image

Juridische vraag: Moet onze vereniging straks een verwerkersovereenkomst met Google sluiten als we Google Drive willen blijven gebruiken?

woensdag 18 april 2018, 10:13 door Arnoud Engelfriet, 27 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Wij zijn een kleine vereniging die zich wil voorbereiden op de AVG. Eén zorg is onze ledenadministratie, die we nu beheren in Google Drive. Ik heb begrepen dat dit mag als we een verwerkersovereenkomst met Google sluiten, maar hoe ga ik dat in vredesnaam doen bij zo'n gigant? Plus hoe houd ik toezicht op hun securitymaatregelen, wat ik vereist ben onder de AVG.

Antwoord: Er zijn veel dingen om je zorgen over te maken bij Google, maar dat je een verwerkersovereenkomst met ze moet sluiten zou er geen moeten zijn. Het bedrijf voorziet in een standaard DPA waar alle gebruikers van haar clouddiensten automatisch onder vallen. Als je met deze overeenkomst kunt leven, dan heb je dus voldaan aan de eis een verwerkersovereenkomst met je verwerker Google te sluiten.

Natuurlijk staan er dingen in die je als verwerkingsverantwoordelijke scherper zou willen hebben. Een verwijderperiode van 180 dagen nadat de instructie is gegeven is bijvoorbeeld vrij ruim, en het kost geld als je Google wilt auditten. Maar alles bij elkaar vind ik hem niet eens zo heel slecht. Zeker niet als je bedenkt dat Google keurig zo ongeveer alle securitycertificeringen heeft die er bestaan.

Voor een mkb organisatie zoals een vereniging zou ik dus geen reden zien om van Google af te stappen als de angst is dat je het qua security of verwerkersovereenkomst niet geregeld krijgt. Het zal in ieder geval veiliger zijn dan je zelf voor elkaar kunt krijgen (of met een eigen verwerkersovereenkomst weet te onderhandelen met een lokale partij).

Wie met Google werkt, zal eerder in het achterhoofd moeten houden dat ze daar op de lange termijn (zeg een jaar of drie tot vijf) weer weg moet. Amerikaanse bedrijven hebben immers met de AVG conflicterende plichten op zich liggen, zoals de plicht lokale law enforcement toegang te geven tot clouddata.

Vooralsnog lijkt die plicht beperkt te zijn tot data in de VS, zodat je je veilig kunt wanen door een Europese dochter te contracteren. Echter, wanneer het Supreme Court deze zomer bevestigt dat de VS wereldwijd mag datasnuffelen (dat is natuurlijk niet zeker, maar het neigt er naar) én wanneer het Hof van Justitie vervolgens oordeelt dat de VS daarom geen veilig land is, en dat ook Privacy Shield en Model Clauses je niet gaan redden, dan houdt het wel op met Amerikaanse cloudbedrijven.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (27)
18-04-2018, 11:32 door Anoniem
Niet echt een heel strak plan om je ledenadministratie "in de cloud" te doen. Ik zou dat als het beschamen van mijn vertrouwen beschouwen. Netjes in eigen beheer houden. Backups eerst versleutelen, dan pas "in de cloud", en de sleutels altijd braaf offline houden. De data op je eigen computertje ook versleutelen, natuurlijk.
18-04-2018, 11:53 door Anoniem
Interessant leesvoer over security en privacy bij Google:
https://gizmodo.com/meet-the-woman-who-leads-nightwatch-google-s-internal-1825227132

Ik ken een aantal van de processen en procedures binnen Google en ik weet dat mijn data daar veiliger is dan bij een willekeurig Nederlands (of Europees) cloudbedrijf. Uit ervaring weet ik dat een beheerder al snel gegevens overhandigt als hij zich geintimideerd voelt door een medewerker van AIVD. Bij Google is het technisch niet mogelijk voor een beheerder om dat te doen zonder dat er stapels bellen afgaan.

Peter
18-04-2018, 12:58 door Anoniem
Door Anoniem: Niet echt een heel strak plan om je ledenadministratie "in de cloud" te doen. Ik zou dat als het beschamen van mijn vertrouwen beschouwen. Netjes in eigen beheer houden. Backups eerst versleutelen, dan pas "in de cloud", en de sleutels altijd braaf offline houden. De data op je eigen computertje ook versleutelen, natuurlijk.
Omdat? Waarom zou je dit niet kunnen doen? Juist zelf een oplossing bouwen is onprofessioneel en juist een hobby oplossing wat vroeg of laat juist verkeerd gaat.
18-04-2018, 13:07 door Anoniem
Door Anoniem: Niet echt een heel strak plan om je ledenadministratie "in de cloud" te doen. Ik zou dat als het beschamen van mijn vertrouwen beschouwen. Netjes in eigen beheer houden. Backups eerst versleutelen, dan pas "in de cloud", en de sleutels altijd braaf offline houden. De data op je eigen computertje ook versleutelen, natuurlijk.

Doe jij eigenlijk vrijwilligerswerk om die penningmeesters en secretarissen van kleine verenigingen te helpen om dat netjes te doen ?

Beschikbaarheid van de administratie is haast altijd belangrijker dan vertrouwelijkheid - en bij 'eigen beheer' en dan ook nog een een half begrepen encryptie keuze komt de beschikbaarheid nog wel eens onder druk te staan.
Iets wat bruikbaar is _voor de mensen die het moeten gebruiken_ en ook nog veilig en ook nog beschikbaar is echt wel lastig.
18-04-2018, 13:33 door Anoniem
Door Anoniem: Niet echt een heel strak plan om je ledenadministratie "in de cloud" te doen. Ik zou dat als het beschamen van mijn vertrouwen beschouwen. Netjes in eigen beheer houden. Backups eerst versleutelen, dan pas "in de cloud", en de sleutels altijd braaf offline houden. De data op je eigen computertje ook versleutelen, natuurlijk.

Overigens is ook dan de online partij aan te merken als 'verwerker'.
18-04-2018, 13:44 door Anoniem
Door Anoniem: Interessant leesvoer over security en privacy bij Google:
https://gizmodo.com/meet-the-woman-who-leads-nightwatch-google-s-internal-1825227132

Ik ken een aantal van de processen en procedures binnen Google en ik weet dat mijn data daar veiliger is dan bij een willekeurig Nederlands (of Europees) cloudbedrijf. Uit ervaring weet ik dat een beheerder al snel gegevens overhandigt als hij zich geintimideerd voelt door een medewerker van AIVD. Bij Google is het technisch niet mogelijk voor een beheerder om dat te doen zonder dat er stapels bellen afgaan.

Peter

Volgens mij heb je het stuk niet gelezen. Google heeft niets te willen, ze moeten gewoon doen wat hen wordt opgedragen.

Daarnaast lees je steeds meer of google niet 'in handen' van de amerikaanse veiligheidsdiensten is, want dat is praktisch nog de enige verklaring waarom het niet is opgesplitst.
Bij IBM werden er destijds minder eisen gesteld voor de opsplitsing.
18-04-2018, 13:54 door Anoniem
Door Anoniem: Niet echt een heel strak plan om je ledenadministratie "in de cloud" te doen. Ik zou dat als het beschamen van mijn vertrouwen beschouwen. Netjes in eigen beheer houden. Backups eerst versleutelen, dan pas "in de cloud", en de sleutels altijd braaf offline houden. De data op je eigen computertje ook versleutelen, natuurlijk.

Dat lukt jou, dat lukt mij, maar de gemiddelde kleine vereniging heeft niet noodzakelijk tech-savvy bestuur. En dan heb ik liever dat ze het in de cloud gooien bij google, dan dat achterbuurman Piet die een PC reparatiedienst heeft nog wel een servertje heeft staan waar het op mag.
18-04-2018, 14:38 door PietdeVries - Bijgewerkt: 18-04-2018, 14:39
Door Anoniem: Niet echt een heel strak plan om je ledenadministratie "in de cloud" te doen. Ik zou dat als het beschamen van mijn vertrouwen beschouwen. Netjes in eigen beheer houden. Backups eerst versleutelen, dan pas "in de cloud", en de sleutels altijd braaf offline houden. De data op je eigen computertje ook versleutelen, natuurlijk.

