Deense crisisopvang mocht in noodsituatie bsn-nummer via sms vragen
Een Deens crisiscentrum dat opvang voor jongeren biedt mocht in een noodsituatie via sms om een bsn-nummer en naam van een kind vragen, zo heeft de Deense privacytoezichthouder geoordeeld. De databeschermingsautoriteit had een onderzoek ingesteld nadat het te horen kreeg dat een dergelijke situatie zich bij Joannahuset had voorgedaan.
Vorig jaar augustus wilde een jongere zich bij Joannahuset inschrijven. Het crisiscentrum wilde eerst de identiteit van de jongere verifiëren voordat die onderdak kreeg. Het bleek echter niet mogelijk om de voogd van de jongere via beveiligde e-mail te bereiken, waarop werd besloten om via sms om het burgerservicenummer en de naam te vragen.
Volgens het crisiscentrum zou het aanzienlijke negatieve gevolgen voor de jongere kunnen hebben als er geen onderdak geboden werd, waarop het personeel besloot om van de gebruikelijke procedure af te wijken. De Deense privacytoezichthouder stelt dat de privacywetgeving eist dat voor het versturen van vertrouwelijke informatie een passende beveiliging wordt toegepast, wat niet het geval is bij het gebruik van sms.
Door het onversleuteld versturen van informatie via sms is er een aanzienlijk potentieel risico op verlies, wijziging, ongeoorloofde openbaarmaking en toegang tot de verwerkte gegevens, zo stelt de privacytoezichthouder. Ook het crisiscentrum erkent dat het versturen van vertrouwelijke informatie via sms niet voldoende veilig is en het deze oplossing alleen toepast in speciale situaties waar veiligere communicatiemethodes niet tijdig zijn te gebruiken met betrekking tot het belang van het kind.
De privacytoezichthouder komt tot de conclusie dat in uitzonderlijke omstandigheden andere belangen, zoals de bescherming van een leven of de gezondheid van kwetsbare personen, zwaarder wegen dan de privacywetgeving. Mocht een dergelijke situatie zich voordoen, dan moet de datacontroller de overwegingen wel goed vastleggen bij het maken van de beslissing. In dit geval was het dan ook acceptabel om sms als communicatiemethode te gebruiken voor het ontvangen van het bsn-nummer en naam van kind. De toezichthouder stelde dan ook geen overtreding vast.
Als de urgentie zo hoog is dan lijkt het me niet van belang dat je direct de identiteit vast kunt stellen, maar gaat de hulpvraag voor.
Als de urgentie zo hoog is dan lijkt het me niet van belang dat je direct de identiteit vast kunt stellen, maar gaat de hulpvraag voor.
Verkeerde beslissing. Onderdak bieden en later uitzoeken.
Dus ook in Denemarken is de privacytoezichthouder een tandenloze tijger.
Ook erg stom dat eea. dan ook nog verstuurd wordt - vragen is 1, maar er ook nog op in gaan... 2 missers in 1x dus.
Als dat toch mogelijk blijkt dan zit er iets goed fout tussen de identificatie en authenticatie. De basis van beveiliging / security is dan hopeloos gemist.
Ook erg stom dat eea. dan ook nog verstuurd wordt - vragen is 1, maar er ook nog op in gaan... 2 missers in 1x dus.
Lijkt me terecht dat dat zo gaat. Je wilt niet zomaar iedereen in een kwetsbare omgeving opnemen.
Let wel de voogd was bekend maar enkel de vereiste techniek niet. Uitwijken naar SMS zou dan de overtreding zijn? privacy activisme op zijn ergst..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
