Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Kleine Nederlandse organisaties worden ontzien bij handhaving AVG

De Nederlandse minister voor Rechtsbescherming, Sander Dekker, heeft gezegd dat kleine organisaties in Nederland niet bang hoeven te zijn voor snelle boetes als ze de bescherming van persoonsgegevens voor de Europese privacywetgeving AVG nog niet goed op orde hebben.

Dekker heeft tegen de NOS gezegd dat er in het het begin nog coulance zal zijn als kleine organisaties nog niet helemaal voldoen aan alle regels uit de Algemene Verordening Gegevensbescherming. Het gaat bijvoorbeeld om sportverenigingen of scholen.

De nieuwe Europese verordening wordt vrijdag van kracht. Als kleine organisaties zoals voetbalclubs bezig zijn met het voldoen aan de nieuwe regels, is het volgens Dekker niet zo dat de Autoriteit Persoonsgegevens vrijdag op de stoep staat. Grote bedrijven kunnen volgens Dekker wel strikte handhaving tegemoet zien als ze niet voldoen aan de verordening.

Ondanks het feit dat de toezichthouder twee weken geleden nog aangaf dat het toegekende budget voor de handhaving van de Algemene Verordening Gegevensbescherming vermoedelijk niet hoog genoeg is, zegt de minister dat hij niet van plan is om meteen extra geld beschikbaar te stellen. De Autoriteit Persoonsgegevens heeft nog niet het aantal mensen in dienst dat volgens een rapport nodig is om de nieuwe taken en bevoegdheden uit te voeren. Of er geld bij moet, bekijkt Dekker als de AVG eenmaal van kracht is.

Door Joris Jansen

Nieuwsredacteur

24-05-2018 • 10:37

267 Linkedin Google+

Submitter: JustinoFTW

Reacties (267)

Wijzig sortering
Velen hebben een mening. :|
Iedereen wil graag met het vingertje naar anderen wijzen, wat de anderen fout doen en/of nalaten.
Maar zouden niet veel, zekere kleinere bedrijfjes (de 1-pitters, waarvan er heel veel zijn!) niet beter gebaat zijn bij een simpel soort stappenplannetje van hoe en wat.
En wat standaard documenten templates waarin je alleen jouw specifieke kenmerken hoeft aan te passen en die te gebruiken. En dat dan b.v. op je website te plaatsen, in je voorwaarden opneemt, e.d.?

Nu lijkt het net alsof er vele aasgieren consultants op uit zijn om maar zoveel mogelijk juridische/adminstratieve diensten te kunnen slijten aan onwetende en bang gemaakte klein ondernemers en non-profit organisaties.
Wie weet/wil kan een overzichtje plaatsen van dit soort instructies? Wellicht een tip voor de redactie?
Met dat soort hulp zouden imho veel meer mensen bij gebaat zijn, dan elkaar afz**ken. ;)

Ik zie de bui al weer hangen... De 'Abmahnung' bedrijfjes staan weer te springen om hier een slaatje uit te slaan. :(
https://www.heise.de/ix/m...-Bussgeldern-4031502.html
https://www.computerbetru...wegen-illegaler-downloads
etc.
Aangeklaagd door Popcorn kijken in Duits hotel

[Reactie gewijzigd door ehtweak op 24 mei 2018 11:26]

Beste document dat ik ken is:
Handleiding Algemene verordening gegevensbescherming (AVG)
Had er alleen bij ingaan van de wet, twee jaar geleden, al moeten liggen. Nu pas eind januari van dit jaar beschikbaar.

Verder de privacystatement generator, alhoewel die naar mijn mening nog wat teveel open laat.
Dit is inderdaad een uitstekend document, helder geschreven. Heel veel lettertjes, maar het bevat veel nuttige informatie.
Over een onderwerp 100 pagina's is knap om het toch behoorlijk helder te krijgen. Echter het laatste kopje (9.6.4) over schade vergoeding had wat uitgebreider gemogen. Oke wordt verwezen naar Art 82 van het AVG, maar dan nog.

Bedrijven kunnen zich ook abonneren of dit soort schrijven en verordeningen, maar bij menig bedrijf waar ik afgelopen twee jaren geweest ben was er maar 1 die daadwerkelijk aangaf wat te lezen.
-- dubbele post die ik niet kan verwijderen, dan maar zo --

[Reactie gewijzigd door Sithistar op 24 mei 2018 12:52]

Dekker zegt volgens de NOS het volgende:
"Als je er nu mee bezig bent, zal het echt niet zo zijn dat op 26 mei de autoriteit op de stoep staat bij een voetbalclub", zegt Dekker. "Als grote bedrijven er met de pet naar gooien en jouw of mijn gegevens op straat liggen, dan heb je echt een probleem."
Lekker 'smart' zeg ik, helpt ontzettend. Wat overigens nogal frustrerend is, is dat de uitwerking van de wetgeving voor een groot deel niet duidelijk is, 'iedereen' zich expert noemt en uiteindelijk vanuit bijvoorbeeld de advocatuur er erg veel 'in principe' oordelen gegeven worden in afwachting van jurisprudentie. Blog van Arnoud Engelfriet is wel een mustread voor iedereen die duiding zoekt:
https://blog.iusmentis.com/?s=AVG

Verder bevestigen diverse advocatenkantoren me dat vrijwel nergens de boel écht op orde is, maar dat dit vooral komt omdat het compliancy wetgeving is en we eigenlijk nog niet precies weten wat 'klaar' is. Tenslotte kun je net als met elke compliancy wetgeving zodra je klaar bent weer opnieuw beginnen.. Tis immers plan-do-check-act, elke keer dat iets wijzigt, opnieuw.
Lekker 'smart' zeg ik, helpt ontzettend
Zeker 'smart': de timing is slim. Kleine bedrijven hebben hun best gedaan om te voldoen, maar sommigen zullen het daar moeilijk mee krijgen ivm gebrek aan resources. Nu vlak voor de eindstreep (de laatste dag) wordt gezegd: "goed je werk gedaan jongen, maar de overhoring is pas over een week." Dat neemt stress en zorgen weg. De bedrijven die er niets mee hebben gedaan worden niet ontzien.
Ze hebben ongeveer 2 jaar gehad om zich klaar te maken. Juist als klein bedrijf moet dat prima te doen zijn.
Ja de wet is twee jaar geleden opgesteld, maar de uitvoeringswet is pas recent in werking getreden.gedurende anderhalf jaar van de twee jaar was er dus niets concreet.
Complete kul

De 2 jaarstermijn gaat over het integreren van de verordening in Nationale wetgeving. Vanaf de dag van publicatie van de verordening was al duidelijk waar je aan moet voldoen. Dat de laatste puntje op de i er nog niet waren, omdat die inderdaad pas met de uitvoeringswet zijn gekomen ben ik met je eens, maar zal de AP ook niet direct over vallen als je daar nog tijd voor nodig hebt.

Daarbij komt dat minstens 70% van de AVG niet anders is dan de WBP die er al sinds 2001 is, en een groot deel daarvan komt weer uit de wet registratie persoonsgegevens uit 1989.

Het is dus niet opeens iets nieuws. Het trieste is dat op veel fronten die wetgeving ook al niet werd gevolgd en daar heeft de AP met enige regelmaat toch het nieuws gehaald door boetes op te leggen.

Vanuit mijn callcenter verleden heb ik veel te maken gehad met dergelijke regelgeving en het trieste is dat veel bedrijven het alleen als ballast zagen, want jouw privacy boeit ze veelal niet. Hetzelfde geldt bv ook bij milieuwetgeving. Wordt ook vaak alleen maar als ballast gezien (zo heb ik stage gelopen bij een bedrijf in de kunststof industie, waar men het totaal niet nodig vond organische oplosmiddelen op te vangen en af te laten voeren als chemisch afval. Gewoon buiten zetten en laten verdampen (en dan heb ik het over bewezen veroorzakers van OPS en mogelijke carcinogenen)).

Fiscale wetgeving daarentegen interesseert de bedrijven wel, want daar kunnen ze geld verdienen.

Omdat bij sancties veelal de wet van grote getallen geldt, is daarom het boetebeleid fors aangepast. En dat heeft veel bedrijven wel in beweging gekregen.

Dat het voor kleine ondernemingen/ZZP-ers lastig is, vindt ik wel een punt. Die missen veelal ook de ondersteuning van een branchevereniging (die is normaal gesproken ook op de hoogte van nieuwe ontwikkelingen vanuit wetgeving), maar ook hier geldt, dat veel dingen niet nieuw zijn en als je een bedrijf begint of als ZZP-er aan de slag gaat, dien je je ook goed te laten informeren over de wet en regelgeving waar je aan moet voldoen. Ik weet dat o.a. de KvK en de Belastingdienst daar wel het een en ander in doen en vaak kun je ook bij het bedrijvenloket van de gemeente wel terecht. Je hoeft dus niet voor alles een dure consultant in te huren. Dat het veel tijd kost, is waar, maar ja, je kiest toch zelf om een bedrijf te beginnen?

En de minister kan wel heel hard roepen, maar de AP heeft natuurlijk ook gewoon een handhavingsbeleid te volgen, dus meteen torenhoge boetes opleggen is niet zo eenvoudig. Dan moet je al kunnen aantonen dat het een zeer ernstig risico behelst en het bedrijf nalatig is geweest.
Zeker als men kan laten zien dat men hard aan het werk is om te voldoen, dan krijg je daarvoor veelal de gelegenheid om binnen redelijke termijn je zaken op orde te hebben, dan wel een boete die passend is voor de ernst van de situatie.

[Reactie gewijzigd door Neoldian op 25 mei 2018 10:37]

Zoals Neoldian ook al zegt: Onzin

Ik werk bij een bedrijf waar we dit ook gewoon moeten implementeren (ook met terugwerkende kracht natuurlijk), en wij wisten het toch echt al lang zat. Maar voor een echt uitgebreid antwoord raadt ik je toch Neoldian's reactie aan
We leven in een digitaal tijdperk. Omdat het digitaal is, maakt veel meer data niet persee veel uit terwijl papierwerk (dat je in een kleine organisatie misschien juist eerder zou tegenkomen) inderdaad ongeveer rechtevenredig tijd kost; itt digitale data. De kans dat er bij een klein bedrijf een programmeur zit die even wat SQL queries in elkaar flanst is kleiner dan bij een groot bedrijf.

Nog belangrijker, juist een klein bedrijf heeft daar de resources gewoonweg niet voor. Zowel de mankracht als de tijd. Die hebben vaak niet eens een legal department, en hebben minder winst om een paar advocaatjes in te huren. Iemand doet het er bijvoorbeeld "even bij" als onderdeel van de administratie.

Bovendien heeft een klein bedrijf waarschijnlijk inderdaad minder data, waardoor als het misgaat er minder data op straat komt te liggen en dus potentieel minder mensen de dupe zijn zoals ACM schrijft: ACM in 'nieuws: Kleine Nederlandse organisaties worden ontzien bij handhaving...
Een groot bedrijf met een lading legacy code heeft minstens die problemen. Veel kleine bedrijven zijn startups (veel, niet alle, dat weet ik) die dus vrij recentelijk de infrastructuur op hebben gezet. Als dat nu al niet meer te onderhouden valt weet ik het ook niet.
Dat grote bedrijf heeft de resources om dat te bekostigen. Die zijn hier veel meer flexibel in.

Er zijn legio kleine bedrijven die geen startups zijn, en die mogen niet de dupe zijn. Denk 'ns na wat er zoal in je wijk zit of in het centrum. Familiebedrijven en eenmanszaken bijvoorbeeld de kapper, de loodgieter, noem maar op. Ook franchises!

Startups hebben het inderdaad relatief makkelijk, maar er gaan ook veel startups over de kop. Het gros slaagt niet. Maar ik heb geen statistieken van het percentage kleine bedrijven dat een startup betreft. Jij wel?

[Reactie gewijzigd door Jerie op 24 mei 2018 13:20]

Maar hoeveel privacy gevoelige data heeft een eenmanszaak kapper nou? Dat had best in 2 jaar geregeld kunnen worden.
In geval van een papieren administratie is dat veel werk, en ook is het maar de vraag hoe begaan met computers zo'n kapper is. Het was zaak om het allemaal tip top in orde te hebben voor morgen.
In geval van een papieren administratie is dat veel werk, en ook is het maar de vraag hoe begaan met computers zo'n kapper is.
Volgens mij verplichten ze nu niet om alles digitaal te doen en
Het was zaak om het allemaal tip top in orde te hebben voor morgen.
is natuurlijk onzin want het is al meer dan een jaar bekend.
Ik weet niet wat je hier mee wilt zeggen? Daar heb ik ook al op gereageerd. Als ZZP'er had hij maar beter uit zijn doppen moeten kijken. Ik wist het al een jaar en dat hoort nieteens bij mijn baan.
Zoals EpicKip hierboven ook al stelt: wat verwerken de bedrijven die je noemt daadwerkelijk aan persoonsgegevens (want daar gaat de AVG over)? Bij de kapper betaal ik gewoon contant en hoef ik geen persoonsgegevens te geven (ik maak geen afspraak maar loop gewoon binnen). De loodgieter die tijdens de verbouwing actief is geweest had mijn naam, telefoonnummer en adres. Ook niet echt wereldschokkend.

Ook als je dat op papier doet (al denk ik toch dat dat in deze tijd niet veel meer voorkomt, al was het maar doordat de Belastingdienst, KvK e.d. steeds meer digitaal gegaan zijn) moet het nog steeds relatief eenvoudig zijn om op papier te zetten welke gegevens je noteert, welk doel dat je de gegevens voor gebruikt en hoe je zorgt dan onbevoegden er niet bij kunnen. Zit jouw papieren administratie in een kluis waar alleen jij in kunt, dan is dat al aardig beveiligd.

Bedrijven zijn een hoop paniekvoetbal aan het spelen, maar in de realiteit is het allemaal niet zo ingewikkeld, tijdrovend of duur als je nauwelijks met persoonsgegevens werkt. Doe je dat wel, dan had je al veel eerder daar iets mee moeten doen. AVG is maar voor een klein deel vernieuwend, de rest is in Nederland al lang zat bekend.

En daarbij zal de AP echt geen 20 miljoen aan boete opleggen aan een kapper, die zijn papieren klapper met afspraken voor die dag op zijn balie heeft liggen, dat is totaal niet proportioneel. Maar laat de grote jongens, die tientallen miljarden hebben verdiend aan het onbehoorlijk omgaan met onze gegevens nu maar eens zweten.
Wat betreft mijn voorbeeld van de kapper: ging om een kapper waar je van te voren een afspraak maakt.
Dat is een prima voorbeeld hoor, dan vertel je de kapper je (achter)naam en evt telefoonnummer zodat je bereikbaar bent. Dus het dataregister van de kapper is op een bierviltje vast te leggen.
Ik neem tenminste niet aan dat je kapper van jou je adres, geboortedatum, geboorteplaats, etc wilt weten, want met welk doel heeft hij die gegevens dan nodig?

Wat ik probeer duideljik te maken, is dat het bedrijfsleven (en niet voor het eerst) weer moord en brand schreeuwt, zonder goed te weten wat er aan de hand is. Die kapper kan dit echt in 2 werkdagen klaar hebben.

Ook blijft men roepen dat ondernemen onmogelijk gemaakt wordt. Ook dat is een flauwekul argument. Je mag nog steeds veel doen met persoonsgegevens, zolang als je daarvoor een duidelijk en gerechtvaardigd doel hebt, de zaken goed geregistreerd hebt en goed beveiligd. Een orthopeed mag prima de schoenmaat van zijn klanten registeren, immers is zijn werk bv. het verzorgen van goed schoeisel, dat kan nu eenmaal alleen als hij weet welke schoenmaat de patient heeft. Je tandarts daarentegen mag je schoenmaat niet bijhouden, aangezien die informatie totaal niet relevant is voor de dienst die hij levert. Het is een beetje een absurd voorbeeld, maar misschien wel het meest duidelijk op deze manier.

Er wordt echter vooral gezeurd, omdat er nog steeds veel bedrijven zijn die geld verdienen aan jouw gegevens, ook waar je dat niet verwacht. Google is redelijk duidelijk hierin, maar wat als jouw tandarts wat bijverdient door adresgegevens door te verkopen?
En dat is waar de AVG dus op ingrijpt, zodat jij controle houdt over jouw persoonsinformatie.
Dat is onzin. Tot op ongeveer 2 a 3 maanden geleden was er niet eens duidelijk wat het precies zou inhouden. Het gaat hier om wat je in de praktijk nou precies moet doen. En alhoewel in grote lijnen het duidelijk is, merk ik nu al dat er verschil van zienswijse tussen bedrijven/juristen en advocaten is. Geloof mij maar dit gaat nog zeker een jaar duren totdat het in de puntjes is uitgecrystaliseerd.
IMHO valt juist de juridische bedrijfstak hierbij door de mand.....
Die hadden tussen pakweg drie jaar geleden (aanloop naar AVG, tot een jaar geleden 1 jaar na start AVG) de kaders kunnen scheppen etc. En dan vanaf 2 jaar geleden tot nu de implementatie in toenemende mate kunnen begeleiden.

Maar ja aan paniek voetbal is meer te verdienen dan aan een regulier proces. Dus voor de juristen is uitstel alleen maar meer omzet. En welk risico lopen zij nu eigenlijk....? En de onderlinge verschillen in zienswijzen helpen de niet juristen ook niet echt. (En hier zit voor kleinere bedrijven een groter probleem dan voor de grotere bedrijven met een kudde juristen..)

Wat nu bekend is was eigenlijk niets anders dan de afgelopen 2 jaar al bekend was..., mogelijk met hier en daar wat extra meningen die de laatste 2 maanden geformuleerd zijn.

[Reactie gewijzigd door tweaknico op 24 mei 2018 15:26]

2 jaar terug wist men al op heel veel (privacy) gebieden dat er iets moest gebeuren. Als je dan niks doet moet je niet nu gaan zeuren dat het te snel gaat en je te weinig tijd hebt.

Het bedrijf waar ik werk is al ruim een jaar bezig aan privacy policies aanscherpen, bepaalde beveiliging ed. dit was dus prima duidelijk bij ons, waarom bij een ander niet?
Het bedrijf waar ik werk is al ruim een jaar bezig aan privacy policies aanscherpen, bepaalde beveiliging ed. dit was dus prima duidelijk bij ons, waarom bij een ander niet?
Ik weet niet in welke sector jij werkt en hoe groot dat bedrijf is maar volgens mij zijn alleen de bedrijven die mensen in dienst hebben die gewoon full-time bezig zijn met complancy en wetgeving enigsinds op de hoogte van wat er aan zat te komen twee jaar geleden.
Dat dit er dus allang aan zat te komen en dat dit na te lezen was in één of ander boekje in één of andere donkere obscure kelder is prima, maar het ontbrak hem over de afgelopen twee jaar dan wel behoorlijk aan de aandacht voor dit punt. Gevoelsmatig is dat GDPR hooguit iets van het afgelopen half jaar, optimistisch geschat, en dat lijkt me een overheidsgebrek dat dat gewoon niet adequaat over is gebracht naar met name het MKB en ik vermoed ook zo'n 90% van de ZZP'ers.
Als jij gewoon ergens tussen zit met je specifieke product zonder afdeling die luistert naar de titel legal weet je echt niet dat zoiets er zit te komen zo ver van te voren.

Ook is nog altijd helemaal niet helder wat compliant zijn exact is. Er zijn niet voor niets een miljard blogs en meningen over geschreven de afgelopen maanden terwijl een objectief feitenrelaas onvindbaar blijkt.

[Reactie gewijzigd door Koffiebarbaar op 24 mei 2018 19:17]

Omdat bedrijven nu een shitload aan veelal engelstalige documenten vol legal tekst ontvangen van afnemers en die getekend moeten terugsturen. En in deze documenten worden veelal ook andere voorwaarden geinjecteerd
Blijft politiek, waarom direct investeren? Straks veranderen ze die wet en kun je opnieuw beginnen.
Inderdaad!
Wat een geneuzel over die kleine bedrijfjes en resources etc. etc.

Het is niet zo dat ze het even binnen een maand in orde moesten maken. Er zijn genoeg bedrijven die kunnen ondersteunen bij juridische zaken of gewoon het gehele pakket voor jou uit handen kunnen nemen. Dat er pas 3 maanden geleden duidelijkheid is over wat je nu precies moet regelen zoals ik hieronder lees is onzin. En anders is dat géén reden geweest om tot het laatste moment te wachten, want in grote lijnen was er veelal duidelijk.
Volgens mij zijn wij hier al minimaal een jaar mee bezig zo uit mijn hoofd.

En ja, dat kost geld, maar er is ook ruim van te voren aangekondigd dat dit ging komen dus daar heeft men rekening mee kunnen houden.

[Reactie gewijzigd door Mit-46 op 24 mei 2018 14:02]

No offence, maar dit is wel een beetje kort door de bocht.

Totdat het hele AVG circus losbarste had ik er als ZZP'er nog nooit van gehoord.
Net als vele collega's met mij.

Als je denkt dat iedereen alle nieuws in de gaten houd zit je er volledig naast. Over het algemeen zijn we druk bezig met werk voor klanten, of druk aan het praten met klanten voor nieuw werk.
Naast alle administratieve rompslomp en financiele zaken voor de BD.
Over het algemeen ruim 60+ uur in de week. Nee, ik doe niet zielig.....

En het verhaal 'Laat het dan maar over aan een ander, en ja dat kost geld' is ook al zo'n ding.
Ik heb offertes voornij zien komen waar je gewoon van schrikt. Het moet eerst ook verdient worden om het weer uit te kunnen geven.

En dat gedlt niet alleen voor ZZP'ers, maar ook kleinere bedrijven met maar een handvol mensen.
Ik begrijp waar dit uit voortgekomen is, maar zoals alle beslissingen als deze zijn de kleinere bedrijven altijd de pineut omdat er domweg de mankracht niet is om het netjes intern op te lossen.
Voor een berdijf als b.v. KMPG is het inhuren van wat mensen een druppel op de gloeiende plaat.....
Het zal best dat het al geruime tijd geleden is aangekondigd, ik zal dat niet ontkennen.
En dat de EU vindt dat dit belangrijk voor m'n toko is, ok....

En misschien heb ik het voorbij zien komen, maar ik heb normaal gesproken mijn tijd nodig voor andere zaken dan de zoveelste poging van een minister om zijn naam in de geschiedenisboeken te krijgen.

En je verkeer analogie gaat een beetje scheef. Hoeveel mensen ken jij die al geruime tijd hun rijbewijs hebben, en in 1 keer slagen als ze opnieuw theorie examen moeten doen?
Zoveel nieuwe regels, en niemand die dat allemaal bij gaat houden zodra je dat roze kaartje hebt. ;)
Wat betreft die regels.

Je hoeft dat niet bij te houden. Op het moment dat jij zo'n regel overtreed krijg jij gewoon boete.

Of die regel er nu was ten tijde van het behalen van jouw rijbewijs of niet. Dat is jouw probleem en niet die van een ander. Je hebt jou er aan te houden al wijzigen ze die regels elke week.

[Reactie gewijzigd door Mit-46 op 25 mei 2018 14:24]

Er zijn genoeg bedrijven die kunnen ondersteunen bij juridische zaken of gewoon het gehele pakket voor jou uit handen kunnen nemen.
Is dat wel zo? Een hoop van die ondersteunende bedrijven wassen hun handen als het puntje bij het paaltje komt namelijk wel in onschuld als het toch niet helemaal juist is wat ze doen en daarmee kan je je direct afvragen wat het nut is als je er toch zelf aansprakelijk voor blijft maar dergelijke dienstverlening wel voor een woekertarief moet inkopen.

[Reactie gewijzigd door Koffiebarbaar op 24 mei 2018 19:18]

Wat is dit nou voor onzin?

Je tekent toch zelf een overeenkomst met een ander bedrijf? :? :?

Misschien lezen wat er staat en als het er niet goed staat zorgen dat het er goed komt te staan voordat de overeenkomst getekend wordt?
Dan is het dus geen onzin. Als zo'n bedrijf zichzelf van alle aansprakelijkheid ontsluit heb je er gewoon geen reet aan en volgens mij doen ze dat allemaal.
Het is in eerste instantie, zoals gewoonlijk, een papieren tijger. Er is morgen echt niet opeens een privacy politie, die invallen gaat doen bij bedrijven, om te controleren of de registers wel in orde zijn. En dan nog is het waarschijnlijk onmogelijk qua tijd en geld om het register bij ieder bedrijf te controleren op volledigheid. En dan heeft iedere leverancier bijvoorbeeld , ook nog eens een eigen versie van een verwerkersovereenkomst. Dus dan moet ieder document juridisch volledigheid of correctheid worden getoetst. En dan nog in allerlei talen...

Bij een rechtzaak, zal blijken in hoeverre een bedrijf(je) de boel op orde had. Daarvoor is het een papieren werkelijk wat mij betreft.

Laten we zeggen dat de intensie is gezet voor betere privacy. Maar bijvoorbeeld de Faceboek privacy problemen zijn morgen echt niet opgelost met een documentje.
Ik ben benieuwd naar de eerste verloren laptop, usbstick NA 25 mei... en de geschiedenis van die zaak.

En het documentje is al 2 jaar van toepassing, alleen is er 2 jaar met de pet naar gegooid....
Dat documentje was 2 jaar lang theoretisch gebeuren en helemaal niet toepasbaar op alles. De concrete vertaling voor verschillende sectoren is zelfs tot de dag van vandaag niet compleet.
De afgelopen 2 jaar had er aan gewerkt kunnen worden...., dat er pas een maand of 5 echt mensen wakker zijn geworden.... tja.
In de verschillende sectoren is er lang gekeken naar "hoe anderen het aanpakken" .... en aangezien iedereen naar elkaar stond te loeren veranderde er niet veel.

Een aantal zaken zijn heel duidelijk in de wet..., die hadden er al 2 jaar kunnen zijn.
(vinkje op website voor toestemming.., sterker het had er al MOETEN zijn).
Nu beginnen met nadenken over de gevolgen in de software voor dat vinkje is te laat.
Overigens de wet werkt niet met sectoren maar gaat individuen aan.

En je hebt maar een klager nodig.., de AP MOET onderzoeken. Voorlopig moet je kunnen aantonen dat je serieus ermee bezig bent en geen laaghangend fruit meer hebt.
Dan heb jij je niet verdiept erin. Het gaat helemaal niet om vinkjes of voorwaardes. Dat is wat het vroeger was. Het gaat erom dat je data veilig stelt en dat mensen elk moment deze kunnen opvragen en je vragen deze te verwijderen. Bij een aanvraag van verwijdering dien je als organisatie ook ervoor te zorgen dat het verwijderd wordt bij alle organisaties met wie je deze data gedeeld hebt. Zo doende dien je verwerkingsovereenkomsten te sluiten met bedrijven met wie je het deelt(ga dat maar doen als hun niet eens weten wat het is, die weigeren te tekenen) en ten tweede dien je een functionaris gegevens verwerking aan te stellen welke onafhankelijk is, ga dat maar doen als mkb bedrijf waarbij elk salaris er 1 te veel is. Het is niet zo simpel en voor sommige organisaties, klein of groot zijn het enorme veranderingen waar heel veel tijd in gaat zitten waarin je ook nog enorm afhankelijk bent van alle bedrijven om je heen met wie je zaken doet.

Dit alles is ook nog eens pas geleden concreet gemaakt door de EU en niet al 2 jaar!

Nee de wet bestaat niet uit een vinkje kom op zeg!

[Reactie gewijzigd door ro8in op 24 mei 2018 18:34]

als kleiner bedrijf hoef je niet een apart iemand aan te stellen ervoor, maar volstaat het om iemand die rol te geven van wat ik mee heb gekregen erover? (omdat men erkende dat de bakker o de hoek nu niet bepaald fulltime iemand daar neer kan zetten om zich bezig te houden hiermee).

Als de bakker op de hoek echter actief gegevens van zijn klanten aan het delen is met andere partijen, dan wordt het natuurlijk wel een ander verhaal en vindt ik het evident dat dat bedrijf maar gaat jagen dat alles is opgeruimd als ik dat niet wil.
Maar als een bedrijf fatsoenlijk met data omgaat was dat natuurlijk al uit eigen beweging geregeld...

En inderdaad het gaat om meer dan het vinkje..., maar zelfs dat is bij sommigen achterwege gebleven.
vandaag een mailtje met als je niet protesteerd gaan we er van uit dat je meer wil ontvangen....?
Die hebben het zeker niet begrepen, want niet reageren is best wel het tegenovergestelde van informed explicit consent.
Ja een copy/paste documentje maken lost alles op.
Nee, het documentje (de AVG) is geschreven als een twee traps raket....
trap 1: Hier zijn de regels... (verplichte etc.) om niet iedereeen direct voor het blok te zetten:
trap 2: start 2 jaar later de aanklagers/toezichthouders mogen vanaf nu optreden....

Dat dit is gelezen als:
trap 1: Duh... niets mee doen dus.....
trap 2: Oh sjit dat kan duur worden... effe snel fixen... help dit kost me te veel werk om te implementeren, geef me effe uitstel, huil, traan, snik....

tja dan kan iedereen nu zien hoeveel waarde je WERKELIJK aan privacy, empathie etc. hecht.
Nee, zo zit het niet. De wet alleen was niet concreet genoeg om je zaken te regelen. Pas enkele maanden geleden is de wet geconcretiseerd met de uitvoeringswet, waardoor het voor bedrijven pas zinnig werd om de zaken te gaan regelen.
Klopt, maar het probleem is dat het plaatje niet compleet was waardoor je als ondernemer niet het risico wil lopen dat je twee jaar geleden een flinke investering moest doen en je dan een jaar later het nog eens dunnetjes over moest doen omdat er steeds meer details doorsijpelen en alles langzaam concreter wordt.
er is eigenlijk nooit gezegd dat er details bij zouden komen dus iedereen had eigenlijk 2 jaar terug al moeten beginnen.
Het gaat niet om details die erbij komen maar om concretiseringen van de wetteksten. Veel is er nu nog steeds niet duidelijk, zeker als het gaat om bijv. ziekenhuizen.
Dit gaat er bij mij niet op. De wet is al maanden op maanden concreet. Hoe kunnen zoveel bedrijven het anders implementeren?
Zit er midden in en de discussie is enorm. Contact tussen gelijksoortige instellingen levert hele andere inzichten op en juristen komen er onderling niet uit.
Ik denk dat het allergrootste probleem is dat "Compliance" nooit een doel is maar een proces....
waarbij gaanderweg aan voorwaarden voldaan wordt.
Hebben ze bij de politie en in Den Haag toch een probleempje :)
Oh, ik denk wel dat er binnen enkele weken invallen te verwachten zijn. Nee, niet bij de plaatselijke bridge club met een mailinglijst met 35 leden die elkaar allemaal persoonlijk kennen. Nee, ook niet bij de bouwmarkt met een mailinglijst met enkele tienduizenden mensen die één keer per maand de laatste aanbiedingen voor terrastegels en schroefboren ontvangen.

Wél voor dat schimmige marketingservicesbedrijf die toezichthouders al een tijd in de gaten hielden en waar ze nu ineens boetes kunnen gaan handhaven met de wet in de rug.
"Als grote bedrijven er met de pet naar gooien en jouw of mijn gegevens op straat liggen, dan heb je echt een probleem."
Misschien moet ik mijn zwart/wit bril even afzetten, maar waarom zou ik het erger moeten vinden wanneer een groot bedrijf mijn gegevens op straat heeft liggen dan wanneer een klein bedrijf dat doet? :?

De impact op mij als persoon is niet anders, het gaat nog steeds om mijn gegevens. Of trekt meneer Dekker het stukje groot zijn van het bedrijf ook door naar de hoeveelheid of gevoeligheid van de data die ze dan van je hebben? Groot bedrijf wil volgens mij niet automatisch zeggen dat ze ook meer (of gevoeligere) gegevens over mij hebben.

De eenmanszaak die voor mij mijn belastingaangifte doet weet ook best veel van mij, ik zou die gegevens ook niet graag op straat hebben liggen hoor. Dat zou ik zelfs erger vinden dan wanneer de AH (toch best een groot concern) de gegevens die gekoppeld zijn aan mijn bonuskaart op straat gooit.

Dus, smart ja, echter snap ik die conclusie niet helemaal.... Ik zou eerder kijken naar de aard van de gegevens, dan naar de grootte van het bedrijf.
De aanname is vast dat kleine bedrijven van relatief weinig personen gegevens hebben, dus als het 'mis gaat' worden minder mensen de dupe.

Sowieso zou je toch mogen hopen dat die eenmanszaak die de belastingaangifte doet op de hoogte was van het feit dat er al jaren privacy-wetgeving is...

Maar het lijkt me inderdaad ook weer niet zo dat als e.o.a. klein bedrijfje dat miljoenen persoonsgegevens bezit, hierbij zou horen.
Zoals heel vaak met dit soort wetten en regels is er altijd een bepaalde onduidelijkheid en grijze gebieden in de regels. Het zal moeten aankomen op jurisprudentie. Daarentegen zijn er een aantal dingen ook weer WEL heel duidelijk waar je gewoon aan kan voldoen, zoals het in kaart brengen van je datastromen en duidelijkheid verschaffen wat je ermee doet en waarom je het nodig hebt.

Ik denk dat ook vooral dat deze wetgeving - zoals de minister zegt - vooral gebruikt gaat worden als er problemen ontstaan zijn. Als er een gigantisch datalek ergens ontstaat en het betreffende bedrijf heeft er met de pet naar gegooid qua AVG, dan heb je ook echt een heel groot probleem. Maar als je heel duidelijk moeite gedaan hebt om aan AVG te voldoen zal het niet zo'n vaart lopen is mijn verwachting.
Ik zie de contouren van een groot spook aan de horizon. Ik ben bij de AVG betrokken als verzender van berichten, maar ook als beschermde ontvanger. De reacties van de verzenders passeren. Die zijn globaal te verdelen in zij die hun relaties opmerkelijk maken op de mogelijkheid uit te schrijven, en zij die vragen om toestemming om door te gaan met berichten sturen. Die categorie belandt in een slagveld, want de respons op dit soort verzoeken is doorgaans klein, en al helemaal als je er tientallen in je mailbox krijgt.

Het is mij eerlijk gezegd niet duidelijk wie het juiste doet. Als verzender kies ik voor de optie doorgaan, gekoppeld aan attent maken op de optie uit te schrijven. Wat natuurlijk niet nieuw is, maar wel in de geest de nu van kracht zijnde avg. Van de bestaande relaties heb ik schriftelijk en/of digitaal toestemming. Het lijkt me overbodig die nogmaals te vragen.

Het is dus wachten tot iemand in de huidige chaos aan interpretaties gaat roepen om schadevergoeding omdat zijn/haar relatiebestand wegens de geringe respons is gedecimeerd. Of denkt, krijg het heen en weer, en alsnog het reguliere verzenden gewoon weer oppakt. En wellicht andere voorschriften aan zijn laars gaat lappen. Dan zijn we weer terug bij af.

Het is te hopen dat bij de Autoriteit Persoonsgegevens het inzicht daagt dat het verstandig is de allergrootste misverstanden meteen in de kiem te smoren, door duidelijke (deel)standpunten naar buiten te brengen, meer nog dan coulantie te beloven.
Dat mensen zeggen dat bedrijven al 2 jaar de tijd hebben gekregen om iets met die Europese verordening te doen, dat klopt, echter dat is ook gewoon gebeurd. Ik ben mede-eigenaar van een belastingadviesbureau en wij verwerken nog al wat persoonsgegevens. Dit gebeurde altijd al zo minimaal mogelijk en werd niet langer bewaard als nodig (wettelijke bewaartermijnen etc.) Beveiliging is hier gewoon goed geregeld, backups allemaal encrypted etc... Maar goed die verordening zorgt ervoor dat het per se op een bepaalde manier moet worden vastgelegd, ook moest er onderzocht worden hoe dit moest gebeuren. Daar waren ze al vanaf het begin mee bezig bij onze beroepsorganisatie. Overal moest over gediscussieerd worden, omdat het allemaal wel heel vaag omschreven was en het is nog het niet duidelijk. Want er bestaan nogal tegenstrijdigheden met de AVG en wettelijke registratieplicht voor onze branche vanuit de overheid. Of wij het als branche dus goed gedaan hebben is nog maar de vraag en zal later door het AP getoetst moeten worden, maar om dan maar te zeggen, geen coulance en gelijk flinke boetes, gaat ons wat ver. Dus diegene die zegt coulance is onzin, vraag ik om toch eerst even verder na te denken voordat ze dat zeggen, draai dat bedrijf de nek maar om, want dat is wat er gebeurd als de AP meteen boetes gaat innen.
/edit:typo

[Reactie gewijzigd door Speedy55 op 24 mei 2018 14:32]

Over die tegenstrijdigheden is ook nagedacht. Binnen de AVG moet je beschrijven wat je opslaat van personen, hoe lang en met welk doel. Als het doel is dat het volgens een andere wet moet, dan beschrijf je dat en ben je klaar. Het is gewoon goed dat bedrijven en verenigingen eens goed gaan nadenken over wat ze allemaal opslaan. Zonder regelgeving gebeurt dat blijkbaar niet. Daarvan zien we genoeg voorbeelden op deze site. En die gaan dan alleen nog maar over ICT gerelateerde data breaches.
Bij alle compliancyinstrumenten moet je laten zien je best te hebben gedaan om naar eigen inzicht zo goed mogelijk te voldoen aan bestaande wet- en regelgeving. Dit geldt bijvoorbeeld ook voor de wetgeving omtrent hygiëne: als je netjes je bedrijfskeuken schoonhoudt maar bij controle blijkt dat niemand eraan heeft gedacht recent de bovenkant van de afzuigkap schoon te maken dan krijg je dat als aandachtspunt mee maar worden er geen boetes uitgedeeld.
Wanneer er controle komt en je laat zien naar eer en geweten invulling aan de AVG te hebben gegeven, kan ik mij niet voorstellen dat men gelijk boetes begint uit te delen. Aan de andere kant, als de persoonsgegevens liggen te schimmelen in de koelkast vrees ik dat de AP ook weinig anders kan.
De verordening wordt niet vrijdag van kracht, maar is al 2 jaar van kracht. Vanaf vrijdag wordt de verordening ook actief gehandhaafd. Dat is een vrij groot verschil, en bedrijven hebben dan ook geen enkel excuus om hun spullen niet op orde te hebben.
Dat is onjuist. De verordening is twee jaar geleden vastgesteld, waarna lidstaten twee jaar de tijd hebben om de verordening naar eigen wetgeving om te zetten. Na twee jaar, morgen dus, gaat de verordening rechtstreeks werken. Ongeacht of lidstaten de verordening hebben omgezet naar eigen wetgeving. Dan kunnen burgers direct een beroep doen op de verordening.
Jouw reactie is onjuist.

Wat jij beschrijft slaat op Richtlijnen, we hebben het hier over een Verordening en die hebben directe werking vanaf het moment dat ze van kracht zijn. Er is geen sprake van omzetting in Nederlandse wetgeving, er is alleen een kleinere Nederlandse wet over toepassing, waarin bijvoorbeeld is bepaald dat de Autoriteit Persoonsgegevens is belast met de handhaving.

Maar de reactie van afterburn is ook weer net niet juist. De Verordening is namelijk wel degelijk pas morgen van kracht. Dit is eenvoudigweg bepaald in artikel 99 van de Verordening zelf, zie:
https://gdpr-info.eu/art-99-gdpr/.

Inwerkingtreding was wel in 2016, maar dat is dan weer wat anders dan van kracht worden, beetje verwarrend maar zo zit het dus. In het Engels is onderscheidt gemaakt tussen 'entry into force' en 'application'. In het Nederlands is het onderscheidt eigenlijk 'inwerkingtreding' en 'van toepassing zijn'.

[Reactie gewijzigd door AronB op 24 mei 2018 15:41]

Toch is het wel degelijk juist:

"Op 4 mei 2016 is de AVG gepubliceerd in het Publicatieblad van de Europese Unie. De AVG is 20 dagen na deze publicatie in werking getreden. Maar de AVG is pas vanaf 25 mei 2018 van toepassing."

Bron: https://autoriteitpersoon...g/algemene-informatie-avg
Het gaat over de handhavingsaspecten van de verordening die op 25/5 in werking treden.
Logisch, kost bedrijven een klap met geld om dit allemaal op orde te krijgen en ik kan begrijpen dat een kleine organisatie niet het geld heeft om het zo snel op orde te krijgen.
Een klap geld? Hoe kom je daarbij?
Veel sportverenigingen draaien op vrijwilligers en zoveel moeite kost het ook weer niet. Het is natuurlijk afhankelijk van hoeveel gegevens je vergaart, wat je er allemaal mee doet en hoeveel leden je hebt.
Een vereniging zal ongeveer de volgende acties moeten ondernemen:
- aan bestaande leden met terugwerkende kracht toestemming moeten vragen en gegevens van oud-leden verwijderen.
- het aanmeldproces voor nieuwe leden aanpassen zodat ook zij meteen om toestemming gevraagd worden
- de processen waar persoonsgegevens mee gemoeid zijn onder loep nemen, wie ziet wat en wat is nodig
- privacy verklaring

Ik zie niet hoe dat een klap geld moet kosten.
Je gaat er wel gemakkelijk aan voorbij dat om überhaupt te weten wat ze moeten doen ze al juridische hulp zullen moeten inschakelen. Niet iedereen heeft tijd en kennis om de GDPR eventjes zelf door te nemen. Daarnaast is het opstellen van een privacy verklaring en de juiste verwoording voor de toestemming ook niet zo evident voor iemand die van juridische zaken geen kaas heeft gegeten. Dus zo'n vereniging gaat juridische hulp moeten inschakelen.

Een jurist kost gemakkelijk ¤150-¤175 / uur en enkel al voor het opstellen van een privacy policy rekenen ze 4-8 uur aan. Zelfs als het volledige project voor een sportvereniging op 8 uur uitkomt is dit ¤1.200 - ¤1.400. Voor een kleine sportvereniging is dat het equivalent van de opbrengste van een BBQ of wafelenbak. Er zullen dus veel sportverenigingen zijn die het zonder nieuwe t-shirtjes zullen mogen doen dit jaar dankzij de GDPR.

En waarom? Omdat ze de naam, geboortedatum, geslacht en adres van een 100-tal leden en ex-leden in een databank hebben zitten om ze te kunnen contacteren en uitnodigen voor events. Nu niet direct iets waar een groot privacy-schandaal van te verwachten valt, zelfs als die data uitlekt. Van veel mensen kan je het adres ook achterhalen via het telefoonboek. Eigenlijk is er enkel een potentieel probleem als er ook nog wachtwoorden van leden bv. plaintext of met zwakke encryptie worden opgeslaan

Verenigingen hebben nu eenmaal een beperkt budget en kunnen dus ook geen groot IT-bedrijf inschakelen om hun website te bouwen. Dus het zal het neefje met beperkte security-skills zijn die de site bouwt. Maar dat hoeft geen ramp te zijn. Wat hebben we als maatschappij liever: verenigingen die bijna geen geld meer hebben voor hun kernactiviteit doordat ze alle inkomsten moeten uitgeven aan GDPR compliancy, of verenigingen met geld voor hun kernactiviteit, maar een beperkt risico op kleinschalige datalekken? Mijn keuze is alleszins snel gemaakt.
Je overdrijft schromelijk. Een jurist is echt niet nodig, dat is grote onzin.

In de gemeente waar ik woon werden door de gemeente workshops gegeven specifiek voor verenigingen. Op de website van de Autoriteit Persoonsgegevens is genoeg info te vinden hierover en anders is er nog www.avgverenigingen.nl. Deze workshop was er vooral op gericht om verenigingen te informeren wat er precies van ze verwacht wordt. Het woord 'jurist' of 'advocaat' is werkelijk geen enkele keer gevallen.

Verenigingen moeten vooral goed inventariseren bij welke processen persoonsgegevens worden verwerkt en wie daarmee in aanraking komt.

Wat de website betreft ligt het er natuurlijk helemaal aan wat ze daar precies doen met persoonsgegevens, maar als het een beetje normaal is opgezet doet de website helemaal niets met de gegevens van de leden.
Er zal een aanmeldformulier zijn, maar die kunnen na de post gemaild worden (wat gewoon mag volgens de persoon bij de Autoriteit Persoonsgegevens). Voeg een checkbox toe aan het formulier om toestemming te geven.

Ledenadministratie wordt tegenwoordig vaak gedaan middels Sportlink en daar zijn verwerkersovereenkomsten mee gesloten.

[Reactie gewijzigd door Vexxon op 24 mei 2018 12:27]

Je kan misschien een template van een privacy-verklaring krijgen van een belangenvereniging voor verenigingen. Maar die moet dan wel nog voldoende aangepast worden aan je eigen behoeften om correct te zijn. En zo een workshop kan een paar algemene zaken over de richtlijn aanhalen, maar dat omzetten in concrete actiepunten is niet eenvoudig voor iemand die geen kaas van IT of juridische zaken heeft gegeten. Wat allicht bij veel verenigingen het profiel is van het bestuur.

Het aanleggen van een register is ook niet zo eenvoudig als je de materie niet volledig beheerst, wat bij veel verenigingen het geval zal zijn. Ook het lezen van de website van de AP is niet zo eenvoudig voor mensen die niet vertrouwd zijn met de materie.

Je zegt dat er nooit het woord jurist of advocaat is gevallen, maar linkt door naar avgverenigingen.nl Daar vind ik de volgende tekst:

"Je bent verplicht om alle persoonsgegevens goed te beveiligen en je moet kunnen aantonen hoe je dit hebt gedaan. Dit geldt voor alle ICT-systemen die je gebruikt. Het betekent dat je verplicht alle software up-to-date moet houden. Dit doe je door het aanzetten van het automatisch ophalen en installeren van updates van de software. Zorg bovendien ook voor goede antivirussoftware en maak goede afspraken met al je softwareleveranciers. Ga na of zij voldoen aan de nieuwe wetgeving. Bij twijfel, schakel een AVG-professional in."

Wat is een AVG-professional? Een jurist of advocaat. Dus hier wordt letterlijk doorverwezen naar een jurist of advocaat bij twijfel.

Daarnaast, hoe moet de gemiddelde bestuurder van een kleine sportclub die geen kaast heeft gegeten van IT bovenstaande tekst omzetten in de praktijk? Dan gaat hij toch beroep moeten doen op een IT expert. En aangezien dit een continu proces is gaat dit dus ook voor een blijvende kost zorgen.

En zo zijn er nog talloze verplichtingen waar het als niet-jurist of IT-professional heel moeilijk is om te weten wat je nu juist wel en niet mag doen en wanneer je nu "in orde" bent (spoiler: nooit).

En ten slotte vraagt avgverenigingen ook geld voor hun diensten: https://avgverenigingen.nl/prijs-voor-verenigingen/. Opnieuw moet een vereniging dus nieuwe kosten maken om AVG compliant te worden en te blijven.

Je vergeet ook dat gewoon al weten wat je nodig hebt, hoe je het moet opstellen, e.d. veel tijd kost. En zonder hulp ga je als bestuurder van een vereniging ook niet altijd weten of je nu "gerechtvaardigd belang" dan wel "toestemming" of een andere rechtsgrond moet gebruiken in je inventaris. Dan moet je ook nog beginnen uitzoeken waar je verwerkers zitten en of die niet toevallig in het buitenland zitten. En als ze in het buitenland zitten of er een adequaatheidsbesluit is of niet. Voor veel mensen is dat soort jargon al een brug te ver. Daarenboven ga je als leek ook niet weten of een verwerkersovereenkomst "klopt" en alles bevat wat het moet bevatten. Maar als data controller ben je wel verantwoordelijk voor die contracten. Dus als je veilig wilt zitten ga je die toch moeten laten nalezen door een jurist of advocaat.

De duivel zit hem in de details en die worden hier op tweakers precies vaak vergeten.
Prijs voor verenigingen

Het AVG-programma dat onze Stichting heeft ontwikkeld, is bedoeld voor verenigingen, waartoe we in dit geval ook stichtingen en non-profit-organisaties rekenen. Dat loopt uiteen van sportverenigingen, verenigingen van eigenaren, zangkoren, vrijwilligersverenigingen en kleinschalige lokale verenigingen tot branche- en beroepsorganisaties.

De prijs voor gebruikmaking van het AVG-programma is afhankelijk van het aantal medewerkers (dus niet het aantal leden!) van de organisatie.

De prijs is in euro’s, per jaar, exclusief 21% btw.

Geen medewerkers 250,- (* met kortingscode 125,-)
1-10 medewerkers 500,- (* met kortingscode 250,-)
11-50 medewerkers 1000,- (* met kortingscode 500,-)
51-250 medewerkers 2000,- (* met kortingscode 1.000,-)
meer dan 250 medewerkers 4000,- (* met kortingscode 2.000,-)

* Let op! Als jouw organisatie is aangesloten bij één van de partners van de Stichting AVG voor verenigingen, zijn er afwijkende (lagere) tarieven.
Een aantal partners heeft voor de leden een korting van 50% afgesproken en in sommige gevallen zijn er nog lagere prijzen. Informeer hier naar bij jouw vereniging en kijk naar de lijst met partners. Klik hier voor lijst deelnemende partners.
Staat jouw vereniging hier niet bij laat ze dan contact opnemen met ons zodat jij ook met korting kunt bestellen.
Waarom zouden belangrijke en privacy-gevoelige gegevens via de website beschikbaar moeten zijn?
Als een vereniging echt zo klein is, en alleen maar een website heeft om evenementen aan te kondigen, en de uitslagen van de vorige week te tonen, denk ik dat je heel snel klaar bent met die AVG. Wil je hele ledenservices aanbieden via je site, ja dan kan het neefje van de bestuurder het niet meer af zonder dat ie eens goed nadenkt, maar dat is nou net het hele idee: de wild-west-situatie online beheersbaar maken.
Aangezien e-mail adres al een persoonsgegeven is lijkt het mij wel evident dat er gemakkelijk persoonsgegevens op de web server van een vereniging staan. Bijvoorbeeld voor de registraties van een intern ledenforum of ter afscherming van een beveiligde sectie met interne verslagen. Dat zijn dus geen "hele ledenservices", maar gewoon een basisbehoefte voor veel verenigingen.

Dat we de grote privacy of bedrijven met gigantische lekken moeten aanpakken is wel duidelijk. Maar we moeten het kind niet met het badwater weggooien en uitkijken dat onder het mom van de wild-west-situatie we het open idee van het internet niet de deur uit gooien. Want dat is wel een effect dat je krijgt als je voor het hosten van een simpele hobby-website met enkele basiselementen die persoonsgegevens zijn (e-mail adres, wachtwoord) al een fikse boete zou kunnen krijgen. Als iedereen voor zijn huis-tuin-keukensite met registratiemogelijkheid al direct een webmaster moet inschakelen om zeker te zijn van de veiligheid tast je het open idee van het internet aan.
Alle verenigingen en vrijwilligersorganisaties waar ik lid van ben of voor werk hebben hulp gekregen van de nationale (sport)bond of via de gemeente. Dan moet je denken aan workshops+Q&A's en standaard Privacy Verklaringen, stappenplannen etc.
Zo moeilijk is het nou ook weer niet...Maar je moet er wel even voor gaan zitten.
Net als je belastingaangifte... ;)
Dat is goed, maar voldoen aan de GDPR vereist een continu proces. Dus het is maar de vraag of die workshops e.d. daar ook voldoende aandacht aan hebben besteed. En daarnaast komt er nog een heel luik van IT-security bij GDPR kijken dat zeker niet zomaar gratis zal worden gedaan of via een workshop kan worden aangeleerd.

Nee, er zijn zeker heel wat verborgen kosten voor verenigingen die GDPR-compliant willen zijn.
En dan vergeet je nog dat het niet alleen over digitale informatie gaat, maar dat het papieren archief OOK meegenomen moet worden. (Het is dus iets meer werk dan DELETE FROM MEMBERS where ....).
Dat er verplichting zijn die ook met andere wetten te maken hebben. Adressen staan ook op facturen, facturen moeten 7 jaar bewaard blijven.., etc. etc.

Veel sportverenigingen zijn aangesloten bij een bond..., is die bond wel / geen verwerker? heeft de bond een collectief contract met een bv. digitale leden administratie en daar een verwerkingscontract voor afgesloten of is het alle sport verenigingen voor zich....

Een datalek is ook een "oud penningmeester" die een prive archief opgebouwd heeft. Hoe ga je dat in hemelsnaam verifieren... het probleem is nu dat er een prijskaartje aan hangt maar dat je de "oud penningmeester" nauwelijk kan aanspreken.
Voor bijvoorbeeld kleine webshops moet er aardig wat programmeer werk vericht worden om hun site AVG compliant te maken, jurist moet ingeschakeld worden een correct privacy policy te schrijven, er moeten contracten opgesteld worden met eventuele ge-outsourcede partijen, zoals een developer, een facturerings bureau/service provider, met de webprovider/mail provider etc etc.
1 lid of 1 miljoen leden maakt geen drol uit. de kosten en implementatie blijven hetzelfde.
Jij snapt niet hoe zoiets geld kost? Dus software past zichzelf aan en kost niets?
Kun jij me vertellen hoe ik dat voor elkaar krijg, ik zit er namelijk al maanden middenin en ik krijg de berg werk die ervoor verricht moet worden amper rond en dan praat ik nog niet over de kosten.
Iedereen heeft twee jaar de tijd gehad om dit te regelen. Daarnaast vind ik een coulance t.o.v. van degenen die wel hun best hebben gedaan om alles op orde te krijgen niet erg netjes.
Is ook zeker waar, maar in het geval van sportverenigingen en scholen (bedrijven die de gemeenschap ten goede komen en die geen speciaal personeel in dienst hebben die voor dit soort dingen moet zorgen) vind ik coulance wel te verantwoorden. Coulance is in feite natuurlijk nooit echt eerlijk tegenover de rest. Al moet ik wel bekennen dat het vanuit Dekker een beetje lijkt alsof dit ook deels wordt gedaan omdat het personeel er gewoon nog niet is om dit te controleren.
Scholen en sportverenigingen zijn bij uitstek organisaties die een dergelijke coulance niet verdienen.
Zoals een privacy-jurist al over de AVG zei: Het goede nieuws is, eigenlijk veranderd er niet zo veel, het slechte nieuws is: u was al niet compliant.

Punt is dat iedereen 2 jaar heeft gehad om zich aan de wetgeving te conformeren (waar ze nota bene 4 jaar over hebben onderhandeld). Nu met een bericht komen dat ze er zo weinig tijd voor hebben gehad is gewoon kortzichtig.

Sportverenigingen en scholen verwerken veel persoonsgegevens van ook nog eens een kwetsbare groep (voornamelijk kinderen). Natuurlijk kost het geld om goed te zorgen voor je data, maar dit hadden ze al veel eerder moeten regelen, en niet af moeten laten hangen van de AVG. Bovendien heeft geen van dit type organisaties een bijzonder of uniek proces vwb dataverwerking. Ze kunnen gewoon een pakket selecteren waarmee ze voldoen aan de wetgeving. Dat dit kosten met zich meebrengt moet je maar zien als achterstallig onderhoud.

Dit soort berichtgeving, waarbij we maandenlang communiceren over de gevolgen, maar dan als het zo ver is toch weer afstand nemen van één lijn op één stuk wetgeving is precies waarom er geen vertrouwen is in de politiek, en het zal een groot aantal bedrijven/organisaties er toe bewegen om de gok te nemen (met onze gegevens!!!). Een belachelijke gang van zaken.
Coulance is zeker te verantwoorden, maar het moet geen vrijbrief zijn dat verenigingen op oude XP-machines allerlei persoonlijke gegevens in Excel uit het jaar 0 verwerken en nooit opruimen. Ik vind het duidelijk een tweestrijd hoor en ik heb zeker te doen met verenigingen, maar een bepaalde verantwoordelijkheid hebben ze zeker wel.
Iedereen heeft twee jaar de tijd gehad om dit te regelen. Daarnaast vind ik een coulance t.o.v. van degenen die wel hun best hebben gedaan om alles op orde te krijgen niet erg netjes.
Verenigingen of stichtingen (die draaien op vrijwilligers) hebben vaak geen budget voor dit soort aanpassingen.
Dat hoeft ook helemaal niet:
Alle verenigingen en vrijwilligersorganisaties waar ik lid van ben of voor werk hebben gratis hulp gekregen van de nationale (sport)bond of via de gemeente. Dan moet je denken aan workshops+Q&A's en standaard Privacy Verklaringen, stappenplannen etc.
Heb je een linkje waar ik namens een vereniging gratis hulp kan krijgen dan? De grote sportbonden hebben dit wellicht goed geregeld, maar kleine clubjes/vereningen/stichtingen hebben vaak geen support van een overkoepelend orgaan achter zich hoor.
Jawel, maar of je er veel aan hebt is twee; het zijn doorgaans lokale initiatieven (en zoekboeren kun je zelf ook toch?). Bijna elke week kom ik wel een berichtje tegen over een infoavond voor vrijwilligers of verenigingen. Zelfs in het Veluwse dorp waar ik woon... :)
http://parkstadactueel.nl...-klaar-nieuwe-privacywet/
https://www.apeldoornpaktaan.nl/activiteiten/special-avg/ (kost ¤20...ok dan is niet gratis.. )
https://www.3b-krant.nl/n...gingen-aan-de-bak-met-avg-
https://vrijwilligershuis...agen-en-antwoorden-avg-2/
http://www.castricum105.n...ingen-voor-vrijwilligers/

Dus zelf even je zoekboer gebruiken... ;)
Voila: een paar dozijn hits van alleen de afgelopen maand al... ;)
https://www.startpage.com...nederlands&lui=nederlands

[Reactie gewijzigd door Tweaker626 op 24 mei 2018 16:54]

Ik heb geen budget om belasting te betalen, mag ik dat dan ook even overslaan? De nieuwe privacy regels zijn er om jouw en mijn privacy beter te beschermen. Wat mij betreft is dat niet optioneel een dient daar gewoon budget voor vrijgemaakt te worden.
De nieuwe privacy regels zijn er idd voor bescherming. Maar, jij snapt toch ook wel dat dit zijn doel enorm voorbij schiet?

Privacy bestaat namelijk al lang niet meer, en dat hebben we zelf gedaan. En, de afbreuk van privacy blijft simpelweg doorgaan, omdat al die zaken privaatrechtelijk door ons zelf uit handen gegeven worden.

Dus, de goeden (sportvereniging, scouting, etc) lijden hier onder de slechten (Google, Facebook, etc), en in de kern veranderd er erg weinig!
De nieuwe privacy wet gaat het juist makkelijker maken om jouw "slechten" beter aan te pakken. Wat mij betreft mag Facebook met name voor het volgen van niet ingelogde gebruikers ook flink aangepakt worden.

Niettemin vind ik dat jouw "goeden" zich ook aan de regels moeten houden. Als ik bijvoorbeeld wil dat mijn club mijn gegevens wist, moet dat gewoon mogelijk zijn.
Ik denk dat jij je niet beseft wat voor een impact dit heeft op (zeer) kleine verenigingen of stichtingen.
Een directe naaste van mij heeft een klein clubje vrijwilligers (harde kern 5 man) in een stichting die de lokale avond vier daagse organiseert.
Ook die loggen persoonsgegevens zoals een naam en de hoeveelste keer dat iemand mee loopt en dat zelfs nog op papier.
Zeer spannend wat betreft privacy natuurlijk.

Zij hebben niet de capaciteit, kennis en budget om dit te kunnen regelen.
En dan kun je wel zeggen dan vinden ze maar een oplossing. Maar die is er dus niet, de kennis is er zelf niet om dat goed te organiseren. En die kennis inkopen is er geen budget voor of je moet het inschrijfgeld een factor 5 omhoog doen.

En ik denk dat er naast dit soort organisaties er tig meer zijn die het gewoon niet zo makkelijk kunnen.
En jij denkt echt dat die instanties
a. ruiken dat er daar grove privacyschendingen plaatsvinden
b. de mankracht hebben om al die kleine dingetjes aan te pakken
c. daar prioriteit aan geven
d. dat de rechter daar dan meteen absurd hoge boetes voor geeft, zonder te kijken naar hoeveel impact het heeft?

Ik betwijfel het absoluut. Volgens mij is dit meer een stok om Cambridge Analyticas mee te slaan als ze over de schreef gaan, niet om burgers te pesten.
Uiteraard op de korte duur niet, en het is daarom ook prettig dat de minister dat onderstreept. Op de korte duur zal men kijken naar meldingen van misstanden. Een groot bedrijf dat zich niet aan de AVG houdt is een hogere boom, en vangt dus meer wind.

Omdat een klein bedrijf minder klanten heeft, is de kans kleiner dat er klanten klagen. Bovendien heeft een klein bedrijf minder afstand tussen de klanten. Het is daardoor goed mogelijk dat men er onderling uit komt middels afspraken.

Als een bedrijf kut tegen mij doet, dan zal ik ze overigens zeker proberen te pakken op welke manier dan ook. En als AVG notificatie daar een van is, dan zal ik die gebruiken. Ik wens goed behandeld te worden als klant, makkelijk zat.
Hierbij ga je er van uit dat controles e.d. o initiatief van de AP plaatsvinden. Dat hoeft natuurlijk niet zo te zijn. Als jouw vereniging persoonsgegevens lekt en iemand klaagt daarover bij de AP, dan zullen ze daar wel degelijk iets mee doen. Als dan blijkt dat je je zaakjes niet op orde hebt, ben je wel degelijk de Sjaak.
Zij hebben niet de capaciteit, kennis en budget om dit te kunnen regelen.
Sorry als het bot klinkt, maar dan is de oplossing duidelijk: dikke pech. Je gaat toch ook niet tegen de belastingdienst vertellen dat je geen aangifte kunt doen omdat je niet de capaciteit, kennis en budget hebt voor een financiële boekhouding!? Sommige dingen horen er nou eenmaal bij. Dit is iets nieuws, daardoor lijkt het nu allemaal ontzettend vervelend, maar over een paar jaar weten we niet beter.
Dat klopt, daarom laat ik dat ook gewoon doen door iemand met verstand er van.
Kun je precies uitleggen wat nou die (vermeende) impact is? En waar dan precies capaciteit, kennis en budget voor nodig is? De website van de AP zou ruim voldoende moeten zijn voor een dergelijk klein clubje wat betreft kennis.

En wat nou als van die harde kern van 5 er 1 iemand vrolijk die lijst inschrijvingen ieder jaar weer verkoopt aan een fijne sportwinkel die mensen dan lekker gaat spammen?

Dan is het handig als je weet wat er dus gebeurd met je lijstje inschrijvingen en wat je ermee doet en voor hoe lang. Dat is echt geen hogere wiskunde en kost ook geen klauwen met geld.
Als je niet weet wat je doet, moet je eerder daar over nadenken dan over dat het feit dat je het niet weet toch wel erg vervelende consequenties kan hebben.

Deelnemers aan het verkeer dienen zich ook te houden aan de verkeersregels. Als daar misbruik plaatsvindt zijn de meeste mensen toch ook blij dat opgetreden kan worden? En het feit dat er regels zijn zorgt al voor minder chaos in zijn algemeenheid.
Het is heel simpel.

Dan moet dat met factor 5 omhoog. Daar kan de vereniging niets aan doen.
Regelen zij het niet dan houdt het vroeg of laat op. Either way.

Het is geen excuus. Het kost geld. Dat wisten wij allemaal van te voren.

Als ze in de afgelopen tijd dat niet hebben kunnen regelen dan beloofd dat weinig goeds voor de aankomende tijd.
Ik sluit mij hier grotendeels bij aan, maar een praktische cursus heeft onze organisatie 750 euro gekost en lijkt tot op heden voldoende. Daarentegen gaat er wel veel tijd in zitten.

Misschien kan je zelfs nog een stukje subsidie krijgen van de cursus.
Ik denk dat je je daar in vergist. Als je contributie moet betalen, dan zijn ze 7 jaar verplicht om jou gegevens te bewaren. Wat heeft een sportclub buiten je NAW-gegevens in godsnaam aan data van je? :P Misschien je emailadres en tel.nummer; soit, wellicht kan je die verwijderen maar thats it en de moeite gewoon niet eens waard.

Zaken als wie scoorde in een wedstrijd en in welke minuut, als ze dat bijhouden bij voetbal bijvoorbeeld, kunnen ze wel een belang en archieffunctie beargumenteren en is het ook niet zeker of dat onder de AVG wel verwijderd moet worden...

Dan ben ik dus benieuwd: wat geef je in godsnaam voor data aan je sportclub die ze zouden moeten verwijderen, buiten de gegevens die ze sowieso wettelijk gezien niet mogen verwijderen? :P Dat is precies zo’n voorbeeld waarvan ik bang wordt: dit slaat door en je krijgt extremisten die kleine partijtjes puur om te jennen gaan opzadelen met dataverzoeken en klachten. :P
Denk aan medische gegevens
Ah, daar ben ik echt nog nooit om gevraagd bij een sportclub.
Als het bij een professionele club is dan gok ik dat ze daar ook een bewaartermijn van x jaar voor mogen hanteren. Oa voor bijvoorbeeld aansprakelijkheid én indicatoren voor dopinggebruik, hertesten van bloedstalen, noem t maar op.

Maar wat de lokale vrijwillige amateurvoetbalclub of handbalvereniging oid met jou medische gegevens zou moeten is mij ff een raadsel... En waarom geef je t aan ze. :P Misschien zoiets als “ik heb een hartprobleem, dus als ik dood neerval: bel 112 en vertel ze y”. Daar zou ik nog in kunnen komen, doch een zeldzaam geval. (En moeilijk te vergeten gezien t veelal de trainer en medespelers zullen zijn die t weten, dan dat dat op papier wordt vastgelegd ergens in de administratie...)

[Reactie gewijzigd door WhatsappHack op 24 mei 2018 12:59]

De club zal dat ook zeker wel doen, alleen misschien zit er een gat in de privacyverklaring omdat deze niet door een (dure) notaris is nagekeken? Volgens mij bedoelen ze meer dat je niet bang hoeft te zijn dat je vereniging meteen 10k de min in gaat vanwege een klein foutje, maar dat, zeker aan het begin, er wat coulanter met fouten wordt omgegaan. Ook omdat een groot deel van de wetgeving voor niemand nog echt duidelijk is op kleine schaal en zeker wanneer er geen intentie is/was lijkt het me logisch dat er niet meteen een hamerslag op de kleine stichtingen/verenigingen e.d wordt gegeven.
> De club zal dat ook zeker wel doen

Ik heb meerdere andere ervaringen, dus ik ben hier niet van overtuigd.
Je kletst,
Het probleem zoals jij als voorbeeld stelt is niet DAT je belasting moet betalen, het probleem is dat je niet ALLE belastingregels als leek uit je hoofd weet en effectief toe kan toepassen.
Je aangifte is dan wellicht niet ideaal waardoor je teveel of te weinig belasting betaald.

Ja je kan je er even snel in verdiepen, maar voor t echte werk heb je een consulent nodig...
VWBT de AVG schieten dat soort consulenten als paddestoelen uit de grond..
Ik kan zelfs uit eigen ervaring vertellen dat de medewerkers van een doorsnee accountantsbureau totaal de ballen gegeten hebben van belastingregels en dat ze geen idee hebben waar ze mee bezig zijn, maar toch wel jouw verloningen etc doen.
Dan moeten ze geen persoonsgegevens gaan verzamelen. Hoe vaak komt het wel niet voor dat er even een excelletje verstuurt wordt aan de leden met telefoon nummers erin? Of dat er andere gegevens bij iemand op een USB stick staan die verloren gaat. Als je niet verantwoord om kunt gaan met gegevens dan moet je ze niet in bezit hebben of verzamelen.
Een ledenlijst rondsturen is wel degelijk toegestaan. Wat op zich weer heel vreemd is want daarmee geef je bewust alle controle over die gegevens weg. Want leden slaan die lijsten overal en nergens op.
Dus jij hebt ook iedereen die in je adresboek van je telefoon staat laten tekenen ?
Is gewoon niet over nagedacht daar in Brussel
Kijk hoe het gaat in Europa daar zitten niet de slimste maar de gehaaidste en crimineelste van Europa
Maar alsnog... iedereen heeft 2 jaar de tijd gehad.. ik had dus geen coulance toegepast..
Geen budget en al helemaal geen kennis. Op ICT-gebied is het bij de meeste verenigen en stichtingen echt dramatisch gesteld.
Dat is niet alleen bij verenigingen en stichtingen hoor..
Vrijwilligers <-> budget. Vrijwilligers kosten doorgaans niet zoveel. Dit soort dingen hoeft echt niet door een professional gedaan te worden. Er worden talloze manieren aangeboden om op de hoogte te zijn van wat je moet doen en wat er van je verwacht wordt. Zoveel is dat helemaal niet.
Het is wel zoveel, want er zijn al genoeg onduidelijkheden wat nu wel/niet mag, documentatie die elkaar tegenspreken, 'experts' die denken het te weten maar blijken er zelf geen kaas van gegeten te hebben omdat ze de regels sowieso verkeerd interpreteren..
Naast dat het nogal breedt interpreteerbaar is wat er nou verwacht wordt is het daarnaast zeer prijzig voor veel bedrijven dit door te voeren. Zelf persoonlijk als UX designer/front end developer vind ik het een tikkeltje te ver gaan.

Van kleine dingetjes als dat er om consent gevraagd moet worden bij een mail formulier (een persoon moet naar mijn mening toch begrijpen dat als je data verstuurd dat dit dan ook opgeslagen wordt). Dus eigenlijk er vanuit moet gaan dat elke gebruiker een idioot is.

Tot grotere probleempunten als wat er nou bedoelt wordt met een privacy makkelijk vindbaar moet zijn. Is het in de footer makkelijk? Moet het in het hoofd menu? Of moet er een hele grote knop op de frontpagina?Het is zo vloeibaar en er is zoveel speelruimte voor interpretatie dat dit een juridische nachtmerrie is.

Dan nog zaken bij bedrijven die data opslaan in meerdere systemen die niet aan elkaar te koppelen zijn. Een gebruiker zou direct de gegevens moeten kunnen opvragen die het bedrijf over deze gebruiker heeft en ergens is het te intepreteren dat dit direct en geautomatiseerd moet kunnen. Dit is onmogelijk voor een kleiner bedrijf die bijvoorbeeld shopify voor hun webshop gebruikt, tradegecko voor hun invoicing etc. En bijvoorbeeld Zendesk voor hun support zaken. Dit is niet koppelbaar voor derden aan elkaar.
Het gaat niet alleen om toestemming vragen, maar ook om vertellen wat er waarom wordt opgeslagen en voor hoelang.

Bij jouw voorbeeld van een mail formulier moet je vertellen of en waarom een email adres wordt opgeslagen. Dit gaat verder dan alleen het doel van het formulier zelf en hiermee wordt voorkomen dat er gegevens worden opgeslagen voor oneigenlijke doeleinden.
De vorige wetten voorkomde dit al grotendeels dat er misbruik gemaakt kon worden van gegevens. Als je een reparatie formulier invult mocht je ervanuit gaan dat die data ook alleen daarvoor gebruikt werd. Hetzelfde goldt als je een vraag stelde.

Vooral de regeling rondom hoelang data opgeslagen mag worden, hoe dit kenbaar gemaakt moet worden, of dit wel zelfstandig door een klant te verwijderen moet zijn of niet, maar wel door het kenbaar maken hiervan maakt het een juridische rompslomp iets wat normale common sense al zou moeten voorkomen.

De enige echte privacy issues zijn alleen met social media platformen recentelijk naar voren gekomen en rondom het opslaan van digitale patient gegevens. Daar moeten bedrijven gewoon individueel op benadeeld worden. Niet de gehele industrie zelf ingewikkeld maken.
(een persoon moet naar mijn mening toch begrijpen dat als je data verstuurd dat dit dan ook opgeslagen wordt).
Nee. Zie bijvoorbeeld Steam: die doet een leeftijdskeuring waarbij ze keurig aangeven dat de data niet opgeslagen wordt. Ja, het staat even in een systeem ("browsersessie is van een gebruiker die aangeeft dat hij ouder is dan <leeftijd>"), maar nog steeds wordt het niet als geboortedatum of permanent opgeslagen.
Ja maar ook dat is begrijpenlijk, dat het niet opgeslagen wordt. Maar als jij een mail formulier verstuurd weet je toch dat je data verzend en wat hiermee gedaan kan worden?
Nee, je weet niet wat er mee gedaan kan worden. Je ziet zelfs niet aan wie die data wordt verstuurd, want dat wordt op de achtergrond afgehandeld.
Privacy policy's waren altijd al verplicht en diende je te lezen als klant zijnde. AVG slaat er naar mijn mening alleen in door.
Iedereen heeft twee jaar de tijd gehad om dit te regelen.
Waarbij tot een paar maanden geleden nog allerlei details bijgeschaafd werden, dus dat je even de kat uit de boom kijkt is niet heel raar.
Daarnaast vind ik een coulance t.o.v. van degenen die wel hun best hebben gedaan om alles op orde te krijgen niet erg netjes.
Strikt in theorie heb je gelijk. Maar practisch gezien, twee kanttekeningen. Ten eerste wordt er niet gezegd dat kleine organisaties helemaal de dans ontspringen; om die coulance te krijgen moeten ze bezig zijn met het alsnog implementeren. Ten tweede heeft de AP op dit moment (zeer waarschijnlijk) niet genoeg mankracht. Dan heb ik eigenlijk liever dat ze zich eerst op FB en Google en co richten (en de plaatselijke voetbalclub wat extra tijd geven), dan dat ze eerst de kleine clubjes gaan pesten terwijl de grote jongens ongestraft door kunnen gaan.
je kan controle krijgen, maar je kan ook controle krijgen van je klanten heb ik begrepen.. een soort audit. daar zit ik op te wachten.. not.
Dat heb ik niet gehoord; zou het kunnen dat dat een misverstand is? Wat wel kan is dat gebruikers kunnen opvragen welke gegevens je over hen hebt. Een recht dat ze nu ook al hebben, maar er zijn wat details veranderd. In de toelichting die de AP daarop geeft stond een zinnetje van de strekking "Onder de AVG moet u dit electronisch opsturen, onder de WBP mocht u klanten ook vragen om bij u op kantoor langs te komen". Zou het kunnen dat je dat verkeerd begrepen hebt? Als je nog terug kunt vinden waar je dit gehoord hebt, dan ben ik heel benieuwd!
een verwerkersovereenkomst die mij werd voorgelegd
8.2. Verantwoordelijke heeft het recht toe te (laten) zien op de naleving van de hiervoor onder Artikel 3 genoemde maatregelen. De Verwerker verstrekt de Verantwoordelijke, zijn daartoe gemachtigde vertegenwoordigers en/of de onafhankelijke auditor die door de Verantwoordelijke is aangewezen, zo vaak als Verantwoordelijke daar aanleiding toe ziet in het kader van de uitvoering van deze Verwerkersovereenkomst en bij (het vermoeden van) informatie- of privacy-incidenten, en met inachtneming van een redelijke termijn van kennisgeving: i) toegang tot de informatie, locaties en Bescheiden van de Verwerker; ii) redelijke bijstand en medewerking van het betrokken personeel van de Verwerker; en iii) redelijke faciliteiten op de locaties van de Verwerker om na te gaan of de Verwerker zijn verplichtingen uit hoofde van deze Verwerkersovereenkomst en de Privacywetgeving nakomt.

behoorlijke slag om de arm om ff te komen buurten.
Ah okee, nu zie ik wat je bedoelt. Toen je zei "klanten" dacht ik dat je het over consumenten had, maar het gaat hier over klanten in de zin van bedrijven namens wie een ander bedrijf persoonsgegevens verwerkt. Als jij een bedrijf hebt dat met persoonsgegevens werkt die je via andere partijen ontvangt (bijvoorbeeld omdat je de salarisadministratie voor andere bedrijven doet en dus de persoonsgegevens van hun werknemers verwerkt), dan wil die andere partij kunnen controleren of jij netjes met die gegevens om gaat. Op zich geen heel raar idee eigenlijk. Het betekent echter niet dat een persoon je bedrijf binnen kan wandelen en opeens dingen wil gaan controleren.

Ik weet trouwens niet uit mijn hoofd of dat een wettelijke eis is (had het nog niet eerder gehoord, maar ja, ik heb ook niet de hele wetstekst doorgenomen), of dat de bedrijven die die specifieke verwerkersovereenkomst gesloten hebben dat zelf afgesproken hebben. Ook als de wet het niet voorschrijft, dan nog mag je zo'n regel prima in een contract zetten, zolang alle partijen het ermee eens zijn.
Waarbij tot een paar maanden geleden nog allerlei details bijgeschaafd werden, dus dat je even de kat uit de boom kijkt is niet heel raar.

Wat ik begrijp is het grotendeels de wetgeving die twee jaar geleden al gold. Krijg nu het idee dat een groot gedeelte al gewoon niet aan DIE wetgeving voldeed.
2 jaar geleden was de wet nog helemaal in de ontwikkelfase en is in de tussentijd nog meerdere keren aangepast en pas 15 mei van dit jaar is de wet definitief aangenomen in de eerste kamer. Natuurlijk had je alvast wat voorwerk kunnen doen, maar bedrijven hebben echt geen 2 jaar de tijd gehad om dit goed te regelen.
Dit klopt ook niet. Het eerste voorstel van de wet is uit december 2015 en is in 2016 in werking getreden. bron: https://europadecentraal....ensbescherming-en-de-avg/
Maar zo'n wet moet toch omgezet worden in nationale wetgeving en opgenomen worden? Is dat niet de reden waarom het nu pas door de tweede en eerste kamer is aangenomen?
> Maar zo'n wet moet toch omgezet worden in nationale wetgeving en opgenomen worden?

Voorzover ik weet geldt dat voor richtlijnen, maar niet voor verordeningen. Oude EU-privacyregels waren een richtlijn, de Wbp was een uitwerking ervan (die overigens verder ging dan wat de richtlijn vereiste).

[Reactie gewijzigd door Gymnasiast op 24 mei 2018 14:59]

Ok interessant :) Maar wat is er nu door de eerste en tweede kamer geloodst?
Klopt. Zie het wel dat als je je zaakjes nu al op orde hebt je een voorsprong hebt op de rest. Gezien GDPR/AVG zoveel in de media is geweest is het wellicht ook een marketingsvoordeel die je als klein bedrijf kunt gebruiken om meer klanten te trekken.

One way or another je moet er aan gaan voldoen, wat nu hier gebeurd is het uitstellen van de executie.
Was wel leuk geweest als een instantie, bv KvK die periode even een informatieve brief had gestuurd naar alle ondernemers. Uit een onderzoek (gehoord bij rtl z uitzending afgelopen week) bleek dat iets van 40% van de ondernemers geen flauw benul had van AVG of dat jet betrekken had op hun.

Die 2 jaar klinkt leuk, maar het had net zo goed 2 maanden geleden bekend gemaakt kunnen zijn.
Het ondernemerschap kent zo zijn rechten en plichten en je mag er dan dus ook vanuit gaan dat ondernemers eens in de zoveel tijd zichzelf eens even een paar uur verdiepen in de veranderingen die eraan komen.

Een organisatie als de Kamer van Koophandel, HBD etc. wijzen op iets wat je eigen verantwoordelijkheid betreft is meer een gebrek aan ondernemerschap. Het ondernemerschap is niet zomaar even iets als je hobby uitoefenen en denken dat zaken je vanzelfsprekend maar worden voorgekauwd daarin behoor je ook "ondernemend" te zijn en dus jezelf vooraf als ook tussentijds goed te informeren.

De AVG is een zaak dat al meermaals in de media terecht is gekomen en het is dus de ondernemer zelf die zich dan niet voldoende heeft verdiept in wat dit voor hem/haar gaat betekenen.
Ook de juridische business heeft het een paar jaar z'n beloop gelaten, er is natuurlijk veel meer te verdienen met haastwerk dan met ongoing business.
Dus uitstel is winst maximalisatie.

Ik weet uit een nabij voorbeeld dat een compliancy "test" pakket, software om je aan de hand mee te nemen in het mijnenveld tot voor kort enkele honderden euro's voor gebruik van een paar maanden koste. Dankzij een toevallige bijeenkomst van een paar sportbonden is dit recentelijk tot een betaal baar bedrag terug gebracht. (iets in de orde grote van EUR 10,- / jaar ) het verschil: door de sportbonden was er een andere schaalgrootte mogelijk waardoor het bedrag omlaag kon....
Dit soort initiatieven gebeuren niet er vroeg..., een vereniging (~250 leden) waar ik bij betrokken ben is al > 1 jaar bezig om procedures & dataopslag in kaart te brengen en aan te passen en allerlei lijstjes die als gevolg van de procedures in omloop zijn plat te slaan. En dat is een aardige klus.

En vergeet niet het gaat niet alleen om digitale communicatie, maar ook over het papieren archief, en over het vraagstuk of mensen wel of niet over enkele jaren voor jubilea benaderd mogen worden etc.
De wet is wel twee jaar bekend maar was niet concreet. Pas sinds enkele maanden is het concreet, zodat bedrijven ook daadwerkelijk stappen konden zetten.
Iedereen heeft twee jaar de tijd gehad om dit te regelen.
Helaas werkt het in de praktijk niet zo.
Zo snel? Volgens mij was dit 2 jaar geleden al bekend?
Ach,
De uitvoeringswet is pas 18 mei door de 1e kamer gehamerd en op 22 mei in de Staatscourant / Staatsblad gepubliceerd.
Wie heeft er nog meer boter op z'n hoofd?
Het is een Europese verordening. Die heeft directe werking. Dat de handhaving achterloopt is hooguit een slecht voorbeeld vanuit de overheid, maat heeft verder geen betekenis.
Het is een EU verordening, dat onze overheid er een 'wet' van moeten maken is enkelt om geen EU boete van enkele miljoenen euro's te kunnen krijgen.
Klopt, maar als je al ziet wat er in mijn bedrijf het bedrijf waar ik werk is veranderd (door groei) de afgelopen 2 jaar en nog moet veranderen, kun je je voorstellen dat de prioriteiten ergens anders liggen (Arbo, verzekeringen, personeel) en dat dit soort zaken zo lang mogelijk worden uitgesteld. Dus het is erg makkelijk om te zeggen: "Dat wist iedereen al 2 jaar dus vette pech".

[Reactie gewijzigd door Tusk op 24 mei 2018 11:55]

Dat had je dan 2 jaar geleden al moeten meenemen in je bedrijfsvoering. Als er 10 jaar de tijd was om het in te voeren dan ging iedereen alsnog een paar maanden voor de invoering opeens in de paniek modus.

Vind ik ook altijd met de belastingaangifte. Je weet dat die er elk jaar aankomt en je die voor 1 mei moet indienen en dan gaat alsnog een grote groep mensen uitstel vragen. Je kunt dit ook netjes voorbereiden en alvast tijd voor inplannen.
Dat is dan ook weer te kort door de bocht...
Je kunt geen tijd bijkopen.
Ik denk wat Tusk bedoeld is, dat als je als een eenmanszaak of klein bedrijf je hoofd boven water probeert te houden door 15 dagen in de week keihard te werken er simpel gewoonweg geen tijd meer is om alles 100% op orde te hebben.
De wetgevingen zijn draken van stapels informatie waar je door de bomen het bos niet ziet.... daar gaat veel tijd in zitten die er niet is, geld was al een probleem... dus die gaan het dan niet redden....
En laat dat dan net dat vriendelijke bakkertje op de hoek zijn die van die heerlijke worstebroodjes bakt.... zo jammer … dus dan maar de fabriekshap van appie…. en niet klagen he
Sorry, geen meelij... dar zijn de dingen die erbij komen kijken als je een bedrijf start.
Tja alleen was het een vader op zoon traditie van 80 jaar....
Niet alles is zwart wit en te voorzien he...
Ja dus? Die wet is 2 jaar geleden van kracht geworden... dus bij mij krijg je dan echt geen medelijden.
Ik moet als 18+ zijnde IEDER jaar mijn belastingen invullen... moet ik dan ineens coulance krijgen?
Nee toch?
Begin je weer over je belasting, daar had ik al op gereageerd ….
Jij zou in je eentje inderdaad meer coulance moeten krijgen dan een multinational waar miljarden in omgaan met een hele afdeling belastingconsulenten....
Ik snap inmiddels dat jij dat anders ziet, dat is prima, ik denk daar anders over...
Vergeet je papieren archief niet, die is ook van belang..
Hoeveel persoonsgegevens zou dat bakkertje in jouw voorbeeld dan precies verzamelen? Volgens mij is de impact op zulke bedrijven gering en zouden dus de werkzaamheden die gepaard gaan hiermee ook mee moeten vallen.
Ik bedoel dat hij net zoveel wettekst heeft door te worstelen als een groot bedrijf.... vaak wordt niet eens begrepen wat het betekend , zal het uiteindelijk meevallen maar ondertussen wel zich al rot geschrokken in de zin van : wat komt er nou ineens op mij af.....
Gelukkig zijn er dan voldoende mensen die hem ermee kunnen helpen. Sorry hoor, maar zoals eerder al aangegeven. Hoe groot of klein een bedrijf ook is, je hebt hier gewoon aan te voldoen. Je komt ook bij de belastingdienst niet weg met... ik wist het niet/ik had er geen tijd voor/ik snapte niet wat er stond/enz

Als ondernemer heb je een verantwoordelijkheid en dingen zoals dit horen daar gewoon bij, kan of snap je het zelf niet, dan zoek je iemand die het voor je kan doen of jou erbij kan helpen.
Ik denk dat het voor de bakker op de hoek vrij simpel is. Die slaat, als het goed is, weinig persoonsgegevens op van zijn klanten. Als hij dat heeft gedaan en kan aantonen dat de klant akkoord is met het opslaan hiervan (opt-in) dan is het al afgedekt.
kun je je voorstellen dat de prioriteiten ergens anders liggen
Eerlijk gezegd kan ik me dat helemaal niet voorstellen. Een prioriteit is in mijn woordenboek een ander woord voor keuze. Dus je kiest er als bedrijf (groot en klein) voor om hier geen voorrang aan te geven wat gewoon zwaar gestraft zou mogen worden in mijn ogen. Juist de zaken die jij aandraagt zoals Arbo en verzekeringen zou je als bedrijf allang op orde moeten hebben nog voordat je personeel gaat aannemen (en aangezien daar dus al voorzieningen voor getroffen zijn zou je juist de veranderingen daaraan op een lager pitje kunnen zetten ipv dit).

Ik vind het gewoon laks om te denken dat je er wel mee weg gaat komen wanneer je hier te laat actie op gaat ondernemen omdat je even (2 jaar lang!!!) andere prioriteiten hebt.
Even mijn post aangepast. Het is niet mijn bedrijf, ik werk er. En ja, prioriteiten zijn keuzes maken. Ik kan me voorstellen dat mijn werkgever er voor kiest om andere zaken, die zijn bedrijf en zijn werknemers direct beïnvloeden, eerst in orde te maakt. Het is erg makkelijk om als stuurlui langs de kade te roepen dat het dan maar vette pech is....
Het is ook heel makkelijk om te zeggen: "we hebben het nu druk dit laten we even voor wat het is".
Als het bedrijf zo hard gegroeid is was er vast wel iemand beschikbaar die hier naar had kunnen kijken.
Ik neem aan dat je wist waar je aan begon toen je een onderneming startte?
Strikt (lees: juridisch) genomen is dit natuurlijk een slap excuus. De wet heeft prioriteit 1. Dat jij daar een andere mening in hebt, mag natuurlijk, maar betekent wel dat je je aan de eventuele consequenties te houden hebt.
Zo zal de handhaver er ook tegenaan kijken verwacht ik.

Los daarvan kan ik mij uiteraard voorstellen dat er een heleboel regels zijn en dat het hard werken is om een groeiende onderneming groeiend te houden.
Wat voor een rotzooitje is het daar dan, weet zeker dat jouw baas wel alle mazen/gaatjes in nieuwe wetten binnen 1 maand weet en heeft 'ingevoerd' en dit niet na 2 jaar?
Sorry hoor... maar zulke bedrijven zie ik als een grap.
Het zou standaard in een organisatie moeten zitten (omgaan met persoonsgegevens), net als dat je verplichting hebt administratie te voeren. Dat laat je ook niet weg, omdat het geld kost.
Je hebt het over 'organisaties' maar lastiger is het bijvoorbeeld voor ZZP-ers om uit te zoeken wat nu precies wel en niet mag.Dat zouden de zelfstandigen kunnen uitbesteden, net als de meesten doen met hun administratie (vaak belastingaangifte) maar dat is een heel gedoe en kost ongetwijfeld een behoorlijk bedrag. Het is inmiddels 2 jaar geleden ingevoerd, maar vanaf morgen wordt het echt getoetst. De bedoeling van de wet is om grof misbruik tegen te gaan, als een ZZP-er 'al dan niet helemaal per ongeluk' bijvoorbeeld een mail rondstuurt zal het ongetwijfeld bij een waarschuwing blijven... als het überhaupt zover komt ;)
Ik ben zelf ZZP'er, maar die zijn er natuurlijk op verschillende vakgebieden. Basis is gewoon bewustwoording en dat kost geen geld.
Er zijn uiteraard heel veel verschillende ZZP-ers. met name 'die veel (kleine) klanten hebben' is deze wet lastiger. Gechargeerd (dus de volgende stelling ook weer niet te serieus nemen)
Mag een melkboer bij iedereen waar hij eerder boodschappen heeft bezorgd, nog wel aanbellen ...
Of moet hij eerst van iedereen een schriftelijke toestemming vragen. Als ik melkboer zou zijn zou ik dat zeker niet doen en kijken wat er gebeurt ;)
Dat lijkt me ook gelden voor mails die je stuurt aan je (vaste) klanten etc. Je kunt je zelfs verschuilen achter het feit dat het in het belang is van de klant dat hij of zij een bepaalde mail krijgt (artikel 6 .pdf)
Bijvoorbeeld 'we zijn op vakantie van tot'
Dat inderdaad, daarnaast vraag ik me af hoe andere Europese landen hiermee omgaan. Of is dit weer typisch een gevalletje van 'NL is het beste jongetje van de klas'? Bewustwording is goed, maar ik vind wel dat er vaak krampachtig met AVG wordt omgesprongen. In de praktijk is het vaak amper te handhaven.
het kost vooral heel veel TIJD (mits je het zelf allemaal uitzoekt!) maar geld heeft het hier tot op heden niet gekost! ja we passen onze website aan...dat kost iets maar das onder de 100 euro!
Onzin; als je persoonlijke informatie kan verwerken, kun je óók zorgen dat die verwerking correct gebeurd.
ik vind het echt belachelijk, de wet is er al 2 jaar en iedereen wist dat die er aan kwam en kon er op zijn dooie gemak mee bezig.

en nu hoeven de kleine bedrijven zich in een keer niet aan de wet te houden?
zo spannend is die AVG nou ook weer niet, je moet er gewoon even goed over na denken.
en daar hebben we al 2 jaar de tijd voor gehad.

want de wet bestaat al 2 jaar. morgen word er alleen maar begonnen met de handhaving er van.
Ja, hij komt er al 2 jaar aan.

MAAR.

De exacte implementatie, juridische gevolgen en ook de IT-oplossingen om een organisatie daadwerkelijk GDPR-compliant te laten zijn is heel andere koek.

In veel landen was de lokale wetgeving tot voor kort ook nog niet klaar, wat tot enorme verwarring kan leiden (bron)

Case in point: bij de universiteit waar ik werk (niet in Nederland) was de lokale implementatie van de GDPR nog niet goedgekeurd door het parlement, waardoor alle juristen elke vraag die ze kregen vooruitschoven met een vaag "tja, dat weten we nog niet precies, en totdat we een definitief advies kunnen geven zeggen we liever niks". Dat schiet niet op, want iedereen baseert de implementatie van GDPR daar weer op.

[Reactie gewijzigd door TMDC op 24 mei 2018 13:23]

Strict genomen is er geen lokale wetgeving vereist voor de GDPR het is een verordening, geen richtlijn.
(geregeld in het verdrag waarbij toetreding tot de EU voor een land geregeld is).
Die verordening is al 2 jaar geleden effectief ingevoerd met aanpassingen voor lokaal recht een jaar later en strafbaarheidstelling vanaf ongeveer nu.

En in sommige landen is GDPR bijna een no brainer omdat die wetgeving als voorbeeld heeft gediend.
Een deel is wel HEEL duidelijk zoals transparantie, (niet dat veel [schimmige] organisaties daar op zitten te wachten) explicite toestemming etc. dus dat had al gekund.
Je moet weten wat je verzameld, waarom en of dat een geldige reden is (dat laatste kan afhangen van organisatie etc). maar de inventarisatie en het gebruiksdoel had al vastgesteld kunnen worden.
Nu (of 3 maanden geleden) beginnen is wat (na)laat(ig).
"Strikt genomen" heb je als organisatie natuurlijk geen bal aan. Als er besloten wordt om op nationaal niveau wetgeving te maken/wijzigen dan heeft het weinig zin om er tegenin te gaan en heb je maar te wachten tot die wetgeving klaar is. Juist omdat het een richtlijn is, is de precieze uitvoering op lokaal niveau niet altijd klip en klaar. In landen waar al verregaande privacywetgeving was die grotendeels overeenkomt met de GDPR (maar waarvan de exacte implementatie in details verschilt) is het een stuk meer werk omdat je continu de oude en nieuwe situatie moet vergelijken en de juridische gevolgen van die wijzigingen moet onderzoeken en afwegen.

[Reactie gewijzigd door TMDC op 24 mei 2018 17:28]

GDPR is GEEN richtlijn... voor lokale wetten. (de vorige wetgeving mbt. privacy was dat wel, maar is in veel gevallen wel geïmplementeerd) om te voorkomen dat nieuwe EU wetgeving voor andere partijen (internationaal gezien) een weer een lappendeken (quilt) zou worden is er hier gekozen voor een Verordening, een die in de hele EU in een keer geldig is als geheel. (met op z'n best een hamer stuk voor landelijke parlementen om tegenstrijdigheden te verwijderen).

Als de landelijke wetgeving niet hierin meegaat krijg je escalatie trajecten.. Als de landelijke wetgeving zegt dat iets mag en de EU regels niet, de klager komt uiteindelijk bij het EU gerechthof dat dan zegt dat de klager WEL gelijk heeft en dan zijn er alleen veel meer kosten gemaakt. Dus het is handiger om de landelijk wetgeving in lijn te brengen met de verordening, het spaart veel tijd en veel geld.
(het is niet de eerste keer dat een EU uitspraak iets op z'n kop zet. Denk aan de Safe Harbour verdragen waarbij de niet EU partijen niet aan de voorwaarden voldeden, en dus parktisch ongeldig waren).
Geen richtlijn, wel richtlijn, whatever. Lees je wel wat ik schrijf?

De landelijke wetgeving in lijn brengen is verschrikkelijk veel werk en de meeste lidstaten hadden dat niet op orde, dus geen wonder dat iedereen elkaar een beetje heeft aan zitten staren de afgelopen 1,5 jaar.

Fijne avond, volgens mij praten we langs elkaar heen.
uit jouw reactie:
Als er besloten wordt om op nationaal niveau wetgeving te maken/wijzigen dan heeft het weinig zin om er tegenin te gaan en heb je maar te wachten tot die wetgeving klaar is. Juist omdat het een richtlijn is, is de precieze uitvoering op lokaal niveau niet altijd klip en klaar.
GDPR is geen richtlijn, landelijke wetgeving is niet heel relevant in deze. Alleen kan landelijk wetgeving wel verwarring in een land veroorzaken als het niet overeenkomt met de GDPR en na lange dure procedures leiden tot hetzelfde resultaat leiden als de lokale wetgeving in lijn brengen met de GDPR.
(en als de eerdere richtlijnen op dit gebied gevolgd waren is het waarschijnlijk zelfs geen hamerstuk alleen een eervolle vermelding in notulen, ok dus een hamerstuk....).

Evenzeer een goede avond gewenst.

[Reactie gewijzigd door tweaknico op 24 mei 2018 18:17]

nope..de WET gaat morgen EU wijd IN! de wet is al 2 jaar bekend..maar das iets totaal anders dan actief!
De wet is al 2 jaar van toepassing, alleen de strafmaatregelen van vanaf 25/5/2018 in.
nee dus...de EU verordening is aangekondigd waarna de lidstaten 2 jaar hebben gehad om dit om te zetten naar lokale wetgeving...waarna de wet ingaat op nationaal niveau! das al 100 keer gemeld hierboven!
En fout. Er is een verschil tussen een richtlijn en een verordening. Zoek dat eens op. Er is geen lokale wetgeving nodig om de AVG van toepassing te laten zijn. Die lokale wetgeving heeft andere redenen.
Feitelijk is NL een jaar te laat, want voor de lokale wetgeving was de termijn 1 jaar na invoering van de GDPR, kniesoor die daar op let.
Misschien moet je eerst eens nadenken. Het is niet dat alle kleine bedrijven al jaren zaten te wachten op AVG en alle andere projecten zijn gestopt. Je moet dit mee plannen in bestaande projecten en dan kom je erachter dat 2 jaar toch echt niet lang is.

Prima dat jij het belachelijk vind maar ik vind je reactie belachelijk.
nee veel mensen zitten niet te wachten op de AVG.
mijn baas ook niet maar die zal er ook aan moeten voldoen.

en ik vind mijn privacy van belang, maar nou hoeft mijn sport verenging geen rekening meer te houden met mijn privacy.

dat jij je eigen privacy niet van belang vind betekent niet dat dat voor iedereen geld.
Gebruikers moeten zelf toch ook begrijpen dat als zij informatie ergens naartoe sturen dat het desbetreffende bedrijf iets over jou weet? Vind het betutteling ten top. Beetje zoiets als je hele leven op Facebook zetten, weten wa thun verdien model is en achteraf klagen. Mensen gaan mentaal echt achteruit lijkt wel.
als ik mij inschrijf bij een sport club vind ik het wel prettig dat ze juist met mijn gegevens omgaan.
en als ze zich aan de wet moeten houden doen ze dat.
als ze dat niet hoeven mogen ze mijn persoons gegevens ook aan de buren geven want lekker makkelijk.

en ik vind het helemaal goed dat ze wat over mij weten. maar zou het prettig vinden dat mijn gegevens ook alleen worden gebruikt waarvoor ik ze heb afgegeven. en niet voor andere zaken. en daar zorgt de AVG voor.

en daarbij waarom zouden sommigen zich niet aan de wet te hoeven houden en anderen weer wel.
lekker scheef.
De voorgaande wetten zorgden hier al voor. Nu worden consumenten alleen enorm betutteld met de huidige wet. Als er persoons gegevens lekten kon je hier een ebdrijf op aanspreken en kon het bedrijf aangepakt worden.

Nu heb je als klant alleen eventueel op papier staan wat ze wel en neit doen emt je gegevens maar het voorkomt nogsteeds niet lekkages van gegevens.
voor consumenten heeft het alleen maar voordelen en geen nadelen.
ik als consument hoef niks te doen.

maar mijn sport verenging moet gaan kijken welke gegevens ze van mij hebben, waarom ze die hebben, en of iedereen die toegang daartoe heeft dat ook echt moet hebben.

lijkt mij niks mis mee. en daardoor voorkom je dus wel datalekken. want alleen mensen die toegang zouden moeten hebben hebben toegang. en niet de directeur t/m de schoonmaker.
Mijn punt is, ik vidn dat consumenten ook zelf meer bij hunzelf ten rade mogen gaan over wat zij doen en neit doen en wat zij kunnen verwachten. Consumenten worden TEveel naar mijn mening in de watten gelegd bij alles wat zij online doen. Data lekker voorkom je nooit, AVG gaat je daar niet mee helpen. Ze zeggen wat zij met je data doen maar wie controleerd dat? Als zij zeggen je data op te slaan voor een bepaalde tijd kan in die tijd de data nogsteeds lekker. Wat gaat dit voorkomen? Helemaal niets, er kan nogsteeds een nasty malware op iemands PC belanden die alle files de wereld instuurd bijvoorbeeld.

Is net zoiets al met de wet bij kopen op afstand. Waar nu gewoon misbruik van wordt gemaakt. Teveel aan consumenten gedacht ten koste van het bedrijfs leven, dat alleen vanwege een paar rotte eieren die nooit goed met data zijn omgegaan).
waarom heb jij een wachtwoord op je pc? of een pincode op je telefoon?
en kunnen altijd virussen op je pc komen die daaromheen werken.

waarom hebben we snelheid limieten op de weg, ook met die limieten gebeuren er ongelukken dus die limieten kunnen ook wel op de schop.

ik denk dat je de wereld gewoon niet snapt.
als je echt denkt dat AVG niks gaat helpen zou ik als ik jou was je iets meer in gaan lezen.
Dit vertel je aan een webdeveloper die de laatste weken meerdere projecten AVG ready heeft gemaakt. Wat is jouw staat van dienst?

Volgens mij vergeet je dat er al een privacy wet aanwezig was die data lekken kon bestraffen als dit het geval was. Het verschil nu is dat gebruikers compleet in de watten gelegd moeten worden alsof elke consument een idioot is die niet kan nadenken (of niet wilt nadenken).

De beveiliging moest ALTIJD al op orde zijn. Dat maakt AVG niet opeens effectiever. Data lekken gaan niet minder worden dankzij AVG iets wat wel gepretendeerd wordt.

Dat ik weet hoe AVG grotendeels in de praktijk werkt en juridisch betekent niet dat ik het er mee eens ben. Wordt betaald om het uit te voeren en doe het. maar zelfs juristen vinden het in het algemeen onuitvoerbaar in veel gevallen en een stap te ver gaan. Iets wat weer is opgezet doo rmensen zonder enige technische kennis of het in alle gevallen wel uitvoerbaar is voor het klein bedrijf. Iets wat het niet is.
zelf ben ik systeembeheerder.
en bij ons zorgt het AVG zeker voor minder risico op datalekken.
dus bij ons maakt het zeker wel uit, en dat zal op meer plekken zo zijn.

maar goed, dat je wet niks vind snap ik en kan ik ook wel snappen.
maar je moet het toch met mij eens zijn dat het scheef is dat bepaalde groepen zich niet hoeven te houden aan de wet, en anderen wel.
Ja en nee, formaat bn ik mee eens dat het niet lijdend moet zijn of mensen het nu wel of niet moeten gaan invoeren. Maar meer hoe belangrijk/gevoelig is de data waar bedrijven mee werken. Van een advocaten kantoor met maar 2 mensen verwacht ik alsnog uitmuntende security. Een bedrijf met bij wijze van 20 medewerkers en een kleine webshop misschien wat minder.
Effectief is tot op heden de consument het bos in gestuurd met als opgaaf van reden...
- So what privacy is zo 1990....
- lekker puh
- heb je niets mee te maken
- tough luck
- eh sorry..., (best case)...

Netto effect de consument zit met de gebakken peren.
Nu kan de consument evt. wel optreden... het wordt wat meer symmetrisch zal ik maar zeggen.
er zullen vast consument komen die nu
- Lekker Puh
- ik heb niet met je dataverzamel drift etc. te maken
krijgen... maar is dat vreemd?
De organisaties die lekker puh etc. riepen (FB? ...) hadden ook nog de mentaliteit van ach dan gooien we er even een advokaatje tegenaan.. kost EUR 400-1000 en dan zijn we er klaar mee... tja het prijskaartje is wat anders geworden. 4% van je wereldwijde jaar omzet is voor FB en co toch een factor om rekening mee te houden.
Maar als ik een mail adres gebruik in communicatie met bedrijf X dan verwacht ik NIET dat bedrijf X dat ook gelijk in Facebook gooit en aan allerlei advertentie boeren geeft waardoor ik gelijk SPAM van een 4tal mij onbekende bedrijven krijg. (Ik blij dat ik traceerbare email adressen gebruik). Die kan dan gelijk op de zwarte lijst. Bij reclamering bij dat bedrijf over dit fiet was het antwoord, so what ik moet ook wat geld verdienen... Zeker niet als dat bedrijf deze policy niet eens in 1 punts letters op z'n website vermeldt.
Dat kunnen ze nogsteeds al zeggen ze dat niet te doen, dat mocht namelijk in het verleden ook niet namelijk maar gebeurde in sommige gevallen toch.
Probleem was dat er verschillen waren in zienswijzen over wel/niet persoon gegeven etc.
Nu is dat eenduidig geworden, en de symbolisch tik over de vingers die het kon opleveren was ook geen echte hinderpaal, nu kan verkoop van het verkeerde adres je de jaar winst kosten, en als er 25 keer in verschillende zaken over je geklaagd wordt kun je je jaaromzet inleveren...

Ik kan dmv. het mail adres wel aantonen dat dat bedrijf deze actie gepleegd heeft. Iedereen krijgt bij mij een uniek mailadres.Dus antwoorden, aanbeidingen etc van andere plaatsen duiden minimaal op een lek in de beveiliging maar kan varieren naar opzettelijke verspreiding).
En als het op dit moment wel in de voorwaarden staat (ik lees die dingen...) dan is de site verlaten voor dat er verdere communicatie is, dan ga ik wel naar een plek die wel serieus te nemen is.

In mijn geval had de verkoop van EUR 100,-- van een headsetje voor een motorhelm meer geld gekost dan het had opgeleverd (EUR 20,-- marge plus nog wat centjes voor verkoop van bruikbare persoons gegevens). Want ik denk dat z'n jaaromzet wel hoger is dan EUR 5000,--
Dat staat ook nergens in mijn reactie.. Het ging over het feit dat jij het belachelijk vind dat nog niet iedereen voldoet aan AVG.
Ik zeg nergens dat ik het niet belangrijk vind, maar dat het niet in elke organisatie makkelijk is hier binnen 2 jaar aan te voldoen.
Tenzij jij denk dat iedereen uit z'n neus zit te vreten.
Wat een gelul weer dat kleine organisaties niet op tijd klaar kunnen zijn en daarom ontzien moeten worden. Hey minister, knock knock anybody there? De wbp geldt al vanaf 2001en vanaf die tijd moesten alle verwerkers van persoonsgegevens daar al aan voldoen. Wat is het probleem dan nu? Zoals hierboven al is geschreven, de AVG geldt al vanaf 2016 en er destijds al uit coulance een grace period van 2 jaar gegeven. Hoeveel tijd is er dan nog meer nodig om er aan te voldoen? Nog 10 jaar of zo?
Een beetje kort door de bocht.

Enerzijds heb je natuurlijk gelijk. De nieuwe wet is niet uit de lucht komen vallen.

De hele wetgeving kan behoorlijk complex zijn om uit te voeren. Er staat dan ook nadrukkelijk:
als ze de bescherming van persoonsgegevens voor de Europese privacywetgeving AVG nog niet goed op orde hebben.
en
Als kleine organisaties zoals voetbalclubs bezig zijn met het voldoen aan de nieuwe regels, is het volgens Dekker niet zo dat de Autoriteit Persoonsgegevens vrijdag op de stoep staat.
Dit zegt dus dat ze er wel nadrukkelijk mee bezig moeten zijn, maar als ze het nog niet 100% op de juiste manier doen zullen ze niet direct beboet worden. Basisscholen, sportverenigingen, kantklosclubs met 20 leden hebben niet altijd de juiste expertise in huis om dit soort dingen in één keer goed te doen. Je hebt uiteraard gelijk dat dit al enige (lange?) tijd aan de gang is, maar de wetgeving heeft natuurlijk ook een doel en dat is niet handhaven en kleine organisaties failliet beboeten.
Waarom zou een basisschool de expertise niet in huis hebben? Dan huren ze die toch in, net zoals schoonmakers, produceerders van leermiddelen, busbedrijven voor het schooluitje etc etc etc?

Juist een basisschool, met minderjarigen, zou voorop moeten lopen, toch??
Ik vind de ophef over de AVG voor vooral de kleine ondernemingen nogal overdreven. Regels betreffende de privacy bestaan al sinds de mensheid. Over het algemeen geldt dat je géén informatie dient te verzamelen die niet van toepassing is voor je bedrijfsvoering. Als je geen BSN nodig hebt van iemand, vraag er dan gewoon niet om. En iemands gezondheid is veelal ook niet van toepassing.

Als kleine organisaties gewoon hun administratie bijvoorbeeld op papier in een kluis bewaren, dan kraait er geen haan naar. De privacy is dan voldoende gewaarborgd. Echter.. heb je er een hobby van gemaakt om data te delen, eventueel met de intentie om eraan te verdienen en heb je dit je leden/consumenten niet verteld.. tsja.. dan zul je je nu op je vingers getrapt moeten zien.

Het is helemaal niet verkeerd om eens na te denken over toegang, beschikbaarheid, delen en bewaarplicht van gegevens. Stel gewoon een privacy verklaring op (er is een handige gratis tool hiervoor) en deel deze met diegenen waarvan je de gegevens hebt verzameld. Gooi data weg die je niet meer nodig hebt (even termijn van zo'n 7 jaar aanhouden voor de Overheid) en je bent redelijk op weg. Niemand wordt afgebrand voor een tikfout in zo'n document. Wél voor het ontbreken ervan...
Ik vind de ophef over de AVG voor vooral de kleine ondernemingen nogal overdreven.
Dan ben je niet betrokken (geweest) bij de administratie van een vereniging en het klaarmaken ervan voor de AVG. Het is makkelijk roepen van de zijlijn dat men zich niet druk moet maken en dat je het allemaal al jaren geleden op orde had kunnen hebben, maar feit dat is dat de invoering van de AVG veel extra werk met zich meebrengt. Opstellen verwerkingsregister, eventueel opstellen/aanvragen van verwerkingsovereenkomsten, versturen, laten invullen en opslaan van toestemmingsformulieren, procedures opstellen voor aanmelden/afmelden leden, procedures opstellen melden datalekken, opstellen privacyverklaring, informeren leden over bovenstaande, en steeds maar antwoord geven op de vraag waarom deze onzin allemaal in hemelsnaam nodig is.
Allemaal om de privacy te kunnen waarborgen van "de burger", maar ga niet lopen roepen dat het allemaal eenvoudig is. Dat is het misschien voor hoog-intelligente stuurlui aan wal, maar voor een gemiddelde secretaris van een vereniging met 25 leden is het flink wat uitzoekwerk.
En vanaf wanneer zou een vereniging het dan wel moeten doen? 100 leden? 1000 leden? Of helemaal niet en lekker slordig met persoonlijke informatie om gaan? Ik zie de verontwaardigde reacties op deze site al voor me als er een keer data lekt omdat er niet fatsoenlijk mee omgegaan is. Dan wordt er weer om het hardst geroepen dat straffen hoger moeten worden.

En verder inhoudelijk: als je een beetje fatsoenlijke administratie hebt is het naleven van deze wet helemaal niet zo moeilijk.

[Reactie gewijzigd door keenan001 op 24 mei 2018 19:27]

Ik zei "Dan ben je niet betrokken (geweest) bij de administratie van een vereniging en het klaarmaken ervan voor de AVG" en dat bevestig je nog maar een keer. Of laat ik het maar op de man af vragen: heb jij rechtstreeks te maken met het op orde brengen van een vereniging of organisatie in het kader van de AVG? Of roep je maar wat?
Iedere organisatie die structureel persoonsgegevens opslaat moet voldoen aan de AVG en aan alle voorwaarden daarvan voldoen. Al heb je twee leden, maakt niets uit. Het grootste probleem is niet het opstellen van de documenten, het maken van procedures. Hoewel dat op zich al een hoop papier- en regelwerk extra is vergeleken met de privacywetgeving van voor de AVG. Het meeste werk gaat zitten in het uitpluizen van de wet, het interpreteren van de enorme hoeveelheid informatie rond de wet en het vertalen naar jouw situatie.
Vanuit de positie van iemand die wel direct betrokken is bij het AVG-proof maken van een vereniging klinken jouw opmerkingen nogal dom en naief.
Ben ik de enige die nu al flauw is van al die mailtjes met privacy-gezeur van bedrijven die mijn emailadres hebben? Het doet me heel erg denken aan al die pop-ups op websites over cookies accepteren. Niemand interesseert het, maar iedereen wordt ermee lastiggevallen.
nee, dat is niet hetzelfde. Bij zo een popup moet je accepteren of je kan niet verder.
Bij zo een mail kan je gewoon wissen, hoef je niet eens te lezen en voila: nooit meer spam van die firma!
Want dat vermindert het aantal initiële mailtjes dat ik krijg? Nee dus. Even nadenken voordat je reageert.
Groter probleem is dat de kleine veelal afhankelijk zijn van de grote. Als ik morgen alles letterlijk moet doen houdt het in dat we geen pakketten meer kunnen versturen. De bank rekeningen kunnen gaan sluiten. De website plat moeten gooien en de winkel mag sluiten.

Ik ben een eenmanszaak maar mis nog van zeker 10 grote jongens de verwerkersovereenkomsten en nieuwe voorwaarden allemaal roepen ze er morgen mee te komen. Maar ik moet morgen er ook aan voldoen dus hoe is dat op te lossen? De hele invoer had eerst op de grote bedrijven moeten liggen en dan naar beneden uitrollen. Nu komen se kleine in de problemen door dat de grote het ook nog niet klaar hebben.
Gezien dat jij probeert complient te zijn en de derde partij hier in faalt en jij dat aannemelijk kan maken dat je voldoende progingen hebt gedaan om dit te regelen, zie ik geen reden om aan te nemen dat jij de problemen krijgt.
Wel alles documenteren natuurlijk.
Precies wat die Sloerie hierboven zegt (nooit gedacht dat ik dat ooit zou zeggen), zolang je alles documenteert is er niets aan de hand. als jij kan aantonen dat je er genoeg aan gedaan hebt ligt de bal bij de derde partij.
Toch timmer je het uiteraard liever gewoon dicht.
Nou verwacht ik ook niet gelijk morgen al controle aan de deur, als die uberhaupt al komt. Maar zover het in mijn macht licht heb ik alles doorgevoerd.

Het blijft echter naar mijn mening raar dat iedereen op 25 mei klaar moet zijn en ook 99% die tijd echt benutten om het te doen. Mede ook doordat lang niet alle regels even zwart wit zijn en velen naar elkaar kijken hoe dit aan te pakken.

Daarnaast blijft het feit als ze echt zwart wit gaan controleren dat ze doodleuk kunnen zeggen ja had je maar geen diensten meer moeten afnemen want jullie mogen de gegevens niet delen.

In het voorbeeld van de bank houdt dit in dat ik geen uitgaande betalingen naar consumenten meer mag doen zonder die overeenkomst.
Precies wat die Sloerie hierboven zegt (nooit gedacht dat ik dat ooit zou zeggen), zolang je alles documenteert is er niets aan de hand. als jij kan aantonen dat je er genoeg aan gedaan hebt ligt de bal bij de derde partij.
Waarom niet? Je bent verwerkingsverantwoordelijke, (xcuse the bold), dus eindverantwoordelijk. Had je maar met een andere verwerker in zee moeten gaan. Wat heb je eraan dat je in een document zet dat na drie e-mails er nog steeds geen overeenkomst is?
je hebt 2 jaar de tijd gehad om alles te regelen! waarom zou je uberhaupt vandaag of morgen nog in de actie moeten schieten (als je op tijd was begonnen was het werkje klaar geweest!)
Mijn deel is klaar.
Maar om mijn deel af te ronden ben ik afhankelijk van andere partijen die nog niet klaar zijn.
Dus snap niet hoe je wilt beweren dat het werkje dan al klaar was geweest als derde partijen nog niet klaar zijn.

Er zijn er zelfs die glashard volhouden dat zij niet onder de AVG vallen omdat ze geen informatie zouden verwerken. Maar zelfs een IP adres of bankrekening is een persoonsgegeven dus ook banken vallen hieronder ook al houden de meeste nog vol van niet.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True