Groot deel Europese privacytoezichthouders: we zijn nog niet klaar voor AVG

Een aanzienlijk deel van 24 door Reuters ondervraagde nationale privacytoezichthouders zegt nog niet klaar te zijn voor de introductie van de algemene verordening gegevensbescherming, die op 25 mei ingaat.

Persbureau Reuters heeft in totaal 24 Europese privacywaakhonden benaderd met een enquête, waarbij is gevraagd in hoeverre ze klaar zijn voor de komst van de algemene verordening gegevensbescherming op 25 mei. Er reageerden 18 nationale toezichthouders en 6 Duitse federale equivalenten. Daarvan geven 17 aan dat ze ofwel te weinig financiering hebben of in eerste instantie nog de bevoegdheden missen om de aan hen opgelegde toezichtstaken goed uit te voeren. In de AVG staat onder meer dat elke toezichthoudende autoriteit moet beschikken over de financiële en personele middelen om haar taken effectief te kunnen uitvoeren.

Er zijn nogal wat nationale overheden die hun wetten nog niet hebben aangepast op basis van de AVG, waardoor de deadline van 25 mei waarschijnlijk in veel gevallen te vroeg komt. Slechts vijf organisaties zeiden dat hun nationale wetten en de benodigde financiering op orde zijn. Daarnaast verwachten 11 van de 17 toezichthouders die niet de benodigde bevoegdheden en financiële middelen hebben, deze in de toekomst wel te krijgen. Al is niet duidelijk op welke termijn dat zal zijn. De ondervraagde organisaties hebben niet gespecificeerd welke taken ze mogelijk niet kunnen uitvoeren door een gebrek aan geld.

De meeste toezichthouders gaven aan dat ze vanaf 25 mei zullen reageren op klachten en deze op hun waarde zullen beoordelen. Een minderheid gaat ook echt proactief op onderzoek uit om te kijken of bedrijven voldoen aan de nieuwe regels, waarbij ze de meest kwalijke overtredingen zullen beboeten.

Onder andere de directeur van de Franse privacywaakhond CNIL zegt dat haar organisatie onvoldoende financiële middelen heeft om de taken van de AVG uit te kunnen voeren. Ze probeert bij de Franse overheid meer geld los te krijgen, onder meer voor het aannemen van meer medewerkers. De Ierse en de Britse privacywaakhond hebben niet meegedaan aan het onderzoek van Reuters.

Omdat veel privacywaakhonden zijn ondervraagd, is de kans vrij groot dat ook de Nederlandse en de Belgische toezichthouders hebben meegedaan. Tweakers heeft de Nederlandse Autoriteit Persoonsgegevens om een reactie gevraagd.

IT-banen

Reacties (133)

walteij 8 mei 2018 15:10

Dan zijn die organisaties allemaal te laat begonnen met de voorbereidingen.

De AVG is op 27 april 2016 aangenomen en dus al actief, met een coulanceperiode van 2 jaar waarin niet gecontroleerd zou worden..
Ofwel, iedereen heeft 2 jaar de tijd gehad om processen & procedures aan te passen, medewerkers te trainen en ervoor te zorgen dat hetgene persoonsgevoelige gegevens op de juiste manier worden opgeslagen en verwerkt, om aan de wetgeving te voldoen.

vanaf hier de edit, reacties van oef en SomerenV waren toen al geplaatst
En ja, dit argument geldt dus voor bedrijven die moeten voldoen aan de AVG, maar ook de instanties die bedrijven moeten controleren of zij voldoen aan de AVG.

Ik heb gehoord van een rijksoverheidsinstantie, welke in December 2017 een consultant hebben aangenomen om ervoor te zorgen dat zij ook voldoen aan de AVG. De beste man is er komen werken, maar heeft na zijn eerste week al direct aangegeven dat hij in de tijdspanne die er beschikbaar was (dec 2017 t/m mei 2018) alleen nog maar een inventarisatie gedaan kon worden.
Dan moest er gekeken worden hoe de organisatie aan de AVG kan voldoen.
Eventuele policies en processen kunnen pas na de inventarisatie worden opgesteld en ingericht.
En pas als die staan, moet de organisatie nog eens alle betreffende medewerkers gaan trainen hierop.

[Reactie gewijzigd door walteij op 23 juli 2024 12:29]

bartvb

@walteij • 8 mei 2018 15:39

Dat is wat kort door de bocht. De GDPR zit er inderdaad al een flinke tijd aan te komen maar is op flink wat vlakken bijzonder vaag. De 'Uitvoeringswet Algemene verordening gegevensbescherming' is pas op 13 maart dit jaar aangenomen door de 2e kamer. Laatste keer dat ik keep stond op de site van de AP als antwoord op flink wat AVG gerelateerde vragen 'Dit weten we nog niet'.

Behoorlijk wat zaken zullen pas de komende maanden/jaren duidelijk worden cq uitkristalliseren als er jurisprudentie beschikbaar komt en als duidelijk wordt wat 'common practice' is.

Wij (online platform) zijn er ook al een flinke tijd mee bezig maar op dit moment levert de GDPR meer onduidelijkheid op dan het oplost ten opzichte van de WBP (Wet Bescherming Persoonsgegevens). Je ziet nu ook een aantal bedrijven rare sprongen maken. US-bedrijven die klanten uit de EU uitsluiten omdat ze niet weten wat nu precies de implicaties zijn. Google die nu nog steeds hun tool voor consent management niet beschikbaar heeft gemaakt voor publishers.

Ja, zeker. Veel organisaties zijn veel te laat begonnen. Maar het artikel gaat over de instanties die de implementatie van de GDPR moeten controleren, die zijn vooral beperkt door politiek (onduidelijkheid) en budgetten.

Leo. P. Klepper @bartvb • 8 mei 2018 17:55

De AP komt steeds met nieuwe, striktere interpretaties van de WBP en de AVG. Bedrijven en instanties kunnen daar onvoldoende op anticiperen: wat vandaag nog mag, mag morgen niet meer. Bovendien is een deel van de interpretatie van de AVG strijdig met de doelstellingen van andere wet- en regelgeving, zoals de Wet Verbetering Poortwachter en houdt ze geen rekening met andere maatschappelijke ontwikkelingen, zoals het aanhoudende tekort aan bedrijfsartsen.

SuperDre @Leo. P. Klepper • 8 mei 2018 22:25

Juist ja, en persoonlijk vind ik dat hele gezeur over het geheim houden van je BSN ook onzin, zeker als het gaat om instanties die personen juist moeten kunnen identificeren, in plaats van allemaal een eigen 'unieke' nummertje te gaan bedenken terwijl de overheid al een mooi uniek nummer heeft voor de persooon is gewoon dom.

SuperDre @bartvb • 8 mei 2018 22:21

tja, aan de andere kant, hoe kun je ergens fatsoenlijk aan beginnen als nog een heleboel niet duidelijk is, en je dat dus niet fatsoenlijk kunt navragen....

Gropah @bartvb • 8 mei 2018 17:23

Aan de andere kant kun je ook stellen dat een groot deel van de regels is gebasseerd op een richtlijn uit 1995. Heel veel bedrijven en instantie's zijn niet in de buurt van voldoen aan de richtlijn, dus eigenlijk lopen ze meer dan 20 jaar achter.

SuperDre @Gropah • 8 mei 2018 22:21

Een richtlijn hoef je je helemaal niet aan te houden...

Gropah @SuperDre • 8 mei 2018 22:49

Dat klopt, je hoeft hem niet aan te houden, maar het is wel hoe de EU graag zag hoe je met data om gaat. En als er dan bekend word dat er wetgeving over komt, is het dus niet zo raar als die richtlijn als basis word genomen

slaapkopje @SuperDre • 9 mei 2018 06:52

Een richtlijn (directive) moet omgezet worden in een nationale wet in alle EU landen. Daar was behoorlijk veel afwijking tussen de implementaties. In het ene land moet je log files voor minstens jaren bewaren, maar in een andere mag je die type gegevens maar een maximaal aantal jaren bewaren. GDPR gaat dat wel gelijk trekken en de principes zijn duidelijker, maar of je het goed doet blijkt pas bij de rechter

oef! @walteij • 8 mei 2018 15:15

Iedereen is laat begonnen met de voorbereidingen, bedrijven zijn ook ronduit vaag over hun compliancy op dit moment. Ik durf zelfs te wedden dat een groot gedeelte van de bedrijven er nog niets aan gedaan heeft.

Verwijderd @oef! • 8 mei 2018 18:14

bedrijven zijn ook ronduit vaag over hun compliancy op dit moment.

De voornaamste reden daarvoor is dat de verordening zodanig vaag en voor interpretatie vatbaar is dat de bedrijven niet anders kunnen.
Als zelfs de instanties die de controles moeten uitvoeren niet mee zijn, hoe kan men dan verwachten dat de bedrijven wel mee zijn?

oef! @Verwijderd • 8 mei 2018 20:08

Daar ben ik me bewust van, ik loop regelmatig tegen de materie aan. Alles is vaag, techreuzen beloven van alles maar willen het niet in contracten opnemen en het Ierse hof heeft zojuist Model Clauses doorverwezen naar het Europese hof ffs.

Andere grote wetten zijn weinig beter, alles wordt wollig omschreven en op zijn best heb je een leidraad. Dat is ergens wel nuttig maar in de praktijk zorgt het voor veel gezeur, bureaucratie en stompzinnige en onlogische constructies.

grafgever @oef! • 8 mei 2018 15:32

Dit zullen dan vooral MKB bedrijven zijn. Zelf actief bij grote organisities(verzekeraars, banken, overheid) hier is GDPR hot issue en prio nr1 binnen de teams (hoor ik ook van collega's).

morten @grafgever • 8 mei 2018 16:21

Volgens mij gaat dit zeker niet altijd op. Zo heb ik vernomen dat ze ze bij Shell (Bron: 2 personen die dichtbij daar werkzaam zijn en dichtbij het management staan) bij sommige bedrijfsonderdelen nog vrijwel 0,0 gedaan hebben op het gebied van GDPR.
Er wordt daar geredeneerd dat dit op het hoofdkantoor wel aandacht heeft. Leuk, maar die informatie moet toch ook wel binnen het gehele bedrijf gedeeld worden.

Zelf ben ik in het MKB actief. Hier hebben we ook nog niet alles 100 procent uitgewerkt, maar er zijn in ieder geval wel trainingen gegeven, toolkits in gebruik genomen en procedures aangepast en aangemaakt.

Het scheelt gewoon heel erg van bedrijf tot bedrijf en de kans is inderdaad groter dat het serieus wordt opgepakt in grotere organisaties, maar dat wil niet zeggen dat dit altijd het geval is.

grafgever @morten • 8 mei 2018 16:53

Vast niet alle grote organisaties zullen het goed oppakken, zelfde als niet elk MKB bedrijf het slecht op zal pakken. Ik reageerde meer op de persoon voor me die zei dat hij nergens aandacht zag voor de GDPR regelgeving en sprak dit tegen vanuit mijn eigen ervaringen bij grote organisaties.

ArnoutV

@grafgever • 8 mei 2018 15:35

Bij ons ook, al maanden mee bezig en nu de definitieve uitrol

SuperDre @grafgever • 8 mei 2018 22:14

tja, maar ik hoor al wel van veel mensen compleet verschillende dingen als het gaat om de AVG, sommige denken juist dat 'niets' meer mag, en anderen denken dat nog bijna 'alles' mag.. En het verschil van interpretatie van de regels is er ook nog eens.. Dus het is maar de vraag of je het goed geimplementeerd hebt, en of de controlerende instanties de regels zelf ook wel goed begrijpen.

joldemans @oef! • 8 mei 2018 20:10

Ik sprak gisteren enkele klanten die hadden zelfs nog nooit gehoord van avg. Nu denk ik dag het onder it-ers wel redelijk bekend is, maar de kapsalon die alle klantgegevens gewoon wat in de kassa heeft staan heeft echt geen flauw benul wat het inhoud en dat het betrekking heeft op hun branche.

Behalve bij tech sites hoor ik het af en toe eens op de radio voorbij komen en dan zijn het ook nog eens instanties die bedrijven ermee willen helpen.

Met de sancties die in het verschiet liggen als je het niet op orde hebt vind ik dat er best wat meer actie ondernomen had mogen worden om de bekendheid wat onder de bedrijven te brengen. De belastingdienst stuurt je voor elke scheet een brief. Waarom niet even een brief met info over AVG naar iedere ondernemer?

Verwijderd @joldemans • 8 mei 2018 21:15

Waarom niet even een brief met info over AVG naar iedere ondernemer?

Mooie taak voor de KvK zou ik zeggen. Alhoewel de KvK op dit gebied niet bepaald een smetloos blazoen heeft (verkoop van contact gegevens aan spammers is onderdeel van hun verdienmodel).

SuperDre @joldemans • 8 mei 2018 22:19

Dat is ook mijn ervaring, en als ze er van gehoord hebben dan denken ze juist dat er helemaal niets meer mag.
tja er staat ergens dat de informatie niet naar een bepaald persoon mag leiden ivm identiteitsfraude, maar hoe moet ik de persoon dan registreren en een brief schrijven, want als ik een naam en adres registreer en op de brief zet, dan is dat al informatie die (letterlijk) naar de persoon kan leiden.

SomerenV @walteij • 8 mei 2018 15:18

Welkom in de wondere wereld van bureaucratie. Dat soort dingen moeten vaak langs dermate veel mensen dat het uiteindelijk ergens op de grote hoop komt bij iemand die (op dat moment) de noodzaak er niet van ziet om er prioriteit aan te geven. Op dat moment kost het geld terwijl de noodzaak (lees: wetgeving) er nog niet is, dus kost het in de ogen van een hoop managers onnodig geld. Het is beter niet onnodig geld te spenderen en vervolgens ben je opeens 2 jaar verder en moet je opeens aan de bak om alles te wijzigen conform de wetgeving. Maar dan moet heel dat riedeltje weer doorlopen worden en alles wijzigingen in zo'n korte tijd lukt niet.

Met als eindresultaat: "we zijn nog niet klaar"

jadjong @SomerenV • 8 mei 2018 15:49

Genoeg bedrijven die duizenden euro's uit hebben gegeven aan advocaten/notarissen om modelcontracten samen te stellen, om vervolgens te horen dat we die modelovereenkomsten niet zo handig vinden en het toch ff anders gaan doen. Soms kan de kat uit de boom kijken een hoop geld schelen. Gegokt en verloren echter bij GPDR.

The Zep Man

Privacy
Politiek en recht

@jadjong • 8 mei 2018 15:58

Ondernemen is risico's nemen. Daar horen ook dit soort zaken bij.

Frits1980 @The Zep Man • 8 mei 2018 22:17

Ben ik niet helemaal met je eens. Een kennis van me heeft een administratiekantoor. Hij heeft, en om eerlijk te zijn ik ook niet, geen idee wat hij nou eigenlijk allemaal moet doen. Ik ben ook van mening dat de strekking van gdpr prima is, maar de uitwerking volkomen onwerkbaar is. Net als die cookiewetgeving het doel is goed, de uitwerking alleen maar nutteloos irritant.

Batiatus @walteij • 8 mei 2018 15:40

Geheel mee eens met je betoog. Ik denk echter wel dat dit een strohalm is voor de autoriteiten om nog wat extra budget te krijgen in de naleving op deze wetgeving. Ik heb een tijdje geleden eens een artikel gezien hoeveel datalekken er gemeld werden bij de AP, dat kan je met de bezetting van de AP echt niet allemaal najagen. Met wat meer budget zal dat ook niet lukken, maar het geeft je als organisatie in ieder geval weer wat meer slagkracht.

Ik verwacht overigens dat er eerst wordt gefocust op een organisatie die niets aan de AVG heeft gedaan en ook geen progressie maakt om het wel te doen, dat die eruit gepikt wordt en een flinke boete krijgt. De meeste organisaties die ik in het werkveld zie, hebben de volledige AVG ook niet geimplementeerd, maar zijn bezig met de quick wins (FG aanstellen e.d.). Ik verwacht niet dat de AP die partijen op het matje roept vanaf 25 mei.

Muurtegel @walteij • 8 mei 2018 17:05

Volgens mij gaat het hier niet over het compliant zijn met de wet, maar om de financiering om als toezichthouder hier toezicht op te kunnen houden. Dat kost tijd en mensen en daarom dus ook geld.

sassymousasi 8 mei 2018 15:10

Ik moet zeggen dat de overheid hier echt gigantisch heeft gefaald. Geen voorlichting, en het kwam bij mij vrij abrupt zomaar op mijn bordje te liggen. Informatievoorziening is vrij schaars, er is totaal geen actieve houding van de overheid op dit gebied, terwijl zij dit wel oplegt aan mij als klein ondernemer.

Ik wordt er een beetje kriebelig van. Maar goed, dit zal vast wel weer zo'n regel zijn waar heel veel bombarie over is maar vrij weinig mee gedaan wordt. Zo kan ik me nog herinneren dat ik plotseling met al mijn klanten een contract moet opstellen om aan te tonen dat ik niet alleen bij hen werk, of iets in die richting.

Al die administratieve rompslomp, ik wordt er echt moedeloos van. Het zou in mijn ogen een stuk meehelpen als je dit soort wetten alleen oplegt aan de giganten, waar die ook voor bedoeld is. Je zadelt nu een hele, hele hoop mensen op met gezanik wat echt totaal niet nodig is.

munckmb @sassymousasi • 8 mei 2018 15:20

[small]Het zou in mijn ogen een stuk meehelpen als je dit soort wetten alleen oplegt aan de giganten, waar die ook voor bedoeld is. Je zadelt nu een hele, hele hoop mensen op met gezanik wat echt totaal niet nodig is.[/small]

Juist niet. Het zijn zeker ook de kleine bedrijven die geen idee hebben hoe ze veilig klantgegevens moeten opslaan. Dus het is inderdaad 'gedoe' maar wel degelijk van waarde voor mij als klant.

sassymousasi @munckmb • 8 mei 2018 15:23

Dan doe je toch geen zaken met hen?

Een competent bedrijf heeft zijn zaakjes op orde, daar hoeft geen ellendig lange rompslomp aan documentatie voor nodig te zijn om dat op orde te krijgen. Je bent competent of niet. Een AVG document doet daar niets aan af. Of denk jij dat de bedrijven die een document opstellen en de benodigde maatregelen nemen opeens heel bewust bezig zijn met de klantgegevens?

Als je antwoord ja is dan ben je heel, heel erg naïef.

Herax10NL @sassymousasi • 8 mei 2018 15:27

Wat dacht je van sportverenigingen? Dan maar geen lid worden van de lokale sportclub of sportschool? De wet is 2 jaar terug in werking getreden/aangekondigd. Dan heb je als bedrijf/vereniging of wat dan ook mijns inziens genoeg tijd om je aan te passen aan de wet.

Verwijderd @Herax10NL • 8 mei 2018 15:32

Dan inderdaad geen lid worden. Als dit inderdaad behoorlijk wat kosten met zich mee zou brengen zal de prijs ook wel omhoog moeten. Zitten we daar op te wachten bij een vereniging die enkel openbare gegevens van je heeft?

ArnoutV

@Verwijderd • 8 mei 2018 15:38

Een gemiddelde sportvereniging heeft geen werknemers, draait helemaal op vrijwilligers.
Geloof me het is een hele klus om mensen bereid te vinden om dit uit te zoeken.
En dan ook nog de bewustwording.
Zeker met jeugdleden als ieder jaar opnieuw gekeken moet worden wie in welke leeftijdsklasse moet uitkomen. Al gauw worden dan te veel gegevens met elkaar gedeeld ipv alleen Naam, Geslacht en Geboortejaar.

Verwijderd @ArnoutV • 8 mei 2018 15:54

Dat is in mijn ogen niet de verantwoordelijkheid van de vereniging. Betaal contant en geef niets meer af dan je email adres en evt leeftijd.

Probleem gewoon opgelost.

Ik kreeg laatst nog positief commentaar van mijn huisarts en specialist. Ze vragen altijd gewoon om vrije toegang tot alle beschikbare gegevens. Vrijwel iedereen geeft klakkeloos toestemming zonder ook maar te vragen waar het om gaat... Ik heb ze toen toestemming gegeven, maar ze moeten me vóór ze ook daadwerkelijk iets uitwisselen mij voor de desbetreffende documenten om toestemming vragen.

Waarom zou dat ergens anders niet kunnen?

Japie07 @Verwijderd • 8 mei 2018 16:26

Dat is in mijn ogen niet de verantwoordelijkheid van de vereniging. (...)

Als leiding bij een waterscoutingvereniging (120 leden) ben ik hier niet mee eens. Ouders brengen hun kinderen zaterdagmiddag naar de scouting en halen die aan het eind van de middag weer op. De oudere kinderen fietsen zelf van en naar huis.

Wat als een kind gewond raakt tijdens een spelletje? Of een zeil tegen zijn hoofd aankrijgt? In het ergste geval bel je de ambulance, maar meestal kunnen we zelf naar de huisartsenpost. Het is dan erg handig om te weten of de persoon ergens allergisch voor is om dit door te kunnen geven aan de arts. Nu zouden we hier nog kunnen zeggen dat we de ouders moeten bellen, maar dit wordt al lastig als we op zomerkamp gaan. Niet elke ouder is 24/7 bereikbaar, maar er kan wel altijd wat gebeuren. Daarnaast moeten wij dan de medicijnen geven aan de kinderen, dus ook dat moeten we weten.

Het nadeel waar wij tegenaan liepen is dat 90% van de kinderen geen allergieën heeft en geen medicijnen slikt. Deze ouders worden gek van het vier keer per jaar opnieuw moeten invullen van een formulier. Als groep hadden we geen duidelijke afspraken, alleen bij het zomerkamp en weekenden, als jeugdleden blijven slapen hadden we een correct formulier. Voor de zekerheid werden deze bewaard, maar hier was dus geen beleid voor. Iedereen kon een willekeurig laatje opentrekken en daar lagen meerdere formulieren met medische gegevens. Daarnaast kwam het ook juist andersom voor: een nieuw lid vulde pas een gezondheidsformulier in als deze meeging met een kamp. Hiervan hadden we dan geen gezondheidsformulier.

Door de AVG moesten we als leiding gaan nadenken over hoe we omgaan met persoonlijke gegevens. Scouting Nederland heeft hiervoor richtlijnen gegeven, maar laat verenigingen ook op sommige vlakken vrij. Wij hebben besloten dat we elk jaar aan de ouders van jeugdleden een formulier opsturen (per post). Hierbij zit dan een retourenvelop om het ingevulde formulier terug te sturen. Deze bewaren we in een kluis op de vereniging zelf. Bij een noodgeval kan dit formulier gepakt worden door een staflid. We verplichten dit formulier in te vullen, omdat we van mening zijn dat we de verantwoordelijkheid voor het (minderjarige) jeugdlid anders niet kunnen dragen.

(...) Betaal contant (...)

Buiten dat dit voor ons een enorme taak zou zijn zitten ouders hier helemaal niet op te wachten. De oudere leden komen zelf op de fiets en zouden dan even 45 euro moeten aftikken? Niet erg veilig lijkt mij. En daarna moet ik met 5500 euro naar de bank? Dit is een groot risico en daarnaast heb ik hier per kwartaal een dagtaak aan! En dat als vrijwilliger (zelfs ik moet betalen)! Dan is automatische incasso toch een uitkomst. Helemaal met de applicatie die Scouting Nederland al levert.

De AVG is zeker streng, maar zorgt zeker voor bewustwording. Al vind ik dat de overheid er zeker laat mee kwam. Vanuit mijn functie bij de scouting hoorde ik pas begin dit jaar over de AVG. De overheid begon volgens mij pas in februari met adverteren. Dit had naar mijn mening zeker eerder gemogen.

[Reactie gewijzigd door Japie07 op 23 juli 2024 12:29]

HansvDr @ArnoutV • 8 mei 2018 15:56

Ik ken er een aantal waar de website op zwart gaat, het is teveel gedoe voor de vrijwilligers.
De leden gooien nu zelf facebook vol met foto's en verslagen.

De redenatie: Facebook zorgt er wel voor dat het aan de wet voldoet.
Leve AVG.

Verwijderd @HansvDr • 8 mei 2018 16:45

Ja, het is echt triest weer dit allemaal. Mijn buurman (ZZP'er) en ik zetten alles nu maar in de Google Cloud. Geen Outlook en contactpersonen en adressen meer op de eigen computers. Google voldoet wel aan de wet en die zal wel de boel heus wel veilig houden. Klanten die dat niet willen, dan maar toedeledokie. Daar ga ik geen verantwoordelijkheid meer voor nemen op deze manier.
Leve AVG.

MissingDog @Verwijderd • 8 mei 2018 18:11

Zelfs als het bij Google staat in jouw eigen cloud ‘partitie’ ben jij nog steeds de ontvangende en verwerkende partij van die gegevens en jegens jouw klanten verplicht om conform GDPR inzage, wijzigingen en verwijdering te faciliteren en te kunnen aantonen dat jij uitsluitend gegevens van hun verwerkt die strikt noodzakelijk zijn voor het beoogde doel. Alleen ‘afschuiven’ op Google is niet afdoende zonder aanvullende procedures en faciliteiten. Denk bijvoorbeeld al aan zoiets als het aanpassen van je algemene voorwaarden en privacy statement mbt het feit dat jij de gegevens bij een derde partij onderbrengt.

[Reactie gewijzigd door MissingDog op 23 juli 2024 12:29]

SuperDre @Verwijderd • 8 mei 2018 22:35

uhhh.. omdat jij het in Google Cloud zet wil nog helemaal niet zeggen dat je daarmee aan de AVG voldoet.

SuperDre @ArnoutV • 8 mei 2018 22:32

Maarja, die 3 gegevens die je noemt zijn al genoeg om identiteitsfraude mee te plegen..

FreezeXJ @Verwijderd • 8 mei 2018 15:38

Dan zijn ze met een middagje schrijven wel klaar. Sowieso vind ik het heel prettig dat we dan een officiele verklaring hebben dat ze niks interessants van me weten, zoals paspoortnummers ofzo.

Ik vermoed dat vooral middelgrote bedrijven, die meer doen dan orders versturen, hier een flinke dobber aan hebben. Een aantal is al begonnen, en heeft nu de boel redelijk dicht, maar heel veel hebben lekker zitten afwachten of de wet niet last-minute afgeschaft/veranderd/uitgesteld zou worden. Dan is het namelijk een dure hobby om pro-actief te werken.

Verwijderd @FreezeXJ • 8 mei 2018 16:05

Nou, ik ben er vorige week al 40 uur mee bezig geweest om het te snappen. En dan denk je dat jet het snapt en heb je alle stappenplannen doorlopen, en dan blijkt het ineens toch allemaal anders te zijn.

Niemand maar dan ook niemand van de MKB-klanten om me heen weet wat hij/zij precies moeten doen, ook al hebben zij ook dat stappenplan doorlopen. Grotere bedrijven om me heen zijn ermee bezig, maar die snappen het ook allemaal niet.

De kleine jongens zullen wel weer onder de grote jongens lijden. Die wetten zijn natuurlijk aangenomen om je te beschermen, maar Google, Facebook en bedrijven zoals MailChimp timmeren toch wel alles dicht en wenden alle aansprakelijkheid af. Ze gaan ook niet voor iedereen een losse overeenkomst laten tekenen. Zij kunnen het wel af met een standaardovereenkomst die voor iedereen moet gelden. En het zijn eerder deze grote bedrijven die je data verkopen dan een klein bedrijf dat alleen je NAW-gegevens en je e-mailadres gebruikt om je maandelijkse of jaarlijkse factuurtje te sturen.

En waarom zou een sportvereniging je BSN hebben? Die moet je trouwens als eenmanszaak/VOF wel op je eigen website zetten (want dat is je BTW-nummer met BO1 erachter), hoezo veilig en een vreemde spagaat van bizarre wetten en regels? Maar dat is een ander verhaal. NAW-gegevens en een emailadres zal heus genoeg zijn in de meeste gevallen. Sla deze op in de cloud bij 1 van die grote jongens (zoals Google) waar je een overeenkomst mee hebt (daar moet je akkoord mee gaan), en dan zou je al veilig moeten zijn. Maar nee, dat zal wel weer niet genoeg zijn volgens deze wereldvreemde gekken die deze regels en wetten maken.

wjn @Herax10NL • 8 mei 2018 15:43

Nee, dat is niet waar.

Je moet wachten tot de verordening in de nationale wet verankert is, dan pas kun je als bedrijf/vereniging/advieskantoor aan de slag.

Aangezien veel overheden nog geen aangepaste wetten hebben, kun je dus ook nooit voldoen aan de AVG.

JacoMare @wjn • 8 mei 2018 16:01

Niet waar, de AVG of GDPR (General Data Protection Regulation) is een Europese wetgeving die voor alle landen geldt zoals ze gepubliceerd is. De lokale landen hebben de mogelijkheid om bijkomende verfijningen in de lokale wetgeving toe te voegen, maar deze mogen niet afwijken van de algemene GDPR-regels.

Elk bedrijf moet in principe al klaar zijn en kan op 26 mei reeds beboet worden voor 'non-compliance'.

Batiatus @sassymousasi • 8 mei 2018 15:34

Maatregelen hoeven niet alleen technische maatregelen te zijn, maar ook organisatorische maatregelen. Tuurlijk kan je een DLP (data leakage prevention) oplossing integreren, alsnog zullen collega's zich hierom heen proberen te werken. Daarom worden (en moeten) er ook organisatorische maatregelen worden genomen waarin medewerkers ook getraind moeten worden in informatiebewustzijn.

Het feit dat een organisatie een checklist/procedure moet volgen waarbij ook al is gewezen op de gevolgen wanneer dit niet gebeurd, resulteert echt wel in wat bewustzijn.

munckmb @sassymousasi • 8 mei 2018 15:31

Onderdeel van de AVG is bewustwording. Natuurlijk kan je een document opstellen en van alles beweren maar als het gaat om het implementeren van een goed beleid. Bijvoorbeeld om er 'alles' aan doen technisch en in procedures, om gegevens veilig op te slaan/vernietigen etc. Dat het als gedoe ervaren wordt doet niets af aan het belang van zorgvuldig omgaan met data.

Verwijderd @munckmb • 8 mei 2018 16:20

Stel, ik sla NAW gegevens en een emailadres van mijn klanten alleen op in G Suite, de Google cloud dus. Op mijn computers thuis staat niets. Wachtwoorden doe ik niet automatisch onthouden, maar elke keer log ik in. De gegevens van mijn klanten zijn dus alleen de noodzakelijke en die gebruik ik alleen om deze klanten af en toe een factuur te sturen en om ze te kunnen bereiken in geval er iets verandert aan de dienst die ik lever. Als ik dit communiceer, zou dat in mijn ogen 100% voldoende moeten zijn. Ikzelf heb verder geen invloed op de beveiliging die Google levert. En die zal heus wel afdoende zijn. Waarom moet ik dan een verwerkingsovereenkomst met elk van die klanten opstellen? Als ik dit als een privacyverklaring op bijvoorbeeld mijn website zet, of meegeef met de AV bij het aangaan van de dienst zal dit toch genoeg moeten zijn? Of ik ze nu een product verkoop of dat ik hun huis schilder. Dit is zo basic allemaal.

Iemand anders die ik ken had het uitgezocht en het schijnt zelfs zo erg te zijn dat je niet eens meer in je Outlook op je eigen PC de namen en emailadressen van je klanten mag opslaan. Lekker handig en werkbaar dan!

munckmb @Verwijderd • 8 mei 2018 17:43

Als je toestemming hebt dan mag het gewoon. Zie: https://autoriteitpersoon...gevens-mag-verwerken-6310

Verwijderd @munckmb • 9 mei 2018 09:20

Okee bedankt, die link heb ik gebookmarked. Die toestemming is dan niet eens (expliciet) nodig zo te zien, want er hoeft maar aan 1 van die 6 grondslagen voldaan te zijn.
- De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst.
=> aan deze wordt voldaan, ik moet er immers jaarlijks/maandelijks een factuur naar sturen.
- De gegevensverwerking is noodzakelijk voor het nakomen van een wettelijke verplichting.
=> De boekhouding vraagt om deze factuur/klantgegevens 7 jaar te bewaren.

Het lijkt een grote papieren tijger te zijn. Veel regels en wetten voor iets wat voor iedereen al vanzelfsprekend zou moeten zijn: Ga veilig om met persoonsgegevens.

SuperDre @Verwijderd • 8 mei 2018 22:37

Nou, dan heeft die persoon die het heeft uitgezocht dus fout, want je mag nog steeds rustig al die informatie in je Outlook op je eigen PC hebben staan (beveiliging etc is dan wel een ding, maar dat moet je dan dus verder wel goed regelen, maar het mag wel gewoon).

droner @sassymousasi • 8 mei 2018 16:06

Dan doe je toch geen zaken met hen?

Want jij kunt aan een front end altijd aflezen dat de zaken back end slecht georganiseerd zijn?

Als je antwoord ja is dan ben je heel, heel erg naïef.

CAPSLOCK2000

Privacy
algemene verordening gegevensbescherming
Politiek en recht

@sassymousasi • 8 mei 2018 16:46

Een competent bedrijf heeft zijn zaakjes op orde, daar hoeft geen ellendig lange rompslomp aan documentatie voor nodig te zijn om dat op orde te krijgen.

Dat kun je over iedere wet of regel zeggen. Als klant weet je alleen niet van te voren wat de kwaliteit is. Het onderwerp is echter zo dat je het niet eens even rustig kan gaan uitproberen. Als het fout gaat dan is het ook direct echt fout. Daarbij is het voor de competente bedrijven niet te doen om te concurreren met incompetente bedrijven als de klant op geen enkele manier kan zien waar dat verschil in zit. Beveiliging is nu eenmaal duur. Het bedrijf dat niks aan beveiliging doet is dus altijd goedkoper en zal alle klanten winnen.
Daarom moet de overheid een basisniveau afdwingen waar ze allemaal aan moeten voldoen. Dan weet je nog steeds niet wat zo'n bedrijf achter de deur moet je data doet, maar weet je dat je juridisch heel sterk staat als het fout gaat.

softinc @munckmb • 8 mei 2018 15:33

Dus jij als klant hebt meer vertrouwen in een grote organisatie die alles op papier voor elkaar heeft, dan een kleine organisatie, waar je al jaren zaken mee doet, en je weet dat zij jouw net zo hard nodig hebben als jij hen ?

Het is een papieren tijger waar alleen maar door consultants ( ben ik ook) en advocaten kantoren handenwrijvend en met $ tekens naar wordt gekeken.

