Privacy en veiligheid

Het is een wettelijk verplichting voor organisaties en bedrijven zorgvuldig om te gaan met de gegevens die zij ter beschikking hebben gekregen. Een goede en verantwoorde omgang met persoonsgegevens is een essentieel element van een vertrouwensrelatie tussen klant en organisatie. Door middel van informatiesystemen wordt extra aandacht geschonken aan privacyverhogende maatregelen waarmee op een effectieve manier zorgvuldige en verantwoorde omgang met persoonsgegevens technisch wordt afgedwongen.

Doel verwerking persoonsgegevens

De doelstelling van 24ID Check is het vastleggen en controleren van een identiteit ten behoeve van het aangaan van een overeenkomst en/of een transactie voor de periode dat de overeenkomst of een transactie duurt. Geen zwervende kopietjes van ID bewijzen maar een digitaal dossier waar de persoon zelf inzage en het beheer heeft over zijn of haar eigen persoonsgegevens. Daarnaast een beperkte inzage in de persoonsgegevens voor medewerkers van de organisaties en/of bedrijven waar de persoonsgegevens aan zijn verstrekt.

Omgaan met persoonsgegevens

Door 24ID Check worden alleen persoonsgegevens verwerkt indien de desbetreffende persoon daar, direct of indirect, toestemming voor heeft gegeven. De desbetreffende persoon wordt vooraf, direct of indirect, geïnformeerd over het doel van de verwerking van de persoonsgegevens. 24ID Check zal uitsluitend ten behoeve van de het doel waarvoor de persoonsgegevens zijn verzameld, registreren, opslaan en beheren. Biometrische persoonsgegevens worden niet opgeslagen. Door Verantwoordelijke (organisatie en/of bedrijf waarmee de overeenkomst of transactie wordt afgesloten) is een melding aan het Autoriteit Persoonsgegevens gedaan zoals bedoeld in art. 27 e.v. Wet Bescherming Persoonsgegevens.


Vastgelegde gegevens

Persoonsgegevens worden uitsluitend verwerkt wanneer zulks in overeenstemming is met het doel waartoe zij zijn verzameld.
24ID Check verwerkt onder andere de navolgende gegevens:

dot  Naam
dot  Geboortedatum
dot  Adres en woonplaats
dot  Geboorteland
dot  Nummer en type legitimatiebewijs
dot  Geslacht
dot  Nationaliteit
dot  Telefoon en email gegevens

Het Proces

Na digitalisering van ID-bewijzen vindt een echtheidscontrole plaats. Het BSN-nummer wordt gecontroleerd waarna afgeschermd, niet opgeslagen. De verkregen gegevens kunnen worden geverifieerd cq verrijkt met externe databronnen Dataverkeer middels webservices over een beveiligde VPN verbinding. Alle afbeeldingen en gegevens worden versleuteld en gescheiden opgeslagen. Dataopslag middels gecertificeerde informatiebeveiliging ISO 27001. Beperkte algemene accountgegevens zichtbaar bij transacties.

Inzage en verbetering

Iedere persoon heeft middels persoonlijke inlog zelf het beheer over en inzage in zijn of haar persoonsgegevens. Meent een persoon dat een gegeven van hem feitelijk onjuist, voor het doel van de registratie niet relevant, onvolledig, in strijd met dit reglement of de Wet Bescherming Persoonsgegevens is vastgelegd, dan kan bij 24ID Check een verzoek tot wijziging of verwijdering worden ingediend.

Inzage

24ID Check geeft slechts inzage in een compleet dossier in geval van:

dot  Wanbetaling
dot  Schade
dot  Fraude
dot  Diefstal
dot  Verduistering
dot  Onrechtmatige betreding
dot  Identiteitsdiefstal
dot  Identiteitsfraude
dot  Verzoek van opsporende instanties en verzekeringsmaatschappij


Toepasselijke privacywetgeving

De toepasselijke privacywetgeving is de Europese Richtlijn 95/46/EG van 24 oktober 1995, betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens ("de Richtlijn") en de Wet Bescherming Persoonsgegevens van 6 juli 2000, houdende de regels voor de bescherming van persoonsgegevens ("de WBP").

