Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ruim 7000 klachten ingediend over vermeende schendingen AVG sinds invoering mei

De Autoriteit Persoonsgegevens heeft ruim 7000 klachten en tips binnengekregen sinds de invoering van de Algemene Verordening Persoonsgegevens in mei van dit jaar. Daarnaast is de Autoriteit 10.000 keer gecontacteerd met vragen van burgers en organisaties.

De AP zelf concludeert op basis van die cijfers dat privacy sinds de inwerkingtreding van de AVG 'privacy plots hoog op de agenda's staat', schrijft Trouw, dat met de waakhond sprak. Een klacht en een daaropvolgend onderzoek hoeft echter niet meteen te betekenen dat er een boete uitgedeeld wordt, vertelt de AP aan de krant. De waakhond kan bijvoorbeeld een brief sturen naar een overtredende partij, waarna een beleid aangepast kan worden en de zaak daarmee af is.

De AVG zou ook leiden tot een overmatige werking bij bijvoorbeeld kleinere organisaties als scholen of sportverenigingen, die geen foto's meer durven te maken of in paniek raken als per ongeluk de adressen van de mailinglijst in cc gaan in plaats van bcc. "De AVG is bedoeld om mensen te beschermen tegen grote partijen als Google en Facebook, die erop uit zijn om zoveel mogelijk data te verzamelen. En dat businessmodel is niet veranderd", stelt privacyadvocaat Otto Volgenant tegenover het dagblad.

Aan de andere kant wordt ook overbodige verzameling van data ingeperkt. "Mijn indruk is dat organisaties zich meer zijn gaan afvragen waarom ze bepaalde data opslaan. Als je je bijvoorbeeld inschrijft voor een nieuwsbrief moest je daar eerst nog weleens verplicht ook je huisadres invoeren, wat nergens voor nodig is. Dat is nu minder zo", stelt Kees van Noortwijk, deskundige recht en it aan de Erasmus Universiteit.

De AP treedt niet in detail over onderzoeken en boetes. Eerder stelde het wel dat er in het kader van de wet al 'tonnen aan dwangsommen' zijn opgelegd. In januari volgt er een eerste evaluatie van de wet, vertelt het ministerie van Justitie en Veiligheid.

Door Mark Hendrikman

Nieuwsposter

24-11-2018 • 11:22

109 Linkedin Google+

Reacties (109)

Wijzig sortering
AVG is een wet waar ik groot voorstander van ben. Hier is wat de AVG zo'n beetje behelst:

De geest achter de wet is dat je als organisatie een goede beheerder bent van data over anderen en hier transparant over bent. Zeker als je kunt aantonen bij een (groot) datalek dat je hier aan werkt is de kans op een boete nihil.

Persoonsgegevens is alles wat kan leiden tot een persoon.
Een lijst met kentekens zijn geen persoonsgegevens. Een kenteken wordt wel een persoonsgegeven als je er een naam bij opslaat.

Om persoonsgegevens over iemand op te slaan heb je een "grondslag" nodig. Een wettelijke reden waarom je data over die persoon mag opslaan.

Bij een webwinkel heb je adres nodig om iets te kunnen versturen en mogelijk een telefoonnummer als er iets is. Dus mag je deze opslaan.

Als je een email nieuwsbrief wil sturen met andere aanbiedingen valt dat niet onder een wettelijke grondslag, je kunt iemand daarom toestemming vragen die ook makkelijk weer in te trekken is. Als je die toestemming krijgt mag je wel nieuwsbrieven versturen.

Je moet helder zijn welke data je opslaat en met welke reden en met welke bedrijven je dat samen doet. Deze informatie moet altijd makkelijk leesbaar en vindbaar zijn voor iedereen die relevant is. Als je bijvoorbeeld een hosting provider gebruikt moet je deze vermelden. Dit zijn je verwerkers en met die verwerkers moet je een verwerkersovereenkomst hebben. Zij moeten zich namelijk ook aan de AVG houden en op hun beurt weer vermelden met wie zij zaken doen en theoretisch bij persoonsgegevens kunnen. Dit zijn de sub-verwerkers.

Je kan en mag persoonsgegevens nooit verkopen, ook niet met toestemming. Je draagt namelijk altijd verantwoordelijkheid voor de data die je over personen opslaat en bij verkoop verlies je die controle.

Dan zijn er nog speciale persoonsgegevens waarvoor strengere regels gelden. Denk aan medische gegevens, geloofsovertuiging, of BSN nummers e.d. Die mag je niet zo maar opslaan daar moeten betere redenen voor zijn :-). Ook als het gaat om kinderen onder de 16 heb je bijvoorbeeld toestemming van opvoeders of ouders nodig.

Daarnaast kan een persoon opvragen welke gegevens je hebt opgeslagen.

Kort voorbeeld om wat duidelijkheid te geven over grondslag: Stel je zoekt een nieuwe medewerker en ontvang CV's. Daarvoor hoef je geen toestemming te vragen, het heeft een wettelijke grondslag. Als de vacature niet meer relevant is mag je de CV nog wel even bewaren, maar niet jarenlang. Je hebt namelijk geen goede reden meer om die data te beheren. Als je de CV voor later toch zou willen bewaren zou je expliciet toestemming kunnen vragen, dan mag het weer wel.

Hiermee heb ik een overgroot deel van de AVG beschreven. Het is dus best te overzien.

Het is niet compleet, maar het is belangrijk om de basis te kennen al houvast zonder dat je meteen alle doemscenario's hoort.

[Reactie gewijzigd door Henrikop op 25 november 2018 10:47]

"De AVG is bedoeld om mensen te beschermen tegen grote partijen als Google en Facvebook, die erop uit zijn om zoveel mogelijk data te verzamelen. En dat businessmodel is niet veranderd", stelt privacyadvocaat Otto Volgenant tegenover het dagblad.

Is de kwaliteit van de data voor Google en Facebook juist niet verbeterd, omdat er alleen relevante data wordt opgeslagen?
ja en dat is ook juist de bedoeling van de AVG. je hebt recht op inzage en correctie als iets niet klopt. als ze foutieve informatie hebben moeten ze die verbeteren op jou verzoek.
Dus de grote dataverzamelaars hebben er toch juist baat bij? Zijn er al wat hooibergen rondom de spelden weggehaald.
Iedereen heeft er baat bij. Het is niet bedoeld om te duperen.
"De AVG is bedoeld om mensen te beschermen tegen grote partijen als Google en Facvebook, die erop uit zijn om zoveel mogelijk data te verzamelen. En dat businessmodel is niet veranderd", stelt privacyadvocaat Otto Volgenant tegenover het dagblad.
Kleine bedrijven hoeven niet in paniek te raken, maar wat mij betreft is het wel wenselijk dat ook kleine bedrijven zich meer bewust zijn van hun verplichtingen om netjes om te gaan met de gegevens van klanten.
Kleine bedrijven zijn vaak erg voorzichtig en meer klantgericht. Je wil niet iemand tegen de haren instrijken dus zal een klein bedrijf niet zo snel hun klanten lastig vallen met ongewenste zaken.

Ergerlijker vind ik bedrijven die onder het mom van je bestelling 3 tot soms wel 5 mails sturen waarin ze je bestelling afhandelen, en tegelijkertijd je van alles aanbieden. Onder aan de mail staat dat je je niet kunt afmelden omdat dit aangaande je bestelling is, bijvoorbeeld:

Je hebt je niet ingeschreven voor onze nieuwsbrief, schrijf je hier alsnog in zodat wij jou op de hoogte houden van nieuwe en aantrekkelijk geprijsde producten, zoals onze wekelijkse Weekend Deal.
Je ontvangt deze e-mail omdat je recent een aankoop hebt gedaan bij BCC. Je kunt je hiervoor niet afmelden.

Dit lijkt me toch echt wel een soort van (gegevens)misbruik.

Marktplaats doet de laatste tijd een mail de deur uit waar je je ook van kunt afvragen of het wenselijk is.
Dit gaat onder het mom van 'u bent misschien gehackt of u heeft ergens anders ingelogd'. Het is een service, maar ook om je over te halen je mobiele nummer af te staan. Misschien prima maar hier kun je je niet voor afmelden. Ik kan niet ontdekken of dat wel moet kunnen volgens de AVG. Ik vind van wel ;)
want bij het gebruik van 'cookieopruimers' krijg je dus van hen die mail elke keer als je opnieuw inlogt.
De genoemde Amsterdam hieronder slaat trouwens nergens op, maar dat heeft ongetwijfeld te maken dat ze mijn IP adres raden :+

Er is op donderdag, xx november 21:12 in de buurt van Amsterdam, Netherlands met Desktopingelogd op je Marktplaats-account (k@xyz.nl). Je hebt nog niet eerder vanaf dit apparaat ingelogd op je Marktplaats-account. We sturen je deze mail om er zeker van te zijn dat jij het was.

Als jij net hebt ingelogd dan hoef je verder niks te doen.
Ik was het niet
Als jij niet hebt ingelogd, reset dan je wachtwoord via onderstaande link.
Reset mijn wachtwoord

Account beter beschermen?
Met de SMS-beveiligingscontrole is jouw Marktplaats-account voortaan nog beter beschermd. Meer weten? Hier leggen we het uitgebreid uit.

Met vriendelijke groet,
Het Marktplaats team
www.marktplaats.nl
Ik kom juist met name kleine en middelgrote bedrijven tegen niet grove fouten maken én vaak niet open staan om het aan te pakken.

Laatst nog een payroll partij met een mooi pand in Rotterdam, slaat IBAN, Wachtwoord en gebruikersnaam plain text in een onbeveiligd cookie op, en als je op voorwaarden klikt log je in over HTTP en worden al jouw persoonsgegevens en salarisgegevens heen en weer onverversleuteld over het internet gegooid.

Netjes een mailtje aan gewijd, geen reactie.
Na een maand gebeld, omdat er niets veranderd was.
Alleen het verwijzen dat er een maand geleden een datalekken is gemeld en de vraag wat er mee gedaan werd leidde tot woede aan de andere kant dat ze daar geen tijd voor hadden.

Toch een vrij grote payroll partij die voor duizenden mensen salarissen verwerkt. Ik heb een donkerbruin vermoeden dat deze partij zonder interventie van de autoriteit niets zal veranderen, hoeveel klant dit ook op een nette en rustige manier aankaarten, zelfs een werkgever met 300 werknemers werd afgebekt.

[Reactie gewijzigd door djwice op 24 november 2018 20:36]

Zou je dit naar de redactie van Tweakers kunnen sturen anders? Wellicht kunnen zij hier een ding van maken.

Deze payrollpartij is hartstikke strafbaar bezig nu en het is belangrijk dat partijen zich heel bewust zijn van het belang van goede databescherming en de boetes die ze anders boven het hoofd hangen.
Wil ik best doen, maar ik vraag me af of Tweakers die rol wil/moet vervullen.

Het feit dat deze partij paspoorten verwerkt en diverse andere zeer gevoelige gegevens betekent dat ze al op de hoogte zouden moeten zijn hoe ze met die gegevens om moeten gaan. De meldingen hebben hun gewezen op de onveiligheid van de verwerking, toch nemen ze geen zichtbare actie.

Ik vrees dat het is in dit geval geen onwetendheid meer is...
Uiteraard is dit geen zaak voor Tweakers maar je kunt een melding doen bij Autoriteit Persoonsgegevens
Ze zijn een beetje coulant t.o.v. kleine(re) bedrijven maar jou zaak lijkt mij voor hen zeker de moeite waard.
nieuws: Kleine Nederlandse organisaties worden ontzien bij handhaving AVG

Uiteraard zijn er helaas bedrijven die laks zijn of het niet zo nauw nemen met de regels, maar dat is waarschijnlijk (en hopelijk) in de toekomst uit de wereld, de boetes zijn ook niet mals.
De eersten zijn net uitgedeeld ;)
Dutchcowboys 24.11.2018:
Een Duits chatplatform heeft een boete van € 20.000 opgelegd gekregen vanwege het overtreden van de Europese privacywet GDPR, in Nederland bekend als de AVG. Volgens de Duitse krant Der Spiegel gaat het om het socialmediadienst Knuddels, met 1,2 miljoen unieke gebruikers. De chatdienst heeft wachtwoorden van gebruikers in platte tekst (dus ongecodeerd) opgeslagen. Door de wachtwoorden onveilig op te slaan heeft het bedrijf de AVG geschonden.
Maar 20.000 euro? Op 1.2 miljoen gebruikers.... dat is toch absurt.
Ja dit is een beginnetje ;)

Een boete kan oplopen tot 20 miljoen euro en grote bedrijven moeten bij een (grove) overtreding zelfs een percentage van hun wereldwijde jaaromzet inleveren

Overtreedt een organisatie de Algemene verordening gegevensbescherming (AVG)? Dan kan de Autoriteit Persoonsgegevens (AP) een boete opleggen van maximaal 20 miljoen euro. Er zijn twee categorieën overtredingen en bijbehorende maximale boetes.

