Franse privacytoezichthouder legt Discord AVG-boete van 800.000 euro op

De Franse privacytoezichthouder heeft chatplatform Discord een boete van 800.000 euro opgelegd. Volgens de privacywaakhond heeft het platform verschillende AVG-richtlijnen niet nageleefd, bijvoorbeeld omtrent het bewaren van gegevens van inactieve accounts.

De boete is op 10 november opgelegd, meldt de toezichthouder donderdag. Het bedrag van de boete wordt bepaald op basis van de vastgestelde inbreuken en het aantal betrokken personen. Ook wordt rekening gehouden met de inspanningen die het bedrijf tijdens de hele procedure heeft geleverd om de AVG-overtredingen op te lossen, schrijft de CNIL.

Tijdens het onderzoek van de privacywaakhond verklaarde Discord dat het geen schriftelijk beleid had voor het bewaren van gegevens. Dat is volgens de CNIL in strijd met artikel 5.1.e van de Europese privacywet. De bevindingen van de CNIL bevestigen dat er 2.474.000 Franse gebruikersaccounts in Discords database waren die al meer dan drie jaar niet waren gebruikt. Daarnaast waren er 58.000 accounts die al meer dan vijf jaar niet waren gebruikt. Inmiddels heeft het chatplatform wél een schriftelijk beleid voor gegevensbewaring geïntroduceerd, dat onder meer luidt dat inactieve accounts na twee jaar worden verwijderd.

Discord heeft ook zijn wachtwoordeisen verbeterd naar aanleiding van de kritiek van de Franse privacytoezichthouder. Eerst werd een wachtwoord van zes tekens, waaronder letters en cijfers, geaccepteerd. Nu moeten gebruikers een wachtwoord van ten minste acht tekens instellen, met minstens drie van de vier soorten tekens, waaronder kleine letters, hoofdletters, cijfers en speciale tekens. Ook moeten gebruikers na tien mislukte inlogpogingen via een captcha aantonen dat ze geen bot zijn.

De CNIL heeft daarnaast kritiek omtrent de spraakkanalen van Discord. Wanneer een gebruiker deelneemt aan het spraakkanaal en de Discord-app sluit via de 'X'-knop rechtsboven, zit deze nog steeds in het gesprek. Dat is omdat deze knop Discord niet standaard afsluit; in plaats daarvan blijft de app op de achtergrond draaien. De CNIL vindt dat Discord zijn gebruikers hier onvoldoende over informeert. Volgens de privacytoezichthouder leidde dit beleid er bijvoorbeeld toe dat Discord-gebruikers soms hoorbaar waren in gesprekken terwijl ze dachten dat ze het gesprek hadden verlaten. Het chatplatform heeft inmiddels een pop-up geïntroduceerd wanneer gebruikers voor het eerst de X-knop aanklikken en nog in een spraakkanaal zitten, waarin onder meer staat aangegeven dat gebruikers kunnen instellen dat deze knop Discord wél volledig afsluit.

Verder vond Discord dat het niet nodig was een om een gegevensbeschermingseffectbeoordeling uit te voeren, waarbij eventuele privacyrisico's in kaart worden gebracht. Daar was de CNIL het niet mee eens, vanwege de grote hoeveelheid gegevens die Discord verwerkt en bewaart en 'het feit dat veel minderjarigen gebruikmaken van de dienst'.

Door Loïs Franx

Redacteur

17-11-2022 • 16:19

49 Linkedin

Submitter: Frikandel

Reacties (49)

49
49
37
2
0
10
Wijzig sortering
Elke keer als ik een bericht als deze lees, vraag ik me weer af hoeveel deze boetes nou echt helpen. De regels zijn zo streng dat nieuwe services er nauwelijks aan kunnen voldoen terwijl de boetes voor de allergrootsten niet voldoende zijn om ze te forceren het beleid aan te passen. Zo worden de services met de grootste gebruikersaantallen verhoudingsgewijs nauwelijks gestraft terwijl de kleintjes proberen op te komen in een wereld stampvol ingewikkelde regelgeving.
Wat een onzin. GDPR implementeren bij ons kwam neer op:

- Privacy policy updaten (en updated houden)
- Toestemmingen vragen
- Door de datastores heenlopen (die in de EU staan) en een API maken waar je deze data kan verwijderen en/of kan ophalen voor inzage.
- Cronjob starten voor spul wat verjaard.
- Jaarlijks ff nadenken of je wat mist.
Jaarlijks? Dat hoor je bij elke change te doen waar je iets met gebruikersgegevens gaat doen.
of je wat mist
Natuurlijk denk je er bij ander / nieuw gebruik data ook over na.
Dat is bij ons wel anders. Ik hou me er zelf niet mee bezig, maar het bedrijf waar ik voor werk heeft drie mensen in dienst die zich er vrijwel voltijd mee bezig houden om aan alle privacy regelgeving te voldoen. Zonder in detail te treden bieden wij een vrij aparte service voor onze klanten waar eigenlijk niet heel veel persoonsgegevens mee gemoeid zijn, maar toch is dit één van de doodsteken geweest voor een net opkomende concurrent. Wij zijn groot genoeg om de kosten van drie extra voltijd krachten te kunnen dragen, maar een bedrijf met in totaal misschien 20 werknemers kan dat niet. Zeker gezien de experts op dit gebied nog behoorlijk schaars zijn en daardoor ook hoge salarissen vragen.
Wij zijn met 24 werknemers haha. Het blijft ondernemen.
Is het niet zo dat ze een dwangsom opgelegd krijgen? Het lijkt me niet dat ze door kunnen blijven gaan met overtreden.
Ik denk niet dat het hier om een dwangsom ging, maar om een effectief opgelegde boete voor gepleegde inbreuken; Het is dus niet zo dat de boete komt te vervallen als Discord verbeteringen gaat doorvoeren.
Discord is geen kleintje. Ze hadden drie miljoen inactieve franse accounts. De kleine worden niet actief gechecked meestal. Die komen met een hoop weg totdat ze groot worden of gehacked worden.
Discord is al 7.5 jaar actief, dus alle tijd gehad om de regelgeving van de gebieden waar je actief bent goed uit te zoeken. Daarnaast hebben ze 350 miljoen accounts (waarvan kennelijk een significant aandeel al jaren inactief is) en 150 miljoen actieve gebruikers per maand. Er zitten ook enorme investeerders achter, met bijna een miljard in investeringen over de afgelopen 10 jaar. In 2020 zette het $130 miljoen om en de waarde van het bedrijf werd geschat op $15 miljard. Ondertussen werken er over de hele wereld 600 mensen aan Discord.

Nope! In alle opzichten geen kleine speler meer...
In welk opzicht zijn de regels streng? De AVG is bedoeld om consumenten te beschermen omtrent hun eigen data, inmiddels zijn de meeste tools al GDPR-proof en heb je een assessment van misschien een week nodig voor een echt grote organisatie om te beoordelen of ze wel/niet compliant zijn (heb in mijn team drie legal advisors zitten die elk jaar een intern GDPR assessment uitvoeren).

[Reactie gewijzigd door Orangelights23 op 17 november 2022 19:29]

Ik heb het gevoel dat de boetes JUIST helpen: Discord heeft hun beleid aangepast, en inactieve accounts worden verwijderd. Top!

Verder was ik zelf lid van een studentenvereniging toen de AVG wetgeving inging. Met 2 man hebben we in 2 avonden de hele vereniging op dat moment AVG proof gekregen. Dus als je 2 niet afgestudeerde personeelsleden er een week aan laat zitten, zou je echt genoeg capaciteit moeten hebben om aan de basis van de AVG wetgeving te voldoen.
Lekker kort door de bocht is dit. Het feit dat jullie dit voor de ledenadministratie voor een vereniging zo gemakkelijk voor elkaar hebben gekregen, zegt absoluut niets over de benodigde inspanning voor een van de grootste digitale communicatieplatforms ter wereld met 100+ miljoen actieve gebruikers.
Ik geloof niet dat het opschonen van oude accounts of fatsoenlijk password standaard heel veel extra gaat kosten. Het is zelfs gratis als je een beetje professional inhuurt voor je ontwikkeling.

6 karakters... voor een PW, in 2022, ze zouden de tent gewoon moeten sluiten.
Strikte lezing van de AVG door de CNIL.

Nergens wordt vereist dat de verwerkingsverantwoordelijke bepaalde account na een bepaalde periode van inactiviteit moet verwijderen. Ik vind dit zelfs hinderlijk voor sommige diensten. Het verwijderen van een account, en dus persoonsgegevens, is ook een verwerkingsactiviteit waar een rechtsgrond voor nodig is. Ik vraag mij af op basis waarvan ze gegevens gaan verwijderen als je twee jaar niet inlogt? Toestemming? Neen, want toestemming moet actief zijn en dat betekent dat de gebruiker akkoord moet zijn met de verwijdering (terwijl hier de verwijdering automatisch gebeurt, lijk ik af te leiden uit de context). Gerechtvaardigd belang? Neen, want wat is het belang van Discord om die gegevens te verwijderen? Eventueel zouden ze kunnen stellen dat de verwijdering van gegevens noodzakelijk is om het contract tussen Discord en de gebruiker uit te voeren, maar dat vereist dan wellicht een aanpassing van de gebruiksvoorwaarden die stellen dat Discord de account zal verwijderen na twee jaar inactiviteit.

Je bent zelf verantwoordelijk om te weten welke accounts je hebt en om die actief te verwijderen als je die niet meer wenst. Het verwijderen moet gefaciliteerd worden, maar moet niet voor de gebruiker beslist worden.
Zoals in de uitleg van de toezichthouder valt te lezen is er wel degelijk een eis over opslag: persoonsgegevens mogen alleen opgeslagen worden zolang dat nodig is. Die noodzaak moet vooraf omschreven zijn, dat is een eis om persoonsgegevens te mogen verwerken. Het werd niet vooraf omschreven, dan is het redelijk dat daarop een boete kan volgen.

De boete lijkt niet te zijn omdat er gegevens van inactieve gebruikers 3 of 5 jaar nog opgeslagen werden. Die kenmerken lijken als voorbeeld te dienen dat door gebrek aan keuze maken de gegevens zomaar jaren lang opgeslagen werden.

Dat gebruikers volgens jou een verantwoordelijkheid hebben te weten welke accounts ze nog zouden hebben zorgt er niet voor dat een bedrijf geen eigen noodzaak hoeft toe te passen. Je kan als gebruiker namelijk prima navraag doen of je nog een account hebt zonder dat het account nog bestaat.
Veel partijen sturen je na enige tijd van inactieve tijd je een email dat je 21 maanden inactief bent en dat als je binnen 3 maanden niet inlogt op je account, deze automatisch verwijderd zal worden...

Het verwijderen van persoonsgegevens is volgens de AVG geen mutatie waarvoor je toestemming moet hebben van de klant...
@Niemand_Anders Veel partijen sturen je na enige tijd van inactieve tijd je een email dat je 21 maanden inactief bent en dat als je binnen 3 maanden niet inlogt op je account, deze automatisch verwijderd zal worden...
en wat als deze niet binnen de gestelde termijn van 3 maanden als nog geen gehoor geeft? mag ik als organisator, beheerder,partij dit account niet verwijderen?.
Nu weet ik wel dat documenten,contracten, verhuur en dergelijke minimaal 3 jaar digitaal aanwezig moeten zijn voor inzage, volgens de wet
Je bewaart de gegevens vanwege een dienst die je verleent aan jouw klant. Daardoor heb je het recht om alle noodzakelijke gegevens vast te leggen en ook die gegevens waarvan de klant toestemming verleent. Zodra jouw dienstverlening ophoud vervalt ook dat recht. Er is namelijk geen overeenkomst meer.

De wet echter kan bepaalde eisen stellen aan de opslag van gegevens over jouw huidige en afgelopen overeenkomsten. Wet gaat boven iedere overeenkomst en dus zul je die gegevens wel moeten bewaren.
Uiteraard alleen die gegevens die de wet vereist, de andere gegevens moeten wel verwijderd worden.

Digitale archivering van documenten, contracten en dergelijke vereist geen account van de ex-contractant. Het account zelf (login) mag dus wel verwijderd worden.
2) "verwerking": een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
https://www.privacy-regul...l-4-definities-EU-AVG.htm

Je hoeft inderdaard niet perse toestemming te hebben, maar je moet wel een rechtsgrondslag hebben.

[Reactie gewijzigd door JackDaniel op 17 november 2022 17:34]

Je draait de zaak om. Er moet een rechtsgrond/gerechtvaardig belang voor discord zijn om de gegevens te bewaren. Dat is, buiten de noodzakelijke toestemming, een actieve dienstverlening waarvoor de opslag van gegevens nodig is. Als er geen actieve dienstverlening is, heeft discord geen rechtsgrond en mag die gegevens niet (meer) opslaan.

Even afgezien van opslaan vanwege wettelijke eisen zijn er de volgende opties:

- Gerechtvaardig belang: opslag is toegestaan voor de noodzakelijke gegevens voor de dienstverlening en eventueel die gegevens waarvoor de eigenaar (gebruiker van de dienst) toestemming heeft verleend.
- Geen gerechtvaardig belang: (geen actieve dienstverlening): opslag van gegevens is niet toegestaan.

En als opslag van gegevens niet toegestaan is, zal je opgeslagen gegevens moeten verwijderen.
Beide zijn waar. Je moet een rechtsgrond hebben voor élke verwerkingsactiviteit. Dus niet alleen het bewaren (zoals je terecht zegt), maar ook het verwijderen. Je mag niet zomaar persoonsgegevens verwijderen. Je moet daar een grondslag voor hebben.

De rechtsgrond voor het bewaren van de persoonsgegevens zal hier niet het gerechtvaardigd belang zijn, maar wellicht het contract met de gebruiker (door het aanvaarden van de gebruiksvoorwaarden ontstaat een contractuele relatie). Zolang die contractuele relatie niet wordt beëindigd (door één van de partijen), zijn die persoonsgegevens dus nodig om de dienst te blijven verlenen. Met andere woorden, als de account wordt beëindigd door Discord (op basis van een bepaling in de gebruiksvoorwaarden over inactiviteit) dan valt die rechtsgrond weg.
Ik vindt het wel te kort door de bocht om te zeggen dat een EULA accepteren wettelijk grondslag is om gegevens te bewaren tot het oneindige tenzij de gebruiker iets aangeeft. Sowieso is een EULA in meerderheid van de gevallen niet een correct contract, omdat er te veel dingen instaan die niet geldig zijn.

Verder het langdurig niet gebruiken van een gratis service, lijkt me een duidelijk reden om te zeggen dat de gebruiker de service niet gebruikt. Waardoor bijna alle gerechtvaardigd belang, ongeldig wordt. Waarom heb je die gegevens nodig als de gebruiker geen gebruik maakt van je service?
Ik vindt het wel te kort door de bocht om te zeggen dat een EULA accepteren wettelijk grondslag is om gegevens te bewaren
Dat klopt, dit is niet één van de 6 gronden die in de GDPR genoemd worden. En dat is een complete opsomming van alle mogelijke redenen.
Ja, duh. De rechtsgrond voor het verwijderen van de gegevens is triviaal: namelijk de GDPR, die zegt dat je gegevens alleen mag bewaren als er een rechtsgrond is voor het bewaren.

En welke gegevens je moet bewaren voor een contract? Niet het hele account; alleen de identificatie om te bepalen met wie je een contract hebt. Aangezien het om een inactief account gaat, heb je geen grond om data te bewaren voor dienstverlening.
Inmiddels heeft het chatplatform wél een schriftelijk beleid voor gegevensbewaring geïntroduceerd, dat onder meer luidt dat inactieve accounts na twee jaar worden verwijderd.
Ik neem aan dat je hiermee akkoord gaat wanneer je een account aanmaakt. Overigens denk ik dat het best wel als gerechtvaardigd belang te beargumenteren is, maar dan aan de kant van Discord voor het bieden van een goede dienst. Het is immers niet realistisch dat Discord oneindig inactieve accounts opslaat.

[Reactie gewijzigd door JackDaniel op 17 november 2022 17:30]

"Nergens wordt vereist dat de verwerkingsverantwoordelijke bepaalde account na een bepaalde periode van inactiviteit moet verwijderen"

Kennelijk werden er persoonsgegevens die identificatie mogelijk maakten langer dan 'noodzakelijk' bewaard. Dit terwijl artikel 5, lid 1 sub e AVG stelt dat persoonsgegevens alleen mogen "worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is; persoonsgegevens mogen voor langere perioden worden opgeslagen voor zover de persoonsgegevens louter met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt [...] („opslagbeperking”);
Het zou mooi zijn als er bij zo'n boete ook een goed doel wordt afgesproken waar het boete bedrag naar toe gaat. Dan is het toch nog "nuttigs" geweest. De boete. Want meestal worden deze boetes ingecalculeerd in de bedrijfs / besluitsvorming.

Natuurlijk wel de bedoeling dat het bedrijf verbeteringen door gaat voeren om vervolg te voorkomen.
In sommige landen vloeien die boetes rechtstreeks naar de financiering van de toezichthoudende autoriteit (zoals in Spanje). Daar kan je je ook vragen bij stellen natuurlijk.
Dat is op zich ook logisch en gebeurt in verreweg de meeste landen. Een boete gaat doorgaans naar de eisende partij, in dit geval dus (indirect) de overheid of de autoriteit die toeziet op de GPDR-wetgeving.

Als iemand een schadevergoeding wil zal die een aparte procedure moeten starten tegen Discord (in dit geval).

Een boete en een schadevergoeding zijn 2 wezenlijk verschillende zaken.

@Oon @Remzi1993 ja, goed punt, heb het even uitgebreid :)

[Reactie gewijzigd door wildhagen op 17 november 2022 17:01]

Maar in bijvoorbeeld Nederland is de AP een losse partij die is aangewezen, en niet de overheid. Ook wel zo handig, want een toezichthouder kan weinig tegen een overheid waar ze onderdeel van zijn.

Op wereldwijd niveau is er weinig over te zeggen, maar in Nederland hebben we het wat dat betreft best netjes geregeld.
Nee, dit gebeurt maar bij een paar privacy toezichthouders, de Nederlandse wetgever heeft besloten om dit dus niet te doen om perverse prikkels te verkomen zodat het AP aangemoedigd wordt om zomaar rechtszaken te starten en de hoogste bedragen te eisen. De boete in NL gaat naar de Nederlandse overheid en komt in de algemene begroting terecht. AP krijgt dit niet automatisch toegekend.

Echter, ik vindt dat een deel van die boetes wel naar de AP moet gaan, want ze komen elk jaar tekort.
Je moet een onderscheid maken bij wie het geld terechtkomt. Zoals hierboven al gezegd, is dat meestal in de algemene begroting van de overheid, maar in sommige landen moeten de toezichthouders zelfbedruipend zijn (nl. boetes uitschrijven om middelen te hebben).
Even allemaal een maandje extra nitro kopen dus ;)
Want je sponsored graag bedrijven die de AVG regels overtreden? AVG regels die er zijn om ook jouw privacy te beschermen overigens.
AVG slaat er soms ook beetje in door [..] voorbeeldje; ieder jaar heeft docent tich nieuwe gezichten in de klas. Die maakt een soort vna presentielijst, overzichtje van de nieuwe studenten. Dat mag niet meer; portretrecht, lijstjes met NAW gegevens.

Prima gedachten, en goed punt dat de privacy van de burger wat centraler is komen te staan. Maar dit is soms ook beetje een zure appel wat 'normaal' werk belemmerd.

//edit; bron = 10jr in onderwijs gewerkt. precies situatie zoals @rob12424 die beschrijft

[Reactie gewijzigd door himlims_ op 17 november 2022 16:52]

Dat mag niet meer
Mag dat echt niet meer of is dat nu een aanname? Volgens heeft de docent in dit geval een gerechtvaardigd belang om deze gegevens op te schrijven. De leerlingen hebben ook waarschijnlijk wel toestemming gegeven, hun NAW gegevens zal de school sowieso namelijk al moeten verwerken.

Het portretrecht heeft er ook niet zoveel mee te maken omdat dat gaat over publicatie van portret, de docent gaat die lijst toch niet openbaar maken maar voor zichzelf gebruiken?

Waar het bij de AVG vooral om gaat is dat iedereen die gegevens verwerkt zich bewust is van de risico's daarvan en zoveel mogelijk doet om die gegevens te beschermen en echt alleen maar op te slaan/te verwerken wanneer dat echt nodig is. In jouw voorbeeld lijkt me dat prima gerechtvaardigd.

Wat ik in mijn werk wel heb gezien is dat DPO's soms een 'cover your ass' tactiek gebruiken en dus onterecht zeggen dat iets niet mag vanwege AVG.

Edit:

Na het lezen van de reacties en de edit. Ik snap het nu, vanwege AVG is de manier waarop je dit opschreef niet meer mogelijk. Ik snap wel waarom dit irritant kan zijn inderdaad.

[Reactie gewijzigd door Marthyn1990 op 17 november 2022 17:50]

Maar dat lijstje mag echter niet worden bewaard nadat het zijn functie gediend heeft. Eind van het schooljaar moet het dus worden versnipperd. Eigenlijk dus via de DPO/CDO in de organisatie. Briefjes met NAW/foto's mogen dus niet zomaar even de prullenbak in.

[Reactie gewijzigd door Memori op 17 november 2022 17:03]

Nee inderdaad niet de prullenbak in en dat is een prima zaak.
Hoeveel moeite is het om die prullenbak te vervangen door een papier versnipperaar van 50 euro die aan de DIN p4 norm voldoet?

Is die kleine aanpassing echt teveel moeite?
Bij mij op het werk gaat al het oud papier in afgesloten papierbakken die daarna de versnipperaar in gaan. Even wennen de eerste twee weken en daarna is het compleet vanzelfsprekend en is er niemand die er enige moeite mee heeft.
Dat mag nog wel degelijk. Je moet alleen toestemming hebben. 1 van het kind. En 2 gezien het kind vaak minderjarig is van de ouders.

En stel je krijgt van mensen geen toestemming dan kan dit als uitsluiting binnen een groep gezien worden. Oftewel je moet er dan als docent constant voor zorgen dat alleen jij kan zien wie er op staat. Dit zorgt voor veel rompslomp. En daarom wordt het vaak niet gedaan. Geen leidinggevende wil het op zijn/haar geweten hebben dat iemand dat papier op zijn/haar bureau heeft liggen en "even" naar het toilet moet ofzo.
Zou dit dan geen digitaal intern systeem kunnen zijn. zorgt ervoor dat er geen papier kan lekken?

En zou je met 'leerling nummers' kunnen werken. Ieder leerling krijgt een arbitrair nummer (wellicht gekoppeld aan het systeem, nuttig voor intern gebruik maar veilig als het lekt). Lekker onpersoonlijk om in de klas te roepen of leerling 42069 aanwezig is maar wel zo AVG vriendelijk.

klinkt i.i.g als een onhandige situatie.
Leuk. Maar pietje rechtsvoor in ga je niet nummer 1 noemen 😉

En als je Marian, Jelle en Klaas op papier heeft maar Peter of zijn ouders geweigerd hebben. En de leraar constant de naam van Peter niet weet. Dat kan niet want dan weet de groep dat Peter het niet wilde en is Peter mogelijk het pispaaltje van de klas. (Groepsdruk)
Waarom zou er toestemming nodig zijn? Dat is je laatste redmiddel, als de andere 5 gronden niet werken. Maar "noodzakelijk voor de dienstverlening" is een veel makkelijkere grond. Die kun je eenmalig aantonen, in plaats van per scholier de toestemming bij te houden.
AVG slaat er soms ook beetje in door [..] voorbeeldje; ieder jaar heeft docent tich nieuwe gezichten in de klas. Die maakt een soort vna presentielijst, overzichtje van de nieuwe studenten. Dat mag niet meer; portretrecht, lijstjes met NAW gegevens.
Het bijhouden van een presentielijst is niet verboden: het is zelfs wettelijk verplicht.
Een overzicht van nieuwe studenten dat de docent op zijn bureau heet liggen met foto's er bij zodat hij snel de gezichten leert kennen: geen probleem (zelfs als er een princes in je klas zit mag dat als docent, portretrecht gaat immers alleen over de distributie van foto's en dat gebeurd niet in dit geval).
Een presentielijst van iedereen die er in een klas zit met foto en al op internet gooien? Natuurlijk mag dat niet. De Engelse naam voor een dergelijke site is niet voor niets Facebook.
Klinkt mij vreemd in de oren, de school heeft toch een legitimate interest om die data te gebruiken / verwerken. Daarnaast zou opnemen dat data van scholier verwerkt / gebruikt word binnen de school en ouders hiervoor laten tekenen ook oplossing zijn.
Heb je hier ook een bron van?

AVG Houdt in dat een gegevens die noodzakelijk zijn voor het leveren van een dienst of product, gewoon gebruikt mogen worden mits ze goed beveiligd zijn. Extra gegevens die niet noodzakelijk zijn, zijn overtredingen van de wet.

Als een foto dus noodzakelijk is om succesvol les te kunnen geven, dan is er helemaal geen probleem mee.
Puur voor intern gebruik voor de leerkracht is dit wel mogelijk (in België toch). Als dit wordt verboden door de school op basis van de AVG, dan hebben ze het niet goed begrepen.
Als alles in deze wereld volgens regels zou gaan ziet de wereld er opeens een stuk anders uit, maar buiten dat om is een boete juist een middel om iets te laten veranderen, zoals Discord aangegeven heeft te zullen doen, ik heb in ieder geval niet het vermoeden dat Discord dit met kwade opzet gedaan heeft (zoals ik wel het idee heb met sommige andere platformen)

Discord werkt voor mij persoonlijk enorm fijn, of je nou wel of geen nitro koopt, toch ''sponser'' je door er een account bij te hebben, data binnen harken is waar redelijk bedrijven winst op maken, of het nou legaal is of niet, er is een verschil tussen opzettelijk en niet opzettelijk

Edit: neemt niet weg dat Discord hier eerder had op moeten letten, boete lijkt mij wel gewoon terecht

[Reactie gewijzigd door Daantje19 op 17 november 2022 17:06]

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee