Wie op 25 mei 2018 zijn inbox opende, kwam er niet onderuit. Met een barrage aan e-mailwaarschuwingen ('Mogen we uw gegevens bewaren?') maakten bedrijven zich klaar voor de de Algemene Verordening Gegevensbescherming, van gigantische internationale techreuzen zoals Google tot de spreekwoordelijke slager om de hoek. Dat was deze week precies vijf jaar geleden. Al twee jaar eerder was de AVG van kracht geworden. Toen begon een transitieperiode waarin overheden en bedrijven zich op de wet konden voorbereiden.
De e-mailstorm is inmiddels gaan liggen, maar het bewustzijn over de wet is er niet minder om geworden. Dat zie je aan de boetes die de Autoriteit Persoonsgegevens uitdeelt aan bedrijven en sinds kort vooral aan overheden. Je ziet het ook aan kleine dingen, zoals de brieven die je van je gemeente krijgt en die inmiddels steevast naar een privacybeleid verwijzen.
Toezicht op de AVG 'gaat voorzichtig de goede kant op', zegt Aleid Wolfsen, voorzitter van de Nederlandse privacytoezichthouder, als we hem vragen hoe het is met de privacywet. Is 'de goede kant op' geen lage lat voor zo'n belangrijk onderwerp als privacy en zo'n omvangrijke wet als de AVG? Tweakers sprak met Wolfsen en andere experts om te inventariseren hoe de grootste privacywet aller tijden inmiddels wordt nageleefd. De wet lijkt te staan of vallen met goed toezicht, maar juist daar schort het aan.
Wie na vijf jaar AVG de cijfers erbij pakt, kan dezelfde conclusie trekken. In vergelijking met andere Europese landen valt het aantal boetes door de Nederlandse AP laag uit. Daar staat tegenover dat Nederlandse boetes gemiddeld erg hoog zijn. De Autoriteit Persoonsgegevens deelt amper lage boetes uit. Op een boete van 7500 voor een politieke partij en 12.000 euro voor een orthodontistenpraktijk na, lopen de boetes in de tienduizenden euro's.
Er zijn wel kanttekeningen bij de cijfers. Ten eerste zijn ze mogelijk incompleet. AVG-boetes worden niet centraal geregistreerd, dus moet je voor analyses gebruikmaken van externe bronnen, zoals Enforcement Tracker. Dat neemt sommige boetes niet mee, bijvoorbeeld als ze op last van de rechter niet openbaar worden gemaakt. Ook worden soms lasten onder dwangsom meegeteld als boetes, terwijl dat eigenlijk niet terecht is. Daarnaast hebben we Spanje in het onderstaande overzicht niet meegenomen, omdat dat de gegevens sterk zou vertekenen; Spanje deelde maar liefst 651 boetes uit, 2,5 keer zoveel als Italië.
Waakhond met of zonder tanden
Aan het Nederlandse beleid valt vooral op dat de boetes zeker de laatste tijd vaak voor rekening van overheidsinstellingen kwamen. Dat geldt in ieder geval voor de meeste van de vijf jongste boetes. De Sociale Verzekeringsbank: 150.000 euro, de politie: 50.000 euro, de gemeente Enschede: 600.000 euro en de Belastingdienst, die de twee eerder genoemde recordboetebedragen kreeg opgelegd.
Kort geleden volgden ook enkele waarschuwingen aan vooral overheidsinstellingen. De AP wilde opheldering over frauderisicoalgoritmes, het visumaanvraagalgoritme van Buitenlandse Zaken deugt mogelijk niet en het ministerie van Justitie moet stoppen met vluchtgegevens. Is de overheid slordiger dan het bedrijfsleven of heeft de AP haar vizier meer op de overheid gericht? Aleid Wolfsen zegt dat het in ieder geval geen toeval is.
Ergens lijkt het alsof jullie vaker over de overheid praten dan over het bedrijfsleven. Klopt dat?
"Recent klopt dat zeker. Dat is vaak ook met dank aan de media, want we zien zelf lang niet altijd wat daar gebeurt en veel gebeurt in het verborgene, zoals bij misstaanden bij de NCTV. Dat wordt door journalisten aan het licht gebracht en daar handelen wij weer op."
"Specifiek bij bedrijven heb je een keus als het om je gegevens gaat. Je kunt dan vragen of ze je gegevens vernietigen. Bij de overheid kan dat niet. Daar heb je altijd te maken met onvrijwillige verwerkingen. Je ziet vervolgens dat de wet dan te ruim geïnterpreteerd wordt. Daar treden we meer tegen op."
Dat is dus geen toeval, maar bewust beleid? Treden jullie harder op tegen de overheid dan tegen bedrijven?
"Nee, we treden tegen beide even hard op, maar de overheid is wel heel veel bezig met data en het koppelen daarvan. Steeds meer gaat digitaal, burgers moeten steeds transparanter worden en vaker met de billen bloot om een bestaansminimum te krijgen. Daar staat tegenover dat de overheid juist steeds ontransparanter wordt. Wij zitten in die disbalans. Dan kan het lijken alsof we meer met de overheid bezig zijn dan met het bedrijfsleven."
"Wel zijn we inmiddels transparanter dan we in het verleden waren. We maken vaker publiekelijk kenbaar wat we doen, want dat maakt anderen ook weer alert. Daar communiceren we actiever over."
Toch zullen bedrijven niet heel bang zijn voor de AP. Ze is weliswaar geen papieren tijger meer, maar om nou te zeggen dat de waakhond bijt... Althans, niet vaak, maar áls de AP je haar tanden laat zien, kan de schade groot zijn. "We hebben nog een paar boetes in de pijplijn zitten die voor het bedrijfsleven zijn", zegt Wolfsen. "Dan heb ik het over bedragen met zes nullen."
Handhaving in Nederland
De partijen die de afgelopen jaren het hardst gestraft zijn voor AVG-overtredingen, lijken de grote techbedrijven te zijn. Nog deze week werd de hoogste AVG-boete ooit uitgedeeld aan Meta. Het kreeg een boete van 1,2 miljard euro opgelegd. Daarmee werd een eerder record gebroken, van Amazon, dat in 2022 een boete van 746 miljoen euro kreeg. Meta's recordboete was niet eens de eerste voor het bedrijf. Het heeft al veel andere boetes gekregen die ver in de miljoenen liepen.
De twaalf hoogste AVG-boetes komen volgens Enforcement Tracker alle voor rekening van grote techbedrijven.
Slechte informatiebeveiliging bij datalek uit 2018
15-03-2022
Spanje
Google
10 miljoen
Geen grondslag voor dataverzameling
18-05-2022
Daarbij valt de hoogste Nederlandse boete, 3,7 miljoen euro voor de Belastingdienst, in het niet. Het heeft er dan ook alle schijn van dat toezichthouders hun pijlen steeds meer op die bedrijven richten. Geen van die toezichthouders zal ooit toegeven dat de AVG vooral werd ingesteld om die, veelal Amerikaanse, techbedrijven te beteugelen. De politici die de wet hebben opgesteld, net zo min, maar het is onmiskenbaar een belangrijke drijfveer geweest voor de Europese wetgevers.
Toezicht in Nederland
Hoe goed wordt de wet dan nageleefd in Nederland als de toezichtsblik zo naar buiten is gericht? Wolfsen mag het 'voorzichtig goed' vinden gaan, niet iedereen deelt die mening. "De wet wordt niet goed of niet goed genoeg nageleefd en bedrijven zijn nog altijd niet voldoende ingesteld op goede naleving. Dat zie je op allerlei vlakken", zegt Gerard Spierenburg van de Consumentenbond. Hij verwijst niet alleen naar recente zaken die de bond begon tegen Google, TikTok en Facebook, maar juist naar eigen onderzoek naar Nederlandse bedrijfspraktijken. De Consumentenbond zag eerder bijvoorbeeld al dat bedrijven slecht reageren op inzageverzoeken en dat ze slachtoffers slecht waarschuwen bij datalekken.
Het is moeilijk te staven of de naleving van en het bewustzijn over de wet echt goed gaan in Nederland. "Je ziet wel steeds meer aandacht voor privacy", zegt de AP-voorzitter. "Er is meer bewustzijn van de gevaren van misbruik, zeker nu er onlangs zoveel in het nieuws is over ChatGPT en kunstmatige intelligentie. De coronaperiode hielp met die aandacht, met een aantal grote datalekken zoals bij de GGD. Ik had onlangs overleg op het ministerie van Justitie over hoe het goed met persoonsgegevens moet omgaan. Je ziet dat de bewustwording daar wel voorzichtig beter wordt."
'Voorzichtig beter' klinkt niet bepaald als een hoge lat, zeker niet als de wet al vijf jaar oud is. Zou een ministerie inmiddels niet beter moeten weten?
"Ja, maar toch zie je nog vaak dat mensen zich er onvoldoende van bewust zijn dat ze bezig zijn met persoonsgegevens, dat ze daarmee in het privéleven van burgers zitten. Dat gaat wel beter, maar we zijn er nog niet."
Hoe zit het met de duidelijkheid van de wet? Is er, naast besef, wel voldoende duidelijkheid over de juridische elementen van gegevensbescherming?
Wolfsen blijft even stil. "Je hoort me twijfelen... De belangrijkste normen zijn inmiddels wel goed uitgelegd, maar er ligt nog een aantal zaken bij het Europese Hof van Justitie en in Duitsland speelt nog een grote zaak met Meta. Over sommige begrippen uit de wet is nog veel discussie. Zeker grote bedrijven voeren die discussie op het scherpst van de snede. Zij willen de wet altijd zo ruim mogelijk uitleggen."
"Men vindt inderdaad vaak dat wij de lat te hoog leggen. Dat is niet zo; wij passen juist de wet toe. Als het over grondrechten gaat, kun je wat mij betreft niet te streng zijn. Een privacyschending zien wij als een inbreuk op grondrechten. In zo'n geval redeneren wij altijd in het voordeel van de burger."
"Dat is ook goed. Een rechter kan ons altijd doorverwijzen naar een hogere rechter of het Europese Hof van Justitie, zoals onlangs in een Amsterdamse zaak is gebeurd. Als wij te soepel zouden zijn, komt zo'n zaak nooit bij het Hof terecht. Dan ben je te voorzichtig in het beschermen van burgers. Als de wetgever, zoals de Europese Commissie, vindt dat we te streng optreden, dan kan die de wet aanpassen. Maar als wij te slap zijn tegenover burgers, dan kun je dat niet zomaar corrigeren. Dan is de fout gemaakt en dat draai je niet zomaar terug. Daarom zitten we het liefst aan de veilige kant, het maximaal beschermen van burgers."
Europese wetten
Wat na vijf jaar privacywet in ieder geval duidelijk mag zijn, is dat de AVG naar meer smaakt. De privacywet was de eerste grote wet tegen bigtechbedrijven en gaf Europa veel inspiratie voor nieuwe wetgeving. Als de wet de verzameling van persoonsgegevens bij Big Tech kan reguleren, kan dat vast ook met andere bedrijfsonderdelen, toch?
Inmiddels zijn er drie grote, Europese wetten in opkomst die dat moeten doen. De Digital Services Act reguleert hoe bedrijven omgaan met zaken als privacy en trackingadvertenties, maar ook met inhoud, zoals het verwijderen van digitale content. De wet is eind vorig jaar in werking getreden. Daarnaast is er de Digital Markets Act, die draait om hoe grote bedrijven digitaal moeten opereren, zoals interoperabiliteit en de openstelling van platforms, zoals iOS. Ook die wet ging in november vorig jaar in. En dan is er tot slot de AI Act, die opvallend progressief is omdat hij kunstmatige intelligentie probeert te reguleren op een moment dat die nog in de kinderschoenen staat. Die wet wordt naar verwachting deze zomer goedgekeurd door het Europees Parlement.
Blauwdruk voor andere wetten
De AVG lijkt als een blauwdruk voor die nieuwe wetten te werken. Een deel van de DSA, DMA en AI Act lijkt geïnspireerd op de AVG. Neem bijvoorbeeld weer die slager om de hoek. Waar de AVG zulke kleine partijen vroeger buitensporig hard leek te raken, zijn de DSA en DMA alleen van toepassing op zogenaamde poortwachters. Dat zijn alleen grote techbedrijven met een minimale jaaromzet of marktwaarde van miljarden en een minimumaantal gebruikers. Het beleid om vooral daar naar te kijken, lijkt een les die geleerd is van de AVG. Zo blijven kleine bedrijven uit de wind en zijn ze niet buitenproportioneel veel tijd kwijt aan 'compliance'.
Technologieneutraliteit
De AVG is bewust technologieneutraal opgesteld.Een ander belangrijk aspect van de AVG is dat die technologieneutraal is opgesteld. De privacywet blijft bewust weg van het uitleggen van termen. Die uitleg is in de afgelopen jaren noodgedwongen ontstaan. Neem 'algoritmes'. Dat hele woord komt in de AVG niet voor en ook de AI Act beschrijft niet expliciet wat een algoritme precies inhoudt. