Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Autoriteit Persoonsgegevens waarschuwt voor bedrijven die AVG-keurmerk aanbieden

De Autoriteit Persoonsgegevens heeft een waarschuwing afgegeven voor bedrijven die een zogenaamd AVG-keurmerk aanbieden, waarmee organisaties zouden kunnen aantonen dat ze voldoen aan de algemene verordening gegevensbescherming.

De privacytoezichthouder zegt geen dergelijk certificaat te hebben goedgekeurd. In de toekomst wordt het in Nederland wel mogelijk om een AVG-certificaat aan te vragen, maar niet bij de Autoriteit Persoonsgegevens. Dat moet bij een organisatie die dergelijke certificaten mag uitgeven na goedkeuring van de zogenoemde Raad voor Accreditatie. Met een dergelijk certificaat kunnen organisaties laten zien dat ze zorgvuldig omgaan met persoonsgegevens. De AP is alleen betrokken bij het beoordelingsproces voor de aanvraag van accreditatie.

Eerder deze week maakte Datanews al melding van een Nederlands bedrijf, genaamd AVG-Keurmerk, dat Belgische bedrijven benaderde met de mededeling dat ze niet aan de regels van de nieuwe privacywet voldeden. Vervolgens dreigde het daarvan melding te maken, tenzij het desbetreffende bedrijf zijn diensten afnam voor een bedrag van 195 euro per jaar. Datanews schreef dat het Nederlandse bedrijf geen contactgegevens op zijn site heeft staan. Die lijkt inmiddels offline te zijn.

De Belgische Gegevensbeschermingautoriteit, zoals de Privacycommissie nu heet, zei tegen de site dat het bedrijf inderdaad 'gebakken lucht' verkoopt.

Door Sander van Voorst

Nieuwsredacteur

07-06-2018 • 15:35

59 Linkedin Google+

Reacties (59)

Wijzig sortering
Ik heb de email van dat bedrijf ook gezien. De email was niet dreigend maar best vriendelijk geformuleerd. Maar ik moest er wel om lachen. Een bedrijf dat ongevraagd emails stuurt (naar mensen waar ze geen enkele klantrelatie mee hebben), om hen uit te leggen wat ze moeten doen om aan de AVG te voldoen. Ehhh. .. ga even bij jezelf op cursus denk ik dan maar 8)7
Ironisch is het sowieso ja. Maar is het daadwerkelijk verboden om via email contact te zoeken met bedrijven waar je (nog) geen klantrelatie mee hebt?
Ja, want een emailadres is een persoongegevens en die mag je niet opslaan (=verwerken) zonder toestemming van die persoon..

Dat is juist de reden dat je de afgelopen honderden emails hebt ontvangen of je nog steeds op de mailinglist van bedrijf X wilt blijven staan.

Binnenkort kunnen we al een rechtszaak verwachten AP vs KvK inzake het doorverkopen van gegevens van ZZP'ers aan derde bedrijven zonder toestemming van die persoon: nieuws: Autoriteit Persoonsgegevens gaat in gesprek met KvK over verkoop van ...
informatie uit het publieke domein mag wel degelijk worden opgeslagen (anders kan google de deuren wel sluiten...)
Informatie uit het publieke domein mag gebruikt worden voor het daarvoor beoogde doel.

Internet afschuimen om je sollicitant te screenen op gedrag valt daar bijvoorbeeld hoogstwaarschijnlijk niet onder; bizarre uitzonderingen daar gelaten.

Indexeringssystemen als Google hebben, onder voorwaarden, een uitzonderingspositie.
De rechtzaak zal wel tegenvallen.

Het KvK is een register van bedrijven (verplichte inschrijving) en de adres gegevens van een bedrijf is openbaar inclusief wie de eigenaar / directeur is.
Deze informatie wordt tegen productie kosten afgegeven..... (het is de bedoeling dat IEDEREEN, de eigenaar / bestuurder van een bedrijf kan aanspreken aanschrijven).

bv. iover gebrekkige dienst verlening, of om juridische dreigbrieven te sturen oid.
Ja, dat is verboden en daar is zelfs een naam voor, namelijk: 'spam'.


[quote]
Waar moet u op letten als u wervende e-mails, appjes of sms’jes uitstuurt?

Elektronische berichten en nieuwsbrieven met reclame voor een product, dienst, bepaald idee of goed doel kunnen spam zijn. Hoe voorkomt u dat u spamt? Zorg dat u voldoet aan 3 voorwaarden:

[list]
• U heeft uitdrukkelijke toestemming van de ontvangers vůůrdat u de berichten uitstuurt.
• De ontvangers kunnen zien dat u de afzender bent.
• De ontvangers kunnen zich probleemloos afmelden.
[/list]
[/quote]

bron: Autoriteit Consument & Markt


//edit: Bovenstaande klopt niet. Tweaker mrdemc bedankt voor je correctie. Voor bedrijven is acquisitie vaak wel toegestaan..

[Reactie gewijzigd door Ynst2003 op 7 juni 2018 21:52]

Dat is niet juist. Jouw quote betreft koude acquisitie richting consumenten. Voor bedrijven gelden andere regels en daarvoor geldt dat dit in veel gevallen is toegestaan:
https://ictrecht.nl/2017/...e-acquisitie-mag-dat-wel/

Ook ter info voor @Mickey77 en @GeertJohan

[Reactie gewijzigd door mrdemc op 7 juni 2018 17:14]

Cold calling valt onder de AVG..
Geeft niks, is allemaal op te lossen met een smart blockchain, waarmee je dan je data en digitale cryptocurrency kan cyber-encrypten voor de AVG en tevens de GDPR.
Alle gekheid op een stokje, er zijn wel degelijk extra regels voor cold calling binnen AVG. Dat ik een minnetje krijg boeit me niet zo, maar feit is wel dat het zo is.
@Ynst2003 Volgens mij heb je alles veel te snel door gestreept, jouw informatie is volgens mij gewoon juist. of je dit nu koude aquisitie noemt of spam, hiervoor heb je gewoon toestemming nodig.

@mrdemc Heb je de pagina zelf wel gelezen? Ik zie in het artikel het kopje "Koude acquisitie gericht op bedrijven is niet verboden." maar als je het artikel wat beter leest dan zie je dat dit kopje niet representatief is voor de rest van het artikel (zoals heel vaak met kopjes). Als je het hele artikel leest dan moet je concluderen dat het ongevraagd sturen van commerciŽle verkoop alleen is toegestaan als een een van twee voorwaarden wordt voldaan. Die twee voorwaarden vormen volgens mij geen meerderheid, maar dat is wel afhankelijk van hoe je zelf omgaat met je bedrijfsgegevens.

De eerste situatie is dat de ontvanger toestemming heeft gegeven voor aquisitie. Ik denk dat je ten aanzien van de spam van het AVG keurmerk (waar dit artikel over gaat) wel kunt stellen dat er van toestemming geen sprake is. Kijkend naar de aard van de email lijkt dit een bedrijf dat helemaal geen historie heeft en probeert mee te liften op de AVG-hype. Maar als ik kn mijn spam folder kijk dan zie ik helemaal geen "gevraagde" spam. Als je - net als ik - bij het afnemen van diensten alle vinkjes voor mailingen uitzet, dan is er helemaal nooit sprake van toestemming. Hoeveel % van de spam legaal is hangt af van je eigen gedrag, bij mij zou dat 1% kunnen zijn en bij jou 90%... geen idee.

Het tweede uitzonderlijke geval dat in dit artikel wordt genoemd is het geval dat men op een of andere manier aquisitie aanmoedigt, door een melding dat dit welkom is op een specifiek email adres. Een email adres dat men vind op contactpagina, is dat niet voldoende. Er staat heel duidelijk in dit artikel dat een email adres dat begint met "info' niet voldoet om dat zomaar te spammen (want dat email adres is gemaakt en op de contactpagina geplaatst met een ander doel).

