European Data Protection Board streeft naar betere naleving AVG

De European Data Protection Board, bestaande uit privacytoezichthouders uit de EU, maakt zijn prioriteiten voor de komende jaren bekend. De EDPB wil onder meer streven naar een betere naleving van de AVG en de samenwerking tussen toezichthouders versterken.

Ook zegt de EDPB voor duidelijkheid te willen zorgen als het gaat om de verhouding tussen de AVG en andere wetten die de AVG raken, zoals de Digital Services Act en Digital Markets Act. De samenwerkende privacytoezichthouders willen bovendien de persoonsgegevens van EU-burgers buiten de EU beschermen.

Om de strategie voor 2024 tot 2027 uit te voeren, wil de EDPB praktische richtlijnen ontwikkeling om organisaties te helpen om de gegevensbeschermingswetgeving op de juiste manier toe te passen. Ook wil de EDPB de samenwerking binnen de Europese Unie versterken door gecoördineerde handhavingsacties te ontwikkelen. De EDPB zegt daarnaast dat er extra aandacht uitgaat naar de uitdagingen die AI met zich meebrengt.

Door Sabine Schults

Redacteur

22-04-2024 • 20:53

38

Submitter: wildhagen

Reacties (38)

38
38
21
0
0
13
Wijzig sortering
Naleving komt alleen als er A) een reële kans is om 'gepakt' te worden en B ) de boete hoog genoeg is. Het is het zelfde als bellen op de fiets. Een (in mijn optiek) grote zwakte is de verplichting eerst bij de winkel/het platform een klacht in te dienen. Platformen mogen weken de tijd nemen om op zo'n klacht te reageren - je zult dus een termijn moeten wachten. Áls dat niet het gewenste resultaat geeft (verrassing! :o), dán moet iemand alles (nog een keer) documenteren én naar het AP gaan (wat onderbezet is) en daar weer wachten :z.

Één centraal Europees punt waar ieder EU burger elke website kan rapporteren, klaar uit. Als we een overtreding van de GDPR gaan handhaven voor wat het is (namelijk een wetsovertreding i.p.v. slechte dienstverlening), dan zie ik wel een betere toekomst. Maar zo lang er wordt geschermd met paarse krokodillen haken de meeste melders af.

[Reactie gewijzigd door 5pë©ïàál_Tèkén op 28 juli 2024 20:45]

IDD. en ook een veel gemakkelijker formulier waarbij je exact kan invullen wat toepasselijk is op JOU situatie

vooral met internationale bedrijven/platforms, die de regels overtreden in meerdere landen behalve hetgene waar de burger woonachtig is zou ook moeten.

waarbij er dus gelijk vanuit elke member van de EDPB een verzoek tot oplossing gedaan kan worden [indien toepasselijk].
Het vervolgen van bedrijven die de regels overtreden is voor de burger helaas te duur en te omslachtig. het aanspannen van een collectief proces zou eenvoudiger moeten gemaakt worden en belangenorganisaties zoals Test Aankoop zouden dat moeten beginnen doen voor oa. ook online dienstverleners.

Ik ben al lid bij noyb maar er mogen gerust meer zulke organisaties komen.

In 2016 bijvoorbeeld werd Telenet op de vingers getikt voor hun privacy-schendende éénzijdig doorgevoerde wijzigingen in hun contract. Ik had graag gezien dat het eenvoudig was om Telenet en haar zaakvoerder hiervoor collectief aan te klagen. Zodat we de zaakvoerder en/of het directielid dat deze beslissingen nam een schadevergoeding aan alle Telenet klanten hadden kunnen laten betalen.

Natuurlijk was het wel goed dat onze privacycommissie toen heeft opgetreden. Maar er was reeds schade veroorzaakt. Die is volgens mij bij niemand vergoed geweest.
Bor Coördinator Frontpage Admins / FP Powermod @5pë©ïàál_Tèkén23 april 2024 07:49
Één centraal Europees punt waar ieder EU burger elke website kan rapporteren, klaar uit.
Dit levert toch alleen nog maar veel en veel meer werk op? Je geeft zelf al aan dat er onderbezetting is. Een meldingsdrempel mits niet te hoog is zo slecht nog niet wanneer dit er voor zorgt dat er in ieder geval goed voorwerk is gedaan. Veelal kom je er met de andere partij wel uit. Wanneer iedereen zo maar alles kan melden zorgt dat voor veel meer belasting, onzin onderzoekjes want er komen meer onzin meldingen bij etc.

Je verergert het probleem waarschijnlijk i.p.v. dat je het oplost.
Een meldingsdrempel mits niet te hoog is zo slecht nog niet wanneer dit er voor zorgt dat er in ieder geval goed voorwerk is gedaan.
Ik doe regelmatig een melding over overtredingen bij de AP, en merk dat er bij een goed onderbouwde klacht met gedetailleerde beschrijving van de overtreden wetten veel sneller actie wordt ondernomen. Logisch, want zo kost het natuurlijk minder tijd voor de medewerkers. Als iedereen dat nou gaat doen, zal de drukte enorm afnemen
Anderzijds kan je natuurlijk niet verwachten van (alle) benadeelden dat zij in detail kunnen uitleggen welke wetsgronden er zijn overtreden. Dat doen we bij aangiftes als immers ook niet.
Het is het zelfde als bellen op de fiets.
Ik wou dat het was zoals bellen op de fiets. Sinds het niet meer mag zie je echt stukken minder mensen de telefoon vast houden en kom je scholieren tegen met een telefoon houder op de fiets. Het is nog zeker nog niet laag genoeg, maar het is flink afgenomen.
Ik merkte de afgelopen jaren dat er verschillen zijn tussen de lidstaten van de EU. Dat m.a.w. de privacytoezichthouder van het ene land minder strict is dan het andere land. Bijvoorbeeld wat betreft handhaving.

Dat leidt vast tot een ongelijk speelveld en uiteindelijk tot een race to the bottom tussen landen: om ter minste privacy handhaving voor om ter meeste winst. Dat is niet gewenst. Gewenst is om ter meeste privacy handhaving voor om ter meeste winst voor de bedrijven die de wet keurig volgen. Dat gaat dan ten koste van om ter hoogste gevangenisstraffen voor bedrijfsleiders en de minste winst want-en de hoogste gruwelijkste boetes voor de bedrijven die dat niet doen.

Want van zelf leerde de markt het de afgelopen jaren helemaal niet. Nochtans was er een ware overvloed van kansen om het wel juist te doen. Dat deed de markt echter hardnekkig niet. Zelfs niet wanneer de winsten walgelijk groot werden, was het nooit genoeg en ging privacy volledig voor de bijl.

Bedrijfsleiders moeten ernstig (persoonlijk) gestraft worden en ze moeten het écht voelen dat het enorm serieus te nemen is opdat de markt zich zal herstellen van een totaal scheefgetrokken situatie waar de cowboys het voor het zeggen hadden (en hier en daar nog steeds hebben).

Wie geen winst kan maken zonder de wet te overtreden, heeft gewoon geen businessmodel en hoort hier in de EU helemaal geen zaken te doen. Blijf maar weg dan.

Dura lex, sed lex
Ik merkte de afgelopen jaren dat er verschillen zijn tussen de lidstaten van de EU. Dat m.a.w. de privacytoezichthouder van het ene land minder strict is dan het andere land. Bijvoorbeeld wat betreft handhaving.

Dat leidt vast tot een ongelijk speelveld en uiteindelijk tot een race to the bottom tussen landen: om ter minste privacy handhaving voor om ter meeste winst.
Dat zie je natuurlijk op veel gebieden zo. Waarom denk je dat alle grote techbedrijven in Ireland zitten? Zal vast niet zijn omdat het daar zo lekker zonnig en warm weer is het hele jaar door.
Dat is vooral vanwege het belastingklimaat. Als bijkomend voordeel lijkt het te zijn dat Ierland daardoor ook wat soepeler toezicht heeft om de kip met de gouden eieren niet teveel tot last te zijn (zo heeft ieder land wat, Nederland laat de agrarische sector de meest vreselijke dingen doen, Duitsland de autoindustrie etc.). Maar, ik denk dat dat soepeler toezicht er is als gevolg van de vestiging van de techsector, niet als oorzaak.

Het zou theoretisch kunnen zijn dat bedrijven "shoppen" voor EU lidstaten met de soepelste GDPR implementatie maar ik denk dat het verschil (dat er wel zal zijn) niet groot genoeg zal zijn voor een bedrijf om dat als voornaamste criterium voor vestiging te hebben. Bovendien, en dat zie je nu voorzichtig gebeuren met Ierland, als het té bont wordt en de toezichthouder echt te laks is, dat het toezicht naar een centraal niveau getrokken wordt. En dan zit je met je bedrijf in, pak-'m-beet, Slovenië, omdat die nét wat soepeler leken.
Bovendien maken deze verschillen het niet alleen moeilijk(er) voor bestaande grootheden zoals Meta, Google, Amazon en anderen, met misplaatst vertrouwen en verwachting, maar is het helemaal vernietigend voor de motivatie om een eigen Europese concurrent "done right" te ontwikkelen.

Het zou niet misstaan om meer als éénheid te functioneren.

[Reactie gewijzigd door Verwijderd op 28 juli 2024 20:45]

Het omgekeerde is ook een punt van aandacht: ik kom regelmatig situaties tegen waarin de AVG als volkomen doorgeschoten moet worden beschouwd. Het meest in het oog springend was wel de weigering van een ziekenhuis om nieuw binnengekomen onderzoeksgegevens van mijn partner met mij te delen.

Nu wonen we nog maar ruim twintig jaar samen hoor... Dan kán het natuurlijk zijn dat we nog niet helemaal als volwaardige partners worden beschouwd. :+
Lijkt mij helemaal niet doorgeschoten. Je partner heeft toch altijd eerst toestemming te geven? Ook al woon je er heel je leven mee samen, ben je gehuwd, en wat dan ook. Ik zou dat ook niet wenselijk vinden. Ook al woon ik al 80 jaar samen met iemand. Dat blijven mijn medische gegevens.

Moest het ziekenhuis na de toestemming van je partner dat nog steeds weigeren, ja dat is misschien doorgeschoten. Maar tenzij er sprake is van bv. een coma of dementie neem ik aan dat je partner het ook zelf met je kan delen?
Als jij na zo lang samenleven vindt dat je medische gegevens geheim moeten blijven voor je partner, vrees ik dat je een groter probleem hebt dan de AVG ooit kan worden...
Ik ben 40 jaar getrouwd, en ja, ik deel mijn medische gegevens met mijn vrouw (en zij de hare met mij), gewoon omdat we bij elkaar horen en omdat het handig is van elkaar te weten wat je mankeert. Maar los daarvan, ook buiten dementie en coma zijn er zorgwekkende situaties waarin een arts haar dingen veel beter uit kan leggen dan ik dat zelf op dat moment kan, als ik het dan al zou kunnen proberen, als ik daar al de energie voor zou hebben. Dan wil ik niet dat de AVG daar een beperkende factor in is.
Prima. Maar in jullie geval geven jij en je partner elkaar toestemming voor het inzien van elkaars medische gegevens. Van zodra jullie arts dat weet en correct registreert is alles toch in orde?
Behalve dan dat dat weer administratieve handelingen van mijn arts vraagt, terwijl die het al druk genoeg heeft.
Natuurlijk moet zoiets geregistreerd staan. En nu niet om moeilijk te doen, maar dit is veel ouder dan de GDPR. Dit valt gewoon onder het medisch beroepsgeheim.

Stel je even voor dat je partner naar de psycholoog gaat, en daar in vol vertrouwen ook de problemen deelt die je partner met jouw heeft. Waarom zou jij dan automatisch het recht moeten hebben op die informatie?

Zelfs in een goed huwelijk bestaan er geheimen voor elkaar en blijft ieder recht hebben op privacy.
Ja, klopt! Dan heb je zeker een probleem in de relatie. De realiteit is dat er helaas mensen vast zitten in deze situatie en deze bescherming van de AVG nodig hebben om niet NOG meer macht te geven aan de mishandelende partij. Het is jammer dat jij hinder ondervindt van deze regelgeving, maar dit wil niet zeggen dat de AVG doorgeschoten is. Als ik op weg naar mijn werk moet stoppen voor een rood licht is dat ook vervelend, maar dat wil nog niet zeggen dat verkeerslichten een doorgeschoten maatregel zijn.
Eens, en het gaat nog veel verder dan dat. Als je de AVG strikt toepast, moeten leerkrachten op schoolfeestjes alle mobieltjes in beslag nemen om te voorkomen dat er filmpjes op insta/tiktok geplaatst worden. Voor elke gelegenheid moet de school apart toestemming aan de ouders vragen of hun kinderen op de foto mogen, een algehele instemming per schooljaar is niet voldoende.
Als je wilt dat regels nageleefd worden, moeten ze wel uitvoerbaar zijn.
Ze draaien er omheen. Een verbod op computers met een meegeleverd OS die zich meer permissies toe-eigent dan de eignaar van het toestel zou een goed begin zijn. Dat is waar alles mis gaat. Van privacy-verlies tot desinformatie tot fraude.

Kan maar zo dat je gegevens gelekt zijn of je toestel is gehackt. Helaas zijn alle facilteiten die het constateren daarvan mogelijk maken onklaar gemaakt voor de eindgebruiker. Computersystemen hadden dat al een jaartje of 30...

[Reactie gewijzigd door blorf op 28 juli 2024 20:45]

Al woon je 1.000 jaar samen, zolang jouw partner niet expliciet aangeeft dat jij inzage mag hebben is het zelfs strafbaar om die gegevens met jou te delen.

Denken dat je overal maar recht op hebt omdat je met elkaar het bed deelt...
En dat is juist het punt: inmiddels vier keer expliciet aangegeven dat delen van gegevens over en weer geen probleem is, toch weer de reactie 'dat het niet mag van de AVG'. Dat roept bij mij tóch het vermoeden op dat men óf de wet niet kent óf gewoon te beroerd is om een check uit te voeren. Dan schiet de bedoeling van die AVG wat mij betreft tóch een beetje door.

Hoef je niet met me eens te zijn. Kan ik prima mee leven hoor... ;)
En je had niet het gevoel dat zulke essentiële informatie van belang was voor je posting?

Tevens heeft ze specifiek dit instituut toestemming gegeven om de gegevens te delen? (Anders helpt het nog niet)

[Reactie gewijzigd door Groningerkoek op 28 juli 2024 20:45]

Expliciet, m.a.w: volgens de procedures die daar voor staan.
Wat heeft de avg ons nu gebracht?

Het mooie nobele streven om de macht van Facebook en Google een beetje aan banden te liggen is totaal mislukt. Want blijkbaar is onbeperkt data graaien omdat dat je verdienmodel is een geldige reden.

Maar we hebben wel mooie klassenfoto s waar maar 3 van de 30 leerlingen op staan want er moet daar wel expliciet toestemming voor gevraagd worden aan de ouders.
Er is genoeg bereikt, al is het maar alleen bewustwording bij veel partijen en anders omgaan met data, verantwoordelijkheid nemen bij datalekken en mensen daarover informeren. Ik vind dat een waardevolle en goede ontwikkeling. Er moet misschien nog meer bereikt worden, bijv. op de plekken die je noemt zoals bij big tech. Dat dingen niet ineens perfect gaan hou je altijd, maar betekent niet dat je alleen de extremen moet nemen en zeggen dat het totaal mislukt is.

Dat van zulke klassenfoto's vraag ik me nog eerder af wat hier dan misgaat. Misschien heeft school/fotograaf niet op tijd gevraagd of erbij gezegd waarom het wordt gevraagd of zijn ouders laks in het antwoorden. Als men dan niet op tijd een antwoord binnen heeft wordt het preventief wazig gemaakt. Vind ik eerlijk gezegd ook wel blijk van verantwoordelijkheid bij geen antwoord of een duidelijke nee. Waarom vind jij het zo erg dat die kinderen er niet op staan? Of zou hier een opt-out een betere manier zijn dan een opt-in?
Opt out mag dus niet want avg.
Weet niet waar dit vandaan komt, bij ons gewoon van alle afgelopen jaren prima klassenfoto's. Als je er bij de groepsfoto niet op wilt dan eigen keus, dan krijg je enkel de eigen foto als portret. Is toch vrij simpel?
Ja terecht punt dat leek mij ook. Ik was enkel benieuwd hoe @jorisvergeerTBA het dan wel graag zou zien. Ik heb dit overigens ook nog niet eerder als probleem gehoord, maar ik ben N=1.
Nou ja. Hoe ik de samenleving graag zie is gewoon op basis dat je je buren kan vertrouwen.

Waarbij de burger beschermd wordt tegen de macht van de aller machtigste en rijkste (bedrijven en personen). En dat je lokaal gewoon alles met een beetje gezond verstand kan doen. En als er onenigheid is, dat daarover gepraat kan worden zonder overal een regel voor te maken.

Dus dingen als avg. Daar moet wat mij betreft een gradatie in machtsverhoudingen in zitten. Ben je machtig, dan mag je minder, of heb je meer regels. En dan moeten die regels je ook daadwerkelijk beperken en moet dat niet betekenen dat je met een duurder legal team en een 10 paginas langer algemene voorwaarden alsnog kan blijven doen wat je al deed.

De algemene voorwaarden van Facebook en andere zijn gewoon:
- alles wat jij post word van ons
- wij maken een zo gedetailleerd mogelijk profiel van jou en je gedrag
- jouw profiel word gebruikt voor getargete advertenties en berichten

Iedereen weet dat maar zolang het niet zo duidelijk beschreven staat op iets waar je akkoord mee gaat, kan je nog een soort van je hoofd in het zand houden. En dat weten ze.
Er is een interessante rechtzaak tussen australië gov eSafety en twitter..
eSafety wilde dat enkele tweet's verwijderd werden..twitter geolocked de tweet's zodat niemand in australië het zag.
source : https://www.heise.de/news...-zu-loeschen-9693305.html

er ook die yt..ahh hak5 melde het 60% van de top1000 meest gezochte sites, houd zich niet aan de ´cookie' wet van de EU.

kreeg een bericht van google..aub geef aan hoe oud je bent..zo niet kan je account..
en mijn 90y oude tante belde..mijn laptop werkt niet meer.
Dus er heen..starte normaal op, zegt ze klik op F logo (facebook)
vele popups..allow cookies/new laws/do you wish to pay/en nog iets..goed werk EU
precies waar mensen op te wachten staan..more nag screens

[Reactie gewijzigd door Mitchell4you. op 28 juli 2024 20:45]

Alleen zijn de vele mag screens niet de schuld van de wetgeving maar een bewuste keuze van de site eigenaars immense ontevreden te maken. En aan jouw reactie te zien werkt dat.

Zo spijtig dat pogingen om onze privacy beter te beschermen zo wordt afgebrand door mensen. Alsof het normaal is dat we geen privacy zouden mogen hebben.
Nee.. de EU streeft naar een intra-internet (zoals china)
Als een website niet voldoet aan de wetgeving, krijgt men een boete..de site geoblock het land of andersome (dns block)

Iemand verzint een wet..en iedereen moet maar mee doen?
bijv een site heeft een eindeloos scrollen..iemand zegt dat leidt tot verslaving hup verboden. of autoplay
Het gaat niet lang duren of sociale media apps krijgen een tijdslimiet..
of je moet een kopie van je id tonen om een sociale media account te openen/hebben

Een democratie bij woord, maar niet bij daad
Grootste probleem is dat ze te weinig geld hebben. Vraag me soms af of dit niet bewust gedaan wordt door invloed van lobies.
Een goede methode zou zijn als deze organisaties een deel van het geld mogen houden bij boeted. Zo worden ze agressiever en krijgen meer geld.
De bedoeling van beboeten is niet om bepaalde organisaties rijker te maken, maar wel om de partij die in de fout is gegaan en om de partij die in de fout denkt te willen gaan op andere gedachten te zetten.

Er zijn andere methodes om privacytoezichthouders te motiveren: betere wetgeving, salarisbonussen, meer middelen toekennen, meer zichtbaarheid in de media en de burger meer informeren van het belang van privacytoezichthouders, en zo verder. Eigenlijk een beetje hetzelfde als verkeerspolitie dus.
Mijn gevoel is dat iedereen nog steeds allerlei data (ook teveel) verzamelt, vasthoudt en doodleuk gebruikt voor mailings. Met het idee 'altijd leuk om te hebben'.
Alleen als je iets wilt dat volkomen legitiem is, springt iedereen ineens in de privacykramp.
Dus is er stricte handhaving nodig. Stricte handhaving wil niet zeggen dat zij die legitiem en correct omspringen met de gegevens beboet worden. Ze krijgen gewoon heel af en toe eens een controle en enkele opmerkingen.

Wat het wel betekent is dat wanneer de privacytoezichthouder opzet en kwaadwilligheid vaststelt en-of wanneer er na meerdere waarschuwingen geen verbeteringen zijn: dan gevangenisstraffen, monsterboetes, opgelegde sluiting van de zaak, en zo verder.

Dat de school of de dokter eens een foutje maakt hoeft zelfs niet tot boetes leiden. Maar als er een bedrijf is dat een miljoen foutjes maakt en na waarschuwing blijft miljoenen foutjes maken en winsten schept door het maken van foutjes: gevangenisstraf voor de zaakvoerder.

Eigenlijk helemaal niet zo moeilijk hoor.
Nou eigenlijk meer mindset.
Als je persoonsgegevens vraagt: Paniek.
Maar bij het teveel verzamelen, te lang bewaren en zonder toestemming hergebruiken voor andere doelen: Geen enkele rem.

Ik merk dat individuele mensen op de werkvloer vaak 'privacy' roepen, terwijl het dan gaat om gegevens die je gewoon nodig hebt om je werk te doen, en dat mag expliciet nadrukkelijk van de AVG.
Maar het zijn NAW gegevens DUS schiet de leek in de kramp.

En tegelijk staat er een reusachtige database met van alles en nog wat en dat is hartstikke goed want dat is zo handig.
Bijvoorbeeld een website die je geboortedatum vraagt als je een bestelling wilt doen.
Of een site die je gegevens nodig heeft voor één bestelling, maar een jaar later blijkt alles nog te weten.
Of een deelnemerslijst van een evenement van een paar jaar oud die nooit is weggegooid.

Op dit item kan niet meer gereageerd worden.