PNVA: Sky-løsning for grundejerforening?

Hej PN,

Jeg er for nyligt blevet shanghajet til kasserer i bestyrelsen i grundejerforeningen, og kunne godt tænke mig at slippe for at have data liggende på en USB pind. Også så formanden kan tilgå det hvis jeg f.eks. er på ferie, huset brænder ned etc.

Det ville være meget fristende at bruge simpelt google drev til filer, men GDPR forhold kræver vist at man så skal have en aftale med google om at de overholder GDPR. Hvilken man kun kan få med Google Workspace, som er en betalt løsning. Hvis man er ude i en betalt læsning for de ganske få dokumenter det drejer sig om, så kan man lige så godt researche den bedste løsning.

Er der nogen på PN som har erfaring med online opbevaring af grundejerforeningsdokumenter?

Jeg tror ikke du finder en gratis løsning, der overholder GDPR krav. Både Google, Apple og Dropbox bruger data gemt på de gratis løsninger til markedsføring (dette accepterer man, når man klikker OK til tco.

Til dit formål, ville jeg nok vælge Google Workspace. Det er dejligt nemt at gå til. 

I min forening bruger vi ProBo. Har ingen erfaringer med det. 

Nu siger jeg noget der muligvis er upopulært, men altså vi taler om personoplysninger i kontekst af en grundejerforening...

Jeg gætter på, at I kun behandler almindelige personoplysninger og det i et relativt set meget begrænset omfang. Jeg tænker, at I derfor kan tage det relativt roligt. Hvis der skulle blive noget vil det formentligt være en ret lille bøde. Hvis det overhovedet kommer så vidt, hvilket jeg umiddelbart selv har svært ved at se. Jeres største risiko er umiddelbart at nogen skulle klage til Datatilsynet. Det kan du kun selv vurdere sandsynligheden for. Mit bud er at sandsynligheden for at I - udover en klage - skulle komme i problemer er forsvindende lille.

Det sagt, så hatten af for at du rent faktisk tænker over disse ting. Det er super beundringsværdigt, men mht. behandling af personoplysninger er der, som jeg ser det, meget større udfordringer end den behandling, der sker i relation til en grundejerforening.

Det er forøvrigt ikke uproblematisk i en GDPR-sammenhæng, hvis det eneste sted I har jeres oplysninger er på en USB-pen, hvis vi skal være pernittengryn.

Tak for svar indtil videre. 

Je vil vende med resten af bestyrelsen om vi skal sætte penge af til Google workspace eller lignende. 

Tanken om at snyde og bruge drive har krydset mine tanker, men der er også andre fordele ved Google workspace. 

drhoho skrev:

Tak for svar indtil videre. 

 

Je vil vende med resten af bestyrelsen om vi skal sætte penge af til Google workspace eller lignende. 

 

Tanken om at snyde og bruge drive har krydset mine tanker, men der er også andre fordele ved Google workspace. 

 Uden at have undersøgt det er der formentlig (også) GDPR-issues med Google Workspace, ligesom der er med alle store amerikanske cloud-leverandører. Det er ikke tilstrækkeligt at have en aftale, hvilket du jo forøvrigt også får, når du accepterer terms ved de gratis udgaver fra Google, MS etc. Selve behandlingen, dvs. opbevaringen mv., skal jo også leve op til GDPR og ud fra min viden er der ikke nogle af de store amerikanske techfirmaer, hvor man ikke kan finde et åbent GDPR-sår ved at kradse i overfladen. F.eks. er der så vidt jeg ved ikke nogle af dem, der kan imødegå Schrems II-dommen. Muligvis, hvis du køber de allerdyreste enterprise-løsninger, men det er jo ikke det vi taler om her.

Så mit bedste råd er at du vælger den leverandør, der giver dig den bedste ydelse. Det er nok en af de amerikanske og fred være med det. De opvejer på mange punkter, f.eks. ift. sikkerhed, de øvrige mangler, men 100% compliant er det næppe. Det er efter min mening en meningsfyldt risikoaccept for jeres forening.

Det kan godt være at tech firmaers gdpr ikke kan holde til nærsyn, men som forening vil jeg mene at man kan melde sig under "I god tro" fanen. Når jeg Googler/læser vejledninger i gdpr for foreninger, så er der masser af vejledninger som anbefaler en løsning som Google Workspace. Hvis jeg kan læse det flere steder, så kan en dommer vel ikke forvente at jeg skal have større data behandlings kendskab end det. 

Du siger at man også har en data behandler aftale på ens almindelige Google og MS konto. Hvordan finder man den? Jeg er ikke helt skarp i terminologien for aftaletyper. 

drhoho skrev:

Det kan godt være at tech firmaers gdpr ikke kan holde til nærsyn, men som forening vil jeg mene at man kan melde sig under "I god tro" fanen. Når jeg Googler/læser vejledninger i gdpr for foreninger, så er der masser af vejledninger som anbefaler en løsning som Google Workspace. Hvis jeg kan læse det flere steder, så kan en dommer vel ikke forvente at jeg skal have større data behandlings kendskab end det. 

 

Du siger at man også har en data behandler aftale på ens almindelige Google og MS konto. Hvordan finder man den? Jeg er ikke helt skarp i terminologien for aftaletyper. 

Det er dit ansvar ift. GDPR at undersøge og dokumentere at du overholder reglerne. I den ligning er det ikke nok, at Google eller andre har sagt at deres løsning er compliant, hvis din behandling og aftalegrundlaget ikke lever op til GDPR. Du kan som dataansvarlig ikke dække dig ind bag "god tro" med mindre din databehandler har handlet i modstrid med aftalen, hvorved de selv bliver dataansvarlig.

Ift. databehandleraftale er det mig, der ikke har læst dig rigtigt. Jeg gætter på at du ret i, at  du ikke får en databehandleraftale via terms på en almindelige (privat) konto hos google. Jeg har dog ikke ulejliget mig med at læse deres almindelige terms så jeg ved det selvsagt ikke.

Pointen er, at jeg stiller mig tvivlende over for, at en evt.databehandleraftale og ydelse du kan få ved at købe en erhvervsløsning hos Google er 100% compliant alligevel, så jeg synes du spilder kræfterne (og pengene) på at gå for meget op i det. Hvis du kan få en aftale hvor de garanterer at data aldrig forlader eller tilgås uden for EU/EØS, så er du langt, men det vil undre mig, hvis du kan det, da deres almindelige ydelser normalt betinger at de kan opbevare og tilgå data worldwide. Det kan man også under GDPR, hvis man ellers opfylder en række betingelser, men det er så det jeg stiller mig tvivlende overfor at de gør. Det er et stort åbent sår efter Schrems-dommen, hvorfor jeg gentager, at for en grundejerforening er energien altså bedre brugt andre steder. Hvordan vil du i øvrigt som grundejerforening føre tilsyn med din databehandler (google), hvilket også er et krav under GDPR. Det har selv store organisationer udfordringer med, så at en grundejerforening skulle kunne løfte den opgave på en kompetent måde er i mine øjne illusorisk.

Der findes mange danske og europæiske løsninger, men de har bare ikke Googles og andres funktionalitet og øvrige ting. Du kan jo vælge en af dem, hvis du føler dig mere tryg ved det, men personligt ville jeg være fløjtende ligeglad. Jeg havde bare redegjort for (til referat) over for bestyrelsen, at der er en vis risiko ved at bruge Google og taget dem i ed på beslutningen og derefter ikke skænket det en tanke.

Jeg har forøvrigt selv læst mig igennem aftalegrundlaget for MS produkter ifm. mit arbejde. Hvis du vil spilde dit liv på at gøre det uden løn, så løfter jeg på hatten ;D

Jeg må lige finde den kilde jeg referer til når jeg er ved min pc. 

Du skriver selv at gdpr ikke er lige så vigtigt for en forening med begrænsede oplysninger liggende, som for en myndighed eller virksomhed. Jeg referer til en vejledning Jeg fandt, som henvender sig til foreninger - primært sports- og spejderforeninger dog. Jeg forestiller mig at det niveau af gdpr man vil forvente af en grundejerforening er i samme størrelsesorden.

Så har jeg ikke været præcis nok. 

Reglerne er de samme for alle. 

Mit personlige synspunkt er, at det ikke er lige så vigtigt at overholde reglerne for en grundejerforening, som det er for en større virksomhed. Navnlig fordi eventuelle sanktioner og risikoen for opdagelse er meget mindre. 

Herudover tror jeg ikke på, at en grundejerforening kan overholde reglerne til punkt og prikke, hvis de vil bruge en amerikansk techvirksomhed som databehandler. men igen, jeg synes din energi er brugt bedre andre steder. 
 

Det er nok denne vejledning du tænker på:

https://www.datatilsynet.dk/Media/A/7/Ofte%20stillede%20spørgsmål%20-%20Frivillige%20foreningers%20behandling%20af%20personoplysninger.pdf

Jeg ville bekymre mig ca 0% om gdpr, hvis jeg var en grundejerforening.

I ligger inde med navn, adresse, e-mail og telefonoplysninger. Chancen for kontrol er 0, og sanktionerne vil kun være irettesættelser, medmindre I i indkaldelserne til generalforsamlingen skriver, at Søren fra nr. 3 i øvrigt er en homoseksuel jøde, der lider af hepatitis og stemmer på Enhedslisten.

Vægt sund fornuft højere end GDPR.

Fantomet skrev:

Jeg ville bekymre mig ca 0% om gdpr, hvis jeg var en grundejerforening.

 

I ligger inde med navn, adresse, e-mail og telefonoplysninger. Chancen for kontrol er 0, og sanktionerne vil kun være irettesættelser, medmindre I i indkaldelserne til generalforsamlingen skriver, at Søren fra nr. 3 i øvrigt er en homoseksuel jøde, der lider af hepatitis og stemmer på Enhedslisten.

Vægt sund fornuft højere end GDPR.

 Der er ret stort fokus på GDPR. Jeg ville så absolut bekymre mig. 

Jeg er med til at drive en lille forening, hvor vi kun gemmer navn, adresse, telefonnummer og mailadresser på medlemmer. Vi har valgt at holde lister offline-ish... På den måde, at jeg har en NAS box kørende privat, hvor øvrige bestyrelsesmedlemmer har adgang.