[AVG] datalek bij gegevensverwerker

Hoe lang zit je daar al dan TS? Pas rond 2018 begon heel veel op de schop te gaan, we zijn pas net een paar jaar (semi)-serieus onderweg met dit topic.

[ Voor 5% gewijzigd door Racing_Reporter op 18-02-2022 21:58 ]

Dat zie je verkeerd. In sommige gevallen is de verwerking van gegevens noodzakelijk of zelfs wettelijk geregeld. Dan hoeft er geen toestemming gevraagd te worden.

Je kan onmogelijk verwachten van een huisbaas, z'n administratie, in zelf ontwikkelde software, in een zelf gehoste omgeving, ondergebracht in een zelf beheerd datacenter, over zelf gegraven dataverbindingen etc. etc.

Wel kan je nadelige gevolgen ondervinden van het geval en dat is het pad van schade vast stellen en schadeloos stellen. Maar dat is nog een beetje onontgonnen gebied bij de AVG.

Dit staat ook letterlijk uitgelegd op de site van AP

Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.

[ Voor 19% gewijzigd door PROnline op 18-02-2022 22:07 ]

Je gaat wat snel. Je huisbaas mag persoonlijke gegevens gewerken, mits hij daarvoor een grondslag heeft. Uitvoering van een overeenkomst is een gangbare grondslag, die zou hier best van toepassing kunnen zijn.

Dan nog moet hij dat wel zorgvuldig doen, en alleen met die gegevens die daarvoor noodzakelijk zijn. En hij is verantwoordelijk voor ongelukken met die data, ook als hij weer onderaannemers of leveranciers heeft.

Maar het gaat te snel om nu al te concluderen dat hij in strijd met de AVG handelt.

Misschien is het dan verstandig om naar je eigen definitie van verwerker te kijken.

Niet iedere vent met een computer vertegenwoordigt een sofware- en dienstenhuis met een eigen datacenter. En niet iedereen gaat zelf het wiel uitvinden, dat kost tijd en is veel te duur. Niet realistisch. Jouw kantoor programmeert ook niet een eigen tekstverwerker: dat gebruikt iets van Microsoft Office. En als je ook nog een een Office 365-abonnement afneemt heb je ook met datacenters te maken.

Je huisbaas doet in huizen. Hij is geen programmeur. Klaar. Dus die heeft slim een abonnement afgenomen van een systeem waarmee hij huurder in z'n huizen kan registreren. Maar de aanbieder van dat regstratiesysteem maakt alleen de webinterface waar meerdere verhuurders gebruik van maken. Het zorgt niet voor de livesync naar meerdere datacenters van alle data. Dat deel heeft de systeemaanbieder ook weer ingekocht of gehuurd, om z'n eigen SLA's te kunnen halen naar meneer de verhuurder toe. We willen allemaal 99,999% uptime, dus moet je failover hebben. Vervolgens heeft één van de datacenters waar dan de data staat kennelijk een breach gehad.

Nou, daar heb je je situatie. Zo vergezocht is dat toch niet? Al die partijen zijn verwerkers in de lijn van AVG omdat jouw data door hun systemen stroomt.

Jij hoeft alleen een overeenkomst te hebben met jouw huurbaas waarin hij aan jou verklaart verantwoord om te gaan met jouw gegevens. Meer hoef jij in principe niet te horen. De rest is de verantwoordelijkheid van de verhuurder, zowel naar de wet toe als naar jou. Hij moet er dan ook voor zorgen dat er een verwerkersovereenkomst liggen tussen hem en de volgende partij. En die volgende partij moet dat vervolgens een slag dieper doen enzovoorts.

Mx. Alba schreef op vrijdag 18 februari 2022 @ 23:33:
@DUX thanks, maar ik heb dus voor zo ver ik me kan herinneren helemaal nooit iets gehoord of gezien over dataverwerking. Mijn huurcontract is in 2016 getekend en daarna nooit aangepast of geammendeerd met de nodige AVG info.

Dat hoeft ook niet?

Een contract hoeft geen AVG-vermeldingen te hebben want dat is standaard per wet al: elk bedrijf heeft zich eraan te houden. En tegelijk kun jij als consument zijnde elk bedrijf een AVG-inzageverzoek doen. En daarnaast is het nogal wiedes dat je huurbaas aan dataverwerking doet: hij moet toch weten wie jij bent en of je je huur hebt betaald? Dat gebeurde vroeger met een kaartenbak al.

Ook heb jij ook niet te maken met verwerkers. Je verhuurder heeft te maken met verwerkers en hij moet verwerkersovereenkomsten opstellen met zijn zakenpartners. Dat is voor hem, om zijn verantwoordelijkheid naar jou toe af te dekken.

Jij hebt alleen met je verhuurder te maken.

Alstublieft. Maar eigenlijk zeg ik hetzelfde als PROnline en BartS12, lees maar terug.

Als je er echt geïnteresseerd in bent kun je nuances vinden hoe die AVG wordt toegepast, want de wettekst zelf is daar niet heel duidelijk in. Zaken die overal anders zullen zijn en waar je een bedrijf op kunt bevragen:

- Welke data wordt er van mij opgeslagen
- Hoe zijn ze aan die data gekomen (rechtstreeks via telefoon/mail/formulier, kan ook via andere bronnen zijn zoals een fusie/whitelabel/inkoop/openbare data en dan combineren)
- Met welk doeleinde wordt die data opgeslagen
- Hoe lang wordt die data opgeslagen
- Wat zijn de handelingen op die data als die bewaartermijn afgelopen is (verwijderen, anonimisatie, archivering)
- Hoe gaat men op met de bewaartermijn ten aanzien van het backupbeleid

Je kunt eventueel vragen naar verwerkersovereenkomsten maar ik weet niet of ze verplicht zijn je die te geven vanwege de eerder beschreven verantwoordelijkheidsconstructie en je verhuurder is gewoon eindverantwoordelijk.

Let op dat je jezelf niet populair maakt bij een bedrijf als je dit soort vragen stelt omdat het best vaak een hoop werk met zich meebrengt voor het bedrijf en veelal zijn de antwoorden nog niet vantevoren uitgedacht wanneer je met die vraag komt. Ook stellen mensen dit soort vragen in de praktijk alleen als ze boos zijn of een vermoeden hebben dat een bedrijf zich niet aan de regels houdt. Besef dat je mogelijk een kruisje achter je naam krijgt als "potentieel lastig persoon" en ook in het uiterste geval dat een bedrijf de samenwerking met jou kan beëindigen indien dat past binnen het contract dat je met ze hebt.

Dat staat niet in de weg van het recht dat je hebt om te weten hoe men met je gegevens omgaat, maar van onbetaald meerwerk wordt niemand blij.

[ Voor 8% gewijzigd door DUX op 19-02-2022 00:04 ]

Mx. Alba schreef op vrijdag 18 februari 2022 @ 22:09:
[...]


Uiteraard mag mijn huisbaas mijn gegevens verwerken, dat is het probleem niet. Maar het ook laten verwerken door derden van derden van derden? Daar hebben ze toch minstens een pro-actieve informatieplicht?

Maar verwacht je dan ook van je sportvereniging dat ze doorgeven dat ze een Office 365 abonnement gebruiken? En welke boekhouder ze hebben? En dat die boekhouder jou weer doorgeeft wel pakket hij gebruikt. En dat die je weer doorgeeft waar het is gehost? Enzoveert.
En niet alleen je sportvereniging natuurlijk. Ook de schilder die langs komt. En de zaak waar je je nieuwe eettafel hebt besteld. En ook de parkeergarage verwerkt persoonsgegevens.

Je zou compleet bedolven worden onder de papieren als iedereen alles zou moeten gaan doorgeven, geen hond zit erop te wachten.

Overigens dat lek is natuurlijk niet goed, maar gelukkig zou ik het nou niet zulke gevoelige persoonlijke gegevens noemen.

Mx. Alba schreef op vrijdag 18 februari 2022 @ 22:09:
[...]


Uiteraard mag mijn huisbaas mijn gegevens verwerken, dat is het probleem niet. Maar het ook laten verwerken door derden van derden van derden? Daar hebben ze toch minstens een pro-actieve informatieplicht?

Nee. Neem bijvoorbeeld bol.com. Die moeten jouw gegevens ook verstrekken aan de bezorger die een pakketje bij jou komt afleveren. Ben jij daarover geïnformeerd? Nee. Waarom zou je huisbaas dat dan wel moeten doen?

Mx. Alba schreef op zaterdag 19 februari 2022 @ 16:50:
[...] en die moeten daarvoor uiteraard je naam en adres hebben. (Maar niet je betalingsgegevens, telefoonnummer, emailadres...)

Is dat zo? Klinkt als een aanname Kijk, dat we met z'n allen weten dat je voor een pakketbezorging geen betalingsgegevens/telefoonnummer/e-mailadres nodig hebt wil nog niet zeggen dat bol.com die gegevens niet onverhoopt (of met valide redenen) alsnog deelt met PostNL.

En dát is waar o.a. dat hele gedoe met AVG voor is: ga bewuster om met gegevens, doe een double-check op hetgeen je deelt, verklaar waarom je dingen doet, en besef dat je op ieder moment door iedereen gecontroleerd kunt worden. Het gaat heel vaak goed, maar soms ook niet. En met de digitale wijze waarop we tegenwoordig gegevens opslaan kan zo'n fout heel snel gaan sneeuwballen.

Dit hele gebeuren staat nog in de kinderschoenen, en dan heeft Nederland er sinds kort nog een vage wet voor ook - iets dat lang niet alle landen hebben. Het zit nog lang niet in de genen van alle mensen om na te denken over wat je met data moet en mag doen. Ik zie dat in mijn omgeving ook: een vrijwilligersclub waar ik in deelneem die het ledenbestand wel even wilde delen met het in Coronatijd moeilijk lopende, lokale restaurant zodat die een mailing de deur uit kon doen. Over my dead body! En dan ben ik de negatieve boosdoener, natuurlijk.

Als consument sta je ook gewoon minder sterk als je eisen hebt over data-omgang. Als je als commercieel bedrijf een grote klant wilt binnenhalen dan ga je er wat sneller in mee dat die bijvoorbeeld eist dat data alleen in EU mag worden opgeslagen, of dat die de hele keten van dataverwerkingsovereenkomsten wil inzien. Als jij als eenling dat bij je verhuurder gaat zitten eisen dan kun je waarschijnlijk snel je sleutels inleveren: voor jou tien andere huurders die niet zo moeilijk doen. Bovendien is de huizenmarkt verhit dus zulke eisen stellen is in je nadeel, en de huizenmarkt is nog niet zo bekend met deze AVG-materie.

Geef het tijd. Er zullen helaas nog wat misstappen nodig moeten zijn in alle branches voordat dit overal even goed toegepast is en er een goede controle op zal zijn.

Mx. Alba schreef op zaterdag 19 februari 2022 @ 16:50:
[...] Maar dan nog dienen de huurders er toch wel van op de hoogte gesteld te worden dat hun gegevens door derden verwerkt worden?...

Waarom? Het hele idee van de AVG is nou juist dat jij je daar geen zorgen om hoeft te maken. De verantwoordelijk ligt bij de verwerker. Als die aantoonbaar jouw privacy schendt is hij, sinds de AVG er is, strafbaar. Dat neemt voor jou de noodzaak weg om dat allemaal zelf te controleren en te beoordelen

Brahiewahiewa schreef op zaterdag 19 februari 2022 @ 18:09:
[...]

Waarom? Het hele idee van de AVG is nou juist dat jij je daar geen zorgen om hoeft te maken. De verantwoordelijk ligt bij de verwerker. Als die aantoonbaar jouw privacy schendt is hij, sinds de AVG er is, strafbaar. Dat neemt voor jou de noodzaak weg om dat allemaal zelf te controleren en te beoordelen

En dat is nu precies de grootste misverstand wat rond heel AVG is, 'niet druk maken'. Het is juist je druk te maken WAAR jouw data terecht komt, daar hebben al die bedrijven nu de plicht precies aan te geven waar deze data (en waarvoor) deze worden opgeslagen. Niet simpel 'oh mag niet meer, maak je niet druk'.

Dit van TS heeft namelijk niets met privacy te maken, maar louter met het principe in AVG dat datalekken verplicht gemeld moeten worden. Data die huurbaas opslaat kunnen prima noodzakelijk zijn (denk incasso, denk aan huurgegevens, allemaal prima), en die 3 partijen erna zullen prima volgens AVG werken. Veiligheid, is een heel ander verhaal.

99% van de mensen weet totaal niet waar hun gegevens worden opgeslagen, buiten 'ja bij bedrijf X'. maar bedrijf X gebruikt software van Y, welke host bij Z, welke cloudsolutions heeft bij W. 4 lagen diep, allemaal prima volgens de AVG.

Er is via de AVG niet zomaar een verbod op het laten verwerken van je persoonsgegevens, als dat nodig is of er een goede reden voor is.

Als je geen duidelijke uitleg hebt over dat nodig zijn of een goede reden, kan je dus aan je huisbaas vragen naar de onderbouwing waarom er die persoonsgegevens bij een derde-partij datacenter van de derde-partij softwareleverancier van de derde-partij vastgoedadministrator werden verwerkt, of je huisbaas daarvan op de hoogte was en waaruit voor je huisbaas blaak dat dat je persoonsgegevens op deze mogelijk onoverzichtelijke manier goed beschermd zouden zijn.

kodak schreef op zaterdag 19 februari 2022 @ 19:19:
Er is via de AVG niet zomaar een verbod op het laten verwerken van je persoonsgegevens, als dat nodig is of er een goede reden voor is.

Als je geen duidelijke uitleg hebt over dat nodig zijn of een goede reden, kan je dus aan je huisbaas vragen naar de onderbouwing waarom er die persoonsgegevens bij een derde-partij datacenter van de derde-partij softwareleverancier van de derde-partij vastgoedadministrator werden verwerkt, of je huisbaas daarvan op de hoogte was en waaruit voor je huisbaas blaak dat dat je persoonsgegevens op deze mogelijk onoverzichtelijke manier goed beschermd zouden zijn.

En dan? Dan moet zijn huisbaas een andere gegevensverwerker kiezen of het persé zelf doen, omdat de TS dat wil? Dacht het niet. Nogmaals: het is aan de verwerker om een verantwoorde verwerkingsovereenkomst aan te gaan. Blijkt-ie dat fout te doen, dan kan de TS, of elke andere klant, een schadevergoeding eisen. Maar de AVG geeft je niet het recht om mee te beslissen in het keuze proces over aan wie de verwerking uitbesteed wordt

Mx. Alba schreef op zaterdag 19 februari 2022 @ 16:50:
[...]
In het geval van een verhuurder is het ook logisch dat die software gebruikt voor het beheren van alle gegevens van de huurders. Maar hoe logisch is het dat die hele administratie door een derde partij gedaan wordt? En dat die derde partij daarvoor een clouddienst gebruikt in het datacenter van weer een andere derde partij?

Rond de zomer van 2018 hebben heel veel bedrijven berichten gestuurd naar mensen van wie ze de gevoelige informatie verwerkten. De AVG maakte dit verplicht, maar vrijwel niemand las die (mail) berichten. Heb jij alle AVG aankondigingen bewaard en gelezen? Of net als 99% van NL gewoon ongezien weggegooid?

En misschien mosterd na de maaltijd, want je zag de logica er inmiddels van in:

Hoe blij moet je zijn als jou huisbaas zelf zijn administratie gaat doen? Mijn huisbaas is geweldig behulpzaam, en komt zelfs zaterdags of 's avonds kijken als het nodig is. Maar vorig jaar kreeg ik een kwitantie met daarop "twee-en-zevenDig EUR". Ik denk dat ik blij mag zijn dat hij zijn administratie uitbesteed...

En als ICT-er ben ik daarnaast ook blij dat administratiekantoren de ICT uitbesteden. Ik ben hiervoor loonadministrateur geweest, en iets in mij zegt dat het heel verstandig is dat de ICT beveiliging niet in hun handen is. In die tijd hadden wij vier accounts op de belastingdienst-site (aangifteportaal) die allen als wachtwoord ##plaatsnaam##123 hadden. Was lekker makkelijk.

Dus als wij een dienst afnemen bij een partij die verstandig is, kiest hij of hij een klus zelf kan, of dat hij het beter uit kan besteden. En verstandige mensen met veel zelfkennis besteden veel uit. Kan dan nooit meer iets fout gaan? Zeker wel, zie verhaal TS. Maar de kans wordt al kleiner.

Brahiewahiewa schreef op zaterdag 19 februari 2022 @ 20:49:
[...]

En dan? Dan moet zijn huisbaas een andere gegevensverwerker kiezen of het persé zelf doen, omdat de TS dat wil? Dacht het niet. Nogmaals: het is aan de verwerker om een verantwoorde verwerkingsovereenkomst aan te gaan. Blijkt-ie dat fout te doen, dan kan de TS, of elke andere klant, een schadevergoeding eisen. Maar de AVG geeft je niet het recht om mee te beslissen in het keuze proces over aan wie de verwerking uitbesteed wordt

TS vroeg of de situatie redelijk is. De manier om daar achter te komen is bij de huisbaas te vragen hoe het redelijk is, volgens wat je van de wet mag verwachten wat vooraf geregeld is. Ik stel daar niet alvast mee wat de TS of huisbaas daarna hoort te doen.

kodak schreef op zaterdag 19 februari 2022 @ 22:37:
[...]

TS vroeg of de situatie redelijk is. De manier om daar achter te komen is bij de huisbaas te vragen hoe het redelijk is, volgens wat je van de wet mag verwachten wat vooraf geregeld is. Ik stel daar niet alvast mee wat de TS of huisbaas daarna hoort te doen.

Zoals ik het begrijp verwacht de TS dat er voor een data-verwerker in de AVG een plicht is opgenomen om al zijn klanten vooraf te informeren met wie hij verwerkingsovereenkomsten heeft afgesloten. Die plicht is er niet.