Om het gebruiksgemak te vergroten, de website te kunnen analyseren en om advertenties te kunnen beheren maakt Security.NL gebruik van cookies. Door gebruik te blijven maken van deze website, of door op de akkoord button te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer weten over cookies? Bekijk dan ons cookieoverzicht.
Nieuws Achtergrond Community
Inloggen | Registreren
Achtergrond
image

Juridische vraag: Mag een clouddienstverlener onder de AVG informatie over daadwerkelijk gebruik aan de afnemer van de dienst verstrekken?

woensdag 1 november 2017, 14:42 door Arnoud Engelfriet, 5 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Wij zijn een clouddienstverlener voor bedrijven. Met enige regelmaat krijgen wij vragen van klanten over logingedrag. Wie logde er na 18 uur nog in, vanaf welk IP-adres is gistermiddag toegang tot de database gezocht en ga zo maar door. Omdat dit persoonsgegevens zijn, wil ik graag weten hoe dat zit onder de wet (en natuurlijk de AVG). Mogen wij deze informatie geven?

Antwoord: Logingedrag is inderdaad te classificeren als persoonsgegevens. Het gaat over een persoon – de gebruiker van het account - en zegt iets over zijn gedrag, zoals wanneer hij in- en uitlogde of wat hij deed in de tussentijd. En die data aan anderen geven mag niet zomaar, dus wat dat betreft is de zorg van de vraagsteller terecht.

Het gaat hier alleen om een bijzondere situatie, namelijk de afnemer van de dienst waar de accounts bij horen. In die specifieke situatie vind ik het eerder gerechtvaardigd dat die afnemer informatie krijgt over het daadwerkelijk gebruik. Je mag gevoeglijk aannemen dat de gebruikers van de accounts werknemers of andere hulppersonen van die afnemer zijn, en dat geeft dan een redelijk belang om in beginsel bij die gegevens te kunnen.

Ik zou hooguit twijfelen als de actie specifiek privacygevoelig is, denk aan een online agenda waar iemand een afgeschermde privéafspraak naar de tandarts in noteert. Maar dat zou de uitzondering zijn en niet de regel.

De clouddienstverlener zou natuurlijk kunnen zeggen, het is niet mijn taak hierop te letten, want ik ben slechts bewerker / verwerker in opdracht. Dat klopt natuurlijk, maar een verwerker heeft onder de AVG wel degelijk een zorgplicht om na te gaan of hij wel binnen de wet handelt. Hoewel de verwerkingsverantwoordelijke de doelen en middelen van de verwerking bepaalt en daarbij instructies geeft ontslaat dit de verwerker niet van de plicht het te melden wanneer naar zijn mening de instructie in strijd is met de AVG of andere wetgeving over persoonsgegevens. Hij mag dus weigeren de gegevens te geven als het verzoek daarom duidelijk niet door de beugel kan.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Juridische vraag: Mag ik camera's in de gemeenschappelijke hal van ons appartementencomplex plaatsen?
Juridische vraag: Kunnen Europese bedrijven door een uitspraak van het Amerikaanse Supreme Court verplicht worden data aan de VS te verstrekken?
Reacties (5)
Reageer met quote
01-11-2017, 17:13 door mcb
Ik denk dat het ook af hangt wie die gegevens op vraagt.
Er zou sowieso een lijst moeten zijn van personen wie namens de klant info mag opvragen en welke categorie info en onder welke voorwaarden.

Voorbeeld:
Een aantal jaar geleden zat ik bij een helpdesk (extern/uitbesteed) en wij hadden een lijst welke personen moesten worden geinformeerd als een user een pw reset aanvroeg (wij gaven nieuwe pw's nooit door aan de user zelf).
Reageer met quote
02-11-2017, 11:11 door Anoniem
Bij ons staat het als wens in de security requirements dat een functionele beheerder, bij ons in dienst, toegang heeft tot dergelijke informatie. Dan hoef je er niet om te vragen, met als voordeel dat de verwerker ook niet hoeft te gaan lopen zoeken in dergelijke logging.

Peter
Reageer met quote
02-11-2017, 20:46 door Anoniem
Hoe zit dat dan met SIEM en SOC diensten....
Reageer met quote
06-11-2017, 17:19 door Patio
als een user een pw reset aanvroeg (wij gaven nieuwe pw's nooit door aan de user zelf).

Dat moet je juist wel uitsluitend aan degene van wie het account is doorgeven en aan niemand anders. Natuurlijk alleen als je kan controleren dat het werkelijk de accounteigenaar is. Je zou bijvoorbeeld het mobiele telefoonnummer (of bij een vast nummer van een particylier - bij bedrijven het doorkiesnummer, ( dan met extra controle dat het geen collega of een bezoeker van de afdeling/kamer) opgeslagen kunnen hebben. Zo gaat het met DigID ook. Dan sturen ze wijzigingen met te tekenen post/koerier. Zelfs een leidinggevende mag een wachtwoord niet weten. Stel je voor dat zij/hij alle wachtwoorden van de hele afdeling zou beheren...
Reageer met quote
06-11-2017, 17:25 door Patio - Bijgewerkt: 06-11-2017, 17:30
Door Anoniem: Hoe zit dat dan met SIEM en SOC diensten....

Analytische gegevens horen zo onpersoonlijk mogelijk te zijn; in elk geval niet rechtstreeks herleidbaar tot persoonsgegevens, zelfs niet naar privacy-/concurrentiegevoelige gegevens van bedrijven.

Met een goed ingericht en beveiligd Security Operations Center kun je bovenstaande uitstekend dichttimmeren.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Je reactie is verstuurd en wordt zo spoedig mogelijk gemodereerd.

Verder
captcha
Nieuwe code
Preview Reageren
Zoeken
search

Waar ga jij naar op zoek deze Koningsdag?

15 reacties
Aantal stemmen: 1012
Verzekeraar Websites op 'Privacy' vergeleken
20-04-2018 door Vandaag

Longread : Voor privacy enthousiasten en data vreters Recent was er in het nieuws dat er nogal wat verzekeraarwebsites data ...

30 reacties
Lees meer
Vacature
Vacature

Junior adviseur informatiebeveiliging / incidentcoördinator

Ministerie van Buitenlandse Zaken

Als incidentcoördinator ben je lid van het securityteam van het ministerie van Buitenlandse Zaken. Je bent medeverantwoordelijk voor de bescherming van de informatievoorziening van BZ. Als junior adviseur informatiebeveiliging voer je impact-analyses uit en stel je adviezen op over operationele informatiebeveiligings-vraagstukken.

Lees meer
Test Verzekeraar Websites op Security & Privacy (#2)
23-04-2018 door Vandaag

Hoe veilig zijn je data en je privacy eigenlijk als je een website van een verzekeraar bezoekt of er handelingen verricht ...

2 reacties
Lees meer
Security.NL Twitter
04-11-2016 door Redactie

Altijd meteen op de hoogte van het laatste security nieuws? Volg ons nu ook op Twitter!

Lees meer
Nieuwe Huisregels

Op 5 december 2017 hebben we een nieuwe versie van onze huisregels en privacy policy ingevoerd. Om verder te kunnen gaan dien je eenmalig akkoord te gaan met de nieuwe huisregels van Security.NL.

Verzenden
Inloggen

Bedankt! Je kunt nu inloggen op je account.

Wachtwoord vergeten?
Nieuwe code captcha
Inloggen

Wachtwoord Vergeten

Wanneer je hieronder het e-mailadres van je account opgeeft wordt er een nieuwe activatielink naar je gestuurd. Deze link kun je gebruiken om een nieuw wachtwoord in te stellen.

Nieuwe code captcha
Stuur link

Password Reset

Wanneer je het juiste e-mailadres hebt opgegeven ontvang je automatisch een nieuwe activatielink. Deze link kan je gebruiken om een nieuw wachtwoord in te stellen.

Sluiten
Registreren bij Security.NL

Geef je e-mailadres op en kies een alias van maximaal 30 karakters.

Nieuwe code captcha
Verzenden

Registreren

Je hebt je succesvol aangemeld. Voordat je je account kunt gebruiken moet deze eerst geactiveerd worden. Dit kan je zelf doen middels de activatielink die naar het opgegeven e-mailadres is verstuurd.

Sluiten
Over Security.NL
Huisregels
Privacy Policy
Adverteren
© 2001-2018 Security.nl - The Security Council
RSS Twitter