Q&A Veiligheid

Vraag Antwoord Bron
Hoi, waarom moet ik elke dag/keer als ik inlog een nieuw wachtwoord ontvangen. Of is dit per werkgever verschillend? Bedankt alvast. Dit is inderdaad geen functionaliteit van Suwinet-Inkijk zelf. Deze vraag kun je het beste bij je eigen applicatiebeheer/helpdesk neerleggen.  
I.v.m. thuiswerken (meer risico m.b.t. meekijken) zouden wij  (CAK) graag zien dat de time-out van Suwinet inkijk van 45 minuten naar 10 minuten gaat. In ieder geval is 45 minuten erg lang. Is hier en mouw aan te passen? Deze time-out is vastgesteld binnen de keten. De time-out van de PC (schermbeveilig) kan natuurlijk korter worden ingesteld. Dit kan door de eigen organisatie gedaan worden.
CAK heeft hier overigens een wijzigingsverzoek voor ingediend. Onderzoek loopt of dit apart voor een partij is in te stellen.
 
Is er een GEB (DPIA) geschreven over Suwinet ? Nu worden de afnemers gevraagd om de risico's met betrekking tot het gebruik van Suwinet in GEB's op te nemen. Het zou veel efficiënter zijn als wij zouden kunnen refereren aan en gebruik maken van een centraal opgesteld rapport waarin de verwerking, maar ook risico's en maatregelen  (ook technisch) wordt beschreven.  De vraag is dus is er een GEB Suwinet? Op dit moment is er nog geen GEB/PIA voor Suwinet-Inkijk  
Is er een mogelijkheid om de inlogtijd te verruimen?  Met name als je er even niet in gewerkt hebt, wordt je er op vrij korte termijn weer uitgegooid. Is dit een mogelijkheid? Afspraak is dat er na een inactieve periode van 45 minuten automatisch wordt uitgelogd. Dat is een ketenafspraak. Sommige organisaties hebben zelf een kortere periode ingesteld, vooral bij federatief inloggen. Je kunt bij de eigen organisatie een verzoek indienen met de vraag of de tijd verruimt kan worden.  
Logging is op dit moment een actueel onderwerp i.r.t. log4j / datalek. Misschien een zijstap, maar kunnen jullie hier iets over zeggen? Onze Suwinet Services en BVV Services maken gebruik van een andere versie van Log4J waarop deze kwetsbaarheid niet van toepassing is. Daarnaast kent de omgeving waarin onze Services draaien andere mitigerende maatregelen die de kans op misbruik aanzienlijk verkleinen.

Op basis van deze analyse zien wij op dit moment geen risico voor onze afnemers in het gebruik van Suwinet Services en BVV Services. 
 
Waarom is er gekozen voor de nieuwe welkomspagina? Voorheen kon je direct de persoonsgegevens inzien, wat volgens mij prettiger werkt. In de oude sitiuatie werden er direct gegevens van de opgevraagde BSN getoond, terwijl de gebruiker die op dat moment niet nodig had. Vanwege de proportionaliteit is ervoor gekozen een welkomstpagina toe te voegen, zodat de gebruiker alleen de gegevens ziet waarvan het tabblad expliciet aangeklikt wordt.  
Waarom is er nog geen 2-factor authenticatie verplicht? Op dit moment is er op basis van het risicoprofiel nog geen 2 factor authenticatie vereist.
We zijn wel in gesprek met de ketenpartners om dit in de toekomst beschikbaar te stellen.
 
Wat gebeurt er wanneer iemand een BSN nummer raadpleegt die eigenlijk niet geraadpleegd mag worden? Een organisatie kan ook gebruik maken van een lijst BSN's die in behandeling is van die organisatie (Whitelist) en dus bevraagd kunnen worden.
Suwinet-Inkijk registreert alle raadplegingen. Gemandateerden en security officers ontvangen rapportages met deze raadplegingen. Op basis daarvan kunnen zij vaststellen of een raadpleging gerechtvaardigd was. Welke sancties volgen wanneer dit niet het geval is, bepaalt elke organisatie zelf.
 
Worden Suwinet gebruikers op BSN geregistreerd? Nee, gebruikers hebben een eigen gebruikersID, toegekend door de eigen gebruikersadministratie. Hun BSN is binnen Suwinet niet nodig en niet bekend.
De door de gebruiker geraadpleegde BSN's in combinatie met de geraadpleegde pagina's wordt wel geregistreerd (logging) onder de gebruikersID ten behoeve van rapportage en verantwoording