CBP maakt werk van privacybewaking op internet
Het College Bescherming Persoonsgegevens werkt momenteel aan een leidraad die meer helderheid moet bieden over hoe websites moeten omgaan met het publiceren van persoonsgegevens op internet.
De leidraad is vervat in een nieuw document genaamd ‘Richtsnoeren publicatie van persoonsgegevens op internet’. De privacywaakhond brengt een conceptversie van het document dinsdag uit ter consultatie. Diverse organisaties zullen de komende weken hun input op de voorzet van het CBP mogen geven, waarna de richtsnoeren in definitieve vorm zullen worden vastgesteld. Dit heeft het college dinsdag bekendgemaakt.
Volgens het CBP kan ‘publicatie van persoonlijke gegevens op internet mensen jarenlang achtervolgen’. Zo kunnen onjuiste of verouderde gegevens iemands belangen of naam schaden, stelt het CBP. Hoewel de verwerking van persoonsgegevens ook nu al gebonden is aan bepaalde regels, wil het CBP meer helderheid bieden over het toepassen van die regels.
Websites die naw-gegevens verwerken, bijvoorbeeld omdat zij een gepersonaliseerde nieuwsbrief hebben of een webwinkel runnen, zijn verplicht hun verwerking van gegevens aan te melden bij het CBP. Het toezicht van het CBP richt zich, met de richtsnoeren in de hand, op ernstige en structurele schendingen van de privacywetgeving.
In ‘Richtsnoeren publicatie van persoonsgegevens op internet’ zet het college uiteen wat er precies onder persoonsgegevens wordt verstaan en wordt inzichtelijk gemaakt wanneer een bedrijf of organisatie de verwerking van gegevens moet aanmelden. Behalve overduidelijke gegevens als een naam en adresgegevens, valt hier bijvoorbeeld ook een ip-adres van een internetter onder.
Ook verduidelijk het CBP bepaalde situaties waarin de privacyregels in sommige gevallen wel gelden en in andere situaties niet, zoals bij websites die een stamboom publiceren. Hoewel de privacywet niet van toepassing is op overledenen, komen in veel stambomen ook gegevens voor van personen die nog wel leven. Indien er dan bijvoorbeeld ook nog erfelijke ziekten worden vermeld, is de Wet bescherming persoonsgegevens van toepassing.
Het document met richtsnoeren is hier te lezen.
Reacties (18)
Typfouten nooit als reactie op het artikel plaatsen, maar gewoon netjes in het daarvoor bedoelde forum. Je kan dat soort dingen natuurlijk ook gewoon voor je houden. (het reageren op typefouten) Geldt voor iedereen, dus ook weer als reactie op reactie op reactie... We discussieren hier over de inhoud van het artikel.
Zo zijn er nog 101 problemen... Verschillen tussen benadering bedrijven/personen... Heel veel onduidelijkheid en iedereen doet maar raak. En écht opgetreden wordt er niet, tenzij er misbruik gemaakt wordt van de gegevens. Maar "een keer" een mailtje sturen, dat wordt niet aangepakt, terwijl dat wel als vervelend ervaren wordt.
alleen 500.000 nederlandse websites met nieuwsbrieven waarin staat "geachte meneer therat10430" moeten dit nu aanmelden,
1: het gebeurt gewoon niet
2: CBP heeft er de mankracht niet voor om ze (allemaal) te controleren
Een klein voorbeeldje: een webwinkel. Uit dit document kan de eigenaar van een webwinkel als het goed is wel destilleren hoe om te gaan met (het opslaan van) NAW-gegevens van klanten. Maar als het volgens die regels toegestaan is om bijvoorbeeld klantgegevens op te slaan, mag dat dan ook zonder encryptie gebeuren? Denk bijvoorbeeld aan een cookie. Is het toelaatbaar dat die gegevens voor andere gebruikers van diezelfde computer toegankelijk zijn, of heeft de eigenaar van de webwinkel een verplichting deze gegevens afdoende te beveiligen? Met geen of een brakke beveiliging is zo'n richtlijn als deze nog niet veel waard. Ik kan me zo bijvoorbeeld nog een geval herinneren waar een aantal jaren geleden door een brakke beveliging met een simpel scriptje de NAW-gegevens van alle 20.000 studenten aan een universiteit in Nederland bemachtigd zijn.
Dus dan zit je met geencrypteerde gegevens waarvan heel waarschijnlijk de sleutel ergens vlakbij zit, omdat het anders weer 'te onpraktisch' wordt om met die gegevens om te gaan. Een bijzonder degelijke server configuratie biedt hier een oplossing, maar zie jij in dat document al een howto staan voor een ultrastrakke chrooted en suexed server?
Voor een forum staat er bijvoorbeeld:
"Voor de registratie van deelnemers aan het forum gebruikt de stichting een beveiligd protocol, https. De aldus verkregen gegevens worden door de stichting opgeslagen in een adequaat beveiligde database, die niet aan internet is verbonden. De gegevens op de website en het discussieforum zijn opgeslagen in een database die met internet is verbonden en adequaat is beveiligd tegen ongeoorloofd gebruik door derden, zoals wijziging van gegevens. Alle gegevens op de website en in het discussieforum zijn openbaar toegankelijk en kunnen dus door elke derde naar zijn eigen systeem worden gekopieerd. De afzonderlijke pagina’s met bijdragen zijn niet indexeerbaar voor zoekmachines."
Arnoud
Verder dient er voor degene die websites maken of in beheer hebben ook eens duidelijke regels opgesteld te worden, nog beter dan dat het al is, zodat ze weten welke verantwoordelijkheden ze hebben en wat er gebeurt als een aantal zaken niet goed regelen. Onlangs werd ik de gek gebeld door Oxxio stroom aanbieder terwijl mijn telefoon gegevens nergens geregistreerd staan en juist daar word ik een beetje moe van, bellen terwijl je geen interesse heb en dat steeds onder etenstijd, zoals ze dat vaak doen in de VS
Verder mag ik bvb geen zoekfunctie doen op geaardheid omdat we niet beschikken over de nodige medische statuten, dit is zoals ik zie in het concept document wel beter opgelost
Ja indienBetreffen de gegevens strafrechtelijke gegevens, iemands
godsdienst, levensovertuiging, ras, politieke
gezindheid, gezondheid, seksuele leven of lidmaatschap
van een vakvereniging?(Zie I.8, blz 13)
Verder stel ik me ook weer vragen hoe het zit naar het buitenland toe, we zijn een Belgische website / bedrijf , we hebben ook een .nl domein dat naar onze site gaat & Nederlandse bezoekers / leden, moeten we dan ook voldoen aan de Nederlandse privacy wetgeving ... dit vind ik niet onmiddellijk terug eerlijk gezegdPublicatie op internet is NIET toegestaan, tenzij de betroffen persoon
uitdrukkelijke toestemming heeft gegeven, of de betreffende informatie
duidelijk zelf openbaar heeft gemaakt. (Zie I.8.1.1 en I.8.1.2,
blz 14)
[Reactie gewijzigd door KimG op dinsdag 16 oktober 2007 12:25]
Arnoud
Moeten de bedrijven nu die gegevens aan het CBP doorgeven, of moeten ze alleen aangeven dat ze een mailing dan-en-dan gaan versturen?Websites die naw-gegevens verwerken, bijvoorbeeld omdat zij een gepersonaliseerde nieuwsbrief hebben of een webwinkel runnen, zijn verplicht hun verwerking van gegevens aan te melden bij het CBP.
[....]
Behalve overduidelijke gegevens als een naam en adresgegevens, valt hier bijvoorbeeld ook een ip-adres van een internetter onder.
Dat laatste lijkt mij op zich nog wel te verwerken door het CBP.
Maar als de gegevens van alle ontvangers van de nieuwsbrief doorgegeven moeten worden om in een centrale database opgeslagen te worden, is dat dan niet juist een inperking van de privacy?
Dan is namelijk in 1 klap echt alles bekend over een persoon, door die database een beetje handig door te spitten.
Arnoud
Op dit item kan niet meer gereageerd worden.
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Apple Microsoft Sony Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
