkomen of te beperken.
Beveiligde verbindingen SSL
Authenticatie/inloggen
Gebruikers authentiseren zich middels hun e-mailadres en een zelf gekozen wachtwoord. Alvorens gegevens aan de gebruiker te verstrekken dient deze zich in alle gevallen te authentiseren. De wachtwoorden van 24ID Check gebruikers worden versleuteld opgeslagen middels een 1-weg hashing in combinatie met salts, zodat de login gegevens alleen te verifiëren zijn, en nooit terug te leiden zijn naar hun oorspronkelijke waarde.
Opslag privacygevoelige informatie
Privacygevoelige informatie zoals BSN-nummers op persoonsdocumenten worden onherkenbaar gemaakt voor opslag. Afbeeldingen van ID-bewijzen zijn voorzien van een 24ID Check watermerk. De module met afbeeldingen van ID-bewijzen is uitsluiten zichtbaar voor gebruikers die op basis van hun toegekende rol gerechtigd zijn toegang te krijgen tot de opgevraagde gegevens. Alle toegang en acties met betrekking tot de 24ID Check accounts wordt opgeslagen in een audit log.
Autorisatie
Toegang tot de gegevens in de 24ID Check backend zal enkel verleend worden via web interfaces. Alleen gebruikers die op basis van hun toegekende rol genoeg rechten hebben, zullen toegang krijgen tot de opgevraagde gegevens.
Veiligheid web applicatie
De applicatie is beveiligd op gebied van cross-site kwetsbaarheden zoals XSS en CSRF. Alle user input wordt expliciet gefilterd als bescherming tegen kwetsbaarheden als SQL injectie. Ter bescherming tegen session hijacking worden sessie cookies versleuteld en gemarkeerd.
Veiligheid terminal cliënt
Alle documentgegevens die door de 24ID Check software op de terminal/werkplek worden verzameld, worden na doorsturen naar de 24ID Check backend vernietigd. Alle communicatie met de 24ID Check backend verloopt uitsluitend over een VPN specifiek opgezet voor de 24ID Check software.
Beveiligingsmaatregelen met betrekking tot infrastructuur en hosting
24ID Check heeft de hierna volgende technische en organisatorische maatregelen getroffen ter borging van de veiligheid en vertrouwelijkheid van data welke is ondergebracht in het 24ID Check applicatie.
Organisatorisch
Alleen medewerkers van opdrachtgever en 24ID Check hebben toegang tot de data welke is opgeslagen op de systemen van 24ID Check. Middels een gebruikers en rechtensysteem kan opdrachtgever (in de vorm van de aangewezen en daartoe bevoegde medewerker) toegangsrechten aanvragen, vrijgeven en intrekken op specifieke onderdelen. Medewerkers van 24ID Check hebben geen toegang tot data van opdrachtgever, tenzij zij uit hoofde van hun functie, deze toegang nodig hebben om vragen van opdrachtgever te kunnen beantwoorden of de betreffende systemen dienen te beheren.
Technische maatregelen
Toegang
Toegang tot het systeem is uitsluitend mogelijk met een combinatie van gebruikersnaam en wachtwoord. Volledige beheersrechten van de systemen zijn slechts aan drie personen uitgegeven. Toegang tot data zonder in te loggen is niet mogelijk, evenals het inzien van data welke niet behoort tot de accounts van opdrachtgever. De servers van 24ID Check zijn ondergebracht in datacenters welke elk op zich een uitgebreide toegangscontrole hebben geïmplementeerd, waardoor alleen bevoegde personen fysiek toegang hebben tot de server ruimtes. Deze serverruimtes worden 24/7 bewaakt en alleen bevoegde personen krijgen (na identificatie met vingerafdrukken) toegang tot deze ruimtes.
Medewerkers
Alle wachtwoorden van de systemen worden versleuteld opgeslagen door middel van 128-bit AES (Rijndael) encryptie. Medewerkers hebben geen toegang tot deze sleutel. Het password management systeem kent een uitgebreide access control list. Alleen medewerkers die uit hoofde van hun functie beheertoegang nodig hebben tot netwerkapparatuur en fysieke servers kunnen de betreffende wachtwoorden inzien. Alle wachtwoorden van beheeraccounts van de systemen zijn minimaal 20-tekens random en zijn versleuteld opgeslagen. Toegang is gekoppeld aan kerberos authenticatie en de eerder besproken access control list. Toegang is uitsluitend mogelijk vanaf de kantoorlocatie (medewerkers in de binnendienst) of via VPN (medewerkers in de buitendienst). Toegang is daar waar mogelijk beperkt tot enkel binnen kantoortijden.
Servers
De servers van 24ID Check zijn binnen de serverruimtes ondergebracht in afgesloten 19-inch racks. In deze racks is alleen apparatuur van 24ID Check geplaatst. Er worden geen colocatie activiteiten bedreven die toegang tot de racks voor derden noodzakelijk zou maken. Een beperkt aantal medewerkers van 24ID Check heeft toegang tot de serverracks, waar het uit hoofde van hun functie noodzakelijk is fysiek toegang te hebben tot de systemen. De directie van 24ID Check kan op elk moment direct besluiten iemand de toegang te ontzeggen en dit middels een eenvoudige handeling bekrachtigen.
Firewall
Alle systemen zijn van het Internet gescheiden door middel van een hardwarematig firewall. Het beheer van de firewall is beperkt tot senior level medewerkers. Backup’s worden opgeslagen op backup-servers welke niet direct aan internet gekoppeld zijn. Alle backup’s worden door middel van een versleutelde verbinding geografisch verspreid over meerdere datacentra. De versleuteling gebeurt wederom met AES-128 bits (Rijndael) encryptie.