Orthodontist krijgt AVG-boete van 12.000 euro wegens formulier zonder https

De Autoriteit Persoonsgegevens heeft een boete van 12.000 euro uitgedeeld aan een orthodontistenpraktijk omdat die op een aanmeldformulier geen ssl-verbinding gebruikte. Het onderzoek duurde ondanks de relatief simpele overtreding ruim twee jaar.

De Autoriteit Persoonsgegevens schrijft dat het de boete uitdeelde aan een niet nader genoemde orthodontist. "De praktijk krijgt de boete omdat nieuwe patiënten zich via een onbeveiligde website konden aanmelden. Hierdoor liepen patiënten de kans dat gevoelige gegevens, zoals hun BSN, in verkeerde handen zouden terechtkomen", schrijft de privacytoezichthouder.

De AP startte een onderzoek nadat het een klacht van een patiënt ontving. Uit het onderzoek bleek dat nieuwe patiënten in de praktijk zich moesten aanmelden via een online formulier. Daarbij werd onder andere naar hun burgerservicenummer gevraagd, naast standaard naw-gegevens. Die gegevens werden echter via een standaard http-verbinding verstuurd naar de praktijk. Dat gebeurde volgens de AP tussen in ieder geval 1 juli 2018 en 29 mei 2019. De orthodontist zou in die periode hebben gewerkt aan een nieuwe website. De praktijk beroept zich erop dat de ontwikkelaar van de oude website 'haar nooit gewezen had op de mogelijkheid' van een ssl-certificaat.

Volgens de privacytoezichthouder voldoet de orthodontist met het onbeveiligde formulier niet aan standaardregels voor beveiliging zoals die door onder andere het Nationaal Cyber Security Centrum zijn opgesteld. Bovendien zou een certificaat niet duur zijn, stelt de toezichthouder. "Een TLS-certificaat kan kosteloos worden verkregen, al dienen in de regel kosten te worden gemaakt om het certificaat door een IT’er op de server te laten installeren of vernieuwen omdat de geldigheidsduur is verstreken. Dit zijn kortdurende handelingen waar slechts loonkosten mee gemoeid zijn."

De boete van 12.000 euro is volgens de AP 'gepast'. Er zijn geen 'boeteverlagende factoren', zoals bij eerdere relatief lage boetes wel het geval was. Onlangs concludeerde Tweakers dat de Nederlandse toezichthouder relatief weinig, maar hoge boetes uitdeelde.

Het heeft lang geduurd voordat de AP de boete definitief heeft uitgedeeld. Al in februari 2019 begon het onderzoek. De AP zucht al jaren onder onderbezetting, en voorzitter Aleid Wolfsen klaagt regelmatig over het budget dat de privacywaakhond krijgt.

IT-banen

Reacties (257)

LordMike 10 juni 2021 19:41

Dit lijkt mij niet echt een goede zaak aangezien ondertussen de website wél inorde is met de regelgeving en het totaal van de pot gerukt lijkt te zijn.

Hier kan ik niet achter staan, een waarschuwing zou imo meer dan voldoende zijn geweest in dit geval.

Ik dacht echt dat de wetgeving er was gekomen om grote kapitaalkrachtige bedrijven te verbeteren en later de kleine vissen maar zoals ik sommige zaken recent lees lijkt het een nieuwe melkkoe aan het worden.

Not amused.

Edit: toevoeging na een dag véél gelezen te hebben. (de tekst hierboven blijft ongewijzigd)

Ik blijf nog steeds van mening dat een waarschuwing voldoende had kunnen zijn maar begrijp nu ook wel meer de ernst van de situatie in, het BSN nummer in Nederland staat zowat gelijk aan ons Rijksregister nummer en is zéér gevoelige persoonlijke data.

Het maakt het iets minder inbreukend (voor mij) op de GDPR dat het énkel voor nieuwe klanten is dus dat beperkt toch al de inpakt aanzienlijk.

Ik ging er ook (onterecht) vanuit dat die om een 'kleine zelfstandige' gaat maar als ik wat lees hebben dit soort bedrijven wel een grote omzet die dus de boete meer rechtvaardig maakt voor hun.

Bedankt voor de leuke inzichten en de goede openbare discussie, ik heb weer wat bijgeleerd!

[Reactie gewijzigd door LordMike op 23 juli 2024 12:46]

Arnoud Engelfriet @LordMike • 10 juni 2021 19:45

Van een waarschuwing schrikt de rest niet. En als ik die orthodontist mocht adviseren: stel je webbouwer aansprakelijk voor die 12.000 euro. Schrikken die ook eens.

Anoniem: 696166 @Arnoud Engelfriet • 10 juni 2021 22:03

stel je webbouwer aansprakelijk voor die 12.000 euro. Schrikken die ook eens.

Dat is nogal kort door de bocht. Wanneer werd de site gemaakt?
Was de GDPR toen al van toepassing? Wat was de overeenkomst? Een eenmalige opdracht of een onderhoudscontract?
Moet een websitebouwer tot het einde der tijden zijn klanten (gratis?) ondersteunen?

grrfield @Anoniem: 696166 • 11 juni 2021 08:10

Moet een orthodontist een adept zijn in ssl, https, ssh, tls? Een orthodontist moet vooral.... eh, orthodonteren zeker?

Als een orthodontist zijn/haar werk doet, dan mag ik aannemen dat daar de regels van de kunst voor toegepast worden. Als een websitebouwer een site bouwt, verlang ik daar minstens hetzelfde van.

Nu ik kan niet afleiden uit het verhaal hoe alles precies is verlopen. Heeft de orthodontist waarschuwingen gekregen? Werd er voldoende inspanning gelevered om tijdig een nieuwe website te bouwen? Allemaal een beetje wazig. Wat meer context had zeker geholpen.

Nu het is zeker niet commercieel van de websitebouwer. Kans om nog wat bijkomende diensten, inclusief facturatie zomaar laten liggen

[Reactie gewijzigd door grrfield op 23 juli 2024 12:46]

Gwaihir @grrfield • 11 juni 2021 12:55

Hoe zit het dan wanneer die orthodontist had gevraagd het via email in te sturen (wat eveneens onbeveiligd is)? Had hij dan dan wel moeten weten?

Dat lijkt nog zoooo standaard

. En niet alleen in de categorie MKB, zoals ons kinderdagverblijf, maar ook bijv. de Lloyds Bank vraagt je om bij klant worden (spaarrekening) een kopietje paspoort te emailen

. Dit is echt nog schering en inslag.

GrooV @Gwaihir • 11 juni 2021 16:48

Een orthodontist mag niet om een kopie van je ID vragen, zie https://www.rijksoverheid...-te-geven-aan-een-bedrijf

Als een organisatie die dat wel mag doet dan overbodige gegevens zoals BSN en pasfoto worden afgeschermd op een kopie ID, daarnaast altijd erop zetten voor wie het is en met een datum

https://www.rijksoverheid...komen-met-kopie-id-bewijs

Die stappen volgen en het kopie ID is voor derden onbruikbaar, in theorie is dat het zelfde als je naam + geslacht, geboortedatum/plaats en nationaliteit in een email zetten

Gwaihir @GrooV • 11 juni 2021 16:56

BSN mag je niet afschermen naar een bank toe hoor..

En de belastingdienst (jaja, die weer) zet zelfs kinderdagverblijven onder druk de BSN van beide ouders op te vragen. (Niet met kopie paspoort natuurlijk.) Omdat ze met alleen de BSN van het kind kennelijk niet de juiste opvangtoeslag weten te koppelen

GrooV @Gwaihir • 11 juni 2021 17:11

Banken zijn NIET verplicht een kopie ID te maken! https://www.rijksoverheid...paspoort-maken-en-bewaren

BSN hebben ze wel nodig maar is geen vereiste dat deze op het kopie ID staat, volgens de wet dan, in de praktijk zullen ze het wel eisen, is toch makkelijker voor hun

[Reactie gewijzigd door GrooV op 23 juli 2024 12:46]

supersnathan94

@GrooV • 14 juni 2021 15:48

Banken zijn NIET verplicht een kopie ID te maken

Nee maar wel of niet kopie mogen maken zegt verder niks over de registratieplicht van een BSN. Ze vragen fysiek namelijk altijd om een paspoort of rijbewijs om iig te kunnen verifiëren dat BSN ook bij de persoon hoort. Dat ze daar dan geen kopie van hoeven te maken maakt niet uit.

karma4 @GrooV • 11 juni 2021 18:21

Orthodontologie is medische zorg.
Deze zijn verplicht het bsn te gebruiken in hun dossiers.
Dst kan enkel verangwoord gebeuren met een gedegen controle juiste persoon met juiste koppeling. Daar komt een kopie id gied van pas. Dat de AP die gedegen controle onmogelijk maakt is onwettelijk.

GrooV @karma4 • 11 juni 2021 19:11

Je kan ook gewoon je ID tonen bij bezoek, geen kopie nodig !

karma4 @GrooV • 30 juni 2021 20:20

Helpt niet want alles moet op het bsn geregistreerde en meedere instanties wettelijk verplicht doorgegeven worden. Je werkt fraude en privacyinbreuk in de hand met geloof dat het BSN de juiste persoon is,

3raser @grrfield • 11 juni 2021 09:20

Het zou mij dan weer niets verbazen als de orthodontist zijn website voor het laagste bedrag heeft laten bouwen en dat er over iedere vorm van bijkomende diensten, support en/of onderhoud geen overeenstemming werd bereikt omdat dat simpelweg geld kost. Websites zijn regelmatig het ondergeschoven kindje. Het werkt toch? Waarom zou je er dan verder nog tijd en geld in steken.

Dus zolang je niet het volledige verhaal kent is er weinig te zeggen over een eventuele schuld van de websitebouwer.

Polydeukes @grrfield • 11 juni 2021 13:59

Je hoeft geen monteur te zijn of kennis te hebben van autotechniek om je auto APK-gekeurd op de weg te houden. Wanneer je gebruik maakt van technologie voor je dienstverlening, dan wordt je gehouden aan de wet die toeziet op veilig gebruik van die technologie. Of je er dan zelf verstand van hebt, of de benodigde kennis inkoopt, is aan jezelf.

lappro @grrfield • 12 juni 2021 00:24

Als de orthodontist puur z'n eigen vak had willen uitvoeren, had die geen ondernemer moeten worden, maar gewoon werknemer moeten worden bij een bedrijf die wel de verantwoordelijkheid en risico's kan en durft te dragen.

grrfield @lappro • 12 juni 2021 18:22

Als de orthodontist puur z'n eigen vak had willen uitvoeren, had die geen ondernemer moeten worden, maar gewoon werknemer moeten worden bij een bedrijf die wel de verantwoordelijkheid en risico's kan en durft te dragen.

Onzin. De dingen waar ik geen verstand van heb laat ik door anderen doen. Kan ik dan geen ondernemer zijn?

lappro @grrfield • 14 juni 2021 10:53

Ik heb nergens gezegd dat je het niet mag uitbesteden, maar het is wel jouw verantwoordelijkheid dat te doen en ook een goede partij voor te kiezen. En jij blijft ook dan eindverantwoordelijk, zelfs als je onderling de verantwoordelijkheid doorschuift. Klant/overheid klopt bij jou aan en jij mag gaan regelen dat je onder aannemer het dan oplost/afhandelt.
Eventuele boetes betaal jij dan ook, maar kan je zelf dan weer verhalen op de onder aannemer afhankelijk van de afspraken, maar dat is weer jouw verantwoordelijkheid.

[Reactie gewijzigd door lappro op 23 juli 2024 12:46]

Rojod @grrfield • 15 juni 2021 17:57

Ik mis als webbouwer een bepaalde nuance; ondanks dat opdrachten vaak worden opgeleverd binnen de ruimte van de klant (dus hostingspakket wat gebruikt word), is dat niet altijd het geval. In het verleden ook wel alleen code aangeleverd.
Mogelijk is de klant, de orthodontist, inmiddels van host veranderd. Bovendien; er zou al gewerkt worden aan een nieuwe website. Als webbouwer heb ik niks van doen met de oude, míts ik daar een overeenkomst (zgn. SLA) voor afsluit, dat ik in de tussentijd deze volwaardig en veilig hou.
Daarnaast; als webbouwer heb ik vaker adviezen gegeven, die klanten in de wind bliezen. Als ik een website bouw, maar daar verder geen onderhoud bij zit bv, is het niet aan mij om een certificaat te regelen. Ik adviseer dit wel, maar in feite is een klant dan verantwoordelijk voor het realiseren, míts de klant dit niet uitbesteed aan mij. Tuurlijk lever ik het liefste altijd alles goed en volledig op, maar vaak gaan er dingen buiten mij om.

Neoldian @Anoniem: 696166 • 11 juni 2021 09:16

Mwa, voordat de GDPR/AVG vankracht werd, hadden we de WBP al, waarin dit ook al geregeld was, daarnaast kent de zorg ook de nodige protocollen, dus onwetenheid van de kant van de orthodontist is echt een kul verhaal. Dit soort zaken moet je weten/uitzoeken als je een eigen praktijk opzet.
Als ik morgen een bouwbedrijf ga beginnen, hoor ik ook op de hoogte van de regels te zijn, dan wel iemand daarvoor in dienst te nemen.

Of de claim door te schuiven is vind ik lastiger. Aan de ene kant kun je zeggen dat je levert wat de klant vraagt, aan de andere kant mag je ook verwachten dat ook professionele webbouwer wel enig weet heeft van te verwachten veiligheid. Daarnaast zie je welke gegevens gevraagd worden, dus dan zou ook een lampje moeten gaan branden en zou je je klant daarover moeten adviseren. Dan kan die uiteindelijk zelf bepalen wat hij wil.
Het is niet alsof privacy en dataveiligheid niet bestonden voor de GDPR.
Moreel heb ik daar wel een beeld bij, maar het juridische laat ik liever bij de juristen, die weten dat beter dan ik :-)

bbob

Privacy

@Arnoud Engelfriet • 10 juni 2021 20:07

Klinkt leuk webbouwer aansprakelijk stellen. Wanneer is de website gemaakt, is er een onderhoudscontract afgesloten of was het eenmalig ?
De webhoster kan ook met let's encrypt werken en zien welke websites het nog niet hebben. Ook daar ligt het aan de webhoster en welk contract je met ze hebt en hoe proactief ze zelf zijn.

Kan ook goed zijn dat websitebouwer wel proactief aanbod gedaan heeft maar wie weet is het allemaal te duur.

Dus zo maar roepen websitebouwer aansprakelijk stellen is wel heel eenvoudig zonder dat je meer informatie hebt.

gaskabouter @bbob • 10 juni 2021 20:34

Dat weet ik niet hoor. Als je iemand in dienst neemt ergens voor mag er ook vanuit gaan dat hij zijn werk goed doet. Ik hoef niet te weten wat ssl is, daar betaal ik hem voor. Er wordt vrij makkelijk gezegd dat iets niet is specifiek afgesproken maar juridisch gaat het er nu juist om wat je mag verwachten en niet zozeer wat je afspreekt.

Als je kraan lekt weet je dat de loodgieter iets niet goed gedaan heeft en bij ICT is dat lastiger maar als achteraf de uitkomst slecht is mag je rustig even kijken of degene die het gedaan zijn werk wel heeft gedaan.

En als het de buurjongen is is dat op zich niet heel anders. Hoewel een rechter uiteraard wel zal afwegen wat je van zo iemand mag verwachten en de orthodontist natuurlijk verwijten dat hij voor professionele opdrachten geen professional inschakelt

HollowGamer @gaskabouter • 10 juni 2021 21:00

Een 'professional' hoeft geen wonder dokter te zijn. Je hebt ook genoeg dure garages die je auto niet (goed) fixen, die parallel kan je ook doortrekken naar vrijwel elk ander beroep. Tevens maken mensen fouten en zijn zaken toch iets meer complex, anders hadden we ook geen rechters nodig gehad.

Een buurjongen kan dus ook veel professioneler zijn dan bedrijf X die netjes is ingeschreven en een heel team heeft. Genoeg bedrijven die echt maar wat stoeien, niets doen aan (hun) beveiliging, maar de buurjongen dus wel. Aan de andere kant heb je ook genoeg klanten die voor een dubbeltje op de eerste rang willen zitten of bepaalde eisen laten vallen want kosten.

Vergeet ook niet dat Let's Encrypt het gebruik van TLS flink heeft gepushed, daardoor was het helemaal een ramp. Zelfs T.net gebruikte een paar jaar geleden voor sommige delen nog HTTP, dat was sneller en zorgde voor minder server-load (staat nog ergens een goed artikel op T.net). Daarbij was het dus goed mogelijk dat sommige zaken wel degelijk 'lekte', ook al was dat niet de bedoeling.

Tegenwoordig is dat allemaal geen probleem meer, het gaat veelal sneller over SSL/TLS, maar dan moet die website wel zijn meegegroeid. Ik heb een tijd een website moeten onderhouden dat nog gebruikt maakte van Flash, terwijl die toen al op vrijwel geen enkel platform destijds meer werd ondersteund. De betreffende eigenaar wilde niet een nieuwe site laten bouwen. Tja, als de klant niet wilt, dan is het toch echt zijn probleem uiteindelijk, ook al heb je tig keer de voordelen uitgelegd (zoals inderdaad beter beveiliging). Je kunt dan kiezen om de klant af te stoten, maar dat is gelukkig niet mijn gebied.

M.a.w. er zitten altijd meerdere kanten aan een verhaal en afschuiven op 'de professional' is vaak niet het juiste.

[Reactie gewijzigd door HollowGamer op 23 juli 2024 12:46]

gaskabouter @HollowGamer • 10 juni 2021 21:04

Klopt natuurlijk maar in zo'n geval zou ik laten vastleggen dat ik niet verantwoordelijk ben voor de veiligheid. De eisen in de zorg zijn ook niet mals en moeten aan allerlei eisen voldoen. In mijn ervaring wordt dat volledig uitbesteed en accepteer je adviezen en kosten

HollowGamer @gaskabouter • 10 juni 2021 21:12

Dat valt echt wel mee hoor, iedereen mag een website bouwen, zolang het maar bestaat uit de gestelde eisen (AVG bijvoorbeeld) en voorstellen vanuit de aangesloten organisatie(s) - mocht die er zijn.

Niet elke site is AVG proof, of heb je het nieuws gemist over het systeem dat de GGD gebruikt? Dat is naar mijn weten ook door een professionele partij gebouwd, ook hier hebben er meerdere partijen (waarschijnlijk) schuld waarom het niet voldeed aan de AVG. Of wat dacht je van al die andere overheidssites? Of ons zorgsysteem waar mensen onterecht keken naar de gegevens van BN'ers?

De eis vaststellen dat je niet verantwoordelijk bent voor de beveiliging kan opzicht, maar dan moet klant X ook bereid zijn om meer geld/tijd te investeren in hun systemen/opleiden van medewerkers. Daar gaat het vaak mis, niet altijd, maar wel genoeg om niet alles op de verantwoordelijke bouwer af te schrijven. Laat staan dat medewerker X zelf de wet overtreedt.

[Reactie gewijzigd door HollowGamer op 23 juli 2024 12:46]

gaskabouter @HollowGamer • 10 juni 2021 21:31

Sorry. Ik bedoel als je opdrachtgever je adviezen niet opvolgt zou ik als opdrachtnemer dat laten vastleggen.

En iedereen mag alles maar als het misgaat krijg je dan gedoe. Dus als professionals maak je afspraken.

bazzi

@gaskabouter • 10 juni 2021 20:53

Of is de klant vergeten de kraan dicht te draaien. Wij bieden op elk pakket gratis ssl aan. Echter kan je het uitzetten en kan je beslissen niet te redirecten naar https. Beslis je er niks mee te doen is dat toch niet ons probleem....

gaskabouter @bazzi • 10 juni 2021 21:01

Kan natuurlijk hoor. Ik weet niet wat jouw ervaring is maar de kleine praktijken, eigenlijk allemaal, die ik ken laten letterlijk alles over aan hun ICT er.

SuperDre @gaskabouter • 10 juni 2021 21:46

Dus hoezo geven we hier altijd bij overheidsprojecten in de ICT de overheid de schuld, terwijl de schuld gewoon ligt bij de ICT bedrijven die ze inhuren.

gaskabouter @SuperDre • 10 juni 2021 21:58

Meestal omdat de overheid, en andere opdrachtgevers, gaandeweg eisen bijstellen omdat ze de scope van de opdracht vaak zelf niet overzien. Er zijn ook ICT boeren die daar prima mee om kunnen gaan en jaren van profiteren.

SuperDre @gaskabouter • 11 juni 2021 16:36

Nee, dan ligt het probleem nog steeds bij de ICT bedrijven voor het niet goed inventariseren wat de klant nodig heeft en wil.

Arnoud Engelfriet @bbob • 10 juni 2021 20:09

Afgaande op wat ik weet van webbouwers voor eenmanszaken is er geen onderhoudscontract maar reageert ie snel op appjes, zijn de AV heel lang geleden netjes bij de KVK gedeponeerd en heeft niemand nagedacht over Let's Encrypt. En dan is de webbouwer gewoon aansprakelijk. De zorgplicht gaat best ver bij dit soort basale dingen, zie https://blog.iusmentis.co...oet-je-wel-wat-voor-doen/ bijvoorbeeld.

cricque @Arnoud Engelfriet • 10 juni 2021 20:20

Sorry, maar als een klant niet wilt of er niet voor wilt betalen, of zegt ik zal dat wel doen ... Tsja daar stopt het dan he. Gratis ga je het niet doen. Maar je aansprakelijk kan je voor mij steken waar de zon niet schijnt. Als een klant geen onderhoudscontract wilt, of geen aanpassingen wilt doen. Tsja dan is hij zelf verantwoordelijk. Gratis moet een bedrijf niet werken. Velen weten zelfs nog niet wat gdpr is, vraag maar is aan een slager, electricien, loodgieter, schilder wat gdpr is ... 9 van de 10 zullen niet weten wat het is. Leg daar maar eens aan uit dat je kosten gaat rekenen voor een "slotje" op hun website, of iets moet doen voor cookie beleid. Dat is niet nodig is het antwoord. Dat kost geld en hoeft niet. Zelfs als je zegt, ja maar wetgeving. Niet belangrijk is het antwoord. Dat is de "real" world.

bwerg @cricque • 10 juni 2021 21:17

Maar je aansprakelijk kan je voor mij steken waar de zon niet schijnt.

Leuk voor je, maar aansprakelijkheid is niet alleen iets wat je hebt als je het expliciet hebt afgesproken, natuurlijk.

Je mag dan wel heel duidelijk contractueel vastleggen dat jouw website gewoon überhaupt niet geschikt is voor gebruik door echte klanten, als je aansprakelijkheid voor dit soort zaken wil ontlopen. Gewoon een uitleg geven waar de klant akkoord mee gaat omdat die het toch niet snapt, terwijl je ervan bewust bent dat die klant met jouw bouwsel de wet overtreedt, dat is natuurlijk wel erg makkelijk.

Velen weten zelfs nog niet wat gdpr is, vraag maar is aan een slager, electricien, loodgieter, schilder wat gdpr is ... 9 van de 10 zullen niet weten wat het is.

Dat wil niet zeggen dat ze niet aansprakelijk kunnen zijn.

Ik weet ook niets van dakpannen, maar als er eentje van het dak af dondert op iemands hoofd, ben ik toch echt aansprakelijk. Neem een verzekering, regel onderhoud door een professional, riskeer je aansprakelijkheid, of bezit gewoon geen bedrijf/dak.

[Reactie gewijzigd door bwerg op 23 juli 2024 12:46]

DataGhost

@cricque • 10 juni 2021 20:55

Hij heeft het over een zorgplicht. Als je extra rekent voor basale features zoals SSL en de klant wil daar niet voor betalen, moet je het gewoon geen optie maken. Dat betekent dus de klant verplichten ervoor te betalen of de klus gewoon niet aannemen. Daar ben je als bouwer gewoon zelf bij hoor. Dat is ook de "real" world. En als de klant dan toch zo'n domme bouwer vindt die de klus wel aanneemt, dan verdient die het ook. Het is niet per se aan de klant om op de hoogte te zijn van alle huidige regelgeving omdat dat zijn vakgebied helemaal niet is.

De gelinkte case gaat over beslissingen bij het begin van het project, niet achteraf. Wel kan je een punt hebben bij een reeds opgeleverd product waarna veranderde wetgeving voor extra kosten zorgt die de klant afwijst. Dan mag je ze volgens mij wijzen op hun eigen verantwoordelijkheid. Ik denk echter wel dat bij basale zaken als SSL de bouwer/hoster nog steeds verantwoordelijk is, mits die de technische mogelijkheden daartoe heeft. Anno 2021 (ook 2019) is dat niet meer iets waar je voor hoeft te betalen. Dat kan allang volautomatisch en gratis, en als het goed is heb je daar als bouwer/hoster al wat voor klaarstaan. Ik heb dat voor mijzelf al sinds 2016.

Foamy @DataGhost • 10 juni 2021 21:15

De originele site stamt uit 2010 volgens het rapport. Terwijl LE pas in 2012/2013 gestart is. Gratis certificaten waren destijds dus zeker niet gangbaar.

ralphm @Foamy • 10 juni 2021 21:47

StartCom is al 2006 begonnen met het uitgeven van gratis certificaten. Zeker vanaf 2009 was de bijbehorende root vrijwel universeel vertrouwd.

Foamy @ralphm • 10 juni 2021 22:07

Voor zover ik weet werden die pas in medio 2010 door het meerendeel van de browsers geaccepteerd. Maar dat betekent nog steeds niet dat gratis SSL certificaten gangbaar waren. Er waren een of twee aanbieders, maar daar hield het ook op..

Terwijl gratis SSL in veel gevallen tegenwoordig de norm is was dat in die tijd zeer zeker niet het geval.

cricque @DataGhost • 10 juni 2021 22:08

Ik heb het dus over dingen van +10 jaar die je ooit gemaakt hebt, klant wilt geen onderhoud, en hosting is dan nog bij een andere partij. Sorry maar dat is niet mijn verantwoordelijk. Deze klanten heb ik trouwens niet meer. Maar die had ik dus vroeger wel. Het is niet omdat ik 10 jaar geleden iets voor iemand gemaakt heb, dat ik daar nog tijd moet insteken, gratis dan nog wel. Denk dat er hier velen zelf eens een bedrijf mogen runnen. En nee ik ga mensen waar ik ooit iets voor gemaakt hebt zoveel jaren terug niet opbellen omdat er een nieuwe wet is. Sorry maar dat is mijn verantwoordelijkheid echt niet meer. En het gaat em over tijd, het is niet dat letsencrypt gratis is, dat ik daar gratis tijd moet insteken. Moest ik toch nog een site maken, dan is ssl zowieso standaard en onderhoudscontract of je zoekt maar iemand anders. Maar iets van +10 jaar geleden waarbij hosting nog bij een andere partij zit. Sorry maar deze mensen ga ik niet liggen opbellen etc. Dat is echt mijn verantwoordelijkheid niet meer.

Oon

@cricque • 10 juni 2021 21:51

Sorry, maar als een klant niet wilt of er niet voor wilt betalen, of zegt ik zal dat wel doen ... Tsja daar stopt het dan he. Gratis ga je het niet doen.

Let's Encrypt is gratis, en bij veel shared hosting platformen gewoon volledig automatisch met twee of drie klikken te doen. Absoluut geen reden om geen HTTPS af te dwingen.

cricque @Oon • 10 juni 2021 22:03

Het gaat niet om nieuwe dingen, maar om dingen met een leeftijd van +10 jaar. Sorry, maar als zij geen onderhoud wensen en hosting is nog bij een andere partij, dan ga ik dit ook niet doen. En het is niet omdat let's encrypt gratis is, dat ik het daarvoor allemaal moet instellen. En al zeker niet bij een "vage" hoster of iemand die ergens een servertje staan heeft. Voor nieuwe dingen is er geen excuus. Maar oude shit en de klant wil er niet voor betalen, sorry, maar gratis daar ben ik 15 jaar geleden mee gestopt. En die mensen zijn eigenlijk zelfs geen klant meer, want wil je niet updaten, dan zoek je maar iemand anders. Maar dan zou ik nog altijd verantwoordelijk zijn ? Dacht het niet

[Reactie gewijzigd door cricque op 23 juli 2024 12:46]

Oon

@cricque • 11 juni 2021 10:48

Maar dan ligt de verantwoordelijkheid ook niet bij jou maar bij de hoster. De developer is verantwoordelijk voor het maken van de website, niet het hosten ervan, tenzij de developer ook meteen hosting aanbiedt

kodak

Autoriteit Persoonsgegevens
Privacy
algemene verordening gegevensbescherming

@cricque • 10 juni 2021 22:50

Er is ook nog zoiets als professionaliteit. Als een ondernemer jou in dienst om een website te bouwen om persoonsgegevens te verwerken dan is al jaren bekend dat deze gegevens beschermd moeten worden. Als een klant er dan niet om vraagt of dat niet wil dan lijkt het me onredelijk als je dan de opdracht uitvoert om anderen risico te laten nemen die er wettelijk niet hoort te zijn. Je hoeft het natuurlijk ook niet gratis te doen, maar dan is de andere optie die klant gewoon niet te willen in plaats van er toch makkelijk wat aan te verdienen dat de klanten dan maar risico lopen.

R4gnax

Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete
Privacy

@cricque • 10 juni 2021 23:48

Dat is de "real" world.

En de wetgeving in de echte grote mensen wereld is dusdanig dat jij als je willens en wetens de opdracht toch onder de maat uit voert, verantwoordelijk gehouden kunt worden.

Wat betreft de GDPR/AVG: Je hebt als gecontracteerde verwerker sowieso een verantwoordelijkheid naar de verwerkingsverantwoordelijke om altijd meteen te melden als je een vermoeden hebt dat een opdracht tot gegevensverwerking wederrechtelijk is, in wat voor vorm dan ook.

Als je daarop als antwoord kort door de bocht iets terug krijgt zoals: "kan wel zijn, maar ik wil het toch" dan ben jij dus gewoon laakbaar en aansprakelijk als je dan toch de opdracht doorzet. Wat je op zo'n moment moet doen is zeggen: "Ok, dan houdt hier ons samenwerkingsverband op."

En voor dat soort gevallen kun je contractueel vast laten leggen dat bijv. de verwerkingsverantwoordelijke in zo'n situatie geen recht heeft om vooruitbetalingen terug te vorderen, etc. Zodat jij als welgemeende implementatiepartner niet meteen de bok bent.

[Reactie gewijzigd door R4gnax op 23 juli 2024 12:46]

Nemean @cricque • 11 juni 2021 00:38

Dat gaat echt niet op. Er is een rechtzaak geweest waarbij een IT dienstverlener aangeraden had om een bruikbare back-up te regelen. De klant in kwestie, een huisartsenpraktijk, had onvoldoende reden om te vertrouwen op een cloud back-up of een ander niet nader te noemen back-up pakket. Maar eerder in een USB oplossing en een simpel script wat door de leverancier beschikbaar was gesteld. Tijdens het updaten van een softwarepakket door de IT dienstverlener ging het mis en de back-up bleek niet goed te zijn. De rechtbank heeft (ondanks dat de dienstverlener dit kenbaar had gemaakt) de klant die de dienstverlener aansprakelijk stelde gelijk gegeven.

Je kunt er hier meer over lezen. Juridict - leverancier tekortgeschoten door ontbreken backup

En zo zijn er nog tal van voorbeelden bijvoorbeeld: IT Leverancier aansprakelijk voor deel geleden schade van klant.

Indien de klant het weigert, dan zul je als dienstverlener moeten zeggen, ik accepteer de opdracht niet.

Ik ken een internetbureau (uit eigen ervaring) die hun eigen broncode gewoon niet op orde heeft (plain text, XSS-mogelijkheden, plaintext medische gegevens opslaan (of via een PHP Mailer). Het is te duur om het goed te doen, dus waarom aanpassen

. Ook hebben ze in hun voorwaarden opgenomen dat de klant dit (tegen betaling, lees de gemaakte uren van eventuele betrokken medewerkers) ten alle tijden mogen toetsen middels een audit. Uiteraard gaat geen enkele klant dit doen.

cricque @Nemean • 11 juni 2021 10:00

Nogmaals mijn ding gaat over "draken" van +10 jaar terug. Ik heb die klanten allemaal opgebeld/gemaild dat er wijzigingen moesten gebeuren en of ik deze mocht uitvoeren. Was niet nodig. Daar stop het voor mij. Als de hosting bij mij ligt wil ik nog wel een ssl certificaat installeren. Maar daar stopt het. De gevallen waar ik over spreek is dat de hosting ook nog eens bij iemand anders gedaan is. Sorry, maar dan ik echt niet meer verantwoordelijk. Ik heb mijn werk gedaan, je op de hoogte gebracht, en jij wilt niet dat ik iets doe. Daar stop het voor mij en dat heb ik ook zo gecommuniceerd. Sorry maar hiervoor kan je niet meer aansprakelijk gesteld worden. Zo simpel is dat. Nieuwe opdracht is helemaal wat anders, daar is het simpel, we doen het goed, of je zoekt maar iemand anders. Maar ik heb het hier dus over "real world". De slager/kapper/schilder dikwijls 50+ die ziet het nut niet meer in om aanpassingen te doen. Het is goed genoeg zo, waarom moet ik iets aanpassen. Ik heb er hun op gewezen, zij willen niet. Tsja daar stop het voor mij. De site kan je ook niet weghalen he.

bzzzt @cricque • 11 juni 2021 11:11

Wat je zou kunnen doen is een site op abonnementsbasis aanbieden. Als het vanwege wettelijke aanpassingen nodig is kan je de prijs omhoog gooien. Wil een klant dat niet, prima, maar dan gaat de site uit...

cricque @bzzzt • 11 juni 2021 16:08

Tuurlijk, dat weet ik ook, maar dingen van 10 jaar geleden bood ik dus niet zo aan, 1 malig en dikwijls hadden die mensen al iets bij een hoster. Dus effe site refreshen en daar houdt het dan op. Met abonnement moet je bij velen zelfs niet afkomen, zelfs de dag van vandaag nog niet

bzzzt @cricque • 11 juni 2021 18:51

Klinkt alsof er veel meer boetes opgelegd moeten worden als klanten zo hardleers zijn…

cricque @bzzzt • 11 juni 2021 22:14

Yups het probleem zit me dikwijls in de "oudere" generatie van kleine zaken en eenmanszaken. Die hebben een pagina, en dat is genoeg voor hun. Het nut om nog te updaten of er nog geld in te steken is weg, want ze moeten nog 3-4-5 jaar doen en dan gaan ze op pensioen. Dat is een zeer moeilijk doelpubliek ...

RJeee @cricque • 12 juni 2021 08:36

Zolang het alleen een pagina met info is, zie ik het probleem niet zo.

bbob

Privacy

@Arnoud Engelfriet • 10 juni 2021 22:14

De link naar jou voorbeeld zegt specifiek:

Wat me daarbij opvalt, is dat er geen uitgebreide afspraken gemaakt maar op basis van goed vertrouwen tegen een vast tarief (380 euro per maand, ja maand) werd gewerkt.

Gaat over een vast contract dat iemand had in dit geval. Bepaald bedrag per maand, dan is er idd een zorgplicht. In veel gevallen bouwt iemand een website en heb je maandelijks huur van de sever. De vraag is dan hoe ver gaat de zorgplicht in dat geval ?

Als je dit doortrekt kun je ook stellen de hoster weet als websites geen https hebben, Deze kan dat zien, waarom doet de hoster dan niet standaard aan https of verplicht de klant hiertoe. Als zorgplicht zo ver gaat kun je hoster ook verantwoordelijk stellen als jij geen https hebt ?

3raser @Arnoud Engelfriet • 11 juni 2021 09:30

Stel dat je als IT bedrijf weigert de opdracht aan te nemen omdat de klant eist dat het onveilig moet. Dan komt er een nieuwe IT'er die het gewoon uitvoert en sta jij met lege handen. Dat klinkt prima behalve als je veel van dit soort klanten hebt en je bestaansrecht wordt bedreigt. Want wat kun je er als bedrijf met goede intenties aan doen als een bedrijf met verkeerde intenties er met je klanten vandoor gaan? Kun je ze ergens aangeven of een zaak tegen ze beginnen? Oftewel, kun je ergens je recht halen voor het mislopen van inkomsten dankzij klanten die niet mee willen werken aan hun eigen veiligheid?

Yoshi @bbob • 10 juni 2021 20:28

omgekeerd is het even gemakkelijk om te zeggen dat die bouwer wel aansprakelijk is ;-). Aan die bouwer om te bewijzen dat ie op zijn minst gewezen heeft daarop. Of aan de aanvrager van de website om aan te tonen dat daar nergens op gewezen wordt.

[Reactie gewijzigd door Yoshi op 23 juli 2024 12:46]

Anoniem: 334725 @bbob • 10 juni 2021 21:08

Bouwer heeft zich aan de wet te houden. Onwetendheid is geen excuus, en dan helemaal niet als professional.

bbob

Privacy

@Anoniem: 334725 • 10 juni 2021 22:16

Hoeveel sites zijn er niet tig jaar geleden gemaakt, draaien nog en zijn verder niet veranderd ?
Als je dan eenmalig hebt betaald hoe lang is een bouwer dan verantwoordelijk.

Nemean @bbob • 11 juni 2021 00:41

Uit eigen ervaring hebben veel internet bureau's een clausule verwerkt in de algemene voorwaarden dat er een garantie periode is van 1 a 2 maanden. Alle wijzigingen nadien zijn meerwerk en komen dus voor de rekening van de klant.

En dan nog maar op te houden over de internet bureau's die een eigen CMS gebouwd hebben die amper bijgewerkt is.

bbob

Privacy

@Nemean • 11 juni 2021 08:06

eigen cms bouwen is natuurlijk weer iets anders. Daar zou je als er geen updates komen wel iemand voor aansprakelijk kunnen stellen.

bytemaster460 @Anoniem: 334725 • 11 juni 2021 09:47

De bouwer heeft niets met de AVG te maken. De opdrachtgever is er verantwoordelijk voor dat hij of zij met zijn bedrijf voldoet aan de AVG. Als ik een IT bedrijf opdracht geef om een website te bouwen zonder SSL hoeft die bouwer echt niet te zeggen: dat doen we niet. Dat is tegen de wet.
Het is natuurlijk wel netjes als de bouwer een onwetende opdrachtgever hierover ongevraagd adviseert.

HoleinOne @bbob • 10 juni 2021 21:30

Als een klant niet wil betalen voor een certificaat is de klant heeel snel geen klant meer van mij.

rable @Arnoud Engelfriet • 10 juni 2021 20:08

Die aansprakelijkheid is moeilijk af te dwingen denk ik. De verplichting ligt immers bij de eigenaar van de website. Als webbouwer huiver ik bij de gedachte dat dit zou lukken want heel veel van onze klanten hebben nog altijd geen goed cookie opt-in beleid ondanks herhaaldelijk aandringen van onze kant. Maar ja, de ontwikkeling van die opt-in kost geld, net zoals de activatie van een SSL certificaat door een professional, dus...

Yoshi @rable • 10 juni 2021 20:34

als jullie kunnen aantonen dat jullie daarop aandringen is er toch geen probleem? Maar als je als aanbieder van websites (en dus de kennis hebt) dat nalaat ben je (naar mijn inziens) op zijn minst deels aansprakelijk.

R4gnax

Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete
Privacy

@Yoshi • 10 juni 2021 23:56

als jullie kunnen aantonen dat jullie daarop aandringen is er toch geen probleem? Maar als je als aanbieder van websites (en dus de kennis hebt) dat nalaat ben je (naar mijn inziens) op zijn minst deels aansprakelijk.

Als je de wetstekst van de AVG er op naslaat, dan staat daar in dat een verwerker verplicht is om bij een vermoeden dat een verwerking wederrechtelijk is, dit aan de verwerkingsverantwoordelijke te melden.

De AVG stelt geloof ik ook dat als je als verwerker handelt in strijd met de AVG door in de context van een verwerking eigenhandig een beslissing te nemen of en hoe gegevens verwerkt worden zonder hiervoor eerst toestemming van de verwerkingsverantwoordelijke te hebben gekregen, je voor de context van die verwerking behandelt wordt als een verwerkingsverantwoordelijke. Maw. jij bent op dat moment de partij die de 20mil / 4% jaaromzet aan boete gepresenteerd kunt krijgen.

De vraag is even hoe beiden gecombineerd gezien moeten worden. Maar het kan goed zijn dat als men bewezen acht dat jij om jezelf 'gedoe' te besparen, op de stoel van de verwerkingsverantwoordelijke bent gaan zitten en ondanks gesignaleerde wederrechtelijkheden zelf besloten hebt om toch de verwerking door te zetten, je inderdaad gaat hangen...

[Reactie gewijzigd door R4gnax op 23 juli 2024 12:46]

Nemean @Yoshi • 11 juni 2021 00:43

Zo werkt het helaas niet, ik heb hierboven ook inhoudelijk een reactie gegeven. Als een klant weigert dan komt de verantwoording helaas bij de bouwer te liggen. Hij moet er voor zorgen (zorgplicht) om de klant hier bij te ondersteunen. Er zijn tal van voorbeelden te vinden (al zij het in een iets andere context) waarbij de dienstverlener het bokje was in de rechtbank.

Zie. https://tweakers.net/nieu...ction=16176032#r_16176032

vrow @rable • 10 juni 2021 20:46

Ik raad ook altijd al onze klanten aan om 2FA te gebruiken op remote logins. Dat kost ook geld en daarom willen de meeste klanten dat niet.
Maar ik moet wel zeggen dat ik geen document heb waar mensen moeten tekenen voor ‘ik hoef geen 2FA en ik weet dat dat veiliger is’. Dus dat is een lastig punt. Want hoe kun je dan bewijzen dat je het wel hebt aangeboden / onder de aandacht gebracht? Ik vraag me dat echt af hoe je dit goed kan regelen zonder dat je verontwaardigde klanten krijgt.

Anoniem: 294759 @vrow • 11 juni 2021 00:24

Vanuit de ‘bijzondere zorgplicht’ ben je verplicht om die waarschuwing te geven en zelfs zonodig de opdracht te weigeren.

Hoe je dit gedekt krijgt is dat je het opneemt in je offerte en/of functioneel ontwerp richting de klant of in je schriftelijke communicatie. Dan staat het zwart op wit.

Wil de klant daar geen extra kosten voor betalen, ben je zelfs verplicht om de opdracht te weigeren.

https://solv.nl/blog/de-zorgplicht-van-it-leveranciers/

[Reactie gewijzigd door Anoniem: 294759 op 23 juli 2024 12:46]

Zenomyscus @rable • 11 juni 2021 13:17

Herkenbaar. Ik spreek uit ervaring als ik zeg dat er genoeg klanten zijn die niet willen betalen. Geen idee of dat hier bij de ortho het geval is overigens. Maar ik ben zelf ook wel eens met een project na 8 jaar gratis support gestopt omdat het dan gewoon niet meer gaat. Ieder ding kost je dan alleen maar tijd en gezeik ("zucht, bellen zij weer"). Dan moet je eigenlijk opnieuw beginnen of andere delen ook updaten. Maarja, klant zegt 'het draait, dus dat gaan we niet doen'. Ondertussen verwachten ze wel dat je ieder jaar de applicatie gratis onderhoud. Softwareupdate? Mag je zelf regelen. Nieuwe versie van een taal waar security fixes in zitten? Prima joh, doe ik wel in mijn eigen tijd... Nou na 8 jaar was ik het zat. Zeker toen bepaalde features hun browsersupport verloren. 'kun je dat niet vervangen dan'. Ja dat kan, kost zoveel. 'nee dat vind ik het niet waard'.

Uiteindelijk de klant aangeven dat er een deadline aan kwam met 3 opties:
- betalen voor de fix, op basis van oude software
- alles vernieuwen
- naar een ander

cricque @Arnoud Engelfriet • 10 juni 2021 20:14

Tsja ... zelfs als je tegen klanten zegt, je moet ssl hebben. Dan is het dikwijls, niet nodig. Velen weten zelfs nog niet wat het is, dat is hun ding niet. Onderhoudscontract ... nee dat hoeft niet, we wijzigen toch niks. Dan mag je nog mailen etc, maar je steekt daar ook verder geen tijd meer in. Waar ligt de fout dan ?
En ik heb ook vroeger gehad ... ik de site gemaakt, en nadien "onderhoud" ging iemand anders doen, 10 jaar later is die site nog altijd niet aangepast. Wie zijn fout is dat ? Sorry, maar duidelijk dat jij niet in de "echte" wereld woont

stefanhendriks @cricque • 11 juni 2021 08:27

je moet klanten ook niet vragen of ze iets nodig hebben, terwijl je weet dat ze die wel nodig hebben ;-)

Als jij weet dat SSL een must-have is (want data over de lijn, prive gegevens, etc). Dan zeg je "dit moet zo, hoort erbij, of je zoekt maar een ander". Dat verwoord je natuurlijk diplomatieker...

Tomatoman @Arnoud Engelfriet • 10 juni 2021 20:25

En hoe stel je je dat voor als die webbouwer de hulpvaardige buurjongen van de orthodontist is, die jaren geleden de bewuste website heeft gebouwd met zijn kersverse middelbare-schoolkennis?

Ik snap wel dat er een boete wordt uitgedeeld, maar om vanuit een situatie waar er nog nooit een boete is uitgedeeld voor het gebruik van een onbeveiligd webformulier in één keer over te stappen naar een boete van € 12.000 voor een kleine ondernemer, vind ik lastig te begrijpen. Het voelt een beetje alsof een agent staat te laseren in een 50-kilometerzone, eerst dertig auto’s die 70 rijden ongehinderd laat passeren, dan ineens een krakkemikkig autootje dat 55 rijdt laat stoppen en een bekeuring uitschrijft. Ook al is de bekeuring terecht, het voelt nogal willekeurig en disproportioneel.

Sietse Vliegen @Arnoud Engelfriet • 10 juni 2021 20:31

Een kleine ondernemer pakken als afschrikwekkend voorbeeld? Tjongejonge.

Stel je voor dat het jou zelf overkomen was @Arnoud Engelfriet had je het dan ook zo redelijk gevonden?

Of zou de boete in jouw geval nog factoren hoger geweest zijn, omdat jij inhoudelijk deskundig bent?

Een beetje begrip voor kennisgebrek bij ondernemers, een waarschuwing en/of een voorwaardelijke boete was meer op zijn plaats geweest.

bytemaster460 @Sietse Vliegen • 11 juni 2021 09:50

Grote of kleine ondernemer maakt niet uit. Zou gek zijn als je daar een selectie op gaat maken. De hoogte van de boete is afhankelijk van de grootte van de organisatie en de omzet. Bij een kleine ondernemer komt het niet harder aan dan bij een grote.

Zenomyscus @bytemaster460 • 11 juni 2021 13:11

Wel als die ortho de factuur neerlegt bij een kleine webbouwer. De boeite is gekoppeld aan de omzet / grootte van de ortho, niet aan de webbouwer.

bytemaster460 @Zenomyscus • 11 juni 2021 13:20

Dat mag hij daar niet neerleggen. Hij is zelf verantwoordelijk voor naleving van de AVG, niet de websitebouwer. Als de websitebouwer heeft aangegeven dat de site AVG-proof is, kan hij een civiele zaak aanspannen om te kijken of hij de schade van 12.000 euro kan verhalen. De rechter bepaalt dan welk deel de websitebouwer moet betalen.

Sietse Vliegen @bytemaster460 • 14 juni 2021 08:43

Het gaat mij niet om de hoogte van de boete, maar een klein bedrijfje als afschrikwekkend voorbeeld gebruiken. Denk je dat een (veel) groter bedrijf ook maar 1 seconde aandacht besteed aan dit voorbeeld?

bytemaster460 @Sietse Vliegen • 14 juni 2021 13:28

Meestal werkt het juist andersom. De kleinere bedrijven denken dat de handhaving zich vooral op de grotere bedrijven ligt. Het feit dat zowel kleinere als grotere bedrijven boetes krijgen geeft juist aan dat iedereen zich gewoon aan de regels moet houden, groot en klein.

Sietse Vliegen @bytemaster460 • 14 juni 2021 14:40

12 boetes, waarvan 1 aan een klein bedrijf. Staat in geen verhouding tot de rest van de EU.

bytemaster460 @Sietse Vliegen • 14 juni 2021 14:59

Ik ben van mening dat het niet uitmaakt of het nu een groot of klein bedrijf is. Als je de wet overtreedt kun je nu eenmaal een boete krijgen.

Sietse Vliegen @bytemaster460 • 14 juni 2021 15:43

Als ik een koekje steel bij de bakker, is dat formeel diefstal. Als ik een Van Gogh ter waarde van miljoenen steel is dat formeel ook diefstal. Denk je werkelijk dat het niets uitmaakt?

bytemaster460 @Sietse Vliegen • 14 juni 2021 15:50

Als ik als bijstandsmoeder door rood rijd krijg ik exact dezelfde boete als wanneer een Jef Bezos dat in Nederland zou doen.
In dit geval is de omvang niet bepalend maar de daad zelf.

Sietse Vliegen @bytemaster460 • 14 juni 2021 16:55

Als een bijstandsmoeder elke dag een brood steelt (om te overleven) en Jef Bezos steelt elke dag een brood (niet omdat het moet, maar gewoon omdat het kan), dan gaat de rechter toch echt wel Jef Bezos een hogere straf geven.

Daarmee hebben we niet een inkomensafhankelijk systeem zoals bijv. Finland toepast bij verkeersboetes, maar wel een rechter die rekening houdt met omstandigheden.

bytemaster460 @Sietse Vliegen • 14 juni 2021 16:58

Maar in dit geval gaat het dus om boetes die afhankelijk van de grootte van het bedrijf worden opgelegd... Een bedrijf wordt dus even hard geraakt en men geeft een signaal af dat iedereen zich aan de wet moet houden. Ook als je een klein bedrijf bent.

Sietse Vliegen @bytemaster460 • 15 juni 2021 17:58

Dat lijkt me een goed signaal, maar de uitvoering in NL wijkt dus wel sterk af van de rest van de EU.

Gwaihir @Arnoud Engelfriet • 10 juni 2021 20:49

Ik vind het op zich een belangrijk en krachtig signaal dat dit soort (basic en eenvoudige) zaken op orde moeten zijn. Maar waarom er dan dik twee jaar over doen? Dat staat in schril contrast met zo snel mogelijk duidelijkheid geven voor iedereen, incl. dat afschrikken, en hoe basic het is.

Luchtbakker @Arnoud Engelfriet • 10 juni 2021 21:29

Van een waarschuwing schrikt de rest niet. En als ik die orthodontist mocht adviseren: stel je webbouwer aansprakelijk voor die 12.000 euro. Schrikken die ook eens.

Ligt er aan wat de eisen des tijds waren. Websites veranderen vaak jarenlang niet. Iets wat 5 jaar geleden niet noodzakelijk was kan een website bouwer nu niet voor aansprakelijk gesteld worden.

Is de site vrij nieuw, dan heb je inderdaad wat uit te leggen.

lecrab @Arnoud Engelfriet • 11 juni 2021 08:44

Precies dat. Deze is in gebreke gebleven, en eerlijk gezegd, als je dit niet actief organiseert als webbouwer, moet je je schamen.

Johnny D @Arnoud Engelfriet • 11 juni 2021 09:10

Je bent altijd nog zelf aansprakelijk , net zoals met je belasting terug gave en of invulling

bzzzt @Arnoud Engelfriet • 11 juni 2021 11:35

Uiteindelijk is de logische conclusie van dit verhaal voor alle zelfstandige ondernemers zoals deze: laat geen ICT bouwen door kleine bedrijfjes die niet zelf de verantwoordelijkheid willen en kunnen nemen voor AVG overtredingen.
Koop ook geen maatwerk maar neem een (abonnements) dienst af waarbij de leverancier doorlopend veiligheids en wetgevings updates doorvoert. Dat hoeft niet per se meer te kosten als er voldoende klanten zijn die een specifieke oplossing delen (ik kan me voorstellen dat een generiek zorgaanbieder aanmeldportaal al een ding is, waarom zelf een site in elkaar hobby-en?).

Voor de 'uurtje factuurtje' maatwerk prutsers is het jammer: dit soort incidenten laat zien dat de tolerantie voor broddelwerk aan het afnemen is en de lat flink omhoog moet. Als ik naar een aannemer ga en vraag voor de helft van het geld een bouwval in elkaar te timmeren krijg ik ook mijn zin niet. Waarom zou je wel een onvoldoende beveiligde website leveren?

karma4 @Arnoud Engelfriet • 11 juni 2021 18:12

Een goede advocaat zou ook de AP het vuur aan de schenen kunnen leggen.
- Waar is de onderbouwing van die https verplichting? Enkel een verwijzing naar de laatste stand van de techiek en dat selectief gebruiken is niet steekhoudend.
- is er wel een datalek?
Een hypothetisch dat iemand wat zou hebben kunnen zien lijkt me geen bewijs van dat het ook gebeurd is.
- het gebeuren van een klacht van een derde en dat met veel moeite naar een boete laten werken zit mij juridisch niet lekker. De weg naar afpersing is zo snel gemaakt.
- wat mij ook niet bevalt is dat via een omweg de AP kennelijk het pad op gaat om It toezichtshouder te willen worden.

Geim @LordMike • 10 juni 2021 19:52

Dit lijkt mij niet echt een goede zaak aangezien ondertussen de website wél inorde is

Dat is een dooddoener. Omdat ik nu niet meer te snel auto rijd, hoef ik de boete voor een snelheidsovertreding van vorige maand niet meer te betalen?

LordMike @Geim • 10 juni 2021 19:55

Té snel rijden is een bewuste keuze, deze praktijk heeft echt niet bewust de GDPR wetgeving overtreden!

ik vind je vergelijk daarom dus echt mank!

Blokker_1999

Boete
Privacy

@LordMike • 10 juni 2021 20:10

Er is zoveel te doen geweest rond de AVG. Dit soort dingen horen gewoon op de checklist te staan.

Te snel rijden is ook niet altijd een bewuste keuze. Een moment van onoplettendheid kan voldoende zijn om geflitst te worden. Ook het ontbreken van https kan je toeschrijven aan niet oplettend genoeg zijn. In beide gevallen is er geen kwaad opzet bedoeld, maar in beide gevallen heb je wel de wet overtreden.

En dat mag, en moet bestraft worden wanneer het opgemerkt wordt door de respectievelijke handhavers.

karma4 @Blokker_1999 • 11 juni 2021 18:14

Als je elke mogelijke overtreding ol aangeven van derden beboet wil zien dan ben je voor een sleepnet.

Het is niet eens duidelijk of https http wel tot een datalek leidt.

kodak

Autoriteit Persoonsgegevens
Privacy
algemene verordening gegevensbescherming

@LordMike • 10 juni 2021 20:46

In dit geval is de wet overtreden ook een keuze. De ondernemer lijkt namelijk geen verantwoordelijkheid te willen nemen dat deze persoonsgegevens al jaren en jaren goed dient te beschermen. Dat was ook al zo voor de avg. Daarbij mag wel aangenomen worden dat iemand die in de gezondheidszorg werkt weet dat je zorgvuldig met persoonsgegevens van je cliënten dient om te gaan. Dat is zelfs al van ruim voor de privacywetgeving. Daarbij lees ik niet dat deze ondernemer ook maar iets gedaan heeft om zelf verantwoordelijkheid te dragen door het zelfs nu nog af te schuiven.

bwerg @LordMike • 10 juni 2021 20:02

Té snel rijden is een bewuste keuze

Heel veel mensen letten ook gewoon niet op hun snelheid. Is het dan wél prima?

Daar kom je als automobilist niet mee weg omdat je gewoon verantwoordelijk bent voor je weggedrag, en je wordt geacht de verkeersregels te kennen. Als je met persoonsgegevens omgaat wordt je ook geacht om de regels te kennen, of een partij in te schakelen die die regels kent (en daar ook de verantwoordelijkheid voor draagt).

Een website-bouwer die BSN-nummers in laat vullen over een onbeveiligde verbinding is gewoon niveau basisschool. "Wist ik niet" kan echt niet.

[Reactie gewijzigd door bwerg op 23 juli 2024 12:46]

themadone @bwerg • 10 juni 2021 20:31

Wist ik niet kan echt niet?

Als ik zie hoeveel webdevelopment partijen programmeer werk outsourcen momenteel of personeel hebben die de nederlandse taal amper machtig zijn vraag ik me af of dat waar is.

Sowieso bijzonder dat een orthodontist je BSN nodig heeft om zijn werk te kunnen doen maar dat zal vast vereist zijn door een applicatie aangeleverd door de overheid. Diezelfde overheid had deze arme digibeet er dan even op moeten wijzen dat het niet verstandig is deze op een andere manier te vergaren als in persoon.

En als de persoon die de klacht heeft ingediend het allemaal zo goed weet, vul je het formulier toch niet in? Je hebt zelf ook een verantwoordelijkheid natuurlijk.

En ja HTTP is natuurlijk onveilig, maar denk je echt dat er iemand(anders dan de politie/fiod/overheid) de moeite gaat nemen om een orthodontist te hacken/tappen en dit ook daadwerkelijk uit te buiten.

Klinkt meer als een gevalletje Karen stopt niet met mailen/bellen en zeuren dus doen we maar een boete.

bwerg @themadone • 10 juni 2021 21:09

Als ik zie hoeveel webdevelopment partijen programmeer werk outsourcen momenteel of personeel hebben die de nederlandse taal amper machtig zijn vraag ik me af of dat waar is.

"Kan echt niet" is goed Nederlands voor "het is niet acceptabel"...

Dat iemand na één les javascript dit niet wist, dat snap ik ook wel - die persoon moet je als ortodontist dan ook gewoon niet inhuren.

En als de persoon die de klacht heeft ingediend het allemaal zo goed weet, vul je het formulier toch niet in? Je hebt zelf ook een verantwoordelijkheid natuurlijk.

Je mist het hele punt van dit soort boetes, namelijk dat die ortodontist honderden klanten zal hebben, waarvan het overgrote deel geen idee heeft wat er mis mee is, en die lopen hierdoor allemaal een risico. Het gaat niet over dat die ene persoon het niet leuk vond natuurlijk.

Met die redenering kun je elke vorm van bescherming van persoonsgegevens wel afschaffen, alsook consumentenbescherming, en zo kun je wel even doorgaan. Immers "als de winkel allemaal onwettige dingen doet, ga je als klant toch gewoon naar een andere winkel?". Nee, dat is niet hoe handhaving van wetten werkt.

maar denk je echt dat er iemand(anders dan de politie/fiod/overheid) de moeite gaat nemen om een orthodontist te hacken/tappen en dit ook daadwerkelijk uit te buiten.

Ja, laat partijen lekker allemaal zelf bepalen dat de meest basale beveiligingstandaarden voor hun klanten niet nodig zijn. Want digitale criminaliteit is echt niet de orde van de dag of zo...

[Reactie gewijzigd door bwerg op 23 juli 2024 12:46]

R4gnax

Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete
Privacy

@themadone • 11 juni 2021 00:09

En ja HTTP is natuurlijk onveilig, maar denk je echt dat er iemand(anders dan de politie/fiod/overheid) de moeite gaat nemen om een orthodontist te hacken/tappen en dit ook daadwerkelijk uit te buiten.

Dwaas. Een onversleutelde verbinding wil niet zeggen dat men bij wijze van virtueel bij de server van de ortho moet staan posten. Het will zeggen dat alle verkeer die naar die site vloeit door elke tussenschakel te onderscheppen is.

Even gegevens invullen terwijl je bij de Starbucks aan je koffie zit. Dacht je op de gratis Wifi te zitten, maar nee; je hebt niet gezien dat je feitelijk was verbonden met een malafide relay van iemand in de zaak die daar bewust is gaan zitten om op deze manier gegevens te jatten en op het dark web te verkopen. En die heeft nu jouw NAW gegevens en BSN. Kassa.

onetime @themadone • 16 juni 2021 20:24

Vertel eens, hoe lekt een uniek voor 2 of 3 berichten naar 1 bedrijf gebruikt email-adres uit?
Je weet wel, <bedrijf>@domein.tld, als het email-adres waar dat bedrijf met jou contact kan opnemen.
Is dus echt al gebeurt. Komt nu soms spam op binnen.

DerDee @bwerg • 10 juni 2021 20:40

Een groot verschil: Core business.

Als je auto aan het rijden bent heb je 1 taak, veilig gedragen op de weg. Als jij 60 rijd waar je 50 mag, krijg je niet direct een bekeuring je moet even pech hebben dat je langs een flitspaal rijd. Een politie auto zal je niet eens aanhouden hiervoor.

Voor deze Orthodontist is zijn website niet zijn core business, maar slechts een tool die hij gebruikt. En hoewel het ergens kwalijk is dat dit gebeurt zonder beveiliging hebben we dit:
1. Jaren zo gedaan zonder dat iemand er naar kraaide voordat de regelgeving kwam.
2. Bij lange na niet de enige manier is dat de data onveilig is. Zelfs met certificaat is het niet veilig, want certificaat kan gestolen worden, krijgt hij dan ook 12k boete? Of een hostile takeover op host niveau?

Hoewel 12k voor ons als persoon veel klinkt lees ik in andere reacties dat het wordt aangepast op het bedrijf, dus daarover val ik minder. Maar de reden erachter is om te voorkomen dat dit soort praktijken voorkomen. Geef ze dus bij voorbaat een 12k boete als na een basis inspectie (2min werk), die mogelijk later nog wordt nagekeken (de 2 jaar onderzoek). Of nog beter, laat ze de site direct offline halen met een boeteclausule van 1000 euro per dag zolang het niet onder https draait. Dit zorgt er daadwerkelijk voor dat onveilige sites snel worden verholpen. Nu was het in februari 2019 bekend, en in slechtste geval zou het nu pas worden gefixed (in situatie waarbij er nog geen nieuwe site was gemaakt). 2 Jaar onveilige situatie in plaats van 2 uur, het middel strookt niet met het doel.

Wat ik daarnaast nog opmerkelijk vind is dat je als consument en bedrijf verplicht met datalekken te melden. Maar notabene een privacy waakhond hoeft niet te melden als je een onveilige situatie op je site hebt staan, die gaan eerst 2 jaar onderzoek doen om je daarna voor die periode een bekeuring te geven. Ook dit gaat tegen de logica in om een veilige internet ervaring te creëeren, ik vind het een schande.

bwerg @DerDee • 10 juni 2021 20:58

Als je auto aan het rijden bent heb je 1 taak, veilig gedragen op de weg.

Het onderhoud aan mijn auto besteed ik ook uit maar als mijn wiel opeens wegschiet, en die veroorzaakt schade, ben ik toch echt gewoon aansprakelijk.

En daar is voor mij een simpele oplossing voor: afschuiven op mijn verzekering, of op de automonteur die een blunder heeft begaan en beter had moeten weten. En zo ook hier: ja, de ortodontist weet hier vast geen zak vanaf, maar hij mag zich ofwel tegen risico's verzekeren, ofwel zijn externe leveranciers aansprakelijk stellen. Je kan niet verwachten dat ortodontist en leverancier zich beiden nergens druk over maken, en dat de aansprakelijkheid dan zomaar verdwijnt. Ze mogen het onderling uitvechten.

En aangezien de website uiteindelijk toch echt van de ortodontist is is die het eerste aanspreekpunt. De AP gaat niet uitzoeken wie er allemaal aan die website geklust heeft en welke entiteit de fout nou uiteindelijk gemaakt heeft, dat mag de aansprakelijke zelf doen.

hebben we dit: Jaren zo gedaan zonder dat iemand er naar kraaide voordat de regelgeving kwam.

Ja, jammer dan. Die regels zijn er ook al jaren, er is een hele tijd lang gewaarschuwd. We verbranden ook al een tijdje geen asbest meer.

[Reactie gewijzigd door bwerg op 23 juli 2024 12:46]

DerDee @bwerg • 10 juni 2021 22:00

Weet niet waar je ineens in compleet ander voorbeeld voor nodig hebt, vind het vooral een heel raar voorbeeld, maar ik zal erin proberen te werken om je duiding te geven. Maar kijk niet gek op als je rare dingen leest, jij bent begonnen

.

Je hebt helemaal gelijk, de orthodontist is aansprakelijk, dat heb ik nooit ontkent. Het is zijn website en uiteindelijk is hij aansprakelijk. Maar zoals jij raar zou staan te kijken dat je wiel er ineens alleen vandoor gaat is dat bij hem ook zo dat dit regels overtreed. Daar zou je in handhaving rekening mee moeten houden, want (in tegenstelling tot snelheidsovertreding) ging hier iets mis waar duidelijk niet bekend was.

Vandaar ook zijn, enigszins vreemde, verwijzing dat de website bouwer niet had aangegeven dat het een optie was. Maakt de websitebouwer niet schuldig of verantwoordelijk, maar daar is waar het bedrijf het van had hopen te horen.
Als je wiel dus losschiet en daarmee iemand zwaar letsel aandoet, wordt je niet met getrokken pistolen in de boeien geslagen, om vervolgens als zware crimineel meegenomen naar het bureau. Nee, je zult netjes in de auto mogen stappen en meerijden naar het bureau. In tegenstelling tot het figuur dat op straat hetzelfde letsel aandoet bij iemand met zijn blote vuisten. Die zal wel zo worden gearresteerd, hopelijk.

Nog allemaal niet zo gek hopelijk, nu komt die. Tot een paar jaar terug was het gewoon om een wiel met een schroef vast te zetten aan je auto. Nu vinden we dat een bijzonder gevaarlijke situatie. Als je geen verstand hebt van auto's (en APK zou niet bestaan zoals dat bij websites het geval is), ga jij er geen 3 extra schroeven indraaien. Dan zeggen mensen ook niet "Jammer dan! Die regels zijn nu zo.".
Nee, iets dat we lange tijd anders hebben gedaan, kun je niet van een leek verwachten dat hij dat zelf opmerkt.

Nu is het nog mooier, iemand meld bij de RDW dat jij nog steeds met maar 1 schroef in je wielen rondrijd, en hij vind dat een levensgevaarlijke situatie. Dat vind de RDW ook, en hebben daarom de handhaven daarom de regels om er tegenwoordig 4 of 5 in te moeten hebben. Maar in plaats dat ze naar je toekomen en je een waarschuwen dat je dat moet aanpassen, gaan ze twee jaar je auto in de gaten houden en kijken of je nog steeds rijd met de levensgevaarlijke 1 schroef situatie. En na die twee jaar heb jij er ondertussen al meer ingedraaid, omdat ome harry jou vertelde dat dat toch echt levensgevaarlijk is wat je aan het doen bent. Maar dan staat de RDW bij jou op de stoep met een process verbaal omdat jij 1,5 jaar lang met 1 schroef in je wiel rondreed.

Dat de regels "al jaren zo zijn", maakt niet uit, als je er geen kennis van hebt kan het zo zijn dat er al sinds 2018 minimaal 4 schroeven in een wil moeten zitten, maar je bent er pas op geattendeerd door ome harry in 2020, toen heb je het gelijk aangepast. Als RDW zich had gemeld in 2019, of de melder in 2018, dan had je het al in 2018 of 2019 gefixed.

In deze super maffe situatie, het gedrag van wie vind jij het meest kwalijk te nemen?
Ik van de RDW, daarna degene die het de RDW meld en niet jou en daarna pas jou. Uiteindelijk ben jij verantwoordelijk, dat zal niet veranderen. Maar het gedrag van de andere twee vind ik velen malen erger als iemand die niet weet dat hij iets fout doet.

Joris D @DerDee • 11 juni 2021 09:20

Dus als iemand zich gevaarlijk op de weg gedraagt en anderen in gevaar brengt, dan is dat acceptabel tot we hem daar maar persoonlijk op aanspreken? En een boete is niet terecht tot we dat hebben gedaan? Vreemde stelling.
Je auto moet altijd aan de apk eisen voldoen. Daar ben je zelf verantwoordelijk voor om dat te regelen, of laten regelen door een expert. Als de politie het opmerkt schrijven ze ook boetes uit als je niet aan de eisen voldoet. Zelfs niet als het een week geleden nog ok was.
De periodieke controle is een stok achter de deur en zorgt dat garagebedrijven helpen met handhaving. Niet om de verantwoordelijkheid van de eigenaar over te nemen. Of te zorge dat je alleen soms aan de veiligheidsregels voldoet.

DerDee @Joris D • 11 juni 2021 13:08

Nogmaals, Nee niemand anders wordt verantwoordelijk. Ik heb nooit gezegd dat iemand anders verantwoordelijk is als de eigenaar van de auto in dat voorbeeld, of bij de website de orthodontist. Uiteindelijk is hij verantwoordelijk, tuurlijk, want het is zijn website!

Ook de boete leg ik uit in mijn eerste post, dat ik daar begrip voor heb. Gezien dit blijkbaar op basis is van grote van het bedrijf.

Enige dat ik aanspreek is de manier van handhaven is belachelijk! Jij krijgt niet 2 jaar nadat je apk afkeur punten een bekeuring voor de maanden dat je in een auto hebt gereden die niet aan de APK voldoet. Die krijg je direct, of een waarschuwing. De middelen die AP gebruikt om een probleem te verhelpen zorgen eerder dat een probleem in stand wordt gehouden als dat er daadwerkelijk wat aan wordt gedaan. En het staartje daaraan is, dat zoals een automobulist een APK heeft als "waarschuwing" hebben ze dit bedrijf door laten hobbelen wetende dat hij fout bezig was.

Tintel

Privacy

@bwerg • 11 juni 2021 11:50

Maar waarom wordt dit excuus ("wist ik niet") dan wel altijd geaccepteerd in de politiek of bij de grote tech-giganten als ze weer eens de boel hebben bedonderd?

We zijn er altijd als de kippen bij om iemand te bestraffen lijkt het wel. Elk verhaal heeft twee kanten. Als de 'schuldige' er een goede spin aan kan geven komt deze er sowieso wel mee weg lijkt het.

Waarom niet eerst waarschuwen? Omdat 12.000 makkelijk betaald kan worden door veel-verdieners? Is dat een criterium dan?
Is er eerst gewaarschuwd?

Waarom altijd die snelheids vergelijking erbij? Dat is een typisch vergrijp met een glijdende schaal. Is er leed berokkend als iemand 110 heeft gereden waar 100 mag? Nope.
Is het eigenlijk wel zo direct gevaarlijk voor de medemens? Natuurlijk begint dat ergens omdat je niet kan verwachten dat iemand aan komt racen met de dubbele snelheid.

Was het dus zo gevaarlijk dat je BSN kon (!) worden onderschept? Datzelfde nummer wat de overheid liet rondslingeren op facturen.

Wetten en regels zijn bedacht om de veiligheid van de mensen te garanderen. Niet primair om mensen/bedrijven te bestraffen.

[Reactie gewijzigd door Tintel op 23 juli 2024 12:46]

jazzozo @LordMike • 10 juni 2021 19:59

Tsja, wat is onbewust?

Deze wetgeving bestaat inmiddels al een aantal jaren. Het feit dat de website nog niet was omgebouwd zal denk ik meer een kwestie zijn geweest van “see none, hear none”. Uurtarief van de websitebouwer zal waarschijnlijk niet mals zijn, maar vast een heel stuk malser dan deze boete. Eigen schuld, dikke bult.

JackBol @LordMike • 10 juni 2021 20:00

Dus als ik nier bewust te hard rijdt hoeft ik geen boete te betalen? Goed om te weten!

WeiserMaster @LordMike • 10 juni 2021 20:06

soms rijd ik per ongeluk 80 waar je 60 mag, regelmatig staan borden op lullige plekken achter begroeiing

jqv @LordMike • 10 juni 2021 20:08

Maar was wel in overtreding.

Ik snap je punt van een waarschuwing wel. Die kost in dit geval 12000 euro.

Yoshi @jqv • 10 juni 2021 20:41

oh, dus de volgende waarschuwing voor gevaarlijk rijden bedraagt dan ook een bepaalde boete? de volgende waarschuwing, gelieve niet tegen de kerk te plassen is een boete?

Neen dat is het dus niet, dat niet de bedoeling van een waarschuwing.

T.C @LordMike • 10 juni 2021 20:46

Té snel rijden is een bewuste keuze, deze praktijk heeft echt niet bewust de GDPR wetgeving overtreden!

ik vind je vergelijk daarom dus echt mank!

Ik ben geflitst met 131 voor correctie, op die weg mocht je 130, tenzij de spitsstrook open was.
Dat die strook open was had ik gemist, er was ook geen enkele auto aan het rijden op die strook.

Mijn intentie was niet om te hard te rijden, was rustig op weg naar een vakantiehuisje.

Toch mocht ik €251 aftikken.

bytemaster460 @LordMike • 11 juni 2021 09:53

Zo werkt de wet natuurlijk niet. Je kunt je niet beroepen op niet weten. Dat zou een fraai rechtssysteem opleveren.
Overigens zijn er ook zat verkeersboetes uitgedeeld aan mensen die ook niet wisten dat ze te hard reden. Bord gemist, bergaf onbewust versneld, etc. Dat zijn ook geen redenen voor kwijtschelding van de boete.

denios @LordMike • 10 juni 2021 20:00

Ik vind het juist wel een goede zaak.

Het BSN nummer is niet iets wat je overal zomaar even moet achterlaten, en bedrijven horen daar heel voorzichtig mee te zijn.
Een gedwongen aanmelding per online formulier, dat ook nog eens onbeveiligd is, en geen alternatief bieden, is toch wel een extreem voorbeeld van achteloosheid en nalatigheid.

Wat een webbouwer ook doet, als bedrijf heb jij de verantwoordelijkheid voor het omgaan met gevoelige data van klanten/patienten. Kun je dat niet, dan moet dit niet zo inrichten en lekker een secretaresse de boel ouderwets laten intikken aan de balie en je niet bezighouden met online formulieren.

DerDee @denios • 10 juni 2021 20:51

Projecteer nu jouw situatie eens als de website gebouwd is in 2011. Waarbij https voor meeste niet echt een ding was. En niemand, behalve bij bankzaken, naar de slotjes keek. Zelfs op overheid sites je alles over http werd verstuurd. Een tandtechnicus is niet direct it-technisch aangelegd, en dit hoeft dus niet persee nalatig te zijn als je het mij vraagt, mogelijk gewoon onkunde met techniek.

Daarbij heeft het process van AP juist ervoor gezorgd een bekende onveilige situatie 2 jaar lang niet bekend werd bij de veroorzaker, achteloos of niet. Vind je dat dan wel ok? Juist daar vind ik het extreem achteloos en nalatig, omgekeerde bereikt van wat ze proberen te doen. En dan is zoveel geld vragen als boete wel een enorme zure kers op de taart. En vervolgens het probleem op onder bezetting gooien, terwijl een alternatieve manier van corrigeren binnen 2 minuten is bedacht, zonder de onveilige site online te houden.

denios @DerDee • 10 juni 2021 22:32

Of een AP wel of niet een juiste evolutie heeft ondergaan laat ik in het midden, en doet noch af aan de huidige regelgeving, noch aan het feit dat mijn informatie beschermd hoort te zijn door een ieder die meent dat te moeten verwerken.

Of een tandtechnicus aanleg voor IT heeft is niet interessant. Hij heeft een verantwoording, mist hij de kennis om daar mee om te gaan, dan moet hij of de stap niet nemen, of iemand binnen zijn eigen organisatie aannemen die dat wel kan. Je beroepen op de web developer is niet afdoende als jij de gegevensverwerker bent (ongeacht of hij in de relatie met die developer wellicht een aansprakelijkheidsstelling voor de schade kan waarmaken).

DerDee @denios • 11 juni 2021 13:20

Ik stel juist de vraag over wat je van het gedrag van AP vind en die laat je in het midden. Ik vind het handelen van AP namelijk schadelijker als dat van de orthodontist. Niet dat ik zo'n veiligheidsissue niet kwalijk vind, maar het had veel eerder opgelost kunnen zijn. En daar kiest de handhaver bewust om dit door te laten lopen.
En voor zoveelste keer in dit topic, nee het gaat niet over de verantwoordelijkheid. Die ligt gewoon bij het bedrijf van wie die is. Daar gaat het niet om. Dus ook fout handelen mag bestraft worden. Maar zou graag ook zien dat AP bestraft wordt door wetende dat er een lek is, en het niet te melden. Wij hebben zelf ook allemaal een meldplicht als we een lek vinden, waarom is AP daar een uitzondering op? Slechtste vorm van handhaving die ik ooit heb gezien.

R4gnax

Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete
Privacy

@DerDee • 11 juni 2021 00:15

Projecteer nu jouw situatie eens als de website gebouwd is in 2011. Waarbij https voor meeste niet echt een ding was. En niemand, behalve bij bankzaken, naar de slotjes keek. Zelfs op overheid sites je alles over http werd verstuurd.

Geintje zeker. Rond die tijd was het echt al wel de norm om sites over HTTPS te laten lopen als er gevoelige gegevens gecommuniceerd werden. Het werd alleen door vele kleine webbouwers die zich als prijsvechters positioneerden, willens en wetens aan de laars gelapt om kosten te besparen.

Daarnaast hadden we toen ook al gewoon de Wet Bescherming Persoonsgegevens, sinds het jaar 2000. En die dwong ook gewoon af dat er adequate technische beveiliging aanwezig was. Artikel 13 van deze wet luidde:

De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Deze tekst is bijna woord voor woord uiteindelijk ook in de AVG/GDPR opgenomen.
Net zoals heel veel van deze wet, eigenlijk. De lobbyisten die moord en brand schreeuwden dat het allemaal zo moeilijk was om aan te voldoen ten spijt, er was in Nederland eigenlijk maar weinig echt revolutionair nieuw aan de AVG.

[Reactie gewijzigd door R4gnax op 23 juli 2024 12:46]

DerDee @R4gnax • 11 juni 2021 23:01

Waarom zou ik geintjes maken? Nee, ik ben juist rond die tijd bezig geweest met webdevelopment tot redelijk recent. En zag juist dat eigenlijk niets op https draaide, met uitzondering van banken. Het kan wel allemaal leuk de regel zijn geweest, maar de norm was het zeker niet. En zelfs in die jaren heb ik een aantal overheids websites bekeken die om dit soort data vroegen die gewoon over HTTP draaide. Ik heb niet voor niets het jaar 2011 uitgekozen om als voorbeeld te nemen, daar wist ik het HEEL zeker van.

En daarna kom je juist op een punt aan wat heel belangrijk vind maar nog niet toe ben gekomen. SSL certificaten en daarmee https, is een techniek die ervoor zorgt dat een MITM attack niet zo eenvoudig is als dat dat bij https is. Een hostile takeover op de host, of een gestolen SSL certificaat doen deze methode volledig teniet. Daarbij al de vraag, als een van die ongemerkt gebeuren, krijgen ze dan ook 12k aan hun broek over 2 jaar zonder waarschuwing?
Er zijn zoveel meer technieken die net zoveel impact hebben, betekend dat dat de volgende rond AP dezelfde Orthodontist weer 12k aan zijn broek gaat hangen? Waarom wordt alleen SSL gecontroleerd? Als het antwoord eenvoud is, dan is de vervolg vraag, waarom doet AP er 2 jaar over om dit te controleren. Kost mij 10-20 minuten om dit goed na te kijken en alles te traceren, het certificaat alleen controleren kost 5 seconden.

Waarom is het zomaar geaccepteerd dat we zaken op 1 ding richten? Dat deden ze bij cookies, die mochten ineens helemaal niet meer. Toen een beetje, omdat ze merkten dat het internet stuk aan met maken waren. En nu moet je zovaak vragen dat het mag, dat de gebruiker het echt niet meer leest. Ze hebben een nieuwe ToS verzonnen. Iets wat het in theorie beter maakt, maar uiteindelijk geen of zelfs negatief effect heeft op de eindgebruiker.

Als laatste een toelichting. Ik zeg dus niet dat het desbetreffende bedrijf niet schuldig is aan het manko, maar het manko staat dus niet eens letterlijk in AVG beschreven (SSL), mits bovenstaande ook zo in AVG staat. Hij was zich er niet van bewust. Dat maakt het niet minder zijn verantwoordelijkheid, maar daar zou de handhaving wel aangepast op moeten worden. Niet twee jaar wachten en vervolgens je een bekeuring geven voor de anderhalf jaar dat het fout ging. Nee, onveilige situatie nu offline met een dwangsom van bedrag x per dag. Het is voor overtreder op dag 1 duidelijk, hij maakt 0 extra kosten en kan het geld van de boete inzetten om snel een veilige website te creëeren, kortom het doel van AP zou direct zijn bereikt.

R4gnax

Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete
Privacy

@DerDee • 12 juni 2021 00:04

Er zijn zoveel meer technieken die net zoveel impact hebben, betekend dat dat de volgende rond AP dezelfde Orthodontist weer 12k aan zijn broek gaat hangen?

Als die orthodontist op een bepaald vlak wederom evident nalatig is geweest; ja, dan kan deze daar ook wederom een boete voor krijgen.

het manko staat dus niet eens letterlijk in AVG beschreven (SSL),

Kijk even naar wat ik boven over Artikel 13 uit de Wet Bescherming Persoonsgegevens geciteerd heb. De AVG bevat dus precies zo'n zelfde clausule die praat in termen van courante beveiliging gelet op de stand van techniek. Deze wet is bewust agnostisch voor technische implementatie-vereisten, juist zodat deze niet na een jaar of twee al hopeloos achterhaald is.

Niet twee jaar wachten en vervolgens je een bekeuring geven voor de anderhalf jaar dat het fout ging.

Daar maak je de aanname dat de AP tussentijds niet eerst gewaarschuwd heeft. Weten we dat?

DerDee @R4gnax • 12 juni 2021 00:25

Als die orthodontist op een bepaald vlak wederom evident nalatig is geweest; ja, dan kan deze daar ook wederom een boete voor krijgen.

Met een willekeurige implementatie kan ik zelf zeker 10 dingen bedenken die beter kunnen. Op overheidswebsites wordt het iets lastiger door goed gebruik van DigiD als primaire beveiligingsmethode, maar ik kan ook zeker daar een paar manieren bedenken hoe de data even makkelijk worden vergaard als het verschil tussen http en https.
Dus je kunt wel bewust vaag zijn zodat het niet verjaard, maar dan moet er nog wel ergens duidelijk staan beschreven wat dan concreet erin moet zitten. "Je mag niet te hard rijden". Wat is te hard?
En dus als ik naar de site van de orthodontist ga kijken kan ik waarschijnlijk nog wel 2 methodes bedenken hoe data onderschept kan worden of op z'n minst veiliger verwerkt kan worden. Dat is nadat het bedrijf dus best wat geld erin gestopt heeft te verbeteren, zijn en websitebouwer de best mogelijke. Volgens jou gaat hij dus voor hetzelfde vergrijp nog een keer dezelfde boete krijgen, omdat hij geen checklist heeft gehad waaraan hij moet voldoen. Https is een van de vele punten waar het mis kan gaan, maar juist om aan regelgeving te kunnen voldoen moet je wel weten wat hij inhoud. Als niet vaststaat waarop getoetst wordt, of hoe vaak het document wordt aangepast waarop wordt getoetst, dan kan de beste man iemand inhuren om de pagina van AP te blijven F5-en bij wijze van spreken.
"passende technische en organisatorische maatregelen", subjectief als de pest. Ik kan zeggen dat ik https niet een passende technische maatregel vind. En als ik het daarmee aanvecht win ik ook nog waarschijnlijk, want er zijn nog 10 andere mogelijkheden om data te onderscheppen. Voor iedereen die denk dat ik daarmee probeer de onschuld te bewijzen van het bedrijf. Nee: Het bedrijf blijft schuldig en verantwoordelijk, want afgezien dat 1 misschien niet telt, voldoen ze dus niet aan alle 10.

Daar maak je de aanname dat de AP tussentijds niet eerst gewaarschuwd heeft. Weten we dat?

Zeker een aanname, iets dat ik ook naar AP ga bellen volgende week of ik hun werkwijze juist heb ingeschat op basis van de tekst in dit artikel. Is dit niet zo, is het journalistiek een gemis, want dan had erbij horen te staan dat het bedrijf eerder gewaarschuwd was voor slechte digitale infrastructuur.
Is mijn aanname correct. Dan is het dus namelijk zo dat de handhaving bewust problemen laat bestaan, iets dat ze juist proberen te bestrijden. En dat met de juiste kennis in huis om te weten dat het fout is, dat vind ik veel kwalijker als iemand die onbewust niet door heeft dat hij het fout doet.

R4gnax

Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete
Privacy

@DerDee • 12 juni 2021 13:21

"Je mag niet te hard rijden". Wat is te hard?

Interessant dat je juist een situatie uit het verkeer als tegenvoorbeeld aanhaalt.
Laat me daar het bestaan van het bekende 'artikel 5' tegenover zetten:

Het is een ieder verboden zich zodanig te gedragen dat gevaar op de weg wordt veroorzaakt of kan worden veroorzaakt of dat het verkeer op de weg wordt gehinderd of kan worden gehinderd.

Wat is gevaar? Wat is hinder? Dat is ook niet compleet objectief vastgelegd.

Als niet vaststaat waarop getoetst wordt.

Er wordt getoetst of er rekeninghoudend met de huidige stand van techniek adequate beveiliging aanwezig is. Bij de duiding en overweging of iets adequaat is of niet wordt gekeken naar heersende industrie-standaarden. Binnen het kader van beveiligingsniveau van een website zou je dan bijv. mogen denken aan de OWASP checklists. Maar ook aan standaarden voor het beveiligen van gegevens binnen de zorgsector. (Ja; die zijn er. En vrij streng ook.)

Daarnaast stelt de AVG dat er bij de aanwezigheid van verwerking van bijzondere persoonsgegevens, waaronder medische gegevens vallen, het uitvoeren van een data impact assessment vereist is waarin gekeken wordt naar de aard van de gegevens die verwerkt worden; de befrijfsprocessen; de technische beveiligingen die aanwezig zijn; etc. Als daar uit komt dat er een redelijk risico aan de verwerking verbonden zit, dan is de verwerkingsverantwoordelijke gehouden om voordat tot verwerking over gegaan wordt, eerst advies in te winnen bij de toezichtsautoriteit. Hier in Nederland dus de Autoriteit Persoonsgegevens. Zij moeten dan binnen 8 weken met een concreet advies komen waarbij bepaalde concrete verbeteringen genoemd kunnen worden die eerst doorgevoerd moeten worden.

De orthodontist heeft dus letterlijk geen enkel excuus. "Ik wist het niet" gaat niet op.
Het was hier wettelijk verplicht om een onderzoek in te stellen om het te weten te komen en met de staat van zaken bij de orthodontist was het daarna ook wettelijk verplicht geweest om de AP te consulteren over de concreet te nemen vervolgstappen.

[Reactie gewijzigd door R4gnax op 23 juli 2024 12:46]

DerDee @R4gnax • 12 juni 2021 21:07

Wat betreft die onduidelijkheid heb je zeker een punt. In het verkeer bestaan die regels ook. Maar hier zijn natuurlijk wel wat verschillen: verkeer is niet zo in ontwikkeling als techniek dat is. Gevaarlijk gedrag is volgend jaar niet concreet anders als dat het nu is. Veilig omgaan met vertrouwelijk data, dat kunnen per jaar enorme verschillen zijn. Daarnaast zal je pas bekeurt worden op artikel 5 als vrijwel enorm duidelijk is dat het ook zo is, bij wijze van spreken heb je 10 zwaar onveilige situaties gecreeerd. Bij enkel missen van SSL certificaat, vind ik dat nog niet zo kwalijk, omdat ik weet wat er nog meer allemaal mogelijk is.
Maar punt blijft, het is allemaal subjectief, daar heb je helemaal gelijk in. Hopelijk worden de door jouw beschreven handvatten geboden om een duidelijke lijst te vormen waaraan voldaan moet worden. Maar hier heb ik geen kennis verder van, op AP heb ik het na een half uur opgegeven, want alleen staat er ergens dat je https moet gebruiken. Ook wordt er tegengestelde informatie op AP gepresenteerd, waardoor je het eigenlijk nooit goed doet. Heb echt geen hoge pet meer op van deze partij.

Ik ben het ook nog steeds met je eens dat orthodontist niet onschuldig is en verantwoordelijk is. Weet niet waarom mensen dit blijven zeggen, maar dat is niet mijn punt. Maar wat daarna komt ga ik wel even van te kijken, dus als ik persoonsgegevens verwerk (99% van de bedrijven in Nederland doen dat) ben ik wettelijk verplicht een onderzoek in te stellen naar hoe ik dat zou moeten doen? Dat vind ik nog aannemelijk, maar daarna moet elk van die bedrijven met AP gaan consulteren of ze het goed genoeg doen? Wettelijk? Waar staat dat dan? Ik heb 4 verschillende AVG implementaties gedaan, gelukkig nog nooit contact gehad met een bedrijf dat 2 jaar doet over onderzoek of SSL verbinding aanstaat of niet. Maar ben wel benieuwd of ik (of de bedrijven waar ik het voor gedaan hebben) daarmee wettelijk strafbaar zijn. Zou reden zijn om kamervragen te gaan stellen als je mij vraagt. Een verwijzing naar specifieke artikel waar dit instaat zou zeer worden gewaardeerd.

R4gnax

Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete
Privacy

@DerDee • 12 juni 2021 23:58

Maar wat daarna komt ga ik wel even van te kijken, dus als ik persoonsgegevens verwerk (99% van de bedrijven in Nederland doen dat) ben ik wettelijk verplicht een onderzoek in te stellen naar hoe ik dat zou moeten doen? Dat vind ik nog aannemelijk, maar daarna moet elk van die bedrijven met AP gaan consulteren of ze het goed genoeg doen? Wettelijk? Waar staat dat dan?

In de wetstekst van de AVG, onder artikel 35 en 36.

Voor de verwerking van bepaalde soorten persoonsgegevens, waaronder bijzondere persoonsgegevens zoals medische gegevens, geldt dat een gegevensbeschermingseffectbeoordeling (NL) beter bekend als een data impact assessment (EN) verplicht is.

Ook bij andere gevallen kan dit verplicht zijn, zoals wanneer je structureel hoog risico gegevens (zoals BSN, bijv.) verwerkt. Of als je stelselmatig grote hoeveelheden gegevens verwerkt om mensen geautomatiseerd te kunnen profileren.

Als daaruit blijkt dat er ondanks waarborgen in de processen; niveau van technische beveiliging; etc. toch een disproportioneel risico aan verwerking verbonden blijft dan moet daarop een consultatie met de toezichtsautoriteit volgen. Om dit risico te wegen kan onder andere gelet worden op in hoeverre er aan heersende gedragscodes voor soortgelijke verwerkingen in de sector voldaan wordt.

Verantwoordelijkheid voor die weging ligt bij de verwerkingsverantwoordelijke. Daar geldt dus op zich better safe than sorry voor: weet je het niet zeker; is het een twijfelgeval; etc. dan is het waarschijnlijk slim om toch maar de AP te consulteren.

[Reactie gewijzigd door R4gnax op 23 juli 2024 12:46]

AppleFan2007 @LordMike • 10 juni 2021 19:47

Een waarschuwing zou wel beter geweest zijn om dat dan binnen een bepaalde periode aan te passen. Als het nadien niet is aangepast een boete.
12K is ook wel heel veel voor een kleiner bedrijf.
Een boete van 3000 euro was misschien meer op zijn plaats.

T.C @AppleFan2007 • 10 juni 2021 20:11

Een waarschuwing zou wel beter geweest zijn om dat dan binnen een bepaalde periode aan te passen.

De waarschuwing was al 2 jaar eerder gegeven, namelijk toen de wet werd aangenomen.
Dan heb je 2 jaar de tijd gehad.

Als het nadien niet is aangepast een boete.
12K is ook wel heel veel voor een kleiner bedrijf.
Een boete van 3000 euro was misschien meer op zijn plaats.

Niet weten of klein zijn is geen excuus.
Anders kan ik ook wel zeggen: Ik wist niet dat ik niet tegen de kerk mag pissen en ik verdien niet zoveel.

AppleFan2007 @T.C • 10 juni 2021 20:26

Akkoord dat het excuus klein zijn niet gebruikt zou mogen worden.
Maar naar mijn mening is 12000 te veel. Zeker als je weet dat giganten zoals Facebook vaak maar ‘kleine’ boetes krijgen voor een echt privacy lek.

Dat de waarschuwing gegeven was heb ik ergens gemist.
Dan is een boete uiteraard op zijn plaats.

T.C @AppleFan2007 • 10 juni 2021 20:40

De waarschuwing is de wet die wijd verspreid in het nieuws is geweest!

Niet weten is gewoon geen excuus!

Yoshi @T.C • 10 juni 2021 21:05

ik kan waarschijnlijk 20 wetten aanhalen die in het nieuws zijn geweest waar jij (en ik bij uitbreiding) werkelijk geen fluit vanaf weten. Het is op zijn minst een verzachtende omstandigheid, we zullen zien hoe deze uitspraak de rechterlijke toets doorstaat :-)

[Reactie gewijzigd door Yoshi op 23 juli 2024 12:46]

AppleFan2007 @T.C • 10 juni 2021 21:06

Het is niet omdat die wet in het nieuws is gekomen dat iedereen het weet. Mocht dat zo zijn dan leefden we in een wereld met slimme mensen.
Niet iedereen kijkt het nieuws, dus zolang er geen persoonlijk bericht gericht aan de praktijk is verstuurd kunnen ze het niet weten. De ontwikkelaar zou dit wel moeten weten omdat dit in hun vakgebied is.

vanthome @AppleFan2007 • 10 juni 2021 21:59

Niet iedereen weet wat de wet inhoud, maar je weet ergens wel waarvoor het is. Zeker met een zaak lijkt mij dat je er dan aan denkt, plus de hele emailbox vol met privacy veranderingen van elk groot bedrijf rond die tijd. Lijkt me sterk dat je de twee woorden privacy en gdpr nooit bij elkaar heb gehoord of gelezen.

T.C @AppleFan2007 • 10 juni 2021 22:28

De ontwikkelaar hoeft dit ook niet te weten.
De ontwikkelaar is iemand die geen main stream media kijkt, maar enkel dumpert kijkt.
Dus die hoeft het ook niet te weten.

Daarnaast moet je er ook niet zomaar vanuit gaan dat een bedrijf per ongeluk de wet overtreedt.

DPG doet dat ook bewust, met Tweakers.net hebben ze een mogelijke loophole met betaalde abonnementen…. Maar met Nu.nl overtreden ze de wet bewust, ze weten dat een cookie wall niet mag zonder alternatieven… toch werkt de site dan niet. Zelfs de websites van de dagbladen van DPG voldoen niet aan de wet.

Yoshi @AppleFan2007 • 10 juni 2021 20:55

die waarschuwing IS niet gegeven, @T.C kent alle verschillende wetten vanbuiten en voor hem/haar/x is elke vermelding in het het staatsblad een waarschuwing. Ik (imho) denk dat het wel wat genuanceerder als dit in elkaar zit.

Dit gaat de toets van de rechter overleven (de uitspraak) maar het lijkt me sterk dat de hoogte van de boete gaat overeind blijven. (imho). Nu anderzijds, voor hetzelfde geld is de omzet van die praktijk groot genoeg waardoor dit peanuts is, maar dat weten we dus niet (nuance en context weet je wel ;-) )

[Reactie gewijzigd door Yoshi op 23 juli 2024 12:46]

AppleFan2007 @Yoshi • 10 juni 2021 21:01

Zelf had ik nog nooit van die wet/regels gehoord dat een website beveiligd moet zijn.
Ik kan me voorstellen dat ik niet de enige ben en die orthopraktijk er ook niets van af wist.
Zolang de ontwikkelaar hier niets over zegt kan de praktijk hier niets over weten.

T.C @AppleFan2007 • 10 juni 2021 22:38

De wet vereist niet specifiek dat de website beveiligd is.
De wet vereist dat het volledige traject van gegevensbewerking beveiligd is.
En dat de gegevens enkel zichtbaar zijn voor de mensen die er de benodigde toestemming voor hebben.

Het maakt voor de GDPR niet uit of de data fysiek of digitaal verwerkt is/wordt.

Stel de website was nu ingericht als een multi-map met naaktfoto’s die open en bloot (pun intended) in de kantine lag…. Jouw foto zit er ook in, want jij had die gedeeld met iemand… die toevallig ook met dat boek bezig was.

T.C @AppleFan2007 • 10 juni 2021 22:44

De orthodontist is ook gebonden aan het medisch beroepsgeheim.

Ik ben ooit zwaar ziek in het ziekenhuis geweest voor het nemen van een bloedmonster.
Degene die dat monster nam, ik was al blij dat ik in het lab was beland, was een vriendin van mij.
Ik heb dat moeten horen van mijn moeder die mij onderweg naar binnen ondersteunde.

Ze heeft zelf mij nooit verteld dat zij dat was geweest, tot ik het gericht vroeg.

Twanne @AppleFan2007 • 10 juni 2021 20:06

Zoals in andere comments aangegeven is een ortodont misschien een kleinschalig bedrijf, maar hebben ze daarom geen kleine omzet.
Bijkomend is dit soort zaken met medische gegevens bezig en zouden ze dus extra aandacht moeten hebben voor dit soort zaken.

vrow @AppleFan2007 • 10 juni 2021 20:49

Ja, weet je, we kennen het hele verhaal niet.
Als ik een site tegenkom zonder ssl met zoiets, dan zou ik eerst een mailtje doen naar de praktijk zelf.
Als zij dan een antwoord sturen in de categorie ‘jaja, lekker belangrijk’, dan doe je wellicht melding bij de AP. Maar dit weten we dus niet. Was er zo’n antwoord? Of heeft de ontdekker van het probleem, direct maar melding gedaan bij de AP?

AppleFan2007 @vrow • 10 juni 2021 20:55

Dat is ook waar, de media geeft nooit het hele verhaal. Je kan dan niet echt juist oordelen.

bytemaster460 @AppleFan2007 • 11 juni 2021 09:56

De hoogte van de boete hangt samen met de grootte van het bedrijf en van de omzet. Die is dus gewoon in verhouding met het bedrijf.

AppleFan2007 @bytemaster460 • 11 juni 2021 12:06

Dat wist ik niet, als dit dan op een correcte manier wordt berekend dan zal het bedrag terecht zijn.

bousix @LordMike • 10 juni 2021 19:47

de weging van argumenten die je geeft is nogal persoonlijk. 11 maanden laks met AVG gegevens omgaan vind ik bijvoorbeeld nogal lang. foto in het blad van de beroepsgroep, et voila. 24k mag van mij dus ook. zie, ik heb ook een mening.

Yoshi @bousix • 10 juni 2021 20:48

als in dat beroepsblad ook eens heeft gestaan om daar bij stil te staan prima, maar is dat wel zo? Ik heb eerlijk gezegd geen idee hoe die informatie tot die mensen zou moeten stromen. En ja iedereen moet de wet kennen enz, en het is geen excuus. Maar wel een verzachtende omstandigheid, dat is 12 0000 euro niet.

Dat heel veel mensen hier op Tweakers wel op de hoogte zijn, dat begrijp ik wel ergens. Maar ik vind dat diezelfde mensen er hier wel heel gemakkelijk op antwoorden: dat hadden ze maar moeten weten, maar als jij naar de garage gaat, dan ga ik er toch ook ergens vanuit dat ze me wijzen op zaken die niet in orde zijn voor bv de keuring. Is dat gebeurt, is er ergens informatiedoorstroming geweest? Hoe oud is die site, contracten etc.. de wereld is genuanceerder als dit lijkt me...

[Reactie gewijzigd door Yoshi op 23 juli 2024 12:46]

bousix @Yoshi • 10 juni 2021 20:59

Door te suggereren dat de wereld genuanceerder is.. wil je me laten geloven dat ik die nuance niet zou kennen? Pff. Da's makkelijk beargumenteren.

Het voorbeeld is overigens louter om te laten zien dat er verschillend gedacht kan worden, niet iedereen 12.000 te zwaar vind. That s all.

TheekAzzaBreek @LordMike • 10 juni 2021 20:08

Die wetgeving is er gekomen om privacy te beschermen en gaat gelukkig niet alleen over bedrijven.
Als een kapitaalkrachtig bedrijf dit geflikt had waren ze wel (veel) harder aangepakt. Dit was de op één na kleinste boete (die ze gepubliceerd hebben).

'Melkkoe': kletskoek. De AP heeft in totaal zo'n 5 á 6 miljoen aan boetes uitgedeeld. Bij een budget van rond de 20 miljoen per jaar. Bepaald geen winstmaker.

(Bron)

hrichard @LordMike • 10 juni 2021 20:14

Geen problemen mee, graag aanpakken, anders veranderd er helemaal niets namelijk en dat is al lang hoog tijd. Grote vis of niet, dat maakt criminelen geen reet uit, dus waarom zou het de handhaving uitmaken? Boete is naar vermogen, zo'n orthodontist moet dat ook 'makkelijk' kunnen betalen.

Beveiliging moet op alle linies op orde zijn, mensen moeten wakker worden geschud, dit lijkt het enige middel want de wet is al jaren van kracht.

moonlander @LordMike • 10 juni 2021 20:52

Als je denkt dat ssl de oplossing is om veilig te internetten dan heb je het volkomen mis. Waarom zijn er geen boetes bij bijvoorbeeld oude software welke nooit geüpdate wordt. Of libaries etc. Stel daar zit iets in waarmee je alle form data kan onderscheppen en doorstuurt naar 1 of andere dumpdatabase..

bytemaster460 @moonlander • 11 juni 2021 09:58

Dat zit allemaal in de AVG opgesloten. Als jij je software niet updatet en de gegevens zijn niet veilig meer, overtreedt je de AVG.

moonlander @bytemaster460 • 11 juni 2021 10:11

Dat is mooi, maar dat kun je nooit bewijzen..
Een ssl certificatie is zichtbaar, libaries die je gebruikt of software niet.

[Reactie gewijzigd door moonlander op 23 juli 2024 12:46]

bytemaster460 @moonlander • 11 juni 2021 10:41

Daarom worden wetten algemeen opgesteld. Als je heel specifiek gaat melden dat men verplicht is software te moeten updaten zullen er altijd situaties zijn waarin dat niet moet of niet kan. Dat kun je niet allemaal in een wet vastleggen. Daarom wordt gesteld dat persoonsgegevens goed beveiligd moeten zijn en ben je zelf verantwoordelijk op welke wijze je dat doet. Er zijn genoeg mogelijkheden om je daarover te laten adviseren. Het is niet dat je rocketscience nodig hebt om aan de wet te voldoen. In zo'n geval houdt men een wet dus algemeen en alleen op het doel gericht en beschrijft men niet in de wet wat je allemaal moet doen.

TurboTon1973 @LordMike • 11 juni 2021 08:35

Ortho zijn meestal erg duur. En weten terecht te zeggen als je niet goed tandenpoets. Het gaat om persoonsgegevens. Ik ben zelf huiverig om toestemming te geven voor het delen van medische gegevens via digitale weg. Juist door zulke fouten.

Dit is een korte reactie via de telefoon.

E5X @LordMike • 11 juni 2021 12:52

Het nadeel van dit soort nieuwsberichten is dat veel informatie en nuancering niet meegegeven wordt. Kan natuurlijk ook niet omdat een nieuwsbericht dan een half dossier zou moeten bevatten.
Hierdoor gaan veel mensen zich op onvolledige informatie en door zelf dingen in te vullen een mening vormen, wat ook wel weer begrijpelijk is.

karma4 @LordMike • 11 juni 2021 18:03

Een bsn is door de AP als bijzonder gegeven verklaard. Het is enkel bedoeld om peroonsverwisselingen in overheidsregistraties te verminderen.
Mer dat pjnt heb je iets dat de AP zichzelf onterecht een machtige positie toeeigend.

Je reactie van eenndisproportionele houding van de AP steun ik. Ik kan nergens in de GDPR een onderbouwing vinden dat https verplicht is.

comecme @karma4 • 12 juni 2021 13:29

Dat BSN een bijzonder persoonsgegeven is staat gewoon in de wet (AVG). Dat is dus niet iets dat de AP zelf bedacht heeft.

karma4 @comecme • 30 juni 2021 20:12

In de Gdpr is het geen bijzonder gegeven, Daar was de AP het niet mee eens die denkt dat het authenticatie geschikt is bij verwerkers.

Pianist1985 @LordMike • 14 juni 2021 20:16

Je moet de hoogte van de boete ook zien in relatie tot de inkomsten van een orthodontist. Een zelfstandig praktijkhoudend orthodontist zet met gemak meer dan een half miljoen euro per jaar om - en het overgrote deel daarvan bestaat uit geld voor uitgevoerde behandelingen, want je hebt het over mensen met een extreem hoog uurtarief, terwijl hun ondersteunend personeel een modaal inkomen heeft en de materiaalkosten relatief beperkt zijn.

Die 12k zijn voor haar niets meer dan 1 keer per jaar minder op vakantie naar de Malediven met haar gezin, of die tennisclinic in Florida voor d'r zoon een jaartje uitstellen.

Martine 10 juni 2021 19:42

Is 12k niet een beetje overdreven? Bij 6k wordt de boodschap toch ook wel begrepen?

TheekAzzaBreek @Martine • 10 juni 2021 19:56

De AP hanteert een standaard model voor boetes, afhankelijk van de ernst van de overtreding en de grootte van de onderneming. Daar bovenop eventuele verhogingen (opzet, onderzoek dwarsbomen etc) of verlagingen(meewerken, zelf aanmelden etc), maar daar was hier geen sprake van.

Dit was een behoorlijk ernstige overtreding (onbeveiligde BSN), en kennelijk een onderneming met behoorlijk wat omzet. Dat die boetes omzetafhankelijk zijn vind ik redelijk: ze moeten het wel echt voelen, maar failliet laten gaan is ook niet de bedoeling.

@84hannes Ik gokte dat op basis van de hoogte van de boete, niet om dat orthodontist duur klinkt.

[Reactie gewijzigd door TheekAzzaBreek op 23 juli 2024 12:46]

84hannes @TheekAzzaBreek • 10 juni 2021 20:13

kennelijk een onderneming met behoorlijk wat omzet

Ik denk dat daar veel mensen mis gaan. Een orthodontist klinkt als een enkel figuur met een praktijk aan huis die zijn neefje heeft gevraagd een website op te zetten. Niet dat http dan goed te praten is, maar dan zou de boete wellicht lager liggen.

Pianist1985 @TheekAzzaBreek • 14 juni 2021 20:18

Orthodontisten zijn zo ongeveer de duurst betaalde medisch specialisten in geneeskunde + tandheelkunde bij elkaar, althans als het gaat om praktijkhoudende behandelaars. Executives die een achtergrond als arts hebben komen ook voor, en die kunnen natuurlijk ook het inkomen van topbestuurders tegemoet zien en die 5-6 ton van een zelfstandig werkend orthodontist makkelijk overtreffen. Al zijn die er natuurlijk minder dan orthodontisten.

friggler @Martine • 10 juni 2021 19:48

Zelfs met een officiële waarschuwing zou het ook wel voldoende afschrikwekkend geweest zijn. Althans, als ik zelf zo'n waarschuwing zou krijgen zou ik daarna toch meteen de site (laten) aanpassen.

84hannes @friggler • 10 juni 2021 19:57

Althans, als ik zelf zo'n waarschuwing zou krijgen zou ik daarna toch meteen de site (laten) aanpassen.

Maar met een waarschuwing bereik je alleen de persoon die je waarschuwt. Als ik gewaarschuwd wordt dat ik niet wild mag plassen dan stop ik daar (op dat moment) mee. Maar houdt het jou tegen na een avondje stappen een bosje op te zoeken? Het levert je immers hooguit een waarschuwing op. De AP heeft nu eenmaal niet de capaciteit iedereen direct te waarschuwen. Maar als jij weet dat een minuutje wildplassen je zomaar EUR 140,- kan kosten dan denk je waarschijnlijk wel twee keer na.

Ik heb in het verleden ook regelmatig bedrijven gezien die geen https gebruiken voor gevoelige data. Die gaan daar niet iets aan doen omdat ik vind dat dat niet hoort. De volgende keer dat ik dat zie gebeuren stuur ik een link naar dit artikel, eens zien of dat net zo effectief is als een officiele waarschuwing.

Sietse Vliegen @84hannes • 10 juni 2021 20:35

De AP had ook een waarschuwende advertentie in de krant kunnen plaatsen. Nu communiceren ze over de rug van en op kosten van een kleine ondernemer, die een fout heeft gemaakt.

Een beetje een agent kijkt ook naar de omstandigheden en beboet echt niet elke wildplasser.

84hannes @Sietse Vliegen • 10 juni 2021 20:55

Nu communiceren ze over de rug van en op kosten van een kleine ondernemer

Ik had niet meegekregen dat dit een kleine ondernemer was.

Een beetje een agent kijkt ook naar de omstandigheden en beboet echt niet elke wildplasser.

Waaruit concludeerde jij dat hier geen maatwerk is geleverd?

Sietse Vliegen @84hannes • 14 juni 2021 09:17

Vergeleken met de andere 12 (!) bedrijven/organisaties die een boete gekregen hebben is dit zeker een kleine ondernemer, zie hier

De AP is helemaal niet in staat om maatwerk te leveren. Daar is de organisatie niet op ingericht en de budgetten zijn onvoldoende. Dat zegt Aleid Wolfsen zelf.

Tegelijkertijd zijn de boetes in Nederland de hoogste van de hele EU. In andere landen worden bijvoorbeeld ook boetes uitgedeeld van enkele honderden euro's.

84hannes @Sietse Vliegen • 14 juni 2021 10:02

Vergeleken met de andere 12 (!) bedrijven/organisaties die een boete gekregen hebben is dit zeker een kleine ondernemer, zie hier

Vergeleken met andere boetes is dit dan ook een lage boete

Tegelijkertijd zijn de boetes in Nederland de hoogste van de hele EU. In andere landen worden bijvoorbeeld ook boetes uitgedeeld van enkele honderden euro's.

Voor zover ik weet, en ik weet er niets van, kan dit een orthodontist zijn met honderden locaties met elk honderden medewerkers verspreid door heel Nederland zen zelfs een paar in België en Duitsland. Dus de opmerking dat hier over de rug van kleine ondernemers wordt gecommuniceerd kan ik niet bevestigen of ontkennen. Daarom vraag ik: waar baseer jij op dat dit een kleine ondernemer is?

Sietse Vliegen @84hannes • 14 juni 2021 15:41

Volgens dit onderzoek voor de Nederlandse Zorgautoriteit NZA zijn er alleen maar kleine orthodontiepraktijken. Ja, het rapport is inderdaad enigszins gedateerd, maar het geeft een aardige indruk:

Aantal vestigingen per praktijk
Een praktijk heeft in 2008 gemiddeld 1,0 vestiging. In 2008 zijn er drie praktijken die meer dan 1 vestiging hebben, twee daarvan hebben 2 vestigingen, slechts 1 praktijk had 3 vestigingen. Dit beeld is vrijwel identiek aan 2006.

Aantal medewerkers in de praktijk
Een praktijk heeft in 2008 gemiddeld 1,2 orthodontisten in de praktijk werken. In ruim 80% van de
praktijken werkt 1 orthodontist. In 15% van de praktijken werken 2 orthodontisten en in 3% van de
praktijken werken 3 of meer orthodontisten.

Zie hier.

84hannes @Sietse Vliegen • 14 juni 2021 20:10

Goed uitzoekwerk, mijn complimenten.

In 15% van de praktijken werken 2 orthodontisten en in 3% van de
praktijken werken 3 of meer orthodontisten.

Dat suggereert inderdaad dat de praktijken niet groot zijn, maar het sluit ook niet uit dat er 1 praktijk is van 10000 orthodontisten

Je hebt waarschijnlijk gelijk dat het niet om een heel grote praktijk gaat.

Sietse Vliegen @84hannes • 15 juni 2021 17:57

Hahaha, ongetwijfeld zijn er orthodontisten die dromen dat ze ooit zo'n praktijk zullen hebben

kodak

Autoriteit Persoonsgegevens
Privacy
algemene verordening gegevensbescherming

@friggler • 10 juni 2021 21:03

De boete is niet omdat de site nu onveilig is maar omdat het onveilig was en er kennelijk lange tijd niets aan is gedaan.
De tijd van alleen maar waarschuwen is echt voorbij. De wet dat je andermans persoonsgegevens goed dient ye beschermen bestond ook al voor die website onveilig was en van een zorgspecialist mag je toch echt wel meer verwachten als het om beschermen van de persoonsgegevens van je cliënten gaat. Een boete doet alleen maar af aan de ernst.

devices @Martine • 10 juni 2021 20:06

Had ik ook met mijn boete. Waarom moet ik 100 euro betalen terwijl ik het ook snap bij 20?

Pandemic @Martine • 10 juni 2021 20:40

Of het boetebedrag in verhouding is met de omzet van het bedrijf weten we niet. Een vrij gevestigde orthodontist zal waarschijnlijk een inkomen in de honderduizenden euro's hebben; wellicht dat de 12k best in verhouding is.

uip @Martine • 10 juni 2021 19:48

Ah, dan denk ik ...

Is 3k voor een mondbeugel niet een beetje overdreven? Bij 1k wordt de boodschap toch ook wel begrepen?

Anoniem: 696166 10 juni 2021 20:47

Dit is nu exact waar ik bang voor was bij de invoering van die hele gdpr wetten: ze werden zogezegd opgesteld om het datagraaien van big tech tegen te gaan, in de praktijk blijkt dat de nietsvermoedende, kleine garnalen het slachtoffer zijn. Het is makkelijk roepen dat de wet de wet is, maar kan iemand hier beweren dat dergelijke fouten 100% nooit bij jou kunnen voorkomen? Moet hier een boete ter waarde van een kleine auto tegenover staan of was het ook even duidelijk overgekomen als het een boete was van pakweg 500 euro voor een eerste overtreding?
Ik vind dit echt compleet buiten proportie.

fapkonijntje @Anoniem: 696166 • 10 juni 2021 21:47

Op de website van de AP staat een uitgebreid overzicht van waarom de boete zo is. De basis is overigens 100.000, dus 12.000 valt nog mee.

Maar het uiteengezette verhaal van de AP laat ook zien dat wat er mogelijk gelekt had kunnen worden iets meer is dan een naampje of adresje. Juist ook omdat hier normen voor bestaan in de zorg die niet optioneel zijn en er zo'n groot dossier met alles wat je zou kunnen dromen zou kunnen lekken maakt de overtreding iets zwaarder. Bedenk dat hier niet alleen een BSN kan lekken, maar ook verzekeringsgegevens, huisarts, gegevens van de ouders, etc. Dat is nogal wat bij elkaar.

bytemaster460 @fapkonijntje • 11 juni 2021 10:05

De wet is ingevoerd om het verwerken van persoonsgegevens te reguleren. Dat heeft niets te maken met techreuzen of kleine bedrijven. Een lek bij een kleine zorgverlener kan veel grotere gevolgen voor een burger hebben dan de dataverzameling door Google.
De wet is niet bedoeld om praktijken van techreuzen aan banden te leggen maar om burgers te beschermen.

Anoniem: 696166 @fapkonijntje • 10 juni 2021 22:07

da's een goeie, als de basis 1 miljoen was viel het nog beter mee!

Anoniem: 486069 @Anoniem: 696166 • 11 juni 2021 08:43

da's een goeie, als de basis 1 miljoen was viel het nog beter mee!

Ja lekker makkelijk al het andere wat gezegd wordt negeren..

Je zegt:

in de praktijk blijkt dat de nietsvermoedende, kleine garnalen het slachtoffer zijn

Maar het moet natuurlijk niet zo zijn dat je wetten mag overtreden zolang je niet precies weet wat deze inhouden, anders kan straks iedereen wegkomen door te zeggen dat ze niet wisten dat iets niet mocht. En ja natuurlijk weet niet iedereen 100% wat de AVG inhoud, maar blijkbaar is er ook niet de moeite ingestoken om dat uit te (laten) zoeken in dit geval.

fapkonijntje @Anoniem: 486069 • 11 juni 2021 09:15

In het geval van de zorg is er ook nog een verplichte norm (NEN 7510) dus je zou in theorie dubbel gewaarschuwd moeten zijn.

emphy

@Anoniem: 696166 • 10 juni 2021 23:22

Ik niet. Als je als ondernemer om persoonsgegevens vraagt dan moet je daar zorgvuldig mee omgaan, en een praktijk als een orthodontist dient ondertussen dit soort zaken gewoon op orde te hebben.

Het is makkelijk roepen dat de wet de wet is, maar kan iemand hier beweren dat dergelijke fouten 100% nooit bij jou kunnen voorkomen?

Vergelijk het met handen wassen: geen haan die er naar kraait als je dat vóór het eten vergeet. Ietsjes problematischer voor de doctor bij een operatie.

[Reactie gewijzigd door emphy op 23 juli 2024 12:46]

Anoniem: 696166 @emphy • 11 juni 2021 09:02

Vergelijk het met handen wassen: geen haan die er naar kraait als je dat vóór het eten vergeet. Ietsjes problematischer voor de doctor bij een operatie.

Hoeveel boete is er daarvoor?

Dit is een boete voor een technische onvolmaaktheid, het is geen schadevergoeding voor slachtoffers.
Als ik door het rood rij krijg ik terecht een hoge boete omdat het gevaarlijk gedrag is. Als ik door het rood rij en ik veroorzaak daardoor een ongeval met slachtoffers krijg ik ook die boete maar moet ik ook opdraaien voor alle schade die ik veroorzaak, wat een waarschijnlijk een veelvoud is van de boete.
Er zijn in deze zaak helemaal geen slachtoffers

3raser @Anoniem: 696166 • 11 juni 2021 09:12

Als jij door rood rijd zijn er waarschijnlijk ook niet direct slachtoffers. Maar toch vind je de boete gerechtvaardigd. En nu is er een website waarop je je BSN moet invoeren die misbruikt kan worden voor vele doeleinden en waar mensen absoluut schade van kunnen ondervinden en dan vind je het allemaal wel prima? Volgens mij onderschat je de situatie enorm.

Anoniem: 696166 @3raser • 11 juni 2021 09:48

Je mist mijn punt: ik vind een boete wel terecht, maar de hoogte ervan is buitenproportioneel.
Een boete (door het rood rijden/slecht omgaan met gegevens) is niet gelijk aan een schadevergoeding (botsing/lekken van persoonsgegevens), en staat daar volledig los van.

Johnny D @emphy • 11 juni 2021 09:08

Volgens mij doe ik ook nog altijd handschoenen aan voor een operatie

stefanhendriks @Anoniem: 696166 • 11 juni 2021 08:22

Dat gebeurde volgens de AP tussen in ieder geval 1 juli 2018 en 29 mei 2019. De orthodontist zou in die periode hebben gewerkt aan een nieuwe website. De praktijk beroept zich erop dat de ontwikkelaar van de oude website 'haar nooit gewezen had op de mogelijkheid' van een ssl-certificaat.

Dus bijna een jaar sinds het AP dit constateerde ging deze drama nog door. Los van het feit dat een SSL certificaat bijna kinderlijk eenvoudig is tegenwoordig.

De praktijk kan/mag niet zich verschuilen achter een technisch partner. Sterker, wie zegt dat de "ontwikkelaar" niet het neefje in de familie is die "iets met websites kan"? Uiteidenlijk is de praktijk verantwoordelijk, en als die de boete wil verhalen op zijn "technisch partner" dan kan dat (mits juist ingeregeld).

Wat ik me vooral afvraag; was het niet effectiever geweest om de orthodontist/prakijkt aan te spreken en te sommeren de boel te fixen (op straffe van boete bij doorgaan per dag ofzo)? Dan had er wat meer druk achter gezeten - een herbouw is geen excuus.

Daarnaast had het (denk ik) meer geholpen voor de eindgebruiker (klant). Mogelijk hadden die na een week geen onveilig formulier meer, in plaats van na 1 jaar (bijna) aan gebruik.

Cowamundo 10 juni 2021 19:44

Vindt het toch redelijk uit proportie voor kleine bedrijven/instellingen. Kijk maar naar het aantal klanten/gebruikers bij een orthodontist en b.v. facebook. Bij Facebook is de impact veel groter maar in verhouding betalen ze een veel kleinere boete.

bytemaster460 @Cowamundo • 10 juni 2021 20:02

Het gaat om percentages van de omzet. De omzet van een gemiddelde praktijk is ongeveer een miljoen per jaar. Dan is die 12.000 Euro heel netjes in proportie.

Sietse Vliegen @bytemaster460 • 10 juni 2021 20:36

Een gemiddelde mens heeft 1 bal en 1 tiet. Een gemiddelde zegt in dit geval helemaal niets.

bytemaster460 @Sietse Vliegen • 10 juni 2021 20:48

Nee, klopt maar aangezien de hoogte van de boetes worden vastgesteld op basis van de omvang en omzet van het bedrijf zal het gewoon in proportie zijn.

Sietse Vliegen @bytemaster460 • 10 juni 2021 20:54

Proportioneel is een aanname. Er wordt wel gekeken naar de omzet, maar de boete is niet simpel een percentage van de omzet.

bytemaster460 @Sietse Vliegen • 11 juni 2021 10:06

Het boetesysteem van de AP is gebaseerd op proportionaliteit. Ik zou niet weten waarom deze boete dan eventueel niet proportioneel zou kunnen zijn.

T.C @Cowamundo • 10 juni 2021 20:08

Van bedrijven mag verwacht worden op de hoogte te zijn van de wet.
De GDPR bestond ten tijde van de overtreding al 2 jaar.
Er was bewust gekozen voor een 2 jaar overgangsperiode, zo kon iedereen zich voorbereiden.

Dan is het niet oké om het op dat moment en de zaken niet op orde te hebben en dit een jaar laten voortduren.

Mijn werkgever verplicht mij om GDPR trainingen te volgen, omdat ik mogelijk in bijzondere situaties in aanraking kom met privé gegevens.

Deze tandarts zou nog beter moeten weten.

Sietse Vliegen @T.C • 10 juni 2021 20:36

En waarom?

T.C @Sietse Vliegen • 10 juni 2021 20:39

Die gaat al om met zeer gevoelige data, dus eigenlijk zou het dan moeten zijn dat deze juist actief kijkt wat hij moet doen aan beveiliging en hoe.

Sietse Vliegen @T.C • 10 juni 2021 20:50

Die websitebouwer had beter moeten weten. Die wist al lang dat gdpr bestond.

Het probleem is dat veel website bouwers gdpr niet snappen en een orthodontist al helemaal niet.

Ik wil dat niet goedpraten - er zijn natuurlijk fouten gemaakt - maar hier op tweakers doet iedereen altijd alsof gdpr zo simpel is en iedereen dat zou moeten snappen.

Ik kom voortdurend bij multinationals over de vloer waar ze gdpr niet eens snappen. En die hebben dan nog het geld om een bedrijfsjurist of een externe jurist in te schakelen. Voor een kleine ondernemer is dat een stuk moeilijker.

T.C @Sietse Vliegen • 10 juni 2021 21:01

Ik doe niets met IT of persoonsgegevens, anders dan dat een collega van een project geen zaken telefoon heeft en mij zijn/haar privé nummer geeft.

Toch moest ik een GDPR training volgen en zo moeilijk is die niet.

Ik met HTS Chemische Technologie, wist direct wat de wet inhoudt en had dus iemand ingehuurd om de website aan een audit te onderwerpen om te zien of deze voldoet aan de GDPR.

Iemand met 10 jaar WO moet die kunnen begrijpen.

De vraag is zelfs of de websitebouwer aan te klagen is, die is immers niet verwerkingsverantwoordelijk.

Dat is de Orthodontist.

R4gnax

Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete
Privacy

@Sietse Vliegen • 11 juni 2021 00:29

Ik wil dat niet goedpraten - er zijn natuurlijk fouten gemaakt - maar hier op tweakers doet iedereen altijd alsof gdpr zo simpel is en iedereen dat zou moeten snappen.

Ik kom voortdurend bij multinationals over de vloer waar ze gdpr niet eens snappen. En die hebben dan nog het geld om een bedrijfsjurist of een externe jurist in te schakelen. Voor een kleine ondernemer is dat een stuk moeilijker.

De GDPR/AVG is ook simpel. Het enige moeilijke er aan is als je het als een puzzel gaat behandelen om doelbewust de mazen en grenzen van die wet op te zoeken om bijv. toch je eigenlijk wederrechtelijke bedrijfsmodel met geen tot minimale wijzigingen in stand te kunnen houden.

Is het zo vreemd en slecht dat het moeilijk is om een manier te vinden om de geest van de wet te overtreden, maar toch binnen de feitelijke wetstekst te blijven? Ik zou daarop eigenlijk zeggen: goh, goede wet. Die zit mooi dichtgetimmerd.

[Reactie gewijzigd door R4gnax op 23 juli 2024 12:46]

Sietse Vliegen @R4gnax • 14 juni 2021 08:57

GDPR/AVG is helemaal niet zo simpel als het lijkt. Ik heb jaren bij grote advocatenkantoren gewerkt en die hebben er - nog steeds - heel veel werk aan. Zo worden er genoeg zaken gevoerd over de definitie van 'gerechtvaardigd belang', de rechten van de consument (zijn diens rechten op inzage/wijziging/verwijdering absoluut -- ook alle backups, papieren kopieën?), etc.

Als het werkelijk zo simpel zou zijn als jij denkt, dan waren er niet honderden adviesbedrijfjes ontstaan die GDPR/AVG gerichte diensten aanbieden.

R4gnax

Autoriteit Persoonsgegevens
algemene verordening gegevensbescherming
Boete
Privacy

@Sietse Vliegen • 14 juni 2021 13:24

Zo worden er genoeg zaken gevoerd over de definitie van 'gerechtvaardigd belang', de rechten van de consument (zijn diens rechten op inzage/wijziging/verwijdering absoluut -- ook alle backups, papieren kopieën?), etc.

Goh; dat klinkt alsof we te maken hebben met de uitzondering die ik al stelde:

Het enige moeilijke er aan is als je het als een puzzel gaat behandelen om doelbewust de mazen en grenzen van die wet op te zoeken

Zeker wat betreft je eerste item 'gerechtvaardigd belang.' Wat eigenlijk niet eens een issue is met de AVG, want de AVG laat de toetsing of iets gerechtvaardigd is of niet, bewust buiten scope. Dat moet per individueel geval ge-evalueerd worden en afgewogen worden tegen het recht op privacy van de betrokkene.

En wat betreft dat tweede: de AVG maakt geen verschil tussen verwerking op papier of verwerking digitaal. Het is beide verwerking van gegevens. De AVG maakt ook geen uitzondering voor backups, behalve waar het archiefmateriaal voor publiekelijke; wetenschappelijke; etc. doeleinden betreft. En ook daar dan en slechts dan als gegevens voldoende geaggregeerd en gepseudonimiseerd zijn.

Dus ja; een verzoek om verwijdering omhelst ook backups. Een verzoek om wijziging waarschijnlijk op het eerste gezicht niet; want dat gaat over het wijzigen van de courante waarde in gebruik. Hoewel het daar ook mogelijk kan zijn dat het wel moet, ivm bijv telefoonnummers die met tussenpozen gerecycled worden en daadwerkelijk aan andere mensen toegekend worden. Dat duurt iets van een half jaar of zo, dus als je backups hebt die zo ver terug gaan - dan moet je daar misschien ook wat mee.

Als het werkelijk zo simpel zou zijn als jij denkt, dan waren er niet honderden adviesbedrijfjes ontstaan die GDPR/AVG gerichte diensten aanbieden.

Net zoals voorheen met de cookie-wet, ja. Die in principe nog veel simpeler is. En veel van die bedrijfjes zijn waarschijnlijk ook zoals met de cookie-wet, van het kaliber snake-oil.

[Reactie gewijzigd door R4gnax op 23 juli 2024 12:46]

Sietse Vliegen @R4gnax • 14 juni 2021 14:50

1) Het is dus NIET de uitzondering die jij noemt, want jij gaat uit van 'doelbewuistt de mazen van de wet opzoeken'. Je denkt toch niet dat een orthodontist in die categorie valt?

2) Juist omdat 'gerechtvaardigd belang' niet scherp omschreven is, is voor heel veel gevallen toetsing nodig en leidt het tot veel rechtzaken.

3) De vraag is hoeveel procent van de bedrijven werkelijk hun digitale en/of papieren archieven bijwerken om 100% te voldoen aan de AVG. Ik weet vrij zeker dat een aanzienlijk percentage van de bedrijven echt niet hun backup gaat aanpassen of bijwerken omdat een of een paar klanten verzocht hebben om hun gegevens te laten verwijderen. Te veel werk en te veel risico dat er dan iets misgaat, waardoor je complete backup onbruikbaar wordt. En nee, je mag geen backup van die backup bewaren...

4) de cookiewet is een mooi voorbeeld. Wie is daar nou echt iets mee opgeschoten? De consument die nu bij elke website met dezelfde vragen lastiggevallen wordt, maar dan telkens net even anders? Waardoor je heel goed moet lezen wat er nu precies staat om te bepalen of je een vinkje weg moet halen of juist een vinkje moet zetten?

Hadden we maar een simpele regel gesteld: groen: akkoord met alle cookies, rood: niet akkoord, helemaal geen cookies dus, oranje: zelf kiezen en daarmee een zeker risico nemen.

Dan was niet het gebruik maar ook alleen de implementatie een stuk simpeler. En had je ook daar die consultancybedrijfjes niet nodig gehad.

gorgi_19 @Sietse Vliegen • 11 juni 2021 07:35

Die websitebouwer had beter moeten weten. Die wist al lang dat gdpr bestond.

Niet als de site uit 2010 stamt. Hem aansprakelijk stellen omdat zijn 9 jaar oude site niet meer aan de actuele normen voldoet is vreemd. Zelfde als een advocaat aansprakelijk stellen omdat zijn advies uit 2010 hoe om te gaan met de privacyregels nu niet meer actueel is, en hij dit toch wel in het kader van zijn zorgplicht zou moeten aanpassen.

Ik kom voortdurend bij multinationals over de vloer waar ze gdpr niet eens snappen. En die hebben dan nog het geld om een bedrijfsjurist of een externe jurist in te schakelen. Voor een kleine ondernemer is dat een stuk moeilijker.

Het is niet alleen GDPR waar hij aan moet voldoen, maar vrij veel wetgeving die relevant is. Als we nu op een HR-forum zaten en zijn RI&E was niet op orde, dan zou het dan terecht zijn als hij iets verkeerd deed. Belastingforum hetzelfde.

Best kans dat deze orthodontist het idee had dat hij het goed deed. Als je kijkt ook in de reactie die hij geeft:

[Betrokkene] heeft, zoals vermeld in paragraaf 2.3.4, in haar zienswijze gewezen op een auditrapport,
stappenplan ter voorbereiding op de AVG en een rapport van een collegiale visitatie. Volgens [betrokkene]
is zij in geen van deze stukken gewezen op de tekortkoming met betrekking tot het online
inschrijfformulier. Voor zover [betrokkene] bedoelt dat hierom sprake is van verminderde verwijtbaarheid,
volgt de AP haar niet. Zij had als zorgverlener beroepshalve bekend moeten zijn met de voor die zorg
geldende beveiligingsnormen. Dat anderen haar niet op de tekortkoming hebben gewezen, doet niet af aan
haar eigen verplichtingen als verwerkingsverantwoordelijke.

Er is visitatie geweest, er is een auditrapport, er was een stappenplan van de AVG. Het lijkt erop dat hij in ieder geval zijn best deed om zo goed mogelijk aan de regelgeving te voldoen. Foutje gemaakt, 12k aan boete.

[Reactie gewijzigd door gorgi_19 op 23 juli 2024 12:46]

Sietse Vliegen @gorgi_19 • 14 juni 2021 08:40

Helemaal mee eens. Een waarschuwing zou op zijn plaats zijn, of een lichte boete. Maar niet 12k.

devices @Cowamundo • 10 juni 2021 20:07

Ik heb er denk ik over heen gelezen. Hoeveel klanten heeft deze orthodontist?

Vizzie @devices • 10 juni 2021 20:29

Zoveel dat ze een omzet draaien waarbij 12K een passende boete is volgens het model Waarmee de AP de hoogte van boetes bepaalt.

devices @Vizzie • 10 juni 2021 23:51

Hoeveel is dat dan?

torretje2012 10 juni 2021 20:02

12.000 voor iets wat niet een volledige datalek is, er heeft immers niet aantoonbaar een aanval plaats gevonden. 15000 voor het opslaan van ziekte gegevens in een google drive = (of eigenlijk 1035000, maar dat kon de organisatie de kop kosten)

SunnieNL

@torretje2012 • 10 juni 2021 21:07

Pardon? Je bsn nummer onbeveiligd versturen via een formulier vind ik nogal wat. Jij zou het dus geen probleem vinden om je bsn over straat heen te roepen met de rest van je gegevens?

kftnl @SunnieNL • 10 juni 2021 21:57

Pardon? Je bsn nummer onbeveiligd versturen via een formulier vind ik nogal wat.

Van de belastingdienst moesten veel ondernemers die BSN tot een jaar geleden doodleuk op de factuur zetten. Wat denk je dat je met een BSN kunt?

Erik1337 @kftnl • 10 juni 2021 22:04

Het is niet alleen een BSN dat over http ging, maar ook andere persoonsgegevens zoals naam en geboortedatum. Daarmee kan je als kwaadwillende makkelijk identiteitsfraude plegen, en in sommige gevallen leningen afsluiten.

bytemaster460 @kftnl • 11 juni 2021 10:09

Daar is dus ook al jaren flinke kritiek op. Dat de belastingdienst het doet betekent nog niet dat het DUS acceptabel is.
Met een BSN kun je heel gemakkelijk toeslagen aanvragen en identiteitsfraude plegen. Toeslagen worden eerst toegekend zonder check en daarna teruggevorderd als het onterecht bleek. De eigenaar van het BSN krijgt daar ongelooflijk veel gedoe mee.

fapkonijntje @kftnl • 11 juni 2021 12:38

Precies! Als hunnie het doen mag ik het ook! Puh.

Anoniem: 696166 @SunnieNL • 10 juni 2021 22:06

een formulier versturen over een niet-geëncrypteerde omgeving is weliswaar verre van ideaal, maar het is niet zo dat die gegevens per definitie op straat liggen dan, integendeel, de kans dat er misbruik is is erg klein

torretje2012 @SunnieNL • 10 juni 2021 23:06

Is er een middlemen atk geweest? Nergens te vinden... Bij de boete die ik aanhaal van een vele grotere organisatie was er wel aantoonbaar gelekt....

SunnieNL

@torretje2012 • 11 juni 2021 09:12

De boetes gaan niet alleen om het lekken van informatie maar het ook niet beveiligd verwerken. Dat is wat hier gebeurd. Er worden zeer bijzondere gegevens gevraagd die niet beveiligd worden verwerkt. Het maakt niet uit of er een MitM attach heeft plaatsgevonden of niet. De gegevens gaan plaintext over de lijn.
Het gaat dan bij zo'n orthondontist om de volgende gegevens:
- geboortedatum
- bsn nummer
- naam
- adres
- verzekeringsnummer
- mogelijk zelfs bankrekeningnummer

Weet je wat ik met die gegevens allemaal kan doen als ik die plaintext voorbij zie komen of gewoon ergens opvang?

Stel jou tandarts heeft zo'n formulier gewoon uitgeprint op de balie liggen. Dat is net zo'n grote fout. Er wordt niet aangetoond dat iemand er een foto van maakt of de gegevens ergens overneemt. Je weet dus niet of er een datalek is, maar het gewoon onbeveiligd rondslingeren van deze gegevens is gewoon al fout.

[Reactie gewijzigd door SunnieNL op 23 juli 2024 12:46]

laptopleon 10 juni 2021 19:50

Ik begrijp dat de AP een punt wil maken, maar de combinatie van dergelijk hoge boete voor de één terwijl er waarschijnlijk doodeenvoudig duizenden andere sites te vnden zijn met vergelijkbare problemen, wekt eerder de indruk van willekeur en rechtsongelijkheid.

fapkonijntje @laptopleon • 10 juni 2021 20:06

Als die duizenden websites ook BSN, naam, huisartsgegevens, tandartsgegevens, gegevens van de ouders, en verzekering van kinderen verwerken misschien, maar ik vermoed dat die duizenden websites van je dat niet allemaal doen.

Er hebben het niet over het lekken van een naampje hier en daar, hier lekt een heel dossier dat kant en klaar is om misbruik van te maken op een kinderlijk eenvoudige manier.

Het wekt op jou de indruk van willekeur en rechtsongelijkheid, ik vind de boete nog erg mild uitvallen voor zo'n grote overtreding en jouw reactie wekt bij mij de indruk dat je de impact van deze overtreding misschien niet helemaal goed inschat. Je mag van een zorgverlener wel een beetje verwachten dat ze netjes met je gegevens omgaan. Zeker als ze zo kritisch en compleet zijn als hier het geval is.

Sietse Vliegen @fapkonijntje • 10 juni 2021 20:44

Er is geen enkel bewijs dat er überhaupt gelekt is, laat staan een ‘heel dossier’. Er wordt alleen gesproken over een destijds onbeveiligde website. Die is al lang vervangen (daar waren ze al mee bezig) en sinds 2017 geeft google bij non https websites sowieso al aan dat ze onveilig zijn.

Jij vindt het dus een grote overtreding. Mag ik je erop wijzen dat veel Nederlandse rechtbanken de afgelopen jaren nog werkten met analoge fax over onbeveiligde openbare telefoonnetwerken en onbeveiligde email verstuurden met complete dossiers? Zijn die ooit beboet?

fapkonijntje @Sietse Vliegen • 10 juni 2021 21:32

Er is geen enkel bewijs dat er überhaupt gelekt is,

Dus dan kunnen we algemene normen zoals NEN 7510 in de zorg negeren tot het wel fout gaat? Rijden onder invloed is dan zeker ook goed zolang je niemand onder je wielen krijgt?

Die is al lang vervangen

Dat formulier is best lang actief gebruikt. Dat het probleem er nu niet meer is, maakt de overtreding met betrekking tot bijzonder persoonsgegevens van kinderen in het verleden niet ineens ongedaan.

Zijn die ooit beboet?

Want als een ander het fout doet mag jij het ook!

Zorggegevens en vooral die van kinderen zijn de meest gevoelige gegevens die er zijn, als je als zorgverlener daar niet goed mee om kunt gaan ben je wat mij betreft gewoon fout bezig. Je hoort van de normen in de zorg op de hoogte te zijn, dus ook de NEN 7510. Die is niet optioneel.

[Reactie gewijzigd door fapkonijntje op 23 juli 2024 12:46]

Sietse Vliegen @fapkonijntje • 14 juni 2021 08:48

Je leest niet. Ik reageer op jouw uitspraak "hier lekt een heel dossier". Dat is niet bewezen.

Wat is "best lang", wetende dat ze bezig waren met de vervanging? Hoeveel tijd krijg je van de rechter om een fout te herstellen?

En ik stel niet dat de orthodontist (en zijn ICT leverancier) geen fout gemaakt hebben, maar het gaat mij erom dat jij het een 'grote overtreding' noemt terwijl ik onzorgvuldigheid van rechtbanken (die vele jaren geduurd heeft) veel ernstiger vind.

MiesvanderLippe 10 juni 2021 19:42

Ik vind het wel grappig dat ze de noodzaak voelen te duiden dat het geld kost om een SSL certificaat te installeren. Dat is bij de meeste webhosts (en in DirectAdmin) gewoon een knopje... Als iemand die vijf minuten in rekening brengt bij je... Enfin.

david-v

@MiesvanderLippe • 10 juni 2021 20:30

Nou... gratis.... Je hebt freessl en Lets encrypt bijvoorbeeld, met een geldigheidsduur van 90 dagen. Je kan dit wel geautomatiseerd laten vernieuwen met een cronjob. Je krijgt vaak ook een gratis ssl als je een bepaalde dienst bij een hoster afneemt. Vaak is dat bij shared websites en niet bij websites met een eigen domein. Maar voor de prijs van een ssl certificaat die een paar jaar (of langer) geldig is moet je denk ik ook niet moeilijk gaan zitten doen.

armageddon_2k1 @MiesvanderLippe • 10 juni 2021 19:50

EDIT: Deze reactie was niet op jou bedoeld.

[Reactie gewijzigd door armageddon_2k1 op 23 juli 2024 12:46]

willempjuh 10 juni 2021 20:07

Ik snap ergens dat we bewust moeten zijn van de risico's van data verlies, lekker van persoonsgegevens etc. Maar ergens vind ik dit niet in verhouding staan met een boete voor een overtreding in het verkeer waarbij je anderen en jezelf ernstig in gevaar kunt brengen, zoals door rood licht rijden of veel te hard rijden.

kodak

Autoriteit Persoonsgegevens
Privacy
algemene verordening gegevensbescherming

@willempjuh • 10 juni 2021 21:06

Waarom zou je dat willen vergelijken? Maar ook hoe zou je dat willen doen? Het zijn heel verschillende risico's. Dan kan je ook verschillen verwachten.

dez11de 10 juni 2021 20:11

Fixe boete voor iets wat niet fout is gegaan en slechts een zeer kleine kans heeft op fout gaan. Er moet al van alles mis zijn bij de internet providers wil het ook echt fout gaan.
Er is geen enkele reden om aan te nemen dat de betreffende orthodontist ook van plan was om iets strafbaars te doen, dus van afschrikkende werking van de straf is geen sprake.

kodak

Autoriteit Persoonsgegevens
Privacy
algemene verordening gegevensbescherming

@dez11de • 10 juni 2021 21:25

Je bent al strafbaar als je als ondernemer de persoonsgegevens van anderen niet beschermd, niet pas als het vervolgens mis is gegaan. Die wetgeving is er onder andere omdat als het mis gaat de gevolgen nauwelijks terug te draaien zijn en het daarbij ook niet altijd bewezen kan worden waar het mis is gegaan. De gevolgen zijn dan voor de niet voor de slachtoffers, niet de ondernemer die andermans gegevens liever niet in bescherming neemt.

Multispeed 10 juni 2021 19:52

De AP startte een onderzoek nadat het een klacht van een patiënt ontving

Ik vraag mij dan ook wel af of die patiënt de moeite heeft genomen dit bij de praktijk te melden of dat deze gelijk naar de AP is gestapt. Wat ik persoonlijk wel kan begrijpen, maar toch wat raar vind.

willempjuh @Multispeed • 10 juni 2021 20:10

Mee eens. En als je verhouding met je orthodontist ook nog eens niet al te goed is, zit hier een hoog 'matennaaier' gehalte bij.

Multispeed @willempjuh • 10 juni 2021 20:15

Nou 'matennaaier' weet ik niet want die persoon staat natuurlijk in zijn of haar recht. Maar sociaal is het allerminst te noemen.

_Pussycat_ @willempjuh • 11 juni 2021 04:35

Dat weet je niet. Ik kan me goed voorstellen dat hij het aan de praktijk gemeld heeft en het antwoord kreeg "ja dat was altijd al zo, dat hebben veel mensen ons al gezegd".

Op dit item kan niet meer gereageerd worden.

Orthodontist krijgt AVG-boete van 12.000 euro wegens formulier zonder https

Lees meer

'Serieuze zaken vergen serieuze boetes'

Nederlandse AVG-boetes zijn hoog

IT-banen

Reacties (257)

Sorteer op:

Weergave: