Privacy - Wat niemand over je mag weten

Moet het verwerken van alleen gebruikersnaam en wachtwoord in verwerkersovereenkomst?

29-10-2021, 15:15 door Sam55623462343, 8 reacties
Een organisatie maakt managementdashboards voor verschillende bedrijven. Om daarop in te loggen is altijd een gebruikersnaam (soms is dat een emailadres) + wachtwoord nodig; verder komen er geen persoonsgegevens bij kjiken.

Moeten deze dan worden opgenomen in de bijlage van de verwerkersovereenkomst bij de categorieen te verwerken persoonsgegevens? Oftewel, moet deze organisatie dan altijd met elke klant een VO afsluiten puur en alleen om de verwerking van inloggegevens te legitimiseren, ook al worden er verder geen persoonsgegevens verwerkt?
Reacties (8)
29-10-2021, 15:22 door Anoniem
Ik vind zelf het gebruiken van een emailadres als gebruikersnaam onverstandig. Het lokt het hergebruiken van wachtwoorden en gevaar bij lekken daarvan uit.
Anderen vinden het juist weer verstandig omdat het gebruikersnamen uniek maakt. Elk nadeel hep se foordeel zei een voetballer al.

Maar in dit geval zit je dan nog met de complicatie dat een emailadres door de doorgeschoten wetgeving gezien wordt als persoonsgegeven. Dat kun je wellicht voorkomen door neutralere gebruikersnamen te kiezen die buiten het systeem niet als persoonsgegeven herkend worden.
01-11-2021, 23:32 door Anoniem
Door Anoniem: Ik vind zelf het gebruiken van een emailadres als gebruikersnaam onverstandig. Het lokt het hergebruiken van wachtwoorden en gevaar bij lekken daarvan uit.
Anderen vinden het juist weer verstandig omdat het gebruikersnamen uniek maakt. Elk nadeel hep se foordeel zei een voetballer al.

Maar in dit geval zit je dan nog met de complicatie dat een emailadres door de doorgeschoten wetgeving gezien wordt als persoonsgegeven. Dat kun je wellicht voorkomen door neutralere gebruikersnamen te kiezen die buiten het systeem niet als persoonsgegeven herkend worden.

Ook die neutrale namen zijn een persoonsgegeven. Alles wat een persoon identificeert is een persoonsgegeven. Binnen de wet heb je wel de optie om deze persoonsgegevens te gebruiken als het technisch gezien nodig is voor de uitvoering van de dienst. In veel gevallen heb je toch wel een emailadres nodig (password reset en dergelijke).

Technisch gezien zou ik adviseren om te kijken naar een federation service (ADFS in de Microsoft wereld). Gebruikers authentiseren dan tegen hun eigen AD en die geeft aan jouw systeem door of gebruiker x mag inloggen.
02-11-2021, 13:20 door Anoniem
Door Anoniem:
Door Anoniem: Ik vind zelf het gebruiken van een emailadres als gebruikersnaam onverstandig. Het lokt het hergebruiken van wachtwoorden en gevaar bij lekken daarvan uit.
Anderen vinden het juist weer verstandig omdat het gebruikersnamen uniek maakt. Elk nadeel hep se foordeel zei een voetballer al.

Maar in dit geval zit je dan nog met de complicatie dat een emailadres door de doorgeschoten wetgeving gezien wordt als persoonsgegeven. Dat kun je wellicht voorkomen door neutralere gebruikersnamen te kiezen die buiten het systeem niet als persoonsgegeven herkend worden.

Ook die neutrale namen zijn een persoonsgegeven. Alles wat een persoon identificeert is een persoonsgegeven.

De naam pqr123 identificeert geen persoon.
02-11-2021, 13:59 door Briolet
Door Anoniem: De naam pqr123 identificeert geen persoon.

Zeker wel omdat deze tot een uniek persoon terug te leiden is. b.v. via loggegevens i.c.m een IP adres dat bij die inlog gebruikt is.
15-11-2021, 12:08 door Anoniem
Nee, want je doet de verwerking van die gegevens niet in opdracht van de verantwoordelijke maar uit eigen keuze om een degelijke app te bieden. Dat is dus een verwerking als verantwoordelijke, niet als verwerker.
19-01-2022, 13:07 door Sam55623462343
Door Anoniem: Nee, want je doet de verwerking van die gegevens niet in opdracht van de verantwoordelijke maar uit eigen keuze om een degelijke app te bieden. Dat is dus een verwerking als verantwoordelijke, niet als verwerker.

Dit is wat ik ook vermoed. In die zin zijn wij verwerkersverantwoordelijke. Iedereen bedankt voor het meedenken.
19-01-2022, 15:18 door Anoniem
Wat ook fijn werkt zijn OTP, dan hoef je alleen een e-mailadres te verwerken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.