Mag je als it-leverancier standaard back-ups maken en een tarief rekenen als de klant deze nodig heeft?
woensdag 24 juli 2024, 11:49 door Arnoud Engelfriet, 22 reacties
Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: Met enige regelmaat ontdekken wij dat niet alle klanten behoefte hebben aan back-ups van hun Office 365-omgevingen. Meestal gaat het dan om budgetkwesties, maar toch maken we ons zorgen gezien de impact die een verloren omgeving zónder back-up kan geven. Nu hadden wij bedacht om voor al onze klanten een back-upoplossing uit te rollen, waarbij we pas geld vragen als de klant deze nodig heeft. Op dat moment begrijpen ze de waarde van een back-up zeker wel. Is dit toegestaan?
Antwoord: Het verzorgen van goede back-ups van data (of dienstverlening) van een klant is eigenlijk altijd een goed idee. Ik durf anno 2024 wel zo ver te gaan door te zeggen dat dit gewoon deel is van je zorgplicht. Een klant verwacht van jou dat er back-ups zijn. Dit is zó gebruikelijk en de impact van geen back-ups is zó enorm, dat je er nauwelijks onderuit kunt.
Natuurlijk, het is mogelijk om af te zien van back-ups. Maar dat moet dan wel heel expliciet gebeuren. Dus doorvragen en expliciet op papier zetten. Het liefst inclusief waarom: de klant heeft al een eigen back-up oplossing, deze dienst is niet bedrijfskritisch, als de data verloren gaat is er geen man overboord. Let op: dit is dus niet hetzelfde als "we hebben in artikel 17.3 Algemene Voorwaarden bepaald dat we geen back-ups maken".
Hier wil de leverancier het omgekeerde doen: juist wél back-ups maken, ook als de klant dat eigenlijk niet wil. Of nou ja, zonder na te gaan of de klant het wil. Ik zie daar in principe geen probleem mee, juist vanwege het enorme voordeel dat het de klant oplevert als de back-up toch noodzakelijk blijkt. Natuurlijk zit je met zaken als vertrouwelijkheid en AVG, maar een goede informatiebeveiliging rondom die back-ups moet dat kunnen oplossen.
Het grootste probleem lijkt me het tarief op het moment dat de data weg blijkt. Dat zal al heel snel overkomen als er een slaatje uit willen slaan. De klant zit in nood, er is een back-up, dat kostte nooit wat en nú wil je X duizend euro voor het terugzetten? Als deze zaak net voor de lunch bij de rechter komt, dan sta je niet heel sterk als dienstverlener.
Ik val dan weer terug op de zorgplicht. Daar hoort ook bij dat je de klant voorlicht en duidelijk maakt wat er nodig is. Back-ups moeten dus onderdeel zijn van dat gesprek. Je kunt daarin prima een back-up meenemen als de defaultoptie: we doen dit gratis voor het geval dat, de restorekosten zijn X. Wil de klant dat niet, dan haal je het eruit mét een motivatie waarom de klant het niet wil. Zegt de klant niets, dan blijft het staan. Maar dan is het besproken, en dán wordt het een stuk redelijker allemaal.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Reacties (22)
24-07-2024, 12:00 door
Anoniem
Wat het natuurlijk extra complex maakt is dat Office365 al voorziet in allerlei "disaster recovery" backups, dwz je hoeft geen rekening te houden met de bekende on-premise risico's zoals brand, disks gecrashed (was wel RAID maar er lette nooit iemand op ofdat er al disks gefaald hadden), dommigheid van de gebruiker (hele map leeg gegooid en dat later op de dag ontdekt) enz enz.
Daar is allemaal al in voorzien.
Waarom zou je dan nog backuppen? Eigenlijk alleen voor:
- rampen bij Microsoft. als er daar wat fout gaat ("een logische fout" zou CrowdStrike zeggen) kan het zijn dat alles weg is.
- terug halen van data die al maanden weg was (bijv een medewerker is vertrokken, account is verwijderd, en pas bij de jaarafsluiting komt iemand er achter dat er toch nog belangrijke files of mails in dat account stonden)
- evt om nog heel oude versies te hebben in geval van juridische conflicten e.d.
Ik kan me voorstellen dat sommige klanten geen geld over hebben voor backups. En dat ze zelfs klanten zijn die blindelings aannemen dat Microsoft het allemaal al 100% geregeld heeft.
Daar is allemaal al in voorzien.
Waarom zou je dan nog backuppen? Eigenlijk alleen voor:
- rampen bij Microsoft. als er daar wat fout gaat ("een logische fout" zou CrowdStrike zeggen) kan het zijn dat alles weg is.
- terug halen van data die al maanden weg was (bijv een medewerker is vertrokken, account is verwijderd, en pas bij de jaarafsluiting komt iemand er achter dat er toch nog belangrijke files of mails in dat account stonden)
- evt om nog heel oude versies te hebben in geval van juridische conflicten e.d.
Ik kan me voorstellen dat sommige klanten geen geld over hebben voor backups. En dat ze zelfs klanten zijn die blindelings aannemen dat Microsoft het allemaal al 100% geregeld heeft.
24-07-2024, 12:01 door
Anoniem
Ik zou zeggen, backups maken zonder toestemming is echt niet oké.
Zeker als de klant specifiek aangeeft geen backups te willen!
Laat ze vooraf weten dat je backups maakt voor het geval dat, maar omdat de klant geen backups wil ze dit niet in rekening word gebracht totdat ze zich realiseren dat ze alles kwijt zijn en alsnog die backup nodig hebben.
Zeker als de klant specifiek aangeeft geen backups te willen!
Laat ze vooraf weten dat je backups maakt voor het geval dat, maar omdat de klant geen backups wil ze dit niet in rekening word gebracht totdat ze zich realiseren dat ze alles kwijt zijn en alsnog die backup nodig hebben.
24-07-2024, 13:05 door
Anoniem
Door Anoniem: Ik zou zeggen, backups maken zonder toestemming is echt niet oké.
Zeker als de klant specifiek aangeeft geen backups te willen!
Laat ze vooraf weten dat je backups maakt voor het geval dat, maar omdat de klant geen backups wil ze dit niet in rekening word gebracht totdat ze zich realiseren dat ze alles kwijt zijn en alsnog die backup nodig hebben.
Dat is data van een bedrijf ongevraagd je toeeigenen, wat je terug geeft tegen betaling op het moment dat het bedrijf dat nodig heeft.Zeker als de klant specifiek aangeeft geen backups te willen!
Laat ze vooraf weten dat je backups maakt voor het geval dat, maar omdat de klant geen backups wil ze dit niet in rekening word gebracht totdat ze zich realiseren dat ze alles kwijt zijn en alsnog die backup nodig hebben.
Kwetsbaar is, dus.
Je zou het ook diefstal kunnen noemen.
24-07-2024, 13:05 door
Anoniem
Zonder toestemming? Hoe borg je dan vernietiging? En vertrouwelijkheid, helemaal als jij als leverancier een derde leverancier inzet? Dan is er niets contractueel in de keten vastgelegd t.a.v. mijn data. En indien er persoonsgegevens in verwerkt zijn, hoe zit het dan met doelbinding? En persoonsgegevens raakt het al snel. Zou het wel bizar vinden als een leverancier "zou" maar besluit dat hij kopieën van mijn data zou maken.
Sluit mij wel aan bij zorgplicht. Als leverancier ben je denk ik aansprakelijk als je geen herstel faciliteiten hebt. Ik zou als leverancier echt een disclaimer laten tekenen tot op hoogte bestuursniveau als een klant geen back-ups wilt hebben.
Sluit mij wel aan bij zorgplicht. Als leverancier ben je denk ik aansprakelijk als je geen herstel faciliteiten hebt. Ik zou als leverancier echt een disclaimer laten tekenen tot op hoogte bestuursniveau als een klant geen back-ups wilt hebben.
24-07-2024, 13:16 door
Anoniem
Ik zou weggaan als ik daar achter kwam.
Ik verzorg mijn eigen, uitgebreid en kwartaal live getest, backups/BCM omgeving, Cloud provider onafhankelijk.
Het lijkt wel een sociaal media opt out regime, net als met mijn auto/spullen, je blijft met je tengels van mijn data af.
En wat ik mis in het geheel, wie is er verantwoordelijk voor geïnjecteerde malware in een backup image?
Of waar kan ik een claim indienen wegens gestolen IP nadat een backup omgeving op straat is komen liggen?
En oja, als we dan toch voor alles en iedereen ongevraagd backups maken, laten we die dan meteen doorzoekbaar maken...
Ik verzorg mijn eigen, uitgebreid en kwartaal live getest, backups/BCM omgeving, Cloud provider onafhankelijk.
Het lijkt wel een sociaal media opt out regime, net als met mijn auto/spullen, je blijft met je tengels van mijn data af.
En wat ik mis in het geheel, wie is er verantwoordelijk voor geïnjecteerde malware in een backup image?
Of waar kan ik een claim indienen wegens gestolen IP nadat een backup omgeving op straat is komen liggen?
En oja, als we dan toch voor alles en iedereen ongevraagd backups maken, laten we die dan meteen doorzoekbaar maken...
24-07-2024, 13:38 door
Anoniem
Door Anoniem: Ik zou zeggen, backups maken zonder toestemming is echt niet oké.
Zeker als de klant specifiek aangeeft geen backups te willen!
Laat ze vooraf weten dat je backups maakt voor het geval dat, maar omdat de klant geen backups wil ze dit niet in rekening word gebracht totdat ze zich realiseren dat ze alles kwijt zijn en alsnog die backup nodig hebben.
Leuke theorie nu de realiteit.Zeker als de klant specifiek aangeeft geen backups te willen!
Laat ze vooraf weten dat je backups maakt voor het geval dat, maar omdat de klant geen backups wil ze dit niet in rekening word gebracht totdat ze zich realiseren dat ze alles kwijt zijn en alsnog die backup nodig hebben.
Er wordt hier voorbijgegaan aan het feit dat verlies van data onder de AVG al heel snel valt onder datalek melding in je bedrijfs dossier.
Klanten die geen back-up willen en zelf niks regelen of hebben ingeregeld hebben geen enkele zeggenschap hierover zolang ze dienst bij je afnemen wat onder managet hosting valt en over jouw infrastructuur gaat. Je dient te voldoen aan de AVG en daar valt gedegen back-ups met tot noodzakelijke bewaartermijn ook al heel gauw onder. Stupide genoeg is dat niet expliciet genoemd maar ja hoe wil je anders ongewenste vernietiging, verlies voorkomen wat je wel weer verplicht bent vanuit de AVG. Dus je hebt van uit de AVG de grondslag voor verplichting tot back-ups bij dienst afname om verlies te voorkomen en een meldplicht als een klant weigert de AVG expliciet te volgen.
Als je enkel unmanaget aanbiedt wordt het een gecompliceerder verhaal dan is de rol verdeling al vele malen meer richting de klant zelf. Maar zelfs dan nog zijn er goede redenen om back-ups te verplichten. Ondersteuning van malware cleanup bijvoorbeeld niet alleen ter bescherming van de klant zelf maar ook de rest van netwerk. Tenzij de klant weer zelf een provider hiervoor heeft of interne kennis valt dit ook nog steeds onder je verantwoordelijkheid als service provider. En ja je mag ook hier kosten van doorberekenen zolang je het maar vast legt in kleine lettertjes en specificeert als de klant dit zelf aanvraagd.
Maar hier is het antwoord dat je als provider gewoon altijd moet hanteren.
Een klant die weigert te betalen voor noodzakelijke diensten, geen goede reden heeft of eigen voorziening hiervoor en tevens niet luistert naar advisering van de partij met hopelijk kennis van zaken moet je niet als klant willen en de deur per direct wijzen.
Ze zijn je tijd, geld en irritatie niet waard als service provider. Laat sales maar betere klanten benaderen die niet hoofdpijn dossiers vormen.
24-07-2024, 13:53 door
Anoniem
Prima idee, zolang je er maar heel goed voor zorgt dat die backups veilig staan en ermee omgaat of het medisch geheim of advocatengeheim is. Of een verzegelde envelop bij de notaris. Erin kijken is als onder de rok van je buurvrouw kijken zonder vragen. Dat doe niet.
Mijn backup services zijn trouwens gratis. Mijn server is volledig redundant. Van sites en emails dagelijkse backups op de server. En elke dag even alles naar huis downloaden. Veilig huis, overal tralies (Spaans huis, rejas heet dat) dus veiliger dan de bank. In totaal drie backups dus. Maar ik reken er niks voor. Schijfruimte zat, onbeperkt dataverkeer. Mocht er wat mis gaan, juist dan zie ik het als een service naar mijn klanten. Het kost mij verder niks. Dus waarom zou ik daar geld voor durven vragen. Als iemand ineens in de penarie zit. Het zijn juist die momenten dat je klanten aan je bindt. Dat je een oplossing hebt maar dat die op dat moment mee4 van waarde is dan er extra kosten voor aan te rekenen. Wamt uit de penarie redden, daar koop ik vertrouwen mee. Continuiteit en mond op mond reclame. Dat vind ik meer dan genoeg betaald. Voor iets wat mij niks kost. Beetje tijd, maar is als dagelijks toch een wasje moeten draaien dus gelijk de rest ook in de trommel. Ik zou me echt schamen als een klant klem zit, om dan als enige die het op kan lossen, daar geld voor te vragen. Zelfs als de klant zelf wat doms gedaan heeft. Heb ik zelf ook wel eens gedaan.
Mijn backup services zijn trouwens gratis. Mijn server is volledig redundant. Van sites en emails dagelijkse backups op de server. En elke dag even alles naar huis downloaden. Veilig huis, overal tralies (Spaans huis, rejas heet dat) dus veiliger dan de bank. In totaal drie backups dus. Maar ik reken er niks voor. Schijfruimte zat, onbeperkt dataverkeer. Mocht er wat mis gaan, juist dan zie ik het als een service naar mijn klanten. Het kost mij verder niks. Dus waarom zou ik daar geld voor durven vragen. Als iemand ineens in de penarie zit. Het zijn juist die momenten dat je klanten aan je bindt. Dat je een oplossing hebt maar dat die op dat moment mee4 van waarde is dan er extra kosten voor aan te rekenen. Wamt uit de penarie redden, daar koop ik vertrouwen mee. Continuiteit en mond op mond reclame. Dat vind ik meer dan genoeg betaald. Voor iets wat mij niks kost. Beetje tijd, maar is als dagelijks toch een wasje moeten draaien dus gelijk de rest ook in de trommel. Ik zou me echt schamen als een klant klem zit, om dan als enige die het op kan lossen, daar geld voor te vragen. Zelfs als de klant zelf wat doms gedaan heeft. Heb ik zelf ook wel eens gedaan.
24-07-2024, 15:30 door
Anoniem
Ik heb als particulier altijd aangegeven naar mijn klanten toe, die door mij ingerichte vps'en krijgen, dat het leveren van een backup service een dure zaak is.
Als ik dat zou faciliteren dan moet ik mij daar ook voor verzekeren.
Zeker in het geval een backup restoren niet mogelijk blijkt en 'zij' ineens met een claim komen.
Ik heb dan ook liever dat mijn klanten eigen backups maken.
Daar naast geef ik wel aan dat ik persoonlijk wel backups maak, deze zijn in het geval ik een fout maak tijdens beheer werkzaamheden.
Mocht het nu echt nodig zijn voor de klant om mijn backups te raadplegen dan is dat natuurlijk geen probleem.
Maar het blijft dan wel best effort, omdat de verantwoordelijkheid voor backups bij de klant blijft.
Als ik dat zou faciliteren dan moet ik mij daar ook voor verzekeren.
Zeker in het geval een backup restoren niet mogelijk blijkt en 'zij' ineens met een claim komen.
Ik heb dan ook liever dat mijn klanten eigen backups maken.
Daar naast geef ik wel aan dat ik persoonlijk wel backups maak, deze zijn in het geval ik een fout maak tijdens beheer werkzaamheden.
Mocht het nu echt nodig zijn voor de klant om mijn backups te raadplegen dan is dat natuurlijk geen probleem.
Maar het blijft dan wel best effort, omdat de verantwoordelijkheid voor backups bij de klant blijft.
24-07-2024, 16:08 door
Anoniem
Door Anoniem: Wat het natuurlijk extra complex maakt is dat Office365 al voorziet in allerlei "disaster recovery" backups, dwz je hoeft geen rekening te houden met de bekende on-premise risico's zoals brand, disks gecrashed (was wel RAID maar er lette nooit iemand op ofdat er al disks gefaald hadden), dommigheid van de gebruiker (hele map leeg gegooid en dat later op de dag ontdekt) enz enz.
Daar is allemaal al in voorzien.
Waarom zou je dan nog backuppen? Eigenlijk alleen voor:
- rampen bij Microsoft. als er daar wat fout gaat ("een logische fout" zou CrowdStrike zeggen) kan het zijn dat alles weg is.
- terug halen van data die al maanden weg was (bijv een medewerker is vertrokken, account is verwijderd, en pas bij de jaarafsluiting komt iemand er achter dat er toch nog belangrijke files of mails in dat account stonden)
- evt om nog heel oude versies te hebben in geval van juridische conflicten e.d.
Ik kan me voorstellen dat sommige klanten geen geld over hebben voor backups. En dat ze zelfs klanten zijn die blindelings aannemen dat Microsoft het allemaal al 100% geregeld heeft.
Daar is allemaal al in voorzien.
Waarom zou je dan nog backuppen? Eigenlijk alleen voor:
- rampen bij Microsoft. als er daar wat fout gaat ("een logische fout" zou CrowdStrike zeggen) kan het zijn dat alles weg is.
- terug halen van data die al maanden weg was (bijv een medewerker is vertrokken, account is verwijderd, en pas bij de jaarafsluiting komt iemand er achter dat er toch nog belangrijke files of mails in dat account stonden)
- evt om nog heel oude versies te hebben in geval van juridische conflicten e.d.
Ik kan me voorstellen dat sommige klanten geen geld over hebben voor backups. En dat ze zelfs klanten zijn die blindelings aannemen dat Microsoft het allemaal al 100% geregeld heeft.
Microsoft zegt heel duidelijk dat de gebruiker zelf verantwoordelijk is voor het maken van back-ups. Alleen daarom zou je zelf al back-ups moeten maken. Ja, de geboden functionaliteit (versie beheer, retentie etc.) is mooi en dat beperkt de maken van eigen back-ups maar het wil niet zeggen dat je zelf niets meer hoeft te doen. De uitspraak die Microsoft doet is daar heel duidelijk in.
24-07-2024, 16:27 door
Anoniem
Door Anoniem:
Microsoft zegt heel duidelijk dat de gebruiker zelf verantwoordelijk is voor het maken van back-ups. Alleen daarom zou je zelf al back-ups moeten maken. Ja, de geboden functionaliteit (versie beheer, retentie etc.) is mooi en dat beperkt de maken van eigen back-ups maar het wil niet zeggen dat je zelf niets meer hoeft te doen. De uitspraak die Microsoft doet is daar heel duidelijk in.
Ja maar Microsoft claimt nooit dat de door hen geleverde diensten voor iets nuttigs kunnen worden ingezet.Microsoft zegt heel duidelijk dat de gebruiker zelf verantwoordelijk is voor het maken van back-ups. Alleen daarom zou je zelf al back-ups moeten maken. Ja, de geboden functionaliteit (versie beheer, retentie etc.) is mooi en dat beperkt de maken van eigen back-ups maar het wil niet zeggen dat je zelf niets meer hoeft te doen. De uitspraak die Microsoft doet is daar heel duidelijk in.
Zoals alle IT leveranciers. Kijk maar eens in een contract, er staat altijd in dat wat er geleverd wordt zonder enige vorm van garantie of aansprakelijkheid is en dat het mooi is als het werkt en doet wat je wilt maar indien niet dan vette pech voor jou.
Dus dergelijke uitspraken zeggen niets, diezelfde zul je ook aantreffen bij een backup leverancier.
24-07-2024, 16:41 door
Anoniem
Hier wil de leverancier het omgekeerde doen: juist wél back-ups maken, ook als de klant dat eigenlijk niet wil. Of nou ja, zonder na te gaan of de klant het wil. Ik zie daar in principe geen probleem mee, juist vanwege het enorme voordeel dat het de klant oplevert als de back-up toch noodzakelijk blijkt. Natuurlijk zit je met zaken als vertrouwelijkheid en AVG, maar een goede informatiebeveiliging rondom die back-ups moet dat kunnen oplossen.
Nee, de klant bepaalt te allen tijde. Dat kan een leverancier niet (stiekem) voor hen doen, tenzij het al deel uitmaakt van een overeenkomst. Die klant moet vooraf volledig worden ingelicht.
Uiteraard moet je al niet bij Microsoft aankloppen voor privacy. Dat woord is het grootste deel van de medewerkers onbekend of ongewenst. Maar dat begrijpt men in Nederland nog niet.
24-07-2024, 19:44 door
Anoniem
Door Anoniem: Ik zou weggaan als ik daar achter kwam.
Ik verzorg mijn eigen, uitgebreid en kwartaal live getest, backups/BCM omgeving, Cloud provider onafhankelijk.
Het lijkt wel een sociaal media opt out regime, net als met mijn auto/spullen, je blijft met je tengels van mijn data af.
En wat ik mis in het geheel, wie is er verantwoordelijk voor geïnjecteerde malware in een backup image?
Of waar kan ik een claim indienen wegens gestolen IP nadat een backup omgeving op straat is komen liggen?
En oja, als we dan toch voor alles en iedereen ongevraagd backups maken, laten we die dan meteen doorzoekbaar maken...
Ik heb hier ook gewoon klanten die het eigenlijk wel willen, en ik het ook adviseer, maar ze het uiteindelijk niet doen.Ik verzorg mijn eigen, uitgebreid en kwartaal live getest, backups/BCM omgeving, Cloud provider onafhankelijk.
Het lijkt wel een sociaal media opt out regime, net als met mijn auto/spullen, je blijft met je tengels van mijn data af.
En wat ik mis in het geheel, wie is er verantwoordelijk voor geïnjecteerde malware in een backup image?
Of waar kan ik een claim indienen wegens gestolen IP nadat een backup omgeving op straat is komen liggen?
En oja, als we dan toch voor alles en iedereen ongevraagd backups maken, laten we die dan meteen doorzoekbaar maken...
Gisteren, 08:25 door
Anoniem
Als deze zaak net voor de lunch bij de rechter komt, dan sta je niet heel sterk als dienstverlener.
Nogal een suggestieve opmerking dat een rechter anders beslist omdat tie honger heeft, denigrerend, onnodig, onvriendelijk, bevooroordelend. Ik mag hopen dat onze rechtstaat niet afhankelijk is van beslissingen die anders uitvallen als deze gemaakt zijn door hongerige rechters ter vegelijking met rechters die net hun lunch naar binnen hebben..
Er wordt hier voorbijgegaan aan het feit dat verlies van data onder de AVG al heel snel valt onder datalek
Heeft u hier ook een verwijzing naar dat aangeeft dat het verliezen van data in 'welke' gevallen een datalek is? U doet met de tekst 'al heel snel' het erop lijken dat het alleen in uitzonderlijke gevallen niet zo is.
Zorgplicht in de comemrciele IT, sorry, maar ik begin steeds meer het idee te krijgen dat u dit soort dingen invult naar eigen onderbuikgevoel! Zorgplicht is voor in de 'zorg', voor een zieke die hoe dan ook altijd recht heeft op zorg van een arts (die zich daarvoor met een eed toe heeft verplicht).
In de commerciele IT-wereld wordt op alle gebieden wat betreft de de IT-services afspraken gemaakt en onderlegd in SLA's en vervolgens opgenomen in een contract met handtekeningen eronder. En als backuppen dus niet is besproken, en dus niet in het contract is opgenomen, is het diefstal van bedrijfseigendommen. Je maakt -als IT-leverancier- ongevraagd een copy van (wie weet, zeer gevoelige) data, en een extra copy is extra risico dat deze data door derde bemachtigd kunnen worden.
Eigenhandig -als IT-serviece-leverancier- een backup maken zonder rotatie-agenda te bespreken, en daardoor niet wetende of data vernietigd dient te worden na een bepaalde periode kan er voor zorgen dat het bedrijf hierdoor zich niet meer aan de AVG houdt.
Bovendien is het vaak zo dat het terugzetten van data vanuit een backup meer inhoud dan alleen maar copieren van backuplocatie naar servertje 'xyz'.
Gisteren, 12:07 door
Anoniem
simpel, onder goede dienstverlening heb je een zorgplicht... zonder backups kun je daar niet aan voldoen, dus backups MOETEN altijd... geen backups, geen dienstverlening.
je hoeft niet de data te kunnen zien, maar je moet het wel terug kunnen zetten of verhuizen naar een andere server, farm, of platform.
ps, doe effe checken of je ook vrijwaringen erin hebt gezet, want het klinkt alsof je voorwaarden nog niet van 2024 (of 1980 for that matter) zijn...
* vrijwaring van virussen, door jezelf of door klant aangeleverd of via hackers (financiele, terroristische en statelijke actoren)
* vrijwaring van uitval bij overmacht (in beslagname door overheden/instanties, waterschade, brand enz)
je hoeft niet de data te kunnen zien, maar je moet het wel terug kunnen zetten of verhuizen naar een andere server, farm, of platform.
ps, doe effe checken of je ook vrijwaringen erin hebt gezet, want het klinkt alsof je voorwaarden nog niet van 2024 (of 1980 for that matter) zijn...
* vrijwaring van virussen, door jezelf of door klant aangeleverd of via hackers (financiele, terroristische en statelijke actoren)
* vrijwaring van uitval bij overmacht (in beslagname door overheden/instanties, waterschade, brand enz)
Gisteren, 13:02 door
Anoniem
Er zal snel ook persoonsinformatie in deze backup zitten. En wat is dan je verwerkingsgrondslag van die persoonsgegevens als je klant zelf die backup niet wil hebben?
Gisteren, 16:14 door
Anoniem
Nogal een suggestieve opmerking dat een rechter anders beslist omdat tie honger heeft, denigrerend, onnodig, onvriendelijk, bevooroordelend. Ik mag hopen dat onze rechtstaat niet afhankelijk is van beslissingen die anders uitvallen als deze gemaakt zijn door hongerige rechters ter vegelijking met rechters die net hun lunch naar binnen hebben.
Omtrent lunch kwestie (al was dat niet aan mij gericht) dat valt onder hungry judge effect dat is in detail onderzocht en voor grootste deel herzien. DOI:10.1017/S1930297500004812Heeft u hier ook een verwijzing naar dat aangeeft dat het verliezen van data in 'welke' gevallen een datalek is?
U doet met de tekst 'al heel snel' het erop lijken dat het alleen in uitzonderlijke gevallen niet zo is.
Zorgplicht in de comemrciele IT, sorry, maar ik begin steeds meer het idee te krijgen dat u dit soort dingen invult naar eigen onderbuikgevoel! Zorgplicht is voor in de 'zorg', voor een zieke die hoe dan ook altijd recht heeft op zorg van een arts (die zich daarvoor met een eed toe heeft verplicht).
In de commerciele IT-wereld wordt op alle gebieden wat betreft de de IT-services afspraken gemaakt en onderlegd in SLA's en vervolgens opgenomen in een contract met handtekeningen eronder. En als backuppen dus niet is besproken, en dus niet in het contract is opgenomen, is het diefstal van bedrijfseigendommen. Je maakt -als IT-leverancier- ongevraagd een copy van (wie weet, zeer gevoelige) data, en een extra copy is extra risico dat deze data door derde bemachtigd kunnen worden.
Eigenhandig -als IT-serviece-leverancier- een backup maken zonder rotatie-agenda te bespreken, en daardoor niet wetende of data vernietigd dient te worden na een bepaalde periode kan er voor zorgen dat het bedrijf hierdoor zich niet meer aan de AVG houdt.
Bovendien is het vaak zo dat het terugzetten van data vanuit een backup meer inhoud dan alleen maar copieren van backuplocatie naar servertje 'xyz'.
Tuurlijk al is dit basis kennis die elke ITer en bedrijfsvoerder, manager hoort te weten die data verwerkt.U doet met de tekst 'al heel snel' het erop lijken dat het alleen in uitzonderlijke gevallen niet zo is.
Zorgplicht in de comemrciele IT, sorry, maar ik begin steeds meer het idee te krijgen dat u dit soort dingen invult naar eigen onderbuikgevoel! Zorgplicht is voor in de 'zorg', voor een zieke die hoe dan ook altijd recht heeft op zorg van een arts (die zich daarvoor met een eed toe heeft verplicht).
In de commerciele IT-wereld wordt op alle gebieden wat betreft de de IT-services afspraken gemaakt en onderlegd in SLA's en vervolgens opgenomen in een contract met handtekeningen eronder. En als backuppen dus niet is besproken, en dus niet in het contract is opgenomen, is het diefstal van bedrijfseigendommen. Je maakt -als IT-leverancier- ongevraagd een copy van (wie weet, zeer gevoelige) data, en een extra copy is extra risico dat deze data door derde bemachtigd kunnen worden.
Eigenhandig -als IT-serviece-leverancier- een backup maken zonder rotatie-agenda te bespreken, en daardoor niet wetende of data vernietigd dient te worden na een bepaalde periode kan er voor zorgen dat het bedrijf hierdoor zich niet meer aan de AVG houdt.
Bovendien is het vaak zo dat het terugzetten van data vanuit een backup meer inhoud dan alleen maar copieren van backuplocatie naar servertje 'xyz'.
https://www.autoriteitpersoonsgegevens.nl/themas/beveiliging/datalekken/wat-is-een-datalek
Bij een datalek gaat het om toegang tot persoonsgegevens zonder dat dit mag of zonder dat dit de bedoeling is. Waarbij de oorzaak een inbreuk op de beveiliging van deze gegevens is. Ook het ongewenst vernietigen, verliezen, wijzigen of verstrekken van persoonsgegevens door zo’n inbreuk valt onder een datalek.
Soorten datalekken
Er zijn 3 soorten datalekken:
Inbreuk op de vertrouwelijkheid: persoonsgegevens zijn openbaar gemaakt of er is toegang geweest tot persoonsgegevens. Dit is gebeurd door iemand die daartoe niet bevoegd is. Of dit is per ongeluk gebeurd.
Inbreuk op de integriteit: persoonsgegevens zijn gewijzigd door iemand die daartoe niet bevoegd is. Of dit is per ongeluk gebeurd.
Inbreuk op de beschikbaarheid: de organisatie waar het datalek is (geweest) kan niet meer bij de persoonsgegevens komen. Of de gegevens zijn vernietigd. Dit is gebeurd door iemand die daartoe niet bevoegd is. Of dit is per ongeluk gebeurd.
Afhankelijk van de omstandigheden kan een datalek in meer dan een van deze categorieën vallen.
Beetje als dat een onderhuurder weigert te betalen voor een rookmelder of zelf eentje te plaatsen.
Leuk en aardig, maar dat bepaald dus niet de onderhuurder dat bepaalt de wet. En zodra je als verhuurder wel dat accepteert en er breekt brand uit zeg maar dag tegen je vergunningen en je verzekering en een fikse boete er bovenop.
Ik weet dan ook niet waar je het woord zorgplicht vandaan hebt gehaald, want ik heb hem zeker niet gezegd. Het valt gewoon onder verantwoordingplicht
Gisteren, 16:28 door
Anoniem
Ik weet dan ook niet waar je het woord zorgplicht vandaan hebt gehaald, want ik heb hem zeker niet gezegd. Het valt gewoon onder verantwoordingplicht
zorgplicht / verantwoordingsplicht, Gel*l, als ik de keuze maak voor geen behandeling aan een ziekte waar ik dood aan ga dan is dat MIJN keuze, net zoals het toestaan ongevraagd backups te maken van MIJN data, dat ik expliciet NIET wil is MIJN keuze. WTF ben JIJ dan wel om MIJ dit door de strot te duwen?
Gisteren, 16:51 door
nnsa
Het is al eerder genoemd: De AVG stelt eisen aan het beheren en beheersen van data. Het hieraan voldoen is de plicht van de Ondernemer. Dit kan de ondernemer uitbesteden aan zijn IT-leverancier en dient in de scope van de overeenkomst te zijn opgenomen. Op dat moment moet er ook een Verwerkingsovereenkomst met de IT-leverancier worden afgesloten.
De route andersom kan functioneel werken, maar die zou ik niet adviseren. De data én verantwoordelijkheid is (en blijft hopelijk) van de Ondernemer...
En dient bij grotere ondernemingen te worden vastgelegd in een BCP (Bedrijfs Continuïteits Plan).
De route andersom kan functioneel werken, maar die zou ik niet adviseren. De data én verantwoordelijkheid is (en blijft hopelijk) van de Ondernemer...
En dient bij grotere ondernemingen te worden vastgelegd in een BCP (Bedrijfs Continuïteits Plan).
Gisteren, 22:22 door
Anoniem
Door Anoniem:
Kwetsbaar is, dus.
Je zou het ook diefstal kunnen noemen.
Sowieso is het trekken van een kopie van een bestand geen diefstal. De eigenaar heeft immers dat bestand nog en kan er mee doen wat hij wil.Door Anoniem: Ik zou zeggen, backups maken zonder toestemming is echt niet oké.
Zeker als de klant specifiek aangeeft geen backups te willen!
Laat ze vooraf weten dat je backups maakt voor het geval dat, maar omdat de klant geen backups wil ze dit niet in rekening word gebracht totdat ze zich realiseren dat ze alles kwijt zijn en alsnog die backup nodig hebben.
Dat is data van een bedrijf ongevraagd je toeeigenen, wat je terug geeft tegen betaling op het moment dat het bedrijf dat nodig heeft.Zeker als de klant specifiek aangeeft geen backups te willen!
Laat ze vooraf weten dat je backups maakt voor het geval dat, maar omdat de klant geen backups wil ze dit niet in rekening word gebracht totdat ze zich realiseren dat ze alles kwijt zijn en alsnog die backup nodig hebben.
Kwetsbaar is, dus.
Je zou het ook diefstal kunnen noemen.
Vandaag, 08:11 door
Anoniem
Ik weet dan ook niet waar je het woord zorgplicht vandaan hebt gehaald, want ik heb hem zeker niet gezegd. Het valt gewoon onder verantwoordingplicht
Zie hoofdartikel! ofwel komt van de schrijver van dit artikel.Zorgplicht is hier een verkeerd gekozen woord (wat mij betreft), het is 'eigen verantwoordelijkheid' van de ondernemer die mede met IT z'n onderneming runt, een IT-bedrijf die z'n services verleend (aan deze ondernemer) moet niet verplicht worden, of zich verplicht voelen om deze verantwoordelijk in te -moeten- vullen.
Dank voor de rest van de antwoorden. Al vind ik het nogal bemoeizuchtig worden als het verloren gaan van data door uitvallen HD of ander defect, of dat personeel per ongeluk op de delete-button heeft gedrukt niet echt passen dat er 'data gelekt' is; het verliezen van een usb-key met gegevens vind ik er dan wel onder vallen omdat iemand anders die key zou kunnen vinden en dan toegang heeft tot deze gegevens.
Volgens mij klopt uw (metaforische) verhaal omtrent de brandmelder niet helemaal (, of 't ligt wéér 's aan mij ;()
en, dat er ook daawerkelijk een onderzoek (en vervolgens een onderzoek op dit onderzoek) is verricht naar 'the hungry judge effect' baart mij zorgen.
Natuurlijk, we zijn allemaal mensen en hebben onze emoties die mede bepaald kunnen worden door 'honger'. Zakenmensen gaan uit eten als ze een deal met elkaar willen sluiten, omdat de kans dat de uitkomst van die deal voor beide beter uit kan vallen met een volle maag. Maar een rechter, en andere gemoeide van het gerechtelijk systeem, behoren hier boven te staan zodra ze hun toga aan doen. Mocht de buik tijdens een proces opspelen, of dat nou knorren van honger of krampen van diarree is, dan behoort de rechter het proces te schorsen en de tijd te nemen om naar z'n lichaam te luisteren!
ps. @16.28
Ook dit is social media, al vind ik een forum zoals deze een ander aspect dan facebook/instagram.
Vanwaar de agressie in de ondertoon van uw reactie ,althans dat is hoe ik uw reactie lees, misschien dooor de hoofdletters en gescheld? Zo komt u voor mij over, als de 'toetsenridder' achter 't toetsenbord, onaantastbaar, is dat de manier hoe u over wilt komen, of probeert u liever redelijkheid te betrachten zoals u zelf ook zou willen worden benaderd. 't Is nu eenmaal gelabeld als social-media , maar de ridder zet er liever een 'a' voor! Lees een reactie 's terug voordat u 'm post met de ogen van de ander en zie of u zó ook zou willen worden beantwoord.
Vandaag, 10:06 door
Anoniem
Door Anoniem:
Zorgplicht is hier een verkeerd gekozen woord (wat mij betreft), het is 'eigen verantwoordelijkheid' van de ondernemer die mede met IT z'n onderneming runt, een IT-bedrijf die z'n services verleend (aan deze ondernemer) moet niet verplicht worden, of zich verplicht voelen om deze verantwoordelijk in te -moeten- vullen.
Ik weet dan ook niet waar je het woord zorgplicht vandaan hebt gehaald, want ik heb hem zeker niet gezegd. Het valt gewoon onder verantwoordingplicht
Zie hoofdartikel! ofwel komt van de schrijver van dit artikel.Zorgplicht is hier een verkeerd gekozen woord (wat mij betreft), het is 'eigen verantwoordelijkheid' van de ondernemer die mede met IT z'n onderneming runt, een IT-bedrijf die z'n services verleend (aan deze ondernemer) moet niet verplicht worden, of zich verplicht voelen om deze verantwoordelijk in te -moeten- vullen.
Nee maar het kan wel de verantwoordelijkheid zijn van een dienstverlener om een naieve klant te wijzen op faciliteiten die in een verantwoord ICT systeem nodig zijn om grote risico's te vermijden.
Het is niet verplicht om deze faciliteiten in te vullen, maar wel om de klant er over te informeren en dit goed vast te leggen, anders kan die klant wellicht later bij de rechter gelijk krijgen als het allemaal helemaal fout gaat op een manier die jij wel had voorzien maar de klant niet kon voorzien.
In consumentenrecht is dit veel breder, maar volgens mij kom je er in zakelijke dienstverlening, zeker aan eenpitters en kleinbedrijf, ook niet helemaal onder uit.
Dank voor de rest van de antwoorden. Al vind ik het nogal bemoeizuchtig worden als het verloren gaan van data door uitvallen HD of ander defect, of dat personeel per ongeluk op de delete-button heeft gedrukt niet echt passen dat er 'data gelekt' is; het verliezen van een usb-key met gegevens vind ik er dan wel onder vallen omdat iemand anders die key zou kunnen vinden en dan toegang heeft tot deze gegevens.
Tja de AVG staat vol met ridicule en bemoeizuchtige artikelen. Maar "ik vind" ontslaat je niet van enige plicht, want het is geen opiniestuk maar een wet.
Vandaag, 13:58 door
Anoniem
Door Anoniem:
Tja de AVG staat vol met ridicule en bemoeizuchtige artikelen. Maar "ik vind" ontslaat je niet van enige plicht, want het is geen opiniestuk maar een wet.
Het woord "datalek" (of zelfs "lek") komt helemaal niet voor in de AVG, het is de informele term die onder meer door AP wordt gebruikt voor wat in de wettekst "inbreuk in verband met persoonsgegevens" heet, en de definitie daarvan is: "een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens". Merk op dat verlies van gegevens onderdeel is van die definitie. En merk ook op dat het woord beveiliging ook gebruikt wordt voor dingen als het maken van back-ups.Dank voor de rest van de antwoorden. Al vind ik het nogal bemoeizuchtig worden als het verloren gaan van data door uitvallen HD of ander defect, of dat personeel per ongeluk op de delete-button heeft gedrukt niet echt passen dat er 'data gelekt' is; het verliezen van een usb-key met gegevens vind ik er dan wel onder vallen omdat iemand anders die key zou kunnen vinden en dan toegang heeft tot deze gegevens.
Tja de AVG staat vol met ridicule en bemoeizuchtige artikelen. Maar "ik vind" ontslaat je niet van enige plicht, want het is geen opiniestuk maar een wet.
Als je bedenkt dat in de eigenlijke betekenis van het woord lek, wanneer er bijvoorbeeld water onder uit een gebarsten emmer loopt, het heel goed mogelijk is dat dat water de grond in loopt zonder dat iemand er nog wat aan heeft, vind ik het heel oké dat het in overdrachtelijke zin gebruikt kan worden voor het verloren gaan van gegevens zonder dat iemand anders ze in handen krijgt.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!