Hoe krijg ik security op de kaart bij mijn kinderopvang?

| AE 13099 | Informatiemaatschappij, Privacy | 5 reacties

congerdesign / Pixabay

Een lezer vroeg me:

Onze kinderen gaan naar de kinderopvang. Het bureau gebruikt hiervoor een SaaS-platform van een derde, met daarin dus alle persoonsgegevens (inclusief bsn en benodigde gezondheidsinformatie). Maar meer dan een wachtwoord wordt er niet gebruikt, en je mag zo te zien onbeperkt wachtwoorden proberen. Ik maak me daar grote zorgen over, ik zie dit zo gehackt worden. Wat kan ik doen, zijn er juridische middelen?
Er zijn vele, vele pakketten en diensten als deze. Nu we als maatschappij graag onze zaakjes zo veel mogelijk online willen regelen, is het logisch dat er allerhande portalen, apps en diensten komen waarmee dat kan. En die slaan dan dus al die gegevens op, die vaak wettelijk nodig zijn (zoals bsn bij kinderopvang) of waarzonder men niet kan werken (zoals allergie-gegevens).

Er zijn tegelijk maar weinig wettelijke kaders. De AVG is natuurlijk de bekendste. Deze bepaalt dat zulke gegevens goed beschermd moeten zijn, maar schrijft geen specifieke security-eisen voor. Je moet zelf, op basis van de situatie, de kosten en de te verwachten bedreigingen, een afweging maken om het zo goed mogelijk op orde te maken.

Er is ook geen toezichthouder die preventief je platform komt screenen of een audit komt uitvoeren. Of zelfs maar komt eisen dat jij een audit laat uitvoeren of wat dan ook. Wie het heel treurig wil formuleren, komt dus tot de conclusie dat alles AVG proof is totdat blijkt dat dat niet zo is. Door een hack of datalek dus. Ik word daar inderdaad niet vrolijk van.

En natuurlijk, dan mag de kinderopvang de rommel opruimen en de schade vergoeden. Want ook als ze dit zonder enige kennis van digitale zaken inkopen, zij blijven onder de AVG de verwerkingsverantwoordelijke en zij zijn aansprakelijk voor alles dat er mis gaat. (Op papier kunnen ze dat verhalen op de leverancier, of ze dit in de onderhandelingen van het servicelevelcontract afdwingen blijft natuurlijk giswerk.)

Als je als ouder een vermoedelijk datalek of ander probleem zit, kun je dat natuurlijk aankaarten. Alleen lastig: het bureau kan er niets mee, want die heeft de kennis niet. En de leverancier van het platform is vaak lastig bereikbaar voor de eindklanten, of heeft er weinig belang bij theoretische risico’s snel op te pakken.

Dus veel praktische oplossingen zijn er niet. Specifiek bij kinderopvang is er wellicht nog de route van de oudercommissie, die bij het bureau kan aankaarten dat er zorgen leven en of er wat anders bedacht kan worden. Mijn gevoel is dat bij veel van dergelijke commissies de zorg om digitale veiligheid niet heel hoog is, maar het is het proberen waard.

Arnoud

Welke responstijd heeft een SaaS-dienst zonder SLA?

| AE 12931 | Ondernemingsvrijheid | 6 reacties

Een lezer vroeg me:

Ik ben een kleine ondernemer en net gestart met een software-as-a-service dienst. Het voelt nog wat vroeg om harde SLA’s aan klanten aan te bieden, maar waar sta ik als dat niet doe? Aan welke getallen zit ik dat vast, hoe bereken je dat?
Een service level agreement of SLA is bedoeld om concrete afspraken te maken tussen een leverancier en afnemer, bijvoorbeeld over beschikbaarheid van een SaaS-dienst of de reactiesnelheid bij problemen of storingen. Dat concrete is handig, omdat je dan geen discussie krijgt over “te laat” of “te langzaam” iets oppakken. Daar staat natuurlijk tegenover dat je dan wel concreet dat getal moet leveren, ook als dat eigenlijk niet past bij je bedrijf. Dus ik snap dat kleine bedrijven dit liever niet doen.

