Wet bescherming persoonsgegevens

Waar wil je heen met dit topic? Privacyzaken kunnen overal voorkomen op GoT naar gelang het onderwerp. Bij Internetproviders en Hosting, Beveiliging & Virussen of Internetmarketing & Social Media bijvoorbeeld.

Dan direct een vraag aan de kenners, ik kan geen goed antwoord vinden.

Dit gaat over spam.
En dit gaat ook niet specifiek over de nieuwe wet (mogelijk ook te oud?)

In deze "FAQ" staat mijn vraag ook niet

Van wat ik van deze wet begrijp;
Stel; een mail met duidelijk mailadres en met 'handtekening', wie gebruikt dat zakelijk niet? Waarin naam, functie -zakelijk- adres, al dan niet privé gebruikt telefoonnummer, etc.

Als ik zo 'n mail krijg van iemand buiten mijn organisatie en ik stuur die intern door, dan ben ik fout. Degene die de mail krijgt moet daar melding van doen.

NB:
Tenzij duidelijk is dat het voor Willem bedoelt is, of óók voor Willem bestemd was.

Maar in principe mag dus niet, klopt dat wel?

bord4kop schreef op dinsdag 31 januari 2017 @ 14:28:
Als ik zo 'n mail krijg van iemand buiten mijn organisatie en ik stuur die intern door, dan ben ik fout.

Privacy gaat alleen over prive-gegevens. De gegevens die genoemd werden, en dat het over een zakelijk adres ging, betekent dat het geen prive-gegevens zijn, maar zakelijke en dus geen privacy-lek.
Maar, het hangt er wel van af natuurlijk. Daarom zeggen ze ook altijd 'bij twijfel melden'.
Ook hangt het doorsturen af van waarom dit gebeurt. Als het niet organisatie/werk-gerelateerd is, dan kan het wel een lek zijn. (Bijvoorbeeld, Jantje die Pietjes werk doet omdat Pietje ziek is en de email nodig heeft om een probleem op te lossen met een opdracht).

Je schrijft 'Als ik zo 'n mail krijg van iemand buiten mijn organisatie'. Dat is niet erg duidelijk. Stel, ik krijg een email van Kees, met 'Hallo Henk, Groetjes Kees, Keesstraat 100 Keesstad' en ik stuur die door binnen de organisatie dan is er geen lek. Krijg je echter die email van Henk, die niet van jouw organisatie is, dan kan dit in principe een lek zijn.

Ik zou dus ook willen zeggen, probeer de situatie beter te omschrijven, en er duidelijker iets over te vragen

Señor Sjon schreef op vrijdag 8 januari 2016 @ 20:37:
[Mbr]Waar wil je heen met dit topic? Privacyzaken kunnen overal voorkomen op GoT naar gelang het onderwerp. Bij Internetproviders en Hosting, Beveiliging & Virussen of Internetmarketing & Social Media bijvoorbeeld. :)[/]

Ik denk dat de TS opzich wel een goed punt aan haalt. Je bent tegenwoordig als bedrijf ten alle tijden verplicht om een mogelijk datalak te melden....Maar wát is een datalek (en vooral: wat is 't NIET).

Heel simpel voorbeeld: Je hebt als bedrijf zijnde een aantal desktop PC's staan welke nog volledig onder de garantie vallen van de leverancier/fabrikant. Op het het moment dat een HDD in zo'n machine faalt wordt zo'n HDD vervangen onder het geldende servicecontract..... Zónder dat je ook maar een bewijs hebt of krijgt dat 't ding gecertificeerd "ge-wiped" is (het ding was stuque, toch?). De meeste desktop PC's hebben géén TPM chip aan boord dus is de disk naar alle waarschijnlijkheid ook nooit encrypted geweest met bijvoorbeeld "MS BitLocker".

Weet jij op zo'n moment wat er met je data gaat gebeuren? Het overzetten van een paar "platters" ....???

Maar waar 't hier nu om gaat: Moet je als bedrijf zijnde in zo'n geval een mogelijk datalek melden?

wimmel_1 schreef op woensdag 1 februari 2017 @ 01:29:
[...]


Ik denk dat de TS opzich wel een goed punt aan haalt. Je bent tegenwoordig als bedrijf ten alle tijden verplicht om een mogelijk datalak te melden....Maar wát is een datalek (en vooral: wat is 't NIET).

Heel simpel voorbeeld: Je hebt als bedrijf zijnde een aantal desktop PC's staan welke nog volledig onder de garantie vallen van de leverancier/fabrikant. Op het het moment dat een HDD in zo'n machine faalt wordt zo'n HDD vervangen onder het geldende servicecontract..... Zónder dat je ook maar een bewijs hebt of krijgt dat 't ding gecertificeerd "ge-wiped" is (het ding was stuque, toch?). De meeste desktop PC's hebben géén TPM chip aan boord dus is de disk naar alle waarschijnlijkheid ook nooit encrypted geweest met bijvoorbeeld "MS BitLocker".

Weet jij op zo'n moment wat er met je data gaat gebeuren? Het overzetten van een paar "platters" ....???

Maar waar 't hier nu om gaat: Moet je als bedrijf zijnde in zo'n geval een mogelijk datalek melden?

De meeste desktops welke ik tegenkom (zakelijke HP en Dells) hebben wel degelijk een TPM aan boord. Sterker nog, 3 jaar geleden kregen wij nog weleens nieuwe HP Probooks (entry level zakelijke notebooks) binnen waar geen TPM in zat terwijl de entry level desktops voor de zakelijke markt wel standaard van een TPM voorzien waren.

Maar ik snap je punt hoor, wij zijn hier ook tegenaan gelopen met schijven in een Synology Rackstation welke wij voor backups gebruikte : Western Digital kon ons destijds niet garanderen dat de schijven correct afgevoerd zouden worden waarna wij de garantie claim maar hebben gelaten voor wat het is (de schijven hebben wij zelf maar vernietigd door met een hamer de platters te verbrijzelen).

Als je zoekt naar "richtsnoeren meldplicht datalekken" kom je een heel duidelijk en concreet document tegen waarin omschreven wordt wat een datalek is, wanneer je daar melding van moet maken, hoe je afspraken moet maken met gegevensbewerkers, waar eventuele afwijkende regelgeving geldt, en noem het maar op.

Daarnaast, in mei 2018 krijg je te maken met de GDPR, dat is ongeveer hetzelfde idee maar dan op Europees niveau. Als je er tóch mee aan de slag gaat, ga dan aan de slag met de Europese variant, omdat die uiteindelijk de meldplicht datalekken zal vervangen.

Wody schreef op woensdag 1 februari 2017 @ 01:09:
[...]


Privacy gaat alleen over prive-gegevens. De gegevens die genoemd werden, en dat het over een zakelijk adres ging, betekent dat het geen prive-gegevens zijn, maar zakelijke en dus geen privacy-lek.
Maar, het hangt er wel van af natuurlijk. Daarom zeggen ze ook altijd 'bij twijfel melden'.
Ook hangt het doorsturen af van waarom dit gebeurt. Als het niet organisatie/werk-gerelateerd is, dan kan het wel een lek zijn. (Bijvoorbeeld, Jantje die Pietjes werk doet omdat Pietje ziek is en de email nodig heeft om een probleem op te lossen met een opdracht).

Je schrijft 'Als ik zo 'n mail krijg van iemand b
[...]
uiten mijn organisatie'. Dat is niet erg duidelijk. Stel, ik krijg een email van Kees, met 'Hallo Henk, Groetjes Kees, Keesstraat 100 Keesstad' en ik stuur die door binnen de organisatie dan is er geen lek. Krijg je echter die email van Henk, die niet van jouw organisatie is, dan kan dit in principe een lek zijn.

Ik zou dus ook willen zeggen, probeer de situatie beter te omschrijven, en er duidelijker iets over te vragen

Dank voor je reactie.

Ik had begrepen dat als ik een -externe- mail krijg van Kees ("Groetjes Kees", uit de Keesstraat, Keesstad en Kees-telefoonnummer) en ik die mail compleet met NAW gegevens etc. intern doorstuur naar iemand binnen mijn bedrijf (zeg: Jantje), dat ik dan fout ben.
Tenzij:
- Ik Kees hiervoor eerst toestemming vraag
- de mail eigenlijk al voor Jantje bestemd was
- er geen gegevens meer over Kees in de mail staan (omdat ik die verwijderd heb)

bord4kop schreef op woensdag 1 februari 2017 @ 16:30:
Ik had begrepen dat als ik een -externe- mail krijg van Kees ... en ik die mail compleet met NAW gegevens etc. intern doorstuur naar iemand binnen mijn bedrijf (zeg: Jantje), dat ik dan fout ben.

Hangt er dus vanaf. Stuurt Kees bijvoorbeeld naar jouw (of Jantje) persoonlijk een leuke mop of verhaal van de dag (omdat die een vriend of familie is of zo) wat je dan doorstuurt, dan ja, dan kan het een lek zijn.
Maar, stuurt Kees een email naar jou (of Jantje, dat doet er niet toe) omdat je bij de organisatie werkt, dan is het een email van de organisatie, en zolang het binnen de organisatie blijft, in principe geen lek.

In de praktijk is het nog heel moeilijk. Neem bijvoorbeeld een formulier wat je van Kees krijgt, waar ook een medisch gedeelte bij staat. Dan mag iedereen wel het formulier en de gegevens erop zien, maar het medische mag alleen door mensen met een medisch beroepsgeheim gezien worden.

Ook is een adres normaal gesproken geen prive-gegeven. Immers, dit staat vaak in het telefoonboek, of is op andere wijze bekend. Maar, als iemand bijvoorbeeld in een blijf-van-mijn-lijf huis verblijft, dan kan het wel erg belangrijk zijn dat er zorgvuldig mee omgegaan moet worden.

Hierbij ben ik nog wel 'strenger' dan de overheid, die vind dat er in principe geen datalek geweest is, en het al helemaal niet gemeld hoeft te worden. Tenminste, als ik de beleidsregels lees in https://autoriteitpersoon...ldplicht-datalekken#tools

In de praktijk is het ook niet zo raar. Immers, anders zijn er iedere dag miljoenen zo niet miljarden mogelijke lekken. Immers, iedereen die gedurende de dag gegevens ziet, heeft die in zijn of haar hoofd en neemt die mee aan het einde van de werkdag, bewust dan wel onbewust. Dus, dat zijn ook gigantische 'lekken', maar daar kan je niets aan doen. Dus vandaar dat het helaas nogal beperkt is, wat eigenlijk schandalig, maar goed.

pff, ik heb het document in jouw link doorgenomen. Een flinke kluif

Maar als ik het zo lees, valt het op zich wel mee.
We moeten opletten dat er geen privé gegevens van Kees bij Pietje terecht komen. Dus Jantje binnen eigen bedrijf -mits zakelijk georienteerd- mag prima.

Jouw voorbeelden brengen e.e.a. weer in juiste perspectief

Dank voor je heldere uitleg!

My 2 cents:

Vaak merk ik dat instanties inzake de wet op persoonsgegevens als je daarna verwijst dat terzijde schuiven en zich verweren dat in hun regels/voorwaarden anders staat en je dat moet accepteren op straffe van.

Vraag: Hoe verweer jij je dan daar tegen dan alleen mondeling zonder dat dat gevolgen voor jou heeft.

Bedoel je kan redelijkerwijs niet verwachten dat jij als burger je alle moeite moet getroosten omdat een eigenwijze ambtenaar van een instanties weigert de wet te aanvaarden dan wel te accepteren en er zo zich gemakkelijk vanaf maakt.