Kleinschalige cloud storage in de EU

Kijk eens bij Transip: https://www.transip.nl/stack/ krijg je wel 1TB maar het is wel gehost in nederland en je kan meerdere accounts aanmaken om bestanden te delen.

Wat zijn precies de eisen waar jullie aan moeten voldoen, met name dan diegene die je niet kunt realiseren met de producten van Google? Welke functionaliteit mis je nu en wil je met een alternatief gaan oplossen?

Voor een vereniging waar ik in het bestuur zit hebben we een nextcloud dienst genomen en ingeregeld. Kost niet veel (meen een tientje per maand), storage in EU (België in ons geval), oneindig aantal gebruikers en 100GB opslagruimte, wat voor ons meer dan genoeg is.

[ Voor 5% gewijzigd door GH45T op 26-03-2018 11:06 ]

Patrick_6369 schreef op maandag 26 maart 2018 @ 11:07:
@Jazzy De functionaliteit van Google is geen probleem. Probleem is dat Google mijn gegevens (en daarin zitten dus namen, adressen, bankrekeningnummers, BSN's e.d. van anderen) door gebruik te maken van Amerikaanse servers niet afgeschermd genoeg opslaat voor de nieuwe Europese regelgeving, omdat het moet voldoen aan de Amerikaanse wet (die inzage inhoudt door de Amerikaanse overheid).
Ik wil dus eigenlijk een Google-kopie die zich aan Europese wetten houdt.

Ik bedoel het meer concreet, wat zijn dan precies dingen waar jullie als vereniging verplicht zijn wat je vervolgens niet kunt realiseren als je data bij Google staat? Denk aan extra bescherming van de toegang met multi-factor authenticatie, het snel kunnen detecteren van een hackpoging waarbij data gelekt wordt, het versleutelen van de data zodat iemand het niet kan stelen, etc. De voorbeelden hierboven kun je allemaal realiseren met Google.

Wat je je goed moet realiseren is dat de GDPR van toepassing is op jullie vereniging en niet op Google, Microsoft, TransIP of wie de dienst ook maar gaat leveren. Om een goede keuze te kunnen maken moet je dus helder hebben wat in jullie geval van toepassing en op welke manier je dat op zou kunnen lossen. Voorbeeldje: als je tot de conclusie komt dat jullie verplicht zijn om datalekken te vinden en te kunnen melden, dan moet je dus wel een dienst hebben waar je bijvoorbeeld kunt zien of een bepaald account opeens vanuit een vreemd land ingelogd heeft. Dat zou een voorzitter kunnen zijn die tijdens de vakantie even doorwerkt, maar ook prima een hacker die credentials bemachtigd heeft.

Patrick_6369 schreef op maandag 26 maart 2018 @ 11:43:
Ik heb de hele AVG/GDPR niet gelezen, maar baseer mij op een stappenplan van www.avg-programma.nl die door onze bond is aangereikt om onze vereniging AVG-proof te maken.

Grofweg eist dat stappenplan (voor de opslag):
Alle gegevens zijn opgeslagen achter login + password (meer zoals 2-factor authentification wordt wel aanbevolen);
Alle gegevens zijn binnen de EU-opgeslagen of je hebt een overeenkomst met de leverancier van de gegevensopslag/-verwerker buiten de EU waaruit blijkt dat deze voldoet aan de AVG;
Er is een backup (de cloud is in mijn geval de backup van mijn harde schijf).

Datalekken hoef ik niet actief op te sporen, maar als ze bekend zijn moet ik ze melden. En ik moet aan iedereen die met persoonsgegevens werkt een bewustwordingsvideo laten zien!

Ik vraag me af hoe ik dit met Google Drive zou kunnen oplossen, aangezien Google's business model is dat het alle gegevens die je bij haar opslaat doorspit.

@GH45T : Nextcloud.com ziet er niet uit als iets voor kleine klanten. Hun prijsstelling begint bij 50 users en is dan niet meer zo vriendelijk als jij schetst...

toon volledige bericht

Nextcloud wordt door verschillende aanbieders aangeboden. Het is software om een private cloud op te zetten. Als je een beetje zoekt vind je dan ook verschillende aanbieders. Voor onze vereniging hebben we dit bij Kinamo geregeld.

Ik zou je vBoxxCloud willen aanraden. vBoxxCloud is verkrijgbaar per user en er zijn ook mogelijkheden tot gratis gastgebruikers zoals je vroeg. Het heeft heel veel features data rollback en ze hebben ook online editing, dat betekend dat je samen met je collega's en een document kan werken in de cloud. Ook hebben ze 2FA authentication.

Ook is vBoxxCloud AVG ready.
https://vboxxcloud.nl/avg-ready-cloud

Je kunt gratis een trial starten van 30 dagen, kan eventueel verlengd worden.

Nextcloud zou ik inderdaad niet gebruiken. Het is relatief onstabiel en het werkt gewoon net wat minder goed als de rest.

[ Voor 50% gewijzigd door Peppershade op 26-03-2018 12:05 ]

Qua AVG zou ik ook nog even goed nadenken over het recht op inzage en correctie.

als je een vereniging bent kan je ook google apps for non profit aanvragen. Hiermee kan je wel zeker weten dat de data in de eu wordt opgeslagen en het kost je niks plus je hebt de andere voordelen van google apps.

Quas schreef op maandag 26 maart 2018 @ 17:35:
als je een vereniging bent kan je ook google apps for non profit aanvragen. Hiermee kan je wel zeker weten dat de data in de eu wordt opgeslagen en het kost je niks plus je hebt de andere voordelen van google apps.

Weet je dat wel zeker?
De AVG is heel duidelijk: geen persoonsgegevens opslaan buiten de EU. Ik zou daar geen loopje mee nemen door toch gegevens bij Google Dropbox of een ander Amerikaans bedrijf te plaatsen.
Ik zelf een cloudopslagdienst bij Transip Stack aangevraagd voor onze vereniging. Nog geen invité binnen.

Hoe safe het is weet ik niet, maar Hubic slaat de boel op op Frans grondgebied. En bied 25GB gratis aan. https://hubic.com/nl/ en dan Aanbiedingen.

xAn52 schreef op maandag 26 maart 2018 @ 20:23:
Hoe safe het is weet ik niet, maar Hubic slaat de boel op op Frans grondgebied. En bied 25GB gratis aan. https://hubic.com/nl/ en dan Aanbiedingen.

Hubic (Product van OVH) is zelfde als TransIP Stack.

Beide gebruiken het protocol webdav en TransIP STACK is een afsplitsing (fork) van OwnCloud.

Verder is de cloud absoluut geen backup van je externe HDD. Beter zorg je voor een goede oplossing (dit hoeft niet perse veel te kosten) waar je gegevens netjes gebackuped worden incrementeel.

Ik ben nu even vBoxx aan het testen maar foto's embedden vanuit vBoxx werkt niet.

[ Voor 255% gewijzigd door Ernemmer op 26-03-2018 22:42 ]

xleeuwx schreef op maandag 26 maart 2018 @ 20:29:
[...]

Hubic (Product van OVH) is zelfde als TransIP Stack.

Beide gebruiken het protocol webdav en TransIP STACK is een afsplitsing (fork) van OwnCloud.

Verder is de cloud absoluut geen backup van je externe HDD. Beter zorg je voor een goede oplossing (dit hoeft niet perse veel te kosten) waar je gegevens netjes gebackuped worden incrementeel.

NextCloud heeft sinds de afsplitsing wat meer de focus gelegd op security, heb ik het idee. Encryptie op de server, end to end encryptie, verschillende audits, etcetera.

Stack is gebaseerd op OwnCloud. TransIP is niet echt transparant hierover. Welke versie, hoe staat het met encryptie, etcetera. En dit stukje:

Wij hebben een strikte procedure in het geval er toegang tot deze keys noodzakelijk is (waar wij om veiligheidsredenen geen verder informatie over kunnen geven).

Bron: https://www.transip.nl/kn...ivacy-en-encryptie-stack/

Is echt heel raar en vaag. Werken ze mee als de authoriteiten om inzage vragen (dus zonder gerechterlijk bevel)? Zouden ze dat ook doen als een instantie als BREIN aanklopt?

Een klant van het bedrijf waar ik werk heeft Stack in gebruik als vierde backup. Op mijn aanraden wel met extra 'at rest' encryptie, zodat niemand erbij kan die de sleutel niet heeft.

Peppershade schreef op maandag 26 maart 2018 @ 11:52:
Nextcloud zou ik inderdaad niet gebruiken. Het is relatief onstabiel en het werkt gewoon net wat minder goed als de rest.

Die ervaring deel ik niet. Heb in het verleden Owncloud gedraaid op wat verschillende NAS-sen en mijn ervaring daarmee was zoals jij beschrijft: onstabiel en vaak ook traag.

