DSGVO

Die Datenschutz-Grundverordnung (DSGVO), auch bekannt als General Data Protection Regulation (GDPR), befasst sich mit der sicheren Speicherung von Daten im Zusammenhang mit personenbezogenen Daten. Das Gesetz wurde zum Schutz der privaten Daten geschaffen. Unter privaten Daten verstehen wir alle Daten, die mit einer Person in Verbindung gebracht werden können, wie Name, E-Mail-Adresse, IP-Adresse, Bankkartendaten, Passwörter, Ausweiskopien, Finanzdaten, medizinische und soziale Daten. Mit dieser neuen Gesetzgebung möchte die EU vor allem den Bürgern die Kontrolle über ihre persönlichen Daten zurückgeben. Es ist daher wichtig, dass Ihre Infrastruktur so eingerichtet ist, dass ein Datenverlust (der auch als Datenschutzverletzung gilt) verhindert wird. Sie müssen nachweisen können, dass Sie im Rahmen des Möglichen und Zumutbaren alles getan haben, um einen Datenverlust zu verhindern.

DSGVO in Kürze:

  • Schutz der personenbezogenen Daten der europäischen Bürger
  • Maßnahmen gegen Hackerangriffe, Datenverlust und Datenlecks
  • Verfahren zur Erhebung und Speicherung personenbezogener Daten
  • Einholung der Zustimmung zur Erhebung und Verwendung von Daten
  • Der Einzelne hat das Recht, vergessen zu werden
  • Verstärkte Sicherheitsmaßnahmen sind notwendig
  • Datenschutzverletzung muss innerhalb von 72 Stunden gemeldet werden
  • Die nationalen Behörden können Geldbußen verhängen
  • In großen Organisationen muss ein Datenschutzbeauftragter (DSB) ernannt werden
  • Daten dürfen nicht ohne Grund aufbewahrt werden. Sie sollten nicht mehr Daten als unbedingt nötig speichern

DSGVO und Annahmen

Mein Lieferant ist ein großer/bekannter/Marktführer, kann ich also davon ausgehen, dass er gut organisiert ist?

Für wen gilt die DSGVO?

Sie gilt für alle Unternehmen, die:

  • Niederlassung in der EU
  • Sie sind außerhalb der EU niedergelassen, bieten aber Waren und/oder Dienstleistungen für EU-Bürger an.
  • Sammlung personenbezogener Daten und/oder Überwachung des Verhaltens von EU-Bürgern

Wann dürfen Sie die Daten einer betroffenen Person speichern?

  • Wenn Sie die Erlaubnis der betroffenen Person haben
  • Es ist von entscheidender Bedeutung = Leben oder Tod
  • Um Ihren rechtlichen Verpflichtungen nachzukommen
  • Es wird ausdrücklich vereinbart
  • Berechtigtes Interesse. Kommerzielle Zwecke sind kein berechtigtes Interesse!

Aannamen, Datenschutz und Sicherheit

Annahmen, wo liegt das Problem?
Sollten Sie für einen Datenverlust haftbar gemacht werden, bietet der Einwand „Mein Lieferant ist groß/bekannt/Marktführer, also kann ich davon ausgehen, dass er gut organisiert ist“ wenig Schutz. In der Tat wird es eine sehr kurze Geschichte sein. Leider wird in der IKT viel vorausgesetzt. Wir gehen davon aus, dass die Administratoren gutgläubig sind, obwohl viele Cloud-Anbieter nicht wissen, wer Zugang zu ihnen hat. Wir gehen davon aus, dass das Netz sicher ist, weil wir einen guten IKT-Lieferanten haben. Wir gehen davon aus, dass die Verschlüsselung standardmäßig eingeschaltet ist, während sie standardmäßig ausgeschaltet ist.

Das Problem ist natürlich, dass die Sicherheit ein Hindernis sein kann und Sie wahrscheinlich nicht beurteilen können, ob es sicher ist oder nicht. Einem Anbieter blind zu glauben, ohne zu fragen, ist jedoch nicht der richtige Weg. „Sie haben es gesagt“ ist eine schlechte Verteidigung. Und deshalb haben wir unsere Arbeitsweise einfach online gestellt. Schließlich sollte es kein Geheimnis sein, wie wir unsere Arbeit gut machen. Den vollständigen Text können Sie lesen unter https://www.tuxis.nl/policies

Sie speichern auch persönliche Daten

Wahrscheinlich sammeln Sie bereits Daten. Denken Sie an Formulare auf Ihrer Website, die Anmeldung von Besuchern zu einer Veranstaltung oder einen Webshop, der Adressdaten speichert. Aber auch Ihre E-Mail kann personenbezogene Daten enthalten. Dateien und auch Ihre Buchhaltung enthalten oft personenbezogene Daten. Sogar Ihr Adressbuch auf Ihrem Mobiltelefon fällt unter diese Rechtsvorschriften.
Daher ist es wichtig, dass die gesamte Kommunikation verschlüsselt und die Daten sicher aufbewahrt werden. Gehen Sie davon aus, dass alle Daten wertvoll sind und NICHT aufbewahrt werden sollten.

Standaard bei Tuxis: „Datenschutz durch Design“

In den Rechtsvorschriften zur Datenschutz-Grundverordnung wird betont, dass die Architektur und das Design von Informationssystemen das Konzept des „privacy by design“ umsetzen müssen. Dies bedeutet, dass nicht nur die Sicherheit und der Schutz von Informationen, sondern auch die Verwaltungsprozesse und -verfahren unter diesem Gesichtspunkt gestaltet werden müssen. Dies wird schwerwiegende Auswirkungen auf jede Phase des Lebenszyklus von Informationssystemen mit datenschutzrelevanten Informationen haben. Dies ist auch eines der größten Probleme, mit denen die Unternehmen konfrontiert sind. Ihre Informationsinfrastrukturen werden in der Regel ohne Berücksichtigung dieses Aspekts konzipiert und eingerichtet.

Es ist nie zu spät, Ihren Entwurf mit uns durchzugehen. Dann können wir gemeinsam feststellen, wo wir Engpässe sehen und was wir anders machen würden.

Die verschiedenen Parteien der DSGVO

  1. Betroffene Person
    Die betroffene Person ist der Eigentümer der Daten. Es sind die personenbezogenen Daten der betroffenen Person, die geschützt werden müssen.
  2. Verantwortliche Partei
    Die Person, die entscheidet, was gespeichert wird und wie es verwendet wird. In unserem Fall sind das Sie.
  3. Prozessor/Subprozessor
    Die Person, die Zugang zu den Daten haben kann oder die Daten speichert. Das ist unsere Aufgabe für unsere Kunden.

Gefahr: Mitverantwortlich

Vielleicht gibt es eine verantwortliche Partei, von der Sie nichts wissen. Jeder, der bestimmt, was gespeichert wird und was mit den Daten geschieht, ist verantwortlich. Wenn Sie also der Meinung sind, dass Ihr Lieferant Ihre Daten nicht verwendet, es aber trotzdem tut, dann ist er mitverantwortlich. Ein Dienstleister, der z. B. ein Textverarbeitungsprogramm, eine Mail-Lösung, eine Website-Statistik oder einen Dateispeicherdienst anbietet und die Daten nach Werbung oder Statistiken durchsucht, ist ebenfalls verantwortlich. Unabhängig davon, ob sie die Daten tatsächlich weitergeben oder Sie darüber informiert haben, sind sie nun mitverantwortlich.

In diesem Fall sind Sie und Ihr Lieferant verantwortlich. Das bedeutet, dass der Verarbeitungsvertrag, den Sie von diesem Anbieter erhalten haben, nicht mehr gültig ist. Sie können nicht Verarbeiter und Verantwortlicher für einen Dienst sein. Wenn Daten nach außen dringen, kann die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) selbst entscheiden, welche verantwortliche Partei sie zur Rechenschaft ziehen und eine Geldstrafe verhängen will. Sie werden sich für den einfachsten Anbieter entscheiden, und das ist nicht der große Anbieter.

Dies ist natürlich ein großes Risiko der öffentlichen Cloud. Wenn ein Anbieter die Daten scannt und dann irgendwo angibt, dass er 60.000.000 Adressen speichert, ist das schon Grund genug, um als Verarbeiter zu gelten.

Private Cloud?

Vielleicht verstehen Sie, warum wir immer für eine private Cloud plädiert haben, obwohl wir auch öffentliche Cloud-Dienste anbieten. Wir scannen oder sammeln Ihre Daten nicht in unseren öffentlichen Cloud-Diensten und bleiben daher ein Auftragsverarbeiter. Unser Geschäftsmodell besteht daher nicht darin, Daten zu sammeln (siehe Gefahr: Mitverantwortung). Die Sicherheit einer privaten Cloud ist viel einfacher, weil man viel weniger Annahmen treffen muss, und sie entspricht daher dem Prinzip „privacy by design“. Außerdem ist sie in der Regel billiger als eine öffentliche Cloud. Mit anderen Worten: eine Win-Win-Situation.

Was wir in der Cloud für Sie erledigen können:

  • Sicherheit im Netzwerk
  • Sicherheit der Infrastruktur
  • Speicherung und Sicherung
  • Verschlüsselung der Daten
  • Physische Sicherheit des Rechenzentrums

Einschlägige Unterlagen

Die nachstehende Dokumentation ist für Sie relevant.

  • Privacy policy Wir speichern Daten über Sie, weil Sie ein Kunde sind und wir die Rolle des Datenverantwortlichen für diese Daten haben.
  • Allgemeine Geschäftsbedingungen (AGB) Wir sind Auftragsverarbeiter, weil wir Daten für Sie speichern. Der Verarbeitungsvertrag ist im Anhang zu unseren Allgemeinen Geschäftsbedingungen enthalten.
  • Sensible use policy Welche Arten von Daten Sie in welchem Produkt speichern können, wird hier beschrieben. Sie erklärt auch, wie wir die Sicherheit der Daten gewährleisten.
  • Allgemeine policies Die Richtlinien, nach denen wir arbeiten.

Wenden Sie sich bitte an uns, wenn Sie sich nicht sicher sind, ob die von Ihnen genutzten Dienste Ihren Anforderungen an die Datensicherheit entsprechen.


Betrouwbaar


Onafhankelijk

Passende
dienstverlening

Korte
contracten

1 vacature