Privacywaakhond doet amper onderzoek naar datalekken die niet worden gemeld

De Autoriteit Persoonsgegevens voert nog steeds amper onderzoeken uit naar datalekken als daar geen melding van wordt gedaan. De toezichthouder startte in 2021 36 onderzoeken naar datalekken, waarvan relatief veel bij ict-leveranciers, maar geen daarvan gebeurde zonder dat het bedrijf zelf een melding had gedaan.

De AP schrijft dat in een datalekrapportage die het uitbrengt op de vierde verjaardag van de privacywet AVG. De Autoriteit Persoonsgegevens signaleert in die rapportage een grote stijging in datalekmeldingen na een cyberaanval, bijvoorbeeld een ransomware-infectie. De AP kreeg in 2021 in totaal 24.866 meldingen van datalekken. Daarvan waren 2210 afkomstig van een cyberaanval, 88 procent méér dan een jaar eerder. De AP verklaart die stijging deels omdat de toezichthouder meer 'is gaan sturen op de meldplicht van organisaties bij grote cyberaanvallen'. Als een bedrijf bijvoorbeeld door ransomware wordt getroffen, worden daarbij ook vaak persoonsgegevens buitgemaakt. Ook zou de meldingsbereidheid van bedrijven groter kunnen zijn.

De AP waarschuwt dat bedrijven dan in de meeste gevallen slachtoffers van het datalek moeten inlichten. Bedrijven denken volgens de toezichthouder soms dat ze niet meldplichtig zijn als ze het losgeld voor ransomware betalen. Ze sluiten dan immers een deal met de criminelen waarbij de gegevens zouden worden vernietigd. In zo'n geval zou de impact voor slachtoffers minimaal zijn en de meldplicht niet gelden, redeneren die bedrijven. Volgens de AP gebruikten meerdere bedrijven die redenering in het afgelopen jaar. "Deze redenering klopt echter niet", schrijft de toezichthouder. "Een ransomwareaanval vormt een inbreuk op zowel de vertrouwelijkheid als de beschikbaarheid van persoonsgegevens. De criminelen voeren aanvallen vooral uit voor het geld. Daarom is er geen enkele garantie dat zij de gegevens ook daadwerkelijk verwijderen en nooit zullen doorverkopen, ook al hebben zij al losgeld gekregen."

Naar aanleiding van alle datalekmeldingen startte de AP in 36 gevallen een officieel onderzoek. Het is niet bekend hoeveel daarvan er inmiddels zijn afgerond: de toezichthouder had die cijfers niet meteen beschikbaar en publiceert ook niet alle afgeronde onderzoeken. In 7026 gevallen werd er zogeheten 'verdiepend toezicht' gehouden. Dat is geen officieel onderzoek, maar de waakhond kijkt dan bijvoorbeeld of er een patroon te zien is met eerdere datalekken. Ook kan het verhelderende vragen stellen of een waarschuwende brief sturen.

Er worden vrijwel geen onderzoeken naar datalekken uitgevoerd als daar verder geen aanleiding voor is, geeft de toezichthouder toe. De waakhond is verplicht een datalekmelding of een klacht van burgers af te handelen, maar mag daarnaast ook op eigen initiatief onderzoeken starten. Zulk onderzoek kan bijvoorbeeld ambtshalve worden gedaan naar aanleiding van berichten in de media. Dat laatste gebeurt dus bijna nooit.

Dat staat haaks op wat AP-voorzitter Aleid Wolfsen vorig jaar tegen Tweakers zei. Toen zei hij dat er 'balans begon te komen' in de verdeling tussen die twee manieren van onderzoek doen. De AP noemt de onderbezetting en een te laag budget als reden om weinig onderzoeken te starten. De toezichthouder klaagt al jaren dat het te weinig geld krijgt om voldoende onderzoeken uit te kunnen voeren. Bij het afhandelen van datalekken heeft de AP geen achterstand, maar bij het afhandelen van klachten en tips van burgers zijn die er wel.

De AP ziet verder ook een toename van datalekken bij ict-leveranciers. Van de 36 onderzoeken die de AP startte, waren er 14 gericht op zulke ict-leveranciers. Dergelijke datalekken hebben een grote invloed, zegt de AP. In totaal zag de toezichthouder 28 datalekken bij ict-leveranciers, maar dat zorgde voor datalekmeldingen bij 1800 organisaties. Dat zijn dan bijvoorbeeld klanten van die leveranciers. De toezichthouder schat dat door dat domino-effect zeker zeven miljoen Nederlanders zijn getroffen.

De meeste van die datalekken komen naar boven vanuit cyberaanvallen. Dat kan een ransomware-infectie zijn, maar bijvoorbeeld ook een phishing-aanval of een andere soort malware. De meeste datalekken waar de AP meldingen van ontvangt zijn afkomstig van verkeerd bezorgde brieven of postpakketten; meer dan 9000 van alle meldingen zijn van die aard. Daarna zijn hacking- en malwaredatalekken veelvoorkomend, maar ook e-mails waarin per ongeluk meerdere ontvangers in de cc worden gezet in plaats van in de bcc komen vaak voor.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 25-05-2022 06:0069

25-05-2022 • 06:00

69 Linkedin

Lees meer

AP: aanwijzingen dat Eindhoven niet goed omgaat met persoonsdata en datalekken Nieuws van 1 maart 2023
Hackers stelen Dropbox-prototypes en -beveiligingstools bij phishingaanval Nieuws van 1 november 2022
Aantal cyberincidenten bij Nederlandse gemeenten is in een jaar tijd verdubbeld Nieuws van 19 oktober 2022
Autoriteit Persoonsgegevens krijgt in 2023 twee miljoen euro extra budget Nieuws van 21 september 2022
AP: persoonsgegevens doorsturen naar kerken moet stoppen Nieuws van 7 september 2022
Ruim 100 Nederlandse tandartspraktijken tijdelijk dicht na cyberaanval - update Nieuws van 5 augustus 2022
Dierentuin Artis getroffen door ransomware Nieuws van 28 juni 2022
Onderzoeker kan tweestapsverificatie omzeilen via WebView2 om cookies te stelen Nieuws van 27 juni 2022
Gemeente Enschede moet boete van 600.000 euro voor wifi-tracking alsnog betalen Nieuws van 31 mei 2022
AP hoeft niet op te treden tegen bioscoop die contante betalingen weigert Nieuws van 24 mei 2022
Privacytoezichthouders noemen nieuwe anti-witwascontroles 'risico voor burgers' Nieuws van 23 mei 2022
Europese privacytoezichthouders gaan hoogte AVG-boetes onderling gelijktrekken Nieuws van 16 mei 2022
Nederlands kabinet komt voor eind juni met plan voor algoritmetoezichthouder Nieuws van 16 mei 2022
Europese privacytoezichthouders rondden vorig jaar 141 internationale zaken af Nieuws van 12 mei 2022
EU-privacytoezichthouders: Dataverordening is onduidelijk over rol AVG Nieuws van 6 mei 2022
Meer producten en artikelen
Beveiliging en antivirus Privacy algemene verordening gegevensbescherming Autoriteit Persoonsgegevens Datalek Nederland