Maar de hosted versie welke we nu gebruiken werkt echt prima en hartstikke stabiel.

TS moet het zelf weten, ik heb er geen belangen bij maar ik zou een hosted Nextcloud omgeving niet zomaar afschieten.

Ernemmer schreef op maandag 26 maart 2018 @ 22:38:
Ik ben nu even vBoxx aan het testen maar foto's embedden vanuit vBoxx werkt niet.

Het gaat in dit topic toch over excel documenten en niet over foto's embedden. vBoxxCloud richt zich meer op de zakelijke klanten.

GH45T schreef op dinsdag 27 maart 2018 @ 10:12:
[...]

Die ervaring deel ik niet. Heb in het verleden Owncloud gedraaid op wat verschillende NAS-sen en mijn ervaring daarmee was zoals jij beschrijft: onstabiel en vaak ook traag.

Maar de hosted versie welke we nu gebruiken werkt echt prima en hartstikke stabiel.

TS moet het zelf weten, ik heb er geen belangen bij maar ik zou een hosted Nextcloud omgeving niet zomaar afschieten.

Hoe het met de hosted versie van NextCloud gaat heb ik geen idee, ik heb vroeger wel een keer gehad dat de data corrupt was geraakt op een hosted OwnCloud server bij een extern bedrijf. Ik vind het persoonlijk het risico niet waard. Maar het ligt er ook maar net aan wat je opslaat.

[ Voor 60% gewijzigd door Peppershade op 27-03-2018 10:28 ]

xleeuwx schreef op maandag 26 maart 2018 @ 20:29:
[...]

Hubic (Product van OVH) is zelfde als TransIP Stack.

Beide gebruiken het protocol webdav en TransIP STACK is een afsplitsing (fork) van OwnCloud.

Verder is de cloud absoluut geen backup van je externe HDD. Beter zorg je voor een goede oplossing (dit hoeft niet perse veel te kosten) waar je gegevens netjes gebackuped worden incrementeel.

Dat ligt er helemaal aan hoe je Stack en/of Hubic gebruikt. Ik maak via Duplicati een backup naar Stack en dat is betrouwbaar. Ik gebruik dus geen sync.

valkenier schreef op maandag 26 maart 2018 @ 20:14:
[...]

Weet je dat wel zeker?
De AVG is heel duidelijk: geen persoonsgegevens opslaan buiten de EU. Ik zou daar geen loopje mee nemen door toch gegevens bij Google Dropbox of een ander Amerikaans bedrijf te plaatsen.
Ik zelf een cloudopslagdienst bij Transip Stack aangevraagd voor onze vereniging. Nog geen invité binnen.

https://cloud.google.com/security/gdpr/

De hele whitepaper inclusief FAQ aan het eind: https://services.google.c..._and_the_gdpr_english.pdf

Patrick_6369 schreef op maandag 26 maart 2018 @ 11:07:
... en daarin zitten dus namen, adressen, bankrekeningnummers, BSN's e.d. van anderen...

In het kader van de GDPR moet je je misschien ook afvragen waarom jij uberhaubt BSN's opslaat. Heb je ze nodig voor het uitvoeren van de taken van de vereniging? Altijd?

Ynnoz schreef op woensdag 28 maart 2018 @ 02:00:
[...]


Dat ligt er helemaal aan hoe je Stack en/of Hubic gebruikt. Ik maak via Duplicati een backup naar Stack en dat is betrouwbaar. Ik gebruik dus geen sync.

Dit is dus veel handwerk en handwerk kan fout gaan omdat het door mensen gedaan wordt. En als je dit toch gaat automatiseren dan moet of goed weten wat je doet of je gaat een brakke versie van de sync krijgen.

Nee het beste is om 1 keer per week een copy weg te schrijven op een aparte locatie van de cloud, geencrypt gecompressed enz, deze bewaar je bijvoorbeeld 10 weken (10x de orgineel).

Patrick_6369 schreef op woensdag 28 maart 2018 @ 09:05:
Amerikaanse providers (zoals Google Cloud) inderdaad voldoen aan de AVG/GDPR.

Dit is een denkfout. De providers hoeven niet te voldoen, jouw vereniging moet voldoen aan de AVG. Daarom moet je helder hebben wat voor jouw vereniging, met jouw type data, de eisen zijn die je aan een oplossing stelt. Vervolgens kijk je welke cloudprovider jouw eisen kan leveren.

Patrick_6369 schreef op woensdag 28 maart 2018 @ 09:05:De services voor privépersonen (dat zijn de omvang die wij nodig hebben en de tarieven die wij kunnen betalen) voldoen er niet aan.

G Suite kan je voor verenigingen meestal gratis gebruiken, fyi. Gaat via techsoup.nl.

xleeuwx schreef op woensdag 28 maart 2018 @ 08:47:
[...]


Dit is dus veel handwerk en handwerk kan fout gaan omdat het door mensen gedaan wordt. En als je dit toch gaat automatiseren dan moet of goed weten wat je doet of je gaat een brakke versie van de sync krijgen.

Nee het beste is om 1 keer per week een copy weg te schrijven op een aparte locatie van de cloud, geencrypt gecompressed enz, deze bewaar je bijvoorbeeld 10 weken (10x de orgineel).

Helemaal met je eens. Ik heb een job met Duplicati aangemaakt (set and forget) die encrypted een backup aanmaakt en bewaard alle versies voor een jaar. Krijg iedere week een email wat er (eventueel) fout is gegaan. Top product wat nog gratis is ook!

knip. Spam

[ Voor 95% gewijzigd door F_J_K op 10-04-2018 09:38 ]

flowcubano schreef op maandag 9 april 2018 @ 13:53:
Een van de opties is knip. Spam

1TB voor €30 per maand voor een Nextcloud toepassing? En wat een taalfouten op de website. Doet niet erg professioneel aan.

[ Voor 42% gewijzigd door F_J_K op 10-04-2018 09:38 ]

Iemand ervaring met https://home.zoolz.co.uk/? 2 interessante aanbiedingen voor particulieren:
FAMILY:
Great for house hold protection
1 TB / 5 USERS
€39.95 per year
3 external/network drives
No Backup Limitations
Premium Support

Of:
HEAVY
Great for heavy usage
4 TB / 5 USERS
€99.95
per year
Unlimited external/network drives
No Backup Limitations
Premium Support

Bedankt alvast.

En over een tijdje zit je weer: de UK hoort straks niet meer bij de EU, de vraag is dus of je daar dan wel je data mag parkeren...

Ik weet niet om wat voor vereniging het hier gaat, maar ik durf mijn hand wel in het vuur te steken dat er in de komende 10 jaar geen enkele kleinschalige amateurvereniging vervolgd gaat worden omdat ze wat adresgegevens achter een wachtwoord op een google/amazon/microsoft/apple drive hadden staan.

Het idee dat amerikaanse opslagdiensten niet zouden voldoen voor kleine amateurverenigingen is echt héél ver gezocht en de kans dat je ooit in de problemen komt hierdoor is 0.

Maak je alsjeblieft niet zo druk, zorg dat alles achter een wachtwoord staat en kijk 1x per jaar kritisch naar welke gegevens je nog hebt en welke hiervan weg kunnen (aka welke leden zijn gestopt etc.)

Ik doe toevallig net een cursus over dit onderwerp. Meer gericht op de gezondheidszorg, maar principes zijn hetzelfde. Ik weet niet zeker of diensten als Google Drive voor persoonlijk gebruik aan de AVG moeten voldoen. Dat zal ik eens vragen als ik de kans krijg.
Als jij als vereniging gegevens verwerkt van leden of ZZP'ers dan is de vereniging gegevensverantwoordelijke. Als jij dan een contract afsluit met bv Google, dan wordt Google verwerker. Je hoort dan in de verwerkingsovereenkomst vast te leggen dat Google zich moet houden aan de AVG en op dezelfde manier met de persoonsgegevens moet omgaan als jullie dat doen. Mogelijk zit dit al standaard in de gebruikersovereenkomst. Om bij voorbaat te zeggen dat Amerikaanse bedrijven zich niet hoeven te houden aan de AVG is onjuist. Als de data met name verwerkt worden in EU gebied, dan is de AVG gewoon van kracht.
Ik weet niet of data die jij zelf van encryptie hebt voorzien, opgeslagen mag worden zonder verwerkingsovereenkomst. Ook dat vind ik een interessante vraag.

Mmore schreef op woensdag 28 maart 2018 @ 13:04:
[...]

G Suite kan je voor verenigingen meestal gratis gebruiken, fyi. Gaat via techsoup.nl.

Klopt maar dan moet je wel een ANBI status hebben, gelukkig heeft Scouting die best handig.