Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Autoriteit Persoonsgegevens int dwangsommen voor overtreding privacywet - update

Een onbekend aantal organisaties die de algemene verordening gegevensbescherming overtreden, heeft inmiddels dwangsommen betaald aan de Autoriteit Persoonsgegevens. Volgens de voorzitter van de privacywaakhond is er voor tonnen aan dwangsommen opgelegd.

De voorzitter van de Autoriteit Persoonsgegevens, Aleid Wolfsen, spreekt van 'heel hoge dwangsommen' die zijn opgelegd aan organisaties die de AVG overtreden. Hij heeft het tegenover BNR over 'tonnen', maar precieze bedragen noemt hij niet. Ook is onbekend om welke organisaties het gaat en hoeveel dwangsommen inmiddels zijn geÔnd. Als bedrijven zich blijvend niet aan de AVG houden, kunnen de boetes oplopen tot maximaal 20 miljoen euro of vier procent van de wereldwijde jaaromzet.

Wolfsen deed zijn uitspraken naar aanleiding van claims van BNR op basis van gesprekken met juristen, Bedrijven uit het mkb zouden de AVG nog veelvuldig overtreden, omdat ze de wetgeving niet duidelijk vinden. Er zou sprake zijn van een chaotische situatie die voort zou duren omdat de Autoriteit Persoonsgegevens nog niet handhaaft. De voorzitter erkent dat lang niet iedereen zijn zaken op orde heeft, maar volgens hem is de bewustwording over de AVG verbeterd en zijn bedrijven er druk mee bezig.

Update: Een woordvoerder van de Autoriteit Persoonsgegevens heeft aan Joost Schellevis van de NOS, die navraag deed naar de dwangsommen, laten weten dat het nog om procedures op basis van de voorganger van de AVG, de Wet bescherming persoonsgegevens, ging.

Door Olaf van Miltenburg

NieuwscoŲrdinator

17-09-2018 • 13:54

134 Linkedin Google+

Reacties (134)

Wijzig sortering
Even over de procedure bij dwangsommen: De Autoriteit Persoonsgegevens legt een last onder dwangsom op aan organisaties. Dit is een dwangsombesluit. Hierin staat dat binnen een bepaalde termijn de geconstateerde overtreding opgeheven moet zijn. Dat is de 'last'. Als na die termijn dezelfde overtreding nogmaals (of nog steeds) wordt geconstateerd, moet de organisatie een bepaald bedrag betalen. Dat is de dwangsom. Een organisatie 'verbeurt' dan een dwangsom. Dat betekent dat die organisatie een bepaald bedrag schuldig is aan de Autoriteit persoonsgegevens.

Op dit moment zit de Autoriteit Persoonsgegevens zich in de eerste fase. Er is een last onder dwangsom opgelegd. Ik kan nergens lezen dat de termijn om de overtreding te beŽindigen al is verstreken. Daarmee kunnen er ook nooit dwangsommen zijn verbeurd.

Overigens moet er na het verbeuren van de dwangsom ook nog een invorderingsbesluit worden genomen. Pas daarna kan de Autoriteit Persoonsgegevens ook daadwerkelijk dwangsommen innen. De kop van de titel is juridisch gezien niet juist.

edit: tikfoutje

[Reactie gewijzigd door burnds op 17 september 2018 14:38]

Goede uitleg, dat is denk ik ook de reden waarom de namen van de organisaties niet bekend zijn gemaakt, ik mag hopen dat ze dat wel doen na de verstrekking van de termijn, immers als burger zou je het recht moeten hebben dat een partij onzorgvuldig met je gegevens is omgegaan.

.
Er is in verschillende media (o.a. BNR) al gecommuniceerd dat de eerste dwangsommen verbeurd zijn.

Nu weet ik niet of dat is wegens het overschrijden van een termijn. Een ander soort dwangsom verbied je juist om iets te doen, en die verbeur je zodra je de overtreding maakt. Dat kan dus na 5 minuten al zijn.
Als het correct was, klonk het niet zo mooi en werd er minder op geklikt natuurlijk.
Naast de boetes zou ik het ook erg waarderen als de geleerde lessen gepubliceerd worden. Gezien de AVG nog steeds erg onduidelijk is zouden dit soort zaken mogelijk kunnen helpen bij het verhelderen van de praktische vereisten.
Inderdaad. Zonder 'jurisprudentie' kunnen we er niets anders van leren dan dat er boetes zijn. Ik zou het graag weten als er bepaalde leerpunten zijn over de grijze gebieden. OTOH: als alleen hele faudte organisaties zijn aangepakt, die bewust zwaar privacy schenden, dan kan het publiceren van het gegeven dat alleen zware overtreders worden aangepakt betekenen dat bijv. marketeers etc in het grijze gebied durven te blijven.

De AP publiceert overigens wel over sommige onderzoeken, op https://autoriteitpersoon...l/publicaties/onderzoeken waar ook bij onderzoek van voor mei 2018 de AVG al wel is benoemd. En ook van onderzoeken in het kader van de WBP valt wel wat te leren.
Ik zou het zelf ook prettig vinden dat bedrijven die (herhaaldelijk) de wetgeving overtreden met naam genoemd worden zodat consumenten/bedrijven weten dat een bepaald bedrijf de regels aan zijn laars lapt.
Zolang als SVB en zorgkantoren nog graag een MAIL zien met gescande gegevens voor het aanvragen van een pgb of zorg in natura. Blijft het een drama. Overheid en AVG gaat vaak ook niet goed. Dwangsommen zijn dan vestzak/broekzak en helpen dus niks
Inderdaad, de belastingdienst heeft aangegeven in 2019 pas AVG ready te zijn. Het is dan onzin om alvast bij organisaties die niet tot de overheid horen alvast dwangsommen op te gaan leggen. Gezien het hier om een wetgeving gaat vind ik dat de Nederlandse overheid en haar partners hier toch het voortouw moeten nemen. En wat je zegt M.B.T. ingescande documenten die per mail verstuurd moeten worden komt ook nog hedendaags voor (o.a. bij mijn onderwijsinstelling).
Zolang het wel met een beveiligde mail oplossing zou worden verstuurd zou het geen probleem hoeven te zijn...
Precies, wat mij betreft zijn ook uitwassen, organisaties die de AVG te serieus nemen. En daardoor te veel veiligheidsmaatregelen nemen waardoor bv mailverkeer noet meer werkbaar is.
Dus duidelijkheid over wat wel mag zou zeer welkom zijn.
Precies, wat mij betreft zijn ook uitwassen, organisaties die de AVG te serieus nemen. En daardoor te veel veiligheidsmaatregelen nemen waardoor bv mailverkeer noet meer werkbaar is.
Dus duidelijkheid over wat wel mag zou zeer welkom zijn.
Wat versta je onder 'te serieus'? Veilige mailoplossingen zijn broodnodig. Als een organisatie de inrichting van hun veilige mailoplossing slecht regelt of gewoon een slechte oplossing kiest die weinig aan gebruiksvriendelijkheid doet dan is dat een slechte keuze. Mogelijkheden zat van goede oplossingen die wel ook op gebruiksvriendelijkheid de medewerker zelf in gedachten hebben (bijv ZIVVER).
Te serieus: Mailtjes sturen die je met een beveiligingscode moet openen, die vervolgens niet te printen of te archiveren zijn. Ik weiger daar uberhaupt aan mee te werken. Als ik niet eens een administratie kan bijhouden, stuur dan maar weer fijn een brief.
Te serieus: Het woonadres niet willen doorgeven, maar in drie verschillende emails samen het adres vermelden.
Te serieus: Niet de naam vermelden van de klant, maar de initialen. En dan moet je collega maar raden over welke klant het gaat.

Mij is verteld dat simpelweg versleutelen van de mail in Outlook ook voldoende zou moeten zijn.
Let wel, hiermee bedoel ik niet dat dat niet te kraken is. Maar meer duidelijkheid over 'voldoende beveiliging' zou wel prettig zijn. Uiteindelijk kan ook elke jandoedel uit de prullenbak of via inbraak persoonsgegevens halen. Maar ik laat me graag informeren wat dan wel de minimale eisen van de AVG zijn. Het probleem is juist dat niemand dat weet en uit angst voor boetes en dergelijke knotsgekke beslissingen gaat nemen, wat uiteindelijk niemand ten goede komt.
Dank voor je toelichting!
Klinkt letterlijk als een te beperkte oplossing & slechte inregeling van wat 'veilige' communicatie dan zou moeten zijn idd. Heb zelf kennis van een systeem wat beduidend gebruiksvriendelijker is maar wťl werkbaar (hoeft niet met initialen, wel te downloaden/printen) ťn met voldoende beveiliging. Enkel basis versleuteling is bijv in de zorg niet afdoende, zie onder meer de KNMG richtlijn.

Ter aanvulling een feit: meer dan 50% van de datalekken ontstaan door menselijke fouten zoals verkeerde mail naar verkeerde ontvanger. Een goed systeem helpt je die te voorkomen zonder 'hinderlijk' te worden, dan ga je het systeem namelijk trachten te omzeilen etc, klinkt wellicht bekend ;-)

Mocht je me vrijblijvend eens meer info om intern door te zetten of wat dan ook, let me know.
Ik wordt, als journalist, best wel gek van mensen die de AVG te serieus nemen. Mensen die bijna met een hooivork op je af komen als je op de openbare weg fotografeert, organisaties die journalisten niet toelaten omdat ze zelf hun AVG-regelingen niet op orde hebben, mensen die foto's verwijderd willen hebben die met geen mogelijkheid meer weg te krijgen zijn (mirror van je site via webarchive o.i.d.).. Dat is natuurlijk nooit de achterliggende gedachte van de wet AVG geweest.

[Reactie gewijzigd door Kastermaster op 20 september 2018 11:15]

Als IT'er bel ik de bedrijven die niet voldoen aan de AVG eerst op.
Ik verwacht van hun dat ze er dan wat mee doen.
Als ze vervolgens zeggen "het ligt niet aan ons, het is een ander" dan is duidelijk dat het ze geen bal interesseert.
Dan pas stuur ik de hele conversatie en melding naar de AP, en die zijn blij dat alles op een presenteerblaadje wordt aangeleverd (ze hebben het druk genoeg).