Reacties (69)

-Moderatie-faq
69
67
21
5
0
28
Wijzig sortering
Grozno
25 mei 2022 09:04
"Brandweer rukt amper uit naar branden die niet worden gemeld"
Wat mogen we verwachten? Dat de AP primair handelt in situaties waar ze van weten lijkt me volstrekt aanvaardbaar en logisch.

[Reactie gewijzigd door Grozno op 25 mei 2022 09:06]

bw_van_manen
@Grozno25 mei 2022 09:21
Als de brandweer nooit uitrukt terwijl er regelmatig binnen het zicht van de kazerne een enorme zwarte rookpluim te zien is dan ga je toch ook vragen stellen? De AP kan prima zicht houden op berichten in de media over datalekken/ransomware en krijgt ook een hoop signalen van burgers. Dat ze dan (nagenoeg) alleen onderzoek doen naar bedrijven die zelf iets melden vind ik behoorlijk vreemd en eigenlijk ook verontrustend.
Grozno
@bw_van_manen25 mei 2022 13:35
Er staat amper, niet nooit. Wat mij betreft is het niet gek dat je keuzes maakt in waar je menskracht investeert. Investeren in zaken waarvan je niet actief op de hoogte bent zorgt en vooral voor dat je minder menskracht over hebt voor de situaties waar je wel van weet.
Dat deze situatie problematisch is betwijfel ik niet, maar ik denk dat er momenteel wel op de juiste manier wordt geïnvesteerd. Als beide taken voldoende uitgevoerd moeten worden, dan zal het rijk beter moeten faciliteren denk ik.
GoBieN-Be
@Grozno25 mei 2022 17:19
Maar dan beloon je bedrijven die datalekken niet melden. Want er komt dan ook geen onderzoek.

Als burgers of media datalekken melden aan de AP die door het bedrijf niet zelf gemeld zijn, dan zou die dat prioriteir moeten onderzoeken.

[Reactie gewijzigd door GoBieN-Be op 25 mei 2022 17:20]

CAPSLOCK2000
@bw_van_manen25 mei 2022 14:01
Als de brandweer nooit uitrukt terwijl er regelmatig binnen het zicht van de kazerne een enorme zwarte rookpluim te zien is dan ga je toch ook vragen stellen?
Vanuit mijn perspectief stijgen er tientallen rookpluimen op en rijdt de brandweer af en aan. Die hebben helemaal niet de tijd om te controleren of iedere rookpluim hoort bij een bekend brandalarm want de volgende melding is al binnen gekomen. Beter reageren op mensen die klagen dat er brand is dan op goed geluk rondrijden een branden blussen die weinig overlast geven.
Het is heel zuur hoor en niet wenselijk, maar ik snap dat de AP keuzes moet maken uit een overweldigend aanbod van meldingen. Zelf nog meer onderzoeken zal dan weinig aandacht krijgen.
foppe-jan
@bw_van_manen25 mei 2022 12:58
is niet vreemd, functie van neoliberaal beleid enerzijds (zoek maar eens op "horizontaal toezicht belastingdienst" -- zolang bedrijven niet betrapt zijn op leugens controleert de BD je niet), en bewust onderbemensen van de organisatie door de politiek anderszijds.
Niemand_Anders
@Grozno25 mei 2022 09:27
Bedrijven zijn verplicht een datalek te melden als dat voorkomt. Consumenten kunnen een lek niet melden, maar alleen een klacht indienen. Na onderzoek van de klacht kan het AP concluderen dat er inderdaad een lek is geweest en dat het bedrijf het nagelaten om daar melding van te doen.

Het lukt het AP momenteel alleen om de lekken te onderzoeken welke door de bedrijven zelf worden gemeld. Voor lekken gemeld door consumenten (klachten) heeft men niet voldoende mankracht...

Om de vergelijking met de brand in stand te houden. De brandweer komt wel als de melding van een brandalarminstallatie komt, maar niet als de melding binnenkomt via 112...
Mastofun
@Niemand_Anders25 mei 2022 10:51
nee ze komen alleen als je belt naar 112 maar niet als ze een beetje rook zien dat mogelijks een brand is maar niet zeker.

Met zulke vergelijkingen kun je altijd een punt maken dat duidelijk lijkt, vind ik persoonlijk een flauwe manier om je gelijk te halen.
Grozno
@Niemand_Anders25 mei 2022 13:36
Ja okay, de vergelijking gaat blijkbaar op enig moment mank. :P
moredruid
@Grozno25 mei 2022 15:58
Het merendeel van het werk van de brandweer bestaat uit het geven van (bindend) advies, brandpreventie en controle.

Cybersecurity is kennelijk nog niet zo'n algemeen gevaar dat er vanuit de overheid een dienstverlening moet worden opgetuigd. Er zijn wel advies- en controleorganen van de overheid (NCSC en AP) maar het is voor bedrijven nog redelijk vrijblijvend wat ze hiermee doen en hoe ze het doen.
michielonline
25 mei 2022 08:12
Beetje rare titel, natuurlijk doen ze geen onderzoek naar datalekken welke niet gemeld zijn. Wat zouden ze dan moeten doen? Aankloppen bij elk bedrijf met de vraag "Sorry, wij zijn van AP, zijn jullie wellicht vergeten een datalek te melden? Nee? Dankjewel gaan we even bij de buren vragen"
Anoniem: 715452
@michielonline25 mei 2022 09:37
Wat hier bedoelt word is dat de AP als een soort politieonderdeel zelf naar datalekken gaat zoeken. Dat zou inhouden dat de AP it-personeel moet gaan werven, wat met dit budget natuurlijk nooit gaat gebeuren.