Als je geen expliciete afspraken maakt, dan kom je als hoofdregel uit bij wat de wet de redelijkheid en billijkheid noemt. Je ziet dat ook wel in de algemene voorwaarden van SaaS-diensten: Leverancier zal zich inspannen een redelijk niveau van beschikbaarheid te leveren. Dat is genoeg, het enige is natuurlijk dat je dan bij een klagende klant héle lange discussies kunt krijgen over wat een redelijk niveau is en waarom jouw downtime op dinsdagmiddag 14:30 daar wel of niet onder valt.

Aanvullend geldt daarbij de gewoonte (art. 6:248 lid 1 BW), wat je kunt zien als wat gebruikelijk is in de branche waarin je opereert. Als daar een bepaald percentage gebruikelijk is, dan moet jij dat ook leveren. Ik ken alleen niet echt dergelijke gebruiken in welk deel van de software-as-a-service markt, ik zou juist willen zeggen dat de gewoonte is om zonder SLA alleen zo’n “redelijk inspannen” toezegging te doen.

Het is overigens prima om een getalsmatige toezegging te doen zonder een ding van twintig kantjes dat “Service Level Agreement” heet erbij te leveren. Leverancier zal zich inspannen de beschikbaarheid per maand op 98% of meer te houden. En vaak zie je dat het de klanten niet eens gaat om die beschikbaarheid, maar om andere dingen:

  • Leverancier zal onderhoud beperken tot de nachtelijke uren en/of het weekend.
  • Leverancier zal onderhoud met downtime vooraf aankondigen.
  • Leverancier zal Klant continu op de hoogte houden van de voortgang van het wegnemen van het probleem.
Ik zou als kleine ondernemer dan ook eerder daarvoor kiezen. Je klanten worden een stuk tevredener als ze weten dat jij ze persoonlijk begeleidt en informeert, en echt zelf ook wil dat ‘ie het nu weer doet.

Arnoud

Ben ik verwerker bij de accounts van mijn klanten?

| AE 12634 | Privacy | 7 reacties

Een lezer vroeg me:

Zoals heel veel SaaS-diensten bied ik accounts aan voor bedrijfsmatig gebruik: één account per gebruiker, maar gekoppeld via een bedrijfsabonnement. Ben ik nu verwerker voor de gegevens in die accounts?
Het valt me inderdaad op dat vele SaaS-dienstverleners denken dat ze verwerker zijn omdat ze persoonsgebonden accounts hebben. Dat is alleen te kort door de bocht. Mogelijk komt dit door een spraakverwarring: je verwerkt dan wel persoonsgegevens, maar je bent pas verwerker als je dat doet in opdracht van een ander (de verwerkingsverantwoordelijke).

Wanneer ik een dienst afneem, en daarbij zijn mijn persoonsgegevens nodig (bijvoorbeeld voor een account + facturatie, of voor het tonen van mij als gebruiker aan andere gebruikers) dan is de dienstverlener gewoon de verwerkingsverantwoordelijke. Hij bepaalt immers wat er gebeurt met die gegevens van mij: waar worden ze getoond, wie heeft er toegang toe en waar mogen ze worden ingezet.

Ik zou die dienst namens mijn bedrijf kunnen afnemen. Dan kunnen ook collega’s een account krijgen binnen het bedrijfsaccount, en normaliter betaal ik dan maar één keer. Dit verandert alleen nog niets aan de situatie voor verwerkerschap: de dienstverlener bepaalt nog steeds wat er gebeurt met al die persoonsgegevens, van zowel mij als van mijn collega’s. Hij blijft dan dus verwerkingsverantwoordelijke.

Een dienstverlener wordt verwerker wanneer het verwerken van de persoonsgegevens onderdeel is van de dienst, want het juridisch criterium is dat ik als klant doel en middelen vaststel. Het triviale voorbeeld is een personeelsadministratie: ik upload dan een set personeelsgegevens met bijvoorbeeld loongegevens, en de SaaS-dienst genereert loonstroken. Voor die set is men dan verwerker, want ik bepaal wat ik upload (welke personeelsleden, welke gegevens) en waarom (ik wil loonstroken).

De accounts om toegang te krijgen tot de dienst zijn volgens mij geen onderdeel van de dienst, zodat daarvoor geen verwerkersovereenkomst met de klanten nodig is. Zolang de leverancier/dienstverlener zelf bepaalt wat hij doet met die accounts, is hij daar zelf verwerkingsverantwoordelijke voor.

Arnoud

Waarom willen klanten van SaaS-maatwerk toch altijd het IE hebben?

| AE 11999 | Intellectuele rechten | 19 reacties

Een lezer vroeg me: Ik ontwikkel SaaS-oplossingen op maat, op basis van mijn eigen basisapplicatie. Elke keer weer krijg ik discussie met de klant (meestal zijn advocaat, trouwens) dat ze het IE van het maatwerk willen hebben. Als ik dan zeg dat ze daar niets aan hebben, omdat ik de basisapplicatie in beheer heb, dan… Lees verder

Mijn werkgever blokkeert mijn thuisverbinding omdat ik een TOR relay heb

| AE 11757 | Ondernemingsvrijheid | 21 reacties

Een lezer vroeg me: De dienstverlener van een SaaS administratie-pakket voor de zakelijke markt blokkeert/blacklist de thuisverbinding van een werknemer omdat deze een TOR node draait. De helpdesk weigert dit IP-adres te whitelisten en stelt dat de werknemer zichzelf van de blacklist zal moeten laten verwijderen, wat zou betekenen dat de node offline moet. Mag… Lees verder

Moet je echt bij elke internetdienst een bewerkersovereenkomst sluiten?

| AE 9217 | Privacy | 12 reacties

Een lezer vroeg me: Wij maken zakelijk gebruik van applicaties en software in de cloud. Mijn vraag is nu echter of je echt met iedere cloud leverancier een bewerkersovereenkomst moet afsluiten? Iedere applicatie verwerkt namelijk op de een of andere manier wel persoonsgegevens, de ene meer dan de ander. In sommige gevallen gaat het enkel… Lees verder

En nu eisen sitevoorwaarden ook al je eerstgeboren kind op

| AE 8802 | Informatiemaatschappij | 7 reacties

Gaan we weer: hee kijk, niemand leest websitevoorwaarden, zelfs als je erin zet dat je je eerstgeboren kind moet afstaan, gaat iedereen blindelings akkoord. Dat las ik bij Ars Technica. Leuk nieuwtje weer, maar wat mij betreft nieuwswaarde nul. Al sinds het begin van internet staat iedere site bol van de gebruiksvoorwaarden. Ergens wel logisch,… Lees verder

Is de Amazon cloud nu wel veilig voor Europese persoonsgegevens?

| AE 7575 | Informatiemaatschappij | 13 reacties

De Europese privacytoezichthouders hebben Amazon’s clouddienst privacytechnisch goedgekeurd, las ik op diverse media. Daarmee zou Amazon Web Services ineens da juridische bomb (oké, The Register) zijn. Het ligt iets subtieler: de contracten waaronder Amazon werkt, zijn voorzien van juridische clausules over export en gebruik van persoonsgegevens door Amazon. En die clausules zijn goedgekeurd, zodat Amazon… Lees verder

Ik wil een kopie van mijn clouddata van de curator!

| AE 5207 | Informatiemaatschappij | 42 reacties

Een lezer vroeg me: Wij nemen een clouddienst af waar onze klantdata (contactgegevens en dergelijke) mee beheerd wordt. Maar nu is de clouddienstverlener failliet en de dienst dus uit de lucht. De hostingpartij heeft nog wel een kopie van de data, maar hij wil deze niet afstaan tenzij we fors gaan betalen. De curator wil… Lees verder

KPN aansprakelijk voor verloren clouddata, ondanks algemene voorwaarden

| AE 6739 | Informatiemaatschappij | 18 reacties

Cloudprovider KPN moet een schadevergoeding betalen voor in de cloud (online backup) opgeslagen gegevens die bij een accountmigratie verloren zijn gegaan. Hun algemene voorwaarden die hun aansprakelijkheid beperken, zijn onredelijk bewarend. Dat bepaalde de rechtbank Den Haag in een onlangs gepubliceerd vonnis (via). De eiser uit deze zaak had een eenmanszaak gericht op fysiotherapie, sportmassage… Lees verder