Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Oostenrijkse privacygroep stelt dat grote techbedrijven de avg schenden

Een Oostenrijkse groep die opkomt voor privacyrechten stelt dat grote techbedrijven als Amazon, Netflix, Spotify, Apple en YouTube niet voldoen aan de algemene verordening gegevensbescherming. Het gaat om het recht om te vragen welke data de bedrijven bezitten.

De ngo genaamd noyb, waar de bekende Oostenrijkse privacyvoorvechter Max Schrems de directeur van is, stelt dat geen van de onderzochte bedrijven of diensten voldoet aan de algemene verordening gegevensbescherming. Het gaat hierbij om het recht voor gebruikers om bij de bedrijven aan te kloppen en te vragen welke data de bedrijven over hen hebben. De bedrijven DAZN en SoundCloud hebben verzoeken hiertoe in zijn geheel niet beantwoord, schrijft noyb. De overige zes bedrijven of diensten, te weten Amazon Prime, Apple Music, Flimmit, Netflix, Spotify en YouTube, kwamen wel met een antwoord, maar die voldoen volgens noyb niet.

Noyb stelt dat veel kleinere bedrijven vaak handmatig antwoorden op dit soort avg-verzoeken. Volgens de groep is dit anders bij grote bedrijven als YouTube, Apple, Spotify en Amazon; zij werken met geautomatiseerde systemen om aan de gebruikersverzoeken te voldoen. Noyb concludeert dat geen van deze systemen echter op de proppen kwam met relevante data. Achtergrondinformatie zoals de bronnen, de eventuele ontvangers van de data en de bewaarperiode ontbrak veelal. Daarnaast werd de 'ruwe data' vaak in 'cryptische formats' aangeleverd, zodat het volgens noyb 'extreem moeilijk of onmogelijk' is voor gebruikers om de informatie te begrijpen. In veel gevallen ontbraken er ook bepaalde typen ruwe data, stelt noyb vast.

Max Schrems zegt dat deze systemen 'vaak nog niet in de buurt komen van het verschaffen van de gegevens waar elke gebruiker recht op heeft'. Volgens hem krijgen gebruikers vaak enkel de ruwe data, maar wordt er bijvoorbeeld geen informatie gegeven over met wie deze data gedeeld is. Volgens Schrems levert dit een structurele schending van de rechten van gebruikers op, omdat de systemen 'zijn gebouwd om gebruikers te weerhouden van toegang tot de relevante informatie'.

De privacygroep heeft namens tien gebruikers klachten jegens de acht bedrijven ingediend bij de Oostenrijkse privacywaakhond. De algemene verordening gegevensbescherming schrijft voor dat er een boete van 20 miljoen euro of 4 procent van de wereldwijde omzet kan worden opgelegd. Volgens noyb betekent dit dat de theoretische maximale boete voor de tien klachten gezamenlijk kan oplopen tot 18,8 miljard euro. Eerder heeft noyb ook al klachten over Google, Facebook, Instagram en WhatsApp neergelegd bij vier privacytoezichthouders uit de EU.

Door Joris Jansen

Nieuwsredacteur

18-01-2019 • 18:28

68 Linkedin Google+

Reacties (68)

Wijzig sortering
Er zouden nog veel meer van die groepen moete zijn, privacy is zeer en zeer belangrijk en doe op internet zo veel mogelijk om me privacy te verbergen, 100% gaat misschien niet lukken maar alles helpt.
Maar als burger moeten we ook eens wat realistischer worden als het om privacy gaat. Sommige mensen raken in paniek als ze zien dat informatie die al sinds mensenheugenis openbaar is, beschikbaar blijkt te zijn. Denk aan kadastergegevens, KvK gegevens, NAW (bij de meeste mensen staat de naam gewoon op de voordeur, dus openbaar).

Dus gewoon even nuchter nadenken voordat we hysterisch gaan reageren. Dat helpt al heel veel.
Het gaat ook niet over een naambordje bij een deur.
Ze volgen je helemaal naar welke sites je gaat hoe lang je daar bent wat je aanklikt en wat je eventueel besteld of welke video’s je op het net allemaal kijkt enz enz, het gaat meer over dat soort dingen en dat is gewoon privacy.
Het gaat niet om het kunnen vinden van iemand op Internet (Genoeg mensen die een account hebben op een vorm van social media), maar om het tracken en gebruiken van persoonlijke gegevens. Pietje logt in op GezichtBoek op z'n Android telefoon, bezoekt een restaurant, waarna hij een foto upload van z'n etentje. Achteraf toont Facebook suggesties waar hij nog meer kan eten en vraagt Google om een review te plaatsen van dat restaurant.
Kadastergegevens sinds mensenheugenis? :)

Misschien mag je zelf ook wat realistischer zijn. Natuurlijk zijn er databanken die al decennia bestaan maar het kostte je een leven lang om door gegevens tegenover elkaar te zetten te weten dat een vrouw zwanger is terwijl ze het zelf nog niet weet. Een paar symptomen opzoeken en hup de AI weet al dat je binnen 9 maanden pampers nodig hebt.

