Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Stemwijzers passen beleid aan na waarschuwing Autoriteit Persoonsgegevens

Door , 63 reacties

Meerdere stemwijzers hebben hun werkwijze aangepast nadat de Autoriteit Persoonsgegevens hun erop heeft gewezen dat ze gebruikersgegevens verwerken zonder de vereiste toestemming. Stemhulpen sloegen data als politieke voorkeuren langer op dan nodig.

Verschillende stemwijzers sloegen ingevulde gegevens over politieke voorkeur en geloofsovertuiging voor lange of zelfs onbepaalde tijd op, constateerde de AP eerder bij een analyse van 24 van dergelijke online diensten. Wat betreft politieke voorkeur werden de gegevens in gevallen samen met het ip-adres of e-mailadres opgeslagen.

Volgens de AP raakt dit aan het kiesgeheim: "Het is van groot belang dat mensen zich onbespied weten bij het invullen van gedetailleerde vragen over hun politieke voorkeuren." De verwerking van de gegevens gebeurde zonder voorafgaande nadrukkelijke toestemming van gebruikers en dat is in strijd met de Wet bescherming persoonsgegevens.

De diensten moeten de onrechtmatig opgeslagen gegevens vernietigen of anonimiseren. Daarnaast moeten ze uitdrukkelijk toestemming vragen. Een aantal van de diensten heeft volgens de AP de beleidsverandering inmiddels doorgevoerd; de overige hebben toegezegd dit te gaan doen. Om welke stemwijzers het gaat meldt de privacywaakhond niet. Eerder dwong de AP de stemhulpen om trackers te verwijderen en https te gebruiken.

Olaf van Miltenburg

Nieuwscordinator

Reacties (63)

Wijzig sortering
Graag zou ik zien dat er boetes worden uitgedeeld aan partijen die zich niet aan de wet houden.
De Autoriteit Persoonsgegevens (Voorheen het CBP) kn ook boetes uitdelen. Tot maximaal 800.000 EU, zo even uit mijn hoofd.
Maar in dit geval hebben ze dus ervoor gekozen om rst een waarschuwing te geven, zodat de Stemwijzers eerst nog de kans hebben het zelf te kunnen oplossen
De vraag is alleen, als dezelfde personen die erachter zitten, dan een nieuw iets opzetten onder een andere naam en weer betzelfde flikken, krijgen ze dan wel een boete, of komen ze dan weer met de waarschuwing, want nieuw?!
Als deze personen daar een apart/nieuw bedrijf voor oprichten, dan kunnen ze wederom een boete krijgen ja. Het toezicht van de AP richt zich namelijk op organisaties.

Het hangt af van de zwaarte van de overtreding, of ze een boete krijgen of eerste een waarschuwing. De AP hanteert daar diverse criteria voor. (Zie website AP)
Door niet naar buiten te brengen welke websites gewaarschuwd zijn, is het wellicht wel lastig voor gebruikers om te controleren f en tot wanneer deze gegevens niet meer (onveilig?) zijn opgeslagen op een manier die te herleiden is tot personen, waardoor deze gebruikers hun gegdrag hier niet op aan kunnen passen.
De AP publiceert wel hun onderzoeken, waarin bedrijven met naam worden genoemd
(zie als voorbeeld bijvoorbeeld het onderzoek "Gebruik ID scanners in de horeca" onder het kopje "zwarte lijst"

https://autoriteitpersoon...l/publicaties/onderzoeken
Ik ben dan wel benieuwd naar de reden voor het niet naar buiten brengen van bedrijven waar het nu om gaat. Misschien om het risico op benvloeding van verkiezingen zo klein mogelijk te houden? (imho valide reden)
Goede vraag, Je genoemde reden zou best wel eens kunnen ja

Het gaat zich in elk geval om "24 interactieve stemhulpen" , waarvan stemwijzer.nl er n van schijnt te zijn, aldus

https://www.autoriteitper...eveiliging-na-optreden-ap

https://www.autoriteitper...kwijze-aan-na-optreden-ap
Persoonlijk vind ik dat in ieder geval stemwijzer.nl best een boete had mogen krijgen, aangezien ze al eerder op de vingers zijn getikt, vanwege het gebruik van trackers.
(nieuws: Autoriteit Persoonsgegevens en ACM dwingen StemWijzer om trackers te ...) .

Het zou me overigens niets verbazen als politieke partijen goud geld zouden neertellen om deze informatie in te mogen zien. Dit waarschijnlijk om in te schatten waar ze het beste campagne kunnen voeren voor een zo hoog rendement (?). Waarschijnlijk is hier niets mis mee, maar op de een of andere manier geeft me dit een beetje een nare smaak in de mond. Het wordt zo alleen maar meer 'marketing', in plaats van (nieuwe) idealen.
Typisch Nederlands om altijd eerst een waarschuwing vooraf te moeten geven.

Van deze organisatie mag je verwachten dat ze correct handelen en nu blijkt dat dit niet het geval is mag de AP wat mij betreft het toekomstige belastinggeld alvast innen.

Ik ga ervan uit dat men aldaar genoeg juristen in dienst heeft om voor die tijd al tot deze conclusie te komen.
Eerst waarschuwen is wel zo netjes toch? Laten we het beschaafd houden. Nu de waarschuwing uitgedeeld is kan er alleen maar harder opgetreden worden mocht men dit blijven doen. Die keer mt boete. Want dit gaat wel een beetje (bewust) te ver:
De AP constateerde dat sommige stemhulpen de ingevulde politieke voorkeuren of adviezen in combinatie met een IP-adres of e-mailadres voor lange of zelfs onbepaalde tijd bewaarden.
Waarom echter eerst waarschuwen ?
Of krijg je bij door rood licht rijden ook eerst een waarschuwing ?

Dit gaat ook niet om tante Nel die een website opzet en zich niet realiseert wat ze doet...
Een waarschuwing is gratis, een boete niet. Tegen een boete gaat het slachtoffer namelijk protesteren en waarschijnlijk eindigt dat in een rechtszaak en dat is duur. Het geld van de boet gaat waarschijnlijk de schatkist in dus het maakt niet uit of ze winnen of verliezen, het kost een hoop geld.

Als je moet kiezen tussen 100 waarschuwingen uitdelen of 1 rechtszaak uitvechten dan moet je je afvragen waarmee je het meeste bereikt. Boetes opleggen is immers geen doel op zich, het doel is zorgen dat onze gegevens veilig zijn.
Een waarschuwing is gratis, een boete niet. Tegen een boete gaat het slachtoffer namelijk protesteren en waarschijnlijk eindigt dat in een rechtszaak en dat is duur. Het geld van de boet gaat waarschijnlijk de schatkist in dus het maakt niet uit of ze winnen of verliezen, het kost een hoop geld.
Als ze de beboete partij de rechtszaak verliest dan mogen ze ook opdraaien voor de kosten daarvan.

Iedereen schreeuwt altijd 'zwaarder straffen' (ondanks dat straffen in Nederland relatief zwaar zijn), behalve als het om organisaties gaat die persoonsgegevens misbruiken. Zo blijft misbruik winstgevend, want er is geen reden om het niet te doen. Als een bedrijf 'gepakt' wordt dan krijgt die toch alleen maar een waarschuwing.
Als ze de beboete partij de rechtszaak verliest dan mogen ze ook opdraaien voor de kosten daarvan.
Dat is geen automatisme en het dekt zelden alle kosten. Als je de zaak wint dan kan de rechter een onkostenvergoeding toewijzen voor de proceskosten en het salaris van je advocaat, maar meestal maak je nog veel meer kosten (al is het maar je eigen tijd) die je niet meer terugkrijgt.
Iedereen schreeuwt altijd 'zwaarder straffen' (ondanks dat straffen in Nederland relatief zwaar zijn), behalve als het om organisaties gaat die persoonsgegevens misbruiken.
Jammer dat je dat in reactie op mij zegt want ik vind juist dat er te veel en te zwaar gestraft wordt. In mijn ogen is straf een middel en geen doel op zich. Het doel is een gedragsverandering. Vaak zijn er betere manieren dan een straf om die verandering te bereiken.
Zo blijft misbruik winstgevend, want er is geen reden om het niet te doen. Als een bedrijf 'gepakt' wordt dan krijgt die toch alleen maar een waarschuwing.
Ik geloof niet dat deze gegevens zijn opgeslagen om er geld aan te verdienen, niet rechtstreeks in ieder geval. Ik denk dat die gegevens vooral zijn bijgehouden "omdat het kan", "om te debuggen", "je weet nooit wat je er later nog aan hebt" of zelfs "dit framework logt nu eenmaal alles, handig toch?".

