Onderwerp: CBP eisen/formaliteiten

Goedemorgen,

Wat ik me afvroeg. Is er iemand op WHT die ervaring heeft met de regels zoals die door het College Bescherming Persoonsgegevens worden gesteld? Zo zijn er eisen in de vorm van plannen hoe de gegevens beschermd worden en hoe ermee omgegaan wordt. Wie mogen de gegevens inzien, hoe en welke niveaus hebben de gegevens.

Ik kwam hierop omdat een klant, die redelijke hoeveelheden persoonsgegevens gaat opslaan, hier vragen over had. In hoeverre ligt mijn verantwoordelijkheid als leverancier van de 'tools' hier? En is het afdoende als ik 1 keer een goed plan schrijf wat voor al mijn klanten van toepassing is qua script(technische) veiligheidseisen.

In afwachting van reacties...

ik heb er geen ervaring mee maar ik denk dat jouw verantwoording ophoud als jouw klant het zelf gaat opslaan

ik kan het mis hebben maar lijkt mij niet dat jij verantwoordelijk daarvoor kunt zijn.

wel als het bv een specifiek script is wat door jullie is gemaakt en wat zijn gegevens dan op moet slaan.

Ja, dat bedoelde ik eigenlijk.

Ik maak een script en draag zorg voor de opslag (database). Hoe zorg ik er dan voor dat mijn stukje 'gedekt' is tegen onzorgvuldigheden vanaf de klant zijn kant (wachtwoord op een forum gezet ofzo) en hoe zorg ik ervoor dat ik gedekt ben in het geval de beste hacker van de wereld mij niet meer lief vindt.

sowieso md5 coderen lijkt me en inloggen via een beveiligde verbinding.

ik denk dat ict-recht je hier op het forum wel van dienst kan zijn met een contract opmaken.

waarin specifiek staat als de fout te wijten is aan je klant bv ww weggeven aan een ander personeelslid etc dat jou gehele verantwoording vervalt etc.

ik zou idd met ict-recht toch eens dit bespreken

Offline bewaren?
Als iets nodig is met APC via scriptje servertje aanzetten, wachten (=tijdsslot ) dan uitlezen, en dan weer uitzetten. Dan kan zelfs de best hacker niet bij de server komen (tenzij hij dat scriptje of je APC hackt)

Hmm, zijn toch niet echt antwoorden die me concreet een prettig gevoel geven. Het betreft een bestand waar ze in principe voltijd mee aan de slag gaan met meerdere mensen. Het is een mix van persoonsgegevens en eigen data. Nu zegt het CPB dat bij een klein beetje herleidbare data al spraken is van persoonsgegevens. Dus vandaar dat ik me zorgen maak. Security zit naar mijn idee goed in elkaar. Maar wil gewoon zeker weten dat ik niet kan worden opgezadeld met problemen als de klant door onjuist handelen bepaalde gegevens publiekelijk maakt.

het lijkt mij dat als je idd een goed contract opstelt jouw klant geen schuld bij jou kan leggen als ie zelf onjuist handeld

Akkoord maar hoe maak ik zeker dat mijn beveiliging juist is? Er is naar mijn weten niet echt een standaard qua beveiliging omdat iedereen zijn eigen wegen en manieren heeft om gegevens veilig te stellen. Wie kan bevestigen dat bepaalde gegevens 'secure' zijn. En zo ja, hoe secure? schaal 1 - 5 bijv.

mij lijkt het md5 coderen en verbinding via een ssl certificaat etc de veiligste oplossing is.

Zover ik weet is er voornamelijk een meldingsplicht bij de CBP voor het verwerken van persoonsgegevens (voor gegevens van je klanten puur voor je interne administratie hoeft dit dacht ik niet). De interne verwerking dient zorgvuldig te gebeuren. Echter zijn er geen beperkingen gesteld aan wie ze intern mag inzien danwel verwerken. Daarbij wel op te merken dat gegevens volgens de WBP (wet bescherming persoongegevens) enkel mogen worden gebruikt voor het doel waarvoor ze verzameld zijn.

Hier heb je denk ik wel wat aan:
http://www.cbpweb.nl/vv/vv_va_2.shtm...e&theme=purple

Het gaat erom dat er enige vorm van beveiliging aanwezig is.

Dit is enigzins vergelijkbaar met een normale administratie. Er mag verwacht worden dat niet iemand zomaar je bedrijfsruimte kan binnenwandelen en er met een map met klantgegevens vandoor kan gaan.
Op het moment dat je een deur hebt die op slot gaat op het moment dat er niemand aanwezig is, heb je de gegevens beveiligd.
Het kan altijd beter. Zo zou je in een alarminstallatie, een kluis en camera's kunnen investeren, echter is dat niet iets dat bij een kleine onderneming verwacht wordt.

---

Oorspronkelijk geplaatst door skunkah

Zover ik weet is er voornamelijk een meldingsplicht bij de CBP voor het verwerken van persoonsgegevens (voor gegevens van je klanten puur voor je interne administratie hoeft dit dacht ik niet).

De vraag is of je als hoster niet altijd een meldingsplicht hebt gezien je bij bijv. de registratie van domeinen persoonsgegevens van klanten doorgeeft aan organisaties die deze openbaar maken.
Wij hebben destijds in iedergeval gewoon het zekere voor het onzekere genomen, en deze verwerking gewoon aangemeld.
Kleine moeite, kwestie van het meldingsprogramma downloaden en de vragen doorlopen.