Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Europees Parlement overtrad privacyregels op interne website voor coronatests

De Europese privacytoezichthouder EDPS heeft het Europees Parlement berispt voor het overtreden van privacyregels met cookies op een interne site voor het maken van een coronatestafspraak. Gegevens werden via cookies overgebracht naar de VS, wat in strijd is met de regels.

Volgens de privacytoezichthouder heeft de coronatestwebsite, waarop leden van het Parlement een testafspraak kunnen plannen, cookiegegevens aan de VS doorgegeven zonder een 'passend' beschermingsniveau voor de gegevens te waarborgen. Daarmee is de site van het Europees Parlement in strijd met de privacywetgeving.

Het hoofd van non-profitorganisatie noyb, een van de organisaties die hier vorig jaar een klacht over had ingediend, verklaart: ''Er was geen behoorlijke bescherming tegen surveillance door de VS, ondanks het feit dat Europese politici een bekend doelwit voor spionage zijn.''

In juli 2020 werd door het Hof van Justitie van de Europese Unie bepaald dat de VS geen passende bescherming biedt die aansluit bij het wettelijke kader van de EU, en dat daarom het overdragen van persoonlijke gegevens naar Amerika enkel is toegestaan onder 'strikte voorwaarden'. In dit geval werden de gegevens onwetmatig naar de VS overgebracht via cookies van Amerikaanse bedrijven als Google en Stripe.

De cookiebanners op de site waren volgens de toezichthouder ook onduidelijk en misleidend. ''Er werd onvoldoende transparant informatie gedeeld waaruit zou blijken hoe de persoonlijke data verwerkt wordt.'' Dat was eveneens een overtreding van de privacyregels.

Het Europees Parlement krijgt enkel een berisping. De meeste problemen zijn gedurende het onderzoek opgelost, zo zijn de cookies inmiddels van de website verwijderd, maar de toezichthouder geeft het EP een maand om resterende problemen op te lossen.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Kevin Krikhaar

Stagiair nieuwsredactie

11-01-2022 • 14:31

53 Linkedin

Reacties (53)

Wijzig sortering
Waarom altijd pas achteraf :F Waarom kan men dit niet gelijk goed regelen, zo moeilijk is het niet.
Reageer
Waarom altijd pas achteraf :F Waarom kan men dit niet gelijk goed regelen, zo moeilijk is het niet.
Omdat iedereen die het vooraf goed regelt het nieuws niet haalt.

Ter vergelijking: wanneer heb jij voor het laatst in de krant gelezen dat een vliegtuig zonder problemen geland is? Dat de enige vliegtuigen die de krant halen degene zijn die neerstorten betekent absoluut niet dat vliegtuigen vaak neerstorten.
Dat de enige websites die het nieuws halen degene zijn die gehacked worden of hun cookie-banner niet op orde hebben of, in het algemeen, waar iets mis mee is, betekent niet dat bijna alle websites dat soort problemen hebben. "EDPS vindt geen problemen met interne website voor coronatests van het EP" is nou eenmaal geen interessant artikel.
Reageer
Maar dat is een discussie over waarom dit in het nieuws komt. Wat bedoeld wordt is: waarom wordt niet bij dit soort gevoelige informatie vooraf gecontroleerd?
Reageer
Omdat het mensenwerk is. En waar mensen werken worden fouten gemaakt. Misschien niet bij jou op het werk, maar bij de rest van de wereld wel.
Reageer
eh - ik stel en enkel dat het bericht van @robvanwijk niet helemaal terecht is omdat het gaat om de zorgvuldigheid met dergelijke gegevens.
En daarbij komt: natuurlijk worden overal fouten gemaakt maar als het bijzonder simpel is te controleren / te voorkomen en het een grote partij (met geld/resources) betreft, dan liggen de zaken toch wel iets anders.
Reageer
Wie zegt dat dat niet gebeurd is? Zoals ik het lees is dit een gevolg van de uitspraak van het hof in de zomer van 2020. Voor die uitspraak werd er door iedereen van uit gegaan dat het wel kon.

Hoeveel developers ken jij die continue wetgeving en rechtspraak volgen om daarna af te toetsen of hun applicaties voldoen?
Reageer
Team product hoort zulke dingen aan team legal te vragen.

[Reactie gewijzigd door Dramatic op 11 januari 2022 21:44]

Reageer
Een normaal bedrijf verwacht ik het zeker niet. Maar een parlement zou je wel iets meer mogen verwachten aangezien hun toch als parlement het goede voorbeeld horen geven. En het zou ook andersom kunnen zijn. Diegene die al met wetten bezig zijn zouden de belangrijke wetten (die gaan over websites en cookies) ook kunnen doorgeven aan de developers.

En ja fouten mogen gewoon gemaakt worden.

[Reactie gewijzigd door Daoka op 12 januari 2022 04:37]

Reageer
Daarom zijn het ook niet automatisch de developers 'schudlig'.

Het probleem met dit soort fouten is dat de gevolgen onomkeerbaar zijn dus extra zorgvuldigheid prettig zou zijn.
Reageer
Guido Wijers cabaretier heeft op zijn YouTube kanaal ook al uit gelegd hoe nieuws werk :
https://youtu.be/R4god23iZM4

Rond 12 minuten erg leuk gemaakt deze lockdown-Oudejaars!
Reageer
Ja, maar dat is juist het probleem. Dit moet het nieuws niet halen, dat is nergens voor nodig. Dergelijke zaken moeten juist aan het begin goed gecontroleerd worden.
Reageer
Het ging om cookies van Google Analytics en Stripe, die kom je echt overal tegen als je geen goede adblocker installeert.

Waarom altijd achteraf? Omdat web devs en hun managers te lui zijn om het uit te zoeken en de pakkans laag is. Een privacy-bewust framework opzetten zoals Matomo met alle instellingen goed (daar heb je ook nog een behoorlijke taak aan) en dat door legal laten keuren is moeilijker dan Google Analytics erin pleuren zonder dat iemand het ziet.

Waar Stripe goed voor was weet ik niet, ik vermoed dat er een betaalfunctie in de pagina zat en men Stripe als betaalprovider heeft gekozen zonder naar regelgeving te kijken?

Het systeem lijkt gebouwd/beheerd te zijn door https://ecolog-international.com/, dus vanaf nu weet je waar je niet je websites vandaan moet halen.
Reageer
Het ging om cookies van Google Analytics en Stripe, die kom je echt overal tegen als je geen goede adblocker installeert.
Dan vraag ik mij af waarom je Analytics en Stripe nodig hebt voor een INTERNE website...
Reageer
Analytics kan ik nog begrijpen gezien er vrij veel mensen op het interne platform komen en het dus best handig kan zijn om te zien welke paginas populair zijn of geoptimaliseerd kunnen worden. Stripe is appart gezien je geen betaalactiviteiten zou verwachten op een interne site?
Reageer
Inderdaad; want als je zo nodig van je interne website het gebruik wil monitoren is dat bijna net zo eenvoudig zelf te maken als dat je er een google-tracker in stopt.

Op onze interne websites en pagina's, daar waar we willen weten of het nog wel gebruikt wordt, voegen we een transparante pixel in. Die pixel geeft de website en pagina-naam terug naar de logwebsite.
Ben ik een uur of twee mee bezig geweest om te bouwen incl. rapportages en auto-opschonen.
Reageer
Er kan op heel veel verschillende manieren iets fout gaan. Specifiek dit probleem is makkelijk te voorkomen, maar de kans dat er helemaal niks fout gaat is erg klein. Daarom goed dat de toezichthouder z'n werk doet.
Reageer
Hoezo is de kans dat er helemaal niks fout gaat erg klein???

Dit is iets dat uitermate simpel te voorkomen was en had moeten zijn.
Je zit hier extreme incompetentie goed te praten.
Reageer
Ah, die weet ik: incompetentie of onbekwaamheid!

Wat voor prijs heb ik hiermee gewonnen?

Een europese cookiemuur? Die niet correct wordt gehandhaafd en zware irritatie veroorzaakt door heel Europa? Zelfs op interne websites waar tracking cookies helemaal niets te zoeken hebben?
Reageer
"In juli 2020 bepaald dat de VS geen passende bescherming biedt die aansluit bij het wettelijke kader van de EU, en dat daarom het overdragen van persoonlijke gegevens naar Amerika enkel is toegestaan onder 'strikte voorwaarden'."

Heeft dit betrekking op alle websites of enkel die van de Europese overheid?
Reageer
Dit heeft betrekking op het gehele internet.
Reageer
Betekent dit dus dat elke website die iets van tracking gebruikt uit VS (Google, meta) in strijd is met de avg?
Reageer
Nee, in dit geval gaat het erom dat je toestemming moet vragen voordat je cookies plaatst, mensen trackt, dat mag niet meer stilletjes automatisch.
Reageer
Ja, afhankelijk van wie je het vraagt. Volgens privacy activisten kun je geen persoonsgegevens aan de VS doorgeven omdat die geen passende bescherming zouden bieden, zelfs niet als je bijvoorbeeld de standard contractual clauses gebruikt. Dat is natuurlijk een tamelijk extreme situatie, maar wel wat bijvoorbeeld een Max Schrems zegt. In Duitsland verbieden ze bijvoorbeeld al het gebruik van Amerikaanse CDNs. Het internet is dan dus stuk.

Daarnaast speelt ook het toestemmingsvereiste voor cookies waar anderen op wijzen.
Reageer
Rules for thee, but not for me. Dat kunnen ze daar wel... :/
Reageer
Dit artikel gaat over het feit dat die regels wel worden gehandhaaft...
Reageer
Het Europees Parlement krijgt enkel een berisping.
Als er ergens een club een voorbeeld functie zou moeten hebben...

[Reactie gewijzigd door mjtdevries op 11 januari 2022 17:01]

Reageer
Ook bij het Europees Parlement werken gewone mensen, die gewone mensen fouten kunnen maken. En als ze een legertje controleurs er boven op zetten krijgen ze weer het commentaar dat het allemaal zo log en zo duur is.
Reageer
Tja - dat is een beetje een dooddoener. Het punt is dat juist bij dit soort zaken extra zorgvuldigheid noodzakelijk is, er veel aandacht is voor de zaak, er voldoende budget is om het uit te voeren, eventuele 'schuldigen' moeilijk te berispen zijn en de gevolgen zijn onomkeerbaar. Het is ook een kwesite van geloofwaardheid. De overheid is tenslotte een partij die stelt dat je het goed op orde moet hebben en vervolgens heeft ze het zelf niet goed op orde. Dat mag dan wel op technisch gebied ongerelateerd zijn maar dat is onvoldoende excuus.

Als iemand zegt "is het nu potverdulleme afgelopen met dat gevloek!?" dan heb je toch ook een beetje gezichtsverlies? :9
Reageer
idd. En als er ergens een club is die voldoende budget heeft om dit ook te waarborgen...
Reageer
Blijkbaar niet. Er wordt ook tegen hun gewoon opgetreden. Dat dit nu op deze manier gaat is juist een signaal dat het (zoals bedoeld) werkt.
Reageer
"Berispt" - is toch een heel betrekkelijke manier van 'optreden'....
Reageer
Want naar private bedrijven worden natuurlijk onmiddelijk monsterboetes gestuurd ...
Reageer
Er is geen sprake van enig belang of kwade intentie lijkt mij, dan is een berisping gevolgd door snelle opvolging (zoals dit artikel stelt) prima op zijn plaats.
Reageer
Eh? Spijtig dat dit gebeurt. De toezichthouder doet z'n werk.

Misschien helpt dit ook om de aandacht te vestigen op het belang van regulering, bijv. met de Digital Markets Act in aantocht.

[Reactie gewijzigd door erwn op 11 januari 2022 14:40]

Reageer
Dus, waar blijft die torenhoge boete?
Reageer
Er was geen kwade opzet in het spel, de problemen zijn al grotendeels opgelost en de nog resterende problemen worden (als het goed is) op korte termijn gecorrigeerd. Wat zou precies het nut zijn van een boete?
Reageer
Vertel eens bij welke boetes die de AP heeft opgelegd er wel kwade opzet in het spel was?

Het nut van de boete zou zijn dat een volgende keer er EERST nagedacht word voordat men een dergelijke website maakt die OVERDUIDELIJK zeer gevoelige (medische) informatie verwerkt.

Maar je kunt je afvragen of publiekelijk aan de schandpaal nagelen niet net zo effectief is als een boete. Zeker bij een overheid die zich toch niet druk maakt om de kosten.
Reageer
JIj maakt nooit fouten op je werk? Als dat zo is kan het alleen maar zo zijn dat je niet werkt.
Reageer
En hoeveel inbreuken zijn er wel niet waar de AP gewoon geen boete heeft opgelegd maar gewoon de betrokken partij gevraagd heeft om het op te lossen? Nu doe je net alsof hier iets unieks is gebeurd.
Reageer
Dat is een wat lastige omdat opzet en ernstig verwijtbare nalatigheid erg op elkaar lijken, juridisch onder de AVG dezelfde connotatie hebben (als boete-verzwarende omstandigheid) en opzet bijzonder lastig te bewijzen is wordt het meestal op ernstig verwijtbare nalatigheid gegooid.

Maar dan hebben we het ook over een andere toezichthouder met een ander wettelijk kader.
Reageer
Zeker bij een overheid die zich toch niet druk maakt om de kosten.
Daar zit dus een probleem idd. Berispen heeft vermoedelijk net zoveel effect.

Dat is het probleem met al die toezichthouders en commissies telkens: altijd achteraf controle (dus het leed is al gescheid / fouten zijn al gemaakt). En vervolgens eigenlijk nauwelijks dwingend kunnen optreden.

Terwijl burgers heel erg makkelijk kunnen worden beboet (en dan alsnog de discussie ontstaat over het effect van boetes).

Daarom zijn taakstraffen zo mooi.
Reageer
Vertel eens bij welke boetes die de AP heeft opgelegd er wel kwade opzet in het spel was?
Dat zeg ik niet, er staat "geen kwade opzet EN grootste deel al tijdens onderzoek opgelost EN restant volgt binnenkort". Ik heb zo snel even geen lijstje bij de hand van alle boetes die de AP heeft opgelegd, maar voor zover ik me herinner gaat het meestal op het tweede punt fout: AP doet onderzoek, bedrijf of instantie weigert dingen aan te passen. Tja, dan moet er een boete (of dwangsom) tegenaan om af te dwingen dat ze alsnog meewerken.
zeer gevoelige (medische) informatie
Nee, er werd juist helemaal geen persoonlijke data gelekt:
DG PERS also informed the
complainants that no personal data of MEPs and the Parliament’s staff, registered for
COVID-19 testing through the website, were transferred outside the EU.
[richting het einde van de derde, langste paragraaf op pagina 3]
Voor zover ik zo snel kan zien lijkt het erop dat hooguit te zien was dát deze site gebruikt wordt. Ja, dat is een privacy-inbreuk, maar "parlementariër laat zich testen" is nou niet bepaald extreem gevoelige informatie; je zou bijna hopen dat dat voor allemaal geldt.
Reageer
Aan het eind van diezelfde pagina 3 staat het volgende:
By letter of 25 March 2021, the Parliament informed the EDPS that it was in no position to
identify neither the users of the website (or IP addresses of users), who accepted the Google
Analytics cookies on the website, nor the personal data that were sent to Google from the
use of such cookies. In the same letter, however, the Parliament admitted that ‘Ecolog did
not provide the EP services with complete certainty regarding the absence of data transfers
to the US’.
Waarom heb je dat stukje niet meegenomen in je quotes?
Dat lijkt me nogal cruciaal als je beweerd dat er geen persoonlijke data werd gelekt.

Als er helemaal geen persoonlijke data werd gelekt, waarom is er dan een berisping gegeven?

En "parlementariër x laat zich testen" zoals jij zegt, is het lekken van persoonsgegevens. Sterker nog, dat zijn medische persoonsgegevens en daarmee per defintie gevoelige persoonsgegevens.
Dat jij ze niet spannend vind doet daarbij niet ter zake. En voor parlementariers kan het een stuk spannender zijn. Als ze bv weer eens betrapt zijn op het zich niet houden aan de regels en vervolgens een paar dagen later zich laten testen.

[Reactie gewijzigd door mjtdevries op 12 januari 2022 12:12]

Reageer
Aan het eind van diezelfde pagina 3 staat het volgende:
[...]
Waarom heb je dat stukje niet meegenomen in je quotes?
Dat lijkt me nogal cruciaal als je beweerd dat er geen persoonlijke data werd gelekt.
Omdat daar niet staat wat jij daar denkt te lezen. Ze kunnen niet garanderen welke data er naar Google is gestuurd omdat zijzelf die cookies niet in kunnen zien. Dan kunnen ze er ook geen uitspraken over doen welke data daarin zit. Ze kunnen echter wel controleren welke data er onmogelijk in gezeten kan hebben (als de site alleen dient voor het maken van een afspraak, dan kan de uitslag van de test bijvoorbeeld nooit bij Google terecht zijn gekomen).

Pagina 4, eerste puntje:
Regarding transfers to Google, the complainants put forward that this is confirmed by the data protection notice on the website,4 which stated, at least until the ‘13 January 2021’,5 that ‘the information regarding [the] usage of this website generated by the use of Google Analytics is transmitted to and stored on a Google server in the US’.
Zelfs de klacht beweert niet eens dat er persoonlijke data is gelekt, alleen maar dat en hoe de site gebruikt werd.
En "parlementariër x laat zich testen" zoals jij zegt, is het lekken van persoonsgegevens. Sterker nog, dat zijn medische persoonsgegevens en daarmee per defintie gevoelige persoonsgegevens.
Serieus? Ik zag laatst parlementariër X adem halen, dat betekent dat ie longen heeft!!!111 Dat is ook medische informatie, heb ik nu "gevoelige persoonsgegevens" uit laten lekken? Als het goed is laten alle parlementariërs zich regelmatig testen, dus dat je weet dat een specifiek persoon zich laat testen is niet spannend. Dat een andere persoon niet in de dataset zit is ook niet spannend, want ze kunnen een inprivate browser gebruikt hebben of zich ergens anders hebben laten testen. Dit is zo ongeveer het minst interessante datalek dat ooit het nieuws gehaald heeft.
Dat jij ze niet spannend vind doet daarbij niet ter zake.
Dat die gegevens compleet oninteressant zijn doet niets af aan het feit dat Google überhaupt geen data had mogen ontvangen. Maar het is wel degelijk relevant voor de impact ervan. Als uitlekt welke parlementariërs het soort voedselallergie hebben waaraan ze kunnen overlijden zelfs al ze maar een minieme hoeveelheid binnenkrijgen, ja, dan is er echt een probleem. Wat er nu is uitgelekt is in theorie kwalijk, maar in de praktijk is er niets aan de hand.
En voor parlementariers kan het een stuk spannender zijn. Als ze bv weer eens betrapt zijn op het zich niet houden aan de regels en vervolgens een paar dagen later zich laten testen.
Hoezo "weer eens"? Hoeveel Europarlementariërs zijn betrapt op het aan hun laars lappen van de regels? Ben je niet in de war met de Britse regering; die heeft dit jaar zo ongeveer dagelijks een nieuw schandaal.
Reageer
Dit is zo ongeveer het minst interessante datalek dat ooit het nieuws gehaald heeft.
Dat is jouw persoonlijke mening.
Blijkbaar vind jij privacy niet belangrijk. Maar er zijn een heleboel mensen die hier totaal anders over denken. Jij kunt dat niet voor hen bepalen. Die mensen hebben gewoon het recht dat het EP zich aan zijn eigen privacy wetgeving houd.

Een heleboel mensen zullen het ook onzin vinden dat een werkgever niet mag vragen of jij je ziek meld omdat je covid hebt. Of dat een werkgever niet bij de ingang van zijn pand je temperatuur mag meten en je op basis daarvan toegang mag weigeren.
Wat er nu is uitgelekt is in theorie kwalijk, maar in de praktijk is er niets aan de hand.
Wederom jouw persoonlijke mening. Maar jij kan niet voor die mensen bepalen dat ze dat niet spannend mogen vinden.
Reageer
Blijkbaar vind jij privacy niet belangrijk.
Blijkbaar kun jij niet lezen. Ik zeg dat het het kleinste probleem is. Dat is heel iets anders dan zeggen dat het geen probleem is.

Voor mijn gevoel is dit een nieuwsitem over iemand die 5 km/u te hard rijdt op de snelweg (ja ja, dat mag niet, foei, maar niet het eind van de wereld) en jij reageert alsof ie met 200 km/u door een woonerf scheurt (zelfde soort overtreding, maar toch echt van een compleet ander niveau).

Je moet dingen wel in perspectief blijven zien; bij de kleinste vergissing er bovenop duiken alsof het zware criminelen zijn leidt er alleen maar toe dat mensen hun vergissingen beter verstoppen, niet dat er wezenlijk minder vergissingen worden gemaakt.
Reageer
De regulator kan overheden enkel berispen maar niet beboeten.
De regulator heeft wel de macht een verwerking stop te zetten (dat is dan wel universeel)
Reageer
Nee. artikel 66 van de EUGDPR gaat specifiek over administratieve geldboeten.
Reageer
De EUGDPR (Regulation (EU) 2018/1725), in tegenstelling tot de AVG/GDPR, noemt boetes expliciet "als sanctie in laatste instantie" (overweging 81). Boetes voor EU-instellingen mogen dus wel, maar alleen als het niet anders kan. Bovendien zijn de boetes ook veel lager dan de AVG-boetes. Hoewel de EUGDPR en de GDP heel veel op elkaar lijken zij er verschillen.
Reageer
Die wij vervolgens weer gaan betalen..? wil je dat wel
Reageer
Zo werkt het niet. Als een overheidsorganisatie een boete krijgt moeten ze dat van hun eigen begroting betalen. Het is niet zo dat ze automatisch meer budget krijgen. In de praktijk betekent het dat ze intern of bepaalde zaken moeten bezuinigen om de begroting kloppend te houden.
Reageer
Dat is leuk, maar dat betekent dus dat ze minder voor ons kunnen doen terwijl wij daar al voor betaald hebben. Ergo zonde van ons belastinggeld
Reageer
Komen wel heel veel privacy schendings berichten de laatste tijd naar boven. Daarin heeft de coronacrisis een grote rol in gehad. In NL met de GGD. Waar gaat dit heen?
Reageer


Om te kunnen reageren moet je ingelogd zijn


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True