Archief - In de marge van het economische nieuws

Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.

JPV

Legacy Member
Oldskooler zei:
Ach, als men die wet heel strikt toepast, zullen heel wat KMO's vallen.

Die hebben niet de kennis, en het geld, om alle mogelijke lekken te gaan dichten, en een deftige policy uit te werken.

Ze kunnen tegen Maria zeggen dat ze bepaalde excels met gevoelige data in, niet op de netwerkschijf mag zetten waarop elke medewerker kan. Maar daar blijft het bij.

Wat zeg je dan van verenigingen... Die hebben pas een probleem.

Of scholen, waar heeeeel vaak heerlijk gevoelige informatie aanwezig is.

jack|herrer

Legacy Member
JPV zei:
Wat zeg je dan van verenigingen... Die hebben pas een probleem.

Of scholen, waar heeeeel vaak heerlijk gevoelige informatie aanwezig is.
Voor die problemen zijn ze dan ook een beetje zelf verantwoordelijk. De GDPR is er namelijk al 2 jaar, maar pas vanaf deze maand wordt het effectief afdwingbaar. Maar iedereen is er zo lang mogelijk blind voor geweest.

SithCloud

Legacy Member
jack|herrer zei:
Voor die problemen zijn ze dan ook een beetje zelf verantwoordelijk. De GDPR is er namelijk al 2 jaar, maar pas vanaf deze maand wordt het effectief afdwingbaar. Maar iedereen is er zo lang mogelijk blind voor geweest.

yupppp

beryl

Legacy Member
jack|herrer zei:
Voor die problemen zijn ze dan ook een beetje zelf verantwoordelijk. De GDPR is er namelijk al 2 jaar, maar pas vanaf deze maand wordt het effectief afdwingbaar. Maar iedereen is er zo lang mogelijk blind voor geweest.

Ook omdat het ook best wel moeilijk is om te schatten hoe gdpr precies moest ingevuld worden. Eerlijk gezegd denk ik dat kleine bedrijven; verenigingen, en ook scholen die gekozen hebben om de kat uit de boom te kijken en geen consultants en dergelijke aangenomen hebben om zich in orde te stellen er financieel beter aan gedaan gaan hebben dan degene die wel direct op de kar gesprongen zijn. Nationale overheden gaan geen prioriteit maken van het beboeten van KMO's, sommige landen heb dat zelfs als min of meer letterlijk aangegeven. Als het zover komt gaan er eerst nog talloze waarschuwingen en rapporten en dergelijke komen vooraleer er op dat niveau echt bestraft wordt.

De regels zijn bewust zo gemaakt dat ze voor interpretatie vatbaar zijn en ik denk dat het binnen een paar jaar wel duidelijk zal zijn dat de regels een stuk lakser geïnterpreteerd zullen worden dan velen nu doen. Je moet er ook rekening mee houden dat er nog weinig of niets concreet is van hoe overheden die regels gaan toepassen en afdwingen, bijna alle info die nu beschikbaar is is afkomstig van advocaten en consultants, die verdienen nu goed geld aan die regels en hebben er dan ook belang bij om alles wat op te kloppen.

Het zullen vooral de echt grote bedrijven zijn die gaan moeten opletten (en die zijn meestal ook al meer in orde).

bassie82

Legacy Member
JPV zei:
Wat zeg je dan van verenigingen... Die hebben pas een probleem.

Of scholen, waar heeeeel vaak heerlijk gevoelige informatie aanwezig is.

Onderwijs heeft ambtsgeheim.

In mijn deel van onderwijs zitten we zelfs met beroepsgeheim.
Smartschool is een beschermde omgeving dus alle data daar zou veilig moeten zijn.

Enkel omdat wij met beroepsgeheim zitten en nog meer gevoelige info moeten wij een andere omgeving maken waar nog meer bescherming op zit zeker qua toegang.

SithCloud

Legacy Member
bassie82 zei:
Onderwijs heeft ambtsgeheim.

In mijn deel van onderwijs zitten we zelfs met beroepsgeheim.
Smartschool is een beschermde omgeving dus alle data daar zou veilig moeten zijn.

Enkel omdat wij met beroepsgeheim zitten en nog meer gevoelige info moeten wij een andere omgeving maken waar nog meer bescherming op zit zeker qua toegang.

Ambtsgeheim en beroepsgeheim hebben al niets met gdpr te maken. Die definieert enkel maar 2 (of 3 misschien) categoriën aan persoonsgegevens: gewone en gevoelige. Kinderen vallen sowieso onder gevoelig.

Dat die invloed hebben op nationale implementatie: sure. Maar weeral: gdpr maakt daar geen onderscheid.

Dat van die 2de omgeving is zo één van de draconische maatregelen dat mensen zichzelf opleggen in naam van gdpr. Maakt echt geen bal uit. Smartschool zal sowieso mogen: je hebt toch perfecte role based access control en je kan 2 factor instellen. De gegevens zijn reeds "gevoelig" dus ze moeten al de "best mogelijke bescherming" hebben.

Een 2de omgeving is gewoon uw ict-co onnodig belasten :) . Ik denk dat je een pak meer "offline en onbeschermde" zaken zoals excel-sheets met punten op gaat terugvinden op de persoonljke laptops van leerkrachten dan wat anders.

Maar bon. Ik zie het wel vaak gebeuren dat bedrijven onlogische implementaties uitvoeren in naam van gdpr.


ps: tenzij smartschool technisch echt geen onderscheid kan maken en teveel mensen toegang krijgen tot bepaalde data kan ik het wel aannemen. Maar bij mijn weten zou dat niet hoeven.

Dus jij werkt voor het CLB? Want gewone leerkachten en directie hebben enkel ambtsgeheim.

JPV

Legacy Member
jack|herrer zei:
Voor die problemen zijn ze dan ook een beetje zelf verantwoordelijk. De GDPR is er namelijk al 2 jaar, maar pas vanaf deze maand wordt het effectief afdwingbaar. Maar iedereen is er zo lang mogelijk blind voor geweest.

Je kan maar zelf verantwoordelijk zijn als je ook de middelen krijgt om eraan te werken. Wij zijn een school die in de praktijk nauwelijks een scholengemeenschap heeft (die is verspreid over het ganse land, zodat je weinig concrete ondersteuning hebt). Wij hebben een 15-tal leerkrachten, niet ICT-opgeleid, 1 kinderbegeleidster, 1 directeur en 1 zorgcoördinator. Ik doe daar nu zelf de GDPR omdat er niemand anders is die er ook maar iets van snapt. En middelen vanuit de overheid hebben we niet gekregen daarvoor, behalve een klein brochureke. Een consultant kost ons per uur ongeveer 0,5% van ons jaarbudget. Dat is zelfmoord als we zo iemand enkele dagen laten werken bij ons.

Gezien het zo onduidelijk is hoe je het precies moet aflijnen, kon je niet direct beginnen, dus eerder beginnen ging ook niet.

bassie82 zei:
Onderwijs heeft ambtsgeheim.

In mijn deel van onderwijs zitten we zelfs met beroepsgeheim.
Smartschool is een beschermde omgeving dus alle data daar zou veilig moeten zijn.

Enkel omdat wij met beroepsgeheim zitten en nog meer gevoelige info moeten wij een andere omgeving maken waar nog meer bescherming op zit zeker qua toegang.
CLB?

Het gaat verder dan het stuk school/lesgeven hoor. Ook facturatie, oudervereniging, verzekeringen, ... zijn allemaal zaken die met GDPR te maken hebben.

Het nut van een aparte verwerkersovereenkomst met de autoverzekering voor onze vrijwilligers, ontgaat me...

SithCloud

Legacy Member
JPV zei:
Je kan maar zelf verantwoordelijk zijn als je ook de middelen krijgt om eraan te werken. Wij zijn een school die in de praktijk nauwelijks een scholengemeenschap heeft (die is verspreid over het ganse land, zodat je weinig concrete ondersteuning hebt). Wij hebben een 15-tal leerkrachten, niet ICT-opgeleid, 1 kinderbegeleidster, 1 directeur en 1 zorgcoördinator. Ik doe daar nu zelf de GDPR omdat er niemand anders is die er ook maar iets van snapt. En middelen vanuit de overheid hebben we niet gekregen daarvoor, behalve een klein brochureke. Een consultant kost ons per uur ongeveer 0,5% van ons jaarbudget. Dat is zelfmoord als we zo iemand enkele dagen laten werken bij ons.

Gezien het zo onduidelijk is hoe je het precies moet aflijnen, kon je niet direct beginnen, dus eerder beginnen ging ook niet.


CLB?

Het gaat verder dan het stuk school/lesgeven hoor. Ook facturatie, oudervereniging, verzekeringen, ... zijn allemaal zaken die met GDPR te maken hebben.

Het nut van een aparte verwerkersovereenkomst met de autoverzekering voor onze vrijwilligers, ontgaat me...

het katholiek onderwijsw as toch redelijk recent in gang geschoten met een goeie website en wat folders

fyi: de lokale personen zijn nooit verantwoordelijk op zijn minst :p de koepels zijn dat

jack|herrer

Legacy Member
JPV zei:
Gezien het zo onduidelijk is hoe je het precies moet aflijnen, kon je niet direct beginnen, dus eerder beginnen ging ook niet.
.

Dat is toch geen excuus om je niet comform een wet te stellen.

Ik snap ook geen hol van belastingen, moet ik die dan niet betalen?

heb het hier al eerder gezegd:

Het is zelfs voor veel advocaten niet duidelijk omdat de wet niet letterlijk zegt wat wel mag en wat niet mag.
Ieder bedrijf moet een eigen interpretatie neerschrijven van hoe ze denken de GDPR te moeten invullen en dan handelen naar die eigen richtlijnen. Alles (data inventaris, processen, disclaimers, consents, draaiboeken, etc. )moet perfect gedocumenteerd zijn en dan kom je al heel ver ook al ben je op 25 mei niet 100% compliant.

Dat hoeft niet veel te kosten. Iemand die een interpretatie op papier zet, inventaris maakt en processen op stelt. Dat kan iedereen. als dat gedaan is zal je niet snel in de problemen komen

JPV

Legacy Member
SithCloud zei:
het katholiek onderwijsw as toch redelijk recent in gang geschoten met een goeie website en wat folders

fyi: de lokale personen zijn nooit verantwoordelijk op zijn minst
emoji14.png
de koepels zijn dat

Ik zie nergens dat juridisch vaststaat dat koepels verantwoordelijk zijn. Tot dan blijft de verwerker van gegevens verantwoordelijk, lijkt me.

Katholiek onderwijs is idd goed bezig, heb ik gehoord. Helaas (toch daarvoor) behoren wij niet tot het katholieke net :(. En als school in het vrij onderwijs heb je dan niet veel backup.

beryl

Legacy Member
jack|herrer zei:
Dat hoeft niet veel te kosten. Iemand die een interpretatie op papier zet, inventaris maakt en processen op stelt. Dat kan iedereen. als dat gedaan is zal je niet snel in de problemen komen

Dat klinkt anders ook wel redelijk als "wij weten het ook niet meer, we schrijven alles op en hopelijk laten ze ons passeren als ze zien dat we er wat moeite ingestoken hebben". Want wat je hier voorstelt zal ook maar zelden voldoende zijn om je conform de wet te stellen.

jack|herrer

Legacy Member
beryl zei:
Dat klinkt anders ook wel redelijk als "wij weten het ook niet meer, we schrijven alles op en hopelijk laten ze ons passeren als ze zien dat we er wat moeite ingestoken hebben". Want wat je hier voorstelt zal ook maar zelden voldoende zijn om je conform de wet te stellen.

Ik zeg ook nergens dat het voldoende zal zijn, maar het is alleszins een heel mooi beging voor verenigingen en kmo's. Zelfs voor ons als multinational hebben we het zo aangepakt op aanraden van 1 van de grotere advocaten kantoren van NL. Dit is inderdaad het begin voor alles.

De authoriteit persoonsgegevens kan zelf nog niet zeggen hoe het moet dus dit is de enige manier om het juist op te pakken. een meerjaren roadmap naar GDPR compliancy. Dit zijn miljoenen projecten in grote bedrijven en daar gaat alles niet zo snel. Als je laat zien wat je gedaan hebt en wat je nog gaat doen zit je gewoon safe de eerste tijd, zo simpel is het.

beryl

Legacy Member
jack|herrer zei:
Ik zeg ook nergens dat het voldoende zal zijn, maar het is alleszins een heel mooi beging voor verenigingen en kmo's. Zelfs voor ons als multinational hebben we het zo aangepakt op aanraden van 1 van de grotere advocaten kantoren van NL. Dit is inderdaad het begin voor alles.

De authoriteit persoonsgegevens kan zelf nog niet zeggen hoe het moet dus dit is de enige manier om het juist op te pakken. een meerjaren roadmap naar GDPR compliancy. Dit zijn miljoenen projecten in grote bedrijven en daar gaat alles niet zo snel. Als je laat zien wat je gedaan hebt en wat je nog gaat doen zit je gewoon safe de eerste tijd, zo simpel is het.

Maar als klein bedrijf of kleine vereniging zit je waarschijnlijk net zo safe als je gewoonweg nog niets gedaan hebt, dus op dat vlak lijkt wat JPV zijn school doet qua risico niet gevaarlijker dan een groot bedrijf dat op dit moment enkel een roadmap en wat analyses kan voorleggen.

jack|herrer

Legacy Member
beryl zei:
Maar als klein bedrijf of kleine vereniging zit je waarschijnlijk net zo safe als je gewoonweg nog niets gedaan hebt, dus op dat vlak lijkt wat JPV zijn school doet qua risico niet gevaarlijker dan een groot bedrijf dat op dit moment enkel een roadmap en wat analyses kan voorleggen.

De kans is idd zeer klein, maar dat is ook maar tot ze langs komen omdat iemand klacht heeft ingediend of omdat er een data lek ontstaand is.

SithCloud

Legacy Member
JPV zei:
Ik zie nergens dat juridisch vaststaat dat koepels verantwoordelijk zijn. Tot dan blijft de verwerker van gegevens verantwoordelijk, lijkt me.

Katholiek onderwijs is idd goed bezig, heb ik gehoord. Helaas (toch daarvoor) behoren wij niet tot het katholieke net :(. En als school in het vrij onderwijs heb je dan niet veel backup.

wel omdat - in geval van katholieke scholen - zij hun gegevens verwerken volgens de regels opgelegd door hun koepel. Dus de koepel heeft iemand die dat beleid uittekent en dat is de eindverantwoordelijke.

Niet de ict-co's of lokale mensen die het uitvoeren. in geval van het katho zijn dat deze mensen: https://www.katholiekonderwijs.vlaa...tabeheer/informatieveiligheid-plan-van-aanpak


Eigenlijk zie het zo: degene wiens kop rolt is de dienst of persoon verantwoordelijk voor de gegevensbescherming. Dus de CIO / CTO of zelfs de CEO, nooit iemand onderaan de ladder

SithCloud

Legacy Member
beryl zei:
Dat klinkt anders ook wel redelijk als "wij weten het ook niet meer, we schrijven alles op en hopelijk laten ze ons passeren als ze zien dat we er wat moeite ingestoken hebben". Want wat je hier voorstelt zal ook maar zelden voldoende zijn om je conform de wet te stellen.

Interpretatie is een verkeerd woord dat em daar gebruikt. Maar je moet inderdaad op papier gezet hebben waar uw gegevens staan, over welke risico's je nagedacht hebt etc ..


In principe had elk bedrijf al een deel van die documentatie moeten hebben: your standard risk management.

dee

Legacy Member
Oldskooler zei:
Uiteindelijk vooral ook jobcreatie.

Een data officer verplicht.
Je kan ook één inhuren.

Een dure péé, en als het dan achteraf weer allemaal niet goed werkt, firewall die vanalles tegenhoudt om een stom vb te geven, ticketje aanmaken en wachten en weer dik betalen.

Creeërt allemaal afhankelijkheden, en complexiteit en nog meer frustraties.


En dan heb je de lokale nerd die dat toch allemaal weer omzeilt.

Ik zie bij veel bedrijven dat de HR manager ook data officer wordt.
Echt iemand gaan aanwerven om dat op een bureautje te spelen zie ik niet snel gebeuren.

SithCloud

Legacy Member
dee zei:
Ik zie bij veel bedrijven dat de HR manager ook data officer wordt.
Echt iemand gaan aanwerven om dat op een bureautje te spelen zie ik niet snel gebeuren.

den hr manager? vreemde keuze maar allez. Ge kunt ook gewoon een consultant inhuren he

DPO AS A SERVICE LOOOOOOOOOOOOOOOL *knal mezelf door het hoofd bij het horen van alweer een AAS variant*

dee

Legacy Member
SithCloud zei:
den hr manager? vreemde keuze maar allez. Ge kunt ook gewoon een consultant inhuren he

DPO AS A SERVICE LOOOOOOOOOOOOOOOL *knal mezelf door het hoofd bij het horen van alweer een AAS variant*

Bij veel bedrijven is het personeelsregister de grootste bron van persoonlijke gegevens.
Wie is verantwoordelijk voor dit? De HR manager. Wie krijgt dit in zijn boot geschoven? De HR manager.
GDPR compliant zijn is een verplichting waar niet veel mensen geld aan willen uitgeven hoor.

Met de IT sector bv heb je een hele grote groep van uitzonderingen omdat het linken met databases een integraal onderdeel is van onze informatiemaatschappij.
Dit is zeker niet de norm.

JPV

Legacy Member
SithCloud zei:
den hr manager? vreemde keuze maar allez. Ge kunt ook gewoon een consultant inhuren he

DPO AS A SERVICE LOOOOOOOOOOOOOOOL *knal mezelf door het hoofd bij het horen van alweer een AAS variant*
Hr manager is in vele bedrijven een van de weinigen die al met wetgeving én met persoonlijke data moet omgaan. Niet onlogisch dus.
Het archief is een bevroren moment uit een vorige versie van dit forum, met andere regels en andere bazen. Deze posts weerspiegelen op geen enkele manier onze huidige ideeën, waarden of wereldbeelden en zijn op sommige plaatsen gecensureerd wegens ontoelaatbaar. Veel zijn in een andere tijdsgeest gemaakt, al dan niet ironisch - zoals in het ironische subforum Off-Topic - en zouden op dit moment niet meer gepost (mogen) worden. Toch bieden we dit archief nog graag aan als informatiedatabank en naslagwerk. Lees er hier meer over of start een gesprek met anderen.
Terug
Bovenaan