In het kader van de AVG krijgen we regelmatig vragen binnen met betrekking tot de dataveiligheid van de automatische koppelingen die gelegd kunnen worden tussen Loket.nl en externe partijen. Graag geven we je in dit artikel meer informatie hierover.
Wie mag welke data inzien?
Binnen de koppelingen op basis van de RESTful API werkt Loket.nl zogeheten clients (omgevingen met daaraan gekoppelde rechten en rollen). Wanneer een koppeling tot stand wordt gebracht, kijken we welke data expliciet uitgewisseld dient te worden en wie toegang mag hebben tot deze data.
Per koppelpartij wordt er een client specifiek ingericht met bijpassende rechten en rollen. Wanneer je gebruik wilt maken van een koppeling is dus automatisch vastgelegd welke gegevens jij mag inzien/opvragen via deze koppelpartij. Een koppelpartij heeft nooit zomaar toegang tot de volledige data binnen Loket.nl.
Bij het kiezen van een koppelpartij moeten er ook werkgever gebruikers aangemaakt worden. Dit is van belang om ook daadwerkelijk data uit te kunnen wisselen tussen de systemen. Per gebruiker kun je daar ook weer specifieke rechten en rollen aan koppelen. Hierbij kan je op gebruikersniveau afschermen welke gegevens wel/niet ingezien mogen worden. Een gebruiker heeft daarmee nooit zomaar toegang tot de volledige data binnen Loket.nl, ook niet wanneer jij per ongeluk meer rechten toekent aan de gebruiker dan eigenlijk de bedoeling is. De koppelpartij weet in dit geval wat de gebruiker wel en niet mag inzien.
Andersom kan natuurlijk ook. Je geeft de gebruiker minder rechten dan vastgelegd is bij de koppelpartij. De gegevens kunnen dan ook niet uitgewisseld worden. Let op: het kan zijn dat de koppeling dan niet functioneert. De verantwoordelijk ligt hierbij bij de gebruiker.
Nieuwe manier van authenticatie
Met de komst van de RESTful API koppelingen zijn wij tevens volledig overgestapt op een nieuwe manier van authenticatie, namelijk Oauth. In het kort betekent dit dat er niet meer gewerkt wordt met een vaste gebruikersnaam en wachtwoord maar dat er gewerkt wordt met een gegenereerde token. Deze token biedt toegang tot de API maar niet tot Loket.nl zelf.
Het is voor een koppelpartij daarom niet mogelijk om in Loket.nl zelf in te loggen. Er zijn namelijk geen inloggegevens bekend. We raden je ten zeerste af deze token en je inloggegevens aan anderen te verstrekken als hiertoe geen directe aanleiding/noodzaak is.
Mocht je naar aanleiding van dit artikel nog vragen en/of opmerkingen hebben, neem dan even contact op met je contactpersoon van je accountants- of administratiekantoor.