Privacy - Wat niemand over je mag weten

Externe chatdienst, subverwerker AVG?

21-01-2021, 23:56 door Anoniem, 6 reacties
Beste,

Wij willen bij onze onderneming Slack gaan gebruiken als chatdienst maar zullen hier (mogelijk) persoonsgegevens over gaan communiceren met elkaar.

Wanneer wij er voor kiezen om dit te doen en klantgegevens te delen over Slack, moeten we dan aan onze klanten laten weten dat Slack een subverwerker is van hun data?

Hoe zit dit met diensten zoals WhatsApp, ik weet dat aardig wat bedrijven WhatsApp gebruiken om gegevens met elkaar te delen en dat is allemaal niet bepaald waterdicht E2E, facebook leest graag mee.

Wanneer we er voor kiezen dit te doen en persoonsgegevens niet te delen met elkaar, en er worden toch per ongeluk persoonsgegevens gedeeld over Slack, is er dan sprake van een datalek?

Met vriendelijke groet,
Een bezorgde medewerker
Reacties (6)
26-01-2021, 00:00 door Anoniem
Er zijn verschillende messaging diensten. Belangrijk is of de data bewaard wordt, en of deze door derden later kan worden achterhaald.

Een PIA (Privacy Impact Assessment) is tevens van belang. Om wat voor een data gaat het; een parkeerplaats op de camping, of een juridische aangelegenheid met 'hooggeplaatste' personen.

Download en lees (!) de AVG eens, het is minder dan 150 pagina's en de terminologie is niet ingewikkeld en vrij praktisch.
26-01-2021, 09:11 door Anoniem
Wanneer wij er voor kiezen om dit te doen en klantgegevens te delen over Slack, moeten we dan aan onze klanten laten weten dat Slack een subverwerker is van hun data?

Slack heeft helemaal geen toegang, tot die data https://slack.com/intl/en-nl/trust/security
26-01-2021, 15:38 door Anoniem
Wanneer we er voor kiezen dit te doen en persoonsgegevens niet te delen met elkaar, en er worden toch per ongeluk persoonsgegevens gedeeld over Slack, is er dan sprake van een datalek?

Indien jij gebruik maakt van Office365 (hosted door Microsoft), en jij mailt bedrijfsgegevens naar je collega, is er dan sprake van een datalek ? Nee natuurlijk niet. Zelfde antwoord voor Slack. En nee, medewerkers van Slack hebben geen toegang tot je bedrijfsinformatie.
26-01-2021, 15:41 door Anoniem
Door Anoniem:Wanneer wij er voor kiezen om dit te doen en klantgegevens te delen over Slack, moeten we dan aan onze klanten laten weten dat Slack een subverwerker is van hun data?
Ja dat is verplicht. Daarnaast ben je ook verplicht om een verwerkersovereenkomst af te sluiten en (mogelijk) te voldoen aan de eisen rondom internalionale datadoorgifte. Overigens ben je dat sowieso verplicht, ongeacht of je klantgegevens via Slack uitwisselt. Immers verwerkt Slack ook persoonsgegevens over je eigen medewerkers.

Door Anoniem:Slack heeft helemaal geen toegang, tot die data https://slack.com/intl/en-nl/trust/security
Ik lees niks op die pagina over End-to-end-Encryptie. Naar mijn weten zijn alle chats gewoon in te zien door Slack. De zin "By default, Slack encrypts data at rest and data in transit for all of our customers" is vrij standaard en doelt op het gebruik van TLS en full disk encryption. In beide gevallen beheert Slack zelf de sleutels en heeft dus gewoon toegang tot de plain text data.
26-01-2021, 17:13 door Anoniem
Door Anoniem:
Wanneer wij er voor kiezen om dit te doen en klantgegevens te delen over Slack, moeten we dan aan onze klanten laten weten dat Slack een subverwerker is van hun data?

Slack heeft helemaal geen toegang, tot die data https://slack.com/intl/en-nl/trust/security

Test het zelf eens: ga naar slack.com en login. Zie je data komen vanaf een server naar jouw toe, volledig encrypted tot in je browser (dus niet alleen TLS, maar daarin), of komt het toch gewoon als tekst naar je toe?

Tekst? Ah, dan heeft Slack dus toch toegang tot je data. Verwerkersovereenkomst dus verplicht.
27-01-2021, 01:37 door Anoniem
Als je gewoon even wat formaliteiten zoals een verwerkersovereenkomstje regelt dan is zit het allemaal wel goed met de privacy van de mensen. Het voldoet tenslotte allemaal aan de AVG en dan is het goed, want dan mag het. Zo regelt menig bedrijf het ook met bijvoorbeeld Microsoft; je weet wel, dat bedrijf achter "Teams": https://www.zdnet.com/article/i-looked-at-all-the-ways-microsoft-teams-tracks-users-and-my-head-is-spinning/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search