PDA

Bekijk Volledige Versie : Colocatie en AVG/Verwerkersovereenkomst



Megens75
04/05/18, 11:41
Ik ben in discussie met onze datacenter leverancier waar wij een Colocatie dienst afnemen (half rack). Dit houdt in dat wij onze eigen servers in hun serverruimte plaatsen waarbij wij zelf volledig verantwoordelijk zijn voor toegang en onderhoud van de servers.

Volgens de leverancier is er in dit geval geen Verwerkersovereenkomst nodig onder de nieuwe AVG wetgeving omdat ze geen persoonsgegevens verwerken in opdracht van ons.

Ik ben zelf van mening dat er wel een overeenkomst nodig is, omdat ze o.a. zorgen voor de doorvoer van onze gegevens en de fysieke beveiliging (toegangscontrole, alarm etc) van de Colocatie serverruimte.

Kan iemand uitsluitsel geven wie gelijk heeft in deze situatie?

vriendelijke groet,
Pim

CharlieRoot
04/05/18, 17:42
Lijkt mij niet aangezien ze niet daadwerkelijk iets met de gegevens doen. ze leveren je stroom, dat is iets heel anders.

Megens75
04/05/18, 18:10
Naast stroom leveren ze ook beveiliging lijkt me, de fysieke toegang tot onze servers.
Wat als ze per ongeluk iemand binnenlaten die wegloopt met onze servers ... alle persoonsgegevens weg? :huh:

Pepperfield
05/05/18, 17:56
In dat geval doet de leverancier nog steeds niet aan gegevensverwerking, en heeft ook geen toegang tot de persoonsgegevens. Jij hebt dan overigens wel een probleem omdat de persoonsgegevens die op de servers staan, op straat liggen.

Het is misschien beter om jouw leverancier te vragen naar zijn beleid over het in- en uitvoeren van hardware.

Gr,
Maarten

t.bloo
05/05/18, 22:49
Er zijn adviseurs die zeggen dat ook iedereen met fysieke toegang tot servers, toegang hebben tot de persoonsgegevens. En dat is vaak bijna iedereen die het datacenter in kan. Want veel racks hebben simpele codes of master keys of zijn gewoon open te schroeven...

ju5t
06/05/18, 10:52
Ze leveren ook het netwerk en een IP-adres van een bezoeker is ook een persoonsgegeven.

The-BosS
06/05/18, 12:01
Ze leveren ook het netwerk en een IP-adres van een bezoeker is ook een persoonsgegeven.

Als je die lijn doortrekt dan moet elke isp en/of transit partij dit ook doen voor zijn klanten en dat lijkt me wel iets te ver gaan.

Dan moet je in princiepe ook een gdpr hebben met bvb een bank omdat je daar je backups in hun kluis legt of met je bedrijventerrein die gedeelde receptie diensten aanbied, want ze ontvangen tenslotte je post of brengen je post weg. En met je suppermarkt en andere dienstverleners waar je een klantenkaart hebt etc en winkels/bedrijven die je goederen in je kast komen steken of je koffiemachine/automaat komen bijvullen en kuisen en ..., want ja dan kunnen ze fysiek ook aan je computers met klantengegevens. Lijkt me allemaal wat te ver te gaan als je het mij vraagt.

ju5t
06/05/18, 12:19
Als je een klantenkaart hebt bij een supermarkt dan zullen ze (de supermarkt) aan moeten geven welke gegevens ze over je opslaan. Het zijn jou aankoopgegevens tenslotte. Maar dat is iets anders (persoon vs. bedrijf) en staat lost van de verwerkersovereenkomst. Tenzij de supermarkt persoonsgegevens verwerkt die jij voor je klanten in beheer hebt. Die kans is klein.

Bij een gedeelde receptie ligt het er maar net aan wat zij precies voor je doen. Dat vind ik een grijs gebied maar wel een interessante vraag.


Als je die lijn doortrekt dan moet elke isp en/of transit partij dit ook doen voor zijn klanten en dat lijkt me wel iets te ver gaan.

De vraag is denk ik vooral of je een losse verwerkersovereenkomst op moet stellen hiervoor. Ik heb dezelfde vraag al eens gesteld bij ICTRecht en daar kwam uit dat als je dezelfde gegevens voor alle klanten verwerkt (wat bij een colocatie/netwerkleverancier vaak het geval is) het volstaat als je een verwerkersovereenkomst in je algemene voorwaarden hebt staan. Als het per klant verschilt dan kun je een losse verwerkersovereenkomst opstellen.

Tuxis_IE
08/05/18, 16:14
Wij hebben ons de volgende vragen gesteld:
Als wij een fout maken, is er dan dataverlies?
en
Kunnen wij die data beveiligen?

Als we in het datacenter iemand een poort leveren met internet is het antwoord op die 2e vraag nee.
Natuurlijk zou je verkeer kunnen routeren, maar het kan ook ergens op het internet gesniffed worden. En daar moet de afnemer vanuit gaan. Dus hij moet het verkeer dusdanig beveiligen dat sniffen geen risico vormt.

Dus je colocatie leverancier is geen verwerker zolang hij geen data voor je bewaard. En anders moet je inderdaad afspraken gaan maken met het hele internet...

Wij hebben overigens de verwerkersovereenkomst in onze algemene voorwaarden gezet en de klanten een document laten ondertekenen met wat wij voor ze bewaren. Tevens hebben we de Sensible Use Policy in het leven geroepen zodat klanten kunnen lezen dat het bewaren van bijzondere persoonsgegevens in je e-mail een slecht idee is (om er maar 1 te noemen)

Marin
08/05/18, 16:54
Tuxis_IE ik kan je redenering volgen. Maar jij hebt wel de mogelijkheid om:
- De disks uit de server te trekken en uit te lezen
- De server op straat te leggen
- Een console aan de server te hangen en de disks uit te lezen.

In die zin kan je worden gezien als (sub) verwerker.

Tuxis_IE
08/05/18, 17:15
Tuxis_IE ik kan je redenering volgen. Maar jij hebt wel de mogelijkheid om:
- De disks uit de server te trekken en uit te lezen
- De server op straat te leggen
- Een console aan de server te hangen en de disks uit te lezen.

In die zin kan je worden gezien als (sub) verwerker.

Maar dat kan de schoonmaaker ook op een gemiddeld kantoor..... Is die dan ook een verwerker?
Dat is hij niet want het is niet iets dat mag of overeengekomen is. Je hoeft niet met iedereen die, als ze iets doen wat ze niet horen te doen, een overeenkomst te sluiten.

En terwijl ik dat tiep realiseer ik me dat ze het wel zouden kunnen vragen om te doen. En dan heb je weer wel een verwerkersoveenkomst nodig omdat je dan in opdracht handelt.

Dus doet je leverancier hands-on? Dan moet je dus wel een overeenkomst hebben...
Please correct me if i'm wrong :-)

virtuality
08/05/18, 19:43
Zodra je hands-on inschakelt en ze het wachtwoord geeft om op de server iets te doen kunnen ze legaal bij de data. Disk eruit halen kan iedereen maar als je dat doortrekt moet je ook alvast een overeenkomst voor een eventuele dief van de hardware klaarleggen.

CharlieRoot
09/05/18, 22:45
Zodra je hands-on inschakelt en ze het wachtwoord geeft om op de server iets te doen kunnen ze legaal bij de data. Disk eruit halen kan iedereen maar als je dat doortrekt moet je ook alvast een overeenkomst voor een eventuele dief van de hardware klaarleggen.

oke, hier moest ik even om lachen. :-)

Marin
10/05/18, 13:47
Disk eruit halen kan iedereen maar als je dat doortrekt moet je ook alvast een overeenkomst voor een eventuele dief van de hardware klaarleggen.

Ja die ligt hier op kantoor netjes klaar. Bij jou niet?

virtuality
10/05/18, 14:25
Omdat ik denk dat ze niet netjes afmelden op kantoor hangen ze in de racks ;-)