Ik ben het niet met je eens... Ik denk dat ik mijn data liever als klant aan Google vertrouw dan aan een sullige secretaris die dat op z'n laptopje probeert bij te houden en tegelijkertijd ergens op het web probeert weer te geven. Het aantal MKB instellingen waaraan Google haar diensten inmiddels levert is redelijk groot, en het aantal privacy klachten erover mijns inziens (maar ik houd me aanbevolen) redelijk klein. De Google Docs omgeving wordt veel in scholen gebruikt en ik hoor kinderen nog niet echt klagen over gerichte reclame of verkochte data bijvoorbeeld.

't Is net als met encryptie: je kan wel denken dat je dat zelf beter kan, maar gebruiken van door anderen bedachte oplossingen zijn vaak beter....
18-04-2018, 16:09 door Anoniem
Arnoud,

Speelt de CLOUD Act hierin nog een rol ?
18-04-2018, 16:33 door Anoniem
De zaak die bij de Supreme Court staat op het punt te worden geseponeerd, zie https://www.security.nl/posting/556522/VS+wil+rechtszaak+tegen+Microsoft+over+e-mails+seponeren
Hierin staat:
'Het Amerikaanse Openbaar Ministerie laat nu weten dat de zaak niet meer relevant is en heeft het Hof gevraagd die te seponeren. De omstreden CLOUD-wetgeving die onlangs door Trump werd goedgekeurd geeft rechters de bevoegdheid om bevelen voor in het buitenland opgeslagen data af te geven, terwijl bedrijven hier bezwaar tegen kunnen maken als het verzoek met buitenlandse wetgeving conflicteert'

De CLOUD wetgeving is al goedgekeurd, zie
https://www.security.nl/posting/555300/Amerikaans+Congres+keurt+omstreden+CLOUD-wetgeving+goed
Hierin staat:
'Daarnaast biedt de CLOUD-wet (pdf) de mogelijkheid voor de Amerikaanse president om afspraken met buitenlandse overheden te maken, waardoor beide overheden toegang krijgen tot de data die van gebruikers in het andere land is opgeslagen, zonder dat de privacywetgeving hierbij moet worden gevolgd.'

We moeten nog maar zien hoe deze twee berichten tot uiting komen, als we al te weten komen of en door wie en naar welke data deze verzoeken gedaan worden.
De data versleutelen, waarbij je zelf in het bezit bent van de sleutels en dan in de cloud opslaan is misschien een optie??
18-04-2018, 19:57 door Bitwiper - Bijgewerkt: 18-04-2018, 19:58
Door Anoniem (Peter): Uit ervaring weet ik dat een beheerder al snel gegevens overhandigt als hij zich geintimideerd voelt door een medewerker van AIVD.
Of iemand die zich voordoet als een medewerker van de AIVD of andere (meer of minder) geheime dienst. Ik kan me idd voorstellen dat die types bij de grote jongens niet zomaar op hun blauwe ogen worden geloofd.
18-04-2018, 23:50 door [Account Verwijderd] - Bijgewerkt: 19-04-2018, 00:00
Door Anoniem:
Door Anoniem: Niet echt een heel strak plan om je ledenadministratie "in de cloud" te doen. Ik zou dat als het beschamen van mijn vertrouwen beschouwen. Netjes in eigen beheer houden. Backups eerst versleutelen, dan pas "in de cloud", en de sleutels altijd braaf offline houden. De data op je eigen computertje ook versleutelen, natuurlijk.

Dat lukt jou, dat lukt mij, maar de gemiddelde kleine vereniging heeft niet noodzakelijk tech-savvy bestuur. En dan heb ik liever dat ze het in de cloud gooien bij google, dan dat achterbuurman Piet die een PC reparatiedienst heeft nog wel een servertje heeft staan waar het op mag.

Waarom moet alles nu steeds toch in de cloud. Omdat het zo makkelijk is? Is dat echt waar? NEE!

Oud servertje... is dat echt nodig dan?

De term die bij mij op komt in dit artikel is DOOD-REGELEN. Suc6 ermee... je kan vast je centjes er wel mee verdienen. met nadruk op JE.

Het zal in ieder geval veiliger zijn dan je zelf voor elkaar kunt krijgen
Zelf als in "in eigen land" of als in "in eigen mkb of vereniging" of zelf als in "penning meester".

Spelen met woorden is leuk om te doen zeker als je er geld mee maakt.

Duidelijk mag zijn dat google drive en google email en soortgelijke diensten helemaal niet zo veilig zijn PUNT
19-04-2018, 07:37 door Maarten_Jan
Ik ben bestuurslid bij een aantal stichtingen en die doen veel via de cloud. Het is echt onzin om te beweren dat de cloud per definitie niet veilig zou zijn. Er zijn hele grote bedrijven die ook met cloud diensten als Google G Suite en Microsoft Office 365 werken en ik kan mij dus niet voorstellen dat het dan niet goed genoeg zou zijn voor stichtingen en verenigingen.

Non-profit organisaties komen vaak in aanmerking voor de donatie programma's van deze organisaties. Je kunt dan gratis gebruik maken van G Suite of Office 365 voor bedrijven. Dan heb je een andere overeenkomst met een betere privacy deal. Je kunt dan mailadressen maken met je eigen domeinnaam en je krijgt dan bv. Geen advertenties meer in Gmail. Ook kun je dan als admin 2FA en andere security regels centraal instellen.

De donatie programma's van deze, en nog meer tech bedrijven, worden door TechSoup geregeld.
https://www.techsoup.nl
19-04-2018, 08:58 door Anoniem
Ik vind het als vereniging hoe dan ook al absolute 'not done' om zonder schriftelijk akkoord van elk lid persoonlijk data aan google te geven. Erg onbeschoft naar je leden toe!

Een WBP of AVG heeft daar niks mee te maken.
19-04-2018, 09:00 door Anoniem
Door Anoniem: Niet echt een heel strak plan om je ledenadministratie "in de cloud" te doen. Ik zou dat als het beschamen van mijn vertrouwen beschouwen. Netjes in eigen beheer houden. Backups eerst versleutelen, dan pas "in de cloud", en de sleutels altijd braaf offline houden. De data op je eigen computertje ook versleutelen, natuurlijk.

Het bekende wereldvreemde standpunt wat je behalve hier ook bij de diverse andere discussies rond ICT ziet.
Er wordt 1 aspect bekeken en wat termen tegenaan gegooid maar het totale plaatje inclusief de gebruikers, de
beheerders en de aanvallers/risico's is er totaal niet.

Gelukkig is het vrij simpel op te lossen: jij wordt gewoon geen lid van een vereniging. (ben je waarschijnlijk toch al niet)
En de rest van de mensen wordt wel lid en ziet zijn administratie op een redelijk veilige en betrouwbare manier geregeld.
En als er een velletje adresstickers op straat komt te liggen dan gaan ze ook niet totaal uit hun dak, zoals jij waarschijnlijk
zou doen.

Zoals anderen ook al meldden: het is veel belangrijker dat de informatie beschikbaar is en blijft, ook als vrijwilligers
er ineens mee stoppen of overlijden, als er onmin onstaat, e.d. En dan is een cloud oplossing gewoon veel en veel
beter dan "alles op de laptop van de secretaris met backup op zijn USB stick superveilig encrypted met een passphrase
die alleen hij kent".

Jij zou dat een goede oplossing noemen maar dat komt omdat je maar naar 1 aspect kijkt (die superbelangrijke gegevens
van jou) en niet naar het totaalplaatje (het voortbestaan van de vereniging en haar administratie).
19-04-2018, 10:33 door Anoniem
Er zijn volgens mij 2 aspecten:

- Een US bedrijf, dus mogelijk snuffelt een overheid
- Google - die aangeeft ook gewoon alles te analyseren en gebruiken wat er opgeslagen wordt

Een ledenlijstje in Excel, met daarop een wachtwoordje, is prima versleuteling in deze context. Zo kan er niemand bij als het ooit zou lekken en kan Google het ook niet analyseren.

Omdat Google gewoon eerlijk zegt dat ze die gegevens gebruikt, zou ik eerder opteren voor een Dropbox, OneDrive, STACK, ... maar ook weer met een wachtwoordje.

Dat wachtwoord krijg je nog wel uitgelegd aan iemand met beperkte kennis.
19-04-2018, 13:18 door Anoniem
Door Anoniem: Niet echt een heel strak plan om je ledenadministratie "in de cloud" te doen. Ik zou dat als het beschamen van mijn vertrouwen beschouwen. Netjes in eigen beheer houden. Backups eerst versleutelen, dan pas "in de cloud", en de sleutels altijd braaf offline houden. De data op je eigen computertje ook versleutelen, natuurlijk.

Jij hebt echt niet goed gelezen wat Arnoud schrijft en wat in zijn algemeenheid waar is. Jouw data is veiliger bij een clouddienst dan jij ooit zult kunnen bereiken. Wat denk je, als iemand belang heeft bij jouw data dan is de toegang ertoe het minste probleem, ook als je het zelf met hobbyisme blijft doen.
19-04-2018, 13:24 door Anoniem
Door Anoniem: Er zijn volgens mij 2 aspecten:

- Een US bedrijf, dus mogelijk snuffelt een overheid
- Google - die aangeeft ook gewoon alles te analyseren en gebruiken wat er opgeslagen wordt

.

Hoezo heeft men het hier vaak over de risico's van een US bedrijf, dat begrijp mik nou echt niet.
Iedere partij kan snuffelen, ook nederlandse. Stop je gegevens in een russische cloud of een chinese, nee die zijn pas veilig.
Wat een kolder. Nee ik ben niet voor de us of a, echt niet, maar dit is gewoon stemmingmakerij die nergens op slaat.
Overigens snuffelt google ook niet in 'alles', beter opletten.
19-04-2018, 15:30 door [Account Verwijderd] - Bijgewerkt: 19-04-2018, 16:04
Jouw data is veiliger bij een clouddienst dan jij ooit zult kunnen bereiken.

Dit zijn uitspraken van mensen die totaal geen verstand hebben van computers en netwerken. Met je hoofd in de cloud leven, jammer. Wel lekker trendy en makkelijk.

De notie dat de servers (clouds voor de kinderen) van google, microsoft en of amazon veel veiliger zijn dan een server (sorry cloud) hier in Nederland. Onder welk beheer dan ook kan men natuurlijk nooit bewijzen.

Dat als leden niet handig zijn het wel veilig zou zijn op een cloud is nog dommer.

Dat je verantwoordelijkheid plaatst bij google of dergelijke kan je slim noemen... maar ben je daar zeker van?

Ik begrijp de verkoop praat wel hoor... colab... nou dat kunnen wij niet! Veilig dat zijn wij niet. (of moeten we het persoonlijk houden en steeds IK zeggen? Het is wel duidelijk, geen goed volk).

Nee helaas is het niveau van denken te laag bij de meeste posters hier. Het is ook niet belangrijk.. want sommige mensen worden nooit lid van een vereniging (nu word het wel heel kinderachtig) of raken helemaal overstuur als er een administratie papiertje op straat ligt. Er is niets aan de hand mensen, gewoon door lopen!

Genoeg off topic:
Moet onze vereniging straks een verwerkersovereenkomst met Google sluiten als we Google Drive willen blijven gebruiken?

Als je het mij vraagt juist wel. Een jurist kan stellen van niet, een andere weer niet misschien. Een ICT specialist kan stellen dat het juist wel belangrijk is, of juist niet. De tijd zal het leren.
19-04-2018, 16:09 door Anoniem
Door Maarten_Jan: Ik ben bestuurslid bij een aantal stichtingen en die doen veel via de cloud. Het is echt onzin om te beweren dat de cloud per definitie niet veilig zou zijn. Er zijn hele grote bedrijven die ook met cloud diensten als Google G Suite en Microsoft Office 365 werken en ik kan mij dus niet voorstellen dat het dan niet goed genoeg zou zijn voor stichtingen en verenigingen.
"Iedereen doet het dus moet het wel veilig zijn" is heel verleidelijk maar geen valide argument.

"Iedereen" reed op gelode benzine. "Iedereen" gebruikt windows. "Iedereen" doet vanalles en soms merken we pas jaren later dat het toch niet zo'n goed idee was.

Technisch gezien is "cloud" en privacy een complete non-starter. Dus moet het maar juridisch en hopen dat iedereen inclusief alle datacriminelen zich netjes aan de wet houden. Je bent helemaal afhankelijk van de beloftes van een of ander grootbedrijf en als ze die breken, wat dan? Dan helemaal niets. Dat het vreselijk makkelijk lijkt, vast wel. Maar qua waarmaken van privacybeloftes blijft het waardeloos.
20-04-2018, 07:49 door karma4
Door Anoniem:
Door Anoniem: Interessant leesvoer over security en privacy bij Google:
https://gizmodo.com/meet-the-woman-who-leads-nightwatch-google-s-internal-1825227132

Ik ken een aantal van de processen en procedures binnen Google en ik weet dat mijn data daar veiliger is dan bij een willekeurig Nederlands (of Europees) cloudbedrijf. Uit ervaring weet ik dat een beheerder al snel gegevens overhandigt als hij zich geintimideerd voelt door een medewerker van AIVD. Bij Google is het technisch niet mogelijk voor een beheerder om dat te doen zonder dat er stapels bellen afgaan.

Peter

Volgens mij heb je het stuk niet gelezen. Google heeft niets te willen, ze moeten gewoon doen wat hen wordt opgedragen.

Daarnaast lees je steeds meer of google niet 'in handen' van de amerikaanse veiligheidsdiensten is, want dat is praktisch nog de enige verklaring waarom het niet is opgesplitst.
Bij IBM werden er destijds minder eisen gesteld voor de opsplitsing.
Met de Cloud act krijgt een bedrijf het recht om te weigeren gegevens te overhandigen indien de lokale wetten een conflict opleveren. Je zou kunnen zeggen dat de Microsoft die winst heeft opgeleverd. Het was het belangrijkste twistpunt.

Google heeft nu we degelijk iets te willen bij zo'n data overhandigen verzoek.
20-04-2018, 10:02 door Anoniem
Door Anoniem: Niet echt een heel strak plan om je ledenadministratie "in de cloud" te doen. Ik zou dat als het beschamen van mijn vertrouwen beschouwen. Netjes in eigen beheer houden. Backups eerst versleutelen, dan pas "in de cloud", en de sleutels altijd braaf offline houden. De data op je eigen computertje ook versleutelen, natuurlijk.

Even een quote uit het artikel:

Maar alles bij elkaar vind ik hem niet eens zo heel slecht. Zeker niet als je bedenkt dat Google keurig zo ongeveer alle securitycertificeringen heeft die er bestaan.

Voor een mkb organisatie zoals een vereniging zou ik dus geen reden zien om van Google af te stappen als de angst is dat je het qua security of verwerkersovereenkomst niet geregeld krijgt. Het zal in ieder geval veiliger zijn dan je zelf voor elkaar kunt krijgen (of met een eigen verwerkersovereenkomst weet te onderhandelen met een lokale partij).
20-04-2018, 10:10 door Anoniem
Door Anoniem: Er zijn volgens mij 2 aspecten:

- Een US bedrijf, dus mogelijk snuffelt een overheid
Kan inderdaad, maar dat doen ze ook niet zomaar even.
- Google - die aangeeft ook gewoon alles te analyseren en gebruiken wat er opgeslagen wordt
Verdiep je even in de zakelijke en consumenten versie.

Omdat Google gewoon eerlijk zegt dat ze die gegevens gebruikt, zou ik eerder opteren voor een Dropbox, OneDrive, STACK, ... maar ook weer met een wachtwoordje.
Verdiep je hierin ook eens in de consumenten en en zakelijke versie en wat de eigenschappen zijn van die versies.

Dat wachtwoord krijg je nog wel uitgelegd aan iemand met beperkte kennis.
Het is meer dan alleen een wachtwoordje. Je moet eigenlijk nadenken over data governance. En backup is daar eigenlijk ook een onderdeel van.
20-04-2018, 10:30 door m4hoeve - Bijgewerkt: 20-04-2018, 10:43
Hoe je het ook wend of keert, Google mag je data gebruiken en delen met derden. Het is gratis, ze moeten op een of andere manier er geld mee verdienen. Persoonlijk zou ik dan liever voor 10 eu per maand een Office365 licentie nemen. Goed, het kost wat, Maar Microsoft zal niet aan de hand van je data advertenties gaan targeten, of je data (of meta data) doorverkopen.

Voor de AVG zal je de personen op de hoogte moeten stellen dat de data bij google staat (en dat google die kan delen). Vervolgens moet je een risico- en belangenafweging maken: Hoe is erg is het voor de privacy beleving van deze leden als deze informatie bij derden komt. Als het alleen om naam en email adres gaat, zal het minder erg zijn, dan wanneer er ook bank- of medische data in staat. Bedenk ook wat voor vereniging het is. Als het om de Scheurbuik-belangenvereniging gaat is het wel vervelender (=hoog risico) voor de leden als bekend wordt dat ze daar lid zijn (en ads om hun oren krijgen) dan wanneer het om de bloemschikvereniging (laag risico) gaat.

Als het risico laag is, en voor de leden van groot belang dat er een (gratis)administratie is: Doen.
Bij een hoger risico: hmmm misschien even over nadenken nog en alternatieven zoeken.
23-05-2018, 16:34 door Anoniem
Is de essentie van AVG niet dat er dataverwerkingsovereenkomsten worden gesloten zodat je data niet gedeeld kan worden zonder dat je dit weet? Het lijkt nu of Google (Drive) hier niet hoeft te voldoen?
01-06-2018, 11:37 door Anoniem
Dropbox voor niet business gebruikers bevat geen verwerkersovereenkomst, die mag je na 25 mei niet gebruiken.[/quote]
19-11-2018, 09:33 door Anoniem
Er is een groot verschil tussen een gratis gmail account en een betaalde gsuite dienst of Office365 met een data overeenkomst (SLA). Je tekent hierbij een overeenkomst met Google of Microsoft dat jij ten alle tijden eigenaar van de data blijft. Als amerikaanse overheden jou of jouw vereniging verdenken van terroristische activiteiten (e.d.) mogen zal al in je data/netwerk als je al maar een klein routertje hebt van amerikaanse makelij. Dus ook je eigen servertje blijft dan echt niet ontoegankelijk. Laat staan die inbreker die je dure macspullen graag even "leent"...

Oh en die wachtwoorden van excel zijn met een scriptje van internet in 5 seconde te kraken, meer schijnveiligheid bestaat er niet. Aan de mensen die Google of Dropbox niks vinden; gebruiken jullie dan wel whatsapp? Nog beter: wetransfer wellicht? Want daar weten jullie vast ook wel wie er allemaal meekijken?

Wat volgens mij het grootste gevaar is dat iemand binnen de eigen gelederen iets doet dat niet door de beugel kan; dus het vier ogen principe hanteren voor alles. Tijdig, raar gedrag signaleren en met bewijsmateriaal aan de kaak stellen.

TIP: ga naar techsoup.org maak een verenigingsprofiel aan. Met de code mag je gratis een Google Gsuite for non-profit aanvragen (en nog veel meer andere licenties). Dat is vrij simpel in te richten en daar kan je met meerdere admin's alles beheren en iedere actie wordt gelogd (je kan dan geen mail lezen van gebruikers, maar wel zien wie met wie mailt/deelt, welke device op welk ip adres data verwerkt etc). Drive omgevingen van Google Gsuite zijn erg betrouwbaar en er gaan geen reclame of andere bot's doorheen. Dit is alleen bij de gratis software applicaties van Google die buiten de SLA vallen (Gmail gratis versie, Youtube, maps etc)...
Voor de twijfelaars; de nederlandse politie gebruikt Gsuite om veilig gebruik te maken van telefoons/laptops omdat er bij een diefstal van deze apparaten geen enkele data op het device zelf is te vinden!

Als je dan de stap naar de cloud neemt zorg er dan voor dat je een 2 factor authenticatie activeert. Dan moet je net zo als bij je bank iedere keer een code toevoegen om veilig in je account te geraken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.