Onder meer NOS bracht het nieuws naar buiten, dat de situatie omtrent wachtwoorden bij MediaMarkt sinds twee jaar niet verbeterd is. Zelfs voor de niet security-experts zal dit verbazingwekkend zijn. Net als elk ander krijgt ook MediaMarkt te maken met de AVG en lijkt dit een flinke kluif te gaan worden.
MediaMarkt klanten kunnen meekijken met MediaMarkt personeel, die waren ingelogd in de klantenomgeving. Ook met door verkooppersoneel ingevoerde wachtwoorden, is klaarblijkelijk mee te kijken.
AVG proof webapplicatie
Ons huidig CRM hebben we AVG-proof gemaakt; waar het reeds voldeed aan de Wbp, voldoet het ook reeds aan de aankomende AVG wetgeving. Echter, voor al bestaande software van onze hand, heb ik de data en onderscheid in type gegevens in kaart gebracht. Hierop zijn we met aanbevelingen gekomen naar onze opdrachtgevers, in terminologie van de AVG, de zogenaamde verantwoordelijke.
Inmiddels zijn er reeds technische security maatregelen getroffen om AVG proof te zijn. Hiermee zorgen we in samenwerking met de opdrachtgever dat zowel wij, onze applicatie en de opdrachtgever voldoet aan de AVG wetgeving zodra deze 25 mei 2018 van kracht wordt.
Rechten beperking
Het CRM dat we inzetten bij de bouw van webapplicaties heeft als unique selling point een flexibel rechtensysteem, waarbij gebruikers bovendien aan één of meerdere organisaties gekoppeld kunnen worden. Daarin worden functies als bijvoorbeeld klantinzage of boekingsscherm uitgerold, waar de rechten voor bijvoorbeeld verkooppersoneel beperkt kunnen worden. Hiermee voorkom je dat iemand die ongewenst over de schouder meekijkt, ineens inzage heeft in persoonsgegevens van derden.
AVG praktijk cases
Onder meer bij het omni registratie applicatie voor Nuon Sales Force hebben we technische maatregelen getroffen. Deze bestonden onder meer uit de volgende technische aanpassingen:
- Rollenverdeling vindt op Role-based Access Control (RBAC) basis plaats;
- CSRF implementatie is geupgrade voor inzet voor verschillende doeleinden;
- Two Factor authenticatie is doorgevoerd, wat vanuit het systeem verplicht gemaakt kan worden voor bepaalde gebruikersrollen (idealiter de rollen die inzage heeft in persoonsgegevens van anderen). Elk ander gebruikersrol heeft zelf de keuzevrijheid om Two Factor Authenticatie in te schakelen;
- Bijzondere persoonsgegevens, maar ook algemeen gevoelige gegevens worden gepseudonimiseerd;
- Versleuteling van wachtwoorden als ook voor het pseudonimiseren, verschilt per record/gebruiker om een kwaadwillende geen vrijbrief te geven op het moment dat één sleutel gekraakt is;
- Bij het toekennen van gebruikersrollen met inzage in persoonsgegevens, wordt om extra bevestiging gevraagd;
- Het toekennen van rechten als ook inzage in gegevens wordt gelogd, waarmee terug is te zien wie welke record/gegevens heeft ingezien en op elk moment;
Vragen omtrent AVG of implementatie mogelijkheden van AVG maatregelen? Stuur dan een mail naar karlijn op blue2blond punt nl.