Privacy impact
assessment
Tamara van Dongen
23-10-2017
Studentnummer: 580752
Klas: ROREVT2B
Docenten: Michiel van Dijk en
Ann-Katrin Habbig
,Deel 1 De feitelijke bevindingen
1.1 ICT-feiten:
• De Talent Pool: een bestand
• De website van HandsOn – http://www.handson.uk
• Een profiel
• Encryptie
• Centrale server
• Een beveiligd serverpark
• Het beveiligde interne netwerk
• Inloggen met gebruik van werknemersnummer en wachtwoord.
• Een VPN
De Talent Pool is een bestand van ongeveer 3000 potentiële uitzendkrachten dat wordt
geraadpleegd door HandsOn om aan de arbeidsvraag van haar opdrachtgevers tegemoet te komen.
Werkzoekenden kunnen zich inschrijven in de Talent Pool op de website van HandsOn
(http://www.handson.uk). In een profiel wordt een ‘algemene indruk’ van de kandidaat opgesteld
en verwerkt. Het Talent Pool profiel wordt zonder encryptie opgeslagen op de centrale server van
HandsOn B.V. Deze server staat in een beveiligd serverpark. Alle medewerkers van handsOn hebben
toegang tot de gegevens in de Talent Pool. Toegang tot de Talent Pool is mogelijk via het beveiligde
interne netwerk en middels het inloggen op dit netwerk met gebruik van werknemersnummer en
wachtwoord. Tevens kunnen medewerkers van HandsOn via een VPN makkelijk vanuit thuis een
verbinding maken met het beveiligde netwerk.
1.2 Welke personen hebben toegang tot de informatie?:
• De beheerder: ICT-er
• Alle medewerkers van HandsOn
• De werkzoekenden
1.3 Welke veiligheidsrisico’s kunnen ontstaan bij de ICT-feiten van de
casus?:
• De Talent Pool, een bestand: het bestand kan gehackt worden. Ook hebben alle
medewerkers van HandsOn B.V. toegang tot de gegevens in de Talent Pool. Hierdoor
hebben meer mensen dan noodzakelijk inzicht in de gegevens. Zij zouden de gegevens
voor andere dingen kunnen gebruiken dan waarvoor ze zijn bedoeld.
• De Website http://www.handson.uk: Data wordt onbeveiligd verstuurd (http in plaats
van https). Hierdoor kunnen kwaadwilligen/ buitenstaanders zien wat er wordt
verstuurd.
• Een profiel/encryptie: het Talent Pool profiel wordt zonder encryptie opgeslagen op de
centrale server van HandsOn B.V. Doordat er geen gebruik wordt gemaakt van een
encryptie krijgt iemand inzicht in het profiel na het hacken. In dit profiel staan gegevens
van werkzoekenden waarvan men niet wil dat deze in verkeerde handen vallen.
• Centrale server: gegevens staan op een centrale server en die kan kapot gaan. Indien er
geen back up is gemaakt, gaan alle bestanden verloren. HandsOn B.V heeft deze server
2
, alleen staan in een beveiligd serverpark in Rotterdam. Als bijvoorbeeld de stroom uitvalt
is er geen toegang tot de server. Doordat HandsOn B.V. geen servers op verschillende
plaatsen heeft staan kunnen ze niet overschakelen naar een andere server bij
bijvoorbeeld stroomuitval, malware of brand.
• Beveiligd serverpark: het serverpark is beveiligd waardoor het de kans op inbraak en
malware vermindert. Hierboven is al verteld dat HandsOn B.V. geen servers op
verschillende plaatsen heeft staan waardoor ze niet kunnen overschakelen naar een
andere server bij bijvoorbeeld stroomuitval, malware of brand.
• Het beveiligde interne netwerk: hieraan zijn geen veiligheidsrisico’s verbonden, omdat
het interne netwerk beveiligd is. Het beveiligde netwerk maakt kwaadaardige software
(malware) onschadelijk voordat ze schade toebrengen.
• Inloggen met werknemersnummer en wachtwoord: een werknemersnummer kan
makkelijk achterhaald worden. Indien de gebruiker gebruik maakt van zwakke
wachtwoorden kan een kwaadwilligen dit account hacken waardoor hij toegang kan
krijgen tot de Talent Pool.
• VPN: Hieraan zijn geen veiligheidsrisico’s verbonden. Door gebruik te maken van een
VPN werkt the man in the middle niet.
1.4 geef aan of de risico’s thuishoren in een technische of organisatorische
context
• De veiligheidsrisico’s van de Talent Pool, een bestand: dat het bestand gehackt kan
worden hoort thuis in een technische context. Dat meer mensen dan noodzakelijk
inzicht hebben in de gegeven en dat zij de gegevens voor andere dingen kunnen
gebruiken dan noodzakelijk hoort thuis in een organisatorische context. Dit heeft
namelijk te maken met de organisatie van HandsOn B.V.
• Dat data onbeveiligd verstuurd wordt en dat kwaadwilligen hierdoor kunnen zien
wat er verstuurd wordt, hoort thuis in een technische context. Het wel of niet
gebruik maken van http in plaats van https is namelijk technisch.
• De veiligheidsrisico’s bij het profiel dat zonder encryptie is opgeslagen horen thuis in
een technische context. Het wel of niet gebruik maken van een encryptie is namelijk
technisch.
• De veiligheidsrisico’s van een centrale server horen thuis in een technische context.
Een back up maken heeft namelijk betrekking op techniek.
• Het inloggen met werknemersnummer en wachtwoord: Als er zwakke
wachtwoorden gebuikt worden dan kan een kwaadwillige het account hacken. Dit
hoort zowel thuis in een technische als een organisatorische context. Het hacken is
iets technisch, maar het bedrijf moet er voor zorgen dat werknemers gebruik maken
van sterke wachtwoorden, daarom hoort dit ook thuis in een organisatorische
context.
3
assessment
Tamara van Dongen
23-10-2017
Studentnummer: 580752
Klas: ROREVT2B
Docenten: Michiel van Dijk en
Ann-Katrin Habbig
,Deel 1 De feitelijke bevindingen
1.1 ICT-feiten:
• De Talent Pool: een bestand
• De website van HandsOn – http://www.handson.uk
• Een profiel
• Encryptie
• Centrale server
• Een beveiligd serverpark
• Het beveiligde interne netwerk
• Inloggen met gebruik van werknemersnummer en wachtwoord.
• Een VPN
De Talent Pool is een bestand van ongeveer 3000 potentiële uitzendkrachten dat wordt
geraadpleegd door HandsOn om aan de arbeidsvraag van haar opdrachtgevers tegemoet te komen.
Werkzoekenden kunnen zich inschrijven in de Talent Pool op de website van HandsOn
(http://www.handson.uk). In een profiel wordt een ‘algemene indruk’ van de kandidaat opgesteld
en verwerkt. Het Talent Pool profiel wordt zonder encryptie opgeslagen op de centrale server van
HandsOn B.V. Deze server staat in een beveiligd serverpark. Alle medewerkers van handsOn hebben
toegang tot de gegevens in de Talent Pool. Toegang tot de Talent Pool is mogelijk via het beveiligde
interne netwerk en middels het inloggen op dit netwerk met gebruik van werknemersnummer en
wachtwoord. Tevens kunnen medewerkers van HandsOn via een VPN makkelijk vanuit thuis een
verbinding maken met het beveiligde netwerk.
1.2 Welke personen hebben toegang tot de informatie?:
• De beheerder: ICT-er
• Alle medewerkers van HandsOn
• De werkzoekenden
1.3 Welke veiligheidsrisico’s kunnen ontstaan bij de ICT-feiten van de
casus?:
• De Talent Pool, een bestand: het bestand kan gehackt worden. Ook hebben alle
medewerkers van HandsOn B.V. toegang tot de gegevens in de Talent Pool. Hierdoor
hebben meer mensen dan noodzakelijk inzicht in de gegevens. Zij zouden de gegevens
voor andere dingen kunnen gebruiken dan waarvoor ze zijn bedoeld.
• De Website http://www.handson.uk: Data wordt onbeveiligd verstuurd (http in plaats
van https). Hierdoor kunnen kwaadwilligen/ buitenstaanders zien wat er wordt
verstuurd.
• Een profiel/encryptie: het Talent Pool profiel wordt zonder encryptie opgeslagen op de
centrale server van HandsOn B.V. Doordat er geen gebruik wordt gemaakt van een
encryptie krijgt iemand inzicht in het profiel na het hacken. In dit profiel staan gegevens
van werkzoekenden waarvan men niet wil dat deze in verkeerde handen vallen.
• Centrale server: gegevens staan op een centrale server en die kan kapot gaan. Indien er
geen back up is gemaakt, gaan alle bestanden verloren. HandsOn B.V heeft deze server
2
, alleen staan in een beveiligd serverpark in Rotterdam. Als bijvoorbeeld de stroom uitvalt
is er geen toegang tot de server. Doordat HandsOn B.V. geen servers op verschillende
plaatsen heeft staan kunnen ze niet overschakelen naar een andere server bij
bijvoorbeeld stroomuitval, malware of brand.
• Beveiligd serverpark: het serverpark is beveiligd waardoor het de kans op inbraak en
malware vermindert. Hierboven is al verteld dat HandsOn B.V. geen servers op
verschillende plaatsen heeft staan waardoor ze niet kunnen overschakelen naar een
andere server bij bijvoorbeeld stroomuitval, malware of brand.
• Het beveiligde interne netwerk: hieraan zijn geen veiligheidsrisico’s verbonden, omdat
het interne netwerk beveiligd is. Het beveiligde netwerk maakt kwaadaardige software
(malware) onschadelijk voordat ze schade toebrengen.
• Inloggen met werknemersnummer en wachtwoord: een werknemersnummer kan
makkelijk achterhaald worden. Indien de gebruiker gebruik maakt van zwakke
wachtwoorden kan een kwaadwilligen dit account hacken waardoor hij toegang kan
krijgen tot de Talent Pool.
• VPN: Hieraan zijn geen veiligheidsrisico’s verbonden. Door gebruik te maken van een
VPN werkt the man in the middle niet.
1.4 geef aan of de risico’s thuishoren in een technische of organisatorische
context
• De veiligheidsrisico’s van de Talent Pool, een bestand: dat het bestand gehackt kan
worden hoort thuis in een technische context. Dat meer mensen dan noodzakelijk
inzicht hebben in de gegeven en dat zij de gegevens voor andere dingen kunnen
gebruiken dan noodzakelijk hoort thuis in een organisatorische context. Dit heeft
namelijk te maken met de organisatie van HandsOn B.V.
• Dat data onbeveiligd verstuurd wordt en dat kwaadwilligen hierdoor kunnen zien
wat er verstuurd wordt, hoort thuis in een technische context. Het wel of niet
gebruik maken van http in plaats van https is namelijk technisch.
• De veiligheidsrisico’s bij het profiel dat zonder encryptie is opgeslagen horen thuis in
een technische context. Het wel of niet gebruik maken van een encryptie is namelijk
technisch.
• De veiligheidsrisico’s van een centrale server horen thuis in een technische context.
Een back up maken heeft namelijk betrekking op techniek.
• Het inloggen met werknemersnummer en wachtwoord: Als er zwakke
wachtwoorden gebuikt worden dan kan een kwaadwillige het account hacken. Dit
hoort zowel thuis in een technische als een organisatorische context. Het hacken is
iets technisch, maar het bedrijf moet er voor zorgen dat werknemers gebruik maken
van sterke wachtwoorden, daarom hoort dit ook thuis in een organisatorische
context.
3
