Migratie naar europese data-opslag

[Johnny Be Good]

Digitalisering neemt toe en ook de regelgeving daarover.
De wet -met name de AVG- wenst dat data-opslag in europa gebeurd.
HL-gebruiker Kuifje attendeerde daarvoor op https://blog.iusmentis.com/2020/09/15/hoe-ver-ben-jij-al-met-je-migratieplan-weg-uit-de-amerikaanse-cloud/

Sommige dingen weet ik dat ik goed geregeld heb maar van veel dingen weet ik het niet of weet ik niet wat de alternatieven zijn.
Hebben de volgende SaaS/cloud-producten bv hun opslag in europa ?
Gmail/Gsuite?  Office365? Dropbox? Amazon.nl? Slack? WhatsApp? Facebook? Twitter? MailChimp? Shopify? WeTransfer(AWS-based)?, LinkedIn ?,
Kan een videomeeting met klanten in Zoom dan eigenlijk wel ?

En wat zijn de alteratieven ?  Want hoe doe je Google Analytics met opslag in europa ?

Kortom....Wie heeft hier al meer huiswerk in gedaan ?

 

[prinsrachid]

2 uur geleden, Johnny Be Good zei:

En wat zijn de alteratieven ?  Want hoe doe je Google Analytics met opslag in europa ?

 

Voor Google Analytics heeft de Autoriteit Persoonsgegevens een handleiding gemaakt om ervoor te zorgen dat je voldoet aan de AVG. Aan de andere kant lijkt het er ook op dat de Autoriteit Persoonsgegevens niet altijd reden ziet om te handhaven bij het gebruik van Google clouddiensten, als je je kennelijk 'zorgvuldig genoeg' opstelt.

[Maxn]

15 uur geleden, prinsrachid zei:

Aan de andere kant lijkt het er ook op dat de Autoriteit Persoonsgegevens niet altijd reden ziet om te handhaven bij het gebruik van Google clouddiensten, als je je kennelijk 'zorgvuldig genoeg' opstelt.

 

Ja, in antwoord op kamervragen blijkt echter dat MRDM de AP wijs heeft gemaakt dat zij de cloudaanbieder uitsluitend als opslagvat zou gebruiken om versleutelde gegevens op te slaan, en deze niet over de sleutel zou beschikken om deze te ontsleutelen.

 

Kennenlijk heeft de AP genoegen met dat antwoord genomen.

Hoewel je je af kan vragen of dat wel helemaal klopt.

 

Zowel de hoofd website, de e-mail, alsmede de "secure upload facility" voor het uploaden van medische data bij het bedrijf in kwestie lopen via IP-adressen die toebehoren aan de cloudaanbieder.

 

Quote

$ host mrdm.nl
mrdm.nl has address 104.199.42.204
mrdm.nl mail is handled by 10 aspmx2.googlemail.com.
mrdm.nl mail is handled by 10 aspmx3.googlemail.com.
mrdm.nl mail is handled by 5 alt1.aspmx.l.google.com.
mrdm.nl mail is handled by 5 alt2.aspmx.l.google.com.
mrdm.nl mail is handled by 1 aspmx.l.google.com.

$ whois 104.199.42.204
[...]
NetRange:       104.196.0.0 - 104.199.255.255
CIDR:           104.196.0.0/14
NetName:        GOOGLE-CLOUD

[...]

$ host upload.mrdm.eu         
upload.mrdm.eu is an alias for loadbalancer.mrdm.eu.
loadbalancer.mrdm.eu has address 35.204.205.189
$ whois 35.204.205.189

[...]

NetRange:       35.192.0.0 - 35.207.255.255
CIDR:           35.192.0.0/12
NetName:        GOOGLE-CLOUD

[...]

 

Dat heeft er toch de schijn van dat er wel ietsje meer via de cloudaanbieder loopt dan dat deze enkel als backend voor de opslag van versleutelde data zou dienen.

 

 

Hoe het ook zij, het mag duidelijk zijn dat op het moment dat de TS kiest voor een hosted CRM oplossing, de aanbieder ook de webinterface om de gegevens in te kunnen zien host, en deze bij de gegevens kan.

Kan daarbij toch moeilijk ook een verhaal gaan ophangen dat die uitsluitend versleutelde data opslaan waar ze zelf niet bij kunnen.

 

[Branko Collin]

Op 23-10-2020 om 21:44, prinsrachid zei:

Aan de andere kant lijkt het er ook op dat de Autoriteit Persoonsgegevens niet altijd reden ziet om te handhaven bij het gebruik van Google clouddiensten, als je je kennelijk 'zorgvuldig genoeg' opstelt.

 

Dit was vóór de gerechtelijke uitspraak die het Europese 'privacy shield' onderuitschoffelde. Je mag ervan uit gaan dat een handhaver de courante wetten handhaaft.

 

Een concreet antwoord op de oorspronkelijke vraag wordt deels al in de in diezelfde vraag gelinkte blogpost gegeven: onderzoek de alternatieven. Ik deel Arnoud Engelfriet's pessimisme niet: voor heel veel websites lijkt Matomo me bijvoorbeeld een prima alternatief.

 

(Het bedrijf Matomo maakt er trouwens reclame mee dat hun datacenter in Duitsland staat.)

 

En verder zou ik zeggen: vraag het aan je aanbieders. Waar staan je servers? Kun je garanderen dat mijn gegevens de EU niet verlaten? Enzovoort.