Als aanvulling op de beschreven beveiligingsmaatregelen, wordt hieronder voor systeembeheerders en andere geïnteresseerden nog een toelichting gegeven op een aantal specifieke maatregelen.

Beleid

De doelgroep van VraagApp is per definitie kwetsbaar. Veel van de maatregelen zijn daarom gericht op het beschermen van de doelgroep. Ook  maakt een beveiligings- en privacyexpert deel uit van het team. De beveiliging bij VraagApp bestaat niet alleen uit technische maatregelen en organisatorische maatregelen om ongewenste situaties en ongewenst gedrag te voorkomen, maar ook uit het vermogen om problemen te detecteren en het vermogen om daarbij op te treden.

Juridisch

3 Times Impact (aanbieder van VraagApp) is juridisch gezien data verantwoordelijk. Gebruikers kunnen andere mensen uitnodigen om VraagApp te gebruiken. Daarvoor moeten ze het 06 nummer van die andere persoon invoeren in de app.

Wij vragen gebruikers andere mensen uit te nodigen. Om de privacy-impact daarvan zo klein mogelijk te houden, worden de door gebruikers ingevoerde 06 nummers als afgeleide code (hash) opgeslagen. Pas als er daadwerkelijk een profiel wordt aangemaakt op dat 06 nummer wordt het betreffende nummer volledig opgeslagen in de database.

Bewaartermijnen

VraagApp bewaart gegevens met de volgende doelen:

  • De directe dienstverlening aan gebruikers
  • Controle op het functioneren van VraagApp
  • Verbeteren van de usabililty van VraagApp
  • Opsporing misbruik (inclusief patronen daarbij)
  • Bewijslast bij misbruik

Deze doelen resulteren in de volgende bewaartermijnen:

Gegevens: Bewaartermijn:
Gesprekken die door vragenstellers verwijderd worden in de app Nog 24 uur zichtbaar voor de meedenker, nog 3 maanden in archief/dashboard
Gesprekken van mensen die we blokkeren Nog 6 maanden in archief/dashboard
Gesprekken waar ‘dit is niet oké is aangetikt of een printscreen is gemaakt Nog 6 maanden in archief/dashboard
Gesprekken van vragenstellers die hun account hebben verwijderd Nog 14 dagen na verwijderen van account
Overige gesprekken Nog 3 maanden in archief/dashboard
Persoonlijke gegevens van vragenstellers waarvan abonnement is afgelopen Nog 30 dagen na aflopen van abonnement
Persoonlijke gegevens van geblokkeerde vragenstellers Telefoonnummer en reden van blokkeren: totdat ze handmatig verwijderd of gedeblokkeerd worden. Overige gegevens: 6 maanden
Persoonlijke gegevens van overige vragenstellers Tot 14 dagen na verwijderen van account
Persoonlijke gegevens van geblokkeerde vrijwilligers Telefoonnummer en reden van blokkeren: totdat ze handmatig verwijderd of gedeblokkeerd worden. Overige gegevens: 6 maanden
Persoonlijke gegevens van vrijwilligers Tot 14 dagen na verwijderen account
Gedetailleerde statistieken over het gebruik van de app 90 dagen
Gehashte telefoonnummers van uitgenodigde mensen 6 maanden

Diensten van derden

Voor het goed functioneren van VraagApp zijn de diensten van derden nodig. VraagApp stelt hoge eisen aan deze partijen: ze moeten een strikt privacy-beleid hebben. Daarnaast moeten of in de EU gevestigd zijn of ze moeten voldoen aan het Privacy-Shield akkoord. Daarnaast voorkomt VraagApp dat er een derde partij is die inzicht heeft in alle aspecten van het gebruik van VraagApp. VraagApp werkt samen met de volgende derde partijen:

  • TransIP (NL) voor de hosting. TransIP heeft toegang tot de ip-nummers van de gebruikers van vraagapp.
  • Mixpanel (USA) voor gebruikersstatistieken en push-berichten. Mixpanel heeft toegang tot de patronen van het gebruik van VraagApp en in de inhoud van de push-berichten. Mixpanel heeft geen toegang tot de inhoud van de gesprekken of de foto’s.
  • Amazon S3 en SES (EU) voor file storage en e-mail service. Amazon heeft toegang tot de bestanden (foto’s, gesproken berichten) die voor vraagapp verstuurd worden en mail die via VraagApp verstuurd wordt.
  • Sinch (Zweden) voor 06-nummer verificatie en verzenden van sms. Sinch heeft toegang tot de telefoonnummers van de mensen die zich bij VraagApp registreren.
  • Google GCM (Android) en Apple APNS (iOS) voor push notificaties. Google en Apple hebben toegang tot de push-berichten die door VraagApp getoond worden.
  • Rollbar (USA) voor error tracking. Rollbar heeft toegang tot het ip-adres van de gebruiker, de versie van de browser op de telefoon, het besturingssysteem van de telefoon het identificatie nummer van de telefoon.