Verwerking persoonsgegevens
Een eHerkenningsmiddel is een digitale identiteit waarmee medewerkers van bedrijven kunnen inloggen bij overheden en andere organisaties.
Het is daarom essentieel om de identiteit van de aanvrager van een eHerkenningsmiddel vast te stellen zodat de overheden en andere organisaties zeker weten dat de juiste persoon inlogt.
Uitlezen NFC Chip
Tijdens de registratie voor het eHerkenningsmiddel, vraagt Digidentity de chip van het ID uit te lezen. Hiermee kunnen wij vaststellen dat het ID echt is en de gegevens niet zijn aangepast. De gegevens uit het ID gebruiken wij voor de identiteit. Een andere registratie route maakt foto’s van de voor- en achterkant van het ID. Hierbij zorgt een geautomatiseerde controle van de foto’s voor de validatie van het ID.
BSN
Zowel in de chip in het ID als op de foto van het ID is het Burger Service Nummer (BSN) van de aanvrager aanwezig. Op dit moment is het verwerken van het BSN een grijs gebied binnen eHerkenning. Voor ZZP bedrijven moeten wij het BSN verwerken om een koppeling met het BSN Koppelregister (BSNk) te maken, voor medewerkers van andere bedrijfsvormen is de BSN niet noodzakelijk.[Linktekst]
Waarom verwerkt Digidentity het BSN?
Wij moeten echter de echtheid van het document vaststellen en gebruiken o.a. een 11-proef op het BSN (bij de foto van het ID) om te verifiëren dat het een geldig BSN is. Na deze verificatie verwijderen wij het BSN. Bij het uitlezen van de chip, verwijderen wij het BSN direct (in geval van ZZP nadat de koppeling met BSNk is gemaakt).
In de Wet Digitale Overheid is de juridische grondslag voor het verwerken van BSN vastgelegd.
Wettelijke vertegenwoordiger
Een eHerkenningsmiddel is gekoppeld aan een autorisatie voor een organisatie. Digidentity moet vaststellen dat de aanvrager geautoriseerd is om namens de organisatie te handelen. Hiervoor maken wij gebruik van de gegevens die zijn geregistreerd bij de Kamer van Koophandel (KvK).
Nadat de aanvrager het KvK van de organisatie heeft ingevoerd, controleert Digidentity of de aanvrager bevoegd is. Als de aanvrager volledig bevoegd is, zal het aanvraagproces automatisch verdergaan. Staat de aanvrager niet op de KvK als bevoegd vertegenwoordiger, dan moet de wettelijk vertegenwoordiger of geautoriseerd vertegenwoordiger de aanvraag goedkeuren. Digidentity is verplicht om de wettelijk vertegenwoordiger op zelfde wijze te identificeren als de aanvrager.
Afhankelijk van de bevoegdheid die bij de KvK staat vermeld (zelfstandig bevoegd, gezamenlijk bevoegd, beperkt bevoegd) zijn één of meerdere handtekeningen noodzakelijk voor de autorisatie.
Data opslag & Bewaartermijnen
-
Digidentity is één van de zes bedrijven die door het ministerie van Binnenlandse Zaken en Koninkrijksrelaties is aangewezen om eHerkenningsmiddelen uit te geven. Als deelnemer aan het Afsprakenstelsel (https://afsprakenstelsel.etoegang.nl/display/as/Startpagina) staat Digidentity onder toezicht van Agentschap Telecom (AT). Middels reguliere inspecties door AT, moet Digidentity bewijzen dat aan de eisen uit het Afsprakenstelsel wordt voldaan.
-
Een eis in het Afsprakenstelsel is dat een deelnemer een gecertificeerd ISMS heeft geïmplementeerd. Digidentity heeft een gecertificeerd ISMS tegen ISO27001:2013 en wordt jaarlijks door een onafhankelijk auditor beoordeeld of aan de eisen van ISO27001:2013 is voldaan. Daarnaast is Digidentity gecertificeerd tegen ETSI 319 411-1 en 319 411-2 voor de uitgifte van PKI certificaten voor SSL en gekwalificeerde handtekeningen.
-
Validatie van het identiteitsdocument vindt plaats in Nederland. Wij bewaren enkel gegevens die wij geverifieerd hebben. Alle gegevens slaan wij op in data centers in Europa.
- De bewaartermijnen die wij hanteren zijn als volgt: alle foto’s bewaren wij 120 dagen, verificatierapporten 7 jaar (compliance eis). Binnenkort zal ik een nieuwe Privacy Statement publiceren waarin de bewaartermijnen zijn opgenomen als ook de derde partijen die de validatie verzorgen.