Denne tråd er over 6 måneder gammel
Er du sikker på, at du har noget relevant at tilføje?
Webhosting som overholder datatilsynets anbefaling...Af Gigabruger Zokeh | 25-01-2023 23:41 | 3411 visninger | 15 svar, hop til seneste
Edit: Til admin: Hvis denne tråd er placeret forkert, så beklager jeg. Jeg fandt det passende. Tråden må dog gerne flyttes.
Kære HOL
Jeg er ansat i det offentlige, og varetager en hjemmeside med et bookingsystem, som i øjeblikket er hostet via Google Sites. Min kommune har lukket for adgang for personer, som er uden for vores organisation, i hele Google Workspace. Det betyder at andre udenfor vores domæne ikke kan tilgå vores side længere. Ændringerne sker på baggrund af den nuværende udvikling ift. GDPR, Helsingør-sagen m.v.
Jeg har skrevet til en lang række hosting udbydere, hvor ingen kan levere service, som lever op til Datatilsynets anbefalinger. Mange vælger ikke at svare på henvendelser. Én enkelt udbyder - skoleIT.dk - kunne levere, men mod en start gebyr på 14.000 DKK og yderligere 2.500 DKK hver måned for vedligehold på "særlige vilkår". Mange udbydere skriver, at de lever op til reglerne for GDPR - men jeg er på udkig efter noget, som min kommune vil acceptere - vilkår, som er intet ringere end Datatilsynets anbefalinger.
Er der nogen, som kender til en udbyder, som kan leve op til Datatilsynets anbefalinger, som ikke koster det hvide ud af øjnene?
//Zokeh --
Sidst redigeret 25-01-2023 23:42
Hvilke anbefalinger er det du mener at udbyderne ikke overholder? Er det en Schrems-problematik?
Umiddelbart bør de fleste europæiske webhostingfirmaer overholde GDPR, og dermed også Datatilsynets "anbefalinger". -- Det korte svar er: Host det selv. Enten via kommunens egen IT-afdeling, KOMBIT eller Statens IT. De seneste tolkninger efter Schrems2 og Helsingør-sagen gør at det nærmest er umuligt at finde en "ekstern" leverandør der ikke, på en eller anden måde, "overtræder" én af de mange - ofte uigennemskuelige - krav nogle offentlige myndigheder nu stiller til dem. -- Laptop: Lenovo T480s, i7, 24GB Ram, 1TB
Hjemme: i9-12900k, 2080Ti, 64GB Ram, 2 TB #2 - Det er altså ikke korrekt. Jeg har bare søgt på "dansk webhosting", og umiddelbart så bruger både nordicway hosting og dandomain kun databehandlere, og underdatabehandlere, i EU. -- Sidst redigeret 26-01-2023 10:50 Tror de fleste har styr på data skal være i EU eller hvis de bruger en leverandør af datacenter eller dedikerede servere at de så overholder GDPR, til et almindeligt booking system vil jeg mene de fleste webhotel udbydere er gode nok såfremt de har data i EU land.
Helsingør sagen handler også om at man bruger en leverandør til mail osv som er kendt for at opbevare data udenfor EU og måske endda vidersælge eller bruge dem til markedsføringsformål
Det er jo slet ikke der man er med simpel webhosting med lidt database, de data er kundens og ingen andres, så hvis de opbevares på en server indefor EU så tror jeg ikke datatilsynet vil gå ind i sagen, der skal også være mening med galskaben. Men derfor kan det godt være at din kommune er hysterisk og har angst for at lukke op for noget som de ikke er 100% sikker på, så inden du køber noget så sprøg lige om de også vil godkende det du vælger.
Vil man have papir på det osv så tror jeg mange vil sige, nej tak, det må du selv snakke med din kommune om, det er ikke umagen værd for de fleste.
Men ellers så overvej en virtuel server hos rackhosting.dk eller et webhotel der, jeg ved at de har arbejdet meget med at sikre at alt det formelle er på plads og har en del offentlige kunder vil jeg mene. Deres server er i dansk datacenter. -- Linux bruger og admin
Elsker at have godt med diskplads, ram og en masse computere at lege med. --
Sidst redigeret 26-01-2023 11:54 Du kan evt. checke nedenstående website. Flere af disse er løsninger er hvor data er i EU og ejerskab af alle firmaer der kan tilgå persondata, er i EU.
https://european-alternatives.eu[...]
-- I forlængelse af #1, så er Google Sites nok det værste sted at hoste en hjemmeside. Du vil være bedre stillet, hvis den var hostet af One.com, eller simply.com
Simply skriver selv at samtlige servere og data er placeret i Jylland, dvs fastlands Europa.
https://www.simply.com[...] -- Gæstebruger, opret dit eget login og få din egen signatur. #3 - Med den seneste tolkning jeg har fået fra en stor kommune ville ingen af de nævnte kunne bruges. Argumentationen er at der ingen steder i virksomhedsstrukturen må indgå selskaber eller ejerforhold der hengår til usikre tredjelande. I det omfang man tolker reglerne SÅ stramt vil der stort set ikke være nogle udbydere tilbage overhovedet.
I den specifikke situation gik utilfredsheden på at vi hoster noget software på eget hardware der er hostet i et af Interxions datacentre i Danmark. Her var argumentationen at, fordi Interxion har datacentre uden for EU, så kunne de ikke "godkendes" som "sikker underleverandør" - på trods af Interxion ingen adgang har til vores data...
#6 Simply ville falde for samme argumentation som ovenfor idet der indgår selskaber i konstruktionen der ligger uden for EU.
#3 og #6 - forstå mig ret; jeg er enige med jer. Jeg er også af den opfattelse - og jeg har arbejdet med GDPR siden forordningen alene var et oplæg til et forslag - at tolkningen anlagt er for stram. Men, hvad kan man gøre? Hvis de offentlige myndigheder insisterer på at deres tolkning er den "rigtige".... Hvor går grænsen? Dét spurgte jeg den ovenbeskrevne kommune om uden at få svar... Hvis ovennævnte tolkning skal lægges til grund, er det så også et problem at TDC NET - der står bag store dele af det danske "transmissionsnet" - er ejet af kapitalfonde, der ikke alle er hjemmehørende i EU? -- Laptop: Lenovo T480s, i7, 24GB Ram, 1TB
Hjemme: i9-12900k, 2080Ti, 64GB Ram, 2 TB --
Sidst redigeret 30-01-2023 15:17 Der er den mulighed alle benyttede i starten af internettet blev udbredt, mange hostede bag egne internetforbindelser. I det tilfælde vil du kunne bruge en internetforbindelse fra TDC, et lokale som er sikret med lås og en webserver med data på krypteret disk, der skal så laves en backup, det kan ske over internetforbindelse til en server hos en medarbejdet med krypteret diske (evt til nas), eller du kan kopiere data til en transpotabel harddisk hver dag og så tage den med hjem, ligesom i gamle dage.
Det vil være muligt at opretholde en rimelig ok oppetid på en almindelig internetforbindelse, men det vil kræve lidt teknisk indsigt at sætte det op, har man ikke servkendskab kan man bruge en synology nas og aktivere webserverdelen i den.
Det kan være at de strenge regler vil føre til flere virksomheder bliver nød til at have egne serverrum igen af samme svingende standard som man havde før i tiden, men så vil man kunne overholde GDPR vil jeg mene sålænge man sikrer at data ligger forsvarligt og der tages backup, GDPR stiller jo ingen krav til oppetid, så man vil godt kunne leve med at en internetforbindelse er nede en dag fordi en router skal udskiftes, men at data havner i IKKE EU land vil man ikke kunne leve med.
Vil dog mene at hvis leverandør kan komme med en databehandleraftale så vil det være tilstrækkeligt, men der er måske noget jeg har misforstået der. Jeg har en med mine leverandører hvor de garanterer at data opbevares i EU, de skriver ikke noget om samarbejdspartnere, men det er en gyldig databehandler aftale og den overholder GDPR.
Det kan være du kan finde en lille IT virksomhed som kan hoste det på deres lokation og som ikke har samarbejdspartnere ude i verden, de kan måske tilbyde en god aftale, prøv et lille firma, du kan evt. skrive at oppetid ved du godt ikke kan sikres på den måde men det er data som skal sikres bedst muligt og derfor den løsning du vil høre pris på.
En lille virksomhed har mange gange kun en eller meget få ejere og det er nemmere at overskue om det er rent dansk.
Måske datatilsynet overtolker regler i forhold til andre lande, det ved jeg ikke. -- Linux bruger og admin
Elsker at have godt med diskplads, ram og en masse computere at lege med. --
Sidst redigeret 30-01-2023 17:22 Tag evt et kig på Scannet (som også ejer Zitcom, Wannafind, Curanet og Unoeuro) - om de overholder diverse regler tør jeg ikke sige.
-- Tak for alle jeres svar!
Det er, som mange herinde skriver, ikke nok at en udbyder overholder gældende lovgivning (det skal de jo, når det er lov) eller garantere at der ikke sker overførsel af data til tredjelande - det betyder at en databehandler, som har Google som underdatabehandler, ikke vil kunne bruges da USA betragtes som et tredjeland.
Kravet fra min kommune er, at en DBA skal leve op til Datatilsynets anbefalinger.Det er f.eks. ting som angivelse af intervallet for tilsynsmetode - om det er spørgeskema, eller via ISAE3000 revisionserklæring m.v.
Min kommune har afvist en databehandleraftale fra en virksomhed, alene fordi Apple var underdatabehandler. I dette tilfælde var Apple underdatabehandler, fordi virksomheden benytter iPhones som arbejdstelefoner, og der sker en dataoverførsel ved backup/gendannelse af iPhones. Dataene der her er tale om, er mit arbejdstelefonnummer, som måske havner på en server i USA. Det føles næsten absurd.
Jeg har fornyeligt ringet ind til Datatilsynet, fordi jeg synes at situationen er håbløs... altså, at der ikke lader til at være et andet alternativ, end at hoste selv bag lås og slås, men det må jeg ikke for IT-afdelingen i min kommune. Jeg spurgte Datatilsynets, om de kender til udbydere, som overholder deres anbefalinger. Jeg fik en lang forklaring om at der i øjeblikket er en "Tilstrækkelighedsafgørelse", som man kan forvente svar for til foråret, og som forhåbentligt vil lande en aftale med bl.a. USA, som måske vil ændre lovgivning for håndtering af data, som så kan løsne op for situationen. De kan tilsyneladende, som offentlig myndighed, ikke henvise/reklamerer for virksomheder, som lever op til deres anbefalinger.
Det lader til, at der ikke er meget andet at stille op, end at vente?
What to do? -- Sidst redigeret 05-02-2023 22:38 #11 Det hosting selskab bruger vel også office pakken, som tilbyder Onedrive til alle office dokumenter. -- Gæstebruger, opret dit eget login og få din egen signatur. #11, Windows 7/10/11 og Microsoft Office overholder heller ikke GDPR. Så længe det grundlæggende problem ikke bliver løst, bliver dit heller ikke.
Du skal spørge din kommune hvad de kan 'skrive sig ud af' og så vælge den matchende løsning ;) -- Gæstebruger, opret dit eget login og få din egen signatur. #11 - Find et webhosting selskab, gå deres databehandlere/underdatabehandlere igennem. Der er allerede nævnt flere her i tråden, der alle har ejerskab inden for EU.
Jeg vil også våge at påstå at alle hostingselskaber har it-revision, og ofte har de deres revisionsrapport på deres hjemmeside.
Og selvfølgelig så skal man afvise en databehandler, der har Apple, som underdatabehandler.
#8 - Umiddelbart er der heller ikke noget tredje lands ejerskab i de nævnte selskaber, heller ikke i deres underdatabehandler-kæde. -- Sidst redigeret 06-02-2023 10:36 #12 & #13
Som jeg har forstået det, så har Microsoft faktisk en løsning, som tilbyder at data bliver inden for EU, og som overholder grundlæggende regler indenfor GDPR. Det koster bare lidt mere. Der er dog en sag kørende i Tyskland i øjeblikket, hvor de har lukket ned for kommunal administrativt brug af Microsoft grundet brud på netop GDPR...
#13
Umiddelbart, så virker det ikke som om, at min kommune er villig til at skrive sig ud af noget som helst, desværre. Eksemplet med Apple og backup af telefonnumre taler for sig selv.
#14
Jeg har været en del databehandleraftaler igennem og jeg har været mellemmand for GDPR-afdelingen i min kommune og hostingselskaber i forsøget på at forhandle et DBA hjem, som alle parter kunne leve med - det er ikke lykkedes endnu. Jeg har haft kontakt, eller prøvet at kontakte de fleste, som er blevet nævnt. Jeg vil dog prøve med rackhosting og evt. CookieBot CMP, som jeg endnu ikke har haft kontaktet. DanDomain har f.eks. valgt helt og aldeles ikke at svare tilbage på min henvendelse - jeg tænker at de selv synes at det er for bøvlet. Der er flere ting på spil, når vi taler om Datatilsynets anbefalinger, og ikke kun om involvering af tredjelande i datahåndteringen. --
Grundet øget spam aktivitet fra gæstebrugere, er det desværre ikke længere muligt, at oprette svar som gæst.
Hvis du ønsker at deltage i debatten, skal du oprette en brugerprofil.
Opret bruger | Login
|
Du skal være logget ind for at tilmelde dig nyhedsbrev.
Hvilken udbyder har du til internet? 425 personer har stemt - Mit energiselskab (Ewii f.eks) 12%
|