Privacy: opslaan van gegevens in de VS / cloud

[hercules227]

Goedemiddag forumleden,

ik heb op internet gezocht en ook op deze site maar kon het antwoord niet echt vinden op onderstaande vraag, hopelijk weet een van jullie het antwoord.

Ik heb een praktijk voor houdingstherapie (nog niet operationeel, ben nu met de website bezig) en wil een privacyverklaring op mijn website zetten.

Het computerprogramma dat ik voor mijn werk gebruik haalt data op uit de VS en zet deze ook daar op de server / database. Het kan natuurlijk zijn dat wegens caching e.d. er lokaal iets wordt opgeslagen (ik gebruik een iPad) maar de echte data staat dus in de VS.

Nu weet ik dat er de laatste tijd discussie is (geweest) over opslag van gegevens van Europeanen in de VS, inclusief in de cloud. Het is me echter niet duidelijk wat nu de huidige stand van zaken is en wat wel en niet mag.

Ik sla sowieso geen 'gevoelige' informatie op over klanten. Geen BSN (mijn methode wordt niet vergoed door de verzekeraars) of andere gevoelige info, in principe alleen NAW gegevens plus natuurlijk informatie over klachten, behandeltraject e.d. - hetgeen mij nu doet denken welke 'medische' gegevens mogen worden opgeslagen, maar dat is een ander verhaal denk ik - . Ook worden foto's gemaakt en opgeslagen in de database.

 

Heeft een van jullie een eenduidig antwoord over de huidige (en wellicht toekomstige) wet- en regelgeving hierover?

 

Alvast bedankt,

Patrick

[Jeroen Bakker]

Je schrijft:

 

Ik sla sowieso geen 'gevoelige' informatie op over klanten.

 

Echter:

 

alleen NAW gegevens plus natuurlijk informatie over klachten, behandeltraject e.d. - (...) Ook worden foto's gemaakt en opgeslagen in de database.

 

Wat je opslaat, is dus bij uitstek gevoelige data!

 

Waar sla je het precies op, en wat zegt die partij erover?

[hercules227]

Jeroen,

gegevens worden opgeslagen in een iOS applicatie (op een iPad), die de gegevens synchroniseert met de server in de VS. Dat zijn sowieso de NAW gegevens en de foto's die gemaakt worden. Ik ben er nog niet uit of ik overige gegevens (gespreksverslag e.d.) ook in dat programma ga opslaan of dat ik daarvoor mijn (Nederlandse) CRM systeem voor gebruik (met opslag in de cloud).

[Jeroen Bakker]

Maar waar worden de gegevens precies opgeslagen? AWS bijvoorbeeld?

[hercules227]

Jeroen,

ik begrijp je vraag nog niet helemaal maar ik denk dat je bedoelt:

"in welke specifieke iOS app worden de gegevens opgeslagen"?

De gegevens worden ingevoerd via de iOS app ePete, een voor

onze beroepsgroep specifiek ontwikkelde app. Deze app synchroniseert/

slaat de gegevens periodiek (om de x minuten + bij het wisselen van klant)

op in de database in de VS (San Diego). Wat er op de iPad zelf achterblijft

weet ik niet. Iedere dag moet ik opnieuw inloggen en worden gegevens weer

van de server gehaald en in de app "geladen".

 

Het Nederlandse CRM-systeem dat ik gebruik is Perfectview.

 

Hopelijk beantwoordt dit je vragen?

[Maxn]

Er is net een nieuw verdrag afgesloten, maar de lijst met Amerikaanse bedrijven die verklaren aan de nieuwe regels te voldoen is nog leeg...

 

https://www.privacyshield.gov/list

 

 

Maar zelfs als je leverancier zich daarbij aan zou sluiten, moet je je afvragen of je dit wel zou willen.

Je bent verplicht om het verwerken van persoonsgegevens buiten de EU bij het CBP te melden.

En je klanten zijn wellicht ook minder enthousiast over je idee om informatie over hun gezondheidsproblemen in de cloud op te slaan, laat staan aan de andere kant van de wereld. ::)

[R.I.P. - Benm]

Het lijkt me in ieder geval het soort data waarvan je per se wilt voorkomen dat het ooit uitlekt. Wellicht geen medische gegevens maar het zit er dicht tegenaan, en als er ook nog fotos bij komen wordt het al snel een shitstorm als zoiets op straat komt.

 

Vraag is vervolgens of die opslag veilig is, en minstens zo belangijk, de verzending van de gegevens fatsoenlijk versleuteld plaatsvindt.

 

Zegt de leverancier van de app er iets over?

[Ron van der Kolk]

Ik heb een praktijk voor houdingstherapie en wil een privacyverklaring op mijn website zetten.

(...)

Ik sla sowieso geen 'gevoelige' informatie op over klanten. (...) in principe alleen NAW gegevens plus natuurlijk informatie over klachten, behandeltraject e.d. (...) Ook worden foto's gemaakt en opgeslagen in de database.

 

Beste Patrick,

 

Welkom op Higherlevel.

 

Geen gevoelige informatie? Integendeel! Volgens de wet zijn medische gegevens juist een van de meest gevoelige soorten gegevens die je kunt opslaan. Een privacyverklaring op je website is dan ook bij lange na niet voldoende om te voldoen aan wet- en regelgeving voor het verwerken van dergelijke persoonsgegevens.

 

De huidige (en toekomstige) wet- en regelgeving op dit vlak is behoorlijk veelomvattend. Op dit moment zijn er onder andere de Nederlandse Wet Basis­registratie Personen (Wet BRP), de Wet Bescherming Persoonsgegevens (Wbp) en de Europese richtlijn uit 1995. Deze worden (effectief) vervangen door de in Europees verband vastgestelde Algemene Verordening Gegevensbescherming (AVG), die van toepassing is vanaf 25 mei 2018. Een kort, eenduidig antwoord is niet te geven, ook omdat je hierover geen concrete vraag lijkt te stellen.

 

Ik zal proberen het heel kort te houden. Je hebt als onderneming een verzameling aangelegd van (bijzondere) persoonsgegevens. Deze gegevensverzameling moet je (waarschijnlijk) melden aan de Autoriteit Persoonsgegevens. Uiteraard moeten de betrokken personen hun toestemming geven en moeten protocollen voor inzage, correctie en verwijdering bij hun bekend zijn. Je eigen organisatie moet voldoen aan de richtlijnen voor gegevensbescherming (maar het gaat te ver die hier samen te vatten).

 

de echte data staat dus in de VS.

(...)

Het is me echter niet duidelijk wat nu de huidige stand van zaken is en wat wel en niet mag.

(...)

Heeft een van jullie een eenduidig antwoord over de huidige (en wellicht toekomstige) wet- en regelgeving hierover?

Met alle partijen die eventueel bij de gegevens kunnen (in Nederland, de VS of waar dan ook) moet je een bewerkersovereenkomst sluiten (art. 14 Wbp) en toezien op hun gegevensbescherming. Het lastige van partijen in (bijvoorbeeld) de VS is dat er doorgaans bijzonder lastig een bewerkersovereenkomst mee te sluiten is, dat het bijzonder lastig is om toe te zien op de uitvoering daarvan en dat (door de Patriot act) ook de Amerikaanse overheid in de gegevens mag snuffelen. Met de die overheid is natuurlijk al helemaal geen overeenkomst te sluiten. Mede daarom mag je persoonsgegevens niet zomaar persoonsgevens doorgeven aan partijen in landen buiten de EU. Dat een aantal Amerikaanse bedrijven nu roept dat ze voldoen aan Europese privacyregels is een wassen neus.

 

[hercules227]

Dank voor alle antwoorden en de snelheid!

Ik heb nog geen klanten dus heb nog niets opgeslagen, maar wil het uiteraard wel correct gaan doen.

 

"Medische" gegevens (bij deze methode is dat bijvoorbeeld een overzicht van of men een operatie heeft ondergaan, of men bij specialisten is geweest e.d., niet het soort data wat specialisten zelf zouden verzamelen - vermoed dat dit dan toch onder 'medische' gegevens valt) zal ik dan sowieso niet in de app opslaan maar in mijn Nederlandse CRM systeem of elders.

 

Zal ook even met de maker van de app in gesprek gaan.

 

Nogmaals dank!

Patrick

[dffggsd]

Interessante discussie en komt meteen een nieuwe vraag bij mij op aangaande dit onderwerp. Ik maak een back-up van mijn boekhouding op Google Drive. Daar zitten uiteraard ook alle verkoop facturen in. Op verkoop facturen staan klantgegevens. Nu zou ik dus volgens bovenstaande reacties hier problemen mee kunnen krijgen. Echter kom ik dan op het volgende.

 

Als ik zaken doe met Google, doe ik zaken met Google Ireland. Dat is binnen de EU. Valt bestanden opslaan op de Google Drive dan ook op bestanden opslaan binnen de EU? Of zou dat dan weer tellen als Google in de VS?

 

Als ik alle bestanden in een met wachtwoord beveiligde GZIP file zet en die upload naar Google Drive, zou het dan allicht sowieso kunnen zonder gezeur?

[Maxn]

Als ik zaken doe met Google, doe ik zaken met Google Ireland.

 

Doorgaans alleen tijdelijk op momenten dat ze het fiscaal goed uitkomt. ;D

 

Servicevoorwaarden Google:

 

Welkom bij Google!

 

Hartelijk dank dat u onze producten en services (‘Services’) gebruikt. De Services worden geleverd door Google Inc. (‘Google’), gevestigd te 1600 Amphitheatre Parkway, Mountain View, CA 94043, Verenigde Staten.

 

Weinig Iers aan.

 

 

Bij de diensten van Microsoft wordt het interessanter, die slaan de gegevens (grotendeels) wel daadwerkelijk in Ierland op, en hebben dit ook vol kunnen houden:

 

https://en.wikipedia.org/wiki/Microsoft_Corporation_v._United_States_of_America

[hercules227]

Dat laatste is mooi ;) ik gebruik zelf Office365 incl OneDrive voor het opslaan van gegevens..

En even gecheckt en mijn webserver(s)/mailserver staan in NL.