Je kan zo'n website wel 800.000 euro boete opleggen maar dat geld hebben ze niet en gaat er ook niet komen. Dan verdwijnt de site en komt er volgend jaar een andere voor terug die precies dezelfde fouten maakt. De vervelende realiteit is nu eenmaal dat de meesten niet weten wat de regels zijn en daar ook niet mee bezig zijn. Je kan dan maar beter proberen om de huidige spelers te onderwijzen dan om ze te straffen.

[Reactie gewijzigd door CAPSLOCK2000 op 10 maart 2017 21:18]

In Nederland wordt iedereen geacht de wet te kennen. Jammer maar helaas dat zo'n bedrijf dan niet meer bestaat, maar ze horen bestraft te worden.

En dan maakt het mij echt niet uit welke filosofie er achter de straf zit.

Het helpt niet om nu clementie te tonen, want deze sites groeien als paddenstoelen uit de grond. Ik verwacht binnenkort de TweakersWijzer.

Door te straffen weten toekomstige sites meteen hoe het zit als je kloot met andermans privacy.

Goed gedrag hadden ze thuis bij pap en mam moeten leren.
Als het goed is zijn de personen die dit bedrijf hebben gestart bekend, geef ze een boete en plaats ze in een register zodat ze nooit meer in staat zijn een nieuw bedrijf te starten.

Nu de wet nog aanpassen zodat dit mogelijk wordt gemaakt.
Ik ben er totaal niet mee eens. Als jij een stemwijzer maakt, dan weet jij ook dat er een kiesgeheim bestaat en dat dat bij wet geregeld is. Als je dan een app bouwt, weet je ook dat je aan die regels moet houden. Het eerste wat je dan doet is uitzoeken wat mag en wat kan. Ik kan niet geloven dat er zo amateuristisch mee omgegaan wordt. In de tussentijd lopen burgers onnodig risico. Het mag niet, ze hadden het moeten weten en ze hadden de plicht om het goed te doen want ze werken met data van burgers. Niks "ooops.. dat wisten we niet". Als je niet weet hoe het zit, zoek je het uit of laat je het uitzoeken. Dat hoort er gewoon bij.

Dit geldt ook niet alleen voor het stemmen. Dit geldt ook voor onderwijs, zorg en met name de ziekenhuizen. Als er een politieagent, minister of iemand van defensie een usb stick met gevoelige informatie laat liggen in de trein dan is het ook een schande. Dit is niet anders.

Ik heb het niet over een lek. Dat kan altijd. Maar ik ga er wel van uit dat je het systeem laat controleren door bekwame personen als je het zelf niet in huis hebt. :(
Voor zover ik weet, wordt je inderdaad duidelijk uitgelegd dat je niet door rood mag rijden als jij je Theorie behaald hebt.

Verder staan er voor snelheidsboetses e.d. ook wel bordjes die je waarschuwen.

Bij niet alle zaken wordt dit met de paplepel ingegoten. Het is nooit leuk om een boete te krijgen voor iets waarvan je niet wist dat het zo zat. In het verkeer kun je dit dan weer wel weten.
Personen en organisaties worden geacht de wet te kennen. "Wir haben es nicht gewut" is geen excuus.

Een fietser hoeft geen theorie geleerd te hebben, en wordt ook geacht niet rechtdoor of linksaf door rood te rijden.
Mijn punt zit 'm meer in het volgende.

Iemand zet nu een website online, waarbij je van te voren weet dat er honderduizenden mensen naar gaan kijken en gegevens invullen.
Deze websites beginnen dit te verwerken, mogen we er met zn allen vanuit kunnen gaan dat dit op een terecht wijze gebeurt ? Ik denk het wel.

Voorbeeld; ik koop een karretje en ga bij de Arena staan en hotdogs verkopen. Allemaal over datum, vieze handen totaal geen hygine.
Ik verdien hier 15.000 euro aan.
Moeten we het normaal vinden dat wetten moedwillig genegeerd worden (verwijtbaar gedrag) en mensen hier met een waarschuwing vanaf moeten kunnen komen ? Terwijl de wet voorschrijft dat er gewoon boetes uitgedeeld kunnen worden.

Piraterij idem. Facebook account aanmaken, 50.000 euro verdienen aan films streamed. Maar later zeggen :" oh sorry wist niet dat dit niet mocht. Ik heb namelijk nooit een examen "niet illegaal streamen" gevolgd."
Er zullen vast stemwijzers tussen zitten die ook al voor de tracker op hun vingers getikt waren. Ze hoeven niet gepampert te blijven worden. Als jij zo'n dienst opzet en daar vervolgens ook nog eens een leuk bedraag aan subsidie vanuit de overheid voor naar binnen harkt mag daar best tegenover staan dat je gedegen onderzoek doet naar wat wel en niet mag
En hoe zou je deze boete dan verdeeld zien?
De slachtoffers van dit soort schendingen zijn meestal gebruikers.
Een boete betekent niet direct dat de mensen waarvan het de gegevens zijn direct gecompenseerd gaan worden. Het gaat er om dat de stemwijzers (al dan niet bewust) persoonsgegevens hebben opgeslagen en daar mogelijk iets mee zouden kunnen doen. Bij wet mag dat niet dus daar dienen ze voor bestraft te worden.
Een boete betekent niet direct dat de mensen waarvan het de gegevens zijn direct gecompenseerd gaan worden.
Dat zeg ik ook niet, maar zij zijn zeker wel het slachtoffer.
dus daar dienen ze voor bestraft te worden.
Daar ben ik het mee eens, wel na een waarschuwing natuurlijk.

Ik zeg niet dat de slachtoffers vergoedingen moeten krijgen, maar op zijn minst een bericht met een sorry of iets dergelijks. Nu worden slachtoffers niets laten weten terwijl hun privacy is geschonden. Terwijl er wel degelijk op de achtergrond onderzoeken lopen.
Ik zeg niet dat de slachtoffers vergoedingen moeten krijgen, maar op zijn minst een bericht met een sorry of iets dergelijks.
Je eerste bericht suggereerde duidelijk iets anders:
En hoe zou je deze boete dan verdeeld zien?
Daredevil reageerde daar op, met in mijn ogen een goed antwoord. Ik ben het overigens volledig eens met je opmerking dat mensen wiens persoonlijke gegevens te lang bewaard zijn geweest hiervan bericht zouden mogen krijgen (mits hun contactgegevens niet al verwijderd zijn, natuurlijk ;))
Daar ben ik het mee eens, wel na een waarschuwing natuurlijk

Hoezo een waarschuwing? Ze weten heel goed aan welke regels ze zich dienen te houden. Het kan tegenwoordig niet zo zijn dat iemand een we site bouwt en zich niet realiseert dat er regels zijn rondom privacy.
Als je je daar om wat voor reden dan ook niet aan houd: boete.
Een waarschuwing? Kreeg ik maar eens een waarschuwing na te hard rijden?
Je word weggemod, maar je hebt gewoon gelijk. De desbetreffende regels zijn al lang bekend, vaak besproken er horen gewoon meegenomen te worden tijdens de ontwikkeling van het product.
Als je je in die business begeeft dien je de regels te kennen of voor je afdeling juridische zaken hoort dat uit te pluizen.

Bij het ontwikkelen krijg je een bepaalde keuze. Gaan we gegevens en ip adressen opslaan of niet. Dan hoor je beide mogelijkheden te onderzoeken.
En hoe zou je deze boete dan verdeeld zien?
De slachtoffers van dit soort schendingen zijn meestal gebruikers.
Je verwart een boete met een schadevergoeding.

Als je door rood rijdt krijg je een boete, ook als er verder geen schade is.
Klopt inderdaad |:(
Ik vraag me af welke mensen pers zulke websites nodig hebben om te gaan stemmen?
De algemene richting welke je wilt volgens weet jezelf toch wel, makkelijk zat om op de website van die partijen even zelf kijk en vergelijk te doen?
Mooi op tijd dan weer. Tegen de tijd dat het verwerkt is zijn de verkiezingen weer voorbij.
Dat maakt weinig uit, als het maar vernietigd wordt en ze het in de toekomst niet meer doen.
Behalve dat we niet zoveel weten over hoe veilig deze gegevens opgeslagen zijn tt het moment dat deze verwijderd of geanonimiseerd worden.
Nee, maar dat weten we sowieso al niet... Daar zit dus vrij weinig verschil.
Natuurlijk is elke dag dat het langer opgeslagen is zonde, maar intussen is de impact gewoon marginaal.
Of tot ze uitgelekt worden ...
Grote vraag is natuurlijk: "Wat gebeurde er met deze data?". Doorverkocht aan derden, vrijelijk gedeeld met Google, facebook, etc of enkel voor intern gebruik?

Enfin, die vraag wil ik graag beantwoord zien.

[Reactie gewijzigd door bombadil op 10 maart 2017 14:04]

Dan ga je alle deze websites af en stel je die vraag. De kans is groot dat dit puur voor statistieken bewaard was. Veel ontwikkelaars e.d. hebben echter vaak niet door dat veel informatie al privacygevoelig is. Zoals bijv. een IP adres.
Precies dit. En niet alleen de ontwikkelaars, maar ook de organisaties die het ontwikkelen van een dergelijke site uitbesteden (want de meeste doen dat niet zelf) hebben vaak ook geen idee dat de informatie die opgeslagen wordt, volgens hetgeen ze functioneel uitgewerkt hadden, dus herleid kan worden, en daardoor privacygevoelig is. Er is meestal geen enkele intentie met kwade bedoelingen. 99% van de tijd gaat het om onkunde of onwetendheid.
Waarom kan zo'n stemwijzer niet gewoon client-sided werken? Ik neem aan dat de resultaten simpelweg worden berekend aan de hand van de gegeven antwoorden. Dan heb je helemaal geen server meer nodig.
Omdat het naast wijzers ook peilers zijn.
Dit zijn bedrijven die weten hoe gevoelig deze informatie is, die toch echt zouden moeten weten hoe het juridisch werkt....maar dan toch lekker doen wat ze zelf willen.
Dan is gelijk een zware boete uitdelen of site sluiten toch wel op zn plaats.
Nu hebben ze mogelijk hele boeiende informatie voor een hele mooie prijs verkocht, en komen ze weg met een tik op de vingers.
En de volgende keer weer, en weer etcetc
Waar baseer je dit op? Het lijkt mij namelijk dat als jij niet voor n van de organisaties werkt die bij deze stemwijzers betrokken zijn geweest, in welke houdanigheid dan ook, dat je dergelijke uitspraken helemaal niet kunt doen, en dat je scorekaart een beetje raar is.
Volgens jou mag ik, als gebruiker van de website, die niet voor zo'n organisatie werkt, niet verwachten dat een site zich aan de wetgeving houdt en bestraft mag worden ?

Wanneer ik als medewerker in de zorg, een website ga opzetten voor patinten, en dit onbeveiligd doe (of de data anderzijds verkeerd opsla ) denk je dat ik dan een waarschuwing krijg ? Of wordt er van mij verwacht dat ik me gewoon aan de wet hou ?

Je opmerking over " je score kaart" ...geen idee wat je daar mee wil suggereren.

Als opdrachtgever ben je gewoon medeverantwoordelijk. Had je maar zaken moeten doen met een gerenomeerd bedrijf.
Anders wordt het excuus "ja maar ik heb het uitbesteed aan iemand op Marktplaats, dus niet mijn fout.

Of ben je het daar niet mee eens ?
Onwetendheid. Dat is het gros van dit soort fouten, maar jij schaart het direct onder opzettelijk foutief handelen.
Ik vraag me af hoe ze weten dat al deze data opgeslagen wordt. Je moet dan al inbreken op hun systemen lijkt mij.

Een google analytics of andere javascript tracker kun je zo eruit vissen.. maar serverside kom je alleen achter wanneer je in de systemen zit.
Controleren of de boel vernietigd is wordt ook lastig en biedt achteraf sowieso geen zekerheid meer. En wat als de AIVD deze informatie alsnog in handen krijgt om verdachten van terrorisme te vinden? De gegevens dat men zich niet lijkt te willen uitlaten over welke stemwijzers hierbij betrokken waren en hoe dit gebeuren is geconstateerd zijn als je het mij vraagt een goeie reden om achterdochtig te worden. Horen we hier eerlijk nieuws of is dit domhouderij?

[Reactie gewijzigd door blorf op 10 maart 2017 16:28]

Ik neem aan dat zij wel de voorwaarden eens gelezen hebben.
Ga naar zo'n site, doe de survey. Kom 30 uur later terug en je ziet dat ze jouw voorkeur opgeslagen hebben. Kom dan terug met ander IP en je ziet dat ze je voorkeur niet meer weten. Dan is al een eerste aanwijzing lijkt me dat ze je gegevens aan een IP koppelen. And so on.

[Reactie gewijzigd door gas0line op 11 maart 2017 11:18]

het is nu wel duidelijk dat stemwijzers incomplete informatie leveren over partijen.
Stemwijzer is gesubsidieerd miljoenenbedrijf (ProDemos) en laat trackers op je los.
En zijn trouwens geen vragen opgenomen in StemWijzer voor Privacy en Online Veiligheid onderwerpen.

Steun http://stevenliemberg.nl/stemscript/ om je eigen StemWijzer te genereren.
Stemwijzer heeft dit initiatief al aangevallen

[Reactie gewijzigd door kabal op 10 maart 2017 14:04]

Vind je het heel vreemd dat Stemwijzer het initiatief heeft 'aangevallen'? De complete inhoud van Stemwijzer wordt gewoon gejat om zijne te gebruiken. En hij heeft het wel zo leuk opgezet dat het vast juridisch door de beugel kan (handleiding maken hoe de gebruiker het in zijn tool moet kopieren), maar dat veranderd niks aan de situatie.
Vind je het heel vreemd dat Stemwijzer het initiatief heeft 'aangevallen'?
De complete inhoud van Stemwijzer wordt gewoon gejat om zijne te gebruiken.
uuhhh, dit is zwaar gesubsidieerd initiatief van Publiek geld !!
Hoe kan een commercieel bedrijf verdienen aan ons Stem gedrag? Juist ja door onze data te verkopen. Alle aspecten vh stemmen dienen beschermd te worden. Aan deze processen hoort geen commercieel bedrijf van te profiteren.
Eigen mening is blijkbaar uit de boze, we hebben sites nodig die ons vertellen wat we zelf vinden....triest.
Ik vertrouw de stemwijzer(s) sowieso niet. Ik zoek het zelf wel uit wat bij mij past.
Ik heb de stemwijzer ook gebruikt. Je kan wel makkelijker een overzicht krijgen van partijen die niet dezelfde denk wijzen hebben als jezelf. Ik kijk dan altijd nog op de websites van de partijen zelf om te kijken of het ook echt wat is.

Maar mensen moeten wel snappen dat slechte stemwijzers die door jan en alleman in elkaar zijn gezet, allemaal neppe informatie kan voorschuiven. Dus ik snap zeker dat je zo over stemwijzers denkt.
Voor alle moeilijke problemen zijn er eenvoudige oplissingen die helaas het verkeerde antwoord zijn.
De onderwerpen waar een regering over gaat passen al niet op 1 A4'tje, laat staan de oplossingen.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*