AHC en LISA

Toegang tot de gegevens in de LISA database
In de 2e alinea op deze pagina staat dat helder moet zijn wie er allemaal toegang hebben tot de persoonsgegevens die we als vereniging verwerken. Net als een groot aantal andere hockeyclubs, maakt AHC IJburg gebruik van LISA en vrijwel ieder lid of vrijwilliger van de LISA app. De gegevens die je daarin aantreft staan ook allemaal in een grote LISA database. Wijzigingen in die database worden na enige tijd ook zichtbaar in de LISA app.

Om al de gegevens in die database te onderhouden (of te kunnen raadplegen) hebben bestuursleden en een groot aantal vrijwilligers (zoals ledenadministratie, technische commissie, communicatie) toegang tot (delen van) die database. Omdat die database (inmiddels vele) persoonsgegevens bevat, wordt van vrijwilligers met toegang tot al die gegevens verwacht dat ze zeer zorgvuldig met die gegevens omgaan.

Afspraken over omgaan met persoonsgegevens
Om te voldoen aan de privacywetgeving, liet het AHC bestuur eerder weten, dat over de omgang met persoonsgegevens schriftelijk afspraken worden gemaakt. Na de zomer zullen de vrijwilligers met toegang tot de LISA database daarvoor worden benaderd.

Gebruikersnaam en wachtwoord
Tot dusver was die toegang afgeschermd door een gebruikersnaam en wachtwoord. Omdat je niet kunt zien wie de persoon is die van die combinatie gebruik maakt, bestaat de kans dat een ander gebruik (of misbruik) van de login gegevens maakt. Ook is bekend  dat dat soms bewust gebeurt: “gebruik mijn login gegevens maar even”. In dat geval geeft iemand zich dus voor een ander uit en zou je kunnen spreken over identiteitsfraude. Dat is zeker het geval als de eigenaar van de gebruikersnaam niet weet dat er van zijn of haar login gegevens gebruik wordt gemaakt.

Gebruik (of misbruik) van login gegevens 
Hoewel zoiets nooit helemaal is uit te sluiten, verlangt de nieuwe privacywetgeving van iedere organisatie, dus ook AHC IJburg, dat maatregelen worden genomen om te voorkomen dat een onbevoegde toegang heeft tot persoonsgegevens. In ons geval dus de  LISA database met de persoonsgegevens van onze leden, vrijwilligers en personen op de wachtlijst. Want met die toegang kan hij of zij gegevens in de LISA database aanpassen (of die gegevens – al dan niet ten betaling – aanbieden aan een geïnteresseerde). In dat geval is sprake van een zogenaamd datalek. Dat kan gevolgen hebben voor de personen in de LISA database en de club.

Gevolgen misbruik login gegevens
Omdat handelingen in de LISA database worden geregistreerd bestaat bovendien het risico, dat de eigenaar van de gebruikersnaam ten onrechte wordt aangesproken op handelingen, waarvoor hij of zij niet verantwoordelijk is.

Kortom: meer zekerheid over de identiteit van de persoon die met een gebruikersnaam en wachtwoord toegang zoekt tot de LISA database is dringend gewenst.

Oplossing door extra controle
Die kwetsbaarheid en de behoefte aan een extra controle voordat iemand toegang krijgt tot de LISA database is ook onderwerp van gesprek geweest met de ontwikkelaars van LISA. Ook zij onderkennen de genoemde kwetsbaarheden. Het overleg tussen AHC en LISA heeft er mede toe bijgedragen, dat LISA extra prioriteit heeft toegekend aan het het bieden van een oplossing.

We zijn dan ook verheugd te melden dat LISA een extra controlelaag toevoegt voor de toegang tot de LISA database en dat het binnenkort niet meer mogelijk zal zijn om zonder die extra controle toegang te krijgen tot de, inmiddels omvangrijke hoeveelheid persoonsgegevens van onze (potentiële) leden en vrijwilligers.

Voor de toegang zal gebruik worden gemaakt van tweefactor authenticatie (ook wel afgekort als 2FA). Waarbij naast gebruikersnaam en wachtwoord (iets dat je weet) de identiteit gecontroleerd aan de hand van iets dat je hebt. Dat kan op meerdere manieren zoals ik op deze pagina heb toegelicht. Microsoft heeft geconstateerd dat door het gebruik van een extra code de aanvallen op login accounts met 99,9% afneemt (zie bericht van Security.nl). Voor de toegang tot de database van LISA zal gebruik worden gemaakt van een authenticator.  

Rob