Privacy
- Wat niemand over je mag weten
Wat is de daadwerkelijke functie van Autoriteit Persoonsgegevens (AP)? De nieuwe kleren van de keizer!?
25-10-2018, 05:28 door Anoniem, 20 reacties
Waarom.... laat De AP toe dat zeer privacy gevoelige patiëntgegevens grootschalig naar de beruchte Goooogle & Co. gaan!?
Ook al staat er in bijv AVG & NEN7510 toch een aantal zeer duidelijke voorschriften en voorwaarden waar die beruchte 'big cloud' bedrijven onmogelijk aan kunnen voldoen...
Sterker nog, die beruchte Amerikaanse bedrijven zijn herhaaldelijk voor de rechter moeten komen her en der, omdat ze telkens weer slinks Wetten, en grondrechten van de burgers, compleet negeren.
Op dit moment zijn velen 'Zorg'-instellingen in zee gegaan met externe data verwerkers. Die verwerkers zijn veelal Nederlandse bedrijven die 'hun' services hebben weten te verkopen aan die zorginstellingen.
Nu zijn een aantal van die 'service providers' in grote diepe donkere zee in aan 't gaan met zeer beruchte Amerikaans privacy schenders zoals Gooooogle GCP & Microsoft Azure, enz.
Wat in feite bekend dat "onze" gegevens zomaar aan Google & Co. gegeven worden zonder onze toestemming of zelfs zonder dat het aan ons gemeld wordt.
Het gebeurt allemaal stilletjes op de achtergrond, en de AP kijkt er naar en laat 't zonder blikken of blozen aleemaal maar toe.
Men zou zelfs kunnen denken dat de AP het opslaan van onze gegevens in 'de could' actief aanmoedigt!?
"Hoe kiest u de juiste cloudprovider?":
# autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/praktijkgids_patientgegevens_in_de_cloud_def.pdf
~
De NEN en Wetboeken zijn toch eenduidig:
-----------------------------------
"Na navraag bij mijn collega kan ik u informeren dat:
Betreffende de veiligheid van een cloud omgeving volgt de NC dus de richtwijze van de normen voor informatiebeveiliging, ISO/IEC 27001 en NEN 7510: op basis van een risicoanalyse en classificatie van de onderliggende data (bijvoorbeeld: zeer kritisch/vertrouwelijk, kritisch, niet kritisch en openbaar) kan de (zorg)instelling besluiten welke data in de cloud opgeslagen kan worden.
Op dit moment is dat slechts de openbare data aangezien de veiligheid voor de andere classificaties niet kan worden gegarandeerd.
Ik hoop u voldoende te hebben geïnformeerd.
Met vriendelijke groet,
T vB @ NEN
Standardization Consultant / Information and Communication Technology"
-----------------------------------
--
Ps.
Op dit moment is een grote Nederlandse verwerker van onder anderen gegevens van kankerpatiënten voor verschillende ziekenhuizen in heel nederland, heel druk bezig om al die zeer gevoelige data naar Gooogle te verhuizen over een paar maanden.
De CEO & CTO zijn van “mening” dat “een contract" met die beruchte Goooogle, voldoende is om het van De Autoriteit Persoonsgegevens te mogen. En zo zelf flinke extra winst te kunnen gaan boeken op kosten van de zorg sector en haar patiënten slachtoffers.
Ook al staat er in bijv AVG & NEN7510 toch een aantal zeer duidelijke voorschriften en voorwaarden waar die beruchte 'big cloud' bedrijven onmogelijk aan kunnen voldoen...
Sterker nog, die beruchte Amerikaanse bedrijven zijn herhaaldelijk voor de rechter moeten komen her en der, omdat ze telkens weer slinks Wetten, en grondrechten van de burgers, compleet negeren.
Op dit moment zijn velen 'Zorg'-instellingen in zee gegaan met externe data verwerkers. Die verwerkers zijn veelal Nederlandse bedrijven die 'hun' services hebben weten te verkopen aan die zorginstellingen.
Nu zijn een aantal van die 'service providers' in grote diepe donkere zee in aan 't gaan met zeer beruchte Amerikaans privacy schenders zoals Gooooogle GCP & Microsoft Azure, enz.
Wat in feite bekend dat "onze" gegevens zomaar aan Google & Co. gegeven worden zonder onze toestemming of zelfs zonder dat het aan ons gemeld wordt.
Het gebeurt allemaal stilletjes op de achtergrond, en de AP kijkt er naar en laat 't zonder blikken of blozen aleemaal maar toe.
Men zou zelfs kunnen denken dat de AP het opslaan van onze gegevens in 'de could' actief aanmoedigt!?
"Hoe kiest u de juiste cloudprovider?":
# autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/praktijkgids_patientgegevens_in_de_cloud_def.pdf
~
De NEN en Wetboeken zijn toch eenduidig:
-----------------------------------
"Na navraag bij mijn collega kan ik u informeren dat:
Betreffende de veiligheid van een cloud omgeving volgt de NC dus de richtwijze van de normen voor informatiebeveiliging, ISO/IEC 27001 en NEN 7510: op basis van een risicoanalyse en classificatie van de onderliggende data (bijvoorbeeld: zeer kritisch/vertrouwelijk, kritisch, niet kritisch en openbaar) kan de (zorg)instelling besluiten welke data in de cloud opgeslagen kan worden.
Op dit moment is dat slechts de openbare data aangezien de veiligheid voor de andere classificaties niet kan worden gegarandeerd.
Ik hoop u voldoende te hebben geïnformeerd.
Met vriendelijke groet,
T vB @ NEN
Standardization Consultant / Information and Communication Technology"
-----------------------------------
--
Ps.
Op dit moment is een grote Nederlandse verwerker van onder anderen gegevens van kankerpatiënten voor verschillende ziekenhuizen in heel nederland, heel druk bezig om al die zeer gevoelige data naar Gooogle te verhuizen over een paar maanden.
De CEO & CTO zijn van “mening” dat “een contract" met die beruchte Goooogle, voldoende is om het van De Autoriteit Persoonsgegevens te mogen. En zo zelf flinke extra winst te kunnen gaan boeken op kosten van de zorg sector en haar patiënten slachtoffers.
Reacties (20)
Even medisch googelen
In elk denkbare behandelkamer staat een computer met gegevens van de patiënt open en een browser.
Of die browser standaard advertentie Google Chrome of advertentie-Id browser Edge is is niet met zekerheid vast te stellen.
Wel met zekerheid vast te stellen is dat er standaard via Google wordt gezocht.
Dat levert een hoop specifieke data op voor Google.
In menig dokterspraktijk Googlen de assistenten er ook lustig op los, dan loopt het zoeken van adressen en opzoeken van medische informatie echt dwars door elkaar.
Interessant voor de AI van google om daar verbanden in te zoeken, wat google vast ook wel lukt.
Alle personeel van alle medische instellingen zouden daarom standaard met een privacy vriendelijke zoekmachine moeten zoeken zodra er patiënten in beeld komen.
O zou men bij AP ook standaard Google gebruiken voor alles wat handig is bij de eigen bedrijfsvoering?
o, o
In elk denkbare behandelkamer staat een computer met gegevens van de patiënt open en een browser.
Of die browser standaard advertentie Google Chrome of advertentie-Id browser Edge is is niet met zekerheid vast te stellen.
Wel met zekerheid vast te stellen is dat er standaard via Google wordt gezocht.
Dat levert een hoop specifieke data op voor Google.
In menig dokterspraktijk Googlen de assistenten er ook lustig op los, dan loopt het zoeken van adressen en opzoeken van medische informatie echt dwars door elkaar.
Interessant voor de AI van google om daar verbanden in te zoeken, wat google vast ook wel lukt.
Alle personeel van alle medische instellingen zouden daarom standaard met een privacy vriendelijke zoekmachine moeten zoeken zodra er patiënten in beeld komen.
O zou men bij AP ook standaard Google gebruiken voor alles wat handig is bij de eigen bedrijfsvoering?
o, o
Weer eens een onzin posting. Als je niet snapt dat een controle organisatie alleen bij de gratie van controles werkt, en niet proactief kan en vooral mag optreden dan helpt niets.
Ook het verband leggen met Google is zinloos, dat is, als het al gebeurt, een actie van de verpleegkundige, of de arts, en dat is dus aan die personen toe te rekenen, niet aan de AP.
Op dit moment bestaat er een (vrij zinloos) verdrag waarin wordt uitgewerkt waaraan de Amerikaanse bedrijven moeten voldoen, naast de GDPR. Waar haal je de veronderstelling vandaan dat daar niet aan voldaan wordt/niet aan voldaan kan worden? Verdiep je eens in de materie voordat je dingen roept die aantoonbaar onjuist zijn.
En ja, de betreffende personen van die genoemde grote verwerker hebben gelijk. Kijk maar eens welke cloudoplossingen inmiddels zijn goedgekeurd voor verwerking van gevoelige financiële gegevens (Google, Amazon, Microsoft, etc).
https://www.dnb.nl/nieuws/dnb-nieuwsbrieven/nieuwsbrief-banken/nieuwsbrief-banken-februari-2015/dnb319119.jsp
https://www.dnb.nl/en/news/dnb-nieuwsbrieven/nieuwsbrief-banken/nieuwsbrief-banken-juli-2016/dnb343078.jsp
etc
Ben vooral banger voor outsourcing van gegevens naar India, waar Indiase wetgeving inmiddels verbiedt dat persoonsgegevens van Indiërs buiten de landsgrenzen komen. Wie weet wat ze met onze gegevens doen?
Om discussie over het woord Indiër te voorkomen: zie https://www.vandale.nl/gratis-woordenboek/nederlands/betekenis/indier
Ook het verband leggen met Google is zinloos, dat is, als het al gebeurt, een actie van de verpleegkundige, of de arts, en dat is dus aan die personen toe te rekenen, niet aan de AP.
Op dit moment bestaat er een (vrij zinloos) verdrag waarin wordt uitgewerkt waaraan de Amerikaanse bedrijven moeten voldoen, naast de GDPR. Waar haal je de veronderstelling vandaan dat daar niet aan voldaan wordt/niet aan voldaan kan worden? Verdiep je eens in de materie voordat je dingen roept die aantoonbaar onjuist zijn.
En ja, de betreffende personen van die genoemde grote verwerker hebben gelijk. Kijk maar eens welke cloudoplossingen inmiddels zijn goedgekeurd voor verwerking van gevoelige financiële gegevens (Google, Amazon, Microsoft, etc).
https://www.dnb.nl/nieuws/dnb-nieuwsbrieven/nieuwsbrief-banken/nieuwsbrief-banken-februari-2015/dnb319119.jsp
https://www.dnb.nl/en/news/dnb-nieuwsbrieven/nieuwsbrief-banken/nieuwsbrief-banken-juli-2016/dnb343078.jsp
etc
Ben vooral banger voor outsourcing van gegevens naar India, waar Indiase wetgeving inmiddels verbiedt dat persoonsgegevens van Indiërs buiten de landsgrenzen komen. Wie weet wat ze met onze gegevens doen?
Om discussie over het woord Indiër te voorkomen: zie https://www.vandale.nl/gratis-woordenboek/nederlands/betekenis/indier
03-11-2018, 13:26 door
karma4
Eenvoudig antwoord:
- Ziekenhuizen en zorg worden niet gezien als systeem kritische algemene voorzieningen.
Ze zijn te duur, moeten zelf maar voor de financiën zorgen en als ze failliet gaan … kostenbesparing bereikt.
- Het AP is helemaal niet geïnteresseerd in privacy en het beleid er om heen.
Ze zijn een overheidsorgaan wat stuurloos lijkt te zijn.
aandacht voor privacy in ICT rond zorg brengt ze meteen in conflict met hun bazen en ander overheidsorganen.
- Ziekenhuizen en zorg worden niet gezien als systeem kritische algemene voorzieningen.
Ze zijn te duur, moeten zelf maar voor de financiën zorgen en als ze failliet gaan … kostenbesparing bereikt.
- Het AP is helemaal niet geïnteresseerd in privacy en het beleid er om heen.
Ze zijn een overheidsorgaan wat stuurloos lijkt te zijn.
aandacht voor privacy in ICT rond zorg brengt ze meteen in conflict met hun bazen en ander overheidsorganen.
Wat is de daadwerkelijke functie van Autoriteit Persoonsgegevens (AP)?
Staat op de AP website:https://autoriteitpersoonsgegevens.nl/nl/over-de-autoriteit-persoonsgegevens/taken-en-bevoegdheden
03-11-2018, 14:38 door
Tha Cleaner
Door Anoniem: Waarom.... laat De AP toe dat zeer privacy gevoelige patiëntgegevens grootschalig naar de beruchte Goooogle & Co. gaan!?
Misschien omdat Goooogle & Co. ook gewoon goede services bied? Die niet zo berucht zijn, maar gewoon door het bedrijfsleven gebruikt worden?Ook al staat er in bijv AVG & NEN7510 toch een aantal zeer duidelijke voorschriften en voorwaarden waar die beruchte 'big cloud' bedrijven onmogelijk aan kunnen voldoen...
Noem er eens een paar, icm met zakelijke diensten van Google of Microsoft.Sterker nog, die beruchte Amerikaanse bedrijven zijn herhaaldelijk voor de rechter moeten komen her en der, omdat ze telkens weer slinks Wetten, en grondrechten van de burgers, compleet negeren.
Volgens mij vallen de diensten waar jij het nu net over hebt, niet onder deze uitspraken. Daarnaast zit er een heel groot verschil tussen de zakelijke en consumenten versies. Heb je die ook wel eens naast elkaar gelegd?Nu zijn een aantal van die 'service providers' in grote diepe donkere zee in aan 't gaan met zeer beruchte Amerikaans privacy schenders zoals Gooooogle GCP & Microsoft Azure, enz.
Heb je ook wat bewijs van de privacy schenders van "Gooooogle GCP & Microsoft Azure". Ik heb namelijk nog niets gelezen over de zakelijke Google Apps of Microsoft Azure schendingen. Maar blijkbaar ben jij beter op de hoogte hierover. Wat in feite bekend dat "onze" gegevens zomaar aan Google & Co. gegeven worden zonder onze toestemming of zelfs zonder dat het aan ons gemeld wordt.
Op basis van welke feiten doe je deze uitspraak? Ik lees namelijk alleen maar wat aannames zonder enige bewijs.Het gebeurt allemaal stilletjes op de achtergrond, en de AP kijkt er naar en laat 't zonder blikken of blozen aleemaal maar toe.
Men zou zelfs kunnen denken dat de AP het opslaan van onze gegevens in 'de could' actief aanmoedigt!?
"Hoe kiest u de juiste cloudprovider?":
# autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/praktijkgids_patientgegevens_in_de_cloud_def.pdf
~
De NEN en Wetboeken zijn toch eenduidig:
-----------------------------------
"Na navraag bij mijn collega kan ik u informeren dat:
Betreffende de veiligheid van een cloud omgeving volgt de NC dus de richtwijze van de normen voor informatiebeveiliging, ISO/IEC 27001 en NEN 7510: op basis van een risicoanalyse en classificatie van de onderliggende data (bijvoorbeeld: zeer kritisch/vertrouwelijk, kritisch, niet kritisch en openbaar) kan de (zorg)instelling besluiten welke data in de cloud opgeslagen kan worden.
Op dit moment is dat slechts de openbare data aangezien de veiligheid voor de andere classificaties niet kan worden gegarandeerd.
Ik hoop u voldoende te hebben geïnformeerd.
Met vriendelijke groet,
T vB @ NEN
Standardization Consultant / Information and Communication Technology"
-----------------------------------
--
Ps.
Op dit moment is een grote Nederlandse verwerker van onder anderen gegevens van kankerpatiënten voor verschillende ziekenhuizen in heel nederland, heel druk bezig om al die zeer gevoelige data naar Gooogle te verhuizen over een paar maanden.
De CEO & CTO zijn van “mening” dat “een contract" met die beruchte Goooogle, voldoende is om het van De Autoriteit Persoonsgegevens te mogen. En zo zelf flinke extra winst te kunnen gaan boeken op kosten van de zorg sector en haar patiënten slachtoffers.
03-11-2018, 15:43 door
karma4
Door Anoniem:
https://autoriteitpersoonsgegevens.nl/nl/over-de-autoriteit-persoonsgegevens/taken-en-bevoegdheden
"De taken en bevoegdheden van de Autoriteit Persoonsgegevens (AP) staan in de Algemene verordening gegevensbescherming (AVG) en zijn verder uitgewerkt in de Uitvoeringswet (UAVG). Een taak is bijvoorbeeld toezicht houden, een bevoegdheid is bijvoorbeeld onderzoek doen.Wat is de daadwerkelijke functie van Autoriteit Persoonsgegevens (AP)?
Staat op de AP website:https://autoriteitpersoonsgegevens.nl/nl/over-de-autoriteit-persoonsgegevens/taken-en-bevoegdheden
In de AVG staat dat elke lidstaat van de Europese Unie een privacyautoriteit heeft die onafhankelijk toezicht houdt op het gebruik van persoonsgegevens.
De taken van de AP zijn: toezicht, advisering, voorlichting, informatieverstrekking & verantwoording en internationale taken."
Dat is de GDPR directive wat van ze verwacht wordt.
Dat is niet automatisch het zelfde als wat ze in de praktijk ook doen.
De vraagsteller zit persoonlijk met dat verschil.
Het komt in mijn ervaring nog te gemakkelijk voor dat een contract over priuvacybewaking, met een niet EU-firma gesloten, als afdoende wordt geacht. Ten eerste bestaat de GDPR buiten de EU feitelijk niet. Daar heeft een AP niks te zeggen. Ten tweede is de vraag waar het contract feitelijk gesloten is. Want dan geldt het recht van dat land.
Daarnaast zijn schadevergoedingen bedenkelijk in zulke contracten. Exporteer je zelf als tussenpartij data de EU uit, dan blijf je zelf namelijk wel aansprakelijk en kun je bij misbruik of lekken gewoon aangepakt worden. Wat dan verder in je contract staat tussen jou en de aliens blijft verder een zaak tussen jou en de aliens. Waarbij denk ik zelfs een schadevergoeding als feitelijke verkoop van je database gezien kan worden.
Daarentegen, als een dataverwerker gewoon een contract heeft met Google Nederland, netjes in het Nederlands ook(!!!), data in de EU wordt opgeslagen, dan valt alles binnen de macht van de GDPR en is er niks aan de hand. Want duiken de medische gegevens dan alsnog zomaar op op het eiland Tuvalu, dan mag Google het uit komen leggen aan de AP.
Wel raadzaam om op te passen met Amerikaanse contracten. Het contract kan wel rechtsgeldig zijn, maar over de GDPR kan elke rechter daar zeggen: "niks mee te maken". Net zoals men zich in Saudi er niet mee te bemoeiien heeft dat vrouwen hier wél auto mogen rijden zonder sjaal om, zelfs als het hun eigen burgers betreft.
Daarnaast zijn schadevergoedingen bedenkelijk in zulke contracten. Exporteer je zelf als tussenpartij data de EU uit, dan blijf je zelf namelijk wel aansprakelijk en kun je bij misbruik of lekken gewoon aangepakt worden. Wat dan verder in je contract staat tussen jou en de aliens blijft verder een zaak tussen jou en de aliens. Waarbij denk ik zelfs een schadevergoeding als feitelijke verkoop van je database gezien kan worden.
Daarentegen, als een dataverwerker gewoon een contract heeft met Google Nederland, netjes in het Nederlands ook(!!!), data in de EU wordt opgeslagen, dan valt alles binnen de macht van de GDPR en is er niks aan de hand. Want duiken de medische gegevens dan alsnog zomaar op op het eiland Tuvalu, dan mag Google het uit komen leggen aan de AP.
Wel raadzaam om op te passen met Amerikaanse contracten. Het contract kan wel rechtsgeldig zijn, maar over de GDPR kan elke rechter daar zeggen: "niks mee te maken". Net zoals men zich in Saudi er niet mee te bemoeiien heeft dat vrouwen hier wél auto mogen rijden zonder sjaal om, zelfs als het hun eigen burgers betreft.
Sowieso voldoet de AP niet aan de AVG https://static.afbeeldinguploaden.nl/1811/490330/LDkeDwSf.jpg. Vragen naar overbodige persoonsgegevens is niet toegestaan.
Op dit moment zijn velen 'Zorg'-instellingen in zee gegaan met externe data verwerkers. Die verwerkers zijn veelal Nederlandse bedrijven die 'hun' services hebben weten te verkopen aan die zorginstellingen.
Kan dit beamen. Ben zelf 'klant' bij een zorginstelling (waarvan je echt niet wil dat jouw dossier openbaar wordt/met derde gedeeld wordt.) die met verschillende externe bedrijven in zee is gegaan. Een gebruikt bij hun 'veilig' e-mailsysteem content van Google, een ander Google analytics en een ander heeft het op hun site in de voorwaarden nog over de EEG. En het ergste van alles is dat ze opmerkingen hierover niet serieus nemen je moet echt aandringen voor een reactie. Het blijft dan ook bij een reactie, een antwoord krijg je nooit.Door Anoniem: Even medisch googelen
In elk denkbare behandelkamer staat een computer met gegevens van de patiënt open en een browser.
Of die browser standaard advertentie Google Chrome of advertentie-Id browser Edge is is niet met zekerheid vast te stellen.
Wel met zekerheid vast te stellen is dat er standaard via Google wordt gezocht.
Dat levert een hoop specifieke data op voor Google.
In menig dokterspraktijk Googlen de assistenten er ook lustig op los, dan loopt het zoeken van adressen en opzoeken van medische informatie echt dwars door elkaar.
Interessant voor de AI van google om daar verbanden in te zoeken, wat google vast ook wel lukt.
Alle personeel van alle medische instellingen zouden daarom standaard met een privacy vriendelijke zoekmachine moeten zoeken zodra er patiënten in beeld komen.
O zou men bij AP ook standaard Google gebruiken voor alles wat handig is bij de eigen bedrijfsvoering?
o, o
In elk denkbare behandelkamer staat een computer met gegevens van de patiënt open en een browser.
Of die browser standaard advertentie Google Chrome of advertentie-Id browser Edge is is niet met zekerheid vast te stellen.
Wel met zekerheid vast te stellen is dat er standaard via Google wordt gezocht.
Dat levert een hoop specifieke data op voor Google.
In menig dokterspraktijk Googlen de assistenten er ook lustig op los, dan loopt het zoeken van adressen en opzoeken van medische informatie echt dwars door elkaar.
Interessant voor de AI van google om daar verbanden in te zoeken, wat google vast ook wel lukt.
Alle personeel van alle medische instellingen zouden daarom standaard met een privacy vriendelijke zoekmachine moeten zoeken zodra er patiënten in beeld komen.
O zou men bij AP ook standaard Google gebruiken voor alles wat handig is bij de eigen bedrijfsvoering?
o, o
Ik sluit me geheel aan bij deze posts. Wat men ook vergeet is dat bijna elke site of artikel (op een nieuwssite) voorzien is van de nodige links naar Google, Twitter, Insta etc om makkelijk te "delen" met vrienden of collegas.
Pas als je de volledige CIDR van Google en Facebook (dit zijn een stuk of 30 IP ranges tussen /8 en /16 ) op te vragen via WHOIS op ASN's blokkeert, pas als je alle verkeer naar deze giganten blokkeert, dan zul je zien dat bijna geen enkele website nog normaal laadt...
Dit is wel een handige tip voor mensen die privacy willen, Firewall gewoon deze en andere giganten en addnetworks en kijk eens wat er gebeurt met je internet ervaring. Ook interessant om een artikel over te schrijven. Je kunt voor de snelheid (DNS timeout is 1-2 minuten?) het beste firewallen naar een lokaal IP of deze ranges via een transparante proxy afvangen.
Reject van IP packets is beter dan Deny anders kun je lang wachten. Ik heb zelf alleen Deny geprobeert.
Door Anoniem: Men zou zelfs kunnen denken dat de AP het opslaan van onze gegevens in 'de could' actief aanmoedigt!?
"Hoe kiest u de juiste cloudprovider?":
# autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/praktijkgids_patientgegevens_in_de_cloud_def.pdf
~
De NEN en Wetboeken zijn toch eenduidig:
[...]
Op dit moment is dat slechts de openbare data aangezien de veiligheid voor de andere classificaties niet kan worden gegarandeerd.
Eigenlijk is er geen tegenspraak. De AP wijst erop dat bij het kiezen van een cloudprovider ISAE 3402, ISO 27017 en NEN 7510 van toepassing zijn, evenals de algemene beveiligingsnormen ISO 27001 en ISO 27002. Als op dit moment geen enkele provider aan alle eisen voldoet dan kan er op dit moment ook geen enkele provider gekozen worden."Hoe kiest u de juiste cloudprovider?":
# autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/praktijkgids_patientgegevens_in_de_cloud_def.pdf
~
De NEN en Wetboeken zijn toch eenduidig:
[...]
Op dit moment is dat slechts de openbare data aangezien de veiligheid voor de andere classificaties niet kan worden gegarandeerd.
Het bestaan van die praktijkgids van AP impliceert volgens mij niet dat AP geoordeeld heeft dat cloud-providers aan de eisen voldoen, ze wijzen er alleen op dat ook als besloten wordt een cloudprovider in te schakelen men nog steeds verantwoordelijk blijft om aan die eisen te voldoen.
AP formuleert het op een manier die blijft gelden als het beschikbare aanbod verandert. Wie weet staat er wel een hyperdegelijke Europese partij op voor dit soort diensten, dan moet een richtlijn van AP niet suggereren dat je die niet kan inschakelen, want als een aanbieder aan alle eisen en normen voldoet dan voldoet die eraan. De verantwoordelijkheid om daarover te oordelen ligt primair bij de partij die verantwoordelijk is voor het verwerken van de data. Die moet onderzoeken of een cloudoplossing aan de eisen voldoet.
Is trouwens "op dit moment" daadwerkelijk "op dit moment"? Ik kan makkelijk geloven dat het een recent citaat is dat inderdaad de huidige situatie beschrijft, maar het was aardig geweest als je dat had aangegeven.
Op dit moment is een grote Nederlandse verwerker van onder anderen gegevens van kankerpatiënten voor verschillende ziekenhuizen in heel nederland, heel druk bezig om al die zeer gevoelige data naar Gooogle te verhuizen over een paar maanden.
De CEO & CTO zijn van “mening” dat “een contract" met die beruchte Goooogle, voldoende is om het van De Autoriteit Persoonsgegevens te mogen. En zo zelf flinke extra winst te kunnen gaan boeken op kosten van de zorg sector en haar patiënten slachtoffers.
Weet AP dat dit gaande is? Behalve een klacht kan je ook een tip achterlaten en daarbij is het niet verplicht je persoonsgegevens in te vullen.De CEO & CTO zijn van “mening” dat “een contract" met die beruchte Goooogle, voldoende is om het van De Autoriteit Persoonsgegevens te mogen. En zo zelf flinke extra winst te kunnen gaan boeken op kosten van de zorg sector en haar patiënten slachtoffers.
Door Anoniem: Sowieso voldoet de AP niet aan de AVG https://static.afbeeldinguploaden.nl/1811/490330/LDkeDwSf.jpg. Vragen naar overbodige persoonsgegevens is niet toegestaan.
Het gaat altijd om specifieke gevallen van het schenden van je eigen persoonsgegevens waarover je al bij de betreffende organisatie hebt geklaagd. AP heeft concrete persoonsgegevens om dat te kunnen onderzoeken.Dat wringt nog steeds, trouwens, als ik bijvoorbeeld namens mijn bejaarde buurvrouw een klacht zou indienen dan zou ik haar e-mailadres helemaal niet in kunnen vullen, want dat heeft ze niet. En het is vreemd dat ze bij tips wel naar een "privacystatement tips" verwijzen en bij klachten niet naar een even duidelijk "privacystatement klachten". Slordig van ze.
Misschien moet iemand eens een klacht daarover bij ze indienen, wat een leuke paradox oplevert: in het klachtenformulier moet je aangeven wat de reactie van AP was die je op dat moment nog niet hebt ontvangen ;-).
04-11-2018, 19:56 door
karma4
Door Anoniem:
Eigenlijk is er geen tegenspraak. De AP wijst erop dat bij het kiezen van een cloudprovider ISAE 3402, ISO 27017 en NEN 7510 van toepassing zijn, evenals de algemene beveiligingsnormen ISO 27001 en ISO 27002. Als op dit moment geen enkele provider aan alle eisen voldoet dan kan er op dit moment ook geen enkele provider gekozen worden.
Het bestaan van die praktijkgids van AP impliceert volgens mij niet dat AP geoordeeld heeft dat cloud-providers aan de eisen voldoen, ze wijzen er alleen op dat ook als besloten wordt een cloudprovider in te schakelen men nog steeds verantwoordelijk blijft om aan die eisen te voldoen.
.....
Vrijwel alle providers zullen aan die richtlijnen voldoen.Eigenlijk is er geen tegenspraak. De AP wijst erop dat bij het kiezen van een cloudprovider ISAE 3402, ISO 27017 en NEN 7510 van toepassing zijn, evenals de algemene beveiligingsnormen ISO 27001 en ISO 27002. Als op dit moment geen enkele provider aan alle eisen voldoet dan kan er op dit moment ook geen enkele provider gekozen worden.
Het bestaan van die praktijkgids van AP impliceert volgens mij niet dat AP geoordeeld heeft dat cloud-providers aan de eisen voldoen, ze wijzen er alleen op dat ook als besloten wordt een cloudprovider in te schakelen men nog steeds verantwoordelijk blijft om aan die eisen te voldoen.
.....
Ze kunnen er aan voldoen omdat je als verwerker allerlei beperkingen in aan kunt brengen zodat iets niet van toepassing is.
De richtlijnen gelden voor de verwerkingsverantwoordelijke ofwel het ziekenhuis met de verantwoording voor het bestuur.
De moeten bij controle door bijvoorbeeld het AP kunnen aantonen dat ze de hele keten op orde hebben.
Daar zie je het vaak.mis gaan het bestuur gelooft dat als ze het werk uitbesteed hebben er ook niet meer voor verantwoordelijk voor zijn.
Dat is wat de vraagsteller aangeeft. Principieel geheel.niet in overeenstemming stemming met de GDPR of wat dan ook.
Topic starter denkt zeker dat alles in de cloud unencrypted is, en toegankelijk voor de cloud provider. De vraag in hoeverre data in de cloud goed beveiligd is, en daardoor niet toegankelijk voor derden, waaronder de cloud provider, is veel belangrijker. Al willen sommigen kennelijk dat AP roeptoetert ''mag niet'', zonder naar dergelijke essentiele details te kijken.
Ook al staat er in bijv AVG & NEN7510 toch een aantal zeer duidelijke voorschriften en voorwaarden waar die beruchte 'big cloud' bedrijven onmogelijk aan kunnen voldoen...
Onderbouw die bewering eens inhoudelijk. Waarom kunnen deze bedrijven niet aan deze richtlijnen voldoen ? Waarop baseer je deze stelling ?
Wel met zekerheid vast te stellen is dat er standaard via Google wordt gezocht. Dat levert een hoop specifieke data op voor Google. In menig dokterspraktijk Googlen de assistenten er ook lustig op los, dan loopt het zoeken van adressen en opzoeken van medische informatie echt dwars door elkaar.
Tuurlijk, en de assistente googled eerst altijd even je adres. Alsof die niet in hun administratie staat. Lekker op je dikke duim zuigen, om onzin argumenten te verzinnen. Even woordje ''zekerheid'' roepen, om je argument kracht bij te zetten. Het klinkt leuk ! ;)
Standardization Consultant / Information and Communication Technology
Iemand die zo'n functie heeft zou beter moeten weten dan dit soort artikelen te schrijven. Wat vooral komt neer komt op name calling, zonder te kijken naar details. Zoals de vraag aan welke eisen de opslag moet voldoen, wil je het in de cloud kunnen opslaan zonder beveiligings/compliancy risico. Of je het nou bij Google, bij Microsoft, of bij enig ander bedrijf onderbrengt.
Uiteindelijk gaat het om die details, en niet om name calling omdat je bepaalde bedrijven niet leuk vindt.
Ook al staat er in bijv AVG & NEN7510 toch een aantal zeer duidelijke voorschriften en voorwaarden waar die beruchte 'big cloud' bedrijven onmogelijk aan kunnen voldoen...
AVG-informatiecentrum
U vindt hier alle informatie over regelgeving, naleving en producten die u nodig heeft om het proces van de naleving van de AVG met G Suite en Google Cloud Platform (GCP) te versnellen.
https://cloud.google.com/security/gdpr/resource-center/?hl=nl
Door Anoniem: Topic starter denkt zeker dat alles in de cloud unencrypted is, en toegankelijk voor de cloud provider. De vraag in hoeverre data in de cloud goed beveiligd is, en daardoor niet toegankelijk voor derden, waaronder de cloud provider, is veel belangrijker. Al willen sommigen kennelijk dat AP roeptoetert ''mag niet'', zonder naar dergelijke essentiele details te kijken.
Als je de GDPR zou kennen zou je weten dat:- de verwerkingsverantwoordelijke ten allen tijde verantwoordelijk blijft.
- de verwerkingsverantwoordelijke de taak heeft om ns te gaan of de verwerker aan de eisen die hij nodig heeft voldoet. Nee een certificaat voor een norm bij de verwerker is niet voldoende.
- een subverwerker inschakelen is zonder afstemming met de verwerkingsverantwoordelijke niet toegestaan.
Heel belangrijk die rol van verwerkingsverantwoordelijke. De verantwoording kun je niet buiten de deur zetten.
Topic starter heeft zijn vraag kennelijk bij een instantie gesteld. Ik lees dat deeltussen die lijnen als een antwoord met de rol titel. Het antwoord komt er op neer dat de verwerkingsverantwoordelijke na de bia en pia onderbouwd kan besluiten wat er bij een externe leverancier belegd kan woerden. Het zegt niets over wat te doen als de verwerkingsverantwoordelijke zijn verantwoording ontkend.
Op dit moment is een grote Nederlandse verwerker van onder anderen gegevens van kankerpatiënten voor verschillende ziekenhuizen in heel nederland, heel druk bezig om al die zeer gevoelige data naar Gooogle te verhuizen over een paar maanden.
Met zowel Google Cloud als Google Suite (dit zijn betaalde diensten) kan er prima gekozen worden voor opslag binnen de grenzen van de EU. Daarnaast voldoet de Privacy Policy, de DPA en MCC prima aan de Europese GDPR-wetgeving.
Wanneer de topic-poster het had over de consumenten versie, dan had hij een punt. Maar de business variant zit prima in elkaar.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.