/
FAQ: Privacywaarborging MindYourPass Online Security Risk Assessment

FAQ: Privacywaarborging MindYourPass Online Security Risk Assessment

Owned by Merijn de Jonge
Last updated: May 30, 2024 by Rick Swinkels
3 min read

Het Online Security Assessment is een scan die inlogactiviteiten van medewerkers privacy-vriendelijk monitort en de resultaten verwerkt tot een gedetailleerd security assessment rapport. Met het Online Security Assessment krijg je inzicht in het online applicatielandschap en de kwaliteit én de risico’s van de wachtwoorden binnen je organisatie.

De volgende inlogactiviteiten worden door de meetsoftware geïdentificeerd en/of beoordeeld:

  • Inlogpagina URL (website/-applicatie)

  • Kwaliteit van wachtwoord:

    • Sterkte

    • Hergebruik

    • Gestolen/gelekt  

  • Zakelijk of privé account

  • Invoerwijze wachtwoord

  • Gebruikte webbrowser

  • Tijdstip van inloggen

Tijdens een Online Security Assessment van MindYourPass worden diverse kwaliteitsattributen van online accounts en wachtwoorden gemeten. Het meten en analyseren van deze kwaliteitsattributen gebeurt op een veilige manier binnen de browser op de laptop/pc van de medewerker. De meetsoftware van het Online Security Assessment bestaat uit een browser-extensie en wordt geïnstalleerd op de zakelijke laptop/pc van de medewerker. De resultaten van de meting worden via een beveiligde verbinding verstuurd naar de servers van MindYourPass.

De browser-extensie van MindYourPass heeft toegang tot wachtwoorden om de kwaliteit te meten en analyseren. Het is niet mogelijk om op afstand toegang te verkrijgen tot de browser-extensie. Noch MindYourPass, noch de organisatie kan dus ‘meekijken’. Er vindt wel communicatie plaats tussen de browser-extensie en de systemen van MindYourPass en wordt uitsluitend gebruikt om de meetresultaten te kunnen versturen. Er worden geen wachtwoorden verstuurd. Jouw wachtwoorden blijven dus geheim. De communicatie is eenrichtingsverkeer vanuit de browser-extensie naar de systemen van MindYourPass.

Alleen de meetresultaten worden naar MindYourPass verstuurd. Deze zijn afhankelijk van de voorkeursinstellingen van de klant pseudo-anoniem of volledig anoniem. Het gaat om de volgende meetresultaten:

  • Inlogpagina URL (website/-applicatie)

  • Kwaliteitsmeting wachtwoord:

    • Sterkte: schaal 0..10

    • Gestolen: ja/nee

    • Password GUID. Niet herleidbaar tot het wachtwoord om het hergebruik te meten

  • Account: zakelijk/privé/onbekend

  • Invoerwijze wachtwoord: handmatig/browser/wachtwoordmanager/copy-paste

  • Gebruikte webbrowser: Edge/Chrome/Brave/Firefox/Safari/etc.

  • Endpoint-GUID. Niet herleidbaar naar persoon

  • License-key. Om inloggedrag per organisatie te groeperen

  • Tijdstip van inloggen met instelbare nauwkeurigheid

  • Optioneel: grouping-id. Om inlog per medewerker te groeperen

MindYourPass verwerkt geen IP-adressen.

De (pseudo-)anonieme meetresultaten worden opgeslagen op de servers van MindYourPass, locatie Nederland. Op basis van de meetgegevens wordt het meetrapport opgesteld, waarbij alleen geaggregeerde informatie wordt gepresenteerd. Gemeten wachtwoorden worden nergens opgeslagen. Niet op de servers van MindYourPass en ook niet op de laptop/pc van de medewerker.

MindYourPass monitort de inlogactiviteiten binnen een browser. De meetresultaten worden op basis van een anonieme license-key naar MindYourPass verstuurd en daar verwerkt. De license-key wordt in een automatisch proces verstrekt op basis van een willekeurig gegenereerde endpoint-GUID. In dit proces worden geen persoonsgegevens verwerkt.

  • Grouping Policy (Opt-in): Omwille van hogere nauwkeurigheid van de meting, kan een organisatie een grouping-policy kiezen om de inlogactiviteiten niet per browser maar per medewerker te groeperen. MindYourPass adviseert hiervan gebruik te maken.

  • Tijdsnauwkeurigheid (Opt-in): Om een goede balans tussen nauwkeurigheid en privacy te bereiken kan de organisatie kiezen welke tijd nauwkeurigheid gehanteerd moet worden (werkelijk, uur, dag). MindYourPass adviseert uur-nauwkeurigheid.

In de rapportage van een Online Security Assessment worden de meetresultaten geaggregeerd op applicatie- en organisatie niveau en nooit op endpoint of gebruikersniveau. Bovenstaande maatregelen maken de herleidbaarheid op basis van de door MindYourPass verzamelde gegevens tot individuen onmogelijk. Op die manier (pseudo-)anonimiseren we medewerkers en hun inlogactiviteiten en waarborgen wij hun privacy. Enkel op verzoek van de klant kan hiervan gedeeltelijk en tijdelijk worden afgeweken. Bijvoorbeeld ten behoeve van een datalekonderzoek.

Indien gewenst kan een organisatie ervoor kiezen om de standaard privacyinstellingen in overleg met MindYourPass aan te passen, zodat de herleidbaarheid tot een individuele medewerker op veilige en geautoriseerde wijze via MindYourPass mogelijk wordt voor bijvoorbeeld datalekonderzoek of nadere analyse op gebruikersniveau. 

Enkel via een geautoriseerd proces, waarbij door MindYourPass gecodeerde informatie aan de organisatie wordt verstrekt, kan de pseudo-anonimiteit van een gebruiker tijdelijk worden opgeheven. Uitsluitend de organisatie zelf kan op basis van deze gecodeerde informatie  de meetdata koppelen aan individuele medewerkers. MindYourPass kan deze informatie nooit achterhalen. Hierdoor blijft de privacy van de medewerkers gewaarborgd.

MindYourPass verstrekt de benodigde informatie alleen op formeel verzoek van de organisatie en op basis van een duidelijk gemotiveerde grondslag. MindYourPass registreert het verzoek en de informatieverstrekking, zodat nadien altijd de wettelijke basis voor het dataverzoek gevalideerd kan worden. Na afronding van het onderzoek door de organisatie wordt de pseudo-anonimiteit van medewerkers hersteld, zodat de resultaten niet langer terug te herleiden zijn tot individuen.

Related content