Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Bedrijf achter Ragnarok-games weert vanaf 25 mei Europese gebruikers om AVG

Gravity Interactive heeft via zijn uitgever WarpPortal bekendgemaakt geen spelers uit de EU meer tot zijn games toe te laten na de inwerkingtreding van de algemene verordening gegevensbescherming op 25 mei. Het gaat om spellen als Ragnarok Online en Dragon Saga.

Het bedrijf heeft de wijziging op zijn eigen WarpPortal-forum aangekondigd, in een thread zonder reactiemogelijkheden. Daarin schrijft het dat de blokkade plaatsvindt op basis van ip en dat deze geldt voor alle Europese gebruikers, met uitzondering van Russische spelers en mensen in het Gemenebest van Onafhankelijke Staten met landen als Kazachstan, Wit-Rusland en MoldaviŽ. Het geeft geen reden voor de beslissing, anders dan een 'wijziging in zijn voorwaarden'. Mogelijk kan het bedrijf niet aan de AVG-verplichtingen voldoen of is het economisch niet interessant.

WarpPortal heeft wijzigingen doorgevoerd aan het einde van zijn voorwaarden en privacybeleid, waarin het schrijft dat Europese gebruikers niet langer welkom zijn. Spelers reageren kritisch in een ander forumtopic en willen hun geld terug. WarpPortal schrijft in de aankondiging dat het aankopen die spelers hebben gedaan tussen 1 februari en 30 april zal vergoeden. Het bedrijf heeft verschillende spellen op zijn naam staan.

Door Sander van Voorst

Nieuwsredacteur

26-04-2018 • 11:35

221 Linkedin Google+

Submitter: Xaverius

Reacties (221)

Wijzig sortering
Ik ben geen jurist maar volgens mij komen ze er hiermee niet eens mee weg! Immers, er zijn veel mensen in Europa die een account bij hen hebben en ook die data valt onder de wetgeving. Dan mogen ze Europeanen wel gaan blokkeren maar zolang die data op hun servers aanwezig is moeten ze wel aan de Europese wetgeving blijven voldoen.
Gaan ze nu dan ook al die Europese accounts verwijderen?
Het maakt verder niets uit waar de locatie van het bedrijf is. Als ze informatie over Europeanen verwerken dan zullen ze aan de Europese wetgeving moeten voldoen of anders mag geen Enkel Europees bedrijf nog zaken met hen doen. Er zouden dan diverse sancties tegen hen kunnen volgen, als de EU echt wil dat ze die data wegdoen of anders de AVG accepteren.
Maar sowieso is dit ook een mooie indicatie voor spelers buiten de EU om hun relatie met dit bedrijf te herzien, omdat de AVG bedoeld is ter bescherming van de privacy waar dit bedrijf dus lak aan heeft. Als ik in Rusland of the US woonde dan zou ik mij hier toch flinke zorgen om gaan maken want dit bedrijf doet kennelijk "iets" met persoonlijke informatie dat niet door de beugel kan...
Volgens mij maakt de locatie van het bedrijf zeker wel wat uit. Als het bedrijf zich buiten de EU bevindt, is het niet zo dat ze moeten voldoen aan de GDPR alleen als ze zich ook richten op EU burgers?

Voorbeeld: Facebook is bezig om zijn HQ nu uit Ierland weg te halen. Daardoor hoeven niet alle accounts van Aziaten, Amerikanen, etc, te voldoen aan de GDPR maar alleen die van de EU-burgers.

Ik zie zo op Warpportal dat ook de Duitse taal te kiezen is. Dan zou je kunnen zeggen dat de site zich ook richt op EU (Duitse) burgers. Als ze die nu weghalen en bijvoorbeeld ook geen EU-specific server hebben (ik weet niet of ze die hebben nu), dan vallen ze sec gezien buiten de GDPR. EU-burgers gaan dan de EU-grens over om daar bij een Koreaanse gameserver hun game te spelen, daar heeft de EU niet zoveel mee te maken.

Lijkt me veel simpeler toch?
Het is nog vrij lastig om te bepalen of een bedrijf zich wel of niet op Europa richt, maar de aangeboden talen geven al een redelijke indicatie. De keuze voor Duitse, Franse of Nederlandse taal op de site is al een sterke indicatie dat men zich op Europa richt. Engels niet, want de Britten zijn met hun exit bezig.
Maar ook als je bezoekers uit Europa accepteert of betalingen vanuit Europa accepteert dan dan dat gezien worden als jezelf richten op Europa en dus val je dan snel onder deze wetgeving.
Dus als je direct kunt betalen via een Europese bank aan dit bedrijf dan zijn ze al op Europa gericht. En sommige banken werken internationaal zodat die al snel gedwongen kunnen worden om alle betalingen van en naar Europeanen aan dit bedrijf te blokkeren. Dus PayPal en MasterCard zouden dan een blokkade moeten opstellen zodat bewoners van de EU niet aan dit bedrijf kunnen betalen. En dan kan het gebeuren dat deze banken besluiten dat het eenvoudiger is om totaal geen zaken meer met dit bedrijf te doen...
Ja en in de VS spreken ze ook geen Engels natuurlijk, dat doen ze enkel in het VK...

Dat gedoe met “als je een bepaalde taal biedt richt je je op die markt” is zo onzinnig. In de VS zijn gebieden waar veel Duits wordt gesproken, ook zijn er gebieden met aardig wat Nederlandstaligen; ook in Afrika overigens. Frans spreken ze in half Canada ook. Spaans? Wat dacht je van Mexico en grote gebieden in de VS? Et cetera. Het is eigenlijk pure arrogantie om te stellen dat het bieden van een taal direct betekent dat je je (specifiek) op de EU richt. Het internet is nou eenmaal over vrijwel heel de wereld beschikbaar, enkel de taal van de site zegt niets over of je je op een geografisch gebied richt.

En dan ook language packs. Wordpress, opensource software, bijvoorbeeld biedt community translated taalpakketten aan. Als ze verder niets algemeens doen om zich te richten op de EU zouden ze dat toch doen vanwege het beschikbaar zijn van language packs? Wat een onzin. :)

[Reactie gewijzigd door WhatsappHack op 26 april 2018 13:43]

Het gaat dan natuurlijk om een indicatie, zoals hij ook aangaf. Hoe bepaald je dat een bedrijf in het buitenland zich richt op EU-burgers? De taal zou een indicatie kunnen zijn. Als je alleen een Google Translate-functie zou inbouwen zou het wellicht al weer iets anders liggen, de grenzen met de GDPR zijn dan soms ook wat vaag.

Dus met alleen taal ben je er niet. Met taal + een aparte sectie voor NL op een support forum + een mogelijkheid om met iDeal te betalen zeker wel.
Betalingen accepteren uit de EU schijnt volgens mij geen indicatie te zijn dat je je op de EU richt, immers heeft een bedrijf (Gravity) ook een bank die natuurlijk van elke andere bank geld kan accepteren. Als inzichtelijk is dat het merendeel van je betalingen uit de EU komen, dan zou het een ander verhaal zijn. Maar dan kom je natuurlijk bij jouw eerste zin: het is vrij lastig om dat te bepalen.
Het gaat niet over bedrijven, het gaat over personen.

> Voorbeeld: Facebook is bezig om zijn HQ nu uit Ierland weg te halen. Daardoor hoeven niet alle accounts van Aziaten, Amerikanen, etc, te voldoen aan de GDPR maar alleen die van de EU-burgers.

Die snap ik niet. Zelfs als ze in Ierland blijven hoeft de data van Amerikanen niet conform de AVG te zijn - die van Europeanen wel. Locatie veranderd helemaal niets.

Het gaat erom dat door deze wet persoonsgegevens van Europeanen eigendom van Europeanen zijn. Het maakt niet uit waar dit opgeslagen is, of dat ze zich richten op de Europese markt.
Het probleem is dat regelgeving niet zo eenvoudig is.
Inderdaad worden persoonsgegevens van EU Burgers beschermd door GDPR, maar in dit verhaal speelt iets meer.

ALLE data dat een bedrijf IN de EU verzamelt van personen moet ook aan diezelfde GDPR voldoen. Dus als Facebook in Ierland persoonlijke data opslaat/verwerkt van Amerikaanse (of welke andere nationaliteit dan ook) dan valt deze data in principe dus ook onder GDPR regels. Door data te verhuizen voorkomen ze dat de data van deze gebruikers in Ierland verwerkt worden en dus onder die GDPR zou gaan vallen.

Het is een algemeen misverstand dat met deze regelgeving alleen maar de privacy van Europeanen beter beschermd zou worden. Het gaat er ook om dat bedrijven die in Europa actief zijn goed met de privacy gevoelige data omgaan. Van iedereen.
Zoals Morten zegt is ieder bedrijf dat zich in de EU zetelt met al zijn data verplicht zich aan de GDPR te houden; dus ook als het over Amerikaanse burgers gaat. Een bedrijf in Amerika dient zich alleen te buigen over de GDPR als ze data van EU-burgers hebben, en dan ook alleen over die EU-burgers.

GDPR is zeer gericht op de rechten van personen, maar het gaat natuurlijk juist over bedrijven. Zij zijn immers beheerder van de data (Data Owners).
Ze kunnen deze data toch gewoon weggooien? Of mag dat ook niet?
Dat mag. Dan kunnen al die spelers ook nooit meer bij hun accounts. Alleen gooien ze dan ook waardevolle informatie weg en die willen ze juist behouden...
Dus ze gaan dit niet weggooien maar hopen gewoon op deze manier onder deze wet weg te komen...
Wie zegt dat ze die data willen houden?
die data kunnen voor de 25ste gewoon 'verkopen' aan een dochteronderneming
tja, dat is dan toch gewoon de schuld van de EU, niet die van hun. de EU zegt dat ze die informatie niet meer mogen hebben, dus gooien ze die weg. Gaan ze daarna toch aan de AVG voldoen dan is dat dus pech voor al die europese spelers dankzij de EU.. Dus in dat geval moeten de spelers boos worden op de EU, niet op dit bedrijf.
Waarom boos op de EU? Dit bedrijf was gewoon te beroerd om hun policy aan te passen en ze hadden daar verdomme 2 jaar de tijd voor!! Twee!! Dit gaat ze veel meer kosten dan wat het hun gekost zou hebben als ze wel alles hadden aangepast om aan de AVG/GDPR te voldoen want ze verdienden goed aan de Europese spelers vanwege de voor hen gunstige wisselkoers. Ik hoop dat dit bedrijf helemaal kapot gaat hierdoor.
Ja 'verdomme 2 jaar de tijd', maar wist dit bedrijf dat al wel 2 jaar, het is immers een amerikaans bedrijf die niet elke dag europees nieuws zit te volgen. ook hier is het voor veel bedrijven pas sinds vorig jaar eigenlijk werkelijk bekend toen het meer in het nieuws kwam. Omdat iets 2 jaar geleden is ingevoerd, wil nog niet zeggen dat men er ook van op de hoogte is.
Het is allemaal niet zo simpel als dat jij doet voorkomen. Een hoop tweakers denken daar echt veel te licht over.
Ja 'verdomme 2 jaar de tijd', maar wist dit bedrijf dat al wel 2 jaar, het is immers een amerikaans bedrijf die niet elke dag europees nieuws zit te volgen.
Gravity is zelfs een Koreaans bedrijf, nog onwaarschijnlijker dat ze europese wetgeving volgen.

En ik vind het super jammer dat ze de officiŽle servers ontoegankelijk maken aangezien Ragnarok Online in mijn ogen de beste MMORPG aller tijden is ook al is het erg oud.
Ze kunnen deze data toch gewoon weggooien? Of mag dat ook niet?
Dat moet zelfs als jij niet kan uitleggen waarom je die data hebt.
Als ze alle data van Europese spelers verwijderen, waarom zouden ze er dan niet mee 'wegkomen'? Ieder bedrijf staat het vrij om zelf te weten aan wie ze diensten willen aanbieden.

Ongetwijfeld doen ze 'iets' met persoonlijke data wat volgens de AVG niet door de beugel kan, maar dat is logisch: bijna iedere handeling kan standaard niet door de beugel, tenzij tot in den treure is vastgelegd wie, wat, wanneer en waarom. Deze draak van een wetgeving is momenteel dermate slecht uitgewerkt dat zelfs juristen niet alle impact ervan overzien en jurisprudentie zal moeten gaan uitwijzen wat de reikwijdte en exacte gevolgen van deze wetgeving gaan worden. Ik kan mij persoonlijk goed voorstellen dat een bedrijf onder deze voorwaarden niet in dit mijnenveld wilt opereren als dat economisch niet interessant is.
Ja, maar gaan ze alle data ook weggooien? Dit bedrijf heeft kennelijk bepaalde bedoelingen met deze informatie die niet door de AVG beugel passen, anders zouden ze er gewoon aan voldoen.
Ja, het is een draak van een wetgeving en er zijn er genoeg die er al over klagen maar ondertussen loopt het aantal schendingen van al die privťdata ook de spuigaten uit. Er moet iets gebeuren. En dan is een super-strikte regelgeving die her en der afgezwakt kan worden toch handiger dan slappe regelgeving die steeds verder verstevigd moet worden.
Dus laat de AVG maar eerst in werking treden en dan zien we later wel waar het knelt...
Je hoeft niets te doen met de data om toch aan de AVG te moeten voldoen he...? Enkel het opslaan van de data betekent dat je moet voldoen. Je hoeft de data niet te delen/verkopen of andere gekke dingen te doen.

Dus “niet door de AVG-beugel” is al heel erg snel zonder dat je ook maar iets doet met de data buiten het opslaan.

Men trekt veel te snel de conclusie dat ze iets met die data willen zoals verkopen, maar dat hoeft helemaal niet.
Je hoeft niets te doen met de data om toch aan de AVG te moeten voldoen he...?
Sterker nog.
Volgens mij mag je data waarvan er niet meer een zwaarwegend belang bestaat dat dat in je bezit is helemaal niet meer in je bezit zijn en moet je dat gewoon vernietigen.

[Reactie gewijzigd door Koffiebarbaar op 26 april 2018 14:07]

Dit bedrijf heeft kennelijk bepaalde bedoelingen met deze informatie die niet door de AVG beugel passen, anders zouden ze er gewoon aan voldoen.
Dat is volledig jouw interpretatie van dit verhaal, het kan net zo goed zijn dat ze niet aan alle administratieve voorwaarden van de AVG kunnen voldoen (bijv. documentatie van welke/waarom/hoe de data precies opgeslagen wordt, wie er bij kan en wie er wanneer en wat mee heeft gedaan of afsluiten van de verwerkersovereenkomsten tussen leveranciers c.q. 3e partijen) en de investering van dit op orde krijgen economisch niet rendabel is (inclusief het risico op de potentieel forse boetes als er ergens toch een foutje gevonden wordt).

Het blokkeren van ons Europeanen houdt niet automatisch in dat ze meteen ook kwaadaardige bedoelingen hebben met de data van hun gebruikers. Overigens sluit ik echt niet uit dat het niet zo kan zijn, maar op basis van dit verhaal kan je deze conclusie simpelweg niet trekken.

[Reactie gewijzigd door Aganim op 26 april 2018 13:49]

Als ze zich terugtrekken van de Europese markt (in zijn geheel en niet enkel met dit product), dan heeft de EU ook niks meer over hun te zeggen. De Europese regelgeving geldt alleen voor partijen die actief zijn op de Europese markt.
Ze hebben dus twee opties: volledig voldoen aan de GDPR of zich geheel terugtrekken van de Europese markt.
Wat een faal. De AVG ligt er nu al sinds mei 2016. En in die twee jaar tijd hebben ze blijkbaar te weinig/geen meters gemaakt dat het blokkeren van 510 miljoen mensen een betere optie is.
Nou ja... het vertelt je ook meteen hoe een bedrijf denkt over de privacy van zijn gebruikers. Ik verwacht inderdaad dat het voornamelijk niet economisch interessant is, want ja data verkopen is lucratief. Maar goed met een dergelijk bedrijf zou ik nieteens willen werken.
Het geeft dus aan dat ze privacy hoog in het vaandel hebben zitten.
De AVG brengt voor veel developers enorme kosten met zich mee en dat moet je als bedrijf natuurlijk wel terug verdienen of kunnen investeren.
Dit bedrijf heeft ervoor gekozen die weg niet in te slaan en ipv de regels aan hun laars te lappen en de regels te overtreden neemt dit bedrijf de juiste keuze namelijk de service gewoon stop zetten en niet meer leveren.

Jij trekt conclusies op basis van wat?? Lucht?
Ze weigeren aan strengere privacyregels te voldoen, dus ze hebben privacy hoog in het vaandel zitten? Wat een rare conclusie.
Nee hoor. Dat hoeft niet. De strengere regels houden ook in dat je inzicht moet geven. Bepaalde dingen openbaar moet hebben.
Deze wet slaat helemaal nergens op en is een gedrocht(vraag mar aan een willekeurige vereniging). Kost veel te veel geld en is onuitvoerbaar behalve voor grote bedrijven.

Er is hier gewoon geen conclusie mogelijk.
Wij zijn een heel klein bedrijf (waarbij ik voor alle technische aspecten zorgdraag) en voldoen prima, ook namens onze grote klanten. Onzin.

Is de wet perfect? Natuurlijk niet, het probeert over een geheel continent met vele landen 1 richtlijn te trekken. Ik steun echter wel de achterliggende gedachte - inzicht en controle op de data van jou als consument. Daar draait de wet om. En als je daar niet aan wilt voldoen of de kosten niet wilt dragen is dat natuurlijk een keuze, maar wat mij betreft een slechte.
Er zit een groot verschil tussen de kleine bedrijfjes met een of twee mensen die zorg dragen voor de IT infrastructuur en bedrijven die dat doen met grotere teams. Bedrijven die voor een deel moeten leven van de data die zij over hun gebruikers verzamelen al is het maar om te zien welke delen van de content wel en niet veelvuldig gebruikt worden door de klanten.
De regelgeving en de vereisten van deze wet zijn zeer verstrekkend en zeer complex in veel gevallen niet uit te voeren dan wel te controleren. Er zijn zeer veel bedrijven die omdat ze leven van data niet zo maar kunnen beschrijven wat er al dan niet met de data gebeurt omdat dat simpel weg om bedrijfskritische processen gaat die men niet zomaar met de buitenwereld kan delen zonder het verdienmodel in gevaar te brengen omdat concurrenten dan te veel inzicht krijgen in hoe zij te werk gaan.

Dat het voor een klein bedrijfje met een relatief klein aantal klanten mogelijk is om aan deze regels te voldoen wil echt niet zeggen dat dat voor alle andere bedrijven ook het geval is. Daar naast vraag ik me af of binnen het bedrijf waar je werkt er ook een juridisch expert heeft gekeken naar het geen dat gedaan is om aan de wet te voldoen dat jij denkt dat het voldoende is wil nog niet zeggen dat er geen juridische haken en ogen aan zitten die jij ondanks al je kennis en expertise niet kan overzien, net zo min als dat je instaat bent om even de accountant te vervangen om nieuwe boekhoudregels door te voeren.

Zelf heb ik jaren mogen werken in posities waar ik veelvuldig voor nieuwe wetgeving veranderingen moest doorvoeren voor van alles en nog wat dan wel gegevens moest leveren in verband met rechtszaken en ik kan je met redelijke zekerheid zeggen dat ondanks dat je denkt alles netjes gedaan te hebben er best nog wel eens dingen kunnen zijn die jij als IT expert niet zou hebben bedacht zonder dat er een juridisch expert de regels heeft doorgespit en voorstellen heeft gedaan om bijvoorbeeld data net wat langer te bewaren.
Een mooi voorbeeld waar ik nooit aan gedacht had was dat men in Frankrijk een regel heeft dat alle data met betrekking tot commercieel transport 10 jaar lang beschikbaar moet zijn. Klinkt simpel toch gewoon de backups 10 jaar bewaren en alles komt goed... maar als je de interpretatie van de regels bekijkt blijkt dat dat niet correct is, je moet namelijk ook de systemen die deze data weer geven 10 jaar bewaren zo dat de data in de originele context bekeken kan worden. Dus ook alle software die gebruikt wordt om de data de tonen aan de eindgebruikers moet je 10 jaar lang bewaren.
Klinkt nog steeds redelijk simpel tot je je bedenkt dat als de software 10 jaar geleden draaide op een exotisch platform je dus ook de hardware 10 jaar lang moet bewaren omdat je anders de software niet meer kan draaien...
En op eens is een simpele bewaar termijn van 10 jaar uitgegroeid tot een nachtmerrie om te implementeren.
Het is juist voor die grote data processors extreem belangrijk dat ze zorgdragen voor de opslag en het delen van de data! Daar draait het om. Dat het lastig is voor ze doet me des te meer twijfelen over de correctheid van het verwerken bij dat soort bedrijven. Security through obscurity werkt niet. En met de juiste juridische koppen krijg je het wel zo op papier dat er geen gevaar is voor het verdienmodel.

Bij ons heeft er inderdaad een juridisch expert naar gekeken, ook omtrent verzekeringen en vanuit contracten en subbewerkersovereenkomsten ter beschrijving van de verantwoordelijkheden en kosten.

Ik vind persoonlijk dat de GDPR relatief meevalt in zijn complexiteit. Net als bij alle wetten is het strict opgeschreven. Bij Microsoft zal er meer op de letter gekeken worden dan bij Koos van de schaakclub. Het gaat om de kern - heb jij voldoende stappen ondernomen om te voorkomen dat er een datalek plaats kan vinden. "Voldoende" is bewust vaag, en dat werkt dus twee kanten op.

Wij hebben stappen ondernomen, en hebben het volste vertrouwen eraan te voldoen. Of dit juist blijkt weet je pas bij de eerste gevallen en het ontstaan van de jurisprudentie, of een gecertificeerde audit. Tot die tijd blijft het voor iedereen giswerk, maar moet mijns inziens de insteek zijn - doe er wat aan!
Grappig, dat is een herkenbare uitdaging. Voor mensen die in de asfaltbranche werken moesten wij gezondheidsgegevens 60 jaar op slaan en aantoonbaar beschikbaar houden voor als er een beroepsgroepen-ziekte zou ontstaan. Maar niemand verteld erbij hoe je uberhaupt iets voor 60 jaar kan opslaan. Om papier te bewaren moet je al best flink verbouwen om de luchtkwaliteit te borgen. Maar om digitaal zaken zo lang op te slaan moet je vrijwel continu blijven testen of de data nog leesbaar is. En continu data overzetten van medium naar medium in de jaren.

Inmiddels ben ik uit die branche en heb ik geen idee ůf het jaar 60 opslaan van medische gegevens an sich nog wel mag.
Er zijn zeer veel bedrijven die omdat ze leven van data niet zo maar kunnen beschrijven wat er al dan niet met de data gebeurt omdat dat simpel weg om bedrijfskritische processen gaat die men niet zomaar met de buitenwereld kan delen zonder het verdienmodel in gevaar te brengen omdat concurrenten dan te veel inzicht krijgen in hoe zij te werk gaan.
Koel! Laten het nou exact dŪe bedrijven zijn die de oorzaak van deze wetgeving zijn! Dat soort bedrijven heeft de afgelopen jaren onze privacy met voeten getreden en daarom moeten ze zich nu verantwoorden.

Ik ben dus enorm blij met deze wetgeving. Ik hoop dat de bedrijven die geld verdienen aan mijn data zich niet aan deze wet (kunnen) houden en dus opgedoekt worden. De wereld zou daar zeker niet slechter van worden.
Heb jij dan al een audit laten uitvoeren om te controleren of je volledig aan de AVG voldoet? zo niet, hoe weet je dan zo zeker dat je het prima voldoet. Als jij dus degene bent die hiervoor zorgdraagt, weet je zeker dat je niets over het hoofd hebt gezien? Of als jij voor alle technische aspecten zorgdraagt, hoe weet je zo zeker dat degene die jou de opdracht heeft gegeven wel alles goed voor jou uitgezocht/gespecificeerd heeft? Daar komt dan ook nog eens bij, verschillende interpretaties..
Dat zeg ik onderaan mijn reactie? En er bestaat nog geen audit voor, omdat de wet nog nieuw is. Enige audit die je laat doet controleert alleen of hun interpretatie overeen komt met de jouwe.

"Of dit juist blijkt weet je pas bij de eerste gevallen en het ontstaan van de jurisprudentie, of een gecertificeerde audit. Tot die tijd blijft het voor iedereen giswerk, maar moet mijns inziens de insteek zijn - doe er wat aan!"

Je weet het gewoon niet, maar de wet is er niet om degene af te straffen die 1 regel over het hoofd ziet maar duidelijk de effort erin heeft zitten. De wet is er om degene te straffen die zonder blikken of blozen doorgaan met hun foute praktijken, die duidelijk niks hebben gedaan om de privacy van de gebruiker te beschermen.
Wij zijn op werk het bedrijf aan het preppen voor de regels en zo moeilijk is het niet (en zoveel kost het ook niet). De regels zijn streng maar niet heel raar ofzo.

Als je roept dat de wet nergens op slaat noem dan wel even wat dan precies nergens op slaat.
Dit heb ik al vaker proberen aan te geven. Maar klagen, inhoudsloze kritiek uiten en afgeven op zaken is veel makkelijker op het internet. Anders zou je verdieping moeten zoeken en bronnen en verstand van zaken hebben over alles waar je een mening over hebt!

Een wet of een verordening een gedrocht noemen zonder er iets van af te weten is van alle tijden.
Het is een gedrocht voor allerlei organiaties (met name sportclubs enzo) die gewoon geen kennis hebben. Al jaren hun best doen om alles veilig te houden. En nu kosten moeten maken om zoiets te regelen.

Ja een gedrocht. Met name door het gebrek aan flexibiliteit.
Het zal voor de gemiddelde sportclub meer schrikken zijn dan een daadwerkelijk probleem. De data die ze beheren is relatief beperkt en makkelijk om te zetten naar AVG/GDPR-compliancy. Iemand daar zal die taak op zich moeten nemen maar als je kijkt naar de volgende punten uit de GDPR:

The right to access
The right to be informed (transparency)
The right to have information corrected
The right to be notified

The right to be forgotten*
The right to data portability*
The right to restrict processing*
The right to object*

De eerste vier moesten al, waren niet nieuw. Echt nieuw zijn diegene met een *
Als een vereniging, sportclub, etc alle Excel- mailing- lijsten met persoonsgegevens een keer goed herstructureert moeten ze direct iedereen kunnen verwijderen die aanspraak doet op het 'recht op vergetelheid'. En als een sportclub ineens persoonsgegevens wil gaan verkopen zullen ze dat dan inderdaad eerst aan iedereen moeten vragen. Maar als een sportclub gewoon een sportclub blijft voorzie ik, behalve een keer een brok werk aan inventarisatie, geen grote problemen.

Tenzij ik ernaast zit natuurlijk en iets helemaal vergeet. Is hier wellicht iemand werkzaam bij een vereniging/sportclub die hierover gaat?
hoofdelijk aansprakelijkheid als bestuur wat hard in de wet staat wel.

De wet is op sommige punten zo hard (de vraag is of het ooit zo gespeeld gaat worden) dat je daar niet vrolijk van wordt.

Maar simpele vragen:
Een verslag van een wedstrijd met namen?
Een foto waar iemand duidelijk herkenbaar op staat?
Verspreiden van e-mail adressen onder de leden(mag waarschijnlijk niet zomaar).

Data op dropbox zetten omdat dat handig met delen?

Een promotieactie met e-mail adres dat moet je ineens op papier hebben staan. Vroeger verzond je de e-mail en gooide je alles weg. Prima, maar nu moet dat op papier staan.

De wet is opzich gewoon goed laat dat duidelijk zijn en eigenlijk veranderd er niks. Maar het op papier zetten kost clubs geld. En dat geld krijgt niemand meer terug. Deze wet kost kleine clubs bij elkaar miljoenen. En bedankt EU. Als ze als eens begonnen waren met een gratis versie van wat het NOC nu aanbied voor 10 euro dan hadden ze in ieder geval wat goodwill gekweekt.
Wat is er met het wedstrijdverslag? Die kan je gewoon maken. Leden zullen alleen bij inschrijving akkoord moeten gaan met dat de kans bestaat dat er iemand is die hun namen koppelt aan een wedstrijdomschrijving. Lijkt me verder geen probleem. Idem voor de foto. En de e-mailadressen van de voorzitter, penningmeester, etc. Het gaat er niet om dat het niet meer mag, het gaat erom dat het niet zůmaar meer mag. Er komt een component van goedkeuring bij.

Data op DropBox zetten is prima. Maar de GDPR geeft aan dat je 'adequate beveiligingsmaatregelen' moet treffen, dus als je dat wil doen moet je de boel wellicht versleutelen.
Als je al jaren je best doet om alles veilig te houden hoe moeilijk kan het dan zijn om te voldoen aan de AVG? Of bedoel je al jaren vertellen dat je toch echt wel je best doet om alles veilig te houden, maar ondertussen er niks mee doet?
Wat is er niet flexibel? De wet is risico gebaseerd en houdt rekening met de aard en grote van de verantwoordelijke en de verwerkingen.
Als jij als sportclub allerlei gegevens van kinderen bij wilt houden moet je daar verantwoord mee omgaan. Hoe lastig kan het zijn?
Dat lig maar net aan wat voor een bedrijf je hebt lijkt mij.

Het ene bedrijf zal veel meer gegevens van personen verwerken (lees: aantallen en meer dan alleen naam/adres) dan het ander.

Hierdoor zal inderdaad het ene bedrijf 1-2-3 klaar zijn terwijl het andere bedrijf misschien wel tegen aanpassingen in de software aankijkt = meer kosten.
En wat nu als je daar geen geld voor vrij kunt maken?
Het lijkt mij ook niet dat dit een onmogelijke taak is; ook niet voor grote bedrijven.

Bovendien hadden we de WIV (sinds 2001 ofzo?) al en het stapje naar de GDPR valt eigenlijk best wel mee. Bedrijven die niet voldeden aan de WIV krijgen het een stuk zwaarder lijkt mij.
Ik werk voor een bedrijf die bezig is met een soort data classificatie tool voor databases, voornamelijk voor de GDPR maar deze zou ook ingezet kunnen worden voor de AVG.

Het is een classificatie en anonimisatie tool wat voor de MKB interessant is, Voor kleine bedrijven misschien ook te doen maar dan moeten ze wel een enterprise SQL servers hebben.

In de tool kan je op database tot aan kolom niveau data classificeren. wanneer dit gedeeld wordt met derden of van productie naar test gaat dan kan je met 1 knop de data anonimiseren zodat het niet herleid kan worden naar een persoon of entiteit, het blijft werkbaar data.

Het hoeft niet veel tijd en geld te kosten als je maar de juiste tools en aanpak gebruikt!
Ik werk voor een bedrijf die bezig is met een soort data classificatie tool voor databases, voornamelijk voor de GDPR maar deze zou ook ingezet kunnen worden voor de AVG.
De AVG is de GDPR.

Het idee van een regulation of in het nederlands; verordening, is dat deze direct overal in de EU als wet geldig is. Dat is anders dan een directive; of richtlijn, die eerst in nationale wetgeving omgezet moet worden. (Bij richtlijnen is er dan ook nog de mogelijkheid om van zaken af te wijken op nationaal niveau, wat via een vereiste tot een bepaalde vorm van harmonisatie met de richtlijn weer verboden kan worden.)
Welk probleem hebben verenigingen dan?
Ik heb net de classificatie voor de EHBO vereniging klaar. Je moet gewoon kunnen aangeven welke data je opslaat en waar je het voor gebruikt. Daarnaast kunnen leden als ze de vereniging verlaten, aangeven dat ze geheel gewist willen worden.
Zolang je geen medische gegevens op slaat is het allemaal goed te doen. Je zet het ťťn keer op papier en bij elke aanvraag stuur je hetzelfde briefje de deur uit eventueel met de gegevens die je hebt.
Bij de meeste verenigingen is dat niet meer dan naam, adres, telefoonnummer en emailadres. Soms nog een geboortedatum erbij en mogelijk een lidmaatschapnummer. Meer heb je als vereniging niet echt nodig en het is vrij eenvoudig uit te leggen waar je het voor nodig hebt.
Hoeveel meer privacy wil je hebben dan niet vermeld kunnen zijn in hun systeem, omdat je Europeaan bent?
Hoeveel meer privacy wil je hebben dan niet vermeld kunnen zijn in hun systeem, omdat je Europeaan bent?
Niemand weet of de accountgegevens verwijderd gaan worden en niemand weet of de gegevens die reeds met derde partijen gedeeld zijn ingetrokken gaan worden. Niemand weet eigenlijk ook maar iets van de details, omdat - zoals gewoonlijk bij WarpPortal / Gravity Interactive - communicatie met de buitenwereld een teringbende is.

Wat mensen die al langer rondhangen in hun games en het wereldje er omheen wel weten of denken is dat WP/GI met 10+ miljoen in het rood, een dikke schuld open heeft staan; dat ze het geld absoluut niet hebben om de infrastructuur of de processen van de bedrijfsvoering te verbeteren; dat ze waarschijnlijk hele schimmige zaakjes met spelersgegevens doen om van die schuld af te komen; en dat een miljoenen-boete vanuit de GDPR als die smeerpijperij aan het licht komt, hen definitief zou nekken.

(En dat, als er na zo'n voorval nog verder gespit gaat worden, er vast nog een paar van de stropdassen aan het hoofd van die organisatie een paar jaartjes naar hotel bajes kunnen verhuizen.)

[Reactie gewijzigd door R4gnax op 26 april 2018 20:14]

[...]


Niemand weet of de accountgegevens verwijderd gaan worden en niemand weet of de gegevens die reeds met derde partijen gedeeld zijn ingetrokken gaan worden. Niemand weet eigenlijk ook maar iets van de details, omdat - zoals gewoonlijk bij WarpPortal / Gravity Interactive - communicatie met de buitenwereld een teringbende is.
Iedereen weet dat als je gegevens van EU burgers opslaat of opgeslagen hebt, je onder de AVG-regelgeving. Dus je eerste punt lijkt me onzin. Als ze die gebruikers nu gaan weren, betekent dat ook dat ze eenmaal verzamelde data zullen verwijderen. Anders kun je net zo goed door gaan. De AVG zegt niet zozeer wat over het verzamelen van persoonsgegevens, maar om het opslaan en beveiligen ervan.
Iedereen weet dat als je gegevens van EU burgers opslaat of opgeslagen hebt, je onder de AVG-regelgeving. Dus je eerste punt lijkt me onzin. Als ze die gebruikers nu gaan weren, betekent dat ook dat ze eenmaal verzamelde data zullen verwijderen. Anders kun je net zo goed door gaan. De AVG zegt niet zozeer wat over het verzamelen van persoonsgegevens, maar om het opslaan en beveiligen ervan.
Iedereen weet wel dat het bij WP/GI een organisatorische janboel is en dat het competentie-niveau zo treurig is dat als iets te verneuken valt, WP/GI het uiteindelijk altijd ook zal verneuken. Dat is dan ook waarom ze 10+ miljoen in het rood staan.

Dus... zou het vreemd zijn als ze in de veronderstelling zijn 'er van af te zijn' door enkel de kabels met de EU af te snijden? Nee. Niet echt. Dat zou eigenlijk compleet in lijn zijn.

Pak de popcorn maar vast: dit gaat een leuke worden.

[Reactie gewijzigd door R4gnax op 26 april 2018 20:37]

Maar dit gaat hen ook nekken want volgens mij hadden de Europese spelers ook een aanzienlijk aandeel in hun inkomsten van in-game aankopen. Ongeacht welke weg ze in hadden geslagen, ze gaan op termijn over de kop.
Maar dit gaat hen ook nekken want volgens mij hadden de Europese spelers ook een aanzienlijk aandeel in hun inkomsten van in-game aankopen. Ongeacht welke weg ze in hadden geslagen, ze gaan op termijn over de kop.
Ze waren feitelijk toch al jaren stervende; miljoenen in het rood, zonder ooit een teken te geven er nog uit te komen.
Ze weigeren aan strengere privacyregels te voldoen, dus ze hebben privacy hoog in het vaandel zitten? Wat een rare conclusie.
Ik ben geen jurist, maar volgens mij voldoen ze hiermee aan de strengere wetgeving.Ze kiezen er voor om geen persoonsgegevens meer te verwerken. Daarmee gaan ze zelfs verder dan de wet voorschrijft.
...Jij trekt conclusies op basis van wat?? Lucht?
Die opmerking is zeer treffend.

Lijkt me dat Ragnarok juist privacy zeer laag in het vaandel heeft zitten.
De AVG zou voor Game Developers geen (of nagenoeg geen) kosten met zich meebrengen.

Lijkt me dat Ragnarok de afweging heeft gemaakt tussen de "inkomsten van EU gamers" versus "Inkomsten uit handel/gebruik van userdata".

Zij hebben dus sinds de aankonding van de EU regels de regels aan hun laars gelapt en 2 jaar lang gebruikersdata geharvest en users laten betalen en trekken er nu, last minute, de stekker eruit voordat het tot een rechtzaak komt.
Zij hebben dus sinds de aankonding van de EU regels de regels aan hun laars gelapt en 2 jaar lang gebruikersdata geharvest en users laten betalen en trekken er nu, last minute, de stekker eruit voordat het tot een rechtzaak komt.
Dus ze hebben data van gebruikers uit de EU, daarmee vallen ze toch sowieso onder GDPR of ze het nu leuk vinden of niet. Of zie ik het verkeerd?

Ze dienen dan nu ook al deze data van de EU gebruikers te vernietigen, dit te bevestigen aan de betreffende gebruikers. Ik zou in theorie alsnog een verzoek tot vergeten kunnen indienen welke ze alsnog moeten uitvoeren.
Dus ze hebben data van gebruikers uit de EU, daarmee vallen ze toch sowieso onder GDPR of ze het nu leuk vinden of niet. Of zie ik het verkeerd?
Tenzij ze die data niet meer hebben op het moment dat de wetgeving daadwerkelijk van kracht wordt. Als ze nu net een extra kolommetje "is_EU" hebben toegevoegd aan hun tabel met gebruikers en de avond van tevoren een "delete * from users where users.is_EU = 1" draaien, dan denk ik dat ze onder de GDPR uit komen.
Ze dienen dan nu ook al deze data van de EU gebruikers te vernietigen, dit te bevestigen aan de betreffende gebruikers. Ik zou in theorie alsnog een verzoek tot vergeten kunnen indienen welke ze alsnog moeten uitvoeren.
Dat verzoek om je data te corrigeren en/of verwijderen ("vergeetverzoek" gaat volgens mij specifiek over zoekmachines?) is grappig. Als ze je data toch al niet hebben (en er niet te verwijderen valt), dan kunnen ze het vrolijk negeren (het zou wel onbeschoft, maar niet illegaal, zijn om niet eens een antwoord te sturen). Op het moment dat ze je data wel hebben... dan weet ik niet wat er gebeurt. Aangezien ze zich specifiek niet op de EU richten (zie de nieuwe voorwaarden), kunnen we moeilijk claimen dat ze onder EU-wetgeving zouden moeten vallen. En wetten kunnen niet met terugwerkende kracht ingevoerd worden (dat is een belangrijke voorwaarde voor rechtszekerheid), dus zeggen dat ze onder de GDPR vallen omdat ze gegevens van EU-inwoners hadden toen de GDPR nog niet van kracht was is ook lastig.

Laten we het omdraaien. Een bedrijf vestigt zich in de EU en zet specifiek in zijn voorwaarden "inwoners USA, staatsburgers USA en iedereen die op welke manier dan ook onder USA wetgeving valt niet welkom" omdat ze koste wat kost niet onder de Patriot Act willen vallen. In die situatie vind ik het belangrijk dat die constructie ook echt werkt. Maar dan zie ik niet in hoe we (zonder hypocrisie en met-twee-maten-meten) Ragnarok wel onder de GDPR kunnen laten vallen...?
Je hebt een goed argument maar vergeet niet dat de GDPR regelgeving al geldt sinds 2016, er wordt pas vanaf 25 mei gehandhaafd, iets waar veel mensen zich in lijken te vergissen (en nu dan ook in paniek raken door deze wetgeving).

Het "vergeetverzoek" geldt, in GDPR, voor alle persoonsgegevens die een bedrijf verwerkt en daar moeten ze gehoor aan geven tenzij dit door andere wetgevingen niet mogelijk is. (denk bijvoorbeeld aan de 7 jarige bewaarplicht voor bepaalde medewerker gegevens (salaris) bij HR)

Artikel 3 van GDPR zegt feitelijk het onderstaande wat ook geldt voor bedrijven die buiten de EU opereren:
If you collect personal data or behavioral information from someone in an EU country, your company is subject to the requirements of the GDPR.

Dit geldt dus ook voor US bedrijven die een website opereren aangezien die website beschikbaar is vanuit de EU. Onder GDPR zou een IP blokkade en correcte privacy/T&C statement voor alle EU landen voldoende kunnen zijn maar indien een bedrijf de gegevens al heeft verzameld in de periode zonder die blokkade, GDPR applies.

Dus gezien het feit dat ze op dit moment de gegevens nog hebben van EU gebruikers en de EU ook toen nog binnen hun servicegebied was, vallen ze dus wel degelijk onder GDPR, tenzij, zoals we beide eigenlijk al aangaven, alle gegevens vernietigd worden maar volgens mij zijn ze dan nog wel verplicht dit te melden bij de betreffende gebruikers dat alle data ook daadwerkelijk vernietigd is.
Formeel gezien heb je gelijk. De vraag is alleen wat voor pressiemodel de EU heeft als het bedrijf zich geheel terugtrekt uit de Europese markt. Normaal gesproken bestaat het zwaarste middel uit het weren van de markt...
Zij hebben dus sinds de aankonding van de EU regels de regels aan hun laars gelapt en 2 jaar lang gebruikersdata geharvest en users laten betalen en trekken er nu, last minute, de stekker eruit voordat het tot een rechtzaak komt.
Ik zie het nog wel gebeuren dat er alsnog een rechtszaak komt. Niet over het schenden van de GDPR, maar over het oplichten van mensen die hun abonnement vooruit betalen en nu opeens (voor zover ik vast kan stellen, zonder restitutie) buiten geschopt worden. Eťn van de redenen dat dit soort wetgeving ruim van tevoren wordt aangekondigd is nou juist om lopende contracten (die je vanwege de nieuwe regels wilt afbreken) op een correcte manier te kunnen beŽindigen.
Ze doen dit echt niet om de Europese spelers te beschermen hoor. In plaats van hun systeem aan te passen en dus potentieel alle spelers gebruik te laten maken van extra privacyopties zeggen ze door alle Europese spelers te weren dat ze dit te ver vinden gaan. Hun goed recht natuurlijk. Maar wanneer er niet zulke hoge boetes aan hadden gezeten dan hadden ze het vast aan hun laats gelapt.
Ze doen dit echt niet om de Europese spelers te beschermen hoor.
Niet?

En de bedrijven die het wel aanpassen/toepassen? Die geven wel om privacy? Of geven ze om het geld wat hier te halen is?
Natuurlijk gaat het allemaal om geld. Daarvoor bestaat een bedrijf. Denk je dat ze zelf vergelijkbare aanpassingen zouden hebben gemaakt als de EU deze wet niet had doorgevoerd?

Mensen redeneren vaak met hoe een individu denkt over privacy, je hebt mensen die het koste wat kost willen beschermen en je hebt de mensen die zeggen "ik heb toch niets te verbergen". Bij bedrijven werkt het anders, je hebt een (grote) groep mensen die beslissen over zulke zaken, waarbij het gemakkelijk is om te zeggen "oh ja daar is iemand anders verantwoordelijk voor". In een bedrijf ben je vaak als individu niet verantwoordelijk voor hoe er met privacy wordt omgegaan. IT zegt dat het aan management ligt en management zegt dat het aan IT ligt, ga zo maar door.

En er zijn zeker ook veel bedrijven die zich wel netjes aan de regels houden, maar veel bedrijven die vinden het allemaal wel prima en geven liever geen geld uit om hun klanten te beschermen tegen hetgeen waaraan zij geld verdienen.

[Reactie gewijzigd door s1h4d0w op 26 april 2018 12:42]

Ja, maar jij hebt geen idee hoe hun systeem achterliggend in elkaar steekt, en misschien kost het wel heel veel meer om die systemen AVG compliant te maken dan dat ze inkomsten hebben. En als je dan dus nog een veel grotere groep mensen hebt waarvoor de AVG niet van toepassing is, dan is het een hele simpele keuze.. En misschien dat in de toekomst alsnog de boel wel AVG compliant is als er bij aanpassingen die toch gedaan moeten worden hier meteen dan rekening mee gehouden wordt. Beter om de gebruikers dan nu te weigeren, dan wel toe te staan en misschien een hoge boete kunnen krijgen als er weer gezeik blijkt te zijn.
Het geeft dus aan dat ze privacy hoog in het vaandel hebben zitten.
Of dat ze het de investering niet waard vinden. Dat is onafhankelijk wat ze van de privacy van hun gebruikers denken.
Het is voor mij veel beter dat een bedrijf aangeeft niet mee te doen dan dat ze nadien door een controle door de mand vallen en jaren misbruik gemaakt hebben van goed vertrouwen.

Iedereen is vrij van keuze om te kiezen op welke markt ze komen. Ik vermoed in de toekomst dat we wel nog meer bedrijven zullen zien dat niet investeren in AVG tot wanneer ze groot genoeg zijn om te beslissen dat de EU genoeg zal opbrengen.
Het is voor mij veel beter dat een bedrijf aangeeft niet mee te doen dan dat ze nadien door een controle door de mand vallen en jaren misbruik gemaakt hebben van goed vertrouwen.
Ze maken nu al misbruik van vertrouwen. Waarom denk je dat ineens de hele EU afgesneden wordt?
Omdat ze zich als de tering druk maken dat er dadelijk iemand alarm slaat en de beerput open gaat.

De ironie is dat door een actie als deze ook diverse organisaties in bijv. de VS of AustraliŽ wakker schieten en zullen gaan snuffelen, en ze - naast het feit dat een actie als deze min of meer een doodsvonnis is voor MMOs die toch al op sterven na dood waren - hun eigen ondergang hiermee in gang gezet hebben.

[Reactie gewijzigd door R4gnax op 26 april 2018 20:16]

Jij maakt het er weer veel te simpel van, voor bedrijven zijn er echt financieel zware gevolgen als er ook maar iets niet volgens de AVG is, en afhankelijk van wat voor service je levert kan het zijn dat de aanpassingen die nodig zijn om hier aan te voldoen veel hoger liggen dan wat het uiteindelijk oplevert. Mogelijk dat het team achter deze game gewoon te klein is om de aanpassingen van de AVG te doen voor het daadwerkelijk ingaan. Dan is het logisch om deze keuze te maken en later wel eens te kijken als je toch bezig bent met aanpassingen of als er wel ruimte is. Simpel zeggen dat ze dan maar iemand extra hiervoor in moeten huren zou werkelijk een gebrek aan realisme bij jou zijn.
Mogelijk dat het team achter deze game gewoon te klein is om de aanpassingen van de AVG te doen voor het daadwerkelijk ingaan.
De GDPR is feitelijk al sinds 2016 actief. Bedrijven hebben 2 jaar - tot aan aanstaande 25 mei - de tijd gehad om hun zaken ook echt op orde te krijgen, omdat er dan tot actieve handhaving overgegaan wordt.

Als het WP/GI bij analyse gerealiseerd had het budget niet te hebben om aan de GDPR te kunnen voldoen, dan hadden ze al veel eerder alles stop kunnen en moeten zetten.

Wat ze nu doen is paniekvoetbal in de hoop dat ze niet alsnog een megaboete op hun dak krijgen.
Nee omdat zij hele grote boetes kunnen krijgen.
Want er is gewoon met de AVG te leven als je het netjes in richt.
Ja, tuurlijk is met de AVG te leven als je het netjes in richt, maar dat wil niet zeggen dat het geen behoorlijke aanpassing aan jouw infrastructuur hoeft te behelzen, en dat je daar gewoonweg de capaciteiten niet voor hebt.
Waarom brengt dat enorm veel kosten mee?
Documentatie wat je opslaat zouden ze al moeten hebben en waar ze het voor gebruiken ook.
Daarnaast mag ik hopen dat de informatie ook al voldoende is beveiligd.

Blijkbaar willen ze er niet aan voldoen omdat ze daardoor inkomsten gaan missen omdat ze het bv niet meer mogen doorverkopen.
Enorme kosten? Ik denk dat dat reuze meevalt. Dit is gewoon pure onwil van het bedrijf en ik hoop dat dit hen uiteindelijk de kop kost. Ze verdienden volgens mij goed aan ze omdat de wisselkoers gunstig is dus dit gaan ze zeker wel voelen na 25 mei.
Ah ja de andere bedrijven die hun AVG aanpassen doen dat allemaal voor onze privacy, niet omdat ze anders (te veel) geld mislopen :Y)
Ook onder de AVG zijn er manieren om data te verkopen, zolang de gebruikers er maar actief mee instemmen.
Alsof al die 510 miljoen mensen gamen...

Als het meer gaat kosten an het op gaat leveren is het niks meer dan een financiele afweging (vrij normaal voor een bedrijf om die te maken).

Ze geven niet aan waarom ze het niet doen dus beetje voorbarig om conclusies te trekken...
Ach, het hoeft niet per se te betekenen dat ze de privacy niet respecteren, maar hun spelers respecteren ze zeker niet. Een maand van tevoren aangeven dat je er uitgegooid wordt, en dan bij klagen aangeven dat je van de afgelopen 2 maanden de aankopen zult vergoeden... Dat is niet hoe je met je spelers om wil gaan. Maar goed, het zal Gravity niet boeien want ze trekken zich immers uit deze markt terug. Alsnog echter niet netjes.
Het zal niet de eerste zijn die het op de plank legt en het er dan weer te laat af haalt.

En misschien was het een weloverwogen keuze op basis van kosten om het niet te doen.
Ze blokkeren geen 510 miljoen mensen. Ze blokken de mensen die hun games al spelen of willen spelen.
Mijn leven en ik schat 500 miljoen anderen veranderen hier niet door.

Maar als een bedrijf hier niet aan wil voldoen, moet je je ernstig afvragen of je Łberhaupt nog wel van de diensten van zo’n bedrijf gebruik wilt maken, zolang de wet (en blokkade) nog niet van kracht zijn.
Is wel simpel gezegd, is namelijk natuurlijk wel afhankelijk van hoeveel europese spelers ze hebben waarvoor de AVG van toepassing is. Waarom moeite doen als het aantal bv maar 1% is, maar de kosten om aan de AVG te voldoen veel hoger ligt dan de baten.. Vergis je niet, de AVG gaat best ver op sommige plekken. Ik garandeer je dat een hele hoop bedrijven in Nederland ook nog bij lange na niet voldoen aan alle punten van de AVG.
Ik vind Łberhaupt dat dit een beslissing is die niet door de beugel kan. Als ze dit echt willen doorvoeren dan vind ik dat ze niet alleen aankopen tussen 1 februari en 30 april moeten vergoeden, maar alle aankopen vanaf begin tot eind.. Ze kiezen er namelijk voor om alle gebruikers uit de EU te weren maar iemand kan vorig jaar aardig wat hebben gespendeerd en nu wegens deze nieuwe voorwaarde de game(s) niet meer mag spelen.

[Reactie gewijzigd door Tweakez op 26 april 2018 13:07]

In ieder geval vanaf mei 2016 (als dat het begin van AVG is).
Eens, vanaf de bekendmaking dat de wijziging eraan zat te komen. Dat zou het meest eerlijke zijn.
24 mei 2016 is de AVG in werking getreden.
De wet was 6 weken daarvoor aangenomen
dis∑cri∑mi∑na∑tie (de; v) 1het maken van ongeoorloofd onderscheid: rassendiscriminatie; positieve discriminatie waarbij bepaalde achtergestelde groepen een voorkeursbehandeling krijgen
(http://www.vandale.nl/gra...s/betekenis/Discriminatie)

Verder vallen de acties van Gravity Interactive gewoon onder het consumenten recht op online aankopen. Dus klacht bij de consumentbond of ACM indienen of slikken en accepteren als je dat tijdrovende karwei niet aanstaat.
Je haalt hier de definitie van discriminatie aan, maar geef je daarmee aan dat in jouw ogen dit dan discriminatie is? En zo ja - waarom zou een producent vanwege (strenge) richtlijnen niet mogen besluiten niet langer te willen of kunnen leveren aan bepaalde landen?
Discrimineert Signal de Russen omdat ze daar niet langer hun app aan mogen bieden, of zijn het de Russische wetten die Signal min of meer onmogelijk maken? Dat geldt dan voor de EU met GDPR ook?

Anderzijds - Gravity Interactive (volgens Wikipedia het bedrijf achter warpportal) heeft z'n hoofdkantoor in de VS. Wordt er van een puur (geen kantoren in de EU dus) Amerikaans bedrijf verlangd aan EU wetten te voldoen?

Edit - kennelijk wel. En dan is de taal waarin de website van de aanbieder/webshop is gesteld, voldoende:
#23:
Om te waarborgen dat natuurlijke personen niet de bescherming wordt onthouden waarop zij krachtens deze verordening recht hebben, dient deze verordening van toepassing te zijn op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie evestigde verwerkingsverantwoordelijke of verwerker wanneer de verwerking verband houdt met het aanbieden van goederen of diensten aan deze betrokkenen, ongeacht of dit verband houdt met een betaling. Om te bepalen of een dergelijke verwerkingsverant≠woordelijke of verwerker goederen of diensten aan betrokkenen in de Unie aanbiedt, moet worden nagegaan of de verwerkingsverantwoordelijke of verwerker klaarblijkelijk voornemens is diensten aan te bieden aan betrokkenen in ťťn of meer lidstaten in de Unie. De toegankelijkheid van de website van de verwerkingsverant≠woordelijke, van de verwerker of van een tussenpersoon in de Unie, van een e-mailadres of van andere contactge≠gevens of het gebruik van een in het derde land waar de verwerkingsverantwoordelijke is gevestigd, algemeen gebruikte taal is op zich ontoereikend om een dergelijk voornemen vast te stellen, maar ook uit andere factoren zoals het gebruik van een taal of een valuta die in ťťn of meer lidstaten algemeen wordt gebruikt, met de mogelijkheid om in die taal goederen en diensten te bestellen, of de vermelding van klanten of gebruikers in de Unie, kan blijken dat de erwerkingsverantwoordelijke voornemens is goederen en diensten aan betrokkenen in de Unie aan te bieden.

Dat zou een Chinese webshop dus verplichten te voldoen aan GDPR...

https://avgverenigingen.n...2016_-_679_definitief.pdf

[Reactie gewijzigd door Tukkertje-RaH op 26 april 2018 13:50]

Nee, mijn reactie is op iemand die dit discriminatie noemt en de definitie spreekt voor zich dat dit dus zeker niet het geval is. Had gehoopt dat dat duidelijk was.

Het is eigenlijk heel simpel als er geld aan te pas komt, dat is een dienst en diensten vallen altijd onder de wetgeving van het land waar je de dienst afneemt. Je speelt de game op jouw PC in Nederland dan is dat de interface voor de wet.
dis∑cri∑mi∑na∑tie (de; v) 1het maken van ongeoorloofd onderscheid: rassendiscriminatie
Zie niet in waarom dit onder discriminatie zou vallen; als een webshop zegt "gratis bezorging binnen Nederland", dan is dat toch ook geen discriminatie? Ja, ze maken onderscheid, maar niet op basis van de persoon (geslacht, nationaliteit, huidskleur, seksuele geaardheid, leeftijd, ...), maar op basis van een duidelijke, practische reden. Het lijkt mij dat dat valt onder "geoorloofd onderscheid".
Het zou een ander verhaal zijn als ze bijvoorbeeld mensen geboren in de EU (zelfs als ze nu ergens anders wonen en niet meer onder (bescherming van) EU-wetgeving vallen) zouden weigeren. Maar dat is hier niet het geval.
positieve discriminatie waarbij bepaalde achtergestelde groepen een voorkeursbehandeling krijgen
Bedoel je dat Amerikanen (duidelijk een achtergestelde groep, kijk naar privacy, sociale zekerheid, bescherming tegen vuurwapens, medische kosten, ... (voor de duidelijkheid: "</troll>")) die dit geniale spel (geen idee; nooit gespeeld) wel mogen blijven spelen onder positieve discriminatie vallen? :+
Zoals boven vermeld maar kans dat je dat leest zonder kattebel: Nee, mijn reactie is op iemand die dit discriminatie noemt en de definitie spreekt voor zich dat dit dus zeker niet het geval is.
Helaas is dit op basis van wetgeving en niet ras.
Altijd maar weer die kaart proberen te spelen in de meest ongepaste situaties dan ben je simpelweg ziek.
Dat was mijn punt, bleek echter niet te landen. Jammer.
Niet door de beugel kan?????
Een bedrijf mag dus niet meer zelf bepalen waar het zaken doet en moet dat verplicht overal doen?
Het moet niet gekker worden.
Ben zelf van mening als ze geld in ontvangst hebben genomen voor goederen of diensten dat ze in dit geval of de dienst moeten blijven aanbieden en hun policy's aan te passen / werkwijze intern / betere bescherming van persoonsgegevens dienen toe te passen. Wanneer ze de radicale beslissing maken zoals in dit artikel is vermeld, dan vind ik dat het bedrijf in kwestie met terugwerkende kracht vanaf het moment van bekendmaking / start ontwerp van de AVG de in rekening gebrachte kosten of eventuele betalingen van klanten dient te restituren
Waarom? Misschien hebben ze wel gekeken naar compliance maar gaat het niet of kost het gewoon teveel tijd, geld en moeite om alles aan te passen.

Het is ook gewoon een complexe ***wet, dat valt rauw op je dak. Zij kunnen er ook niet aan doen dat de EU die wet introduceert en ze nu gedwongen deze stap moeten nemen.

Er zullen nog veel meer bedrijven zijn en nog komen die gewoon EU-gebruikers niet meer toestaan op het platform. Logisch. En niet omdat ze data willem verzamelen of verkopen, maar puur vanwege tijd, geld en moeilijk moeten doen.
Tuurlijk, begrijp ik het wel. Dat deze wet niet zomaar even goed toe te passen is in elk systeem. Maar om ineens je volledige dienstverlening te beŽindigen in de EU en alleen de volgende compensatie: " WarpPortal schrijft in de aankondiging dat het aankopen die spelers hebben gedaan tussen 1 februari en 30 april zal vergoeden. " aan te bieden vind ik zelf persoonlijk erg onredelijk..

Want, het blijft ten alle tijde een eigen keus van een bedrijf om deze drastische maatregel door te voeren. Vervolgens met een halfbakken (mijn mening) compensatie aankomen.. vind ik een no-go..
Ze kunnen ook niets bieden, zij kunnen er ook niet aan doen dat de GDPR er nou eenmaal is. Dan is dit in dit geval een prijs die je als de consument helaas moet dragen, ik vind niet dat het bedrijf daarvoor hoeft op te draaien. Ze hadden het wel iets eerder mogen laten weten, maar misschien hebben ze t eerst geprobeerd en nu met de deadline in zicht lukt het niet dus trekken ze de stekker eruit.
"Joh, ik had je ook een kogel door de kop kunnen jagen, wat klaag je nou dat ik je in je ballen geschopt heb?"
Dat je altijd iets ergers had kunnen doen wil niet zeggen dat het maar goed was he...
Die wet zit er al best lang aan te komen. Dat Gravity het nu pas een maand voordat iedereen geweerd gaat worden laat weten is echt wel een bewuste keuze om nog zoveel mogelijk geld binnen te trekken. Zijn ze verplicht geld terug te geven? Nee er zal vast wel iets in de voorwaardes staan dat de service op elk moment zonder opgave van reden beŽindigd mag worden, maar als je als speler betaalt voor een of ander leuk stuk equipment of zo, dan ga je er toch vanuit dat je daar voorlopig wel mee kan spelen. Ik geloof er ook niks van dat ze het niet eerder wisten, of dat ze echt bijna een jaar hebben zitten dubben of ze nou aan de wet zouden gaan voldoen (want dan hadden ze volgens mij al lang daar mee bezig moeten zijn). Neuh, dit was gewoon een bewuste actie om mensen in het ongewis te laten om nog wat extra geld binnen te trekken.
Ze kunnen ook niets bieden
Ik denk niet dat een rechter daarin mee zou gaan. Als je de ene dag iets koopt en dat de volgende dag niet meer kan gebruiken is dat gewoon misleiding. De twee maanden die ze nu teruggeven is beter dan niks, maar ik ben alsnog benieuwd of dit legaal gezien lang genoeg is.
Ow ja valt rauw op je dak.......privacyrechten bestaan al meer dan 20 jaar. De AVG is al sinds 2016 definitief en biedt bedrijven 2 jaar om zich voor te bereiden, plus die teksten waren al jaren daarvoor redelijk definitief en gewoon beschikbaar.

Je kunt allerlei dingen zeggen, maar dat de AVG rauw op je dak komt vallen........nou nee.
Wat is er precies complex? Welke zaken?

Maar het zou inderdaad te gek voor woorden zijn als bedrijven tijd, geld moeite moeten stoppen om aan wetgeving te voldoen.

Terug naar de ongebreidelde kinderarbeid met werkdagen van 14 uur, waar enkel mannen het voor het zeggen hebben! Al die vervelende wetgeving ook.
Ja, al zijn de AVG regels niet lastig te begrijpen in een bedrijf met flinke data stromen en verschillende punten waar die data wordt aangeraakt kan dit al snel complex worden. Het wordt nog eens complexer als deze data gedeeld moet worden met derden. We zijn niet allemaal google, amazon of facebook met enorme budgetten en development teams die er dedicated aan kunnen werken.
Als je flinke datastromen hebt van persoonsgegevens, mag je goed uitleggen wat de reden voor het hebben van die flinke datastromen is. Daar zul je geld voor vrij moeten maken.
Ik begrijp dat het lastig is om na te denken over wat je doet en waarom, maar als het om persoonsgegevens gaat is dit wel noodzakelijk. Als dat opeens heel veel geld gaat kosten geeft dat enkel aan dat je de zaken voorheen niet goed op orde had en blijkbaar niet weet of uit kunt leggen waar je nou mee bezig bent en je geld mee verdient.
Wel een interessante vraag - wat is de wettelijke status van digitale goederen, en heb je daar 'garantie' op... Er stoppen natuurlijk regelmatig online games, waarbij alle geld dat door spelers in spullen is gestoken weg is. Wat voor termijn zou een bedrijf daarvoor moeten hanteren? Ik vind persoonlijk de twee jaar tussen de aankondiging van GDPR en de daadwerkelijke controle erop te lang. Een paar maanden? Half jaar? Je hebt als speler in die tijd tenslotte ook gebruik gemaakt van de spullen?

Iets drastischer doordenkend: heb je als een game producent failliet gaat recht om als schuldeiser aan te sluiten in de rij als je daar voor een paar honderd euro digitale wapens, kleding, etc hebt gekocht?

[Reactie gewijzigd door Tukkertje-RaH op 26 april 2018 12:33]

"Iets drastischer doordenkend: heb je als een game producent failliet gaat recht om als schuldeiser aan te sluiten in de rij als je daar voor een paar honderd euro digitale wapens, kleding, etc hebt gekocht?"

In principe zeg ik jazeker heb je dat recht.. het enige wat alleen nooit gebeurd. Want je maakt als consument (schuldeiser) weinig kans op een daadwerkelijke vergoeding. Gezien de rij met schuldeisers dan vaak lang is en veel hoger dan die paar honderd euro welke je hebt gespendeerd aan de game..

"Je hebt als speler in die tijd tenslotte ook gebruik gemaakt van de spullen?"

Klopt, je hebt er tenslotte gebruik van gemaakt. Maar je wilt het ook graag blijven spelen. Maar buiten de EU gaan wonen om het dan te kunnen blijven spelen is dan ook van de zotte, je hebt tenslotte de aankoop verricht om het/(de) spel(len) te kunnen spelen. Het is dus een aardig discutabel puntje tot hoever het bedrijf in kwestie eigenlijk zou moeten gaan. Persoonlijk vind ik de terugbetaling van gedane betalingen over de periode 1 februari en 30 april te kort..
tja, dat is het probleem, 'ik vind' en de realiteit. Enige wanneer jij recht zou hebben als schuldeiser is als jij betaalt hebt voor dat wapen, maar deze nog niet gekregen hebt. In alle andere situaties is het gewoon, het product is tentijde geleverd en je weet dat het een product is dat beschikbaar is totdat de service sluit.
Simpel antwoord.
Je krijgt niets en hebt nergens recht op.
Ik zou zeggen lees eens de agreement waarmee je akkoord gaat als je een account afsluit.
Het punt is iedreen klikt daar voorbij maar dit soort situaties staan er juist in omschreven en je gaat dan ook akkorrd met het feit dat je nergens recht op hebt.
Dit bedrijf betaald nog iets terug en dat is zeer netjes, ze hoeven het namelijk totaal niet.
Omdat het in een EULA staat, is het nog niet rechtsgeldig.
Klopt, maar ze hebben het product waar jij betaald voor hebt indertijd geleverd, dat de service de volgende dag gestopt is daarbij niet relevant. Dat jij VINDT dat het wel relevant is, is een ander verhaal, en wil je je recht halen, dan zul je daarvoor naar de rechter moeten, maar denk dat die je niet gelijk zal gaan geven.
Dat is gewoon het probleem van dit soort online services, je betaalt voor virtuele producten, en je weet dat je je geld kwijt bent zodra zij de service stoppen. Dat is dus ook de reden waarom ik zelf altijd zeer terughoudend ben om geld te steken in online gaming, juist vanwege dit soort situaties. Enige wat ze terug zouden hoeven te betalen is bv abonnementskosten van de maanden dat jij de service niet kunt gebruiken maar wel betaalt voor hebt, de rest is gewoon pech, geld weg.
Voor mij onduidelijk hoe bedrijven die geen vestiging in de eu hiermee om moeten gaan. Is de avg dan ook verplicht omdat het om eu burgers gaat. Zo ja dan geloof ik niet dat de chinese webwinkels hier zich aan houden. Die chinese overheid heeft een ander kijk op privacy en wilt ten alle tijde de data kunnen bekijken. In principe geldt dit ook met usa de patriot act.
Amazon e.a. zitten inderdaad klem met de Patriot Act, deze staat loodrecht op de GDPR. Ik heb nog geen officiŽle berichtgeving van Amazon mogen ontvangen waarin ze claimen dat de Patriot Act ondergeschikt is waar ik wel naar heb gevraagd, en daarmee voldoen ze feitelijk niet aan de GDPR (wat ze wel claimen).
Het is een bedrijf met hoofdvestiging in de USA, dus de wet daar is leidend.

In theorie kan de EU maatregelen nemen, ook tegen Chinese webshops die niet voldoen. Denk echter niet dat die er wakker van liggen en het lekker blijven aanbieden. Alle copyright claims vallen ook in een gat.
Amazon heeft ook kantoren in de EU oa voor belasting en moet data van europeanen hier opslaan naar mijn weten.
Als ze onder die Partriot act uit willen moet het gehele bedrijf volgens mij alle bedrijvigheid staken in Amerika voordat Amerika grip verliest.
Ze kunnen dus allicht verplicht worden data hier in europa op te slaan maar dat veranderd aan hun verplichting tegenover de regelgeving in hun thuisland niet zo veel volgens mij. Je hebt het wel over Amerika en die zijn gigantisch arrogant met dit soort dingen.
Je betaald als Amerikaanse Nederlandse bijvoorbeeld gewoon glashard belasting in Amerika ook al heb je behalve het paspoort (en familie) geen reet meer te maken met dat land.

[Reactie gewijzigd door Koffiebarbaar op 26 april 2018 14:01]

Dat maakt voor patriot act niet uit.
Heb je een vestiging in usa dan is alle data overal opvraagbaar.
Correct. De EU zal maatregelen nemen tegen bedrijven die tegen de AVG in gaan mbt gegevens van Europeanen.
China beeft van de maatregelen van de EU. Wat gaat de EU doen?
Ip adres blokkeren? Boete sturen?
Dat gaat linea recta de prullenbak in. Ben benieuwd hoe alie expres hier mee omgaat.

[Reactie gewijzigd door lighting_ op 26 april 2018 14:23]

Ik weet niet wat de controle op het web daarmee te maken heeft eerlijk gezegd. Als door de EU geconstateerd wordt dat een bepaald Chinees bedrijf de GDPR overtreedt (dus aan de haal gaat met gegevens van Europeanen) worden er waarschijnlijk sancties opgelegd. Als er bijvoorbeeld een boete opgelegd wordt die niet betaald wordt dan gaat de Douane die pakketjes eruit pikken bijvoorbeeld.
Pakjes eruit halen. Makkelijk gezegd dan gedaan als je bedenkt hoeveel pakjes ontvangen worden.
Totale controle bedoel ik voor heel eu ip adres blokkeren. En net zoals china eisen dat data centers in het land moeten komen als je wat aanbiedt. Je kan niet vanuit eu je website aanbieden in china dat moet in china gebeuren.

[Reactie gewijzigd door lighting_ op 26 april 2018 14:51]

Er is wel iets dat de EU kan doen
De EU kan namelijk elk Europees gevestigd bedrijf verbieden om zaken te doen met die Chinese webwinkel.
In de praktijk zal dat er vooral op neerkomen dat transacties van Europese banken naar bepaalde Chinese accounts niet meer mogelijk worden, waardoor het voor veel Europeanen moeilijk zal zijn om bestellingen te plaatsen bij die Chinese webwinkel.

Zal het onmogelijk worden om iets bij die webwinkel te bestellen?
Wss niet, want PayPal en bitcoin zijn bijvoorbeeld al manieren om toch te kunnen betalen.
Veel mensen hebben echter geen PayPal, noch bitcoin en zolang het voldoende effect heeft, is het doel bereikt. ;)
Mooi. Dat is een die alvast het veld ruimt. Hopelijk volgen er meer van dat soort bedrijven die je niet wil hebben op je markt. Laat het uitdunnen beginnen. :)
Je zal het spel maar spelen... ach ja een VPN blijft mogelijk.
En ik denk dat ze dan alsnog aan GDPR moeten voldoen, VPN of niet, je bent een EU gebruiker.
Nee. Ze richten zich niet meer op de EU markt.(Ze weten het zelfs). Dan is het onmogelijk om verandeordelijk te zijn.
Foute veronderstelling.
Zodra jij data verwerkt van Europese burgers dan dien je aan deze wetgeving te voldoen.
Voor de nieuwe wetgeving is het niet relevant wie jouw doelgroep is of waar jij geografisch actief bent.

Als je als bedrijf persoonlijke data opslaat van Europese burgers moet aan de privacy regels voldoen.
Hoe deze regelgeving gehandhaafd gaat worden zeker buiten Europa zal interessant zijn om te gaan zien, dat dan weer wel.
En ik denk dat ze dan alsnog aan GDPR moeten voldoen, VPN of niet, je bent een EU gebruiker.

Dus een Chinese webshop moet ook aan GPDR voldoen als jij als EU gebruiker daar iets koopt? En als jij iets verkoopt aan een Braziliaan vanuit Nederland, valt dat dan onder de Braziliaanse wet?

Ik denk dat warpportal hier best onder vandaan had kunnen komen...

[Reactie gewijzigd door Tukkertje-RaH op 26 april 2018 12:48]

Nee. Om aan de GDPR te moeten voldoen zal je je moeten richten op het aanbieden van diensten in (o.a.) de EU. Dit zal doorgaans niet opgaan voor Chinese webshops. Althans, niet degene die in het chinees zijn. Op het moment dat ze hun prijzen ook in euro's gaan noemen e/of zich actief op Europa gaan richten word dit anders.
Nee. Dit WAS waar in de oude versie van de wet. De nieuwe versie van de wet stelt dat het over alle gegevens van Europeanen gaat ongeacht de intentie van het bedrijf.
Nee. Dit WAS waar in de oude versie van de wet. De nieuwe versie van de wet stelt dat het over alle gegevens van Europeanen gaat ongeacht de intentie van het bedrijf.
Dat de wet iets zegt is leuk, maar alleen relevant als de wet Łberhaupt van toepassing is. Als je buiten de EU op vakantie gaat en bestolen wordt, dan kun je de dief ook niet "thuis" aanklagen. Google maar eens naar "jurisdictie".

Er zijn een paar uitzonderingen waarvoor "universele jurisdictie" wordt toegepast, maar dat zijn alleen extreme situaties (bijvoorbeeld genocide in een land wat niet in staat is om zelf een rechtssysteem in stand te houden). Normaal gesproken hebben landen (en de EU) alleen jurisdictie op hun eigen grondgebied.
De EU kan wel bepalen wat er en uit komt toch? Of het bedrijf moet zo volledig losgekoppeld zijn van de EU (bv niet exporteren/importeren, geen bankrekeningen in de EU, blokkades, etc.) dat ze nergens op te pakken zijn.
Of het bedrijf moet zo volledig losgekoppeld zijn van de EU (bv niet exporteren/importeren, geen bankrekeningen in de EU, blokkades, etc.) dat ze nergens op te pakken zijn.
Afgaande op dit nieuwsbericht: dat "volledig loskoppelen" is precies wat ze nu doen.
Die had ik nog niet meegekregen. Dank :)
Indien een bedrijf persoonsgegevens verwerkt van Europese burgers dan moet het inderdaad voldoen aan de Europese regelgeving aangaande privacy. Of zo'n bedrijf nu gevestigd is in China, De V.S. of BraziliŽ doet er niet toe.

Het actief weren van Europese gebruikers middels een geoblock en een disclaimer gaat overigens niet juridisch voldoende zijn om ingedekt te zijn tegen boeteclaimes.
Ik ga de VPN discussie gemakshalve even vermijden, maar Europese burgers behoeven zich niet in geografisch Europa te bevinden om beschermd te worden door deze wetgeving.
STEL: Ik zit in China. Ik speel vanuit daar het spel. Mijn gegevens worden opgeslagen. Dit kan persoonlijke data bevatten. Dit is data van een Europese burger. Dat ik toevallig momenteel woon en inlog vanuit China is niet relevant.

Het is en blijft wel interessante materie en ik ben nu al benieuwd naar de rechtszaken die gaan volgen naar aanleiding van de aangepaste GDPR regelgeving.
STEL: Ik zit in China. Ik speel vanuit daar het spel. Mijn gegevens worden opgeslagen. Dit kan persoonlijke data bevatten. Dit is data van een Europese burger. Dat ik toevallig momenteel woon en inlog vanuit China is niet relevant.
Behalve dan dat ergens in de kleine lettertjes verborgen is "de gebruiker verklaart geen EU-burger te zijn". Ja, wij hebben wetgeving waardoor dat soort "verberg het in de voorwaarden die niemand leest"-trucjes vaak niet mogen en een expliciete vraag en een expliciet antwoord (lees: "een vinkje zetten") verplicht is, maar voor zover ik weet hoeft dat in China niet. Dus dan heb jijzelf de voorwaarden overtreden en is het dus jouw fout, niet die van de aanbieder.
Kleine lettertjes zijn in de regel algemene voorwaarden en die mogen nooit tegenstrijdig zijn met wetgeving. Als dat wel het geval is dan staat de wetgeving altijd boven algemene voorwaarden van een bedrijf. Ook als dit bedrijf actief is in het buitenland.

Handhaving blijft inderdaad nog altlijd lastig, maar een bedrijf in China kan NIETS in hun algemene voorwaarden zetten om onder GDPR verplichtingen uit te komen.
Kleine lettertjes zijn in de regel algemene voorwaarden en die mogen nooit tegenstrijdig zijn met wetgeving.
Dat geldt natuurlijk alleen voor wetgeving die ook echt van toepassing is. Ik zie geen enkele reden waarom een bepaling "EU niet welkom" niet geldig zou zijn in een overeenkomst onder de wetgeving van de VS of China. Let op dat ik het heb over de voorwaarde "gebruikers waardoor we onder de GDPR zouden vallen zijn niet welkom", dat is heel iets anders dan "iedereen is welkom, maar de GDPR is niet van toepassing, ook niet als je uit de EU komt".
Handhaving blijft inderdaad nog altlijd lastig, maar een bedrijf in China kan NIETS in hun algemene voorwaarden zetten om onder GDPR verplichtingen uit te komen.
Dan begin ik mijn eigen land (er is vast nog wel ergens een leeg booreiland over :p ) en maak een wet "ieder bedrijf met gebruikers uit mijn land moet bij ons $veel belasting betalen". Als jij gelijk hebt en er geen mogelijkheid is om onder de GDPR uit te komen, dan is er ook geen mogelijkheid om onder zo'n wet uit te komen. Dat kan simpelweg niet kloppen, dus (bewijs uit het ongerijmde) jouw stelling kan niet waar zijn.
"Als jij gelijk hebt en er geen mogelijkheid is om onder de GDPR uit te komen, dan is er ook geen mogelijkheid om onder zo'n wet uit te komen. "

Dat is ook de gehele doelstelling. Men wil de data beschermen van de mensen. Daar moet men niet met disclaimers onderuit kunnen komen. Als men dat wel gaat proberen dan gaan er juridische procedures volgen...

Natuurlijk kan je als bedrijf wel wat doen als niet aan deze verplichtingen wilt voldoen: eenvoudigweg geen data opslaan/verwerken van Europese burgers, maar alleen een geoblok en een disclaimer op een website gaan daarbij toch echt niet voldoende zijn.
Daarnaast kan je gewoon de regelgeving negeren als buitenlands bedrijf zijnde, maar dat zal niet altijd zonder consequenties blijven.
Nu is het zo dat je een license agreement aangaat bij het aanschaffen van een game of game account.
Misschien is het niet wets geldig als het in de algemene voorwaarden staat maar staat het in de license agreement dan wordt het ineens een totaal ander verhaal. Dan kun je lullen wat je wilt maar is het toch echt je eigen probleem.
Sorry, maar een licentie overeenkomst is afkomstig van een bedrijf. Bedrijven worden geacht zich aan de wet te houden. Als een licentie overeenkomst tegenstrijdig is met wetgeving dan is de licentie ook ondergeschikt.

Als dat niet zou zijn dan zouden bedrijven hun eigen regels kunnen maken. Regels voor afvoer van chemische stoffen? Nee daar doen wij niet aan want in onze licentieovereenkomst staat dat wij het recht hebben om zelf te bepalen hoe wij onze stoffen afvoeren.
Zo werkt de wereld niet.

Dat is ook een van de reden waarom het lobbyen bestaat, bedrijven met veel geld kunnen op die manier wel weer invloed uitoefenen op politici en daarmee de wetten die tot stand komen.
Sorry, maar een licentie overeenkomst is afkomstig van een bedrijf. Bedrijven worden geacht zich aan de wet te houden. Als een licentie overeenkomst tegenstrijdig is met wetgeving dan is de licentie ook ondergeschikt.
Dat zei je in een eerdere post ook al, maar gaat niet in op mijn punt van jurisdictie. Zolang Chinese (of Amerikaanse, ...) wetgeving geen probleem heeft met "EU-burgers zijn niet welkom" dan ben je als EU-burger zelf in overtreding als je hun dienst alsnog gebruikt. Als je dan vervolgens van je (door EU-wetgeving gegeven) rechten gebruik wil maken, dan lijkt het mij niet meer dan terecht als het bedrijf antwoordt "als je EU-burger was, dan zou je nooit onze klant kunnen zijn, maar je bent wel onze klant, dus die rechten kunnen onmogelijk van toepassing zijn".
Als dat niet zou zijn dan zouden bedrijven hun eigen regels kunnen maken. Regels voor afvoer van chemische stoffen? Nee daar doen wij niet aan want in onze licentieovereenkomst staat dat wij het recht hebben om zelf te bepalen hoe wij onze stoffen afvoeren.
Ook dit is simpelweg jurisdictie: een Chinees bedrijf hoeft (in haar Chinese fabrieken) inderdaad niet aan EU-wetten over afvalverwerking te voldoen. We zouden misschien een importverbod kunnen instellen voor producten die op milieuvervuilende manier zijn geproduceerd, maar zolang ze alleen in China zelf verkopen hebben wij er echt helemaal niets over te zeggen. Waarbij milieuwetgeving een interessant voorbeeld is, want dat "wij hebben er niets over te zeggen" geldt zelfs als die rotzooi via de atmosfeer of de oceaan uiteindelijk ook bij ons terechtkomt.
"maar gaat niet in op mijn punt van jurisdictie."
Dat is uiteindelijke handhaving en dat is een heel ander verhaal. Het gaat erom dat disclaimers en licentievoorwaarden een bedrijf niet vrij kunnen krijgen van wettelijke verplichtingen.

Indien bedrijven alleen in China opereren kunnen ze inderdaad stellen dat ze niet onder Europese regelgeving vallen. Jurisdictie is een heel ander iets dan disclaimers en licentieovereenkomsten.
Dat is uiteindelijke handhaving en dat is een heel ander verhaal. Het gaat erom dat disclaimers en licentievoorwaarden een bedrijf niet vrij kunnen krijgen van wettelijke verplichtingen.
Nee, dat is niet "handhaving", dat is "welke wetten zijn van toepassing?".
Indien bedrijven alleen in China opereren kunnen ze inderdaad stellen dat ze niet onder Europese regelgeving vallen.
Dat is inderdaad precies wat ik al de hele tijd probeer uit te leggen; fijn dat we het uiteindelijk toch eens zijn.
"Nee, dat is niet "handhaving", dat is "welke wetten zijn van toepassing?"."
En waartoe dient de vraag "welke wetten zijn van toepassing?" Om een uitspraak te kunnen doen hierover. Handhaving van de voorgeschreven wetten. Strafrechtelijke handhaving wel te verstaan, want wie anders kan deze wetten anders handhaven?

"Dat is inderdaad precies wat ik al de hele tijd probeer uit te leggen"
Het probleem bij deze hele discussie is vrij eenvoudig te herleiden: Ik heb duidelijk aan willen geven (en daar gingen mijn bovenstaande reacties toch echt over) dat een bedrijf niets heeft aan "disclaimers' en "licentievoorwaarden" wanneer deze tegenstrijdig zijn met wetgeving.
Daarna zette jij in op een voorbeeld van China - waar Europa geen jurisdictie heeft. Daar heb je natuurlijk helemaal gelijk in, maar dat doet niets af aan het feit dat disclaimers, algemene voorwaarden en verwanten in grondbeginsel helemaal niets mee van doen hebben.
Als jij “liegt” over waar je woont, dan kan je dat een bedrijf niet aanrekenen.
ja maar.... dan is de data die ze doorverkopen niet correct ;-)
Dus als een website/spel/dienst opneemt bij registratie, een veplicht veld met een hokje “gebruiker verklaart dat hij geen bewoner is van de aarde” en tevens in de voorwaarden vermeld dat aarbewoners uitgesloten zijn van dienstverlening, dan geldt geen enkele wet ten aanzien van de locatie van de gebruiker en geld alleen de wet waar ik de site host/bedrijf is gevestigd? (is er nog plek op het IIS, of moet ik dan naar de maan). Kan dit dan ook nog als discriminatie worden gezien (je maakt onderscheid op afkomst)
Nee, maar dat slaat naar mijn idee ook nergens op. Het bedrijft vraagt zoiets geks niet, maar vraagt louter basisgegevens en doet een IP-check, bijvoorbeeld. Als jij je locatie verhult met een VPN en een vals adres opgeeft, hoe moet dat bedrijf dat dan redlijkerwijs weten...? Het bedrijf vraagt niets belachelijks, de gebruiker liegt tegen het bedrijf. Als dan uiteindelijk blijkt dat je al die tijd toch in de EU zit zou het onredelijk zijn om het bedrijf daar boos op aan te kijken of een boete op te leggen.
mjah, maar jij doet je voor als niet EU gebruiker. Dus volgens mij niet meer hun probleem dan.
Dan stop je met het spelen. T is maar een spelletje.
Ben benieuwd of de EU hier op gaat reageren met een onderzoek, als een bedrijf bij invoering van AVG alle Europese spelers verbant dan zou je kunnen afleiden dat ze voorheen allemaal dingen hebben gedaan met de gegevens van de spelers die ten beste moraal dubieus zijn.

P.S. ben ik de enige die het opviel dat het Gemenebest van Onafhankelijke Staten eigenlijk niet genoeg leden heeft in Europa om genoemd te worden als zijnde? wou Sander graag aan ons vertellen dat het bestaat?
Je zou er ook uit kunnen afleiden dat ze de investering niet willen doen om alles in order te krijgen.
Je zou er ook uit kunnen afleiden dat men de investering niet kan doen omdat men er financieel niet rooskleurig voorstaat.
Je zou er ook uit kunnen afleiden dat men er geen zin in heeft.
Je zou er ook uit kunnen afleiden dat ze het niet doen vanwegen technische problemen.

Ik zou graag eens willen weten hoe jij op basis van de geven informatie tot zulke conclusies komt.
Ik zie dat in deze thread vaker gebeuren dat men regelrecht het meest slechte denkt en ik ben nu wel eens benieuwd hoe mensen die dat doen denken.
Je zou dan toch verwachten dat het bedrijf een iets betere uitleg geeft dan "hey, Europese spelers kunnen niet meer terecht bij ons door een verandering in ONZE policies" want dat is wat er letterlijk staat: Due to the changes of our company's service policy for the European regions.

Dit gewoon doen zonder discussie toe te laten of het beleid duidelijk toe te lichten is niet bepaald iets wat vertrouwen opwekt.
Je zou er ook uit kunnen afleiden dat ze de investering niet willen doen om alles in order te krijgen.
Bedrijven zullen nooit maar dan ook nooit weigeren te investeren als dit volgens hun projecties meer winst oplevert dan de investering
Je zou er ook uit kunnen afleiden dat men de investering niet kan doen omdat men er financieel niet rooskleurig voorstaat.
Er is zelfs iemand in de comments die z'n sportvereniging AVG compliant heeft gemaakt, lijkt het mij dat dat voor een commercieel bedrijf ook te realizeren moet zijn zonder dat daar het bedrijf daar door failliet gaat. Daar komt nog bij dat als ze er financieel zo slecht voor staan dat ze dat geld niet kunnen missen dat er dan waarschijnlijk al wel wat over naar buiten was gekomen of dat ze dat zouden zeggen om hun reputatie te beschermen.
Je zou er ook uit kunnen afleiden dat men er geen zin in heeft.
Dit spreekt mijn eerdere vraag niet echt onderuit, meestal heb je namelijk met een reden ergens geen zin in
Je zou er ook uit kunnen afleiden dat ze het niet doen vanwege technische problemen.
Ze hebben minstens twee jaar de tijd gehad, dat moet meer dan zat zijn lijkt mij.

Ik moet overigens wel eerlijk toegeven dat mijn statement beÔnvloed is door de reputatie van westerse game developers en publishers.
Je hebt een vrij zwarte denkwijze en je laatste comment geeft ook al aan waarom.
Alles wat je te zeggen hebt is negatief en alle positieve zaken laat je voor het gemakt maar even achterwegen ondanks het gebrek aan informatie. Alles moet om de een of andere reden negatief zijn.

Ik weet het objectief naar zaken kijken is enorm lastig en doordat het heel lastig is reageren mensen al snel zoals jij en met social media tegenwoordig gaan dat soort dingen snel rond en doet iedereen mee aan het spelletje zonder dat men werkleijk weet wat er speelt.
En dat is een gevaarlijk spelletje.
EU kan hier weinig aan doen, het is een bedrijf uit de VS zonder enige kantoren in de EU. tja, onnodig ons zuurbetaalde belastingcenten uitgeven aan een nutteloos onderzoek, dat is natuurlijk wel mogelijk, immers moeten die europarlementariers wel hun 'onkosten' kunnen declareren.
Heb je een goed punt, een EU probe zou hier niks oplossen en het geeft die eurocraten alleen maar iets om te zeggen 'kijk we doen wel daadwerkelijk wat voor jullie!"
Tja, als het zo moeilijk is om transparant te zijn over hun gebruikersvoorwaarden, willen we dan eigenlijk wel dat dit bedrijf zijn diensten bij ons aanbied?
wie zegt dat ze niet transparant zijn? Misschien kan 't economisch gezien gewoon niet uit om aan alle eisen vanuit de wetgeving, zoals een privacy-officer aanstellen etc. te voldoen.
Ja economisch gezien personeel aanstellen is een lastige. Je hoeft ook geen HR-mensen die zich bezig houden met allerlei nutteloze zaken. Of facilitaire diensten zodat je een beetje fatsoenlijke werkplek hebt en tig andere functies die er alleen zijn omdat de wet dat verplicht, niet omdat het nuttig is voor medewerkers of klanten........
Niet kunnen voldoen aan de AVG is juist bij uitstek niet transparant zijn. Daar draait die hele verordening om. Transparantie en aantonen dat je voldoet aan de wet.
transparantie is maar een klein onderdeel van de AVG..
Uit veel reacties lees ik dat er maar weinig zijn die weten wat de Algemene Verordening Gegevensbescherming nu precies inhoudt en hoe bedrijven/instanties hier aan kunnen voldoen. Kosten zijn laag en elk zichzelf respecterend bedrijf had hier sowieso zelf al aan willen voldoen. Bijvoorbeeld door het inhuren van een DPO (Digital Privacy Officer) of FG (Functionaris Gegevensbescherming) kun je een beeld krijgen wat er binnen een organisatie moet gebeuren om aan de wetgeving te voldoen. Het voornaamste is zorgen dat je de administratie op peil hebt en bij controle het juiste mapje op je pc of de juiste ordner in de kast kunt vinden bij controle.
DPO staat normaal voor Data protection Officer ...

Overigens is een goede implementatie van GDPR/AVG niet zo eenvoudig en brengt behoorlijk wat kosten met zich mee.
Aanschaffen van een goede toolkit, trainen van personeel, procedures opstellen. (is in sommige gevallen al aanwezig ivm ISO en kwaliteitsregels) toetsen van procedures. Etc
Ik begreep dat SalesForce een verglijkbare keus heeft gemaakt. Zal ook grote impact hebben....
Als dat is ga ik feestvieren
https://www.salesforce.com/eu/campaign/gdpr/

Zie daar niks van terug, kan me niet voorstellen dat die zich terug trekken. Hebben volop campagnes erover.
Dit is weinig anders dan een Netflix met eigen regio's, een BBC die je niet in Nederland kan kijken, toevallig komt dit samen goed uit met de AVG dat ze besluiten helemaal te stoppen. En er is ook niets nieuws aan regio-verdeling, al sinds de eerste jaren van MMO's (we gaan begin 2000) was er vaak een IP-verdeling voor EU/Asia/US, of was je aangewezen op uitsluitend US-based servers. In de jaren erna was het Asiasoft die EU ging blokkeren (alle xxxSea games), veelal door fraude en betalingsmogelijkheden.

Grappig hoe mensen hier helemaal over Gravity duiken, buiten dat niemand waarschijnlijk deze games speelt, was dit paar jaar geleden ook al een zaak geweest, toen Gravity ook de EU had uitgesloten na het sluiten van de EU versie, enkel de mensen die reeds een account hadden konden nog blijven spelen. Omdat er toen nog behoorlijk wat mensen waren, hebben ze alsnog de EU mensen weer toegelaten, maar duidelijk aangegeven dat dit in de toekomst kan veranderen.. et voila.

Daarbij waren er voor aantal van hun games ook gewoon Europese uitgevers, zo had gPotato diverse games (dragonica, de EU versie van Dragon Saga), maar zit ragnarok nog steeds bij Whybe. Rose EU is al een tijdje gestopt.

De enige opmerklijke is Ragnarok 2, waar de eu versie zelfs door Gravity was uitgegeven, al was dat in de eerste beta al duidelijk gemaakt dat dit een service 'as is' zou worden, zolang zij nog geen EU uitgever konden vinden.

De EU was al geen grote bron van inkomsten meer, getuigen ook de sluiting van de diverse EU versies, maar is ook diverse malen door Gravity aangegeven. Als je dan nog extra werk moet gaan verrichten voor de AVG, is het maar beter dat je helemaal stopt en hopelijk dat er nog een EU uitgever wat games overneemt, maar gezien al hun games de poging al hebben gehad in EU en dit niet haalde, verwacht ik niet dat er nog een EU versie gaat komen. De risico's en boetes die onder AVG hangen voor zulke bedrijven, die eigenlijk niets met EU hebben buiten dat ze uit coulance maar EU mensen laten spelen, als er maar 1 idioot moord en brand gaat gillen dat Gravity dingen doet die ergens niet mogen volgens de AVG (immers volgens de GDPR strekt deze wet voorbij EU-alleen,, maar 'alles op internet' verbonden met EU).

Mensen die geld terug eisen, mensen gillen dat dit juridisch niet kan, ik durf redelijk te stellen dat 99% niet eens 10 man kan opnoemen doe 1 van deze genoemde games bij Gravity nog regelmatig speelt, veel zijn al afgehaakt toen in 2014 gPotato stopte (en iets daarvoor ging Dragonica Sea al plat).

Het is jammer voor de vele mensen die nog 'met regelmatig' die oudere games speelde, ikzelf heb ook een DragonSage en Rose account, zelfs nog een Reqium account, ik zal ze zeker missen, maar ik speelde die games al jaren niet meer.

Hele AVG is doorgeschoten, die paar 100 Europeanen die deze games speelde, boeide het amper tot totaal niet, Gravity bood hun diensten al jaren aan en nu opeens zou het een privacy probleem worden? Dit is geen Facebook of massa-dataverzamelaar, je post geen privť informatie, je speelde gewoon een simpele MMO. Ik durf redelijk te stellen dat al die mannetjes die bezig waren met de AVG totaal niet hebben gedacht aan zulke games of zulke spelers, dat is een marginaal klein deel van het 'volk wat ze willen beschermen', dat het een gevalletje 'collateral damage' is geworden.

Gravity en consorten waren de oude heren, die deden niet aan 'profiling' of 'data-doorverkoop', die boden jou gewoon een game die je kon spelen, hun omzet was uitsluitend wat jij ingame aan geld uitgaf, geen enkel reclamebedrijf had maar enige interesse in zulke data.

[Reactie gewijzigd door SinergyX op 26 april 2018 13:32]

Ik speel op iRO sinds de beta in ergens 2002/2003. Na 15 a 16 jaar plots je hele userbase door elkaar gaan gooien en mogelijk het einde van sommige games inluiden staat echt niemand op te wachten.
Ze wisten al jaren dat GDPR er kwam, en geven nu mensen "1 month notice". Triest, want de afgelopen 2 jaar hadden ze ook al open kaart kunnen spelen. Hadden ze minder verkocht? Zeker, maar je was wel transparant en eerlijk tegen je consumenten. Wie zal deze partij nu nog vertrouwen, wie zegt dat als Hawaii straks lootboxes op de ban doet ze die users ook niet verbannen?

Gravity of bedrijven waar het mee werkt verkopen WEL al lange tijd onze data. Vooral duidelijk wanneer je de gratis WP pagina op hun betaalpagina ooit bekeek/invulde. (WP is de online valuta om diensten te kopen van WarpPortal in al hun games.)
Zeer grijze partij, en na verloop van tijd komen de spammails toe. Heb enkele jaren terug zo verschillende accounts gemaakt enkel met dit doel, wetende dat ze onze data verkopen. E-mail adres dat nergens anders gekend stond, en ja hoor telkens was het raak.

Hun advertising partners zijn ook niet heilig.

Alsnog blijft de keuze een heel continent op de ban te gooien voor al je diensten (inclusief je support en webpagina) zeer flauw. Met name het blokkeren van Europeanen op hun hoofdpagina lijkt mij tegen de wet. Hoe kan je als Europeaan alsnog je account sluiten en je gegevens laten verwijderen? Daar heb je namelijk nog steeds recht toe, ook (en eens te meer) na 25 mei 2018.
Alsnog blijft de keuze een heel continent op de ban te gooien voor al je diensten (inclusief je support en webpagina) zeer flauw. Met name het blokkeren van Europeanen op hun hoofdpagina lijkt mij tegen de wet. Hoe kan je als Europeaan alsnog je account sluiten en je gegevens laten verwijderen? Daar heb je namelijk nog steeds recht toe, ook (en eens te meer) na 25 mei 2018.
Dat niet alleen; je hebt het recht om hen te verplichten al jouw gegevens in te trekken bij alle derde partijen waaraan ze vanuit hen verhandeld zijn. En ze zijn eindverantwoordelijk om dit voor elkaar te krijgen.

De GDPR geldt feitelijk al sinds 2016. De drempel op 25 mei aanstaande is enkel wanneer er actief begonnen wordt sancties op te leggen. Dus alle transacties van jouw gegevens over de afgelopen 2 jaar moeten teruggedraaid worden als je dat eist.

Dit kan nog leuk gaan worden als alle getroffenen binnen de EU de krachten gaan bundelen en deze toko gaan overspoelen met verwijderingsverzoeken. Ze hangen met een miljoenenschuld al over het randje van de afgrond aan een slap twijgje te bungelen. Er is nog maar weinig nodig om dat te laten knappen.

[Reactie gewijzigd door R4gnax op 26 april 2018 20:45]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True