Introductie
In het kader van de AVG krijgen we regelmatig vragen over de dataveiligheid van automatische koppelingen tussen Loket en externe partijen. In dit artikel geven we meer informatie hierover.
Wie mag welke data inzien?
Bij het tot stand brengen van koppelingen via de RESTful API werkt Loket met zogenaamde clients (dit zijn omgevingen met specifieke rechten en rollen). Voor elke externe partij die een koppeling aangaat, richten we een specifieke client in. Hierbij worden duidelijke afspraken gemaakt over welke data uitgewisseld mag worden en wie hier toegang tot heeft. Een externe partij heeft nooit zondermeer toegang tot alle data binnen Loket.
Om gegevens uit te kunnen wisselen is het noodzakelijk dat er werkgever gebruikers aangemaakt worden. Voor deze gebruikers kunnen specifieke rechten en rollen toegekend worden, wat helpt om te bepalen welke gegevens ingezien mogen worden. Hierdoor heeft een gebruiker niet zomaar toegang tot alle data, ook al zijn er per ongeluk te veel rechten toegekend. Dit is afgeschermd op gebruikersniveau, waardoor de koppelpartij altijd weet wat de gebruiker kan inzien.
Let op: als er minder rechten worden toegekend dan nodig is voor de koppelpartij, kunnen gegevens mogelijk niet uitgewisseld worden. Dit kan de functionaliteit van de koppeling beïnvloeden, waar de verantwoordelijk bij de gebruiker ligt.
Nieuwe manier van authenticatie
Met de komst van de RESTful API koppelingen is Loket volledig overgestapt op een nieuwe authenticatiemethode, namelijk Oauth. In plaats van inloggegevens zoals een vaste gebruikersnaam en wachtwoord, wordt er gewerkt met een gegenereerde token. Deze token biedt toegang tot de API, maar niet tot Loket zelf. Hierdoor is het voor externe partijen niet mogelijk om rechtstreeks in Loket in te loggen.
We adviseren dringend om deze token en je inloggegevens niet te delen zonder noodzaak, om de veiligheid te waarborgen.
Meer weten?
Als je na het lezen van dit artikel nog vragen of opmerkingen hebt, neem dan gerust contact op met de contactpersoon van je accountants- of administratiekantoor.