<off-topic>
Ik lees op tweakers bijna dagelijks een kop die niet correct overeenkomt met de inhoud van het bericht maar meer op een “rtl boulevard” manier is bedacht. Leuk voor de clicks, maar het maakt de nieuwsberichten in mijn ogen kwalitatief minder.
Floort
@Anoniem: 71545225 mei 2022 10:19
Wat hier bedoelt word is dat de AP als een soort politieonderdeel zelf naar datalekken gaat zoeken. Dat zou inhouden dat de AP it-personeel moet gaan werven, wat met dit budget natuurlijk nooit gaat gebeuren.
Ja dat is onderdeel van de wettelijke taak van de AP waar de AP ook bevoegdheden en personeel voor heeft. De AP heeft inspecteurs met technische expertise in dienst. Ik ken er eentje best goed van mijn tijd dat ik er zelf nog werkte. Maar in de tussentijd heeft de AP ook nieuwe mensen in dienst genomen en het aantal mensen met technische expertise is sinds ik weg ben toegenomen. De kop van het artikel klopt niet alleen; het is een relevante observatie over de prioriteiten die de AP stelt.

Deze reactie op het werk van @TijsZonderH is wat mij betreft volkomen onterecht en gebaseerd op onjuiste aannamen.
Anoniem: 715452
@Floort25 mei 2022 13:59
De kop klopt niet, de AP komt niet toe aan het onderzoeken van datalekken waarvan een bedrijf op de hoogte is maar het bewust niet meld. Dat is wat anders dan dat er nu staat. Nu staat er eigenlijk dat de AP naar alle datalekken, ook die bij een bedrijf zelf niet bekend zijn onderzoek zou moeten doen. En iedereen die denkt dat de AP net zoals bijvoorbeeld Microsoft een security centre op gaat richten om actief naar datalekken te gaan zoeken kan ik uit de droom helpen, dat gaat nooit gebeuren. Aan een “inspecteur met technische expertise” heb je dan bitter weinig. Je hebt extreem goede specialisten, infrastructuur en juridische goedkeuring nodig om bij andere bedrijven datalekken te zoeken. Dat gaat de overheid nooit financieren en de AP is geen onderdeel van de politie. De AP is gedoemd om alleen te acteren als een reactief middel zodra er een melding gedaan word.
Floort
@Anoniem: 71545225 mei 2022 14:14
Het is een beetje vreemd om in discussie te gaan over iets waar ik zelf praktische ervaring mee heb waardoor ik erg weinig kan vertellen over wat ik gedaan heb. Er zijn verschillende manieren waarop je dergelijk onderzoek kan starten die je in je reactie over het hoofd ziet. Ik laat het verder bij een heel flauw autoriteitsargument: ik weet het omdat ik er ervaring mee heb en een uitnodiging om specifieke obstakels te onderbouwen zodat ik daar op in kan gaan. Wat schiet er bijvoorbeeld tekort aan de bevoegdheden onder artikel 58(1) AVG en artikel 5:15 , 5:17, 5:18 en 5:20 Awb? Die "juridische goedkeuring" heb je in de paktijk zo geregeld als het nodig is dus ik neem aan dat je het vooral hebt over de wettelijke bevoegdheden.
Anoniem: 715452
@Floort25 mei 2022 14:22
Dus jij beweert dat de AP bevoegd is om bedrijven te hacken om te kijken of er een datalek is. Nogmaals, dat gaat nooit gebeuren.
Floort
@Anoniem: 71545225 mei 2022 14:23
Nee, dat beweer ik niet. Ik denk niet dat dat noodzakelijk is voor dergelijk onderzoek en ik verwijs niet naar een artikel die een dergelijke bevoegdheid suggereert.
Anoniem: 715452
@Floort25 mei 2022 14:46
En dat is precies wat de kop wel suggereert. Vandaar dat ik de kop niet vind kloppen.
Floort
@Anoniem: 71545225 mei 2022 14:57
Dat gaat meer over hoe jij de kop leest dan over wat er staat. Feitelijk klopt het en de suggestie die het bij mij wekt (dat de AP meer kan en zou moeten doen om niet gemelde inbreuken te onderzoeken) kan op veel meer manieren worden ingevuld dan de suggesties die jij geeft. Zo heb ik in een andere reactie onder dit artikel een voorbeeld gegeven van het verzamelen van initieel bewijs van ongemelde inbreuken zonder enige bevoegdheden nodig te hebben.
AuteurTijsZonderH
@Anoniem: 71545225 mei 2022 15:28
Nu staat er eigenlijk dat de AP naar alle datalekken, ook die bij een bedrijf zelf niet bekend zijn onderzoek zou moeten doen
Nee, er staat dat ze dat KUNNEN doen maar het in de praktijk niet doen. Niet alleen is dit gewoon een bevoegdheid van de AP, de AP heeft letterlijk vorig jaar tegen me gezegd dát ze dat ook daadwerkelijk zouden gaan doen. Nu blijkt dat niet waar te zijn. Dat de AP iets in de praktijk te moeilijk vindt en daarom niet doet, betekent niet dat ze het niet mogen, kunnen of zouden moeten doen.
de AP komt niet toe aan het onderzoeken van datalekken
Exact, maar dat is ook omdat ze een keuze maken. Die keuze is dat ze 'amper onderzoeken doen naar datalekken die niet worden gemeld', een sec feit zoals het in de kop staat. Je suggestie 'De kop klopt niet' is dus onwaar.
Anoniem: 715452
@TijsZonderH25 mei 2022 15:44
Nee, ik heb het over de kop. Niet het artikel. De kop suggereert naar meer dan er in het artikel eigenlijk staat. Alle datalekken die niet gemeld worden zijn ook alle datalekken die bij niemand bekend zijn. Vandaar dat ik (en anderen) uit de kop opmaken dat de AP iets zou moeten doen wat ze niet gaan en kunnen doen.
AuteurTijsZonderH
@Anoniem: 71545225 mei 2022 15:59
Vandaar dat ik (en anderen) uit de kop opmaken dat de AP iets zou moeten doen wat ze niet gaan en kunnen doen
Correct. De AP heeft beloofd dat te gaan doen. Ze zeiden vorig jaar: "We gaan dit doen." Nu blijkt dat ze, ondanks hun belofte, dat niet doen. Ze doen niet wat ze beloven. Hun belofte wordt niet waargemaakt. Wat de AP zegt te gaan doen, doet de AP niet. De AP heeft dus een vale belofte gedaan. Dat staat in de kop. De kop is daarmee waar. Ik snap echt niet hoe dat niet duidelijk wordt in het artikel. Ik ga ten overvloede nog eens quoten hoe dat in het stuk staat:
De waakhond is verplicht een datalekmelding of een klacht van burgers af te handelen, maar mag daarnaast ook op eigen initiatief onderzoeken starten

...

Dat staat haaks op wat AP-voorzitter Aleid Wolfsen vorig jaar tegen Tweakers zei. Toen zei hij dat er 'balans begon te komen' in de verdeling tussen die twee manieren van onderzoek doen.
De balans die Wolfsen noemt, is er niet. Ondanks dat hij het zei.
Anoniem: 715452
@TijsZonderH25 mei 2022 16:24
Nee, die balans gaat over ambtshalve of op basis van klachten onderzoek doen. Niet dat de AP, zoals de kop suggereert, zelf Nederlandse bedrijven gaat hacken om datalekken te achterhalen.
AuteurTijsZonderH
@Anoniem: 71545225 mei 2022 16:35
Wederom correct.

De AP heeft 2 mogelijkheden om onderzoek te doen:

1. Onderzoek op basis van een datalekmelding
2. Onderzoek op basis van eigen inzicht (ofwel, met andere woorden, alternatief, synoniem, aka: ambtshalve)

Daarin moet een balans komen.

De AP hoeft daarbij geen bedrijven te hacken. Er zijn veel andere manieren om onderzoek te doen op basis van eigen inzicht. Bijvoorbeeld via een bericht in de media. De AP kan dan logs opvragen bij een bedrijf.

Ik weet niet waar je hacken vandaan haalt. Hacken staat niet in de kop. Het artikel spreekt niet over hacken. De kop gaat over onderzoek naar datalekken die niet worden gemeld. Zoals punt 2 dat ik net noemde. Ik heb werkelijk geen idee waarom je ineens hacken erbij haalt.
Anoniem: 715452
@TijsZonderH26 mei 2022 11:13
Je gaat alleen maar uit van datalekken waar bedrijven zelf van op de hoogte zijn.
Hoe kom je achter datalekken die niet gemeld zijn en waar een bedrijf zelf niet eens van op de hoogte is? Dat zijn ook datalekken die niet gemeld zijn.
AuteurTijsZonderH
@Anoniem: 71545225 mei 2022 09:46
een kop die niet correct overeenkomt met de inhoud van het bericht
Hoe komt de kop van dit stuk niet overeen met de inhoud?
AuteurTijsZonderH
@sab25 mei 2022 10:05
Ik ga je cynisme en de insinuatie van 'clickbait' gewoon negeren en je proberen een serieus antwoord te geven. Ik snap ook niet wat je bedoelt met 'dat te verdedigen ipv het niveau'.

De reden dat ik dit als insteek kies is omdat dit nieuwswaardig is. "AP deed vorig jaar 36 onderzoeken naar datalekken" stond ook al in het jaarverslag, dus dat is geen nieuws. Vorig jaar heeft Aleid Wolfsen letterlijk tegen me gezegd dat er 'balans begon te komen' in de twee typen onderzoek die de AP tot z'n wettelijke beschikbaarheid heeft (onderzoek na klachten, en ambtshalve onderzoek). Een toezichthouder moet ook zo'n balans hebben want anders is er geen reden voor een bedrijf om een datalek te melden.

Het feit dat de AP die balans dus nu niet heeft én de voorzitter vorig jaar dus iets beloofde dat niet is waargemaakt is nieuwswaardig en is daarom niet alleen de kop, maar ook de insteek van het artikel. Dat je meteen vervalt tot nare termen als clickbait vind ik jammer en onnodig. Als ik je had willen laten klikken op een bericht had ik wel 'Je Gelooft Nooit Hoe Weinig Onderzoeken De AP In 2021 Startte' geschreven.
Grozno
@TijsZonderH25 mei 2022 13:40
"Privacywaakhond doet amper onderzoek naar datalekken die niet worden gemeld"
of
"Rapport Autoriteit Persoonsgegevens: Datalekken zonder melding nauwelijks onderzocht"

Welke titel is dan neutraler en feitelijker?

[Reactie gewijzigd door Grozno op 25 mei 2022 13:55]

AuteurTijsZonderH
@Grozno25 mei 2022 13:42
Waarom zou de AP een datalek moeten rapporteren? Die plicht ligt bij de bedrijven/overheden, de AP kan die vervolgens onderzoeken. En ze onderzoeken geen datalek die niet gemeld zijn dus je tweede suggestie snap ik überhaupt niet...
Grozno
@TijsZonderH25 mei 2022 13:54
Okay okay, ik heb mijn versie herschreven.
AuteurTijsZonderH
@Grozno25 mei 2022 14:15
Ik probeer oprecht te bedenken waarom de huidige titel niet neutraal zou zijn of in ieder geval waarom jouw voorstel neutraler zou zijn, maar ik snap het echt niet, kun je dat eens uitleggen?
Floort
@sab25 mei 2022 10:28
"Duh, hoe zouden ze dan onderzoek moeten doen?"
Dat is een vraag die beantwoord kan worden. Ik kom af en toe inbreuken tegen die onterecht niet gemeld zijn en worden. Met de bevoegdheden van de AP erbij kan je nog veel meer doen, vooral als je er doelgericht naar gaat zoeken. Ik zal niet alles onderzoeksmethoden uit de doeken doen, maar een effectieve manier waar je niet eens bevoegdheden voor nodig hebt is het volgende: lees rapportages van grote IT-leveranciers ('verwerkers' in AVG-termen) uit de V.S. die grote beveiligingsincidenten aan de beurstoezichthouder moeten melden. Soms hebben deze verwerkers klanten die in Nederland (en andere lidstaten) onder de meldplicht vallen en door de aard van het incident waarschijnlijk ook hadden moeten melden. Dat kan een mooie start van een onderzoek zijn, zeker ook omdat significante delen van het bewijs buiten de verantwoordelijken om verzameld kan worden. Ik kan veel meer voorbeelden geven, maar dat zal ik niet doen.
J_van_Ekris
@michielonline25 mei 2022 08:52
Het CBP (voorganger AP) deed nog wel eens een verkennend onderzoek bij een bedrijfstak, waar veel opener gesproken kon worden over de problemen die men had bij de toepassing van wetgeving. Natuurlijk was fout ook wel fout, maar er zijn veel grijze gebieden waar een discussie met een bedrijfstak verhelderend is (vaak gevolgd door de ontwikkeling van richtlijnen voor de bedrijfstak).

Nu wordt de AP in een rol gedwongen waarbij men alleen na een brand mag inspecteren of de eigenaar verwijtbaar nalatig is geweest, maar men niet preventief mag handelen.
Floort
@J_van_Ekris25 mei 2022 09:08
Het is niet waar dat de AP niet preventief mag handelen of in een reactieve rol wordt gedwongen. Het is een keuze van de AP. De AP heeft de ruimte om pro-actief te speuren naar niet gemelde inbreuken bijvoorbeeld. Maar de beperkte handhavingscapaciteit wordt door de AP in plaats daarvan ingezet op het onderzoeken van meldingen. Ik denk dat als de AP meer zou investeren in de compliance-lagen voordat zaken bij de AP belanden dat op de langere termijn de AP daarmee veel effectiever zou zijn per FTE. Denk daarbij aan het actief handhaven van transparantie- en verantwoordings-regels. Het ondersteunen van FG's in moeilijke posities én het handhaven op FG's die weigeren onafhankelijk toezicht te houden. Het structureel handhaven op weinig nageleefde transparantie-regels zoals in art. 13, 14 en 15 van de AVG kan ook een hoop issues aan het licht brengen voordat het escaleert. Alleen de verplichting om klachten te onderzoeken is zwaarder dan pre-AVG, maar ook daar is een hoop op af te dingen als je dat als vergelijking gaat gebruiken.
J_van_Ekris
@Floort25 mei 2022 09:24
De AP heeft de ruimte om pro-actief te speuren naar niet gemelde inbreuken bijvoorbeeld. Maar de beperkte handhavingscapaciteit wordt door de AP in plaats daarvan ingezet op het onderzoeken van meldingen.
Men reageert dus op brandjes, maar kan/wil niet beginnen aan preventietaken.
Ik denk dat als de AP meer zou investeren in de compliance-lagen voordat zaken bij de AP belanden dat op de langere termijn de AP daarmee veel effectiever zou zijn per FTE. Denk daarbij aan het actief handhaven van transparantie- en verantwoordings-regels.
Als ik kijk naar hun FTE en het aantal onderzoeken wat ze doen, t.o.v. andere taken, dan zie ik dat ze wel een hoop zaken "erbij" doen en eigenlijk helemaal niet zoveel onderzoeken (zie https://www.autoriteitper...ten-en-cijfers-over-de-ap).
Floort
@J_van_Ekris25 mei 2022 09:29
Kijk vooral ook naar het aantal afgeronde onderzoeken per FTE per jaar: https://twitter.com/floorter/status/1516430804129353743
Nimja
@michielonline25 mei 2022 08:25
De waakhond is verplicht een datalekmelding of een klacht van burgers af te handelen, maar mag daarnaast ook op eigen initiatief onderzoeken starten. Zulk onderzoek kan bijvoorbeeld ambtshalve worden gedaan naar aanleiding van berichten in de media. Dat laatste gebeurt dus bijna nooit.
Dus: Om bedrijven te vangen waarvan en klachten/signalen zijn, die nog niet zijn gemeld.

[Reactie gewijzigd door Nimja op 25 mei 2022 08:26]

Floort
@Nimja25 mei 2022 08:32
Dat is reactief onderzoek. Dat is zeker ook nodig, maar effectief pro-actief onderzoek doen naar niet gemelde inbreuken is heel goed mogelijk. De meeste inbreuken die ik ontdekt heb worden niet netjes gemeld. Af en toe tip ik de AP of dien ik een klacht in. Maar lang niet altijd.
mjtdevries
@Floort25 mei 2022 11:52
Is er bij die inbreuken die jij meldt dan ook sprake van schade voor de betrokkenen?
Zo niet, dan hoeft de inbreuk namelijk niet gemeld te worden bij de AP.
Floort
@mjtdevries25 mei 2022 12:06
Dat is niet waar. De norm uit artikel 34 lid 1 van de AVG is "When the personal data breach is likely to result in a high risk to the rights and freedoms of natural persons, [...]". Die rechten en vrijheden moeten heel breed worden geïnterpreteerd zoals omschreven in de Convention for the Protection of Human Rights and Fundamental Freedoms. Onrechtmatige inzage in persoonsgegevens kan al een inbreuk zijn op je rechten onder artikel 8 van de conventie. De lat voor schade ligt veel hoger en komt bij bijvoorbeeld artikel 82 AVG om de hoek. Een deel van het probleem van de naleving van de meldplicht is dat de meldplicht zo vaak verkeerd wordt uitgelegd. De schok bij een organisatie dat het niet melden van het per ongeluk vergeten van de BCC bij een nieuwsbrief een ruime vijf ton kan kosten [bron] is zo onnodig groot.


Edit: Ik beantwoorde op basis van de meldplicht aan betrokkenen. De lat voor de meldplicht aan de AP (art. 33 AVG) ligt nog iets lager:
In the case of a personal data breach, the controller shall without undue delay and, where feasible, not later than 72 hours after having become aware of it, notify the personal data breach to the supervisory authority competent in accordance with Article 55, unless the personal data breach is unlikely to result in a risk to the rights and freedoms of natural persons. [...]

[Reactie gewijzigd door Floort op 25 mei 2022 12:14]

mjtdevries
@Floort25 mei 2022 13:13
Ik ging inderdaad uit van een melding naar de AP, omdat dat sneller verplicht is, dan een melding naar betrokkenen.

En zoals je kunt zien in de text gaat het om "high risk to the rights and freedoms"
Je kunt dan wel aangeven dat je het heel breed interpreteert, maar er word niet voor niets de woorden high risk genoemd.

Pagina 23 van de guidelines meldplicht datalekken geeft een mooie samenvatting.
https://www.autoriteitper...meldplicht_datalekken.pdf

En de bijlage B aan het eind van dat document geeft ook een aantal mooie voorbeelden van situaties waarbij wel aan de AP gemeld moet worden, maar niet aan de betrokkenen. Wederom specifiek afhankelijk of er een hoog risico is.
Floort
@mjtdevries25 mei 2022 13:29
Mijn punt is voornamelijk: een risico voor de rechten en vrijheden is niet hetzelfde als daadwerkelijk geleden schade. Het lastige is echter dat deze guidelines niet erg helder zijn over wanneer iets nu wel of geen hoog risico is. Daarvoor is het waarschijnlijk beter om te kijken naar normuitleg over gegevensbeschermingseffectbeoordelingen. Daar kom je bijvoorbeeld al op een hoog risico voor de rechten en vrijheden van betrokkenen uit als betrokkenen hun rechten niet kunnen uitoefenen en bijvoorbeeld geen inzage kunnen krijgen in de verwerkte persoonsgegevens. Dat is een situatie die bij veel mogelijk meldplichtige inbreuken al snel aan de hand is.
mjtdevries
@Floort25 mei 2022 13:35
Ah, op die manier. Ik had inderdaad moeten schrijven 'risico op schade' aan betrokkenen.

Als je kijkt naar de voorbeelden die de AP zelf geeft in die appendix B, bv nummer 5 en 7 dan denk ik dat jij een ander idee hebt over hoog risico voor de rechten en vrijheden van betrokken dan de AP.

Als ik jou reactie lees, dan klinkt het alsof jij vind dat in die situaties de betrokkenen altijd geinformeerd zouden moeten worden?
Floort
@mjtdevries25 mei 2022 13:49
Nee, ik ben vrij goed bekend met hoe dit document is opgesteld. De lat voor een hoog risico voor de rechten en vrijheden voor betrokkenen haal je in de praktijk best snel, maar zeker niet altijd. Een voorbeeld dat ik toevallig recent ben tegengekomen is een fileshare die publiekelijk toegankelijk is geweest en is benaderd door iemand die daar niet bij mag komen. Dat is in principe een inbreuk op de beveiliging (plus een gebrek aan beveiliging) van alle persoonsgegevens in die fileshare. Maar dan kan je naar de logging kijken. Daar kan bijvoorbeeld uit blijken dat er maar 1 bestand is benaderd. Dan kan je wat mij betreft concluderen dat het risico voor de rechten en vrijheden voor de betrokkenen m.b.t. alle andere bestanden niet hoog (of zelfs laag/nihiel) is. Zelfs voor dat ene bestand kan je nog vragen stellen. Bijvoorbeeld: was het een ethische hacker die het bestand heeft ingezien, de inbreuk heeft gemeld bij de verantwoordelijke en aangeeft eventuele kopieen te hebben gewist? Ik denk dat je dat niet aan de betrokkenen hoeft te melden en onder omstandigheden misschien zelfs niet aan de AP. Het vervelende aan voorbeeld 5 en 7 waar je naar verwijst is dat ze eigenlijk nog steeds niet duidelijk maken wat nu precies dat hoge risico is. Dus misschien helpt mijn voorbeeld wat beter.
mjtdevries
@Floort25 mei 2022 13:55
Ze geven inderdaad niet aan wat dat hoge risico is, maar je kunt wel vaststellen wat dan klaarblijkelijk niet per definitie een hoog risico is:
- 7: toegang tot de accountgegevens van andere gebruikers.
- 5: bij een bank is ontvangen van een maandoverzicht van iemand anders ook niet per definitie een hoog risico.

Terwijl op zo'n maandoverzicht wel per defintie een heleboel persoonsgegevens staan die in theorie flink misbruikt kunnen worden.
Uiteindelijk kom je dan toch op een "gezond verstand" afweging. Wat kan in de prakijk iemand met een maandoverzicht van een volslagen onbekend persoon? En als die persoon dat netjes meld, is er dan een hoog risico dat die informatie misbruikt word?
michielonline
@Nimja25 mei 2022 08:29
Uiteraard doet niet elk bedrijf een melding bij AP als ze zelf een datalek geconstateerd hebben. Vraag me wel af hoeveel bedrijven GEEN melding bij AP doen als ze WEL in de media geweest zijn. Lijkt me vragen om een boete (pak kans aanzienlijk hoger)

AP heeft eerder al aangegeven nogal krap in de mensen te zitten, dan is dit natuurlijk een evident gevolg.
Nimja
@michielonline25 mei 2022 08:31
Moeiljk te meten. Hoewel misschien met een paar auto-filters op social media samen met vriendjes in klassieke media?
AuteurTijsZonderH
@michielonline25 mei 2022 09:15
pak kans aanzienlijk hoger
Dat is dus het idee, maar niet de realiteit. Idealiter wil je dat de AP ook dit soort ambtshalve onderzoeken oppakt naar aanleiding van bijvoorbeeld mediaberichten, maar door nu toe te geven dat ze dat vrijwel nooit doen is de pakkans voor een bedrijf nihil. Dan kun je denk ik best makkelijk het risico op het boete nemen, je weet toch wel dat die er niet komt.
Martijn033
@michielonline25 mei 2022 09:53
Bedrijven zijn verplicht melding te maken van een datalek bij de AP. Dat ze dat niet allemaal doen, is dan weer een ander verhaal.
defusion
@michielonline25 mei 2022 08:27
Nouja, als er dus een melding van een (groep) burger(s) komt waaruit blijkt dat er bij een bepaald bedrijf een datalek is geweest, maar dat bedrijf geen zelfstandige melding heeft gedaan, dan kan dat best aanleiding zijn daar als AP onderzoek naar te doen.
Floort
@defusion25 mei 2022 09:19
Als ik jouw logica combineer met de logica van de AP voor de behandeling van klachten kom ik neer op het volgende:
Als betrokkenen kunnen aantonen dat ze zijn getroffen door een inbreuk (je moet betrokkene zijn om te mogen klagen) waar ze niet over zijn geïnformeerd kunnen ze een klacht indienen. Dat komt af en toe voor, maar dan wordt er dus gehandhaafd in de gevallen waar in ieder geval een aantal van de betrokkenen al op de hoogte zijn. Dat is nog steeds een houding van de toezichthouder die transparantie strenger behandeld dan gebrek aan transparantie. Het is wel een begin; liever een klacht over een niet gemelde inbreuk behandelen dan een melding onderzoeken.
Floort
@michielonline25 mei 2022 08:29
Er zijn best veel manieren om datalekken te ontdekken die niet zijn gemeld die niet worden ingezet. Ik heb daar persoonlijk ervaring mee.
J_van_Ekris
25 mei 2022 07:08
Als ik hun jaarrapportages mag geloven, zijn ze flink onderbemand. Dus logisch dat ze keuzes moeten maken. Of de politiek moet meer mensen (geld) vrij maken, of ze moeten beleid gaan wijzigen en veel duidelijkere zaken laten liggen. We kunnen niet alles willen en verwachten dat het voor niets gebeurd. Het zijn geen makkelijke beleidskeuzes denk ik.
segil
@J_van_Ekris25 mei 2022 08:37
Meer geld betekent een andere politieke wind. VVD heeft veel kapot bezuinigd in de laatste vele jaren.
Sissors
@segil25 mei 2022 09:17
Tja al het extra geld wat bijvoorbeeld naar zorg en sociale zekerheid gaat elk jaar weer moet ergens vandaan komen natuurlijk.
Zie bijvoorbeeld: https://www.cbs.nl/nl-nl/...keringen-nemen-verder-toe en https://www.cbs.nl/nl-nl/...n-in-2020-met-8-3-procent

Oké bij die eerste is het in absolute getallen, en dus moet je nog inflatie meenemen, maar zo hoog is de inflatie niet geweest in die periode. En onder de streep is AP natuurlijk verwaarloosbaar in de hele begroting. Maar het hele idee dat er alleen maar overal bezuinigd wordt komt gewoon niet overeen met de feiten.

Edit: Ook nog twee zaken om te vergelijken:
https://autoriteitpersoon...files/ap_bijlage_2015.pdf
https://www.autoriteitper...s/jaarverslag_ap_2021.pdf
Samenvatting, van 2015 naar 2021 is hun budget ruim 3x zo hoog geworden.

[Reactie gewijzigd door Sissors op 25 mei 2022 09:22]

batjes
@Sissors25 mei 2022 11:39
Laten ze bedrijven dan maar eens eerlijk gaan belasten. De lonen weer verhogen zodat ze niet achter lopen op de stijgende inflatie en de stijgende prijzen. Laat ze zorgen dat modaal niet een lullige ~1,5keer het minimum loon meer is.

Er valt genoeg geld uit Nederland te halen, waarom moet ruim de helft bij (hardwerkende) burgers vandaan komen?
gedonie
@batjes25 mei 2022 11:49
Toch wel knap dat je lonen als verantwoordelijkheid ziet van de overheid, of werk je toevallig voor de overheid. Die heeft dus niets te maken met het loon dat jouw baas je betaald. Dat is iets tussen jou en je baas, en in geval van CAO iets tussen de vakbonden en je branch. Ook modaal bepalen ze niet, dat is een getal dat rolt uit alle werkende mensen het het loon dat die verdienen en staat los van het minimum loon.

Het enige wat de overheid zou kunnen doen is een verandering in de belastingschalen, waardoor je meer zou overhouden van je loon. En besef je dat verhogen van belastingen bij bedrijven uiteraard een optie is, maar dat deze bedrijven dan dit geld weer gaan halen van onder andere jouw loon. Of door je minder loonsverhoging te geven of door alle producten en diensten duurder te maken.

Uiteindelijk betalen de burgers altijd de rekening. Of direct door ingrijpen van de overheid met belastingen of indirect doordat bedrijven alles duurder maken door verhoogde belastingen.
batjes
@gedonie25 mei 2022 12:11
Een groot deel van de lonen zit vast aan het minimumloon. Dus ja, verantwoordelijkheid van de overheid.

De overheid kan ook prima stimuleren om mensen eens wat waardiger te gaan betalen. Modaal is laag (was ~30 jaar geleden ~4 keer minimumloon!) omdat er een enorme groep mensen bijgekomen is die vast zitten aan <2200 bruto per maand. Wat tevens mogelijk gemaakt is door diezelfde overheid. Bijvoorbeeld het idiote "flexwerken" dat een jaar of 10-15 geleden geïntroduceerd is.

Of dat het verschil tussen een bijstand en een inkomen tot ~2400 euro bruto gewoon te klein is. Als je bij minimumloon weer aan het werk gaat, raak je de eerste tig loonsverhogingen meer kwijt dan je er bij krijgt. Waardoor je ook een grote groep mensen krijgt die niet gaat werken of als ze werken, niet aan hun carriëre werken. Want ja, mooi dat ze er een paar tientjes per maand op vooruitgaan. Maar als ze dan een stuk huurtoeslag, vrijstelling van gemeentebelasting en meer voor moeten inleveren... why.

Ons land stimuleert heel slecht om van de onderkant van de arbeidsmarkt naar hogerop te klimmen.

Als de bevolking meer verdient, valt er meer belasting te innen. Win-win zou je denken.

Ons land wordt elk jaar 'rijker', er worden elk jaar meer en hogere winsten gemaakt door bedrijven. Ondertussen kloppen steeds meer mensen aan bij de voedselbank en schuldhulpverlening. Rijkdom eerlijker verdelen, bedrijven eerlijker belasten. En er gaat een hoop financiële druk weg bij een grote hoeveelheid mensen.
gedonie
@batjes25 mei 2022 15:54
Ik ben het volledig met je een dat het huidige systeem van toeslagen totaal krankzinnig is. En dan niet zozeer het feit dat mensen met minder inkomen toeslag krijgen, maar wel dat dit ineens volledig wegvalt als je boven een bepaalde grens uit komt. Dit zou veel eleganter kunnen door deze langzaam af te bouwen naarmate je meer gaat verdienen.

Bedrijven meer belasten klinkt altijd heel leuk, gratis geld dat je dan kunt teruggeven aan de burgers. Maar ook daar zitten grenzen aan, de bedrijven die jij aanhaalt met de grove winsten zijn vaak grote multinationals. Die heb je niet met hogere belastingen, die kunnen makkelijk hun biezen pakken en naar een ander land gaan. Echter is een groot deel van de Nederlandse bedrijven de MKB, daar zijn die winsten niet zo enorm als je wellicht denkt en daar valt dan ook veel minder bij te halen middels belastingen.

Belastingen en hoe je de verdeling doet tussen burgers en bedrijven is een lastige balans. Is die nu juist, nee. Maar dat aanpassen is een lastige en complexe puzzel tussen baten en lasten.

[Reactie gewijzigd door gedonie op 25 mei 2022 15:54]

batjes
@gedonie25 mei 2022 16:06
Huurtoeslag bouwt bv al langzaam af naarmate je meer inkomen krijgt. Maar het is nog steeds scheef dat je meer kwijt raakt dan dat je er financieel eigenlijk op vooruit gaat.

Sowieso moet dat toeslagensysteem op de schop, huurtoeslag is geen hulp voor arme mensen. Het is een subsidie voor niet-belasting-betalende verhuurders 8)7. En is voor een groot deel verantwoordelijk voor de belachelijk hoge huurprijzen, welke weer deels verantwoordelijk zijn voor de belachelijk hoge huizenprijzen.

Het feit dat er 4,5miljoen mensen in aanmerking komen voor de zorgtoeslag, spreekt op zichzelf toch al boekdelen? Dat is een belachelijk groot deel van onze bevolking.

We kunnen de belastingen op de grote multinationals prima een stukje verhogen voordat het elders voordeliger wordt. We zijn een belastingparadijs binnen Europa. De EU wilde belastingen binnen de EU meer gelijk trekken en ons belastingparadijs opheffen. Natuurlijk heeft Nederland daar een veto tegen uitgesproken. 8)7

Maar goed, VVD is al jarenlang elke keer de grootste partij, dus "the people have spoken". We willen een enorme inkomen- en vermogenongelijkheid, i.m.c. rap toenemende armoede.
litebyte
@segil25 mei 2022 10:32
Klopt, maar het gaat verder dan alleen bezuinigen. Er worden toezeggingen gedaan om problemen zoals in de zorg op te lossen, maar dat wordt gewoon niet gedaan. Daarnaast wordt er 'gewoon' gelogen en houden politiek bestuurders, ministers en zelfs een premier zich niet aan de wet en komt er (weer) mee weg.

In relatie tot AP - het geeft ook aan waar je als overheid prioriteiten legt.

Daarnaast ben ik persoonlijk van mening: als je als land vrijwel al je communicatie doet via het internet (op een digitale manier) en je hebt nog steeds geen eens een minister voor digitale zaken/infrastructuur/ICT er iets goed mis is.

[Reactie gewijzigd door litebyte op 25 mei 2022 10:33]

AuteurTijsZonderH
@J_van_Ekris25 mei 2022 09:09
Dus logisch dat ze keuzes moeten maken
Ja en nee. Aan de ene kant moeten ze natuurlijk prioriteiten stellen en kunnen ze met hun 6fte op de datalekafdeling niet alles oppakken. Maar van de andere kant, door de keus te maken dan maar helemaal niet naar ongemelde lekken te kijken geef je een signaal af aan bedrijven dat ze vogelvrij zijn als ze datalekken niet doorgeven. Waarom zou je dat nog doen, als je weet dat de AP toch nooit een onderzoek naar je start?
J_van_Ekris
@TijsZonderH25 mei 2022 09:27
Ja en nee. Aan de ene kant moeten ze natuurlijk prioriteiten stellen en kunnen ze met hun 6fte op de datalekafdeling niet alles oppakken.
Volgens de cijfers hebben ze zo'n 170 FTE (zie https://www.autoriteitper...ten-en-cijfers-over-de-ap), wat doen die andere 164 man dan? Als je kijkt naar die cijfers dan zie je dat ze verhoudingsgewijs best weinig onderzoeken doen, maar wel weer heel veel andere zaken.
AuteurTijsZonderH
@J_van_Ekris25 mei 2022 10:00
Ik heb zo geen cijfers over de hoeveel mensen er per afdeling werken, maar de AP heeft nog veel meer (wettelijke) functies dan alleen onderzoeken doen. Ze moeten bijvoorbeeld voorlichting geven aan bedrijven, contact houden met FG's, de overheid van advies voorzien bij nieuwe wetsvoorstellen, vergunningen afgeven voor bedrijven die internationale datadoorgiftes willen doen en meedoen aan internationale onderzoeken. En natuurlijk heeft iedere organisatie zelf ook overhead - ict-beheer, voorlichting, administratie en zo.
Floort
@TijsZonderH25 mei 2022 10:12
De beste vergelijking die je kan maken is met het verleden. Bijvoorbeeld in 2016 had de hele AP ongeveer 75 FTE en heeft ongeveer 200 onderzoeken afgerond. In 2021 zijn dat ongeveer 170 FTE en 30 afgeronde onderzoeken.
Grozno
@TijsZonderH25 mei 2022 13:30
Vogelvrij betekent dat iedereen op ze mag schieten, dat lijkt me niet de context die je wilt schetsen. :P
Tintel
25 mei 2022 10:40
Ik moest stiekem wel beetje lachen om:
De criminelen voeren aanvallen vooral uit voor het geld.
In tegenstelling tot wat bedrijven doen.... :9 en tegenwoordig ook de politiek lijkt het soms wel.

Natuurlijk is dit criminele gedrag verwerpelijk maar ondertussen hebben we bedrijven (zoals bijv. Meta) waarvan het bedrijfsmodel letterlijk draait op de schending van privacy (naar mijn mening). Maar pas als diens informatie van klanten per ongeluk(?) naar buiten komt, dan treedt de AP misschien op.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee