GDPR topic

ub4b
Elite Poster
Elite Poster
Berichten: 3462
Lid geworden op: 12 Jan 2006
Bedankt: 307 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 54 keer

GDPR topic

Berichtdoor ub4b » 01 Dec 2017, 17:46

Met de komst van de GPDR maak ik een topic aan voor discussies rond de GPDR.

Mij interesseert vooral de consequenties van de GPDR op emailmarketing.

1. Gaan bedrijven die nu naar een hele berg info@domein.be adressen sturen, voortaan niet meer mails mogen sturen zonder expliciete opt-in? Dat zou een berg spam nu wel besparen. Ik krijg gewoon veel te veel spam waar ik nooit voor gevraagd heb, en ik schrijf mij dan telkens uit. Zo weten ze uiteraard wel dat je een werkend email address hebt wat ook wordt opgevolgd.

2. Voor de eigen mailinglijst van mijn zaak, vermoed ik dat ik expliciet toestemming opnieuw ga moeten vragen aan mijn bestand om ze vanaf mei te mogen mailen?

Dit is nu een mix van:
- mensen die zich registreerden op de site
- mensen die ooit eens mij mailden met een vraag
- mensen die klant zijn

Moet ik bij al deze drie categorieën nu opnieuw toestemming gaan vragen? Of mag ik bestaande klanten zowiezo mailen?
Laatst gewijzigd door ub4b op 01 Dec 2017, 20:54, 1 keer totaal gewijzigd.

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1330
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 81 keer
Uitgedeelde bedankjes: 74 keer

Re: GPDR topic

Berichtdoor Sinna » 01 Dec 2017, 18:13

Punt 1 zal inderdaad de regel worden: generieke e-mailadressen ipv. op de man/vrouw af, tenzij je kan aantonen dat er al eerder communicatie was.

Punt 2 is een lastige. Op de opleiding tot DPO aan Howest geraken we er ook nog niet echt uit en geeft het voer voor veel discussies. Wat ik tot nu toe begrepen heb, is dat je niet altijd terug toestemming moet vragen, maar dit veiligheidshalve best wel doet, tenzij je kan aantonen dat er eerder al expliciet toestemming gegeven werd of dat er een gerechtvaardigd belang speelt (bv. een afgesloten contract).

Tot slot: aan deze reactie kunnen geen rechten worden ontleend. :) Ik heb gereageerd vanuit mijn huidige standpunt. Dat punt durft, met dank aan de opleiding, nog wat verschuiven.
Computer(k)nul

ub4b
Elite Poster
Elite Poster
Berichten: 3462
Lid geworden op: 12 Jan 2006
Bedankt: 307 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 54 keer

Re: GPDR topic

Berichtdoor ub4b » 01 Dec 2017, 18:23

Volgens deze site zou mijn éénmanszaak (en elke firma onder de 250 werknemers) dus niet onder de GPDR vallen?

http://smallbusiness.co.uk/what-does-gd ... s-2538556/

In fact, Article 30 of the regulation declares that organisations with fewer than 250 employees will not be bound by GDPR – although there are several stipulations that we will come to that mean they probably still should.


Wie kan dit bevestigen of weerleggen?

Gebruikersavatar
iceke
Elite Poster
Elite Poster
Berichten: 4759
Lid geworden op: 11 Jun 2010
Bedankt: 556 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 189 keer

Re: GPDR topic

Berichtdoor iceke » 01 Dec 2017, 18:42

Pfff, heel die GPDR zever hangt met haken en ogen aan elkaar... en dan bedoel ik niet de wet, maar het toepassen ervan.
Niemand weet wat er moet gebeuren, ook de "specialisten" niet, iedereen roept maar wat, maar echte richtlijnen zijn er amper, en degene die er zijn zij hoogst onduidelijk.
Het is precies een opbod aan regeltjes om het toch nog maar wat onduidelijker te maken.
Enfin, zo komt het bij mij toch over...

Persoonlijk ga ik me er vooral niet teveel van aantrekken en me indekken met een heleboel papierwerk.
https://www.privacycommission.be/sites/ ... -%20V2.pdf

Niet meer, maar ook niet minder wat er in die pdf staat dus.

powaq
Premium Member
Premium Member
Berichten: 451
Lid geworden op: 16 Sep 2008
Bedankt: 38 keer
Uitgedeelde bedankjes: 15 keer

Re: GPDR topic

Berichtdoor powaq » 01 Dec 2017, 18:53

ub4b schreef:Volgens deze site zou mijn éénmanszaak (en elke firma onder de 250 werknemers) dus niet onder de GPDR vallen?

http://smallbusiness.co.uk/what-does-gd ... s-2538556/

In fact, Article 30 of the regulation declares that organisations with fewer than 250 employees will not be bound by GDPR – although there are several stipulations that we will come to that mean they probably still should.


Wie kan dit bevestigen of weerleggen?

Je doet er best aan om wel compliant te zijn. Met een eenmanszaak, dus waarschijnlijk een relatief klein aantal contactpersonen, zal het al bij al nog wel meevallen.
Ik ben ook volop bezig met een bedrijf GDPR compliant te maken en het is inderdaad een warboeltje. Maar mensen hebben ook onnodig veel schrik van GDPR. Die monsterboetes komen er niet direct hoor, zeker niet als je aantoonbaar moeite doet om compliant te zijn.

Gebruikersavatar
iceke
Elite Poster
Elite Poster
Berichten: 4759
Lid geworden op: 11 Jun 2010
Bedankt: 556 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 189 keer

Re: GPDR topic

Berichtdoor iceke » 01 Dec 2017, 18:57

Je moet me dan eens uitleggen hoe je GDPR compliant kan zijn of worden en waaraan je dat kan aftoetsen. :angel:

ITnetadmin
Elite Poster
Elite Poster
Berichten: 6627
Lid geworden op: 28 Jan 2012
Bedankt: 501 keer
Recent bedankt: 17 keer
Uitgedeelde bedankjes: 98 keer

Re: GDPR topic

Berichtdoor ITnetadmin » 01 Dec 2017, 20:32

Kunnen we de typo in de titel mss aanpassen? :-)

Het is en blijft de GDPR, General Data Protection Regulation.

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1330
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 81 keer
Uitgedeelde bedankjes: 74 keer

Re: GPDR topic

Berichtdoor Sinna » 01 Dec 2017, 20:47

ub4b schreef:Volgens deze site zou mijn éénmanszaak (en elke firma onder de 250 werknemers) dus niet onder de GPDR vallen?

http://smallbusiness.co.uk/what-does-gd ... s-2538556/

In fact, Article 30 of the regulation declares that organisations with fewer than 250 employees will not be bound by GDPR – although there are several stipulations that we will come to that mean they probably still should.


Wie kan dit bevestigen of weerleggen?

Dat moet ik ontkennen! Enkel de aanleg van een dataregister is niet vereist voor bedrijven met minder dan 250 werknemers. Daar is tijdens de opleiding al verschillende keren op gehamerd. Ik probeer een volgende keer dit te staven adhv. de GDPR zelf.
Computer(k)nul

Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 6078
Lid geworden op: 07 Okt 2010
Locatie: Kempen
Bedankt: 449 keer
Recent bedankt: 6 keer
Uitgedeelde bedankjes: 309 keer

Re: GDPR topic

Berichtdoor heist_175 » 02 Dec 2017, 13:26

ub4b schreef:GDPR (...) emailmarketing.
1. Gaan bedrijven die nu naar een hele berg info@domein.be adressen sturen, voortaan niet meer mails mogen sturen zonder expliciete opt-in? Dat zou een berg spam nu wel besparen. Ik krijg gewoon veel te veel spam waar ik nooit voor gevraagd heb, en ik schrijf mij dan telkens uit. Zo weten ze uiteraard wel dat je een werkend email address hebt wat ook wordt opgevolgd.
2. Voor de eigen mailinglijst van mijn zaak, vermoed ik dat ik expliciet toestemming opnieuw ga moeten vragen aan mijn bestand om ze vanaf mei te mogen mailen?

GDPR is enkel van toepassing op levende fysieke personen, dus geen doden en geen rechtspersonen.

1 -> Je mag nog wel mails sturen, ook naar info@. Sterker nog: vooral naar info@ en niet naar louis.michel@gmail.com
2. -> idem hierboven: als er rechtspersonen achter die mail adressen zitten (bvba Louis Michel Belgie), is GDPR niet van toepassing. Maar als het louis.michel@gmail.com is, zou ik suggereren die data maar 1 jaar bij te houden (te rekenen vanaf de datum dat je die data hebt).
TENZIJ
- je die data nodig hebt voor de verder uitoefening van uw contract
- je een expliciete consent (toestemming, instemming) hebt van de klant
Anders moet je de data verwijderen of anonimiseren.

Verwacht dus overal aangepaste algemene voorwaarden, die in elfendertig bladzijden kleine lettertjes toelichten dat je uw consent geeft om uw data 20 jaar te mogen bijhouden...

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28868
Lid geworden op: 28 Okt 2003
Bedankt: 1895 keer
Recent bedankt: 12 keer
Uitgedeelde bedankjes: 394 keer

Re: GDPR topic

Berichtdoor r2504 » 02 Dec 2017, 13:49

Ik heb ondertussen ook al wat workshops over GDPR achter de rug en het blijft allemaal heel vaag.

Op concrete vragen komt er nauwelijks een duidelijk antwoord (en vooral met veel "maar's") en vaak hoor je dat het een wetgeving gemaakt is door advocaten en dat de interpretatie uiteindelijk van de rechtbank zal afhangen (al kijk ik uit naar de eerste persoon die bv. een bedrijf als TN voor de rechter gaat slepen voor een GDPR overtreding).

Gebruikersavatar
iceke
Elite Poster
Elite Poster
Berichten: 4759
Lid geworden op: 11 Jun 2010
Bedankt: 556 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 189 keer

Re: GDPR topic

Berichtdoor iceke » 02 Dec 2017, 14:02

heist_175 schreef:Verwacht dus overal aangepaste algemene voorwaarden, die in elfendertig bladzijden kleine lettertjes toelichten dat je uw consent geeft om uw data 20 jaar te mogen bijhouden...


Nope, geen 20 jaar, maar "Zolang als nodig geacht wordt"
Je moet er een termijn opplakken, maar dat hoeft niet persé een statisch getal te zijn. :bang:

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28868
Lid geworden op: 28 Okt 2003
Bedankt: 1895 keer
Recent bedankt: 12 keer
Uitgedeelde bedankjes: 394 keer

Re: GDPR topic

Berichtdoor r2504 » 03 Dec 2017, 00:04

iceke schreef:"Zolang als nodig geacht wordt"


In principe stopt het als je relatie met het bedrijf stopt (tenzij er wettelijke bepalingen zijn).

Maar kan het bedrijf bijvoorbeeld opperen dat ze je gegevens daarna nog 10 jaar bijhouden in het geval je terug klant zou worden (om je dan een betere service te bieden) ?

GDPR staat bol van theoretische benaderingen...

ITnetadmin
Elite Poster
Elite Poster
Berichten: 6627
Lid geworden op: 28 Jan 2012
Bedankt: 501 keer
Recent bedankt: 17 keer
Uitgedeelde bedankjes: 98 keer

Re: GDPR topic

Berichtdoor ITnetadmin » 03 Dec 2017, 02:47

Net zoals IPv6 zal veel pas duidelijk worden eenmaal de implementatie zover is, in dit geval dus na het in werking treden ervan; om dan nog een paar jaar "grijze zones" te hanteren omdat geen kat weet hoe de vork eigenlijk aan de steel zit.
De grote bedrijven gaan de eersten zijn die voldoen aan de regeling, maar dan wss wel door de kantjes eraf te lopen door advies van hun eigen legal dept.
De kleine bedrijfjes gaan volgen.
Vzw's, onderwijsinstellingen e.d. gaan nog jaren achterop hinken en met rust gelaten worden, onder andere omdat de meesten onder hen geen echte ITers in dienst hebben, maar "iemand die iets van computers kende en nog wat uren nodig had".
Niks nieuws dus.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28868
Lid geworden op: 28 Okt 2003
Bedankt: 1895 keer
Recent bedankt: 12 keer
Uitgedeelde bedankjes: 394 keer

Re: GDPR topic

Berichtdoor r2504 » 03 Dec 2017, 13:03

ITnetadmin schreef: om dan nog een paar jaar "grijze zones" te hanteren


Die grijze zone is eigenlijk al in 2016 gestart ! 2018 is dus de deadline.

ITnetadmin schreef:en met rust gelaten worden


Zolang niemand een klacht start (en ik vermoed dat dit niet eenvoudig zal zijn) gaat er waarschijnlijk geen haan naar kraaien.

Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 6078
Lid geworden op: 07 Okt 2010
Locatie: Kempen
Bedankt: 449 keer
Recent bedankt: 6 keer
Uitgedeelde bedankjes: 309 keer

Re: GDPR topic

Berichtdoor heist_175 » 03 Dec 2017, 13:28

r2504 schreef:
iceke schreef:"Zolang als nodig geacht wordt"


In principe stopt het als je relatie met het bedrijf stopt (tenzij er wettelijke bepalingen zijn).

Maar kan het bedrijf bijvoorbeeld opperen dat ze je gegevens daarna nog 10 jaar bijhouden in het geval je terug klant zou worden (om je dan een betere service te bieden) ?

GDPR staat bol van theoretische benaderingen...

Uw tenzij is heel belangrijk. Wij implementeren GDPR met een jurist op/aan elke hoek van de tafel :).
Voor heel wat zaken moet je gegevens nog 7 of 10 jaar bijhouden (bv boekhouding), je kan dus vragen (GDPR recht) om data te laten verwijderen, maar je zal "no" krijgen op uw verzoek, omdat er een andere wetgeving vereist dat je de date nog moet bijhouden.

