Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 68 reacties

De Europese Commissie heeft samen met de Raad en het Europees Parlement dinsdagavond een akkoord bereikt over een nieuwe privacyverordening. De general data protection regulation is sinds 2012 in de maak en kan vanaf 2018 van kracht zijn.

De wetgeving, het resultaat van lange en intensieve onderhandelingen, brengt een aantal belangrijke veranderingen met zich mee. Zo wordt het onder andere mogelijk om overtreders een boete op te leggen van vier procent van de wereldwijde omzet. Het CBP kan vanaf 1 januari 2016 boetes opleggen die kunnen oplopen tot tien procent van de jaaromzet. Daarnaast zullen bepaalde bedrijven een data protection officer moeten aanstellen, die toeziet op de naleving van de regels en voor een juiste omgang met persoonsgegevens zorgt.

Ook wordt het 'recht om vergeten te worden' onderdeel van de wetgeving. Dit recht is er al sinds een uitspraak van het Europese Hof en houdt in dat een bedrijf persoonsgegevens van een betrokkene dient te verwijderen indien deze toestemming voor verwerking van deze gegevens intrekt. De nieuwe regels richten zich tot alle bedrijven die klanten hebben in Europa en zijn van toepassing op onlinediensten. De rapporteur van het EU-parlement Jan Philipp Albrecht noemt de nieuwe regels 'een doorbraak' en stelt dat burgers hierdoor weer zelf kunnen beslissen over hun persoonsgegevens.

De nieuwe verordening vervangt de privacyrichtlijn 95/46/EG, die sinds 1995 van kracht is. De verordening heeft rechtstreekse werking en hoeft daarom niet zoals een richtlijn omgezet te worden in nationale wetgeving. Het is de bedoeling dat de nieuwe Europese wet de gefragmenteerde privacywetgeving in de lidstaten naar hetzelfde niveau brengt. De verordening zal begin 2016 nog formeel door de Raad en het EU-parlement aangenomen moeten worden en wordt twee jaar later van kracht. Deze week zullen de vertegenwoordigers van de lidstaten de verordening nog moeten goedkeuren.

Ondanks de vele verbeteringen die de verordening met zich meebrengt wordt de versterking van het dataprotectiekader door sommige bedrijven kritisch ontvangen. Zij vrezen dat de nieuwe regels grote kosten met zich meebrengen. Meer dan de helft van de bedrijven denkt een boete te moeten betalen onder de nieuwe regels.

Update, 12.55: Inmiddels is er een volledige versie van de tekst van de verordening beschikbaar.

Moderatie-faq Wijzig weergave

Reacties (68)

Daarnaast zullen bepaalde bedrijven een data protection officer moeten aanstellen, die toeziet op de naleving van de regels en voor een juiste omgang met persoonsgegevens zorgt.
Ik ben blij verrast dat de EU zoiets kan opstellen. Dit heeft natuurlijk jaren nooit een rol gespeeld voor vele bedrijven en datahandelaren.

Gaande over het citaat; welke 'bepaalde' bedrijven zullen een data protection officer moeten aanstellen?
Data Protection Officers: SMEs are exempt from the obligation to appoint a data protection officer insofar as data processing is not their core business activity.
SME = MKB (en vergis je niet SME is 90% van de bedrijven in de EU. Max 250 personeel, 50 miljoen omzet en/of 43 miljoen balanstotaal. Headcount plus omzet/balanstotaal bepaald of je er onder valt). Voor de rest staat er niets over in het persbericht. Dus waarschijnlijk moeten de grote bedrijven sowieso aan een data protection officer, maar die hebben waarschijnlijk ook al een dergelijke functie (misschien niet met precies de doelstellingen die de EU wil).

Start ups die veel met privacygevoelige data doen (en dat zijn er nogal wat) zullen wel een data protection officer moeten aanstellen.
Als aanvulling op PolarBear ;) , zie onderstaand link voor de nieuwe criteria die gelden vanaf 1 januari 2016.
https://www.nba.nl/Actuee...-Eerdere-toepassing-BW-2/
Uit de bron:
SMEs (small and medium enterprises) are exempt from the obligation to appoint a data protection officer insofar as data processing is not their core business activity.
Het lijkt me dus dat grote bedrijven, en bedrijven die dataverwerking als kernactiviteit hebben er wel een moeten hebben.
KMO's zijn vrijgesteld mits het niet hun core business is.
Interessant, ik hoop dat het haalbaar is voor bedrijven. Ik ben toch wel voor wat strengere privacy regels, dus dan is dit een goede ontwikkeling. Ik heb sowieso het idee dat de EU hier heel erg mee bezig is, veel meer dan de VS en Azië.
Interessant vond ik om te lezen dat China naar het Europese model kijkt om privacy bescherming in te voeren.

Data Regulation stamt uit een online-soevereiniteitsstrijd tussen Europese landen tegen de V.S.
In eerste instantie had de VS lak aan Data Regulation omdat het door Europese bedrijven gebruikt werd als schild, terwijl er haast nooit straffen werden opgelegd.

In Frankrijk en Zwitserland kon je theoretisch gevangen worden gezet als je mee werkte aan een juridische procedure van een buitelandse macht binnen de eigen landgrenzen.... maar van die bevoegdheid is nooit gebruik gemaakt door de Staat. Een stukje-symbool wetgeving was het, en daar prikte men in de VS doorheen. In Nederland hadden we dezelfde Franse wetgeving.

[Reactie gewijzigd door Rasael op 16 december 2015 11:15]

aclarified "right to be forgotten": when you no longer want your data to be processed, and provided that there are no legitimate grounds for retaining it, the data will be deleted;
Iemand enig idee wat dat zal betekenen voor database backups? Moet je dan je backups verwijderen? Moet je appart bij houden wie je verwijderd hebt zodat je dat na een restore can replayen? ...?
Je bent als bedrijf in principe gehouden een goede administratie te voeren. Het hebben van backups is een redundancy, en dat past daar wel in. Vanuit de oude wetgeving is ook wel redelijk duidelijk hoe lang je die gegevens moet bewaren, en om welke gegevens het gaat.

Het echte probleem zit hem in de cloud, bij het data-minen + data-verkopen, en bij de communicatie naar klanten over welke informatie is opgeslagen en of ze willen dat je dat verwijdert. Natuurlijk speelt ook het goed afschermen en beveiligen van gegevens via autorisatie patronen.... maar dat is van alle tijden.

Toch kom je de gekste dingen tegen. Ik heb als jurist ooit iemand bijgestaan wiens werkgever een map met functioneringsgesprekken had laten slingeren op kantoor. 8)7
Het recht om vergeten te worden heeft met name betrekking op openbare gegevens zoals websites of social media uitingen en minder op private cloudgegevens die niet publiekelijk in te zien zijn.
Beetje jammer dat de EU het dan zo formuleerd dat alle data er onder valt...
zoals het hier uitgelegd wordt is het inderdaad van toepassing op ALLE data, behalve degene die wettelijk moet worden bijgehouden.
Dit wil echter niet zeggen dat retroactief ook backups moeten worden gewist, alleen dat de data niet meer in actief gebruikte datases mag zitten.
De regulation is alleen van toepassing commerciele of professionele verwerking van data. De voetbalclub op de hoek is veilig. Dit staat duidelijk in de preambule van het document als overweging en bedoeling van de Europese wetgever (Commissie, Parlement, en Raad van Lidstaten).
Of juist goed. Als je richtlijnen te specifiek maakt is het niet toekomstvast. Dan hoef je maar iets te veranderen en je hoeft niet meer aan de richtlijnen te voldoen.
Het recht om vergeten te worden is met name relevant als de gegevens worden verwerkt met een beroep op 'consent', oftewel toestemming. Die kan worden ingetrokken: 'ik wil niet meer'. Dan moeten de gegegvens worden gewist, tenzij er nog een andere grond is om ze wél te houden (bv: 'staat in de wet'). Dat geldt ook voor backup-tapes, tenzij dat weer een onevenredige inspanning vergt.
Dit is ook mijn vraag, daarnaast hoe zit het met financiele transactiegegevens die moet je wel bewaren voor de belastingdienst.
provided that there are no legitimate grounds for retaining it
En dat lijkt me bij financiën/belasting nou juist wél het geval, dus die gegevens moeten inderdaad gewoon bewaard worden.
Het lijkt me dat je de aanpassingen ook gewoon in je backups moet doorvoeren. Anders behoud je de gegevens en heeft het geheel geen zijn. Dus of je verwijdert het uit je gegevens en backups of je verwijdert het uit je huidige gegevens en maakt nieuwe backups om de oude te vervangen.

Overigens is dit wel een broodnodige stap in de goede richting. Dat de helft van de bedrijven denkt hierdoor een boete te gaan oplopen toont alleen aan hoe slecht zij omgaan met privégegevens van gebruikers en wat voor lak ze hebben aan privacy. Laat ze de boetes dan ook maar gewoon betalen.
Waarom pas in 2018 doorvoeren. Waarom niet eerder? Het is idioot dat er bedrijven zijn die d.m.v. ondoorgrondelijke gebruiksovereenkomsten zich, jou data toeeigenen en misbruiken voor persoonlijke winst. Met nadruk op winst. Ik vind dat bedrijven best mogen verdienen en hun kosten mogen dekken in bepaalde situaties, maar overdreven winsten boeken en mij niet daarin betrekken, is niet lief :-)

Daarnaast zit ik er niet op te wachten dat mijn gegevens worden gedeeld aan partijen die ik niet ken of partijen die ik absoluut geen gegevens wil geven.
Dat ondoorgrondelijk valt wel mee. Het is eerder gemakzucht van de meeste mensen.

En die laatste punten zijn simpel op te lossen: jezelf nergens aanmelden (of 100% voor betaalde diensten gaan).
Dat ondoorgrondelijk valt wel mee. Het is eerder gemakzucht van de meeste mensen.
Je moet al juridisch onderlegt zijn om de volle betekenis te begrijpen van de gebruiksovereenkomsten. Om maar niet te spreken van de grote hoeveelheden tekst die je door moet spitten. De vraag is of het wel eerlijk is om op deze manier, dit soort zaken af te dwingen.
En die laatste punten zijn simpel op te lossen: jezelf nergens aanmelden (of 100% voor betaalde diensten gaan).
Lekker zwart/wit. Er is ook nog zoiets als fatsoen.
Ik denk dat dat technisch niet mogelijk is, veel richtlijnen en regelgeving uit de EU hebben tijd nodig om omgezet te worden in nationale wetgeving.
Helaas heb je niks te willen want je hebt akkoord gedrukt voordat je gebruik maakte van hun service. Het feit dat ze je antisociaal in een hoekje drukken waardoor er geen uitweg meer is behalve gebruik te maken van hun services en dus daarmee akkoord te gaan met de voorwaarden. Welkom in ons tijdperk.

[Reactie gewijzigd door illecoco op 16 december 2015 11:54]

De nieuwe verordening vervangt de privacyrichtlijn 95/46/EG, die sinds 1995 van kracht is. De verordening heeft rechtstreekse werking en hoeft daarom niet zoals een richtlijn omgezet te worden in nationale wetgeving
en zo wordt stapje voor stapje alle nationale wetgeving buitenspel gezet en controleren, in theorie, de EU grootmachten (iig frankrijk, duitsland) alle andere landen.

ik weet niet of ik daar nou blij van moet worden

[Reactie gewijzigd door mschol op 16 december 2015 09:10]

Waar haal jij de informatie vandaan dat langzaamaan alle nationale wetgeving vervangen word door europese verordeningen? Als dat zo is dan zouden daar toch statistieken over te vinden moeten zijn? Ik kan in ieder geval niks daarover vinden. En om bij 1 verordening dan gelijk zonder onderbouwing te roepen dat de EU al onze nationale wetgeving vervangt, vind ik wat te snel gaan.
Kijk bijvoorbeeld eens op http://www.europa-nu.nl/id/vh7bhpblc5za/verordening om te zien welke veroderingen onder handen zijn.

En mag ik TTIP noemen?
Ja mag TTIP, nsds ook.

Dat zijn contracten die wij aan gaan. Die niks beter dien dan dat we nu hebben, 1 ding en dat is geld van de overheid( belastingbetaler ) uit kloppen met miljarden claims per bedrijf per rechtzaak. En daarmee zal ook ons democratie teniet gedaan worden.

Zoek maar naar tv programma: tegenlicht TTIP.

Dit was zendtijd voor publieke partijen (wat ze zouden moeten uitzenden ipv die brainwash)
De scope van TTIP is zorgwekkend, de invulling van NSDS ook.

Dat neemt niet weg dat er wel degelijk een probleem is dat ze met NSDS proberen aan te pakken.

Je zal maar net geinvesteerd hebben in een kerncentral ein Duitsland en Fukushima gebeurt. In een totaal overtrokken reactie heeft Duitsland aangekondigd alle kerncentrales te sluiten. Daar gaan je miljoenen (miljarden?).

Of je hebt je contractueel verplicht om een kolencentrale bij Hamburg te bouwen. Je hebt alles berekend en je kan er een winst marge op maken. Nadat alles getekend is wijzigt men de milieu richtlijnen en diezelfde centrale zal nu opeens niet of een stuk minder winstgevend zijn.

In beide gevallen roept het land pech, dat is de wet.

Of je hebt net geinvesteerd in een land en men besluit de boel te nationaliseren. Dag geld!

Dat zijn legitieme issues die men met ISDS wil oplossen. Naar mijn mening zou echter een rechtbank in het land zelf op basis van internqationale verdragen de schade moeten bepalen, niet een internationaal tribunaal.
Waarom zou een regering aansprakelijk moeten zijn in deze zakelijke risico's? Regeringen doen immers ook geen aanspraak op winsten die door veranderingen in de wet teweeg worden gebracht. Zolang het informatie-speelveld gelijk is, is inspelen op veranderingen altijd wat succes danwel verlies geeft. Onzekerheden worden direct uitgewisseld tegen hogere potentiele winsten of minder concurrentie. Daarbij is het als regering belangrijk direct & zuiver te kunnen handelen uit staatsbelang en dit niet gelijk te hoeven stellen met de inhoud van de staatskas.. Een laatste reden om het niet te doen is dat het de marktwerking verstoord door risico uit te bannen en zo inefficienties aan te moedigen, op kosten van de belastingbetaler terwijl de winst naar de aandeelhouders gaat.

[Reactie gewijzigd door CasparS op 17 december 2015 09:57]

Een bedrijf kapitalen in een project laten investeren, vervolgens de wet wijzigen en die investering waardeloos maken is geen ondernemersrisico maar onbehoorlijk bestuur, in strijd met zowel het zorgvuldigheids- als het vertrouwensbeginsel.

Terecht dat je dan als overheid de schade moet vergoeden.

Alleen zou dit niet bij een internationaal tribunaal moeten worden geregeld, maar 'gewoon' bij de bestuursrechter.
Er is er de overheid alles aan gelegen zich op te stellen als een verantwoordelijke en betrouwbare partner, maar verder zijn dit gewoon economische risico's waarvan het uiterst ongezond is wanneer de overheid hiervoor dwingend aansprakelijk kan worden gesteld. De staat heeft enkel verplichtingen tegen het volk, en de rechten van het individu worden enkel aan deze verantwoordelijkheid ontleend. Er is enkel een plicht aan de economie in zijn geheel en niet jegens losse bedrijven. Waar het ene bedrijf verliest wint namelijk het andere in een economie. en wetten veranderen niet zomaar, maar omdat dit het belang van het volk zou moeten dienen. Zo kan de maatregel juist bedoeld zijn een bepaalde industrie te ontmoedigen, en zijn deze veranderingen vaak ver van te voren aan te zien komen in de publieke opinie. Het is een keuze een bedrijfsmodel te laten afhangen op huidige marktomstandigheden of maatregelen met als oogmerk individuele winst. Voorbeeld; een boer is afhankelijk van het weer, maar kan op verschillende manieren met zijn risico omgaan (verschillende gewassen, kassen) en heeft hierin persoonlijk de verantwoordelijkheid, want eventuele winst is ook voor hem. Er zijn situaties te bedenken waarbij de overheid compenseert voor noodweer, maar dit moet pas gedaan worden wanneer het publiek belang in gevaar komt.

[Reactie gewijzigd door CasparS op 17 december 2015 12:04]

Leuk die vergelijking met het weer.

Dus in jouw ogen is nadeel hebben van het weer hetzelfde als nadeel hebben van de bewuste keuze van een bestuursorgaan?

Is in deze visie het weer geen natuurverschijnsel en gestuurd, of is onze overheid een slechtvoorspelbare niet beinvloedbare chaos?

De overheid moet het algemeen belang dienen, maar als ze daarmee onevenredig de belangen van individuen (of rechtspersonen) schaadt dienen die gecompenseerd te worden. Er is een grens waarna de willekeur van de overheid geen ondernemersrisico meer is.

Dat kan de overheid niet leuk vinden, maar dat is het gevolg van hun eigen keuze om dure openbare nuts bedrijven en infrastructuur te privatiseren. Als je zo zaken wil doen, moet je ook een betrouwbare zakenpartner zijn.
En CETA wil ik ook even noemen, eigenlijk hetzelfde als TTIP maar dan met Canada. De onderhandelingen van dat verdrag zijn verder gevorderd dan bij TTIP...
Gelukkig staat Canada qua regelgeving dichter bij Europa dan de VS. (Strenge regels ivm wapens, sociale zekerheid,...) Hierdoor verwacht ik ook een stuk minder problemen bij CETA dan bij TTIP. ;-)
Precies. Nederland mag een onderdeel zijn van de EU, maar ik woon nog steeds in een land waar de wetten compleet anders zijn dan in andere landen.
Volgens mij stem je ook voor een Europees parlement, net zoals je stemt voor de Tweede Kamer. De europarlementariërs waar jij op stemt zitten er ook voor jou (en mij). Europa is niet een abstract gegeven, het is een bestuurslaag met parlement, net als de Tweede Kamer, de provincie of je eigen gemeenteraad.
Ik heb tegen het toetreden van Nederland tot de EU gestemd, dat heeft de meerderheid van dit land destijds gedaan. Dus nee. Waar vaak wordt geroepen dat Europa goed is voor elk land met een lidmaatschap, heb ik er nog maar weinig van gezien.
Het lijkt me sterk dat je tegen de toetreding van Nederland tot de EU hebt gestemd, want daar is nooit een referendum over geweest.

Er was wel jaren geleden een referendum over een nieuw verdrag (de "grondwet"), dus dat zal je wel bedoelen. Het is dan ook niet zo gek dat je nog nooit een voordeel van lidmaatschap hebt gezien, waarschijnlijk kom je gewoon te weinig buiten.
Waarom denk je dat je nu 18 moet zijn om bier te kopen? Echt niet omdat onze overheid dat zo belangrijk vond. Er werd simpelweg vanuit Brussel geadviseerd dat het handig zou zijn om op 1 lijn te gaan zitten. Of anders....

zelfde verhaal met 21% btw, etc etc
Nou, het was natuurlijk al ruim daarvoor verboden om alcohol onder de 18 te drinken. Eigenlijk niet meer dan een logische stap om te zeggen dat ze het dan ook niet mogen kopen. Of dat nu vanuit de EU kwam of niet is wat dat betreft niet zo belangrijk.

De 21% BTW heeft denk ik niks met de andere eurolanden te maken, als je hier kijkt zie je dat er maar een paar andere landen zijn met hetzelfde tarief.
Duitsland heeft de meest stricte privacy wetgeving van europa, wie weet van de wereld. Daar wordt ik WEL vrolijk van. Data regulation = privacy, voor diegene die dat niet wisten.
Daar heb je wel gelijk in, maar die gaat nu dus ook veranderen, toch?
En daarom was Merkel ook niet afgeluisterd :P En daarom werd er ook niet zown probleem van gemaakt dat ze afgeluisterd was :P o o wat een privacy :D (niet trollent bedoeld)

[Reactie gewijzigd door illecoco op 16 december 2015 11:44]

Ja en ondertussen worden de bevoegdheden voor de politie en inlichtingendiensten alleen maar uitgebreid. Ontsleutelplichten, bewaarplichten, enz. Nederland is een van de landen waar het meest afgeluisterd wordt (en niet alleen per inwoner maar absoluut)

Deze regels gelden alleen voor het bedrijfsleven.

[Reactie gewijzigd door GekkePrutser op 16 december 2015 15:26]

Er zijn uiteraard nadelen aan verbonden, maar als kleine landjes kunnen wij Belgen en Nederlanders niets betekenen in de globale economie. Als een eengemaakt Europa hebben we daarentegen wél gewicht in de schaal te leggen en kunnen we op 'gelijke' voet met US en CN onderhandelen (of met Google, Facebook en dies meer).
Ja dat is leuk in theorie, maar in de praktijk is de EU een grote kostenpost voor ons terwijl we altijd al een sterke economische positie op wereldniveau hadden.

Wat wel handiger is dat het door eenduidige wetgeving -voor zover die er in de EU is- het makkelijker word voor bedrijven buiten de EU om zaken met ons te doen. Het is een stuk minder gedoe om diensten aan de EU aan te passen dan aan ieder land afzonderlijk, zodat er minder snel een bedrijf zal besluiten om niet eens de moeite te nemen.
Ja dat is leuk in theorie, maar in de praktijk is de EU een grote kostenpost voor ons terwijl we altijd al een sterke economische positie op wereldniveau hadden.
Daar ben je wel zeer optimistisch. Sinds het hoogtepunt in de 17° eeuw is het voor ons alleen maar bergaf gegaan wat betreft 'wereldniveau'...
Zonder eengemaakte EU is er niets dat verhindert dat een 'lidstaat' een fiscale maatregel neemt waardoor bvb hardware en gadgets plots 10% goedkoper zijn dan in de buurlanden. In geen tijd verhuizen alle webwinkels naar die 'lidstaat' (en gaan de BE en NL winkels dicht) en verdwijnt er werkgelegenheid.
De globale economie maakt alles zodanig mobiel dat kleine verschillen in fiscaliteit grote verschuivingen met zich mee kunnen brengen, met grote gevolgen voor de bevolking. Ofwel ga je alles bilateraal of multilateraal regelen, ofwel treed je toe tot een groter geheel, met harmonizatie als doel. Dat daar kosten aan verbonden zijn, is vanzelfsprekend.
Over de werking en de bevoegdheden van dat groter geheel kan je discussiëren, maar niet over het principe.
Datzelfde heb je in het verleden kunnen zeggen over lokale wetgeving die werd overruled door landelijke wetgeving. En maakt het echt wat uit? Als je kijkt waar in Nederland het meest over wordt geklaagd, dan zijn dat landelijke thema's. Zorgverzekering, hogere AOW leeftijd, studieleenstelsel, dat soort zaken. De EU richtlijnen die worden (vaak nog in aangepaste vorm ook) in Nederland worden omgezet in wetten zijn vaak beter voor de gemiddelde burger dan de landelijke wetgeving die daarvoor van toepassing was. Denk aan consumentenbescherming, en in ons vakgebied afschaffen van roamingtarieven.
Weet iemand hoe dit zit voor het incident management proces?

Voor het oplossen van incidenten met klantgegevens, heb je veelal tooling die je helpt bepaalde stappen te registreren. In deze tooling sla je de gegevens ook van klanten op.

Vallen deze gegevens hier dan ook onder? Het is immers klantendata...
Daarnaast heb je natuurlijk nog de vraag wie er allemaal toegang moeten hebben tot deze gegevens en zou je de klanten hiervan ook op de hoogte moeten brengen (dat hun data opgeslagen is voor x jaren)?

Het kan volgens mij nog complexer worden als de tooling in de Cloud staat, misschien zelfs in de VS...

Ik ben benieuwd of dit ook is meegenomen in (de nadere uitleg van) deze wetgeving...
Dat is een kwestie van de juiste dataset definieren lijkt me. Alleen registreren wat absoluut nodig is voor uitvoeren van het werk en het probleem is opgelost. Mochten er dan toch klachten komen, maar je kunt aantonen dat je die zaken echt nodig hebt om het probleem op te lossen, dan mag dat echt wel. Als een probleem op een fysiek adres moet worden opgelost dan ontkom je er immers niet aan om NAW gegeven in een systeem op te slaan dat ook nog eens door diverse mensen in verschillende rollen benadert moet kunnen worden.
Wat GJvdZ hier zegt. Dataminimalisatie (alleen opslaan/verwerken wat je écht nodig hebt) staat wel in de verordening. Daarbij: In de komende jaren zul je overspoeld worden met bedrijven en bedrijfjes die je hier expertise op willen gaan aanbieden. Ik had het afgelopen half jaar al elke week naar twee of drie bijeenkomsten over 'de nieuwe richtlijn', 'de nieuwe boeteregels' of 'de meldplicht datalekken' kunnen gaan zoveel uitnodigingen heb ik hiervoor zien langs komen (al dan niet met terechte verwerking van mijn gegegvens hiervoor trouwens, maar dat is een andere discussie).
Ik zal het wel niet snappen. De wetgeving gaat in 2018 in, maar vanaf 1 januari 2016 (over 2 weken) kunnen al boetes worden opgelegd?
De boetebevoegdheid van het College bescherming persoonsgegevens (vanaf 1 januari Autoriteit Persoonsgegevens) is toegevoegd aan de nationale Wet bescherming persoonsgegevens (Wbp), tezamen met een meldplicht voor datalekken. Boetes kunnen oplopen tot 820.000 euro of 10% van de jaaromzet. Deze wetswijziging is per 1 januari 2016 van kracht.

Dit artikel gaat over een soortgelijke Europese wet waarbij dus ook een boetebevoegdheid zit inbegrepen. Deze kan dus vanaf 2018 van kracht worden.
daar even op inhakend: de DPA/CPB heeft niet verplicht gesteld dat er een privacy officer in het leven wordt geroepen. Dat doet de EU versie wel.

Verder: de CPB versie heeft veel voeten in de aarde waarbij de meldingsplicht het meest promint aanwezig is. Vergis je niet over de impact; de meldingsplicht is OOK van toepassing op het verlies van USB sticks / diefstal en ransomware. Terrecht of niet is discutabel maar .. voor bedrijven gaat het primair om dat het te managen moet zijn. Het rapporteren van het verlies van een USB drive is moeilijk te managen bij bedrijven van die omvang.
College bescherming persoonsgegevens = cbp. Cpb is centraal plan bureau die allerlei berekeningen maakt en stats levert.
helemaal gelijk!
Meer dan de helft van de bedrijven denkt een boete te moeten betalen onder de nieuwe regels.
Meer de dan de helft van de bedrijven is daar helemaal niet groot genoeg voor. De regels gelden niet zijn minder streng (tnx hAl) voor kleine bedrijven. Het zal dus wel zo zijn dat meer dan de helft van de grote bedrijven een boete vreest. Dat doen ze toch wel want de meesten zoeken de grenzen op, waar die ook liggen.
Als ze hun gedrag niet aanpassen krijgen ze een boete maar ze kiezen vast wel eieren voor hun geld.

Mooi. Goed zo. Zo hoort het. Een wet maken waar niemand "last" van heeft is zinloos. Wetten gaan altijd over wat er verkeerd gaat. Als iedereen het vanzelf goed doet hebben we geen wet nodig.

We weten dat het een rommeltje is op dit gebied. De meeste bedrijven klungelen maar wat aan met hun IT en hebben geen besef van welke gegevens ze hebben, waar ze zijn opgeslagen of hoe ze zijn beveiligd. Na jarenlang data bij elkaar te hebben geharkt mag er ook wel eens met de bezem worden gewerkt. De archieven puilen uit van data die is verzameld en opgeslagen "omdat het kan" en die niet wordt weggegooid want "je weet het nooit" en "het kost toch niks". Deze wet geeft een goede reden om alleen te bewaren wat echt nodig is.

[Reactie gewijzigd door CAPSLOCK2000 op 16 december 2015 13:02]

De regels gelden niet voor kleine bedrijven
De privacy regels gelden wel degelijk ook voor kleine bedrijven.
Alleen bepaalde zwaardere eisen in de richtlijn zoals het hebben van een data protection officer gelden alleen voor grote bedrijven of bedrijven die dataverwerking als hun core busines hebben.
Is er een deskundige in de zaal die bijvoorbeeld dit document:
Facebook Privacy uitleg
naast deze nieuwe wetgeving kan leggen?
Want ik vind het ver gaan dat Facebook gegevens over personen zelfs op TV mogen belanden. En als je echt helemaal tinfoilhat gaat en je facebook account opzegt dan is dat nog geen garantie dat wat anderen over je zeggen niet op TV belandt, alleen je eigen informatie kun je verwijderen.
En verder hoe verhoudt zich dit tot de Universele verklaring voor de rechten van de mens waarin gesteld wordt dat iedereen het recht heeft informatie in te winnen?
Je hebt het recht informatie in te winnen zolang je er maar voor betaald.
Welkom in information-era, enjoy your stay.
Als de bedrijven bang zijn voor een boete dan moeten daar dus iets aan doen. Als ik achter het stuur ergens altijd 80 rij en de maximum snelheid wordt op die weg verlaagd moet ik ook zachter gaan rijden.

Er zal nu wel flink gelobbyd worden door bepaalde bedrijven om de wet alsnog niet goed te laten keuren. Het zou mij niets verbazen als deze wet er alsnog niet komt.

[Reactie gewijzigd door Vexxon op 16 december 2015 08:58]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True