Europese privacyautoriteiten willen dat EU AVG aanvult om toezicht te verbeteren

De European Data Protection Board, een vereniging van Europese privacytoezichthouders, vraagt de Europese Commissie de AVG aan te vullen. De waakhonden willen dat het met nieuwe of verduidelijkte regels makkelijker wordt om toezicht op internationale zaken te verbeteren.

De privacytoezichthouders willen aanvullingen op veertien punten. Het gaat dan om meer duidelijkheid over welke rechten mensen hebben als ze een klacht indienen, criteria voor wanneer klachten in behandeling worden genomen, deadlines voor zaken, hoe toezichthouders zaken kunnen afsluiten, welke onderzoeksbevoegdheden er zijn en wanneer en hoe besluiten worden gepubliceerd.

Als dergelijke regels verduidelijkt worden en toezichthouders deze volgen kunnen Europese toezichthouders efficiënter samenwerken, merkt de Autoriteit Persoonsgegevens op. Toezichthouders lopen nu namelijk tegen het probleem aan dat ze zaken moeten behandelen volgens hun eigen nationale recht. En bij het omzetten van de AVG-verordening naar recht zijn er tussen lidstaten verschillen ontstaan.

Zeker wanneer toezichthouders grote, internationale zaken aan moeten pakken, zorgt dat 'soms voor vertraging of dat klachten in de ene lidstaat anders worden behandeld dan in de andere', schrijft de AP. Een voorbeeld is dat iemand die een klacht indient bij sommige toezichthouders ook een partij wordt binnen de procedure en daardoor bepaalde rechten heeft. In andere lidstaten heeft die klager verder geen rol in de procedure en wordt hij of zij bijvoorbeeld niet betrokken bij de sanctie die wordt opgesteld als de klacht terecht blijkt te zijn. Dat speelt momenteel rondom Google Analytics; in meerdere Europese landen is het gebruik daarvan verboden, maar de Nederlandse Autoriteit Persoonsgegevens is nog steeds bezig met een onderzoek. Dat onderzoek moet bijvoorbeeld ook kijken naar het Nederlandse bestuursrecht, waardoor de AP het oordeel van de Franse en Noorse toezichthouders niet zonder meer overneemt.

Door Hayte Hugo

Redacteur

Feedback • 12-10-2022 13:11 41

12-10-2022 • 13:11

41

Lees meer

Alternatieven voor Google Analytics

12 aug 2023

Alternatieven voor Google Analytics

Privacyvriendelijk je bezoekers tracken

154
Help Tweakers om privacyvriendelijke Google Analytics-alternatieven te testen
Help Tweakers om privacyvriendelijke Google Analytics-alternatieven te testen .Geek van 7 augustus 2023
EU dwingt af dat apps in Google Play Store in hele EU te downloaden zijn
EU dwingt af dat apps in Google Play Store in hele EU te downloaden zijn Nieuws van 26 januari 2023
Google trekt in oktober stekker uit A/B-testtool Optimize
Google trekt in oktober stekker uit A/B-testtool Optimize Nieuws van 24 januari 2023
Toezichthouders willen Meta's gepersonaliseerde advertenties illegaal verklaren
Toezichthouders willen Meta's gepersonaliseerde advertenties illegaal verklaren Nieuws van 8 december 2022
Texas klaagt Google aan voor onrechtmatig verzamelen biometrische data
Texas klaagt Google aan voor onrechtmatig verzamelen biometrische data Nieuws van 21 oktober 2022
President VS tekent decreet ter bescherming van data Europese burgers
President VS tekent decreet ter bescherming van data Europese burgers Nieuws van 7 oktober 2022
Ontslag voor Nederlander die weigerde webcam aan te zetten was onterecht
Ontslag voor Nederlander die weigerde webcam aan te zetten was onterecht Nieuws van 6 oktober 2022
Mag je geld verdienen met dataverkoop? Dat moet het Europese Hof nu bepalen
Mag je geld verdienen met dataverkoop? Dat moet het Europese Hof nu bepalen Nieuws van 30 september 2022
Meta krijgt miljoenenboete voor delen gegevens minderjarige Instagramgebruikers
Meta krijgt miljoenenboete voor delen gegevens minderjarige Instagramgebruikers Nieuws van 15 september 2022
Instagram krijgt 405 miljoen euro boete van Ierse toezichthouder om tienerdata
Instagram krijgt 405 miljoen euro boete van Ierse toezichthouder om tienerdata Nieuws van 6 september 2022
Noorwegen pleit voor boete voor Meta voor negeren van Privacy Shield-verbod
Noorwegen pleit voor boete voor Meta voor negeren van Privacy Shield-verbod Nieuws van 23 augustus 2022
'Wie is verantwoordelijk voor persoonlijke data die ethisch hackers ontdekken?'
'Wie is verantwoordelijk voor persoonlijke data die ethisch hackers ontdekken?' Nieuws van 12 augustus 2022
AVG-boete voor VoetbalTV was onterecht, maar de vragen blijven openstaan
AVG-boete voor VoetbalTV was onterecht, maar de vragen blijven openstaan Nieuws van 27 juli 2022
Nieuwe ontslagen tonen oude problemen bij Gegevensbeschermingsautoriteit
Nieuwe ontslagen tonen oude problemen bij Gegevensbeschermingsautoriteit Nieuws van 22 juli 2022
Europese privacytoezichthouders willen strengere regels voor delen medische data
Europese privacytoezichthouders willen strengere regels voor delen medische data Nieuws van 19 juli 2022
Meer producten en artikelen
Politiek en recht Privacy algemene verordening gegevensbescherming Autoriteit Persoonsgegevens Europa Europese Commissie Europese unie

Reacties (41)

-Moderatie-faq
41
41
32
5
0
9
Wijzig sortering

Sorteer op:

Weergave:
Floort
12 oktober 2022 13:45
Een eigenaardige analyse van de Google-Analytics gerelateerde onderzoeken. Dat zijn namelijk geen onderzoeken naar Google als verwerkingsverantwoordelijke maar naar de websitehouders in verschillende lidstaten die wel inhoudelijke overeenkomsten hebben, maar procedureel los van elkaar staan. Geen land heeft het gebruik van Google Analytics verboden. Er is in verschillende landen in verschillende zaken geconcludeerd op basis van vergelijkbare feiten en dezelfde wettelijke kaders dat elke van de gebruiken van Google Analytics niet rechtmatig is. Zowel in Nederland als in andere lidstaten waar wel al vergelijkbare bevindingen zijn gepubliceerd lopen er verschillende onderzoeken naar verwerkingen die ook Google Analytics omvatten. Maar dat is geen "maar". Het Nederlandse bestuursrecht is niet van invloed op de rechtmatigheid van de verwerking. Als iemand zou schijven "Er zijn al een boel boetes uitgedeeld voor snelheidsovertredingen maar volgende week komt er een zaak voor de rechter van iemand die met 90KM/u door een woonwijk heeft gereden." zou dat erg vreemd lezen. Nieuwe overtreding, nieuwe zaak. Zo gaat dat.
brammetje1994 @Floort12 oktober 2022 15:01
Ik sluit mij helemaal aan bij jouw reactie. Wat ik daar nog aan toe zou willen voegen is dat ik het raar blijf vinden dat Google Analytics de scape-goat is. In theorie is alles wat een clientside request verstuurd naar een Amerikaans bedrijf identiek aan Google. Deze request bevat simpelweg een IP-adres, wat volgens de GDPR een persoonsgegeven is.

Ongeacht wat het bedrijf zegt daar wel/niet mee te doen, blijft dit onmogelijk te toetsen voor ons en heeft de overheid van de verenigde staten door o.a de patriot act altijd de mogelijkheid om dit op te vragen, waarbij er niet verplicht wordt zich aan de GDPR normen te houden. Er is geen overeengekomen definitie over waar deze toetsingsdrempel ligt. Het EU-US Privacy Shield is in 2020 nietig verklaard en de nieuwe iteratie van afgelopen 7 oktober belooft weinig verbetering.

Daarom vind ik het erg raar dat er altijd enkel naar Google Analytics wordt gewezen. Dit geldt toch voor iedere clientside request naar een amerikaanse dienst (of deze nu in EU opgeslagen is of niet) welke zonder grondslag wordt gedaan of kan iemand mij corrigeren waarom GA specifiek het probleem is?
TheKmork @brammetje199412 oktober 2022 15:15
Het is iets te kort door de bocht om te zeggen dat een IP adres een persoonsgegeven is. Het IP adres an sich is geen persoonsgegeven, maar zodra het in combinatie met andere gegevens (door dezelfde instantie verwerkt) te herleiden is naar een persoon/individu, dan wel.

Het zou wat worden als een IP adres als gegeven op zichzelf al een persoonsgegeven wordt, want dan zou het hele internet ophouden te bestaan, en overal toestemming moeten gelden voor verwerking van persoonsgegevens.
brammetje1994 @TheKmork12 oktober 2022 15:31
Ja en nee. Ik ben het deels met je eens. Als ik enkel een IP-adres heb dan verwerk ik in principe niet herleidbare gegevens. Dat gezegd hebbende, is in principe is een IP-adres toch specifiek genoeg om in veel gevallen te herleiden tot een specifiek persoon? Tenzij je het IP-adres strikt los houdt van alle andere informatie, wat vaak in dezelfde request zit en dus niet mogelijk is.
Voorbeelden van het verwerken van persoonsgegevens zijn:
IP- of MAC-adressen verzamelen;

Verwerken definitie:
het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen en vernietigen van gegevens.
Als Google het IP-adres krijgt en opslaan/verwijderen in hun database dan is dat het verwerken van een persoonsgegeven?

Het verschil zit hem dan ook in de rollen, want als ik naar tweakers.net ga zullen wij mijn IP-adres moeten verwerken voor het functioneren en het 'uitvoeren van de overeenkomst' in mijn perceptie (jullie verwerken mijn request zodat ik op jullie website kan komen). Daarin is het doel en het middel leidend en niet per se of het een persoonsgegeven is.

Ik ben geen jurist en ook geen data architect, dus wellicht zit ik er compleet naast en zeg ik hier onzinnige dingen, maar dit is oprecht hoe ik dit interpreteer en als mijn blik hier fout op is leer ik daar graag van.
berzerker @brammetje199412 oktober 2022 16:04
Een IP-adres kan een persoonsgegeven zijn. Kamikazi verwees hierboven al naar het Breyer arrest: hier is een link naar die uitspraak zelf. Als een partij als Google een IP-adres verwerkt, heeft Google geen mogelijkheid om na te gaan of het in dat geval echt om een persoonsgegeven gaat. Dus moet Google alle IP-adressen verwerken alsof het om persoonsgegevens gaat (wat het ook in de meeste gevallen zullen zijn).
Floort
@brammetje199412 oktober 2022 16:12
Als ik enkel een IP-adres heb dan verwerk ik in principe niet herleidbare gegevens
Een verwerking zonder context bestaat niet. Een IP adres zonder context is vier betekenisloze bytes. En zelfs dat is nog context. Een IP adres wordt altijd in een context verwerkt. Meestal is het een IP adres van een computer. Waar en hoe de verwerking plaatsvind is context. Wie de verwerking uitvoert is context. Ga er maar vanuit dat wanneer je IP adressen verwerkt van een algemeen publiek (bijv. in access logs van een doorsnee website) dat een redelijke bulk van die IP adressen in die context persoonsgegevens zijn en dat je de bulk IP adressen daarom moet behandelen alsof het persoonsgegevens zijn. In een andere context kan dat anders zijn, maar je verwerkt nooit "enkel" IP-adressen zonder enige context.
MacGyverNL @Floort12 oktober 2022 17:07
Wat veel mensen vergeten als ze zeggen "Als ik enkel een IP-adres heb" of "Maar een IP-adres zonder context is vier betekenisloze bytes" is dat het tijdstip van verwerking vaak impliciet danwel expliciet in die context zit, en een IP-adres + tijdstip is in de bulk van de gevallen voldoende om herleidbaar te zijn naar een persoon.
kodak
@MacGyverNL12 oktober 2022 22:59
Je laat de context weg waaruit blijkt dat het in die situatie herleidbaar is. Een tijdstip is niet persoonsgebonden, dus als je een bedrijf een IP-adres en tijdstip geeft wil dat niet zomaar zeggen dat je dus maar naar een persoon herleidbare gegevens hebt. Dat hangt dus nog steeds van de omstandigheden af.

Bij het ene bedrijf kan dat een combinatie van gegevens zijn zonder tijdstip, bij een ander bedrijf met. En bij weer een ander bedrijf is het IP-adres niet perse nodig om toch aan online en offline verkregen gegevens al genoeg te hebben. Hoewel het ga er maar vanuit van @Floort wat te makkelijk is juist door gebrek aan noemen van context, lijkt het me een redelijker uitgangspunt dan een standpunt dat een bedrijf zou beweren dat het geen context kan bedenken. En dat is waarom de gevraagde aanvulling op het toezicht ook verstandig kan zijn, maar ook een probleem.

Dat niet iedere toezichthouder gelijke mogelijkheden heeft komt bijvoorbeeld omdat niet alle landen er evenveel belang in zien om gegeven beperkte mogelijkheden voor toezicht uit te breiden, of de bestaande mogelijkheden te beperken. Wat tot gevolg kan hebben dat bedrijven straks misschien zelfs makkelijker weg komen dat ze bepaalde context voorspiegelen die niet realistisch is maar bijvoorbeeld niet meer door een toezichthouder voldoende onderzocht kan worden. Terwijl het nu al een zorg is hoeveel toezichthouders niet onderzoeken en als misstanden laten bestaan.
RogerDad @TheKmork12 oktober 2022 21:26
De AVG stelt dat ook als een gegeven indirect herleidbaar is naar een persoon, het gaat om persoonsgegevens.Zie ook: https://autoriteitpersoon...wat-zijn-persoonsgegevens Dus IP-adressen van je computer, smartphone, enz. vallen daaronder.
In deze URL van de AP staat het nog iets duidelijker: https://autoriteitpersoon...om?qa=IP-adres&scrollto=1
Kamikazi @TheKmork12 oktober 2022 15:23
Het IP adres is al in een eerdere uitspraak van het Europese hof (in de zaak Breyer/Duitsland) aangemerkt als een persoonsgegeven. Zie https://www.stradalex.com...nt/document/echr_50001-12 voor de uitspraak.
berzerker @TheKmork12 oktober 2022 16:11
Het zou wat worden als een IP adres als gegeven op zichzelf al een persoonsgegeven wordt, want dan zou het hele internet ophouden te bestaan, en overal toestemming moeten gelden voor verwerking van persoonsgegevens.
Er zijn ook andere gronden dan toestemming, juist omdat toestemming als enige rechtsgrond in de praktijk gewoon niet werkt. In dit geval zou dat 'gerechtvaardigd belang' moeten zijn (juist de rechtsgrond waarop op Tweakers vaak wordt afgegeven).
berzerker @brammetje199412 oktober 2022 15:22
Ik sluit mij helemaal aan bij jouw reactie. Wat ik daar nog aan toe zou willen voegen is dat ik het raar blijf vinden dat Google Analytics de scape-goat is. In theorie is alles wat een clientside request verstuurd naar een Amerikaans bedrijf identiek aan Google. Deze request bevat simpelweg een IP-adres, wat volgens de GDPR een persoonsgegeven is.
Klop, er zijn zoveel dienstaanbieders die in een vergelijkbare positie zitten, maar Google Analytics krijgt gewoon wat meer aandacht omdat het nu eenmaal een van de meest gebruikte diensten is. Bovendien kunnen de privacyautoriteiten elkaars analyses hergebruiken, wat onderzoekstijd spaart.
Ongeacht wat het bedrijf zegt daar wel/niet mee te doen, blijft dit onmogelijk te toetsen voor ons en heeft de overheid van de verenigde staten door o.a de patriot act altijd de mogelijkheid om dit op te vragen, waarbij er niet verplicht wordt zich aan de GDPR normen te houden. Er is geen overeengekomen definitie over waar deze toetsingsdrempel ligt. Het EU-US Privacy Shield is in 2020 nietig verklaard en de nieuwe iteratie van afgelopen 7 oktober belooft weinig verbetering.
Ik kwam juist een interessant artikel tegen waarin wordt uitgelegd waarom dit wel degelijk een verbetering is en waarom het waarschijnlijk volstaat om de bezwaren van het Europese Hof van Justitie weg te nemen (en dat ook uitlegt dat méér in het Amerikaanse rechtssysteem waarschijnlijk niet haalbaar zou zijn). De Europese Commissie lijkt het daar trouwens mee eens te zijn, en die willen echt niet nog een keer teruggefloten worden door het Europese Hof van Justitie.....

[Reactie gewijzigd door berzerker op 25 juli 2024 19:28]

ernstoud 12 oktober 2022 13:35
Steeds meer woorden om het volslagen subjectieve begrip privacy vorm te geven. Terwijl instinctief iedereen weet waar het om gaat. Merkwaardige patstelling. De AVG is een draak van een wet. Nog meer artikelen, nog meer verantwoordelijkheden voor autoriteiten; het lost niets op.
MacGyverNL @ernstoud12 oktober 2022 14:16
De AVG is een draak van een wet.
Heb je hem ooit zelf gelezen?

De AVG is een van de meest toegankelijke wetteksten die ik ooit heb gezien. De AVG is een van de meest concrete wetteksten die ik ooit heb gezien, met ontzettend veel duidelijkheid en uitsluiting van potentieel grijs gebied. De Engelstalige recitals die er ook bij gepubliceerd zijn verduidelijken nog verder wat de bedoelde uitwerking van de meeste artikelen is.

En ja, om iets duidelijk op te schrijven en af te bakenen heb je misschien wat meer artikelen nodig. Ach en wee, wat een straf dat het zo'n grote wet is met zoveel duidelijkheid.

Het is geen draak, het is juist een fantastisch staaltje "hoe het ook kan".
ernstoud @MacGyverNL12 oktober 2022 16:28
Ik heb diverse advocaten, juristen en privacy experts gesproken over de AVG. En ik geef wel eens een presentatie over de geschiedenis, zeg maar de weg van WPR, via de WBP naar de AVG. Steeds meer woorden voor dezelfde rechten van de burger. En ja, ik heb de AVG beroepsmatig goed moeten lezen.

Iemand met veel verstand van ICT-recht heeft mij bevestigd dat de NL tekst zelfs fouten bevat die tegen overig aanpalend NL recht in gaan. En dat na ruim 10 jaar werken aan deze wet.

Ik noem het een draak omdat deze wet voor de burger m.i. niets oplost. Het is met privacy nog nooit zo slecht gesteld als nu. Deze wet zal dat niet verminderen.
MacGyverNL @ernstoud12 oktober 2022 16:50
Ah zo. Nou, in dat geval, ik ben wat optimistischer dan dat. Het was me inderdaad ook een doorn in 't oog dat in mei 2018 zo hard geroepen werd "We mogen niks meer" terwijl er eigenlijk, qua wat er mág, vrij weinig veranderde. Ook hilarisch waren alle spammers die dachten een "We moeten toestemming vragen" mail te moeten sturen -- effectief een erkenning dat ze al jaren de WBP overtraden.

Wat de AVG m.i. beter maakt dan de WBP en de daaraan ten grondslag liggende DPD is juist de uitgebreide uitwerking van het raamwerk van plichten en informatievoorziening eromheen, en het boetestelsel. Ik heb in de afgelopen vier jaar wel degelijk de indruk dat meer en meer bedrijven en instanties databescherming eindelijk serieus nemen (zo niet privacy an sich), juist omdát er zo'n uitgebreide wet ligt die ze daadwerkelijk pijn kan doen als ze het proces niet helemaal op orde hebben. Bedrijven geven in mijn ervaring niet zoveel om de rechten van de burger als er niet ergens in klare taal uitgewerkt is wat die rechten zijn, hoe dat vorm krijgt, en hoe non-compliance toch echt pijn doet in de jaarcijfers; de WBP werd effectief méér en onzichtbaarder en masse genegeerd.

Het is met privacy misschien nog nooit zo slecht gesteld als nu, maar ik ben er toch van overtuigd dat dat zonder de AVG nóg slechter zou zijn. Dat gezegd hebbende, ik erken ook dat als er morgen een wet komt die gewoon in één zinnetje heel het concept van spionage-adverteren verbiedt, ter vervanging van de AVG, dan gaan we er qua privacy netto wel op vooruit.
berzerker @MacGyverNL12 oktober 2022 14:40
De AVG is een van de meest concrete wetteksten die ik ooit heb gezien, met ontzettend veel duidelijkheid en uitsluiting van potentieel grijs gebied. De Engelstalige recitals die er ook bij gepubliceerd zijn verduidelijken nog verder wat de bedoelde uitwerking van de meeste artikelen is.
Die 'recitals' zijn alleen Engelstalig in de Engelstalige versie van de AVG (GDPR dus). In de Nederlandse versie zijn ze gewoon Nederlandstalig. De gangbare term is dan "overwegingen" (ze beginnen met "Overwegende hetgeen volgt").

Overigens, hoewel er best concrete bepalingen in de AVG te vinden zijn, is het nogal algemene wetgeving en heeft het derhalve inherent vage bepalingen, zoals in de rechtmatigheidsgronden van artikel 6:
1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
(...)
d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
(...)
f) de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.
Ook een leuke is artikel 24 (ik heb gewoon een willekeurig artikel gepakt dit keer):
Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd.
Waarmee ik trouwens niet wil zeggen dat daar iets mis mee is (want dat is niet zo).

[Reactie gewijzigd door berzerker op 25 juli 2024 19:28]

MacGyverNL @berzerker12 oktober 2022 15:03
Die 'recitals' zijn alleen Engelstalig in de Engelstalige versie van de AVG (GDPR dus). In de Nederlandse versie zijn ze gewoon Nederlandstalig.
Ah, ja, je kunt inderdaad de Nederlandse vertaling van de AVG gewoon lezen inderdaad, ik wilde vooral geen verwarring veroorzaken met de Uitvoeringswet AVG (de Nederlandse) die vziw geen gepubliceerde overwegingen heeft.
Overigens, hoewel er best concrete bepalingen in de AVG te vinden zijn, is het nogal algemene wetgeving en heeft het derhalve inherent vage bepalingen, zoals in de rechtmatigheidsgronden van artikel 6:
Klopt, ik beweer dan ook niet dat alles zo concreet is dat er geen interpretatieslag nodig is -- waarbij gerechtvaardigd belang een erg pijnlijk voorbeeld is van waar de ruimte voor interpretatie een m.i. negatieve uitwerking heeft, want is gericht adverteren nou wel of geen gerechtvaardigd belang... (Nee. Hou op.)

Maar als geheel genomen is de AVG in mijn ogen een erg concrete wettekst, waar de gemiddelde leek (daar reken ik mezelf ook onder) door 'm door te lezen ook een aardig idee krijgt van wat de bedoeling is zonder tig documenten jurisprudentie en vakjargon en een burgerlijk wetboek ernaast te houden. Mensen die beweren dat de AVG "te moeilijk" is hebben 'm meestal helemaal niet gelezen, o.a. omdat ze de incorrecte indruk hebben dat alle wetgeving vaag en onduidelijk is.

[Reactie gewijzigd door MacGyverNL op 25 juli 2024 19:28]

Floort
@ernstoud12 oktober 2022 13:55
Ik heb een aanzienlijk deel van de geconstateerde issues zelf meegemaakt. Best vaak gaat het over verschillen in bestuursrecht tussen de lidstaten. Bijvoorbeeld; als ik hier in Nederland een klacht indien heb ik, als ik het waarschijnlijk niet eens ga zijn met het besluit, het recht om mijn zienswijze te geven. Maar als het een klacht is waar een toezichthouder in een andere lidstaat de leiding heeft waar ik dat recht niet heb, kan het zijn dat die toezichthouder het onderzoek afrond zonder dat ik mijn zienswijze heb kunnen geven en dan is de AP verplicht om de conclusies over te nemen. Dat is geen AVG probleem, maar een probleem in het bestuursrecht. Mijn klacht is dan naar de Nederlandse wet niet zorgvuldig behandeld. De vraag is dan hoe zorg je dat die andere toezichthouder rekening houdt met de verplichtingen onder Nederlands recht en hoe stem je verschillende regels op elkaar af die elkaar direct tegenspreken? Het gros van die problemen zit niet in de AVG omdat de AVG wel overal hetzelfde is.
thomas_n @ernstoud12 oktober 2022 13:40
Als ik dit artikel lees klinkt het juist als een voorstel om het dragen van de verantwoordelijkheden voor autoriteiten uit de "oude" AVG duidelijker en eenvoudiger te maken.
RogerDad @ernstoud12 oktober 2022 21:31
Het begrip privacy is inderdaad (eigenlijk per definitie) subjectief. Wat voor mij onder mijn privacy valt, kan voor iemand anders ook anders liggen. Wat persoonsgegevens zijn en de vereiste bescherming daarvan is redelijk objectief. Daar waar de wet nog niet helemaal duidelijk was, is de interpretatie duidelijker geworden, door de uitvoeringswet AVG https://wetten.overheid.nl/BWBR0040940/2018-05-25 Jurispredentie en uitspraken en boetebesluiten van de AP. Let wel "redelijk" en "duidelijker" want ik ken de discussies ook.
RRRobert 12 oktober 2022 13:35
Privacy is in deze tijden een groot goed, begrijp me niet verkeerd, maar de huidige AVG leidt ook tot heel onwenselijke situaties. Met name in zaken als bijv. (complexe) hulpverlening is het van groot belang dat verschillende instanties onbelemmerd kunnen samenwerken. Maar een van de zaken waar veel instanties tegenaan lopen is juist het omgekeerde: men werkt langs elkaar heen, of doet dubbel werk, of doet juist niets omdat men verwacht dat een andere instantie of persoon de verantwoordelijkheid wel neemt.
jochemd @RRRobert12 oktober 2022 13:54
Met name in zaken als bijv. (complexe) hulpverlening is het van groot belang dat verschillende instanties onbelemmerd kunnen samenwerken.
Met name in zaken als bijv. (complexe) hulpverlening is het van groot belang dat de betrokkene kan controleren wat instanties doen met persoonsgegevens en gegevens kunnen laten rectificeren als die fout zijn.
The Zep Man
@RRRobert12 oktober 2022 13:39
Maar een van de zaken waar veel instanties tegenaan lopen is juist het omgekeerde: men werkt langs elkaar heen, of doet dubbel werk, of doet juist niets omdat men verwacht dat een andere instantie of persoon de verantwoordelijkheid wel neemt.
Ligt dat aan de AVG, of aan de instanties die niet goed samenwerken?

Als de instanties een gezamenlijk front vormen en gewoon toestemming vragen van de hulpbehoevende om de specifieke gegevens voor doel X voor periode Y te (laten) verwerken door partijen A, B, en C, dan is het toch goed? Via datzelfde front kan de hulpbehoevende dan ook diens AVG verzoeken doen.

Vergeet niet dat de AVG bloot legt dat wat men eigenlijk al had moeten doen. Dat men dat nog steeds niet doet is een kwalijke zaak. Er is niets onredelijks aan de AVG. De enige partijen die mopperen zijn degenen die niet goed omgaan met persoonsgegevens, en daar de afgelopen jaren niets aan hebben veranderd.

[Reactie gewijzigd door The Zep Man op 25 juli 2024 19:28]

Miglow @The Zep Man12 oktober 2022 13:48
Of de bekende: Hallo, met Miglow. Ik ben verhuisd en wil graag mijn dossier opvragen om aan mijn nieuwe hulpverlener te geven. Dat mag niet vanwege privacy. Uw nieuwe hulpverlener kan erom vragen. Hoor je later van de nieuwe zorgverlener dat ze het gewoon via de mail hebben gekregen want ze gebruiken een ander beveiligd portaal.....
brammetje1994 @The Zep Man12 oktober 2022 14:27
Ligt dat aan de AVG, of aan de instanties die niet goed samenwerken?

Als de instanties een gezamenlijk front vormen en gewoon toestemming vragen van de hulpbehoevende om de specifieke gegevens voor doel X voor periode Y te (laten) verwerken door partijen A, B, en C, dan is het toch goed? Via datzelfde front kan de hulpbehoevende dan ook diens AVG verzoeken doen.
Precies. Jij slaat de spijker op zijn kop. En daarbij kan het nog simpeler: Volgens de AVG helemaal niet expliciet benodigd om toestemming te vragen. Er zijn 6 grondslagen, waarvan toestemming er slechts één is. Zoals de AP het vertaald is er ook "vitaal belang":
Een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid. En u die persoon niet om toestemming kunt vragen om zijn of haar gegevens te verwerken. Bijvoorbeeld wanneer er acuut gevaar dreigt maar iemand bewusteloos is of mentaal niet in staat is om toestemming te geven.
Bron
In het geval van medische gegevens kan dit enkel geraadpleegd worden indien er geen andere grondslag gebruikt kan worden, maar zoals jij stelt is dat middels een simpele vraag/procedure af te vangen. Als organisaties deze vraag al niet kunnen stellen, vraag ik mij af of ik mijn (gevoelige) gegevens wel überhaupt bij hen wil hebben.
Blokker_1999
@RRRobert12 oktober 2022 14:08
De problemen die jij aanhaalt zijn evenwel niet ontstaan door de AVG, die bestonden daarvoor ook al en zouden nog steeds bestaan hebben zonder invoering van die AVG. Efficient en goed werken is altijd moeilijk. De AVG heeft complexiteit toegevoegd, dat klopt, maar niets dat niet beheerd kan worden.

En net bij complexe hulpverlening verwacht ik naast een goede hulpverlening, waar zeker en vase de nodige mechanismen voor vooezien moeten worden, ook dat er de nodige waarborgen ingebouwd worden ter bescherming van mijn privacy. Onbelemmerd samenwerken? Neen! Vlot samenwerken met de nodige garanties voor de personen die hulp nodig hebben? Dat moet het doel zijn.
blorf 12 oktober 2022 13:28
Misschien kortzichtig, maar dit lijkt op een constructie om te tijdrekken en klachten af te wimpelen.
thomas_n @blorf12 oktober 2022 13:38
Het klinkt voor mij juist als een voorstel om de afhandeling van klachten duidelijker en transparanter te maken, door het in de hele EU op dezelfde manier te doen.
blorf @thomas_n12 oktober 2022 14:04
Hoezo Europees beleid er bij betrekken voor het nemen van nationale beslissingen? Dat klinkt als doelgericht ingewikkeld maken. Als de juridische verschillen op Europees niveau ergens een belemmering zijn moeten ze de betreffende verschillen aanhalen in plaats van 'bureaucratisch lijmen' en niks veranderen.

[Reactie gewijzigd door blorf op 25 juli 2024 19:28]

Remzi1993 @blorf12 oktober 2022 14:17
Omdat (grote) bedrijven meestal niet alleen in één lidstaat opereren in de EU en dat zorgt dus voor enorme vertragingen en allerlei andere ellendige toestanden. Zie het voorbeeld van Google Analytics (sommige lidstaten hebben uitspraken gedaan en andere lopen er nog onderzoeken)

[Reactie gewijzigd door Remzi1993 op 25 juli 2024 19:28]

blorf @Remzi199312 oktober 2022 15:34
Wat ik hiervan maak is dat de rechten van burgers "verduidelijkt" zouden moeten worden om het internationaal gevestigde bedrijven makkelijker te maken weg te komen met privacyschending conform de nationale wetgeving waar een vestiging aan onderhevig is.
Remzi1993 @blorf12 oktober 2022 15:56
Inderdaad en dat is precies wat ze hier doen en wat ook blijkt uit het initiatief van de toezichthouders.
MacGyverNL @blorf12 oktober 2022 14:10
Dat is inderdaad kortzichtig, want de hele constructie van samenwerking tussen toezichthouders bestaat juist om mensen over grenzen heen makkelijker hun recht te laten halen. De meeste[1] Europese toezichthouders hebben in de praktijk wel degelijk laten zien er vooral te zijn voor de bescherming van de rechten en afdwingen van plichten die bestaan onder de AVG. Als die toezichthouders zeggen dat er iets nodig is om dat te verbeteren, dan zoek ik daar geen verborgen anti-AVG-motieven achter.

En als ze zeggen dat er een beter internationaal wettelijk kader moet komen om hun eigen samenwerking te verbeteren, dan klinkt dat voor mij vooral als dat de toepassingswetten van de AVG te veel van elkaar afwijken om de beoogde samenwerking zo soepel te laten verlopen als ze willen, waardoor ze capaciteit en daarmee slagkracht kwijt zijn aan nutteloze dingen, terwijl ze die liever zouden besteden aan nog een groot-overtreder of twee aanpakken.

[1] de VK-toezichthouder heeft nogal een reputatie er vooral te zijn om bedrijven te helpen de mazen in de wet op te zoeken, maar goed, da's geen EU meer dus wat maakt 't uit of dat waar is.
brammetje1994 @blorf12 oktober 2022 14:40
Daar ben ik het niet mee eens. Als je de 14 voorstellen leest dan gaat het gros daarvan juist over het vaststellen wat de definities, rechten en plichten zijn van individuen en het klachtenproces.. Op dit moment is dit door de non-specifieke verwoording in de GDPR per land in te vullen.

Dit vereist dat ieder land hier concrete wetten/richtlijnen voor opstelt, wat betekend dat de procedure voor internationale organisaties enorm verschild en er voor deze organisaties geen één oplossing is. Hierdoor neemt coöperatie van organisaties af, omdat het onmogelijk is om te voldoen aan de interpretatie van ieder land.

Kleine greep uit het document met de aanbevelingen:
1. Defining who are the parties to the procedure;
2. Specifying and harmonising procedural rights that parties are entitled to;
3. Specifying the right of the parties to access the documentation of the proceedings;
4. Further harmonisation on scope, modalities and timing of the right to be heard of parties;
5. Further introduction of, and harmonisation of, deadlines for a number of procedural steps;
6. Harmonisation of formal admissibility requirements and conditions;
7. Defining the situations that lead to rejection and dismissal of the complaint;
8. Clear and harmonised rules on resolving complaints through amicable settlement or other
non-contentious ways
9. Clarify investigatory powers of the SAs (AP) before competence pursuant to Article 55 and 56
is established (preliminary vetting)
10. Clarifying when further investigation is and is not required;
11. Confirming that SAs are competent to monitor compliance with enforcement orders;
12. Further clarification of the scope, content and modalities of information sharing
13. Implement rules on the timeframe and the modalities of the obligation to inform the
Board of the adoption of a decision pursuant to Article 60(7);
Hier zitten juist ook onderwerpen in die het concreet maken wat de plichten/mogelijkheden van de SA's (voor ons AP) zijn.
Bierbal 12 oktober 2022 13:49
En dat is niet de eerste keer dat we het hier over hebben op/over tweakers.
Iedere keer wordt er gezegt dat er aan wordt gewerkt of op zoek zijn naar een alternatief of iets in die richting. Maar inmiddels is de AVG al bijna 3 jaar van kracht plus de tijd die er aan vooraf ging waar men al lang wist dat dit er aan zat te komen en toch nog toe is er nog niets veranderd.
Het is gewoon ronduit triest dat Tweakers als tech site hier NOG STEEDS niks aan heeft gedaan, behalve misschien bakjes koffie zuipen in weer een zinlose overleg waar blijkbaar niks uit komt.
TijsZonderH Nieuwscoördinator
@Bierbal12 oktober 2022 13:52
Het is gewoon ronduit triest dat Tweakers als tech site hier NOG STEEDS niks aan heeft gedaan, behalve misschien bakjes koffie zuipen in weer een zinlose overleg waar blijkbaar niks uit komt.
Nu is Tweakers volgens mij best invloedrijk in de Benelux maar om nou te zeggen dat wij iets aan de AVG moeten doen is misschien wat veel gevraagd...
Blokker_1999
@TijsZonderH12 oktober 2022 14:12
Ik denk dat bierbal een beetje probeert te stoken in de zin van: Tweakers schend nog altijd de AVG met hun cookies en doet er niets aan. Gegeven het feit dat hij het heeft over het zoeken naar alternatieven maar in de praktijk niets veranderen. Blijkbaar heeft hij gemist dat de cookiemuur weg is, dat je alle third party tracking kunt uitschakelen als je dat wenst en dat ook de advertenties op Tweakers niet langer aan tracking van gebruikers doen.

Als hij dat niets wil noemen, dan weet ik niet wat je als website nog meer kunt doen. Ja, er zullen ongetwijfeld nog verbeterpunten zijn, en ja, het heeft langer geduurd dan velen zouden wensen, maar er is uiteindelijk wel werk van gemaakt en heeft er, neem ik aan, ook mee voor gezorgd dat ondertussen heel DPG overgaat op trackingloze advertenties.
brammetje1994 @Blokker_199912 oktober 2022 14:51
Misschien heb ik dit gemist Blokker_1999, maar in de podcast werd destijds expliciet benoemd dat Tweakers hierin los staan van DPG. Als ik naar DPG domeinen ga, krijg ik nog steeds de klassieke cookiebanner met een zee aan derde partijen.

Verder ben ik het volledig met jou eens. Tweakers is een nu een voorbeeld van 'hoe het ook kan' en ik gun hen dan ook dit commercieel te bewijzen. Het is jammer dat het negatieve sentiment zo lang blijft hangen en dat vrijwel ieder topic omtrent AP/AVG/GDPR er weer een dergelijke ongeïnformeerde reactie opduikt.
Floort
@brammetje199412 oktober 2022 15:15
Het ligt wat ingewikkeld. Volgens Tweakers én DPG is DPG wel verantwoordelijke voor wat Tweakers met persoonsgegevens doet. Dat is de juridische term voor DPG bepaalt wat er gebeurt en hoe het gebeurt. Tegelijkertijd zegt Tweakers ook zelf te kunnen bepalen hoe het de website inricht m.b.t. advertenties en tracking met bijzonder vooruitstrevende resultaten tot gevolg, maar schijnbaar in directe tegenspraak met de bewering dat DPG het volledig voor het zeggen heeft. Daarbovenop komt nog verwarring vanwege allerlei kritiek die gebaseerd is op onjuiste of verouderde voorstellingen van zaken. Maar Tweakers maakt het er niet duidelijker op.
ronnySB 12 oktober 2022 15:30
Dit klinkt efficient, maar uiteindelijk is het de weg naar globalisering, wat mede het doel van de EU en de 'globalisten' zijn ....zo verliezen staten steeds beetje bij beetje hun soevereiniteit..dus wij de onze..

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq