VS cloud-diensten zoals Office365 legaal te gebruiken?

TimoD schreef op woensdag 17 februari 2016 @ 17:33:
Ik probeer uit te zoeken of ik veilig genoeg bezig ben als er medische gegevens in mijn bestanden en mail staan.

Jouw persoonlijke medische gegevens, of die van klanten? Als dat laatste, is dat sinds oktober 2015 illegaal om te doen bij een partij met Amerikaanse banden.

F_J_K schreef op woensdag 17 februari 2016 @ 18:22:
[...]

Jouw persoonlijke medische gegevens, of die van klanten? Als dat laatste, is dat sinds oktober 2015 illegaal om te doen bij een partij met Amerikaanse banden.

Zoals al aangegeven mag je Office 365 hier wel voor gebruiken.

Trommelrem schreef op donderdag 18 februari 2016 @ 08:48:
[...]

Office 365 is een van de weinige cloudaanbieders die door de medische wereld mag worden gebruikt

Volgens mij ligt het wel gecompliceerder dan dat. Als je onder de NEN7510 valt dan zal je oplossing hieraan moeten voldoen. Afhankelijk van hoe je dit naar concreet beleid of concrete maatregelen vertaalt kan Office 365 misschien voldoen.

Trommelrem schreef op donderdag 18 februari 2016 @ 08:48:
Office 365 is een van de weinige cloudaanbieders die door de medische wereld mag worden gebruikt

Anoniem: 316512 schreef op donderdag 18 februari 2016 @ 09:41:
Zoals al aangegeven mag je Office 365 hier wel voor gebruiken.

Interessant, ik zou dat graag horen (want heb zelf een uitrol gestopt / gepauzeerd wegens juist dit probleem). Waar is een harde uitspraak in rechtspraak of door de Autoriteit Persoonsgegevens (of de Article 29-wp) te lezen, gedateerd na de ongeldigverklaring van Safe Harbour? (Dus niet een verklaring van MS zelf oid, ik heb er persoonlijk vertrouwen in dat ze er alles aan doen om netjes te werken maar dat is me geen rechtzaak of boete van de AP waard). Ik heb alleen maar gelezen dat BCR en standaardclausules ook 'verdacht' zijn. En wacht van ellende dus maar een paar maanden met uitrol van Off365...

[ Voor 12% gewijzigd door F_J_K op 19-02-2016 00:49 ]

Plus dat de data in Europa zou (moeten?) blijven.

http://www.wortell.nl/blo...365-datacentra-in-europa/

TimoD schreef op donderdag 18 februari 2016 @ 23:52:
Ik heb nog wat verder gegoogeld en volgens mij mag het inderdaad... Omdat Microsoft op de Safe Harbour-lijst staat (https://autoriteitpersoon...te-binnen-en-buiten-de-eu). Safe Harbour is dan inderdaad wel weer ongeldig verklaard in oktober...

Autoriteit Persoonsgegevens heeft het nog wel over een meldplicht als je gegevens doorgeeft buiten de EU, ik weet nog niet of dit dan ook voor mij opgaat...

Je tweede zin wordt weerlegd door je derde.

Melden hoeft alleen niet als (je een wettelijk verplicht openbaar register 'bent' of) jouw situatie is beschreven in http://wetten.overheid.nl/BWBR0012461

knakworst schreef op vrijdag 19 februari 2016 @ 08:52:
Plus dat de data in Europa zou (moeten?) blijven.

http://www.wortell.nl/blo...365-datacentra-in-europa/

Dan wil je ook linken naar http://www.wortell.nl/blog/office-365-en-safe-harbor

Helaas dus nog geen reden om te weten dat het wel mag. (Ik wil wel graag).

Maar goed, dit is een bredere discussie dan alleen Office365 (en dan nog doet MS IMHO er alles aan om het netjes te doen). Misschien beter als dit in een los topic gebeurt.

F_J_K schreef op vrijdag 19 februari 2016 @ 09:08:
[...]
Maar goed, dit is een bredere discussie dan alleen Office365 (en dan nog doet MS IMHO er alles aan om het netjes te doen). Misschien beter als dit in een los topic gebeurt.

Goed idee, waarom splits je het laatste stukje niet af? Denk dat er zeker behoefte aan is.

Afgesplitst van Het algemene Office 365 topic

Aanvullingen, chronologische volgorde:
• nieuws: EU-Hof acht VS geen veilige 'datahaven'
• nieuws: Microsoft wil Europeanen tegen meerprijs opslag in Duitse datacentra ...
• nieuws: Deadline nieuwe Safe Harbour-regeling verstrijkt zonder akkoord
• nieuws: Europa en VS sluiten 'EU US Privacy Shield'-overeenkomst - update
• nieuws: 'Bedrijven die oude Safe Harbour-regeling gebruiken, overtreden de wet'

https://blog.surf.nl/vragen-en-antwoorden-over-safe-harbor/ geeft ook een mooie samenvatting.

Er is geen eenduidig antwoord op deze vraag. Zelfs onder juristen is er een hoop onduidelijkheid. Sommigen vinden dat het onder geen enkele omstandigheid mogelijk is, anderen vinden dat er juist een hoop mogelijk is. Zelfs als je data in Europa staat dan kan MS er technisch gezien nog steeds bij. Of ze dat ook doen is maar de vraag maar gezien het aantal rechtzaken rond dit onderwerp zou ik maar niet blind op vertrouwen. Het enige goede antwoord is "vraag het je bedrijfsjurist", die moet je beslissing verdedigen als puntje bij paaltje komt.

Als je geen bedrijfsjurist hebt dan zou je geen medische data moeten hebben (ziekenhuizen en universiteiten enzo hebben ook juristen in dienst). Je zou op z'n minst een verwerkersovereenkomst moeten hebben. Als je werkt in opdracht vraag dan aan de opdrachtgever en/of eigenaar van de data wat de bedoeling is.

Medische data versturen zonder encryptie is sowieso niet toegestaan. E-mail zonder encryptie is dus een no-go.

[ Voor 47% gewijzigd door CAPSLOCK2000 op 20-02-2016 14:53 ]