EU moet Duitser schadevergoeding betalen vanwege gebruik van Facebook-inlog

De Europese Commissie moet een Duitser 400 euro schadevergoeding betalen, omdat zijn data met Meta werd gedeeld toen hij via Facebook inlogde op een evenement van de Commissie. Daarbij werd zijn data met de VS gedeeld, wat onder Europese wetgeving niet zomaar mocht.

De zaak draaide om een evenement van de Conference on the Future of Europe, die de Europese Commissie in onder meer 2021 en 2022 organiseerde. Voor dat evenement moesten bezoekers zich registreren, waarvoor gebruikers onder meer 'Log in with Facebook' konden gebruiken. Hierbij loggen gebruikers in met hun Facebook-account, om zich op een ander platform te registreren.

Bij het gebruiken van die Facebook-single sign-on-functie werd data, waaronder het IP-adres, gedeeld met Meta. Een Duitser vond dat dit niet veilig was, omdat veiligheidsdiensten van de Verenigde Staten toegang zouden kunnen krijgen tot die data. De Europese Commissie had daarbij niet duidelijk gemaakt of er beschermingsmaatregelen waren genomen om privacyproblemen weg te nemen, terwijl de Commissie dit volgens de Duitser wel verplicht zou zijn.

De Duitser eiste daarom 400 euro compensatie, vanwege de niet-materiële schade die hij daarbij zou hebben opgelopen. Het Gerecht van de Europese Unie stelde woensdag de Duitser in het gelijk. De Commissie had destijds inderdaad geen stappen ondernomen om te waarborgen dat de privacy beschermd zou blijven, zoals het gebruiken van databeschermingsclausules. De Commissie overtrad daarmee Europese wetgeving - die door de Commissie zelf was aangenomen - die bepaalde verplichtingen stelt aan hoe Europese instellingen moeten omgaan met het versturen van persoonsgegevens naar landen buiten de EU.

Inmiddels wordt aan die verplichtingen wel voldaan; toch verbleef de Duitser in 'enige onzekerheid' over hoe er met zijn data werd omgegaan, schrijft het Gerecht. Daarom leed de man niet-materiële schade, dus is de schadevergoeding van 400 euro terecht. Het is volgens Reuters voor het eerst dat de Commissie een boete krijgt vanwege het overtreden van deze regelgeving.

IT-banen

Reacties (91)

david-v

Meta

8 januari 2025 19:32

Mooi voorbeeld van een principe kwestie. We hebben als ontwikkelaars vaak met dit soort zaken te maken, al helemaal als je gebruik maakt van inlog methodes van externe partijen zoals een Facebook of Google account.

Het zou mooi zijn als de EU eindelijk met een inlogmethode komt die niet alleen in heel Europa gebruikt kan worden maar ook bijvoorbeeld gebruikt kan worden om je leeftijd categorie te bepalen. Dan kun je werkelijk restricties gaan opleggen aan de metas, tiktok en Googles van deze wereld wat betreft toegang vanaf een bepaalde leeftijd, want nu is het wel heel makkelijk te omzeilen.

joldemans @david-v • 8 januari 2025 21:01

Het zou mooi zijn als de EU eindelijk met een inlogmethode komt die niet alleen in heel Europa gebruikt kan worden maar ook bijvoorbeeld gebruikt kan worden om je leeftijd categorie te bepalen. Dan kun je werkelijk restricties gaan opleggen aan de metas, tiktok en Googles van deze wereld wat betreft toegang vanaf een bepaalde leeftijd, want nu is het wel heel makkelijk te omzeilen.

Nee aub niet zeg, dat wordt heel veel persoonlijke data op een plek die ik net zo min vertrouw als een fb of google.

Wat is er mis met gewoon inloggen met je eigen email adres? Ik heb die inloggen met…. nooit begrepen, zeg je ooit dat betreffende social-account op, dan ben je mooi de klos want al die sites waarbij je dag gebruikt zijn nu een soort spook accounts geworden waar misschien met veel moeite via support nog bij kan.

[Reactie gewijzigd door joldemans op 8 januari 2025 21:01]

HijDieAllesWeet @joldemans • 8 januari 2025 21:07

Gemak. Ik heb een extra google account om in te loggen bij dingen die ik even wil testen. Een nieuw Ai tooltje dat ik ff wil bekijken ofzo.

Turismo @HijDieAllesWeet • 9 januari 2025 00:37

Zodra je token intercept word ben je alsnog de lul, zoals voorbeeld met Facebook OATH
https://iamsaugat.medium....a-bug-bounty-44b3b2e87d07

Bij mij was het indertijd bij Airbnb dat mn oauth gelekr was door een breach, heeft Airbnb mooi indertijd in de doofpot gestopt, mn account was geheel verwijderd van t platform nadat ik de illegale betalingen terugkreeg. Ik mocht zogezegd niet meer klagen.
https://www.arneswinnen.n...b-via-oauth-tokens-theft/

Voor mij in ieder geval geen login met... je bent zo afhankelijk van en het platform waar je inlogged alswel de provider die de oath aanbiedt, die je doet geloven dat het t meest secure ooit is, amehoela das gewoon schijn veiligheid.

[Reactie gewijzigd door Turismo op 9 januari 2025 00:39]

david-v

Meta

@Turismo • 9 januari 2025 08:54

Met een "lokale" account op de website ben je vaak nog kwetsbaarder. Mijn bol account werd ook door iemand anders overgenomen, geen inloggen met...

[Reactie gewijzigd door david-v op 9 januari 2025 08:55]

S-1-5-7 @david-v • 9 januari 2025 09:43

Ik denk dat je juist kwetsbaarder bent als je inloggen met... gebruikt. Het is eigenlijk hetzelfde als één e-mailadres en wachtwoord hebben voor veel verschillende diensten. Er wordt al jaren geadviseerd dat niet te doen omdat dat je juist kwetsbaar maakt. Nu is inloggen met... niet één op één te vergelijken met het gebruk van één e-mailadres en wachtwoord, maar het komt wel aardig in de buurt. Als iemand toegang weet te krijgen tot bijvoorbeeld je Facebook, heeft diegene direct toegang tot meerdere diensten.

Het gebruik van aparte wachtwoorden met het liefst nog aparte e-mailadressen i.c.m. MFA of het gebruik van passkey zal een stuk veiliger zijn dan inloggen met...

Turismo @david-v • 9 januari 2025 11:35

Met een "lokale" account op de website ben je vaak nog kwetsbaarder. Mijn bol account werd ook door iemand anders overgenomen, geen inloggen met...

Laten we zo zeggen, je bent altijd kwetsbaar het gevoel van veiligheid is schijn, als iemand er in wil met veel kennis komt die er wel, het is enkel zo in de grote zee van gebruikers ben jij wss niet interessant genoeg om daar moeite in te steken.
Sowieso is social hacking nog steeds de meest effectieve manier om in iemand zijn account te komen.

Mijn statement was meer, je geeft door het inloggen met... de controle aan derden, 2 platformen ipv 1 platform, en het een gevoel van schijnveiligheid geeft. Die zut is totaal niet secure, en ben je beter af met meerdere dummy email accounts, voor de meeste zaken zoals webshops e.d. of zoals een conference waar dit artikel over gaat heb je echt niet je eigen prive email account nodig.

[Reactie gewijzigd door Turismo op 9 januari 2025 11:42]

Yalopa @HijDieAllesWeet • 8 januari 2025 21:19

Beveiliging. Je hebt 1 heel goed beveiligde account (dus ja met mfa) en je weet dat elke site die je bezoekt ook met die mfa beschermd is. Het alternatief is elke site moet zelf mfa regelen en je kan met een paswoord manager aan de slag om 1000 paswoorden bij te houden of je gebruikt overal hetzelfde paswoord.

Take note: beveiliging en privacy zijn niet hetzelfde.

gitaarwerk @Yalopa • 8 januari 2025 21:49

dat. Het is kiezen uit twee kwaden. Hoeveel keer hebben we al datalekken gezien van bedrijven die hun inlogsysteem niet op orde hebben. Ik vind wel dat er een meer onafhankelijke stichting zou mogen zijn die dit kan bewerkstelligen. Maar ik denk dat dit een utopie zal zijn.

Then again,… Let’s Encrypt (al is dat natuurlijk heel wat anders) heeft wel veel teweeg gebracht.

joldemans @HijDieAllesWeet • 8 januari 2025 22:17

Kan ik begrijpen, ik gebruik voor al dat soort eenmalige dingen en webshop aankopen de hide my email van icloud, werkt fantastisch 👌 zodra de bestelling binnen is, deactiveer ik dat adres en krijg nooit meer reclame binnen van die shop. Zouden ze ook met 06-nummers moeten doen.

Daarmee ook gelijk een stukje veiligheid getackeld, mocht de site of shop gehackt worden hebben ze een random naam, email en wachtwoord te pakken.

Ruuuuuubje @joldemans • 8 januari 2025 23:25

Gelukkig wordt 0612345678 nog nagenoeg overal geaccepteerd. Ik zie sowieso geen reden dat een Nederlands bedrijf voor een bestelling mijn telefoonnummer noodzakelijk stelt. Eerste klantcontact is toch altijd via de mail, en zo niet, dan komt het bellen mij vaak niet goed uit.

kidde

Duitsland

@Ruuuuuubje • 9 januari 2025 09:08

Hmm ik kreeg al zoveel berichten binnen op dat nummer, maar nu weer ik dat jij het was

Ik zoek vaak het eigen telefoonnummer van het bedrijf op en dat vul ik in. Deden maar meer mensen dat....

Ruuuuuubje @kidde • 9 januari 2025 10:01

Dat is een leuk idee, die ga ik gebruiken, ik zal ook het goede woord verspreiden

YGDRASSIL

@joldemans • 9 januari 2025 08:18

Dus je mist ook de mail dat er gifstoffen in je produkt zaten en het produkt gratis kan vervangen door een nieuwe versie. Jammer!

joldemans @YGDRASSIL • 9 januari 2025 08:48

Zo’n mail heb ik echt van m’n leven nog niet gekregen, maar klopt. Die ene belangrijke mail van de 10.000 marketing mails die ik anders zou krijgen mis ik dan inderdaad.

Fathier @joldemans • 9 januari 2025 15:40

Dat emailadres deactiveren is je kop in het zand steken. Je krijgt dan wellicht geen reclame meer, maar je fysieke adres en mogelijk ook je betaalgegevens staan nog steeds op de server van die webshop. Daar zou ik me dan meer zorgen over maken dan om dat emailadres.
Juist omdat de veiligheid van webshops steeds meer te wensen overlaat (door slordigheid, nalatigheid, pure onkunde, of door welke oorzaak dan ook), de onbetrouwbaarheid van de keten webshop->verzendmagazijn/distributiecentrum->bezorgdiensten, waar onderweg van alles gebeurt (diefstal, pakketinhoud verwisselen, pakketjes die zogenaamd kwijtraken), de slechte support van verzenders en bezorgdiensten (en zo kan ik nog wel even doorgaan), gebruik ik geen online besteldiensten meer. Ik ga uitsluitend nog naar fysieke winkels waar ze niet voor elk rolletje pepermunt je hele hebben en houden willen weten.

kimborntobewild @joldemans • 8 januari 2025 23:21

Ik heb die inloggen met…. nooit begrepen

Niet aan de kant van de gebruiker, maar aan de kant van de techbedrijven, begrijp je het natuurlijk wel

.
De vraag is of je in een toekomst op veel sites uberhaupt nog een account kan aanmaken op je mail-adres, of dat je verplicht met Meta, Microsoft, Apple, Google, Amazon, ... moet inloggen. En dat je er anders simpelweg niet op kunt inloggen.

[Reactie gewijzigd door kimborntobewild op 8 januari 2025 23:23]

Znorkus @kimborntobewild • 9 januari 2025 01:50

Dat vinden de techreuzen natuurlijk een machtig interessant idee, dat je accountje bij hen de functie krijgt van je identiteit op het hele web. Een soort digitaal paspoort.

Een van de voordelen is dat ze nog beter jouw gedrag kunnen volgen op verschillende plaatsen en een nog beter profiel van je kunnen opbouwen. Dat levert fors geld op. Onser het mom van gebruiksgemak (nooit meer dat lastige gedoe met overal accounts aanmaken en wachtwoorden moeten onthouden) wordt dit op enorme schaal aan de man gebracht. Nieuwe generatie straks weet niet beter, waarom zou je een nieuw account aanmaken als je ook gewoon op die Google knol kan drukken en er meteen inzit?

kimborntobewild @Znorkus • 10 januari 2025 05:02

... dat je accountje bij hen de functie krijgt van je identiteit op het hele web. Een soort digitaal paspoort.

Dat kon er (in de USA) wel eens komen, met het gedachtengoed van Trump en zijn rechtse gedachtengoed-delende Musk en anderen.

Zoop @joldemans • 8 januari 2025 22:15

Ik heb wel vaker inlog systemen gezien die alleen je e-mail opslaan voor authenticatie, en dat kan opgehaald worden door bijv in te loggen op social media. Dus je logged in op facebook, de api haalt je email op, authenticated, mooi. Zeg je je facebook nu op? Dan kan je eventueel hetzelfde doen met google, zolang je daar maar hetzelfde emailadres hanteert. In het ergste geval kan je hem temporary login link laten sturen naar je e-mailadres, is wat omslachtiger, maar dan kan je er tenminste nog steeds in. Over het algemeen is dit nog steeds beter dan zelf wachtwoorden van gebruikers te managen. En het is ontzettend gemakkelijk voor de gebruiker, die heeft best veel keuze en wordt niet verplicht weer ergens een account te maken of ergens weer extra wachtwoorden voor te moeten gaan onthouden.

Volgens mij werken de meeste zo, punt is dat je niet afhankelijk wordt van de dienst waarmee je verkiest in te loggen.

svenk91 @joldemans • 8 januari 2025 23:46

[...]

dat wordt heel veel persoonlijke data op een plek die ik net zo min vertrouw als een fb of google.

[…]

Hoezo wordt? Dat je de overheid niet vertrouwd is prima, maar die gegevens hebben ze al digitaal en daar hoeft geen nieuwe database voor te komen.

david-v

Meta

@joldemans • 8 januari 2025 23:57

Nee aub niet zeg, dat wordt heel veel persoonlijke data op een plek die ik net zo min vertrouw als een fb of google

Jouw persoonlijke data staat ook in het GBA en op andere systemen, bijvoorbeeld van de Belastingdienst.

Die persoonlijke data zou ik liever niet vertrouwen aan een commerciële partij. Let op dat ik hier zeg vertrouwen. Delen van bepaalde data met die diensten is dan minder en probleem. Bijvoorbeeld het delen van alleen een adres als je iets besteld, of voor leeftijd verificatie.

Ik wist dat de EU al wel iets wilde gaan doen daarmee, maar ik kom er nu pas achter dat ze al een stuk verder zijn, dus mijn wens lijkt uit te komen

DJ Henk @david-v • 9 januari 2025 07:54

Hier is een presentatie op 38c3 die je bijpraat over de stand van zaken op het gebied van die Europese identiteit en privacy, zowel vanuit technisch las juridisch perspectief: https://media.ccc.de/v/38...niques-for-better-privacy

MrFax @joldemans • 9 januari 2025 01:08

In principe hoeven ze alleen de account te binden aan een eenmalig getoonde ID-kaart. Die hoef je niet eens op te slaan: Alleen het geboortejaar is echt belangrijk om op te slaan voor zo'n account.

Alleen maak dat de weg wel weer open voor misbruik, als er makkelijk accounts gedeeld kunnen worden. Het is vaak het een of het ander.

Wat ook kan is er voor te zorgen dat een gebruiker die eenmalig een ID-kaart koppelt, daar dus een hash van gemaakt wordt. Die hash is dan zonder de ID-kaart niet uitleesbaar, maar je kan er dan wel voor zorgen dat je de ID-kaart lokaal kan scannen en alleen jouw ID-kaart uitkomt met die hash.

Op die manier worden er geen persoonsgegevens opgeslagen, en kan je alleen persoonsgegeven verbinden aan een account als je de account *en* de ID-kaart zelf in handen hebt.

[Reactie gewijzigd door MrFax op 9 januari 2025 01:11]

4tro @MrFax • 9 januari 2025 07:27

Bedoel je niet dat de hash van de id kaart dan gebruikt wordt om de info in het account te versleutelen? Want als het alleen een hash is wordt de hash in principe gewoon het nieuwe persoonsgegeven, want het maakt je nog steeds uniek identificeerbaar

BobJung

@joldemans • 9 januari 2025 07:40

precies dit

, je eigen email of een speciale voor het betreffende account, precies zo log ik overal in, met ondersteuning van mijn sleutel kluis.

ucsdcom

@joldemans • 9 januari 2025 08:20

[...]

Nee aub niet zeg, dat wordt heel veel persoonlijke data op een plek die ik net zo min vertrouw als een fb of google.

Wat is er mis met gewoon inloggen met je eigen email adres? Ik heb die inloggen met…. nooit begrepen, zeg je ooit dat betreffende social-account op, dan ben je mooi de klos want al die sites waarbij je dag gebruikt zijn nu een soort spook accounts geworden waar misschien met veel moeite via support nog bij kan.

Inderdaad: zelfs Digid is niet veilig, dus waarom dan wel een overheids instantie je data laten bewaren.

pxa270 @joldemans • 9 januari 2025 09:35

"Eigen email adres" is denk ik in 90%+ van de praktijkgevallen een adres van Google, Apple, Microsoft of Yahoo.

Beakzz @david-v • 8 januari 2025 21:31

Wat de 1 mooi vindt is de ander zijn nachtmerrie blijkbaar, want ik moet daar echt niet aan denken. En nee ik heb geen criminele activiteiten die ik moet verbergen en ik ben ook geen trol op het wijde web.

Ik wil gewoon niet met mijn echte naam op het internet staan voor Jan en allemaal al weet ik heus wel dat Zuck en consorten precies weten wie ik ben ondertussen. Voor de standaard internetgebruiker ben ik anoniem en dat hou ik graag zo.

En natuurlijk kan zo’n systeem alleen een vinkje sturen dat het in orde is en je gegevens achterwege laten, maar dan zou het nog steeds niet voorkomen dat ouders accounts voor kinderen aan maken.

david-v

Meta

@Beakzz • 9 januari 2025 00:03

Je hoeft je naam ook niet zomaar te delen als je een dergelijk systeem hebt. Afhankelijk van de dienst waar je in gaat loggen kan je aangeven welke data je wilt delen. Dat kan van alles zijn, van een unieke token en verder niks, zodat jij je profiel bij die dienst verder helemaal kan opzetten hoe je dat wilt, tot het delen van meer data als je bijvoorbeeld een rekening wilt openen bij een bank of aangifte wilt doen bij de Belastingdienst.

Ga je bier online bestellen, dan deel je alleen leeftijdscategorie en adres als je inlogt, meer hoeven ze niet te weten in principe.

Ouders kunnen niet zomaar accounts voor hun kinderen aanmaken, net zoals je dat ook niet kan met een DigiD account. Jij deelt je DigiD account gegevens toch ook niet met je minderjarige zoon? (Hoop ik

)

pepijnm @david-v • 8 januari 2025 21:37

kan worden om je leeftijd categorie te bepalen

Zou ik zelf tegen zijn, te veel monitoring.
- 18+ spellen onder de 18 spelen zou dan niet kunnen of je gebruikt je ouders account/ouders moeten toegang geven.
- De EU zal dan kunnen zien waar je inlogd. Van mij hoeven ze niet te weten wanneer ik bier koop.

Je zult waarschijnlijk meer mensen vpns zien gebruiken of juist services gebruiken die meer shady zijn maar niet de EU check eisen.

Korea en China gebruiken het btw al maar dan is het aan je telefoon nummer/id gekoppeld. Niet super chill als toerist deel van de services kan je niet gebruiken of je moet door een id check gaan als ze dat al hebben.

StefanJanssen @pepijnm • 9 januari 2025 00:31

Voor je eerste punt: 18+ spellen mogen gewoon gespeeld worden door jongeren onder 18. Het mag niet verkocht worden, maar wat er thuis mee gebeurt is geen wettelijk systeem voor. Oftewel, er veranderd niets buiten dat het illegale niet meer kan.

Voor je tweede punt: in het geval van een inlog methode is dat inderdaad iets wat je niet wilt, maar diensten als IRMA kunnen dit heel goed afhandelen zonder dat de bevestigende instantie weet wat je doet. (Alleen dat je een 18+ verificatie wilt)

Piemol @david-v • 8 januari 2025 22:02

Zoiets als waar Yivi (voorheen IRMA) mee bezig is?
https://privacybydesign.foundation/irma/

Dan moet de site in kwestie daar wel mee koppelen natuurlijk, maar dan zou je bijv. kunnen aangeven dat je 18+ bent, zonder dat de site je geboortedatum heeft (of je naam, of je adres).

m_snel @david-v • 8 januari 2025 23:07

Ik vraag me af of dit echt toegevoegde waarde heeft. Nu zijn mijn kinderen jong volwassen maar in de tijd dat internet in opkomst was en sociale media wel het onschuldigste waren. Dan vulde ze gewoon een andere leeftijd in. Zonhad ik in die tijd het zeker wel voor ze gedaan als het niet anders kon.
Nu hoef ik me daar gelukkig niet meer druk over te maken, maar zulke dingen kun je natuurlijk makkelijk omzeilen als je de kinderen opvoedt en vertrouwd.

Groningerkoek @david-v • 8 januari 2025 23:35

De EU zou eens kunnen kijken naar de Bank-ID zoals in Zweden.

Ceaus @david-v • 9 januari 2025 08:33

als de EU eindelijk met een inlogmethode komt die niet alleen in heel Europa gebruikt kan worden maar ook bijvoorbeeld gebruikt kan worden om je leeftijd categorie te bepalen.

Dat kan al met Yivi. Je download je stamgegevens van een geautoriseerde bron (GBA, bank, kadaster, etc) en je telefoon maakt er dan attributen van (>18=true; postcode=1234AB; etc).
De stamgegevens verlaten nooit je telefoon, je deelt alleen de attributen die je op dat moment wilt delen.

david-v

Meta

@Ceaus • 9 januari 2025 08:49

"In heel Europa" is hier een belangrijke eis. Het is een goed initiatief, maar de gegevens staan nog steeds elders, ofwel je hebt nog steeds geen regie over je eigen gegevens, want die staan elders gedistribueerd opgeslagen voor zover ik het kan zien. Ik heb nog niet alles gelezen van Yivi maar ik ga daar wel tijd voor maken. Bedankt voor de info, ik kende dit nog niet.

DaveNL @david-v • 9 januari 2025 08:48

Ik denk dat China us ideeën fantastisch vinden, volgens mij hebben ze daar als een soortgelijk systeem...

Wat mensen niet bereid zijn in te leveren voor een beetje schijnveiligheid is iets wat mij dagelijks verbaast!

david-v

Meta

@DaveNL • 9 januari 2025 08:50

Want je hebt geen DigiD of bent onbekend bij het GBA? we hebben dit al, het is alleen beperkt inzetbaar (Nederland) en geeft je nog steeds weinig regie over je gegevens.

bewerkers @david-v • 9 januari 2025 15:40

Of nog beter: geen account vereisen. Alleen emailadres of telefoonnummer waar een verificatiecode naar toe wordt gestuurd.

EricBruggema 8 januari 2025 18:37

Heerlijk! 400 euro! Dan weet je dat het een principe kwestie is.

Al ben ik wel van mening als je van andermans spullen gebruik maakt ligt een groter risico bij jou, echter als dit door de gebruikersvoorwaarden weer bij hun terecht komt... dan kun je wat.

Toch grappig om eens te lezen dat een individu wint van een super grote / rijke / krachtige organisatie wint!

Yalopa @EricBruggema • 8 januari 2025 18:43

Ik lees vooral dat iedereen gelijk is voor de wet, en dat er nog steeds een scheiding der machten is.

zenlord @Yalopa • 8 januari 2025 18:54

Juist.
In dat opzicht gaat het Tweakers artikel de mist in wanneer de auteur schrijft dat de Europese Commissie zelf de wetgeving heeft goedgekeurd... De Europese verordening werd goedgekeurd door het Europese Parlement en de Europese Raad, niet de Europese Commissie.

warzaw @zenlord • 8 januari 2025 21:26

Dat zou ook vreemd zijn want de commissie is het uitvoerend orgaan en niet wetgevend, zij kunnen alleen wetsvoorstellen indienen en (gelukkig) niet zelf goedkeuren.

Daarnaast betreft het de Raad van de EU en niet de Europese Raad (dat is verwarrend genoeg wat anders).

Black Tern @warzaw • 9 januari 2025 09:21

Je vergist je: de Europese Raad is de vergadering van de regeringsleiders van de EU die besluiten neemt over Richtlijnen enz.
Zie: https://nl.wikipedia.org/wiki/Europese_Raad

De Raad van Europa is een organisatie die vrede in Europa wil bevorderen.
Zie: https://nl.wikipedia.org/wiki/Raad_van_Europa

Honbrifcl @EricBruggema • 8 januari 2025 19:14

Ik vraag me af of het dan in Duitsland niets kost om een rechtszaak aan te spannen. Ik denk ook vaker wel na over iemand aanklagen wegens een principekwestie, maar mij wordt altijd verteld dat het bij kleine bedragen meer kost dan het opbrengt. Proces- en advocaatkosten worden nooit (of wellicht heel zelden?) geheel door de verliezende partij betaald.

dlare @Honbrifcl • 8 januari 2025 21:03

Principes kosten geld :-)

Dit heeft de man waarschijnlijk meer gekost dan de 400 euro die hij nu krijgt.
En dan alle tijd die hierin is gaan zitten!

Alle lof voor deze man!

m_snel @Honbrifcl • 8 januari 2025 23:15

Ach ik heb 20 K verloren aandelen provincie om een principe kwestie. Die ik waarschijnlijk uit eindelijk wel had kunnen winnen. Alleen de uitspraak, los van wie nú gelijk had, was gewoon niet conform mensen rechten.
Daarnaast had de tegenpartij een vormfout gemaakt en was mijn advocaat iets te laat met het ontdekken.

Malfoi @Honbrifcl • 9 januari 2025 08:59

Bijna de helft van de Duitse huishoudens heeft een rechtsbijstandsverzekering (Rechtsschutzversicherung) waar ook graag aanspraak op genomen wordt als ik dat zo hoor in mijn omgeving.

wica 8 januari 2025 18:30

Die Duitser heeft er toch zelf gekozen om in te loggen via Facebook?
En wat zeurt die nou, hij heeft zelf een facebook account.

veertje @wica • 8 januari 2025 18:35

Nee, jij draai het om. De EC moet er voor zorgen dat de privacy gewaarborgd blijft. En dus niet aanbieden om met facebook in te loggen. Of verbieden dat facebook de data deelt.

rko4u @veertje • 8 januari 2025 19:08

Dan is het toch facebook die in overtreding is, de facebook inlog komt immers voor de third party site.

WillySis

Privacy
Meta

@rko4u • 8 januari 2025 19:28

FaceBook is ook in overtreding, maar de site die de inlog via een FB account mogelijk maakt is verantwoordelijk welke data met derden gedeeld wordt. Data die niet gedeeld wordt kan niet misbruikt worden.

Nu vraag ik me af waarom men een FaceBook account voor het inloggen op andere sites gebruikt. Het mag misschien gemakkelijk zijn, maar de trackrecord van FaceBook als het om privacy gaat is niet erg betrouwbaar. Zelfs als een site geen data met FaceBook deelt, weet FaceBook wel precies waar en wanneer jij op bepaalde sites inlogt. Wat mij betreft hebben ze daar helemaal niets mee te maken.

The Third Man @veertje • 8 januari 2025 18:49

De privacy kan prima gewaarborgd worden en het artikel vertelt ook dat dat gebeurde, de aanklacht gaat over het niet vermelden hiervan in hun gebruiksinformatie. Bij SSO hoeft alleen de hoogstnodige sessie informatie meegestuurd te worden zodat Facebook kan zien dat de gebruiker de juiste cookie(s) heeft. Men doet nu net alsof Facebook gebruiken een synoniem is van alles prijs geven, wat niet echt het technisch niveau van een Tweaker benadert.

wica @The Third Man • 8 januari 2025 19:27

Je login in op FB, dus ze weten je IP en andere gegevens die je hebt geven.

De EC gebruikt een token (neem aan in je cookie), die jij van FB hebt gekregen.
FB controleert, of dat TOKEN geldig is en weet heel goed, bij wie die token hoort en dus ook je IP.

Dit vind ik echt gezeur om niets. Hoe graag ik ook strijd voor privacy.

680x0 @wica • 8 januari 2025 21:00

De zeldzame keren dat ik Facebook nog eens open is via VPN.

Hoe zou Facebook dan 'mijn IP' weten...?

86ul @The Third Man • 8 januari 2025 19:19

Men doet nu net alsof Facebook gebruiken een synoniem is van alles prijs geven, wat niet echt het technisch niveau van een Tweaker benadert.

Als sarcasme (of zelfs cynisme) snap ik het...

mjtdevries @The Third Man • 9 januari 2025 12:51

De privacy kan prima gewaarborgd worden en het artikel vertelt ook dat dat gebeurde,

Hoe kun je dat nou beweren als in het artikel nota bene het volgende staat:

De Commissie had destijds inderdaad geen stappen ondernomen om te waarborgen dat de privacy beschermd zou blijven, zoals het gebruiken van databeschermingsclausules.

Het artikel verteld dat het LATER aangepast is.

Xfade @wica • 8 januari 2025 18:39

Ja. Maar normaliter blijft de data in Europa. Er was een contract met Amazon dat de data hier moest blijven.

According to the contract concluded between the Commission and the Luxembourg undertaking, Amazon Web Services, which manages Amazon CloudFront, Amazon Web Services was required to ensure that data remain, at rest and in transit, in Europe.
In the case of another connection, it was the individual concerned who was responsible for its redirection, via the Amazon CloudFront routing mechanism, to servers in the United States. As a result of a technical adjustment, he appeared to be located in the United States.

Er zijn wat onduidelijkheden, het kan ook best zijn dat deze persoon dit zelf heeft opgezet om te laten zien dat iets niet goed zit.

[Reactie gewijzigd door Xfade op 8 januari 2025 18:40]

The Third Man @Xfade • 8 januari 2025 18:50

Maar hier bleef de data ook beschermd: "De Europese Commissie had daarbij niet duidelijk gemaakt dat er beschermingsmaatregelen waren genomen om privacyproblemen weg te nemen", het ging dus om het duidelijk maken ervan.

Xfade @The Third Man • 8 januari 2025 18:57

Zeker, maar alsnog is zijn IP in de USA beland, door de hyperlink op hun site. Dus die specifieke bescherming was er niet.

fastedje @Xfade • 8 januari 2025 19:39

Maar als je met FB account met SSO inlogt dan heeft FB dus allang je IP adres. Als geen extra informatie is gedeeld dan zie ik niet in waarom er dan een schadevergoeding nodig is in dit geval.

Krulliebol @The Third Man • 8 januari 2025 19:18

Lees dan even verder:
"De Commissie had destijds inderdaad geen stappen ondernomen om te waarborgen dat de privacy beschermd zou blijven"

Kapotlood @wica • 8 januari 2025 19:45

Het is de Duiter's eigen keuze om in te lgogen via Facebook, alleen zijn er privacy-wetten m.b.t. het delen van informatie met de VS. En daar had de Duitser geen actieve cq. bewuste keuze in gekregen. Iets waar de Commissie zelf een wet voor had aangenomen maar waar ze dus duidelijk de mist in zijn gegaan. En als je dan netjes de letter van de wet volgt zoals de Duitser nu handig had gedaan, dan is een schadevergoeding niet heel raar. Een principekwestie zo te zien, want hij wordt er niet bepaald rijk van, maar ik vind 't ergens wel goed dat je er een principekwestie van maakt omdat notabene de aannemer van de wet z'n eigen wet overtreedt. Een stukje bewustwording is dan goed verdiend.

[Reactie gewijzigd door Kapotlood op 8 januari 2025 19:46]

kodak

Privacy

@Kapotlood • 8 januari 2025 21:16

Dat de persoon een onbehoorlijke keuze had blijkt juist niet. De uitspraak gaat er namelijk om of de persoon immatetiele schade heeft terwijl de EU een plicht tot informeren heeft. Maar de wetgever stelt niet dat gebrek aan informeren de persoon vrij spel geeft dus maar risico te nemen waardoor schade kan ontstaan. En het is zelfs dezelfde richtlijn uit de EU die op de redenen wijst dat informeren bedoeld is zodat de personen keuses kunnen maken over de risico's om wel of niet te delen. Niet dat iemand dus maar rustig risico kan of moet nemen op kosten van de organisatie die te weinig informatie geeft of zelfs minder plicht heeft de organisatie eerst verantwoordelijk te houden voor het informeren in plaars van zich gedwongen te voelen de eigen gegevens onder onbehoorlijke omstandigheden alvast maar te delen.

mjtdevries @kodak • 9 januari 2025 12:57

Jij schijnt te denken dat je de privacy van een persoon mag negeren als je maar vertelt dat je dat doet?
Zo zit de wet niet in elkaar.
De EC had deze onveilige optie die data naar een niet-adequaat land stuurt niet mogen aanbieden. En daarom zijn ze ook beboet.

Als het gaat om informeren zodat mensen keuzes kunnen maken, dan gaat het over keuzes tussen verschillende opties die toegestaan zijn volgens de wet. Niet om de keuze te maken tussen een optie die legaal is en een optie die illegaal is.

kodak

Privacy

@mjtdevries • 9 januari 2025 15:19

Je trekt mijn argumenten uit het verband en negeert een deel van het nieuws.

Zoals in het nieuws en de uitspraak is te lezen: De boete gaat er niet slechts om of de EU iets nagelaten heeft (wat aantoonbaar is) maar vervolgens ook in hoeverre de EU verantwoordelijk is voor immateriele schade door onzekerheid bij de persoon die koos de eigen gegevens in onzekerheid toch te verstrekken.

Ik wijs er op dat de wetgever niet alleen verantwoordelijkheid bij de EU legt als het om keuzes door een persoon gaat. Het nieuws en de uitspraak tonen niet hoe hier rekening mee is gehouden. Het er niet over hebben heeft niet zomaar de betekenis dat het irrelevant is of dat de wetgever volledige verantwoordelijkheid bij de EU legt.

dan gaat het over keuzes tussen verschillende opties die toegestaan zijn volgens de wet. Niet om de keuze te maken tussen een optie die legaal is en een optie die illegaal is.

Het gaat er wel degelijk om of de persoon een keuze had tussen het legaal weigeren of illegaal laten verwerken. De wet stelt namelijk dat als een ander onwettige of zelfs twijfelachtige redenen geeft om je gegevens te verwerken je ze dus ook niet zomaar hoeft te verstrekken. De verplichting om als EU aan de wet te voldoen is geen plicht om als persoon hoe dan ook je gegevens maar te verstrekken zolang ze niet voldoen. Eerder om je gegevens zelf dan te beschermen of op zijn minst een keuze te maken of je het toch verstekken maar belangrijker lijkt dan het niet verstrekken.

silverchaoz @wica • 8 januari 2025 18:31

Ironie ten top. Zorgen maken om je data maar vervolgens een Facebook account hebben

Will_M @silverchaoz • 8 januari 2025 18:34

Het gaat er volgens mij meer om dat de EU het mogelijk maakt om op één van d'r vele (overheid) site's zo'n SSO inlog mogelijk te maken.

kodak

Privacy

@Will_M • 8 januari 2025 19:47

Aangezien een reden om de claim toe te kennen is omdat er onzekerheid was lijkt het me er vooral om te gaan sinds wanneer de persoon onzeker was. Aangezien dat een grens voor verantwoordelijkheid is.

Ik maak uit de uitspraak niet op of de persoon zich tijdens het invullen onbewust van was waar de overtreder aan hoort te voldoen. Terwijl de richtlijn niet de bedoeling heeft dat de verplichting tot informeren maar opgevat kan worden dat als je vermoed onvoldoende geïnformeerd te worden dan opzettelijk toch maar je persoonlijke gegevens gaat delen. Die immateriële schade mede zelf veroorzaken om die op een ander te verhalen is geen doel van de wetgever.

sam1987 @silverchaoz • 8 januari 2025 21:57

Inderdaad, ik vraag me ook altijd af, de EU gaat achter overtreders aan in "onze naam", hier zichzelf. Maar ik krijg hier nooit een compensering voor en weet soms niet of ik betrokken ben. In de VS krijgen ze tenminste allemaal een dollar van wat er overblijft na de juridische kosten van de staat of class action rechtszaak.

Nu ik begrijp het wel hun common law systeem is, anders dan het onze, hier kunnen ze gestraft worden (en er is verschil tussen de landen) zonder dat we daar noodzakelijk iets voor terugkrijgen. Maar herhaaldelijk straffen met dezelfde straf van geldboetes is tja lucratief op zijn minst?

Misschien moeten ze eens zeggen wat ze met die inkomsten doen?

bilgy_no1

@sam1987 • 9 januari 2025 08:34

Als je serieus bent met die laatste opmerking, dan zoek je de financiële verslagen op van de Europese Commissie en dan kun je de vraag zelf beantwoorden... In plaats van on gefundeerde insinuaties te maken.

Hint: https://commission.europa...l-accounts-and-reports_en

Andros @silverchaoz • 8 januari 2025 18:39

Ja, en? Het gaat in dit geval om de keuze met wie je welke data deelt. Meta is daar zeer slordig mee, die pakken elk stukje data dat ze kunnen pakken, gevraagd of niet. Deze persoon kiest voor een account op Facebook maar dat betekent niet automatisch dat dat bedrijf maar elke data van die persoon ongevraagd toegespeeld moet krijgen, zeker niet van een EU instelling. Hij moet op z'n minst de keuze hebben welke data wel en niet gebruikt mag worden, het blijven immers zijn gegevens. Europa is geen human centipad uit South Park he.

kodak

Privacy

@Andros • 8 januari 2025 20:10

En die keuze ligt in dit geval vooral bij de persoon die de eigen gegevens begint te verstrekken. De uitspraak is namelijk niet dat de EU of de bedrijven die hielpen te verwerken de persoon gedwongen hebben deze te delen. En de richtlijn stelt ook niet dat als je onvoldoende duidelijkheid hebt je dus maar risico mag gaan nemen op kosten van wie je meent dat deze je onvoldoende zou informeren.

Kenhas @Andros • 9 januari 2025 11:25

Hij moet op z'n minst de keuze hebben welke data wel en niet gebruikt mag worden

Die keuze had hij, volgens mij. Hij kon een ander inlog methode gebruiken. Als Ik dit lees

waarvoor gebruikers onder meer 'Log in with Facebook' konden gebruiken.

staat er "onder meer". Volgens mij heb je dan een keuze om je data niet te delen met Meta

mjtdevries @Kenhas • 9 januari 2025 12:49

Het punt is dat de commisie alleen die optie zou mogen aanbieden als ze er voor gezorgd hadden dat dit op een veilige manier zou gebeuren.
Dat hadden ze niet gedaan en daarmee hadden ze hun eigen regels overtreden.

De burger mag van de overheid verwachten dat die zich aan hun eigen regels houd, dus had mogen verwachten dat de EC alleen die optie aan zou bieden als ze gezorgd hadden dat de privacy goed geregeld was.

D.J.P. @wica • 8 januari 2025 18:38

"The individual had used the "Sign in with Facebook" option on the EU login webpage" .. tja .. dat was niet zo handig van die EU web mensen in het licht van hun eigen wetgeving. Ik denk dat de man in kwestie het niet om het geld deed maar puur om de ironie / hypocrisie aan te tonen en de boel dicht te krijgen. Ik neem aan dat die knop er inmiddels uit is.

C64Boy 8 januari 2025 19:22

Tja, er wordt hier van alles geroepen. Bottom line: de wetgever moet zich aan zijn eigen regels houden, hoe onnozel ook. De betreffende Duitser was zich volgens mij heel erg bewust van wat hij heeft gedaan

Sorcerer8472 8 januari 2025 20:29

Wordt de privacy niet al geschonden op het moment dat de Facebook-knop wordt weergegeven?

(al dan niet met plaatsing van cookies)

mphilipp 9 januari 2025 00:10

Ik gebruik gewoon NOOIT, uit principe, de mogelijkheid om met mijn Google of Facebook logon in te loggen. Ik weet niet wat mensen denken, maar ik reken er dan gewoon op dat al die data weer aan elkaar gekoppeld wordt en gebruikt voor commerciële doeleinden. Google en Meta doen dit niet for the greater good of mankind natuurlijk. Dus wat mij betreft nogal dom van die dude (of moet ik zeggen Bursche) om die optie te gebruiken en achteraf te gaan piepen. Ik bedoel what the fuck do you expect?

Daar zal niet iedereen het mee eens zijn, maar ik geloof niets van garanties die zij geven dat het niet gebeurt. Iets met kat en spek, en dat je die twee vooral niet op elkaar moet binden. Het is al vaker gebleken dat met of zonder garanties toch iemand aan de haal gaat met de data. Dus gewoon niet geven. Wat je niet geeft, kan niet misbruikt worden.

In the end krijgt Google of Meta je data toch wel in handen, want er staat vast wel ergens een advertentie die via hun netwerk komt (niet op een EU site natuurlijk). Dus ja, linksom of rechtsom krijgen ze het toch wel. Maar ik ga het ze niet tè gemakkelijk maken.

Reinier 182 8 januari 2025 20:32

Wel een bewijs dat Amerika onze data stelen en niet China waar we bang voor gemaakt worden.

bilgy_no1

@Reinier 182 • 9 januari 2025 08:39

Logische redeneerfouten:
1. Adriaan steelt, dus Cornelis steelt niet
2. Freddie steelt, dus de hele familie Adriaansen steelt
3. Erik maakt een technisch foutje met de inlogmethode voor een evenement, dus Adriaan steelt en de hele familie Adriaansen is slechter dan de familie Cornelissen.

m_snel @Reinier 182 • 8 januari 2025 23:02

Uw reactie slaat natuurlijk eigenlijk nergens op, maar als je natuurlijk gewoon akkoord gaat met stelen dan kan je niet echt spreken over stelen . Alhoewel we daar met de VS toch anders over denken.

Reinier 182 @m_snel • 9 januari 2025 19:19

Waarom? Over China steeds geen bewijzen maar worden bang gemaakt? Amerika doet het en stelt het niks voor? Een misdrijf is een misdrijf of maakt het uit wie het doet? We blijven wel die troep uit Amerika gebruiken in Europa. Niet vreemd?