Moet ik voldoen aan de AVG

maandag 4 april 2022 13:25

Moderator CSA/PB

Front verplichte underscores

X is de BI-leverancier?

Onzin. Ze draaien de ETL's niet voor eigen doeleinden, maar voor / namens de klant. Beide verwerkingsverantwoordelijke kan in veel gevallen prima. Maar hier zie ik dat totaal niet. En op welke grond geeft klant zomaar gegevens aan BI-partij? Wat is de grondslag voor het uitvoeren van de ETL's door BI-leverancier als dat niet is 'omdat we daarvoor zijn ingehuurd door klant'? In dat laatste geval is het immers een verwerker.

Nee je kunt -voor 1 specifieke verwerking, in dit geval uitvoeren van de ETL's- niet zowel verwerker als verwerkingverantwoordelijke zijn. BI-leverancier is wel verwerkingverantwoordelijke voor andere verwerkingen, zoals de eigen salarisadministratie.

Maar goed. Al zou het zo zijn, dan nog is de AVG van toepassing. Voor beide partijen. Grondslag hebben om het te doen, goede beveiliging, etc.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Acties:

0 Henk 'm!

RiDo78

Iets zegt mij dat deze vraag simpeler te beantwoorden lijkt dan het is. Dus wacht vooral de mening van mensen af met meer juridische kennis. @Arnoud Engelfriet bijvoorbeeld.

Mijn eerste idee is dat ze dat wel moeten. De AVG gaat namelijk niet alleen over het opslaan van gegevens maar ook over de verwerking daarvan. Immers ook bij de verwerking kunnen persoonsgegevens ergens belanden waar dat niet de bedoeling is. Denk bijvoorbeeld aan logbestanden of rapportages.

Misschien dat ze de data genoeg geanonimiseerd binnen krijgen dat het niet meer tot individuen te herleiden is. Zoals enkel een factuurnummer en een betaald bedrag wat afgeboekt moet worden, maar dan lijkt het mij niet echt meer om ETL te gaan.

maandag 4 april 2022 13:28

Acties:

0 Henk 'm!

maandag 4 april 2022 13:40

ICT-jurist / Specialist internetrecht

De eerste vraag is of er in de data die men krijgt en verwerkt, persoonsgegevens zitten. Daarvoor is van belang of er namen en adressen mee komen, enkel "klant 1 | aankoop 7,50 | betaald" is al genoeg. Maar als het gaat om zeg datadumps van telescoopmetingen dan zullen daar geen persoonsgegevens in zitten. Kun je de kopregels van je datastructuur geven?

Acties:

0 Henk 'm!

maandag 4 april 2022 13:52

Topicstarter

Persoonsgegevens kunnen er tussen zitten. Ligt aan de rapportagewensen van de klant. Bij verkooprapportages heb je inderdaad enkel een factuurnummer of administratienummer. Maar het kan ook voorkomen dat de klant een HR-rapport wil maken met de medewerkersdata, daar staan wel persoonsgegevens in zoals naam, salaris, adres, etc.

Bedrijf X krijgt dan een API-key van de klant om het bronsysteem via Python te kunnen benaderen en vervolgens wordt met behulp van hetzelfde Python script de data verplaatst naar de database van de klant.

Arnoud Engelfriet schreef op maandag 4 april 2022 @ 13:28:
De eerste vraag is of er in de data die men krijgt en verwerkt, persoonsgegevens zitten. Daarvoor is van belang of er namen en adressen mee komen, enkel "klant 1 | aankoop 7,50 | betaald" is al genoeg. Maar als het gaat om zeg datadumps van telescoopmetingen dan zullen daar geen persoonsgegevens in zitten. Kun je de kopregels van je datastructuur geven?

[ Voor 30% gewijzigd door crazybob5 op 04-04-2022 13:41 ]

Acties:

+2 Henk 'm!

maandag 4 april 2022 14:09

ICT-jurist / Specialist internetrecht

Dan zou ik beginnen met in beide organisaties de FG of privacy officer te zoeken. Juridisch gezien kan dit niet anders dan dat er een verwerkersovereenkomst is gesloten, en daarin staat of/welke persoonsgegevens er worden gedeeld en voor welk doel.

Zeg me dat de API met SSL en meer beveiligd is en dat je dan alleen bij de brondata kan die hoort bij een concrete opdracht. En dat er een proces is bij de BI provider om de bestanden te wissen nadat de analyse is gedaan.

Acties:

0 Henk 'm!

Aganim

I have a cunning plan..

Arnoud Engelfriet schreef op maandag 4 april 2022 @ 13:52:
Zeg me dat de API met SSL en meer beveiligd is

Oef, zou je vandaag de dag juridisch nog wegkomen met SSL (afgezien van de technische hobbels, want ga maar eens een fatsoenlijke browser zoeken die het nog spreekt)? Dat is immers 7 jaar geleden al volledig in de ban gedaan omdat het zo lek als een mandje is. Moet je onder de AVG niet beveiligen naar de huidige stand der techniek?

maandag 4 april 2022 14:16

Acties:

+1 Henk 'm!

maandag 4 april 2022 14:25

ICT-jurist / Specialist internetrecht

@Aganim Excuses, ik zat in juristenmodus. Wij zeggen nog SSL maar natuurlijk bedoelen we TLS. En inderdaad, de stand der techniek die haalbaar is gezien kosten, risico's en toepassing. Wat goed is voor een "schat ik ben later" mailtje is niet acceptabel voor medische dossiers.

Acties:

0 Henk 'm!

maandag 4 april 2022 14:31

Moderator CSA/PB

Front verplichte underscores

Flauwe opmerking: elk bedrijf moet aan de AVG voldoen. Vraag is alleen of het hier ook zo is, zonder verdere maatregelen zoals fatsoenlijke beveiligingsmaatregelen en een verwerkersovereenkomst.

crazybob5 schreef op maandag 4 april 2022 @ 12:37:
Zij hebben namelijk geen bedrijfsdata (financiele mutaties e.d.) van de klant in eigen beheer. Deze heeft de klant in de eigen database. Wel verzorgt het bedrijf het ETL-proces. Zij zorgen dat de data vanuit het bronsysteem naar de database gaat.

Het is voor mij wat onduidelijk wat waar wordt verwerkt. Kan je dit at verduidelijken?
• Bronsysteem staat op een server van de klant zelf, en
• Doel-database staat op een server van de klant zelf, en
• ETL-script draait op de server van de klant zelf? Of op een server van BI-bedrijf?
• Enige dat BI-bedrijf doet, is script maken en zou dat script bij wijze van spreken via postduif kunnen sturen naar de klant? (En mogelijk op locatie van klant debuggen).

Oftewel: zijn er bits die het pand van de klant moeten verlaten?

Maar goed, hoe dan ook is het inderdaad zaak om contact op te nemen met de FG of privacy officer van beide organisaties. Die er afhankelijk van de grootte van de organisaties wel zal zijn, zeker het BI-bedrijf - waar BI en 'dus' grootschalige verwerking immers een kernactiviteit is.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Acties:

0 Henk 'm!

maandag 4 april 2022 14:36

Topicstarter

Arnoud Engelfriet schreef op maandag 4 april 2022 @ 13:52:
Dan zou ik beginnen met in beide organisaties de FG of privacy officer te zoeken. Juridisch gezien kan dit niet anders dan dat er een verwerkersovereenkomst is gesloten, en daarin staat of/welke persoonsgegevens er worden gedeeld en voor welk doel.

Zeg me dat de API met SSL en meer beveiligd is en dat je dan alleen bij de brondata kan die hoort bij een concrete opdracht. En dat er een proces is bij de BI provider om de bestanden te wissen nadat de analyse is gedaan.

Dank voor je antwoord. Ik zal de FG eens opzoeken en vragen naar verwerkersovereenkomsten.

Arnoud Engelfriet schreef op maandag 4 april 2022 @ 13:52:
Zeg me dat de API met SSL en meer beveiligd is en dat je dan alleen bij de brondata kan die hoort bij een concrete opdracht.

De manier waarop de API beveiligd is, is toch niet de verantwoordelijkheid van de BI provider? Het zorgen voor een beveiligd data-transfer proces en inderdaad het wissen van data die gebruikt zijn voor analyse zouden verantwoordelijkheden kunnen zijn om (deels) aan de AVG-wet te voldoen? Of denk ik dan te makkelijk?

Acties:

0 Henk 'm!

TheGhostInc

crazybob5 schreef op maandag 4 april 2022 @ 13:40:
Bedrijf X krijgt dan een API-key van de klant om het bronsysteem via Python te kunnen benaderen en vervolgens wordt met behulp van hetzelfde Python script de data verplaatst naar de database van de klant.

Deze uitleg roept meer vragen op, dan dat je er beantwoord.

Maar houd er rekening mee dat je op 3 systemen moet controleren of alles goed gaat:
Bronsysteem (+API)
Kan bijvoorbeeld iedereen met die API-key gewoon lekker neuzen in het klantsysteem?
Klant database
Hoe is de toegang geregeld? Deze staat neem ik aan ook bij de klant?
Jullie systemen
Ik lees een Python script, maar is dit ook het enige systeem in de flow? Of zitten er andere systemen tussen?
De data gaat door het systeem, maar kan er ook data lekken? Denk bijvoorbeeld aan een error melding of logging of monitoring systeem.

Daarnaast klinkt ETL heel generiek, maar als jullie software ook heel generiek is, dan kun je daardoor ook in de problemen komen. 'Even het foute record printen' betekent het ene moment dat je misschien naar wat financiële data zit te kijken en de volgende keer dat je de persoonlijke gegevens van iemand print. En zo'n printje land dan vaak op allerlei plaatsen In sommige gevallen ook weer in de logging van het systeem of de verwerkingsrapporten etc.

Ontwerpen met AVG in het achterhoofd is dan ook vaak veel eenvoudiger, dan achteraf gaan lopen uitzoeken hoe alles overal heen lekt en waar er allemaal gaten ontstaan.

maandag 4 april 2022 14:36

Acties:

0 Henk 'm!

maandag 4 april 2022 14:40

Topicstarter

F_J_K schreef op maandag 4 april 2022 @ 14:25:
Flauwe opmerking: elk bedrijf moet aan de AVG voldoen. Vraag is alleen of het hier ook zo is, zonder verdere maatregelen zoals fatsoenlijke beveiligingsmaatregelen en een verwerkersovereenkomst.

[...]

Het is voor mij wat onduidelijk wat waar wordt verwerkt. Kan je dit at verduidelijken?
• Bronsysteem staat op een server van de klant zelf, en
• Doel-database staat op een server van de klant zelf, en
• ETL-script draait op de server van de klant zelf? Of op een server van BI-bedrijf?
• Enige dat BI-bedrijf doet, is script maken en zou dat script bij wijze van spreken via postduif kunnen sturen naar de klant? (En mogelijk op locatie van klant debuggen).

Oftewel: zijn er bits die het pand van de klant moeten verlaten?

Maar goed, hoe dan ook is het inderdaad zaak om contact op te nemen met de FG of privacy officer van beide organisaties. Die er afhankelijk van de grootte van de organisaties wel zal zijn, zeker het BI-bedrijf - waar BI en 'dus' grootschalige verwerking immers een kernactiviteit is.

-Bronsysteem zou een boekhoudoplossing kunnen zijn, bijvoorbeeld Twinfield (SaaS product)
-Database is (bijna) nooit on-premise, maar draait in de cloud van Azure
-ETL-scripts draaien wel op de server van het BI-bedrijf. In dit geval is het een Apache Airflow server
-Dat laatste is mogelijk, maar ook het maken van Power BI rapportages is een dienst die het bedrijf levert.

Acties:

0 Henk 'm!

TheGhostInc

crazybob5 schreef op maandag 4 april 2022 @ 14:31:
De manier waarop de API beveiligd is, is toch niet de verantwoordelijkheid van de BI provider?

Uiteindelijk is de klant degene die als eerste aanspreekpunt geld voor de 'eindklant' in geval van AVG problemen.

Maar dat ontslaat jou niet van een stuk verantwoordelijkheid en al helemaal niet van een stuk professionaliteit:
"Ja, we wisten dat het zo lek was als een mandje, maar YOLO en het was al bijna weekeind".

maandag 4 april 2022 14:42

Acties:

0 Henk 'm!

Croga

The Unreasonable Man

TheGhostInc schreef op maandag 4 april 2022 @ 14:40:
[...]

Uiteindelijk is de klant degene die als eerste aanspreekpunt geld voor de 'eindklant' in geval van AVG problemen.

Maar dat ontslaat jou niet van een stuk verantwoordelijkheid en al helemaal niet van een stuk professionaliteit:
"Ja, we wisten dat het zo lek was als een mandje, maar YOLO en het was al bijna weekeind".

Een stukje morele verantwoordelijkheid wellicht maar zeker geen juridische, laat staan aansprakelijkheid.

Natuurlijk moet je altijd je best doen om iedereen te overtuigen wanneer iets bij de andere partij niet voldoet. Maar als de andere partij zegt "YOLO en het was bijna weekend" dan kun (en hoef) je verder niets. Je bent slechts aansprakelijk voor dat deel waar je ook daadwerkelijk controle over hebt.

maandag 4 april 2022 14:43

Acties:

+1 Henk 'm!

maandag 4 april 2022 14:46

Moderator CSA/PB

Front verplichte underscores

Die eerste twee zijn in dit kader 'van' de klant. Maar als de ETL-scripts draaien wel op de server van het BI-bedrijf is het simpel: BI-bedrijf is inderdaad verwerker cf. AVG. Belangrijkste staat in AVG artikel 28 en 29.

Edit: maar laat e.e.a. dus vooral eerst landen bij de FG / privacy officer.

De verwerker heeft overigens zeker wel (juridische) verplichtingen, niet alleen de verantwoordelijke. Beginnend met het hebben van die overeenkomst waar allerhande afspraken in moeten staan.

[ Voor 38% gewijzigd door F_J_K op 04-04-2022 14:46 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Acties:

+1 Henk 'm!

maandag 4 april 2022 15:09

ICT-jurist / Specialist internetrecht

Volgens mij mag je als verwerker niet doorgaan als de verantwoordelijke "yolo beveiliging wat is dat" tegen je zegt. In ieder geval zou voor mij de eerste stap zijn om de VO eens héél duidelijk door te lopen op zoek naar vrijwaringen en dergelijke.

Acties:

0 Henk 'm!

dinsdag 5 april 2022 11:06

Moderator CSA/PB

Front verplichte underscores

Arnoud Engelfriet schreef op maandag 4 april 2022 @ 14:46:
Volgens mij mag je als verwerker niet doorgaan als de verantwoordelijke "yolo beveiliging wat is dat" tegen je zegt. In ieder geval zou voor mij de eerste stap zijn om de VO eens héél duidelijk door te lopen op zoek naar vrijwaringen en dergelijke.

Inderdaad. Het is linksom of rechtsom: of er is een VO waarin passende technische en organisatorische maatregelen zijn afgesproken (en 'yolo' is geen passende maatregel), of er is niet een dergelijke VO en dus mag verwerker niet verwerken.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Acties:

0 Henk 'm!

dinsdag 5 april 2022 12:13

Topicstarter

Dank voor jullie antwoorden. Bedrijf x geeft aan dat het geen verwerker is, maar verwerkingverantwoordelijke.De reden zou zijn dat het bedrijf zelf bepaald hoe ze de dataprocessen inrichten/beveiligen/sturen. Er is ook geen verwerkingsovereenkomst. Wel is er een geheimhoudingsovereenkomst.

Op grond van de AVG is de verwerkingsverantwoordelijke “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”. -> de redenering is dan half waar, want de middelen voor verwerking worden wel zelf bepaald, maar het doel van verwerking is ten behoeve van de klant.

Klopt zijn beredenering of kan het bedrijf ook zowel verwerker als verwerkingverantwoordelijke zijn?

[ Voor 61% gewijzigd door crazybob5 op 05-04-2022 11:42 ]

Acties:

Beste antwoord ✓
+1 Henk 'm!