Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Capgemini: minder dan derde van bedrijven voldoet aan eisen van AVG

Minder dan een derde van de bedrijven wereldwijd voldoet aan de AVG. Ook in Nederland ligt het aantal bedrijven dat zegt te voldoen laag, maar iets hoger dan het gemiddelde. Dat blijkt uit onderzoek van Capgemini.

Capgemini onderzocht bij 1100 bedrijven in welke mate zij dachten te voldoen aan de General Data Protection Regulation. Dat is de Europese privacywet die in Nederland beter bekend is als de AVG. Het onderzoeksbureau vroeg de bedrijven zelf of zij vonden dat zij klaar waren voor de wet. Het onderzoek was een vervolg van een soortgelijk onderzoek in 2018. Dat werd gedaan in de periode vóór de wet in werking trad. Ook bekeek Capgemini of bedrijven inmiddels voldoen aan AVG-eisen zoals duidelijke privacyvoorwaarden, of processen in de bedrijven rondom het verwijderen van data of het inzetten van privacy by design.

Wereldwijd blijkt dat gemiddeld slechts 28 procent van de bedrijven voldoet aan de wet. Capgemini keek naar landen in Europa, maar ook naar Amerikaanse bedrijven. In Nederland ligt het percentage van bedrijven op 31 procent. Zweden scoort het slechtst, met slechts 18 procent van de bedrijven die aan de wet voldoen. Opvallend aan het onderzoek is dat de percentages veel lager liggen dan in eerdere onderzoeken. Daarin werd gevraagd of de bedrijven dachten om op de deadline van 25 mei 2018 klaar te zijn. Destijds was 78 procent van de bedrijven wereldwijd ervan overtuigd dat dat het geval zou zijn. In Nederland lag dat percentage op 81 procent.

Capgemini zegt dat legacy-systemen voor veel bedrijven een probleem zijn om 'compliant' te zijn. In een derde van de gevallen zouden oude systemen obstakels vormen om aan de wet te voldoen, bijvoorbeeld omdat ze slecht te beveiligen zijn. Ook zegt twee derde van de bedrijven één of meerdere werknemers fulltime in dienst te hebben om een AVG-eisen te voldoen. Die resultaten zijn mogelijk ietwat vertekend. Voor veel bedrijven is een Functionaris Gegevensbescherming een verplichte eis uit de wet.

De onderzoekers zeggen dat de problemen rondom 'non-compliance' vrijwel gelijk zijn in alle onderzochte landen én sectoren. Zo zit er weinig verschil in hoe verzekeraars, telecombedrijven of overheden voldoen aan de wet. Wel is de bankensector met 38 compliance beter dan gemiddeld op weg. Ook maakt het weinig verschil hoe groot een bedrijf is op gebieden als omzet of aantal klanten.

Door Tijs Hofmans

Redacteur privacy & security

27-09-2019 • 21:03

138 Linkedin

Reacties (138)

Wijzig sortering
Vreemd verhaal. GDPR is general data protection regulation, niet global data protection regulation zoals vermeld in het artikel.
Dat dan vervolgens getest wordt als ze 'wereldwijd' voldoen eraan is al helemaal vreemd, want dit hoeft ook helemaal niet, want het is een Europese regelgeving. Een Amerikaans bedrijf met enkel Amerikaanse klanten moet helemaal hier helemaal niet aan voldoen.
Bedrijven die wereldwijd gevestigd zitten en hun diensten in de EU willen leveren moeten wel degelijk aan de GDPR voldoen.
Nee, die bedrijven moeten dat enkel in Europa doen, in de rest van de wereld hebben ze zich aan de plaatselijk geldende wetten te houden, en zo hoort het ook.
Nee, die bedrijven moeten dat enkel in Europa doen, in de rest van de wereld hebben ze zich aan de plaatselijk geldende wetten te houden, en zo hoort het ook.
Ja, voldoen aan de EU wetgeving, en in de betrokken landen.
Maar het is dan imho verstandig om 'de strengste' implementatie te nemen, en die wereldwijd in te zetten.
Ik kan me werkelijk niet voorstellen dat er ergens een land is, met wetten die TEGEN de AVG indruisen.

Je mag natuurlijk altijd 'beter' dan de wetgever zijn
Een verplichte data retentie periode gaat aardig tegen de gdpr in in sommige gevallen gok ik.
Nee hoor, als jij aannemelijk kan maken waarom je data vast wilt houden, mag dat
Soms is het wettelijk verplicht zelfs, belastingdienst, overheids instanties ( rijbewijs / IDkaart )
Maar een voetbalclub-lidmaatschap, opgezegd, dan is het na 2 tot 4 jaar écht wel klaar met "retentie"
Dan zou je alleen de financiele kant nog mogen bewaren ( 7 jaar belastingdienst ? ) maar verdere gegevens ( kledingmaten, trainingsschema's ) moeten verwijderd worden
Nee hoor, als jij aannemelijk kan maken waarom je data vast wilt houden, mag dat.
Moet je - als het niet een wettelijke verplichting betreft - wel een verdomd goede functionele reden hebben waarom je die data langer vast moet houden.
Zaken zoals "Het is handig als deze persoon weer opnieuw lid wordt" of "Het is te duur voor de bedrijfsvoering om die gegevens meteen te verwijderen, dus dat gebeurt periodiek." zijn absoluut geen geldige redenen.

[Reactie gewijzigd door R4gnax op 29 september 2019 19:11]

Zaken als dit is nodig voor wwft zijn maar al te goede redenen bij een bank
Zaken als dit is nodig voor wwft zijn maar al te goede redenen bij een bank
Het ging erover dat het in algemene zin voldoende zou zijn om - als je data toch vast wilt blijven houden - enkel te laten zien dat je daarvoor aannemelijke redenen hebt. En dat er soms wettelijke verplichtingen zouden zijn. Inderdaad zoals bij het voorbeeld van de wet ter voorkoming van witwassen en het financieren van terrorisme (wwft), wat je hier aanhaalt.

Sleutelwoord: soms. In veruit de meeste gevallen is die verplichting er niet en dat moet je reden om gegevens vast te blijven houden toch echt op orde zijn. Dat kan niet zo maar een dom excuusje zijn.
Ik haalde alleen een voorbeeld aan. Niet domme excuses van verenigingen etc.
"Een verplichte date retentie periode" volgens lokale wetten lijkt me een goede reden. ;)
Is niet helemaal juist. Stel dat je in Amerika gevestigd bent en je verkoopt een product, waarvan je de waarde in Euro's toont, dan ben je wél verplicht je te houden aan de GDPR. Want dit duid aan dat jeje richt op de Europese markt, waar je dus ook zoals andere Europese firma's je aan de GDPR regels moet houden.
Als jij actief ben op de Europese markt (basically, als jij Europese klanten hebt) dan dien je aan de GDPR te voldoen.

Dat is het basisprincipe tenminste :-)
Indien de verwerker/verwerkingsverantwoordelijke buiten de EU gevestigd is en de woonplaats van betrokkene (waarvan persoonsgegevens wordt verwerkt) binnen de EU, dan is de GDPR van toepassing. Zie ook pagina 11 van Handleiding Algemene verordening gegevensbescherming, geschreven door Bart W. Schermer, Dominique Hagenauw, Nathalie Falot in opdracht van Ministerie van Justitie en Veiligheid.
Dank, je was mij voor ;-)
En als Europa horen we dan de bijhorende vrijheid te hebben om ze een vriendelijke voet onder hun kont te geven.

Beetje mijn huis mijn regels, als het je niet past then get the f*** out.
En hoe wil je dat doen als ze geen vestiging of server in Europa hebben? De AVG opleggen aan bedrijven van buiten de EU is lastig. Ik bied op mijn site alles aan in 18 talen en 16 valuta, betekend dat ik me ook aan de regels in Bolivia, Rusland en China moet houden? Hoeveel commercieel internet denk je dat er dan overblijft?
Dat is juridisch niet zo heel lastig, wanneer je de wet overtreedt worden er boetes opgelegd.
Als je die boetes niet betaald wordt er beslag gelegd.

Wanneer er geen vestiging in de EU is dan kan er nog steeds beslag worden gelegd op goederen of geldstromen. Dus bv. de bezorging van vracht, pakketjes, of het overboeken van geld via EU landen.

Dat maakt het in de praktijk behoolijk lastig om jezelf te ontrekken aan de wet.
Want meestal is er wel wat te vinden waarop beslag kan worden gelegd. (zelfs bv. de kerosine in een gehuurd vliegtuig mag worden beslagen)
En dat is maar goed ook, want dat betekent dat partijen moeten concurreren op een level-playing-field / fair-play.

[Reactie gewijzigd door Rasael op 28 september 2019 09:18]

En hoe wil je dat doen als ze geen vestiging of server in Europa hebben? De AVG opleggen aan bedrijven van buiten de EU is lastig. Ik bied op mijn site alles aan in 18 talen en 16 valuta, betekend dat ik me ook aan de regels in Bolivia, Rusland en China moet houden?
Ja, in principe wel. Ik weet niet hoe de wet in die landen is, maar de Nederlandse wet zegt dat sites die de Nederlandse taal gebruiken of zich op een andere manier duidelijk op Nederlanders richten onder de Nederlandse wet vallen, ook als het bedrijf in het buitenland gevestigd is.
Hoe dat in praktijk wordt uitgevoerd is vraag twee. Bij sites die spullen verkopen zijn er nog wel mogelijkheden, als het moet kunnen we de banken opdragen om geen betalingen meer te doen, of we kunnen de spullen aan de grens tegen houden. Al zal er in praktijk meestal wel een andere oplossing worden gevonden; de meeste bedrijven zijn uiteindelijk van goede wil, en echte criminelen moet je toch op een andere manier aanpakken.
Hoeveel commercieel internet denk je dat er dan overblijft?
Eh, kijk om je heen ;)
Zonder gekheid maak ik me hier serieus zorgen over. Steeds meer landen bouwen grote digitale muren a la de grote Chinese firewall. Zelfs als er geen echte firewall is kan het zijn dat bedrijven min of meer worden gedwongen om hun websites aan te passen aan lokale regelgeving en bezoekers uit het buitenland te blokkeren. Een bekend voorbeeld is dat een aantal Amerikaanse sites alle Europese bezoekers blokkeren omdat ze niet aan de GDPR voldoen. Zo raken we langzaam het internationale karakter van internet kwijt. Dit proces wordt soms "de balkanisatie van internet" genoemd.

Een vervelende factor is ook dat dit soort aanpassingen al snel te duur of te moeilijk zijn voor kleine bedrijven. Alleen de grootsten kunnen het zich permitteren om in verschillende gebieden de wet te volgen en voor ieder land een aparte website te bouwen, of zo iets. En die grote bedrijven vinden het uiteraard prima dat kleinere concurrenten worden afgeremd om over de grens heen uit te breiden.

Helemaal vervelend gaat het worden als ook onze nieuwsvoorziening beperkt wordt tot lokale sites. Een van de krachten van internet is juist dat we onafhankelijk van lokale spin of censuur naar het nieuws uit het buitenland kunnen kijken. In Nederland is dat nog niet echt aan de orde, maar in landen waar er minder vrijheid is speelt het wel al een rol.

(Recent hebben we dan ook nog de "filter bubbel" er bij gekregen waardoor we onzichtbaar beperkt worden tot een nog veel kleiner stukje van internet.)
De AVG is van toepassing op het verwerken van persoonsgegevens van Europese burgers: Wereldwijd.
Sowieso is het een wassen neus. Er verandert weinig voor 99.9% van de eindklanten. Die moeten gewoon vinkjes of een handtekening zetten voordat ze toegang krijgen/iets kunnen kopen. Je data vloeit nog steeds overal naartoe. Het verschil is alleen dat je officieel inzicht zou moeten krijgen in je data. Ik ben actief in de e-commerce en ik kan je vertellen dat per honderdduizenden eindklanten er nog geen handjevol is die een verzoek doet tot inzage of verwijdering.

Kortom, belachelijke onnodige regelgeving imo, met veel te veel gedoe.
Ik dacht dat ze een update aan de wet hadden doorgevoerd (of door wilden gaan voeren) dat je diensten niet meer mocht verbieden wanneer mensen niet akkoord gaan met tracking?

Ik zie zojuist in een andere comment dat dit inderdaad is doorgevoerd.

https://www.autoriteitper...weigeren-tracking-cookies --- Bedankje naar @Hackus

[Reactie gewijzigd door NoobishPro op 28 september 2019 00:34]

Langzaam passen sites dit aan maar nog steeds genoeg sites die gewoon stoppen zodra je op nee klikt, overigens de meeste sites schakelen opeens alles standaard uit als je op meer info klikt alsof dat de default is.

Verder heb je nog sites die dan opties weergeven en dat bij de helft staat opt-out en heb je dan geen keuze.
Ja, want dan kunnen ze de site niet meer 'optimaal' tonen.
Alsof de content van doubleclick 'cruciaal' is om een plaatje te toveren.
( Ja, cruciaal, want inkomsten .... maar dat is niet het probleem van de bezoeker, de content aanbieder heeft doodleuk teveel reclame inkomsten ingecalculeerd )
Weigert iemand tracking cookies? Dan moet u deze persoon toch toegang geven tot uw website of app, bijvoorbeeld na betaling.
https://www.autoriteitper...ng-zonder-cookiewall-7112
Ja, alleen is recht hebben en krijgen een wereld van verschil
Probeer maar eens in te loggen op Videoland zonder cookies.

Ik heb eem betaalde account en ik MOET alles accepteren van ze anders helaas pindakaas...

Met diezelfde instellingen werken Netflix, Amazon Prime en.zelfs Ziggo.GO zonder gezeur.

In NL mag je ook nergens harder rijden dan 130 KM/u (cicuit noet meegerekend). Indien er geen controle op zou zijn vermoed ik dat het eerder naar de 150 KM/u zou gaan.

Leuk dat het niet mag, maar tjsa...
Ik dacht dat ze een update aan de wet hadden doorgevoerd (of door wilden gaan voeren) dat je diensten niet meer mocht verbieden wanneer mensen niet akkoord gaan met tracking?
Dat heeft er altijd al ingestaan. Alleen hebben ongure advertentie en e-commerce tracking clubjes lange tijd gelobbied om de relevante GDPR/AVG clausules niet op die manier te interpreteren.

[Reactie gewijzigd door R4gnax op 29 september 2019 19:19]

De vraag is dus hoe de toezichthouders het interpreteren em of ze er actief op handhaven. Het heeft er veel van weg dat toezichthouders eigenlijk geen toezicht houden en eerder een klachtenloket zijn waar je alleen met geluk handhaving krijgt op wettelijke eisen. Dan is het ook niet zo vreemd dat zo veel bedrijven niet compliant lijken te zijn, ze hebben er financieel weinig tot geen last van.
Dan is het ook niet zo vreemd dat zo veel bedrijven niet compliant lijken te zijn, ze hebben er financieel weinig tot geen last van.
Helaas lijkt dat inderdaad het geval te zijn; het is simpelweg een kosten-baten risico-analyse.

Bedrijven zullen er pas echt gehoor aan gaan geven als er een paar reputaties door het slijk gehaald zijn en voldoende mensen aan de top over de hete kolen heen gehaald zijn.

[Reactie gewijzigd door R4gnax op 29 september 2019 19:09]

Sowieso is het een wassen neus. Er verandert weinig voor 99.9% van de eindklanten. Die moeten gewoon vinkjes of een handtekening zetten voordat ze toegang krijgen/iets kunnen kopen. Je data vloeit nog steeds overal naartoe. Het verschil is alleen dat je officieel inzicht zou moeten krijgen in je data. Ik ben actief in de e-commerce en ik kan je vertellen dat per honderdduizenden eindklanten er nog geen handjevol is die een verzoek doet tot inzage of verwijdering.

Kortom, belachelijke onnodige regelgeving imo, met veel te veel gedoe.
Omdat die eindklant het niet interesseert, maakt het nog geen belachelijke onzin
Alleen daarom al zou ik met liefde dat soort bedrijven aanschrijven om mijn gegevens op te lepelen, en voor 99.9% te laten verwijderen.
Je hoeft nl. alleen maar mijn NAW te bewaren, en mijn aankoop - zolang er noodzaak is.
Je mag dan direct vermelden WAT en Hoelang je het bewaard, en voor welke noodzaak.
En dit alles binnen een gestelde termijn, want anders volgen er sancties.

power to the customer .... niet aan de e-commerce die maar jan en toulemonde als ontvanger zien, omdat ik ooit een usbstickje gekocht heb, en dit MOEST registreren met mijn mailadres.
het is wel wennen hoor zelfs op de school van mijn dochter mogen ze niet meer tools mailen zonder weer apart je email adres te vragen, wat ze allang hebben maar niet meer mogen gebruiken voor dat soort doeleindes.
We snapte er eerst dan ook niks van dat onze dochter van zes jaar oud weer om het mail adres van moeder vroeg voor op school terwijl we dat al meerdere keren op school gegeven hebben.
Dat is dus de grootste onzin, dat mogen ze zeker wel zolang zij dat in hun 'voorwaarden' hebben staan en jij daar toestemming voor geeft. Is namelijk gewoon data wat ze met een goede onderbouwing kunnen bewaren,.

Maar ja, heel die regelgeving heeft een schrikeffect op mensen (zoals ook veel tweakers) die er niks van snappen. En daarom maar meteen doordraaien. Dan krijg je dit soort idiote praktijken.
Dat is dus de grootste onzin, dat mogen ze zeker wel zolang zij dat in hun 'voorwaarden' hebben staan en jij daar toestemming voor geeft.
Toestemming kan niet in algemene voorwaarden gegeven of gevraagd worden. Dat moet apart en expliciet gevraagd/gegeven worden.
Dat is niet hetzelfde als geen clausule kunnen opnemen dat een mailadres gebruikt zal worden voor een bepaald doel. Dat er geen generiek gebruik kan worden gemaakt wil niet zeggen dat overal iedere keer om toestemming gevraagd moet worden. Kwestie van tijdig en voldoende vooraf specificeren.
Dat is niet hetzelfde als geen clausule kunnen opnemen dat een mailadres gebruikt zal worden voor een bepaald doel. Dat er geen generiek gebruik kan worden gemaakt wil niet zeggen dat overal iedere keer om toestemming gevraagd moet worden. Kwestie van tijdig en voldoende vooraf specificeren.
Artikel 13.1 stelt dat je een bepaalde set informatie moet verstrekken "bij de verkrijging van persoonsgegevens." Daar is per 13.4 enkel onder uit te komen wanneer de betrokkene al over die informatie beschikt. In dat geval moet jij dat aannemelijk kunnen maken. Een linkje naar algemene voorwaarden wat ergens weggemoffeld zit en wat een gebruiker kan passeren zonder dit gezien te hebben volstaat niet. Je moet aan kunnen tonen dat een gebruiker deze voorwaarden tot zich heeft genomen.

Deze vorm van kennisgeving werkt ook alleen als je verwerkingsgrondslag niet berust op "toestemming," want toestemming is speciaal en komt met een heel pak extra waarborgen.

Het verkrijgen van toestemming moet volgens de definitie van de term in Artikel 4 middels een "ondubbelzinnige actieve handeling" gaan. En deze toestemming moet "geinformeerd" zijn.

Dus enkel de algemene voorwaarden ergens tonen en daarin stellen dat een betrokkene met verwerking akkoord gaat, voldoet niet - want dat is geen actieve handeling. En informatie weglaten uit het verzoek om toestemming, er vanuit gaande dat de gebruiker deze in de algemene voorwaarden al zal hebben gezieen, voldoet - als je niet 100% kunt garanderen dat een gebruiker die voorwaarden ingezien heeft - ook niet. Want dan is de verkregen toestemming niet geinformeerd geweest.

Zelfs als je actief de betrokkene de algemene voorwaarden opdwingt door te lezen en daarvoor akkoord te geven, dan nog is dat niet voldoende. Want Artikel 7.2 omtrent voorwaarden voor toestemming stelt dat "het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden."

De vraag om toestemming kun je dus niet verweven in algemene voorwaarden. Je moet deze apart - en ook nog eens per doeleinde - stellen. Je kunt daarbij hoogstens van algemene voorwaarden of privacy policies gebruik maken middels verwijzigingen naar de relevante passages. En die moeten dan ook zeer specifiek zijn, want de intentie is dat informatie "toegankelijk"; "begrijpbaar"; en "bondig" getoond wordt. Dus ook simpelweg een voorafgaande tekst "zoals vermeld in de algemene voorwaarden" voldoet niet. Je moet al iets doen als direct linken naar de relevante passage(s).

[Reactie gewijzigd door R4gnax op 29 september 2019 19:18]

Dank voor de uitvoerige verduidelijking wat niet kan. Maar dat maakt het nog steeds mogelijk om met een apart document met een duidelijke uitleg en doelstelling persoonsgegevens te verkrijgen zonder er keer op keer om te hoeven vragen. Daarom heb ik ook niet geschreven dat het in de algemene voorwaarden zou moeten.
Dank voor de uitvoerige verduidelijking wat niet kan. Maar dat maakt het nog steeds mogelijk om met een apart document met een duidelijke uitleg en doelstelling persoonsgegevens te verkrijgen zonder er keer op keer om te hoeven vragen.
Zodra je toestemming voor een bepaald verwerkingsdoeleinde hebt, kun je het gebruiken totdat het ingetrokken wordt. Je hoeft specifiek daarvoor dus niet te grijpen naar uitgebreidere formuleringen in losse overeenkomsten en/of allerlei raamwerk constructies.

En nogmaals; je kunt niet eenmalig toestemming vragen voor een heel document wat allerlei voorzieningen mbt verwerking van persoonsgegevens bevat. Je moet - bij het toepassen van de grondslag op basis van toestemming - nog steeds losstaand toestemming per verwerkingsdoeleinde vragen.

[Reactie gewijzigd door R4gnax op 30 september 2019 00:16]

Ik vind het top dat ze per handeling apart toestemming vragen. Ik heb dan ook voor een paar dingen geen toestemming gegeven. Mijn telefoonnummer mag niet op de klasse lijst komen. Als IT-er wordt ik al veel te veel benaderd in mijn vrije tijd. De foto's van mijn kinderen mogen niet worden gebruikt voor de school marketing.

Erg goede ontwikkeling!
"Mijn telefoonnummer mag niet op de klasse lijst komen. Als IT-er wordt ik al veel te veel benaderd in mijn vrije tijd"

Dat is zeer discutabel: als je telefoonnummer niet op de klasselijst staat, kunnen ze je ook niet bellen als een van je kinderen ziek is, uit de ringen gevallen is of je om een andere reden dringen nodig heeft. Dat lijkt me veel belangrijker dan een belletje in privé tijd. Als je dat als vervelend ervaart: zeggen dat IT advies 50 euro per uur kost .. dan is dat zo afgelopen
De klasse lijst is op onze school een lijst die naar alle ouders wordt gestuurd zodat ze onderling contact kunnen hebben. De leerkracht heeft onze nummers gewoon.

Mijn vriendin staat wel op de klasse lijst dus als er iets bij vriendjes gebeurt dan zijn we alsnog bereikbaar.

50 euro per uur vragen houdt veel mensen de boot af, maar ik heb sowieso geen zin om daarmee gestoord te worden. Ook niet om uit te leggen dat ik waarschijnlijk te duur voor ze ben.
En om het nog 'leuker' te maken,
je kan op ELK moment weer besluiten om de toestemming in te trekken.
Dan mogen ze elk "spoor" van haar weer verwijderen.


* alleen moet je je wel bedenken of je zulke ouders wil zijn ;)


Los van de manier waarop de toestemming gevraagd is, dit zou vanwege het tijdsbestek en het gebruik ( minderjarige ) volgens mij schriftelijk moeten gebeuren ( contractvorm )
Heb je mijn bericht wel goed gelezen? Het is wel onzin, omdat er precies dezelfde data wordt verzameld als voorheen. Alleen nu heb je er expliciet toestemming voor moeten geven. En als je dat niet doet kun je niks kopen.

Misschien ben jij het type dat de voorwaarden wel leest, en dat je pertinent weigert om daar iets te kopen (why? alsof het zo erg is dat je emailadres wordt opgeslagen in Mailchimp of whatever). Maar de rest van Nederland interesseert het geen reet.

Overigens ben ik dienstverlener en geen exploitant van een webshop ;)
De GDPR gaat over wel wat meer dan alleen toestemming. Toestemming is maar 1 van de 6 grondslagen waarop gegevens mogen verzameld worden.
Je zal voor iedere verwerking het doel en de grondslag moeten bepalen voordat je de verwerking mag uitvoeren. En gegevens mogen niet voor iets anders dan het oorspronkelijke doel gebruikt worden, het is echt een stuk duidelijker waar je gegevens zich mogen bevinden.

Ik ben zelf functionaris gegevensbescherming bij 3 verschillender bedrijven en merk, net als een aantal reacties hier dat het nog zo onduidelijk is. Het is niet alleen maar over vinkjes, het gaat beheersing van JOUW gegevens.
Alleen nu heb je er expliciet toestemming voor moeten geven. En als je dat niet doet kun je niks kopen.
Dat is dan toestemming die niet vrijelijk gegeven is; dus niet rechtsgeldig is; dus niet gebruikt kan worden als verwerkingsgrond.
In jouw ogen belachelijke regelgeving. Gelukkig voor anderen niet. Als wel allemaal zo zouden denken en ons zin zouden krijgen dan zou het complete anarchie worden, geregeerd door iedereen die lastige regels ‘belachelijk’ vindt.

Het doel van de wet is dan ook niet dat jan en alleman overal data gaat lopen opvragen, maar dat bedrijven, o.a. jouw branche, zich bewust wordt van wat ze doen en laten met data van en over anderen.
Feit is dat ik Tweakers niet kan bezoeken zonder cookies te accepteren. Cookiewalls zijn al ruim 5 jaar verboden, maar veel websites hebben hier maling aan. Hoe moeilijk is het voor het AP om een aantal studenten in te huren welke met een browser de top 1000 websites bezoeken en een melding maken als zij een cookiewall tegen komen? Vervolgens stuurt het AP een formele waarschuwing dat het moet voldoen binnen 6 maanden. 6 maanden later doet men opnieuw controle of de website dan wel voldoet. Voldoet deze nog steeds niet, dan volgt een boete..

Daar heb je geen honderden mensen voor nodig. Ik heb ingesteld dat mijn browser third-party cookies niet accepteerd, aan ook bepaalde domeinen van google en facebook zijn op mijn blacklist, maar nog steeds wordt ik getracked en moet ik deze privacy schending accepteren. En niet alleen hier maar ook bij kranten en zelfs overheidswebsites.

Als het AP al niet de mankracht heeft om op cookiewalls te zoeken, hoe wil men dan de rest van de AVG gaan controleren? Begin eerst met de meest eenvoudige onderdelen van de wet te handhaven. Zodra een bedrijf gegevens lek, kun je altijd nog boetes opleggen..
Om over 1 week in de krant te lezen dat er weer een datalek is geweest.

Ik snap je punt maar in de praktijk werkt het helaas anders.

Edit:
Blijkbaar zien een aanal mensen hier niet in hoe het er echt aan toe gaat. De AVG regels / richtlijnen zijn in de meeste wel helder alleen de berichten van dataleks worden er niet minder op.

Mooi dat het onderzoek laat zien dat er nog veel winst te behalen is. Een mooie aanvulling zou zijn als er handvaten worden aangeboden hoe zaken in te passen in de organisatie.

Want dat zie ik wel vaak ontbreken bij onderzoeken : er is van alles mis en succes met de herstelacties.

[Reactie gewijzigd door Henkje.doc op 28 september 2019 12:14]

Dat er datalekken zijn, betekend toch niet dat we er geen wetgeving voor moeten hebben?

Om je voorbeeld even in extrema te trekken: Dus omdat er af en toe moorden worden gepleegd, kunnen we die wetgeving ook maar beter afschaffen, omdat "Blijkbaar zien een aantal mensen hier niet in hoe het er echt aan toe gaat.".

Hoop dat je hiermee beter begrijpt waarom we regelgeving nodig hebben. Dat de wereld niet perfect is en er overal fouten worden gemaakt, betekend niet dat we dingen niet zwart op wit moeten hebben zodat we niet in een totale anarchie belanden.

Nu heb je tenminste een poot op te staan bij de rechter als je gegevens worden misbruikt, had je dat liever niet gehad?
Ik werk als een web developer uitsluitend met gemeente websites, dus helaas heb ik er wel wat verstand van ;) en ik kan je zeggen dat je blij moet zijn dat gemeenten het nu een stuk serieuzer nemen dan vroeger.

Wetgeving voor privacy bescherming is nodig en goed, het argument wat je gaf sloeg helaas nergens op, en in plaats van het te onderbouwen in een reactie, val je persoonlijk aan, dat is jammer. Maar wat denk jij dan dat een betere oplossing is?

Off topic, ik heb je juist een plus 1 met boost gegeven, omdat ik het geen flamebite vond. Je laatste reactie is dat helaas wel.
Vanuit mijn functie ga ik hier ook dagelijks mee om en wel landelijk gezien.

Dus beide weten we hoe serieus we met zaken om moeten gaan.

Dat weten wij maar de wereld om ons heen is zich daar onvoldoende bewust van.

Dat komt uit verschillende onderzoeken. Wat ik niet terug zie komen is kaders en handvaten hoe met data om te gaan. Wat mag wel en wat mag niet en vooral: wat zijn alternatieven.

Daar kun je denk ik wel een aantal mooie scenario's van maken.

Gebruik BSN hoef ik je niets over te vertellen.

Wat voor mij je reactie persoonlijk maakte was dat er vergelijkingen werden getroffen met zaken die helemaal los staan van AVG, data of wat dan ook. Leuk voor de discussie en de punten, maar in dit geval viel dat bij mij verkeerd.

Reactie was stevig, waarvoor excuses.
Maar je krijgt dus wel degelijk verzoeken. En dat is net waarom deze wetgeving wel belangrijk is. Deze geeft rechten aan het individu, in dit geval jouw klanten. Maar het is niet omdat zij een recht hebben dat zij ook verplicht zijn om het uit te oefenen. Ik zou net zeggen: wees blij dat het er zo weinig zijn. Stel je voor dat al je klanten elke paar maand een brief sturen om al hun data te mogen inzien. Je zou bijna iemand moeten gaan aannemen om gewoon maar aan die verzoeken te voldoen.
Er verandert weinig voor 99.9% van de eindklanten. Die moeten gewoon vinkjes of een handtekening zetten voordat ze toegang krijgen/iets kunnen kopen.
Als ze die moeten zetten, ben je wss. al in overtreding. Toestemming voor verwerkingsdoeleinden moet vrijwillig gegeven worden, anders is deze niet rechtsgeldig. Om te toetsen of toestemming vrijwillig gegeven is, moet bij vereiste toestemming voor gebruikmaking van een dienst met extra aandacht gekeken worden of de gegevens en verwerking waar toestemming voor vereist wordt, wel noodzakelijk zijn voor de kern van het verlenen van die dienst.

En dat is bij e-commerce gerelateerde conversie tracking NOOIT het geval. De kern daar is het aan de man brengen van een product. Niet het nog efficienter aan de man kunnen brengen van andere producten, of het optimaliseren van advertentie-diensten.
Die moeten gewoon vinkjes of een handtekening zetten voordat ze toegang krijgen/iets kunnen kopen.
En dat mag dus niet, en is gewoon een overtreding van de AVG.

Dat wetgeving met voeten getreden wordt, maakt het geen 'belachelijke onnodige wetgeving'. Op z'n hoogst betekent het dat de handhaving ervan ontoereikend is.
Jouw idee van “belachelijk” en “gedoe” is dus exact de reden dat het echt hard nodig is. En spijkerhard beboet moet worden als je niet meewerkt. Niks 10% van de jaaromzet, minstens 50% en bij herhaling failliet verklaren.

[Reactie gewijzigd door DigitalExorcist op 27 september 2019 23:02]

Bij herhaling wat?

Jij hebt er dus echt geen verstand van, dude. Misschien even inlezen in ondernemingsvormen etc voordat je zoiets raars roept?
Wordt het te heet onder je voeten?

Zaakjes op orde maken, dan is er niks aan de hand.

Gelukkig heb ik wél verstand van ICT dan.... het is niet “belachelijk” om je aan een wet te houden. Het is geen “gedoe” om je data en klanten te beschermen. Ja, tenzij je een hekel aan je klanten hebt en geld verdienen belangrijker vindt dan eerlijk zakendoen natuurlijk.

[Reactie gewijzigd door DigitalExorcist op 27 september 2019 23:24]

Het is 'belachelijk' dat je stelt na twee keer niet iets op orde heb, direct failliet te worden verklaard. Das zoiets als twee keer te hard rijden direct auto in beslag nemen en nooit meer terug geven. Of twee keer thuis je wifi security niet op orde hebben en je huis inleveren. Je kraamt een beetje onrealistische onzin uit.

Bierdrinken + Internet is geen goede combinatie!

Dat bedrijven er een potje van maken is natuurlijk niet wenselijk, maar dat zijn mensen die daar werken en de meeste datalekken komen over het algemeen niet bij directie vandaan. Maar bij mensen die zich sowieso al niet aan de regeltjes houden. Wil je die meteen opsluiten of zo?
Ware het niet dat privacy een mensenrecht is, en dus alles behalve hetzelfde is als te hard rijden of door rood.
Bij moord wordt tenslotte ook direct hard gestraft...
Waarom zou het heet onder mijn voeten worden?

Als het zo makkelijk was dan hadden meer bedrijven het voor elkaar, vraag eens aan je werkgever of hij het voor elkaar heeft, zo niet dan de kans geven het te verbeteren, na een tijdje weer controleren en als het dan nog steeds niet goed is......., faillissement van je werkgever aanvragen. Ooooooh ja, dat kan wettelijk al niet en daarnaast heb je jezelf er ook mee. Man man man.
Alleen heb je nu gewoon expliciet akkoord gegeven.
En dat akkoord is niet rechtsgeldig als het niet vrijelijk en expliciet gegeven is. Wat bij heee---------l veel van de gevallen dus gewoon nog steeds fout gaat.
Vreemd verhaal. GDPR is general data protection regulation, niet global data protection regulation zoals vermeld in het artikel.
Die fout wordt niet gemaakt in het bron document, das een foutje van de Tweakers.net redactie...

Het bron document bespreekt verschillende zaken, waaronder de GDPR en de CCPA. Daarnaast is het niet zeer zeker niet 'globally'...
Surveyed 1,100 compliance, privacy, data protection, and IT executives across ten countries and eight sectors
8 daarvan zijn EU landen, daarnaast nog eens India en de VS...

Waarom India en de VS? Veel outsourcing naar India en veel afname qua diensten vanuit de VS van globaal actieve organisaties.

Mijn advies, neem eens een kijkje in het bron document, daar wordt over veel meer dan alleen de GDPR gesproken.
Dat was een stomme fout mijnerzijds, weet niet door welke brainfart ik dat verkeerd schreef. En wat ik met 'wereldwijd' bedoel is dat internationale bedrijven niet voldoen aan de AVG, dus ook Amerikaanse bedrijven die in Europa opereren. Maar dat stond er inderdaad niet zo handig.
Helemaal correct.
Nog vreemder is dat Cap in zijn publicatie spreekt over General Data Privacy Regulation?
Microsoft past de GDPR (waar mogelijk/toegestaan) globaal toe. Moet niet, mag wel :)

Wat mij betreft mogen we in Europa best bedrijven afrekenen als ze een uitzondering maken voor enkel de EU en de rest van de wereld nog steeds als stront behandelen. Zegt IMO genoeg over de bedrijfsethiek.

GDPR is overigens van toepassing op elk natuurlijk persoon dat zich in de EU bevind, niet alleen EU burgers. Dus daar hangt wel een globaal zijde draadje aan. Het kan wat kosten de reis hier naar toe, maar elke wereldburger kan zich berechten op de GPDR.
Maar hoe zou jij reageren als andere landen ons hun wetten oplegt? Bijvoorbeeld dat een bedrijf die hulpmiddelen voor abortus of euthanasie leveren door de VS wordt verboden dat nog te doen.
Het is elk bedrijf vrij om zich aan de normen en waarden te houden van land van herkomst of naar keuze. We zitten hier in Nederland stampvol met bedrijven die zich bv aan de Amerikaanse normen, waarden en wetgeving houden. Kuch Google, Facebook... zelfs Microsoft.

Waarom zouden we bedrijven die hier zaken doen niet mogen afrekenen op hetgeen wat ze elders in de wereld uitvoeren?
Het staat niet vrij, het is verplicht. ;)

In de zin van: Als je het niet doet, en toch zaken met ons doet, dan krijg je een giga boete.
En als je niet betaald dan leggen beslag op je goederen, pakketjes of geldstromen.

De Verenigde Staten zijn berucht om dit `soort` wetgeving. Vandaar dat zoveel NL bedrijven zich er aan houden.

[Reactie gewijzigd door Rasael op 28 september 2019 11:47]

Of denk aan Huawei en Xiaomi die ineens in de EU een ook de Great Firewall of China gaan hanteren. Als ze dat niet al doen dan...
Het gaat erom dat als een bedrijf producten aanbied aan een bepaalde lokale markt dat het aan de regels voor die lokale markt moet voldoen aangaande handel/service die op die lokale markt word geboden.

Als een bedrijf in Amerika zijn gegevensverwerking aangaande Europese markt op orde heeft zal het ons een zorg zijn dat het de gegevens van Amerikaanse elke week laat weglekken.
We leven in een geglobaliseerde economie. We hebben die wet- en regelgeving nodig om de handel ordelijk te laten verlopen en bijv. Alleen goederen binnen te laten die een bepaalde kwaliteit hebben en door een keuringinstantie gezien zijn (denk aan het CE-keurmerk)
Dat MS dat zo doet, is hun inzicht in de gevaren.
Als MS-Europa niet voldoet aan die standaard, en een databreach heeft, te wijten aan de AVG/GPDR is het niet de omzet van MS Europe waarnaar gekeken wordt, maar Microsoft global.
En dan is 4% ineens een groter bedrag, dan de kosten van implementeren over de hele laag van diensten.
Ik denk dat het grootste probleem ligt in het feit dat alle gegevens over een persoon niet altijd even makkelijk terug te vinden zijn. In een ideale wereld zou je met 1 druk op de knop alle data van een persoon uit alle systemen willen krijgen. Maar dat werkt denk ik bijna nergens zo.

Je moet eens kijken hoeveel bedrijven in de problemen gaan komen als er morgen 1000 mensen op de stoep staan met een verzoek om alle data die het bedrijf heeft over diegene op te vragen en daarna ook verzoeken deze data te verwijderen.
Het percentage mensen die de GDPR echt volledig snapt is denk ik zo laag dat zo’n bedrijf er vast wel wat moois van kan maken. Want tja... hoe weet jij wat ze jou opsturen ook ECHT alles is wat ze over jou weten?

Ik geloof niet dat FB en google ons alles laten zien wat ze over ons weten.
NAW gegevens, wat mailadressen, gesprekken, likes, geboorte datum.
Maar alle extra zaken zoals geschatte seksuele en politieke voorkeur en andere big data zaken laten ze denk ik wel achterwegen.

Of kan iemand vertellen wat en in zo’n aanvraag bij facebook nog meer zit?

[Reactie gewijzigd door Cowamundo op 27 september 2019 22:37]

Totdat er een audit komt, en blijkt dat 75% van de replies een standaard formuliertje was.
De mogelijke 'winst' bij achterhouden van informatie weegt niet op tegen de boete's
De boetes zijn toch een lachertje...
Doet ze een stuk minder pijn dan als iedereen weet wat FB echt over mensen verzameld heeft en weet.

[Reactie gewijzigd door Cowamundo op 28 september 2019 17:49]

Ik weet niet wat de jaaromzet is van FB, maar 2% is niet mals. Vooral als er nog een last onder dwangsom uitkomt. En vergis je niet, als de koers van FB daalt is het verlies nog veel hoger dan de oorspronkelijke boete.
Valt relatief wel mee. Als je klantgegevens opslaat op een extern platform (bijv. e-mailmarketingsoftware) moet de klant een verzoek indienen bij dat externe platform, zolang jij dat maar hebt opgenomen in je AVG en de klant daarmee akkoord is gegaan. En dat laatste is hij zeker, want dat was namelijk verplicht bij aanmelding :+
https://www.justitia.nl/privacy/verwerkersovereenkomst
https://www.justitia.nl/p...ropese-privacyverordening

Vooral dan het stukje over "Informeren en vragen van toestemming"
Je moet onomwonden toestemming krijgen voor de verwerking, en alleen voor DAT doel.
Ik ben niet de contactpersoon van de verwerkende organisatie, dus het moet duidelijk zijn in een verwerkersovereenkomst dat het uitbesteed wordt, of extern gebruikt.
Precies wat ik zeg dus?
Daar kom je niet mee weg, de klant moet toestemming gevraagd worden voor het doel. Je privacy statement moet alle externe providers wel noemen maar je houd als bedrijf weldegelijk verantwoordelijkheid. Dat je Google Analytics gebruikt betekend niet dat je vervolgens al je gegevens van die klanten maar Google mag sturen want dat gaat dat doel voorbij.

Als je Acme Ltd als data verwerker zou gebruiken dan moet je als bedrijf een security audit doen en regelmatige reviews of ze wel geschikt zijn (en blijven).
Als klant mag jij mij niet verplichten om mij in te schrijven voor een nieuwsbrief. Dat is niet nodig om aan mij iets te verkopen. Als jij dat mij wel zou opdringen ben jij in overtreding want jij hebt geen enkele aantoonbare noodzaak om mijn data met dat platform te delen om mij een dienst te kunnen leveren.
Nee hoor, een organisatie mag jou wel bijvoorbeeld e-mailen als zij kunnen aantonen dat er 'gerechtvaardigd belang'. Bijv. als je al een klant bent en ze jou een bericht sturen over een bestelling.

Maar dit moet wel afgewogen en onderbouwd worden waardoor veel organisaties toch, voor regelmatige verzending van nieuwsbrieven, vaak kiezen voor de 'toestemmingsgrondslag'.
Valt relatief wel mee. Als je klantgegevens opslaat op een extern platform (bijv. e-mailmarketingsoftware) moet de klant een verzoek indienen bij dat externe platform
Lees aub AVG artikel 15, 16 en 17 inzake het recht op inzage, rectificatie en vergetelheid er op na.

Bij wet is gesteld dat de klant hiervoor contact opnemen met de verwerkingsverantwoordelijke -- Het bedrijf zelf, en niet de beheerder van het externe platform -- en dat de verwerkingsverantwoordelijke verplicht is te voorzien in de uitvoering van deze rechten.

Betrokkenen -- klanten -- zijn niet verantwoordelijk om met elke individuele derde partij contact op te nemen. Dat is jouw verantwoordelijkheid als verwerkingsverantwoordelijke en het is ook jouw probleem om na te gaan dat alle derde partijen die als gegevensverwerker optreden, zich netjes aan jouw instructies inzake ophalen, aanpassen of verwijderen van gegevens houden.

Dat is dan ook het primaire doel van een verwerkingsovereenkomst - waarborgen over dat proces aanbrengen.

Zelfs als je middels zo'n overeenkomst alles potdicht nagelt is het nog steeds zo dat mocht uit verwerking van gegevens onder jouw opdracht en verantwoordelijkheid aantoonbare schade voortvloeien voor de betrokkene, de betrokkene jou zal kunnen aanklagen en daar een schadevergoeding voor kan eisen. Het is dan nog steeds jouw probleem om die schade te verhalen op derden die als verwerker optreden.

[Reactie gewijzigd door R4gnax op 28 september 2019 15:33]

zolang jij dat maar hebt opgenomen in je AVG
Er is niet zoiets als "jouw AVG."
Dat ding komt niet in persoonlijke smaakjes.

Misschien gebruik je deze afkorting te onpas voor algemene voorwaarden (AV) ?
In dat geval kan ik je teleur stellen: toestemming voor verwerking van persoonsgegevens kun je niet vastleggen middels algemene voorwaarden.
"In Nederland ligt het percentage van bedrijven op 31 procent"
Dit kon je zien aankomen, maar toch best jammer dat dit allemaal zo lang moet duren.
Voor veel kleine bedrijven is de materie complex en waarbij advies Professionele begeleiding nogal duur is.

Zie dat veel veel kleine bedrijven en zzp’ers
De handdoek in ring gooien denk het zal me wat.
Valt mee. Je moet er alleen wel wat mee doen en daar hebben die kleine bedrijven geen zin in. Ze wachten af en kijken wel of de boetes te behappen zijn.
Als je bedenkt dat iets van 80% van de bedrijven in Nederland kleine bedrijven zijn, vind ik 31% best wel goed eigenlijk.
Zullen ze ook op cookiewall hebben gecontroleerd ?
De Autoriteit Persoonsgegevens komt met een duidelijk statement: de cookiewall is onrechtmatig, bedrijven moeten hun bedrijfsproces aanpassen.
Heeft Tweakers hun cookiewall al verwijderd?
"Naar het oordeel van de Autoriteit Persoonsgegevens (AP) zijn op grond van de Algemene verordening gegevensverwerking (de AVG) cookiewalls niet toegestaan. Dit houdt verband met de wijze waarop toestemming wordt gevraagd en verkregen."
BRON: https://www.autoriteitper...rond-cookiewalls-uit-7108
Zal dat niet gewoon door de persgroep afgedwongen worden te gebruiken?
Uiteindelijk moet er gewoon zoveel mogelijk geld verdiend worden, ook door Tweakers.
Het is wachten op de eerste tweaker die dat bij de AP meldt en er een sanctie opgelegd wordt :+
* Dancing_Animal is even naar de AP
En een boete riskeren? Gaat weer lekker dan..
En een boete riskeren? Gaat weer lekker dan..
Gaat dat niet overal zo ?
risico en pakkans t/o te verwachten opbrengst minus eventuele boete ?

Daarom kunnen de boetes op non-compliancy AVG / GPDR zo hoog worden, tot 4% van de globale winsten
Dan is de pakkans ineens niet relevant, want de kosten hoger dan de baten
Sommige sites bieden gewoon een alternatief dat te belachelijk is voor woorden zoals 8u geen tracking cookies voor maar 5€, of 10€ voor een hele dag. :+

Dan maar de cookies, of niet meer gebruiken. Super fijn die wet maar nu al teveel gaten en loopholes dat je ze alsnog overal door je strot gedrukt krijgt.
Iets met een pot en een ketel weet ik uit betrouwbare bron als ex-medewerker (oftewel: CAP is zelf totaal niet GDPR/AVG compliant).
Ook de reviews op glassdoor liegen er niet om https://www.glassdoor.nl/Reviews/Capgemini-Reviews-E3803.htm (die van booking.com zijn trouwens ook hilarisch om te lezen).
Capgemini, waar ken ik die naam ook alweer van? Zal Capgemini zelf altijd alles op tijd in orde hebben?
Dat is toch dat IT-bedrijf van al die mislukte overheidsprojecten..?
Het UWV, de SVB en wellicht nog een paar andere..?
Capgemini is een Frans consultancybedrijf, dat zijn werkgebied in de ICT en consultancy heeft. In Nederland iets meer dan 4000 werknemers. Zitten op heel veel projecten. De meeste succesvol en een aantal niet. Dat er overheidsprojecten mislukken (velen lopen overigens prima, maar wat goed gaat daar hoor je niets over) is niet zelden een aaneenschakeling van oorzaken waarbij de rol van de opdrachtgever (de overheid) niet onderschat mag worden.
En mislukken die projecten doordat CG het niet goed doet, of dat de opdrachtgever geen goede opdracht geeft? Je zult zelf ook wel weten dat als jouw klanten opeens iets anders willen dan oorspronkelijk was gescoped je ongetwijfeld een change process start. En als er maar genoeg wijzigingen op de scope komen ontspoort ieder project. Maar dat is in eerste instantie de verantwoordelijkheid van de opdrachtgever.
Ieder groot IT-consultancy bedrijf heeeft mislukte overheidprojecten. 1) doordat de overheid ontzettend veel IT-projecten heeft en 2) IT-projecten op dergelijke schaal bijzonder ingewikkeld zijn en 3) de veranderlijkheid van inzichten in de politiek niet bepaald de beste voedingsbodem zijn voor succesvolle gigantische IT-projecten.
Het ene consultancy bedrijf vs het andere heeft wel een betere legal-afdeling, wat er dan ook voor zorgt dat je over die bedrijven veel minder hoort.
Voor het technisch inregelen van de AVG zie ik in mijn werkveld(lokale overheden) dat applicatie bouwers bewust bezig zijn om dit faciliteren in hun software. Wat ik alleen merk dat als dit niet geforceerd wordt vanuit de applicatie maar als extra dienst(wat het vaak ook is commercieel gezien) dat deze dienst/optie niet wordt afgenomen.

Mijn persoonlijke mening is dan ook dat alle applicaties die persoonsgegevens bevatten dit standaard aanwezig moet zijn. Op deze manier wordt de naleving van de AVG sneller gerealiseerd.

En wanneer meer inzage nodig is zoals mutaties en of raadplegingen op ongebruikelijke wijze(buiten werktijden en of veelvoudig raadplegen van persoonsgegevens) hier signalering van plaats vindt.
Er valt zeker wat voor te zeggen dat je als klant mag verwachten dat een product aan de geldende wetgeving voldoet.

Op het eerste gezicht is het niet voldoen aan verplichte wetgeving een defect in het productontwerp.

Het aanbieden van een extra-module betekent niet per se dat het product zonder die module niet compliant is. Het kan gaan om aanvullende analytische mogelijkheden, of monitorring.

Ook denkbaar is dat een bedrijf een aanvullende module aanbiedt als abonnement omdat er dienstverlening aan vast zit. Bv. het verwijderen van persoonsgegevens of het opmaken van een overzicht ervan. Zodat de klant dit aan de aanbieder kan vragen.
Dat komt omdat je heel vaak informatie in verschillende systemen gaat opslaan en grotere, complexere bedrijven daarom graag een overkoepelende oplossing hebben die alle systemen gelijktijdig kan afscannen naar persoonsgegevens.
Als ik de aanhef van het rapport scan dan lijkt het erop dat CG dit onderzoek uit eigen beweging is gestart. Het onderzoek is zelfs een vervolgonderzoek, volgend op een initieel onderzoek een jaar terug. In de titel van dit initiële onderzoek wordt GDPR zelfs een value opportunity genoemd.

Deze onderzoeken hebben blijkbaar een functie als visitekaartje om potentiële klanten er op te wijzen dat CG de partij is voor het doen van een goede GDPR implementatie in jouw organisatie. Wat ik opmerkelijk vindt is dat GC hiervoor 1100 deskundigen heeft kunnen bevragen
Surveyed 1,100 compliance, privacy, data protection, and IT
executives across ten countries and eight sectors
Conducted in-depth interviews with executives who are
experts on data protection and privacy regulations
and practices
De vraag die ik hierbij stel is onder welk mom deze deskundigen hun informatie met CG zouden hebben gedeeld? Zelfs als CG open kaart zou spelen over haar doel voor het onderzoek, waarom zou ik, stel dat ik een deskundige zou zijn, dergelijke best gevoelige informatie van mijn organisatie delen? Of waarom zou ik überhaupt hierin energie stoppen. Whats in it for me? Om uiteindelijk in een rapport te lezen dat we er allemaal nog niet zijn? En dat het veel beter kan?

Binnen mijn eigen referentiekader maak ik deel uit van een forum van een aantal mensen met vergelijkbare deskundigheid van een aantal Nederlandse bedrijven. Het kost energie aan dit forum deel te nemen, het heeft fysieke bijeenkomsten, er is een contributie om het forum te faciliteren. Als bedrijf moet je regelmatig zelf presenteren en informatie delen. Ook de voorbereiding van die presentaties kost best tijd. Maar ik heb wel de zekerheid dat de andere bedrijven dit ook doen. De gedeelde informatie maakt dit forum zo waardevol dat het de inspanning rechtvaardigt. Waar ik naar toe wil, dit forum functioneert op basis van wederkerigheid. Iedereen is informatiehaler en -brenger. Ik zie dit als een essentieel aspect.

Die wederkerigheid mis ik in die CG onderzoeken. Wat heeft al die experts gemotiveerd om hun informatie met CG te delen, als er misschien niet eens een zakelijke relatie met CG bestaat? Het forum wat ik net noemde heeft betrekking op een software platform dat de participanten gebruikt. In het forum steek ik best de nodige tijd. De vele onderzoeken en questionnaires van de softwarebouwer zelf daarentegen, die vul ik met meer en meer terughoudendheid in, omdat na jaren braaf invullen ik daar de wederkerigheid niet meer van herken.

[Reactie gewijzigd door teacup op 28 september 2019 12:16]

De wetgever mag zich weleens achter de oren krabben hierover. Het invoeren van wetgeving waarvan je weet dat veel partijen er niet aan voldoen en ook geen helder pad hebben om er wel aan te voldoen beschadigt de rechtstaat. Al deze bedrijven die weten dat ze niet voldoen aan de AVG moeten nu voor hun voortbestaan uitgaan van de willekeur van de AP in hoeverre die er zin in heeft ze te vervolgen. Brede, vage, wetgeving waarmee je veel mensen desgewenst om de oren kunt slaan horen thuis in een dictatuur, niet in Nederland.

De AP geeft nu aan dat bedrijven zich geen zorgen hoeven te maken omdat het ze meer gaat om de bereidheid dingen te doen dan absolute naleving. Dat kan soms logisch zijn, maar als je het over een wet hebt met zo veel voorwaarden en zulke hoge boetes is dat krankzinnig. Maak dan een heldere wet over het opvolgen van aanwijzingen van de AP.

[Reactie gewijzigd door kftnl op 28 september 2019 10:08]

"38 compliance" Welke eenheid is dat? :D

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True