Marin Heideman (DigiState B.V.)
Toch eens benieuwd hoe andere hosters hier naar kijken:
Wij sluiten met al onze leveranciers en klanten (sub)verwerkersovereenkomsten. Zelfs datacenters zijn hier gelukkig goed op voorbereid maar heb een specifieke partij waar wat discussie mee loopt. Ik ben niet volledig juridisch onderlegd om te kunnen beoordelen of deze partij gelijk heeft.
Wij doen o.a. zaken met een partij die bij fysieke servers kunnen waarop data van klanten van ons staat. Deze partij heeft in theorie de mogelijkheid om bij die data te kunnen, maar hoeven dit niet te doen. Zij manipuleren de data niet, back-uppen niks en nemen geen beslissing over de manier van opslaan, softwarematige beveiliging, patching e.d. Die verantwoordelijkheid ligt volledig bij ons. Ze kunnen er alleen wel bij als ze dat zouden willen.
Deze partij geeft aan dat zij geen verwerker zijn zodanig dat er een verwerkersovereenkomst getekend hoeft te worden. Zij geven aan geen verantwoordelijkheid te hebben over de data omdat ze hier niets mee doen en dus ook niet kunnen weten welke data er staat. Ook is het dus zo dat zij geen invloed hebben op de opslag, beveiliging etc. Ze geven aan de verantwoordelijkheid volledig terug te verplaatsen naar ons omdat wij volledige invloed hebben en zij niks met de data doen.
Ik persoonlijk ben van mening dat zij toch wel subverwerker zijn en met mij een (sub) verwerkersovereenkomst af moeten sluiten.
De partij in kwestie heeft de nodige (relevante) ISO certificeringen wat aangeeft dat ze het nodige doen op het gebied van informatiebeveiliging. Het is dus zeker een professionele club die ook de nodige AVG kennis heeft ingewonnen. Ik heb ook het volste vertrouwen erin dat zij alles goed hebben geregeld.
Elke jurist kijkt weer anders naar de AVG dus ben even benieuwd hoe een andere hoster hier tegenaan kijkt.
Ze 'kunnen' eraan, dus hoe goed ze het ook bedoelen, er kan altijd iemand bij wijze van spreken je server pakken en op straat gooien.
Maar even praktischer en misschien realistischer... jouw klanten mogen in principe audits uitvoeren en daar zal je dc niet in de weg moeten gaan zitten.
Ook moet jij de garantie hebben dat je servers veilig staan en misschien maak je wel eens gebruik van hands-on?
Ik denk dus dat ze er niet onderuit komen door te zeggen dat ze het niet doen...
SystemDeveloper.NL - 64BitsWebhosting.EU : Softwareontwikkeling & Hosting freaks
25 mei komt rap dichterbij en wij hebben inmiddels ook al onze eerste verzoeken binnen gekregen. Het zijn vooralsnog voornamelijk copy/paste verzoeken die overal te downloaden zijn.
Zelf moet ik wel een beetje lachen om deze verzoeken. Het is een serieus onderwerp maar in dit geval lijkt het me een beetje klok/klepel situatie en een schaapjeseffect. De mensen zijn bang gemaakt en in sommige gevallen ook terecht maar om nu maar iedereen onder een kam te scheren is ook weer overdreven. Eigenlijk zijn het wederom de grote bedrijven die het verpesten voor iedereen en met grote bedrijven is ook groot geld gemoeid. Uiteindelijk dus toch weer geld wat zorgt voor deze puinhoop. Jammer.
Maar terug naar de GDPR verzoeken, wij sturen netjes alle opgevraagde gegevens en daar is het dan mee gedaan. Hebben mensen hier ook al te maken gehad met deze verzoeken?
Vandaag stuurde een € 49,00 euro per jaar klant ons zijn eigen Verwerkingsovereenkomst toe. Of we maar even wilde tekenen. Eén artikel daaruit wil ik jullie lezers niet onthouden:
10.1 Indien de Verwerker een of meerdere van de verplichtingen ingevolge deze Verwerkersovereenkomst schendt, dan is zij gehouden tot betaling aan de Therapeut, zonder dat een ingebrekestelling is vereist, van een onmiddellijk opeisbare boete van €10.000,-- per schending, te vermeerderen met een boete van € 500,-- voor iedere dag dat de schending voortduurt
Graag jullie commentaar
Sorry, ik moet even een uur dubbel liggen van het lachen. Ik zou zijn factuur flink verhogen om het in verhouding te maken ;-)
Gewoon de rest van de artikelen uit de overeenkomst deleten en terugsturen
SystemDeveloper.NL - 64BitsWebhosting.EU : Softwareontwikkeling & Hosting freaks
Onze policy bij kleine klanten:
Wij sturen die van ons en die kun je tekenen, daarover gaan we ook niet in discussie.
Bij (hele) grote klanten willen we best praten over maatwerk. Die hebben vaak CFO's zitten die hier en daar een puntje net anders willen. Vaak geen hele spannende maar wel redelijke aanpassingen.
Dat punt wat jouw klant aandraagt slaat nergens op, zeker niet voor 49 per jaar.
Het artikel werkt overigens nog geeneens 2 kanten op zie ik. Dus de verantwoordelijke kan maar aanklooien?
Laatst gewijzigd door Marin; 16/05/18 om 08:53.
Marin Heideman (DigiState B.V.)
Wij sturen onze klanten ook een standaard verwerkersovereenkomst. In deze overeenkomst geven we een opsomming (als bijlage bij de verwerkersovereenkomst) welke persoonsgegevens we voor de klant verwerken. Is deze opsomming overigens verplicht te vermelden? Daarnaast sommen we in bijlage 2 onze partners op, waarmee wij een verwerkersovereenkomst hebben afgesloten (aangezien we oa hosting reseller zijn). Is deze opsomming overigens verplicht te vermelden?
Nu hebben we er echter een klant tussen zitten die bijzondere persoonsgegevens verwerkt (kinderopvang). Dus o.a BSN, geslacht, kopie identiteitsbewijs etc. Op de website staat geen contactformulier en er worden verder ook geen gegevens via de website opgevraagd. Alles loopt dus telefonisch of per mail (die wij als reseller uiteraard wel hosten). Moeten wij nu met deze klant een verwerkersovereenkomst afsluiten die afwijkt van onze 'standaard' verwerkersovereenkomst? En hierin de (bijzondere) persoonsgegevens plaatsen die zij van hun betreffende klanten opvragen via mail ?
Sterker nog, jij kunt die opsomming niet aanleveren. Jij bent niet degene die bepaalt wat de klant besluit te bewaren. Jouw klant moet jou vertellen wat hij bewaard op jouw infra zodat jij kan bepalen of de beveiliging afdoende is en je rol als verwerker veilig kunt vervullen.
Ik bedoel: Er zijn bedrijven die vragen je paspoort via Whatsapp aan te leveren als je er solliciteert. Dus via e-mail opvragen zal ook geen probleem voor ze zijn. En dus bewaar jij voor hen paspoorten.
Als jij dat voor hun invult en het blijkt niet zo te zijn, heb jij ze verkeerd voorgelicht.
Kijk eens op onze website. Wij hebben hem opgenomen in de algemene voorwaarden (https://www.tuxis.nl/algemene-voorwaarden) en laten ze een bijlage ondertekenen (https://www.tuxis.nl/images/specific...etrokkenen.pdf) .
En we hebben een sensible use policy waar in staat welke dienst waarvoor gebruikt kan worden.
Als die klant bijzondere persoonsgegevens bewaard in e-mail, zou ik daar niet mee akkoord gaan als verwerker en ze voorzien van een andere oplossing die beter te beveiligen is. Al is het maar omdat nog steeds veel mailserver onderling zonder SSL communiceren en die data als platte tekst over het internet gaat.
Waarom sturen de grote hostingpartijen dan allemaal standaard verwerkersovereenkomsten? Deze kunnen toch onmogelijk met iedereen een afzonderlijke verwerkersovereenkomst aangaan waarin de klant aangeeft welke persoonsgegevens ze via hun website ontvangen/verwerken?
Marin Heideman (DigiState B.V.)
Wij gebruiken ook een standaard set waar de meeste klanten onder vallen.
Als een klant dat tekent en vervolgens andere gegevens opslaat, dan breekt HIJ/ZIJ de overeenkomst.
Wil ie een aanpassing omdat ie bijzondere/andere gegevens wil bijhouden, dan dient ie dat aan te geven en kan er een maatwerk overeenkomst gemaakt worden waarbij verder gekeken kan worden naar de aspecten daarvan.
Geloof maar niet dat, indien iets van gegevens in je overeenkomst mist, dat een klant uit zichzelf komt aanrennen met een getekende bijlage dat ie nu ook een WordPress plugin geïnstalleerd heeft die opeens 'geslacht opslaat.'
En als hoster ga je daar niet achter komen zonder privacyschendende acties (inspectie site, db, email, etc).
SystemDeveloper.NL - 64BitsWebhosting.EU : Softwareontwikkeling & Hosting freaks
Kunnen niet maar ze moeten het wel. En ik zie niet in waarom ze het niet zouden kunnen tenzij ze er natuurlijk nog niets aan gedaan hadden en nu plots iets moeten verzinnen.
Het aantal klanten staat in verhouding met het formaat van het bedrijf. Dus laten we vooral geen medelijden krijgen. Ze doen het dus niet goed tenzij ze dan weer ergens neerzetten dat de ingevulde gegevens door jezelf gecontroleerd moeten worden.
Een klant van mij had van een leverancier een verwerkersovereenkomst ontvangen van 70 kantjes van zijn leverancier....
Dus JA, als klant MOET je een overeenkomst hebben met je leverancier. Als leverancier MOET je een overeenkomst hebben met de klant..
Dan hoef je alleen nog maar te twisten wanneer je het rechtsgeldig wil noemen.
Er is natuurlijk veel te doen rondom GDPR/AVG. Ik hoor en zie dat veel bedrijven hier mee bezig zijn. Zelf krijg ik veel verklaringen toegestuurd, of verzoeken om opnieuw aan te melden voor verzendlijsten. Dat is veelal vanuit de leverancier richting de klant.
Hebben jullie ook al verzoeken vanuit jullie klanten gekregen? En wat zijn de vragen die jullie klanten stellen?