Verwerking van gegevens

Elke handeling of geheel van handelingen met betrekking tot Persoonsgegevens zoals beschreven in art. 1 sub b WBP.

Verantwoordelijkheid

24ID Check verwerkt persoonsgegevens ten behoeve van organisaties of bedrijven, overeenkomstig diens instructies en onder diens verantwoordelijkheid. 24ID Check zal de Bestanden met daarin opgenomen de te verwerken Persoonsgegevens deze gegevens conform geldende richtlijnen te controleren en opslaan. Bestanden zullen door 24ID Check niet voor commerciële doeleinden worden aangewend. 24ID Check heeft geen zeggenschap over het doel en de middelen voor de verwerking van Persoonsgegevens. Het verantwoordelijke bedrijf of organisatie is verantwoordelijk voor het gebruik van de gegevens, de verstrekking aan derden en de duur van de opslag van de gegevens. 24ID Check mag persoonsgegevens bekendmaken die ingevolge een wettelijke verplichting bekend gemaakt moeten worden of op bevel van een rechter of bestuurlijke instantie, op voorwaarde dat 24ID Check verantwoordelijke zo spoedig mogelijk schriftelijk in kennis stelt:

(a) van het bestaan van deze verplichting.
(b) van alle procedures die op gang worden gebracht of naar verwachting worden gestart en die tot een dergelijk bevel kunnen leiden.
(c) van de ontvangst van een dergelijk bevel, maar in elk geval voor de feitelijke bekendmaking krachtens een dergelijk bevel of wettelijke verplichting, om Verantwoordelijke in staat te stellen alle benodigde maatregelen te treffen om de bekendmaking krachtens een dergelijk bevel of wettelijke verplichting te voorkomen of te beperken.


Beveiligde verbindingen SSL

Al het dataverkeer tussen 24ID Check terminal/werkplek en de 24ID Check applicatie zal door middel van SSL versleuteld zijn, zodat uit eventueel afgeluisterd netwerkverkeer geen gevoelige informatie onthuld kan worden.

Authenticatie/inloggen

Gebruikers authentiseren zich middels hun e-mailadres en een zelf gekozen wachtwoord. Alvorens gegevens aan de gebruiker te verstrekken dient deze zich in alle gevallen te authentiseren. De wachtwoorden van 24ID Check gebruikers worden versleuteld opgeslagen middels een 1-weg hashing in combinatie met salts, zodat de login gegevens alleen te verifiëren zijn, en nooit terug te leiden zijn naar hun oorspronkelijke waarde.

Opslag privacygevoelige informatie

Privacygevoelige informatie zoals BSN-nummers op persoonsdocumenten worden onherkenbaar gemaakt voor opslag. Afbeeldingen van ID bewijzen zijn voorzien van een 24ID Check watermerk. De module met afbeeldingen van ID bewijzen is uitsluiten zichtbaar voor gebruikers die op basis van hun toegekende rol gerechtigd zijn toegang te krijgen tot de opgevraagde gegevens. Alle toegang en acties met betrekking tot de 24ID Check accounts wordt opgeslagen in een audit log.

Autorisatie

Toegang tot de gegevens in de 24ID Check backend zal enkel verleend worden via web interfaces. Alleen gebruikers die op basis van hun toegekende rol genoeg rechten hebben, zullen toegang krijgen tot de opgevraagde gegevens.

Veiligheid web applicatie

De applicatie is beveiligd op gebied van cross-site kwetsbaarheden zoals XSS en CSRF. Alle user input wordt expliciet gefilterd als bescherming tegen kwetsbaarheden als SQL injectie. Ter bescherming tegen session hijacking worden sessie cookies versleuteld en gemarkeerd.