De onduidelijke zaken, kunnen wij als tweakers, die mensen dus best bij helpen.
Maar als je een bord voor je hoofd houdt is de grens bereikt hoor.
Er zitten nogal wat haken en ogen aan wat je doet. Bel je wel met de juiste persoon, spreek je de IT’er daar of de bedrijfsverantwoordelijke of de stagiair. En die onduidelijke zaken zijn voor iedereen onduidelijk en veel meer juridisch dan IT. Dus ik krijg ook geen warm gevoel van je acties.
Ik vraag gewoon om de Data Protection Officer, en als men dat niet snapt om de persoon die over de privacy en gehackte website gaat.
Als je aan een Nederlandse organisatie gaat vragen wie de Data Protection Officer is kan je niet altijd verwachten dat mensen dat weten. Misschien moet je de vraag in het Nederlands verwoorden, dan krijg je mogelijk meer resultaat.
Ik vraag gewoon om de Data Protection Officer, en als men dat niet snapt om de persoon die over de privacy en gehackte website gaat.
Dan kan je daar toch mooi de mist mee in gaan.

de Data Protection Officer (Functionaris voor de Gegevensbescherming) is voor de meeste bedrijven helemaal niet van toepassing / verplicht

Uitzondering:
  • Organisaties die op grote schaal bepaalde categorieŽn (bijzondere) persoonsgegevens verwerken
  • Organisaties die op grote schaal individuen 'regelmatig en stelselmatig' volgen
  • Publieke organisaties en overheidsinstanties (uitgezonderd rechtbanken)
Er zit nogal een groot verschil tussen een "klikken" en het doorgeven van grootschalige beveiligingslekken. Zeker als er eerst gemeld is dat er een groot probleem is.
AVG/GDPR gaat niet enkel om beveiligingslekken. Daar schuilt deel van het probleem, het gaat niet enkel om IT. Maar hoe de juffrouw van de HR met gegevens om gaat.
Ik ben er mij van bewust :) ik wilde gewoon snel een punt maken
Avg is meer dan alleen lekken. Bedrijven zonder privacy verklaring maar wel alles qua security in orde hebben. Worden dus ook al geklikt.
Klopt, hoewel het hebben van een privacy verklaring niets doet voor beveiliging, is het daarintegen wel de manier om aan gebruikers duidelijk te maken wat je wel doet qua beveiliging van onder anderen hun data. Dit forceert open te zijn over jouw beveiliging en motiveert extra beveiliging. Het ontbreken van een verklaring zegt dan ook in veel gevallen dat ofwel beveiliging niet serieus genomen worden, ofwel dat ze weten dat hun beveiliging niet op orde is en er dus niet open over willen zijn. Hierdoor vind ik ook het melden van een ontbrekende privacy verklaring zeker niet onnodig
Lees je ook de algemene voorwaarden na? Daar mag nu weer de privacy verklaring in staan. Die documenten kunnen dus samengevoegd zijn en dan is er dus geen privacy statement los te vinden.
Oh daar was ik mij nog niet bewust van, maar dat is natuurlijk ook prima
Klikken? het gaat toch om eigen gegevens en dus je eigen privacy. Daar mag je dus gewoon je recht halen.
Sorry als ik de situatie invul, maar ik heb het vermoeden dat jij niet zelf bij een bedrijf/instelling/overheid betrokken bent bij de implementatie van de GDPR/AVG. Een regel die op nagenoeg alle sectoren en bezigheden toeziet is inherent onduidelijk. Regels 'recht toe recht aan' implementeren getuigt van een naÔeve instelling naar hoe gecompliceerd de wereld is.
Dat is geen antwoord op mijn vraag ;-)

Wat vind je er onduidelijk aan? Heb je een specifiek voorbeeld?
Specifiek voorbeeld is: hoe implementeer je de AVG en waar in je bedrijfsvoering is het relevant/een probleem...
Wijs maar aan waar in de AVG staat hoe je in specifieke situaties ermee moet omgaan, DAT is het probleem. Vooral in het MKB is er geen juridische afdeling van 40 advocaten die het even fijntjes in lekentaal kunnen opschrijven wat het betekent en waar aanpassingen aan het bedrijf moeten worden gedaan, dat valt op de systeembeheerder of zelfs applicatiebeheerder, beide hebben geen flauw idee wat ze er mee moeten...
Specifieke voorbeeld is dan ook dat de AVG geen specifieke voorbeelden levert en je dus niets hebt om vanuit te werken... Dat heeft niets met 'de regels zo gunstig mogelijk willen implementeren' te maken maar volledig met de onduidelijkheid van de wet te maken.
Zeg nou zelf: je hebt de AVG door genomen, wat zou jij aan (insert een voorbeeld bedrijf) moeten veranderen om aan de AVG te voldoen? Noem eens alle stappen en alle gebieden waar bijvoorbeeld ineens 'encryptie' (wat voor encryptie???) moet worden toegepast, informatie over beschikbaar moet worden gesteld en exact welke gebruikersgegevens noodzakelijk zijn en hoe je dat verantwoordt...
Bedenk je nu dat je een 40u werkweek hebt waarin je 50 uur werk hebt en je dus -10 uur per week hebt om aan onduidelijke wetgeving te houden als systeembeheerder omdat niemand anders in het bedrijf enig idee heeft wat de AVG exact betekent...
Gebrek aan kennis is vervelend maar geen excuus.
Bij gebrek aan kennis, huur je die kennis in.
Daarbij hebben bedrijven tijd gehad om te starten.
De wetgeving trad op 24 mei 2016 in werking, en werd op 25 mei 2018 definitief van toepassing.

Bedrijven die nu nog niets geregeld hebben, hebben bewust gewacht met het idee handhaving zal amper plaatsvinden.

Gegokt en verloren!
Het ging niet om bedrijven die nu nog niets geregeld hebben, het ging erover waarom de AVG zo onduidelijk is ;)
Gebrek aan kennis is niet het probleem, daar ging het dus ook niet over. Gebrek aan duidelijkheid, jurisprudentie en concrete voorbeelden/bruikbare informatie anders dan 'gebruik encryptie'... is het probleem. Je kan de hele AVG doorstuderen en uit je hoofd kennen, dat vertaalt dankzij de onduidelijke AVG nog steeds niet naar wat je er exact mee moet, waar het op toe te passen is en waar niet en hoe...
'Dan huur je die kennis in' is lekker simpel gedacht, kost een fortuin, zeker voor het MKB waar deze problemen zo groot zijn, en nergens huur je een bedrijf in wat weet hoe de AVG op jouw omgeving van toepassing is, meeste bedrijven zouden al lang failliet verklaart worden voordat een bedrijf 'met kennis' alles in kaart heeft gebracht en opgelost, dat duurt te lang en kost te veel, dit was simpel op te lossen door de wetgeving duidelijk te maken.
Lekker bashen is simpel, woorden in de mond leggen is simpeler, probeer nu eens in te gaan op hoe de wetgeving wel duidelijk had kunnen zijn? :)
Het is nog simpeler huilie huilie te doen omdat je verwachtte dat de overheid niets zou doen.

Je bent ondernemer of je bent het niet.
Je vind mensen met kennis inhuren te duur en hoopt op gebrek aan handhaving of je huurt die mensen wel in

Om 2 minutes to midnight vind je die niet meer, maar niets doen is geen optie.

Ik werk in de farma, ik moet volgens de regelgeving (van verschillende overheden) aantonen dat mijn apparatuur steriel is voordat productie start.

Ze geven niet aan hoe enkel aan welke normen het moet voldoen (helaas die normen geven ook niet aan hoe), maar ik wacht niet af op controles.

Ik beschrijf wat ik doe en waarom, mocht ik foute keuzes maken, dan geven ze dat aan en krijg je een waarschuwing en opdracht het te verbeteren.

Bij de GDRP wachten veel bedrijven af en kiezen om niets te doen, tja dan is ter goede trouw ook niet ter sprake.
En zelfs dan geven ze aan op welke manier niet aan de wetgeving wordt voldaan.
Je wilt wel klagen over onduidelijke eisen in de farma maar zodra het MKB klaagt over onduidelijke AVG wetgeving is het 'huilie huilie'?...
Dat je apparatuur steriel moet zijn in de farma is (hoop ik?) nogal logisch, daar wordt je dus niet ineens mee verrast, hooguit dat de standaard hoger wordt. Verder zijn er gewoon controlles waar je zat informatie kan krijgen over hoe en wat voordat je certificeringen kan krijgen, totaal anders dus.

Ik ben met een aantal collega's weken bezig geweest de AVG door te nemen, dat deden wij ruim VOOR de deadline zodat we op tijd aan de wet voldeden, je aanname is dus fout... Echter kost het wel tijd. Tijd die er niet is en gevuld wordt door frustratie over de onduidelijke wetgeving...
Wij willen niet wachten tot we op de vingers getikt worden zoals jij zegt dat je wacht tot je hoort dat je foute keuzes maakt, wij willen het gewoon in orde hebben. Zoals je zelf al zegt is onwetendheid geen excuus...

Onduidelijke wetgeving laat ruimte voor interpretatie, met als gevolg dat meerdere leveranciers op verschillende manieren ermee omgingen en wij daar dus per situatie omheen moesten werken...

Kap eens met simpel bashen en kom met een nuttige, inhoudelijke reactie of laat dat over aan iemand anders...
Ik klaag niet over onduidelijke eisen in de farma.
Binnen de farma zijn we dat wel gewend, dus huren we kennis in.

En ja het is logisch dat apparatuur steriel moet zijn, echter gaat het daar dus niet over.
Apparatuur kan steriel zijn echter moet je het op een geaccepteerde wijze aantonen en vastleggen, de geaccepteerde wijze is echter niet eenduidig beschreven.

Wat ik hier in dit topic wel zie is veel reacties over dat dingen niet eenduidig zijn beschreven in de AVG.
Om even een parallel te trekken: het is volstrekt logisch dat gegevens goed worden beveiligd en opgeslagen en dat je dit op een geaccepteerde manier aantoont.

Mijn constructieve bijdrage is dus:
- pas eigen kennis juist toe,
- huur juiste kennis in en pas toe,
- doe niets riskeer boete en betaal deze,
- stop met gegevensverwerking/bedrijf,

Je hoeft niet te ondernemen, het mag.
Er zijn behoorlijk veel zaken die op verschillende manieren geÔnterpreteerd kunnen worden, maar om maar even een voorbeeld te noemen; in de wetgeving wordt gesproken over het 'op grote schaal verwerken van persoonsgegevens'. De invulling van wat er precies verstaand wordt onder 'op grote schaal' wordt niet gegeven. Waar dit in sommige gevallen heel duidelijk is, zijn er veel bedrijven die hiermee in een grijs gebied uitkomen. Zo hoef je geen functionaris gegevensbescherming aan te stellen als je niet op grote schaal persoonsgegevens verwerkt. Maar wat als je een bedrijf met 5 man bent die 1 keer per 2 weken een e-mailing verstuurd naar 1.500 adressen. Voor een maildatabase kun je 1.500 adressen, en de noemer eens per 2 weken als kleinschalig interpreteren. Als het fout gaat zijn het desondanks wel gegevens van 1.500 man van wie de gegevens gelekt zijn, daarnaast gebeurt de verwerking structureel. Mogelijk dus al grootschalig. En zo niet, waar ligt die grens dan wel precies? Kortom, hierbij zou het best praktisch zijn een duidelijker beeld van de AP te krijgen over hoe dit geÔnterpreteerd moet worden.
Ik denk dat je het wel redelijk goed zegt. De moeilijkheid zit hem erin dat bepaalde bedrijfsprocessen in zijn geheel moeten worden omgevormd en rechten herzien. Bij grote bedrijven en overheden heb je het dus over een enorme klus met al die data, verschillende functies en rechten. En daarnaast moeten diensten tijdens overgang beschikbaar blijven voor mensen die er met hun werk afhankelijk van zijn. Je hebt het tenslotte niet met 2 uur gefixt. Alles recht toe recht aan implementeren kan mogelijk alleen voor de (zeer) korte duur, maar op de (middel)lange termijn gaat dat niet werken.

Bijkomend probleem kan zijn dat afdeling A constateert dat mogelijkerwijs in de datastroom van afdeling B en C problemen gaan ontstaan, maar dat B en C de bal terugschoppen en hier niet aan willen. Bijvoorbeeld bij grote gedeelde bedrijfsprocessen waar onduidelijk is wie nou eigenlijk de eigenaar is en dus verantwoordelijk. O.a. voor die complexiteit is bij ons nu een Functionaris Gegevensbescherming aangesteld die dergelijke processen beeld brengt. Daarnaast adviseert/voert hij assessments (PIA's) uit en ziet toe dat er wat veranderd.

Ik denk daarom dat de AVG niet per definitie onduidelijk is, maar meer hoe je bedrijfsprocessen en de mensen zelf zodanig omvormt dat dit zsm voldoet en geen hinder ondervindt.

PS: Mogelijk (en meer waarschijnlijk) leidt de omschakeling naar AVG proof zelfs tot efficiŽntere datastromen en vulling/controle van datakwaliteit. Ik heb daar enkele voorbeelden van gezien in de praktijk. Alleen daarom al ben ik verheugd op de uitvoering ervan en wat er bij komt kijken. Er is denk ik meer te winnen dan alleen de privacy van inwoner/consument.

[Reactie gewijzigd door marcel87 op 17 september 2018 16:32]

Mooi dat ze het gaan handhaven, maar zou het nog mooier vinden als het wat duidelijker werd voor bedrijven. Zie nu vaak MKB bedrijven die nu geen idee hebben wat een privacy functionaris is en wat die doet en ook geen idee hebben wat nu data verwerkers zijn.
Als je bijzondere persoonsgegevens verwerkt als MKB bedrijf, moet je dan ook speciale maatregelen treffen met outlook. Waar moet je registeren wat privacy gevoelige data is en waarom je het bewaard.
Er heerst veel onduidelijkheid die niet goed beantwoord wordt.
Zie nu vaak MKB bedrijven die nu geen idee hebben wat een privacy functionaris is en wat die doet en ook geen idee hebben wat nu data verwerkers zijn.
Hoort bij het ondernemerschap. Als je niet weet wat een economisch delict is, geeft je dat ook geen vrijbrief om die wet te overtreden. Weet je het zelf niet, pak er dan iemand bij die wel op de hoogte is. Er is zelfs een coulance periode geweest van 2 jaar! Dat moet toch voldoende tijd zijn om iemand te vinden die voor jouw MKB bedrijfje een AVG check oid uitvoert en je vertelt op welke punten je actie moet ondernemen.
Er heerst veel onduidelijkheid die niet goed beantwoord wordt.
De AP zal dan ook niet op onduidelijkheden beboeten maar op overduidelijke overtredingen. Daarnaast staat vragen natuurlijk vrij, en ik kan me niet voorstellen dat als je de vraag stelt hoe met jouw situatie om te gaan omdat de wet daarin geen uitsluitsel biedt, dat het antwoord van AP dan een boete is.
Dat van die 2 jaar is niet correct. De AVG is enkele maanden terug ingegaan en in de weken voordat deze volledig in werking trad zijn er nog vele verduidelijkingen vanuit Europa gekomen. De grote lijnen zijn dan wel in 2016 in tekst gezet, men moest voor bepaalde dingen wachten tot vlak voor de inwerkingtreding om te kunnen weten wat men moest doen.

Dat neemt niet weg dat je geen voorbereiding kon nemen of dat je vandaag geen externe personen kunt inhiren die je helpen.
Nou... de europese verordening zegt anders:
20 kalenderdagen na officiŽle publicatie (deze was op 4 mei 2016).
En is van toepassing 25 mei 2018

Zie officiŽle tekst: https://autoriteitpersoon...2016_-_679_definitief.pdf

Dus jazeker 2 jaar, als je op de op een na laatste pagina kijkt.
[...]
Hoort bij het ondernemerschap. Als je niet weet wat een economisch delict is, geeft je dat ook geen vrijbrief om die wet te overtreden. Weet je het zelf niet, pak er dan iemand bij die wel op de hoogte is. Er is zelfs een coulance periode geweest van 2 jaar! Dat moet toch voldoende tijd zijn om iemand te vinden die voor jouw MKB bedrijfje een AVG check oid uitvoert en je vertelt op welke punten je actie moet ondernemen.
Leuk gezegd, maar na de coulance periode van 2 jaar is er nog steeds grote onduidelijkheid aan alle kanten, niet alleen het bedrijfsleven heeft 2 jaar niets gedaan. Ook de AP heeft 2 jaar niets gedaan aan informatie verstrekken of wat dan ook.
[...]
De AP zal dan ook niet op onduidelijkheden beboeten maar op overduidelijke overtredingen. Daarnaast staat vragen natuurlijk vrij, en ik kan me niet voorstellen dat als je de vraag stelt hoe met jouw situatie om te gaan omdat de wet daarin geen uitsluitsel biedt, dat het antwoord van AP dan een boete is.
Het probleem is dat de AP zelf vaak genoeg geen antwoorden heeft en dat de antwoorden van hun niet bindend zijn. Oftewel je kan ze iets vragen maar als ze het al weten dan hoeft het nog niet goed te zijn.
Wederom ook het AP heeft 2 jaar niets gedaan en loopt nu tegen een heleboel vragen aan waar ze nooit over nagedacht hebben.
Yes! Go get 'em, tiger!

Ik ben natuurlijk niet blij dat er gestraft moet worden, maar dat hoort nu eenmaal bij deze wereld. Ik ben blij dat er nu eindelijk op schaal wordt opgetreden tegen dit soort overtreders. Er zijn er nog steeds genoeg die alles aan hun laars lappen in de veronderstelling dat ze toch niet worden gepakt. Dusver hadden ze gelijk.
Nu weet iedereen dat het menens is dat je op je data moet passen.


En ja, dit is natuurlijk maar een speldenprik, meer een eerste waarschuwing. Sommigen zullen lollig doen over de lage bedragen en hoe die een druppel op een gloeiende plaat is, maar dit is natuurlijk pas de eerste stap, niet meer dan een stevige waarschuwing aan de rest van Nederland.

[Reactie gewijzigd door CAPSLOCK2000 op 17 september 2018 14:01]

Ben nog in discussie met een website waar je online gegevens kan opvragen tbv je order, waar je vervolgens persoonsgegevens kan inzien. Netjes gevraagd of ze dat wilde verwijderen voor mij. Krijg gewoon keihard een NEE te horen want ze zien dat als informatie die bij de order hoort en dat moeten ze 7 jaar bewaren. Klopt helemaal. Maar een eigen orderoverzicht is iets anders dan een functie op een website om orderinformatie in te zien.
Staak de discussie maar en geef ze gewoon aan als overtreder van de AVG, kennelijk snappen ze het niet.
Kennelijk ben jij degene die het niet snapt.

De AVG betekent niet dat jij eenieder kunt vragen al jouw gegevens te verwijderen. Als de wet voor schrijft dat bepaalde gegevens bewaard moeten worden, dan zijn die gegevens uitgesloten van de AVG.

Die persoonsgegevens maken deel uit van de order en die ben je wettelijk verplicht te bewaren. Punt. Daar is geen discussie over mogelijk, met alleen dat feit overtreden zij de AVG niet.

Waar @Xavier niet helemaal duidelijk over is, is of het gaat om een functie achter een beveiligde inlog functie of niet. Als dat niet het geval is en je in principe de gegevens van elke order kunt opvragen door maar gewoon ordernummers te "raden" (vaak sequentiŽle cijfers, dus zo lastig is dat niet), dan is dat een ander verhaal. Zij behoren wel gedegen om te gaan met de bewaarde gegevens, wat betekent dat deze niet relatief onbeveiligd beschikbaar dienen te zijn.

Daarnaast heeft @Xavier ook het recht hen te vragen geenszins meer contact met hem op te nemen en zijn contactgegevens uit enige contact databases (mailing list, bel lijsten) te halen. Dat betekent echter nog steeds niet dat zij alles dienen te verwijderen. Dat gaat dan specifiek om die onderdelen.
Klopt. Een groot deel van de problemen die bedrijven met de AVG ervaren zijn vragen van consumenten die een "eigen interpretatie" van de AVG er op na houden.
Klopt. Een groot deel van de problemen die bedrijven met de AVG ervaren zijn vragen van consumenten die een "eigen interpretatie" van de AVG er op na houden.
Een veel groter probleem dan die 'eigen interpretatie' van consumenten, lijkt mij de 'eigen interpretatie' van bedrijven. Die houden er ook nogal van een eigen draai aan de wet geven en op grote schaal bluf-poker te spelen tegenover consumenten, er vanuit gaande dat toch niemand voor dit soort gevallen hen voor een rechtbank zal dagen.

Hopelijk komt daar ooit nog eens verandering in.


In dit specifieke geval geldt trouwens mijns inziens dat de enige overeenkomst die jij aangaat als je een artikel koopt, als doel heeft dat artikel te kopen, factureren, en naar jou toe te verzenden.

Andere verwerkingen, incl. het bijhouden van een online factuur-historie vallen onder bijkomende diensten waarvoor jij of toestemming moet hebben gegeven; of die onder het onsmakelijke kopje 'legitimate interests' vallen.

In geval van het eerste geldt krachtens artikel 7.3 dat jij ten alle tijden die toestemming in kunt trekken, waarbij verdere verwerking gestaakt moet worden. Krachtens artikel 17.1 lid b kan het ook zo zijn dat de gegevens verwijderd dienen te worden. (In elk geval moeten ze dan niet meer via de verwerking voor online factuur-historie op te halen zijn.)

In geval van het tweede geldt dat jij ten alle tijden verweer kunt maken tegen de verwerking, en krachtens artikel 21.1 moet op dat moment verdere verwerking onmiddelijk gestaakt worden, tenzij aangetoond kan worden dat de belangen van het bedrijf daarbij zwaarder wegen dan jouw belang tot privacy.

Dat zal alleen zeer zelden zo zijn. In het geval van het online beschikbaar maken van een factuur, wat op geen enkele manier de processen van het bedrijf zelf kan raken dan wel invloed op hun publieke functioneren kan beinvloeden, zal het zeker niet het geval zijn.

[Reactie gewijzigd door R4gnax op 17 september 2018 22:29]

Het bijhouden van facturen is een wettelijke plicht - die miste je nog in het rijtje van legitieme gronden voor het bewaren van persoonsgegevens. Aangezien dit niet gebaseerd is op jouw toestemming kun je ook geen toestemming intrekken.

Aangezien ze bewaard moeten worden blijft er ook een inzage-recht. Dit is dwingend recht. Jouw idee dat een online factuur histore op eigen verzoek gestaakt kan worden is dan ook wettelijk onmogelijk. Die gegevens moeten 7 jaar lang beschikbaar blijven, ook voor jou, of je dat nu wil of niet.
Aangezien ze bewaard moeten worden blijft er ook een inzage-recht. Dit is dwingend recht. Jouw idee dat een online factuur histore op eigen verzoek gestaakt kan worden is dan ook wettelijk onmogelijk. Die gegevens moeten 7 jaar lang beschikbaar blijven, ook voor jou, of je dat nu wil of niet.
Zo werk inzagerecht dus niet, heh?

Inzagerecht is vastgelegd in artikel 15.
Deze schept een wettelijke verplichting voor verwerkers om gehoor te geven tot een verzoek om inzage vanuit de betrokkene, waarbij zij moeten bevestigen (of ontkennen) of er gegevens van betrokkene verwerkt worden. Bij bevestiging moeten zij naast een kopie van de gegevens zelf, ook metadata over de gegevens aan de betrokkene overhandigen. Zaken zoals doel waarvoor de gegevens verwerkt worden; duur waarvoor ze opgeslagen worden; wie er toegang toe heeft cq. aan welke anderen de gegevens verstrekt zijn; etc

Het inzagerecht dwingt geen medium af en stelt al helemaal niet een specifieke eis zoals dat die gegevens permanent klaar moeten staan om digitaal ingekeken te worden. Eerder het omgekeerde: het hele recht is geformuleerd met de strekking van 'op afroep.' Logisch, want er komt wel wat meer bij kijken dan enkel een dump van de gegevens zelf.

Het enige wat het inzagerecht zegt over vorm van aflevering, staat in artikel 15.3. Wanneer de betrokkene een verzoek indient via een elektronisch medium, de verwerker de gegevens in een gangbare elektronische vorm van moet terug leveren, mits de betrokkene niet expliciet om iets anders gevraagd heeft. Dat artikel gaat niet zover over de communicatie-drager, maar over het data-formaat...

[Reactie gewijzigd door R4gnax op 18 september 2018 08:22]

Het is waar dat de AVG geen vorm verplicht. Maar dat betekent dus niet dat jij de vorm kunt kiezen. Dat is aan de beheerder van die gegevens. Daarom is een online factuur-inzage een legitieme implementatie van het inzage-recht.

En ja, naast de facturen moet ook de meta-data beschikbaar zijn (dus: opslag op basis van wettelijke plicht, gedurende 7 jaar, inzage via online factuuroverzicht, etc)
Daarom is een online factuur-inzage een legitieme implementatie van het inzage-recht.
Ik heb daar mijn bedenkingen bij. Laten we het zo stellen: de tijd zal het leren.
Klopt. Een groot deel van de problemen die bedrijven met de AVG ervaren zijn vragen van consumenten die een "eigen interpretatie" van de AVG er op na houden.
Deels heb je gelijk, maar deels is er ook een eigen interpretatie van bedrijven.

Als je al 20x niet hebt gereageerd op hun vraag of ze jou mogen benaderen (lees klik op deze link als we jou wel mogen benaderen), maar er geen optie is voor please laat me met rust... dan willen die bedrijven ook niet echt aan de wet voldoen.
Volgens mij snap jij het niet. Dat je gegevens 7 jaar moet bewaren dat betekent niet dat Jan en alleman deze gegevens mag opvragen met alleen een ordernr, dat is wat hier speelt als ik de comment lees.

"Ben nog in discussie met een website waar je online gegevens kan opvragen tbv je order, waar je vervolgens persoonsgegevens kan inzien" & "Maar een eigen orderoverzicht is iets anders dan een functie op een website om orderinformatie in te zien."

Zijn twee verschillende dingen. Ik had de rest van je comment niet eens gelezen, fijn dat je later nog even een nuance aanbrengt. Dat is precies waar ik het over had.

[Reactie gewijzigd door shytah op 17 september 2018 14:57]

Dat geef ik ook aan in mijn reactie en daar is hij helemaal niet duidelijk over. Op de site van de MediaMarkt kun je ook gegevens opvragen tbv je order, waar je vervolgens persoonsgegevens kan inzien. Dat is dus een functie op een website om orderinformatie in te zien.

Dat zit wel gewoon achter een login muur, dus daar is niets mis mee.
Nee, daar is zeker niks mis mee maar we hadden onszelf deze discussie kunnen besparen.

"Maar een eigen orderoverzicht is iets anders dan een functie op een website om orderinformatie in te zien." Ik denk niet dat deze persoon een mailing was aangegaan met de betreffende website als het om een zoekfunctie achter een login zou gaan. Maar in ieder geval, nog een fijne middag! :)
Het enige wat ze behoeven te doen is account verwijderen als je daar om verzoekt.

Als dan je gegevens nog op te vragen zijn heb je een punt. Zolang je niet je account verwijderd of laat verwijderen is alles wat zij zeggen ik, mits niet toegankelijk voor derden.

Zij hebben een (verwerkers)overeenkomst met jou.
Het enige wat ze behoeven te doen is account verwijderen als je daar om verzoekt.

Als dan je gegevens nog op te vragen zijn heb je een punt. Zolang je niet je account verwijderd of laat verwijderen is alles wat zij zeggen ik, mits niet toegankelijk voor derden.

Zij hebben een (verwerkers)overeenkomst met jou.
IANAL, maar zo moeilijk is de AVG / GDPR nou ook weer niet om doorheen te komen.
Dus bij deze een poging e.e.a. uiteen te zetten:

Die verwerkingsovereenkomst strekt zover als het doel van verwerking in lijn ligt met de reden en het doel waarvoor de overeenkomst aangegaan is. Als ik een artikel bij een webwinkel koop, betekent dat geenszins dat de factuurgegevens via de website opvraagbaar moeten blijven.

Dat kan weliswaar een extra service zijn voor de consument, maar als consument heb jij dan nog altijd het recht hebt om daar tegen in verweer te gaan. En op dat moment moet verdere verwerking van jouw gegevens voor dat doeleinde gestaakt worden. Vervalt daarmee de laatste wettelijke voet waarop de verwerker over jouw gegevens mag beschikken, dan moeten deze voor zover wettelijk toelaatbaar ook verwijderd worden.

Een bedrijf kan inderdaad om wettelijke redenen een uitzondering hebben jouw gegevens dan nog te verwerken cq. te bewaren. Facturering kunnen rapporteren aan de belastingdienst is zo'n rechtsgeldige uitzondering. Daarvoor geldt echter wel dat ze deze gegevens dan nog enkel voor dat doel ingezet mogen worden.

Ook dan mogen de gegevens dus niet meer via de website aangeboden mogen worden.

Oftewel; de web-winkel zit hier gewoon fout. Punt.


Het "er is nog teveel onduidelijk" / "we snappen het niet" argument is trouwens wel een beetje een dood-doener. De AVG/GDPR is op de meeste fronten -- ook de zaken waarbij het nu veel fout gaat -- zo klaar als een klontje. Zelfs als leek - wat ik echt ben - kan ik er goed doorheen komen. En de niet-normatieve recitals bieden een hoop extra houvast en uitleg over hoe zaken te interpreteren zijn als de wetstekst zelf te kort door de bocht gaat.

Waarschijnlijker is dat de meeste bedrijven er gewoon niet aan willen, want het houdt in dat hun hele interne huishouding aan bedrijsprocessen op de schop moet. Dat is bedrijfscultuur en daar is maar moeilijk beweging in te krijgen. Dus wordt er naar het eerste-het-beste excuus gegrepen wat binnen bereik valt.

[Reactie gewijzigd door R4gnax op 17 september 2018 22:09]

Nee, de gegevens worden met niemand gedeeld, enkel met jou.

Ik zal je een ander voorbeeld geven: volgend jaar moeten huisartsen de tegenstander die zij hebben via een website voor de patiŽnt beschikbaar stellen. Nu kan je opmerken dat daar vanwege de verplichting die door het Rijk wordt opgelegd de AVG niet telt omdat er een wettelijke grondslag zou zijn. Dat is echter niet zo.

Ik denk dat de denkfout die jij maakt hem zit in het feit dat de gegevens met jou gedeeld worden, niet met derden.

Je verward het met het recht op vergeten worden.
Nee, de gegevens worden met niemand gedeeld, enkel met jou.
Het recht op verweer geldt voor elke verwerking. En het recht om eerder gegeven toestemming in te trekken, ook. Dat heeft niets met verdere deling van de gegevens met derde partijen te maken.
Je hebt persoonsgegeven en persoonsgegeven. n.a.w gegevens zijn toch anders dan bijv gegeven over je medische staat, bepaalde voorkeuren, je creditcard nummer, geboortedatum.

Gegevens horen idd bij een order en ook de belastingdienst wil dat je bepaalde zaken bewaard, dat is dan weer een wettelijke verplichting.

Waar jij het over hebt is je account, dat heb je ook aangemaakt of is automatisch aangemaakt of je bent gast. In alle gevallen is die informatie niet zonder wachtwoord toegankelijk als dat wel zo is, is het weer de vraag hoe die info opgevraagd kan worden. Als dat te eenvoudig is heb je een punt.
Niet helemaal.

Ja, de GDPR maakt onderscheid in categorieŽn persoonsgegevens. Dat is artikel 9, "Processing of special categories of personal data".

Nee, een geboortedatum of creditcard nummer vallen daar niet onder. Die vallen in dezelfde categorie als NAW gegevens.

Dit is relevant omdat bedrijven moeten weten in welke categorie de persoonsgegevens vallen die ze verzamelen. En waar kleine bedrijven een redelijk aantal uitzonderingen hebben, heeft artikel 9 geen uitzondering.
N.a.w. is een direct identificeerbaar gegeven. Daarmee dien je al aan de eisen die de AVG stelt te voldoen.
Maar dat is wel de pest van AVG op dit moment...

Er gaan zoveel geruchten de ronde, zoveel "dit is het - ongeveer" verhalen. En omdat de boetes zo hoog zijn nemen veel instanties het zekere voor het onzekere en bewaren, of juist niet, of stoppen met dingen. Scholen die niet langer informatie naar de ouders van kinderen sturen - omdat dit de privacy van de kinderen zou schaden. Klassefoto's, elftal foto's - whatever foto's - mag dat nog en waarom niet? Whatsapp groepen voor kinderen - geen idee...

Naar mijn mening is AVG een goede eerste zet maar moeten we snel verder. Het is te lastig precies te duiden wat mag en wat niet. Dat zie je hier, op security.nl waar Arnoud Engelfriet soortgelijke vragen behandelt. Iedereen heeft de klok horen luiden, maar zelfs voor experts is de klepel niet te vinden.
Exact dat, de regelgeving wordt door een hoop partijen volgens mij onnodig opgeklopt?.

Er zit imo nogal een verschil tussen een bedrijf welke daadwerkelijk met gevoelige informatie werkt (zorginstanties bijvoorbeeld) of de lokale ondernemer (b.v. een bouwbedrijf) met een paar medewerkers. Ja hij heeft daarvan wat persoonsgegevens (die hij verplicht is te hebben en na een X aantal jaren te vernietigen).
Klanten gegevens heeft deze ondernemer ook (anders bestaat hij niet lang), maar zolang hij deze gegevens niet doorverkoopt, of zijn klanten vol spamd zie ik hier geen enkel probleem van in.

In veel van dit soort gevallen schiet deze regelgeving het doel zwaar voorbij volgens mij. Uiteindelijk wil je de Google's, Facebooken, Amazon's en bol.com's van deze wereld in de hand houden, maar of de AVG daar daadwerkelijk in helpt ??.

[Reactie gewijzigd door Tortelli op 17 september 2018 14:37]

Ook de werknemers van het bouwbedrijf in jouw voorbeeld hebben recht op hun privacy en dat deze lokale ondernemer zorgvuldig met hun persoonsgegevens omgaat. En dat betekend inderdaad dat hij deze niet zomaar mag doorverkopen. Maar ook dat hij verantwoordelijk is dat er passende beveiligingsmaatregelen zijn getroffen. Wat passend is, is per bedrijf verschillend maar ook hij hoort niet weg te komen met bijvoorbeeld het bewaren van deze gegevens op een XP computer.
Ik kan bij Mijn PostNL ook zien wat het adres is van iemand die mij iets toestuurt. En andersom. Soms wil je deze info niet delen, bijvoorbeeld bij een aankoop/verkoop op Marktplaats.
Onlangs vroeg ik of ze een keuze wilden inpassen of dit "aan de andere kant" wel of niet zichtbaar te maken kon worden. Ze vroegen waar ik mij druk over maakte...
Hoe zit dit AVG-juridisch-technisch?
Ik kan bij Mijn PostNL ook zien wat het adres is van iemand die mij iets toestuurt. En andersom. Soms wil je deze info niet delen, bijvoorbeeld bij een aankoop/verkoop op Marktplaats.
Onlangs vroeg ik of ze een keuze wilden inpassen of dit "aan de andere kant" wel of niet zichtbaar te maken kon worden. Ze vroegen waar ik mij druk over maakte...
Hoe zit dit AVG-juridisch-technisch?
IANAL, maar...

Zelfs als je PostNL geen toestemming hebt gegeven om jouw adresgegevens met derden te delen, kunnen ze nog steeds een gerechtvaardigd belang hebben voor deze verwerking en openbaring aan een derde. Dat belang kan gelden voor henzelf, maar ook voor de derde partij die de gegevens ontvangt.

Aangezien de ontvanger over jouw adresgegevens moet beschikken om bijv. een pakket retour te kunnen zenden, zou er denk ik hier wel eens een gerechtvaardigd belang kunnen zijn dat zwaarder weegt dan jouw privacy.


Zou mooi zijn als bijv. Arnoud dit eens toe kon lichten. :)

[Reactie gewijzigd door R4gnax op 17 september 2018 22:35]

Als PostNL ergens denkt belang te hebben bij het verstrekken van mijn gegevens aan anderen, kunnen ze beter eerst beginnen bij de gegevens te verstrekken van de bezorgers/medewerkers die mijn pakketjes kwijtraken (in hun rugzak/handtas).
mijn pakketjes
Pakketjes voor jou te ontvangen, of door jou verzonden?

In het geval van die eerste zijn het namelijk niet jou pakketjes; maar nog steeds de pakketjes van de verkoper. En totdat een pakket geleverd is, blijven zij er voor verantwoordelijk.
[...]

Pakketjes voor jou te ontvangen, of door jou verzonden?

In het geval van die eerste zijn het namelijk niet jou pakketjes; maar nog steeds de pakketjes van de verkoper. En totdat een pakket geleverd is, blijven zij er voor verantwoordelijk.
Beide en ja de verkoper blijft verantwoordelijk, maar voordat ze iets doen zal ik eerst een periode zonder zitten.
De AVG is een paard van Troje. Dit nieuwsbericht is positief maar dankzij de AVG mag onze overheid nu data van verschillende (ongerelateerde) bronnen aan elkaar koppelen en zonder enige bewaartermijn opslaan, want ja zolang het maar wettelijk is geregeld is er een grondslag. Dat is erger dan wat we eerder hadden. Dit is nu al aan de gang:
https://www.privacybarome...and_doo...lichten_burgers

Verder geeft dit weer een verdere fragmentatie van het internet. Een aantal (kleinere) nieuwssites in de VS blokkeren standaard Europese gebruikers om het risico op GDPR / AVG boetes te voorkomen. Ik snap prima dat ze niet GDPR compliant kunnen of willen worden. Daardoor moet ik een VPN gebruiken om deze fragmentatie te omzeilen.

Als laatste de bizarre cookie meldingen die overal verschijnen. Dit helpt helemaal niks. Deze meeste sites plaatsen tracking cookies zelfs voordat je akkoord gaat en je hebt geen optie behalve akkoord gaan of de site niet bekijken. De enige oplossing is cookies en tracking clientside blokkeren. Wetgeving helpt in de praktijk helemaal niks, het wekt alleen irritatie op.
Sites die niet voldoen of geen moeite proberen te doen bezoek ik niet meer. Dat geeft hun intenties duidelijk weer als ze alles al stiekem laten tracken.

Ik ben juist blij dat ik de keuze krijg op vele sites wat ze mogen tracken, wat niet en welke gegevens ik wil delen. Dan neem ik die extra pop-ups voor lief.
Rare redenering, dus als een website geen moeite wil doen omdat het voor hun niet haalbaar is om AVG compliant te zijn dan is het maar een 'bad actor', beetje paranoide is niet erg maar om dan te zeggen dat de EU (die niet verantwoordelijk te houden is) mag gaan bepalen wat bedrijven wel en niet mogen doen op hun eigen sites is wel erg doorslaan.
Waarom is de AVG ook alweer ingesteld?
Juist omdat de bedrijven allemaal zo betrouwbaar waren.
[/sarcasme]
Mooie redenering om maar de markt te gaan verneuken omdat sommige bedrijven niet goed met jou informatie (die je ze 95% van de tijd vrijwillig geeft) omgaan. Zullen we dan ook maar iedereen in de steden opsluiten omdat er er daar meer misdaad is?
Mooie redenering om maar de markt te gaan verneuken omdat sommige bedrijven niet goed met jou informatie (die je ze 95% van de tijd vrijwillig geeft) omgaan. Zullen we dan ook maar iedereen die misdaden begaan in de steden opsluiten omdat er er daar meer misdaad is?
Gecorrigeerd om de vergelijking minder mank te maken.

Bedrijven die zich aan de wet houden krijgen geen boete.
Bedrijven die niet weten hoe ze aan de wet moeten voldoen, moeten kennis inhuren.

Bedrijven die doen alsof hun neus bloedt en niets doen lopen het ondernemersrisico op een boete.

Niets verneuken van de markt, die hebben veel bedrijven zelf verneukt.
Je logica slaat dus echt nergens op he, bedrijven die zich aan de wet houden krijgen geen boete, maar dat wil niet zegen dat het een zinnige of haalbare wet is
Sites die niet voldoen of geen moeite proberen te doen bezoek ik niet meer. Dat geeft hun intenties duidelijk weer als ze alles al stiekem laten tracken.
Het probleem is dat de wet expliciet niet over tracken gaat.
Als van alles laat tracken dan zijn er genoeg voorbeelden van hoe je kan voldoen aan de GDPR.
Echter juist als je niets laat tracken dan kom je in de twijfelachtige zone van de GDPR terecht, want je moet wel aan van alles voldoen maar er staat nergens duidelijk omschreven wat je dan moet doen.
Het probleem is dat de wet expliciet niet over tracken gaat.
Nochtans bevat de GDPR expliciet artikelen die consumenten het recht van verweer geven tegen gegevensverwerking die profilering en geautomatiseerde beslissingsvorming tot doel heeft...
De AVG is een paard van Troje. Dit nieuwsbericht is positief maar dankzij de AVG mag onze overheid nu data van verschillende (ongerelateerde) bronnen aan elkaar koppelen en zonder enige bewaartermijn opslaan, want ja zolang het maar wettelijk is geregeld is er een grondslag. Dat is erger dan wat we eerder hadden. Dit is nu al aan de gang:
https://www.privacybarome...and_doo...lichten_burgers

Verder geeft dit weer een verdere fragmentatie van het internet. Een aantal (kleinere) nieuwssites in de VS blokkeren standaard Europese gebruikers om het risico op GDPR / AVG boetes te voorkomen. Ik snap prima dat ze niet GDPR compliant kunnen of willen worden. Daardoor moet ik een VPN gebruiken om deze fragmentatie te omzeilen.

Als laatste de bizarre cookie meldingen die overal verschijnen. Dit helpt helemaal niks. Deze meeste sites plaatsen tracking cookies zelfs voordat je akkoord gaat en je hebt geen optie behalve akkoord gaan of de site niet bekijken. De enige oplossing is cookies en tracking clientside blokkeren. Wetgeving helpt in de praktijk helemaal niks, het wekt alleen irritatie op.
En zie daar de echte reden dat politici er zo laaiend enthousiast over waren.

Het opsporen van je politieke tegenstanders is als politicus nog nooit zo makkelijk geweest. We maken het onze leiders nu wel heel makkelijk om de boel om te laten slaan van -soort van- democratie naar helemaal geen democratie...
dankzij de AVG mag onze overheid nu data van verschillende (ongerelateerde) bronnen aan elkaar koppelen en zonder enige bewaartermijn opslaan, want ja zolang het maar wettelijk is geregeld is er een grondslag. Dat is erger dan wat we eerder hadden.
Nee. Dit is exact wat we eerst hadden. Zonder de AVG hadden overheden geen enkele Europese beperking op het koppelen van dergelijke data. Overheden moesten uiteraard bij wet (in formele zin) regelen hoe dat precies gebeurde, al was het alleen maar zodat de ambtenaren wisten wat ze moesten doen.

Met de AVG is er de facto niets veranderd. De overheden kunnen de bestaande wetten blijven gebruiken. De AVG laat ze expliciet toe, terwijl die wetten vroeger impliciet toegestaan waren (nationale soevereiniteit). Dat is geen inhoudelijk verschil.
De enige oplossing is cookies en tracking clientside blokkeren.
"Poisoning the well" zou wss. effectiever zijn: browser extensies die platformen zoals Google Analytics en legio andere tracking herkennen en bewust een enorme hoeveelheid onzin er in dumpen, waardoor de complete poel aan data onbruikbaar wordt.
Ik ben blij dat er nu eindelijk op schaal wordt opgetreden tegen dit soort overtreders. Er zijn er nog steeds genoeg die alles aan hun laars lappen in de veronderstelling dat ze toch niet worden gepakt. Dusver hadden ze gelijk.
Nu weet iedereen dat het menens is dat je op je data moet passen.
Ik vind dit persoonlijk een beetje een felle reactie op een wel heel karig nieuwsberichtje waar weinig achtergrond in staat. Er wordt alleen maar gesproken over "organisaties" ... Zijn dit grote multinationals of schimmige bedrijfjes die er misbruik van maken? Of is dit een school, of sportvereniging, die het al moeilijk genoeg hebben om door de wirwar van regelgeving enige structuur te vinden waarin hun organisatie past in deze AVG en onbewust een steekje laat vallen?

Ik vermoed ook wel dat het om de eerste type instanties gaat, maar dan nog ken je de achtergrond niet (en die wordt in dit artikel ook niet gegeven) om conclusies te trekken als dat ze bewust regels aan de laars lappen of dat het "per ongeluk" is. Als je het oorspronkelijke artikel bij BNR leest, staan worden als "verwarring", "onduidelijkheid" en dat suggereert niet de doelbewuste intenties zoals jij die ze organisaties toedicht.
Ik moet toegeven dat ik ook niet weet wie er nu gestraft worden of waarom precies, maar ik heb wat dat betreft vertrouwen in de AP. In mijn ervaring met AVG/GDPR-meldingen zijn ze behulpzaam, meegaand, welwillend en overwerkt. Ik kan me haast niet voorstellen dat ze nu opeens zouden beginnen met een partij aan te pakken die goede bedoelingen heeft.

Ik zou het heel vreemd vinden als ze niet beginnen met organisaties die overduidelijk over de grens gaan en zich niet willen aanpassen. Je kan er namelijk van uit gaan dat de organisaties die zich onterecht gestraft voelen naar de rechter gaan. De AP zal toch wel zo slim zijn om met een paar zaken te beginnen waarin ze zeker gelijk krijgen van de rechter en echt geen ruimte meer is voor coulance.
Ik ben natuurlijk niet blij dat er gestraft moet worden, maar dat hoort nu eenmaal bij deze wereld. Ik ben blij dat er nu eindelijk op schaal wordt opgetreden tegen dit soort overtreders.
Ja, allemaal leuk en aardig, maar onze eigen belastingdienst kan over een jaar pas aan de AVG voldoen. De overheid hoort hierin het goede voorbeeld te geven, en eigenlijk is het van de zotte dat diezelfde overheid nu wel andere bedrijven gaat beboeten.
Ja, allemaal leuk en aardig, maar onze eigen belastingdienst kan over een jaar pas aan de AVG voldoen
De overheid hoort hierin het goede voorbeeld te geven, en eigenlijk is het van de zotte dat diezelfde overheid nu wel andere bedrijven gaat beboeten.
Kom op zeg, dat is gewoon hoe de realiteit werkt. Zo gaat het altijd en overal. Dat is ingecalculeerd en iedereen weet dat. Iedere keer als een dergelijk wet wordt ingevoerd is er een overgangsperiode. Vrijwel niemand krijgt zo'n overstap in ťťn keer gemaakt en daar houden we rekening mee, ook bij de handhaving.

In eerste instantie worden alleen de grootste lastpakken gestraft, terwijl iedereen die laat zien van goede wil te zijn er zonder kleerscheuren vanaf komt. Pas als je een paar waarschuwing negeert wordt je gestraft. Dat geldt voor bedrijven en voor de overheid. Zolang de belastingdienst laat zien dat ze probeert de AVG uit te voeren dan is dat voor nu goed genoeg.

De overheid is geen monolitisch geheel maar enorme organisatie met tal van semi-afhankelijke onderdelen. De regels gelden voor iedereen. Als we naar het bedrijfsleven coulant zijn, dan ook richting overheid, maar je moet wel laten zien dat je goede bedoelingen hebt.
Als je als bedrijf aangeeft dat je een plan hebt waarbij je,net als de belastingdienst, nog een jaar nodig hebt om te voldoen dan wordt dat waarschijnlijk geaccepteerd door de AP.
Hier zou ik mee kunnen leven. Als de AVG wetgeving van de 1 op de andere dag bekend was en zou gaan gelden. Maar dit is niet zo. De AVG wetgeving was al lange tijd voordat deze in ging bekend. Er is totaal geen reden waarom er tot op de dag van vandaag nog niks veranderd is.

Waarom gebeurt het niet in etappes? Het systeem waar het BSN gekoppeld is aan je belastingnummer als zzp’er lijkt me niet zo lastig om te zetten. Er is namelijk al een systeem aanwezig om belasting nummers aan te maken voor BV’s en degelijke.
Hier zou ik mee kunnen leven. Als de AVG wetgeving van de 1 op de andere dag bekend was en zou gaan gelden. Maar dit is niet zo. De AVG wetgeving was al lange tijd voordat deze in ging bekend. Er is totaal geen reden waarom er tot op de dag van vandaag nog niks veranderd is.

Waarom gebeurt het niet in etappes? Het systeem waar het BSN gekoppeld is aan je belastingnummer als zzp’er lijkt me niet zo lastig om te zetten. Er is namelijk al een systeem aanwezig om belasting nummers aan te maken voor BV’s en degelijke.
Het gaat in etappes, we zijn net de volgende etappe in gegaan. Iedereen die dit soort processen een beetje volgt weet hoe het werkt. Dat is ook waarom de wet dusver massaal genegeerd is, de betrokkenen weten hoe de hazen lopen en wanneer ze in actie moeten komen.

Het zou beter zijn als we het duidelijker vastleggen, maar op bepaalde punten wil je ook wat flexibiliteit houden. Niemand kon (en kan) precies overzien wat de gevolgen van de AVG/GDPR precies zijn. We zullen al gaande moeten ontdekken hoe het precies gaat en hoe snel we verder kunnen.
Behalve het BSN voorbeeld van de parent: die was onder de voorloper van de AVG al niet toegestaan. Ik weet dat het even kan duren om volledig compliant te zijn, maar de Belastingdienst heeft gewoon boter op zijn hoofd.
Er is alleen geen controle voor ons burgers of de gestrafte partijen nu eenmaal vergelijkbaar zijn of niet met de belastingdienst. Als die partijen die een straf hebben gekregen nou ook bezig zijn met het invoeren maar er gewoon meer tijd voor nodig hebben dan is dat een beetje krom. Zijn het partijen die nog steeds ongewenst jouw persoonlijke data verkopen aan anderen, bewust de AVG negeren, dan is het volkomen terecht.
Ben het deels met je eens.

Waar ik het niet mee eens ben is dat de coulance periode van twee (2!) jaar overschreden is door de belastingdienst en nu zijn ze er nog niet. Waarom hebben zij dat twee jaar geleden niet aangegeven?

De realiteit is dat de overheid hun schouders ophaalt hier. Hier zou de AVG ook een dikke boete moeten opleggen. Maar ja... Er is al zoveel druk op de belastingdienst. Aan de andere kant, al die arme bedrijfjes die ook al zoveel druk voelen na de crisis hebben hier ook last van.

Kortom, geen excuus mogelijk! Geen uitzonderingen. Desnoods nog maar een coulance periode erbij van twee jaar. Nu is iedereen er echt van van doordrongen denk ik.
Er is al zoveel druk op de belastingdienst. Aan de andere kant, al die arme bedrijfjes die ook al zoveel druk voelen na de crisis hebben hier ook last van.

Desnoods nog maar een coulance periode erbij van twee jaar.
Wat denk je van coulance met voorwaarden?
Je krijgt nog twee jaar uitstel als je een plan kan laten zien waaruit blijkt dat je er serieus mee bezig bent?
Als je weigert om een plan te maken dan krijg je direct straf.
Dat is volgens mij wat de AP nu aan het doen is.

Als we helemaal niks veranderen dan denk ik dat we over twee jaar in dezelfde postitie zitten. De realiteit is dat een aantal grote organisaties nog niet klaar is en dat het nog meer tijd gaat kosten, hoe hoog of laag we de boete ook maken. We weten dat het een chaos is bij de belasting, ook zonder de AVG. De belastingdienst hard aanpakken gaat realistisch gezien weinig veranderen en wel een hoop tijd en moeite kosten.

Daarbij is de capaciteit van de AP beperkt. Ze kunnen niet iedereen een boete opleggen, daar hebben ze niet genoeg mensen voor. Ze zullen dus wel moeten prioriteren en ik denk dat beter doelen zijn. Ik geloof namelijk dat de belastindienst uiteindelijk goede bedoelingen heeft, terwijl er ook bedrijven zijn die willens en wetens de wet schenden om er lekker aan te verdienen.

Niettemin, het zou wel zo eerlijk zijn om iedereen tegelijk dezelfde behandeling te geven. Daarbij heeft de overheid ook een voorbeelfunctie.

[Reactie gewijzigd door CAPSLOCK2000 op 17 september 2018 15:06]

De ap heeft voldoende capaciteit om een onderzoeksrapport te maken (in 2017) waarin BSN als BTW nummer al onderuit gehaald wordt. Dit was ook al bekend ruim voordat de avg van kracht werd en was onder de wbp al uiterst dubieus. Het is maar ťťn enkel voorbeeld, maar als het lekken van 2 miljoen BSNs nog niet voldoende is om direct actie te ondernemen dan heb ik er een hard hoofd in dat de rest beter gaat.
De ap heeft voldoende capaciteit om een onderzoeksrapport te maken (in 2017) waarin BSN als BTW nummer al onderuit gehaald wordt.
Er is nogal een verschil tussen het opstellen van een rapport en een rechtszaak voeren tegen de staat. Dat laatste zal nodig zijn als je zo'n boete oplegt. De rechtszaak kost nog veel meer geld en tijd. Dat moet je alleen doen als je denkt dat het kans maakt. In dit geval lijkt het me vrij kansloos om de belastingdienst aan te klagen. Ik geloof niet dat er realistisch gezien een uitkomst mogelijk is waar iemand iets beter van wordt zonder dat eerst de wet wordt aangepast.
Ik denk dat je beter blij kan zijn dat de AP haar weinige tijd heeft gebruikt om de zaak te onderzoeken en te onderbouwen. Dat zou een sterk argument kunnen zijn als je zelf een rechtszaak begint.
Dit was ook al bekend ruim voordat de avg van kracht werd en was onder de wbp al uiterst dubieus. Het is maar ťťn enkel voorbeeld, maar als het lekken van 2 miljoen BSNs nog niet voldoende is om direct actie te ondernemen dan heb ik er een hard hoofd in dat de rest beter gaat.
Ik ben het eigenlijk helemaal met je eens, maar het heeft geen zin om de belastingdienst te straffen. Die hebben het BSN=BTW-nummer niet bedacht, dat doet de politiek, de belastingdienst voert het alleen maar uit.
De belastingdienst heeft een zeer bijzondere status. Het is de inkomstenbron van de staat en wordt daarom extreem beschermd. We moeten wel. Als we een jaar geen belasting innen komt het land in grote problemen. Wat er ook gebeurt, of je het nu leuk vindt of niet, de belastingdienst zal functioneren, daarvoor wordt desnoods al het andere aan de kant gezet. Dat is serieuzer dan defensie.
Het waanzinnige aan de situatie is dat we jaar op jaar bezuinigingen op de belastingdienst. Dat heeft direct invloed op de inkomsten van ons land. Alsof we niet naar ons werk gaan zodat we kunnen besparen op een kaartje voor de bus. Dat moet wel fout gaan. De belastingdienst straffen heeft geen enkele zin. Ze kunnen en mogen niet veel veranderen. Boetes vertalen zich alleen maar in gederfde belastinginkomsten.

Ik ben het helemaal met je eens dat de situatie niet best is en moet veranderen, maar daarvoor moeten we niet bij de BD zijn maar bij de regering. We hebben momenteel een rechtse regering en daar is men niet zo van het toezicht op de markt waardoor clubs als de AP en de BD zo weinig geld krijgen dat ze de wet niet kunnen uitvoeren. Er is al jaren gedonder bij de BD ondanks dat verschillende ministers en staatssecretarissen de baas zijn geweest. Volgens mij is het tijd om te controleren dat het niet aan de BD ligt maar aan de wet.
Ja, de politiek is hier mede debet aan, maar er is geen politicus die zelf beslissingen neemt: ze nemen advies over van de ambtenaren en lobbygroepen en kiezen wat er in hun straatje past. De BD is niet alleen uitvoerend, maar zeker ook adviserend in deze.
M.i. heeft de AP goed gehandeld met het onderzoeksrapport en de BD blundert (weer) door niet zelf al eerder de conclusie te trekken. Er is nooit een wet geweest die eist dat de BSN als BTW nummer gebruikt moet worden. Dat is een keuze van de BD die vervolgens via een AMB is vastgelegd.

Ik denk ook niet dat de AP een zaak tegen de BD moet beginnen (is zinloos). Wat er wel moet gebeuren is een 2e belastingsdienst opzetten naast de oude. Inwoners van NL kunnen kiezen of de ze voor de blauwe of de groene enveloppe gaan en beide organisaties innen volgens de regels. Dan kun je op basis van marktwerking eindelijk eens saneren daar in Apeldoorn. Past helemaal in het VVD denken ook nog :)
[...]
Kom op zeg, dat is gewoon hoe de realiteit werkt. Zo gaat het altijd en overal. Dat is ingecalculeerd en iedereen weet dat. Iedere keer als een dergelijk wet wordt ingevoerd is er een overgangsperiode. Vrijwel niemand krijgt zo'n overstap in ťťn keer gemaakt en daar houden we rekening mee, ook bij de handhaving.
Leuk en aardig, maar voor het bedrijfsleven is de overgangsperiode over, terwijl die voor de belastingdienst nog wel even doorgaat (het zou een wonder zijn als die hun plan in een jaar kunnen doorvoeren)
Waarom niet gelijk monniken, gelijke kappen?
Als je als bedrijf aangeeft dat je een plan hebt waarbij je,net als de belastingdienst, nog een jaar nodig hebt om te voldoen dan wordt dat waarschijnlijk geaccepteerd door de AP.
Het probleem is dat de belastingdienst niet zozeer een plan heeft, die heeft voornamelijk heel veel onduidelijkheden (net zoals veel bedrijven).
Bij gelijke monniken gelijke kappen zou de AP simpelweg nog geen boetes uitdelen of ook de BD een boete geven.
Als je spreekt van gelijke monniken wordt het natuurlijk wel lastig om een monnik te vinden die (voldoende) gelijk is aan de BD :P

Het lastige bij bijvoorbeeld de BD is natuurlijk dat ze ook moeten gaan afwegen waar ze wel en niet de belastingwet en andere wetten moeten (of kunnen?) laten prevaleren over de AVG.

Maar ik geloof er ook niet zo in dat op dit momenten bedrijven per se heel hard gestraft worden en de BD en andere overheden niet. Hoe de AP wel werkt is natuurlijk ook wel wat onduidelijk, wat veel van de hier geplaatste reacties deels in de hoek van speculatie plaatst.
Het lastige bij bijvoorbeeld de BD is natuurlijk dat ze ook moeten gaan afwegen waar ze wel en niet de belastingwet en andere wetten moeten (of kunnen?) laten prevaleren over de AVG.
Enkel waar de AVG/GDPR hiervoor expliciet ruimte open laat. Op alle andere plekken prevaleert de AVG/GDPR; het is namelijk een verordening en daarmee wetgeving die boven de nationale wetgeving gaat.

Dat komt dus neer op de artikelen in de AVG/GDPR waar er gesproken wordt in termen als 'tenzij nationale wetgeving ...' en dat zijn er (gelukkig) niet zo veel.

De uitzonderingen zijn 6.3, waar gerechtvaardigde verwerking opgerekt wordt om ook te gelden voor nationale belangen en uitvoering van allerlei nationale controlerende wetgeving. En artikel 23, die naast nationale veiligheid; defensie; etc. ook belasting een status aparte geeft waarbij er restricties aan andere artikelen van de AVG/GDPR opgelegd kunnen worden die voornamelijk over inzage en rectificatie gaan.

Dat laatste moet echter via specifieke wetgeving gebeuren, en is dus niet aan de belastingdienst zelf om over te beslissen, maar aan de wetgever. Het is voornamelijk artikel 6.3 waar het probleem hem zit en waar de zaken nogal rekbaar zijn. (Een artikel wat schijnbaar ook nog eens door Nederland er in gefietst is. Stokpaardje van de VVD, waarschijnlijk...)

-------------------------------------------

Ik denk zelf trouwens dat de problematiek bij de belastingdienst nog steeds veel meer te vinden zal zijn waar het altijd al te vinden was. Nl. in het feit dat het organisatorisch en administratief een janboel is; voor een flink deel - zo niet het grootste deel - gevolg van het feit dat Nederlandse regeringen het nodig vinden om elk jaar opnieuw aan de belastingwetgeving te schaven of ze op punten rigoreus om te zwaaien. (Daar is ook maar moeilijk een goed consistent bedrijfsproces mee te voeren, lijkt me.)

[Reactie gewijzigd door R4gnax op 17 september 2018 23:12]

Ik ben sowieso met je eens dat de belastingdienst in een heel lastig parket zit doordat elke paar maanden (zo voelt het iig) de regels zie ze moeten handhaven veranderen - en ze door de belastingwetgeving zelf natuurlijk ook nog met terugwerkende kracht vele jaren de oude regels moeten blijven ondersteunen.

Daarbovenop komt dan dat er blijkbaar ook al jaren niet voldoende aandacht was voor de IT en er vast nooit echt een serieuze overweging is gemaakt om de regelveranderingen een jaar stil te leggen (op evt kleine tweaks van bestaande flags na) zodat de boel opgeschoond kan worden.

-----

Maar ik gok dat het ook weer niet zo simpel is als je stelt met de "uitzonderingen". Ik neem aan dat 6.1c nog best wat ruimte overlaat:
"de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust; ".

Dit lijkt toch echt te stellen dat de Belastingwet hier voor gaat op de AVG. Hoewel de kans natuurlijk wel groot is dat die wet weinig concrete eisen stelt voor persoonsgegevens en het daardoor dus in mijn ogen wel degelijk een puzzel wordt om uit te vogelen of het verwerken van bepaalde gegevens hier wel of niet onder viel.

En het lijkt me dat 6.1e ook relevant is:
" de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen; "

De Belastingdienst heeft tenslotte ook tot taak belastingfraude e.a. op te sporen.

De vraag zal bij beide aspecten onder andere zitten in wat nou wel en niet "noodzakelijk" is. Maar wie bepaalt dat? De AVG kan dat per definitie niet specificeren, maar het zal wel uitgezocht moeten worden. In beginsel zal de BD dat zelf moeten beoordelen en daarbij ook nog moeten uitvogelen wat ze allemaal verwerken en om welke reden dat eigenlijk gebeurt (hopelijk zijn ze daar ondertussen wel al mee bezig...)
Wellicht is de BD wel de eerste geweest die een boete heeft gekregen.
Tja het is dan ook nog niet best. Ik heb zelf een aanvraag gedaan bij postnl. Helaas krijg je niet de informatie waartoe men wel verplicht is. Ik heb hier nadere informatie over gevraagd maar men reageert hier tot nu toe niet op. Erg vreemde zaak. Men weigert dus gewoon informatie te geven over met wie mijn gegevens gedeeld zijn.

Ik begin door die houding steeds meer het vermoeden te krijgen dat hier serieus vreemde dingen zijn gebeurd in het verleden ( klantprofielen doorverkocht ? )
Dat is nou het mooie van de AVG. Je kunt in de privacy statement van PostNL vinden hoe je in contact komt met de Functionaris Gegevensbescherming.

Hij/zij ziet erop toe dat ook het 'Recht op inzage' volgens de regels wordt afgehandeld. Eťn van deze regels is dat een verzoek om inzage binnen ťťn maand schriftelijk wordt gehonoreerd.

Meer informatie over jouw recht op inzage kun je hier vinden:
https://autoriteitpersoon...cyrechten/recht-op-inzage
Nou op dat vlak volgen ze wetgeving. Ik heb namelijk na 30 dagen een brief gehad met uitstel verzoek. ( dit mag conform wet naar 3 maanden). Na deze 3 maanden kreeg ik een brief maar zoals hierboven aangegeven: er ontbrak aantoonbaar informatie,informatie was half (concreet verzoek om te laten weten met wie gegevens gedeeld waren, reactie postnl:' in het verleden gegevens wel gedeeld maar doen we nu niet meer '. Zonder dus de gevraagde gegevens) enz. Hierop heb ik ongeveer een maand geleden een bericht gestuurd met puntsgewijs vraag om nadere uitleg. Tot op heden blijft het stil ;)
Ik denk ook dat er vele werknemers zijn die gewoon niet weten hoe jouw de informatie te bezorgen of bij wie ze intern moeten zijn en dus gewoon uit laksheid "nee" antwoorden.
Tja het is dan ook nog niet best. Ik heb zelf een aanvraag gedaan bij postnl. Helaas krijg je niet de informatie waartoe men wel verplicht is. Ik heb hier nadere informatie over gevraagd maar men reageert hier tot nu toe niet op. Erg vreemde zaak.
Even pure speculatie op basis van eigen ervaring

Geen idee hoe lang je ze onderhand hebt gegeven, maar het zal mij niets verbazen als men het hier simpelweg "te druk" voor heeft. Daarmee bedoel ik dat je verzoek nog steeds in een wachtrij staat en er mogelijk helemaal geen proces is om het af te handelen, dus men loopt intern ergens vast. Geen idee of dit ook zo is, maar in de tijd dat ik met PostNL te maken had, duurden de simpelste verzoeken ook gewoon onacceptabel lang, zeker vergeleken met andere partijen. Het is gewoon geen modern bedrijf. Vindt het management waarschijnlijk te duur, of teveel werk. En als je dan een wijziging opgelegd krijgt en pas als het van kracht is nog eens gaat "kijken" hoeveel werk je eraan gaat hebben en dan pas alles erop gaat inrichten, loop je als bedrijf achter de feiten aan. Maar face it, PostNL kan zich dit permitteren. Bijna iedereen kiest vanwege aangeleerd gedrag voor PostNL als koeriersdienst en pakketten bezorgen doen ze doorgaans wel erg goed, hun primaire proces is in orde.
Ehm, leuk en aardig dat je moet vermelden wat je met gevoelige data doet.. maar niemand die het leest, en men gaat echt niet een andere keuze maken.
Voldoet de overheid zelf intussen eindelijk al eens overal aan de AVG? Of zijn die ook beboet?
Als je de zaken zelf niet op orde hebt is het nogal hypocriet om wel aan het bedrijfsleven boetes uit te schrijven. :P
Verleng dan die graceperiod.

Die wet heeft sowieso nog veel te veel vaagheden en grijze gebieden, waardoor het nog altijd een wangedrocht is. Zeker voor internationaal opererende bedrijven.

[Reactie gewijzigd door WhatsappHack op 17 september 2018 14:05]

Leuk, boetes die worden uitgedeeld vanwege niet zuinig genoeg zijn op 'mijn' gegevens.
Maar wie krijgt de opbrengsten ?
Dat gaat niet naar de 'slachtoffers' uiteindelijk natuurlijk, maar in het spreekwoordelijke "verbeterpotje"

Maar in plaats van goede en eenduidige voorlichting, laten ze jan en alleman aanmodderen, en moeten bedrijven dure 'adviesbureaus' inschakelen.
Dit gaat dezelfde kant op als menig millennium-project, waar iedereen en zijn tante bang gemaakt werd, en er uiteindelijk weinig structureel mis ging.
Het millenium probleem ging inderdaad structureel goed, omdat bedrijven breed actie ondernamen. En inderdaad, vaak was een adviseur genoeg. Als het alleen controleren is, dan heb je niet veel inhoudelijke kennis nodig.

En ook voor de AVG is het voor veel bedrijven voldoende om niets te doen - letterlijk. Als je geen persoonlijke data verzamelt, dan voldoe je bijna automatisch aan de AVG.
Dat zullen dan gelijkaardige situaties als deze zijn: https://ictrecht-nl.cdn.a...-in-persoonsgegevens/amp/

Eerst moet er een advocaat aan te pas komen om de AP tot actie te dwingen, en vervolgens krijgt de overtreder nog genoeg kansen en tijd om er zonder boete vanaf te komen.
M.a.w: Pas als je jezelf in een juridische penarie heb geholpen gaat dit een rol spelen. De MKB'er die gewoon eerlijk z'n geld probeert te verdienen zal hier weinig van gaan merken.
Heel leuk dat hier boetes voor zijn geijsd, maar waarom heeft de overheid het recht om dat geld aan te nemen terwijl de boete is voor het onjuist beschermen van persoonsgegevens, zou dat geld niet direct betaalt moeten worden richting de gedupeerden ipv de staatskas in?
De overheid krijgt de boete omdat de overheid alle boetes krijgt.

Geld voor slachtoffers noem je een schadevergoeding, geen boete.
Dan zou er hier dus geen boete maar een schade vergoeding moeten worden geijsd
Waarom denk je dat de twee elkaar uitsluiten? Normaal gesproken is het zelfs makkelijker om een schadevergoeding te krijgen als al vaststaat dat de dader de wet overtreden heeft, bijvoorbeeld omdat ze beboet zijn.
Ook goed, maar de staat zou niet moeten profiteren van het 'leed' van een burger in de vorm van een boete terwijl alleen een handjevol burgers hier recht heeft op een schadevergoeding
Andersom zou de staat ook niet moeten opdraaien voor de kosten van handhaving. De Autoriteit Persoonsgegevens is bepaald niet de meest winstgevende overheidsinstantie.
Wat mij betreft zetten we die dan ook gewoon stop, mensen kunnen prima zelf wat beter letten op waar ze hun data wel en niet vrijwillig afgeven.
Als je direct aantoonbaar schade hebt kun je het civiel proberen. Verder zorgt de overheid ervoor dat eventueel misbruik opgespoort (politie) en berecht (justitie) kan worden. Deze kosten komen o.a. uit de boetes.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True