Data Protection Impact Assessment (DPIA) versie 0.2

Geen verplichting

Ondanks dat er geen verplichting bestaat om deze DPIA op te stellen, hebben we dit wel gedaan omdat wij vinden dat het onze taak is de gegevens van onze opdrachtgevers zo goed mogelijk te beveiligen.

Concept

Dit document betreft een concept, waaruit geen rechten kunnen worden ontleend. Als basis voor dit document is het template van White Wire gebruikt.

Resultaten van uitgevoerde DPIA over 1) Ontvangen en versturen van e-mails voor opdrachtgevers; 2) Opslag van bestanden en back-ups voor derden en 3) Bijhouden van e-maillijsten voor opdrachtgevers.

1. Inhoud

  1. Inhoud
  2. Management Samenvatting
  3. Kader
    1. Context organisatie
    2. Context verwerking
  4. Data Protection Impact Assessment
    1. Algemene informatie
      1. Scope
        1. E-mailhosting
        2. Online opslag
        3. E-mail campagne systeem
      2. Betrokken actoren
      3. Projectplanning
        1. E-mailhosting
        2. Online opslag
        3. E-mail campagne systeem
      4. Betrokken verwerkers en contractuele afspraken
        1. E-mailhosting
        2. Online opslag
        3. E-mail campagne systeem
    2. Detailbeschrijving van gegevensstroom
      1. E-mailhosting
      2. Online opslag
      3. E-mail campagne systeem
    3. Toetsing van basisprinciepes verwerking persoonsgegevens
      1. Transparantie, rechtmatigheid
      2. Doelbinding
        1. E-mailhosting
        2. Online opslag
        3. E-mail campagne systeem
      3. Minimale gegevensverwerking
        1. E-mailhosting
        2. Online opslag
        3. E-mail campagne systeem
      4. Juistheid
      5. Opslagbeperking
        1. E-mailhosting
        2. Online opslag
        3. E-mail campagne systeem
      6. Integriteit en Vertrouwelijkheid
    4. Rechten van de betrokkene
  5. Risico's
    1. Risicoanalyse methodologie
    2. Vastgelegde dreigingen
  6. Genomen maatregelen
    1. Overzicht genomen maatregelen
  7. Residuele risico's
    1. Overzicht restrisico's
    2. Beslissing rond voorafgaande raadpleging DPA

2. Management Samenvatting

Dit document bevat de vastlegging van een Data Protection Impact Assessment (DPIA) zoals benoemd in de AVG/GDPR. Deze DPIA is een analyse van beoogde verwerkingen van persoonsgegevens voor de volgende projecten (hierna "projecten", "systemen"):

  1. E-mail hosting: Ontvangen en versturen van e-mails voor opdrachtgevers;
  2. Online opslag: Opslag van bestanden en back-ups voor opdrachtgevers;
  3. E-mail campagne systeem: Faciliteit waarin opdrachtgevers hun mailinglijsten kunnen beheren en e-mails kunnen versturen.

Daarnaast bevat het de algemene context, informatie over de verwerkingen, beoordelingen van samenhangende risico's en concrete maatregelen die genomen worden om deze risico's te beheersen en een uitspraak over de noodzaak van een voorafgaande raadpleging bij een DPA.

Deze DPIA bevat voor alle die de bovenstaande projecten de assessment.

3. Kader

3.1 Context organisatie

Perfacilis (hierna "wij", "ons", "onze"), gevestigd te Zwanenveld 4522 6538 WX te Nijmegen, levert online oplossingen voor opdrachtgevers met als voornaamste doel bedrijfsprocessen te verbeteren of meer te automatiseren.

3.2 Context verwerking

Wij hebben geen belang in het analyseren van de data die door opdrachtgevers (hierna "opdrachtgevers", "gebruikers") op onze servers wordt aangebracht. Omdat het opslaan van het type gegevens dat wij verwerken beperkte risico's met zich mee brengt, zijn wij van mening dat het beter is een DPIA uit te voeren.

4 Data Protection Impact Assessment

4.1 Algemene Informatie

4.1.1 Scope

4.1.1.1 E-mailhosting

Opdrachtgevers maken gebruik van onze e-mailservers om e-mails te ontvangen, verzenden en te archiveren. De inhoud van deze e-mails wordt alleen opgeslagen in de postvakken van de opdrachtgevers en worden geenszins verwerkt, gelezen of geanalyseerd door ons of door onze systemen.

Er is onderzocht in hoeverre de verouderde onderliggende techniek, welke vooral werkt op basis van platte tekst, beveiligd is. Tevens zijn de risico's onderzocht voor e-mails opgeslagen op dragers van gebruikers (computers of telefoons) en hoe deze zo veel mogelijk te beschermen. Let wel, dat gebruikers zelf verantwoordelijk zijn voor het beveiligen van hun eigen hard- en software.

Als laatste is onderzocht in hoeverre gegevens die wordt verzonden aan externe partijen t.b.v. het filteren van ongewenste e-mail (spam) te herleiden is naar de originele inhoud van e-mails.

4.1.1.2 Online opslag

Opdrachtgevers maken gebruik van online opslagmogelijkheden om hun bestanden (zowel privé als zakelijk) op te slaan op een externe locatie. Tevens maken opdrachtgevers gebruik van de ruimte om back-ups of archieven op te slaan.

Er is onderzocht in hoeverre gegevens van gebruikers onderling te gescheiden zijn en in hoeverre er door kwaadwillende toegang zou kunnen worden verkregen.

4.1.1.3 E-mail campagne systeem

Opdrachtgevers maken gebruik van een online systeem waarin zij hun mailinglijst bij kunnen houden en periodiek of op gezette tijden e-mails aan (een deel van) deze lijsten kunnen versturen namens e-mailadressen waarvan zij bevestigd hebben eigenaar te zijn. Hierbij worden als statistieken opgeslagen (metadata) wanneer, waarmee en hoe vaak deze e-mails door ontvangers worden verzonden.

Er is onderzocht in hoeverre het systeem misbruikt kan worden voor het verzenden van ongewenste e-mail (spam), in hoeverre de e-maillijsten van gebruikers gescheiden zijn en in welke mate de metadata persoonlijk is en dus risico's met zich meebrengt.

4.1.2 Betrokken actoren

  • Wij, Perfacilis, zijn betrokken als leverancier; Roy Arisse als FG;
  • Opdrachtgevers als eindgebruikers, wie e-mails kunnen verzenden, opslaan en archiveren;
  • Opdrachtgevers als eindgebruikers, wie bestanden kunnen opslaan;
  • Opdrachtgevers als eindgebruikers, wie e-mails kunnen versturen aan hun mailinglijsten en hier metadata over kunnen verzamelen. Externe verzenders en ontvangers, van wie hun mails in postvakken van opdrachtgevers, op onze servers worden bewaard.

4.1.3 Projectplanning

Ondanks dat alle oplossingen zijn ontwikkeld met veiligheid en anonimiteit als speerpunten, worden alle systemen constant doorontwikkeld. Voor de systemen staan de volgende verbeteringen op korte termijn in de planning:

4.1.3.1 E-mailhosting
  • 2018-12-31: Momenteel is een versleutelde verbinding optioneel instelbaar. Deze mogelijkheid zal in zijn volledigheid verwijderd worden. Gebruikers zullen hier bericht en instructie van krijgen.
4.1.3.2 Online opslag
  • 2018-12-31: Versleuteling op de gegevensverbinding (rsync, ftp, webdav) tussen verzender en ontvanger wordt verplicht gemaakt of versterkt. Toegang wordt alleen gegeven op basis van een of meerdere IP-adressen waar beveiliging moeilijk te waarborgen is.
4.1.3.3 E-mail campagne systeem
  • 2018-08-31: Gebruik van verzwakte algoritmen uitfaseren door over te schakelen op betere algoritmen i.c.m. salting. Wachtwoorden worden bijgewerkt zodra een gebruiker inlogt.
  • 2018-10-31: Beveiliging tegen brute-force aanvallen inbouwen.
  • 2018-12-31: Mailinglijsten van gebruikers zullen in aparte, persoonlijke, databases worden opgeslagen, in plaats van een gezamenlijke database voor alle gebruikers. Tevens data ouder dan 5 jaar automatisch verwijderen.

