Omnichannel MijnZaken Informatiebeveiliging en privacy


Informatiebeveiliging en privacy zijn binnen de referentiearchitectuur MijnZaken belangrijke aandachtspunten. Daarbinnen worden immers (ook) gevoelige, persoonlijke gegevens verwerkt.

De inhoud van dit hoofdstuk omvat enkele beveiligings- en privacyprincipes, maar is een eerste, theoretische uitwerking. Uiteindelijk moet op basis van pilots een meer gedetailleerde risicoanalyse worden gemaakt. Bij het maken van die nadere risicoanalyse zal gebruikgemaakt worden van de IRPA tool van de IBD zodat de analyses vastgelegd en te hergebruiken zijn door gemeenten die met MijnZaken aan de slag gaan.

Uitgangspunten[bewerken]

De volgende uitgangspunten gelden in generieke zin bij de implementatie van MijnZaken:

  • Burgers, bedrijven of instellingen zien alleen ‘eigen’ gegevens of gegevens waarvoor zij gemachtigd zijn;
  • De privacy van de medewerkers van organisaties moet gewaarborgd zijn;
  • Medewerkers van organisaties verwerken alleen die gegevens waarmee een doelbinding is;
  • Alleen de juiste gegevens worden verwerkt en getoond.

Grootste risico’s van MijnZaken[bewerken]

Op basis van hetgeen in deze referentiearchitectuur is beschreven, is een ruwe schatting te maken van dreigingen en risico’s om rekening mee te houden. In willekeurige volgorde zijn dit:

  • Er worden onjuiste gegevens verstrekt. Dit kunnen niet-integere gegevens (bronsysteem) zijn of door het gebruik van een verkeerde koppeling;
  • Gegevens of informatie wordt aan verkeerde mensen verstrekt (burgers, ambtenaren en ketenpartijen). Bijvoorbeeld door onjuiste authenticatie of autorisatie;
  • De informatiesystemen die de gegevens moeten verwerken/verstrekken zijn niet beschikbaar. Mogelijk raken dan andere kanalen overbelast;
  • Er wordt te weinig informatie verstrekt waardoor alsnog aanvullende vragen worden gesteld;
  • Er wordt teveel informatie verstrekt. Dit kan bijvoorbeeld gebeuren doordat:
    • In het kader van doelbinding teveel gegevens aan medewerkers worden getoond;
    • Informatie wordt niet goed gefilterd;
  • In het geval van eHerkenning het niet kunnen loggen op persoon maar op organisatie, waardoor niet duidelijk is wie wat heeft ingezien;
  • MijnZaken is door middel van een API gateway vanaf het internet direct beschikbaar. Er bestaat een risico is dat derden toegang krijgen tot gegevens waar ze niet bij mogen.

Maatregelen en componenten[bewerken]

De volgende maatregelen kunnen of moeten genomen worden om de risico’s weg te nemen of te minimaliseren:

  • Autoriseren op zaakniveau / gegevens- en attribuutniveau / afnemer, onafhankelijk van kanaal;
  • Zorgdragen dat op basis van autorisatie onderscheid kan worden gemaakt tussen inzage in “dat”- (inhoud) en “wat”- (procesverloop)-informatie;
  • Er moeten beschikbaarheidsmaatregelen genomen worden zodat uitval van een informatiesysteem wordt beperkt;
  • Er moet vastgelegd worden welke persoon welke gegevens op welk moment heeft ingezien;
  • Het moet duidelijk gepubliceerd of gecommuniceerd zijn waar een burger, bedrijf of instelling terecht kan als er verstoringen bij het ophalen van gegevens worden geconstateerd;
  • Veilig ontwikkelen/hanteren ontwikkelstandaarden;
  • Tijdens en na het implementeren van (aanpassingen aan) de componenten worden testen uitgevoerd om de veiligheid en privacy te waarborgen (dit betreft ook pentesten);
  • MijnZaken is internet facing middels een API gateway, dit betekent dat maatregelen goed ingeregeld moet worden om geen afbreuk te doen aan beveiliging;
  • Er is gedegen documentatie beschikbaar waarin is beschreven hoe de informatievoorziening is geïmplementeerd en welke beveiligings- en privacymaatregelen getroffen zijn;
  • Voor iedere MijnZaken-implementatie wordt een IRPA analyse uitgevoerd.

VNG Realisatie start eind 2021 met het uitwerken van een architectuur die beschrijft hoe IAM-functionaliteit er in een gegevenslandschap uit moet zien. De hieruit voortkomende principes en architectuur gaan in op het veilig ontsluiten van gegevens via API’s. Zodra deze uitwerking beschikbaar is, wordt een verwijzing hiernaar in deze referentiearchitectuur opgenomen.

Verwerkingsregister en verwerkingenlogging[bewerken]

Eén van de genoemde risico’s is het verstrekken van teveel gegevens aan een medewerker. Dit kan gebeuren als niet duidelijk is met welke doelbinding de gegevens opgevraagd mogen worden. Organisaties zijn volgens Artikel 30 lid 1 AVG verplicht om een verwerkingsregister bij te houden. In een verwerkingsregister is o.a. vastgelegd:

  • contactgegevens, bestaande uit:
    1. uw naam en contactgegevens;
    2. de naam en contactgegevens van partijen waarmee u gezamenlijke verwerkingsverantwoordelijke bent;
    3. de contactgegevens van de functionaris voor gegevensbescherming (FG);
  • de verwerkingsdoeleinden;
  • de categorieën van betrokkenen en categorieën van persoonsgegevens;
  • de categorieën van ontvangers;
  • eventuele doorgiften van persoonsgegevens aan derde land of internationale organisatie;
  • indien mogelijk, de bewaartermijnen;
  • indien mogelijk, de beveiligingsmaatregelen.

De Informatiebeveiligingsdienst (IBD) heeft een handreiking geschreven hoe om te gaan met deze verplichting. Ook is er een vooringevuld verwerkingsregister beschikbaar gesteld.

Een aanvullende maatregel hierop is het vastleggen van de verwerkingsacties die op persoonsgegevens zijn uitgevoerd. Elke component die persoonsgegevens afneemt of aanbiedt, moet deze verwerkingsactie vastleggen. Het vastleggen gebeurt in een verwerkingenloggingregister. Door VNG Realisatie is de Verwerkingenlogging API-standaard ontwikkeld als onderdeel van de GEMMA referentiearchitectuur. Deze API-standaard biedt leveranciers van informatiesystemen gestandaardiseerde API-specificaties voor het vastleggen en ontsluiten van de logging van verwerkingen.

In deze referentiearchitectuur is daarom de referentiecomponent Verwerkingenloggingregister en bijhorende Verwerkingenlogging API opgenomen.

Onderstaande afbeeldingen zijn afkomstig uit de referentiearchitectuur Verwerkingenloggingregister en illustreren de relatie en afhankelijkheden tussen de relevante referentiecomponenten.

Register voor het centraal vastleggen van gegevens over de activiteiten die gebruikers uitvoeren met vertrouwelijke gegevens. (ApplicationComponent) Verwerkingenloggingregister API voor het loggen, opvragen, wijzigingen en verwijderen van verwerkingsacties (ApplicationInterface) Verwerkingenlogging Bewerking API ApplicationComponent Gegevensregister Als een Gegevensregister gegevens bewerkt in opdracht van een Procesapplicatie, worden de waarden van de attributen uit de HTTP header van de aangeroepen API overgenomen en verwerkt in de payload van de Verwerkingenlogging Bewerrking API. Onderstaande attributen uit de HTTP header worden overgenomen in de attributen van de Verwerkingenlogging Bewerking API. * Het OIN in het attribuut Afnemer. * Het UUID van de verwerkingsactiviteit in het attribuut Verwerkingsactiviteit ID afnemer. * De URL van de verwerkingsactiviteit in het attribuut Verwerkingsactiviteit URL afnemer. * Het UUID van de verwerking in het attribuut Verwerking ID afnemer. * De vertrouwelijkheid en bewaartermijn in hun gelijknamige attributen. (ApplicationFunction) Vastleggen verwerkingsactie ApplicationProcess Opvragen doelbinding ApplicationProcess Vastleggen verwerkingsactiviteit ApplicationFunction Opvragen doelbinding ApplicationEvent Verzoek bewerken registergegevens ApplicationProcess Bewerken registergegevens DataObject Registergegevens ApplicationFunction Bewerken registergegevens ApplicationEvent Registergegevens bewerkt Aanname is dat de gemeente beschikt over een verwerkingsactiviteitenregister (VAR). In dit register zijn alle verwerkingsactiviteiten voorzien van een wereldwijd uniek nummer, een zogenaamde ‘Universal Unique Identifier’ afgekort UUID. Niet alle verwrkingsactiviteiten hoeven van belang te zijn voor de verwerking van persoonsgegevens in een specifieke procesapplicatie. Het ligt dan ook voor de hand dat een deel van het VAR wordt overgenomen naar de procesapplicatie. De verwerkingsactiviteten kunnen dan gekoppeld worden aan specifieke fionctionele uitvoeringstaken binnen de procesapplicatie. De combinatie van een specifieke verwerkingsactiviteit en een specifieke bewerkingsfunctionaliteit binnen de procesapplicatie wordt een doelbinding genoemd. Dit dataobject bevat de geregistreerde doelbindingen. (DataObject) Doelbinding Bij de provider wordt deze informatie bij verwerkingenlogging opgenomen in de volgende attributen: * Het OIN in het attribuut Afnemer. * Het UUID van de verwerkingsactiviteit in het attribuut Verwerkingsactiviteit ID afnemer. * De URL van de verwerkingsactiviteit in het attribuut Verwerkingsactiviteit URL afnemer. * Het UUID van de verwerking in het attribuut Verwerking ID afnemer. * De vertrouwelijkheid en bewaartermijn in hun gelijknamige attributen. (ApplicationFunction) Overnemen HTTP headers ApplicationInterface Gegevensregister API Als een consumer een provider gaat bevragen, moet de provider de eigen acties ook vastleggen in de Verwerkingenloggingcomponent. De verantwoording voor het uitvoeren van de actie door de provider wordt door de consumer meegegeven in de HTTP header van de aangeroepen Gegevensregister API . De waarden van die attributen worden dan later door de provider vastgelegd in de Verwerkingenloggingcomponent. Deze informatie wordt in de HTTP header van het bericht meegegeven en dus niet in de payload. De HTTP header omvat de volgende velden: * Het OIN van de consumer. * Het UUID van de verwerkingsactiviteit die bij de consumer de verwerking rechtvaardigt. * De URL van de verwerkingsactiviteit die bij de consumer de verwerking rechtvaardigt. * Het UUID van de verwerking die bij de consumer de reden is om de API aan te roepen. * De vertrouwelijkheid van de verwerking van de consumer. * De bewaartermijn van de verwerking van de consumer. (DataObject) HTTP header Verwerkingenlogging Abstract verzamelcomponent voor procesondersteunende systemen die zaakgericht zijn ingericht. (ApplicationComponent) Procesondersteunende component (abstract component) ApplicationEvent Bewerken gegevens ApplicationProcess Opvragen doelbinding ApplicationFunction Opvragen doelbinding Aanname is dat de gemeente beschikt over een verwerkingsactiviteitenregister (VAR). In dit register zijn alle verwerkingsactiviteiten voorzien van een wereldwijd uniek nummer, een zogenaamde ‘Universal Unique Identifier’ afgekort UUID. Niet alle verwrkingsactiviteiten hoeven van belang te zijn voor de verwerking van persoonsgegevens in een specifieke procesapplicatie. Het ligt dan ook voor de hand dat een deel van het VAR wordt overgenomen naar de procesapplicatie. De verwerkingsactiviteten kunnen dan gekoppeld worden aan specifieke fionctionele uitvoeringstaken binnen de procesapplicatie. De combinatie van een specifieke verwerkingsactiviteit en een specifieke bewerkingsfunctionaliteit binnen de procesapplicatie wordt een doelbinding genoemd. Dit dataobject bevat de geregistreerde doelbindingen. (DataObject) Doelbinding ApplicationProcess Vastleggen verwerkingsactiviteit ApplicationProcess Bewerken gegevens Als een Gegevensregister gegevens bewerkt in opdracht van een Procesapplicatie, worden de waarden van de attributen uit de HTTP header van de aangeroepen API overgenomen en verwerkt in de payload van de Verwerkingenlogging Bewerrking API. Onderstaande attributen uit de HTTP header worden overgenomen in de attributen van de Verwerkingenlogging Bewerking API. * Het OIN in het attribuut Afnemer. * Het UUID van de verwerkingsactiviteit in het attribuut Verwerkingsactiviteit ID afnemer. * De URL van de verwerkingsactiviteit in het attribuut Verwerkingsactiviteit URL afnemer. * Het UUID van de verwerking in het attribuut Verwerking ID afnemer. * De vertrouwelijkheid en bewaartermijn in hun gelijknamige attributen. (ApplicationFunction) Vastleggen verwerkingsactie Als een Procesapplicatie de Gegevensregister API van de Gegevensregister aanroept, wordt onderstaande informatie meegegeven in de HTTP header van het bericht: * Het OIN van de consumer. * Het UUID van de verwerkingsactiviteit die bij de consumer de verwerking rechtvaardigt. * De URL van de verwerkingsactiviteit die bij de consumer de verwerking rechtvaardigt. * Het UUID van de verwerking die bij de consumer de reden is om de API aan te roepen. * De vertrouwelijkheid van de verwerking van de consumer. * De bewaartermijn van de verwerking van de consumer. * Deze informatie wordt in de header van het bericht meegegeven en dus niet in de payload. (ApplicationFunction) Bewerken gegevens ApplicationEvent Gegevens bewerkt ServingRelationship ServingRelationship ServingRelationship TriggeringRelationship TriggeringRelationship ServingRelationship AccessRelationship R TriggeringRelationship TriggeringRelationship AccessRelationship RW ServingRelationship ServingRelationship ServingRelationship TriggeringRelationship TriggeringRelationship AccessRelationship R ServingRelationship TriggeringRelationship TriggeringRelationship ServingRelationship ServingRelationship AssociationRelationship Deze svg is op 19-04-2023 18:46:53 CEST gegenereerd door ArchiMedes™ © 2016-2023 ArchiXL. ArchiMedes 19-04-2023 18:46:53 CEST

Figuur 16:Interactiediagram waarbij een dienstenafnemer gegevens opvraagt bij een dienstenaanbieder (uit model: Logging en verwerkingen) - Toon SVG - Download als csv


Register voor het centraal vastleggen van gegevens over de activiteiten die gebruikers uitvoeren met vertrouwelijke gegevens. (ApplicationComponent) Verwerkingenloggingregister API voor het loggen, opvragen, wijzigingen en verwijderen van verwerkingsacties (ApplicationInterface) Verwerkingenlogging Bewerking API Abstract verzamelcomponent voor procesondersteunende systemen die zaakgericht zijn ingericht. (ApplicationComponent) Procesondersteunende component (abstract component) ApplicationProcess Opvragen doelbinding ApplicationFunction Opvragen doelbinding Aanname is dat de gemeente beschikt over een verwerkingsactiviteitenregister (VAR). In dit register zijn alle verwerkingsactiviteiten voorzien van een wereldwijd uniek nummer, een zogenaamde ‘Universal Unique Identifier’ afgekort UUID. Niet alle verwrkingsactiviteiten hoeven van belang te zijn voor de verwerking van persoonsgegevens in een specifieke procesapplicatie. Het ligt dan ook voor de hand dat een deel van het VAR wordt overgenomen naar de procesapplicatie. De verwerkingsactiviteten kunnen dan gekoppeld worden aan specifieke fionctionele uitvoeringstaken binnen de procesapplicatie. De combinatie van een specifieke verwerkingsactiviteit en een specifieke bewerkingsfunctionaliteit binnen de procesapplicatie wordt een doelbinding genoemd. Dit dataobject bevat de geregistreerde doelbindingen. (DataObject) Doelbinding ApplicationProcess Vastleggen verwerkingsactiviteit Als een Gegevensregister gegevens bewerkt in opdracht van een Procesapplicatie, worden de waarden van de attributen uit de HTTP header van de aangeroepen API overgenomen en verwerkt in de payload van de Verwerkingenlogging Bewerrking API. Onderstaande attributen uit de HTTP header worden overgenomen in de attributen van de Verwerkingenlogging Bewerking API. * Het OIN in het attribuut Afnemer. * Het UUID van de verwerkingsactiviteit in het attribuut Verwerkingsactiviteit ID afnemer. * De URL van de verwerkingsactiviteit in het attribuut Verwerkingsactiviteit URL afnemer. * Het UUID van de verwerking in het attribuut Verwerking ID afnemer. * De vertrouwelijkheid en bewaartermijn in hun gelijknamige attributen. (ApplicationFunction) Vastleggen verwerkingsactie ApplicationEvent Loggegevens opvragen ApplicationEvent Loggegevens opgevraagd ApplicationProcess Opvragen loggegevens ApplicationFunction Opvragen loggegevens Register voor het centraal vastleggen van gegevens over de activiteiten die gebruikers uitvoeren met vertrouwelijke gegevens. (ApplicationComponent) Verwerkingenloggingregister API voor het opvragen van verwerkingsacties (ApplicationInterface) Verwerkingenlogging Inzage API Deze functie is een verzameling van meerdere functies die betrekking hebben op het opvragen een verwerkingsacties. Afhankelijk van de gewenste set aan gegevens wordt een specifieke functie gebruikt. Bij de functies 'Opvragen Verwerkingsacties - Alle velden, niet vertrouwelijk', de functie 'Opvragen Verwerkingsacties - Alle velden, vertrouwelijk' en de functie 'Opvragen Verwerkingsacties - Alle velden, vertrouwelijkheid opgeheven' worden alle velden teruggeven. Alleen een bevoegde functionaris zoals bijvoorbeeld een behandelend ambtenaar of een Privacy Officer zou hiervoor geautoriseerd mogen worden. De ‘niet vertrouwelijke’ functie retourneert alleen verwerkingsacties over verwerkingen die niet vertrouwelijk zijn en die dit ook nooit geweest zijn. De ‘vertrouwelijkheid opgeheven’ functie retourneert ook verwerkingsacties die ooit vertrouwelijk geweest zijn. Verwerkingsacties acties die ooit vertrouwelijk waren, moet ook na het opheffen van die vertrouwelijkheid vaak gezien worden als ‘bijzondere persoonsgegevens’. Denk aan een fraudeonderzoek. Zelfs als een dergelijk onderzoek uiteindelijk niets opgeleverd heeft, kan het aantreffen van verwerkingsacties over een onderzoek leiden tot een vooroordeel. Ook deze functies mogen dus alleen door bevoegde functionarissen zoals Privacy Officers of door de betrokkenen zelf gebruikt worden. (ApplicationFunction) Opvragen verwerkingenlogging ApplicationProcess Controleren autorisatie ApplicationEvent Verzoek opvragen log ApplicationEvent Opvragen log gereed ApplicationProcess Opvragen log * De functie retourneert alle verwerkingsacties die over de opgegeven persoon gelogd zijn in de opgevraagde periode. * De functie retourneert alleen actuele verwerkingsacties. Er worden geen historische of vervallen verwerkingsacties geretourneerd. * Indien een verwerkingsactiviteit opgegeven is worden alleen verwerkingsacties geretourneerd die onder deze verwerkingsactiviteit gelogd zijn. * De functie retourneert ook verwerkingsacties die vertrouwelijk waren. * De attributen Systeem, Gebruiker en Gegevensbron worden niet geretourneerd. (ApplicationFunction) Opvragen Verwerkingsacties – Beperkte set velden, niet vertrouwelijk, vertrouwelijkheid opgeheven Bij de provider wordt deze informatie bij verwerkingenlogging opgenomen in de volgende attributen: * Het OIN in het attribuut Afnemer. * Het UUID van de verwerkingsactiviteit in het attribuut Verwerkingsactiviteit ID afnemer. * De URL van de verwerkingsactiviteit in het attribuut Verwerkingsactiviteit URL afnemer. * Het UUID van de verwerking in het attribuut Verwerking ID afnemer. * De vertrouwelijkheid en bewaartermijn in hun gelijknamige attributen. (ApplicationFunction) Overnemen HTTP headers ApplicationProcess Loggen verwerkingsactie Een verwerkingsactie is een operatie die wordt uitgevoerd door een geautomatiseerd systeem waarbij er (persoons)gegevens verwerkt worden. Een verwerkingsactie wordt uitgevoerd als onderdeel van (een handeling van) een verwerking. Het dataobject Verwerkingsacties bevast de registraties van de verwerkingsacties. (DataObject) Verwerkingacties Deze functie is een verzameling van meerdere functies die betrekking hebben op het vastleggen van een verwerkingsactie. Voor het vastleggen van verwerkingsacties die geen autorisatie vereisen, wordt de functie 'log verwerkingsactie' gebruikt. Voor verwerkingsacties die wel autorisatie vereisen, wordt de functie 'Log vertrouwelijke verwerkingsactie' gebruikt. (ApplicationFunction) Loggen verwerkingenlogging Als een consumer een provider gaat bevragen, moet de provider de eigen acties ook vastleggen in de Verwerkingenloggingcomponent. De verantwoording voor het uitvoeren van de actie door de provider wordt door de consumer meegegeven in de HTTP header van de aangeroepen Gegevensregister API . De waarden van die attributen worden dan later door de provider vastgelegd in de Verwerkingenloggingcomponent. Deze informatie wordt in de HTTP header van het bericht meegegeven en dus niet in de payload. De HTTP header omvat de volgende velden: * Het OIN van de consumer. * Het UUID van de verwerkingsactiviteit die bij de consumer de verwerking rechtvaardigt. * De URL van de verwerkingsactiviteit die bij de consumer de verwerking rechtvaardigt. * Het UUID van de verwerking die bij de consumer de reden is om de API aan te roepen. * De vertrouwelijkheid van de verwerking van de consumer. * De bewaartermijn van de verwerking van de consumer. (DataObject) HTTP header Verwerkingenlogging ServingRelationship TriggeringRelationship AccessRelationship R ServingRelationship TriggeringRelationship ServingRelationship TriggeringRelationship TriggeringRelationship ServingRelationship ServingRelationship TriggeringRelationship Niet geautoriseerd TriggeringRelationship Geautoriseerd TriggeringRelationship TriggeringRelationship ServingRelationship AccessRelationship R ServingRelationship TriggeringRelationship Verwerkingsa- ctie niet gelogd TriggeringRelationship Verwerkingsa- ctie gelogd ServingRelationship AssociationRelationship Deze svg is op 19-04-2023 18:46:54 CEST gegenereerd door ArchiMedes™ © 2016-2023 ArchiXL. ArchiMedes 19-04-2023 18:46:54 CEST

Interactiediagram waarbij loggegevens worden opgevraagd uit het verwerkingenloggingregister (uit model: Logging en verwerkingen) - Toon SVG - Download als csv

Deze pagina is het laatst bewerkt op 9 aug 2023 om 02:01.