Ik ben een Zivver-beheerder
Zivver instellen en beheren
Zivver gegevens toegang, bewaartermijn en verwijdering
Introductie
In privacywetgeving, zoals de AVG, zijn toegangscontrole en gegevensbewaring belangrijke vereisten. In de regel mogen persoonsgegevens niet worden verwerkt of gedeeld zonder geldige reden. Zivver helpt organisaties om te voldoen aan de eisen van de AVG op het gebied van gegevenstoegang en verwijdering, en aan landspecifieke regelgeving. Voorbeelden hiervan zijn de UK NCSC en de Nederlandse NTA 7516.
Gegevensbewaring is relevant voor zowel de inhoud van berichten als de logbestanden die binnen Zivver worden gegenereerd. In dit artikel wordt eerst de standaard bewaartermijn van audit logs uitgelegd. Vervolgens worden de gedetailleerde opties voor het instellen van de bewaartermijn van berichtinhoud toegelicht.
Bewaartermijn van audittrails
De audittrails in het audit- en communicatielogboek van het beheerderspaneel worden zes jaar bewaard. Dit is in lijn met internationale standaarden zoals HIPAA. Elk event in deze logboeken wordt zes jaar na de oorspronkelijke aanmaak verwijderd en is daarna niet meer zichtbaar in het beheerderspaneel. Deze bewaartermijn is niet aanpasbaar en geldt voor alle Zivver-klanten. Neem contact op met je Customer Success Manager als je wettelijke verplichtingen hebt om logs langer dan zes jaar te bewaren.
Opties voor toegangscontrole tot data
In Zivver zijn er functies die de toegang tot data door betrokkenen beïnvloeden. Sommige van deze functies zijn beschikbaar voor verzenders. Andere zijn beschikbaar voor beheerders van de organisatie. Verzenders van een bericht bepalen aan wie en hoe lang data toegankelijk zijn. Daarnaast bestaan er organisatorische controles die invloed kunnen hebben op datatoegang en bewaring.
Wat zijn de consequenties?
- Voor de toegang tot data door gebruikers.
- Voor de toegang tot data door beheerders.
- Voor de opslag van data door Zivver.
Soorten functies
Toegangscontrolemaatregelen
Maatregelen die ervoor zorgen dat accounts geen toegang hebben tot de data. Deze maatregelen gelden voor gebruikers voor wie toegang tot de data niet nodig of wenselijk is. Voor de meeste AVG-gerelateerde processen is deze maatregel relevant. Als voor alle ontvangers de toegang wordt ingetrokken, activeert Zivver automatisch een maatregel voor gegevensverwijdering.
Maatregelen voor gegevensverwijdering
Maatregelen die ervoor zorgen dat data ontoegankelijk zijn. Deze maatregelen gelden voor alle betrokkenen. Dat betekent dat de ontvangers met wie de data is gedeeld na deze maatregel geen toegang meer hebben tot deze data in Zivver. Het bericht is onbereikbaar omdat Zivver de encryptiesleutel heeft verwijderd. De metadata, inclusief het onderwerp en de ontvangers, blijven wel toegankelijk. Deze maatregelen zijn alleen bedoeld voor specifieke situaties, bijvoorbeeld wanneer gevoelige informatie per ongeluk met de verkeerde persoon is gedeeld.
Toegangscontroleopties voor verzenders
In de Zivver-clientsoftware hebben verzenders van berichten en bestanden de volgende opties om datatoegang en -bewaring aan te passen:
Verlooptijd instellen
Verzenders van een beveiligd bericht kunnen een verlooptijd instellen. Na het verstrijken van deze periode heeft de verzender de volgende keuzes:
- Alleen ontvangers verliezen toegang. Dit is een maatregel voor toegangscontrole.
- Iedereen, inclusief de verzender, verliest toegang. Dit is een maatregel voor gegevensverwijdering.
Bij de eerste optie kunnen verzenders de toegang voor ontvangers ook weer herstellen (‘unrevoke’). Bij de tweede optie is dat niet mogelijk omdat het bericht permanent onbereikbaar is. Het bericht blijft permanent onbereikbaar omdat de decryptiesleutels zijn verwijderd. Zo kunnen gebruikers voldoen aan het bewaarbeleid van hun organisatie. Gebruikers kunnen de verlooptijd direct vanuit hun Zivver-compatibele client instellen.
Directe intrekking van toegang
Voor elk verzonden bericht kunnen verzenders direct de toegang tot dat bericht intrekken. Deze functie is handig wanneer de verzender een fout maakt, bijvoorbeeld een verkeerd e-mailadres invoert.
De verzender heeft de volgende opties:
- Alleen ontvangers verliezen toegang. Dit is een maatregel voor toegangscontrole.
- Iedereen, inclusief de verzender, verliest toegang. Dit is een maatregel voor gegevensverwijdering.
Bij de eerste optie kunnen verzenders de toegang voor ontvangers ook weer herstellen (‘unrevoke’). Bij de tweede optie is dat niet mogelijk omdat het bericht onbereikbaar is. Voor deze functie laat Zivver gebruikers bewust niet toe om toegang voor één specifieke ontvanger in te trekken. Gebruikers kunnen dit alleen voor een heel bericht doen. Dit voorkomt dat zij per ongeluk de verkeerde ontvanger selecteren in een stressvolle situatie. Gebruikers kunnen een specifieke ontvanger uit een conversatie verwijderen met een aparte optie: Deelnemer verwijderen. Gebruikers kunnen toegang direct intrekken vanuit hun Zivver-client.
Voor meer informatie over directe intrekking van toegang door beheerders, zie Bericht intrekken in de Zivver WebApp beheerdershandleiding.
Deelnemer verwijderen
Wanneer gebruikers een bericht in Zivver sturen, starten zij een conversatie met de geadresseerde ontvangers, deelnemers genoemd. De eigenaar van deze conversatie, de initiële verzender van het eerste bericht, kan individuele deelnemers verwijderen uit de conversatie. Dit is een maatregel voor toegangscontrole. Dit is echter alleen mogelijk als die deelnemer nog geen antwoord heeft gestuurd in de conversatie. Als gebruikers informatie in dat geval moeten blokkeren, kunnen ze de functie Directe intrekking van toegang gebruiken.
Conversatie verwijderen
Gebruikers kunnen ook een conversatie verwijderen. Hierbij verwijderen zij zichzelf als deelnemer uit de conversatie. Dit is een maatregel voor toegangscontrole. Andere deelnemers kunnen de conversatie nog wel lezen en openen.
Toegangscontroleopties voor beheerders
Naast de gebruikersopties hebben beheerders de volgende mogelijkheden.
Standaard verlooptijd instellen
Beheerders kunnen een standaardvervalperiode instellen voor berichten die door gebruikers worden verzonden. Deze periode geldt voor alle berichten, tenzij een gebruiker deze handmatig aanpast. Net als bij de instelling op gebruikersniveau, kan de beheerder het verval op twee manieren configureren:
- Alleen ontvangers verliezen toegang — dit is een maatregel voor toegangsbeheer.
- Iedereen, inclusief de afzender, verliest toegang — dit is een maatregel voor gegevensverwijdering.
Zie Bericht intrekking voor instructies over het instellen van de standaardvervalperiode.
Gebruikersactie namens iemand anders uitvoeren (‘impersonatie’)
In Zivver kunnen beheerders specifieke gebruikers toegang geven tot andere gebruikersaccounts, inclusief hun eigen account. De gedelegeerde gebruiker heeft dan toegang tot alle hierboven beschreven gebruikersopties.
Je kunt deze functie gebruiken om namens een gebruiker de toegang tot een bericht in te trekken. Dit is handig als de gebruiker zichzelf niet kan corrigeren of bij kwaadwillige verspreiding van gevoelige informatie.
Een gebruikersaccount deactiveren
Beheerders kunnen elk gebruikersaccount deactiveren, handmatig of via synchronisatie met een directoryservice zoals Active Directory (met SCIM 2).
Als een account is gedeactiveerd, kan die specifieke gebruiker niet meer inloggen, maar er verandert niets op dataniveau. Dit is een maatregel voor toegangscontrole.
Een gebruikersaccount verwijderen
Een beheerder kan ook een gebruikersaccount verwijderen. Dit betekent ook dat de gebruiker uit alle conversaties waarin hij deelnam wordt verwijderd. Dit is een maatregel voor toegangscontrole.
De organisatie verwijderen
Met deze optie worden alle gebruikersaccounts en hun onderliggende data uit Zivver verwijderd. Dit is een maatregel voor toegangscontrole.
Overzicht van toegangscontrole- en gegevensbewaarmaatregelen in Zivver
Acties van gebruikers | Type |
---|---|
Verlooptijd instellen – Toegang voor ontvangers uitschakelen | Maatregel toegangscontrole |
Verlooptijd instellen – Toegang voor iedereen uitschakelen | Maatregel gegevensverwijdering |
Directe intrekking van toegang – Toegang voor ontvangers uitschakelen | Maatregel toegangscontrole |
Directe intrekking van toegang – Toegang voor iedereen uitschakelen | Maatregel gegevensverwijdering |
Deelnemer verwijderen | Maatregel toegangscontrole |
Conversatie verwijderen | Maatregel toegangscontrole |
Acties van beheerders | Type |
---|---|
Standaard verlooptijd instellen – Toegang voor ontvangers uitschakelen | Maatregel toegangscontrole |
Standaard verlooptijd instellen – Toegang voor iedereen uitschakelen | Maatregel gegevensverwijdering |
Gebruikersaccount deactiveren | Maatregel toegangscontrole |
Gebruikersaccount verwijderen | Maatregel toegangscontrole |
Organisatieaccount verwijderen | Maatregel toegangscontrole |
Wat gebeurt er bij het verwijderen van data
Bij hard delete worden de berichten en bestanden van de gebruiker(s) fysiek verwijderd. Deze handeling verwijdert specifiek de volgende onderdelen uit het Zivver-systeem:
- Alle encryptie- en decryptiesleutels.
- De berichten en alle bestanden.
Hard delete overschrijft deze objecten met lege objecten. Dit zorgt ervoor dat er geen informatie achterblijft op het onderliggende hardware-niveau.