Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 18 reacties, 5.637 views •

Het College Bescherming Persoonsgegevens werkt momenteel aan een leidraad die meer helderheid moet bieden over hoe websites moeten omgaan met het publiceren van persoonsgegevens op internet.

De leidraad is vervat in een nieuw document genaamd ‘Richtsnoeren publicatie van persoonsgegevens op internet’. De privacywaakhond brengt een conceptversie van het document dinsdag uit ter consultatie. Diverse organisaties zullen de komende weken hun input op de voorzet van het CBP mogen geven, waarna de richtsnoeren in definitieve vorm zullen worden vastgesteld. Dit heeft het college dinsdag bekendgemaakt.

Volgens het CBP kan ‘publicatie van persoonlijke gegevens op internet mensen jarenlang achtervolgen’. Zo kunnen onjuiste of verouderde gegevens iemands belangen of naam schaden, stelt het CBP. Hoewel de verwerking van persoonsgegevens ook nu al gebonden is aan bepaalde regels, wil het CBP meer helderheid bieden over het toepassen van die regels.

Websites die naw-gegevens verwerken, bijvoorbeeld omdat zij een gepersonaliseerde nieuwsbrief hebben of een webwinkel runnen, zijn verplicht hun verwerking van gegevens aan te melden bij het CBP. Het toezicht van het CBP richt zich, met de richtsnoeren in de hand, op ernstige en structurele schendingen van de privacywetgeving.

In ‘Richtsnoeren publicatie van persoonsgegevens op internet’ zet het college uiteen wat er precies onder persoonsgegevens wordt verstaan en wordt inzichtelijk gemaakt wanneer een bedrijf of organisatie de verwerking van gegevens moet aanmelden. Behalve overduidelijke gegevens als een naam en adresgegevens, valt hier bijvoorbeeld ook een ip-adres van een internetter onder.

Ook verduidelijk het CBP bepaalde situaties waarin de privacyregels in sommige gevallen wel gelden en in andere situaties niet, zoals bij websites die een stamboom publiceren. Hoewel de privacywet niet van toepassing is op overledenen, komen in veel stambomen ook gegevens voor van personen die nog wel leven. Indien er dan bijvoorbeeld ook nog erfelijke ziekten worden vermeld, is de Wet bescherming persoonsgegevens van toepassing.

Het document met richtsnoeren is hier te lezen.

Reacties (18)

offtopic:
Typfouten nooit als reactie op het artikel plaatsen, maar gewoon netjes in het daarvoor bedoelde forum. Je kan dat soort dingen natuurlijk ook gewoon voor je houden. (het reageren op typefouten) Geldt voor iedereen, dus ook weer als reactie op reactie op reactie... We discussieren hier over de inhoud van het artikel.
Ik vind het een mooi initiatief. Als consument weet je vaak niet waar je aan toe bent. Je bent vaak verplicht e-mailadressen in te vullen op websites, maar je krijgt niet de mogelijkheid een vinkje aan of uit te zetten m.b.t. nieuwsbrieven, en e-marketing, zodat je toch ongevraagd e-mails krijgt. Je kan je natuurlijk wel meteen laten uitschrijven, maar op zo'n moment wil ik liever niet eens het eerste mailtje ontvangen.

Zo zijn er nog 101 problemen... Verschillen tussen benadering bedrijven/personen... Heel veel onduidelijkheid en iedereen doet maar raak. En écht opgetreden wordt er niet, tenzij er misbruik gemaakt wordt van de gegevens. Maar "een keer" een mailtje sturen, dat wordt niet aangepakt, terwijl dat wel als vervelend ervaren wordt.
mwah mooi initiatief,

alleen 500.000 nederlandse websites met nieuwsbrieven waarin staat "geachte meneer therat10430" moeten dit nu aanmelden,

1: het gebeurt gewoon niet
2: CBP heeft er de mankracht niet voor om ze (allemaal) te controleren
Eens. Het probleem met dit soort initiatieven is echter, zoals altijd, het feit dat het CBP een nationaal instituut is, en internet een internationaal medium. Op Nederlandse sites zal het dan ook vast prima gaan, maar hoe zit dat met al die buitenlandse sites?
Klopt. We zullen hooguit naar een Europees initiatief gaan. Wat dat betreft was het beter geweest dat het vanuit Europees verband wordt opgepakt. Nu is het meer pompen met de kraan open. Als ik op een .be site ga kijken, gelden er weer hele andere regels, terwijl de taal (om maar iets te noemen) wel hetzelfde is. Laat staan multinationals die op .nl andere dingen moeten registreren/handhaven dan ze op hun .be moeten doen.
Als je op een .be site kijkt, gelden dezelfde regels. De privacywetgeving in de EU is gebaseerd op een Europese richtlijn (richtlijn 95/46/EG van 24 oktober 1995), en dit stuk van het CBP is niet meer dan een verduidelijking ervan. Het CBP geeft aan hoe het bepaalde begrippen uitlegt, en in theorie zouden daar wat verschillen tussen de landen van de EU kunnen ontstaan, maar dat lijkt inderdaad louter theorie: ik zag bij een eerste scan in het stuk althans niets dat niet al bekend was of erg voor de hand ligt.
Als ik zo door dat document heen scan mis ik volgens mij nog 1 ding (al kan ik er overheen gelezen hebben): de manier waarop persoonsgegevens beveiligd dienen te worden. Van een instelling als het CBP verwacht ik niet dat zij zich uitspreken over bijvoorbeeld te gebruiken encryptiemethodes, maar wel dat zij in het algemeen de grenzen aangeven.

Een klein voorbeeldje: een webwinkel. Uit dit document kan de eigenaar van een webwinkel als het goed is wel destilleren hoe om te gaan met (het opslaan van) NAW-gegevens van klanten. Maar als het volgens die regels toegestaan is om bijvoorbeeld klantgegevens op te slaan, mag dat dan ook zonder encryptie gebeuren? Denk bijvoorbeeld aan een cookie. Is het toelaatbaar dat die gegevens voor andere gebruikers van diezelfde computer toegankelijk zijn, of heeft de eigenaar van de webwinkel een verplichting deze gegevens afdoende te beveiligen? Met geen of een brakke beveiliging is zo'n richtlijn als deze nog niet veel waard. Ik kan me zo bijvoorbeeld nog een geval herinneren waar een aantal jaren geleden door een brakke beveliging met een simpel scriptje de NAW-gegevens van alle 20.000 studenten aan een universiteit in Nederland bemachtigd zijn.
Dan zit je toch weer heel snel met het probleem dat veel mensen niet weten hoe ze met geencrypteerde gegevens moeten omgaan. Ik kan het aantal mensen dat zorgvuldig met zijn/haar pgp of ssh private key omgaat op 1 hand tellen...
Dus dan zit je met geencrypteerde gegevens waarvan heel waarschijnlijk de sleutel ergens vlakbij zit, omdat het anders weer 'te onpraktisch' wordt om met die gegevens om te gaan. Een bijzonder degelijke server configuratie biedt hier een oplossing, maar zie jij in dat document al een howto staan voor een ultrastrakke chrooted en suexed server?
Er is vandaag een wetsvoorstel ingediend (en er zit nogal een flinke lobby achter..) om alle gegevens van bank, provider of vervoersbedrijven elk moment zonder enig gerechtelijk bevel toegangkelijk te maken voor de AIVD en MIVD.
Je bent als verwerker van persoonsgegevens verplicht om passende beveiligingsmaatregelen te treffen (artikel 13 Wbp). Wat "passend" is, hangt natuurlijk af van wat je aan het doen bent.

Voor een forum staat er bijvoorbeeld:
"Voor de registratie van deelnemers aan het forum gebruikt de stichting een beveiligd protocol, https. De aldus verkregen gegevens worden door de stichting opgeslagen in een adequaat beveiligde database, die niet aan internet is verbonden. De gegevens op de website en het discussieforum zijn opgeslagen in een database die met internet is verbonden en adequaat is beveiligd tegen ongeoorloofd gebruik door derden, zoals wijziging van gegevens. Alle gegevens op de website en in het discussieforum zijn openbaar toegankelijk en kunnen dus door elke derde naar zijn eigen systeem worden gekopieerd. De afzonderlijke pagina’s met bijdragen zijn niet indexeerbaar voor zoekmachines."

Arnoud
Dit soort zaken mogen van mij wel eens strak geregeld worden in de wet maar ook een aantal zaken die worden opgenomen in het strafrecht. Met name Internet Providers mogen wel eens harder aangepakt worden als hun beveiliging maanden lang weer outdated is en gegevens versprijd worden.

Verder dient er voor degene die websites maken of in beheer hebben ook eens duidelijke regels opgesteld te worden, nog beter dan dat het al is, zodat ze weten welke verantwoordelijkheden ze hebben en wat er gebeurt als een aantal zaken niet goed regelen. Onlangs werd ik de gek gebeld door Oxxio stroom aanbieder terwijl mijn telefoon gegevens nergens geregistreerd staan en juist daar word ik een beetje moe van, bellen terwijl je geen interesse heb en dat steeds onder etenstijd, zoals ze dat vaak doen in de VS :(
Wij hebben een dossier bij de privacy commissie (in belgië) voor onze website, uiteindelijk is het maar een heel kleine administratieve kost dat je moet doen en je bent in orde als één of andere pipo begint te zagen wat betreft privacy. Anderzijds zijn er ook wel héél veel beperkingen en zijn de regels / mogelijkheden niet afgestemd voor internet gebruik. Zo zou in principe elke vrijwilliger in onze crew mee moeten opnemen in het dossier of bij nieuwe crew steeds het dossier moeten laten aanpassen (wat ook weer geld kost) omdat crew de IP adressen kan zien van gebruikers etc ..
Verder mag ik bvb geen zoekfunctie doen op geaardheid omdat we niet beschikken over de nodige medische statuten, dit is zoals ik zie in het concept document wel beter opgelost
Betreffen de gegevens strafrechtelijke gegevens, iemands
godsdienst, levensovertuiging, ras, politieke
gezindheid, gezondheid, seksuele leven of lidmaatschap
van een vakvereniging?(Zie I.8, blz 13)
Ja indien
Publicatie op internet is NIET toegestaan, tenzij de betroffen persoon
uitdrukkelijke toestemming heeft gegeven, of de betreffende informatie
duidelijk zelf openbaar heeft gemaakt. (Zie I.8.1.1 en I.8.1.2,
blz 14)
Verder stel ik me ook weer vragen hoe het zit naar het buitenland toe, we zijn een Belgische website / bedrijf , we hebben ook een .nl domein dat naar onze site gaat & Nederlandse bezoekers / leden, moeten we dan ook voldoen aan de Nederlandse privacy wetgeving ... dit vind ik niet onmiddellijk terug eerlijk gezegd :)

[Reactie gewijzigd door KimG op 16 oktober 2007 12:25]

De Nederlandse privacy-wetgeving is van toepassing als je als verantwoordelijke gevestigd bent in Nederland. Amazon.com hoeft dus geen rekening te houden met de Wbp als zich daar Nederlandse klanten aanmelden.

Arnoud
En hoe staan ze tegenover de bewaarplicht?!?
Websites die naw-gegevens verwerken, bijvoorbeeld omdat zij een gepersonaliseerde nieuwsbrief hebben of een webwinkel runnen, zijn verplicht hun verwerking van gegevens aan te melden bij het CBP.
[....]
Behalve overduidelijke gegevens als een naam en adresgegevens, valt hier bijvoorbeeld ook een ip-adres van een internetter onder.
Moeten de bedrijven nu die gegevens aan het CBP doorgeven, of moeten ze alleen aangeven dat ze een mailing dan-en-dan gaan versturen?
Dat laatste lijkt mij op zich nog wel te verwerken door het CBP.
Maar als de gegevens van alle ontvangers van de nieuwsbrief doorgegeven moeten worden om in een centrale database opgeslagen te worden, is dat dan niet juist een inperking van de privacy?
Dan is namelijk in 1 klap echt alles bekend over een persoon, door die database een beetje handig door te spitten.
Je moet aangeven wat je verwerkt en waarom. Je hoeft niet je hele adreslijst door te geven aan het CBP.

Arnoud

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBWebsites en communities

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True