GDPR topic

Onderwerpen die nergens anders thuis horen en toch eerder technisch van aard zijn? Post ze hier!
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Met de komst van de GPDR maak ik een topic aan voor discussies rond de GPDR.

Mij interesseert vooral de consequenties van de GPDR op emailmarketing.

1. Gaan bedrijven die nu naar een hele berg [email protected] adressen sturen, voortaan niet meer mails mogen sturen zonder expliciete opt-in? Dat zou een berg spam nu wel besparen. Ik krijg gewoon veel te veel spam waar ik nooit voor gevraagd heb, en ik schrijf mij dan telkens uit. Zo weten ze uiteraard wel dat je een werkend email address hebt wat ook wordt opgevolgd.

2. Voor de eigen mailinglijst van mijn zaak, vermoed ik dat ik expliciet toestemming opnieuw ga moeten vragen aan mijn bestand om ze vanaf mei te mogen mailen?

Dit is nu een mix van:
- mensen die zich registreerden op de site
- mensen die ooit eens mij mailden met een vraag
- mensen die klant zijn

Moet ik bij al deze drie categorieën nu opnieuw toestemming gaan vragen? Of mag ik bestaande klanten zowiezo mailen?
Laatst gewijzigd door ubremoved_2964 01 dec 2017, 20:54, in totaal 1 gewijzigd.
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2966
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 286 keer
Bedankt: 202 keer
Recent bedankt: 6 keer
Contacteer:

Punt 1 zal inderdaad de regel worden: generieke e-mailadressen ipv. op de man/vrouw af, tenzij je kan aantonen dat er al eerder communicatie was.

Punt 2 is een lastige. Op de opleiding tot DPO aan Howest geraken we er ook nog niet echt uit en geeft het voer voor veel discussies. Wat ik tot nu toe begrepen heb, is dat je niet altijd terug toestemming moet vragen, maar dit veiligheidshalve best wel doet, tenzij je kan aantonen dat er eerder al expliciet toestemming gegeven werd of dat er een gerechtvaardigd belang speelt (bv. een afgesloten contract).

Tot slot: aan deze reactie kunnen geen rechten worden ontleend. :) Ik heb gereageerd vanuit mijn huidige standpunt. Dat punt durft, met dank aan de opleiding, nog wat verschuiven.
Computer(k)nul
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Volgens deze site zou mijn éénmanszaak (en elke firma onder de 250 werknemers) dus niet onder de GPDR vallen?

http://smallbusiness.co.uk/what-does-gd ... s-2538556/
In fact, Article 30 of the regulation declares that organisations with fewer than 250 employees will not be bound by GDPR – although there are several stipulations that we will come to that mean they probably still should.
Wie kan dit bevestigen of weerleggen?
Gebruikersavatar
iceke
Elite Poster
Elite Poster
Berichten: 6790
Lid geworden op: 11 jun 2010, 12:58
Uitgedeelde bedankjes: 225 keer
Bedankt: 614 keer
Recent bedankt: 3 keer

Pfff, heel die GPDR zever hangt met haken en ogen aan elkaar... en dan bedoel ik niet de wet, maar het toepassen ervan.
Niemand weet wat er moet gebeuren, ook de "specialisten" niet, iedereen roept maar wat, maar echte richtlijnen zijn er amper, en degene die er zijn zij hoogst onduidelijk.
Het is precies een opbod aan regeltjes om het toch nog maar wat onduidelijker te maken.
Enfin, zo komt het bij mij toch over...

Persoonlijk ga ik me er vooral niet teveel van aantrekken en me indekken met een heleboel papierwerk.
https://www.privacycommission.be/sites/ ... -%20V2.pdf

Niet meer, maar ook niet minder wat er in die pdf staat dus.
powaq
Elite Poster
Elite Poster
Berichten: 971
Lid geworden op: 16 sep 2008, 11:43
Uitgedeelde bedankjes: 19 keer
Bedankt: 63 keer

ub4b schreef:Volgens deze site zou mijn éénmanszaak (en elke firma onder de 250 werknemers) dus niet onder de GPDR vallen?

http://smallbusiness.co.uk/what-does-gd ... s-2538556/
In fact, Article 30 of the regulation declares that organisations with fewer than 250 employees will not be bound by GDPR – although there are several stipulations that we will come to that mean they probably still should.
Wie kan dit bevestigen of weerleggen?
Je doet er best aan om wel compliant te zijn. Met een eenmanszaak, dus waarschijnlijk een relatief klein aantal contactpersonen, zal het al bij al nog wel meevallen.
Ik ben ook volop bezig met een bedrijf GDPR compliant te maken en het is inderdaad een warboeltje. Maar mensen hebben ook onnodig veel schrik van GDPR. Die monsterboetes komen er niet direct hoor, zeker niet als je aantoonbaar moeite doet om compliant te zijn.
Gebruikersavatar
iceke
Elite Poster
Elite Poster
Berichten: 6790
Lid geworden op: 11 jun 2010, 12:58
Uitgedeelde bedankjes: 225 keer
Bedankt: 614 keer
Recent bedankt: 3 keer

Je moet me dan eens uitleggen hoe je GDPR compliant kan zijn of worden en waaraan je dat kan aftoetsen. :angel:
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Kunnen we de typo in de titel mss aanpassen? :-)

Het is en blijft de GDPR, General Data Protection Regulation.
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2966
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 286 keer
Bedankt: 202 keer
Recent bedankt: 6 keer
Contacteer:

ub4b schreef:Volgens deze site zou mijn éénmanszaak (en elke firma onder de 250 werknemers) dus niet onder de GPDR vallen?

http://smallbusiness.co.uk/what-does-gd ... s-2538556/
In fact, Article 30 of the regulation declares that organisations with fewer than 250 employees will not be bound by GDPR – although there are several stipulations that we will come to that mean they probably still should.
Wie kan dit bevestigen of weerleggen?
Dat moet ik ontkennen! Enkel de aanleg van een dataregister is niet vereist voor bedrijven met minder dan 250 werknemers. Daar is tijdens de opleiding al verschillende keren op gehamerd. Ik probeer een volgende keer dit te staven adhv. de GDPR zelf.
Computer(k)nul
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 14885
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 484 keer
Bedankt: 1054 keer
Recent bedankt: 15 keer

ub4b schreef:GDPR (...) emailmarketing.
1. Gaan bedrijven die nu naar een hele berg [email protected] adressen sturen, voortaan niet meer mails mogen sturen zonder expliciete opt-in? Dat zou een berg spam nu wel besparen. Ik krijg gewoon veel te veel spam waar ik nooit voor gevraagd heb, en ik schrijf mij dan telkens uit. Zo weten ze uiteraard wel dat je een werkend email address hebt wat ook wordt opgevolgd.
2. Voor de eigen mailinglijst van mijn zaak, vermoed ik dat ik expliciet toestemming opnieuw ga moeten vragen aan mijn bestand om ze vanaf mei te mogen mailen?
GDPR is enkel van toepassing op levende fysieke personen, dus geen doden en geen rechtspersonen.

1 -> Je mag nog wel mails sturen, ook naar info@. Sterker nog: vooral naar info@ en niet naar [email protected]
2. -> idem hierboven: als er rechtspersonen achter die mail adressen zitten (bvba Louis Michel Belgie), is GDPR niet van toepassing. Maar als het [email protected] is, zou ik suggereren die data maar 1 jaar bij te houden (te rekenen vanaf de datum dat je die data hebt).
TENZIJ
- je die data nodig hebt voor de verder uitoefening van uw contract
- je een expliciete consent (toestemming, instemming) hebt van de klant
Anders moet je de data verwijderen of anonimiseren.

Verwacht dus overal aangepaste algemene voorwaarden, die in elfendertig bladzijden kleine lettertjes toelichten dat je uw consent geeft om uw data 20 jaar te mogen bijhouden...
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Ik heb ondertussen ook al wat workshops over GDPR achter de rug en het blijft allemaal heel vaag.

Op concrete vragen komt er nauwelijks een duidelijk antwoord (en vooral met veel "maar's") en vaak hoor je dat het een wetgeving gemaakt is door advocaten en dat de interpretatie uiteindelijk van de rechtbank zal afhangen (al kijk ik uit naar de eerste persoon die bv. een bedrijf als TN voor de rechter gaat slepen voor een GDPR overtreding).
Gebruikersavatar
iceke
Elite Poster
Elite Poster
Berichten: 6790
Lid geworden op: 11 jun 2010, 12:58
Uitgedeelde bedankjes: 225 keer
Bedankt: 614 keer
Recent bedankt: 3 keer

heist_175 schreef: Verwacht dus overal aangepaste algemene voorwaarden, die in elfendertig bladzijden kleine lettertjes toelichten dat je uw consent geeft om uw data 20 jaar te mogen bijhouden...
Nope, geen 20 jaar, maar "Zolang als nodig geacht wordt"
Je moet er een termijn opplakken, maar dat hoeft niet persé een statisch getal te zijn. :bang:
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

iceke schreef:"Zolang als nodig geacht wordt"
In principe stopt het als je relatie met het bedrijf stopt (tenzij er wettelijke bepalingen zijn).

Maar kan het bedrijf bijvoorbeeld opperen dat ze je gegevens daarna nog 10 jaar bijhouden in het geval je terug klant zou worden (om je dan een betere service te bieden) ?

GDPR staat bol van theoretische benaderingen...
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

Net zoals IPv6 zal veel pas duidelijk worden eenmaal de implementatie zover is, in dit geval dus na het in werking treden ervan; om dan nog een paar jaar "grijze zones" te hanteren omdat geen kat weet hoe de vork eigenlijk aan de steel zit.
De grote bedrijven gaan de eersten zijn die voldoen aan de regeling, maar dan wss wel door de kantjes eraf te lopen door advies van hun eigen legal dept.
De kleine bedrijfjes gaan volgen.
Vzw's, onderwijsinstellingen e.d. gaan nog jaren achterop hinken en met rust gelaten worden, onder andere omdat de meesten onder hen geen echte ITers in dienst hebben, maar "iemand die iets van computers kende en nog wat uren nodig had".
Niks nieuws dus.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

ITnetadmin schreef: om dan nog een paar jaar "grijze zones" te hanteren
Die grijze zone is eigenlijk al in 2016 gestart ! 2018 is dus de deadline.
ITnetadmin schreef:en met rust gelaten worden
Zolang niemand een klacht start (en ik vermoed dat dit niet eenvoudig zal zijn) gaat er waarschijnlijk geen haan naar kraaien.
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 14885
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 484 keer
Bedankt: 1054 keer
Recent bedankt: 15 keer

r2504 schreef:
iceke schreef:"Zolang als nodig geacht wordt"
In principe stopt het als je relatie met het bedrijf stopt (tenzij er wettelijke bepalingen zijn).

Maar kan het bedrijf bijvoorbeeld opperen dat ze je gegevens daarna nog 10 jaar bijhouden in het geval je terug klant zou worden (om je dan een betere service te bieden) ?

GDPR staat bol van theoretische benaderingen...
Uw tenzij is heel belangrijk. Wij implementeren GDPR met een jurist op/aan elke hoek van de tafel :).
Voor heel wat zaken moet je gegevens nog 7 of 10 jaar bijhouden (bv boekhouding), je kan dus vragen (GDPR recht) om data te laten verwijderen, maar je zal "no" krijgen op uw verzoek, omdat er een andere wetgeving vereist dat je de date nog moet bijhouden.

@langer bijhouden om service te bieden
Vandaar: langere algemene voorwaarden en/of een expliciete consent bij contracten.
Uiteindelijk is dat ook een service: wil je die of niet?
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

r2504 schreef:
ITnetadmin schreef: om dan nog een paar jaar "grijze zones" te hanteren
Die grijze zone is eigenlijk al in 2016 gestart ! 2018 is dus de deadline.
In theorie wel.
In de praktijk dus niet, want als niemand weet hoe de vork aan de steel zit, gaat niemand zich kunnen voorbereiden.
En eerlijk, zo gaat dat toch heel vaak met zo'n dingen.
Ik hoor van iedereen hier die cursus heeft gevolgd dat de meeste praktische vragen onbeantwoord blijven; ik ga dus aannemen dat de opleidingen vooral algemeen theoretisch blijven maar dat de echte, praktische implementatiekant nog altijd een groot vraagstuk blijft ook voor degenen die de cursus geven.

En ik durf er geld op te wedden dat vzws en onderwijsinstellingen nog jaren met ITers gaan zitten die nog nooit van de GDPR gehoord hebben.
En zolang er geen gratis GDPR cursussen zijn, ipv de commerciele varianten nu, gaat dat niet snel veranderen, want dit zijn de sectoren die daar echt geen geld aan gaan geven.
r2504 schreef:
ITnetadmin schreef:en met rust gelaten worden
Zolang niemand een klacht start (en ik vermoed dat dit niet eenvoudig zal zijn) gaat er waarschijnlijk geen haan naar kraaien.
Juist; waardoor zij helemaal niet gemotiveerd gaan zijn om "mee" te zijn.

Jaren geleden was het al "Licenses? Bwa, zolang we ongeveer 75% in orde zijn gaat geen kat ernaar kraaien, want ons laten ze met rust." in het onderwijs; "We krijgen dat gewoon niet rond want 'ik geef nog les' / 'ik heb niet genoeg uren' / 'ik ben geen ITer maar doe dit er maar bij' / 'ik geraak daar totaal niet aan uit' / <insert excuus hier>."
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Hoe zit het eigenlijk met managed solutions? Wij bouwen een product die in een VPN zit. De VPN is zodanig dichtgetimmerd, dat ze het VPN cert niet kunnen gebruiken om op de machines van andere klanten te geraken (gelukkig maar), maar wij kunnen wel inloggen op alle machines van alle klanten, voor support.

Dat doen we normaal enkel als er support vragen zijn, dus proactief wordt er niet op ingelogd, en er zijn ook geen services die die machines monitoren of packages op afstand managen.

Moeten we nu al die VPN tunnels per default uitzetten?
Of de klanten de mogelijkheid geven de VPN zelf uit te zetten via de lokale webinterface van het toestel, en dit ergens op de site aankondigen?

Het grote probleem zijn de niet technische klanten. Ze zetten vpn dan uit, vergeten dit, vragen support zonder dat de VPN op staat, en wij geraken er niet op. Dus extra tijdverlies want dan moeten we de klant uitleggen hoe hij zijn VPN terug aanzet en proberen uitvissen of er echt een issue is, of de VPN gewoon uitstaat - iets wat we nu niet hebben. We kunnen uiteraard extra aanrekenen voor zij die geen vpn willen, en we dan hun desktop overnemen via een tool zoals teamviewer tegen uurloon.
Gebruikersavatar
heist_175
Moderator
Moderator
Berichten: 14885
Lid geworden op: 07 okt 2010, 09:35
Locatie: Kempen
Uitgedeelde bedankjes: 484 keer
Bedankt: 1054 keer
Recent bedankt: 15 keer

Ik zie de GDPR link niet?

Of gaat het erom dat jij aan klantendata zou aankunnen?
Dat verandert niet onder GDPR. Alleen zouden uw klanten aan u een GDPR audit kunnen vragen om te zien hoe jij (uw firma) ervoor gaat zorgen dat er geen data lekken etc zijn.

GDPR verbiedt niemand om (sub)contracten aan te gaan hé.
Jij kan enkel claimen dat je GDPR compliant bent, als alle onderaannemers (die data verwerken) etc dat ook zijn.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

heist_175 schreef:Ik zie de GDPR link niet?

Of gaat het erom dat jij aan klantendata zou aankunnen?
één van de resellers zegt: op jouw toestel kunnen ze privé data zetten (er staan netwerk shares immers op), jij kan er aan, dus GPDR issue

nu wordt het toestel normaal gekocht om muziek op te zetten en af te spelen, daar is weinig privacy related aan, maar als ze daar nu privé documenten of fotos op zetten, en ik kan er aan .... 't ja ..... dat is zijn punt

deze reseller zit zelf in de IT (hij verkoopt ons toestel in bijberoep) en heeft vandaag een opleiding hierrond gehad
Gebruikersavatar
Joe de Mannen
Elite Poster
Elite Poster
Berichten: 6309
Lid geworden op: 22 feb 2005, 12:46
Uitgedeelde bedankjes: 506 keer
Bedankt: 613 keer
Recent bedankt: 7 keer

Volgens mij moet je gewoon een privacy statement maken dat uitlegt wat je met de data doet waar je bij kan. Als dat antwoord 'niets' is, is het volgens mij al ok.

J.
Ik ben alleen verantwoordelijk voor mij eigen uitspraken, niet voor wat anderen ervan maken of aan toevoegen...
Winnie
Member
Member
Berichten: 69
Lid geworden op: 01 apr 2018, 21:04
Uitgedeelde bedankjes: 2 keer
Bedankt: 1 keer

Dat kan van u dan een dataverwerker maken als uw klanten er data over andere personen opzetten.

Best kan je opnemen in de voorwaarden dat er enkel muziekbestanden toegelaten zijn en een block zetten op bepaalde bestanden

Daarmee kan je aantonen dat je voorzorgen hebt genomen om te voorkomen dat je een dataverwerker zou worden.
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Winnie schreef:Dat kan van u dan een dataverwerker maken als uw klanten er data over andere personen opzetten.
Maar de machines staan bij eindgebruikers thuis, niet ergens in een datacenter ofzo.
Winnie schreef: Best kan je opnemen in de voorwaarden dat er enkel muziekbestanden toegelaten zijn en een block zetten op bepaalde bestanden

Daarmee kan je aantonen dat je voorzorgen hebt genomen om te voorkomen dat je een dataverwerker zou worden.
Gezien de shares public zijn en er geen passwoord op staat, ben ik wel van plan nieuwe support voorwaarden op te stellen, en duidelijk te vermelden dat het niet toegelaten is om persoonlijke of vertrouwelijke content op de machine achter te laten, als wij die moeten op afstand overnemen. Dus staat er toch vertrouwelijke content op, dan geen support via VPN meer.
Winnie
Member
Member
Berichten: 69
Lid geworden op: 01 apr 2018, 21:04
Uitgedeelde bedankjes: 2 keer
Bedankt: 1 keer

Wie staat in voor de beveiliging van de machine?
Is de klant volle eigenaar van de machine en kan deze met adminrechten inloggen om zelf aanpassingen te doen?

Dan levert u enkel een service in het geval dat de klant zijn eigendom zelf niet wil beheren.
het enige wat van uw kant dan eventueel ondertekend moet worden is een nda in geval dat persoonlijke of vertrouwelijke zaken op de machine staan. Want op dat moment is de klant de data verwerker en u slecht iemand die technisch bijspringt.
Dat heeft niets met gdpr of gegevensvewerking te maken
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

Winnie schreef:Wie staat in voor de beveiliging van de machine?
Is de klant volle eigenaar van de machine en kan deze met adminrechten inloggen om zelf aanpassingen te doen?
De machine is niet beveiligd, hij staat in het thuisnetwerk, er zit geen passwoord op de shares. Klant is eigenaar. Er staat al sinds jaren in de manual dat de machine niet direct aan het internet mag, dus altijd een home router ertussen. Net omdat het open staat.

Wij beheren deze machine niet, maar in geval van problemen, kunnen we wel aanloggen via SSH als root, of via de webinterface.
Klanten hebben ook toegang tot die webinterface, als ze echt willen ook via ssh maar als ze dan iets om zeep helpen is het fixen niet gratis.
Winnie schreef: Dan levert u enkel een service in het geval dat de klant zijn eigendom zelf niet wil beheren.
het enige wat van uw kant dan eventueel ondertekend moet worden is een nda in geval dat persoonlijke of vertrouwelijke zaken op de machine staan. Want op dat moment is de klant de data verwerker en u slecht iemand die technisch bijspringt.
Dat heeft niets met gdpr of gegevensvewerking te maken
Normaal moet de klant alles kunnen doen via de webinterface, en de apps. Maar als het foutloopt, is het nakijken via secure shell veel makkelijker, dan de klant zijn scherm te moeten overnemen, want dan moet de klant thuis zijn als wij tijd hebben, dus kost aan verbonden. Dat gebeurt altijd nadat een klant mailt met een probleem en het niet oplosbaar is via de app of de webinterface. Er wordt nooit spontaan of proactief aangelogd op de machines.

Nog een oplossing is een knop maken in de webinterface, die de vpn aan of uit kan zetten.
axs
Moderator
Moderator
Berichten: 2630
Lid geworden op: 18 dec 2010, 11:56
Uitgedeelde bedankjes: 445 keer
Bedankt: 221 keer

GDPR is toch enkel van toepassing als je de (privacygevoelige) data ook effectief verwerkt?
Lijkt me hier dus niet van toepassing.

Waar GDPR in dit geval zou kunnen bij komen kijken is als je de remote IP- addressen opslaat samen met de contactgegevens vd klant.
tb0ne
Elite Poster
Elite Poster
Berichten: 1020
Lid geworden op: 24 aug 2012, 11:49
Uitgedeelde bedankjes: 27 keer
Bedankt: 85 keer

Een paar leuke dingen die ik hoorde over gdpr:
Elke lidstaat kan nog bepaalde eigen invullingen doen
Voor Belgie spreken de versies in de verschillende landstalen elkaar op een aantal vlakken tegen.
Dat zal plezant worden in de rechtbank!
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

axs schreef:GDPR is toch enkel van toepassing als je de (privacygevoelige) data ook effectief verwerkt?
Lijkt me hier dus niet van toepassing.
Ik kan ook gewoon verbieden om privacy gevoelige informatie op het toestel te zetten.
Wensen ze dit toch te doen, dan kan ik de VPN van die specifieke klant gewoon blacklisten op de VPN server.

Of het certificaat er af halen op de client. Maar dan moet ik alweer aanloggen, en daar wil ik wel eerst toestemming voor. Kip en ei dus.
axs schreef: Waar GDPR in dit geval zou kunnen bij komen kijken is als je de remote IP- addressen opslaat samen met de contactgegevens vd klant
Contactgegevens houden we niet bij, tenzij van onze eigen klanten, maar de meesten kopen via een reseller. Het enige wat we dan doorkrijgen is een VPNID. Er zijn natuurlijk ook klanten van de reseller die ons direct contacteren voor support (dit is niet tegen te houden, ondanks het feit dat dit niet de bedoeling is), en dan hebben we van die klant:

- email adres
- zijn vpnid die op het registratieformulier staat
- een naam / voornaam die mee in de mail staat

Ik kan ook niet tegenhouden dat de reseller die zijn klant niet kan helpen, de mail integraal naar ons doorstuurt voor support. Dan hebben we ook de naam en email van de klant.
axs
Moderator
Moderator
Berichten: 2630
Lid geworden op: 18 dec 2010, 11:56
Uitgedeelde bedankjes: 445 keer
Bedankt: 221 keer

Zolang je die informatie niet verwerkt, is er geen probleem...
de emails die je integraal krijgt doorgestuurd zijn ook geen issue, zolang je de data niet verder in een ‘klantenbestand’ of dergelijke gaat verwerken.
ITnetadmin
userbase crew
userbase crew
Berichten: 8974
Lid geworden op: 28 jan 2012, 18:22
Uitgedeelde bedankjes: 199 keer
Bedankt: 690 keer
Recent bedankt: 2 keer

ub4b schreef:Of het certificaat er af halen op de client. Maar dan moet ik alweer aanloggen, en daar wil ik wel eerst toestemming voor. Kip en ei dus.
Kan je dat cert niet gewoon revoken?
ubremoved_2964
Elite Poster
Elite Poster
Berichten: 5295
Lid geworden op: 12 jan 2006, 14:25
Uitgedeelde bedankjes: 65 keer
Bedankt: 387 keer

ITnetadmin schreef:
ub4b schreef:Of het certificaat er af halen op de client. Maar dan moet ik alweer aanloggen, en daar wil ik wel eerst toestemming voor. Kip en ei dus.
Kan je dat cert niet gewoon revoken?
Als ik de certs revoke, blijft de VPN client wel aanloggen, maar zal hij dan niet binnen geraken.
Gezien ik server side die revoke kan weghalen, kan ik server side ook beslissen dat ik terug op die machine geraak.

Volgens mijn reseller die een IT'er is overdag, is dat een issue, gezien de controle bij mij ligt.
Winnie
Member
Member
Berichten: 69
Lid geworden op: 01 apr 2018, 21:04
Uitgedeelde bedankjes: 2 keer
Bedankt: 1 keer

Ja, dit is een issue
Maar die heeft niets te maken met GDPR

Je dient gewoon in elke client de keuze te laten of men deze functionaliteit wil activeren
Let wel: opt in, niet opt out.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

axs schreef:Zolang je die informatie niet verwerkt, is er geen probleem...
de emails die je integraal krijgt doorgestuurd zijn ook geen issue, zolang je de data niet verder in een ‘klantenbestand’ of dergelijke gaat verwerken.
Zo eenvoudig is het niet... als klanten mij op het werk mails sturen (ivm. een probleem) met bv. screenshots met persoonlijke data is er een problem... ook al zou ik daar niets mee doen (dingen als bewaartermijn en dergelijke spelen dan ook).

In het geval van u4b4 is er volgens mij trouwens geen enkel probleem... zolang hij die dingen niet gaat copieren. De klant moet gewoon een akkoord geven voor toegang tot het toestel (en al zijn data) in het kader van support, en u4b4 moet de GDPR richtlijnen respecteren. De IT'er heeft hem duidelijk wat bang gemaakt
Gebruikersavatar
Joe de Mannen
Elite Poster
Elite Poster
Berichten: 6309
Lid geworden op: 22 feb 2005, 12:46
Uitgedeelde bedankjes: 506 keer
Bedankt: 613 keer
Recent bedankt: 7 keer

Ik vroeg me trouwens ook af of GDPR ook invloed heeft op klantennamen/telefoonnummers/emailadressen op mijn werktelefoon...

J.
Ik ben alleen verantwoordelijk voor mij eigen uitspraken, niet voor wat anderen ervan maken of aan toevoegen...
axs
Moderator
Moderator
Berichten: 2630
Lid geworden op: 18 dec 2010, 11:56
Uitgedeelde bedankjes: 445 keer
Bedankt: 221 keer

r2504 schreef:
axs schreef:Zolang je die informatie niet verwerkt, is er geen probleem...
de emails die je integraal krijgt doorgestuurd zijn ook geen issue, zolang je de data niet verder in een ‘klantenbestand’ of dergelijke gaat verwerken.
Zo eenvoudig is het niet... als klanten mij op het werk mails sturen (ivm. een probleem) met bv. screenshots met persoonlijke data is er een problem... ook al zou ik daar niets mee doen (dingen als bewaartermijn en dergelijke spelen dan ook).
Daar is het aan je klant om die data te anomiseren voordat hij/zij deze naar jou verstuurd.
Zolang je die data verder niet verwerkt is er geen enkel probleem met GDPR.
(In jouw specifiek geval: screenshot bevat ‘persoonlijke’ info die niet door de klant geanomiseerd werd. Zolang je deze data niet verwerkt is er geen probleem. Delete dus de screenshot na interpretatie of anomiseer deze voordat je deze verwerkt)

Ik werk in een zeer strikte omgeving mbt data privacy (patient en medische data op medical devices) en deze cases zijn dus al in de eerste stappen naar een GDPR compliant omgeving voorbijgekomen.
We dienden uiteraard wel te documenteren dat deze data niet als dusdanig gebruikt en verwerkt wordt tenzij volledig geanomiseerd, wat al common practise was lang voordat er sprake was van GDPR.
ubremoved_539
Deel van't meubilair
Deel van't meubilair
Berichten: 29849
Lid geworden op: 28 okt 2003, 09:17
Uitgedeelde bedankjes: 434 keer
Bedankt: 1972 keer

Joe de Mannen schreef:Ik vroeg me trouwens ook af of GDPR ook invloed heeft op klantennamen/telefoonnummers/emailadressen op mijn werktelefoon...
Ja... dat valt er ook onder maar normaal heeft jou werkgever een overeenkomst met zijn opdrachtgevers waarin contact informatie vermeld staat als noodzakelijk.
tyrone91x
Starter
Starter
Berichten: 1
Lid geworden op: 09 mei 2018, 13:46

ik denk niet dat we e-mails kunnen sturen naar inactieve klanten en gebruikers na GDPR, omdat ze het "recht hebben om te worden vergeten." Ik zat vorige week met ons strategieteam twee weken geleden en we hebben dit grondig besproken. dit was de eerste vraag die ons ter ore kwam. Dus keken we naar onze concurrenten en andere bedrijven, evenals hun beleid, namen groot en klein, waaronder facebook, hotjar, twitter, ivacy vpn, google en anderen om te zien hoe ze het doen. we zijn tot de conclusie gekomen dat we alleen mails kunnen sturen naar bestaande gebruikers en zelfs dat met hun uitdrukkelijke toestemming. misschien verander het na 25 mei maar nu willen we veilig zijn.
Gebruikersavatar
Goztow
Administrator
Administrator
Berichten: 14441
Lid geworden op: 14 nov 2006, 16:21
Locatie: Brussel
Uitgedeelde bedankjes: 1600 keer
Bedankt: 1194 keer
Recent bedankt: 3 keer

Bumpje. Een voordeel van GDPR is dat heel wat bedrijven die me mails sturden nu opnieuw vragen om te bevestigen dat ik die wil krijgen. Op de meeste ga ik geen gevolg geven. Minder spam! :)
Gebruikersavatar
MClaeys
Elite Poster
Elite Poster
Berichten: 6044
Lid geworden op: 16 feb 2011, 22:43
Uitgedeelde bedankjes: 376 keer
Bedankt: 346 keer

Das waar, jammer genoeg niet allemaal.
Gebruikersavatar
Sinna
Elite Poster
Elite Poster
Berichten: 2966
Lid geworden op: 14 nov 2008, 08:22
Twitter: KrSi78
Locatie: Brugge
Uitgedeelde bedankjes: 286 keer
Bedankt: 202 keer
Recent bedankt: 6 keer
Contacteer:

... omdat ze dat ook niet allemaal moeten doen.
Computer(k)nul
Gebruikersavatar
svermassen
Elite Poster
Elite Poster
Berichten: 2302
Lid geworden op: 21 nov 2004, 20:05
Uitgedeelde bedankjes: 356 keer
Bedankt: 60 keer
Recent bedankt: 1 keer

Goztow schreef:Bumpje. Een voordeel van GDPR is dat heel wat bedrijven die me mails sturden nu opnieuw vragen om te bevestigen dat ik die wil krijgen. Op de meeste ga ik geen gevolg geven. Minder spam! :)
Das wel een goede om te checken na 25/05 en ze dan aanklagen :banana:
Plaats reactie

Terug naar “Allerlei”