Wat de gegevens buiten Freedom betreft kan ik niet beantwoorden. Je kunt hier vinden met welke partij we wat delen:
De klantgegevens zitten bij ons in een systeem dat is gebouwd op basis van een framework. Dat framework bepaalt voor het overgrote deel de ontwerpbeslissingen. Bij goed gebruik is het een bijzonder veilig en vaak ge-audit framework. Standaard is het beveiligd tegen zaken zoals SQL injection, cross-site scripting en cross-site request forgery.
De interne web-interface heeft, in elk geval voor mij, geen bulk-export mogelijkheden.
Het systeem houdt alle relevante acties bij. Ook dat is een module van het framework. Het is dus te zien wanneer en welke gegevens Ariën van Larry heeft opgevraagd en/of heeft gewijzigd.
Maar we gaan niet zover dat we alle acties gelijk en simultaan op twee lijn-printers uit printen. Om vervolgens elke dag de pakken kettingpapier op twee verschillende plekken in het land te archiveren.
Er valt er best nog wel het nodige te verbeteren. Dat weten we ook wel. Hoog op mijn lange lange lijst lijst van ideeën staat inderdaad anomalie-detectie op de onderliggende database; zodat we bij ongewone activiteit een alarm krijgen. En daarna is er vast nog wel meer te verbeteren. Dat houdt pas op als het bedrijf ophoudt.
Belangrijkste is dat er een alert/open/bewuste cultuur is; mensen als team over elkaar mogen waken en iets ter discussie stellen bedoeld is om met elkaar dingen te (ver)beteren of van te kunnen leren.
Met de jaeren heb ik wel een houding dat ik zo min mogelijk toegang wil kunnen hebben tot onnodige data of toevallige runtime mogelijkheden. Voorkomt ook ongemakkelijke situaties die een ander wellicht tot taak heeft.
FWIW: Gegevensverwerkers | Freedom
… Soverin versleutelt alle mailboxen, waardoor niemand eenvoudig kan meekijken in je mailbox.
Gedestilleerd vanuit een eigen observatie, lijkt Soverin haar omgeving aan te sturen via UUID’s zodat daarmee een directe klant/naam cq gekoppeld aan personen; moeilijker is te relateren. Dit heeft ook voordelen dat bv een mailbox of data - sec technisch en los van eventuele faciliteit - het relatief eenvoudig als pointer is over te dragen naar een nieuwe beheerder of andere houder. Wellicht/mogelijk geldt die inrichting ook voor de inrichting van authenticatie en autorisatie(regels).
Waarom/waarvoor Soverin (zo lijkt het) “moet” beschikken over een huisadres voor haar verwerking, is dan ergens een detailvraag.
Het mobiele telefoonnummer is zwiw (optioneel) om zelf eventueel een recoveractie (supercode) mee te kunnen authenticeren.
De samenwerking en het delen van alle Freedom data met TriNed vind ik een lastige, laat staan de financiële administratie zover die mij als klant betreft. Het delen daarvan zou wmb aan een gebruiker moeten zijn (als opt-out). Dat iemand van TriNed in de rol van/als Freedom medewerker (en separaat userid) dan toegang heeft, is een andere situatie.
Strikt juridisch vraag ik mij af waar een “bevoegde instantie” een tap- of inkijkverzoek neerlegt? Is dat via Freedom of rechtstreeks waar de verwerking van “data” fysiek is uitbesteed (dus buiten medeweten van Freedom) ?
De onderstaande vraag kan ik beantwoorden. Van alle andere zaken die je opbrengt heb ik ook geen idee. Goede vragen wel.
Die komen via NBIP* binnen, na toetsing door NBIP worden aan ons beschikbaar gesteld en voldoen wij aan hetgeen van ons wordt verlangt. Wat dat betreft gaat dus niets buiten Freedom om en maken we gebruik van de expertise van NBIP.
Belangrijkste is dat er een alert/open/bewuste cultuur is; mensen als team over elkaar mogen waken en iets ter discussie stellen bedoeld is om met elkaar dingen te (ver)beteren of van te kunnen leren.