Ik zag op de website van een hoster dat klanten een verwerkingsovereenkomst kunnen aanvragen voor €99
Ik zag op de website van een hoster dat klanten een verwerkingsovereenkomst kunnen aanvragen voor €99
https://www.openworx.nl | Cloud diensten - IT - ERP - Odoo Hosting
Marin Heideman (DigiState B.V.)
SystemDeveloper.NL - 64BitsWebhosting.EU : Softwareontwikkeling & Hosting freaks
Het is illegaal om hosting te doen zonder verwerkersovereenkomst tenzij er NOOIT ook maar iets van persoonlijke data op die hosting site komt (dus geen emailadressen, tel nrs, ip-adressen, namen enz). De formulering suggereert dat het optioneel is. Wat het dus niet is.
SystemDeveloper.NL - 64BitsWebhosting.EU : Softwareontwikkeling & Hosting freaks
Dus 0 logfiles met ip's in, 0 logfiels met maillogs in, 0 tel-nrs op de site, 0 contact-formulieren enz. Good luck.
Het gaat er trouwens niet alleen om wat jij gaat doen. Het gaat er om wat de klant op de site plaatst of verzamelt.
Laatst gewijzigd door frankske; 23/11/17 om 13:34.
https://www.openworx.nl | Cloud diensten - IT - ERP - Odoo Hosting
En dat maakt dat gros helemaal illegaal na 25 mei. Maar dus ook mede-verantwoordelijk bij een datalek. Succes allemaal
Niet te kort door de bocht allemaal
Iets dat verplicht is, mag direct of indirect natuurlijk best geld kosten. De dienstverlening wordt duurder, dus het contract ook.
Laten we vooral even duidelijk houden dat het niet inherent aan "hosten" is dat er prive gegevens worden verwerkt door een leverancier. Als ik rackspace verhuur, dan ben ik hoster maar heb ik geen problemen met verwerkersovereenkomsten want ik kan niet bij de data van de klant. Net zo goed als dat de postbode niet bij de data kan die op een harddisk staat die met de post wordt verstuurd.
Als ik een dedicated server verhuur zonder onderhoud hetzelfde. Met backups er bij weer niet. Een virtuele server wordt weer wat lastiger, maar eentje zonder beheerderstoegang lijkt me ook dat je niet voor de klant iets aan het verwerken bent.
Voor shared hosting en voor managed hosting wordt het volgend jaar inderdaad anders. Maar ik vraag me echt af of email echt onder privacy gevoelige dienstverlening gaat vallen. Gaat iedereen met Microsoft en Google en KPN een verwerkersovereenkomst aan dan voor hun gratis email accountje?
Dommel Hosting --- servers en colocatie in Eindhoven en Den Bosch
Nu is de vraag, publiceer je een algemene verwerkersovereenkomst (sommige hosters doen dat) op de site of per klant individueel, ondertekend door beide partijen?
https://www.openworx.nl | Cloud diensten - IT - ERP - Odoo Hosting
Met "hosting" bedoelde ik shared/managed hosting. Of colo er onder zal vallen, zal van de rechtspraak afhangen: je kan immers fysiek aan de harddisks als je wil. Al zal de rechtbank vermoedelijk oordelen dat je daardoor geen verwerker bent. Merk op dat het geval van een unmanaged VM of IaaS provider anders is: je kan aan de storage, dus je kan aan de data. Zelfs als de data versleutelt is, kan je er fysiek aan. (Als de data versleutelt is, maakt dat het je wel makkelijker, maar het neemt mijn inziens de verplichting niet weg om een verwerkersovereenkomst te hebben).
Ivm je laatste paragraaf: tuurlijk wel. Het gaat niet om "privacy gevoelige data". Het gaat om alle persoonsgegevens. Een naam en een emailadres zijn persoonsgegevens. En uiteraard gaan Google en MS een verwerkersovereenkomst met je afsluiten. Alleen is het voor hen veel gemakkelijker: wat je opslaat is immers voor elke klant hetzelfde, dus het kan bij hen wel weer een standaard tekst zijn.
@mgielissen : er moet een "overeenkomst" zijn. Dat impliceert een akkoord van twee partijen. Het gewoon publiceren op de site, is dus niet genoeg, er moet minstens naar verwezen worden in iets waar de klant mee zich akkoord verklaard heeft. Plus: wat ga je daar dan in zetten als categorieën data? De meest uitgebreidde? Dan ga je moeten aantonen dat je beveiliging voor het kleinste pakketje dat je hebt, op de meest privacy-gevoelige categorieën voorzien is. Good luck.
Merk trouwens op dat je er met het puur publiceren van zo'n overeenkomst niet van af bent. Art 30 verplicht je bv van een "Records of processing activities" bij te houden, met daarin voor welke klant je welke data op welke manier verwerkt.
https://www.openworx.nl | Cloud diensten - IT - ERP - Odoo Hosting