Zivver gegevens toegang, bewaartermijn en verwijdering

Introductie

In privacywetgeving, zoals de AVG, zijn toegangscontrole en gegevensbewaring belangrijke vereisten. In de regel mogen persoonsgegevens niet worden verwerkt of gedeeld zonder geldige reden. Zivver helpt organisaties om te voldoen aan de eisen van de AVG op het gebied van gegevens­toegang en verwijdering, en aan land­specifieke regelgeving. Voorbeelden hiervan zijn de UK NCSC en de Nederlandse NTA 7516.

Gegevensbewaring is relevant voor zowel de inhoud van berichten als de logbestanden die binnen Zivver worden gegenereerd. In dit artikel wordt eerst de standaard bewaartermijn van audit logs uitgelegd. Vervolgens worden de gedetailleerde opties voor het instellen van de bewaartermijn van berichtinhoud toegelicht.

Bewaartermijn van audittrails

De audittrails in het audit- en communicatie­logboek van het beheerderspaneel worden zes jaar bewaard. Dit is in lijn met internationale standaarden zoals HIPAA. Elk event in deze logboeken wordt zes jaar na de oorspronkelijke aanmaak verwijderd en is daarna niet meer zichtbaar in het beheerderspaneel. Deze bewaar­termijn is niet aanpasbaar en geldt voor alle Zivver-klanten. Neem contact op met je Customer Success Manager als je wettelijke verplichtingen hebt om logs langer dan zes jaar te bewaren.

Opties voor toegangscontrole tot data

In Zivver zijn er functies die de toegang tot data door betrokkenen beïnvloeden. Sommige van deze functies zijn beschikbaar voor verzenders. Andere zijn beschikbaar voor beheerders van de organisatie. Verzenders van een bericht bepalen aan wie en hoe lang data toegankelijk zijn. Daarnaast bestaan er organisatorische controles die invloed kunnen hebben op data­toegang en bewaring.

Wat zijn de consequenties?

  • Voor de toegang tot data door gebruikers.
  • Voor de toegang tot data door beheerders.
  • Voor de opslag van data door Zivver.

Soorten functies

Toegangscontrolemaatregelen
Maatregelen die ervoor zorgen dat accounts geen toegang hebben tot de data. Deze maatregelen gelden voor gebruikers voor wie toegang tot de data niet nodig of wenselijk is. Voor de meeste AVG-gerelateerde processen is deze maatregel relevant. Als voor alle ontvangers de toegang wordt ingetrokken, activeert Zivver automatisch een maatregel voor gegevensverwijdering.

Maatregelen voor gegevensverwijdering
Maatregelen die ervoor zorgen dat data ontoegankelijk zijn. Deze maatregelen gelden voor alle betrokkenen. Dat betekent dat de ontvangers met wie de data is gedeeld na deze maatregel geen toegang meer hebben tot deze data in Zivver. Het bericht is onbereikbaar omdat Zivver de encryptiesleutel heeft verwijderd. De metadata, inclusief het onderwerp en de ontvangers, blijven wel toegankelijk. Deze maatregelen zijn alleen bedoeld voor specifieke situaties, bijvoorbeeld wanneer gevoelige informatie per ongeluk met de verkeerde persoon is gedeeld.

Toegangscontroleopties voor verzenders

In de Zivver-clientsoftware hebben verzenders van berichten en bestanden de volgende opties om data­toegang en -bewaring aan te passen:

Verlooptijd instellen
Verzenders van een beveiligd bericht kunnen een verlooptijd instellen. Na het verstrijken van deze periode heeft de verzender de volgende keuzes:

  • Alleen ontvangers verliezen toegang. Dit is een maatregel voor toegangscontrole.
  • Iedereen, inclusief de verzender, verliest toegang. Dit is een maatregel voor gegevensverwijdering.

Bij de eerste optie kunnen verzenders de toegang voor ontvangers ook weer herstellen (‘unrevoke’). Bij de tweede optie is dat niet mogelijk omdat het bericht permanent onbereikbaar is. Het bericht blijft permanent onbereikbaar omdat de decryptiesleutels zijn verwijderd. Zo kunnen gebruikers voldoen aan het bewaarbeleid van hun organisatie. Gebruikers kunnen de verlooptijd direct vanuit hun Zivver-compatibele client instellen.

Directe intrekking van toegang
Voor elk verzonden bericht kunnen verzenders direct de toegang tot dat bericht intrekken. Deze functie is handig wanneer de verzender een fout maakt, bijvoorbeeld een verkeerd e-mailadres invoert.

De verzender heeft de volgende opties:

  • Alleen ontvangers verliezen toegang. Dit is een maatregel voor toegangscontrole.
  • Iedereen, inclusief de verzender, verliest toegang. Dit is een maatregel voor gegevensverwijdering.

Bij de eerste optie kunnen verzenders de toegang voor ontvangers ook weer herstellen (‘unrevoke’). Bij de tweede optie is dat niet mogelijk omdat het bericht onbereikbaar is. Voor deze functie laat Zivver gebruikers bewust niet toe om toegang voor één specifieke ontvanger in te trekken. Gebruikers kunnen dit alleen voor een heel bericht doen. Dit voorkomt dat zij per ongeluk de verkeerde ontvanger selecteren in een stressvolle situatie. Gebruikers kunnen een specifieke ontvanger uit een conversatie verwijderen met een aparte optie: Deelnemer verwijderen. Gebruikers kunnen toegang direct intrekken vanuit hun Zivver-client.

Voor meer informatie over directe intrekking van toegang door beheerders, zie Bericht intrekken in de Zivver WebApp beheerdershandleiding.

Deelnemer verwijderen
Wanneer gebruikers een bericht in Zivver sturen, starten zij een conversatie met de geadresseerde ontvangers, deelnemers genoemd. De eigenaar van deze conversatie, de initiële verzender van het eerste bericht, kan individuele deelnemers verwijderen uit de conversatie. Dit is een maatregel voor toegangscontrole. Dit is echter alleen mogelijk als die deelnemer nog geen antwoord heeft gestuurd in de conversatie. Als gebruikers informatie in dat geval moeten blokkeren, kunnen ze de functie Directe intrekking van toegang gebruiken.

Conversatie verwijderen
Gebruikers kunnen ook een conversatie verwijderen. Hierbij verwijderen zij zichzelf als deelnemer uit de conversatie. Dit is een maatregel voor toegangscontrole. Andere deelnemers kunnen de conversatie nog wel lezen en openen.

Toegangscontroleopties voor beheerders

Naast de gebruikersopties hebben beheerders de volgende mogelijkheden.

Standaard verlooptijd instellen
Beheerders kunnen een standaardvervalperiode instellen voor berichten die door gebruikers worden verzonden. Deze periode geldt voor alle berichten, tenzij een gebruiker deze handmatig aanpast. Net als bij de instelling op gebruikersniveau, kan de beheerder het verval op twee manieren configureren:

  • Alleen ontvangers verliezen toegang — dit is een maatregel voor toegangsbeheer.
  • Iedereen, inclusief de afzender, verliest toegang — dit is een maatregel voor gegevensverwijdering.

Zie Bericht intrekking voor instructies over het instellen van de standaardvervalperiode.

Gebruikersactie namens iemand anders uitvoeren (‘impersonatie’)
In Zivver kunnen beheerders specifieke gebruikers toegang geven tot andere gebruikersaccounts, inclusief hun eigen account. De gedelegeerde gebruiker heeft dan toegang tot alle hierboven beschreven gebruikersopties.

Je kunt deze functie gebruiken om namens een gebruiker de toegang tot een bericht in te trekken. Dit is handig als de gebruiker zichzelf niet kan corrigeren of bij kwaadwillige verspreiding van gevoelige informatie.

Een gebruikersaccount deactiveren
Beheerders kunnen elk gebruikersaccount deactiveren, handmatig of via synchronisatie met een directoryservice zoals Active Directory (met SCIM 2).

Als een account is gedeactiveerd, kan die specifieke gebruiker niet meer inloggen, maar er verandert niets op dataniveau. Dit is een maatregel voor toegangscontrole.

Een gebruikersaccount verwijderen
Een beheerder kan ook een gebruikersaccount verwijderen. Dit betekent ook dat de gebruiker uit alle conversaties waarin hij deelnam wordt verwijderd. Dit is een maatregel voor toegangscontrole.

Opmerking
Zivver activeert automatisch een maatregel voor gegevensverwijdering als alle gebruikers geen toegang meer hebben tot een specifieke conversatie. Maar als je een gebruikersaccount verwijdert, worden de berichten die de gebruiker heeft verstuurd NIET automatisch verwijderd.

De organisatie verwijderen
Met deze optie worden alle gebruikersaccounts en hun onderliggende data uit Zivver verwijderd. Dit is een maatregel voor toegangscontrole.

Overzicht van toegangscontrole- en gegevensbewaarmaatregelen in Zivver

Acties van gebruikersType
Verlooptijd instellen – Toegang voor ontvangers uitschakelenMaatregel toegangscontrole
Verlooptijd instellen – Toegang voor iedereen uitschakelenMaatregel gegevensverwijdering
Directe intrekking van toegang – Toegang voor ontvangers uitschakelenMaatregel toegangscontrole
Directe intrekking van toegang – Toegang voor iedereen uitschakelenMaatregel gegevensverwijdering
Deelnemer verwijderenMaatregel toegangscontrole
Conversatie verwijderenMaatregel toegangscontrole
Acties van beheerdersType
Standaard verlooptijd instellen – Toegang voor ontvangers uitschakelenMaatregel toegangscontrole
Standaard verlooptijd instellen – Toegang voor iedereen uitschakelenMaatregel gegevensverwijdering
Gebruikersaccount deactiverenMaatregel toegangscontrole
Gebruikersaccount verwijderenMaatregel toegangscontrole
Organisatieaccount verwijderenMaatregel toegangscontrole

Wat gebeurt er bij het verwijderen van data

Bij hard delete worden de berichten en bestanden van de gebruiker(s) fysiek verwijderd. Deze handeling verwijdert specifiek de volgende onderdelen uit het Zivver-systeem:

  • Alle encryptie- en decryptiesleutels.
  • De berichten en alle bestanden.

Hard delete overschrijft deze objecten met lege objecten. Dit zorgt ervoor dat er geen informatie achterblijft op het onderliggende hardware-niveau.