Gedaan met laden. U bevindt zich op: IT-dienst Domeinen

IT-dienst

Privé-account sociale media gebruiken in werkcontext

September 2024

Opgelet met sociale media werkaccounts die onder beheer staan van privéaccounts van medewerkers van uw organisatie. Als deze privéaccount gehackt wordt, is uw werkaccount ook onbereikbaar en manipuleerbaar en heeft de hacker zicht op de interacties die er zijn met gebruikers.

Vermijd dat werknemers privéaccounts nodig hebben voor hun werk. Als dat onvermijdelijk is, moet uw beleid inhouden dat de privéaccount even veilig is als de werkaccount. Dit kan bijvoorbeeld door middel van multifactorauthenticatie.

Vragenlijst informatieveiligheid verwerkers

Augustus 2024

Brief en bijlagen aan de lokale besturen en agentschappen.

Authenticatie

Bij multifactor authenticatie (MFA) vormt het tijdelijke paswoord dat je krijgt met een authenticator app (als bijkomende factor naast een zelf gekozen paswoord of PIN-code) een extra beveiliging. Deze is echter niet sluitend. De kwestbaarheid wordt nu gebruikt door hackers die de gebruiker eerst via phishing naar een valse website leiden om in te loggen. Het tijdelijke token van de doeltoepassing/platform wordt gecapteerd.

De aanbieders van de authenticator apps zouden oplossingen aan het zoeken zijn, maar het is aan te bevelen zelf extra factoren aan de authenticatie toe te voegen zoals een geografische locatie of apparaatidentificatie. Het gebruik van de e-ID of ItsMe in plaats van de authenticator app is ook een oplossing.

Logging

Wat met auditlogs bij nieuwe leverancier

Hoe lang moeten logs bijgehouden worden?

De auditlogs bevatten ook persoonsgegevens.
Hoe lang de auditlogs moeten bijgehouden worden, moet van geval tot geval beoordeeld worden. De 10-jaringe aansprakelijkheid kan een richtlijn zijn, maar het kan zowel langer als korter zijn. Het is een proportionaliteitsbeoordeling.
Zie arrest van het Europees Hof van Justitie van 7 mei 2009(PDF bestand opent in nieuw venster)

Wie moet de logs bijhouden?

In de praktijk is dat nog vaak de oude leverancier. Het is echter aan te bevelen dat dat bij de verwerkingsverantwoordelijke gebeurt. Die kan het bewaren eventueel aan een verwerker toevertrouwen.
Bij einde contract zou er best automatisch overdracht van de auditlogs zijn. Dit is wel geen absolute regel.
Er moeten in ieder geval afspraken gemaakt worden met de leverancier. Deze worden best in de verwerkersovereenkomst opgenomen of in een exitplan bij complexere verwerkingen.