Moet je van de AVG een wachtwoordresetoptie bieden?

| AE 13540 | Security | 20 reacties

jarmoluk / Pixabay

Een lezer vroeg me:

Via een kennis kwam ik te weten dat er een datalek inclusief wachtwoorden is geweest bij een site die ik al lang niet meer gebruik. Ik wilde desondanks het wachtwoord wijzigen, maar bleek dat te zijn vergeten. Tot mijn verbazing ontbrak echter de “wachtwoord vergeten” procedure. Is dat niet verplicht onder de AVG?
De AVG eist van iedere dienstverlener dat die persoonsgegevens ‘adequaat’ beschermt tegen onbevoegde toegang, misbruik en datalekken. Daar zit geen harde lijst met eisen aan vast, een verwerkingsverantwoordelijke moet zelf inschatten wat ‘adequaat’ in zijn situatie inhoudt. (Doe je dat niet of niet goed, dan krijg je een boete.)

Deel van adequate beveiliging is ook om kunnen gaan met de gevolgen van datalekken en ander problemen met wachtwoord-beveiligingen. Het kunnen veranderen van wachtwoorden is dus eigenlijk wel een vereiste. Maar hoe je dat implementeert, daar heb je echt nog steeds enige vrijheid in.

Het is logisch en laagdrempelig om een wachtwoord vergeten-optie toe te voegen, dus wat mij betreft is dat een “verplicht tenzij”: dit moet je gewoon hebben, tenzij je uit kunt leggen (en ook uit hébt gelegd in je AVG compliance documentatie*) waarom in jouw situatie zo’n resetmogelijkheid niet opgaat en wat je dan als alternatief hebt bedacht.

Ik zou zelf geen reden kunnen bedenken waarom je zonder een reset-optie wilt werken. Het alternatief is dat mensen de helpdesk moeten benaderen, maar dat duurt langer dan zelf resetten en dat is dan een langere periode waarin accounts kwetsbaar zijn. Er is natuurlijk het risico dat kwaadwillenden andermans account proberen te resetten, maar dat is hooguit overlast en daar zijn op zich ook weer genoeg maatregelen tegen.

  • Bij de AVG werkt het zo dat als je het niet vooraf bedacht en toegelicht hebt in je schriftelijke documentatie, het niet telt. Zonder documentatie ben je niet compliant, art. 5 lid 2 AVG.

Arnoud

Moet je van het AVG-vergeetrecht je backups opschonen van oude persoonsgegevens?

| AE 10935 | Privacy, Security | 15 reacties

Interessante discussie in de berichtgeving over de Bits of Freedom informatieopvraagtool, waarmee je makkelijk brieven genereert om je rechten naar bedrijven over je persoonsgegevens uit te oefenen. En dan (natuurlijk) het vergeetrecht, hoe ver gaat dat als je vraagt om vergeten te worden. Tweaker ‘RedSandro’ signaleert een specifiek probleem:

Af en toe komt het – hoewel uitzonderlijk – voor dat een bedrijf te maken heeft met dataverlies. Er wordt dan tijdelijk (onlangs github iirc) of permanent (verleden jaar gitlab iirc) een backup teruggezet. Nu ben ik benieuwd wat de wet hierover te zeggen heeft.Als klant denk ik: Ik wil ook niet meer in backups voorkomen. Dit is al dan niet een smoes die ik wel eens heb gehoord als reden waarom ik na verloop van tijd weer een nieuwsbrief ontvang nadat ik me heb uitgeschreven.

Als iemand zijn recht te worden vergeten uitoefent, dan geldt dat in principe jegens alle data die een bedrijf over hem heeft. In principe, want alleen data hoeft weg die verouderd of irrelevant is. Een vergeetverzoek op de debiteurenadministratie zal niet zo veel zin hebben dus, om eens wat te noemen.

Ben ik al jaren geen relatie meer bij een organisatie, dan heb ik ondertussen wel het recht verworven te worden vergeten. Men zal dan braaf mijn vermelding als oud-klant verwijderen, maar er zwerven vast nog backups rond van het nieuwsbriefbestand of de oudklantenadministratie. Dat is dan een probleem, want ook daar moet ik uit worden verwijderd.

In principe. Want: het doel van een backup is te zorgen dat een bedrijf weer verder kan na een catastrofe, en dat is gewoon een legitiem eigen belang onder de AVG (artikel 6 sub f) waarbij je de inhoud van de backup nodig hebt. Ook die verouderde, achterhaalde informatie over die exklant die vergeten wilde worden. Backups zijn niet ontworpen of bedoeld om individuele bestanden uit weg te halen.

Problemen ontstaan als na het herstellen van de backup die personen weer terug opduiken in de verzendlijst. Maar dat hoort niet te gebeuren. Als je een backup terugzet, lijkt het mij dat je daarmee terugkomt bij de huidige situatie. Mogelijk een dag of wat terug, maar verder niet. De bedoeling van een backup is immers terug te komen bij waar je was, zodat je weer door kunt.

Daarmee komen bij het restoren weliswaar verouderde gegevens terug, maar ook alle oude afmeldingen. Heb je dus zo’n backupprocedure, dan is er niets aan de hand. De restore zorgt er voor dat óók de afmeldingen weer gerestored worden. Althans, dat zou moeten om een AVG compliant backup strategie te hebben.

Dus nee, je hoeft je backups niet op te schonen – mits je maar zeker weet dat het terugzetten van een backup leidt tot herstel in de toestand van zo kort mogelijk voor de catastrofe. Komt je backupstrategie neer op “ik kopieer alles naar een externe disk en daarvan zet ik alles terug bij een storing” dan heb je een probleem.

Arnoud