Belgische privacywaakhond geeft in 2023 aandacht aan cookies en smart cities

De Belgische Gegevensbeschermingsautoriteit wil in het komende jaar meer aandacht geven aan cookies en smart cities. Ook gaat de GBA meer handhaven op de aanwezigheid en het werk van functionarissen gegevensbescherming. De toezichthouder wil daarvoor wel extra geld.

De Belgische privacytoezichthouder heeft drie prioriteiten vastgesteld waar het in het aankomende jaar extra toezicht op wil houden. Dat zijn cookies, 'DPO's' en smart cities.

Wat cookies betreft wil de GBA een 'geharmoniseerd standpunt op Europees niveau' opzetten. Zo'n standpunt was er een tijdje, maar juist daar had de GBA problemen mee. De Europese advertentiebranche had rondom de introductie van de AVG een framework gebouwd waarmee media een juridisch kloppende cookiewall konden inzetten. In februari van dit jaar gaf de Gegevensbeschermingsautoriteit een boete van 250.000 euro aan de brancheorganisatie vanwege die cookiewallimplementatie. Ook moest IAB de implementatie ervan aanpassen. Daarbij werkt de branchevereniging samen met de GBA. De toezichthouder lijkt daar nu nog een stap verder in te willen gaan door een algemene, Europabrede structuur voor cookietoestemming op te zetten. Dat zou aanvankelijk moeten worden geregeld via de e-privacyverordening, maar die laat nog op zich wachten.

De GBA had het afgelopen jaar meer wapenfeiten rondom cookies. De toezichthouder gaf twee keer flinke boetes aan Belgische media vanwege een illegale cookiewallimplementatie. Uitgever Roularta kreeg een boete voor de cookiewall van Knack en Le Vif, later volgde uitgever Rossel vanwege de cookiewall bij onder andere Le Soir. De GBA zegt dat het het komende jaar 'haar standpunt inzake cookies uitdrukkelijker wil formuleren'.

De GBA wil ook kijken naar smart cities. Daarover geeft de toezichthouder weinig details, al is het begrip 'smart city' bijzonder breed. De GBA 'wil preventieacties ontwikkelen en de dialoog aangaan met lokale actoren op het gebied van smart cities, bijvoorbeeld intelligent vervoer', schrijft de waakhond.

Een derde speerpunt wordt het toezicht op data protection officers, die in Nederland 'functionarissen gegevensbescherming' worden genoemd. Bedrijven of overheden die met persoonsgegevens werken, moeten vaak verplicht zo'n FG in dienst hebben. Een FG ziet toe op het correcte gebruik van data en kan signalen doorgeven aan de toezichthouder. "Aangezien de functionaris gegevensbescherming de bondgenoot van de GBA op het terrein is, zal de GBA deze cruciale rol blijven ondersteunen, zowel op het vlak van preventieve acties (met name via het benadrukken van de rol van de functionaris gegevensbescherming bij de uitoefening van de rechten van klagers), als op het vlak van controle (de Inspectiedienst zal bijvoorbeeld de plaats van de functionaris gegevensbescherming in organisaties die het voorwerp van een onderzoek uitmaken, onderzoeken)", schrijft de toezichthouder.

In Nederland was het toezicht op de FG's het eerste grote wapenfeit van de Autoriteit Persoonsgegevens. Aleid Wolfsen zei in een interview met Tweakers daar in het eerste jaar nadat de AVG in werking was getreden een prioriteit van te maken.

De GBA zegt wel dat veel van zijn prioriteiten van volgend jaar afhankelijk zijn van het budget. Net als in Nederland klaagt de toezichthouder dat het te weinig middelen krijgt. Het kan de toenemende stroom klachten daardoor niet aan. De GBA heeft geld nodig om adviezen vanuit de Kenniscentrum-afdeling twee keer zo snel uit te brengen. Ook heeft de GBA meer geld nodig voor internationale samenwerking.

Door Tijs Hofmans

Redacteur

15-11-2022 • 13:22

14 Linkedin

Reacties (14)

Wijzig sortering
Ze kunnen beginnen bij het cookiescherm van de VRT. Belachelijk dat een publiek gefinancierde dienst niet het weigeren van cookies niet net zo eenvoudig maakt als het accepteren.
Reageer
Zo werkt helaas het overgrote deel van de cookieschermen. "Accept all" is direct te vinden, "Reject all" vereist (minstens) een extra klik. Ik denk dat je wel al blij mag zijn dat er sowieso een "Reject all" knop is, soms moet je handmatig door de settings lopen om te kijken of alles wel netjes uit staat voordat je op "save' klikt.
Reageer
En dan pakken ze je alsnog met het 'legitiem belang' 8)7
Reageer
En dat mag niet van de GDPR. Beide opties moeten net zo makkelijk zijn.

Geen idee hoe het met de GBA (Ik lees daar altijd de gameboy advance) zit, maar het Nederlandse AP verzuipt in de meldingen en komt er gewoon niet aan toe.

Terwijl het eigenlijk vrij simpel werk is dat een stagiair nog kan uitvoeren.
Bezoek site -> Keuze menu is brak -> Stuur waarschuwing.
Bezoek site 1-2 maanden later -> keuze menu is nog steeds brak -> boete.
Reageer
Inderdaad, ik heb hen daar al meerdere malen op gewezen, en hun klachtendienst kwam terug met een behoorlijk onovertuigende uitleg dat hun systeem toch geen dark-pattern zou zijn:
We hebben uw opmerkingen voorgelegd aan de DPO van VRT, die ons intussen een antwoord heeft bezorgd.


Er is inderdaad 1 klik meer nodig om alles te weigeren dan om alles te accepteren. Deze opzet heeft te maken met een aantal factoren zoals de lay-out en de plaats op de schermen (vooral de kleinere schermen waar vaak te weinig plaats is om alles nog leesbaar te houden op één pagina) de keuze van de meeste gebruikers etc. Belangrijk om op te merken is dat deze opzet er omgekeerd ook voor zorgt dat je, indien je achteraf je cookievoorkeuren wil aanpassen via 'cookie instellingen' onderaan de webpagina's, je zeer snel alle keuzes hebt, ook om alles te wissen. De bedoeling van een ‘dark pattern’ is hier niet aanwezig, het gaat louter technisch en functioneel ingegeven.

Wat betreft de cookies van Adobe Analytics, Firebase en Gigya is het zo dat we deze cookies nodig hebben om onze openbare opdracht te kunnen uitvoeren, onder andere om te kunnen rapporteren aan de overheid. Het is dus niet zo dat het aan- of afzetten van de cookies gerelateerd zijn aan het al dan niet meer werken van onze sites.

Wat betreft de cookie van "demdex.net" is het inderdaad zo dat het gaat om een fout in ons cookie overzicht, demdex cookie zou wel degelijk bij de strikt noodzakelijke moeten staan, en is nodig voor Adobe Analytics om de bezoeker te volgen over platformen heen. [...]
Reageer
Misschien een domme vraag van mij, maar wat zijn DPO en smart cities.
Ik kan het niet uit het artikel op maken.
Reageer
DPO = Data Protection Officers
Smart Cities : https://nl.wikipedia.org/wiki/Slimme_stad - essentieel verschillende bronnen van data en geconnecteerde devices gebruiken om je stad beter te beheren/besturen. (Alles van nutsvoorzieningen over verkeerslichten, openbaar vervoer, parkeermeters, publieke gebouwen, etc, etc...)
Reageer
DPO : Data Protection Officer : persoon die zowat instaat voor gegevensbescherming binnen een bedrijf vanaf een bepaalde groote, moet tevens in het oog houden of het bedrijf zich wel aan de AVG wetgeving houdt.

Smart Cities : letterlijk "slimme steden" : gaande van verkeersstromen in beeld brengen adhv cameras op de invalswegen van een stad en daar vervolgens bv de openbare parkings etc op koppelen, naar slimme energienetten binnen een wijk waar bv adhv het weer ( veel zon ), er gekozen kan worden om al dan niet de verwarming in die wijk op een aardwarmtepomp te regelen, of via ene wijkbatterij, die bv tijdens zonnige dagen gewoon opgeladen wordt zodat ze dienst kan doen tijdens regenachtige dagen of s nachts; verder gaand naar slimme busstations in een stad, die zien hoeveel reizigers er op de perrons staan te wachten, weergeven hoe lang het duurt eer de volgende bus/tram er aan komt, en bv ingespeeld zijn op tijdstippen dat een concert start/eindigd, om alzo een beetje te weten wanneer er extra bussen/trams nodig zijn om al dat volk van/naar het concert te krijgen.

[Reactie gewijzigd door Falcon10 op 15 november 2022 14:35]

Reageer
Digital privacy officer, een nieuwe job die bedrijven zullen moeten bekostigen om te kijken of alles wel volgens de letter van de wet gebeurd.

Smart Cities, lijkt me iets te maken hebben hoe steden omgaan met de informatie die ze over burgers verzamelen via cctv, inlog systemen enz.
Reageer
Een DPO (in het Nederlands een FG of functionaris gegevensbescherming) is een interne maar bij wet onafhankelijke toezichthouder. Er zijn in de praktijk allerlei problemen zoals FG's die worden tegengewerkt of FG's die niet onafhankelijk zijn of niet genoeg deskundig zijn.

Smart Cities is een verzamelnaam voor het vanalles en nogwat aan sensoren en 'slimme' electronica ophangen in de openbare ruimte. Blijkbaar gaat dat specifiek over steden, maar het kan net zo goed in een dorp voorkomen. Denk aan "smart home" maar dan buiten. Het kan bijvoorbeeld gaan over wifi-tracking en druktemetingen of verlichting die van kleur veranderd als er 'agressief geluid' in de buurt wordt gedetecteerd.
Reageer
DPO ... nog zoiets, welk kleine bedrijf heeft een DPO ? dat is gewoon de eigenaar. Neem nu iemand in de bouw, een bakker, slager, transport ... GDPR wa voor zever verkoopte gij nu ? Watte een DPO ? Dat is een typische reactie hier in den belziek. Sorry maar er zijn ook nu eenmaal mensen die hier helemaal geen bal vanaf weten. En dat is gewoon overal zo. Sorry maar al die regeltjes zijn leuk etc, maar voor kleinere bedrijven een ramp. Ik zeg altijd tegen de mensen, je mag geen gegevens bijhouden dan je bij wet verplicht bent en geen advertenties uitsturen als ze geen klant zijn. Een architect moet hier bijvoorbeeld je plan 25 jaar bijhouden, dus je gegevens heeft die ook 25 jaar nodig. Denk je nu echt dat die architect na 25 jaar jouw gegevens gaat wissen ? Enja in software kan je een melding geven. Maar gaat hij dezelfde software 25 jaar gebruiken ? Een electricien hier moet ook 20 of 25 jaar een eendraadschema bijhouden. Die gebruikt waarschijnlijk al met moeite software, met als gevolg dat er zeker geen melding zal komen. Dusja het is allemaal mooi en wel, maar voor veel sectoren is dat gewoon totaal niet haalbaar. Denk je nu echt dat het gros van de mensen weten als ze gehacked zijn ofzo, of weten dat ze dan al hun klanten moeten verwittigen binnen de 48u en dit ook voorleggen bij de privacycommissie. Veel regeltjes worden bedacht in ivoren torens zonder enige voeling met de realiteit.

Dat Europa eerst eens begint dat cookies rejecten evenredig is als ze aanvaarden. Bij veel websites is het zogoed als onmogelijk gemaakt om ze te weigeren.
Reageer
DPO ... nog zoiets, welk kleine bedrijf heeft een DPO ? dat is gewoon de eigenaar.
Kleine bedrijven hoeven ook geen DPO te hebben. Alleen overheden, bedrijven die "regelmatige en stelselmatige observatie op grote schaal van betrokkenen" doen en bedrijven die "grootschalige verwerking van bijzondere categorieën van gegevens (..) en van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten" doen moeten dat.
Een architect moet hier bijvoorbeeld je plan 25 jaar bijhouden, dus je gegevens heeft die ook 25 jaar nodig. Denk je nu echt dat die architect na 25 jaar jouw gegevens gaat wissen ? Enja in software kan je een melding geven. Maar gaat hij dezelfde software 25 jaar gebruiken ? Een electricien hier moet ook 20 of 25 jaar een eendraadschema bijhouden. Die gebruikt waarschijnlijk al met moeite software, met als gevolg dat er zeker geen melding zal komen.
De realiteit is dat als ze het goed geregeld willen hebben ze ook zonder de AVG daar al een dienstverlener voor in moeten schakelen. Een (assurantie)makelaar / taxateur / gasfitter / notaris / advocaat / medicus / gerechtsdeurwaarder / hypotheekadviseur moet op grond van allerlei andere bestaande wetgeving al dossiers bijhouden. En zonder daar een professionele aanbieder voor in te schakelen is het voor hun eigenlijk onmogelijk om dat goed genoeg te doen. Backup, overdracht bij pensioenering, bedrijfsbeeindiging, etc. zijn allemaal zaken die een kleine zelfstandige eigenlijk niet kan garanderen. Dus als het goed is hebben die er al lang een professionele dienstverlener (branchevereniging?) voor ingeschakeld en hoeven ze alleen nog maar het contract te updaten om een einde aan de bewaartermijn aan te geven.
Reageer
Daar is geen geld voor, of dat zal doorgerekend worden aan de klant. En wie staat er te springen om dat te doen ? Niemand, want dat is gewoon onmogelijk, en jij bent altijd de pineut als er iets verkeerd loopt. Maar meestal zal dit altijd te herleiden zijn tot een klant die een probleem veroorzaakt heeft. Veel mensen hebben al moeite die 1000 wachtwoorden te onthouden, dus gebruiken ze altijd hetzelfde. Lastpass etc, dat kennen ze niet, is te omslachtig etc.

Elk bedrijf moet zijn data beschermen en wat is grootschalige verwerkingen ? Gegevens van 100 klanten of 1000 klanten per maand, er is geen "grootschalige" definitie. En de meeste bedrijven hebben nu eenmaal persoonsgegevens. Een slager minder dan iemand die electriteitswerken doet bijvoorbeeld. Deze bedrijven moeten ook hun data beveiligen. En wat is een klein bedrijf ? Ik ken eenmanszaken die met gewoon 200k winst maken op een jaar of meer. Er zijn er ook genoeg die 500k omzet draaien, maar 40k winst hebben. De slager hier heeft 5 man personeel in dienst, is dat dan een kleine ? Er is nergens een definitie van wat is grootschalig of kleinschalig. Dus bijgevolg moet iedereen dat doen, want er is geen definitie en die is voor interpretatie vatbaar.
Reageer


Om te kunnen reageren moet je ingelogd zijn


Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers is samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer onderdeel van DPG Media B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee