Google is misschien wel een Amerikaanse partij, maar als zij de data opslaan in een server park in Groningen is dat voldoende voor ze om te zeggen dat het niet buiten Europa gaat?

En voor veel mensen zou een overeenkomst tussen de werkgever en Google niets waard zijn omdat ze Google niet vertrouwen. Ik geloof alleen niet dat dat juridisch iets uitmaakt. Zolang het contractueel goed zit heb je alleen nog recht om een rechtzaak te beginnen tegen Google/je werkgever als het mis gaat.

Er gebeurt steeds meer op dat gebied, het is gewoon een glijdende schaal of misschien beter een hellend vlak.

Toevallig werd er gisteren onder de lunch over gediscussieerd door "niet IT'ers". De gemeente is onlangs verhuisd naar
een te klein pand met flexplekken, "de mensen werken steeds meer thuis". Daarbij rees de vraag of de medewerkers
van de gemeente dan thuis alle dossiers van de burgers kunnen inzien en wat er gedaan zou zijn aan de beveiliging
daarvan. Ik schat in dat ze thuis werken met een remote desktop/citrix waarmee ze dezelfde rechten hebben als wanneer
ze binnen zijn. Voor bepaalde medewerkers betekent dat dus dat die heel veel persoonlijke info kunnen inzien. Dat is
vast niet afhankelijk van de plek van waaraf ze inloggen.

Is dat thuis een groter risico dan binnen? Aan de ene kant zeg je van wel, aan de andere kant kan een medewerker met
briefje met een naam/nr erop natuurlijk binnen ook wel vanalles opzoeken en doorspelen wat eigenlijk niet mag.

Je bent gewoon afhankelijk van de integriteit van de medewerker en/of zijn ambtseed of belofte.
Het is echter aan te nemen dat iemand die thuis zit makkelijker te bewegen is om iets te doen (doordat er bijvoorbeeld
een bekende op bezoek komt) dan iemand op kantoor.

En uiteraard staat alles ook allang ergens bij een datacenter opgesteld, waarvan je niet weet waar het is en wie er allemaal
bij kunnen. Wet of geen wet, het verandert allemaal stapje voor stapje, ieder stapje is onschuldig maar de risico's op
een ramp(je) worden wel steeds groter.

Nee. Ze vallen nog steeds onder Amerikaanse wet, in het bijzonder de PATRIOT act, en de Amerikaanse overheid heeft zoiets van, als wij zeggen dat we die data hebben willen, dan krijgen we die ook. Dus als een Nederlandse rechter weet waar hij het over heeft kan hij het niet maken om in zo'n argument mee te gaan.

Hmm, de Wbp gaat alleen maar over of *Google* het data opslaat of verwerkt buiten Europa. Dat een buitenlandse rechter er misschien bij zou kunnen zegt de Wbp niks over (dat ik kan vinden iig).

Je refereert waarschijnlijk aan de lopende zaak waar Microsoft weigert emails te leveren die op een server in Ireland staan, terwijl een rechter zegt dat het moet. Voor zover ik weet heeft Microsoft het nog niet gedaan, maar wij moeten nog zien hoe de zaak verloopt.

Toegang tot informatie moet met een passende maatregelen gebeuren. Als je ongecontroleerde thuiswerkplekken toegang geeft tot de informatie bijv. middels Citrix dan moet je ook een passende beveiligingsniveau op de thuiswerkplekken hebben afgedwongen.

Als jij als werknemer thuis nog een Windows XP machine hebt staan waar je graag op werkt en de betreffende gemeente staat toe dat die machine bij vertrouwelijke informatie kan door bijv. gebruik te maken van een Citrix verbinding dan kun je in mijn optiek niet meer spreken van een passend beveiligingsniveau naar stand der techniek. Immers vormt de XP machine een makkelijke sprinkplank naar de Citrix omgeving van de gemeente, door een keylogger te installeren en de gebruikersnaam en wachtwoord af te vangen kan op een zeer gemakkelijke wijze toegang verkregen worden tot de informatiesystemen van de gemeente.

Maar dan nog ... dan is de gemeente fout, een boete zullen ze niet krijgen en slachtoffer zullen ze ook niet echt worden. De mensen potentieel slachtoffer worden zitten in het database en hebben geen idee dat de gemeente op een dergelijk lakse manier met hun persoonsgegevens omgaat.

Uiteraard ben je voor een gedeelte afhankelijk van de integriteit van de medewerker, maar een zeer groot deel van deze risico's is makkelijk in te perken of af te vangen.

Echter wanneer remote toegang niet goed hebt ingeregeld is kan informatie een eigen leven gaan leiden. Zoals je zelf al zegt kunnen medewerkers makkelijker iemand mee laten kijken, de informatie uitprinten of een scherm afdruk maken en thuis opslaan. Maar ook een kopie van documenten kan op de harde schijf van de medewerker worden opgeslagen, vervolgens duikt het document ergens op en je wilt weten waar dit gelekt is. Je denkt alleen aan de gemeente maar stiekem heeft de medewerkers een kopie gemaakt waardoor uniciteit van informatie verdwenen is ....

Als het goed is weet men, precies in welke data center hun informatie staat tenzij ze gebruik maken van vage cloud diensten (in mijn optiek zijn clouddiensten alleen bedoeld voor particulieren en kleinbedrijf dat geen eigen omgeving kan betalen). Ze weten als het goed is precies wie er werkt, en wie toegang hebben of hebben gehad tot de informatie, fysiek en digitaal.

Je kunt je ook afvragen of remote toegang noodzakelijk is en überhaupt wettelijk wel kan met informatie die de gemeente verwerkt. Op de vraag of remote toegang tot de informatie noodzakelijk is kun je al heel snel zeggen; NEE. Maar zal men zeggen; dan kan men helemaal niet thuis werken. En daarvan zou je af kunnen vragen of dit uberhaupt wel moet kunnen, immers lenen sommige beroepen zich voor thuiswerk, maar ik zou het toch echt niet prettig vinden als de gemiddelde medewerker van een gemeente bij hem of haar thuis met mijn kopieën van mijn ID aan de slag gaat bijv.

Doordat de gemeente bewust een "te klein pand" koopt en vervolgens zegt dat daarom thuis gewerkt mag worden houd dit feitelijke in dat de gemeente probeert te besparen op uitgaven door het risico's van betrokkenen ongevraagd te verhogen tot een niveau dat waarschijnlijk onacceptabel is.

Op kantoor kun nog enigszins zien wat er met informatie gebeurt, maar bij een werknemers thuis kan die persoon iets uitprinten en vervolgens bij het oude papier van de scouting leggen, daar gaan je persoonsgegevens. Dit zou op kantoor minder snel gebeuren. Een computer die opstart zonder gebruikersnaam of wachtwoord kom je op kantoor niet tegen (de kans is erg klein) terwijl een gemiddelde thuis configuratie er zo uit ziet.... zo kunnen we een wasslijst opstellen met voordelen die een kantoor wel heeft en een gemiddelde thuiswerkplek niet.

Onzin, het feit dat Google onder die wet de gegevens naar de VS *kan* brengen wil niet zeggen dat opslag op systemen van Google in Nederland niet zou mogen. Jij gaat er vanuit dat de rechter moet kijken naar hypothetische omstandigheden die in de toekomst zouden kunnen plaats vinden.

Zolang er geen concrete informatie is dat de data daadwerkelijk die kant op is gegaan, dan kan een rechter daar verder helemaal niets mee.

De WBP geeft aan wat persoonsgegevens zijn en aan welke eisen de beveiliging moet voldoen. Het gaat niet in op het feit waar Google haar data opslaat. Als de data in groningen staat opgeslagen geld de WBP bij de verwerking van data, maar omdat de partij Amerikaans is moeten tegemoet komen aan een verzoek van de Amerikaanse autoriteiten.

Het opslaan van persoonsgegevens buiten de EU is inprincipe verboden door Europese wetgeving en niet zo zeer in Nederlandse wetgeving. Wanneer ik een werknemers bestand op sla in Google drive kan dat conform de Europese wetgeving worden gezien als het exporteren van persoonsgegevens buiten de EU, ook als voldoet de opslag en verwerking aan alle eisen die de WBP stelt. Maar precies zoals Arnoud schrijft, dit beperkt zich vaak tot theorie...

Dat hangt nogal af van de wijze waarop je die verbinding maakt; gaat het enkel om een gebruikersnaam en wachtwoord ? Of heb je ook een smartcard nodig, een token die een one time password genereert, of andere zaken die een keylogger ineffectief maken ?

Is Google bij het leveren van deze diensten dan een gegevensbewerker ? Volgens mij bewerken zij niet de gegevens van deze klant ?

Waarschijnlijk niet,want google is de grootste antiprivacy reus ter wereld,met het vergaren van data.
Het lijkt mij geen fijn gevoel als je werkgever dat met Google doet.

@Anoniem 16:15: Google is wel een bewerker. Zij slaan de gegevens op, maken deze geschikt voor verdere verwerking en bieden een mooie tool waarmee dat kan. Al diehandelingen zijn voorbeeldn van 'verwerken' en dat gebeurt op wens van de klant (het bedrijf) dús is Google de bewerker.

Ik weet niet hoe groot jullie bedrijf is maar wellicht kan de ondernemingsraad hier iets mee in de richting van de werkgever.
Daarmee voorkom je dat je op individuele basis toestemming moet geven. De ondernemingsraad doet dit dan namens alle werknemers.

De toegang is uiteraard beveiligd met 2-factor authenticatie. De veiligheid van het systeem waarvanaf ingelogd wordt
is niet echt een issue, zeker niet voor toegang door derden. Als er een keylogger is die een wachtwoord opslaat dan
zal dit wachtwoord voor de kraker geen toegang geven want die heeft niet het bijbehorende token.
Wellicht kan een gekraakt systeem alles wat de medewerker ziet doorspelen aan iemand, maar daar houdt het dan
wel mee op (als de Citrix omgeving verder goed ingericht is).

Het gaat veel meer om de factor mens. Waarbij je dus moet denken aan het thuis toch iets makkelijker dingen doen
die niet mogen dan op kantoor. Zoals inderdaad die afvoer van papier, maar ook het "even voor de vriendin kijken wie
toch die enge overbuurman is".

Het is niet zo dat de gemeente "een te klein pand koopt en dan maar zegt dat de mensen thuis moeten gaan werken"
maar de gemeente "houdt rekening met de ontwikkelingen dat steeds meer mensen thuis gaan werken waardoor er
minder werkplekken nodig zullen zijn". Nu op dit moment knelt dat flink, maar dat zou zich wel oplossen. Wellicht
zijn ze ook wel voornemens flink wat ambtenaren weg te bezuinigen.

Net als de bank die zegt "we gaan 1/3 van de kantoren sluiten want er komt niemand meer langs".

Het ligt er aan welk contract het bedrijf met Google heeft. Als de data in de prive Gdrive van de directeur staat, heeft hij een probleem. Als het bedrijf een Google Apps for Work heeft afgenomen, en daarbij de voor de EU geldende bijlagen heeft ondertekend, is het toegestaan. Voor Google Apps zijn namelijke addenda gemaakt waarin verwerkersovereenkomsten conform de EU richtlijnen zijn opgenomen.

Gegevens in Google Apps worden bovendien niet geanalyseerd om profielen te maken voor advertenties o.i.d. De enige scans die daarop plaatsvinden zijn anti-spam en anti-virus (zoals iedere provider dat doet) en om het eenvoudig te maken om snel in je documenten te zoeken (zoals Apple dat ook op je iPhone doet).

Opvragen van informatie gebeurt over de hele wereld. Google krijgt wereldwijd minder vorderingen dan het aantal onderzoeken dat de AIVD alleen al in Nederland doet. Wie denkt dat je informatie in Nederland veilig is voor de NSA, moet zijn hoofd eens uit het zand halen.

Peter

Misschien heb je hier iets aan..:
ShareCrypt is een applicatie waarmee dit soort bestanden in de cloud encrypted worden kunnen.
http://www.securstar.com/products_sharecrypt.php

Dan heeft men wat betreft de authenticatie het al beter voor elkaar als menig organisatie. Hoe goed je het ook in regelt de risico bij bij een thuiswerkplek zijn vrijwel altijd groter en uiteindelijk komt alles neer op risico management. Een gemeente kan niet failliet door bijv. reputatieschade na verlies of uitlekken van een database. Vanuit die optiek is het risico op uitlekken en verlies voor de bedrijfsvoering van gemeente zelfs acceptabel te noemen mits is voldaan aan de wetgeving zoals de WBP. Best een rare situatie eigenlijk, immers kan de schade voor de betrokkene onacceptabel groot zijn....



Bovenstaande vind ik echter een zeer rare uit spraak. De ontwikkeling binnen de gemeente heeft de gemeente zelf in de hand, het is niet zo dat de medewerkers gaan bepalen hoeveel mensen er gaan thuis werken.

Dus of; de gemeente koopt bewust een te klein pand en gaat vervolgens haar medewerkers dwingen naar een thuiswerkplek, of de gemeente weet stiekem al meer als jou en gaat personeel ontslaan. In dat geval is het echter raar om voor een nieuwe pand te kiezen, aangezien de gemeente steeds meer werkzaamheden naar zich toegeschoven krijgen en het aantal inwoners per gemeente nog steeds stijgt. Daarnaast moet je een nieuw pand opnieuw inrichten en dit zal hoge kosten met zich mee brengen, zeker gezien het feit dat bij de meeste gemeentes er meer geld naar de kunst op de muur gaat dan naar goed personeel en goede informatiesystemen.........

Even een stukje uit de EULA van google:
<EULA>
Wanneer u inhoud uploadt naar, toevoegt aan, opslaat in, verzendt naar of ontvangt in of via onze Services, verleent u Google (en degenen met wie we samenwerken) een wereldwijde licentie om dergelijke inhoud te gebruiken, te hosten, op te slaan, te reproduceren, aan te passen, afgeleide werken daarvan te maken (zoals afgeleide werken als gevolg van vertalingen, aanpassingen of andere wijzigingen die we aanbrengen om ervoor te zorgen dat uw inhoud beter werkt met onze Services), te communiceren, te publiceren, openbaar uit te voeren, openbaar weer te geven en te distribueren. De rechten die u verleent in deze licentie, zijn bedoeld voor het beperkte doel om onze Services uit te voeren, te promoten en te verbeteren en om nieuwe Services te ontwikkelen. Deze licentie behoudt haar geldigheid, ook als u uw gebruik van onze Services staakt (bijvoorbeeld voor een bedrijfsvermelding die u heeft toegevoegd aan Google Maps). Bepaalde Services kunnen u mogelijkheden bieden om toegang te verkrijgen tot inhoud die aan de betreffende Service is toegevoegd en deze te verwijderen. Bovendien bevatten sommige van onze Services voorwaarden of instellingen die de reikwijdte van ons gebruik van inhoud die is toegevoegd aan die Services verder beperken. Controleer of u over alle benodigde rechten beschikt om ons deze licentie te verlenen voor alle inhoud die u toevoegt aan onze Services.
</EULA>
Volgens mij mogen ze de informatie, die ik upload, openbaar maken. Dus volgens mij mag je dan, als HR geen persoonlijk informatie opslaan op google.
BRON:http://www.google.com/policies/terms/

Het helpt niet dat in het artikel geen onderscheid gemaakt wordt tussen de twee soorten services die Google aanbied. De geuite bedenkingen, bezwaren en protesten hebben betrekking op de gratis versie van Google apps. Hierbij geeft Google inderdaad aan dat ze de opgeslagen gegevens (binnen bepaalde grenzen) mogen (her) gebruiken.

Daarnaast is er Google for work (of education, of Non-profit). Dit is een betaalde versie en bevat dezelfde apps, maar waarvoor een geheel andere ULA geldt. Hierbij geeft Google heel expliciet aan niets te doen met de opgeslagen data. Dit wordt o.a. gevat in de ISO/IEC 27001:2013 standaard waar deze service van Google aan voldoet. Er kan ook afgedwongen worden dat de data binnen de EU grenzen blijft.

Direct in verweer komen als een werkgever Google gebruikt is dus nogal prematuur. Het hangt af van de soort service waar gebruik van gemaakt wordt, de gratis of de betaalde versie.