4.1.4 Betrokken verwerkers en contractuele afspraken

4.1.4.1 E-mailhosting

Patronen in e-mails worden gehashed verzonden aan Razor en Pyzor om een database op te bouwen waarmee e-mails in de toekomst beter als ongewenst (spam) of gewenst (ham) beoordeeld kunnen worden. Omdat een hash slechts een som van de data bevat, kan deze data onmogelijk herleidt worden tot de originele inhoud, waardoor deze data anoniem is.

4.1.4.2 Online opslag

Gegevens worden niet doorgegeven aan externe verwerkers.

4.1.4.3 E-mail campagne systeem

Gegevens worden niet doorgegeven aan externe verwerkers.

4.2 Detailbeschrijving van gegevensstroom

Voor alle systemen geldt dat van alle data dagelijks een back-up naar een andere server wordt gemaakt en dat deze data na 7 dagen automatisch wordt overschreven met een nieuwe back-up. Bestanden die uit de bron verdwijnen, verdwijnen daardoor met een vertraging van 7 dagen uit de back-ups.

4.2.1 E-mailhosting

Elke willekeurige externe e-mailserver (afzender) kunnen e-mails aanbieden aan een domein dat geregistreerd is op onze e-mailservers. De e-mailserver slaat hierbij basisgegevens (ip-adres, e-mailadres) van de afzender op in logbestanden, welke na maximaal 4 weken worden verwijderd. Wanneer een binnenkomende e-mail als ongewenst ongewenst is (spam is of virussen bevat), worden deze e-mails maximaal 100 dagen in quarantaine bewaard.

Wanneer er gebruik wordt gemaakt van de doorstuur-service wordt de e-mail doorgestuurd naar de uiteindelijke partij (een externe e-mailservers) en wordt de e-mail verwijderd van onze servers. In alle andere gevallen wordt de e-mail in het lokale postvak van de rechtmatige eigenaar opgeslagen.

Wanneer een gebruiker zijn postvak gesynchroniseerd heeft met een eigen drager (telefoon, tablet of desktop), wordt de e-mail naar deze drager gekopieerd. De postvakken op de server worden gesynchroniseerd met de dragers. Verplaatst of verwijderd de gebruiker een mail dan gebeurt dat (soms vertraagd) op de server ook. E-mails in het postvak worden pas definitief verwijderd als de gebruiker dit handmatig doet.

Gebruikers kunnen hun eigen e-mails doorsturen of nieuwe e-mails maken en deze versturen aan anderen.

4.2.2 Online opslag

Gebruikers krijgen een eigen afgebakende plaats (filecontainer of share), waarin zij naar wens bestanden kunnen plaatsen. De filecontainers zijn technisch zodanig van elkaar gescheiden dat het onmogelijk is om met via de een container een andere container uit te lezen.

De bestanden op de containers worden gesynchroniseerd met de drager van gebruiker (telefoon, tablet of desktop). Verplaatst of verwijderd de gebruiker een bestand, dan gebeurt dat (soms vertraagd) op de server ook. Bestanden worden pas definitief verwijderd als gebruiker dit handmatig doet.

4.2.3 E-mail campagne systeem

Gebruikers plaatsen een formulier op hun website, waarop contacten zijn/haar naam, e-mailadres en naar instelling van gebruiker extra NAW-gegevens kan achterlaten. Eventueel kan een gebruiker handmatig contacten andere systemen importeren, waarbij gebruiker moet verklaren eigenaar van deze gegevens te zijn en aan deze contacten e-mails mag sturen.

Van e-mails die verstuurd worden, wordt metadata (wanneer en aan wie verzonden, die wie en wanneer geopend en met welke drager) bewaard bij deze contacten. Deze metadata wordt momenteel oneindig bewaard, maar zal in de toekomst na uiterlijk na 5 jaar verwijderd worden (gezien de leeftijd van het systeem voldoet geen data nog aan deze voorwaarde).

4.3 Toetsing van basisprincipes verwerking persoonsgegevens

Alle gegevens worden zo veel mogelijk geanonimiseerd en beveiligd opgeslagen. De standaardinstelling voor alle systemen is dat niemand toegang heeft. Toegang wordt verleend via minstens een van: 1) een sterke gebruikersnaam en wachtwoord combinatie af te dwingen, 2) uitzonderingen aan de firewall toe te voegen of 3) zich te verifiëren.

4.3.1 Transparantie, rechtmatigheid

Toegangsgegevens worden ofwel door ons zelf geïnstalleerd op het systeem dat gebruik gaat maken van de dienst, of gebruiker dient zich te verifiëren via een e-mail om toegangsgegevens te verkrijgen, maar er worden nooit wachtwoorden via e-mail, briefpost of andere kanalen verzonden. Tevens worden alle wachtwoorden versleuteld (gehashed) opgeslagen. Hierdoor kan alleen gebruiker over zijn wachtwoord beschikken.

Alle data blijft te allen tijde op eigen servers. Tevens spannen wij ons maximaal in om te zorgen dat alle data alleen zichtbaar blijft voor diegene die de data heeft aangemaakt. Data zal nooit doorgegeven of verkocht worden aan derden.

4.3.2 Doelbinding

4.3.2.1 E-mailhosting

Verwerking van gegevens is gerechtvaardigd omdat opdrachtgever een dienst afneemt om e-mails te ontvangen of te verzenden. De inhoud van de e-mails wordt, zoals eerder aangegeven niet gelezen, geanalyseerd of verwerkt.

4.3.2.2 Online opslag

Verwerking van gegevens is gerechtvaardigd omdat opdrachtgever een dienst afneemt om bestanden online te bewaren. De inhoud van de bestanden wordt, zoals eerder aangegeven niet gelezen, geanalyseerd of verwerkt.

4.3.2.3 E-mail campagne systeem

Verwerking van gegevens is gerechtvaardigd, omdat opdrachtgever een diens afneemt waarmee e-mails kunnen worden verzonden en waarmee simpele analyses kunnen worden gedaan op basis van metadata. Deze metadata word verder niet gelezen of geanalyseerd of verwerkt, behalve dat er totalen voor rapportages voor gebruiker worden berekend.

4.3.3 Minimale gegevensverwerking

Minimale persoonsgegevens (NAW, e-mailadres, telefoonnummer en aanhef) zijn nodig om gebruikers gericht en rechtmatig te kunnen factureren.

4.3.2.1 E-mailhosting

E-mails, e-mailadressen en wachtwoorden dienen te worden opgeslagen om het systeem te kunnen laten functioneren.

4.3.2.2 Online opslag

Alleen de bestanden die gebruiker zelf plaatst worden bewaard.

4.3.2.3 E-mail campagne systeem

De meta-data die wordt verzameld is hetgeen minimaal nodig is om effectiviteit van verzonden e-mails te kunnen analyseren, maar niet zo veel dat er bijvoorbeeld gerichte targeting mee uitgevoerd zou kunnen worden.

4.3.4 Juistheid

Voor alle systemen geldt dat er alleen personalia bewaard worden om deze te factureren. Gezien het terugkerende karakter van de facturen, worden gebruikers er toe aangezet deze gegevens te controleren. Gebruikers kunnen deze gegevens via hun account zelfstandig aanpassen of door contact met ons op te nemen.

Overige gegevens worden door gebruiker zelf in het systeem aangebracht. Omdat wij deze gegevens niet analyseren, is er ook geen zicht op de juistheid van deze gegevens.

4.3.5 Opslagbeperking

4.3.2.1 E-mailhosting

Emails in quarantaine worden 100 dagen bewaard in geval er een false-positive optreedt (bijvoorbeeld als een e-mail als ongewenst wordt gemarkeerd terwijl dat niet het geval is).

4.3.2.2 Online opslag

Het bewaren van Back-ups, volgens de hoogste industrie-standaard worden er 7 dagelijkse; 4 wekelijkse; 12 maandelijkse en 5 jaarlijkse back-ups bewaard. Tevens wordt er minimaal eens per dag een Off-Site backup naar een secondaire locatie gemaakt.

4.3.2.3 E-mail campagne systeem

De meta-data wordt uiterlijk na 5 jaar verwijderd, dit is de maximale bewaartermijn van gegevens en nodig om een goed overzicht te krijgen van de doelgroep van gebruiker.

4.3.6 Integriteit & Vertrouwelijkheid

De gegevens worden opgeslagen op servers die wij in eigen beheer hebben, in een beproefd datacentrum in Amsterdam dat doorgaans de minste down-time heeft. Alleen Off-Site backups worden opgeslagen in een datacentrum in Delft.

Verder zijn wij persoonlijk bereikbaar en mag een gebruiker te alleen tijde gebruik maken van zijn recht op data-portabiliteit volgens de AVG.

4.4 Rechten van de betrokkene

Alle rechten van gebruiker zijn omschreven volgens de richtlijnen van de GDPR/AVG in de Privacy Statement.

5. Risico's

De aard van e-mails kan zeer persoonlijk zijn en kan daardoor gevoelige informatie bevatten. Het grootste risico hierbij is dat deze e-mails, door middel van bijvoorbeeld het uitlekken van toegangsgegevens, op straat komen te liggen.

Hetzelfde geldt voor de online bestandsopslag. Vooral het webdav-protocol heeft als risico dat bestanden worden gekopieerd, na het uitlekken van toegangsgegevens.

Voor de metadata in het e-mail campagne systeem geldt dat deze niet herleidbaar zijn naar persoonlijke gegevens, omdat deze informatie geanonimiseerd opgeslagen is. Er bestaat in theorie wel een risico voor het misbruik van het systeem, waardoor er ongewenste bulk-e-mail verzonden kan worden (spam), echter 

5.1 Risicoanalyse methodologie

Door middel van een brainstormsessie, het volgen van de datastromen en de in voorgaande hoofdstukken vrijgekomen informatie is de risicoanalyse gedaan.

Verder is voor de analyse een subset van de in NEN-ISO/IEC 27002:2013 omschreven dreigingen en maatregelen gebruikt die voor ons van toepassing zijn.

5.2 Vastgestelde dreigingen

Invulling van de impact:

kleinFinancieel: €100 - €1.000 / Imago: persoonlijke kring
gemiddeldFinancieel: €1.000 - €10.000 / Imago: plaatselijke pers
grootFinancieel: €10.000 - €100.000 / Imago: regionale pers
desastreusFinancieel: > €100.000 / Imago: landelijke pers

Overzicht van dreigingen:

#DreigingImpact
R01Beveiligingsinbreuken als gevolg van onvoldoende aandacht, nalatenschap of het niet nemen van verantwoordelijkheid.groot
R02Tegen het bedrijf worden juridische stappen genomen.groot
R03Systemen raken besmet met malwaregroot
R04Overbelasten van netwerkdienstenklein
R05Systemen worden niet gebruikt waarvoor ze bedoeld zijnklein
R06Misbruik van andermans identiteit of bevoegdheden.gemiddeld
R07Misbruik van bevoegdheden.klein
R08Toegang tot informatie door slecht wachtwoordgebruik.gemiddeld
R09Toegang tot informatie door kwetsbaarheden in applicaties of zwakheden in beveiliging.gemiddeld
R10Misbruik van cryptografische sleutels en/of gebruik van zwakke algoritmengroot
R11Onveilig versturen van gevoelige informatiegemiddeld
R12Versturen van gevoelige informatie naar onjuiste persoon.klein
R13Verlies van mobiele apparatuur en opslagmedia.gemiddeld
R14Aanvallen via onbeveiligde systemengroot
R15Uitvallen van systemen door softwarefouten, configuratiefouten en hardwarefouten.klein
R16Onvoldoende aandacht voor beveiliging bij softwareontwikkeling.groot
R17Ongeautoriseerde fysieke toegangdesastreus
R18Brand, overstroming, wateroverlast, explosie.desastreus
R19Uitval van facilitaire middelen (electra, airco).gemiddeld
R20Rampendesastreus
R21Software wordt niet meer ondersteund door de uitgever.klein
R22Kwijtraken van belangrijke kennis (bij vertrek of niet beschikbaar zijn van medewerkers).gemiddeld

6. Genomen maatregelen

Onderstaand een overzicht van genomen maatregelen op basis van in hoofdstuk 5.2 vastgestelde risico's.

6.1 Overzicht genomen maatregelen

#Maatregel
R01In de systemen die we gebruiken wordt het gebruik van bijvoorbeeld sterke wachtwoorden afgedwongen. Omdat we de systemen zelf ontwikkelen kunnen we dit soort beveiligingscontroles inbouwen en afdwingen, waardoor de gebruiker niet de zwakke schakel in het proces meer is.
R02In de algemene voorwaarden zijn clausules opgenomen waarin gebruiker er op wordt gewezen dat wij niet aansprakelijk zijn voor diefstal, verlies of geleden schade als gevolg van het, al dan niet onjuist of onveilig, gebruiken van onze diensten. Gebruiker wordt verplicht akkoord te gaan en deze voorwaarden te hebben begrepen alvorens onze diensten in gebruik genomen kunnen worden.
R03Het gebruik van Linux besturingssystemen voor al onze servers en werkstations maakt dat er een zeer kleine kans is op besmetting met malware of virussen. De gebruikte back-up structuur zorgt dat corruptie van data tot 7 dagen na de gebeurtenis terug te draaien is.
R04Alle servers en diensten worden door middel van een monitoring systeem gecontroleerd. Zodra een dienst niet of te traag reageert wordt er direct een melding naar beheerders verzonden en kan er direct actie worden ondernomen. Verder wordt de het gebruik en de restcapaciteit door onze monitoring bijgehouden en visueel gemaakt zodat er tijdig capaciteit kan worden toegevoegd.
R05Vooral de e-mailsystemen kunnen gebruikt worden om ongewenste e-mail of bulkmail (spam) te versturen. Dit misbruik zal echter door onze monitoring worden opgepikt, zie ook R04.
R06Een gebruiker dient altijd te bevestigen eigenaar te zijn van de identiteit waarmee men zich wil uiten. Anders gezegd, een gebruiker dient (via technische processen) te bewijzen eigenaar te zijn van bijvoorbeeld een domein of e-mailadres, als men dit wil gebruiken om e-mails te versturen.
R07Alle systemen waar gebruiker toegang toe krijgt zijn in de basis gesloten, m.a.w. gebruikers hebben hierin geen rechten. De rechten moeten vervolgens, per rechengroep of per persoon worden toegekend aan gebruiker.
R08Alle systemen forceren het gebruik van sterke wachtwoorden doordat de plaatsen waar wachtwoorden worden uitgegeven in eigen ontwikkeling zijn.
R09Het framework dat wordt gebruikt voor de ontwikkeling van onze applicaties, dwingt een ontwikkelmethode af die kwetsbaarheden zo veel mogelijk elimineert. Daarnaast maken we gebruik van geautomatiseerde updates, waardoor onze systemen altijd de meest recente beveiligingsupdates bevatten.
R10Gebruikte certificering maakt gebruik van de hoogst mogelijke versleuteling en wordt elke 3 maanden vervangen. Voor wachtwoorden wordt een zware versleuteling gebruikt, of gebruik gemaakt van salting, waardoor eventueel verkregen hashes moeilijk zijn terug te sleutelen.
R11Gebruikers zijn zelf verantwoordelijk voor de informatie die zij via e-mail versturen, omdat wij de inhoud van e-mails niet lezen, kunnen we onmogelijk de gevoeligheid van informatie bepalen. Wel wordt, waar mogelijk, sterke versleuteling aangeboden zodat de informatie niet onderschept kan worden (beveiligd tegen Man In The Middle (MITM) attack).
Wij versturen zelf nooit wachtwoorden of andere identiteitsgevoelige informatie via mail, briefpost of andere diensten.
R12Zie ook R11, gebruiker zou in theorie gevoelige informatie kunnen e-mailen aan een verkeerde ontvanger. Er bestaat geen technische mogelijkheid om dit te voorkomen. Wij helpen gebruiker uiteraard wel om de verzonden informatie ongeldig te maken door bijvoorbeeld het wachtwoord van een gebruiker te resetten.
R13Bedrijfsgevoelige data wordt nooit opgeslagen op draagbare media, maar in de online opslag service die wij zelf ook als dienst aabieden. Hierdoor zijn alle bestanden t.a.t. in eigen beheer. De bestandssystemen van onze werkstations zijn versleuteld waardoor de data bij diefstal onbruikbaar is. Mobiele apparatuur is zodanig ingesteld dat deze bij verlies of diefstal op afstand gewist kunnen worden.
R14Alle systemen bevinden zich achter firewalls en bevatten brute-force beveiliging waar mogelijk.
R15Onze hardwareleveranciers hebben een zeer goede reputatie waardoor storingen door hardware in de praktijk eigenlijk nooit voorkomen. Verder zijn alle systemen zo veel mogelijk redundant opgezet. Als laatste zijn onze back-ups zodanig geconfigureerd dat na zeer ernstige storingen een vervangend systeem binnen 24uu gerealiseerd kan zijn en dat het verlies bij data hierbij minimaal is.
R16Zie ook R09, alle software ontwikkeling geschiedt in ons framework. Verder zijn ontwikkelaars verplicht te ontwikkelen volgens de PHP Standards uitgegeven door php-fig, waarin Security vastgelegd is.
R17Alle gevoelige data staat op virtuele servers in een datacentrum in Amsterdam. Het datacentrum is alleen bereikbaar voor bevoegden die zich geïdentificeerd hebben en toegang ruim vooraf aangevraagd hebben.
R18Doordat er Off-Site Backups worden gemaakt naar Delft, is er bescherming tegen brand, wateroverlast en explosies. Tegen overstroming is de bescherming beperkt omdat Amsterdam en Delft relatief nabijgelegen zijn. Ondanks dat dit onder overmacht valt, laat dit onderdeel wel ruimte voor verbetering.
R19Ondanks dat dit onder overmacht valt, zijn er door leverancier in het datacemtrum faciluteiten aangebracht om kortstondige uitval van deze faciliteiten op te kunnen vangen. Verder is de impact hiervan gering, gezien deze storingen een tijdelijke aard hebben.
R20Zie R18 en R19.
R21Zo veel mogelijk van onze software wordt ontwikkeld in eigen beheer of wordt gemigreerd naar oplossingen die in eigen beheer zijn. Dragende systemen (zoals bijvoorbeeld de programmeertalen of besturingssystemen) zijn open-sourced en hebben een actieve community waardoor de kans dat deze systemen verlaten worden zeer gering is.
R22Om kwijtraken van kennis te minimalseren, worden alle handelingen omschreven in werkinstructies of installatiehandleidingen. Waar mogelijk worden deze handleidingen gepubliceerd op onze website (Knowledge Base / FAQ / Blog) zodat het publiek deze kan gebruiken en eventueel kan aanvullen. Verder worden toegangsgegevens tot systemen in wachtwoorddatabases opgeslagen, welke t.a.t. door twee personen toegankelijk zijn (deze databases zijn overigens alleen toegankelijk via een dubbele verificatie: 1) wachtwoord en 2) fysiek sleutel-bestand).

7. Residuele risico's

Onderstaand een overzicht van verschillende risico's die niet afgedekt kunnen worden door de verschillende maatregelen (restrisico's).

7.1 Overzicht restrisico's

#Restrisico
R01-
R02Alleen voor contracten die fysiek zijn ondertekend kan er bewijs worden geleverd dat er akkoord is gegaan met de Algemene Voorwaarden. Voor gebruikers die gebruik maken van gratis diensten geldt dat zij door het gebruik akkoord gaan met deze voorwaarden, maar hier is geen bewijsdata van bekend.
R03-
R04De mogelijkheid bestaat dat gebruikers ons aansprakelijk stellen voor bijvoorbeeld omzetderving als systemen onbereikbaar zijn.
R05Het gebruik van monitoring zorgt dat er vertraging zit op de reactie bij misbruik. Wanneer systemen bijvoorbeeld zouden vastleggen als een gebruiker in korte tijd grote hoeveelheden e-mailadressen toevoegt, zou dit eerder kunnen worden tegengehouden. Tevens zou het aantal transacties (bijvoorbeeld het aantal verzonden e-mails, het aantal gewijzigde bestanden) opgeslagen kunnen worden om hier vervolgens op te sturen.
R06De mogelijkheid bestaat dat gebruiker bijvoorbeeld zijn toegangsgegevens doorgeeft aan anderen. Om dit risico beter af te dekken, zou bijvoorbeeld het inlogactiviteit (vanaf welk IP-adres, wanneer en hoe vaak) tijdelijk opgeslagen moeten worden, zodat hierop gereageerd kan worden.
R07-
R08Er zou een beter toezicht moeten komen op de leeftijd van een wachtwoord, zodat gebruiker periodiek wordt geforceerd zijn wachtwoord te veranderen.
R09Ondanks de getroffen voorbereidingen, blijft de kans altijd aanwezig dat er toch ergens iets fout gaat.
R10Er wordt op sommige plaatsen gebruik gemaakt van salting in combinatie met verouderde algoritmen. Dit levert een beperkt risico op omdat eventueel verkregen hashes gemakkelijker te brute-forcen zijn. Er wordt aan gewerkt om deze algoritmen uit te faseren.
R11De De mogelijkheid bestaat dat gebruikers ons aansprakelijk stellen voor het lekken van gevoelige gegevens, omdat versleuteling van de verbinding momenteel nog optioneel is. Er wordt aan gewerkt om versleuteling verplicht te maken.
R12Zie R11.
R13Gebruikers zijn zelf verantwoordelijk voor het beveiligen van hun eigen mobiele apparaten. Een aantal van de diensten maakt het wel mogelijk om gevoelige informatie op deze apparaten te zetten. Om dit risico te verminderen wordt er zo veel mogelijk geadviseerd bij de installatieinstructies (al dan niet op de website).
R14De kans blijft altijd aanwezig dat kwaadwillenden een weg vinden om via een achterdeur binnen te komen.
R15-
R16Zodra meer ontwikkelaard bij ontwikkeling betrokken raken, neemt het risico ook toe. Op dat moment zal gekeken moeten worden of- en hoe dit risico gewaarborgd is.
R17-
R18Data kan verloren gaan omdat de back-ups fysiek in nabijheid van de bron worden opgeslagen. Dit kan verbeterd worden door de back-ups naar een verder gelegen locatie (bij voorkeur een ander land) te verplaatsen, echter zijn hier nog geen concrete plannen voor.
R19Als dit in de toekomst meermaals optreedt, zal (eventueel in overleg met hardwareleverancier), worden nagedacht hoe diensten redundant (via bijvoorbeeld externe failover) kunnen worden verbeterd.
R20Zie R18 en R19.
R21Voor sommige systemen zijn wij afhankelijk van derde leveranciers. Dit risico zal steeds kleiner worden, naarmate we deze oplossingen omzetten in eigen systemen.
R22-

7.2 Beslissing rond voorafgaande raadpleging DPA

Waar mogelijk zijn voor de restrisico's plannen gemaakt om deze alsnog sluitend te maken. Daarnaast zijn de overgebleven risico's ons inziens van zulk lage impact, dat een voorafgaande raadpleging bij de Data Protection Authority (DPA) niet nodig zal zijn.