1) Verantwoordelijken (organisaties die persoonsgegevens verwerken) hebben onder de AVG bepaalde verplichtingen, zoals de verantwoordingsplicht.
Komt een verantwoordelijke (een van) deze verplichtingen niet na? Dan kan de AP een boete opleggen van maximaal 10 miljoen euro. Of een boete van 2% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

2) Overtreedt een verantwoordelijke de beginselen of grondslagen van de AVG? Of de privacyrechten van de betrokkenen (de mensen van wie de organisatie gegevens verwerkt)?
Dan kan de AP een boete opleggen van maximaal 20 miljoen euro. Of een boete van 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

[Reactie gewijzigd door DeComponeur op 24 november 2018 19:44]

Niet als ze “maar” 2 ton omzet per jaar hebben bijvoorbeeld, dan is het fors.
Dan voelen ze het ja. Maar alsnog zijn er veel gebruikers bij betrokken. Als ik 45 km te hard rij moet ik evenveel betalen als mijn baas. Terwijl hij toch echt veel meer geld heeft/krijgt.
Maar jullie hebben dan ook allebei 45 km te hard gereden.
Hier in Nederland hebben we geen inkomens afhankelijke boetes, net zoals we geen omzet afhankelijke boetes hebben.

Alleen kan de schaal van de overtreding wel bepalend zijn hier. Zelfde als 5 km vs 45 km.

Ze zullen zo vlak na de invoering er niet gelijk met 20.000.000 ingaan. Het is niet de intentie bedrijven gelijk failliet te laten gaan, daar heeft ook niemand iets aan. Maar naarmate de tijd verstrijkt zal de boete wel stijgen, immers hebben bedrijven steeds langer de tijd hun zaken op orde te hebben.
En dat is nu net wat ik whatsapphack probeerde duidelijk te maken. Inkomsten is niet relevant. En plaintekst WW opslaan. Moet je ook voor de AVG niet willen.
Gedaan, hopelijk kan de Authoriteit hier wat mee.
Tweakers is meer om het in het nieuws te brengen, niet om het ook op te lossen.
De vraag is, hoe ga je dit als klant van een dergelijk bedrijf aan je werknemers uitleggen? Als bedrijf ben moet je goede afspraken maken met een dergelijke partij, aangezien jij de gegevens levert. Voor de werknemers is het bedrijf verantwoordelijk, niet de derde partij.
Afhankelijk van wat in die afspraken staat lijkt het me een zaak van overstappen naar een andere payroll partij.
Zijn die afspraken er niet.... tja, dan ben je zelf als bedrijf in overtreding van de GDPR.
Precies, overstappen is inderdaad in dit geval de enige oplossing, helaas. Blijkt nog goedkoper ook. Dus duurder is niet altijd een garantie dat zorgvuldiger omgegaan wordt met gegevens.
Wat de BCC doet vind ik niet netjes. Dat doen ze overigens niet als je in de winkel bestelt: dan sturen ze alleen de bon en 3 dagen later een mail richting "heb je vragen? Stel ze! Wil je trouwens een review plaatsen op tweakers?". Dat tweede mailtje hoeft van mij niet, maar het is ook geen ramp.

De mail van Marktplaats vind ik niet zo vreemd, mits er daadwerkelijk een inlogpoging was.
Ze besteden welgeteld één korte alinea aan de SMS controle en de meeste informatie staat niet in de mail zodat die kort en overzichtelijk blijft. Dat ze 2FA aanbieden is juist goed. Ik maak dan wel de aanname dat je telefoonnummer ook alleen voor 2FA gebruikt wordt.

Dat je je niet af kan melden vind ik normaal bij een transactionele mail. De mail is een reactie op een gebeurtenis, niet een nieuwsbrief. Je kan je zelfs afvragen of het wel goed is als je je hiervoor af zou kunnen melden: dan heb je het niet meer door wanneer iemand probeert op je account te komen.

[Reactie gewijzigd door iam2noob4u op 24 november 2018 13:58]

BCC is niet de enige hoor, inmiddels doen ze het (bijna) allemaal. De één wat meer dan de ander.
Het gaat mij er niet om of het wel of niet irritant is (geen ramp natuurlijk ;) ) maar of het mag volgens de AVG. Webwinkels zoeken met deze (volgens hun een service, met legaal bevattende spam) mails de mazen van de wet op, wat ik moreel gezien bedenkelijk vind. Sympathieker worden ze er niet van... met name het niet kunnen afmelden is iets wat denk ik minder commercieel zou kunnen uitpakken... maar ik ben geen reclamestrateeg.
Nouja, zodra jij zaken hebt gedaan met dit bedrijf mogen ze jou reclame sturen.
Je hebt gelijk, maar voor een puur commerciële boodschap moet wel de mogelijkheid zijn om je af te melden. Overigens mag datgene wat bcc doet gewoon, mits max 1/3 deel van de boodschap commercieel is en het hoofdonderwerp service betreft. Of je dat als ontvanger heel nodig vind is een tweede.
Wat de BCC doet vind ik niet netjes. Dat doen ze overigens niet als je in de winkel bestelt: dan sturen ze alleen de bon en 3 dagen later een mail richting "heb je vragen? Stel ze! Wil je trouwens een review plaatsen op tweakers?".
Ja, ze communiceren met je alsof ze super-behulpzaam en klantvriendelijk zijn.

Maar oh de ironie:
Als je daadwerkelijk klachten hebt over een product duurt het 9 van de 10 keer langer dan de door BCC maximaal gestelde drie werkdagen om een antwoord per mail terug te krijgen, en vaak slaat het dan alsnog als een tang op een varken.

En pas op, pas op als je te maken hebt met een niet deugdelijk product. Want dan zijn ze ineens in geen velden of wegen meer te bekennen. Ik zit zelf met een TV die langslepende firmware-problemen heeft, en wil dat ze hem terug nemen omdat een oplossing herhaaldelijk uitblijft.

Nou... het duurde alles bij elkaar met communiceren over telefoon; e-mail; fysiek naar de winkel stappen; daarna nog een keer per e-mail; langer dan een maand voordat ik eindelijk een mailtje terug kreeg waarmee ik nog steeds geen stap verder ben.

BCC, man oh man.
"High service," heh? Flikker toch op... :(

[Reactie gewijzigd door R4gnax op 25 november 2018 00:05]

Ik heb die ervaring niet. Kon een magnetron drie keer meteen omwisselen in de winkel. De derde keer tegen een onder merk omdat ik het een ondeugdelijk product vond.
2FA via telefoon (sms) is gewoon not done imho. Onveilig en onpraktisch is het.
Bedankt voor de tip! Had bijna iets bij die BCC besteld!
Maar waarom die onderscheiding.
Mag iemand die in de gemeente werkt harder rijden dan de rest?
Bedrijf = bedrijf en moet er geen onderscheiding gemaakt worden.
Als ze dat wel willen betekent gewoon dat de regel te absurd is..
Dat gaat natuurlijk over een andere wet en slaat als een tang op een varken.
Maar ook kleine organisaties zullen zich toch wel bewust moeten zijn van het een en ander op het gebied van openbaarheid. Dat was overigens altijd al zo, het enige is dat dit in de nieuwe AVG aangescherpt is. Daar dient ieder bestuur of websitebeheer rekening mee te houden. Wij beheren zelf een website van een vereniging en vragen nu nadrukkelijk aan iedereen om toestemming voor het plaatsen van foto's en andere persoonlijke dingen. En we maken de leden op de voorpagina ook attent op het recht om te vragen om een foto of wat dan ook te verwijderen in geval van bezwaar. Dat heeft dus niets met een grote of kleine organisatie te maken, ook al zal de kans op (zware) sancties bij de laatste categorie gering zijn. Maar een attent maken op door een overheid is ingeval van een serieuze klacht wel terdege mogelijk.

Oh ja, wettelijk bestaat dat onderscheid helemaal niet.

[Reactie gewijzigd door Techneut op 24 november 2018 12:27]

En toch zie je dat als de overheid de beveiliging slecht op orde heeft, dit niet leidt tot acties en reprimandes.
Het verschil is dat grotere bedrijven vaker met opzet op het randje zitten met wat wel en niet mag. En zijn zich daar duidelijk van bewust

Als wat kleinere bedrijven zich niet goed houden aan de regels is dat vaak niet met opzet. Een kans om dat recht te zetten zonder meteen een torenhoge boete vind ik vrij normaal.

Als ze daarna opnieuw betrapt worden op exact hetzelfde punt hebben ze hun kans gehad.
Lol ja, dit vond ik nog wel de meest opmerkelijke alinea in het artikel. Lijkt me ook onwaar dat de AVG alleen voor de Googles en Facebooken bedoelt is. Zou lekker zijn dan.

Daarnaast vind ik het heel erg prima dat kleine bedrijven af en toe schrikken. Toevallig afgelopen week bijv. nog een mailing gehad van een zonnepaneelinstallateur (ook van Tweakers) die per ongeluk 170 mailadressen in de Aan had gezet ipv BCC. Wel excuses gehad, maar natuurlijk was het leed al geschied. Je kan dan denken wat boeit die 170 adressen nou, maar er zullen maar een paar zwak beveiligde of gehackte accounts tussen zitten, ligt je mailadres waar zelden spam op kwam mooi ten grabbel. Dat zie ik bij een FB of Google niet gebeuren.

Ik denk dat er alleen onderscheid is in welke privacygevoelige data potentieel in grote getalen wordt verzameld of verspreidt. Bij een Google of FB is doel profilering dmv metadata e.d., bij overheid/bedrijven meer grote gescheiden brokken van data. Maar er zou dus geen onderscheid moeten zijn in hoe de AVG in totaliteit er naar kijkt. Een brakke beveiliging of menselijke fout bij 10 kleine bedrijven waar je delen grote brokken data van je ligt (bijv. bij 1 je IBAN en NAW, bij 2 NAW en mailadres, etc) is misschien nog wel kwalijker (qua effect) tov Google/FB. Bij een lek van een aantal van die bedrijven valt er denk ik meer misbruik mee te maken dan van Google/FB. En naadje is, kleine bedrijven schrikken en komen er ook niet altijd voor uit dat iets is gelekt, fout is gegaan of zwak beveiligd is.
Zolang het business model niet verandert (geld verdienen met kennis over je gebruikers/klanten) zegt dat genoeg over de effectiviteit van de AVG. Volgens mij zijn er weinig mensen die zich druk maken over beeld materiaal waar ze op staan, ik denk terecht. Waar volgens mij de meerderheid wel problemen mee heeft is het verzamelen van gegevens op allerlei manieren en helemaal als niet transparant is wat met die gegevens gebeurd. Zeker de grote bedrijven bezitten gigantisch veel informatie.

Ik vraag mij af of de AVG effectief hier tegen is.

[Reactie gewijzigd door MadX46 op 24 november 2018 18:19]

Helaas denk ik dat de kleine bedrijven wel het meest er last van gaan hebben.
Het is altijd zo dat ze de kleine visjes offeren (kijk media wij doen er wat mee), dan hoeven ze het 'probleem' de grote visjes niet aan te pakken.
De AVG zou ook leiden tot een overmatige werking bij bijvoorbeeld kleinere organisaties als scholen of sportverenigingen, die geen foto's meer durven te maken of in paniek raken als per ongeluk de adressen van de mailinglijst in cc gaan in plaats van bcc.
Dit vind ik helemaal niet een overmatige werking maar juist een passende werking. goedzo, maak maar geen fotos zonder toestemming. goedzo schrik maar als je perongeluk alle mailadressen stuurt naar iedereen. Ik geef die informatie in vertrouwen af, dat vertrouwen is nu eindelijk weer iets waard.
Welke informatie geef je in vertrouwen af als er foto's van je gemaakt worden? Dat van de CC begrijp ik volkomen, maar van die foto's vind ik een beetje overdreven. Tuurlijk als je niet op de foto wil is dat je goed recht, maar simpelweg even naar de fotograaf lopen lijkt me voldoende.
De fotograaf komt maar naar mij toe. ik hoef niet constant op de loer te liggen of er een fotograaf rondloopt. Het is aan hun mijn toestemming te krijgen, je kan niet automatisch uitgaan van toestemming.
Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt.

[Reactie gewijzigd door t link op 24 november 2018 11:55]

gelukkig gaat die regel niet op en hoeft een fotograaf jou niets te vragen.

Als men jou vooraf informeert dat er gefotografeerd wordt (met welk doel en met wie het gedeeld wordt) bij een evenement en jij komt opdagen geef je impliciet toestemming.

Zo lang er geen complexe verwerking of koppeling aan andere persoonsgegevens plaatsvind is er geen expliciete toestemming nodig.
Met de huidige stand van techniek zijn we instaat om met 1 foto leeftijd, geslacht, lengte en uiterlijke kenmerken vast te stellen. Ook kunnen aan de hand van die foto correlaties worden gelegd met ander beeld materiaal waarop de persoon of eerste lijn familie op zichtbaar is.

Ook kan bijvoorbeeld via Google en Facebook een foto gebruikt worden als invoer voor het zoeken van dezelfde persoon en gerelateerde personen.

Als een foto gemaakt wordt en gedeeld op Social media verwerken die partijen de foto op bovenstaande manier. Er is dan dus direct spraken van complexe verwerking én koppeling aan andere persoonsgegevens.

Veel mensen (zowel privé personen als professionals) zijn zich wellicht niet altijd bewust dat dit gebeurt, hoewel de meesten wel de functie kennen waarbij automatisch namen worden toegevoegd aan mensen op de foto.
Klopt, maar dit zijn dan andere partijen die dit doen.

Als jij als vereniging de foto’s van een evenement als verslag op een eigen website zet zonder verdere gegevens dan is dat geen probleem volgens de AVG.
Zeker wel, als jij deze publiekelijk op de site van je evenement / organisatie zet en hierop duidelijk bijv. 1 persoon uitgelicht word (al dan niet vanwege zijn super toffe indianentooi) dan geld er volgens mij alsnog iets van portretrecht. Het word anders als een evenement een groeps/overzicht foto van de meute maakt waarop jij mogelijk misschien enigszins herkenbaar bent als persoon zijnde.

Bij het eerste geval moet volgens mij expliciet toestemming gevraagt worden (al dan niet dmv aankoop ticket algemene voorwaarden box plus optie om het te weigeren) bij het tweede hoeft er enkel notie gemaakt te worden dat er gefotografeerd word en dat hier mogelijk identificeerbare personen op kunnen staan.
Optie om te weigeren hoeft volgens mij technisch gezien niet, omdat je niet verplicht bent deel te nemen aan het evenement.

Heb wel vaker gezien bij een festival/feest o.i.d. dat erbij staat dat je door aankoop akkoord gaat hiermee.
Er zijn situaties waarin mensen dan moeilijk kunnen kiezen: zich uitsluitend van een uitje met hun vrienden (die wél gaan) of hun privacy waarborgen.

Dat is een oneigenlijke keuze.
Klopt. Dan geld niet het AVG maar het portretrecht, maar deze bied relatief weinig bescherming.

De geportretteerde moet een “redelijk belang” hebben, en zich verzetten. Anders dan bij de AVG ligt bij het portretrecht ligt de bal dus bij de geportretteerde. De geportretteerde moet duidelijk maken dat hij een redelijk belang heeft bij het niet publiceren.

Fotografen zijn redelijk goed beschermd in de AVG en het portretrecht. Omdat dit anders hun werk onmogelijk zou maken.
Als men jou vooraf informeert dat er gefotografeerd wordt (met welk doel en met wie het gedeeld wordt) bij een evenement en jij komt opdagen geef je impliciet toestemming.
nope zo werkt het nou JUIST niet met de AVG. dan is je toestemming namelijk dubbelzinnig geweest. je kan toestemming volgens de nieuwe AVG niet afhankelijk maken van de service tenzij dit de core business van het bedrijf in gevaar brengt. Het staat ook heel duidelijk in de quote die ik gaf dat het niet dubbelzinnig mag zijn. netzoals dat een website gebruiken zelf geen toestemmen is, is naar een evenement gaan ook geen toestemming geven.
gelukkig gaat die regel niet op en hoeft een fotograaf jou niets te vragen.
die regel gaat weldegelijk op, hier een jurist als je me niet geloofd
Een persoonsgegeven is ieder gegeven dat direct of indirect te herleiden is tot een persoon, zo luidt de definitie uit de AVG. Bij een foto is dat evident het geval zodra een persoon herkenbaar is. Dat hoeft niet perse omdat er een naam onder staat, je gezicht (of herkenbare postuur) is al genoeg om het een persoonsgegeven te maken.

Daarmee krijg je als fotograaf te maken met de regels van de AVG, en dat begint dan al vanaf het máken van de foto. Immers, de AVG geldt op iedere “verwerking” van persoonsgegevens en het vervaardigen oftewel maken daarvan is een voorbeeld daarvan. (Uitzondering: de analoge foto, dus met ouderwetse film, wanneer die foto niet bestemd is om in een gecatalogiseerd archief terecht te komen. Dan val je buiten de AVG.) Het publiceren is evenzo een ‘verwerking’ en dus onderworpen aan de regels van de AVG.
en hier nog even wat extra info want je lijkt niet helemaal op de hoogte te zijn:
Wanneer je journalistiek bezig bent, dan gelden een hoop artikelen uit de AVG niet voor jou. Dat is in de Uitvoeringswet AVG zo bepaald. Ik ga ze niet allemaal noemen, maar dit zijn de belangrijkste gevolgen:
  • Eenmaal gegeven toestemming van een geportretteerde is niet meer intrekbaar (artikel 7 lid 3 is buiten werking).
  • Als geportretteerde heb je geen recht van inzage, correctie of verwijdering bij de fotograaf (heel hoofdstuk III is buiten werking).
  • Je hoeft datalekken niet te melden bij de toezichthouder of bij geportretteerden (hoofdstuk IV is op dit punt, artikelen 33 en 34, buiten werking).
  • Je hoeft je geen zorgen te maken over opslag van je foto’s in het grote boze Amerika (heel hoofdstuk V is buiten werking).
  • Je mag ook strafrechtelijke en bijzondere persoonsgegevens verwerken (artikelen 9 en 10 zijn buiten werking).
  • Je hoeft geen register van je journalistieke verwerkingen bij te houden (hoofdstuk IV is op dit punt, artikel 30, buiten werking).
Wel heb je nog steeds een grondslag nodig (artikel 6 blijft van kracht). Dat kan zijn toestemming van de betrokkene, maar er zijn er meer. Omdat je bezig bent met het aan het publiek bekend maken van informatie, meningen of ideeën, is in principe automatisch de vrije nieuwsgaring de grondslag (dit is een eigen gerechtvaardigd belang). Bij dat belang geldt altijd een afweging met de privacy van de geportretteerden, maar die afweging komt de facto neer op wat we al decennia kennen als de redelijk-belangtoets in het portretrecht. De AVG is niet strenger dan het portretrecht.

Normaal kun je als betrokkene bezwaar maken tegen zo’n gerechtvaardigdbelangafweging, maar specifiek bij journalistiek geldt dit niet: het recht van bezwaar bestaat niet (heel hoofdstuk III met daarin artikel 21 is buiten werking).

Ook moet je als fotograaf zorgen voor een goede beveiliging van je persoonsgegevens (artikel 32 blijft van kracht), en als je andere mensen met je foto’s laat werken (denk aan een backupdienst of een ingehuurde illustrator die ze mooi bewerkt) dan moet je daarmee een verwerkersovereenkomst sluiten (artikel 28 blijft van kracht).

[Reactie gewijzigd door t link op 24 november 2018 18:29]

vergeet niet dat fotografen meestal niet diegenen zijn die het materiaal verspreiden.
Dat doet een opdrachtgever dan weer.

Je mag alles en iedereen fotograferen zolang je het niet publiceert.
Welke informatie geef je in vertrouwen af als er foto's van je gemaakt worden?
Bij een sportvereniging? Waar mensen lopen te zweten in een kort broekje tot ze van vermoeidheid over hun eigen voeten struikelen? Ik kan me er wel iets bij voorstellen....
simpelweg even naar de fotograaf lopen lijkt me voldoende.
Simpelweg naar de fotograaf toelopen klinkt makkelijk, maar iedereen heeft tegenwoordig een camera in z'n telefoon en loopt er de hele dag mee in z'n hand. Je kan toch moeilijk iedereen gaan aanspreken om te vertellen dat je niet op de foto wil?
Nog even los van de vraag of je je training of wedstrijd wil afbreken om iemand te wijzen je op je voorkeuren.
Ik zal je sterker vertellen dat foto's van iemand maken helemaal niks met de wet AVG te maken heeft. Dit is een paniekvoetbal actie geweest van iemand die dat de wereld in geholpen heeft maar niks daarvan is waar. De AVG is alleen bedoeld voor de opslag van je naw gegevens en idd voor bedrijven als Google en Facebook.

In ieder geval is de wet he-le-maal verkeerd geïnterpreteerd.
Ik zal je sterker vertellen dat foto's van iemand maken helemaal niks met de wet AVG te maken heeft.
<knip>
De AVG is alleen bedoeld voor de opslag van je naw gegevens en idd voor bedrijven als Google en Facebook.
Hoe kom je op het idee dat de AVG niet van toepassing is op foto's? Foto's zijn ook persoonsgegevens en dat is waar het om gaat. Sterker nog (herkenbare) foto's vallen zelfs in de categorie "bijzonder persoonsgegeven" waar extra strenge regels voor gelden.
Ja maar er is wel degelijk verschil of een PARTICULIER of een BEDRIJF (sorry voor de caps) deze foto's maakt en wat die er vervolgens mee doet. Een andere papa of mama op de vereniging? Dan kan je heel hard AVG roepen maar die is niet perse van toepassing, zeker niet op een openbaar terrein.

Er lijkt missconceptie te bestaan dat het een algemeen recht op privacy is die alles omvattend is, maar zoals eerder hierboven aangegeven door anderen, het gaat over rechten en plichten in een zakelijke relatie (en dan volgens mij vooral consument->bedrijf en niet business->business).
Omdat zoiets in de gdpr staat. Het kunnen persoonsgegevens zijn betekent niet dat het altijd persoonsgegevens zijn.

Een coach maakt graag een video ter evaluatie met zijn team of hij gaat bij de concurrentie kijken. Gerechtigd belang, het is pas fout als het openbaar gemaakt wordt met herkenbaarheid etc. Nooit anders geweest.

Bewakingsbeelden bij kassa's zijn intussen de norm en gezien de ontwikkelingen kan dat niet anders wegens privacy....
Ook foto's vallen gewoon onder AVG!
Onder de AVG zijn foto’s immers persoonsgegevens, en volgens de strenge regels moet je dan bij het maken van iedere foto toestemming vragen anders volgt automatisch een miljoenenboete. En nou ja, het klopt dat een foto een persoonsgegeven is en dat het maken en gebruiken daarvan dus onder de AVG valt, maar dat wil niet zeggen dat je dus altijd toestemming nodig hebt van de geportretteerde. Zeker niet als je foto onder de uitingsvrijheid valt – en dat is al heel snel het geval.
Het zijn dus onder de AVG wel degelijk persoonsgegevens. Waar je wél gelijk in hebt is dat het zeker niet verboden wordt om foto's te maken, dat mag namelijk gewoon, zolang je maar aan een aantal randvoorwarden voldoet.

Arnould Engelfriet, een ICT-jurist, legt het vrij duidelijk uit op https://blog.iusmentis.co...n-fotograferen-na-de-avg/
Bij een sportvereniging? Waar mensen lopen te zweten in een kort broekje tot ze van vermoeidheid over hun eigen voeten struikelen? Ik kan me er wel iets bij voorstellen....
Oh, je bedoeld die mensen die er in de zomer precies zo bijlopen?
Simpelweg naar de fotograaf toelopen klinkt makkelijk, maar iedereen heeft tegenwoordig een camera in z'n telefoon en loopt er de hele dag mee in z'n hand. Je kan toch moeilijk iedereen gaan aanspreken om te vertellen dat je niet op de foto wil?
Nog even los van de vraag of je je training of wedstrijd wil afbreken om iemand te wijzen je op je voorkeuren.
En goe gaat de AVG, lees: schriftelijke toestemming, hierbij helpen? Een megafoon pakken en iedereen melden dat Jantje, Pietje en Klaasje niet op de foto gezet willen worden?

Ik snap het best wel hoor, ik heb er zelf mee te maken als bestuurslid van een vereniging, maar het probleem wordt naar mijn idee wel een beetje erger gemaakt dan het in werkelijkheid is.

[Reactie gewijzigd door killerfreak op 24 november 2018 17:29]

Alsof je altijd door hebt dat je gefotografeerd wordt.
Ik neem aan dat, als er een fotograaf op de vereniging aanwezig is, dit kenbaar gemaakt wordt aan de aanwezigen door iemand van de vereniging.
Als ik op een job site sta en recruiters contacteren mij. Ze hebben me data en ik vraag om dit te verwijderen. En ze zeggen hebben er gedaan.

Hoe kan je dit testen of ze het echt hebben gedaan. Mag je dit nogmaals vragen testen mm
Ik weet het fijne er ook niet van, maar vermoedens en bewijs van dat ze dit toch niet gedaan blijken te hebben zou je dan kunnen doorsturen naar AP. Die zullen er dan werk van moeten maken en boetes uitdelen.
Je kunt bijvoorbeeld je telefoongesprekken opnemen, en dan gewoon aan de volgende recruiter vragen hoe hij/zij aan jouw gegevens komt. Zegt hij: dat staat in onze database, en jij zorgt ook dat je bewijs hebt dat je aangevraagd hebt om je data te verwijderen, dan lijkt het mij klaar als een klontje voor de AP.
Mocht je je alleen druk maken om je eigen gegevens, dan is dit natuurlijk een mooie manier om de andere partij even duidelijk te maken dat ze beter nu wel jouw data verwijderen.
Het is niet perfect, maar beter dan een jaar terug.

[Reactie gewijzigd door lmartinl op 24 november 2018 15:10]

Of de recruiter heeft netjes alle data over jou verwijderd uit zijn eigen database, en vervolgens wordt zijn database weer automatisch aangevuld uit een database bij een derde partij die bij jou niet bekend is.
Kan wellicht, maar daar zou je als klant (oid) niet de dupe van mogen worden. Lijkt me dus vooral een kwestie voor het bedrijf en men zou dat al moeten weten als data op die manier terug kan vloeien. Goed inregelen van je bedrijfsproces.
Nu ga jij er van uit dat dit een vergissing is. Ik zie het als manier om wel aan de letter van de AVG te voldoen terwijl je hem tegelijkertijd compleet negeert. Vooral als de data ergens staat waar de AVG niet kan worden afgedwongen.
Nee hoor geen vergissing, daarom schreef ik ook over bedrijfsproces in beeld hebben (dus analyseren vooraf ipv later verbaasd zijn... of een tik over de vingers krijgen). Want het maakt toch niet uit uit welk gat de data komt? Maar het komt vast vaker voor, sta er niet verbaasd van te kijken in elk geval.

En het kan ook heel goed per ongeluk of onbewust (wel soort vergissing), terwijl er verder intern focus is op AVG regelgeving. Zeg maar primaire processen die gemoeid zijn met privacy goed in beeld en afgeschermd met rechten of beperkingen in wat op te slaan. Maar sommige bedrijven zijn zo groot, met zoveel medewerkers en hebben dit soort dingen uit het verleden geërfd... duplicaten met privacygevoelige data verspreid over lokale (netwerk)schijven. Bijv. verzamelingen spreadsheets met onherkenbare namen dat suggereert deze data te bevatten. Tja hoe hou en krijg je dat in beeld en voorkom je dat die data opeens weer oppopt of nog erger uitlekt? Dat is m.i. verantwoordelijkheid nemen, afdwingen naar elke medewerker... maar vooral een proces van jaren voordat die zooi weg is (wellicht ooit bij een datamigratie en/of archivering) en medewerkers+processen goed zijn ingeregeld. De primaire (actuele/lopende) processen zijn het belangrijkst (momenteel).

Jij suggereert verder dan nog dat men bewust de AVG ondermijnt? dat zou wel kwalijk zijn.
Bijna alle wetten worden, indien mogelijk, bewust ondermijnt door degenen die er last van hebben. Waarom zou de AVG anders zijn? En we zien hier in de praktijk al voorbeelden van: bedrijven die hun dienstverlening in de EU officieel stoppen (in de hoop dat de gedupeerden gaan klagen bij de overheid).

Dit is gewoon een broertje van belastingontwijking. Grote en slimme bedrijven voldoen op papier aan de wet, en de rest maakt hoge kosten om de geest na te leven.
Als klant moet jij natuurlijk ook gewoon opletten aan wie jij jouw data verstrekt en opletten welke verwerking en delen van deze data jij toe staat.

Maar wel een leuke situatie. Hoe weet dat bedrijf dat jij niet wil dat ze gegevens van jou bewaart? Dan moeten ze toch jouw naam ergens in een bestandje zetten ;) Blij dat ik geen rechter ben iig.
Leuk al die klachten en ook dat er veel meer meldingen van lekken zijn door bedrijven, maar wat schiet je er nou eigenlijk mee op als het om jouw gegevens gaat?

Het is niet dat je met de AVG in de hand nu instanties aansprakelijk kan stellen voor het lekken en de mogelijke neveneffecten daarvan.
En qua handhaving is het vooralsnog ook enkel een meldplicht zonder afdwingen.

Volgens mij hebben we met een jaar AVG nu wel meer bewustzijn gecreëerd, maar heeft het verder veel weg van een wassen neus.
De AVG moet er in de eerste plaats voor zorgen dat bedrijven zich meer bewust zijn van de data die ze hebben en de procedures van hoe ze daarmee omgaan. Het plaatst druk om die data beter te beschermen en geeft mogelijkheden om proactief op te treden. Daarnaast is duidelijk wie eigenaar is van die informatie.

Wat schiet je er mee op? Hopelijk dat je data veiliger is.
Dat ze het hopelijk oplossen :) Zo heb ik een klacht ingediend over een bepaalde grote fabrikant van medisch-gerelateerde apparatuur die je verplicht om al je gegevens in de cloud te zetten anders mag je het apparaat niet gebruiken of blokkeren ze allerlei lokale functies zoals veilige opslag in Healthkit, terwijl het apparaat bewezen wel prima zou kunnen functioneren zonder die koppeling. Gezien dat om medische data gaat is het nog ernstiger verboden dan bijvoorbeeld enkel een mailadres of IP.

De AP pikt dat op, hopelijk schrijven die ze aan en als ze het niet aanpakken een boete; uiteindelijk kunnen alle klanten van dat bedrijf dan hopelijk hun apparaten gebruiken zonder op enorm onveilige wijze al hun gegevens verplicht naar een of andere cloud te kopiëren.

[Reactie gewijzigd door WhatsappHack op 24 november 2018 20:32]

De AVG werkt ook andersom. Bij mijn gemeente wilde ik mijn gegevens opvragen omdat mij iets niet duidelijk is.
Ik kreeg als antwoord dat ik i.v.m. de AVG mijn eigen gegevens niet in mocht zien.
In dit geval beschermt de AVG de overheid en niet de burger.
Volgens artikel 15 in de AVG heeft iedereen het recht om hun eigen data in te zien en om te weten hoe deze data verwerkt wordt. De gemeente praat dus onzin en handelt in strijd met de AVG. Het lijkt mij niet dat jouw hele dossier overal ook informatie bevat dat over iemand anders gaat, want dat is de enige uitzondering die op zou kunnen gaan.

https://autoriteitpersoon...cyrechten/recht-op-inzage

[Reactie gewijzigd door nezhi op 25 november 2018 01:53]

Nezhi,
Bedankt voor je reactie. Hoe het verder gaat laat ik je weten. Kan wel even duren.
Tip

Lees voor de grap het boek
"je hebt wel wat te verbergen"
eens door. Over hoever bedrijven zoals Facebook en Google gaan om jou gegevens te bemachtigen.
Hoe slinks men te werk gaat en kijk eens naar de data die men nu al heeft van jou accounts.

Alles is zowat gekoppeld aan elkaar en men weet precies te vertellen wat jij leest welke sites je ziet en welke links jij aanklikt.
Ooh ja en waar je geweest bent staat ook precies met uur en tijd beschreven.

Het is bijna een sport om dit allemaal te ontwijken

[Reactie gewijzigd door duspmeante op 24 november 2018 16:22]

Die sport heb ik ook lang bedreven, maar als je het goed wilt doen, kun je het best gewoon geen smartphone meer gebruiken en thuis zwaar beveiligde browsers over VPN (wat ten koste gaat van de bruikbaarheid van ongeveer de helft van de webpagina's).
Ondanks dat jij bijvoorbeeld aangeeft dat Google je locatiegegevens niet mag bewaren, worden die toch opgeslagen. Dat blijkt als je bijvoorbeeld eens een keer een review plaatst, dan zie je opeens allerlei zaken waar je eerder bent geweest.

Als je echt niet gevolgd wilt worden s de enige optie een Nokia 3210 oid, maar de tips die in dat boek staan zijn zeker niet zaligmakend en geven ook zeker geen volledige bescherming, maar eerder iets van 70%. Dat is wel een winst, maar nog altijd voldoende om heel veel over jou te weten te komen...
;)
Als je de VPN zelf host ja, anders moet je maar hopen dat je provider de boel goed op orde heeft.
En een VPN verbloemt enkel je IP. Alle meta data die je browser met requests mee stuurt ed. Komt nog steeds bij de servers terecht waarnaar je de requests verstuurt. Een VPN beschermt je eigenlijk enkel tegen man-in-the-middels, en zelfs daar weten geavanceerde heuristic algoritmes nog informatie uit te slepen.
Dus een VPN heeft vrij weinig met de AVG te maken.
Ik hou me aanbevolen als er meer van dit soort boeken zijn 😬 vind het erg interessant
Mijn persoonlijke ervaring (met 22 klachten die allemaal afgewezen zijn) is dat veel consumenten het gewoon niet erg snappen en dat het een heel potent middel is voor mensen die om welke reden dan ook ontevreden zijn. Met een korte brief kan je een bedrijf leuk op kosten jagen.

Als de eis dan afgewezen is (Vrijdag nog omdat de persoon onterecht dacht we zijn email aan Facebook verkocht hadden, hoe komt iemand erop, we hebben geen enkele tracker lopen ?) dan verzoek ik altijd om de door ons gemaakte kosten te kunnen verhalen op diegene wiens klacht is afgewezen. Het begint erop te lijken dat dat een mogelijkheid word en daar zou ik zeer blij mee zijn. Indien het een aanhoudend persoon is dan kunnen de kosten snel in de papieren lopen.

Als wij een fout gemaakt hebben dan ga ik diep door het stof maar ik weet dan mijn bedrijven allemaal verder gaan dan de wet eist en dat we dat al vele jaren doen.
Bij POSTNL doen ze ook niet echt aan AVG. In hun app kun je gewoon de post zien die voor je buren is. Al in juni doorgegeven maar ze doen er niets mee. Het probleem is er nog steeds.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True