Nederlandse privacytoezichthouder: budget handhaving AVG is wellicht onvoldoende

De Autoriteit Persoonsgegevens zegt dat het toegekende budget voor de handhaving van de op 25 mei in te voeren algemene verordening gegevensbescherming wellicht ontoereikend is. De toezichthouder heeft op dit moment waarschijnlijk nog onvoldoende mensen in dienst.

Een woordvoerder van de Nederlandse Autoriteit Persoonsgegevens laat weten dat er een tijd geleden is gekeken naar de hoeveelheid fte's die naar verwachting nodig is om op effectieve wijze invulling te geven aan de nieuwe taken en bevoegdheden die de AVG met zich meebrengt. Volgens het zogeheten laagste scenario zijn er 185 mensen nodig, terwijl de toezichthouder op dit moment 122 mensen in dienst heeft. Naar verwachting groeit dat nog naar 150. Volgens het hoogste scenario zijn er 270 mensen nodig.

Volgens de woordvoerder is het nog erg onzeker wat er vanaf 25 mei op de Autoriteit Persoonsgegevens afkomt, maar het "wordt wel nijpend". "We staan onder druk en het is nog maar de vraag of het toegekende budget voldoende is". Eventueel kan de toezichthouder extra geld uit Den Haag krijgen; of dat nodig is, wordt vanaf 25 mei gemonitord.

Wat de bevoegdheden betreft zegt de privacywaakhond klaar te zijn voor de invoering van de AVG op 25 mei. De toezichthouder gaat niet alleen in op klachten, maar zal in principe ook op eigen initiatief onderzoek doen naar de naleving. De daarvoor benodigde bevoegdheden zullen geen obstakel vormen, omdat de Tweede Kamer al een uitvoeringswet heeft aangenomen. Deze wordt volgende week in de Eerste Kamer behandeld, waardoor deze juridische basis in principe voor 25 mei gereed is.

Maandag meldde Reuters dat een aanzienlijk deel van 24 ondervraagde nationale privacytoezichthouders nog niet klaar is voor de introductie van de algemene verordening gegevensbescherming. Er reageerden 18 nationale toezichthouders en 6 Duitse federale equivalenten. Daarvan gaven 17 aan dat ze ofwel te weinig financiering hebben of in eerste instantie nog de bevoegdheden missen om de aan hen opgelegde toezichtstaken goed uit te voeren. De Autoriteit Persoonsgegevens heeft niet meegedaan aan de enquête van Reuters, omdat de toezichthouder 'andere prioriteiten' had.

IT-banen

Reacties (106)

Venator 9 mei 2018 08:45

Ik vraag mij ook zeker af hoe onze overheid het gaat uitleggen dat men zelf nog niet aan de regels kan voldoen maar deze wel laat gelden voor het bedrijfsleven. Zie ook deze memo.

Nu is bijv. Windows 10 build 1803 net een week uit, waardoor er meer controls mogelijk zijn op het OS zelf om te kunnen voldoen aan de AVG (zonder third party tooling / scripting), maar dat betekent krap drie-en-een-halve week om deze build te implementeren. Geen groot probleem als je de zaken goed op orde hebt en al je apps via testautomation al er doorheen kan duwen, maar mijn ervaring is dat de meeste bedrijven zich hier nog steeds in vergissen en veel partijen binnen de overheid er al helemaal niet klaar voor zijn.

Ik vermoed dat men de datum gaat proberen te pushen of een soort graceperiod/overgangsperiode gaat bedingen, het is naar mijn mening onhoudbaar om bedrijven aan te schrijven of zelfs te gaan beboeten als je er als overheid zelf ook niet klaar voor bent.

[Reactie gewijzigd door Venator op 23 juli 2024 04:20]

fiftyhillswest @Venator • 9 mei 2018 09:31

Punt is dat de grace period er op 25 mei op zit. De wet is in april 2016 aangenomen met een grace period van ruim twee jaar waarin niet gecontroleerd gaat worden. Bovendien hebben instanties als Information Commissioner's Office gezegd dat er geen extra grace period gaat komen.

het is naar mijn mening onhoudbaar om bedrijven aan te schrijven of zelfs te gaan beboeten als je er als overheid zelf ook niet klaar voor bent.

Dit vind ik een beetje gek, Partij A heeft het niet dus hoeven Partij B, C, D en E het ook niet? Vergeet niet dat de (Nederlandse) overheid niet de invoerder of controleur van deze wet is. Het is een Europese verordening en een taak van de EU om de naleving ervan te controleren of deze verantwoordelijkheid te delegeren naar de juiste partij van de betreffende lidstaat. In Nederlands geval zou dit de Autoriteit Persoonsgegevens zijn, denk ik, gezien deze ook al de uitvoering van de Wet Bescherming Persoonsgegevens controleert.

wjn @fiftyhillswest • 9 mei 2018 10:15

Ik kan geen Nederlandse wet vinden waarin de AVP is verwerkt, alleen de straks verouderde Wbp.

Alleen richtlijnen en voorstellen omtrent de AVP.

Edit: AVG inderdaad, en ik heb de NL versie nu wel gevonden:
https://autoriteitpersoon...2016_-_679_definitief.pdf

(PS. Wij zelf slaan geen persoonsgegevens op, geen webshop, doen geen zaken met consumenten etc., het is nog onduidelijk wat deze wet voor een directe impact op ons heeft. De meeste meningen zijn dat het voor ons geen impact heeft, omdat we geen handel drijven met privé personen.)

[Reactie gewijzigd door wjn op 23 juli 2024 04:20]

adis @wjn • 9 mei 2018 23:39

Dat denken de meeste. Maar je slaat waarschijnlijk wel een contactpersoon (naam, email, 06 nummer etc) van een bedrijf op? Dat is dus een persoonsgegeven. Ook de medewerker administratie valt hieronder omdat het natuurlijke personen zijn. Als je de loonadministratie uitbesteed hebt dan moet je een verwerkersovereenkomst afsluiten met die partij. Zij verwerken in jullie opdracht persoonsgegevens...

wjn @adis • 16 mei 2018 10:05

Zie ook de reactie van Neoldian hierboven. Als ik zakelijke gegevens voor ons werk opsla, valt dat niet onder deze wet. Als ik iemands naam en telefoonnummer opsla, zijn dat zakelijke gegevens en niet te herleiden naar een natuurlijke persoon, maar naar het bedrijf waarvoor deze persoon werkt. Deze wet is bedoeld ter bescherming van "privé" personen. Pas als ik ook bijzondere gegevens van een persoon ga opslaan, wordt dat wazig, omdat dit specifiek in de AVG als hoog risico wordt genoemd. Ik mag trouwens wel iemands BSN nummer opslaan, dat valt dan weer niet onder de AVG.

Wat we wel moeten doen, is documenteren wat we met de personeelsgegevens doen. Daar zijn geen uitzonderingen voor MKB e.d. voor.

En als het bedrijf dat mijn loonadministratie doet, een klein bedrijf of eenmanszaak is, hoeft die verder ook niets speciaals te doen (want voor hun valt het verwerken van persoonsgegevens onder hun basiswerkzaamheden en als klein bedrijf hebben ze een uitzondering).

adis @wjn • 16 mei 2018 11:43

De reactie van @Neoldian is gebaseerd op personen die contactgegevens opslaan thuis. Dus als jij thuis de naam/email van een Nuon medewerker opslaat. Dat valt buiten de AVG.

Als jij zakelijk gegevens op gaat slaan dan val jij gewoon te houden aan de AVG wetgeving. Het feit dat je een juridische grondslag hebt voor iets betekend niet dat het 'buiten' de AVG valt. Je moet gewoon een Verwerkingsregister bijhouden.

Ik mag trouwens wel iemands BSN nummer opslaan, dat valt dan weer niet onder de AVG.

Je mag dit alleen doen als er een wettelijke grondslag voor is en het valt gewoon IN de AVG. Je moet er bewust van worden dat je het doet, dus het valt in de AVG, dat is ook primair het doel van de hele Verordening, bewustwording en vastleggen in een Verwerkingsregister zodat de bewustwording op 1 plek is vastgelegd.

Denk jij ook dat een IP adres geen persoonsgegeven is?Dat is het wel, punt uit. Net als naam, email BSN etc. Ook al is het zakelijk 'vastgelegd'.

Skywalker27 @wjn • 16 mei 2018 11:04

Ik zou me er maar eens in verdiepen want de kreet privé personen klopt niet. Naam en telefoonnummer zijn wel herleidbaar bv 06 nr. enz.

Maar je komt er vanzelf achter want je moet je processen in kaart brengen en in een register stoppen. En in dat register moet je dmv een grondslag en een doel het e.a. verklaren.

artikel 47: grondslag + doeleinde = gebruik/verenigbaar gebruik

daarnaast is de meldplicht vervangen door een documentatieplicht.

Panini @wjn • 9 mei 2018 10:21

Je bedoelt de AVG? De Nederlandse vertaling van de GDPR?

Skyclad @wjn • 9 mei 2018 14:55

Als je medewerkers hebt kunnen die in principe ook bezwaar maken als je ze in je loon database hebt. Ex-collega's kunnen verzoeken dat al hun gegevens uit je systeem worden verwijderd. Als je mailtje krijgt van een bedrijf dan mag je niet zomaar het email adres en de naam van die persoon in je database opslaan, dat moet je eerst vragen. Etc, etc. Of je nou met consumenten om gaat of niet, de regels gelden voor alle personen, tenzij het gaat om criminelen of zo (de politie hoeft niet een crimineel om toestemming te vragen natuurlijk).

Neoldian @Skyclad • 10 mei 2018 00:09

Sorry, maar hier zit veel onzin in.

De AVG heeft geen betrekking op natuurlijke personen, die persoonsgegevens vanuit persoonlijke of huishoudelijke doeleinden verzamelen:

(18) Deze verordening is niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit. Tot persoonlijke of huishoudelijke activiteiten kunnen behoren het voeren van correspondentie of het houden van adresbestanden, het sociaal netwerken en online-activiteiten in de context van 4.5.2016 NL Publicatieblad van de Europese Unie L 119/3
Deze verordening geldt wel voor verwerkingsverantwoordelijken of verwerkers die de middelen verschaffen voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke
activiteiten.

Daarnaast is het verwerken van persoonsgegevens toegestaan op verschillende gronden (ga hier niet de hele AVG neerpennen, lees zelf maar), maar probeer bij je werkgever maar te vragen of je uit de loonadministratie mag. Een bedrijf heeft verschillende gegevens van jou nodig om te kunnen voldoen aan andere wettelijke verplichtingen, zoals het uitbetalen van je loon conform arbeidsovereenkomst, inhouden loonheffing en premies, etc.
Ook het voorbeeld van ex-werknemers gaat maar ten dele op. Gegevens die nodig zijn om aan wettelijke verplichtingen te kunnen voldoen mogen bewaard blijven. De loonadministratie moet minimaal een aantal jaren, nog gegevens bewaren vanuit de AWR (Algemene Wet inzake Rijksbelastingen), want er kunnen later nog wel eens vragen of onderzoeken komen en dan moet je nog steeds kunnen aantonen dat je Pietje X loon hebt uitgekeerd.

Ook mailtjes van zakenrelaties mogen, verwerkt worden, zonder dat daar expliciet toestemming voor wordt gevraagd, zolang de gegevens die je bewaart ook niet meer zijn, dan nodig voor het doel (dus naam en bedrijf). Een vertegenwoordiger die zijn visitekaartje afgeeft, weet (hoopt zelfs) dat je de gegevens gaat bewaren, dat is namelijk het hele doel hiervan.
En ik heb nog nooit zaken op een visitkaartje zien staan, behalve de relevante gegevens (naam, functie, bedrijfstelefoonnummer, email, etc). EEn ZZP-er die zijn thuis adres heeft (want dat is ook zijn werkadres), kan zich ook niet beroepen op privacy in dit geval.

En voor wat betreft de politie, die hoeft je niets te vragen, want die hebben een wettelijke taak, waarbij ze een aantal gegevens mogen verwerken, ook als je geen crimineel bent. Als er een aanleiding is om jouw kenteken te noteren omdat je verdacht gedrag vertoont, dan hoeven ze je dat echt niet te vragen. Maar ook hier geldt weer: alleen die gegevens die nodig zijn voor het gestelde doel.

wjn @Neoldian • 16 mei 2018 09:54

Ik las dat publieke instanties sowieso zijn uitgezonderd (belastingdienst e.d.).

Ook je BSN is geen persoonsgegevens volgens de AVG.

Edit:
Op 15 mei 2018 (gisteren) is de Uitvoeringswet Algemene verordening gegevensbescherming aangenomen. Dus nu pas weten we, waaraan we volgens de Nederlands wet aan moeten voldoen!

[Reactie gewijzigd door wjn op 23 juli 2024 04:20]

Neoldian @wjn • 18 mei 2018 17:03

Beetje late reactie, maar toch:

Nee, publieke instanties zijn niet uitgezonderd. De rijksoverheid, inclusief Belastingdienst dient aan de AVG te voldoen.

Je BSN is geen [direct persoonsgegevens, immers herleid het BSN op zichzelf niet naar jou als persoon. In combinatie met andere gegevens, zoals je geboortedatum, kan dit wel naar jou herleidbaar zijn. Het is een indirect persoonsgegeven. De AVG is hier nog steeds van toepassing.

[Edit]: Zoals Skywalker27 onderstaand al aangeeft is het BSN in de WBP zelfs een bijzonder persoonsgegeven, dus die vertaalslag kan nog steeds vanuit de AVG gemaakt worden.

De verordening is in 2016 aangenomen en gepubliceerd. Iedere lidstaat en binnen de lidstaat opererende bedrijven, verenigingen e.d. hebben er toen al notie van kunnen nemen. De 2 jaar die de lidstaten krijgen is om de verordening te verwerken in de nationale wetgeving en die moet minimaal hetzelfde behelzen als de AVG, maar mag strenger zijn als de betreffende lidstaat dat wenselijk acht.

De aangenomen uitvoeringswet waaraan je refereert, is dus niets meer dan de NL versie binnen het NL recht. Iedereen had dus al (zo goed als) klaar kunnen zijn.

[Reactie gewijzigd door Neoldian op 23 juli 2024 04:20]

Skywalker27 @wjn • 9 mei 2018 11:49

Dus jullie maken geen lonen over naar het personeel enz?

O ja ZZP, eenmanszaken en VOF zijn nu ook betrokkenen.

[Reactie gewijzigd door Skywalker27 op 23 juli 2024 04:20]

wjn @Skywalker27 • 16 mei 2018 09:53

Je hebt gelijk, daar kwam ik gisteren ook achter. We moeten overeenkomsten hebben met alle partijen die de persoonsgegevens verwerken, uitgezonderd publieke instanties (belastingdienst e.d., staat in de AVG).

Gelukkig is je BSN geen persoonsgegeven! (Staat ook letterlijk in de AVG.)

Skywalker27 @wjn • 16 mei 2018 10:54

Je bedoelt geen bijzonder persoonsgegeven zoals in de WbP, BSN is wel een persoonsgegeven. Echter in de WbP waren er uitzonderingen gemaakt voor het BSN dat je niet bij elk proces dat het BSN bevat een DPIA moest doen. Betreft de AVG of te wel de GDPR bevat deze uitzondering nog niet omdat de uitvoeringswet voor de GDPR betreft lidstaat Nederland nog niet klaar is. De verwachting is wel dat er uitzonderingen voor het BSN gegeven gemaakt gaan worden.

https://autoriteitpersoon...bijzonder-persoonsgegeven

Osxy @wjn • 9 mei 2018 20:06

Afhankelijk van de rechtsvorm kan een bedrijf voor de wet ook een natuurlijk persoon zijn, en deze wet is geldig op persoonsgegevens gerelateerd aan natuurlijke personen.

StephanVierkant

@fiftyhillswest • 9 mei 2018 09:43

Helemaal eens. De "ja maar hij doet het ook"-argumentatie is een zwaktebod. Sterker nog: het argument is niet eens dat de overheid zich er niet aan houdt, maar dat de overheid nog niet (geheel) klaar is om te handhaven.

@wjn Die is verwerkt in de
Uitvoeringswet Algemene verordening gegevensbescherming. Ofwel voluit:

Voorstel van wet houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119).

[Reactie gewijzigd door StephanVierkant op 23 juli 2024 04:20]

KopjeThee @StephanVierkant • 9 mei 2018 10:42

De "ja maar hij doet het ook"-argumentatie is een zwaktebod.

Het is een bekend type drogredenatie: De jij-bak.

voske @StephanVierkant • 9 mei 2018 10:51

Let wel, het is nog maar een wetsvoorstel. Het door de Tweede Kamer aangenomen wetsvoorstel vind je hier: https://zoek.officielebekendmakingen.nl/kst-34851-B.html

Volgens de website van de Eerste Kamer wordt het op 15 mei als hamerstuk afgedaan. Dat zou precies op tijd zijn om het op 25 mei nog te kunnen laten ingaan.

Venator @fiftyhillswest • 9 mei 2018 09:53

Je hebt gelijk, AP is de uitvoerder van een Europese verordening en ze hebben gelukkig al eerder laten zien ook kritisch te kunnen zijn naar zowel bedrijfsleven als mede-overheidspartijen.

Ik vraag mij alleen wel af hoe men bijv. met Windows 10 zal omgaan. Dat OS is pas sinds deze maand te configureren zodat het (enigszins) kan voldoen aan de AVG/GDPR. Dat komt omdat de telemetrie instellingen pas sinds build 1803 geconfigureerd kunnen worden, eerder moest je zelf maatregelen nemen zoals 3rd party oplossingen. Dat geeft bedrijven en overheidsinstanties dus krappe tijd voor implementatie van deze build. Voor Office365 is het overigens nog steeds niet helemaal duidelijk of het nu als oplossing wel/niet voldoet aan de AVG/GDPR, ik vermoed dat daar nog heel hard aan gewerkt wordt

Ik acht de kans groot dat W10 bij veel bedrijven en overheidsinstanties (diegenen die al wel over zijn..) de voorgaande build in gebruik is, waardoor er additionele maatregelen nodig zijn. Of die genomen zijn... tja. Mijn ervaring binnen zowel overheid als bedrijfsleven het afgelopen jaar is dat men daar niet zo strikt mee omgaat. Het risico is ook niet super hoog als men op incidentbasis gaat controleren, een werknemer zou dan bezwaar moeten maken tegen het eigen bedrijf of instelling én kennis moeten hebben van deze zaken. Die kans acht ik bijzonder klein bij de gemiddelde werknemer.

Offens1490 @fiftyhillswest • 9 mei 2018 14:45

Wat veel niet weten is dat meeste dingen al bestonden Wbp alleen nu wat uitgebreider en strikter.

Wat men ook over het algemeen niet weet dat men je gegevens kan aanvullen wat je zelf openbaar hebt gemaakt Facebook of ander sociale media. Alleen nu moeten ze wel even zeggen waar ze het vandaan hebben gehaald en dat is lastig als informatie al heel oud is.

Wat ook interessant is recht om in te zien en recht om te vergeten.
Alleen laatste is lastig als je van werkgever veranderd want bedrijf moet toch gegevens van je houden voor bijv pensioen.

Maar goed wij zijn pas ingelicht en zo goed als rond maar veel is toegespitst op digitaal maar dat wil niet zeggen dat papierwerk op je bureau er niet onder valt.

Neoldian @fiftyhillswest • 9 mei 2018 23:02

Grace period is een wat ongenuanceerde term. Lidstaten moeten de tijd krijgen om een EU verordening goed te integreren in de nationale wetgeving, inclusief een handhavingsbeleid. Binnen de wetgeving is enorm veel samenhang, dus een simpele 'copy/paste' is het niet.

Het is dus niet alsof Brussel ons een pleziertje doet :-)

Daarbij is Nederland wel verantwoordelijk om op 25 mei dit gewoon op orde te hebben, maar zover ik begrijp zijn er vele lidstaten die nog niet klaar zijn, maar dat is zeker geen excuus.
De EU controleert of de lidstaten dit geregeld hebben, maar gaat niet op nationaal niveau handhaven, dat is toch echt de verantwoordelijkheid van de rijksoverheid. En de AP blijft inderdaad de toezichthouder.

D.oomah @Venator • 9 mei 2018 09:27

Ik vermoed dat men de datum gaat proberen te pushen of een soort graceperiod/overgangsperiode gaat bedingen, het is naar mijn mening onhoudbaar om bedrijven aan te schrijven of zelfs te gaan beboeten als je er als overheid zelf ook niet klaar voor bent.

Die overgangsperiode is vanaf 24 mei 2016 tot 25 mei 2018. Dus die tweejarig overgangsperiode zit er bijna op.

WillySis

Autoriteit Persoonsgegevens
Privacy

@D.oomah • 9 mei 2018 10:34

Het is ook lastig om vooraf al aan de wet te voldoen. Als bedrijf ben je afhankelijk van veel partijen, die ook allemaal hun (software) producten aan de nieuwe wetten hebben moeten aanpassen. Die doen dat echter op het laatste moment. Veel bedrijven komen nu met meldingen dat de voorwaarden of diensten per 25 mei worden aangepast.

Blokker_1999

Privacy

@Venator • 9 mei 2018 09:55

Imho leg je de schuld hier bij de overheid voor iets waar ze zelf niet veel aan kunnen doen. De memo waar je naar linked is een samenvatting van een vergadering tussen de overheid en Microsoft over de gevolgen van de AVG en de data verzamelink van Windows en Office. En daar heeft de overheid 0 invloed op de ontwikkeling en zit de volledige verantwoodelijkheid bij Microsoft.

In de basis hebben we net een overgangsperiode van 2 jaar achter de rug. De wetgeving met betrekking tot de AVG is ingegaan in Mei 2016 en zal binnen enkele weken ook afdwingbaar zijn. Dat gaan ze echt niet meer uitstellen.

Venator @Blokker_1999 • 9 mei 2018 11:05

Het was niet mijn bedoeling om de schuld bij de overheid te leggen, ik geef volgens mij aan dat als gevolg van de nieuwe verordening er een gevolg is. De memo geeft dit redelijk goed aan. Dat de overheid 0 invloed heeft ben ik niet geheel met jou eens, de overheid (met in het bijzonder de AP) kan Microsoft zeker helpen met de interpretatie van de AVG/GDPR als vertaling naar oplossingen aan de zijde van Microsoft. Uit eigen ervaring (shared service center binnen de overheid) kan ik aangeven dat daar wel een issue zit, vaak is bij bijv. security officers binnen de overheid al niet duidelijk wat de implicaties van AVG/GDPR zijn. Vragen richting de AP gaven ook dan zeker niet altijd een goed en helder uitsluitsel. Dat zorgt voor vertraging en als je dan al later begint in de twee jaar overbruggingstijd, dan is de kans aanwezig dat je het niet gaat halen voor de deadline.

Qua overgangsperiode ben ik het geheel met jou eens, het heeft al lang genoeg geduurd en het wordt tijd dat jij en ik meer controle krijgen over onze eigen data.

[Reactie gewijzigd door Venator op 23 juli 2024 04:20]

Krulliebol @Blokker_1999 • 9 mei 2018 15:05

Als Microsoft-producten niet aan de AVG voldoen, kun/moet je de keuze maken om die software dan maar niet meer te gebruiken. Toegegeven: makkelijker gezegd dan gedaan.

WillySis

Autoriteit Persoonsgegevens
Privacy

@Venator • 9 mei 2018 10:30

Het zal niet voor het eerst zijn dat de overheid zelf niet klaar is voor wetgeving die men zelf (of in Europees verband) heeft uitgevaardigd.
In dit geval ligt het niet helemaal aan de overheid. Hetzelfde probleem zal zich overigens ook bij vele bedrijven voordoen. Naast oudere versies van Windows zijn er nog vele andere softwarepakketten die gegevens doorsturen die eigenlijk niet meer verzameld mogen worden. Deels door de aard daarvan, deels omdat het niet op de juiste manier gemeld is, deels omdat de gebruikers onvoldoende inzicht hebben in de verzamelde data, nog een "vergeet mij" optie hebben.
Al die software is na 25 mei riskant om te gebruiken op systemen waar ook gebruikers gegevens worden geraadpleegd. De kans dat hier ook echt op gecontroleerd gaat worden acht ik niet heel groot. Als "datalek" is dit in de praktijk meestal geen probleem omdat de software voornamelijk de acties van de gebruiker zelf monitort en niet van de data die bekeken wordt.

YangWenli @Venator • 9 mei 2018 11:20

De Nederlandse overheid kan ook gewoon beboet worden en zal dat ook als ze in gebreke blijven. Natuurlijk betaalt de belastingbetaler dan

Venator @YangWenli • 9 mei 2018 11:24

Ja, dat is wel waar. De vraag is dan een beetje of het een broekzak-vestzak verhaal is, waarbij het uiteindelijk toch weer in de staatskas beland. Als er een gedeelte bij AP beland, kan men wellicht zelf op deze manier wat extra personeel financieren, graag wel bij voorkeur door het beboeten van bedrijven

[Reactie gewijzigd door Venator op 23 juli 2024 04:20]

Neoldian @YangWenli • 9 mei 2018 23:06

En bedrijven verhalen dat niet op hun klanten?? Niet dat ik het goed vind, maar beetje naief om te denken dat alleen de overheid dit doet.

Anoniem: 84766 @Venator • 9 mei 2018 13:14

Ik vraag mij ook zeker af hoe onze overheid het gaat uitleggen dat men zelf nog niet aan de regels kan voldoen maar deze wel laat gelden voor het bedrijfsleven

Dat is heel simpel. In het Engels heb je de term Justice: the administration of the law or authority in maintaining this.

Ze hebben het alleen verkeerd gespeld, ook al klint het hetzelfde: Het is Just us.

Jester-NL 9 mei 2018 08:33

Het klinkt haast alsof ze die datum van 25 mei rustig hebben zitten afwachten, om er vervolgens achter te komen dat ze misschien beter (wat) voorwerk hadden kunnen doen.
Ik verbaas me eigenlijk iedere keer weer over dit soort zaken. Vooral omdat van het bedrijfsleven wordt verwacht dat ze per de 25e van deze maand klaar zijn.
Hoe gaat de AP nu Facebook controleren (om er maar een te noemen

)

Quacka @Jester-NL • 9 mei 2018 08:52

Die kunnen ze met huidige personeel wel controleren.

De kleinere bedrijven zullen ze pas na veel meldingen oppakken. En elk bedrijf zich maar druk maken om avg...

Privacy is best belangrijk, maar de avg is een gedrocht dat veel te ver gaat en vooral het bedrijven onmogelijk wil maken zaken te drijven, verenigingen het onmogelijk wil maken zich te verenigen en feitelijk zorgt de eu meer en meer dat ze verder van hun oorsprong wegdrijven : opheffen van handelsbarrieres.

Voor privacy is het belangrijk dat mijn gegevens niet misbruikt worden.
Voor veel bedrijven geldt dat ze niet bewust privacy willen misbruiken, maar ze willen wel graag een mailtje met aanbiedingen sturen. Die ik op basis van oude wetgeving al zelf kon stoppen. Bedrijven willen graag weten aan wat voor klanten ze verkopen en vooral de trouwe klanten die veel kopen. Is dat erg? Is dat privacy gevoelige data? In het algemeen niet.
Het gaat om het aanpakken van misbruikers. Het gaat erom dat je bedrijven die gigaveel data verzamelen in de gaten houdt. (Facebook, google, Apple, etc). Het gaat erom dat je bedrijven in de gaten houdt die misbruik van data kunnen maken (verzekeringsmaatschappij, hypotheekverstrekkers, de overheid zelf), maar ook dat personeel van medisch gevoelige informatie goed gecontroleerd wordt en dat deze gegevens echt veilig zijn (ziekenhuis, apotheek, huisarts, psychologen en in iets mindere mate tandarts, ouderenzorg).

Daar moet de wet op focussen. En niet op verenigingen, kleinere bedrijven etc.
Er wordt veel te veel gedreigd met boetes, terwijl het erom gaat dat men gewoon beetje met gezond verstand nadenkt. En dat mis ik in deze tijdsgeest : letter van de wet is belangrijker dan gezond verstand.

Zyppora @Quacka • 9 mei 2018 09:05

Privacy is best belangrijk, maar de avg is een gedrocht dat veel te ver gaat en vooral het bedrijven onmogelijk wil maken zaken te drijven, verenigingen het onmogelijk wil maken zich te verenigen en feitelijk zorgt de eu meer en meer dat ze verder van hun oorsprong wegdrijven : opheffen van handelsbarrieres.

Net zoals drugs en wapens in de categorie 'restricted items' vallen, gaan persoonsgegevens dat vanaf 25 mei ook. Dat heeft weinig met handelsbarrieres te maken maar gewoon met bescherming van de burger.

Daar moet de wet op focussen. En niet op verenigingen, kleinere bedrijven etc.
Er wordt veel te veel gedreigd met boetes, terwijl het erom gaat dat men gewoon beetje met gezond verstand nadenkt. En dat mis ik in deze tijdsgeest : letter van de wet is belangrijker dan gezond verstand.

Dat 'gezond verstand' klikt wel binnen een seconde op Accepteren wanneer er weer eens een nieuwe grappige persoonsgegevens-slurpende app opduikt. Daarnaast moet je ook rekening houden met het moeras van goede bedoelingen: het feit dat je niet bewust persoonsgegevens gaat lopen doorverkopen betekent niet dat het opslaan daarvan geen risico an sich is. Hoeveel persoonsgegevens zijn er wel niet op straat terechtgekomen door hacks alleen al? Kijk eens op haveibeenpwned.com. 5 miljard compromised accounts op het moment van schrijven. Dat zijn echt niet alleen de 'slechte' bedrijven hoor.

Die boetes zijn hetzelfde als boetes voor te hard rijden: je hebt die regels ingesteld omdat een klein percentage van de verkeersdeelnemers maar al te graag dat gaspedaal indrukt en de boetes moeten afschrikwekkend werken. Elk bedrijf dat over de schreef gaat, riskeert zo'n boete. Klaar. Geen uitzonderingen. Zorg dat je je shit op orde hebt, je werkt namelijk met gevoelige gegevens van burgers en die gegevens zijn niet free-for-all.

Ik ben eerlijk gezegd best blij met de AVG. Waarom? Omdat het een hoop bedrijven wakker heeft geschopt. De meeste bedrijven hebben eens goed tegen het licht gehouden wat ze nu eigenlijk aan persoonsgegevens verzamelen, opslaan en verwerken. Dat was nooit gebeurd als die boetes er niet aanhingen.

[Reactie gewijzigd door Zyppora op 23 juli 2024 04:20]

Vexxon @Zyppora • 9 mei 2018 10:12

k ben eerlijk gezegd best blij met de AVG. Waarom? Omdat het een hoop bedrijven wakker heeft geschopt. De meeste bedrijven hebben eens goed tegen het licht gehouden wat ze nu eigenlijk aan persoonsgegevens verzamelen, opslaan en verwerken. Dat was nooit gebeurd als die boetes er niet aanhingen.

Precies dit. En alleen dat is al pure winst.
Maar niet voor alleen bedrijven ook voor verenigingen is dit een wake up call. Ik heb een aantal weken geleden een bijeenkomst bijgewoond over de AVG voor verenigingen en maar vrij weinig mensen in de zaal zien het feit dat zij de gegevens beheren van hun leden als iets waar ze voorzichtig mee moeten zijn.

Keypunchie @Quacka • 9 mei 2018 09:18

Voor privacy is het belangrijk dat mijn gegevens niet misbruikt worden.
Voor veel bedrijven geldt dat ze niet bewust privacy willen misbruiken, maar ze willen wel graag een mailtje met aanbiedingen sturen. Die ik op basis van oude wetgeving al zelf kon stoppen. Bedrijven willen graag weten aan wat voor klanten ze verkopen en vooral de trouwe klanten die veel kopen. Is dat erg? Is dat privacy gevoelige data? In het algemeen niet.

Vind dit veels te makkelijk gedacht. Het is *mijn* data en het bedrijfsleven heeft keer op keer laten zien dat ze er met weinig aandacht voor mijn belangen mee omgaan.

Het is net als met milieu-wetgeving. Schoner produceren kost geld, dus zolang de kosten ergens anders kunnen worden gelegd (een vervuilde omgeving), zal een bedrijf niet snel geneigd zijn om erin te willen investeren. In de economie noemen ze zoiets een externaliteit, de kosten worden gedragen door iemand anders.

Als je dat wil betrekken op data. Er wordt in het beste geval heel laks met privacy en data omgegaan. De vraag "moeten we dit wel bewaren", wordt bijna nooit gesteld. Immers, het opschonen van data kost geld. Of er is algemene angst om data weg te gooien. Daar komen soms rare gevolgen van en die gevolgen komen bij mij, over wie de data gaat, te liggen. Ik heb helemaal geen interesse in mailtjes van bedrijven waar ik 4 jaar geleden toevallig een keertje iets gekocht hebt. Als je de kosten voor filteren en verwijderen (en uberhaupt versturen) van die mail optelt, is dat ook een aardig bedrag. Een duidelijke externaliteit.

Voor de meeste bedrijven is het helemaal niet moeilijk om aan deze wet te voldoen. Een brainstormsessie over welke data uberhaupt nodig is om vast te leggen, in plaats van standaard alles maar opslaan, en een verwijdermechanisme voor geregistreerde klanten/medewerkers, met bij voorkeur automatisch verwijderen na een termijn.

Als je al kunt aantonen dat je op die manier bezig bent geweest, dan ga je echt geen AVG-overtreding aan je broek krijgen omdat ergens in een backup van een database nog wat persoonsgegevens zijn achtergebleven. Het gaat erom of je er bewust mee omgaat en een beleid hebt.

Net zoals dat als jij een keer een stuk plastic per ongeluk bij het oud papier gooit echt niet betekent dat je voor een milieu-overtreding wordt opgepakt. Als jij daarentegen stelselmatig bewust je afval gewoon op straat flikkert... dan komt er aktie.

Tot en met 2019 verwacht ik echt niks meer dan waarschuwingen en verbeterpunten naar aanleiding van de AVG.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 04:20]

MenN @Quacka • 9 mei 2018 09:45

Een kwestie van eigen schuld dikke bult. Bedrijven hebben gewoon laten zien dat het beschermen van hun klanten gewoon niet op de agenda stond. Want dat kost geld en dat wil natuurlijk niemand uitgeven, en het boeit hun gewoon niet zolang als de sales goed blijven.

Als consument ben ik dus heel tevreden dat de AVG nu eens al de luie bedrijven een schop onder hun kont geeft zodat die hun zaken eens op orde stellen.

Blokker_1999

Privacy

@Quacka • 9 mei 2018 09:48

Stellen dat privacy belangrijk is maar daarnaast de wetgeving die je er terug controle over moet geven een gedrocht noemen omdat bedrijven er tijd en moeite in moeten steken lijkt mij vreemd. Ofwel is het belangrijk en maakt het niet uit dat bedrijven moeite moeten doen, het gaat uiteindelijk om jouw privacy. Ofwel is het voor bedrijven belangrijk dat ze met de data kunnen doen wat ze willen ook al gaat dat ten koste van je privacy. De combinatie van de twee is niet mogelijk.

Voor veel bedrijven geldt dat ze onbewust de data misbruiken door deze door te geven aan derde partijen onder het mom van marktanalyse, de klant beter verstaan, ... . Het is zo snel gebeurd dat data met derden wordr gedeeld zonder dat jij als klant er weet van hebt.

Want wat jij niet ziet is dat die marketing bedrijven die er achter zitten jouw data van verschillende bedrijven krijgen en op die manier een zeer goed profiel van jouw als klant kunnen opstellen. Zij kennen jouw en je gedrag zeer goed. Niet omdat je in winkel X af en toe iets koopt, maar ook bij de rest van het alfabet.

Jij denkt vandaag in termen van Facebook en Google. Maar al eens nagedacht over de vele bedrijven die offline data van je hebben? Even vragen aan de vrouw hoeveel klantenkaarten er in haar portefeuille zitten en je zal soms versteld staan van het antwoord.

De wet geeft jouw de mogelijkheid om te bepalen wat er met je data gebeurd en geeft je het recht om deze te laten vernietigen op een moment dat deze niet meer nodig is. En dat jij je focus plaatst bij de mogelijke boetes betekend helemaal niet dat daar de focus van de wet ook ligt. En ja, de letter van de wet is belangrijker daar enkel de letter van de wet ons ook echt kan beschermen tegen misbruik en ons de mogelijkheid geeft om op te treden bij misbruik.

Quacka @Blokker_1999 • 9 mei 2018 10:04

Misschien moet je mijn bericht lezen?

En ja, wetgeving is goed. De vorige wetgeving was al op veel vlakken goed, maar werd totaal niet gecontroleerd. Nu opeens wel?

asing @Quacka • 9 mei 2018 10:17

Het werd zeker gecontroleerd. De Autoriteit Persoonsgegevens heeft niet stil gezeten en in 2017 zijn 10,000 meldingen van datalekken gedaan.

Waar ze wél lafjes mee om zijn gegaan is de boete. Ze mogen een flinke boete geven aan instellingen die nalatig zijn maar bij mijn weten heeft de AP deze boete nog nooit opgelegd.

Neoldian @Quacka • 9 mei 2018 23:17

Misschien de AGV eens lezen? De verordening heeft tot doel om het vrij uitwisselen van informatie tussen lidstaten voor bedrijven en overheden op een meer uniform en betere wijze te verzorgen, waarbij tegelijk de privacy van de burger beschermt wordt.

Bedrijven mogen nog steeds vragen aan hun klanten of ze gegevens mogen verzamelen, maar als het antwoord nu nee is en men doet dat toch, dan kan dat ernstige consequenties hebben. En dat is met de WBP eigenlijk ook al geweest. Dat de meeste bedrijven er geen kwade bedoelingen mee hebben, geloof ik wel, maar dat betekent niet dat je dan de privacy maar over boord moet gooien. En er zijn genoeg manieren om informatie vanuit je doelgroep te krijgen, zonder persoonsgegevens te registreren. Wil je als bedrijf weten wat mensen van je product vinden, dan kun je bv een anonieme enquete gebruiken. De reguliere klachtenprocedure is ook een goede graadmeter of mensen tevreden zijn, etc.

Overheden en bedrijven die vanuit hun wetstaak persoongegevens moeten verwerken mogen dat nog steeds, maar er moet nu nog beter worden geregistreerd hoe je dat doet, wie er bij kan, etc.
En dat geldt ook voor personeelsinformatie. Je kunt als medewerker niet weigeren om in een loonadministratie opgenomen te worden (las ik ergens in de reacties als voorbeeld) (of je moet niet bij het bedrijf gaan werken), want anders kan het bedrijf niet zorgen voor je loonbetaling, de verplichte loonheffing en premies inhouden etc.
Hetzelfde geldt voor informatie die noodzakelijk is om te kunnen bepalen of jij functioneert conform de arbeidsovereenkomst, dus productiecijfers, gewerkte uren, etc. Maar dat betekent niet dat ook iedereen in het bedrijf bij die gegevens mag, en dat is waar de AVG (en voorheen WBP) op toeziet.

[Reactie gewijzigd door Neoldian op 23 juli 2024 04:20]

TheDudez @Jester-NL • 9 mei 2018 08:41

Het is de overheid. Er wordt pas wat mee gedaan als het te laat is. Pas als het veel in het nieuws is krijgen ze budget. Zo werkt dat altijd. Ik werk zelf bij een gemeente en daar gaat het precies ook zo.

Webgnome @TheDudez • 9 mei 2018 08:56

Dat is niet alleen maar aan de overheid besteed. Van de week nog bij een afspraak een overeenkomst onder neus geschoven gekregen waarin niks was ingevuld. Alle velden waar de ondernemer iets had moeten invullen ( naam, bedrijf, verantwoordelijkheid etc. ) waren netjes leeg. Dus het gaat overal fout. Als je hen er dan op aanspreekt komt er een reactie als ' ja dat gedoe met de EU ook altijd' . Dan heb je gewoon als ondernemer, maar ook als branche organisatie, iets heel erg slecht begrepen.

Er zijn buiten de AVG genoeg voorbeelden van situaties waarbij het bedrijfsleven er de kantjes vanaf loopt hoor. Denk aan de vele zaken 'waar het aan de markt is overgelaten' waarbij na de gestelde ' gewenningsperiode' gewoon nog steeds niet goed geregeld is.

[Reactie gewijzigd door Webgnome op 23 juli 2024 04:20]

stresstak @Webgnome • 9 mei 2018 12:50

Van de week nog bij een afspraak een overeenkomst onder neus geschoven gekregen waarin niks was ingevuld. Alle velden waar de ondernemer iets had moeten invullen ( naam, bedrijf, verantwoordelijkheid etc. ) waren netjes leeg.

Dat zou dan alvast de eerste boete moeten opleveren. Het laten versloffen is het begin van het einde.
Met lege formulieren inleveren kom je niet weg, zie examens, belasting en nog zo wat.

Webgnome @stresstak • 9 mei 2018 13:08

Daarom ook het formulier ongetekend terug gegeven met de kanttekening dat wanneer je een contract ondertekent je ook altijd weet wat je tekent. Maar kreeg dan wel een

reactie terug..

kftnl @Webgnome • 9 mei 2018 14:28

Hoe lang ben jij nou bezig met het doorlezen van EULA's zoals die van Apple en Microsoft?

Webgnome @kftnl • 9 mei 2018 14:58

je mist denk ik het punt hier..

TheDudez @Webgnome • 9 mei 2018 17:03

Dat geloof ik zeker. Maar als overheid heb je een voorbeeld functie.

Webgnome @TheDudez • 9 mei 2018 21:43

Dat kan. Maar dat wordt vaak gebruikt door bedrijven als een excuus om hetzelf maar niet op orde te hoeven hebben. Want als de overheid het niet op orde heeft waarom wij wel. Ja sorry. Als mijn buurman door rood rijd betekent dat toch niet dat ik ook maar door rood moet rijden?

TheDudez @Webgnome • 9 mei 2018 22:08

Klopt. Maar als een politiekies door rood rijdt. En omstanders zien dat. Hoe denk je dat die reageren?

Webgnome @TheDudez • 9 mei 2018 22:13

Op deze manier maar dat maakt het nog niet goed? Je weet toch niet waarom dat die politie door rood reed? Had die sirene aan? Zwaailichten? Lekker makkelijk en slecht voorbeeld

TheDudez @Webgnome • 9 mei 2018 23:11

Politiekus

Neoldian @TheDudez • 9 mei 2018 23:27

Yep, maar je bent als overheid of ambtenaar niet onfeilbaar. Je wordt wel geacht dat na te streven, maar het blijven mensen.

Saillant detail, als ambtenaar je werkgever zo af te schilderen is ook een leuke voor de integriteitsdiscussie. Ik ben zelf rijksambtenaar en daar hebben we bij het ministerie waar ik voor werk een protocol voor.

Jester-NL @TheDudez • 9 mei 2018 08:42

Het zal mijn branche zijn... maar dit is al een tijd behoorlijk in het nieuws

TheDudez @Jester-NL • 9 mei 2018 08:49

Valt wel mee. En we merken er ook weinig van. Als een docent gaat staken of het ov dan valt dat veel meer op.

Smuey @TheDudez • 9 mei 2018 09:50

Nou, ik heb in februari 2017 een kennissessie bijgewoond waar al het nodige over de invoering van de AVG is verteld. Toen was het grootste deel van de impact er van wel al bekend hoor. Je kunt mij niet vertellen dat de overheid hier niet al veel eerder van op de hoogte moet zijn geweest. En zelfs al zou het vanaf vorig jaar februari zijn geweest, dan nog was er meer dan een jaar aan tijd om voorbereidingen te treffen, toch? Dit is gewoon weer een voorbeeld van het niet tijdig acteren op wetgeving vanuit Europa door onze overheid.

Neoldian @Smuey • 9 mei 2018 23:35

Interessant dat een artikel dat gaat over het de AP die aangeeft mogelijk onvoldoende middelen te hebben om de handhaving van de AVG goed te verzorgen, vertaald wordt naar: de overheid heeft niks met de AVG gedaan.

Er is wel degelijk veel gedaan. Dat de AP prognoses opstelt en deze gedurende de vorderingen bijstelt, is helemaal niet vreemd. Natuurljk hadden we ook gewoon 1000 ambtenaren kunnen aannemen, dan was het altijd goed, maar dat kost ook geld en aangezien nog steeds het stereotype beeld bestaat dat ambtenaren vooral bezig zijn met koffie en de krant, hoef je dan ook niet echt op positieve reacties uit de maatschappij te rekenen.

Dus dit bericht is geen brevet van onvermogen, maar een signaal van de AP dat de laatste inzichten weergeven dat er nog extra inspanning/investering nodig is. Zie het maar als de kwartaalcijfers in het bedrijfsleven. Hoe vaak zie je daar geen 'winstwaarschuwing' komen voor het einde van het boekjaar?

TheDudez @Smuey • 9 mei 2018 17:01

Dat ben ik met je eens.

hmr @Jester-NL • 9 mei 2018 09:44

De AP (voorheen CBP) kamt al jaren met geld te kort.... Handhaving bij kleinere bedrijven zal daarom in beginsel weinig voorkomen.

Paar jaar geleden letterlijk van een medewerker van het toen nog CBP gehoord. "De kans is klein dat wij gaan handhaven bij een onderneming waar geen flagrante schending van de wetgeving plaatsvindt en niet kan worden gekwalificeerd als grote onderneming".

asing @hmr • 9 mei 2018 10:20

Ze hebben een prachtig middel, ze mogen een boete uitdelen als een instelling zich niet aan de regels houdt. Als ze die nou eens een keer oplegden bij zware gevallen, en daarmee hun organisatie financierden, dan schoot het op.

SideShow118 @asing • 9 mei 2018 12:37

De boete vloeit natuurlijk niet terug naar de organisatie zelf en heeft absoluut geen (directe) invloed op het budget van zo'n toezichtclub..

En maar goed ook.

hmr @asing • 9 mei 2018 10:24

Voor een boete moet er eerst onderzoek worden gedaan, dat kost geld

asing @hmr • 9 mei 2018 10:33

De kost gaat voor de baat uit natuurlijk. Niet alle 10.000 meldingen zullen onderzocht zijn. Dat is teveel voor het AP. Maar ik kan me niet voorstellen dat geen enkele van de onderzochte meldingen een overtreding van de regels opleverde.

Keypunchie @Jester-NL • 9 mei 2018 09:20

Het klinkt haast alsof ze die datum van 25 mei rustig hebben zitten afwachten, om er vervolgens achter te komen dat ze misschien beter (wat) voorwerk hadden kunnen doen.

Alsof een toezichthouder als doel heeft "zoveel mogelijk mensen te pakken". Ook zij moeten eerst maar eens zien hoe de wet in de praktijk uitpakt en willen iedereen de ruimte geven om aan de wet te voldoen.

Voorwerk zullen ze heus wel hebben gedaan. Pas nu worden echter ook voor hun meer dan alleen de contouren zichtbaar en inzichtelijk hoe ver het bedrijfsleven is met de wet.

Anoniem: 998261 @Jester-NL • 9 mei 2018 09:55

Het bedrijfsleven heeft exact hetzelfde gedaan (dus ook heel weinig). Met als gevolg dat, omdat veel bedrijven hun zaken nog niet op orde hebben, er veel meer budget nodig is voor de toezichthouder. Als alle bedrijven het perfect hadden geregeld hoeft de toezichthouder niet zo veel te doen.

Jiskefet296 @Jester-NL • 9 mei 2018 10:11

Dit soort organisaties hebben altijd de neiging langzaam op te zwellen. Ze hebben rustig afgewacht en gaan nu om geld zeuren en daarna gaan ze nog meer taken naar zich toe trekken.

Dat is een vaste cyclus. Zie je bij de overheid, maar ook in andere organisaties. Vooral bij controlerende afdelingen (zoals AFM, De Nederlandse Bank, accountants, medicijnen, auteursrechten, voedselcontrole ed.) is die cyclus lastig te breken.

Meestal zwellen dit soort organisaties langzaam op totdat iemand er een bot mes in zet en dan begint het weer overnieuw.

WouterL 9 mei 2018 08:37

Dit zat er natuurlijk al veel langer aan te komen. Dit kan geen grote verrassing zijn.

NiGeLaToR

9 mei 2018 10:00

Europa werkt als concept natuurlijk niet als we gazemenlijke regels afspreken en dan niet collectief naleven en handhaven. Ik werk met een aantal partijen in oost Europa en daar speelt dit volgens hun in het geheel nog niet. Ik was de eerste die ze erop attendeerde dat er wat gaat gebeuren.

Nu houdt Frankrijk zich al sinds het bestaan van de EU niet aan de begrotingsregels, dus het zal met de GDPR naleving op EU niveau vast wel loslopen.

DigitalExorcist 9 mei 2018 09:06

Grote bedrijven zijn wat makkelijker te controleren. Maar wat als ik als particulier een Wordpress site heb (bij Wordpress.com zélf gehost, dus niet mijn eigen server) en reacties toesta van mensen? Daarmee verzamelt Wordpress e-mailadressen en namen. Ben *ik* dan verantwoordelijk daarvoor, of Wordpress zelf?

Alles wat je op het internet kan vinden over die AVG is erg vaag en onduidelijk. Ja; voor bedrijven en ZZP'ers geldt dat wel, maar ik als particulier met een eigen blogje zonder winstoogmerk; sterker nog, überhaupt niet zakelijk?

Venraiden4K @DigitalExorcist • 9 mei 2018 09:24

Bij ons is de AVG voor klanten opgenomen in de algemene voorwaarden, dit zal ook voor Wordpress.com zo zijn. Als je hier nog vragen over hebt dan kan je het beste even een mailtje sturen naar Wordpress.com, ik denk dat ze hier wel vaker vragen over krijgen.

Verder moet jij gewoon zorgen dat je een SSL certificaat hebt. (want persoonsgegevens worden verwerkt door het reactieformulier)

Ik denk overigens niet dat de waakhond snel achter kleine blogjes aan gaat, maar dat de grotere bedrijven eerst aan de beurt zijn. Maar mocht je hier angst over ondervinden dan raad ik aan om gewoon even rond te kijken hoe andere blogs dit oppakken.

Rataplan_ @DigitalExorcist • 9 mei 2018 10:02

Ik denk dat jij in dit geval een verwerkersovereenkomst zou moeten hebben met WP. Het hosten van persoonsgegevens maakt je wettelijk namelijk al een verwerker.

Wij zijn zelf een hoster van remote-desktop diensten, en ondanks dat onze klanten enkel hun data op onze storage opslaan, maar wij dat niet in de letterlijke zin verwerken, zijn we bij wet toch verwerker. Dat maakt ook dat dit een gedrocht van een wetgeving is, want als je mailt met iemand staat die mail ook opgeslagen bij GMail, Microsoft of waar je je mail ook hebt staan. Strikt genomen zijn zij dus ook verwerkers, en nog wel BUITEN de EU, wat ook alweer niet mag. Echter deze partijen komen dan weer weg met een privacyverklaring, wat voor ons als hoster niet genoeg is.

Wij vermoeden dat de komende tijd wel zal blijken hoe onwerkbaar deze regelgeving is. Iedereen sluit maar verwerkersovereenkomsten af met iedereen, terwijl de meeste partijen nog zoekende zijn in wat ze mogen en wat niet. Zo mag een van onze klanten, een financiele dienstverlener, geen paspoorten meer opslaan vanuit een of andere tak van de wet. Echter als ze voor een client een hypotheek willen aanvragen, zal er toch echt een paspoort bijmoeten. Allemaal dat soort praktische zaken zal nog vanalles aan bijgeschaafd moeten worden.

Anoniem: 535502 @DigitalExorcist • 9 mei 2018 09:20

Jij verzamelt die gegevens, dus jij bent verantwoordelijk.
Wordpress is voor AVG een derde partij die in jouw opdracht bepaalde gegevens verzamelt en jij hebt een contract met WP.
Over particuleren met een eigen website of blogje (al dan niet ergens gehost bij Google, WP, ...) bestaat inderdaad geen deftige uitleg.

Alhoewel ik vorige week te horen kreeg door iemand die kwam vertellen over de GDPR dat een amateurfotograaf die een eigen website heeft, niet als amateur kan beschouwd worden omdat het bezit van een eigen website het amateurisme overschrijdt.

michaelboon82

@Anoniem: 535502 • 9 mei 2018 09:35

Daar zit wat in. Voor mij is het simpel: verzamel of log je gegevens dan moet je ervoor zorgen dat je qua AVG alles op orde hebt. En laat dat nu vrijwel iedere website doen. Iedereen met een simpele stats/counter op zijn/haar site verzameld al gegevens.

Het geeft een grote impact omdat er zoveel gegevens verzameld wordt door vrijwel elke site en er zoveel gedaan wordt met die gegevens. En dan nog los van wat we vrijwillig afgeven aan diverse sites. Informatie is de nieuwe olie en nu hebben ze gezegd: maak nu eens duidelijk wat je allemaal doet en verzameld. Mensen schrikken zich een ongeluk als ze weten wat bv Google search allemaal opslaat

DigitalExorcist @michaelboon82 • 9 mei 2018 09:45

Ja, maar *ik* verzamel persoonlijk niks. Dat is het juist. Wordpress host dit, Wordpress hun database, Wordpress hun software, trackers en statistieken. Bovendien heb ik geen zakelijke interesse, ik vraag niet om reacties te plaatsen of trackers op mijn site, dat zijn faciliteiten die Wordpress standaard biedt. Ja, reacties kan ik desnoods uitzetten, dat klopt.

Of moet ik ook per e-mail die ik stuur, een disclaimer toevoegen dat als je op mijn mail antwoordt, ik in het bezit kom van je e-mailadres en naam? Of op Twitter bij elke tweet 140 tekens aan disclaimer toevoegen dat ik je profiel zou kunnen zien als je op mij reageert?

michaelboon82

@DigitalExorcist • 9 mei 2018 10:05

Zoals ik hierboven al aangeef, de bezoeker heeft niets met WordPress te maken omdat ze JOUW site bezoeken. Wel heb jij met WordPress te maken en dus moet jij met hun een overeenkomst hebben wie verantwoordelijk is voor wat qua data en gegevens. Dit is meestal opgenomen in hun algemene voorwaarden waar je geen invloed op hebt maar waar wel het bovenstaande in vast staat. Om zichzelf in te dekken zeg maar als jij bijvoorbeeld gegevens plain text op hun servers opslaat.

WordPress biedt je verschillende tools maar die tools doen niks als jij ze niet geactiveerd hebt. Activeer of installeer je ze wel dan verzamel je gegevens en dat moet je vermelden in je AVG. Als je niet geïnteresseerd bent in die gegevens dan moet je ervoor zorgen dat er niets verzameld wordt. De algemene dingen (email, reacties) verwerkt je in je AVG en viola je kunt weer een biertje pakken for a job well done

stresstak @DigitalExorcist • 9 mei 2018 13:03

Of moet ik ook per e-mail die ik stuur, een disclaimer toevoegen dat als je op mijn mail antwoordt, ik in het bezit kom van je e-mailadres en naam?

Om die mail te kunnen sturen weet je al een adres.

'Verzamelen' is een ruim begrip, dat blijkt wel weer.

DigitalExorcist @stresstak • 9 mei 2018 13:53

Dat is ook wel weer zo. Hoewel .. dan is een autoreply op elke mail die ik krijg beter natuurlijk. Dat misschien maar ff instellen dan. Better safe than sorry.

michaelboon82

@DigitalExorcist • 9 mei 2018 09:25

Hierbij een simpele uitleg voor de particulieren/zzp'er:

De AVG geldt voor iedereen die gegevens verzameld en opslaat....van simpele ip nummers tot aan adresgegevens. Jij slaat de gegevens op dus jij bent verantwoordelijk voor deze gegevens.

Je moet de bezoeker van je site cq je klanten laten weten:
- Welke gegevens sla je op
- Hoe sla je ze op
- Waar sla je ze op
- Wie kan deze gegevens inzien
- Hoe lang sla je ze op
- Waarom sla je ze op

Bovendien mag iedereen een verzoek indienen om zijn/haar gegevens in te zien en te verwijderen. Hier moet je dan natuurlijk aan voldoen.

Als je een WordPress site hebt bij een webhost, en gegevens worden door die site in bijvoorbeeld een database opgeslagen dan moet je een soort overeenkomst hebben met de webhost. Daarin staat wie van jullie wat doet met de gegevens en hoe de beveiliging geregeld is. Meestal is dat een soort van basis algemene voorwaarden waarin vast staat wie welke rechten en plichten heeft ten aanzien van de opslag en beveiliging.

In principe veranderd er niet zo gek veel alleen moet iedereen die met gegevens werkt nu duidelijk in jip en Janneke taal aan bezoekers en klanten laten weten wat er aan gegevens verzameld wordt en wat er allemaal mee gebeurd.

Als je ervoor zorgt dat je de gegevens goed beveiligd, geen gegevens door een ander ingezien kunnen worden en je de klant goed informeert hoef je als particulier/zzp 'er niet zo gek veel te regelen.

DigitalExorcist @michaelboon82 • 9 mei 2018 09:46

Oh da's lekker, dan ik ik voor élke mail die ik stuur een disclaimer gaan toevoegen. Als je antwoord stuurt op mijn mail kom ik ook je IP adres, naam, et cetera te weten namelijk (via de headers!). Want die worden ook opgeslagen op mijn PC.

RIP e-mail...

Het punt is, ik sla zélf geen gegevens op. Sterker nog, het zal me worst wezen of het opgeslagen wordt of niet - Wordpress zélf host de site, ik heb überhaupt geen inzage in de meeste van die gegevens, al zou ik 't willen!

- Welke gegevens sla je op?
--> Naam, e-mailadres vermoedelijk?
- Hoe sla je ze op
--> Online, in een database van Wordpress
- Waar sla je ze op
--> Online, in diezelfde database van Wordpress...
- Wie kan deze gegevens inzien
--> Wordpress, misschien
- Hoe lang sla je ze op
--> Geen idee
- Waarom sla je ze op
--> Geen idee

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 04:20]

michaelboon82

@DigitalExorcist • 9 mei 2018 09:55

Dat je niet geïnteresseerd bent in de gegevens vrijwaart je natuurlijk niet van je rechten en plichten

Je verzamelt ze dus je moet duidelijk maken aan je bezoekers wat ermee gebeurt, zo simpel Is het. Een simpele disclaimer op je site dat een klant gegevens aan je geeft als die een mailtje stuurt, en wat jij ermee doet is voldoende, dat hoeft echt niet bij elk mailtje erbij te staan. Maar je moet het wel ergens aangeven. WordPress doet ook het 1 en ander maar de klant heeft contact met jou en niet met WordPress. Dus jij moet met WordPress hebben afgesproken wie welke rechten en plichten heeft met de data. Het is echt niet heel moeilijk maar je moet jezelf er wel even in verdiepen en actie ondernemen. Het heeft mij een half dagje gekost voor 4 sites die ik beheer, ik ben zzp'er.

DigitalExorcist @michaelboon82 • 9 mei 2018 11:28

Nee, maar sowieso élk mailtje, blog of geen blog. Elk mailtje dat je überhaupt ooit verstuurt zou op die manier voorzien moeten worden van een disclaimer.

SuperDre @michaelboon82 • 9 mei 2018 11:40

Ik neem aan dat die half dagje dat het je gekost heeft niet inclusief het uitzoeken is wat nu werkelijk allemaal benodigd is en waar je aan moet voldoen volgens de AVG, want als dat wel zo is, dan kan ik je garanderen dat je dus bij lange na niet goed hebt uitgezocht.

multikoe @michaelboon82 • 10 mei 2018 09:05

Dus jij moet met WordPress hebben afgesproken wie welke rechten en plichten heeft met de data

Dit geld ook voor alle andere dataverwerkers, zoals Dropbox, Onedrive, Google Drive. En in theorie dus ook voor alle diensten waar je je mail opslaat.
Wat je niet specificeert en wat ik overigens ook nergens kan vinden is: hoe sluit je zo'n overeenkomst met Wordpress/Google/Microsoft/Dropbox? Hoe toon je aan dat je zo'n overeenkomst hebt?

[Reactie gewijzigd door multikoe op 23 juli 2024 04:20]

michaelboon82

@multikoe • 10 mei 2018 09:23

Mijn webhost, Antagonist, heeft dit opgenomen in de algemene voorwaarden https://www.antagonist.nl/downloads/algemene-voorwaarden.pdf (onderaan het document)

Het is een overeenkomst die ik met ze aan ga als ik gebruik maak van hun diensten. Eenzijdig opgesteld door hun natuurlijk maar simpelweg staat erin dat ik er bijvoorbeeld voor moet zorgen dat ik geen bijzondere gegevens opsla op hun servers (ras, geloof, medisch, onder de 16) en dat ik niet de voordeur open laat staan. Zij zorgen er bijvoorbeeld voor dat hackers niet via de achterdeur binnen kunnen komen en dat niemand bij hun de gegevens zonder goede reden inziet. Google en dergelijke zullen dit ook wel hebben opgenomen in de algemene voorwaarden.

Ik geef aan in mijn privacyverklaring dat ik de gegevens op de servers van Antagonist opsla en geef de klant het linkje wat ik hierboven heb gegeven. Dan is de klant wat mij betreft voldoende geïnformeerd.

[Reactie gewijzigd door michaelboon82 op 23 juli 2024 04:20]

RobLemmens @michaelboon82 • 9 mei 2018 15:45

Hier moet je dan natuurlijk aan voldoen.

Maar wat dan als je van andere instanties die betreffende gegevens MOET bewaren en niet weg mag gooien?

[Reactie gewijzigd door RobLemmens op 23 juli 2024 04:20]

michaelboon82

@RobLemmens • 9 mei 2018 18:30

Het was even simpel gezegd....Het ligt natuurlijk iets genuanceerder.

Je moet daaraan voldoen tenzij je het van een instantie niet mag doen. Maar hoe dan ook je moet de klant wel (volgens mij schriftelijk) laten weten welke gegevens je niet hebt verwijderd en waarom niet.

Neoldian @michaelboon82 • 9 mei 2018 23:46

Nope. ZZP wel, particulier niet, maar het bedrijf waar gehost wordt dan weer wel:

Uit de AVG:

(18) Deze verordening is niet van toepassing op de verwerking van persoonsgegevens door een natuurlijke persoon in het kader van een louter persoonlijke of huishoudelijke activiteit die als zodanig geen enkel verband houdt met een beroeps- of handelsactiviteit. Tot persoonlijke of huishoudelijke activiteiten kunnen behoren het voeren van correspondentie of het houden van adresbestanden, het sociaal netwerken en online-activiteiten in de context van 4.5.2016 NL Publicatieblad van de Europese Unie L 119/3
Deze verordening geldt wel voor verwerkingsverantwoordelijken of verwerkers die de middelen verschaffen voor de verwerking van persoonsgegevens voor dergelijke persoonlijke of huishoudelijke
activiteiten.

JorzoR @DigitalExorcist • 9 mei 2018 09:36

AVG is ook te groot/complex om in concrete acties te omschrijven in specifieke gevallen. Ik ben er de laatste tijd ook even in gedoken. Volgens mij zit het zo:

Ik ken de service agreement met Wordpress niet, maar het _lijkt_ mij dat de verantwoordelijkheid 50/50 is. Wordpress zorgt voor juiste en beveiligde gegevens verwerking. En jij moet richting je gebruikers duidelijk maken, voordat ze een reactie plaatsen, wat er met hun gegevens gebeurt. Dat deel is dan jouw verantwoordelijkheid. De gegevens staan immers niet bij jou thuis, maar bij een bedrijf.

edit: foutieve info verwijdert

[Reactie gewijzigd door JorzoR op 23 juli 2024 04:20]

Anoniem: 998261 @DigitalExorcist • 9 mei 2018 09:57

Als je gewoon de EU richtlijn er bij pakt weet je precies waar je aan moet voldoen. Het wordt vaag als je op allerlei site die soort zelfbenoemde experts zijn gestart gaat zoeken naar informatie. Die informatie wordt uiteraard vaag gehouden omdat die mensen consultantieuren willen verkopen.

StephanVierkant

9 mei 2018 10:10

Enigszins een open deur, maar het moet toch even gezegd worden: de toezichthouder gaat niet alleen over de handhaving van de toekomstige regels, maar ook over de huidige. Daarbij is de handhaving nooit echt op orde geweest, gezien de felle reacties van sommige organisaties op de nieuwe regels. Veel organisaties zijn nu eindelijk pas gaan nadenken over privacy, terwijl regels hieromtrent echt niet nieuw zijn.

Ik heb al van verschillende organisaties gehoord dat ze druk zijn met versleuteling van gegevens, bijvoorbeeld https op websites (waarmee persoonsgegevens worden verzonden uiteraard). Ook in de oude wet (Wet Bescherming Persoonsgegevens, 2000) staat dat je gegevens adequaat moet beveiligen (art. 13). Dat is bewust techniek-onafhankelijk geschreven, maar ik gok dat https al zeker 10 jaar dusdanig eenvoudig is dat je mag verwachten dat persoonsgegevens beveiligd worden verstuurd. Ook het recht van inzage is zo'n voorbeeld: dat inzagerecht bestaat ook al sinds 2000 (art. 35 Wbp), recht op verwijderen ook (art. 36). Ook de ondubbelzinnige toestemming, doelmatigheid, etc. is al lang geregeld (art. 8 Wbp). En er zijn nog meer voorbeelden te noemen.

Hoewel de AVG/GDPR en de Nederlandse implementatiewet echt wel nieuwe dingen vereisen, klagen organisaties nu ook op punten waarbij ze dus al 18 jaar lang niet voldoen aan de wetgeving. Dat is in eerste instantie een probleem van die organisaties zelf, maar strengere handhaving op de Wbp had hier wel bij geholpen.

@michaelboon82: lees even de genoemde artikelen van de Wbp. De voorbeelden die je noemt zijn echt niet nieuw. Hooguit iets aangescherpt en de handhaving hangt nu iets dreigender boven de markt.

[Reactie gewijzigd door StephanVierkant op 23 juli 2024 04:20]

michaelboon82

@StephanVierkant • 9 mei 2018 10:23

Zover ik het begrepen heb en wat je ook zegt; er veranderd er inderdaad weinig.

Het grote verschil is nu dat men duidelijk moet maken wat ze verzamelen aan gegevens, hoe, waarom en wat ze ermee doen. En klanten moeten makkelijker inzage krijgen en gegevens verwijderd kunnen worden als ze dat willen.

Dit is iets wat veel mensen niet beseffen (weet Wehkamp precies welke artikelen ik bekeken heb, hoe lang ik hun site bezoek en maken ze een profiel van mij terwijl ik niet ingelogd ben op hun site????) Maar er wordt zo bizar veel informatie verzameld en verwerkt dat je er eigenlijk ziek van wordt als je dat probeert te bevatten. Van Google en FaceBook weten de meeste dat nu onderhand wel, maar ze beseffen het niet altijd van een Wehkamp, Bol of Prenetal.

Data is al lang het nieuwe goud En ik juig alleen maar toe dat er nu geprobeert wordt een klein beetje orde in die enorme chaos te scheppen

SuperDre 9 mei 2018 11:34

Ja ja, ik weet wel hoe het opgelost kan worden, gewoon wat onnodige managers schrappen, zeker in de top omdat dat vaak toch lui die zijn veel geld krijgen en maar af en toe op komen dagen voor een vergadering, en als het om verantwoordelijkheid draait dan zijn ze gewoon weg wanneer er een probleem is zonder enige gevolgen en gaan ze gewoon bij een andere stichting weer verder.

110124 9 mei 2018 08:43

Dus, eigenlijk is dit een soort BREIN, maar dan voor de (privacy)-rechten van de mens (het is illegaal om onze 'copyright' persoonsgegevens te downloaden, zonder onze toestemming)?

Ik weet gewoon niet zo erg wat ik over dit soort organisaties moet denken. Wie de uiteindelijke belanghebber is en zo. En dat is geen gegronde mening, maar een maaggevoel. Wellicht kan iemand dat hier beter toelichten?

[Reactie gewijzigd door 110124 op 23 juli 2024 04:20]

uncle_sjohie @110124 • 9 mei 2018 10:11

De Autoriteit Persoonsgegevens (AP) is vanuit de Wet bescherming persoonsgegevens (Wbp) de organisatie die toezicht houdt op de naleving van de wettelijke regels voor bescherming van persoonsgegevens door bedrijven, en andere instanties als (lokale)overheden en stichtingen etc. Ook hebben ze een mogelijkheid tot handhaven, het zoals meer instanties dat kunnen, denk aan de nVWA als het gaat om voedselveiligheid of het Agentschap Telecom als het gaat om toezicht op de telecomsector. Dat zijn allemaal instanties die in de rug gedekt zijn door wetten, en dus "ons" dienen. Brein is een stichting, betaald en opgezet door copyright eigenaren om hun belangen te behartigen. Dat kan iedereen doen, maar die hebben duidelijk geen mogelijkheid om bijvoorbeeld zelf sancties op te leggen. Wat Brein doet is een schikking aanbieden, en als je die weigert, een civiele procedure starten.

qless @110124 • 9 mei 2018 08:46

Met het verschil dat de privacytoezichthouder er eigenlijk voor jouw is. Brein is dat niet, die dient de belangen van de mediaindustrie.

Neoldian @Anoniem: 998261 • 9 mei 2018 23:51

Begrijp de -1 niet zo goed, want op papier heb je volkomen gelijk. Dat er bijzonder weinig van de inkomsten van Brein naar de rechthebbenden gaat, lijkt me een heel andere discussie. Maar Brein kan zeker het belang van meerdere partijen dienen.
Het blijft echter een stichting die geen opsporingsbevoegdheden e.d. heeft, maar ook daar is al vaak genoeg over geschreven

beany @Slavy • 9 mei 2018 08:34

De AVG is geen ICT project... dus het nut van je plaatje ontgaat mij een beetje...

En ze hebben het over een minimale bezetting die nodig is om het minimale te kunnen doen, maar dan blijven er nog wel een hoop zaken liggen. Het hoogste scenario is dat ze alles wat er ligt aan werk (meldingen, eigen onderzoek, etc) opgepakt kan worden.

Baris @Slavy • 9 mei 2018 08:38

Makkelijk om het op de noemer 'overheid en ict-projecten' te gooien, ik snap daarom ook de relatie van jou opmerking met dit artikel niet. Er gaan overigens vele dingen goed bij de overheid, alleen worden deze dingen (weinig/niet) belicht in de media.

Equator Crew Council @Slavy • 9 mei 2018 08:39

Waarin zie jij een ICT project? Dit gaat over privacy, en controle of bedrijven wel werken volgens de AVG. Dit is geen ICT project. Dat een aantal maatregelen om fatsoenlijk om te gaan met privacy een IT kant hebben doet daar niet aan af.
Beetje makkelijk om alvast er van uit te gaan dat het fout gaat.

Verder: De AP heeft als doel het handhaven van de AVG bij bedrijven en misschien ook wel het controleren waar iets fout is gegaan. Dat moeten ze doen voor heel Nederland. Dan vind ik 270 man echt niet veel. Dat er een verschil zit tussen beide scenario's komt waarschijnlijk omdat de werkzaamheden nog niet vast liggen. En in de meest uitgebreide variant hebben ze dus 85 FTE meer nodig.

[Reactie gewijzigd door Equator op 23 juli 2024 04:20]

yannickl88 @Slavy • 9 mei 2018 08:44

Wellicht ook interestant, https://www.reuters.com/a...privacy-law-idUSKBN1I915X

"Most respondents said they would react to complaints and investigate them on merit. A minority said they would proactively investigate whether companies were complying and sanction the most glaring violations."

Hierin staat dat veel bureau's de AVG (of GDPR) gaan handhaven op incident basis. m.a.w., wanneer iemand meld dat een bedrijf mogelijk zich niet aan de regels houd. Alleen enkele landen hebben ook de resources om preventief te gaan controleren.

Mijn vermoeden is dat die 85 extra mensen zijn als je dus preventief wil gaan handelen i.p.v. op incident basis.

watercoolertje @Slavy • 9 mei 2018 09:08

Lekker irritant, 4 mensen reageren op jouw bericht en niks heeft meer raakvlak met je op dit moment gewijzigde bericht. Goed bezig hoor! (NOT)

Anyway als antwoord op de je vraag (ik quote hem even anders haal je dat straks ook nog weg):

Vind het toch wel een groot verschil, 185 mensen nodig hebben of volgens hoogste scenario 270 mensen nodig, wat voor scenario moet je in terecht komen om 85 mensen meer nodig te hebben?

Wat denk je zelf, dat iemand in kan schatten hoeveel mensen zich wel of niet aan de regelgeving gaat houden? Waarschijnlijk is het ene scenario met een laag percentage overtreders/melders bedacht en het andere met een hoog percentage, er moet dan dus veel meer gecontroleerd worden en dat kost meer tijd, en dus meer mensen.

Op dit item kan niet meer gereageerd worden.

Nederlandse privacytoezichthouder: budget handhaving AVG is wellicht onvoldoende

Lees meer

IT-banen

Reacties (106)

Sorteer op:

Weergave: