Autoriteit Persoonsgegevens heeft moeite met AVG-boetes buiten de EU innen

De Nederlandse privacytoezichthouder Autoriteit Persoonsgegevens kan boetes die gegeven worden aan organisaties buiten de Europese Unie nauwelijks innen. Dat blijkt uit onderzoek dat in opdracht van de AP is uitgevoerd.

De AP deelt zo nu en dan boetes uit aan bedrijven die wel in Nederland actief zijn, maar hier niet zijn gevestigd. Uit het onderzoek blijkt echter dat er voor de AP 'weinig tot geen mogelijkheden zijn' om die besluiten ook te handhaven buiten de Europese Economische Ruimte. Zolang daarover geen internationale verdragen zijn, zijn er vrijwel geen juridische instrumenten om deze bedrijven te dwingen om boetes te betalen. Rechters in landen als de VS zijn bovendien vaak niet bereid om boetes van buitenlandse toezichthouders te erkennen en af te dwingen, zegt het onderzoek.

Dit was bijvoorbeeld een probleem bij een boete die werd opgelegd aan LocateFamily. Dat bedrijf kreeg in december 2020 een boete van 525.000 euro omdat het geen vertegenwoordiger heeft in de EU, maar die werd nooit betaald. Het bedrijf heeft niet gereageerd op contactpogingen van de AP en het is onduidelijk waar het bedrijf gevestigd is. "Dat is het probleem met een bedrijf dat geen vertegenwoordiger heeft in de Europese Economische Ruimte: daar kunnen Europese toezichthouders niet zomaar aankloppen", zei de AP afgelopen augustus. Dat dossier is inmiddels gesloten.

De resultaten van het onderzoek zijn binnen de AP besproken. Daarop is besloten dat er een brief naar de Tweede Kamer wordt verzonden, waarin de wel aanwezige mogelijkheden benoemd worden, maar ook 'wordt onderstreept dat deze momenteel onvoldoende zijn'. Verder wordt in de brief aangegeven waar de overheid op dit gebied kan helpen. Voor zover bekend doet de AP echter geen pogingen om andere manieren te vinden om boetes buiten de Europese Unie te innen.

Door Eveline Meijer

Nieuwsredacteur

Feedback • 05-12-2024 10:29
68 • submitter: wildhagen

05-12-2024 • 10:29

68

Submitter: wildhagen

Lees meer

NL geeft relatief veel uit aan privacy

23 dec 2024

NL geeft relatief veel uit aan privacy

Maar AP deelt niet de meeste boetes uit

87
AP verlaagt Kruidvat-boete voor trackingcookies van 600.000 naar 50.000 euro
AP verlaagt Kruidvat-boete voor trackingcookies van 600.000 naar 50.000 euro Nieuws van 13 juni 2025
RTL Nieuws: onschuldige mensen blijven structureel in databank van politie staan
RTL Nieuws: onschuldige mensen blijven structureel in databank van politie staan Nieuws van 30 december 2024
AP geeft Netflix 4,75 miljoen euro AVG-boete voor slecht privacybeleid
AP geeft Netflix 4,75 miljoen euro AVG-boete voor slecht privacybeleid Nieuws van 18 december 2024
AP is kritisch op wetsvoorstel over delen van hypotheekgegevens met DNB
AP is kritisch op wetsvoorstel over delen van hypotheekgegevens met DNB Nieuws van 12 december 2024
Autoriteit Persoonsgegevens: aantal datalekmeldingen daalt licht
Autoriteit Persoonsgegevens: aantal datalekmeldingen daalt licht Nieuws van 11 december 2024
Autoriteit Persoonsgegevens-nieuwsbrieven hadden 'onbedoeld' een trackingpixel
Autoriteit Persoonsgegevens-nieuwsbrieven hadden 'onbedoeld' een trackingpixel Nieuws van 10 december 2024
Nederlandse gegevensuitwisselingswet WGS treedt op 1 maart 2025 in werking
Nederlandse gegevensuitwisselingswet WGS treedt op 1 maart 2025 in werking Nieuws van 4 december 2024
Cameradatabase Nederlandse politie bevat 338.000 camera's op 74.000 locaties
Cameradatabase Nederlandse politie bevat 338.000 camera's op 74.000 locaties Nieuws van 4 december 2024
Belgische GBA: bedrijf dat gegevens ID-kaarten verzamelt voldoet niet aan AVG
Belgische GBA: bedrijf dat gegevens ID-kaarten verzamelt voldoet niet aan AVG Nieuws van 28 november 2024
AP waarschuwt voor 'function creep' bij geplande centrale taxirittendatabase
AP waarschuwt voor 'function creep' bij geplande centrale taxirittendatabase Nieuws van 28 november 2024
College voor mensenrechten en AP worden toezichthouder voor AI-verordening
College voor mensenrechten en AP worden toezichthouder voor AI-verordening Nieuws van 20 november 2024
Gemeente Eindhoven doet uit voorzorg melding van ZwemApp-datalek bij AP
Gemeente Eindhoven doet uit voorzorg melding van ZwemApp-datalek bij AP Nieuws van 18 november 2024
Meer producten en artikelen
Politiek en recht Privacy Autoriteit Persoonsgegevens Boete

Reacties (68)

-Moderatie-faq
68
67
42
7
0
24
Wijzig sortering

Sorteer op:

Weergave:
moonlander 5 december 2024 10:34
domein blokkeren, opheffen kan doormiddel van boete betalen?
i7x @moonlander5 december 2024 10:52
Zullen doorgaans gewoon in het buitenland gevestigde bedrijven zijn, met een in het buitenland geregistreerd domein, bij een buitenlands hostingbedrijf. De EU vind blijkbaar dat zodra iemand uit de EU een dienst afneemt bij een buitenlands bedrijf, dat bedrijf hier zou opereren en ook maar moet gaan voldoen aan onze wetgeving, maar het omgekeerde is waar; de EU klant opereert in het buitenland, en die bedrijven houden zich gewoon aan de wetgeving van waar ze onder vallen, bijvoorbeeld van de VS. En oh, wat een verassing, Amerikaanse rechters willen niet voor de EU, Europese boetes gaan afdwingen waar ze verder niets mee van doen hebben. Dit was echt al lang van tevoren precies zo voorspeld, maar desondanks dacht men zich wel autoriteit over vreemde overheden toe te kunnen eigenen.

Stel eens dat je wat verkoopt aan iemand in Iran, en de Iraanse overheid je wel even boetes denkt op te kunnen leggen want het voldoet allemaal niet aan hun regeltjes. En of de EU dat ook maar even voor ze gaat regelen aub. Mag toch hopen dat een Europese rechter zich weinig gaat aantrekken van wat voor wetgeving ze in Iran hebben bedacht--maar desondanks verwacht met wel het omgekeerde. En zou ook wat zijn als ze dan wel even denken je domeinnaam te kunnen overnemen...

Omgekeerde wereld wat mij betreft. EU heeft weinig te zeggen over aan wie Amerikanen hun spul mogen verkopen en wetten op te leggen, hebben ze gewoon hun eigen overheid voor. Andersom net zo goed.

[Reactie gewijzigd door i7x op 5 december 2024 11:50]

RJG-223 @i7x5 december 2024 12:43
De EU vind blijkbaar dat zodra iemand uit de EU een dienst afneemt bij een buitenlands bedrijf, dat bedrijf hier zou opereren en ook maar moet gaan voldoen aan onze wetgeving
Volgens mij klopt dat niet. Helaas kan ik de betreffende regels/wet(ten) niet vinden.

De EU vindt (terecht) dat een buitenlands bedrijf dat zich richt op EU-burgers - dat zijn produkten en/of diensten expliciet richt op, of aanbiedt aan EU-burgers, zich aan de europese regels moet houden. En dat is redelijk, want dan is het het bedrijf dat de grens over gaat (naar de EU). Anders zullen allerlei bedrijven die graag in de EU zaken willen doen, zich toch elders vestigen, en zo de regels omzeilen. Dat is niet de bedoeling.

Dat betekent niet dat elk bedrijf in de wereld waar een EU-burger iets koopt aan de EU-regels moet voldoen. Een Amerikaans, of Iraans bedrijf, dat zich bijv. alleen richt op de eigen bevolking, enkel een website heeft in de lokale taal, etc. richt zich duidelijk niet op EU-burgers. Als ze echter bijvoorbeeld een nederlandstalige website hebben, en een duitse, etc. dan gaan zij de grens over, en richten ze zich op de EU. En zo zullen er nog een aantal criteria zijn.

Verder gaat het niet om of je regels op kunt leggen, maar of je ze kunt handhaven. Als je ze kunt handhaven dan kan iedereen zeuren, maar dan gelden die regels gewoon. Zo moeten niet-EU handelsplatforms (bijv. amazon, aliexpress, etc.) voor transacties met EU-burgers, BTW inhouden. Ook als ze niet in de EU gevestigd zijn. En mensen met amerikaans paspoort kunnen in de EU bijvoorbeeld moeite hebben met gebruik maken van sommige financiële diensten, omdat amerika afdwingt dat niet-US financiële instellingen zich wat betreft amerikanen, zelfs amerikanen die nog nooit in amerika geweest zijn, toch aan sommige amerikaanse regels houden, en daar heeft niet elk EU-bedrijf zin in. Dus dan doen die bedrijven geen zaken met 'US-persons'.

Wij kunnen onze regels handhaven, door bijvoorbeeld de websites te blokkeren van niet-EU bedrijven die zich niet aan de regels houden. Als die dat niet willen, omdat ze leuk geld verdienen in de EU, dan is daarmee aangetoond dat ze zich op EU-burgers richten, en dan moeten ze zich aan de regels houden. Als het blokkeren van de website ze niet uitmaakt, dan is er ook geen probleem meer.

En ja, als een EU-burger dan via een VPN of zo toch zaken doet met dat bedrijf, ja dán is het die EU-burger die over de grens gaat en niet andersom. En dan gelden de EU-regels sowieso niet.
witstert @RJG-2235 december 2024 20:34
The Netherlands, & EU, have jurisdiction when physical products enter their borders to ensure that such products equate to similar products produced within the EU/Netherlands asto quality and pricing and safety. A concept the English/British/UKish as their products surpass the desirability and quality of all other similar products produced elsewhere. What else could ensure the success of "Dog's' Breakfast aka Brexit?
However, the internet has shot that idea to pieces when it comes to virtual products. Therefore, what makes the AP think it is so all powerful?
RJG-223 @witstert5 december 2024 23:12
Anyone can make rules. The rules that apply, are those that their makers are able to enforce.

NL and the EU can, and do make lots of rules. And the EU, and by extension NL in cooperation with other EU states, has considerable power which enables it to enforce the rules of its choosing. Power that much smaller economies or countries do not have. In this case, it just needs to wield that power. And personally, I trust it will.
Therefore, what makes the AP think it is so all powerful?
The AP does not think it is powerful. It just wants to do its job. The job it has been tasked to do by the dutch government. Unfortunately the AP lacks the power it needs in this case. That's what it's complaining about. It's been given a job to do, without also having been given the necessary tools to actually do the job. So, now it's up to NL and/or EU to make the appropriate provisions in law to allow AP to enforce the rules that it must.

And IMO the internet has not shot to pieces any idea. It is just that rules and regulations are lagging behind, as they usually are, and are still being tuned to fit this new and evolving technology. Many laws have already been made, and many more will be made, and the EU, and NL will eventually be able to enforce this rule, as well as many others, making the internet/virtual marketplace similarly regulated as the physical marketplace. Don't you worry :-)

Possible ways to enforce such rules: IP address blocking, DNS blocking, sanctions against (foreign) hosting and cloud providers that do not cooperate, bilateral agreements with other countries, and probably more...
witstert @RJG-2237 december 2024 03:21
I do not disagree. However, those rules are applicable within the borders of the countries that make up the whole of the EU and are not enforcable to entities without the borders of the countries within the boundaries of the EU. Of course if any country, which is a member of the EU has not adopted a rule of the EU then enforcement of unadopted rules is not possible. If the "EU"'s rules were dictats then the "governments" of the individual would be powerless and the EU would be a dictatorship.

I do disagree, the internet has made it possible to purchase anything that is sourced from without the destination country of the purchaser.

Pre the internet it was not easy to purchase items that had to be imported.
R4gnax
@witstert6 december 2024 18:00
Therefore, what makes the AP think it is so all powerful?
The Rome I & II treaties regarding applicable law - which, formally, are also acknowledged by the USA.

[Reactie gewijzigd door R4gnax op 6 december 2024 18:01]

witstert @R4gnax7 december 2024 03:24
Acknowledgment is easy. Getting foreign countries to comply and enforce the rules is another matter.
Skender @i7x5 december 2024 12:22
De EU vind blijkbaar dat zodra iemand uit de EU een dienst afneemt bij een buitenlands bedrijf, dat bedrijf hier zou opereren en ook maar moet gaan voldoen aan onze wetgeving
In het geval van LocateFamily is het zelfs niet relevant of er Europese klanten zijn. Het bedrijf verzamelt persoonsgegevens van EU burgers, zonder hun toestemming. Europese ISP's de site laten blokkeren, lost dan ook niets op. Het bedrijf kan dan gewoon data blijven verkopen aan klanten buiten de EU, terwijl EU burgers niet langer aan het formulier kunnen om te vragen hun gegevens te verwijderen...
GertMenkel @i7x5 december 2024 11:38
Hier zijn verdragen voor, zoals Privacy Shield en diens opvolgers. De Nederlandse overheid heeft ook nog wel meer middeltjes, alleen het AP kan daar niet zoveel mee op zichzelf.

Als je wat verkoopt aan iemand in Iran moet je niet opkijken als je opeens de VS niet meer in mag, ook niet op vakantie. Ook kun je een uitleveringsverzoek verwachten als je de Amerikaanse wetgeving overtreedt; Kim Dotcom is daar het toonbeeld van. Als je een Amerikaanse computer hackt en de Amerikanen komen achter je aan, zal je volgens Amerikaans recht veroordeeld worden tenzij er hele grote belangen spelen (die vlieger gaat bijvoorbeeld niet op bij Iran, Noord Korea, en andere landen waar we niet verwachten dat de rechtspraak eerlijk is).

Dat iets in het buitenland gebeurt, betekent niet dat andere landen daar niet wat van kunnen vinden. In dit geval overtreedt men de Nederlandse wet, dus overal waar Nederland macht heeft, kan Nederland macht uitoefenen. Ik denk niet dat Nederland de leiding van dit bedrijf gaat Durov'en door een Europees arrestatiebevel te regelen vanwege een privacyboete, maar het is niet alsof wij helemaal niks kunnen. Het is meer een balans vinden tussen welke middelen we kunnen gebruiken en welke middelen we willen gebruiken (want hoe harder je andere landen pusht, hoe harder ze terug pushen).
i7x @GertMenkel5 december 2024 11:49
Ik snap best dat ze verdragen kunnen sluiten, of mensen hier arresteren mochten ze hier ooit komen, of hier in de EU zelf domeinen kunnen blokkeren, of weet ik veel wat. Maar wat je al aangeeft, Nederland kan dit doen waar Nederland macht heeft, en als je wat spul koopt van de webshop van Joe in Oklahoma, die je gegevens verwerkt volgens Amerikaanse regels, dan is Nederland machteloos. En dan de verbazing waarmee men reageert. Moeten maar hier vertegenwoordigers gaan aanstellen en Amerikaanse rechters moeten ze maar gaan helpen met hun Europese regeltjes. Joe denkt alleen maar zoek het lekker zelf uit. Had ieder weldenkend persoon ook van tevoren wel zien aankomen.

Overigens is mijn advies, als je wilt dat je gegevens volgens de AVG worden verwerkt, neem dan geen diensten af bij partijen die daar niet onder vallen.

[Reactie gewijzigd door i7x op 5 december 2024 11:54]

GertMenkel @i7x5 december 2024 12:00
Het probleem van deze scrapers en datahandelaars is dat je geen keuze hebt om er dienst van af te nemen, ze verkopen je gegevens of je nu wilt of niet. De mensen die wel gegevens afnemen (scammers, stalkers, misschien af en toe ook een familielid dat benieuwd is) zijn maar een klein deel van deze databases en geven ook niet zoveel om dit soort dingen.
RJG-223 @i7x5 december 2024 23:34
en als je wat spul koopt van de webshop van Joe in Oklahoma, die je gegevens verwerkt volgens Amerikaanse regels, dan is Nederland machteloos
Klopt. En dat is in principe ook geen probleem, als het inderdaad een willekeurige Joe in Oklahoma is, die eigenlijk anders nooit zaken doet met EU-burgers.

Het is een ander geval, als Joe in Oklahoma ook een nederlandstalige website heeft, en een duitse, franse, etc. en op allerlei manieren duidelijk probeert zaken te doen in de EU. Dan zijn de regels ineens wel op hem van toepassing. Waarschijnlijk verdient ie dan ook goed aan ons.

Natuurlijk is er een verschil tussen dat de regels van toepassing zijn, en dat ze ook gehandhaafd kunnen worden als Joe niet meewerkt. En dat is hier het probleem: de regels kunnen niet voldoende gehandhaafd worden. Niet omdat we machteloos zijn - dat zijn we absoluut niet, maar omdat de wet daarvoor nog geen middelen biedt. Ongetwijfeld zal dat door de politiek worden opgelost, maar op dit moment kan de AP dus alleen maar klagen dat ze niet kunnen handhaven.

Overigens kunnen we ook prima bilaterale afspraken maken met de VS, zodat zij ons, binnen bepaalde voorwaarden, helpen dit soort boetes te innen. En andersom.
R4gnax
@RJG-2236 december 2024 17:59
Overigens kunnen we ook prima bilaterale afspraken maken met de VS, zodat zij ons, binnen bepaalde voorwaarden, helpen dit soort boetes te innen. En andersom.
Die afspraken zijn er in principe al. De VS erkent de verdragen van Rome waarin dus ook staat dat het toepasselijke recht op overeenkomsten met consumenten die ingezeten zijn in de EU, het recht is van de EU-lidstaat waar de consument ingezetene is.

Zie echter maar eens dat individuele hoven van de VS ook daadwerkelijk daar gehoor aan willen geven en mee willen werken, ipv de middelvinger op te steken en een "wie doet me wat" uit te halen.
locke960 @i7x5 december 2024 12:11
De EU vind blijkbaar dat zodra iemand uit de EU een dienst afneemt bij een buitenlands bedrijf, dat bedrijf hier zou opereren en ook maar moet gaan voldoen aan onze wetgeving, maar het omgekeerde is waar; de EU klant opereert in het buitenland, en die bedrijven houden zich gewoon aan de wetgeving van waar ze onder vallen
Beide standpunten zijn subjectieve opvattingen. Je kunt van mening verschillen over hoe het moet zijn.

De realiteit in deze wereld is dat degene die regels kan afdwingen, en daartoe de wil heeft, de regels ook bepaald.

De EU heeft de macht om bedrijven die zich niet aan de Europese regels houden, te weren uit de EU. Ze doen het alleen niet effectief, de wil lijkt te ontbreken.

De VS is een stuk effectiever. Hun verbod aan buitenlandse banken om zaken te doen met Rusland is zeer effectief. Evenals hun verbod aan chipfabrikanten producten aan China te leveren. waarom? Omdat ze op alle mogelijke manieren achter bedrijven aangaan die zich er niet aan houden.

Een ander voorbeeld is dat je in Nederland vervolgd kunt worden voor dingen die je in het buitenland doet, zelfs als ze daar legaal zijn. Een aantal kindersextoeristen zijn daar achter gekomen.
Remzi1993 @moonlander5 december 2024 10:38
Inderdaad, dit heb ik vaak al hier op Tweakers geschreven ook onder een soortgelijke artikel hierover. Maar het schijnt dat de AP geen wettelijke bevoegdheid daartoe heeft. Dan houd het snel op, en ook dat ze dit niet via de rechter kunnen afdwingen of te veel moeite vinden ofzo door case load.

Zie mijn reactie op het vorige artikel: nieuws: AP kan AVG-boete van 525.000 euro niet innen vanwege onbekende bedrij...

Ik zal het hieronder ook citeren:
Wat ik niet snap is waarom is LocateFamily.com niet geblokkeerd? Die website moet dan maar gewoon uit de lucht in Nederland of EU breed, want ze reageren niet en je kan ze niet bereiken. De website staat gewoon nog online en kunnen dus zo doorgaan met het overtreden van de wet (praktisch gezien).

"Dat is het probleem met een bedrijf dat geen vertegenwoordiger heeft in de Europese Economische Ruimte: daar kunnen Europese toezichthouders niet zomaar aankloppen", zegt de AP. De toezichthouder zegt dat het het dossier inmiddels heeft gesloten. Wel onderzoekt de AP de mogelijkheid om alsnog dergelijke boetes te innen. "Te beginnen bij de vraag of het juridisch gezien mogelijk is de leiding van dit soort bedrijven persoonlijk aansprakelijk te stellen."

En dan moet je overgaan tot het verbannen van de producten en/of diensten van een bedrijf.

Edit: Wat ik mij ook zat te bedenken: Ze kunnen toch via de rechter alle gegevens van hun hostingpartij dan wel de partij waar ze de domeinnaam van afnemen afdwingen? Of wat andere al roepen, gegevens afdwingen van de financiële instellingen waarmee ze zaken doen, want ze hebben betalingsmethoden nodig voor online betalen en dergelijke.

Er zijn zo veel opties en toch word er gekozen om dan maar niet te handhaven.

[Reactie gewijzigd door Remzi1993 op 5 december 2024 10:41]

Arnoud Engelfriet
@Remzi19935 december 2024 10:53
Inderdaad. Het Nederlands bestuursrecht kent simpelweg niet de optie om partij B (zoals een hoster) aan te spreken om een blokkade uit te voeren van partij A die een bestuursrechtelijk verbod in z'n nek heeft. Het auteursrecht heeft dat wel, en in het strafrecht kan het OM dit ook eisen, maar dat is het wel zo'n beetje.

In de context van illegale casino's is wel bepleit dat de Kansspelautoriteit die bevoegdheid moet krijgen, maar tot dusverre is dat niet van de grond gekomen (https://www.hervitas.nl/n...egale-goksites-blokkeren/). Juridisch gezien is er geen verschil tussen een goksite blokkeren en een AVG-overtreder blokkeren, aangenomen dat de blokkade terecht en proportioneel is.
Floort
@Arnoud Engelfriet5 december 2024 11:39
De AVG geeft de AP onder artikel 58(1)(a) AVG wel expliciet de bevoegdheid om bij de verwerkers inlichtingen te vorderen en onder 58(2)(d en f) de bevoegdheid om de verwerkers te bevelen om te stoppen met de onrechtmatige verwerking.
https://floort.net/posts/...orcement/#locatefamilycom
RJG-223 @Floort5 december 2024 23:49
De AVG geeft de AP onder artikel 58(1)(a) AVG wel expliciet de bevoegdheid om bij de verwerkers inlichtingen te vorderen en onder 58(2)(d en f) de bevoegdheid om de verwerkers te bevelen om te stoppen met de onrechtmatige verwerking.
Ja, maar als de verwerker niet meewerkt, en geen vestiging heeft in de EU, dan zijn er geen middelen om ook zonder diens medewerking te handhaven. En dat is het probleem. Het gaat niet om de bevoegdheid, het gaat om de machtsmiddelen om de regels ook te handhaven. En tegenover bedrijven die niet in de EU gevestigd zijn ontbreken die machtsmiddelen nog.

Nu zal een slim bedrijf, dat graag zaken blijft doen in de EU, wel meewerken, want uiteindelijk trekt dat bedrijf toch aan het kortste eind.

Iets dergelijks heeft Boris Johnson meegemaakt toen hij premier werd. Hij is ook amerikaans staatsburger, maar hij wilde nooit belasting betalen in de VS (wat verplicht is). Geen probleem want de VS kan die regel in het VK niet handhaven. Maar toen werd hij premier, en premiers moeten wel eens naar de VS... Toen had hij dus geen keus en moest hij alsnog alle achterstallige belasting betalen, en waarschijnlijk ook nog een boete.
Floort
@RJG-2236 december 2024 00:12
In de twee voorbeelden die publiek bekend zijn die hier relevant zijn hebben relevante verwerkers wel vertegenwoordigers en/of vestigingen in de Unie of zelfs in Nederland. Mijn punt is dat de vraag te krap geformuleerd is. De vraag of er een manier is om de bestaande besluiten af te dwingen is een onnodig beperkende vraag als je ook kan kijken naar de vraag of je binnen bestaande wetgeving ook een ander besluit zou kunnen nemen dat wel effectief af te dwingen is en ook impact heeft.
RJG-223 @Floort6 december 2024 15:14
In de twee voorbeelden die publiek bekend zijn die hier relevant zijn hebben relevante verwerkers wel vertegenwoordigers en/of vestigingen in de Unie of zelfs in Nederland. Mijn punt is dat de vraag te krap geformuleerd is. De vraag of er een manier is om de bestaande besluiten af te dwingen is een onnodig beperkende vraag als je ook kan kijken naar de vraag of je binnen bestaande wetgeving ook een ander besluit zou kunnen nemen dat wel effectief af te dwingen is en ook impact heeft.
Wat voor soort besluit dan ?
Bedoel je:
bij de verwerkers inlichtingen te vorderen
Daarvoor heb je mederwerking nodig van de verwerker. Je kunt de gegevens wel vragen, maar als je ze niet krijgt, heb je nog niets.
verwerkers te bevelen om te stoppen
Je kunt ze wel een bevel sturen, maar dat kunnen ze negeren. Papier is geduldig.

Ik weet niet of je andere ideeën hebt voor soorten besluiten die wel af te dwingen zijn ? Het probleem is dat de verwerker niet in de EU zit, en hier ook geen kantoor heeft. Als je dan iets af wilt dwingen, dan ben je afhankelijk van de autoriteiten in het land waar de verwerker gevestigd is. Dat kan alleen als je kunt bepalen welk land dat dan is, en als je daarover met dat land afspraken hebt. Of je moet wachten tot de directeur de EU bezoekt, en hem dan arresteren. Als je weet wie de directeur is.

Een besluit dat wel lokaal in NL/EU af te dwingen zou zijn, is het blokkeren van de website of het IP-adres van die verwerker. Of het blokkeren van betaaltransacties. Maar zulke stappen zijn nooit de eerste stap. De eerste stap is ze vertellen dat ze moeten stoppen, de volgende stap is dan bijvoorbeeld een boete. Een website blokkeren is een zware stap, en dat doe je dus alleen als al het andere niet werkt.

En als je dan de website wilt blokkeren, dan is er op dit moment het probleem dat daarvoor (nog) geen wettelijke grondslagen zijn. Het mag dus (nog) niet. Idem waarschijnlijk met betaaltransacties blokkeren.

Volgens mij zijn daarmee in grote lijnen de opties ongeveer uitgeput. Ik denk dat er binnen de bestaande wetgeving geen andere besluiten en/of acties mogelijk zijn die wel effect hebben. En dat is nu precies het probleem van de AP.

Zie jij nog andere opties die wel effectief zijn, maar ook wettelijk mogelijk ?
Floort
@RJG-2236 december 2024 15:29
Cloudflare is een verwerker voor Locatefamily met spullen, een kantoor en mensen in Nederland. Ik weet niet precies wat je bedoeld met de opmerking dat de verwerker niet in de EU zit.
Arnoud Engelfriet
@Floort6 december 2024 15:28
Bedoel je hier met 'verwerker' de Nederlandse internetproviders zoals VodafoneZiggo die toegang verschaffen tot die Amerikaanse websites? Of de clouddienstverlener die die website host en ook in Nederland kantoor houdt? Beiden lijken mij verwerkingsverantwoordelijken gezien ze zelf beslissen wat ze doen, maar andere verwerkers zie ik zo even niet?
Floort
@Arnoud Engelfriet6 december 2024 15:30
Ik bedoel Cloudflare met een kantoor in Amsterdam: https://floort.net/posts/...orcement/#locatefamilycom
Volgens het privacystatement van Cloudflare is Cloudflare een verwerker voor een boel relevante persoonsgegevens in deze context.

Edit:
Cloudflare is a data processor of Customer Logs, Administrative User logs, and some account settings information. In addition, Cloudflare is a data processor for any of the content provided by Customers and End Users through the Services that transits, or in some cases, is stored on, the Cloudflare network.
- https://www.cloudflare.co...eu-uk-and-swiss-residents

[Reactie gewijzigd door Floort op 6 december 2024 15:37]

Arnoud Engelfriet
@Floort6 december 2024 16:06
Interessant standpunt van Cloudflare. Ik zou de interactie tussen de DSA (artikel 4, mere conduit) en de AVG hier eens moeten uitzoeken. Er staat dan wel vrolijk dat de DSA geen afbreuk doet aan de AVG, maar betekent dat dan dat mere conduit niet geldt voor doorgegeven persoonsgegevens?
Floort
@Arnoud Engelfriet6 december 2024 16:34
Volgens mij gaat het al 'mis' bij 4(1)(c) als Cloudflare TLS versleuteling van het verkeer afhaalt voor het doorzetten naar de backend van de klant. Ook de inhoudelijke logging en security monitoring/ingrijpen gaat wat verder dan wat ik van een mere conduit zou verwachten. Een mere conduit schotelt geen captcha voor aan bezoekers die vanuit een Tor-exit-node komen. Maar ik weet ook niet zeker hoe dat zit met de DSA in deze context.
Wel weet ik dat de AP contact heeft opgenomen met Cloudflare in deze casus, maar het blijkbaar heeft opgegeven. Waarom is mij onduidelijk.
R4gnax
@Arnoud Engelfriet6 december 2024 17:45
Ik denk dat dat geen probleem zou mogen zijn.

In Art. 4, lid 3 van de DSA staat dat het "mere conduit" principe geen afbreuk doet a/d mogelijkheid voor een gerechtelijke of administratieve autoriteit om in overeenstemming met het rechtsstelsel van een lidstaat te eisen dat een dienstaanbieder een inbreuk beïndigt dan wel voorkomt.

Een website die zich niet aan de AVG houdt, is te bestempelen als illegale inhoud.
Deze overtreedt de wet, of is een middel in de keten de wet te overtreden.
En is daarmee een inbreuk binnen het kader van de DSA.

E.e.a. wil zeggen dat er binnen het rechtsstelsel zoals dat van toepassing is binnen een lidstaat, dan wel mogelijkheid moet zijn om die inbreuk te beïndigen. En die is er - of althans: moet er van de EU zijn. Namelijk onder de AVG. Die vereist van lidstaten dat de mogelijkheid om verwerkingen een halt toe te roepen binnen machte ligt van de aangestelde controlerende autoriteiten die zij aanstellen.

Waar het spaak loopt is bij het laten bestempelen als illegale inhoud. Dat moet formeel gebeuren door de aangestelde controlerende autoriteit voor de DSA. En die hebben we in Nederland nog niet. Daar zijn we (zoals gewoonlijk met Europese wetgeving) weer eens ho-pe-loos te laat mee.

[Reactie gewijzigd door R4gnax op 6 december 2024 17:50]

Remzi1993 @Arnoud Engelfriet5 december 2024 11:53
In de context van illegale casino's is wel bepleit dat de Kansspelautoriteit die bevoegdheid moet krijgen, maar tot dusverre is dat niet van de grond gekomen (https://www.hervitas.nl/n...egale-goksites-blokkeren/). Juridisch gezien is er geen verschil tussen een goksite blokkeren en een AVG-overtreder blokkeren, aangenomen dat de blokkade terecht en proportioneel is.
Inderdaad, ik vind dan dat de wetgever geen goede wetgeving gemaakt heeft omdat ze dus niet rekening hielden met het feit dat een buitenlands bedrijf zich niet aan de wetten en regelgevingen houd. Zo heeft de AP en de Kansspelautoriteit geen stok om mee te slaan.
Tintel
@Arnoud Engelfriet5 december 2024 13:40
Grappig.... auteursrecht reikt dus verder en juist het feit dat er geen vertegenwoordiging is - die nodig is als aanspreekpunt maar ook om de/een boete op te kunnen leggen - is de reden van de boete....

[Reactie gewijzigd door Tintel op 5 december 2024 15:48]

indigo79 @Remzi19935 december 2024 10:54
Inderdaad. Dat is uiteindelijk gewoon het digitale equivalent van inbeslagname door de douane van producten die niet aan Europese regelgeving voldoen.
En net zoals bij inbeslagnames zal er uiteraard wel eens of regelmatig iets door de mazen van het net glippen (VPN, nieuwe domeinnaam...) maar dat moet ons niet tegenhouden relatief eenvoudige maatregelen met een gedeeltelijke effectiviteit te implementeren.
moonlander @Remzi19935 december 2024 11:12
Als we nep webwinkels offline kunnen halen, dan moet dit toch ook kunnen. Dit is gewoon diefstal van prive gegevens!
nieuws: SIDN haalt nepwebwinkels 'onmiddellijk' offline na melding politie

De domeinnaam niet, maar ipadres blokkeren kunnen we wel.
Cambionn @moonlander5 december 2024 13:43
Dat is op verzoek van de politie, niet van een toezichthouder zoals het AP. Die hebben allebei wel heel andere bevoegdheden. Politie kon dit al (zoals in het bericht ook staat), maar de werkwijze is vergemakkelijkt en versnelt met deze overeenkomst (en daarbij wat checks weggehaald). Toezichthouders hebben hier momenteel sowieso geen bevoegdheid toe. En daar zit het probleem dus ook.
vrije_vogel @moonlander5 december 2024 11:12
Blokkeren is nogal een zwaar instrument in de bestrijding van relatief kleine overtredingen. Dat is af te wegen tegen toegang tot een vrij internet.
Volgens de werking van het toezicht op de GDPR zou een verbod wellicht gelden voor de EU als geheel.
Ik vind dat niet proportioneel. Vrijheid is meer waard.
moonlander @vrije_vogel5 december 2024 11:13
Ze hebben een betalingstermijn, is die overschreden dan volgen verdere stappen. Dan is het aan het bedrijf om de boete te betalen of de consequenties te ervaren.
ChielScape @vrije_vogel5 december 2024 11:19
Overtreding van het privacyrecht is geen kleine.
Vrijheid van een persoon om anoniem te blijven >>> vrijheid van een bedrijf om rechten te schenden.
blorf @vrije_vogel5 december 2024 11:23
Volgens mij mogen ze niet eens formeel beschuldigen. Waar is de lijst van probleem-urls?
Remzi1993 @vrije_vogel5 december 2024 11:56
Dat is dus dan ook de laatste middel. Bepaalde bedrijven betalen de boetes niet en negeren de AP, als je dan als autoriteit niks kan doen heb je dus geen dwangmiddel. Blokkeren zou de laatste optie moeten zijn wanneer men na een rechterlijke uitspraak alles negeert en de boetes negeert.
vrije_vogel @Remzi19935 december 2024 13:11
Nee, het feit dat een autoriteit niet succesvol is in de uitvoering betekent niet dat mijn toegang tot internet daardoor geraakt moet worden. Dat zijn twee verschillende dingen. Ga maar aan Buitenlandse Zaken vragen het in Washington aan te kaarten.
Remzi1993 @vrije_vogel5 december 2024 13:24
Die van jouw niet, maar net zoals dat Stichting Brein bijvoorbeeld The Pirate Bay heeft laten blokkeren via de rechter vind ik dat de AP dat ook hoort te kunnen wanneer partijen een uitspraak van de rechter hebben gekregen om een boete te moeten betalen. De laatste stap is wanneer ze die boetes negeren en nergens gehoor aan geven om de producten en/of diensten van een bedrijf te blokkeren. Dit doen we al met heel veel dingen in de EU, ik snap niet waarom dit er niet bij kan.

Daarom is dit de laatste middel.
wica @moonlander5 december 2024 11:21
Stel je nu de Great EU Firewall voor?

En hoe wil je domeinen verkopen, die niet gebonden zijn aan Europese TLD's?
moonlander @wica5 december 2024 11:23
Wie heeft het over verkopen? dat slaat nergens op. Blokkeren in het betreffende land zoals NL of nog beter de EU.
wica @moonlander5 december 2024 11:42
Mijn fout, verkeerd gelezen. de blokkade opheffen door middel van de boete te betalen.
WillySis
@moonlander5 december 2024 11:36
De AP heeft (helaas) niet de macht om domeinen te laten sluiten of apps te verbieden. Het is aan de (Europese) politiek om de AP meer bevoegdheden te geven. De AP heeft ook niet voldoende mogelijkheden of financiën om de bedrijven of personen achter websites of app's te achterhalen. Ook daar kan de politiek wel wat aan doen door in elk geval van de VS medewerking te eisen in opsporing en vervolging van overtreders van Europese wetten. Andersom is dat immers wel afgesproken.

Het adres achter een website moet te achterhalen zijn. Er is in elk geval een provider die regelmatig een rekening stuurt. Achter die rekening moet ook een bedrijf zitten. Dat kan een postbus zijn, maar ook die stuurt ergens een rekening naartoe. Men kan er een heel netwerk van maken, maar uiteindelijk moet met (veel) recherchewerk toch de eindverantwoordelijke gevonden kunnen worden. Zonder medewerking van het land van vestiging blijven onwillige betalers echter buiten schot. Dan helpt alleen blokkeren.
Frame164 @moonlander5 december 2024 16:14
Goed voor VPN aanbieders.
Floort
5 december 2024 10:34
De onderzoeksvraag is interessant beperkt: die lijkt te gaan over methoden om bestaande boetes te af te dwingen. Ze hadden denk ik beter de vraag kunnen stellen over handhavingsmethoden die wel mogelijk zijn. Dan zijn er volgens mij meer opties.
Lord Anubis @Floort5 december 2024 13:54
Zou het zelfde doen als Brazilië of Argentinië zoals toen met Musk; indirect, je pakt degene die de data helpt faciliteren en eist te stoppen met het verzamelen.

De wetten zijn tegenwoordig zo specifiek (gemaakt) dat ze nu van alle kanten omzeilt worden; gewoon veel wetten schrappen en in een regel definiëren - "Gij zult niet faciliteren....".
Waarom lukt het met andere zaken wel zoals Auteursrecht e.t.c.?

[Reactie gewijzigd door Lord Anubis op 5 december 2024 13:55]

Loft @Floort6 december 2024 11:59
Niet alleen dat... Je bent als bedrijf actief in de EER, dan moet je voldoen aan de regels, dus ook vervolgbaar zijn. Indien je dat niet bent, moeten er methodes zijn om je business te sluiten.

Ik ben geen voorstander van veel regels, dat mag echt minder in EU, maar als je iets vauts doet, moet je op de blaren zitten.
Venator 5 december 2024 10:52
Ik zou ook naar de regelgeving hierin kijken, als je als bedrijf zaken in de Europese Economische Ruimte wilt bedrijven, dan zul je een vertegenwoordiging verplicht moeten gaan stellen. Dat voorkomt juist dit soort situaties, maar bijv. ook gedoe rondom claims v.w.b. garantieafhandeling en andere geschillen. Voor bedrijven maakt dit het ook een stuk duidelijker, voor de consument ook. Je hoeft niet eens in ieder land vertegenwoordiging te hebben, zolang je maar je vertegenwoordiging dan adequaat regelt in de EER.
Dan kunnen we mogeljk ook wat van de lokale wet- en regelgeving opruimen en versimpelen, EU/EER is ten opzichte van andere handelszones nogal verdeeld.
Arnoud Engelfriet
@Venator5 december 2024 11:24
Helemaal mee eens, en dat is ook verplicht onder de AVG. Het probleem is alleen: wat doe je als een bedrijf die vertegenwoordiger niet stelt, en op afstand handelt vanuit de VS?
Floort
@Arnoud Engelfriet5 december 2024 11:44
Handhaven op verwerkers en gezamelijke verwerkingsverantwoordelijken die wel binnen bereik zijn.
vrije_vogel @Arnoud Engelfriet5 december 2024 15:22
Wat opvalt is dat zo'n bagatelzaak bij herhaling aandacht krijgt. Een bedrijf heeft geen fysieke vertegenwoordiging in de EU terwijl het alleen virtuele producten/diensten levert. Een eis die onnodig bureaucratisch is en getuigt van een denkwijze uit het jaar kruik. Geschillen in levering en garantie worden allang opgelost door credit card maatschappijen. Tegen een fractie van de kosten die een 'autoriteit' zou maken.

Dit is leuk voer voor juristen bij de centrale verwarming op koude dagen maar er zijn echt andere issues die aandacht behoeven. Dat geldt helaas voor veel wat er van de AP langskomt. Hoe zat het ook weer met die vrijwilligers sportvereniging? Je zult er in een bestuur zitten.
Voor de kerst wat uit huis geplaatste kinderen van de toeslagenaffaire terug bij hun ouders, dat lijkt me veel relevanter.
ShadLink @Venator5 december 2024 11:29
Je kan niet van elk bedrijf op de wereld verwachten dat het een locatie in de EU heeft. En elke website kan in principe geopend worden binnen de EU. Wat wil je anders doen? Het internet buiten de EU afsluiten behalve wanneer een bedrijf wel zo'n locatie heeft? Dan blijft er weinig van het internet over...
Venator @ShadLink5 december 2024 13:58
Het hoeft ook geen locatie te zijn, het gaat om de vertegenwoordiging. Er zijn zat partijen die de belangen van een bedrijf by-proxy behartigen via bijv. een brievenbus adres en een legale entiteit. Als een bedrijf wil handelen in de EER, dan mag je dat wat mij betreft als een minimale verplichting zien om hier geld te kunnen verdienen. Daar zou de EER bepaald niet uniek in zijn (i.e. US, China..).

Qua internet is er natuurlijk een verschil tussen een website aanbieden en daadwerkelijk producten en diensten leveren in de EER. Ik zou het ook niet daar beleggen, maar juist in de leveringsketen. Maak het bijv. onmogelijk om voor een bedrijf buiten de EER iets te leveren hier, als men geen vertegenwoordiging heeft. Dan kom je enerzijds op betalingsverwerkers en anderzijds op pakketdiensten uit, waar je zonder een dergelijke vertegenwoordiging (en bijv. EER-registratienummer) geen zaken in de regio kan doen.

China heeft overigens ook soortgelijke regelingen, tot aan moeten werken met een Chinese partner om de markt op te mogen i.v.m. marktlicenties e.d.. Zo streng (protectionistisch?) zijn wij dan ook nog niet..
Stijnvi 5 december 2024 10:40
Het lijkt me beter als internetproviders of hostingbedrijven op verzoek van de AP (of liever nog proactief) een banner moeten laten zien wanneer een bedrijf niet voldoet aan de (Europese) (privacy)wetgeving en waarom dat dan is.
En daar valt dan natuurlijk ook het ontbreken van een telefoonnummer onder waar heel veel Nederlandse webwinkels zich helaas schuldig aan maken.

[Reactie gewijzigd door Stijnvi op 5 december 2024 10:40]

Travelan @Stijnvi5 december 2024 10:52
Dat is technisch niet mogelijk, je kan niet zomaar code injecteren in HTTPS verkeer. En alle workarounds om dat wel te doen zijn extreem bezwarend.

Gewoon domein blokkeren op DNS (of IP) level en doorgaan met je taak. Maar blijkbaar is die bevoegdheid er dan weer niet. Typisch Nederlands om dat dan weer zo na te laten...
Floort
@Stijnvi5 december 2024 11:54
De AP kan onder artikel 58(2)(d en f) van de AVG verwerkers (ook hostingpartijen en bijvoorbeeld CloudFlare) opdragen om de onrechtmatige verwerking te staken. Dat lijkt me een betere oplossing dan bevelen om ingrijpende technische inmenging in het netwerkverkeer van een klant door te voeren.
PsiTweaker 5 december 2024 10:38
Het is waarschijnlijk makkelijker en simpeler gezegd, maar geen boete betalen, dan geen toegang tot de EU en blocken die website(s) !

Natuurlijk is er altijd wel een work around ( b.v. een vpn ), maar zo'n blokkade zal het betreffende bedrijf niet fijn vinden !

Voor zo'n bedrag/boete ( €525.000 van 1 bedrijf ), zou men toch prima een bedrijfje kunnen financieren, die de blokkade regelt, opzet en deze actueel houd zodat ook eventuele proxy's geblokt worden.
 

[Reactie gewijzigd door PsiTweaker op 5 december 2024 10:41]

Rembert 5 december 2024 10:51
Deze situatie lijkt een bom te kunnen gaan vormen onder het hele EU-US Data Privacy Framework, of op zijn minst de EU adequacy-decision voor dit framework - soort van Schrems III?. Immers, een van de voorwaarden in de adequacy decision is dat er een functionerende toezichthouder moet zijn in het betreffende land, dat bereikbaar is, zelfstandig onderzoek doet en sancties oplegt wanneer nodig.
Wat betreft LocateFamily: zitten die in de VS? Ik had ook ergens gelezen dat ze mogelijk in Canada zaten. Voor de AVG is er alleen een adequacy decision voor commerciële bedrijven in Canada.
Chromoris 5 december 2024 10:51
Tja, dan blijft gewoon het bedrijf met z'n website en diensten blokkeren over. Dat kan blijkbaar wel wanneer het copyright betreft, maar dus niet met boetes die niet betaald worden? Lijkt met in het laatste geval dat er een goede grondslag ligt: het bedrijf geeft niets om de wetgeving van landen waar zij diensten in aanbied.
Nog een alternatief: in het niet van het bedrijf zelf, maar van bedrijven/klanten die gebruik maken van de diensten van het bedrijf. Kwestie van dat geld afvangen en gebruiken om de boete af te lossen. Dan gaat het bedrijf ofwel het AP serieus nemen, ofwel zich ook echt actief terugtrekken van de markt. Linksom of rechtsom is het dan opgelost.
ArawnofAnnwn 5 december 2024 12:22
De Nederlandse privacytoezichthouder Autoriteit Persoonsgegevens kan boetes die gegeven worden aan organisaties buiten de Europese Unie nauwelijks innen. Dat blijkt uit onderzoek dat in opdracht van de AP is uitgevoerd.
Dat is ook logisch. Ik zou het raar vinden als het ze wel zou lukken.

Stel ik zou een bedrijf hebben en een boete krijgen van een vergelijkbare instantie uit Zuid-Korea, Congo of Brazilie. Ik zou het lachend de papierversnipperaar ingooien. Dat zou ik ook doen als ik een bedrijf in Italie had en ik zou een boeten van de AP krijgen.
418O2 @ArawnofAnnwn5 december 2024 12:52
Het verschil is alleen dat dat bedrijf zich actief richt op Nederland. Dat is wat anders dan een bedrijf hebben wat online algemeen beschikbaar is.
Floort
@ArawnofAnnwn5 december 2024 13:07
De AP kan boetes opleggen aan een bedrijf in Italie, maar het ligt meer voor de hand dat GPDP dat voor haar rekening neemt.
Remzi1993 @ArawnofAnnwn6 december 2024 02:16
Ik zou het lachend de papierversnipperaar ingooien. Dat zou ik ook doen als ik een bedrijf in Italie had en ik zou een boeten van de AP krijgen.
Dat zou je dus niet doen als je producten en/of diensten werden geblokkeerd. Daarom moet de politiek die macht aan de AP en kansspelen autoriteit geven. Dit doen we all met andere dingen dus dit kan er ook bij.
CivLord 5 december 2024 14:35
Een boete is een rechtsgeldige claim. Wanneer degene die beboet is niet zelf de boete wil betalen, dan lijkt mij dat er nog andere mogelijkheden zijn om die boete te innen.

Doet het bedrijf zaken in de EU? Biedt het bv. betaalde diensten aan aan gebruikers/ bedrijven binnen de EU, dan kan je bij een betalingsverwerker beslag laten leggen op de betalingen, totdat het boetebedrag bereikt is.
Frame164 5 december 2024 16:16
Dit geldt niet alleen voor de AP. Voor iedereen is het een stuk lastiger om zaken buiten de EU te doen. En nog iets moeilijker als de andere partij helemaal niets wil. Gewone handelstransacties zijn al lastig (met alle papieren aan beide kanten) maar dan hebben beide partijen er nog belang bij. Maar in dit geval niet natuurlijk.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq