Vragenlijst informatieveiligheid verwerkers
Augustus 2024
Brief en bijlagen aan de lokale besturen en agentschappen.
Authenticatie
Bij multifactor authenticatie (MFA) vormt het tijdelijke paswoord dat je krijgt met een authenticator app (als bijkomende factor naast een zelf gekozen paswoord of PIN-code) een extra beveiliging. Deze is echter niet sluitend. De kwestbaarheid wordt nu gebruikt door hackers die de gebruiker eerst via phishing naar een valse website leiden om in te loggen. Het tijdelijke token van de doeltoepassing/platform wordt gecapteerd.
De aanbieders van de authenticator apps zouden oplossingen aan het zoeken zijn, maar het is aan te bevelen zelf extra factoren aan de authenticatie toe te voegen zoals een geografische locatie of apparaatidentificatie. Het gebruik van de e-ID of ItsMe in plaats van de authenticator app is ook een oplossing.
Logging
Wat met auditlogs bij nieuwe leverancier
Hoe lang moeten logs bijgehouden worden?
De auditlogs bevatten ook persoonsgegevens.
Hoe lang de auditlogs moeten bijgehouden worden, moet van geval tot geval beoordeeld worden. De 10-jaringe aansprakelijkheid kan een richtlijn zijn, maar het kan zowel langer als korter zijn. Het is een proportionaliteitsbeoordeling.
Zie arrest van het Europees Hof van Justitie van 7 mei 2009(PDF bestand opent in nieuw venster)
Wie moet de logs bijhouden?
In de praktijk is dat nog vaak de oude leverancier. Het is echter aan te bevelen dat dat bij de verwerkingsverantwoordelijke gebeurt. Die kan het bewaren eventueel aan een verwerker toevertrouwen.
Bij einde contract zou er best automatisch overdracht van de auditlogs zijn. Dit is wel geen absolute regel.
Er moeten in ieder geval afspraken gemaakt worden met de leverancier. Deze worden best in de verwerkersovereenkomst opgenomen of in een exitplan bij complexere verwerkingen.