Ook namen op een bel kan je moeilijk als gemakkelijk opvraagbare openbare gegevens beschouwen. Als je zo een lijst wil maken van alle inwoners in je land dan wens ik je veel succes met de rest van je leven.
De gegevens waarover jij het hebt daar is zeer nauweurig in de wet over bepaald wie waar wel en wie waar niet gebruik van die gegevens mag maken.

Het is absoluut niet zo dat iedereen mag graaien in die gegevens.

Het is zelfs niet zo dat bv. de politie zomaar wat mag opvragen hier uit. Zelfs de belastingsinspectie niet. Zelfs de koning niet. Zelfs de eerste minister niet. Zelfs justitie niet, tenzij ze daar een grondige reden voor hebben.

Zéér zeker allerlei bedrijven niet.

Wat voorts bij de meeste mensen zo is, bepaalt op geen enkele manier wat de wet is. Als er enkelen zijn die niet hun naam op hun voordeur zetten, en de wet maakt dat mogelijk, dan hebben die enkelen recht op privacy daarover. En dan kan jij mekkeren dat iedereen in het dorp dat wel doet. Zij doen dat niet. Zij hebben dat recht. Jij hebt geen macht over hun recht daarover. En uw meerderheid interesseert me niets.
De datavakbond in Nederland wil ook beginnen met een min of meer verglijkbaar onderzoek, maar dan uitgevoerd door vrijwilligers.
Dit soort bedrijven zijn net zo erg als diegene die ze beschuldigen. Als ik de documenten doorneem dan zie ik vooral een negatieve insteek. Beloon ook bedrijven die het goed proberen te doen ipv te muggenziften. Dit soort verandering bewerkstellig je niet alleen met de stok maar ook met belonen.
Ik denk dat er niet veel mensen zijn die geloven dat de grote bedrijven nu ineens alles netjes doen. Als klein bedrijf kan je dit soort vragen handmatig afhandelen. Dan kan je ook gemakkelijk aan alle onderdelen van de wet voldoen.
Als groot bedrijf moet je het automatiseren. Dat kost wel veel moeite. Nu is dat geen excuus, want de AVG was al jaren van te voren bekend. Nu weten we allemaal dat de grote bedrijven de AVG maar lastig vinden en liever zo min mogelijk openheid geven in de data die ze bewaren. Veel bedrijven hebben niet eens een vast beleid over bewaar termijn, dus de informatie daarover blijft al in gebreke.
Dat het de resultaten van het onderzoek wel wat sterk negatief worden gebracht, ben ik met je eens. Direct dreigen met boetes en daar dan ook gelijk het maximum bij noemen, terwijl een aantal bedrijven toch gedeeltelijk wel aan de wet voldoet is niet terecht. Wat wel terecht is, is het onder de aandacht brengen van de problemen die nog steeds bestaan. De bedrijven die helemaal niet reageren zouden eigenlijk direct voor een officieel onderzoek in aanmerking komen. De overige bedrijven mogen best gewezen worden op hun gebreken en daar mag over een heel of half jaar best nog eens een meer officieel onderzoek naar plaatsvinden.
Maar als je kijkt naar de bedrijven die ze op de voorgrond plaatsen zijn het niet de bedrijven die niet gereageerd hebben (uitz. Soundcloud en DAZN). Dit is een veranderingsproces en dat gaat tijd kosten en aftasten van wat wel en niet kan. De AVG moet daar zelf ook duidelijker in worden.

Persoonlijk vind ik dat we als gebruikers het probleem met privacy zelf gecreëerd hebben. Ik weet nog de begin periode dat ik vol verbazing was dat mensen hun echte naam gingen gebruiken bij Internet diensten (Icq, email e.d) en hun geboorte datum en adres registreerde bij dat soort publieke diensten. Ik vroeg mij toen al af waarom zou je dat doen?!?!
De AVG is al jaren van kracht, dus die grote bedrijven hebben genoeg tijd gehad om hun systemen aan te passen. Het is echt niet zo dat ze dat niet konden doen. Maar ze wilden het niet.
Helemaal juist. Dus is het nu tijd geworden om te beginnen slaan met de stok van de wet. Gevangenisstraffen voor CEO's en kaderleden.
De AVG is al jaren van kracht, dus die grote bedrijven hebben genoeg tijd gehad om hun systemen aan te passen. Het is echt niet zo dat ze dat niet konden doen. Maar ze wilden het niet.
Inderdaad. De wetgeving is al actief sinds 2016. Enkel de actieve handhaving was tot 2018 uitgesteld.
Dat bedrijven er voor hebben gekozen hun kop in het zand te steken - of waarschijnlijker; de kosten nog niet te nemen omdat dat de jaarwinst zou verlagen - is mooi hun probleem.

[Reactie gewijzigd door R4gnax op 19 januari 2019 15:57]

In de beginperiode waren alleen "techneuten" actief op het internet. Toen was het ook heel normaal om een nickname aan te nemen (de mijne gebruik ik hier nog steeds).
Op het moment dat het www naar het grote publiek en vooral jongeren kwam, werd het voor bedrijven interessant om meer van hun gebruikers te weten. Die nieuwe gebruikers waren allemaal nog zo bleu als maar kan en tikte vrolijk hun naam in.

Aan de ene kant hebben we privacy ellende zelf gecreëerd, maar de bedrijven zijn daar ook wel dwingend in geweest door overal en nergens een account voor te eisen. Hoe dan ook, we hebben nu weer recht op privacy (eindelijk) en daar zijn gewoon wetten voor gekomen. De wetten zijn redelijk duidelijk, maar de grenzen worden meestal vastgelegd door de jurisprudentie die ontstaat door uitspraken van rechters. Die fase moeten we nog beginnen. De uitslagen van het onderzoek meld echter een aantal punten die duidelijk niet voldoen aan de AVG.
privacy niet schenden maar wel deze voorwaarde opnemen mbt privacy.
We use your personal data for the following purposes:

• Communication between you and Votavi;
• Communication between you and Votavi at the request of a third party;
Dan geef je dus de regie volkomen uit handen. Dat is niet wat je hier net beloofde!
Dan lees je dus niet goed. Ik geef de data niet aan derden, ik communiceer eventueel op aanvraag van een derde met jou.
Als zaken verkeerd gelezen worden is een andere formulering wenselijk.
Dat zou idd kunnen, suggesties ?
Het probleem zit natuurlijk bij alle data die word opgeslagen. Waarvoor? Voor 3de, die er een bedrag voor neerleggen.

Er word gewoon misbruik van gemaakt.
De wet is toch duidelijk?

Als je geen geschreven toestemming hebt van een persoon, dan heb je geen recht om zijn persoonsgegevens te verwerken.

Ik vermoed dat jij de wet maar zal "duidelijk" vinden wanneer de wet zegt: ongeacht wat een persoon vindt, ik heb altijd en overal het recht om alles wat ik kan vinden over die persoon massaal en extreem te misbruiken opdat mijn belangen gediend worden en dit zonder te moeten nadenken over de schade die ik bij die persoon veroorzaak. Ook al is dat psychische schade. Ook al pleegt hij of zij door mij zelfmoord.

Maar dat is de wet niet. De wet is wel duidelijk. Geen toestemming, is geen recht.
Als dienst mag je een aantal (redelijke) voorwaarden stellen aan de persoonsgegevens die je nodig hebt om de dienst redelijk uit te kunnen voeren. Als een persoonlijke benadering een onderdeel is van jouw dienst, mag je net iets meer dan zomaar een leuke site met algemene content.
Het vragen om adressen en telefoonnummers als verplichte gegevens moet wel gemeld worden aan de AP.
Als men de gegevens zelf intikt, geldt dat als een geschreven verklaring. Als men daarbij aan moet geven dat men instemt met de algemene voorwaarden, geldt dat gewoon als een getekende toestemming.

Je mag de gegevens dan zelf verwerken zodat je de gegevens kunt gebruiken om je dienst te verbeteren of de content beter op je gebruikers af te stemmen. Het verkopen van data is heel iets anders. Het verkopen van anonieme data is niet verboden. Je blijft ook (deels) verantwoordelijk voor die data. Als een bedrijf anonieme gegevens op de een of andere manier toch weer aan personen kan koppelen en de gegevens vervolgens misbruikt, dan is die verantwoordelijkheid gedeeld. Waar de grens ligt is totaal onduidelijk en vermoedelijk van geval tot geval anders. De voorwaarden bij verkoop spelen daarbij ook een rol.
Voor een groot bedrijf kost een privacy-verzoek evenveel tijd als voor een klein bedrijf. Een groot bedrijf krijgt alleen veel meer verzoeken; maar daar staat tegenover dat het ook veel meer geld heeft om die verzoeken af te handelen. Als een groot bedrijf naar verhouding evenveel mankracht in zou zetten voor privacy-verzoeken als een klein bedrijf, zou het even makkelijk/moeilijk zijn om ze af te handelen. Maar dat doen grote bedrijven niet, die geven daar lekker zo min mogelijk geld aan uit. En ze willen de gegevens gewoon lekker blijven verzamelen en die verzameling geheim houden. Dat is de echte reden.
Er zit wel een verschil tussen grote en kleine bedrijven. De grote bedrijven automatiseren de privacy aanvragen, waardoor de kosten tot een minimum dalen. De wat minder grote bedrijven hebben personeel wat de hele dag aan de verzoeken tot recht van inzage werkt. Bij kleine bedrijven moet een medewerker dat met de hand doen en delen van de gegevens zijn ook nog eens via externe partijen opgeslagen. Het verzamelen van al die data kan best wat tijd vergen. Toch moet dat maar even tussen de normale werkzaamheden door. Naar verhouding zijn de kleine bedrijven daardoor veel meer tijd (is geld) kwijt aan die dataverzoeken.
Dat de grote bedrijven niet wil laten weten welke data ze allemaal verzamelen is maar een vermoeden van je. Er zullen zeker bedrijven zijn die zo werken, maar er zijn ook bedrijven die verder gewoon open zijn over wat ze verzamelen. Bij Google kan je eigenlijk alles gewoon inzien. Apple verzamelt niet zo veel data en maakt daar ook niet zoveel gebruik van, waardoor ze achterlopen bij het juist afhandelen van inzage verzoeken.
Van Spotify en Netflix is het gewoon schandelijk. Zij weten precies wat je luistert en kijkt en moeten dat ook nauwkeurig bijhouden om aan de verplichtingen van de muziek en film-maatschappijen te voldoen. De gegevens worden ook al gebruikt om aan de hand van jouw profiel leuke voorstellen te doen. Hier zou je zeker een stuk onwil kunnen vermoeden en misschien ook de angst dat ze dan laten blijken dat ze veel meer data verzamelen dan wat je zou verwachten.
Daar kan je je bedrijf prima op inrichten he.
Een kleiner bedrijf heeft vaak wat minder informatie over een persoon.
Het is vaak niet heel ingewikkeld om je bedrijf zo in te richten dat je per persoon makkelijk de informatie kan vinden.
Dat automatiseren is voor mkb dan volgens mij ook prima te doen.
Als ik bij ons kijk is automatiseren lastig. We hebben meerdere producten en per product verzamelen we andere informatie. De accounts van de verschillende producten zijn ook niet gekoppeld en staan zelfs bij verschillende hosting bedrijven. Toch moeten wij als een klant al zijn data bij ons bedrijf opvraagt alle data krijgen. Gelukkig zijn de meeste aanvragen per product, maar dat hebben we wegens tijdgebrek ook nog niet kunnen automatiseren.
Ik denk dat er niet veel mensen zijn die geloven dat de grote bedrijven nu ineens alles netjes doen.
Inderdaad, de grote bedrijven hebben het meeste belang bij het niet transparant worden op dit vlak. Die bedrijven hebben ook de juridische experts in huis en de 'user interaction' specialisten om precies uit te vogelen wat ze binnen de kaders van de wet kunnen antwoorden op dergelijke verzoeken zonder dat degene die het dataverzoek doet iets bruikbaar / leesbaars / transparant in handen krijgt.
Als klein bedrijf kan je dit soort vragen handmatig afhandelen. Dan kan je ook gemakkelijk aan alle onderdelen van de wet voldoen.
Dat denk ik niet. Juist bij kleinere bedrijven is de IT doorgaans niet zodanig op orde / ingericht dat dit soort data even 1,2, 3 uit het systeem komt rollen. Daarnaast is het vaak handwerk en hebben dat soort bedrijven helemaal geen AVG specialisten in huis die zo even kunnen beoordelen of de geleverde data compleet, correct en conform de AVG is.
Als groot bedrijf moet je het automatiseren. Dat kost wel veel moeite. Nu is dat geen excuus, want de AVG was al jaren van te voren bekend.
Dit soort bedrijven heeft als core competence het automatisch vergaren en verwerken van data. Voor dit soort bedrijven kost het automatiseren van het correct en compleet afhandelen van AVG verzoeken dus relatief gezien nauwelijks iets. Ze kunnen het wel, ze hebben alle tijd gehad, het is relatief goedkoop...ze willen het alleen niet omdat het tegen het bedrijfsmodel in gaat.
Alle bedrijven moeten dit doen, dus dat vorm geen concurrentiedrempel die alleen voor uw klein bedrijf het geval is.

M.a.w. moet je investeren in de IT middelen die nodig zijn om aan de AVG te voldoen. Net zoals al je concurrenten dat ook moeten doen.

Als de bakker op een hygienische manier zijn brood moet bakken, en dat is de wet. Dan ga je toch ook niet stellen dat er kleine bakkers zijn die geen geld hebben om de investeringen te doen die er voor zorgen dat de dorpelingen niet allemaal sterven aan een bacterieele verontreiniging bij de bakker van het dorp?

Dan zeg je: je moet als bakker daarin investeren, en je moet desnoods de prijs doorrekenen. Alle bakkers moeten dat doen. Die van een dorp verder moet dat ook doen. Op die manier zijn alle dorpelingen veilig en kunnen we allemaal lekker een korstje brood eten s'morgens. Iedereen vredig en blij en alles is goed. De bakker ook. Die heeft mooie apparatuur en producten om zijn zaak proper en wettelijk te houden.
Laten we nu jou voorbeeld aanvullen naar de daadwerkelijke situatie waar het hier over gaat: digitalisering van data stromen binnen bedrijven waar het geen core competence is en er slechts een beperkt raakvlak is met het 'product'.

De bakker uit jou voorbeeld is een zelfstandige bakker die concurreert met de bakkerijafdeling zoals we die tegenwoordig in supermarkten vinden. Hij heeft natuurlijk wat personeel dus daarvan zijn er gegevens geregistreerd die onder de AVG vallen. Voor de verloning heeft hij een contract bij één van de MKB dienstverleners op dit vlak. Daarnaast heeft een handig neefje een systeem gemaakt waarin het NAW + telefoonnummer van de vaste klanten staan waar ook nog wel eens bestellingen aan huis worden afgeleverd. Dit aangevuld met het notitieboekje voor grotere bestellingen die eenmalig zijn (feesten, partijen, etc.). Op de kalender staan de (voor)namen van het personeel met geboortejaar (beetje gênant, verjaardagstaart met een verkeerde leeftijd). Waarschijnlijk staan er online (OneDrive / Drive / iCloud) ook nog wel wat bestanden met gegevens van personeel of klanten, gemaakt als inventarisatie voor een bedrijfsuitje, een bruiloft, etc.

Dan aan de andere kant hebben we de bakkerijafdeling van de grote (internationale) supermarkt waar er een hoofdkantoor is waar er een IT afdeling van 100+ man verantwoordelijk is voor de automatisering van de informatiesystemen.

Als onze bakker moet investeren in automatisering om de AVGs goed, compleet en tijdig af te handelen, kost hem dat zodanig veel dat hij de tent waarschijnlijk wel kan sluiten. Voor de bakkerij in de supermarkt is het niet eens merkbaar, gewoon business as usual omdat de IT op het hoofdkantoor dit als onderdeel van het normale werk gewoon doet.

Er is dus zeker wel een concurrentiedrempel en de AVG is op dat vlak echt een draak van een ding. Het doel was grip krijgen op privacyschenders als Facebook en Google die privacy negeren als bedrijfsmodel hebben. Resultaat is helaas dat die vrolijk doorgaan met wat ze doen door allerlei trucs toe te passen om wel te voldoen aan de AVG, maar niet de gewenste privacy en control over data te bieden terwijl vooral het MKB in compleet niet relevante sectoren (als het om privacy gaat) een enorme last erbij hebben.
We belonen deze bedrijven door ze géén boete op te leggen. Verdien ik nu ook een beloning omdat ik mijn belasting op tijd betaal en dat ik geen wetten overtreed?

Boetes voor dit soort praktijken omhoog en gewoon naleven. Zo hoog dat er een potentieel gevaar is om failliet te gaan. Kijk dan hoe hard Mark Zuckerberg gaat rennen voor zijn Facebook of Sergej en Andy voor hun Google.
Veel waarschijnlijker zullen ze dan hun activiteiten in dat land staken als de boetes maar hoog genoeg zijn en het land klein genoeg om minder op te verliezen dan wanneer de boetes betaald moeten worden.
AVG of GDPR is Europees geregeld en zo moeten we het ook aanpakken. Dan missen ze een markt van 535.000.000 mensen met een economie die 1,5-1,6x zo groot als die van de VS. Ik wens ze veel succes!
heb je helemaal gelijk in, maar de vraag is natuurlijk, als die bedrijven echt moeilijk gaan doen, zal Europa dan echt daadwerkelijk als 1 front hier tegenop treden, of zullen bepaalde lidstaten Eigen regels erop na gaan houden, in het belang van hun Eigen land boven dat van 1 Europa, zoals wel eens te zien is in andere zaken.
De lidstaten waren ook voor GDPR dus nu alleen nog een kleine aanpassing in de wet dat aandeelhouders, directie- en managementleden hoofdelijk aansprakelijk zijn voor eventuele boetes en een boetesysteem invoeren van €5.000.000 - 50.000.000 per geval en je bent er.

Of alle landen het eens zijn... ze moeten wel het is immers democratisch besloten.
Ik zou niet met boetes maar wel uitsluitend met gevangenisstraffen werken.

Die lui hebben vaak zoveel geld dat het hen niet uit maakt. En het bedrijf kan de jaarlijkse boete compenseren met bonussen.

Een gevangenisstraf echter is een gevangenisstraf. Tijdens een gevangenisstraf kunnen ze ook niet meer werken voor hun bedrijf. Wat hen véél meer kost dan die boete (voor zij die toch hun financiele middelen willen raken doet een gevangenisstraf dat automatisch).

Een gevangenisstraf is gedurende een periode geen vrouw en kinderen, geen familie, geen vrijheid, geen plezier in het leven.

Daar zullen ze dus wel van opkijken.
Iemand belonen omdat ze zich aan de wet houden, en die die zich niet aan de wet houden maar ongehinderd hun gang laten gaan?
Beetje omgekeerde wereld...
Dit zijn van die 'beste stuurlui' opmerkingen. Niet alle bedrijven zijn als facebook. Het is allemaal nieuw terrein ook voor wetgeving.
Dat het nieuw is klopt, maar deze bedrijven zijn gespecialiseerd in data. Zowel analyseren als verkopen. Ze zijn dus prima in staat om dit soort systemen op orde te maken, maar dat willen ze niet.

Het loont nog om niet te voldoen, en zelfs na een boete is het maar de vraag wat het goedkoopste is.
Zie ook mijn eerdere reactie de AVG wetgeving is niet zo nieuw meer en bestaat al bijna drie jaar, er wordt alleen sinds vorig jaar ook daadwerkelijk gehandhaafd. Men heeft twee jaar de tijd gehad zaken op orde te brengen.

[Reactie gewijzigd door _Dune_ op 20 januari 2019 21:41]

Oostenrijkse privacygroep stelt dat grote techbedrijven de avg schenden.

Heb jij de titel gelezen? Het gaat om de grote bedrijven. M.a.w. bv. Facebook.
Ah de wet is anders voor grote bedrijven dan voor kleine bedrijven, bijzonder.... of het nu om grote of kleine bedrijven gaat, deze hele wetgeving is nieuw terrein.
Ah de wet is anders voor grote bedrijven dan voor kleine bedrijven, bijzonder.... of het nu om grote of kleine bedrijven gaat, deze hele wetgeving is nieuw terrein.
Ja; deze wet is anders voor grote bedrijven.
Althans; de navolging ervan.

Ja; dat is bewust zo.
Omdat kleine partijen economisch gezien noch over de resources bezitten om alles perfect geregeld te krijgen, noch een groot probleem zijn, de beperkte set gegevens die zij verwerken ten opzichte van grootbedrijven en multinationals in acht houdende.

De AVG/GDPR bestaat al als wetgeving sinds 2016 en is al sinds 2016 van kracht. Enkel actieve handhaving is uitgesteld geweest tot 2018 om bedrijven ruimschoots tijd te geven hun processen er op aan te passen. Het is niet het probleem van de wetgever als grootbedrijven met zakken die diep genoeg zijn om dit meer dan ruimschoots op tijd geregeld te krijgen, zaken voor zich uit blijven schuiven omdat het een reductie van hun korte-termijn winst betekent.

[Reactie gewijzigd door R4gnax op 19 januari 2019 15:55]

Maar dat is dan toch het hele punt, je bent nog steeds verplicht die wetgeving te implementeren alleen zijn ze wat coulanter. Dat verandert nog steeds niets aan het punt dat die wetgeving niet volledig getoetst/nieuw is en je ook als klein bedrijf er aan moet houden met al die onduidelijkheden. Maar goed het was niet de omvang waarom ik facebook aanhaalde, maar als voorbeeld van een bedrijf dat fout omgaat met je gegevens en dat niet alle bedrijven zo zijn.
En de Oostenrijkse privacygroep maakt er dan ook geen beweringen over dat alle bedrijven zo zijn. Wel dat de grote bedrijven, zoals bv. Facebook, de AVG schenden. Dat is hun bewering, daarover gaat dit.
Er is niets nieuw aan deze wetgeving en bestaat al bijna drie jaar! Daarnaast al veel eerder aangekondigd. Er wordt alleen sinds vorig jaar daadwerkelijke op gecontroleerd. Dat bedrijven er nu nogsteeds niet aan voldoen is geheel hun eigen schuld.
Beloon ook bedrijven die het goed proberen te doen ipv te muggenziften en bestraf de bedrijven die ermee denken weg te komen.
FTFY

Even serieus. Met zo'n houding ga je nooit de oorlog winnen. Deze bedrijven zullen daar enkel misbruik van maken en doorgaan met het schenden van de wet en jouw belangen.

[Reactie gewijzigd door ocf81 op 18 januari 2019 19:21]

Om te besluiten met : De AVG was al een ten dode opgeschreven nog voor ie begonnen was, en niemand maakt er gebruik van, enkel één of andere privecy nitwit die even interessant wil zijn.
En dat komt vooral omdat de AVG er gewoon 20 jaar te laat is gekomen, als de hoeveelheid data en waar ie naartoe gaat al helemaal niet meer te overzien is en men de bomen door het bos niet meer ziet.

Enige waar ie goed voor is, is bij datalekken dat bedrijven het nu asap moeten melden aan de privecy commisie van het betreffende land als ze ontdekken dat ze een lek hebben.
Even vervolgens rapportje schrijven wat je hebt gedaan om het in de toekomst te voorkomen.
Artikeltje in de krant dat firma x een datalek heeft gehad, en 6 maand later kraait geen haan er meer om en 99,99% van de mensen die getroffen zijn door het datalek zeggen gewoon :"meh" en gaan verder met het verdwaasd kijken naar schattige kattenfilmpjes op hun schermpje.
Ik heb sinds de avg op heel wat sites gemerkt dat er beter met cookies omgegaan wordt. Zo heb je dan als gebruiker de keuze cookies van sociale media te weigeren. Ik heb ook aan den lijve ondervonden dat er heel wat bedrijven werkelijk zijn nagegaan welke data ze hadden en zich in regel hebben gesteld met de gebruikerstoestemming en/of de aard van de bewaarde data.

De avg is een kind van zijn tijd. 20 jaar geleden stelden deze problemen zich niet.
Enerzijds zeg je dat het te laat is, anderzijds dat het niet gevolgd wordt of te slap is of te weinig draagkracht heeft... al geef je ook duidelijk aan datalekken een probleem te vinden. Is het dan niet beter nu een oplossing te hebben in plaats van te laten begaan? Er is altijd nog tijd om de oplossingen bij te schaven en te werken aan beter onderwijs.
Het grootste probleem met deze wetgeving is wat mij betreft dat kleine initiatieven zoals klassefoto's ineens een probleem zijn maar dat de grote data verzamelaars er uiteindelijk nauwelijks door gehinderd worden omdat ze gebruikers uiteindelijk toch dwingen / verleiden om overal mee akkoord te gaan.
Ach, dit gaat dan in elk geval over het scherp houden van de grote dataverzamelaars.

Het alles-of-niets (oftewel je moet wel akkoord gaan met allerlei onzin als je nog een leven wilt hebben) is wel merkbaar een stuk minder geworden door de AVG. Ga zo door, zou ik zeggen.

Evenbrite viel me dan helaas negatief op dit weekend: volop actief in de EU, maar geen mogelijkheid je cookies flink te beperken tot wat voor de dienst noodzakelijk is. Is die ook al groot genoeg voor de loep van dit soort voorvechters?
Als er daadwerkelijk miljoenen boetes worden opgelegd, dan zal uiteindelijk de eindgebruiker dit ook gaan merken in de abbonementskosten.
Waardoor ze eerder geneigd zijn over te stappen naar vergelijkbare diensten die zich wel aan de wet houden en die dus die boetes niet krijgen. Goede zaak dus.
De (kop)tekst is verwarrend...hoezo zou een Oostenrijkse organisatie zich uitspreken over Nederlandse wetgeving? De AVG is immers de Nederlandse interpretatie van de GDPR (waar de beste man in het bronartikel het over heeft), maar géén 1-op-1 vertaling daarvan. Deze twee kunnen dus ook niet probleemloos door elkaar gebruikt worden. Uiteraard heeft hij het over de Europese richtlijn en niet de Nederlandse...
De (kop)tekst is verwarrend...hoezo zou een Oostenrijkse organisatie zich uitspreken over Nederlandse wetgeving? De AVG is immers de Nederlandse interpretatie van de GDPR (waar de beste man in het bronartikel het over heeft), maar géén 1-op-1 vertaling daarvan. Deze twee kunnen dus ook niet probleemloos door elkaar gebruikt worden. Uiteraard heeft hij het over de Europese richtlijn en niet de Nederlandse...
Sorry; maar de verwarring leeft toch echt bij jezelf.

Wat wij de AVG noemen is enkel de vertaling van de algemeen geldende wetsteksten naar de Nederlandse taal en is geen eigen implementatie. De GDPR/AVG is namelijk niet een richtlijn die in nationale wetgeving omgezet dient te worden; het is een verordening en die is direct in de hele EU van kracht als wet.

[Reactie gewijzigd door R4gnax op 19 januari 2019 17:49]

Je hebt gelijk dat het een verordening is en geen richtlijn... maar de nationale toepassing van deze verordening verschil wel degelijk per land. In Nederland gebeurt dat middels de Uitvoeringswet Algemene Verordening Gegevensbescherming. Bijvoorbeeld betreffende uitzonderingssituaties voor zorginstellingen, bestaan er tussen de onderlinge lidstaten verschillen.

Los van inhoudelijke verschillen is het ook "syntactisch" juister om in internationaal verband van GDPR te spreken ipv AVG.
Je hebt gelijk dat het een verordening is en geen richtlijn... maar de nationale toepassing van deze verordening verschil wel degelijk per land. In Nederland gebeurt dat middels de Uitvoeringswet Algemene Verordening Gegevensbescherming. Bijvoorbeeld betreffende uitzonderingssituaties voor zorginstellingen, bestaan er tussen de onderlinge lidstaten verschillen.

Los van inhoudelijke verschillen is het ook "syntactisch" juister om in internationaal verband van GDPR te spreken ipv AVG.
Gesproken over syntactisch juist:
Die uitvoeringswet is een andere wet. De AVG/GDPR zelf is nog steeds overal dezelfde wet. En iedere EU burger of organisatie in iedere EU staat kan daar dan ook uitspraken over doen, zoals Schrems' NOYB dat ook doet. Zij moeten dan alleen die delen in acht houden waar de AVG/GDPR bewust zaken open laat en invulling of invloed door nationale wetgeving mogelijk maakt, en daarop nuanceren.

Maar dat zijn in dit geval niet direct de delen waar NOYB zich nou echt op richt. Zij trekken het breder en stellen dat de grote techbedrijven in veel algemenere zin deze wetgeving schenden op basis van artikelen en situaties waar nationale wetgeving geen rol in speelt.

[Reactie gewijzigd door R4gnax op 21 januari 2019 19:21]

als bedrijven alle data bewaren zou je als burger in de EU toch ook kunnen zeggen deze stukken dat wil ik niet dat jullie bewaren en deze stukken wel.

waneer komt deze mogelijkheid dan?

en als bedrijven een boete krijgen van bv 4% van hun totale wereldwijde winst hoeveel % is er dan voor het slachtoffer?
Ik ben het niet eens met de massale dataverzameling van deze grote bedrijven, maar hen selectief vragen welke data die JIJ ze levert ze wel en niet naar jou wens MOGEN bewaren is te gek voor woorden. Als gebruiker ga je overeen met hun voorwaarden (had je die maar moeten lezen voordat je op OK drukte). In die voorwaarden staat naar alle waarschijnlijkheid welke data ze van jou collecteren (eigenlijk alles).
Door op OK te drukken geef je ze al toestemming die data de collecteren en bewaren. Het zou raar zijn als je een contract met een rechtspersoon tekent, om er later toch delen uit door te gaan krassen.
'Jij levert service X, ik vind het goed dat je in ruil daarvoor dan data Y, Z, P en Q van/over mij mag hebben'.
"Oke"
'Oh laat maar, ik wil P en Q terug, maar ik wil wel op jouw volledige dienst blijven leunen.'

Dat kan natuurlijk niet, he.
Volgens mij is het helemaal niet gek wat hij wil, aangezien het gewoon een onderdeel van de AVG is (recht om te wijzigen)
Ik ben het niet eens met de massale dataverzameling van deze grote bedrijven, maar hen selectief vragen welke data die JIJ ze levert ze wel en niet naar jou wens MOGEN bewaren is te gek voor woorden. Als gebruiker ga je overeen met hun voorwaarden (had je die maar moeten lezen voordat je op OK drukte). In die voorwaarden staat naar alle waarschijnlijkheid welke data ze van jou collecteren (eigenlijk alles).
Door op OK te drukken geef je ze al toestemming die data de collecteren en bewaren. Het zou raar zijn als je een contract met een rechtspersoon tekent, om er later toch delen uit door te gaan krassen.
'Jij levert service X, ik vind het goed dat je in ruil daarvoor dan data Y, Z, P en Q van/over mij mag hebben'.
"Oke"
'Oh laat maar, ik wil P en Q terug, maar ik wil wel op jouw volledige dienst blijven leunen.'

Dat kan natuurlijk niet, he.
Probeer dit argument nog eens keer met bedrijven als Facebook in het achterhoof, waar velen gevolgd worden die nooit akkoord zijn gegaan met Facebook's voorwaarden en er geen account houden,
klopt helemaal, bijna elke site met een facebook link heeft een facebook cookie.
en als je deze verwijdert ben je gewoon uitgelogd uit je account.

dus ze tracken je wel overal.

daarom vind ik ook dat je als gebruiker in de EU dit ook moet kunnen doordrukken, en als ze er niet aan voldoen moeten ze X% van hun wereldwijde winst afstaan als schadevergoeding.


als dit volgens de boete principe is van maximaal 4%, dan heb je een aardig zakcentje, verdient alleen al aan een privicy claim.

het moet ook zijn als bedrijven in de EU willen oppereren dat ze ook aan de EU wetten moeten voldoen.

daarom zou ik zeggen, indien bedrijf X niet aan de EU regels voldoet, worden alle assets van bedrijf X ingenomen die zich binnen de EU bevinden, {dit geld ook voor geld en bedrijven die bedrijf X bezit}, en mogen ze niet meer oppereren.

bv apple overtreed de wet en mag niet meer oppereren.
dan is zelfs ALLE data die via de EU verzonden wordt naar de gebruikers buiten de EU niet meer van apple zelf en wordt deze data niet vrijgegeven, {omdat data dan ook als asset wordt gezien} {dat die data een update zou zijn is een 2e, maar toch}

en zelfs hun miljarden die zich in ierland bevinden zijn dan eigendom van de EU,
Ik kan dit enigszins beamen met mijn persoonlijke ervaring met Spotify. Onlangs heb ik een verzoek ingediend voor inzage in mijn gegevens. Dat duurde enkele weken voordat de download gereed was. Wat ik kreeg waren een zooitje losse xml files. Niet iedereen weet wat 'ie daarmee moet. Maar erger nog, de informatie ging niet verder terug dan 3 maanden. Dus ik heb een mail gestuurd met verzoek om alle data. En ik kreeg het volgende persoonlijk bericht terug:
Hey daar,

Bedankt voor je bericht. We hebben begrepen dat je graag je persoonlijke gegevens en de verwerking van data door Spotify zou willen opvragen. Laat ons je hierbij helpen.

De door jouw aangevraagde gegevens zijn beperkt met een bepaalde data range. We hebben een verder verzoek ingediend om de gegevens die in onze Matrix te vinden zijn, naar boven te halen en aan jouw over te dragen.

Laat ons weten wanneer je deze ontvangen hebt, en je hierover nog verdere vragen hebt. We helpen je graag.

Met vriendelijke groet,
Ofwel, je moet doorvragen voordat je alles krijgt. Ik zit overigens nog te wachten op deze extra data.
Maak er beslist een blog of artikel over en zet het ergens met alle details online. Zo kunnen anderen iets leren uit je ervaringen met Spotify en kunnen anderen efficienter met het bedrijf om gaan (bv. meteen doorvragen, maar bv. ook meteen hen ingebreken stellen).
Mijn investering in die organisatie waar mr. Schrems deel uit maakt, rendeert blijkbaar. Ik ben daar blij om.
Verbieden dan verzamelen/verhandelen van gegevens.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True