Privacy van mijn kind en digiDUIF / 2015-01-10

2015-01-10 Privacy van mijn kind en digiDUIF 4 years ago
Als ouder van een kind wat ondertussen op de basisschool zit krijg ik ook te maken met een aanwas van nieuwe plekken waar gegevens over dat kind opgeslagen worden. Tegelijkertijd ben in mijn werk uiterst kritisch over contracten die afgesloten worden met bedrijven die gegevens van mijn werkgever verwerken. De recente privacy-rel rond basispoort geeft ook aan dat dit nieuw terrein is waar nog grote fouten gemaakt kunnen worden.

Recent kreeg ik een uitnodiging om een account aan te maken op digiDUIF met als omschrijving van de school
Communicatie tussen u en ons vinden wij belangrijk. Daarbij is ons doel u zo goed mogelijk te informeren over de verschillende activiteiten van onze organisatie. Om dit te realiseren, maken wij gebruik van digiDUIF waarmee wij u via e-mail, SMS en pushberichten (via de youConnect apps) snel, direct en betrouwbaar kunnen bereiken.
En daarbij een uitleg hoe aan te melden bij digiDUIF.

Als eerste valt op dat je per persoon geacht wordt een account aan te maken bij digiDUIF en dan per account die kan koppelen aan een of meerdere kinderen bij een of meerdere instellingen die digiDUIF gebruiken.

Het Privacy statement van digiDOO is redelijk. Pluspunt is (in vergelijking met Basispoort) natuurlijk:
digiDOO zal de gegevens van de gebruikers niet aan derden ter beschikking stellen (zoals bijvoorbeeld voor marketingdoeleinden), anders dan wanneer dit noodzakelijk is ter uitvoering van de dienst.
Waarbij 'noodzakelijk is ter uitvoering van de dienst' natuurlijk weer negatief uitgelegd kan worden.

Wel mis ik een aantal dingen in het privacy statement:
  • Wat doen ze bij een gegevensvordering van de overheid
  • Of en hoe ze de gegevens beschermen tegen ongewenste inzage. Het enige is een verwijzing naar de wet bescherming persoonsgegevens
Maar dan wil ik een account aanmaken. Het proces is wat raar: eerst moet ik E-mail adres en wachtwoord ingeven, en pas als het e-mail adres gecontroleerd is moet ik de verdere persoonsgegevens invullen en het eens zijn met de account voorwaarden die ik ook alleen op dat moment kan zien. Hier ben ik niet echt van gecharmeerd.

Ook weer de belachelijke 'Geheime vraag' waarmee volgens mij vooral de onveiligheid van de account versterkt wordt. Ik behandel zo'n 'Geheime vraag' net als de vraag om een wachtwoord en het is dus ook iets uit pwgen -s.

Na het verdergaan met de activeringslink moet ik eerst de persoonsgegevens invullen (naam, adres, woonplaats, telefoonnummer(s)) en pas daarna kan ik de accountvoorwaarden zien volgens welke deze verwerkt worden. Maar als ik persoonsgegevens niet invul kan ik niet eens naar dat scherm.

In ieder geval wil ik helemaal niet als gebruiker van de dienst het eens of oneens zijn met accountvoorwaarden: de school heeft een contract met deze leverancier en die moet correcte accountvoorwaarden afspreken en zorgen dat de Nederlandse wet wordt toegepast door dit bedrijf wat in opdracht van de school gegevens van de school verwerkt.

De accountvoorwaarden zelf:
GEBRUIKSRECHTOVEREENKOMST DIGIDUIF Dit Licentiecertificaat bevat de voorwaarden voor het gebruik van de digiDUIF services van digiDOO BV, dat u van de onderwijsinstelling waaraan u bent verbonden hebt verkregen. Het bestaat uit gebruik van centrale software en daaraan gerelateerde dragers en gedrukte documentatie, die daarnaast eventueel on-line of elektronische documentatie bevat (verder te noemen: "service").
    U bent zich bewust dat de onderwijsinstelling het gebruiksrecht heeft verkregen ten behoeve van haar werknemers, ouders/ verzorgers en leerlingen/ studenten voor de duur van de looptijd van de overeenkomst tussen de onderwijsinstelling en digiDOO BV, en dat u derhalve geen zelfstandig gebruiksrecht krachtens deze Licentie heeft verkregen. Indien de overeenkomst met de onderwijsinstelling om wat voor reden dan ook is beëindigd, is digiDOO BV gerechtigd om uw toegang tot uw account te blokkeren.
    • U mag de service overal gebruiken. Het gebruik van de service zal nimmer commercieel van aard zijn. Ander gebruik dan hiervoor bedoeld is strijdig met de voorwaarden van dit Licentiecertificaat.
    • U mag de service niet reverse-engineeren, decompileren, of disassembleren.
    • U mag de service niet uitlenen, verhuren of in lease geven. Uw recht op grond van dit Licentiecertificaat is persoonlijk en u mag het niet geheel of gedeeltelijk aan derden overdragen.
    • Het eigendom van, de auteursrechten op de service (inclusief, maar niet beperkt tot alle afbeeldingen, foto's, animaties, video, klank, muziek, tekst, en ‘applets’ die in de service zijn verwerkt), de begeleidende documentatie, berusten bij digiDOO BV. De service wordt beschermd door auteursrechtwetten en internationale verdragsbepalingen. Derhalve dient u de service te behandelen zoals alle andere materialen waarop auteursrechten rusten. U mag de begeleidende documentatie van de service niet kopiëren. Aan u worden slechts tijdelijke gebruiksrechten verleend.
    • U zult op geen enkele wijze actief of passief betrokken zijn bij het kopiëren en/ of anderszins verveelvoudigen of overdragen aan enige derde van de service.
    • De onderwijsinstelling en digiDOO BV wijzen alle garanties af, zowel uitdrukkelijk als impliciet, daaronder mede begrepen maar niet beperkt tot impliciete garanties betreffende de verkoopbaarheid of geschiktheid voor een bepaalde toepassing. De onderwijsinstelling, digiDOO BV, noch haar aanbieders zijn aansprakelijk voor schade, daaronder begrepen maar niet beperkt tot winstderving of verlies van informatie, bedrijfsonderbreking of ander geldelijk verlies, ook indien de onderwijsinstelling en/ of digiDOO BV op de hoogte gesteld is van het risico van dergelijke schade.
    • In geval van overtreding van enige bepaling van dit Licentiecertificaat is digiDOO BV en/ of de onderwijsinstelling gerechtigd jegens u nadere maatregelen te treffen.
    • U staat er voor in dat u steeds correcte en volledige NAW- en overige benodigde gegevens en informatie zal verstrekken. De door digiDOO BV aan u verstrekte digiDUIFid en wachtwoord zijn strikt persoonlijk en dienen geheim gehouden te worden. U bent zelf verantwoordelijk voor misbruik van digiDUIFid en wachtwoord en zal de onderwijsinstelling van ieder verlies, diefstal en/ of misbruik onmiddellijk in kennis stellen.
    • digiDOO BV en/of de onderwijsinstelling heeft het recht u zonder motivering te weigeren of de toegang verder te ontzeggen in geval van misbruik of de verstrekking van onjuiste of onvolledige gegevens. Verstrekte gegevens zullen opgeslagen en verwerkt worden overeenkomstig de Wet Bescherming Persoonsgegevens. digiDOO BV is geregistreerd bij het College Bescherming Persoonsgegevens (CBP) onder nummer 1383667.
    • De gebruiker draagt er zorg voor dat alle gegevens, waarvan digiDOO BV aangeeft dat deze noodzakelijk zijn of waarvan de gebruiker aangeeft redelijkerwijs behoort te begrijpen dat deze noodzakelijk zijn voor het uitvoeren van de service, tijdig aan digiDOO BV worden verstrekt.
    • Het is u niet toegestaan de service te gebruiken voor handelingen en/ of gedragingen:
      • Spamming: het ongevraagd verzenden van grote hoeveelheden e-mail met dezelfde inhoud
      • Misleiding van derden
      • Misbruik maken van de teksten, het logo, of informatie van digiDOO BV
      • Het aanbieden van niet eigen producten of diensten zonder toestemming
      • Het aanbieden van producten of diensten die volgens de Nederlandse wet niet legaal zijn.
    • Bij het verlaten van en/ of opzeggen van uw relatie met de onderwijsinstelling vervalt uw resterende SMS tegoed aan de onderwijsinstelling.
    • digiDOO BV zal zich maximaal inspannen voor het beschikbaar zijn van de service, maar garandeert niet de volledige en permanente beschikbaarheid van de service. Meer in het bijzonder garandeert zij niet , noch aanvaardt zij verantwoordelijkheid voor de benodigde beschikbaarheid van de telecommunicatie faciliteiten van derden voor de verzending van SMS berichten en toegang tot het Internet (Internet access)
    • U realiseert zich dat digiDOO BV voor de verzending van berichten afhankelijk is van IT bedrijven, telecommunicatie bedrijven en mobiele netwerkoperators. Om die reden heeft digiDOO BV geen enkele invloed op de bezorging en transmissie van berichten binnen de technische beperkingen opgelegd door deze bedrijven. digiDOO BV doet haar uiterste best het bericht zo snel mogelijk te bezorgen bij de ontvanger.
    • U neemt de volledige verantwoordelijkheid op u voor de inhoud van de berichten verzonden door uzelf of op uw verzoek. U houdt zich aan alle wetten en reglementen die toepasbaar zijn op de inhoud en intentie van de verzonden berichten. U dient zich te onthouden van het verzenden van berichten met aanvallende, gewelddadige, pornografische, discriminerende of enige andere illegale inhoud.

Omdat in het privacy statement staat
digiDOO verzamelt en verwerkt alleen die persoonsgegevens die relevant zijn in uw (informatie)relatie met onze klant.
vind ik het ongewenst dat alsnog om mijn woonadres gevraagd wordt: dat is absoluut niet nodig voor de uitvoering van de dienst.

Ook hier niets over of digiDOO veilig omgaat met de gegevens. Ze noemen weer een registratie bij het college bescherming persoonsgegevens, hoewel ik het uiterst vreemd vind dat die genoemd wordt bij het moeten melden van correcte gegevens aan digiDOO. De wet bescherming persoonsgegevens is er niet om een bedrijf te beschermen tegen gebruikers of derden die aantonen dat hun beveiliging slecht is.

En als ik niet op 'akkoord' klik mag ik nog een keer mijn persoonsgegevens invullen.

En in de berichten van digiDUIF de volgende mooie tekst als ik toch even in de html versie kijk:
Voeg berichten afkomstig van noreply @ digiduif.nl toe aan uw lijst van veilige afzenders zodat de afbeeldingen automatisch geladen worden. Op deze manier kan de afzender beter controleren of berichten daadwerkelijk zijn aangekomen.
Ik lees wel de tekstversie, dat is veiliger. Het bericht van de school staat daar ook in.

Tags: , ,

, reachable as koos+website@idefix.net. PGP encrypted e-mail preferred.

PGP key 5BA9 368B E6F3 34E4 local copy PGP key 5BA9 368B E6F3 34E4 via keyservers pgp key statistics for 0x5BA9368BE6F334E4 Koos van den Hout
RSS
Other webprojects: Camp Wireless, wireless Internet access at campsites, The Virtual Bookcase, book reviews
This page generated in 0.004557 seconds.