Veiligheid terminal cliënt

Alle documentgegevens die door de 24ID Check software op de terminal/werkplek worden verzameld, worden na doorsturen naar de 24ID Check backend vernietigd. Alle communicatie met de 24ID Check backend verloopt uitsluitend over een VPN specifiek opgezet voor de 24ID Check software.


Beveiligingsmaatregelen met betrekking tot infrastructuur en hosting

24ID Check heeft de hierna volgende technische en organisatorische maatregelen getroffen ter borging van de veiligheid en vertrouwelijkheid van data welke is ondergebracht in het 24ID Check applicatie.

Organisatorisch

Alleen medewerkers van opdrachtgever en 24ID Check hebben toegang tot de data welke is opgeslagen op de systemen van 24ID Check. Middels een gebruikers en rechten-systeem kan opdrachtgever (in de vorm van de aangewezen en daartoe bevoegde medewerker) toegangsrechten aanvragen, vrijgeven en intrekken op specifieke onderdelen. Medewerkers van 24ID Check hebben geen toegang tot data van opdrachtgever, tenzij zij uit hoofde van hun functie, deze toegang nodig hebben om vragen van opdrachtgever te kunnen beantwoorden of de betreffende systemen dienen te beheren.


Technische maatregelen

Toegang

Toegang tot het systeem is uitsluitend mogelijk met een combinatie van gebruikersnaam en wachtwoord. Volledige beheersrechten van de systemen zijn slechts aan drie personen uitgegeven. Toegang tot data zonder in te loggen is niet mogelijk, evenals het inzien van data welke niet behoort tot de accounts van opdrachtgever. De servers van 24ID Check zijn ondergebracht in datacenters welke elk op zich een uitgebreide toegangscontrole hebben geïmplementeerd, waardoor alleen bevoegde personen fysiek toegang hebben tot de server ruimtes. Deze server- ruimtes worden 24/7 bewaakt en alleen bevoegde personen krijgen (na identificatie met vingerafdrukken) toegang tot deze ruimtes.

Medewerkers

Alle wachtwoorden van de systemen worden versleuteld opgeslagen door middel van 128-bit AES (Rijndael) encryptie. Medewerkers hebben geen toegang tot deze sleutel. Het password management systeem kent een uitgebreide access control list. Alleen medewerkers die uit hoofde van hun functie beheertoegang nodig hebben tot netwerkapparatuur en fysieke servers kunnen de betreffende wachtwoorden inzien. Alle wachtwoorden van beheer-accounts van de systemen zijn minimaal 20-tekens random en zijn versleuteld opgeslagen. Toegang is gekoppeld aan kerberos authenticatie en de eerder besproken access control list. Toegang is uitsluitend mogelijk vanaf de kantoorlocatie (medewerkers in de binnendienst) of via VPN (medewerkers in de buitendienst). Toegang is daar waar mogelijk beperkt tot enkel binnen kantoortijden.

Servers

De servers van 24ID Check zijn binnen de server-ruimtes ondergebracht in afgesloten 19-inch racks. In deze racks is alleen apparatuur van 24ID Check geplaatst. Er worden geen colocatie activiteiten bedreven die toegang tot de racks voor derden noodzakelijk zou maken. Een beperkt aantal medewerkers van 24ID Check heeft toegang tot de serverracks, waar het uit hoofde van hun functie noodzakelijk is fysiek toegang te hebben tot de systemen. De directie van 24ID Check kan op elk moment direct besluiten iemand de toegang te ontzeggen en dit middels een eenvoudige handeling bekrachtigen.

Firewall

Alle systemen zijn van het Internet gescheiden door middel van een hardwarematig firewall. Het beheer van de firewall is beperkt tot senior level medewerkers. Backup's worden opgeslagen op backup-servers welke niet direct aan internet gekoppeld zijn. Alle backup's worden door middel van een versleutelde verbinding geografisch verspreid over meerdere datacentra. De versleuteling gebeurt wederom met AES-128 bits (Rijndael) encryptie.