Dan wordt er nog vaak geschermd met dat men gegevens heeft van de KvK. Voor het telefonische aquisitie heb je het belmijniet register, voor de KvK de non-mailing indicator. De gedachte dat een bedrijf gegevens van de KvK kan kopen en dan alle bedrijven vrijelijk kan mailen is ook achterhaald. De gegevens die door mij aan de KvK zijn verstrekt, waren verstrekt met een ander doel en bedrijf X dat ze koopt heeft van mij helemaal geen toestemming.

Omdat ik mij heb aangemeld voor het belmijniet register en de non-mailing indicator heb laten instellen, krijg ik ongeveer 1 ongevraagd telefoontje per jaar. Ten aanzien van spam geldt voor mij dat alles dat alle commerciŽle email die mijn IN box komt illegale spam is. Die enkele nieuwsbrief die ik wel wil ontvangen, sluis iuk direct door naar een submap. Dus voor mij geldt dat ik elke ongevraagde spam van een onbekende afzonder direct kan classificeren als spam en dus als overtreding.

Ik wil geen discussie uitlokken, er is veel vaag in het AVG gebied. Maar ik denk dat het vooral vaag wordt gemaakt door marketeers en advocaten. Die twee groepen hebben baat bij vaagheid, want daarmee verdienen ze geld. Welke vormen van koude aquisitie wel of niet zijn toegestaan... geen idee. Maar als je puur kijkt naar de regels (en naar dit artikel), dan mag je echt niet zomaar ongevraagd emailen!
Ik heb het volledige bericht gelezen op die pagina en het is exact zoals ik het zeg en jij het herhaalt, hoe je het ook verpakt.
Hoe kom je aan een lijst met e-mails is de vraag? Waarschijnlijk ingekocht bij de KvK :+
of ze moeten iets van een scraper hebben die zoekt naar /info pagina's en daar de e-mail vandaag pakt

[Reactie gewijzigd door Waterkoker op 7 juni 2018 16:35]

Ik deed dat wel eens, Google API gebruiken om 'places' te vinden in een bepaalde categorie bedrijven, dan de website die Google bij de gegevens opgeeft scrapen naar een emailadres en/of contactpagina. Best makkelijk om zo een bepaalde doelgroep eenvoudig te targetten.
Ik heb de email van dat bedrijf ook gezien. De email was niet dreigend maar best vriendelijk geformuleerd. Maar ik moest er wel om lachen. Een bedrijf dat ongevraagd emails stuurt (naar mensen waar ze geen enkele klantrelatie mee hebben), om hen uit te leggen wat ze moeten doen om aan de AVG te voldoen. Ehhh. .. ga even bij jezelf op cursus denk ik dan maar 8)7
maar... dat mag toch gewoon? Een bedrijf is geen persoon en kan niet onder de gdpr vallen.
Het blijft gewoon toegestaan om bedrijven spontaan te contacteren om diensten of produkten aan te bieden.
Ik zie niet in wat daar mis mee zou zijn.
De eerste zin "Een bedrijf is geen persoon en kan niet onder de gdpr vallen. " doet mijn wenkbrouwen fronsen. Waar haal je dat vandaan? De AVG beschrijft een groot aantal regels waar bedrijven aan moeten voldoen, het geeft rechten aan burgers, door plichten te stellen aan bedrijven.

Daarna "Ik zie niet in wat daar mis mee zou zijn." Er is ook niets op tegen om een individuele en persoonlijke email te sturen. Maar massaal commerciŽle berichten verzenden aan honderden, duizenden of miljoenen mensen/bedrijven tegelijk, dat is toch echt aan regels gebonden. Als je daarvoor geen toestemming hebt van de ontvangers, dan ben je toch echt grof in overtreding.

Als je dit nog niet wist en zelf mailingen stuurt, dan moet je toch even wat meer gaan lezen over de AVG.

[Reactie gewijzigd door Mickey77 op 8 juni 2018 09:02]

De eerste zin "Een bedrijf is geen persoon en kan niet onder de gdpr vallen. " doet mijn wenkbrouwen fronsen. Waar haal je dat vandaan? De AVG beschrijft een groot aantal regels waar bedrijven aan moeten voldoen, het geeft rechten aan burgers, door plichten te stellen aan bedrijven.
Bedrijven moeten voldoen aan de GDPR wetgeving (plichten), maar een bedrijf is zelf geen persoon (wel een rechtspersoon, maar geen natuurlijke persoon) en de gegevens over dat bedrijf kunnen bijgevolg niet onder de GDPR bescherming vallen (de rechten)
Daarna "Ik zie niet in wat daar mis mee zou zijn." Er is ook niets op tegen om een individuele en persoonlijke email te sturen. Maar massaal commerciŽle berichten verzenden aan honderden, duizenden of miljoenen mensen/bedrijven tegelijk, dat is toch echt aan regels gebonden
uiteraard, maar dat zijn andere regels dan de gdpr. Spamwetgeving blijft uiteraard van toepassing. De gdpr is geen spamwet
"maar een bedrijf is zelf geen persoon (wel een rechtspersoon, maar geen natuurlijke persoon) "

Dit is fiscaal onjuist. Er zijn ondernemingsvormen die een rechtspersoon zijn, maar er zijn er net zoveel die dat niet zijn. Zo zijn mensen die een eenmanszaak of een VOF hebben persoonlijk aansprakelijk en zijn hun bedrijfsgegevens volgens mij sowieso persoonsgegevens (zeker de vestigingsgegevens en mobiele nummers).

Ik wil er geen discussie van maken, maar ik denk dat jouw aanname dat de regels van de AVG niet op gaan als het gaat tussen bedrijf X en bedrijf Y niet juist is. Volgens mij is bedrijf X strafbaar als het de privacyregels overtreedt, ongeacht of het gegevens van Persoon Y of Bedrijf Y betreft. Dat is mijn interpretatie van de wetgeving.
Op zich is er niks mis mee.

Het issue is dat > 95 % van mail die bedrijven (en ook consumenten) ontvangen spam is. Gelukkig word het overgrote deel daarvan tegenwoordig gescreened door mailserver van ISP's of maildiensten, maar dat kost enorm veel geld dat linksom of reschtsom door de gebruiker betaald word.
Vreemd dat het AP zegt dat er een aan een keurmerk gewerkt word.
Dus tegenwoordig is het al marketing als je je aan de wet houdt.???

Dat je in deze tijden waarbij zelfs de belastingdienst het niet voor mekaar heeft wil laten blijken dat jij het wel voor elkaar hebt gekregen vind ik prima, maar een keurmerk? 8)7
Daar is het keurmerk niet voor, het keurmerk is voor de klanten zodat ze weten wat ze aan je hebben.

Net zoals je weet dat je bij https met een beveiligde verbinding te maken hebt of het kema keurmerk dat je elektrische apparaat veilig is.
Alleen is het verschil dat een HTTPS verbinding niet wettelijk verplicht is.
Dat ligt er aan of je in de private of publieke sector zit. In de publieke sector moet je namelijk hele goede redenen hebben om het niet toe te passen aangezien het op de pas-toe-of-leg-uit lijst staat: https://www.forumstandaar...standaard/https-en-hsts-0

In de publieke sector ben je wettelijk verplicht daar gebruik van te maken.
Interessant, ik had hier nog nooit eerder van gehoord. Dankje!
Het stomme is dus dat dit al jaren geldt voor organisaties als ziekenhuizen, scholen en huisartsen, maar dat keer op keer blijkt dat zelfs iets simpels als HTTPS en HSTS loading gewoon niet zijn geregeld.
Het is inderdaad simpel. Maar je moet wel net weten dat het verplicht is.
De mensen die hier verantwoordelijk voor zijn (dus management IT) is hier heel goed van op de hoogte. Dit wordt namelijk in iedere pentest meegenomen als lijst met requirements op het gebied van security bijvoorbeeld. andere conventies als publicatie van REST interfaces voor open gebruik dat dit via OpenApi specificatie wordt overgelegd staan er bijv ook in.
Ik snap wat een keurmerk is. Dankjewel.
Maar stel ik ben schilder kan ik dan een keurmerj dragen dat ik niet mijn verf door de gootsteen spoel?

Een beetje vreemd dat je een keurmerk draagt voor iets wat je toch al niet hoort te doen.
Ja dat kan: NEN-EN-ISO 14001 (en 14002). Certificering van een geimplementeerd milieuzorgsysteem, waarbij ook geborgd is dat je de geldende wetgeving volgt (want je mag verf niet door de goot spoelen).
Niet dat het heilig is, maar zeker in de beginfase moet je regelmatig een audit uit laten voeren door een geaccrediteert bedrijf (bv KEMA).

Een ISO certificering kost je als bedrijf wel de nodig knaken, maar soms kan het de moeite waard zijn, bv voor business-to-business, waar het kan schelen als je zelf een toeleverancier niet meer hoeft door te lichten.
Dit zijn wel behoorlijk papieren tijgers hoor. Bij een 14001 audit komen de auditors zelden verder dan het kantoor van de milieuverantwoordelijke persoon/afdeling. Nagenoeg nooit spreken ze daadwerkelijk met mensen op de werkvloer. En als ze dat wel van plan zijn word het meestal vooraf aangekondigd dat ze dat willen tijdens een geplande audit.
Niet meer of minder dan bij ieder ander certificaat, keurmerk etc. Ik heb in de afgelopen 20 jaar gewerkt met ISO, 6-sigma/Lean, TQM en COPC (specifiek voor de callcenter branche) en het is allemaal theorie. Als je als organisatie dit alleen maar voor de sier doet, dan zal het niet werken. Ben je bereid het serieus te nemen, dan pas heeft het enige waarde.

En soms moet die dwang worden opgelegd door de overheid. Het bedrijf waar ik mijn afstudeeropdracht heb gedaan, moest een 14002 certificering halen van de gemeente, alvorens die een vergunning wilde verstrekken voor uitbreiding van de bedrijfsfaciliteiten met een extra productiehal. En de gemeente ging ook toetsen op naleving, dus daar had men al meer motivatie :-)

Maar je hebt wel degelijk een punt hoor :-)
In de toekomst wanneer alle bedrijven aan de AVG voldoen is het keurmerk niet meer nodig.
Maar op dit moment zijn er nog zo veel die niet in orde zijn dat het wel nut heeft.
Volgens mij gaat het om https://www.avg-keurmerk.com/ , waarbij https ook nog eens niet goed geconfigureerd is.

Edit: bij de http variant kom ik op een default hostnet pagina terecht.

[Reactie gewijzigd door shytah op 7 juni 2018 15:40]

dat is hem inderdaad, alleen is die al offline gehaald
E-mails naar hun e-mailadres werden vanuit Thailand en Amerika (via proxy) gelezen.
Yep,
Gevestigd Kerkweg 19 in Leek Groningen (niet dus)
website werkt niet meer, gister nog wel
Telnummer 020-2614822 stond er bij, blijkt dikke oplichterij.
Gevestigd in Groningen met een Amsterdams nummer 8)7
Dat kan tegenwoordig. Zekers sinds VOIP, waarbij je een nummer overal mee naar toe kunt nemen, ook het buitenland. Dus het is niet per definitie bedrog meer.
Je hebt daar zelfs geen VoIP voor nodig. Voor VoIP had je ook al doorschakeldiensten om te voorkomen dat je al je klanten een nieuw nummer moest doorgeven als je naar een ander netnummergebied ging.
dat is zeker mogelijk hoor, je kunt bij verhuizing gewoon je nummer mee nemen, net als een mobiele telefoon. Hier in mijn dorp <2k inwoners) toch vele verschillende netnummers, en helemaal binnen hetzelfde netnummer veel "andere dorp"nummers ;) (wij beginnen met 45 na het netnummer, velen met andere eerste 2 nummers na het netnummer)
Het afgelopen jaar doken er ook allerlei zogenaamd geaccrediteerde opleidingen op voor Functionaris Gegevensbescherming en/of de AVG in het algemeen. Uiteindelijk werd er geen woord gerept over welke accreditatie dat dan was (was/bestaat er ook niet) en bleken het vooral flink betaalde cursussen van enkele dagdelen door weinigzeggende figuren.

Het is IMO vooral gebruik/misbruik maken van de onwetendheid van ondernemers, organisaties en zelfs overheden om onder de vlag van urgentie een hoop geld binnen te harken. Hetzelfde geldt grotendeels voor allerlei cyberverzekeringen die overal opduiken
Ik zou het alleen niet enkel 'ontwetendheid' van de ondernemers noemen, ik zet AP toch ook een stukje verantwoordelijk in 'onduidelijkheid'. Wij werken met een kleine 1000 bedrijven, de diversiteit (en interpretatie) van de wet en de gevolgen/informatie is bizar breed te noemen (met trouwens echt een paar humor mailtjes :P).
Wat ik vooral gezien heb is dat toch vooral de "adviseurs" zijn die bedrijven/bedrijfjes/verenigingen onnodig in de war hebben gebracht. De AVG is 95% gezond verstand en 5% weten wat de wet betekent.
In de cache staan wel contactgevegens:

Kerkweg 19, 9351 AJ Leek

Alleen geen verdere gegevens over wie erachter zit, een telefoonnummer of e-mail. Misschien mochten ze dat volgens de AVG niet publiceren...
Op dat adres vind je in google ook nederlandsdomeinregister.nl
Trouwens ook met 020 nummer en kvknummr: KvK: 64626679

zoek je trouwens bij kvk dan zie je op dat adres een opgeheven kvk nummer ook onder de naam nederlandsdomeinregister.nl en met nog geldig kvk

In 2012 was het adres volgens link naar facebook nog huurhuis.
De gegevens komen bij de Kamer van Koophandel vandaan weet ik uit ervaring, daar is ons mailadres niet bekend, maar via een omweg hebben ze deze van ons opgespeurd en gekoppeld..
Beetje hilarisch is het wel trouwens om SPAM te sturen in het kader van de AVG :+

[Reactie gewijzigd door DeComponeur op 7 juni 2018 15:41]

Business to business mag dat he... Niet dat dat prettig is ofzo, dat is ook waarom het soms zo vervelend is dat de KvK maar triest omgaat met de (bedrijfs)gegevens.
Niet alleen KvK maar ook belastingdienst (BTW-nummer van ZZPers :( ).
ťťn van de redenen dat ik inderdaad ook geen ZZPer zal worden, gelijk heel het internet weet je sofinummer....
Je bsn (sofi) hoef je niet online te zetten hoor, wel op de factuur.
Als zzp'er ben je dus verplicht om je btw-nummer te melden, maar deze is gekoppeld aan je burgerservicenummer (bsn) en daarmee direct herleidbaar tot een persoon.
Hoe hiermee om te gaan is al lange tijd onderwerp van politieke discussie.
@WhatsappHack Business to business geldt waarschijnlijk dus niet voor ZZP-ers, die worden wel degelijk gezien als privťpersoon, hoe dat straks precies uitpakt... voer voor juristen...
Je kunt een ander nummer kiezen als je dat wilt
Hoe kan je dit als zzper doen?
Bij de kvk aanpassen bij het inschrijven
wat is er mis met een google streetview foto van 2 jaar geleden? Dat zegt helemaal niets, daar kan nu gewoon een legit bedrijf in zitten als ik zo naar de omgeving kijk is het bestemmingsplan namelijk bedrijf(swoningen)
Gaat de A.P. voor mijn bedrijfsmodel waarschuwen?
Ik richt mij toch niet op de consument.

Als je bij een AVG-certificaat koopt, verklaar ik dat ik vol doe aan de AVG.
Maar je moet hem wel, elk kwartaal vernieuwen.

[Reactie gewijzigd door wica op 8 juni 2018 09:32]

?

Hier is weinig van te maken.
Dit zijn schunnige praktijken. Bij elke nieuwe regel of wet duikt er wel weer een oplichter op die er een slaatje uit wil slaan.

[Reactie gewijzigd door Jorgen op 8 juni 2018 01:33]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True