Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Instapaper sluit Europese gebruikers tijdelijk af vanwege privacywetgeving

Instapaper, een dochterbedrijf van Pinterest waarin gebruikers artikelen kunnen opslaan om later te lezen, zal vanaf donderdag tijdelijk niet werken voor gebruikers in Europa. De dienst zegt meer tijd nodig te hebben om te kunnen voldoen aan de algemene verordening gegevensbescherming.

Instapaper zegt niet wanneer gebruikers weer bij hun account en opgeslagen artikelen kunnen, zo blijkt uit de mailing die de in Amsterdam gevestigde techjournalist Owen Williams twitterde. Instapaper liet in de mail van woensdag weten dat de dienst vanaf donderdag niet meer werkt voor Europese gebruikers. Gebruikers waren niet eerder op de hoogte gesteld.

Pinterest-ontwikkelaar Brian Donahue zegt dat de dienst op donderdagavond Europese tijd offline zal gaan in Europa. Hij zegt verder dat de downtime 'minimaal' is. Pinterest wil niet veel zeggen waarom het zijn dienst offline haalt. Donahue zegt alleen dat het gaat om 'een beoordeling van het hele product en platform'.

De algemene verordening gegevensbescherming, in het Engels GDPR, is een Europese verordening die moet garanderen dat Europese gebruikers het eigendom hebben over data die bedrijven over hen hebben. De wetgeving geeft gebruikers het recht om hun gegevens in te zien, aan te passen, te downloaden, te verwijderen en te migreren naar een andere dienst.

Het is onbekend hoeveel gebruikers Instapaper in de Europese Unie heeft. Pinterest nam de dienst in 2016 over voor een onbekend bedrag. In 2013 nam Betaworks, de eigenaar van Digg, de dienst over van ontwikkelaar Marco Arment. Ook toen is geen overnamebedrag bekendgemaakt.

Door

Redacteur mobile

92 Linkedin Google+

Reacties (92)

Wijzig sortering
Wat een onzin om down te gaan vanwege deze regelgeving, immers het is niet dat ze dan ineens geen gegevens van europese gebruikers meer hebben. Dus ook als ze offline zijn moeten ze gewoon voldoen aan de AVG. Sterker nog, hoe kun je nu je eigen gegevens downloaden? Ze zijn immers offline. Dit is echt een heel raar besluit IMHO.

Naar aanleiding van de reacties hieronder:
De wettekst

Verwerken is ook het opslaan Zie:
2) „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
Volgens mij is het van toepassing op instapaper ook al zijn ze offline want ze slaan nog steeds gegevens op (en dat valt dus onder verwerken):
1. Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.
L 119/32 NL Publicatieblad van de Europese Unie 4.5.2016

2. Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met:

a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of
b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.

3. Deze verordening is van toepassing op de verwerking van persoonsgegevens door een verwerkingsverantwoordelijke die niet in de Unie is gevestigd, maar op een plaats waar krachtens het internationaal publiekrecht het lidstatelijke recht van toepassing is.

[Reactie gewijzigd door air2 op 24 mei 2018 11:10]

Als het bedrijf geen dienst in de EU aanbied en geen presence heeft in de EU, wordt het lastig om EU regelgeving op ze toe te passen. Door EU gebruikers actief te weren kunnen ze terecht claimen niet onder de GDPR te vallen.

Als een Nederlander bijvoorbeeld probeert een Amerikaans bedrijf aan te klagen, dan zal de rechter kijken of het bedrijf in Nederland actief is, een nederlands kantoor, reclame gericht op nederland, een account aankunnen maken waarbij je aan kan geven dat je in Nederland woont, leveren van producten aan Nederland zijn allemaal zaken waardoor een rechter kan oordelen dat hij jurisdictie heeft. Bij Instapaper onbreekt dit naar ik aanneem nu allemaal.
Maar door je servers offline te zetten in Europa, maar nog wel data te bewaren van europese burgers, lijkt me dat je als bedrijf nog gewoon moet voldoen aan de GDPR. Dan zouden ze data moeten vernietigen lijkt me
Data bewaren mag gewoon... De GDPR stelt bepaalde voorwaarden aan het 'verwerken' van gegevens.
Het is een beetje als Schrödingers Kat, volgens deze data-protectie-regeling bestaat data enkel als deze verwerkt wordt, niet of deze ergens opgeslagen is, maar vooral of deze opgevraagd kan worden.


In die zi is het offline halen van een bepaalde dienst, en dientengevolge het onmogelijk maken dat bepaalde data opgevraagd wordt, voldoende om er niet mee in overtreding te zijn
Opslaan valt gewoon onder verwerken. (https://autoriteitpersoon...2016_-_679_definitief.pdf)

"2) „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van
persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen,
structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van
doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of
vernietigen van gegevens; "
Als de servers hier offline zijn slaan ze niets meer op. De data die op de schijven staat is in het verleden reeds opgeslagen, voordat de GDPR actief werd. Ook kan de data niet opgevraagd of verwerkt worden.

Of dat voldoende is om tijdelijk onder de regeltjes uit te komen weet ik niet. Maar als je nog niet aan de GDPR kunt voldoen kun je zo in elk geval hard maken dat je niet uit winstbejag alles maar hebt laten draaien.
Ja, met een kleine nuance.
De GDPR is namelijk 2 jaar geleden al in werking getreden, alleen is er een coulance periode van 2 jaar geweest waarin er geen straffen worden uitgedeeld, zodat bedrijven aan de GDPR kunnen gaan voldoen.
De data die Instapaper (in dit geval) dus in die twee jaar heeft verzameld van Europese gebruikers, valt gewoon onder de GDPR. Dus nee, ze zouden zo niet onder de regels uit mogen/kunnen komen.
Hoe ze wel onder de straf uit kunnen komen, is aantonen dat ze echt wel heel hard bezig zijn om aan de GDPR wetgeving te voldoen, zoals @Call of Duty hierboven al een keer heeft gezegd.

tiepfoutjes corrigeren

[Reactie gewijzigd door walteij op 24 mei 2018 11:58]

Heeft instapaper dan nog activiteiten in de EU? Zo niet dan weet je nu al wat er gebeurt als de EU een boete oplegt.

Instapaper stapt naar de Amerikaanse rechter om het vonnis niet uitvoerbaar te laten verklaren: 'wij hebben geen activiteiten in de EU', 'Volgens de Amerikaanse wet is dit toegestaan', 'Handhaving in de VS zou schending van onze grondrechten zijn'. Amerikaanse rechters zijn daar vrij kort over: toegewezen!

Het enige wat de GDPR nu gecreeerd heeft is een concurrentie voordeel voor buiten de EU gevestigde bedrijven, die geen noodzaak hebben om een data center of commercieel kantoor in de EU aan te houden.
'wij hebben geen activiteiten in de EU', 'Volgens de Amerikaanse wet is dit toegestaan', 'Handhaving in de VS zou schending van onze grondrechten zijn'.
Volgens mij is dat te simpel gedacht, want er is ook nog het Privacy Shield verdrag tussen de VS en EU. Ik begrijp er zelf niet veel van, maar het schijnt ervoor te zorgen dat de wetgeving rond dataverwerking meer grensoverschrijdend is.

Corrigeer me als ik het verkeerd heb. :?

[Reactie gewijzigd door FvdM op 24 mei 2018 15:09]

'Privacy Shield' is de grootste wassen neus van allemaal. Er zit namelijk geen enkele wetgeving of bindend verdrag achter, waardoor elke Amerikaanse rechter een beroep hierop van tafel zal vegen.
Nee dat klopt niet. Data die op een schijf staat wordt nog steeds opgeslagen. Of die schijf nou in een server zit die uit staat of aan staat maakt echt niets uit. Dat onder "verwerken" ook opslaan/bewaren wordt verstaan is overigens al heel lang zo. Dit is niet nieuw met AVG/GDPR.

In de Europese wet (richtlijn) tekst (die in de wetten van de afzonderlijke landen moet worden verwerkt) staat:
"verwerking van persoonsgegevens", hierna "verwerking" te noemen, elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Bron: http://eur-lex.europa.eu/...=CELEX:31995L0046:nl:HTML

[Reactie gewijzigd door Joop op 24 mei 2018 20:55]

Opslaan is gewoon voor meerdere uitleg vatbaar. Aan de ene kant zijn er gegevens op de schijf opgeslagen. Aan de andere kant druk je op Opslaan en dan gaat hij opslaan en daarna is hij klaar met opslaan.

In de context van 'gegevens verwerken' lijkt het me dat men het heeft over het proces van opslaan. Dus het wegschrijven van de gegevens.
2) „verwerking”: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
Dus dat is een beetje een catch 22: je mag het niet bewaren, maar je mag het ook niet weggooien...
Er staat niet dat je niet mag bewaren en weggooien. Er staat dat beiden vallen onder de noemer verwerking. Met andere woorden, je moet zowel voor opslag als voor verwijderen voldoen aan de wetgeving. Geen tegenstrijdigheden dus :)
Het probleem met "verwerking" is dat je voor elke verwerking (dus ook voor verwijderen) uit moet kunnen leggen waarom je die verwerking uit mag voeren. Het is niet alleen zo dat een persoon in bepaalde gevallen kan eisen dat je gegevens verwijderd, er zijn ook gevallen waarbij een persoon van je kan eisen dat je gegevens juist niet verwijderd (bijvoorbeeld als ie denkt jouw gegevens nodig te hebben als bewijsmateriaal in een rechtszaak). Dus als je, nadat de AVG van kracht is geworden, een database hebt met gegevens die je niet zou mogen hebben, dan mag je die (voor zover ik de regels begrepen heb) niet verwijderen, tenzij je kunt onderbouwen waarom je het recht hebt om die gegevens te vernietigen. Het zou best kunnen dat "ik mag ze niet hebben, dus het moet weg" een geldige reden is, maar het is niet zo dat in elke situatie "oh, dan verwijderen we de zooi toch gewoon" per definitie een legale oplossing is.
Het opslaan is echter al gebeurd voor de GDPR inwerking trad; opslaan is een werkwoord die een actie aangeeft. En voor de GDPR waren er inder strenge eisen en waren de toezichthouders relatief tandloos.

Als je verder leest kom je ook 'vernietigen van gegevens' als verwerking tegen. Ironisch genoeg is het nu dus een GDPR overtreding als ze de gegevens vernietigen.

[Reactie gewijzigd door Omega Supreme op 24 mei 2018 11:13]

De GDPR is in werking getreden op 25 mei 2016. Vanaf dat moment had je als organisatie twee jaar de tijd om je bedrijfsprocessen op orde te brengen. Vanaf morgen kan er ook daadwerkelijk gehandhaafd worden dmv het uitschrijven van boetes.
Strict gezien heb je gelijk, alleen eindigt morgen de overgangsperiode en de meeste zullen dit zien als 'in werking treden" Als je vandaag nog niet voldoet kan je namelijk nog zeggen dat je met de implementatie bezig was" en wordt er niet gehandhaafd met bijbehorende boetes. Het verandert dus niets aan wat ik zeg: als je je in de overgangsperiode (uiterlijk vandaag) uit de EU terugtrekt heb je niet te maken met de strengere handhaving.
Gegevens die na 24 mei 2016 zijn vastgelegd vallen onder de GDPR. Dus simpelweg het staken van je dienstverlening aan EU-burgers is niet voldoende. Vernietiging is inderdaad een vorm van verwerking, maar de GDPR zegt niet dat dat niet mag. Om te mogen verwerken moet er sprake zijn van doelbinding. Nu deze partij zijn dienstverlening aan EU-burgers beëindigt is daar niet langer sprake van, en moet de betreffende partij de gegevens vernietigen. Pas als deze partij ook deze gegevens heeft vernietigd heeft het niets meer te maken met de GDPR. Zo lang ze de dienstverlening niet opnieuw starten natuurlijk.
Het maakt niet veel uit, Pinterest is de eigenaar en heeft kantoren in de EU, waaronder Berlijn. De EU kan ze dus aanpakken.

Als ze echt alles in de EU hadden gesloten was het simpeler geweest voor ze, zelfs als de EU dan had gezegd dat de GDPR van toepassing is, dan had de Amerikaanse rechter hier nooit aan meegewerkt. Zelfs als ze alle data hadden bewaard.

Ik had geen zin in deze shit en heb mijn eigen forum dus overgedragen aan een Amerikaan en ben zelf gewoon lid geworden ipv eigenaar. Die Amerikaan kan de hele GDPR geen drol schelen, hij heeft geen enkele band met de EU.
Opslaan is mss wel een verwerking, maar wat met 'opgeslagen zijn'. Volgens mij is er geen sprake van verwerking als de data al opgeslagen is en ze er niets mee doen.

Daarom sluiten ze de dienst af, zodat er vanaf 25/05 geen nieuwe data kan opgeslagen worden
Ze doen er altijd wat mee lijkt me, al draaien ze maar een backup van hun, vervangen/verplaatsen ze de server of gaat er een virusscan overheen.
Volgens mij is het zo: ook de opgeslagen data valt onder verwerking, je moet namelijk een geldige reden hebben om die data opgeslagen te hebben staan. Het kan bijvoorbeeld essentieel zijn voor de processen binnen het bedrijf of voor medische bijstand. Maar het kan bijvoorbeeld opgeslagen moeten zijn omdat de wetgeving bepaalt dat jij de data voor x jaar beschikbaar moet houden voordat je het weggooit. Als je er niets mee doet, maar er staat wel data in waarmee je een persoon kan identificeren (naam icm emailadres bijvoorbeeld) en je kan niet een legale reden tonen waarom je die data (nog) hebt, dan ben je in overtreding.
En zelfs dit afschermen valt onder verwerken ;)
Gelukkig hebben ze die verwerkingshandeling dan voor 25 mei uitgevoerd ;-)
maar wel nadat deze wetgeving was ingetreden 2 jaar geleden
Dus? Die twee jaar was een overgangstermijn, waarin je de tijd had om aan de voorwaarden te gaan voldoen. Het is dus geen enkel probleem dat je in deze periode niet aan de GDPR voldeed. En vanaf vandaag bieden ze geen diensten meer aan in de EU en hebben ze geen vestiging inn de EU en vallen ze niet meer onder de GDPR.
Offline halen van de servers geeft geen enkele garantie omtrent het verwerken van de opgeslagen gegevens.
Dat argument zie ik hier meerdere keren voorbij komen. Ik vraag me af of dat niet voorbij gaat aan het legaliteitsbeginsel (nulla poena).
Het legaliteitsbeginsel (in het strafrecht ook bekend als het nulla poena-beginsel) houdt in dat overheidshandelen gebaseerd moet zijn op een vooraf aanwezige wettelijke bepaling. Het voorkomt dat de wetgever met terugwerkende kracht regels kan opleggen. Het beginsel wordt beschouwd als een essentieel onderdeel van de democratie en de rechtsstaat.[1] De invulling van het legaliteitsbeginsel verschilt per land en rechtsstelsel, maar ook per rechtsgebied. Zo kan er een onderscheid worden gemaakt tussen het staatsrechtelijke, strafrechtelijke en bestuursrechtelijke legaliteitsbeginsel.
Dit is geen terugwerkende kracht, immers ze verwerken (slaan nog steeds gegevens op) op 25 mei, per dan zijn ze in overtreding, het gaat dus niet om iets met terugwerkende kracht. Ze zouden ook op 25 mei de gegevens kunnen wissen.
Maar als je actief Europese gebruikers Weert. Hoef je je natuurlijk niet aan Europese wetgeving te houden. Deden ze nog steeds zaken met Europese gebruikers kan het weer wel.
Dat is volgens mij niet waar, volgens mij moeten ze zich aan de EU wetgeving houden omdat ze data van europese gebruikers opslaan (=verwerken)
Je moet dit soort logica in de goede richting toepassen. De eerste vraag is welke wetten er van toepassing zijn; de tweede vraag is wat er in de relevante wetten staat.

Het punt hier is dus dat je eerst moet bepalen of de GDPR uberhaupt van toepassing is, voordat je kijkt naar de GDPR inhoud. En dan zie je dat deze dienst niet (meer) aan EU gebruikers wordt aangeboden. Daarmee valt de dienst niet onder de GDPR. Je moet dus de Amerikaanse wet toepassen.

De Amerikaanse wet zegt weinig bijzonders over de data van Europese gebruikers, dus daar houdt het snel op.
Het gaat helemaal niet om of ze een dienst aanbieden, maar of ze gegevens van europese gebruikers verwerken.
1. Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.
L 119/32 NL Publicatieblad van de Europese Unie 4.5.2016
In dat geval (en dat is hier volgens mij het geval) vallen ze onder de GDPR.
Die paragraaf is niet van toepassing; er is geen sprake van een "vestiging ... in de Unie".

De volgende paragraaf moet je hebben, die beschrijft wanneer de GDPR van toepassing is op verwerkers zonder een vestiging in de EU. ("door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker"). En dan is het criterium is in de huidige tijd geschreven : "het aanbieden van goederen of diensten aan deze betrokkenen in de Unie".

Instapaper valt momenteel dus niet onder de GDPR, omdat ze niet in de EU gevestigd zijn, en momenteel geen goederen of diensten aanbieden aan Europeanen.
Maar dit hebben ze de afgelopen 2 jaar (de GDPR is 2 jaar geleden al effectief geworden) wél gedaan en die data valt dus wel onder de GDPR.
Ergens is het nu nog wat kwalijker, omdat Europeanen dus vanaf vanavond de data die Instapaper over hen heeft verzameld in de afgelopen 2 jaar niet eens meer in kan zien.
Dus een cronjob voor vanavond instellen die alle data van voor 24 mei 2016 wist van alle Europese gebruikers op basis van ip en accountgegevens inclusief quotes door niet Europeanen op andere sites is voldoende.

De implementatie is dan dat Europeanen geweerd worden en de verzamelde data vernietigd is. Hierdoor zijn ze dus met terugwerkende kracht niet actief in Europa.

Lijkt me alleen wel een fikse klus ;)
Niet direct, want verwijderen van data is ook verwerken (zoals eerder al door verschillende mensen is aangetoond). Maar waar ze dan wel voor hebben gezorgd, is dat ze deze verwerkingen hebben uitgevoerd, voordat er boetes uitgedeeld worden.
Het verwijderen hoort bij de implementatie. Ja, je hebt gehandeld onder de GDPR, maar je keuze is geweest om Europeanen uit te sluiten. Om dat te implementeren moet je ongedaan maken wat binnen de GDPR gedaan is. En dat is dus verwijderen.
Doe je het de 25e (let op de tijdzones!), dan ben je in overtreding
Op zich wel, maar ze genereren in ieder geval geen nieuwe data. Dus de vraag is dan hoe snel ze die gegevens redelijkerwijs moeten vernietigen.
Backup?
Gegevens staan in database, die schoont zichzelf ook regelmatig op waardoor de gegevens wel degelijk worden 'verwerkt'...
Ik vermoed dat er ook high availibility clusters actief zijn binnen een virtuele omgeving, die data wordt ook regelmatig verplaatst en gekopieerd...
Dat soort technische haarkloverij heeft geen juridische consequenties. RAM wordt elke paar milliseconde gerefreshed, waarbij de bits technisch gekopieerd worden, maar juridisch gezien worden bits gewoon bewaard in RAM. En om een iets langere tijdsschaal wordt data misschien gekopieerd bij wear levelling van flash, en ook dat is juridisch een non-actie. Jouw voorbeelden hebben evenveel juridische betekenis.
Klopt je bent zelfs in overtreding want in de wet staat ook niet iets over beschikbaarheid van de gegevens en over waarborgen van veerkracht van het systeem
Behalve dat de GDPR van toepassing is op alle EU burgers; niet op presence in de EU. Ze hebben (hoogstwaarschijnlijk) gegevens van EU burgers, dus moeten ze compliance zijn

Dit is echt een absurde zet van Pinterest. Ze komen hiermee niet onder de GDPR vandaan.
Het gaat om bedrijven die diensten in de EU aanbieden. Als je geen diensten in de EU aanbied, dan heb je er niets mee te maken.

Dus als jij als EU inwoner op vakantie je gegevens achterlaat bij een Amerikaans bedrijf dat alleen in de VS actief is, kan je hoog of laag springen, maar de GDPR helpt je niet.
Ik twijfel... Als ze geheel Europa afsluiten, dan doen ze in feite vanaf dat moment geen zaken meer met mensen in Europa.. dus hoeven ze ook niet meer te voldoen aan Europese regelgeving?? (al hebben ze natuurlijk nog wel de data van Europese gebruikers - dus of die vlieger opgaat? Ik weet het niet!) Ik twijfel ook nog hoe Privacy Shield dan een rol heeft?

Hoe dan ook is het een tamelijk drastische maatregel waaruit blijkt dat ze de spullen nu nog niet op orde hebben. Als gebruiker kun je daar natuurlijk ook je conclusies uit trekken... Ik maak er geen gebruik van, maar zou ik dat wel doen dan zou dit voor mij een red flag zijn en zou ik toch minimaal overwegen mijn account stop te zetten...

[Reactie gewijzigd door kazz1980 op 24 mei 2018 10:52]

Maar enkel offline gaan is niet hetzelfde, dan zouden ze ook alle gegevens moeten vernietigen lijkt me. Het bedrijf heeft die gegevens verzameld, dus zaken "gedaan". Ik neem aan dat als een bedrijf stopt zaken te doen het nog steeds verantwoordelijk is voor de gegevens (en ze dus vaak zal vernietigen) maar over vernietigen van gegevens wordt niks gezegd. Dus het klinkt vooral als symbolische flauwekul van instapaper
Ik denk het ook ja. Maar toch twijfel ik een beetje of ze hiermee niet een maas gevonden hebben in die regelgeving...
Ik denk dat ze wel voldoen nu, omdat ze geen gegevens meer actief verwerken. Uiteraard is het duidelijk in hun belang om snel hun zaken op orde te hebben en de EU weer aan te sluiten en als ze dan voldoen gaat echt niemand een zaak hierover starten, dan heb je écht niets beters te doen.
De GDPR voorziet niet in de situatie dat bedrijven stoppen met onder de GDPR te vallen. Dat kun je een foutje noemen, maar zo is de GDPR nu eenmaal geschreven. En omdat die situatie niet is voorzien, hoeft er geen speciale actie ondernomen te worden door een bedrijf dat ophoudt met onder de GDPR te vallen.
Ik twijfel ook nog hoe Privacy Shield dan een rol heeft?
Geen antwoord op je vraag, maar de 'grap' met Privacy Shield is dat dat geheel op zelf-certificering berust... En daar is de EU dus akkoord mee gegaan. 8)7 Beetje met twee maten meten ten opzichte van EU-bedrijven.
Gegevens vernietigen en ze voldoen wel aan de AVG?

Echt raar dat er niet gewaarschuwd wordt en de kans gegund om tijdig de downloaden..Bewuste actie of paniekvoetbal?
Dit lijkt me een typisch geval van paniekvoetbal ja. We zien bij klanten wel vaker deze reactie terwijl dit vaak helemaal niet nodig is. Nu hebben we hier in de EU wellicht ook gemakkelijker toegang tot GDPR-specialisten die dit kunnen oppakken dus als ze er pas deze week mee begonnen zijn hebben ze wellicht moeite om inzicht te krijgen in wat dit nu voor een impact heeft.

Als je al een eindje op weg bent met het toewerken naar GDPR-compliancy dan is een realistische road-map ook prima om te laten zien mocht er ineens een Autoriteit op de stoep staan. Het AP in Nederland bijvoorbeeld begrijpt heel goed dat nog niet elk bedrijf helemaal voldoet aan de GDPR / AVG.

Eerste instantie werken ze dan ook alleen op basis van klachten; dus mochten er na 25 mei ineens bij Instapaper allemaal verzoeken tot inzage data, etc binnenkomen waar ze niet aan kunnen voldoen én die mensen gaan vervolgens allemaal een klachten indienen én de Autoriteit van het land waar ze zetelen heeft voldoende mankracht (nee :p) dán hebben ze een kans dat er een onderzoek komt. Als dan vervolgens blijkt dat ze pas deze week begonnen zijn met het uitzoeken wat GDPR allemaal mag inhouden, ja.. dan hebben ze kans op een boete.

Maar als je laat zien dat je je uiterste best doet om te voldoen en je hebt al stappen gezet maar je hebt nog 3 vacatures niet kunnen invullen, nieuwe CEO die nog bijgepraat moet worden en bij al je ontwikkelteams staat al lange dit soort zaken op de agenda..dan kan je daar over onderhandelen. De AP's van alle landen zijn er niet alleen om kwaad naar binnen te rennen en 4% van je wereldwijde jaaromzet op te eten maar hebben ook een ondersteunende rol.

maar nogmaals, daarbij moet je wel kunnen aantonen dat je al wat ondernomen hebt. Als je daadwerkelijk pas deze week begonnen bent dan heb je echt lang je kop in het zand gestoken. Het afsluiten van bezoekers uit de EU zorgt er dan iig voor dat je iets aantoont geen nieuwe data van EU-burgers te verzamelen.
Er staat nergens dat er gegevens verwijderd worden, sterker nog, het tijdelijk downgaan suggereerd dat je daarna dus weer bij je gegevens kunt.
Het komt er dus op neer dat door offline the gaan voor eu gebruikers, ze _juist_ de AVG niet nakomen. Immers, het doel is om gebruikers inzicht te geven in de opgeslagen gegevens van deze gebruikers. Dit is nu helemaal niet meer mogelijk.
Gaan er nu direct al boetes uitgedeeld worden?
Gegevens vernietigen en ze voldoen wel aan de AVG?
Neen.
Ook het vernietigen van gegevens is een verwerking. Dus als ze na 24:00 vanacht die gegevens vernietigen hebben ze alsnog niet aan de wet voldaan. Mocht je alle gegevens van EU gebruikers voor die tijd permanent vernietigen dan kom je er mogelijk mee weg. Even niet lettend op al langer geldende wetgeving...
of ze gaan eerst hun hele database backuppen en doorsluizen naar overheids instanties nu het nog kan. en daarna pas voldoen aan de AVG wetgeving
Sinds AVG hebben opeeens veel buitenlandse bedrijven last van dit soort gevalletjes.

Je merkt wel soort van impact.
Wat me opvalt is dat buitenlandse bedrijven niet om een bevestiging vragen voor akkoord, terwijl Nederlandse bedrijven dat meestal wel doen.

Verder heb ik steeds een aanvraag van Pickwick/DE waarbij ik een jaar thee of koffie kan winnen.Het ziet er normaal uit, maar ik ga die echt niet bevestigen.
Natuurlijk niet. Als ze online blijven voldoen ze er niet aan (en kunnen ze een boete krijgen). Nu leveren ze niet aan Europa dus vallen ze niet onder de AVG/GDPR. De oude gegevens hadden ze al eerder. Die verwerken ze nu ook niet meer. Maar zoals gezegd, ze bedienen nu de EU markt niet, dus vallen ze niet onder de AVG/GDPR.

[Reactie gewijzigd door Slingeraap2 op 24 mei 2018 13:10]

Niet meteen, er bestaan (dacht ik) 3 niveaus van sancties waarvan de hoogste effectief straffen is en die zal je pas krijgen bij feitelijke overtreding, maar dan zijn ze nu eigenlijk ook al in overtreding en is het offline halen van de diensten geen oplossing.
Dus ook als ze offline zijn moeten ze gewoon voldoen aan de AVG.
Nadat ze offline gaan draaien ze natuurlijk netjes een "delete * from user" en komende maandag of dinsdag of zo mag iedereen zich opnieuw registreren. :p
Sterker nog, hoe kun je nu je eigen gegevens downloaden? Ze zijn immers offline. Dit is echt een heel raar besluit IMHO.
Strikt genomen hoeft dat geen probleem te zijn. Dat soort verzoeken kun je bijvoorbeeld via een emailtje indienen (ik neem even aan dat de klantenservice wel gewoon bereikbaar blijft). Je hebt vier weken de tijd om op zo'n verzoek te reageren, dus zelfs als ze drie weken down gaan, dan kunnen ze nog steeds aan deze eis voldoen (zolang ze de backlog van al die verzoeken binnen een paar dagen weg kunnen werken).
Zolang ze de gegevens niet verwerken hoeven ze ook niet aan de AVG te voldoen. Verder kun je nog wel contact opnemen met Instapaper en dan de gegevens opvragen, dan hebben ze nog een maand om jou de gegevens toe te sturen.
Gegevens zijn misschien ook nog op te vragen? Nergens staat dat dat online moet kunnen :)
Dit biedt kansen voor ontwikkelaars voor een vergelijkbare dienst die wel voldoet aan de GDPR.
Copy-paste.


Er zijn al veel verschillende juridische bedrijven die de gegevens willen doorlichten en ‘advies’ willen geven. Alleen de wet is hetzelfde dus de uitkomst zal in +90% van de gevallen soortgelijke uitkomst geven.

https://www.arag.nl/zakelijk/uw-bedrijf/avg/
En er zijn een meer die soortgelijke diensten leveren.
Wat niet helpt is dat volgens mij een hoop van dat ‘GDPR advies’ van lage kwaliteit is. Het zou me absoluut niets verbazen als een deel van het advies pertinent onjuist of zelfs strafbaar gedrag in de hand werkt.

Ik las van de week een aardige analyse waarin werd beschreven dat een hoop van die paniek emails van clubs om te vragen of je op hun mailinglijst wil blijven geen juridisch nut hebben. Sterker nog, als jij al geen toestemming had van iemand om ze op je lijst te hebben dan ben je strafbaar als je ze een mail stuurt om te vragen of ze er op willen blijven. 😀

[Reactie gewijzigd door Maurits van Baerle op 24 mei 2018 12:23]

Ik bedoel een vergelijkbare dienst als Instapaper.
Het valt me op hoe elk bedrijf anders lijkt om te gaan met de nieuwe wet, je moet opnieuw subscriben op de maillist, gewoon AV aanpassen, stoppen met EU service, zelfs 1 waar je account verwijderd wordt als je niet inlogt.

Misschien hadden ze iets concreter neer moeten zetten wat nu wel/niet meer mocht?

Goed, voordeel is wel, het ruimt enorm veel spammail op :D
De reactie van bedrijven verschilt omdat de bedrijven verschillen. Daar kun je niet uit afleiden dat de GDPR te abstract is.

Zoiets als "opnieuw subscriben" is overbodig als een bedrijf de GDPR twee jaar geleden zag aankomen en toen al de inschrijving GDPR-compliant maakte. Bedrijven die dat niet deden moeten inderdaad nu opnieuw toestemming vragen om mails te mogen blijven zenden, en dit keer wel GDPR-compliant.

Hetzelfde geldt voor AV aanpassen: dat is alleen nodig als de oude AV in strijd was met de GDPR. Er is geen enkele verplichting om per mei 2018 je AV aan te passen, als je al eerder aan de GDPR voldeed.
Want twee jaar tijd was niet genoeg.
Nee, want momenteel kan zowel het AP als het ministerie van financien niet aangeven hoe e-commerce bedrijven moeten omgaan met het recht op vergetelheid vs de plicht voor bedrijven om 7 jaar transacties te behouden. Je kunt niet ineens zomaar een debiteur uit je administratie verwijderen.. Het is dus wachten op de eerste boetes van het AP om hier duidelijkheid in te krijgen, want niemand bij de overheid durft nu te geven welke wet precedent heeft.. Verwijderd je alle gegevens van een klant uit je systeem, dan heb je op z'n minst een incomplete boekhouding. Behoud je de gegevens, dan ben je in gebreke wat betreft de AVG..

Zeg het maar, aan welke wet moet bijvoorbeeld een bol.com voldoen? Wij hebben het nu zo geimplementeerd dat je deels verwijderd wordt uit onze systemen. Op de website ben je niet langer bekend, maar je persoonsgegevens blijven gewoon in de boekhouding aanwezig.. Maar dat houd ook in dat wij niet 100% aan de AVG voldoen..

Overigens zijn bedrijven niet de enige welke niet klaar zijn.. Het AP heeft zelf ook aangegeven dat het te weinig personeel heeft (nieuws: 'Privacyregels EU eisen verdrievoudiging personeel Autoriteit Persoon...) en er zijn zelfs enkele Europese lidstaten welke de richtlijn nog niet (officieel) hebben omgezet naar wetgeving, zie ook:
https://www.reuters.com/a...privacy-law-idUSKBN1I915X

Onder andere de belastingdienst en de SVB zijn ook nog niet klaar:
https://www.bnr.nl/nieuws...d-nog-niet-klaar-voor-avg

Dus als antwoord op je vraag: Nee, twee jaar is niet genoeg..
Nee, want momenteel kan zowel het AP als het ministerie van financien niet aangeven hoe e-commerce bedrijven moeten omgaan met het recht op vergetelheid vs de plicht voor bedrijven om 7 jaar transacties te behouden.
Dit is niet waar. Het recht op vergetelheid is niet absoluut (https://autoriteitpersoon...heid-uit-de-avg-niet-5978). Als er een wettelijke basis is om de gegevens te bewaren, of als je er een gerechtig belang bij hebt, dan hoef je een verzoek tot vergetelheid niet uit te voeren.

Als dat wel zo was zou ik onmiddelijk naar de bank rennen waar ik mijn hypotheek heb, en ze vragen om mijn gegevens weg te gooien.
Bedrijven zijn net studenten: ze openen hun boek pas de avond voor het tentamen en komen er dan achter dat het best veel werk is.

Wetgeving wordt op het allerlaatste moment pas geimplementeerd, en soms blijkt het meer werk dan gedacht.
Dat niet alleen, veel bedrijven hoorden er pas recent over toen het een beetje in de media begon te komen de afgelopen tijd. Vooral Amerikaanse bedrijven hebben veelal geen flauw benul dat deze wet er is, intussen nogsteeds niet.

Ook Nederlandse ondernemers worden eigenlijk maar heel slecht ingelicht. Netjes een brief of ook maar een email van de KvK, AP of Belastingdienst dat de EU een nieuwe wet heeft aangenomen krijg je echt niet. Idem dito met EU-VAT/MOSS destijds, er zijn nu nog bedrijven in NL die niet eens weten dat het bestaat. :+

Zo gek vind ik het niet dat er tig bedrijven zijn die niet klaar zijn. Het ergste is dat de overheid er nog niet klaar voor is, want als er iemand is die het wél wist... Afijn.
Ik kreeg vandaag een mail van de KvK met de kreet:
"Nog maar één dag...
De Algemene Verordening Gegevensbescherming (AVG) treedt 25 mei in werking. De AVG geldt voor iedereen! Wat betekent dit nu voor u? Bent u er al klaar voor? En wat moet u regelen?"


Ik lag vervolgens onder het bureau van het lachen (en het huilen)... Ze zijn lekker op tijd. Lijkt me een idee om die toko eens op te doeken en te vervangen voor een overheidsdienst die alleen een simpel register bijhoudt. Aan de KvK heb je als ondernemer nagenoeg niets. En ze verkopen je data gewoon... Tja...
Ik ben benieuwd of ze de data van ZZPers nu nogsteeds zomaar mogen verkopen.
Ik heb van de KvK ook geen mail gehad over een gewijzigde privacy policy of wat dan ook. :P
Wellicht kun je dat hier vinden: https://www.kvk.nl/privacy/

[Reactie gewijzigd door Skull_One op 24 mei 2018 13:35]

Of de EU markt heeft simpelweg geen prioriteit voor ze.

Zelf voldoen wij wel aan de GDPR, door een toevallig goede software keuze, maar als dat niet zo was geweest waren we ook op zwart gegaan in de EU. De EU verkopen vormen nog geen 0.1% van onze omzet en dan is het gewoon lastig te verantwoorden daar geld in te steken.
Goh, hoe lang weten ze dit nou al? Ze hadden dit al lang op orde moeten en kunnen hebben.
Precies. Lekkere laksheid.

Maar ergens is het ook wel weer begrijpelijk.
De politiek heeft immers niet de reputatie consistent te zijn en dus willen bedrijven niet investeren in een grote aanpassing todat er duidelijk is dat het echt door gaat om geen geld te verspillen.
Er word al genoeg geld verspild binnen bedrijven door vagere regels vanuit overheden en slecht management
De GDPR is op 24 mei 2016 van kracht geworden. Het enige wat er morgen verandert is dat er na een gewenningsperiode van twee jaar boetes uitgedeeld kunnen worden.

Twee jaar moet toch voldoende tijd zijn om zoiets in te voeren.
Nee, dat is niet zo. De GPDR is twee jaar geleden door de EER-landen ondertekent en gaat 25 mei 2018 in. Tot dat tijdstip geldt de Wet Bescherming Persoonsgegevens in Nederland.
Al was het 10 jaar geleden aangekondigd.
De europese politiek zijn zulke flipkonten dat je investering maar zo in rook op kan gaan omdat het toch maar terug gedraaid word.
Ik zou als bedrijf ook niet durven investeren tot het actief is.
Paar jaar geleden van Instapaper overgeschakeld naar Pocket. Geen moment beklaagd en nu nog minder!!! Dit besluit van Instapaper getuigd van een heel kortzichtig beleid...
Mooi zo :) Ik ben ook heel passief-aggresief bedrijven mails aan het sturen dat ik al mijn data wil inzien als ze me ongevraagd emails sturen.
Want de afgelopen twee jaar was nog niet voldoende tijd?
Het werkt nog steeds op dit moment.
Ik weet niet in welk werelddeel jij zit, maar hier in Nederland is het nog steeds donderdag hoor. Kortom: kunnen ze ook vanavond pas doen ;).
Scherp van je ..... Had ik nog niet door
Mooi, de wet werpt z'n vruchten af!
Opeens is privacy een miljoenenbussinnes.

Financieel gezien is de privacy van de gebruikers te grabbel gooien niet langer de voordeligste optie.
Reken er maar op dat er nu ergens een paar woeste aandeelhouders een boze brief aan het schrijven naar de directie om te klagen over dit verlies van inkomsten.

Alle concurrenten die hun zaakjes wel tijdig op orde hadden hebben nu een kans om te profiteren van hun investering.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*