Ik wil personeel vanaf hun vakantielocatie laten werken. Wat zegt de AVG hierover?
woensdag 16 augustus 2023, 10:00 door Arnoud Engelfriet, 32 reacties
Laatst bijgewerkt: 16-08-2023, 13:31
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Ik ben directeur van een softwareontwikkelbedrijf en wil mijn mensen toestaan op een werkvakantie (“workation”) te gaan. De locatie kan Mexico zijn, maar dat schijnt AVG-technisch ingewikkeld te worden. Wat zijn de regels met laptopwerk in het buitenland? We hebben VPN verbindingen als dat uitmaakt.
Antwoord: Een workation is een vrij nieuw fenomeen waarbij mensen vanaf een vakantielocatie gaan werken, en dat combineren met vakantievieren. Dit begint populair te worden, maar het roept ook vragen op.
Onder de AVG is werken vanaf een vakantielocatie niet anders dan andere vormen van werken op afstand. De regels zijn dus nog steeds simpel: persoonsgegevens mogen niet naar buiten de Europese Economische Ruimte, tenzij het land adequaat is verklaard. Mexico staat daar niet op dus het wordt Argentinië of Japan dan, als je het simpel wilt houden.
En ja, je exporteert persoonsgegevens (“draagt over”) in de zin van de AVG als je een laptop met die dingen naar een vakantieland meeneemt, of als je vanuit dat vakantieland jezelf toegang verschaft tot de gegevens. Ook als je alleen maar via een remote tool toegang hebt en de server in Nederland staat. Je kunt ze zien in Mexico, dan zijn ze geëxporteerd naar Mexico.
Juridisch speelt dan nog wel de vraag of sprake is van overdracht wanneer de persoonsgegevens feitelijk het bedrijf niet verlaten. Een werknemer die persoonsgegevens krijgt, doet dat namens het bedrijf en niet op persoonlijke titel. De samenwerkende AVG-toezichthouders menen dat deze situatie géén vorm van overdracht is wanneer het gaat om een werknemer (pdf).
Als je tijdens je werk de toegang tot persoonsgegevens weet te vermijden, dan speelt dit natuurlijk niet. Bij een softwareontwikkelaar kán ik me daar wat bij voorstellen, al blijf je altijd zitten met zaken als accounts van anderen, teamoverleg via chatdiensten en mailtjes met verzoeken. Formeel bekeken is dat dus niet mogelijk zonder de werknemer alle toegang tot werk-accounts en dergelijke te ontzeggen.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (32)
Een linkje naar de landen die adequaat zijn verklaard:
https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
En ondertussen werkt een groot deel van Nederland gewoon door in de USA cloud, met of zonder vakantie, onder dekking van een derde niet werkende schaamlap genaamd "data privacy framework": https://noyb.eu/en/european-commission-gives-eu-us-data-transfers-third-round-cjeu
Gelukkig heb ik er zelf (nog) niet zo heel veel mee te maken, maar dat maakt het bijkant godsonmogelijk om met offshoring van application development te gaan werken. Dingen als outsourcing van netwerk en serverbeheer naar India kun je dan ook schudden.
Als je de richtlijnen van de AVG zo scherp interpreteert dat je zelfs via een Bastion Host, of een AVD/WVD niet mag beheren of programmeren in een Europese Azure of AWS cloud omgeving, omdat het beeld over een lijntje heen gaat, dan denk ik dat iedereen met een partner of een partner van een partner in het buitenland al compleet nat gaat, AVG technisch gezien.
En hoe lost een internationaal bedrijf dat dan op met vestigingen in het buitenland? De Corporate Global Address List is gewoon raadpleegbaar, ook als je met je mobiel in Singapore rondloopt...
Ik ben een voorstander van Privacy regels, maar dit lijkt me praktisch niet haalbaar en volstrekt onmogelijk te handhaven in de geglobaliseerde 24/7 economie. Dingen moeten ook realistisch blijven.
Als je de richtlijnen van de AVG zo scherp interpreteert dat je zelfs via een Bastion Host, of een AVD/WVD niet mag beheren of programmeren in een Europese Azure of AWS cloud omgeving, omdat het beeld over een lijntje heen gaat, dan denk ik dat iedereen met een partner of een partner van een partner in het buitenland al compleet nat gaat, AVG technisch gezien.
En hoe lost een internationaal bedrijf dat dan op met vestigingen in het buitenland? De Corporate Global Address List is gewoon raadpleegbaar, ook als je met je mobiel in Singapore rondloopt...
Ik ben een voorstander van Privacy regels, maar dit lijkt me praktisch niet haalbaar en volstrekt onmogelijk te handhaven in de geglobaliseerde 24/7 economie. Dingen moeten ook realistisch blijven.
Door Anoniem: Gelukkig heb ik er zelf (nog) niet zo heel veel mee te maken, maar dat maakt het bijkant godsonmogelijk om met offshoring van application development te gaan werken. Dingen als outsourcing van netwerk en serverbeheer naar India kun je dan ook schudden.
Als je de richtlijnen van de AVG zo scherp interpreteert dat je zelfs via een Bastion Host, of een AVD/WVD niet mag beheren of programmeren in een Europese Azure of AWS cloud omgeving, omdat het beeld over een lijntje heen gaat, dan denk ik dat iedereen met een partner of een partner van een partner in het buitenland al compleet nat gaat, AVG technisch gezien.
En hoe lost een internationaal bedrijf dat dan op met vestigingen in het buitenland? De Corporate Global Address List is gewoon raadpleegbaar, ook als je met je mobiel in Singapore rondloopt...
Ik ben een voorstander van Privacy regels, maar dit lijkt me praktisch niet haalbaar en volstrekt onmogelijk te handhaven in de geglobaliseerde 24/7 economie. Dingen moeten ook realistisch blijven.
Als je de richtlijnen van de AVG zo scherp interpreteert dat je zelfs via een Bastion Host, of een AVD/WVD niet mag beheren of programmeren in een Europese Azure of AWS cloud omgeving, omdat het beeld over een lijntje heen gaat, dan denk ik dat iedereen met een partner of een partner van een partner in het buitenland al compleet nat gaat, AVG technisch gezien.
En hoe lost een internationaal bedrijf dat dan op met vestigingen in het buitenland? De Corporate Global Address List is gewoon raadpleegbaar, ook als je met je mobiel in Singapore rondloopt...
Ik ben een voorstander van Privacy regels, maar dit lijkt me praktisch niet haalbaar en volstrekt onmogelijk te handhaven in de geglobaliseerde 24/7 economie. Dingen moeten ook realistisch blijven.
De GDPR maakt het perfect mogelijk om data te exporteren, enkel niet "zomaar".
Betekent dit dat we ook toegang tot de mailservers etc. moeten blokkeren voor IP-adressen buiten Nederland? Mails staan bomvol persoonsgegevens. Idem het personeelssysteem waar men vakantiedagen aanvraagt en ziekte meldt.
Wel goed voor de gemoedsrust, als collega's überhaupt niet mail kunnen lezen. Vakantie is vakantie, al is dat misschien een ouderwetse gedachte.
Wel goed voor de gemoedsrust, als collega's überhaupt niet mail kunnen lezen. Vakantie is vakantie, al is dat misschien een ouderwetse gedachte.
Door Anoniem: dat maakt het bijkant godsonmogelijk om met offshoring van application development te gaan werken. Dingen als outsourcing van netwerk en serverbeheer naar India kun je dan ook schudden.
Dat zou zowieso minder moeten gebeuren.
Maar gelukkig is er niemand die de regels daadwerkelijk enforced in de praktijk anders zou 99% van de bedrijven moeten sluiten.
De AVG is dan vooral ook privacy theater en een goed verdienmodel voor een bak ambtenaren en juristen.
Er zijn voor een workation nog veel andere zaken die een rol spelen, zoals sociale verzekeringen, werkvergunningen, belastingen. In die zin is de GDPR hierin niet een perse de beperkende factor altijd als je over de volle breedte kijkt.
Ik snap het antwoord maar, kom op, als je op een dichtgetimmerde bedrijfslaptop met disk encryptie en via VPN contact maakt met je bedrijf... Het mag dan vanuit Mexico (en andere landen) formeel niet toegestaan zijn onder de AVG maar daar zal niemand wakker van liggen. Ook de AP niet, schat ik zo in.
16-08-2023, 13:40 door
Wim ten Brink
Persoonsgegevens... Daar heb ik een leuke variant op. Zo'n 15 jaar geleden maakte ik een setje NAW gegevens aan van fictieve personen die allen ergens tussen 1988 en 1998 waren geboren. Ik had namelijk gegevens nodig die realistisch leken voor de software die ik genereer, en daarnaast ook mooi zijn in demo's. En dat setje namen heb ik sindsdien uitgebreid omdat deze fictieve figuren ouder worden. Voor login doeleinden hebben ze ook allemaal een GMail, LinkedIn, Facebook en Twitter account, die verder eigenlijk niets doen. Maar goed, mijn projecten moeten soms koppelen met externe applicaties en gegevens overnemen na toestemming van de gebruiker, en fictieve personen passen daar mooi in.
Maar goed, hebben deze fictieve personen nu ook rechten binnen de AVG? Als ik dus naar Mexico ga om daar verder te werken, kan ik dan mijn eigen fictieve namen blijven gebruiken? :)
(Namen die dus ondertussen 15 jaar aan geschiedenis hebben op het Internet!)
Maar goed, hebben deze fictieve personen nu ook rechten binnen de AVG? Als ik dus naar Mexico ga om daar verder te werken, kan ik dan mijn eigen fictieve namen blijven gebruiken? :)
(Namen die dus ondertussen 15 jaar aan geschiedenis hebben op het Internet!)
Je moet toch handelen in geest der wet. Via een VPN in het buitenland werken valt niet onder AVG.
Door Wim ten Brink: Persoonsgegevens... Daar heb ik een leuke variant op. Zo'n 15 jaar geleden maakte ik een setje NAW gegevens aan van fictieve personen die allen ergens tussen 1988 en 1998 waren geboren. Ik had namelijk gegevens nodig die realistisch leken voor de software die ik genereer, en daarnaast ook mooi zijn in demo's. En dat setje namen heb ik sindsdien uitgebreid omdat deze fictieve figuren ouder worden. Voor login doeleinden hebben ze ook allemaal een GMail, LinkedIn, Facebook en Twitter account, die verder eigenlijk niets doen. Maar goed, mijn projecten moeten soms koppelen met externe applicaties en gegevens overnemen na toestemming van de gebruiker, en fictieve personen passen daar mooi in.
Maar goed, hebben deze fictieve personen nu ook rechten binnen de AVG? Als ik dus naar Mexico ga om daar verder te werken, kan ik dan mijn eigen fictieve namen blijven gebruiken? :)
(Namen die dus ondertussen 15 jaar aan geschiedenis hebben op het Internet!)
Maar goed, hebben deze fictieve personen nu ook rechten binnen de AVG? Als ik dus naar Mexico ga om daar verder te werken, kan ik dan mijn eigen fictieve namen blijven gebruiken? :)
(Namen die dus ondertussen 15 jaar aan geschiedenis hebben op het Internet!)
Fictieve personen zijn geen personen, dus AVG is niet van toepassing. Net als meeste andere wetten trouwens.
Door Anoniem: Je moet toch handelen in geest der wet. Via een VPN in het buitenland werken valt niet onder AVG.
eens met anoniem 14:21.
Het feit dat iemand zijn computer meeneemt naar het buitenland (buiten de EER) impliceert niet dat de gegevens hierdoor worden overgedragen naar dat buitenland. Dat buitenland kan daardoor helemaal niet beschikken over de gegevens.
Als je vervolgens zonder beschermingsmaatregelen gaat werken, dan wordt het anders.
Maar (zoals anoniem 14:21 aangeeft) als je gebruik maakt van bijv een bedrijfs-VPN (en evt ook andere beschermingsmaatregelen tref), dan is er AVG technisch in mijn beleving niets aan de hand.
Krijg je eigenlijk dubbel betaald als je vanaf je vakantielocatie aan het werk bent?
Door Anoniem:
Fictieve personen zijn geen personen, dus AVG is niet van toepassing. Net als meeste andere wetten trouwens.
Kijk maar uit met dat soort algemene "dat snapt toch iedereen!" aannames. Kinderporno wetten zijn ook van toepassing op tekenfilms.Fictieve personen zijn geen personen, dus AVG is niet van toepassing. Net als meeste andere wetten trouwens.
Door Anoniem:
eens met anoniem 14:21.
Het feit dat iemand zijn computer meeneemt naar het buitenland (buiten de EER) impliceert niet dat de gegevens hierdoor worden overgedragen naar dat buitenland. Dat buitenland kan daardoor helemaal niet beschikken over de gegevens.
Door Anoniem: Je moet toch handelen in geest der wet. Via een VPN in het buitenland werken valt niet onder AVG.
eens met anoniem 14:21.
Het feit dat iemand zijn computer meeneemt naar het buitenland (buiten de EER) impliceert niet dat de gegevens hierdoor worden overgedragen naar dat buitenland. Dat buitenland kan daardoor helemaal niet beschikken over de gegevens.
Dat zou je denken ja. Maar als zelfs het remote werken op Citrix/AVD/etc er kennelijk al onder valt (dan draag je helemaal geen gegevens over, alleen afbeeldingen van presentaties van die gegevens) dan zal een laptop die gegevens via een VPN download er ZEKER onder vallen!
Door Anoniem:
eens met anoniem 14:21.
Het feit dat iemand zijn computer meeneemt naar het buitenland (buiten de EER) impliceert niet dat de gegevens hierdoor worden overgedragen naar dat buitenland. Dat buitenland kan daardoor helemaal niet beschikken over de gegevens.
Als je vervolgens zonder beschermingsmaatregelen gaat werken, dan wordt het anders.
Maar (zoals anoniem 14:21 aangeeft) als je gebruik maakt van bijv een bedrijfs-VPN (en evt ook andere beschermingsmaatregelen tref), dan is er AVG technisch in mijn beleving niets aan de hand.
Laptop kan in beslag worden genomen, kopie v[roffline forensisch onderzoek...Door Anoniem: Je moet toch handelen in geest der wet. Via een VPN in het buitenland werken valt niet onder AVG.
eens met anoniem 14:21.
Het feit dat iemand zijn computer meeneemt naar het buitenland (buiten de EER) impliceert niet dat de gegevens hierdoor worden overgedragen naar dat buitenland. Dat buitenland kan daardoor helemaal niet beschikken over de gegevens.
Als je vervolgens zonder beschermingsmaatregelen gaat werken, dan wordt het anders.
Maar (zoals anoniem 14:21 aangeeft) als je gebruik maakt van bijv een bedrijfs-VPN (en evt ook andere beschermingsmaatregelen tref), dan is er AVG technisch in mijn beleving niets aan de hand.
Soms moet een laptop geopend voor gebruik worden aangeboden aan douane... of je moet direct een retourvlucht willen nemen...
Door Anoniem:
Laptop kan in beslag worden genomen, kopie v[roffline forensisch onderzoek...
Soms moet een laptop geopend voor gebruik worden aangeboden aan douane... of je moet direct een retourvlucht willen nemen...
Laptop kan in beslag worden genomen, kopie v[roffline forensisch onderzoek...
Soms moet een laptop geopend voor gebruik worden aangeboden aan douane... of je moet direct een retourvlucht willen nemen...
Ja, maar dat doet er verder niet veel toe want in het verhaal staat ook: "Ook als je alleen maar via een remote tool toegang hebt en de server in Nederland staat. Je kunt ze zien in Mexico, dan zijn ze geëxporteerd naar Mexico.".
Met andere woorden, als je bijvoorbeeld met Citrix werkt, bijvoorbeeld vanaf een Chromebook, dan komen er geen gegevens op die laptop maar toch zijn ze dan geexporteerd. Want het licht wat het LCD scherm uitstraalt in de vorm van persoonsgegevens komt in Mexico terecht.
(ik vind het ook belachelijk, maar het staat er echt)
Het is juridisch best een lastige. Een denkertje. Als je handelt vanuit een ander land, dan is de wet van dat andere land van toepassing. In principe. Maar handel je dan in loondienst namens een bedrijf gevestigd in je vaderland, er is sprake van een gezagsverhouding, op afstand, welke rechter is er dan bevoegd als er wat mis gaat. Het gaat er dan niet enkel over of de data op je laptop bij de zee stond of niet. De database kan nog steeds in Nederland staan, maar wat er op je scherm komt staat in het buitenland. Als er dan iemand over je schouder heeft meegekeken dan is dat ook in het buitenland gebeurd. Je ziet op dat scherm niet waar die database staat.
Naast wetgeving is met name het bedrijf zelf verantwoordelijk. Is de organisatie zich bewust van de risico's, zijn deze voldoende afgedekt, is er een toetsing- / aanvraagproces voor van werken in het buitenland? Is de medewerker voldoende op de hoogte van risico's en juiste werkwijze en omgang met bedrijfsapparatuur? Moeten er tijdelijke openingen gecreëerd worden bv bij gebruik landenfilters ed.
Allemaal overweginingen naast het wettelijk kader.
Allemaal overweginingen naast het wettelijk kader.
17-08-2023, 10:08 door
Arnoud Engelfriet
Door Anoniem:
Door Anoniem:
Met andere woorden, als je bijvoorbeeld met Citrix werkt, bijvoorbeeld vanaf een Chromebook, dan komen er geen gegevens op die laptop maar toch zijn ze dan geexporteerd. Want het licht wat het LCD scherm uitstraalt in de vorm van persoonsgegevens komt in Mexico terecht.
Hoezo komen ze niet op de laptop? Je kunt ze lezen vanaf de laptop. Dat je niet met één muisklik kunt copypasten is niet relevant onder de AVG. Maak een screencast of neem foto's, zet er een typist naast.Met andere woorden, als je bijvoorbeeld met Citrix werkt, bijvoorbeeld vanaf een Chromebook, dan komen er geen gegevens op die laptop maar toch zijn ze dan geexporteerd. Want het licht wat het LCD scherm uitstraalt in de vorm van persoonsgegevens komt in Mexico terecht.
Door Anoniem:
Door Anoniem:
Fictieve personen zijn geen personen, dus AVG is niet van toepassing. Net als meeste andere wetten trouwens.
Kijk maar uit met dat soort algemene "dat snapt toch iedereen!" aannames. Kinderporno wetten zijn ook van toepassing op tekenfilms.Fictieve personen zijn geen personen, dus AVG is niet van toepassing. Net als meeste andere wetten trouwens.
Door Anoniem:
Door Anoniem:
Fictieve personen zijn geen personen, dus AVG is niet van toepassing. Net als meeste andere wetten trouwens.
Kijk maar uit met dat soort algemene "dat snapt toch iedereen!" aannames. Kinderporno wetten zijn ook van toepassing op tekenfilms.Fictieve personen zijn geen personen, dus AVG is niet van toepassing. Net als meeste andere wetten trouwens.
De AVG is van toepassing op de bescherming van natuurlijke personen. ("Any identified or identifiable natural person" ) Een natuurlijk persoon is een levens persoon van vleesch en bloed. Op het moment dat je komt te overlijden, zijn jouw data geen persoonsgegevens meer over een natuurlijk persoon.
Maar uiteraard zit ook hier weer een "maar" bij, stel dat je een genetisch overdraagbare aandoening had (waar je eventueel aan overleed), dan zijn jouw medische gegevens ineens ook potentieel persoonsgevens over je biologische kinderen.
Per wet moet je kijken met welke definitie gewerkt wordt, die kun je meestal vinden in het "definitions" deel van de wetstekst, na de beschrijving van het toepassingsgebied enz... in de AVG is dit artikel 4 (4.1 is de definitie van persoonsgegevens)
Wat ik vooral interessant vind in dit artikel overigens, is de verwerkingslocatie, raadplegen/weergeven zijn ook vormen van verwerking (definitie van verwerken vind je ook terug in artikel 4) , en als je het op je scherm zichtbaar maakt, ben je het dus aan het verwerken.
Men is totaal aan het doorslaan qua interpretatie vd AVG... beveilig die laptop gewoon goed en zorg dat de data alleen via VPN remote benaderbaar is op systemen in NL.
En workation ? trappen mensen daar in ja ? Ga gewoon vakantie vieren, even geen werk.
En workation ? trappen mensen daar in ja ? Ga gewoon vakantie vieren, even geen werk.
Door Wim ten Brink:Maar goed, hebben deze fictieve personen nu ook rechten binnen de AVG?
(Namen die dus ondertussen 15 jaar aan geschiedenis hebben op het Internet!)
(Namen die dus ondertussen 15 jaar aan geschiedenis hebben op het Internet!)
Pas maar op me die fictieve personen! Bij de meeste social media en andere dienstverleners is het aanmaken en gebruiken van zulke accounts een inbreuk op hun gebruiksvoorwaarden.
Door Anoniem: Ik snap het antwoord maar, kom op, als je op een dichtgetimmerde bedrijfslaptop met disk encryptie en via VPN contact maakt met je bedrijf... Het mag dan vanuit Mexico (en andere landen) formeel niet toegestaan zijn onder de AVG maar daar zal niemand wakker van liggen. Ook de AP niet, schat ik zo in.
Alleen vergeet je dat dit een technische beperking is.
In veel landen ben je zo goed als verplicht om data te ontsleutelen als de lokale overheid je dat vraagt. Of beter gezegd, het niet naleven van zo'n order is strafbaar op zichzelf.
Soms worden bepaalde acties niet remote toegestaan. Niet omdat het niet kan, of omdat het niet mag, maar om bepaalde mogelijk gevolgen zo veel mogelijk te beperking, o.a. tiger kidnappings, etc...
Door Anoniem: Het is juridisch best een lastige. Een denkertje. Als je handelt vanuit een ander land, dan is de wet van dat andere land van toepassing. In principe. Maar handel je dan in loondienst namens een bedrijf gevestigd in je vaderland, er is sprake van een gezagsverhouding, op afstand, welke rechter is er dan bevoegd als er wat mis gaat. Het gaat er dan niet enkel over of de data op je laptop bij de zee stond of niet. De database kan nog steeds in Nederland staan, maar wat er op je scherm komt staat in het buitenland. Als er dan iemand over je schouder heeft meegekeken dan is dat ook in het buitenland gebeurd. Je ziet op dat scherm niet waar die database staat.
Dat is nu net een van de problemen die de GDPR/AVG oplost.
Vroeger was het vaak onmogelijk om 100% legaal een internationaal event te organiseren waarbij er partijen betrokken waren uit verschillende landen. (Vb: Inschrijving via server in Duitsland, Event locatie in NL, etc...)
Door Anoniem:
Soms moet een laptop geopend voor gebruik worden aangeboden aan douane... of je moet direct een retourvlucht willen nemen...
Door Anoniem:
eens met anoniem 14:21.
Het feit dat iemand zijn computer meeneemt naar het buitenland (buiten de EER) impliceert niet dat de gegevens hierdoor worden overgedragen naar dat buitenland. Dat buitenland kan daardoor helemaal niet beschikken over de gegevens.
Als je vervolgens zonder beschermingsmaatregelen gaat werken, dan wordt het anders.
Maar (zoals anoniem 14:21 aangeeft) als je gebruik maakt van bijv een bedrijfs-VPN (en evt ook andere beschermingsmaatregelen tref), dan is er AVG technisch in mijn beleving niets aan de hand.
Laptop kan in beslag worden genomen, kopie v[roffline forensisch onderzoek...Door Anoniem: Je moet toch handelen in geest der wet. Via een VPN in het buitenland werken valt niet onder AVG.
eens met anoniem 14:21.
Het feit dat iemand zijn computer meeneemt naar het buitenland (buiten de EER) impliceert niet dat de gegevens hierdoor worden overgedragen naar dat buitenland. Dat buitenland kan daardoor helemaal niet beschikken over de gegevens.
Als je vervolgens zonder beschermingsmaatregelen gaat werken, dan wordt het anders.
Maar (zoals anoniem 14:21 aangeeft) als je gebruik maakt van bijv een bedrijfs-VPN (en evt ook andere beschermingsmaatregelen tref), dan is er AVG technisch in mijn beleving niets aan de hand.
Soms moet een laptop geopend voor gebruik worden aangeboden aan douane... of je moet direct een retourvlucht willen nemen...
ja, klopt
Heb ik ook aan gedacht.
Echter, opsporing is expliciet uitgesloten van AVG. Dus opsporing is hier niet relevant.
Ook douane activiteiten vallen onder 'opsporing'.
En ook (anoniem 11:18) de omstandigheid dat een lokale overheid jou verplicht te ontsleutelen valt onder 'opsporing'.
een veiligheidsmaatregel dat je werkt op basis van Server Based Computing die alleen plaatjes overstuurt van waar je mee aan het werken bent en die geen opslag doet op de laptop, die bevat ook helemaal geen gegevens.
Het gestelde van anoniem 22:45
het belachelijk vinden dat het licht van het scherm afstraalt, dat vind ik ook.
Ondanks dat jij weet dat dit ergens staat: Ik kan me niet voorstellen dat dit bij een rechter stand houdt
Veel van dit soort woorden zijn een gevolg van 'inspraak zonder inzicht leidt tot een uitspraak zonder uitzicht'
ik ben niet feilloos hoor.
zie het maar als mening
Hey Arnoud,
Ik begrijp eerlijk gezegd niet hoe je tot de conclusie kunt komen, in deze context (workation), dat er sprake is van overdracht in de zin van de AVG.
Je geeft aan "En ja, je exporteert persoonsgegevens (“draagt over”) in de zin van de AVG als je een laptop met die dingen naar een vakantieland meeneemt, of als je vanuit dat vakantieland jezelf toegang verschaft tot de gegevens. Ook als je alleen maar via een remote tool toegang hebt en de server in Nederland staat. Je kunt ze zien in Mexico, dan zijn ze geëxporteerd naar Mexico."
De EDPB geeft aan dat er alleen sprake is van een overdracht in de zin van de AVG als het een overdracht is naar een andere entiteit (controller, processor, joint controller). Als om een medewerker van een organisatie geregistreerd in de EU (bijv. Polen) in een ander land (bijv. India) gegevens raadpleegt van werk, dan is er geen sprake van een overdracht in de zin van de AVG. Dat staat in de link die je zelf deelt.
Dus hoe kom je tot de conclusie dat "als je ze kunt zien in Mexico, dan zijn ze geexporteerd naar Mexico"? Er is toch geen sprake van een andere controller, processor of joint controller, in dit voorbeeld - en dat is randvoorwaardelijk, wil er sprake zijn van een doorgifte?
Ik begrijp eerlijk gezegd niet hoe je tot de conclusie kunt komen, in deze context (workation), dat er sprake is van overdracht in de zin van de AVG.
Je geeft aan "En ja, je exporteert persoonsgegevens (“draagt over”) in de zin van de AVG als je een laptop met die dingen naar een vakantieland meeneemt, of als je vanuit dat vakantieland jezelf toegang verschaft tot de gegevens. Ook als je alleen maar via een remote tool toegang hebt en de server in Nederland staat. Je kunt ze zien in Mexico, dan zijn ze geëxporteerd naar Mexico."
De EDPB geeft aan dat er alleen sprake is van een overdracht in de zin van de AVG als het een overdracht is naar een andere entiteit (controller, processor, joint controller). Als om een medewerker van een organisatie geregistreerd in de EU (bijv. Polen) in een ander land (bijv. India) gegevens raadpleegt van werk, dan is er geen sprake van een overdracht in de zin van de AVG. Dat staat in de link die je zelf deelt.
Dus hoe kom je tot de conclusie dat "als je ze kunt zien in Mexico, dan zijn ze geexporteerd naar Mexico"? Er is toch geen sprake van een andere controller, processor of joint controller, in dit voorbeeld - en dat is randvoorwaardelijk, wil er sprake zijn van een doorgifte?
Door Anoniem: Krijg je eigenlijk dubbel betaald als je vanaf je vakantielocatie aan het werk bent?
Niett, als dat van te voren is afgesproken. Jij krijgt extra vakantie, maar je moet hiervoor ook wat werken.Jammer dat hier door de poster onjuiste informatie wordt verstrekt en daardoor mensen in verwarring raken.
Dit voorbeeld staat letterlijk in https://edpb.europa.eu/system/files/2021-11/edpb_guidelinesinterplaychapterv_article3_adopted_en.pdf (example 5, pagina 6). Er is helemaal geen sprake van een data transfer.
Dit voorbeeld staat letterlijk in https://edpb.europa.eu/system/files/2021-11/edpb_guidelinesinterplaychapterv_article3_adopted_en.pdf (example 5, pagina 6). Er is helemaal geen sprake van een data transfer.
Dit zou betekenen dat je op vakantie ook je zakelijk mail uit moet zetten op de telefoon.
Is er iemand die dat doet ?
Is er iemand die dat doet ?
11-09-2023, 15:00 door
Wim ten Brink
Door Anoniem:
Fictieve personen zijn geen personen, dus AVG is niet van toepassing. Net als meeste andere wetten trouwens.
Maar hoe weet jij dat het fictieve gegevens zijn? :DDoor Wim ten Brink: Persoonsgegevens... Daar heb ik een leuke variant op. Zo'n 15 jaar geleden maakte ik een setje NAW gegevens aan van fictieve personen die allen ergens tussen 1988 en 1998 waren geboren. Ik had namelijk gegevens nodig die realistisch leken voor de software die ik genereer, en daarnaast ook mooi zijn in demo's. En dat setje namen heb ik sindsdien uitgebreid omdat deze fictieve figuren ouder worden. Voor login doeleinden hebben ze ook allemaal een GMail, LinkedIn, Facebook en Twitter account, die verder eigenlijk niets doen. Maar goed, mijn projecten moeten soms koppelen met externe applicaties en gegevens overnemen na toestemming van de gebruiker, en fictieve personen passen daar mooi in.
Maar goed, hebben deze fictieve personen nu ook rechten binnen de AVG? Als ik dus naar Mexico ga om daar verder te werken, kan ik dan mijn eigen fictieve namen blijven gebruiken? :)
(Namen die dus ondertussen 15 jaar aan geschiedenis hebben op het Internet!)
Maar goed, hebben deze fictieve personen nu ook rechten binnen de AVG? Als ik dus naar Mexico ga om daar verder te werken, kan ik dan mijn eigen fictieve namen blijven gebruiken? :)
(Namen die dus ondertussen 15 jaar aan geschiedenis hebben op het Internet!)
Fictieve personen zijn geen personen, dus AVG is niet van toepassing. Net als meeste andere wetten trouwens.
Daarnaast, die fictieve personen behoren tot mijn persoonsgegevens, want het zijn mijn fictieve figuren.
Iedereen gaat er hier aan voorbij, dat zelfs wanneer je met een VPN een verbinding maakt, de connectie die je opzet met de VPN vanaf je locatie met internet toegang, bijvoorbeeld je hotel in Mexico, naar de VPN server, hetzij in Mexico, hetzij in Nederland of elk ander land (gedeeltelijk) over de infrastructuur van, in dit geval, Mexico (en eventueel andere landen) loopt.
De “dan gebruik je toch een VPN en voldoe je aan de AVG” vlieger gaat niet op, plus natuurlijk het feit dat wanneer je de persoonsgegevens van iemand uit de EER op jouw scherm tovert in Mexico, dan heb je de gegevens “overgedragen” in Mexico, dat jij, toevallig als EER staatsburger, achter dat scherm zit, doet er niet toe.
De “dan gebruik je toch een VPN en voldoe je aan de AVG” vlieger gaat niet op, plus natuurlijk het feit dat wanneer je de persoonsgegevens van iemand uit de EER op jouw scherm tovert in Mexico, dan heb je de gegevens “overgedragen” in Mexico, dat jij, toevallig als EER staatsburger, achter dat scherm zit, doet er niet toe.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?