Edward Snowden: AVG is papieren tijger met weinig impact

Edward Snowden denkt dat de AVG tot nu toe nog weinig effect heeft gehad in Europa. De NSA-klokkenluider zei op een conferentie dat de Europese privacyverordening vooral 'een papieren tijger' is zolang internetbedrijven geen grote boetes krijgen opgelegd.

Snowden sprak via een videoverbinding tijdens de Web Summit-conferentie in Lissabon. Daar zei hij nog niet onder de indruk te zijn van de AVG, de grote Europese privacyverordening die sinds 25 mei vorig jaar van kracht is. Hij denkt dat het niet de juiste oplossing is voor het probleem van dataverzameling. Volgens Snowden zit het probleem met de verordening al in de naam. "Het heet de General Data Protection Regulation, maar dat is een verplaatsing van het probleem. Het probleem is niet databescherming, maar dataverzameling." De klokkenluider zegt dat het beschermen van data impliceert dat het verzamelen van de data in de eerste plaats rechtmatig is. "De AVG zegt dat het prima is om data te verzamelen, dat het geen gevaar oplevert en dat het normaal is om iedereen te bespioneren, zolang die data maar niet uitlekt en je er zelf de controle over hebt."

Snowden zegt verder dat de beleidsmakers veel aandacht aan de verordening hebben gegeven en dat dat een goede eerste stap is. Hij denkt ook dat de boetes die onder de AVG mogen worden uitgedeeld, tot nu toe een wassen neus zijn. Onder de privacywet kunnen bedrijven een boete van vier procent van hun jaaromzet krijgen als zij nalatig zijn in het beschermen van gebruikersdata. Er is wel al een aantal boetes uitgedeeld, maar volgens Snowden maken die de belofte niet waar. "Totdat die boetes ieder jaar aan de internetgiganten worden opgelegd, is het een papieren tijger die ons een vals gevoel van veiligheid geeft. De bedrijven moeten hun gedrag erdoor veranderen, niet alleen door te voldoen aan de letter van de wet, maar ook aan de geest ervan."

Door Tijs Hofmans

Nieuwscoördinator

05-11-2019 • 09:44

146

Reacties (146)

146
141
45
17
4
84
Wijzig sortering
Kan de Tweakers-journalist aangeven of deze statements kloppen? Ik ken de AVG juridisch niet heel goed, maar ik dacht dat ze ook vrij streng waren over wat ze mogen verzamelen....
AuteurTijsZonderH Nieuwscoördinator @Basekid5 november 2019 09:51
In principe mag je veel data verzamelen als dat 'nodig' is voor je dienst, en 'ik gebruik deze dienst' is al genoeg reden dat het nodig is. De AVG verbiedt eigenlijk niet heel veel; de wet stelt vooral wat je moet doen ALS je data verzamelt.

Althans, dat is het stuk waar Snowden op doelt, i.e. de grote techbedrijven.
De AVG heeft wel in artikel 5 het principe van dataminimalisatie genoemd, en dat betekent dat je niet meer mag verzamelen dan aantoonbaar nodig voor je dienst. "Ik heb dit denk ik ooit nodig dus ik verzamel het vast" is nadrukkelijk niet genoeg om aan dat principe te voldoen.

Snowdens uitspraken zijn een cynische constatering over de praktijk van de AVG: er wordt niet gehandhaafd en daarom kunnen bedrijven wegkomen met een mooie reutel over privacy. Als er hard en strikt gehandhaafd werd, dan was Facebook al lang failliet omdat ze niets kunnen doen.
En o zo veel bedrijven doen ook gewoon nog niet alles volgens de AVG omdat ze weten er toch mee weg te kunnen komen.
En ook omdat de bedrijven niet weten wat de AVG nou eigenlijk inhoud. Een juridisch document moet wel goed vertaald worden naar de IT infrastructuur. Maar wanneer advocaten de IT structuur moeten gaan ontleden en IT-ers advocaten moet gaan vertellen wat er allemaal verzameld wordt, dan is dat geen natuurlijk proces.
Maar dat komt dus wel omdat er in beginsel al compleet verkeerd met privacy en data is omgegaan. Bedrijven weten heel prima wat de AVG inhoudt en wat het wil bewerkstelligen. Het is gewoon een ongemakkelijke waarheid. Dit afdoen met een 'Zuckerbergje' gaat 'm niet worden. Bedrijven wisten donders goed wat het koppelen en verzamelen van data inhoudt.

Snowden benoemt dat dan ook heel goed. Het gaat al mis bij de dataverzameling. Heel veel zaken die anoniem kunnen zijn terwijl je de data nog altijd verzamelt, zijn dat niet. En dan klagen dat het toch wel lastig is vanwege de AVG.. de wereld op zijn kop.

Wat mij betreft keihard beboeten en blijven beboeten. Dwing bedrijven om de zaakjes op orde te krijgen en dwing ze tot die ongemakkelijke beslissing: je zult moeten minderen, minimaliseren zelfs.

[Reactie gewijzigd door Vayra op 23 juli 2024 03:26]

Jij ziet een bedrijf als een enkele entiteit. Ik probeer juist uit te leggen dat dat niet zo is. Die IT-er die het ontwerp maakt voor een nieuw systeem weet over het algemeen te weinig van de AVG om daar echt op in te kunnen spelen. En de juridische afdeling weet vaal niet precies genoeg wat er nou eigenlijk gebeurd. Er moet dus een behoorlijke cultuuromslag plaatsviden. En dan heeft @Cergorach ook nog een punt dat voor het MKB de AVG vrij onbekent is.

En diezelfde problematiek zie je ook bij de handhavers. De meesten weten niet goed hoe ze zaken moeten opsporen. Dus ze wachten tot iemand eens met een klacht komt.
En... dus? Dus staan we er allemaal bij en kijken ernaar? Want dat is wat nu gebeurt en wat Snowden eigenlijk ook roept. Een cultuuromslag komt niet uit de lucht vallen, die moet je meer dan eens forceren.

[Reactie gewijzigd door Vayra op 23 juli 2024 03:26]

Zo een cultuuromslag kost tijd, het is immers een bureaucratische actie. We hadden dergelijke issues ook gewoon al 15-20 jaar gelden. Managers die in de mailboxen of browsergebruik van hun medewerkers spitten of wilde spitten. ITers wisten er geen bal van en managers wilde er eigenlijk niets van weten. Zelfs bij een grote organisatie met een eigen juridische afdeling moest iemand van de helpdesk naar voor stappen met een berg informatie voordat de juridische afdeling de uitspraak deed "Dit mag inderdaad niet!". Net zoals het gelazer met het kopie id bij banken:
nieuws: Vraagtekens bij opslag id-bewijzen door banken
Waarbij bij sommige banken daarvoor door medewerkers ook al vragen werden gesteld of dit wel mocht en je dan ook van managers en hoofden niet dat soort vragen moest stellen die ver buiten de scope van je werk vielen...

10 jaar geleden liep je ook tegen issues aan met websites/interfaces die niet regelmatig werden bijgewerkt/geupdate/beveiligd. Daar kon je ook boetes voor krijgen die in de tonnen liepen, erg naar voor kleine organisaties en pas nadat je met dergelijke argumentatie aan kwam als ITer ging men vanuit directie daar toch opeens heel anders naar kijken.

Wat ik daarmee wil aangeven is dat het niet alleen management is die doet alsof de neus bloed, maar ook ITers op alle lagen rammen maar al te liefst hun kop in het zand. Doorsnee ITer: Moet ik iemands ziel uitknijpen? Dat regel ik donderdag voor je. Ik kan het voor je automatiseren op vrijdag...

@Vayra Elke wijziging in regelgeving heeft een 'nieuwe' cultuurverandering nodig. En imho is de enige methode om dat te bewerkstelligen als bedrijven daadwerkelijk flinke boetes krijgen en mensen intern met de regels en die voorbeelden gaan wuiven richting directie.

[Reactie gewijzigd door Cergorach op 23 juli 2024 03:26]

Klopt helemaal hoor. Maar ja, cultuuromslag kost tijd - en in dezelfde reactie noem je allerlei voorbeelden die aangeven dat er tientallen jaren geen bal is veranderd. Waar is die cultuuromslag? De wetgeving was er altijd al maar is nu wat scherper en up to date gemaakt. De handhaving, daar zit het probleem. Zachte heelmeesters, en zo.

@Cergorach dan zeggen we dus exact hetzelfde, dankjewel :) Mijn ervaring is dat een echte cultuurverandering enorm veel moeite kost en de enige manier om daar beweging in te krijgen is forceren. Met regels en met handhaving. Met duidelijke grenzen, do's and don'ts en elke keer dat je zondigt moet je keihard het deksel op je neus krijgen. Dat zie je in sommige organisaties ook zeker wel terug, maar doet niets af aan het feit dat er wél een sanctie boven falen moet hangen. Mensen veranderen niet als ze daartoe niet gedwongen worden.

[Reactie gewijzigd door Vayra op 23 juli 2024 03:26]

Nee. Dit is een proces. Toen Sarbannes Oxley kwam heeft het ook best even geduurd voordat iedereen doorhad hoe het precies zat en moest. Dat is hier hetzelfde.

En het is niet zo dat er niets gebeurd. 2 jaar geleden dacht niemand na over data verzameling en beveiliging. Nu zie je ineens dat mensen er over nadenken. Er is bewustwording.

[Reactie gewijzigd door pepsiblik op 23 juli 2024 03:26]

Ja precies. Wie zei dat 100 geleden ook al weer?
Iemand maakt een Functioneel ontwerp...
In dat ontwerp worden de vereisten bij elkaar gebracht.
Wat is nodig, wat niet, wat is leuk, wat is vereist.

Daar horen alle aspecten bij, juridisch, technisch, organisatorisch...
En ja een IT-er op een Juridische stoel zetten (of omgekeerd), gaat vaak niet heel goed werken.

Maar een Specificatie door een jurist laten beoordelen en tevens door een IT-er ieder voor de eisen aan het gesteld vakgebeid zou wel productief kunnen zijn.

Proberen de legacy software (die van 2005-2018) uit de data verzamel woede jaren proberen te beschrijven is waarschijnlijk gedoemd om te mislukken.
Mogelijk is het productiever om een nieuw ontwerp te maken en dan de zaak te migreren.
Een ander issue is dat veel MKB geen eigen juridische afdeling heeft en als ze deze al hebben deze niet heel bekend is met de AVG, laat staan wat voor impact dat heeft op de IT processen. Je bent dan vaak aangewezen op externe juristen welke pas geraadpleegd kunnen worden als daar toestemming voor is gegeven van 'bovenaf', meestal duurt dat wel even en ondertussen zitten (niet) ITers lekker hun eigen interpretatie van de regelgeving anderen op te leggen...
Nog een issue is dat MKB vaak helemaal niet aan de AVG wil omdat een ondernemer nou eenmaal veel geeft om zijn producten, maar niet om IT en al helemaal niet om juridisch geneuzel.Ik ben er van overtuigd dat de AVG een grotere blokkade vormt voor veel starters dan de belastingdienst. Deze wet is juist bedoeld om de grote "bigdata" clubs in te tomen, maar in de praktijk vernaggelt die alleen maar het MKB en het verenigingsleven.
Waarom zou een vereniging er onder leiden? Je wordt enkel door de wet verplicht goed over je data beheer na te denken: Wat slaan we op? Waarom? Wie mag het zien? Dat soort zaken. Je mag als vereniging prima een leden administratie bijhouden of iets dergelijks. Ik vind het ook voor MKB en verenigingen goed dat ze hierover moeten nadenken.
Ja, dat speelt in veel te veel gevallen. Het wordt hoog tijd dat er paal en perk wordt gesteld. Wat mij betreft mag er veel strenger worden gehandhaafd met maatregelen die er ook voor zorgen dat bedrijven zich aan de wet houden.

Voor de burgers geld de wet ook en als je net daarnaast piest ben je vaak al snel aan de beurt.
Ik ken juist veel bedrijven die bang zijn voor de AP omdat als ze toch gaan handhaven ze opeens hun stekje kunnen gaan sluiten.

AVG werkt heel goed voor kleine bedrijven(en overheidsinstanties, omdat de overheid een voorbeeldsfunctie heeft). Het zijn de grote techgiganten waar niet gehandhaafd wordt omdat die weten dat de AVG op het moment een wassen neus is(althans, totdat er een datalek schandaal is, en dan is het al te laat).

Zo laatst ook persoonlijk maar weer tijdens het regelen van het nalatenschap hoe streng bedrijven zijn voordat ze data weggeven "vanwege de AVG".

[Reactie gewijzigd door MrFax op 23 juli 2024 03:26]

Ik werk bij een redelijk grote financiële instelling. Van alle applicaties hebben we de data-velden in kaart gebracht en per applicatie vastgesteld of het noodzakelijk is deze gegevens te hebben en zo niet is het verwijderd. Inclusief lange lijsten aftekenen voor laten verwijderen en later controle door accountant. Een behoorlijk zware,
kostbare en ingrijpende actie. Ik weet het n=1, maar het wordt bij ons serieus genomen. Ik ga er vanuit dat conculega bedrijven hier vergelijkbaar mee om gaan.
Met name dat laatste is een waarheid als een koe.

Het kan haast niet anders dan dat Facebook de AVG met voeten treed. Als echter de grootste overtreder op aarde niet wordt aangepakt, geeft dat het signaal dat het blijkbaar niet zo belangrijk is.

Aan de andere kant, hoe kunnen we verwachten dat het lullige AP een reus als Facebook aanpakt, welke vast een legal team heeft vele malen groter dan de hele AP organisatie?

Tot slot, buiten dat tech regulatie slap en tandeloos is, is het ook te laat en te traag. Boetes, als er al sprake van is, worden jaren na dato pas opgelegd. In die tijd is de markt al op oneigenlijk wijze gekaapt en de boete draait dat niet terug.
Aan de andere kant, hoe kunnen we verwachten dat het lullige AP een reus als Facebook aanpakt, welke vast een legal team heeft vele malen groter dan de hele AP organisatie?

Hier kan je je dus afvragen wie dan de macht heeft. Hoe groot een legal team ook is, wetgeving moet boven bedrijven staan.Ik denk dat er serieus naar techgiganten moeten worden gekeken, die zijn simpelweg too big to fail en too big to regulate.
Probleem bij een boete is dat je hem bij elkaar moet bedelen als overheid.

Maatregelen als 1 week lang afsluiten in de hele EU (lukt bij de Piraten Baai ook) met zo'n website als 'ceded by Police due to criminal activity' en bestuurders strafrechtelijk vervolgen en in de cel smijten bij overtreding (zoals bij de banken in IJsland) is het enige wat helpt. Kijk maar naar de banken (GS, MS, DB en in mindere mate Rabo en ING) die miljardenboetes krijgen maar wel vrolijk bonussen uitdelen.

Miljardenboetes zijn voor Facebook 'cost of sales': Een niet te voorkomen noodzakelijke uitgave die geminimaliseerd moet worden. Zolang echter figuren als Trump Facebook als belangrijkste verkiezings-propaganda medium gebruiken is handhaving vrij kansloos aan die kant van de plas: De Amerikanen moeten Europese overtreders straffen (oa VW) en wij die van hun (INTC, MSFT, GOOG).
De AVG wetgeving is Europees. Meerdere instanties van EU lidstaten zouden de krachten kunnen bundelen tegen de giganten.
GDRP is Europees, AVG is Nederlands
AVG is inderdaad de Nederlandse interpretatie van de Europese GDRP. Hoe dan ook komt het er op neer dat alle EU lidstaten dezelfde privacy wetgeving hebben. Hierdoor kan de AP makkelijker samen met zusterorganisaties uit andere EU lidstaten optrekken tegen de grote privacy schenders.
Dat is dus de onzin van het verzamelen. Facebook heeft al die data niet nodig. Zonder al het verzamelen reclame tonen kan nog steeds en bedrijven zouden het blijven doen. Misschien is de impact iets minder groot, maar bedrijven die hun producten kwijt willen blijven toch ads inkopen. Het verzamelen van al die data is daarom ook eigenlijk nergens voor nodig.
Facebook heeft die data wel nodig. Het hele bestaan van het bedrijf leunt op deze data. Facebook verdient zijn geld met targeting.

Een adverteerder: ik wil mijn advertentie plaatsen voor vrouwen in de staat Minnesota, USA. Leeftijd 35-50. Geen zielepoten dus minimaal 100 vrienden en sociaal actief. Hoger opgeleid met een bewezen interesse in ski-vakanties.

Dat kan dus met Facebook. En dat kan alleen als Facebook al die dingen weet van gebruikers.
Dit is overigens niet data die Facebook verzameld, maar ingevoerd krijgt van diezelfde mensen. Over die mensen maak ik me dus ook vooral niet druk, die tekenen zelf hun privacy weg. Erger is wat er buiten Facebook om allemaal wordt geschraapt.
Ik denk niet dat men zich bewust is van het feit dat Facebook weet hoelang/hoevaak jij op externe sites zit waar een FB koppeling in zit al dan niet met comments of dat mooie like-knopje. Het is Facebook die data verzameld. Het is ook Facebook die data verzameld over bewegingen waar jij helemaal geen weet van heb. Behalve een legal team groter dan AP is de afdeling psychologie bij FB ook ongetwijfeld groter dan het AP.

Beetje zelfde als dat van burgers verwacht wordt dat we alle regels en wetten kennen en per definitie verantwoordelijk gehouden kunnen worden wanneer ze dit niet naleven. In de praktijk werkt het niet zo.
Noem het cynisch of niet, het punt dat hij maakt is wel exact waar het om gaat: de oplossing zit niet in het controleren van het dataharken, maar het aanpakken van dataharken an sich. De onderliggende oorzaak is ons "systeem". Dat is gebaseerd op de illusie van constante groei, dusdanig dat dataharken nu als noodzakelijk gezien wordt om te kunnen blijven functioneren als bedrijf. Zolang je dat onderliggend syseem voeding blijft geven (en wij houden het noodgedwongen met zijn allen in stand - wat moeten we anders, want we moeten onze weg in de maatschappij vinden) en daarmee ook de behoefte aan dataharken niet aanpakt, blijft het altijd gevolgbestrijding ipv oorzaakoplossing en dáár heeft Snowden het over. Controle is een illusie, never ending growth is een illusie; kortom, de huidige, praktische invulling van kapitalisme zonder daarbij de mens als een batterij te behandelen werkt gewoon niet. Mensen zijn geen mensen meer, maar FTE's, resources, batterijen.

De politiek en de media zijn uiterst krachtige, zeer overtuigende subsystemen die om het grote geheel draaien om de massa te beinvloeden.
Hoe ver blijven we doorgaan met datgeen wat ons mens maakt (onze persoonlijke data, onze privacy) noodgedwongen weg te geven om zo de bedrijfswereld illusies te blijven geven tot eeuwige groei en daarmee het systeem in stand blijven houden?

[Reactie gewijzigd door Deathchant op 23 juli 2024 03:26]

Het principe van 'dataminimalisatie' is anders wel een centrale en essentiële eis van de AVG, maar wel een waar nog op grote schaal tegen gezondigd wordt en waar veel meer op gecontroleerd en gehandhaafd zou moeten worden.

Het betekent dat men niet méér gegevens mag vragen (en opslaan) dan strikt noodzakelijk is voor het verlenen van de dienst die men aanbiedt.

Als voorbeeld Google, die je in Nederland gewoon kunt bellen. Zodra je ze belt vragen ze onmiddellijk om een e-mail adres. Geef je dat niet dan weigeren ze zelfs om je te woord te staan. Blijkbaar is hun software om contact met klanten te registreren nog zo ingesteld (van vóór de AVG) dat men de klant/case met dat e-mailadres wil identificeren. Volstrekt onnodig. Er kan ook een niet-persoonsgebonden casenummer gegenereerd worden dat men aan de beller doorgeeft en waarmee die beller bij later contact de draad weer kan oppikken indien nodig. Mocht het later nodig zijn om de beller met zijn/haar instemming iets per mail te willen toesturen dan kan dat e-mailadres later altijd nog gegeven worden omdat het dan pas echt nodig is. En ze checken het adres blijkbaar ook meteen want als je een niet bestaand adres opgeeft dan wordt dat geweigerd. Volstrekt laakbare praktijken. Google is hier bezig om de gebruikers nóg beter te profileren. Want stel dat je een gmail adres geeft. Ik snap natuurlijk dat dan niet iedere Google medewerker je hele hebben en houwen kan inzien maar aan zo'n gmail adres/account kan wel een gigantische hoeveelheid aan informatie van een persoon gekoppeld zijn welke wel bij Google bekend is in hun systemen en die dan in principe koppelbaar is aan die beller. Volstrekt onnodig en ongewenst vanuit het privacy oogpunt van de beller. Volstrekt gewenst voor Google vanuit hun wens om iedereen zoveel mogelijk te profileren voor hun advertentiepraktijken. Wiens belang dient hier het zwaarst te wegen?

De Autoriteit Persoonsgegevens dient hier wat mij betreft keihard tegen op te treden. Laat Google de knip maar weer eens trekken om het af te leren.

[Reactie gewijzigd door CaptJackSparrow op 23 juli 2024 03:26]

In dat geval kan het mailadres ook zijn: google_incident1@whatever.domain.tld
Zij blij dan hebben ze een one-off mail adres en jij hebt je case nummer.
Na sluiting + enkele weken forward het adres gelijk naar een UCE aanmelder?
Bij ons in de organisatie heeft de AVG zeker wel een goede invloed. We mogen heel veel informatie niet zo maar meer verzamelen. Maar vooral, dat we informatie niet zo maar meer mogen gebruiken waar het niet voor bedoelt is.

Iets simpels als het naluisteren van gesprekken is nu heel erg gelimiteerd en mag echt alleen nog maar gebruikt worden waar het voor bedoelt is, kwaliteitsdoeleinden. En zelfs hier zitten nu harde grenzen aan, gewoon even "dat gesprek" terugluisteren mag niet meer.

Of het delen van informatie tussen bepaalde afdelingen of externe partijen, waar vroeger probleemloos 3rd party meuk zoals WeTransfer gebruikt werd, is dat door de AVG nu verboden.

Voor veel zaken geldt echt niet "Oh even toestemming vragen". Je hebt voor redelijk wat zaken echt een goede reden nodig om uberhaupt die toestemming te kunnen vragen.

De AVG is heel wat meer dan een papieren tijger of een kwestie van "toestemming vragen en dan is alles goed". Werknemers hebben ook veel meer privacy rechten gekregen die je niet even kunt weghalen door maar toestemming te vragen.

[Reactie gewijzigd door batjes op 23 juli 2024 03:26]

Ik sluit mij hier volledig bij aan.

Ik werk in het veld van dataverzameling voor verschillende klanten en compliancy is echt een hot topic. Niks wordt verzameld zonder een DPO erbij te betrekken en er wordt tegenwoordig vaker gevraagd "waarom willen we deze data" en "kunnen wij het verzamelen van deze data verantwoorden" alvorens deze klakkeloos wordt verzameld enkel omdat deze beschikbaar is, zoals voor de AVG het geval was.
Correct werken onder de overheid werkt het zelfde, we moeten ineens met heel veel meer dingen rekening houden.
En dat gebeurt ook, zou ook wel wat zijn als de overheid zelf het niet zou doen natuurlijk.
De belastingdienst, die voldoen volgens mij niet aan de AVG en dat erkennen ze.
Hier in Cyprus is GDPR nog niet eens geimplimenteerd in de nationale wetgeving voor overheid en semi-overheid.
Dat wordt mede ook veroorzaakt doordat de infrastructuur en het applicatie landschap bij de belastingdienst zo hopeloos ingewikkeld en op heel veel front ook zo hopeloos verouderd dat je dat niet zomaar ombuigt. Dat hun nieuwe systeem wat nog in ontwikkeling was op alle fronten afgeschoten werd heeft ook niet echt aan een verbetering bijgedragen. Dat neemt niet weg dat ze wel onder verscherpt toezicht van de AP staan ;)
Maar de echt grote problemen liggen in mijn ogen niet in even een gesprek naluisteren. Maar de bedrijven zoals FaceBook en GooGle die alles verzamelen wat los en vast zit. Zij leven van onze privacy. En het alles maar delen en doorverkopen. En de vele tracking op sites. En daar moet verandering in komen. Niet de af en toe een gesprek terug luisteren.
Facebook en Google zijn nog niet eens het ergste, dat zijn de gebruikers zelf. Die gooien bij het minste hun gegevens te grabbel voor gratis spullen/diensten of voor de likes. Vaak worden die gegevens ook nog eens publiek door ze gedeeld.
Maar ik gebruik geen facebook of Whatsapp en toch weet Facebook van alles van mij. En dat is niet erg?

En al was je klant bij ze. Dan nog is het tracken op tig websites totaal niet nodig als ik af en toe(waar ik zelf voor kies). Iets deel. Maar juist de data heb zucht is een probleem.
Tot de verzekeraar eens op jouw profiel gaat kijken en besluit dat je een te groot risico bent of dat je premie wat hoger dan gemiddeld moet zijn.

Oh kijken op jouw profiel moet je ruim zien dat kan ook met het verkopen van bv. een advertentie voor risico volle sporten waarbij jij op een advertentie klikt. Als een verzekeraar ook dergelijke profielen sponsort dan krijgen ze ook jouw data... risico volle sporten ==> medisch risico is ook hoger==> premie omhoog.
Bij ons(ik werk voor de overheid) heeft de AVG ook een enorm positieve invloed gehad(grondslag wel/niet verzamelen/opslaan/verwerken). Daarbij komt, omdat het veel raakvlakken heeft met onderwerpen als privacy(op de werkvloer in het algemeen) en (ICT)beveiliging, ook die onderwerpen veel meer aandacht krijgen als voorheen.

Maar waar Snowden waarschijnlijk op doelt zijn de grote techbedrijven. Ik heb zelf ok niet het idee dat die zorgvuldig omgaan met(onze persoons-)gegevens. Het wordt nu tijd om die gasten eens fatsoenlijk onder de loep te nemen en te toetsen. En bij overtreding van de wet keiharde boetes uitdelen. Het is natuurlijk van de zotte dat kleinere ondernemers flink hebben moeten investeren om aan de AVG te voldoen, en grote online techbedrijven maar wat aanmodderen en ondertussen via vage constructies gewoon persoonlijke gegevens delen met 3e partijen.
Je hebt gelijk dat het bij grote bedrijven die aan de regels willen voldoen, een grote impact heeft.

Maar het punt over gebrekkige handhaving blijft staan. Er lijkt amper gehandhaafd te worden en dat ondermijnt de effectiviteit.
De zaken die je opnoemt, maken vaak je werk alleen maar lastiger en leveren weinig winst op als we het hebben over veiligheid van informatie.
Ook het hele Facebook verhaal wat mensen aanhalen vind ik redelijk oninteressant en aangezien het hier gaat om gegevens die je grotendeels zelf deelt zie ik ook hier geen probleem.
Het grotere probleem is dat "mensen" blijkbaar er niet bij stil staan dat als ze hun gegevens opslaan op een cloud (microsoft, google) deze gegevens ook gelijk in Amerika liggen en je totaal geen controle meer hebt over je gegevens en of/en door welke dienst deze gebruikt worden.
Die hele AVG is eromheen gebouwd dat Amerika een partner lijkt, maar als je de fijne letters leest dan is het al te duidelijk dat Amerika aan de hand van hun FISA court ten alle tijde toegang kunnen krijgen tot jou gegevens, AVG of niet. Dus eindstand elk bedrijf, elke instantie die met een Amerikaanse Cloud dienst werkt, overtreed de AVG. Ik betwijfel ten zeerste of hier ooit wat aan gedaan gaat worden.

[Reactie gewijzigd door Freedox op 23 juli 2024 03:26]

Dat is dus niet het geval. Men mag enkel de data die strikt noodzakelijk is verzamelen en zal dit gedegen moeten motiveren.

Ik vind het niet zo positieve ontwikkeling dat de auteur van een artikel inhoudelijk gaat reageren als hij niet van de juridische hoed en rand weet.
De AVG stelt wel dat om gegevens te mogen verwerken je dat op één van zes grondslagen moet doen.
https://autoriteitpersoon...ersoonsgegevens-verwerken
De eerste is toestemming van de persoon om wie het gaat, de andere vijf beginnen allemaal met 'Het is noodzakelijk om...'.

Ligt de bewijslast dan niet bij de verwerker om aan te tonen dat het noodzakelijk is om gegeven x te verwerken?

Dit opent ook de discussie wat nu echt nodig is en wat slechts gewoonte is.
Bijvoorbeeld als je je ergens voor aanmeldt dan wordt standaard je geslacht gevraagd.
Maar is dat nu echt een noodzakelijk gegeven voor hetgeen je je voor wil melden?
De ander kan dan een passende aanhef boven een email zetten of passend icoontje bij je profiel, maar is dat echt noodzakelijk?
AuteurTijsZonderH Nieuwscoördinator @jeroen795 november 2019 10:39
Ja precies, dat doet het zeker. Dat bedoel ik ook met 'de wet verbiedt weinig'. Je mag als bedrijf heel veel verzamelen als je maar goed kunt aantonen waarom.
Maar is daarmee niet alles in beginsel verboden?
Pas als je kunt aantonen dat het noodzakelijk is het toegestaan.
Dan is de vraag hoe hoog de lat ligt voor dat aantonen.

Als ik vraag waarom een bedrijf mijn geborotedatum wil weten en het zegt dat het klanten graag een verjaardagskaart stuurt dan is dat een verklaring waarom zij dat willen.
Maar daarmee is nog niet aangetoond dat het noodzakelijk is, het is immers niet duidelijk waarom die verjaardagskaart noodzakelijk is.
De verjaardagskaart is marketing en dus voor de omzet.
Buiten dat denk ik dat het vaak een wettelijk verplichte controle is of je wel oud genoeg bent om drank, porno, 16+ games te bestellen.
Dat is de motivatie van het bedrijf maar dat maakt het nog geen rechtvaardiging op één van de grondslagen uit de AVG.
-Je hebt geen toestemming gegeven om je geboortedatum te verwerken.
-Tenzij het een verjaardagskaartendienst is is het niet noodzakelijk om een overeenkomst uit te voeren.
-Er is geen wettelijke verplichting tot het sturen van verjaardagskaarten.
-Een verjaardagskaart dient geen vitaal belang.
-Een verjaardagskaart valt niet onder het algemeen belang of openbaar gezag.
-Een gerechtvaardigd belang komt wat dichter in de buurt. Maar weegt de wens van een bedrijf om met een verjaardagskaart de relatie met de klant warm te houden zwaarder dan het recht van die klant op privacy?

Een wettelijk verplichte controle voor bijvoorbeeld drank zou een rechtvaardiging kunnen zijn.
Maar moet hiervoor de geboortedatum worden opgeslagen?
Kan het niet volstaan dat de klant aanvinkt dat hij op dat moment meerderjarig is?

Daarnaast is het de vraag of het door de klant invoeren van een geboortedatum wel het doel dient? Hij kan immers liegen.
De leeftijd zou dus geverifieerd moeten worden.
Daarna zou het volstaan om de uitkomst (ja/nee) van die leeftijdsverificatie op te slaan.
Maar marketing is niet noodzakelijk om je bedrijf te runnen(tenzij het een marketing bedrijf is). Dus nee leeftijd is dan 9/10 keer niet noodzakelijk. Wel handig.
Voorbeelden zat met het cookie beleid. Als je aangeeft dat je geen cookies wilt staan op de achtergron nog steeds een hoop trackers op de site je gedrag te snuffelen.
Of, wanneer je geen koekjes wilt wordt je gewoon niet toegelaten tot de site. Hè, Tweakers...
Als ik op mijn werkpc tweakers bezoek kan ik nog gewoon op de site, enige dat ik heb is een bannernmet: "je blokkeerd onze banners"
Dat kan. Maar ga eens incognito. Dan moet je cookies accepteren. Anders kom je gewoon niet voorbij de cookiebanner.
Met nightly in incognito met addblockers aan en dingen als duckduckgo addons ghostery etc. Kom ik er gewoon op...
Ja maar zonder wat de meeste hebben niet. En mag volgeng de wet ook niet.
https://gizmodo.com/swede...chool-piloting-1837616893

Hier wel een leuk voorbeeld van hoe dit lokaal gehandhaafd wordt. Opvallend dat dit nieuwswaardig is, terwijl er toch op grote schaal data verzameld wordt waarbij je als consument echt de twijfels zou hebben of het nodig is... als je er van op de hoogte zou zijn.
Bij het bepalen wat er nodig is voor de dienst van de web site is het, als afnemer, van belang om de juiste tool/extensies in de browser te gebruiken. Zo gebruik ik standaard ublock origin en Ghostery. Dan kom je er snel achter welke web sites zich verstoppen achter een cookies wall, doorlinken naar derden en cookies plaatsen die weinig met hun bedrijfsvoering te maken hebben. Als je dat eenmaal door hebt is de volgende stap een cookie analyser inschakelen.

Als je dan met al deze (gedetailleerde) informatie naar de AVG-lui gaat dan is de kans groot dat er wat gebeurt.
Zo is het mij gelukt om bij een bekende provider de cookies waal neer te halen en de cookeis van derden te laten schrappen.
Het werkt dus wel, maar dan moet je wel zelf het nodige onderzoek doen.
'''Noodzakelijk voor de uitvoering van de overeenkomst'' moet vrij strikt worden uitgelegd. Althans ik denk dat je aan die rechtsgrond refereert ('nodig voor je dienst'.

Aangeven dat je de gegevens nodig hebt, omdat je dienst anders niet rendabel is, is bijvoorbeeld niet voldoende voor de rechtsgrondslag 'noodzakelijk voor de uitvoering van de overeenkomst'.

Je moet objectief kunnen vaststellen dat er een bepaalde noodzaak bestaat. Leesvoer over de normuitleg over dit onderwerp: https://edpb.europa.eu/ou...data-under-article-61b_nl
Zolang je als bedrijf aangeeft
  • welke informatie je verwerkt
  • waarvoor je deze informatie verwerkt
  • hoe lang je de gegevens bewaart
mag er heel veel. Vooral als het geen bijzondere persoonsgegevens zoals ras, geloof of seksuele voorkeur betreft.

Uiteraard zijn er voorwaarden, zoals dat het in een keer duidelijk moet zijn wat het bedrijf bedoelt en mogen er geen gegevens uitgevraagd worden die niet noodzakelijk zijn voor de dienstverlening. Die twee zijn betrekkelijk eenvoudig in te vullen.

Kijk naar de cookie consents, niemand leest ze. Als je doorklikt krijg je weliswaar vaak leesbare informatie, maar ook een boel 'gedoe'. Daarom klikt iedereen op OK om maar door te kunnen. Dat gebeurt ook bij het gebruik van andere diensten.

Vanuit de aanbieder is er ook nog een afweging voor de gebruikservaring. Als je alles uitvoerig uitlegt aan klanten, onderbreekt dat de onboarding en dat is slecht voor business. Dus worden veel teksten bijna gebagatelliseerd eenvoudig opgeschreven, zodat het doel voorbij gestreefd wordt.

Gisteren nog een mooi rapport gelezen van PWC dat consumenten huiverig zijn om hun betaalgegevens met techgiganten te delen. Ondertussen delen we allemaal (ik net zo goed) onze andere gegevens.

Snowden heeft wat mij betreft gelijk: als de boetes geen pijn doen, verandert er niets. Het is een cultuurverandering die we zouden moeten willen bewerkstelligen. Misbruik van gegevens zou de uitzondering moeten zijn in plaats van de regel.
Vergeet niet dat je de data die je verzameld ook moet beveiligen, in de UK zijn al miljoenenboetes uitgedeeld waar de data gelekt was.
De boetes zijn er vooral voor wanneer er sprake is van grove nalatigheid of wanneer je niet hebt voldaan aan de meldplicht. Het lekken van data en het melden daarvan betekent niet direct dat er ook een boete uit voort gaat vloeien. Het lekken van data kan immers ook op basis van een nog niet eerder ontdekte lek in sofware of een onderdeel van je hardware.
Klopt, maar als je je best gedaan hebt het te voorkomen en netjes meld krijg je dus geen boete, heb je dat niet gedaan, dan krijg je die boete wel.
Mensen zijn vooral zelf de veroorzaker van het vrijgeven van zoveel data. Er zijn er genoeg bij die elke scheet publiek zichtbaar online knallen in het kader van alles voor de likes. Waarbij je met een minimale inspanning en zonder speciale tools een redelijk duidelijk beeld kan schetsen van de gewoontes enz.
Het gaat niet op die ene foto. Het gaat om wat Facebook met al die data uit die foto doet.
Er worden vigilantism veel ‘conclusies’ uit die foto’s gehaald waar je amper weet van hebt.
Of je nummer.
Je contacten.
Je locatie.
Je verwarming.
Je microfoons in je huis.
Weet niet of het mag van de AVG maar als je kijkt wat bv google over je bijhoud is dat idd meer spioneren dan dat de data functioneel nodig is.

https://takeout.google.com/settings/takeout?pli=1

Dit is een voorbeeld, apple, samsung of bv AH zijn niet beter in deze.
Als zijn er vaak toch wel manieren te bedenken waardoor het spioneren niet meer zo gemakkelijk gaat. In het geval van de AH kan je er bijvoorbeeld voor kiezen op je kortingskaart niet te koppelen aan je gegevens. Zo staat mijn bonuskaart niet gekoppeld aan mijn persoonsgegevens, niet gekoppeld aan mijn airmiles kaart enz. Dus ja ze houden bij wat mijn bonuskaart in het verleden heeft gekocht maar nee die kunnen ze niet koppelen aan een echt persoon.
Klopt met wat moeite kun je al veel beperken, helemaal voorkomen is onmogelijk gemaakt tegenwoordig. Andere product of winkel heeft hetzelfde en is dus geen optie omdat je toch igv AH je boodschappen wil doen, doen ze het niet met een klantenkaart dan wordt het gedaan mbv wifi of bluetooth trackers.

De oplossing is een wet die zegt dat er geen data verzameld mag worden die niet functioneel nodig is om het programma te laten werken, en dat alle prive data na gebruik direct gewist moet worden. Dit houd bv wel in dat je savegames wel weer lokaal opgeslagen gaan worden.
Als jij in 1 transactie je bonuskaart gebruikt, je airmilespas scant en vervolgens met pin afrekent, vindt AH het prima dat jij een anonieme bonuskaart gebruikt.

Dit gaat trouwens op voor een hoop zaken...de tijd van anoniem door het leven gaan kost je tegenwoordig serieus veel moeite.
Volgens mij als je maar 1 keer je airmiles kaart samen gebruikt met je bonus kaart, heeft het systeem bij AH je al gelinkt. Data verzamelen gaat niet meer met tabelletjes die per activiteit worden ingevuld maar holistisch als geheel.
Dus AH heeft ook je pinpas en je telefoon (via wifi tracker) gekoppeld aan je bonus kaart en airmiles kaart.
Het enige dat men niet heeft gedaan is je gegevens van je bonuskaart direct kopiëren naar de airmiles kaart (oftewel of de oude relationele database manier).
Op de Big Data verzamelmanier wordt alles automatisch gecombineerd op basis van timestamp. Misschien niet in 1 keer als je bij de AH bent geweest (er zijn immers meerder mensen met een telefoon als jij je bonus kaart gebruikt) maar na 3 keer weet het systeem toch erg zeker welke telefoon bij jouw bonus kaart hoort.
Nu kun je wel de wifi van je telefoon uitzetten (altijd een goed idee), maar in theorie kunnen ze je dan nog oppakken door bluetooth of door een 4G femtocel te plaatsen (of hun gegevens te combineren met een stream van Vodafone/KPN met de dichtbij de mast.
Big Data is erg machtig.
Dus geen bonuskaart gebruiken als je dit niet wilt. Bij elke AH bij de kassa hebben ze een bonus kaart toets die ze kunnen indrukken om jou ook de bonus korting te geven.
Maar dan ook geen airmiles kaart, wifi/bluetooth/location op je telefoon en ook geen pinpas. Bijna onmogelijk dus.
Nu kun je wel de wifi van je telefoon uitzetten (altijd een goed idee), maar in theorie kunnen ze je dan nog oppakken door bluetooth of door een 4G femtocel te plaatsen (of hun gegevens te combineren met een stream van Vodafone/KPN met de dichtbij de mast.
WiFi en bluetooth staan gewoon lekker helemaal uit. Ook geen behoefte om met gratis wifi netwerken te verbinden. De onbeperkte 4G doet prima dienst. Het is sowieso af te raden gratis wifi te gebruiken aangezien je nooit weet wat er in het netwerk staat te draaien.
Thuis geen zin om steeds de wifi weer aan te zetten (geen onbeperkt 4g hier, scheelt ongeveer 20 euro p/mnd voor 2 telefoons). De blauwe tand is in de auto noodzakelijk en daar is steeds uitzetten ook geen optie. Weer een geval van het niet bruikbaar zijn van diensten als je privacy wil bij bedrijven waar je niets aan hebt.

Je punt over openbare wifi ben ik zeker met je eens, maar als we buiten europa op vakantie zijn, is het hotel wifi toch wel erg prettig.
Bluetooth en mijn hotspot schakel ik altijd handmatig in voor de auto. Deze zijn inderdaad deels noodzakelijk om lekker spotify te kunnen luisteren op de android autoradio en om de radio als carkit te kunnen gebruiken.

Voor het buitenland koop ik zelf meestal een prepaid sim. Een maand onbeperkt alles in de USA was $50. Al zijn dat wel bewuste keuzes omdat ik op zo'n moment bereikbaar moest kunnen blijven.
Je kunt Bluetooth in veel moderne auto's niet eens uitzetten. Dat is op zich al een beveiligingsrisico, (en sommige autofabrikanten noemen een gezondheidsrisico bij pacemakers en andere medische apparatuur), maar het maakt ook mogelijk dat je auto gevolgd wordt en dat wordt in de praktijk al jaren gedaan door kastjes langs de weg.

Auto's registeren ook veel informatie, waaronder GPS locaties en die wordt uitgelezen bij onderhoud of via een simkaart in de auto.

Dus zowel de fabrikant, garaga als onbekende derden kunnen bijhouden waar je je begeeft. Dat lijkt mij geen noodzakelijke informatie. Er is ook geen technische noodzaak om Bluetooth aan te zetten of op GPS locaties altijd de registreren. Het is meer een kwestie van "het kan, dus doen we het". En inmiddels is het: "dat doen we altijd al zo". Of "ik wist het niet".

Digitale energiemeters verzamelen ook een teveel aan informatie. Ze registreren zelfs per 15 minuten wat het verbruik is. In feite legt dat je leefpatroon bloot, hoe laat je opstaat, naar bed gaat, of je thuis bent. Dat is uitvraagbaar op de meter door de controleur. De noodzaak daarvoor zie ik niet, want dit soort informatie is niet nodig om bijvoorbeeld tariefswijzigingen toe te passen of om te zien of de meter oploopt.
maar de AH hoeft dit niet te doen om jouw boodschappen te kunnen verkopen. Die kunnen dus in principe een boete krijgen ter hoogte van een bedrag dat ze ermee op houden
Valt best mee hoe streng de AVG is. Mensen en bedrijven schieten vaak direct in de stres wanneer AVG wordt genoemd, maar het gaat vooral om dat je op een juiste wijze gegevens verzameld en deze op de juiste wijze wijze veilig op slaat.

Ik werk bij een onderwijsinstelling dus wij verzamelen verplicht (in opdracht van de overheid) onwijs veel gegevens. Ook bijzondere persoonsgegevens. Het gaat er om dat je goed nadenkt welke gegevens er benodigd zijn (niet meer dan wat nodig is), waar je deze op gaat slaan en voor hoe lang (niet langer dan nodig), dat er alleen personen toegang tot de gegevens hebben die daar ook daadwerkelijk bij zouden moeten kunnen (bijvoorbeeld geen BSN zichtbaar voor een docent maar wel voor studentenadministratie), hoe je deze gegevens zo veilig mogelijk opslaat (netjes systemen up to date, encryptie enz.) en met wie je eventueel welke gegevens deelt (met onder water bewerkersovereenkomsten).

Als jij een Google, FB, enz toestemming geeft voor het opslaan en verwerken van bepaalde data dan mogen ze ook binnen de AVG deze gegevens gewoon verwerken. Wat niet mag is zomaar jouw gegevens delen met bedrijven anders dan waar jij toestemming voor hebt gegeven.

Anders dan wat Snowden roept is de AVG niet alleen een papieren tijger. De AVG heeft er namelijk ook voor gezorgd dat bedrijven wat bewuster met je data om gaan. Ook "slingert" je data niet meer overal rond. Afhankelijk van het soort gegevens dient het binnen de grenzen van de EU te blijven of zelfs binnen de landsgrenzen. Bedrijven komen ook niet langer ongezien weg met een datalek. Je bent het verplicht om te melden. En doen er zich vaker datalekken voor bij je bedrijf door nalatigheid (zoals flink achter lopen op updates) dan zal er strenger toezicht volgen.

Wat de grote tech bedrijven doen wordt tegenwoordig wat sneller tegen het licht gehouden en dat is wel iets waar de AVG aan bijgedragen heeft.
Note, als je geen toestemming voor bepaalde datadeling geeft, is soms het product gewoon niet meer bruikbaar. Denk hierbij aan bv slimme speakers ed.
Tja als je als student bij ons je gegevens niet wil delen dan kan je hier ook niet studeren. Dat is nu eenmaal een voorwaarde aan het afnemen van de dienst, je opleiding.

Dat is hetzelfde als dat je van mening bent dat de slimme speaker niet je stem mag opnemen maar dat je ondertussen wel verwacht dat de speaker nog steeds stem commando's kan verwerken. Voor sommige diensten zijn er nu eenmaal bepaalde toestemmingen nodig. Neemt niet weg dat de speaker ook kan zonder dat een medewerker jouw stem opnames beluisterd. Dat zou eerder een optionele toestemming moeten zijn dat jij akkoord gaat dat jouw gegevens gebruikt worden om het product te verbeteren.
Dat is precies wat ik bedoel
Tja maar als je dat niet wil dan koop je in het geval van de speaker een normale audio set/speaker.

Dat is hetzelfde als voor de opleiding, daarvan vereist de overheid (duo/belastingdienst/etc) nu eenmaal dat wij bepaalde gegevens vastleggen van studenten. Dat is nu niet omdat wij als opleidingsbedrijf nu zo graag het BSN nummer van een student willen weten. Geven we die gegevens niet door dan krijgt de student geen studiefinanciering en wij geen subsidie. En aansluitend zou je dan nog gezeur krijgen met de belastingdienst.

We hebben zelfs redelijk lang aan strijd tegen duo gevoerd omdat we verplicht werden van alle studenten een kopie paspoort/ID te vragen en vast te leggen. Na jarenlange strijd mogen we tegenwoordig de identiteit vaststellen en daarna het document samen met de student/ouders/leerbedrijf ondertekenen en is dat afdoende.

Bij ons staat wel duidelijk vermeld welke gegevens van je vastgelegd worden als student en waar deze voor gebruikt worden.
Vanuit mijn werk veel te maken met AVG. Ben het eens dat het een papieren tijger / wassen neus is...
Foto's van het schooluitje delen met de ouders is ineens een huge issue! Maar een groot commercieel bedrijf/(overheids)instantie kan gewoon privacy gevoelige data opslaan waar ze willen als ze maar ergens vastleggen dat het noodzakelijk is want <vul een willekeurige drogreden in>.

Zelf meegemaakt (zal geen bedrijfsnaam noemen)... Allerlei persoonlijke data (BSN, namen, adressen) werden in een database vastgelegd welke daar volstrekt niet nodig was. De data was al ergens anders netjes vastgelegd. Maar ja - dan moest er iedere call die data opgehaald worden en zou er een performance uitdaging liggen. In plaats van dat performance issue op te lossen werd alle data dus gewoon gekopieerd en vastgelegd (en geloof me: zonder gedegen plan m.b.t. bewaartermijn etc. immers: betreffende software draait nog maar een paar jaar - waar heb ik dat eerder gehoord? En werden die paar jaar ineens toch 10-20 jaar...??). Is langs de privacy officer geweest, gewoon akkoord bevonden. Niks aan het handje. ... Of bij een overheidsorgaan (nota bene in de veiligheidsketen) waar op de testomgevingen gewoon productiedata te vinden is... Niks gemaskeerd/geanonimiseerd. Kennelijk is dat te ingewikkeld voor deze complexe omgeving. Voldoende reden, dus: akkoord bevonden.

Het is natuurlijk volstrekt bezopen dat dit soort dingen wel mogen (soort van) en die foto's van het schooluitje niet...

[Reactie gewijzigd door kazz1980 op 23 juli 2024 03:26]

Vanuit mijn werk veel te maken met AVG. Ben het eens dat het een papieren tijger / wassen neus is...
Foto's van het schooluitje delen met de ouders is ineens een huge issue!
Valt wel mee hoor. Als je dit als school of als vereniging gewoon netjes van te voren vraagt dan is er geen probleem. Het moet trouwens wel een opt-in zijn. Je mag niet om toestemming vragen en dan alvast de "ja" aangevinkt hebben staan. Is bij ons gewoon een extra veld op het inschrijfformulier / onderwijsovereenkomst geworden.
Tja... Maar op iedere school zijn er wel een paar ouders die het vinkje niet zetten - en dan moet dus iedere foto onder de loep genomen of toevallig dat ene kind er op staat... Bijna niet te doen - dus worden in de praktijk vaak foto's maar niet meer gedeeld. Gaat natuurlijk helemaal nergens over! Ook helemaal niet waar die wet voor bedoeld is. Dat was juist voor die bedrijven en organisaties die zich er dus totaal niet aanhouden omdat je er prima mee weg komt door ergens een documentje te hebben liggen met een vaag verhaal waarom het allemaal wél zou mogen.
Ik merk het bij mij op werk. Dit wordt:
1) niet goed geimplementeerd (veel te omslachtig en veel te veel papierwerk)
2) FG krijgt veel teveel werk op zich in een grote organisatie met veel verschillende diensten en systemen
3) Wisselingen van AB en FB op systemen

Het heeft echt 0 kans van slagen. Het is wel goed dat mensen bewust gemaakt worden en enkel bv toegang krijgen tot data op need-to-know basis. Iets wat bij overheidsinstanties vaak vergeten wordt... want lekker makkelijk ;-)
Het is een beetje raar om Edward Snowden als autoriteit op het gebied van privacy te zien, ook al heeft hij flink wat spraakmakende documenten naar buiten gebracht. Maar goed, ergens heeft hij een punt aangezien je nog altijd flink wat gegevens kunt verzamelen zolang je maar aangeeft waarom je het verzamelt.

Maar desondanks is het alsnog een behoorlijk belangrijke stap in de goede richting, en opent dit de weg voor sterkere wetgevingen op de lange termijn. Ik denk persoonlijk niet dat het even goed werd ontvangen als we direct strenger dan dit bezig zouden zijn. Babystapjes. Plus dit is nog altijd een betere wetgeving dan die in andere landen (als er al een wetgeving is), hopen dat meer landen ook overstag gaan.
AuteurTijsZonderH Nieuwscoördinator @stuiterveer5 november 2019 09:54
Het is een beetje raar om Edward Snowden als autoriteit op het gebied van privacy te zien
Waarom vind je dat?
Ook al heeft hij een goede stap gemaakt om openbaar te maken wat er met je gegevens werd gedaan vanuit de NSA, het feit dat hij voor al z'n privacygerelateerde quotes aangehaald wordt door de media (dan heb ik niet enkel over Tweakers overigens, het is geen steek naar jullie - of zelfs Snowden zelf - toe) voelt een beetje als talkshows waarbij BN-ers hun plasje doen over elk onderwerp over de zon.

Maar goed, het verandert niks aan het feit dat hij over de AVG absoluut een punt heeft.

[Reactie gewijzigd door stuiterveer op 23 juli 2024 03:26]

AuteurTijsZonderH Nieuwscoördinator @stuiterveer5 november 2019 10:01
Ja ik snap je punt. Ik twijfelde ook wel een beetje voor ik dit schreef, maar uiteindelijk vind ik Snowden wel genoeg autoriteit op dit gebied om hier iets zinnigs over te zeggen. We moeten inderdaad niet alles uit zijn mond klakkeloos overnemen, maar als hij iets boeiends zegt vind ik dat hij zeker wel de kennis en autoriteit heeft om dat serieus te nemen. Privacy is z'n werk nu.
The Identity Fallacy (also Identity Politics; "Die away, ye old forms and logic!"): A corrupt postmodern argument from ethos, a variant on the Argumentum ad Hominem in which the validity of one's logic, evidence, experience or arguments depends not on their own strength but rather on whether the one arguing is a member of a given social class, generation, nationality, religious or ethnic group, color, gender or sexual orientation, profession, occupation or subgroup. In this fallacy, valid opposing evidence and arguments are brushed aside or "othered" without comment or consideration, as simply not worth arguing about solely because of the lack of proper background or ethos of the person making the argument, or because the one arguing does not self-identify as a member of the "in-group."
Precies wat je zegt. Het zou niet uit moeten maken wie het zegt. Zolang diegene een punt heeft. Ookal was het de leider van IS om het zo maar te zeggen.
Helaas is het niet voor iedereen mogelijk om emoties los te koppelen van de daadwerkelijke boodschap. Dat zie je helaas overal. Een goed voorbeeld daarvan is onze tweede kamer waar het soms net een kleuterklas lijkt te zijn.

Los wat mensen van een Wilders of een Baudet vinden roepen ze heel soms toch echt wel eens iets zinnigs. Maar doordat zij op dat moment de boodschapper zijn gaat het niet meer om het onderwerp maar om wie het gebracht heeft.
Dat is dan ook het hele politieke spelletje dat er in beide voorbeelden die jij geeft gespeeld wordt.
Na wilders zijn flinke winst was hij een racist.
Na baudet zijn flinke winst leek hij op hitler.

Inderdaad jammer dat weinig mensen door dit soort dingen heen kunnen kijken.
Al zijn dat dat beide dan nog zijn er momenten dat ze wel iets zinnigs roepen.

Goed voorbeeld is het geval waarbij 2 militaire sneuvelde door ondeugdelijk materiaal. Vervolgens spreekt Baudet (na overleg met de betrokken families) in de uitrusting waar ons leger mee op pad gestuurd wordt. Ook toont hij wat de gemiddelde airsofter draagt. Vervolgens gaat de hele discussie over dat hij in die kleding daar staat en hoe schandalig de andere kamerleden dat wel niet vinden. Maar de daadwerkelijke boodschap dat NL militairen met troep rondlopen waar een airsofter nog zijn neus voor ophaalt dat is niet belangrijk.

En dat is ook een beetje wat je nu met Snowden ziet. Iedereen valt er over wat Snowden allemaal fout gedaan zou hebben om ondertussen maar even de goede punten welke hij aan de kaak stelt te vergeten/negeren. Ja het publiceren van alle documenten had hij destijds best beter kunnen doen, maar dat doet niets af aan het verhaal dat hij zich hard maakt om misstanden aan de kaan te stellen. Zoals het beschieten van burgers met die gevechtshelikopter.

Snowden zit in het artikel er op een paar punten wel iets naast naar mijn mening, maar dat maakt de onderliggende boodschap dat de grote techbedrijven wel heel veel data binnen slepen niet minder belangijk.
Het gaat er niet om dat Snowden die informatie destijds naar buiten had gebracht. Dat de misstanden aan de kaak gesteld werden was super. Het gaat meer over de omvang van wat er tegelijk vrijgegeven werd en dat op het laatst er weinig gegevens meer afgeschermd werden welke mensen direct in gevaar konden brengen. Daar heeft hij veel credits bij mensen mee verloren
Onzin natuurlijk, als er op deze schaal misdaad wordt gepleegd.

Er is een enorme hypocresie in onze maatschappij. Als de VS een land als Korea binnenvallen en daar even 2 miljoen de dood in jagen dan ligt niemand daar wakker van. Als ze dat nog vele malen herhalen in andere landen ook niet. Als iemand uit de doeken doet hoe weinig de machthebbers aan de eigen bevolking laat liggen en hun rechten schendt, reageert men: Hij brengt misschien levens in gevaar.

Dan ineens telt het argument van levens, maar enkel om critici buiten spel te zetten.
Deze machthebbers geven niets om levens of het levensgeluk van mensen.
Laten we eens ophouden met die moralistische schijnheiligheid en dingen in de werkelijke verhoudingen zien.

Wees geen naprater van de media want dan wordt je in feite een handlanger die ze helpt om dit soort wantoestanden toe te dekken. En daardoor gaat het ook gewoon door. De daders zijn niet gestraft, de praktijken zijn gelegaliseerd, en de klokkenluiders gecriminaliseerd.

Weet je echt zeker dat je met deze lui in bed wil liggen. Daredevil?

[Reactie gewijzigd door Elefant op 23 juli 2024 03:26]

Zo te horen heb je last van wat complot theorieën. Ik wens je veel succes, daar ga ik niet in mee. Het gaat gewoon om een stukje gezond verstand ipv de doemdenkers na te praten zoals je zelf aan het doen bent.
Je bedoelt dat de inval in Korea in anderen landen nooit gebeurd is en dat de dingen die Snowdon gemeld heeft niet waar zijn? Dat de schuldigen wel gestraft zijn. Dat Snowdon niet heeft moeten vluchten en dat Assange niet gevangen is gezet. Dat de Westerstese landen geen wetten hebben aangenomen om het klokkenluiders moeilijker te maken.

Je bent in de war complotten en complottheorieen is het werk van geheime diensten. Wat Snowdon en Wikileaks naar buitengebracht hebben zijn feiten. Geheime diensten willen graag alles af doen als complottheorie, maar de werkelijkheid bleek de verdenkingen ver te overstijgen. Het is geen theorie meer, het is nu FEIT.

Om dan de schuld bij de boodschapper te leggen ...
Lees jij wel waar je op reageert? Ik heb nergens gezegd dat de info die door Snowden naar buiten gebracht is niet klopte of niet had gemoeten. Het had alleen iets gefilterd mogen worden als in namen in lopende operaties in de publicaties weg halen. Dat is in het begin gebeurd, daarna werd het archief in zijn geheel beschikbaar gesteld.

Maar zet je aluhoedje op ;)
Lees jij wel waar je op reageert? Ik heb nergens gezegd dat de info die door Snowden naar buiten gebracht is niet klopte of niet had gemoeten. Het had alleen iets gefilterd mogen worden als in namen in lopende operaties in de publicaties weg halen. Dat is in het begin gebeurd, daarna werd het archief in zijn geheel beschikbaar gesteld.
Je bent niet goed op de hoogte. Snowdon heeft niet gepubliceerd, hij heeft een aantal zeer reputablele Journalisten geselecteerd en die informatie ter beschikking gesteld, die hebben bepaald wat zij vrij gaven. Dat is de normale gang van zaken.
Maar zet je aluhoedje op ;)
Tja

[Reactie gewijzigd door Elefant op 23 juli 2024 03:26]

Omdat het geen jurist is, hij niets meer weet over Europese regelgeving dan een willekeurig ander persoon en als Amerikaan in Rusland wonende een technische achtergrond heeft. Het heeft wat dat betreft dus geen waarde en hij is hierin ook geen autoriteit.
Hetgeen wat hij zegt is ook niet iets dat hij alleen roept, er zijn er meer die er op deze manier over denken en hoogstwaarschijnlijk zit er ook wel wat in.
Hoe weet je dat hij niets meer weet over de Europese regelgeving? Misschien heeft die het wel weken lang bestudeerd...

Daarnaast, iets wat hij roept heel veel meer impact dan iets wat jij of ik roepen. Op basis daarvan mag hij best als autoriteit genoemd worden.
Misschien heeft die het wel weken lang bestudeerd…
Uit zijn uitspraken blijkt het tegendeel.
GDPR legt heel veel beperkingen op voor persoonsgegevens en goede regels voor minder gevoelige gegevens.
Hij doet alsof dat niet het geval is, en dat is aantoonbaar onjuist. (Dat is duidelijk voor iedereen die zich er ook maar een klein beetje in verdiept heeft)

Of er streng genoeg gehandhaafd word is een totaal andere discussie.
Daarnaast, iets wat hij roept heel veel meer impact dan iets wat jij of ik roepen. Op basis daarvan mag hij best als autoriteit genoemd worden.
Nee, natuurlijk niet. Op basis daarvan kan je het wellicht nieuwswaardig vinden. Maar als een zeer bekend iemand zonder kennis wat roeptoetert, dan is hij/zij geen autoriteit. Hoeveel impact het ook heeft.

Net zoals film/popsterren die iets roepen over een onderwerp waar ze geen verstand van hebben geen autoriteit zijn. Ook al zijn er genoeg mensen die ze napraten alleen maar omdat ze bekend zijn.
Iets waar weinig twijfel over is is Snowden's integriteit. Ik zou een whistleblower een stuk eerder vertrouwen dan een overheids medewerker of een privacy "expert".

De hele autoriteits titel stelt niks meer voor tegenwoordig. Elke idioot kan zichzelf een expert noemen al is het slechts om te lobbyen in rechtbanken. Zie bijvoorbeeld Louis Rossman's right to repair rechtzaken waar tig aantal experts voor Apple en andere corporate bedrijven komen lobbyen.
Ik snap de reactie wel. Als je dit bericht van gisteren leest bijvoorbeeld: nieuws: Zorgverzekeraar Menzis moet 50.000 euro betalen voor overtreding priv.... Zolang de boetes laag blijven, zal er niks veranderen. Maar wanneer zo'n boete een duidelijk impact gaat hebben op de jaaromzet ofzo dan zal een bedrijf ook veel meer gemotiveerd zijn om de situatie te veranderen.
De boetes liggen toch iets anders bij de GDPR

Hier een overzicht (iemand houdt die bij , blijkbaar )
https://www.dailybits.be/...-gdpr-boetes-rechtszaken/

En dan de eerste boete in NL bedroeg 460k aan een hospitaal
nieuws: Autoriteit Persoonsgegevens deelt AVG-boete van 460.000 euro uit aan ...

Violators of GDPR may be fined up to €20 million, or up to 4% of the annual worldwide turnover of the preceding financial year, whichever is greater.
https://gdpr.eu/fines/

[Reactie gewijzigd door OxWax op 23 juli 2024 03:26]

Je moet niet vergeten dat het nog om de "oude" privacywetgeving ging bij de zaak van Menzis, de WBP niet de AVG. De boetes van de WBP liggen beduidend lager dan die van de AVG.
Wanneer je het bericht leest dan is daar te lezen dat ze wel aanpassingen gemaakt hadden maar te weinig en te laat. Daarbij was de boete ook niet onder de AVG maar dateert nog uit de tijd van de WBP ;)
De AVG heeft veel bedrijven wakkergeschud en aan het werk gezet. Je merkt dat in algemene zin dat veel bedrijven meer nadenken over privacy nagedacht dan destijds met de WBP (voorganger van de AVG).

De vraag is of de bedrijven die 'geld' verdienen met dataverzamelen wel wakker geworden zijn. Tot op heden toe vraag ik me dat af......
Boetes van enkele duizenden (tot honderden duizenden) euro's zijn voor soort organisaties kosten die ze op de koop meenemen. 4% bijv van de wereldwijde jaaromzet wordt zou daarentegen wel gevoeld worden. Moet het wel toegepast worden.

EDIT: en dat verzamelen verhaal klopt geen hout van. Je mag alleen data verzamelen zolang er een aantoonbaar, proportioneel en gerechtvaardigd doel is!

[Reactie gewijzigd door Squishie op 23 juli 2024 03:26]

Inderdaad, aardig wat bedrijven die nu wakker zijn. Echter mogen de boetes nog wel wat hoger om nog meer bedrijven wakker te schudden.
Dus als je doel is om een profiel op te stellen van een persoon voor marketing en reclame, mag je dus alle data verzamelen van die persoon. En mits je de data goed beschermd en de juiste procedures hebt, alles conform de GDPR.
Het is bij ons nu zelfs zo dat er op onze toegangsbadges geen naam meer staat, enkel een personeelsnummer.
Langs de andere kant zit de facturatiedienst bij ons maar aan te dringen dat we zoveel mogelijk identiteitsgegevens verzamelen die het factureren sneller kan laten gaan (bij ongevallen/aanrijdingen op spoorwegdomein). Wij weigeren dit categoriek, wij leveren een pv-nummer en dat dan de juridische dienst zijn werk maar doet.
"en dat verzamelen verhaal klopt geen hout van. Je mag alleen data verzamelen zolang er een aantoonbaar, proportioneel en gerechtvaardigd doel is!"

Voor de techgiganten is het doel om alles (alles!) te verzamelen. Zij beschouwen dus "alles" als gerechtvaardigd. Dat is waar Snowden op doelt.
Dat, in combinatie met de Patriot Act.
Ook al hebben mensen niets et Snowden, iemand moet gewoon zeggen hoe het is, precies zoals hij zegt, het probleem is dataverzameling, niet databescherming.
De AVG is gewoon een wassen neus, het moet gewoon zo geregeld worden:

Wil je dat bedrijven jou data gebruiken ? ja of nee

Is het nee dat kom je op een lijst en kunnen die algoritmes jou mooi eruit filteren klaar..
Edward Snowden wat een held is en blijft het in mijn ogen, iemand die de waarheid teminste naar buiten durft te brengen. Waren er maar meer die dat deden
Alleen wel jammer dat die in dit geval onzin uitkraamt, in ieder geval wat de Nederlandse implementatie betreft - geen idee namelijk of die strenger is dan de Europese verordening
Naar mijn mening is die hele AVG een stap in de goede richting, maar levert het vooral juristen een hoop extra werk op. Zolang je niet aan de bijzondere persoonsgegevens komt (seksuele voorkeur, religie, gezondheid etc) dan kun je heel ver gaan. Neem bijvoorbeeld Facebook of Google, de mensen vullen zelf die data in, het is in de meeste gevallen niet eens verplicht. Waar Facebook en Google dan weer op moeten letten is dat ze die data niet gebruiken voor andere doeleinden dan waar het voor bestemd zou zijn.

En dat is nogal een grijs gebied. Het lijkt me logisch dat in een ziekenhuis niet iedere medewerker zomaar door de dossiers mag bladeren, maar als ik mijn contactgegevens publiek maak op Facebook, of aangeef dat de ene app best mijn profieldata mag uitlezen, dan kun je dat moeilijk Facebook kwalijk nemen. In feite is er niets veranderd, behalve bij een aantal instanties zoals ziekenhuizen, zorgverzekeraars, universiteiten en andere clubs die echt met data aan de slag moeten, daar is het een stuk ingewikkelder geworden.
Verklaar je nader, want voor zover ik weet en de auteur ook aangeeft, slaat Snowden hier wel de spijkers op z'n kop.
Hij is een rolmodel in een script en zorgt ervoor dat echte klokkenluiders van het toneel blijven.
Welk script en wie zijn de echte (volgens u?)
Graag bronnen ook ...
De afwezigheid van iets wat echt is... Wat heeft Snowden de afgelopen 10 jaar bereikt?

"bewustwording" :+
Het is allemaal papier en heeft weinig tot geen effect. Zie het als een FEBO bal uit de muur. Aan de voorkant zit het potdicht en krijg je alleen de bal waarvoor je betaald hebt. Aan de achterkant is het volledig open en kan de vuller er meer doen wat deze wil.

Als ik bij de data wil, zou ik een medewerker van mijn bedrijf bij 'FEBO' laten solliciteren en de data laten ophalen, op welke manier dan ook.

Denkt er nou echt iemand serieus dat er bij Google, facebook of welke andere content verzamelaar geen geheime-diens medewerkers van welk land dan ook werkt? Het is bij uitstek de manier om buiten de wettelijke kaders om aan gegevens te komen.
Niet nodig. We hebben dataretentie, het sleepnet en een publiek wazig gemaakte definitie van opsporing...
Ja dat ben ik er wel een beetje mee eens. Volgens mij levert het vooral heel erg veel administratie en belasting op voor 'normale bedrijven en instanties' (waarvoor data geen onderdeel is van de business) terwijl het het stukje privacy waar mensen zich echt druk over maken waar de googles, Amazon's en ieder willekeurig Chinees tech bedrijf (in opdracht van Peking) in zit te roeren nauwelijks adresseert.
Helemaal gelijk. Er gebeurt weinig. Handhaving moet vele malen strenger gaan gebeuren.

Maar jaarlijks die boete van 4% omzet... is dat genoeg? Ik ben bang dat bedrijven als Google en Facebook dat gewoon als een soort extra belasting zien. Alle ads gewoon 4% duurder en het is opgelost. Het zou het eerste jaar 4% moeten zijn, bij voortzetting het jaar daarop 8%, het jaar daarop 16% en zo door. Dan is het snel gebeurd.
of je neemt gewoon verzekering

Bij de aansprakelijkheid AVG verzekering verzekert u zichzelf niet voor het niet voldoen aan regelgeving maar voor handelen of nalaten in het kader van de beroepsactiviteiten. Een eventueel incident moet gemeld worden op de cyberverzekering waarna u wordt bijgestaan door met de verzekeraar samenwerkende gespecialiseerde bedrijven die u zullen adviseren en begeleiden.

https://www.doorneweerd.n...eid/aansprakelijkheid-avg
Het enige wat helpt is een (tijdelijke) ban/verbod op het opereren binnen NL/EU. Dat zou je als overheid ook nog kunnen opleggen dat facebook geen reclame mag richten op NL/EU gebruikers. Maar dit gaat nooit gebeuren.

Het probleem is dat bedrijven als Google en facebook nu al zo beleidsbepalend en beleidsondermijnend zijn door de positie die ze nu al maatschappelijk hebben gecreerd - met medewerking van die zelfde overheden.

Neem nu een bedrijf als facebook. Een (tijdelijk) verbod zal naast politiek electorale concequenties ook maatschappelijk grote concequenties hebben. Er is dus geen politiek bestuurder/partij/ministerie die dit voor gaat stellen.
Of naast de boete ook de illegaal verkregen omzet terugvorderen.

Dan gaat het bij zulk soort partijen ineens om 100% van de meerjarige omzet.
Voordat we bepalen of het genoeg is, laten we eerst gaan uitdelen. Dat is het eerste probleem, er worden geen boetes uitgedeeld.

Op dit item kan niet meer gereageerd worden.