Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Stichting dient massaclaim in tegen Salesforce en Oracle wegens overtreden AVG

De Nederlandse stichting The Privacy Collective heeft een collectieve schadeclaim voor privacyschendingen door Salesforce en Oracle ingediend. De stichting claimt dat de bedrijven de AVG-regels overtreden.

The Privacy Collective claimt dat Oracle en Salesforce met speciaal vervaardigde cookies op grote schaal gegevens van bezoekers van hun sites verzamelen en deze combineren met andere data om miljoenen profielen van personen, waaronder Nederlanders, op te bouwen. "De miljoenen profielen worden onder andere gebruikt voor het aanbieden van gepersonaliseerde online advertenties en onrechtmatig gedeeld met talloze commerciële partijen, waaronder advertentiebedrijven", stelt de stichting.

Omdat Oracle en Salesforce hier geen toestemming van gebruikers voor vragen, handelen ze in strijd met de Algemene Verordening Gegevensbescherming, luidt de claim. De stichting kiest voor een collectieve schadeclaim bij de gang naar rechter en vraagt internetgebruikers om via zijn website hun steun aan te geven. The Privacy Collective stelt dat 'op basis van het aantal gedupeerden' de totale omvang van de schade kan uitkomen op 'meer dan tien miljard euro'.

Gebruikers hoeven zich nog niet aan te melden of hun steun uit te spreken om voor compensatie in aanmerking te komen. Registratie kan achteraf als de zaak in het voordeel van The Privacy Collective uitpakt. Na een schikking of oordeel dat de claim terecht is, kunnen gebruikers zich aanmelden om een bedrag te ontvangen. Wanneer de zaak dient en welk schadebedrag precies geclaimd wordt is nog onbekend. Advocaat Christiaan Alberdingk Thijm, die The Privacy Collective bijstaat, stelt tegenover het FD dat Oracle en Salesforce mogelijk ieder 5 miljard euro aan immateriële schade dienen te vergoeden. Hij baseert die schatting op een eerdere toekenning van 500 euro bij een individuele privacyklacht in combinatie met de 10 miljoen Nederlandse internetgebruikers die er zouden zijn.

Sinds begin dit jaar is er de mogelijkheid voor private partijen om een zogenoemde classactionzaak te beginnen bij inbreuken op de AVG. The Privacy Collective lijkt de eerste partij die van dit juridische middel gebruik maakt. Tot nu was de Autoriteit Persoonsgegevens de enige partij die in actie kwam bij overtredingen van de AVG.

"Vrijwel alle Nederlanders die online informatie lezen of bekijken worden structureel geraakt door de praktijken van Oracle en Salesforce, die enkel een commercieel doel dienen", aldus advocaat Christiaan Alberdingk Thijm, die The Privacy Collective bijstaat. "Schade claimen in een class action is een belangrijk handhavingsinstrument in de AVG", voegt Joris van Hoboken daar aan toe. Hij is bestuurslid van The Privacy Collective en hoogleraar Informatierecht.

Het initiatief wordt volgens de stichting gesteund door onder andere Bits of Freedom, de Qiy Foundation, Privacy First en Freedom Internet. Voor de kosten zou het Britse Innsworth garant staan. Deze organisatie richt zich op het financieren van classactionzaken en zou in Engeland en Wales een vergelijkbare collectieve schadeclaim gaan indienen. Internetpionier en privacyvoorvechter Marleen Stikker noemt de zaak echter 'dubieus' omdat Innsworth 30 procent van het geclaimde bedrag zou opeisen.

Salesforce meldt in een reactie het niet eens te zijn met de claims en aan te gaan tonen dat deze ongegrond zijn. "Bij het bouwen en ontwerpen van onze diensten staat privacy centraal, zodat we onze zakelijke klanten kunnen helpen met het naleven van de op hen toepasselijke privacyregelgeving, waaronder de AVG, om de privacy van hun eigen klanten te waarborgen." Verder stelt Salesforce dat de klacht uitsluitend gericht is op de Salesforce Audience Studio-dienst en niet op andere Salesforce-diensten.

Update. 12.30: Oracle spreekt in een verklaring de aantijgingen tegen en meldt de claims ook tegen de stichting weersproken te hebben: "The Privacy Collective heeft opzettelijk een niet-gefundeerde actie gestart op basis van een onjuiste voorstelling van de feiten. Zoals Oracle eerder aan The Privacy Collective heeft medegedeeld, heeft Oracle geen directe rol in het proces van real-time bidding, heeft het een minimale data footprint in de EU en heeft het daarnaast een uitgebreid AVG-nalevingsprogramma." Volgens Oracle gaat het om 'een misleidende rechtszaak'.

Door Olaf van Miltenburg

Nieuwscoördinator

14-08-2020 • 11:00

82 Linkedin

Reacties (82)

Wijzig sortering
Deze zaak gaat echt helemaal nergens over. Het is vergelijkbaar met Volkswagen aanklagen omdat bestuurders te hard rijden in auto's van hun merk(en), terwijl de bestuurder daar gewoon verantwoordelijk voor is. Maar ja, het is natuurlijk makkelijker om één partij aan te klagen dan die honderden of duizenden partijen die over de hele wereld verspreid zitten.

Salesforce en Oracle bieden platformen en templates van oplossingen, that's it. Je moet het altijd nog configureren. In Europa wordt dat vooral gedaan door IT consultancy partijen (vaak ook wel system integrators genoemd), in VS is wat gebruikelijker dat klanten zelf hun implementatie doen van het systeem door interne developmentteams.

Oracle heb ik geen ervaring mee, maar ik zit inmiddels 10 jaar in CRM, waarvan 4,5 jaar op het Salesforce platform, inmiddels als architect. Salesforce kan prima voldoen aan GDPR, ePrivacy regulation en andere privacy wet- en regelgeving, maar dan moet je dat ook wel implementeren. Als je de tools die er in het platform zitten - en vaak alleen wat configuratie behoeven - niet gebruikt, dan voldoet die klant van Salesforce inderdaad niet aan die wetgeving, maar dat is niet een fout van Salesforce.

Je zou dan kunnen zeggen dat de fout bij de implementatiepartner ligt, maar nog steeds ligt de verantwoordelijkheid en naar mijn mening een groot deel van het probleem bij de klant (van Salesforce, Oracle, etc.). Privacy, veiligheid en compliance staat bij veel organisaties, vooral in MKB, niet bepaald hoog op de prioriteitenlijst. Als zij moeten kiezen tussen extra functionaliteit, waar de interne organisatie of hun klanten direct waarde uit kunnen halen, dan gaat dat vrijwel altijd voor op die eerder genoemde punten.

Vaak kan en moet (gedwongen door platform) je gelukkig veiligheid ook op microniveau wel opnemen in je implementatie van een requirement, maar soms staat een bepaald blok rondom veiligheid of privacy echt op zich en als je dat dan niet implementeert heb je het ook echt helemaal niet, in plaats van dat je alleen een iets minder goede en minder volledige implementatie ervan hebt.

[Reactie gewijzigd door Kid Jansen op 14 augustus 2020 15:16]

Het gaat hier niet om de standaard CRM functionialiteit, maar om de DMP's van beiden. Oracle heeft x jaar geleden Bluekai overgenomen, Salesforce Krux en daarnaast heb je nog clubs zoals Relay42 (om de hoek bij Tweakers in Amsterdam Noord) en Adobe Audience Manager die bijna hetzelfde doen.

Je kunt een DMP gebruiken om je eigen klantdata te managen (1st party data), die van je partners (2nd party data) of je kunt extern data inkopen (3rd party data). Vooral die laatste is tricky. Op tweakers.net draait bijvoorbeeld een tracker van Criteo. Als tweakers.net een cookiewall zou hebben, dan zou ik hiermee toestemming geven dat Criteo mij trackt. Maar als criteo deze data verkoopt aan een data partner van Oracle/salesforce, wat ze waarschijnlijk doen, dan weet ik niet zeker of de toestemming die ik gaf aan tweakers en dus criteo ook voor deze partij geld.

Check voor de gein eens wat Bluekai over jou weet (en opt direct uit): https://datacloudoptout.oracle.com/

Niet zeker waarom je moet opt-outen? Lees dit: https://techcrunch.com/20...acle-bluekai-web-tracking
Check voor de gein eens wat Bluekai over jou weet (en opt direct uit): https://datacloudoptout.oracle.com/
Als ik op Opt-Out klick heb ik alleen de keuze uit United States.
Daaronder staat;
If your country is not listed, Oracle Data Cloud currently does not maintain offline personal data for interest-based advertising in your region.
Dus moet ik mij dan wel opt-out-en, en hoe dan?
Daarnaast kan ik niet zien van ze van mij weten.
Je kunt op 'Request Your Data' klikken:
https://datacloudoptout.oracle.com/request-your-data (als het zou werken... :( )
Deze zaak gaat echt helemaal nergens over. Het is vergelijkbaar met Volkswagen aanklagen omdat bestuurders te hard rijden in auto's van hun merk(en), terwijl de bestuurder daar gewoon verantwoordelijk voor is. Maar ja, het is natuurlijk makkelijker om één partij aan te klagen dan die honderden of duizenden partijen die over de hele wereld verspreid zitten.
Om in je auto analogie te blijven:
Salesforce levert de stadsbus levert, De klant is de busschauffeur is en de gegevens worden gebruikt van de passagiers, die soms niet eens weten dat ze op een pagina van salesforce zitten.

Voorbeeld Klant heeft website met Vacatures. Zodra je op de knop soliciteren klikt kom je op een slaesforce pagina, om je gegevens in te vullen... N.A.W., geboortedatum, motivatie, rijbewijs e.d. die gegevens worden dus bij Salesforce opgeslagen. En als ik het goed begrijp ook voor andere doeleinden gebruikt dan alleen die sollicitatie. En nee er komt geen salesforce pop-up waarin je toestemming voor wat dan ook geeft.
Nee dat laatste is dus niet zo. Die gegevens worden in jouw (je bedrijf) afgeschermde Salesforce omgeving opgeslagen (ja ok, alles is van Salesforce, maar die data mogen zij niet zo maar gebruiken). Bij die sollicitatie moet je akkoord gaan met de privacy voorwaarden waarin staat wat jouw bedrijf met die data mag doen. Salesforce doet daar verder niks mee.

Binnen Salesforce en Oracle heb je heel veel verschillende pakketten. Als ik deze vage claim goed lees gaat het bijvoorbeeld over Salesforce Audience Studio. Daar kan je wel wat data (vaak B2B info op niveau KVK etc, maar ook B2C) van derde partijen afnemen via de Marketplace (https://konsole.zendesk.c...rd-Party-Data-Marketplace). Heel veel gescrapte (of telefonisch verkregen) bagger over het algemeen overigens.
Dat is wel een gebied dat juist door de regelgeving steeds beperkter wordt. En ook Is dit vooral 1 richtingsverkeer, dus data van die partijen komt in Salesforce, niet andersom.

[Reactie gewijzigd door Giant87 op 14 augustus 2020 15:16]

Die vage claim is een real life scenario bij een groot bedrijf dat zeer zeker niet wenst de AVG te overtreden.
Welk pakket het is weet ik niet meer. Maar het doet de matching tussen vacatures en sollicitatie's. Waarbij alle gegevens van de sollicitant bij salesforce worden opgeslagen.

Ik snap overigens niet 'e'e'n of ander B@B pakket begint en telefonisch verkregen crap, het gaat om private personen die bij een bedrijf op een vacature willen solliciteren.
Met claim doelde ik op de claim waar het nieuwsbericht over gaat, sorry moest duidelijker zijn.

Met betrekking tot je vacature scenario, ja dat kan dus kloppen, dat komt gewoon in je eigen Salesforce account (want het is tenslotte een contact). Wat er vervolgens nog meer mee gedaan mag worden door het bedrijf, wederom binnen hun eigen Salesforce account, waar je het over hebt moet dus in de privacy voorwaarden staan waar de solliciteerder mee akkoord gaat bij het insturen van de sollicitatie.
Ik denk, sorry ik heb het nagelezen, ik weet zeker dat daarin niet staat dat Salesforce iets met die gegevens mag doen. Niet met naam maar ook niet als "Derde Partij".
Dat bedrijf gaat er wel zorgvuldig mee om. Maar ik vraag mij serieus af of salesforce niks doet met die data, zoals profileren.
Maar de buschauffeur is in jouw analogie degene die de gegevens gebruikt als je kijkt naar de situatie van deze case, maar een stichting die de passagiers zou moeten vertegenwoordigen klaagt de fabrikant van de bus aan, omdat de bus het faciliteert (of eigenlijk zelfs alleen maar niet onmogelijk maakt) dat de buschauffeur dit kan doen.

Salesforce maakt echt niet zelf gebruik van die gegevens die klanten van Salesforce van op hun beurt hun klanten buit maken, ze faciliteren alleen deels dat hun klanten dit kunnen, bieden tegelijkertijd ook de tools zodat hun klanten dit kunnen implementeren volgens lokale wet- en regelgeving, maar dat laatste doen die klanten dus vaak niet.
Nee, de bus registreert in deze analogie het gewicht van de passagiers niet de buschauffeur.

Als je het real life scenario had gelezen dan had je geweten dat sollicitanten hun gegevens voor een solicitatie invoeren op een salesforce website die die gegevens opslaat in een salesforce database.
De klant krijgt uiteindelijk vijf kandidaten geleverd. Die Salesforce op basis van de beste match levert.

Ik vraag mij nu wel af in hoeverre Salesforce niet nog meer doet met al die gegevens, Zeker als sollicitanten complete CV-s in Word formaat uploaden (wat in dit geval ook mogelijk is).
Je kan daar toch heel waardevolle "profielen" van maken.
Grappig dat altijd wanneer iemand een analogie probeert te gebruiken om een punt te verhelderen, er altijd een oeverloze discussie ontstaat over om welk aspect van de analogie het nu gaat, en waarom een ander aspect nog belangrijker is en een andere analogie nog beter.

Stop met het gebruiken van analogieën, en beschrijf gewoon precies wat je bedoelt.
Haha, fair enough, ontkom er alleen vaak niet aan met dagelijks werk, maar misschien IT'ers onder elkaar inderdaad handiger om het niet te doen. Met klanten wordt het vaak wel erg gewaardeerd, maar dan probeer ik natuurlijk een analogie te gebruiken in de context van hun business, of iets anders waar die persoon interesse in / affiniteit mee heeft. Als ik dan daadwerkelijk ga beschrijven wat er gebeurt, nog zonder allemaal vakjargon of platformspecifieke termen, krijg ik terug dat het is alsof ik een andere taal spreek. Klanten begrijpen IT over het algemeen echt niet.
Maar geniet je echt van salesforce. Toen bij het amerikaanse bedrijf waar ik werkte salesforce werd geintroduceerd en het al heel snel als analyse nsb software werd gebruikt door managers ben ik en vele heel hard weggerend. Dat creeert geen gezonde werksfeer en meestal zeiden die statistieken geen snars maar de manager had zn werk weer gedaan en hoger hand was tevreden en t regime kon nog strakker gespannen worden en men kon nog meer in minder tijd gaan doen. En t werd voor alles gebruikt. Nooit meer salesforce voor mij.
Het is alweer een tijdje geleden dat ik voor salesforce gewerkt heb, maar toendertijd werd alle data in de US bewaard zodat deze niet onder lokale regelgeving zou vallen.

Ik snap dan in de laatste 10 jaar er een hoop veranderd is, maar is dit niet nog steeds van toepassing?
Voor GDPR maakt het echt niet uit waar jij je data opslaat. Als je te maken hebt met EU burgers (ja, zelfs al wonen ze in China of de USA), dan heb je te maken met de GDPR. Het gaat erom van wie de persoonsgegevens zijn, niet waar ze worden opgeslagen of door wie dat gebeurt. Het maakt ook niet dat je een zakelijke gebruiker bent. Als mijn zakelijk e-mailadres uitlekt is dat net zo goed een datalek onder straffe van de GDPR.

[Reactie gewijzigd door Sebazzz op 14 augustus 2020 11:13]

zelfs al wonen ze in China of de USA), dan heb je te maken met de GDPR.
is dat zo? Het lijkt me sterk dat de EU wetten kan gaan opleggen in derde landen.
Nee dat is niet zo. Niet de nationaliteit maar de plaats van handeling, vestiging of locatie van betrokkene is van belang. De AVG formuleert dat als volgt:
1. Deze wet en de daarop berustende bepalingen zijn van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in Nederland.
2. Deze wet en de daarop berustende bepalingen zijn van toepassing op verwerking van persoonsgegevens van betrokkenen die zich in Nederland bevinden door een niet in de Europese Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met:
a. het aanbieden van goederen of diensten aan deze betrokkenen in Nederland, ongeacht of een betaling door de betrokkenen is vereist; of
b. het monitoren van hun gedrag, voor zover dit gedrag in Nederland plaatsvindt.
Nee dat is niet zo.
Ja, dit is wel zo.
Valt onder artikel 3 lid 2b van de tekst die jij citeert.

De volle en officiële tekst van dat artikel luidt:
Artikel 3. Territoriaal toepassingsgebied
1. Deze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.

2. Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met:

a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of
b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.

3. Deze verordening is van toepassing op de verwerking van persoonsgegevens door een verwerkingsverantwoordelijke die niet in de Unie is gevestigd, maar op een plaats waar krachtens het internationaal publiekrecht het lidstatelijke recht van toepassing is.
Dus niet speciek op Nederland gericht, maar op de Unie.
En lid 3 dekt ook situaties af waar er contracten zijn met consumenten waar de verwerker zich niet in de Unie bevindt, want via international recht wordt afgedwongen dat op die contracten EU recht van toepassing is, want er is EU recht wat stelt dat contracten met consumenten vallen onder de EU-lidstaat waar een consument ingezetene is.

[Reactie gewijzigd door R4gnax op 14 augustus 2020 15:19]

Ja, dit is wel zo.
Valt onder artikel 3 lid 2b van de tekst die jij citeert.
Heb je wel gelezen waarop ik reageerde? Ik reageerde op het feit dat beweerd werd dat een EU-burger die in China/VS woont zich kan beroepen op de AVG/GDPR, zelfs in het geval van een niet-EU bedrijf. Dat is onzin, nationaliteit is geen criterium.
[...] want er is EU recht wat stelt dat contracten met consumenten vallen onder de EU-lidstaat waar een consument ingezetene is.
Ingezetende ja, geen staatsburgerschap.
De EU legt wetten op aan bedrijven die handel doen in de EU.

Bekijk het zoals een zondagsmarkt: de burgemeester van de stad stelt de regels op. Als je daar als marktkramer het niet mee eens bent dan ben je met je standje niet welkom in zijn stad.

Kom je toch en negeer je de regels, of omzeil je ze, dan volgen er straffen. Ook al omzeil je ze via een ander land.

Niet akkoord? Dan kan Salesforge of Oracle ook weg blijven uit de EU en EU burgers dan ook volstrekt en totaal met rust laten. Die willen nl. wel privacy. En de winstlust van Salesforge en Oracle staat daar niet boven.

[Reactie gewijzigd door freaxje op 14 augustus 2020 12:06]

Bekijk het zoals een zondagsmarkt: de burgemeester van de stad stelt de regels op. Als je daar als marktkramer het niet mee eens bent dan ben je met je standje niet welkom in zijn stad.
maar de burgemeester van amsterdam heeft niets te zeggen over de regels voor marktkramers in Brussel.
Ik weet niet hoe het in Nederland verloopt, maar laat ik het voorbeeld Antwerpen uit mijn land nemen (toch ook geen kleine stad met toch ook geen kleine stadsmarkt):

https://www.ondernemenina...180226_Marktreglement.pdf

Op iedere pagina staat er onderaan "Goedgekeurd door de gemeenteraad op 26 februari 2018".

M.a.w. de burgermeester van Stad Antwepren heeft op 26 februari 2018 een gemeenteraad samengesteld die democratisch gesproken en gedebatteerd hebben met elkaar over de regels van de stadsmarkt te Antwerpen. Met als gevolg een democratische stemming. Je kent dat wel. Zoiets met dat de verkozen, verkozen door de burgers van stad Antwerpen, kunnen akkoord zijn met of niet akkoord zijn met een bepaalde regelgeving die ter discussie staat.

Daaruit bleek de meerderheid van de verkozenen (de schepen) te stad Antwerpen akkoord te zijn.

Dus stelt de burgermeester een marktreglement op. En dus heeft de burgermeester te Antwerpen daar beslist wat op te zeggen. Want die is daar bevoegd voor in zijn stad. En die bevoegdheid wordt uitgereikt in een wettelijk kader en vloeit voort uit een democratische verkiezings -en stembusgang.

Bedrijven, markthouders en wat dan ook kunnen het daar mee oneens zijn. Maar dan zijn ze dus niet welkom op de markt te stad Antwerpen. Het is in dat geval de bevoegdheid van het hoofd van de politie, dat is ook de burgemeester, om die piraat-standhouder te laten verwijderen van de markt te stad Antwerpen. Dat zou ook precies zijn wat er zal gebeuren.

Let op. Democratisch verkozenen. Dus die standhouders en die bedrijven die het oneens zijn zijn pertinent NIET democratisch verkozenen. De verkozenen hebben een wettig document opgesteld en hebben dat wettige document gestemd. Zij gaan dat handhaven. En gebruiken daar de rechterlijke macht voor indien nodig en politie indien noodzakelijk.

Het kan zijn dat de marktkramers een organizatie hebben waar ze samenkomen om de schepenen (de verkozenen) te beinvloeden. Dat mag. En dat noemen ze een lobby of, vroeger, ook wel eens een Gilde.
Geweldig interessant allemaal hoor, maar het ging erover dat De Wever niets te zeggen heeft over de marktkramers in een andere stad, net zomin als de EU iets te zeggen heeft over wat een buitenlands bedrijf buiten de EU doet, zelfs als het om Europese burgers in het buitenland gaat, zoals djordjo terecht aanhaalde
De EU kan zeker wel regels oplegen als het EU burgers betreft. Dat jij vind dat de EU dat niet kan is iets anders. Dit is precies wat de USA ook al tientallen jaren doet voor haar eigen burgers. Als de EU een regel wil opstellen dat bedrijven geen kromme bananen mogen verkopen in verwegistan dan kunnen ze zo'n regel gewoon maken. Het enforcen is lastiger, maar als het bedrijf wat kromme bananen in verwegistan verkocht heeft een EU band heeft (rekening, personeel, dochteronderneming etc.) dan kunnen ze die gewoon in het strafbankje roepen.
Dat klopt niet helemaal. Als er een marktkramer is die via een omweg de marktregels van stad Antwerpen omzeilt, en dit (deel van de inbreuk) in om het even welk land doet, dan is die marktkramer ook niet welkom in stad Antwerpen.

Je kan m.a.w. niet burgers hun gegevens volgens de regels van de markt (letterlijk hier) bekomen om dan met die gegevens naar een ander land te gaan en die gegevens dan buiten de regels van de markt te verwerken. Daar dan voordeel uit doen en terug komen naar de markt om met dat voordeel nu winst te maken. Winst die marktkramers die dit niet doen niet kunnen maken omdat zij zich wel aan de regels hielden.

De wet werkt zo niet. Je kan de wet niet omzeilen door "slim te denken te zijn". Je breekt daar de wet mee. En je zal daarvoor gestraft worden. Door de rechter die zoiets snel doorziet en je waarschijnlijk zelfs daardoor zwaarder zal straffen.

Het heeft gewoon allemaal letterlijk geen zin. Je volgt de regels. Of je wilt ze niet volgen en dan ben je eenvoudigweg niet welkom als marktkramer op de markt.

En dat is maar goed ook zo. Onnozelaartjes horen niet op onze markten hun onnozele zelve komen uithangen. Die moeten weg. Die moeten verdwijnen. Die zijn niet welkom. Die kunnen oprotten.

Wat Salesforce en Oracle op de markt van de EU (die van Nederland, in dit geval) zijn komen doen is de onnozelaars komen uit hangen. Tegen de marktregels in. Namelijk de GDPR uitgewerkt in Nederland als de AVG. Ze moeten daarvoor gestraft worden en als ze zich niet willen aanpassen verbannen uit de gehele EU markt. En daarna toch nog steeds gestraft. Want de inbreuken zijn al gebeurd. Dus ze moeten dan verdwijnen, EN gestraft worden. Zonder meer.

[Reactie gewijzigd door freaxje op 14 augustus 2020 14:00]

Je schijnt nog altijd niet te willen begrijpen dat ik reageerde op "Als je te maken hebt met EU burgers (ja, zelfs al wonen ze in China of de USA), dan heb je te maken met de GDPR".
Jouw reacties gaan niet over hetzelfde
Als ik in jouw brakke analogie blijf, beweer je dat een marktkramer die zich op de Brusselse markt niet aan de Antwerpse marktkramersregels houdt, niet meer in Antwerpen op de markt zou mogen staan. Dat is onzin natuurlijk, in Brussel houd je je aan de Brusselse regels, in Antwerpen aan de Antwerpse.
De Antwerpse regels gelden niet in Brussel, om de eenvoudige reden dat Antwerpen geen inspraak heeft op de lokale regelgeving in Brussel, net zomin als de EU inspraak heeft op de lokale regelgeving in China of de USA.
Lees nog eens waar ik op reageerde.
je bedoelt:
Art. 3 GDPR Territorial scope
This Regulation applies to the processing of personal data of data subjects who are in the Union ....
Daarom is het ook in Nederland, en gaat het niet om GDPR maar om AVG (de Nederlandse GDPR).
Ne gelukkig niet. Anders zou je bij iedere website iedere keer je nationaliteit aan moeten geven. Dus niet locatie maar paspoort gegevens.

Voor eu ingezetenen geldt dan dit. Voor aziatische bezoekers dat, in de VS per staat weer iets anders.

Het internet zou kompleet niet leefbaar zijn op die manier.
Dat is leuk in theorie, maar in de praktijk kan je geen bedrijf in china dwingen om zich aan de GDPR te houden.

Alleen als een bedrijf zich voor een significant gedeelte op de europese markt richt kan je proberen de GDPR uit te voeren, omdat ze dan waarschijnlijk ook kantoren etc binnen de EU hebben.
En dat richten op een markt uit zich dan in het beschikbaar zijn van een taal (Nederlands op een goksite, zijn voorbeelden van Maltese goksites) betaalmethoden, support of anderszins
Malta ligt gewoon in de eu, dus die valt uberhaupt onder GDPR.

Het is meer de vraag hoe je een braziliaanse goksite wilt aanpakken als die zich gaat richten op de NL-markt maar geen vertegenwoordiging in de eu heeft.
Dan kan je leuk vragen gaan stellen over hoe hun het opslaan etc maar zij gaan daar geen antwoord op geven, dan kan je boetes uitdelen als EU maar die worden gewoon naast zich neergelegd door die bedrijven.
maar die worden gewoon naast zich neergelegd door die bedrijven.
Totdat een bestuurder van die goksite zich buiten Brazilië begeeft en gearresteerd wordt.
Thanks. Ik vond het toen allemaal zo'n geneuzel dat ik er maar mee gestopt ben. De regels hebben nut, en loopholes gebruiken is een domme manier om er mee om te gaan als verdien model, was mijn insteek.
De wetgeving is ook nog eens van toepassing op niet-EU burgers die in de EU verblijven.
Da's wel iets te kort door de bocht. In jouw uitleg zou bijvoorbeeld een willekeurig buitenlands (buiten EU) bedrijf, waarmee jij (als EU-burger) zaken doet op het moment dat je in dat land bent, en dat in het kader daarvan persoonsgegevens van jou verwerkt, opeens onder de AVG vallen.
Dat is niet zo, zie bijvoorbeeld https://gegevensbeschermi...mmentaar/artikel%203.html.
In dit geval is de AVG van toepassing omdat, ongeacht door wie en waar de verwerking plaatsvindt, het data betreft omtrent het gedrag van EU burgers in de EU:
Lid 2 b geeft ten derde aan dat de AVG van toepassing is als een organisatie geen vestiging heeft in de EU, maar wel persoonsgegevens over EU burgers verwerkt ten behoeve van het monitoren van hun gedrag. Het gaat dan om gedrag dat in de EU plaatsvindt ...

[Reactie gewijzigd door tympie op 14 augustus 2020 11:35]

Salesforce & Oracle zie je sowieso veel in het zakelijk domein en amper als particulier.

Dus ik vraag me een beetje af waar ze hun data nu precies vandaan krijgen.
De data 'in' Salesforce & Oracle is van de bedrijven die de diensten afnemen. Als Oracle of Salesforce aan die data komen, dan zou de overeenkomst tussen de verwerkende bedrijven en Oracle/Salesforce niet kloppen, maar daarvoor moet je dus (ook) bij de verwerkende bedrijven zijn, die de data oneigenlijk delen.
Ik ben bij beide geweest, ben/was gecertificeerd voor beide, heb bij beide aan de backend workflow gesleuteld en zou voor geen goud meer met ze willen samen werken. Links of rechts om kom je met ze in aanraking. Enge clubs, moreel bankroet in mijn belefenis.
Particulier != Betrokkene

Een betrokkene kan net zo goed een werknemer zijn van een organisatie en op het moment dat er Persoonsgegevens van die werkgever worden verwerkt - zelfs al is dit voor direct marketing op professionele basis - dan nog zijn er diverse wetgevingen van toepassing waaronder de AVG en de telecommunicatiewet waarbij Privacy en Beveiliging moet voldoen aan adequate technische en ook organisatorische maatregelen (o.a. waar vinden deze verwerkingen en opslag plaats, (wettelijke) grondslag van de verwerkingen al dan niet gericht op toestemming van de betrokkene, vastlegging van deze toestemming alsmede het publiek beschikbaar maken van de rechten van de betrokkene icm de manier hoe een betrokkene zijn toestemming in kan trekken alsmede verwijderen van zijn gegevens).

[Reactie gewijzigd door nwagenaar op 14 augustus 2020 12:49]

Ik gok dat die bedrijven allemaal wel servers in Europa hebben staan tenzij ze aan de Privacy Shield voldoen. Wat weer inhoudt dat ze Europese regelgeving moeten naleven.
Privacy Shield is ondertussen al afgeschoten en moet weer opnieuw onderhandeld worden.
Het zal samenhangen met het marksegment waar Salesforce zich op richt: de marketing afdeling van een bedrijf. Uit ervaring weet ik dat dit soort afdelingen niet zoveel op hebben met privacy en je als bedrijf dus een streepje voor hebt als je je ook in die modus operandi werkt. De oplossing is niet alleen wetgeving (gdpr etc.), maar het aan banden leggen van wat marketing afdelingen mogen doen. Als je de bron van het probleem wegneemt dan vervagen dit soort businessmodellen ook vanzelf. (was een reactie op @Kecin)

[Reactie gewijzigd door latka op 14 augustus 2020 11:15]

Lekker kort door de bocht weer.. Alsof elke marketing afdeling zo werkt, nee dus.
Net als de hele claim.

"Online schaduwprofiel
Oracle en Salesforce verzamelen op ieder moment en op grote schaal gegevens van websitebezoekers. Door die te combineren met aanvullende informatie creëren zij van iedere individuele internetgebruiker een persoonlijk profiel. De miljoenen profielen worden onder andere gebruikt voor het aanbieden van gepersonaliseerde online advertenties en onrechtmatig gedeeld met talloze commerciële partijen, waaronder ad-tech bedrijven. De techgiganten verzamelen hun informatie onder meer met speciaal ontwikkelde cookies. "

Oracle en Salesforce hebben tracking scripts die je als website/app eigenaar KAN implementeren (third en nu steeds meer first party). Deze horen netjes achter de cookie consent van je website of app te zitten en daar ben je als bedrijf/gebruiker van Oracle/Salesforce apps zelf verantwoordelijk voor, qua implementatie.

Vervolgens wordt er niet zo heel veel spannends verzamelt. Ze herkennen je als je een bekend contact bent (in de Oracle / Salesforce base die je bedrijf gebruikt) en houden klikgedrag etc bij waarmee je als Oracle / Salesforce gebruiker inderdaad GEDRAGS-profielen kan opbouwen, targetten en lead scoring kan toepassen, nog niks mis mee.

Qua andere beweringen "zonder toestemming eindgebruiker", denk dat ze (The Privacy Collective) hier de mist in gaan. Iets genuanceerder ligt e.e.a.
En daarnaast zijn er inderdaad heel veel onderdelen binnen Salesforce en Oracle die allemaal anders werken, dus de vraag is waar gaat dit nu precies over.

Speifiek uitleg over Salesforce Audiance Studio: https://konsole.zendesk.com/hc/en-us
En natuurlijk globale privacy policies.
https://www.salesforce.com/nl/company/privacy/
https://www.oracle.com/nl/legal/privacy/privacy-policy.html

[Reactie gewijzigd door Giant87 op 14 augustus 2020 11:42]

"Oracle en Salesforce hebben tracking scriptsdie je als website/app eigenaar KAN implementeren (third en nu steeds meer first party). Deze horen netjes achter de cookie consent van je website of app te zitten en daar ben je als bedrijf/gebruiker van Oracle/Salesforce apps zelf verantwoordelijk voor, qua implementatie."

Eh nee, als de informatie die bij Oracle/Salesforce staat opgeslagen niet duidelijk via cookie consent verkregen is, ongeacht de doorsluizende partij, is dat niet toegestaan. Zij kunnen niet schuilen achter voorwaarden die ze hebben gesteld aan de tussenpartij. Dat heet ketenverantwoordelijkheid, en die hebben ze hier zeker.
"Oracle en Salesforce hebben tracking scriptsdie je als website/app eigenaar KAN implementeren (third en nu steeds meer first party). Deze horen netjes achter de cookie consent van je website of app te zitten en daar ben je als bedrijf/gebruiker van Oracle/Salesforce apps zelf verantwoordelijk voor, qua implementatie."
Hoe is het dan tot een rechtzaak gekomen als het allemaal zo eenvoudig ligt? :?
Het feit dat het tot een rechtzaak komt is niet (per definitie) het gevolg van een complexe zaak. Er zijn zat rechtzaken waarbij de uitspraak naar verwachting is. Een rechtzaak is het gevolg van het feit dat de partijen er zonder tussenkomst van een rechter er niet uit komen; met andere woorden, het gevolg van onenigheid. Deze kost centen, en die zijn dan ook nodig om de onenigheid uit te vechten. In dit geval is de marge maar liefst 30%.
Daarom hebben ze dus ook consent management in het pakket zitten tegenwoordig. Zonder die consent gebruiken ze de privacy gevoelige data echt niet hoor.
als de informatie die bij Oracle/Salesforce staat opgeslagen niet duidelijk via cookie consent verkregen is ...
"Consent" (toestemming) is maar één van de 6 AVG grondslagen voor verwerking.

De ketenwerking is bovendien beperkt tot wat Oracle en Salesforce weten c.q. redelijkerwijs hadden kunnen weten. In het algemeen kunnen ze wel vaststellen of er een wettelijke verplichting is (die wetten zijn openbaar), maar wat ze niet kunnen vaststellen is welke informatie noodzakelijk is voor de uitvoering van een klantopdracht.
Oracle en Salesforce hebben tracking scripts die je als website/app eigenaar KAN implementeren (third en nu steeds meer first party). Deze horen netjes achter de cookie consent van je website of app te zitten en daar ben je als bedrijf/gebruiker van Oracle/Salesforce apps zelf verantwoordelijk voor, qua implementatie.
Daar stip je een goed punt aan, want wettelijk gezien klopt het wel, maar in praktijk werkt het geen meter.
Bedrijven huren een partij als Salesforce in de verwachting dat alles dan professioneel geregeld wordt. Dat is een denkfout maar dat beseffen ze niet. Salesforce zal ongetwijfeld ergens hebben vastgelegd dat klanten zelf voor de GDPR moeten zorgen. Maar ja, wie leest nu ooit alle documentatie? De klanten betalen nu juist om er zelf geen werk aan te hebben.

Ik zeg niet dat iemand hier opzettelijk iets verkeerd doet, maar dat het in praktijk heel vaak fout gaat.
Als jij zakelijk met een partij gaat samenwerken en je leest de contracten niet, dan ben je een ongelofelijke }:O . En zeker niet professioneel bezig.

Je blijft sowieso aansprakelijk en kan je echt niet verschuilen achter dooddoeners als "ik dacht dat zij dat wel geregeld hebben", laat staan als er iets anders in een contract staat.
Als jij zakelijk met een partij gaat samenwerken en je leest de contracten niet, dan ben je een ongelofelijke }:O . En zeker niet professioneel bezig.

Je blijft sowieso aansprakelijk en kan je echt niet verschuilen achter dooddoeners als "ik dacht dat zij dat wel geregeld hebben", laat staan als er iets anders in een contract staat.
Dat klopt helemaal, maar ondertussen zijn de klanten de dupe.

Ik durf te beweren dat er geen enkel bedrijf is dat alle contracten helemaal heeft doorgelezen.
Bij grote projecten heb je het al gauw over tientallen leveranciers die allemaal tientallen pagina's leveren. De meeste bedrijven hebben gewoon geen kantoren vol met juristen om dit soort contracten echt te begrijpen. De bakker om de hoek krijgt een standaard contractje en klinkt na 3 minuten op "I agree".
Wettelijk gezien is dat verkeerd, maar tegelijkertijd heel begrijpelijk.

Omdat dit overal en altijd fout gaat vind ik dat we de wet moeten aanpassen. De wet moet realisitsch zijn en accepteren dat mensen niet perfect zijn. Als mensen nooit fouten zouden maken zou de helft van de wet weg kunnen.

We zien nu heel vaak ongeveer hetzelfde patroon.
Kleine bedrijven nemen diensten af bij grote bedrijven maar dragen wel alle verantwoordelijkheid terwijl je realistisch gezien niet kan verwachten dat ze in staat zijn om dit soort contracten helemaal te doorgronden en de gevolgen te overzien. Daarbij is er realistisch gezien niks te kiezen, want al die bedrijven hebben vuistdikke contracten waarin ze de verantwoordelijkheid zoveel mogelijk bij de afnemer neerleggen.
Er zijn vast verschillen, maar een bakker of fietsenmaker kan die verschillen niet begrijpen.

Hoewel ik vind dat de eindverantwoordelijkheid nog steeds moet liggen bij de opdrachtgever (dus het bedrijf dat (bv) Salesforce inhuurt) maar misschien moeten we een verplichting toevoegen dat Salesforce moet controleren of de bakker inderdaad een nette cookiemelding heeft die aan de wet voldoet voor ze data van die bakker mogen opslaan.
Als je zakelijk gaat werken leest de afdeling inkoop de contracten. De specialisten vaak niet. Hoofd inkoop snapt een boel, maar niet alles en leest hier eenvoudig overheen. Zeker als de contracten al opgesteld zijn, de korting is bedongen dan is het bijwerken van een contract met een clausule vaak iets van tussendoor.
Vanuit een praktisch oogpunt is dit wellicht correct; dat gezegd hebbende worden er vanuit de AVG het aspect verantwoordelijkheden duidelijk aangegeven waarin de Verwerkersverantwoordelijke (lees: de organisatie dat gebruik maakt van Salesforce) aan moet voldoen en dit ontslaat je niet van je rechten en plichten omdat jij als organisatie alsnog eindverantwoordelijk bent voor de persoonsgegevens die worden verwerkt (zelfs al vindt het verwerken plaats middels een externe dienst zoals Salesforce).
AVG-eisen verwerkingsverantwoordelijken en verwerkers
Als verwerkingsverantwoordelijke blijft u altijd verantwoordelijk voor de persoonsgegevens die u verwerkt. Ook wanneer u die verwerking uitbesteedt aan verwerkers. Uw klanten, burgers, patiënten etc. hebben hun persoonsgegevens immers met ú gedeeld. En niet met uw verwerkers.
Je mag hopen dat de juristen van de klant de contracten met Salesforce doornemen. Salesforce kan die GDPR dingen niet zomaar in de documentatie verstoppen, dat moet in de contracten waar een handtekening onderkomt.

Overigens zal er niet veel bijzonders in staan. De klant is als eerste verantwoordelijk, zo is het in de AVG standaard geregeld.
Wellicht niet iedere marketing afdeling en wellicht niet bewust. Maar bedrijven die succesvol willen zijn in hun branche zullen geen hoge drempels opwerpen in het gebruik van die diensten. De bakker zal je geen vragenlijst in laten vullen voordat je een halfje bruin mag kopen. Zo zal een bedrijf wat zicht richt op de sales-funnel alles doen om die zo goed mogelijk te bedienen. Als dat 'creatief wetgeving interpreteren' met zich meebrengt, dan is de ethiek van een bedrijf belangrijk. Amerikaans & beursgenoteerd betekent dat je geen ethiek mag hebben anders lig je uit de race. Dus wellicht kort door de bocht in jouw ogen, maar een duidelijk patroon in mijn ervaring.
Ik weet toch bijna zeker dat die niet voor alle Nederlanders geld.
Ik bv. gebruik bijna altijd een VPN
in combinatie met dat ik altijd alle cookies weggooi bij het afsluiten van de brouwser
en mijn fingerprint niet bruikbaar is.

Durf ik wel te zeggen dat ze niet zo veel bruikbaar informatie hebben
Probeer https://amiunique.org/ eens om te kijken of je niet te tracken bent met behulp van je browser :)
Wat die checks niet mee kunnen nemen is dat als je op nieuwe opstart je weer uniek bent,
of te wel weer een nieuw persoon.
Dat is het hele punt; die checks gebruiken de informatie van je browser en die verandert maar zelden en zo kunnen ze je zonder cookies toch tracken. Lees de FAQ even daar :)
De test kijk of je al voor komt in de hun database, en iedereen die de test doet komt in de database.
Ik kies een andere VPN server, doe de test weer en ben weer uniek. Brave veranderd een aantal dingen iedere keer als je opstart, waar door je dus weer uniek bent.
Nou ja, als je ooit zaken hebt gedaan met een bedrijf dat Salesforce of Oracle gebruikt, dan staan jouw gegevens dus daar geparkeerd of zijn minstens langs hun servers gegaan.

Daar gaat je VPN en je cookiediscipline niets aan veranderen natuurlijk.
Sorry, maar als ze op het internet niet weten wie ik ben, dan heb je dus weinig aan die gegevens. Ze (Ok) ze kunnen me een brief sturen ( en dat mogen ze ook ), maar het gaat hier toch echt over online gedrag tracking.
Hoeveel procent van de mensen neemt diezelfde moeite denk je?
Met Trace kom je ook al heel ver met het veranderen van je fingerprint:
https://www.ghacks.net/20...es-in-firefox-and-chrome/
Gelukkig. SalesForce is een enge club weet ik uit ervaring. Privacy en veiligheid boeit ze echt niets. Kom je met een flink probleem op de proppen en dan is het ineens een feature. Ja offerte’s inzien van elk bedrijf dat Salesforce gebruikt lijkt me inderdaad de bedoeling.

Daarnaast gaat de tracking erg ver. Iemand op de site? Definitie “hot lead”? Gelijk doorschakelen naar een telefoon op sales. Die pakt op en belt dan automatisch de klant. Vervolgens: “goh ik zat nog te denken over die offerte, we kunnen nog wel wat aanpassen”. Verkooppercentage gaat echt omhoog door insane tracking van de gebruiker. Bah. Ik schaam me dat ik hier aan mee heb (moeten?) werken.
Ditto.

Super agressief, maar het werkt met voor sommigen.
Als het systeem direct gaat bellen ligt dat aan de configuratie die het bedrijf wil hebben. Wij gebruiken ook Salesforce maar op een totaal andere manier dan jij beschrijft.
Ik zou zeggen schrijf je ervaring neer en stuur het op naar de stichtingen die zich bezig houden met je oud werkgever voor de rechter te brengen.
Als een bedrijf met zo een aanklacht word veroordeeld. Word er dan een extern team ingehuurd voor elk spoor van de verzamelde data te vernietigen?
Anders is het toch meer een soort aankoop voor die bedrijven, en ze hoeven enkel te betalen na betrapt te zijn.
Nee. Zoals hierboven al gezegd worden deze twee bedrijven aangeklaagd omdat hun software misbruikt wordt voor het illegaal verzamelen van deze data. Oracle en Salesforce hebben die data echter niet zelf in handen, en kunnen 'm dus ook niet wissen.
Weet iemand of het mogelijk is om de daadwerkelijke ingediende claim bij de rechtbank ook in te zien?
"De miljoenen profielen worden onder andere gebruikt voor het aanbieden van gepersonaliseerde online advertenties en onrechtmatig gedeeld met talloze commerciële partijen, waaronder advertentiebedrijven",
Dit dus. Dat is de reden waarom ik altijd een adblocker en een auto cookie cleaner gebruik.

Telkens weer blijkt dat bedrijven onrechtmatig onze gegevens willen gebruiken om advertenties te kunnen genereren. Ik vind dat dat soort gedrag niet mag lonen. Blokkeer daarom reclame metveen adblocker.

En omdat ik niet kan nagaan wie wel en niet juist handelt, blokkeer ik maar gewoon alles. Kaf van het koren scheiden lukt nl. niet meer.

[Reactie gewijzigd door G_M_C op 14 augustus 2020 17:00]

Is er ergens duidelijker te lezen waar ze precies van worden beschuldigd?

Is het omdat hun scriptjes door hun klanten worden gebruikt om oneigenlijk data te verzamelen? Dus ze faciliteren overtredingen.
Of is het omdat hun scriptjes behalve data voor de klanten te verzamelen ook zelf die data pakken en weer doorverkopenn?
P.s.: Ja onderstaande staat ook al in artikel;
Verschillende organisaties steunen de zaak van The Privacy Collective, waaronder Bits of Freedom, Qiy Foundation, Privacy First en Freedom Internet. De class action wordt volledig gefinancierd door Innsworth, een procesfinancier.
https://theprivacycollect...ing-van-persoonsgegevens/

De "sponsor" is een investeringsmaatschappij.(https://www.innsworth.com/) onderdeel van (https://www.elliottmgmt.com/ / https://en.wikipedia.org/wiki/Elliott_Management_Corporation). Kan aan mij liggen, maar dit voelt meer als "geld cashen: . Dan echt de Robin Hoed spelen.
Wie beweert dan dat ze robin hood zijn?
Zij financieren iets voor een eigen belang. Als de stichting dat niet wil dan nemen ze die investering niet aan. Soms is de wereld zo simpel.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True