@langer bijhouden om service te bieden
Vandaar: langere algemene voorwaarden en/of een expliciete consent bij contracten.
Uiteindelijk is dat ook een service: wil je die of niet?

ITnetadmin
Elite Poster
Elite Poster
Berichten: 6627
Lid geworden op: 28 Jan 2012
Bedankt: 501 keer
Recent bedankt: 17 keer
Uitgedeelde bedankjes: 98 keer

Re: GDPR topic

Berichtdoor ITnetadmin » 03 Dec 2017, 20:29

r2504 schreef:
ITnetadmin schreef: om dan nog een paar jaar "grijze zones" te hanteren

Die grijze zone is eigenlijk al in 2016 gestart ! 2018 is dus de deadline.

In theorie wel.
In de praktijk dus niet, want als niemand weet hoe de vork aan de steel zit, gaat niemand zich kunnen voorbereiden.
En eerlijk, zo gaat dat toch heel vaak met zo'n dingen.
Ik hoor van iedereen hier die cursus heeft gevolgd dat de meeste praktische vragen onbeantwoord blijven; ik ga dus aannemen dat de opleidingen vooral algemeen theoretisch blijven maar dat de echte, praktische implementatiekant nog altijd een groot vraagstuk blijft ook voor degenen die de cursus geven.

En ik durf er geld op te wedden dat vzws en onderwijsinstellingen nog jaren met ITers gaan zitten die nog nooit van de GDPR gehoord hebben.
En zolang er geen gratis GDPR cursussen zijn, ipv de commerciele varianten nu, gaat dat niet snel veranderen, want dit zijn de sectoren die daar echt geen geld aan gaan geven.

r2504 schreef:
ITnetadmin schreef:en met rust gelaten worden

Zolang niemand een klacht start (en ik vermoed dat dit niet eenvoudig zal zijn) gaat er waarschijnlijk geen haan naar kraaien.

Juist; waardoor zij helemaal niet gemotiveerd gaan zijn om "mee" te zijn.

Jaren geleden was het al "Licenses? Bwa, zolang we ongeveer 75% in orde zijn gaat geen kat ernaar kraaien, want ons laten ze met rust." in het onderwijs; "We krijgen dat gewoon niet rond want 'ik geef nog les' / 'ik heb niet genoeg uren' / 'ik ben geen ITer maar doe dit er maar bij' / 'ik geraak daar totaal niet aan uit' / <insert excuus hier>."

ub4b
Elite Poster
Elite Poster
Berichten: 3462
Lid geworden op: 12 Jan 2006
Bedankt: 307 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 54 keer

Re: GDPR topic

Berichtdoor ub4b » 05 Apr 2018, 19:36

Hoe zit het eigenlijk met managed solutions? Wij bouwen een product die in een VPN zit. De VPN is zodanig dichtgetimmerd, dat ze het VPN cert niet kunnen gebruiken om op de machines van andere klanten te geraken (gelukkig maar), maar wij kunnen wel inloggen op alle machines van alle klanten, voor support.

Dat doen we normaal enkel als er support vragen zijn, dus proactief wordt er niet op ingelogd, en er zijn ook geen services die die machines monitoren of packages op afstand managen.

Moeten we nu al die VPN tunnels per default uitzetten?
Of de klanten de mogelijkheid geven de VPN zelf uit te zetten via de lokale webinterface van het toestel, en dit ergens op de site aankondigen?

Het grote probleem zijn de niet technische klanten. Ze zetten vpn dan uit, vergeten dit, vragen support zonder dat de VPN op staat, en wij geraken er niet op. Dus extra tijdverlies want dan moeten we de klant uitleggen hoe hij zijn VPN terug aanzet en proberen uitvissen of er echt een issue is, of de VPN gewoon uitstaat - iets wat we nu niet hebben. We kunnen uiteraard extra aanrekenen voor zij die geen vpn willen, en we dan hun desktop overnemen via een tool zoals teamviewer tegen uurloon.

Gebruikersavatar
heist_175
Elite Poster
Elite Poster
Berichten: 6078
Lid geworden op: 07 Okt 2010
Locatie: Kempen
Bedankt: 449 keer
Recent bedankt: 6 keer
Uitgedeelde bedankjes: 309 keer

Re: GDPR topic

Berichtdoor heist_175 » 05 Apr 2018, 19:52

Ik zie de GDPR link niet?

Of gaat het erom dat jij aan klantendata zou aankunnen?
Dat verandert niet onder GDPR. Alleen zouden uw klanten aan u een GDPR audit kunnen vragen om te zien hoe jij (uw firma) ervoor gaat zorgen dat er geen data lekken etc zijn.

GDPR verbiedt niemand om (sub)contracten aan te gaan hé.
Jij kan enkel claimen dat je GDPR compliant bent, als alle onderaannemers (die data verwerken) etc dat ook zijn.

ub4b
Elite Poster
Elite Poster
Berichten: 3462
Lid geworden op: 12 Jan 2006
Bedankt: 307 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 54 keer

Re: GDPR topic

Berichtdoor ub4b » 05 Apr 2018, 20:21

heist_175 schreef:Ik zie de GDPR link niet?

Of gaat het erom dat jij aan klantendata zou aankunnen?


één van de resellers zegt: op jouw toestel kunnen ze privé data zetten (er staan netwerk shares immers op), jij kan er aan, dus GPDR issue

nu wordt het toestel normaal gekocht om muziek op te zetten en af te spelen, daar is weinig privacy related aan, maar als ze daar nu privé documenten of fotos op zetten, en ik kan er aan .... 't ja ..... dat is zijn punt

deze reseller zit zelf in de IT (hij verkoopt ons toestel in bijberoep) en heeft vandaag een opleiding hierrond gehad

Gebruikersavatar
Joe de Mannen
Elite Poster
Elite Poster
Berichten: 3481
Lid geworden op: 22 Feb 2005
Bedankt: 425 keer
Recent bedankt: 6 keer
Uitgedeelde bedankjes: 423 keer

Re: GDPR topic

Berichtdoor Joe de Mannen » 05 Apr 2018, 22:13

Volgens mij moet je gewoon een privacy statement maken dat uitlegt wat je met de data doet waar je bij kan. Als dat antwoord 'niets' is, is het volgens mij al ok.

J.

Winnie
Member
Member
Berichten: 66
Lid geworden op: 01 Apr 2018
Bedankt: 1 keer
Uitgedeelde bedankjes: 2 keer

Re: GDPR topic

Berichtdoor Winnie » 05 Apr 2018, 22:14

Dat kan van u dan een dataverwerker maken als uw klanten er data over andere personen opzetten.

Best kan je opnemen in de voorwaarden dat er enkel muziekbestanden toegelaten zijn en een block zetten op bepaalde bestanden

Daarmee kan je aantonen dat je voorzorgen hebt genomen om te voorkomen dat je een dataverwerker zou worden.

ub4b
Elite Poster
Elite Poster
Berichten: 3462
Lid geworden op: 12 Jan 2006
Bedankt: 307 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 54 keer

Re: GDPR topic

Berichtdoor ub4b » 05 Apr 2018, 22:34

Winnie schreef:Dat kan van u dan een dataverwerker maken als uw klanten er data over andere personen opzetten.


Maar de machines staan bij eindgebruikers thuis, niet ergens in een datacenter ofzo.

Winnie schreef:Best kan je opnemen in de voorwaarden dat er enkel muziekbestanden toegelaten zijn en een block zetten op bepaalde bestanden

Daarmee kan je aantonen dat je voorzorgen hebt genomen om te voorkomen dat je een dataverwerker zou worden.


Gezien de shares public zijn en er geen passwoord op staat, ben ik wel van plan nieuwe support voorwaarden op te stellen, en duidelijk te vermelden dat het niet toegelaten is om persoonlijke of vertrouwelijke content op de machine achter te laten, als wij die moeten op afstand overnemen. Dus staat er toch vertrouwelijke content op, dan geen support via VPN meer.

Winnie
Member
Member
Berichten: 66
Lid geworden op: 01 Apr 2018
Bedankt: 1 keer
Uitgedeelde bedankjes: 2 keer

Re: GDPR topic

Berichtdoor Winnie » 05 Apr 2018, 23:02

Wie staat in voor de beveiliging van de machine?
Is de klant volle eigenaar van de machine en kan deze met adminrechten inloggen om zelf aanpassingen te doen?

Dan levert u enkel een service in het geval dat de klant zijn eigendom zelf niet wil beheren.
het enige wat van uw kant dan eventueel ondertekend moet worden is een nda in geval dat persoonlijke of vertrouwelijke zaken op de machine staan. Want op dat moment is de klant de data verwerker en u slecht iemand die technisch bijspringt.
Dat heeft niets met gdpr of gegevensvewerking te maken

ub4b
Elite Poster
Elite Poster
Berichten: 3462
Lid geworden op: 12 Jan 2006
Bedankt: 307 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 54 keer

Re: GDPR topic

Berichtdoor ub4b » 05 Apr 2018, 23:10

Winnie schreef:Wie staat in voor de beveiliging van de machine?
Is de klant volle eigenaar van de machine en kan deze met adminrechten inloggen om zelf aanpassingen te doen?


De machine is niet beveiligd, hij staat in het thuisnetwerk, er zit geen passwoord op de shares. Klant is eigenaar. Er staat al sinds jaren in de manual dat de machine niet direct aan het internet mag, dus altijd een home router ertussen. Net omdat het open staat.

Wij beheren deze machine niet, maar in geval van problemen, kunnen we wel aanloggen via SSH als root, of via de webinterface.
Klanten hebben ook toegang tot die webinterface, als ze echt willen ook via ssh maar als ze dan iets om zeep helpen is het fixen niet gratis.

Winnie schreef:Dan levert u enkel een service in het geval dat de klant zijn eigendom zelf niet wil beheren.
het enige wat van uw kant dan eventueel ondertekend moet worden is een nda in geval dat persoonlijke of vertrouwelijke zaken op de machine staan. Want op dat moment is de klant de data verwerker en u slecht iemand die technisch bijspringt.
Dat heeft niets met gdpr of gegevensvewerking te maken


Normaal moet de klant alles kunnen doen via de webinterface, en de apps. Maar als het foutloopt, is het nakijken via secure shell veel makkelijker, dan de klant zijn scherm te moeten overnemen, want dan moet de klant thuis zijn als wij tijd hebben, dus kost aan verbonden. Dat gebeurt altijd nadat een klant mailt met een probleem en het niet oplosbaar is via de app of de webinterface. Er wordt nooit spontaan of proactief aangelogd op de machines.

Nog een oplossing is een knop maken in de webinterface, die de vpn aan of uit kan zetten.

axs
Moderator
Moderator
Berichten: 2127
Lid geworden op: 18 Dec 2010
Bedankt: 179 keer
Recent bedankt: 6 keer
Uitgedeelde bedankjes: 398 keer

Re: GDPR topic

Berichtdoor axs » 05 Apr 2018, 23:19

GDPR is toch enkel van toepassing als je de (privacygevoelige) data ook effectief verwerkt?
Lijkt me hier dus niet van toepassing.

Waar GDPR in dit geval zou kunnen bij komen kijken is als je de remote IP- addressen opslaat samen met de contactgegevens vd klant.

tb0ne
Elite Poster
Elite Poster
Berichten: 873
Lid geworden op: 24 Aug 2012
Bedankt: 76 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 26 keer

Re: GDPR topic

Berichtdoor tb0ne » 05 Apr 2018, 23:23

Een paar leuke dingen die ik hoorde over gdpr:
Elke lidstaat kan nog bepaalde eigen invullingen doen
Voor Belgie spreken de versies in de verschillende landstalen elkaar op een aantal vlakken tegen.
Dat zal plezant worden in de rechtbank!

ub4b
Elite Poster
Elite Poster
Berichten: 3462
Lid geworden op: 12 Jan 2006
Bedankt: 307 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 54 keer

Re: GDPR topic

Berichtdoor ub4b » 05 Apr 2018, 23:27

axs schreef:GDPR is toch enkel van toepassing als je de (privacygevoelige) data ook effectief verwerkt?
Lijkt me hier dus niet van toepassing.


Ik kan ook gewoon verbieden om privacy gevoelige informatie op het toestel te zetten.
Wensen ze dit toch te doen, dan kan ik de VPN van die specifieke klant gewoon blacklisten op de VPN server.

Of het certificaat er af halen op de client. Maar dan moet ik alweer aanloggen, en daar wil ik wel eerst toestemming voor. Kip en ei dus.

axs schreef:Waar GDPR in dit geval zou kunnen bij komen kijken is als je de remote IP- addressen opslaat samen met de contactgegevens vd klant


Contactgegevens houden we niet bij, tenzij van onze eigen klanten, maar de meesten kopen via een reseller. Het enige wat we dan doorkrijgen is een VPNID. Er zijn natuurlijk ook klanten van de reseller die ons direct contacteren voor support (dit is niet tegen te houden, ondanks het feit dat dit niet de bedoeling is), en dan hebben we van die klant:

- email adres
- zijn vpnid die op het registratieformulier staat
- een naam / voornaam die mee in de mail staat

Ik kan ook niet tegenhouden dat de reseller die zijn klant niet kan helpen, de mail integraal naar ons doorstuurt voor support. Dan hebben we ook de naam en email van de klant.

axs
Moderator
Moderator
Berichten: 2127
Lid geworden op: 18 Dec 2010
Bedankt: 179 keer
Recent bedankt: 6 keer
Uitgedeelde bedankjes: 398 keer

Re: GDPR topic

Berichtdoor axs » 06 Apr 2018, 18:34

Zolang je die informatie niet verwerkt, is er geen probleem...
de emails die je integraal krijgt doorgestuurd zijn ook geen issue, zolang je de data niet verder in een ‘klantenbestand’ of dergelijke gaat verwerken.

ITnetadmin
Elite Poster
Elite Poster
Berichten: 6627
Lid geworden op: 28 Jan 2012
Bedankt: 501 keer
Recent bedankt: 17 keer
Uitgedeelde bedankjes: 98 keer

Re: GDPR topic

Berichtdoor ITnetadmin » 07 Apr 2018, 06:15

ub4b schreef:Of het certificaat er af halen op de client. Maar dan moet ik alweer aanloggen, en daar wil ik wel eerst toestemming voor. Kip en ei dus.

Kan je dat cert niet gewoon revoken?

ub4b
Elite Poster
Elite Poster
Berichten: 3462
Lid geworden op: 12 Jan 2006
Bedankt: 307 keer
Recent bedankt: 1 keer
Uitgedeelde bedankjes: 54 keer

Re: GDPR topic

Berichtdoor ub4b » 07 Apr 2018, 08:49

ITnetadmin schreef:
ub4b schreef:Of het certificaat er af halen op de client. Maar dan moet ik alweer aanloggen, en daar wil ik wel eerst toestemming voor. Kip en ei dus.

Kan je dat cert niet gewoon revoken?


Als ik de certs revoke, blijft de VPN client wel aanloggen, maar zal hij dan niet binnen geraken.
Gezien ik server side die revoke kan weghalen, kan ik server side ook beslissen dat ik terug op die machine geraak.

Volgens mijn reseller die een IT'er is overdag, is dat een issue, gezien de controle bij mij ligt.

Winnie
Member
Member
Berichten: 66
Lid geworden op: 01 Apr 2018
Bedankt: 1 keer
Uitgedeelde bedankjes: 2 keer

Re: GDPR topic

Berichtdoor Winnie » 07 Apr 2018, 09:55

Ja, dit is een issue
Maar die heeft niets te maken met GDPR

Je dient gewoon in elke client de keuze te laten of men deze functionaliteit wil activeren
Let wel: opt in, niet opt out.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28868
Lid geworden op: 28 Okt 2003
Bedankt: 1895 keer
Recent bedankt: 12 keer
Uitgedeelde bedankjes: 394 keer

Re: GDPR topic

Berichtdoor r2504 » 08 Apr 2018, 09:04

axs schreef:Zolang je die informatie niet verwerkt, is er geen probleem...
de emails die je integraal krijgt doorgestuurd zijn ook geen issue, zolang je de data niet verder in een ‘klantenbestand’ of dergelijke gaat verwerken.


Zo eenvoudig is het niet... als klanten mij op het werk mails sturen (ivm. een probleem) met bv. screenshots met persoonlijke data is er een problem... ook al zou ik daar niets mee doen (dingen als bewaartermijn en dergelijke spelen dan ook).

In het geval van u4b4 is er volgens mij trouwens geen enkel probleem... zolang hij die dingen niet gaat copieren. De klant moet gewoon een akkoord geven voor toegang tot het toestel (en al zijn data) in het kader van support, en u4b4 moet de GDPR richtlijnen respecteren. De IT'er heeft hem duidelijk wat bang gemaakt

Gebruikersavatar
Joe de Mannen
Elite Poster
Elite Poster
Berichten: 3481
Lid geworden op: 22 Feb 2005
Bedankt: 425 keer
Recent bedankt: 6 keer
Uitgedeelde bedankjes: 423 keer

Re: GDPR topic

Berichtdoor Joe de Mannen » 08 Apr 2018, 13:05

Ik vroeg me trouwens ook af of GDPR ook invloed heeft op klantennamen/telefoonnummers/emailadressen op mijn werktelefoon...

J.

axs
Moderator
Moderator
Berichten: 2127
Lid geworden op: 18 Dec 2010
Bedankt: 179 keer
Recent bedankt: 6 keer
Uitgedeelde bedankjes: 398 keer

Re: GDPR topic

Berichtdoor axs » 08 Apr 2018, 13:57

r2504 schreef:
axs schreef:Zolang je die informatie niet verwerkt, is er geen probleem...
de emails die je integraal krijgt doorgestuurd zijn ook geen issue, zolang je de data niet verder in een ‘klantenbestand’ of dergelijke gaat verwerken.


Zo eenvoudig is het niet... als klanten mij op het werk mails sturen (ivm. een probleem) met bv. screenshots met persoonlijke data is er een problem... ook al zou ik daar niets mee doen (dingen als bewaartermijn en dergelijke spelen dan ook).



Daar is het aan je klant om die data te anomiseren voordat hij/zij deze naar jou verstuurd.
Zolang je die data verder niet verwerkt is er geen enkel probleem met GDPR.
(In jouw specifiek geval: screenshot bevat ‘persoonlijke’ info die niet door de klant geanomiseerd werd. Zolang je deze data niet verwerkt is er geen probleem. Delete dus de screenshot na interpretatie of anomiseer deze voordat je deze verwerkt)

Ik werk in een zeer strikte omgeving mbt data privacy (patient en medische data op medical devices) en deze cases zijn dus al in de eerste stappen naar een GDPR compliant omgeving voorbijgekomen.
We dienden uiteraard wel te documenteren dat deze data niet als dusdanig gebruikt en verwerkt wordt tenzij volledig geanomiseerd, wat al common practise was lang voordat er sprake was van GDPR.

Gebruikersavatar
r2504
Deel van't meubilair
Deel van't meubilair
Berichten: 28868
Lid geworden op: 28 Okt 2003
Bedankt: 1895 keer
Recent bedankt: 12 keer
Uitgedeelde bedankjes: 394 keer

Re: GDPR topic

Berichtdoor r2504 » 08 Apr 2018, 21:39

Joe de Mannen schreef:Ik vroeg me trouwens ook af of GDPR ook invloed heeft op klantennamen/telefoonnummers/emailadressen op mijn werktelefoon...


Ja... dat valt er ook onder maar normaal heeft jou werkgever een overeenkomst met zijn opdrachtgevers waarin contact informatie vermeld staat als noodzakelijk.

tyrone91x
Starter
Starter
Berichten: 1
Lid geworden op: 09 Mei 2018

Re: GDPR topic

Berichtdoor tyrone91x » 09 Mei 2018, 14:02

ik denk niet dat we e-mails kunnen sturen naar inactieve klanten en gebruikers na GDPR, omdat ze het "recht hebben om te worden vergeten." Ik zat vorige week met ons strategieteam twee weken geleden en we hebben dit grondig besproken. dit was de eerste vraag die ons ter ore kwam. Dus keken we naar onze concurrenten en andere bedrijven, evenals hun beleid, namen groot en klein, waaronder facebook, hotjar, twitter, ivacy vpn, google en anderen om te zien hoe ze het doen. we zijn tot de conclusie gekomen dat we alleen mails kunnen sturen naar bestaande gebruikers en zelfs dat met hun uitdrukkelijke toestemming. misschien verander het na 25 mei maar nu willen we veilig zijn.

Goztow
Administrator
Administrator
Berichten: 12208
Lid geworden op: 14 Nov 2006
Locatie: Brussel
Bedankt: 655 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 1136 keer
Contact:

Re: GDPR topic

Berichtdoor Goztow » 21 Mei 2018, 20:58

Bumpje. Een voordeel van GDPR is dat heel wat bedrijven die me mails sturden nu opnieuw vragen om te bevestigen dat ik die wil krijgen. Op de meeste ga ik geen gevolg geven. Minder spam! :)
Bedank andere users voor nuttige posts, door op Afbeelding te klikken
Overstappen van vaste lijn naar voip? Lees hier hoe
Afbeelding Waze user

Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 4786
Lid geworden op: 16 Feb 2011
Bedankt: 270 keer
Recent bedankt: 3 keer
Uitgedeelde bedankjes: 304 keer

Re: GDPR topic

Berichtdoor MClaeys » 21 Mei 2018, 22:48

Das waar, jammer genoeg niet allemaal.
Xbox Live: MClaeys

Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 1330
Lid geworden op: 14 Nov 2008
Locatie: Brugge
Bedankt: 81 keer
Uitgedeelde bedankjes: 74 keer

Re: GDPR topic

Berichtdoor Sinna » 22 Mei 2018, 08:54

... omdat ze dat ook niet allemaal moeten doen.
Computer(k)nul

Gebruikersavatar
svermassen
Elite Poster
Elite Poster
Berichten: 999
Lid geworden op: 21 Nov 2004
Locatie: Hechtel-Eksel
Bedankt: 18 keer
Uitgedeelde bedankjes: 36 keer
Contact:

Re: GDPR topic

Berichtdoor svermassen » 22 Mei 2018, 09:02

Goztow schreef:Bumpje. Een voordeel van GDPR is dat heel wat bedrijven die me mails sturden nu opnieuw vragen om te bevestigen dat ik die wil krijgen. Op de meeste ga ik geen gevolg geven. Minder spam! :)


Das wel een goede om te checken na 25/05 en ze dan aanklagen :banana:


Terug naar “Allerlei”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 4 gasten