Het is een goede stap in de juiste richting, maar er moet echt eerst nog veel meer gebeuren in de cyber awareness mentaliteit voordat zulke maatregelen effect zullen resulteren.

munckmb @softinc • 8 mei 2018 15:53

Dat zeg ik niet. Ik denk dat het, zoals jij ook zegt, een goede stap is in de juiste richting. Het feit dat 'men' nu bijna in paniek raakt omdat er mogelijk boetes uitgedeeld gaan worden zegt mij dat het dus nodig is. Dus de papieren tijger zorgt wel voor actie. Dat is goed, bij zowel grote als kleine bedrijven.

De afgelopen tijd zijn er behoorlijk wat datalekken bekend geworden met een 'sorry' naar de gebruikers en hopelijk aanpassingen van het bedrijf aan beleid en/of techniek bij het lekkende bedrijf. Dus de AVG doet nu al aardig zijn werk.

TweakerPas @munckmb • 8 mei 2018 15:52

Sorry maar er is nog steeds een verschil tussen jouw zaakjes op orde hebben, je klantgegevens veilig opslaan e.d. En het gehele AVG wat nergens opslaat, waar veel onduidelijkheid over heerst en noem maar op. Pietje roept A en Jantje roept B en Kees roept C omdat ze het allemaal anders interpreteren. Er is geen duidelijkheid en het gehele AVG is een regelrechte zooitje...

Het is heel simpel stel bedrijven gewoon verplicht dat de data van klanten beveiligd opslaan met een minimum aan voorgestelde veiligheid.
Geef duidelijk aan wat wel en niet opgeslagen mag worden.
Geef duidelijk aan wat je wel en niet moet kunnen laten zien aan jouw klant.
etc..

Veel ondernemers hebben alleen zakelijk klanten en moeten nu per klant een contract laten ondertekenen zodat ze hun gegevens mogen opslaan, welke ook vrij in de KVK, telefoongids, goudengids etc.. allemaal staan. Wat een onzin zeg...

munckmb @TweakerPas • 8 mei 2018 15:57

Er zijn zeker idiote gevolgen van de AVG en het zou inderdaad beter zijn als het concreter omschreven is. Maar de AVG geld ook voor bijvoorbeeld het onderwijs en daar kan zeker heel veel verbeterd worden wat betreft databeveiliging, digitale toegang controle etc. Het is niet alleen maar slecht.

theobril @munckmb • 9 mei 2018 00:35

Kan je aangeven waar "voor bijvoorbeeld het onderwijs" het in het onderwijs niet goed gaat en op welk punt de AVG waardevol gaat zijn? Heel graag lees ik concrete voorbeelden, van kintergarten tot promovendustrajecten.

munckmb @theobril • 9 mei 2018 07:14

Een paar voorbeelden zijn o.a. de schoolfotograaf die uit commercieel oogpunt van elk kindje een foto bewaard zonder dat er toestemming voor is gevraagd. Een RT medewerker van een basisschool die van elke leerling de gegevens kan inzien. Dat zou beperkt moeten zijn tot de kinderen waar hij/zij mee werkt.
Docenten die leerling gegevens (toets resultaten) op een laptop bewaren, of erger, thuis op de computer. Posters van alle kinderen van een school/opvang aan de muur zonder toestemming. Het bewaren van beeldmateriaal van schoolreisjes tot in lengte van dagen. Het inloggen met credentials van een collega. Het gebruiken van niet ge-encrypte laptops door docenten etc.

theobril @munckmb • 9 mei 2018 12:32

"Een RT medewerker van een basisschool die van elke leerling de gegevens kan inzien." Dit voorkomen gaat nogal dure ICT-aanpassingen vereisen. Is dit geld in het onderwijs niet beter te besteden?

munckmb @theobril • 9 mei 2018 13:47

Toegang is geregeld bijvoorbeeld via groepslidmaatschap van de AD dus het is beleid wat gemaakt moet worden. Zaken waar veel te weinig over nagedacht word want als iedereen overal bij kan, kan ook iedereen zijn werk doen :-)

theobril @munckmb • 9 mei 2018 14:21

Toegang en autorisaties van bijvoorbeeld een cijferadministratie zoals peoplesoft, is zeer zeker niet via AD in te stellen. Kun je aangeven hoe een programma wat een eigen autorisatiesysteem heeft, via AD ingeregeld kan worden qua autorisaties? Als je dat kunt dan heb ik nog wel een vacature voor je

munckmb @theobril • 9 mei 2018 18:10

Ik zei ik ook bijvoorbeeld. Sharepoint is AD. Magister is op groepen gebaseerd. Wat ik bedoel te zeggen is dat het niet een dure ICT aanpassing is maar een administratieve, gebaseerd op beleid.

theobril @munckmb • 10 mei 2018 14:57

het zijn dus wel dure ICT aanpassingen, want alle (het zijn er niet zo veel, vooral orisis en peoplesoft) cijferadministratiesystemen/SIS op universiteiten en hogescholen zijn qua autorisatie niet gebaseerd op AD of sharepoint. Je voorbeeld is in mijn beleving dan ook niet valide. Docent X werkt alleen op locatie Y en mag dus geen cijfers kunnen inzien van studenten van locatie Z. De cijferinvoerder van locatie X heeft hetzelfde verhaal. Toen werd er iemand ziek op Z en moest de X-cijferinvoerder invallen op locatie Z. Je kunt zelf wel bedenken wat dit betekent voor de inrichting en het onderhoud van de autorisaties.

munckmb @theobril • 10 mei 2018 19:39

Aha, ik ben alleen bekend met Primair en VO. Daar zit dus behoorlijk verschil in.

kalikatief @TweakerPas • 8 mei 2018 16:12

Dat is een beetje overdreven. Stop gewoon een extra clausule in het contract die zegt dat je het opslaat in de manier die voorgeschreven staat op de nieuwe wet en dat het contract aangaan ook direct hier toestemming voor verleent. Meer dan dat hoeft het echt niet te zijn naar de klant toe.

Verwijderd @munckmb • 8 mei 2018 18:17

komkom, het is een heel verschil als facebook de data van zijn gebruikers laat lekken naar pakweg een anoniem bedrijf in de UK die hiermee verkiezingen tracht te beïnvloeden, dan wanneer de kruidenier van om de hoek zijn notitieblokje met klantengegevens op straat verliest.

munckmb @Verwijderd • 8 mei 2018 20:38

True, maar bijvoorbeeld een sportschool die de gescande ID's van zijn klanten niet goed beveiligd is alweer een groter probleem. Neem de zzp-er die alles op een laptop heeft staan die uit zijn bus gestolen wordt. Of de usb stick met leerling gegevens van een school die iemand in de trein laat slingeren. Patiënt dossiers die door onbevoegden bekeken worden zoals laats is gebeurd. Er zijn zat situaties waar bewustwording van de risico's en de plicht om zorgvuldig met privacy gevoelige data om te gaan, enorm verbeterd kan/moet worden. Daar is de AVG heel erg goed voor. Sancties en handhaving is blijkbaar nodig om bedrijven tot actie te motiveren.

walteij @sassymousasi • 8 mei 2018 15:33

De overheid is inderdaad (veel) te laat begonnen met de informatievoorziening mbt de AVG.
Maar daar staat weer tegenover dat ik bijvoorbeeld op bijvoorbeeld LinkedIn al sinds December 2016 met grote regelmaat berichten voorbij zie komen in de strekking "Bent u al voorbereid op de AVG" (sinds begin dit jaar is het helemaal storm gaan lopen).

Omdat ik bij mijn werkgever een iets andere status heb dan de gemiddelde loonslaaf, heb ik daarvoor ook contacten met verschillende andere organisaties. Ik heb dus in de afgelopen (iets minder dan) 2 jaar gemiddeld 1 mail iedere 2 weken ontvangen mbt de AVG.
Ook de verschillende tech-multinationals (Microsoft, Amazon, Google, Symantec enzovoorts) besteden er de nodige aandacht aan. Zowel in nieuwsbrieven als social media laten ze regelmatig iets voorbij komen over de AVG.

Misschien ligt het aan de IT-bubble waarin ik leef, maar voor mij was allang duidelijk dat de AVG een serieuze impact kan gaan hebben op je organisatie. Ik heb dit vorig jaar ook duidelijk aangegeven bij mijn werkgever, waarop ik de reactie kreeg dat het al de nodige aandacht had.

munckmb @walteij • 8 mei 2018 16:00

Dit dus. De impact bij veel bedrijven onderschat. Dat besef komt nu en daarna de paniek. Ik ben zelf ook al ruim een jaar bezig met het bewust maken van de impact en de reactie is vaak:" komt goed, loopt wel los."

jmzeeman @sassymousasi • 8 mei 2018 15:36

Helemaal mee eens, alles is zo vaag en algemeen dat het voor de gemiddelde persoon compleet niet meer te begrijpen is. Het had ze gesierd als op zijn minst de zaken waar elk bedrijf mee te maken krijgt (financiële administratie, personeelsadministratie, ed) gewoon in een voorgekauwd framework hadden gegoten zodat je precies weet wat je moet doen en wat niet. Nu kan iedereen daarvoor het wiel zelf opnieuw uitvinden waarbij ook iedereen er weer andere conclusies en interpretaties er op na houdt. Het kan toch niet de bedoeling zijn dat de bakker op de hoek hier 1000en euro's in tijd, trainingen, advocaten en tooling voor moet uittrekken.

Ik zat laatst bij een advocaten kantoor bij een lezing over de AVG. Hier konden de advocaten onderling en de medewerker van de AP het al niet eens, eens worden over een vraag.

[Reactie gewijzigd door jmzeeman op 23 juli 2024 12:29]

walteij @jmzeeman • 8 mei 2018 15:45

Je bedoelt zoiets als IN 10 STAPPEN VOORBEREID OP DE AVG?
Of bedoel je Handleiding Algemene verordening gegevensbescherming (AVG)
Of misschien Anticiperen op de Algemene Verordening Gegevensbescherming
Er is ook een Model gegevensbeschermingseffectbeoordeling Rijksdienst (PIA)
En het Ministerie van justitie en Veiligheid heeft wat voorbeelden en een aanpas.
Dit was precies 3 seconden googlen (alle links hierboven staan keurig op een overzichtspagina van de Rijksoverheid over voorbereiden op de AVG.

pinpunt @walteij • 8 mei 2018 16:13

Voor je website een generator erg handig https://veiliginternetten...rklaring-generator/start/

sassymousasi @pinpunt • 9 mei 2018 09:33

Ja leuk zo'n generator. Maar dit dekt niet alles. Je bent dus helemaal niet klaar als je die generator gebruikt. Je moet hem zelf gaan aanvullen, en nog met vrij veel content ook.

Ook leuk die linkjes die @walteij aanhaalt maar als het allemaal niet in klare taal is opgeschreven heeft het gros van de mensen er helemaal niet aan.

The Zep Man

Privacy
Politiek en recht

@walteij • 8 mei 2018 15:56

Het is wel grappig dat van burgers verwacht wordt dat ze de wet horen te kennen, en dat (kleine) bedrijven denken dat ze hierop een uitzondering zijn. Ondernemen is risico's nemen. Het AVG is een klein risico waarvoor middelen ze beschikbaar zijn om dit te mitigeren.

Zie het als organisatie als een door de overheid afgedwongen investering in het maatschappelijk belang. Ook de personen die werken bij een organisatie worden hier beter mee beschermd.

jmzeeman @walteij • 8 mei 2018 16:17

Nee eigenlijk niet, alles is nog steeds in zeer algemene termen opgeschreven maar dan op 6 verschillende manieren. Onder de WPB had de AP voor alle veel voorkomende zaken waar eigenlijk elk bedrijf mee te maken krijgt gewoon standaard eisen waar je aan moest voldoen. Nu moet iedereen voor al die dingen het wiel opnieuw uitvinden. Bijna alles wat er geschreven wordt gaat over het grootschalig verzamelen van gegevens en hoe je hier mee om moet gaan, maar simpele dingen zoals sollicitaties, correspondentie en rekeningen worden totaal genegeerd. Vergeet niet dat het grootste gedeelte van de bedrijven in Nederland ruim 1,6 miljoen maar uit één persoon bestaat ik vindt het onredelijk om van al deze mensen verwachten dat ze zich hier in even uitgebreid verdiepen als de grote data criminelen waarom dit allemaal begonnen is.

walteij @jmzeeman • 9 mei 2018 16:02

Natuurlijk is het in algemene termen opgeschreven. Je kunt van een ambtenaar niet verwachten dat hij voor iedere bedrijfsvorm (van zzp-er tot multinational) alles gaat uittikken.
De wet zelf is ook generiek. Ze geven aan wat er niet mag, wat je moet doen bij twijfelgevallen en wat de gevolgen zijn als je je er niet aan houdt.
Hoe je hier invulling aan gaat geven is helemaal voor jezelf te bepalen. Mijn zoekopdracht was ook alleen maar een eerste link. Er is zo veel meer te vinden over de AVG als je even zoekt.
Ook internet jurist @Arnoud Engelfriet blogt er regelmatig over.
Ieder bedrijf moet zich aan de AVG houden, dus er zijn honderden websites te vinden waarin voorbeelden te vinden zijn, extra uitleg te vinden is, voorbeeld verwerkerscontracten, en ga zo maar door.

@sassymousasi Ik heb helemaal niet gezegd dat alles in deze links staat, maar er werd gevraagd om een framework en extra uitleg vanuit de overheid. De links die ik plaatste geven dus wel degelijk aan dat de overheid de nodige basis informatie verstrekt, welke als startpunt voor je AVG traject dienen.

Verwijderd @walteij • 8 mei 2018 16:52

Die heb ik vorige week al allemaal bekeken en het stappenplan doorlopen. Maar dan ben je er nog niet. Ga er maar wat moois van maken. Stappenplan heb ik helemaal doorlopen. En dan? Het is niet echt duidelijk hoor.

Ik ga ook niet met 100 klanten weer een overeenkomst tekenen. Google geeft ook een standaard AVG/GDPR sheet die je maar moet accepteren. Zo niet, dan niet. Ga ik ook maar doen met mijn klanten.

SuperDre @walteij • 8 mei 2018 22:43

Ja leuk, ff googlen, maar heb je de documentatie ook daadwerkelijk gelezen en begrepen wat er in staat. Ik lees ivm mn werk regelmatig documentatie van de overheid, en en regelmatig is de tekst zo wazig dat die voor veel meerdere interpretaties vatbaar is of dat het gewoonweg niet klopt omdat de schrijver(s) van het document de tekst van de wet zelf niet begreep.

sassymousasi @SuperDre • 9 mei 2018 09:34

Makkelijk puntjes scoren. Wat linkjes neerzetten en zeggen dat daar alles instaat, want het gros van de mensen drukt toch direct op +3 zonder de inhoud daadwerkelijk te lezen.

Echt tegenwoordig moet ik echt kotsen van de houding van mensen t.o.v. dit soort praktijken.

Dennisdn @jmzeeman • 8 mei 2018 18:19

Simpel. Wetgeving of normen zeggen alleen dát je iets moet doen. Hoé je dat doet, mag en moet je helemaal zelf weten. Anders krijg je achteraf discussies over “het moest zo”.

SuperDre @Dennisdn • 8 mei 2018 22:44

Maarja, door niet te specificeren HOE het moet zorg je er dus voor dat die wetgeving of normen voor meerdere interpretaties vatbaar is.

Dennisdn @SuperDre • 9 mei 2018 06:35

Exact. En daarmee kan een bevoegd gezag nooit verantwoordelijk zijn voor gevolgen.

Vergelijk het met het waardeloze BHV-beleid. Ze zeggen alleen dat je een BHV-organisatie moet hebben. Maar ze branden hun vingers er niet aan te zeggen hoeveel BHV'ers je moet hebben en hoe dat ingericht moet zijn. Zodat ze altijd vrijgesteld zijn in geval het toch goed mis gaat. Daardoor heb je het altijd als ondernemer gedaan.

Borisd @sassymousasi • 8 mei 2018 15:20

Regelgeving is doorgaans positief voor de grootste marktparticipanten. Niet onregelmatig staan grote bedrijven zelf hierachter (al dan niet in een actieve rol).

Faeron @sassymousasi • 8 mei 2018 15:41

Tuurlijk, geef de overheid maar lekker de schuld van je eigen falen. De wettekst ligt er al twee jaar. Die kan je lezen. Ja, het is gewoon normale mensentaal. Ook ik als niet-jurist heb 'm gelezen het het is prima begrijpbaar wat erin staat. Daarnaast zijn er tal van organisaties die gratis adviesdocumenten hebben geleverd, bijvoorbeeld het CIP.

En de AVG is echt niet spannend als je de boel op orde hebt voor de Wbp. Zo niet, dan ben je daar al 15 jaar te laat mee. En uiteraard voldoe je ook netjes aan CETS 108. Dus organisaties die nu pas beginnen met privacywetgeving, hebben niet nog een maandje de tijd, nee, die zijn meer dan 20 jaar te laat.

Verwijderd @Faeron • 8 mei 2018 16:59

Tuurlijk, geef de overheid maar lekker de schuld van je eigen falen.

Haha, grapjas. Dit is juist de overheid die nog niet klaar is voor zijn eigen (onzin)regels. Zoals de titel al zegt:
Groot deel Europese privacytoezichthouders: we zijn nog niet klaar voor AVG

Faeron @Verwijderd • 9 mei 2018 08:38

Geen excuus om je daarachter te verschuilen. Een rechter zal dat echt niet meenemen bij een beoordeling of een organisatie handelt in strijd met de AVG.

SuperDre @Faeron • 8 mei 2018 22:45

Je bedoelt, jij vindt em begrijpbaar voor de interpretatie die jij er aan geeft, maar laat er nou toch een hoop niet eens echt duidelijk zijn, en soms dus dingen zelfs tegenstrijdig zijn met andere nederlandse wetgeving.

Faeron @SuperDre • 9 mei 2018 08:40

Klopt, niet alles is duidelijk en over een hoop zaken moet nog jurisprudentie ontstaan. Maar genoeg zaken zijn wel duidelijk. Daar kan je prima mee aan de slag. En het argument "ik snap de AVG niet want ik heb er geen tijd in gestoken om hem te begrijpen" is geen geldig excuus.

droner @sassymousasi • 8 mei 2018 16:08

Je bent natuurlijk wel zelf verantwoordeijk om op de hoogte te blijven van de voor jou relevante wetgeving. Die AVG dateert alweer van twee jaar geleden.

Juist de kleinere webshops zijn m.i. een groot probleem als het gaat om persoonsinformatie.

Verwijderd @sassymousasi • 8 mei 2018 16:13

Helemaal mee eens. En bij ongeveer 100 klanten hoor ik precies dezelfde geluiden. Die gaan zelf ook heus wel goed en veilig om met je NAW-gegevens en een emailadres. Het zijn juist de grote jongens die al je data doorverkopen.

Stel, je bent reseller van webhosting. Een klant van je heeft een webwinkel en in zijn CMS staan dus allemaal persoonsgegevens van de mensen die daar besteld hebben. Dan ga ik niet voor die gegevens verantwoordelijk zijn. Het enige wat ik dan kan en zal doen is de overeenkomst van mijn leverancier 1 op 1 doorpasen, want die zegt ook al niet verantwoordelijk te zijn (wat hij volgens de nieuwe regels misschien toch wel zo is), eventueel met nog wat extra restricties. Dan moet ik het onderhoudscontract voor de webwinkel maar stopzetten, want ik zou eventueel die persoonsgegevens kunnen inzien. Nou, da's lekker voor de business dan. De grote jongens timmeren toch wel alles dicht en schuiven elke verantwoordelijkheid weg, de kleine jongens hebben alleen maar gezanik en gedoe om niets.

Ik word er ook echt moedeloos van. Misschien een mooi moment om na 20 jaar maar eens te stoppen met de eenmanszaak.

Qlusivenl

@sassymousasi • 8 mei 2018 16:31

Het zou in mijn ogen een stuk meehelpen als je dit soort wetten alleen oplegt aan de giganten, waar die ook voor bedoeld is. Je zadelt nu een hele, hele hoop mensen op met gezanik wat echt totaal niet nodig is.

Dat is redelijk kort door de bocht. Je opmerking van "dan doe je toch geen zaken met hen" is ook heel kort door de bocht. Wij zijn hier in het bedrijf ongeveer klaar met de wijzigingen voor de GDPR en zijn op meerdere vlakken ISO gecertificeerd. Dit bedrijf is MKB met maar 40 man in dienst. Ja het is veel werk, maar als je toch eens weet wat voor enorme data opslag sommige bedrijfjes hebben. Gigantisch veel persoonlijke informatie.

Ja, de giganten hebben 1000 keer zoveel persoonlijke informatie, maar het maakt niet uit of je voor 1000 man persoonlijke info lekt of voor 10000000... Het is persoonlijke informatie, waarbij het woord het al zegt: Persoonlijk. Dus niet bestemd voor jan en alleman. Indien je daar niet aan kan voldoen als bedrijf zijnde, dan moet je gewoon die gegevens niet verwerken. Dat is al bijna onmogelijk in deze tijd, maar dat betekend niet dat je er maar met de pet naar moet gooien. Kleine bedrijven kunnen ook fouten maken, gehackt worden en hun beveiliging niet op orde hebben. Meestal dat laatste is een kritiek punt.

TheSiemNL @sassymousasi • 8 mei 2018 16:37

Helemaal mee eens. Met name de KvK waar elk bedrijf verplicht lid van is had hier een rol kunnen pakken en eindelijk eens iets van meerwaarde kunnen tonen.

kane_sting 8 mei 2018 15:19

Dit was wel te verwachten inderdaad. Wij proberen al een hele tijd proposities te verkopen m.b.t. GDPR/AVG maar echt happig zijn de bedrijven niet. Veel hebben zoiets van "Och 72 uur de tijd om een oplossing te verzinnen is goedkoper dan nu maatregelen te nemen" urgentie is er dus niet echt.

Ik ben zelf al sinds maart vorig jaar bezig met GDPR maar er is gewoon weinig animo. Ik ben zelf een IT'er en je ziet ook dat IT afdelingen de kar niet willen trekken. Vaak zeggen "laat Legal maar eerst komen". Met zoveel drastische maatregelen van GDPR snap ik wel dat IT liever niet doet. De business kan het beter behappen als het van Legal komt dan van IT.

xMuchux

@kane_sting • 8 mei 2018 16:12

Of Compliance afdeling in sommige gevallen.

Inderdaad, geen afdeling wilt dit trekken omdat niemand verantwoordelijk wil zijn voor risico. Maar, dat is vrijwel altijd met compliance want dat is puur risico analyse voor management. De maatregelen komen meestal pas achter in de situatie van "Oh nee, we moeten nu een hoop betalen. Nu ervoor zorgen dat dit niet meer gebeurd". Deze situatie schets gaat meestal in schommelingen op basis van hoe vaak er een audit plaatst vind gemiddeld (noem hier bv 3 jaar, 1e jaar is veel aandacht, 2e al wat minder en 3e jaar is meestal brandjesblussen weer).

We gaan het zien wie als eerste de 20M EUR of 4% boete krijgt wat er dan gebeurt. Brace yourselves!

OruBLMsFrl @xMuchux • 8 mei 2018 22:17

Genoeg bedrijven die kredietwaardigheid scores berekenen van consumenten op basis van allerlei gegevens. Die praktijk is straks verboden van wat ik begrijp omdat het gaat om financiële en dus gevoelige persoonsgegevens, waarbij zonder instemming zelfs nieuwe gegevens worden vastgelegd (de score). Het BKR heeft expliciet mandaat hiervoor, andere partijen buiten overheidsinstanties niet. Hoe het dat soort bedrijven straks vergaat is alvast een goede indicator van de handhaving in de diverse landen.

nieuws: Webwinkels en providers checken klanten met 'illegale' kredietscores

[Reactie gewijzigd door OruBLMsFrl op 23 juli 2024 12:29]

Verwijderd @kane_sting • 8 mei 2018 18:13

De IT afdelingen moeten de kar ook helemaal niet trekken, die moeten zich met IT bezighouden. Een veel gemaakte denkfout is dat de GDPR betrekking heeft op IT, dat is totaal niet het geval. IT is getroffen, net zoals iedereen die ook maar iets doet met persoonsgegevens: iemand die papieren dossiers bijhoud of iemand die bewakingscamera's heeft, valt allemaal net zo goed onder GDPR als IT systemen.

theobril @kane_sting • 9 mei 2018 00:14

Vaak zeggen "laat Legal maar eerst komen"
ja lijkt mij wel ja, laat legal eerst maar komen. als it-afdeling is het mogelijk alles af te schermen, maar daarvoor is in mijn beleving aansturing vanuit legal noodzakelijk. Het is legal zooi. Zij geven het een en ander aan, en dat implementeren wij. Legal laat het nogal liggen op mijn werk. En het is hun werk. Daar krijgen ze keurig voor betaald. Laten ze wat gaan doen.

blaaspijp 8 mei 2018 15:20

Dit is in Nederland ook wel een leuke discussie.
In de bouw hebben we de WAV (Wet Arbeid Vreemdelingen), hierin is bepaald dat wij gedurende een project aantoonbaar moeten kunnen maken of en welke buitenlandse personen er werkzaam zijn op de bouwplaats. Van alle personen dient aantoonbaar het identificatie middel gecontroleerd te worden/zijn. Van buitenlandse personen dient tevens het identificatie middel gekopieerd en bewaard te worden.

Dit is lijkt mij in strijd met de AVG

watercoolertje @blaaspijp • 8 mei 2018 15:45

Nope, andere wetten staan boven AVG. Dus als ik van alles moet bewaren voor de belastingdienst van al mijn klanten (webshop), dan moet dan met of zonder AVG.

munckmb @blaaspijp • 8 mei 2018 15:22

Met een wettelijke grondslag voldoe je volgens mij prima aan de AVG. Mits goed beveiligd.

Tryjing @blaaspijp • 8 mei 2018 15:41

Hetzelfde kom je tegen bij webshops. Die moeten een klant kunnen vergeten als ze daar om vragen.
Dat is nog niet het probleem maar wat als deze klant een garantie claim gaat doen en vergeten is, dan heb je geen gegevens meer. Hoe ga je dit controleren?

Er zijn veel tegenstrijdige regels, maar een goede middenweg blijkt vaak de oplossing te zijn in dit soort gevallen.

TheSiemNL @Tryjing • 8 mei 2018 16:38

Ik wil dat de belastingdienst mij vergeet, maar grote kans dat dat niet gaat lukken ;-0

ninjazx9r98 @Tryjing • 8 mei 2018 18:16

https://www.vergeetrecht.eu/implementatie/

Het right to be forgotten (recht om vergeten te worden) houdt in dat beheerders en verwerkers van persoonsgegevens (informatie met betrekking tot natuurlijke personen) verplicht zijn om deze gegevens te verwijderen wanneer deze informatie onjuist, niet (meer) relevant en/of niet van publiek belang is, op het moment dat de betreffende persoon hiertoe een verzoek indient.

Garantie lijkt me relevant dus hoeven gegevens nog niet verwijderd te worden gedurende de garantie periode.

BrBuggyB

@blaaspijp • 8 mei 2018 16:11

Er zijn zoveel wetten in strijd met de AVG. Denk aan archiefwet versus het recht om je gegevens te laten vernietigen. Daarin moet je als organisatie een afweging maken (eventueel met juridisch advies) en bewuste keuzes maken. Over deze keuzes moet je transparant zijn in je informatie naar je klanten/medewerkers/patienten/burgers en leg je het eea uit in je privacystatement.

Het is vooral veel werk, maar zorgt wel voor meer bewustzijn in het omgaan met privacygevoelige gegevens. En dat is nou net de bedoeling!

ninjazx9r98 @BrBuggyB • 8 mei 2018 18:32

Onzin. Als wetgeving voorschrijft dat informatie bewaard dient te worden dan heb je voor wat betreft die informatie niet het recht om vergeten te worden en hoeft er ook geen afweging gemaakt te worden. Dat verzoek kan gewoon afgewezen worden.

[Reactie gewijzigd door ninjazx9r98 op 23 juli 2024 12:29]

Herax10NL 8 mei 2018 15:09

In mijn optiek toch vrij raar? Het is al twee jaar bekend dat de wet er komt. In die twee jaar moet er toch wel het één en ander te regelen zijn? Dit komt op mij over alsof ze allemaal te laat begonnen zijn.

beantherio @Herax10NL • 8 mei 2018 15:27

Dat men twee jaar weet dat die wet er aan komt betekend niet dat men twee jaar heeft om het voor te bereiden. Toezichthouders hebben al een eigen takenpakket dat gewoon doorloopt, en dat takenpakket werd al (los van de invoering van AVG) jaar in jaar uit omvangrijker. Dan kunnen politici wel beslissen om daar nog een schepje bij op te doen met de invoering van AVG, maar dan moeten die politici ook faciliteren dat toezichthouders genoeg capaciteit krijgen om dat te doen. Blijkbaar is dat niet gebeurd.

Herax10NL @beantherio • 8 mei 2018 15:29

Dat ben ik met je eens. Ook de politiek is hierin te kort geschoten de afgelopen twee jaar en had de wet veel meer aan de kaart moeten stellen/tijd voor vrij moeten maken. Desalniettemin is het volgens mij alsnog de verantwoordelijkheid van de bedrijven zelf, dat daar enige hulp bij had mogen komen vanuit de politiek ben ik met je eens.

[Reactie gewijzigd door Herax10NL op 23 juli 2024 12:29]

anandus 8 mei 2018 15:10

Als ze er na 2 jaar nog niet klaar voor zijn, vraag ik me af of ze dat ooit wél zullen zijn.

Jazco2nd 8 mei 2018 15:11

Wacht, ze zijn er zelf niet klaar voor, hun medewerkers (als die er zijn) hebben dus ook nog niet de juiste expertise etc, maar ze gaan wel proactief controleren of bedrijven er klaar voor zijn en zo niet beboeten?
Wie gaat de toezichthouders dan beboeten?

Verwijderd @Jazco2nd • 8 mei 2018 16:12

Euhm... je snapt natuurlijk wel dat de slager niet zijn eigen vlees gaat keuren.

Jazco2nd @Verwijderd • 8 mei 2018 19:23

Die vergelijking gaat niet op.

Tenzij de slager nog niet in staat is vlees te verkopen maar wel betaald wil krijgen.

Verwijderd 8 mei 2018 17:02

De ene helft van NL of Europa zit straks de andere helft te controleren.

Dit soort (onzin) wetten en (onzin) regels zijn natuurlijk bedacht door allemaal instanties die langs elkaar heen werken, door mensen die nog nooit zelf iets geproduceerd of verdiend hebben maar alleen maar belastinggeld verteren uit de staatsruif.

Erlandil 8 mei 2018 19:18

Ik merk wel juist dat het voornamelijk gaat om bewustwording. Zakelijk ben ik al ruim 3-4 jaar bezig met het onderwerp en een van mijn collega's is al sinds 2008 (ja dan al) betrokken bij de totstandkoming in Brussel. Wat mij voornamelijk verbaast is de nonchalance die mensen (in breedste vorm) toepassen als het hier om gaat. Doet me denken aan de oude reclame: "Je mag alles van me weten, BEHALVE mijn pincode!". Dat heeft ook jaren geduurd om bij mensen tussen de oren te krijgen. Pas als het fout gaat (en GOED FOUT) wil men iets inzien. Het nadeel is dat we nu alleen in een tijdperk leven waarin de impact van gestolen data dusdanig kan zijn dat het juist de kleinere en middelgrote organisaties het risico voor ons vormen, al dan niet bewust. En als je ziet hoe vaak er bij alle bedrijven (klein of groot) gereageerd wordt met de opmerking "ach, zo'n vaart zal het niet lopen", dan neem je dus gewoon risico's met andermans leefwereld. Ik vind dat gewoon niet kunnen persoonlijk.

Dat wil niet zeggen dat het niet voor veel organisaties lastig is. Ik ben zelf ook bestuurder van een sportvereniging en het is toch lastiger om alles onder controle te houden. Maar dat is dan ook niet de intentie van de wet. Ik ben er van overtuigd dat als jij er veel (zo niet alles) aan gedaan hebt om zorgvuldig om te gaan met informatie van een ander dat je dan geen gevaar loopt. Maar juist de papieren tijgers moeten gewoon aangepakt kunnen worden en daar dient dit voor. Is dat lastig? Ja, absoluut, noodzakelijk? Net zo hard.

Verwijderd 8 mei 2018 15:09

Lekker verwarrend hoor die afkorting AVG.
Ik dacht in de eerste instantie dat het om de anti-virus ging.

-1 ongewenst?? Wat is dat nu voor moderatie. Het is toch verwarrend als je jaren lang weet dat AVG een anti-virus applicatie is??

[Reactie gewijzigd door Verwijderd op 23 juli 2024 12:29]

Ik dacht precies hetzelfde.

In vond CNIL verwarrender...
Seniel is nota bene nog een Frans woord ook

ik ook, als je eenmaal die afkorting ergens aan vastbindt...

EnigmaNL @Verwijderd • 8 mei 2018 15:12

Als je het nieuws een klein beetje gevolgd hebt op Tweakers moet je nou toch wel weten waar AVG voor staat in deze context.

Nanaki @EnigmaNL • 8 mei 2018 15:36

In de Belgische pers (en in bedrijven) wordt GDPR gebruikt om te verwijzen naar de regelgeving, dus het was op Tweakers dat ik de eerste keer over "AVG" hoorde (in deze context althans). Ik snap de verwarring bij sommigen.

Snel opgelost door even het artikel te lezen uiteraard.

[Reactie gewijzigd door Nanaki op 23 juli 2024 12:29]

Ryan1981 @Verwijderd • 8 mei 2018 15:32

Het kan ook voor arbeids voorwaarden gids staan, dat is pas verwarrend!

Septimamus @Verwijderd • 8 mei 2018 17:44

De avg (niet antivirus) bestaat ook al wel even. Het is ook maar net waar je mee te maken hebt. Ik ben het met je eens dat het verwarrend is. Toen mijn baas er in het begin over had, was ik ook overtuicht dat het om het antivirus programma ging.

oef! @Verwijderd • 8 mei 2018 15:18

Want het is natuurlijk logisch dat we op Europees niveau een virusscanner zouden installeren

ToolBee @oef! • 8 mei 2018 15:28

En nog gratis ook!

Op dit item kan niet meer gereageerd worden.

Groot deel Europese privacytoezichthouders: we zijn nog niet klaar voor AVG

Lees meer

IT-banen

Reacties (133)

Sorteer op:

Weergave: