Gaarne ontvang ik input op dit concept dat ik in de loop van de dag via een webform (andere manier van melden kent de site niet) wil gaan sturen naar een site die wel op heel bizarre manier met privacy om gaat:
Als curator van iemand met een verstandelijke beperking in uw regio is het ondermeer mijn taak om te waken over zijn privacy.
Ik wilde zijn gegevens controleren die bij jullie geregistreerd staan en heb daarvoor een nieuw wachtwoord aangevraagd via de optie “Wachtwoord vergeten” op jullie site. Ik was geschokt toen ik merkte dat u het oorspronkelijke wachtwoord terugmailde.
Dit betekent dat u de wachtwoorden van uw klanten opslaat op een manier die te herleiden is tot het oorspronkelijke wachtwoord, een prio 1-security-issue!
Dat is een schending van de beginselen van beveiliging: zodra er op uw server wordt ingebroken, liggen eenvoudig alle persoonlijke gegevens in 1x op straat, zoals
– volledige adresgegevens;
– geboortedatum;
– BSN;
– inkomengegevens van het huidige jaar;
– bankrekeningnummer.Dit zijn voldoende gegevens om een zeer geslaagde identiteitsfraude te kunnen uitvoeren, en naar mijn idee veel meer gegevens dan u in uw persoonsregister zou moeten bijhouden.
In de pers zijn afgelopen tijd voldoende van deze gevallen verschenen. Ze staan bekend als “plain text offenders” een vorm van publiciteit die als zeer onprettig wordt ervaren.
Ik geef u tot en met maandag 23 juli 18:00 West-Europese zomertijd de tijd om telefonisch en per email aan mij te melden dat en hoe u dit heeft opgelost en instaat voor de veiligheid van de gegevens van inschrijvers op uw site.
Onder oplossen versta ik dat u:
– geen wachtwoorden bewaart op een manier waarmee de oorspronkelijke wachtwoorden kunnen worden gegenereerd;
– in plaats daarvan op een deugdelijke manier – met juiste salting – een hash van de wachtwoorden opslaat;
– bij “vergeten wachtwoord” een éénmalig tijdelijk wachtwoord afgeeft dat voor een beperkte duur gebruikt kan worden om een veilig wachtwoord te kiezenMocht het daarna niet zijn opgelost, dan meld ik dit bij de autoriteiten die gaan over privacy en persoonsgegevens.
Die zullen ongetwijfeld in hun onderzoek mee laten wegen dat u geen verplichte wettelijke informatie (zoals KvK en telefoonnummer) op uw website voert (waarmee nu dus niet te herleiden is wie eindverantwoordelijk is voor deze site).Met vriendelijke groet,
Jeroen Pluimers
Bij voorbaat dank!
De site schaart zich met bijvoorbeeld MyVodafone tot de Plain Text Offenders, niet echt handig met persoonlijke informatie.
–jeroen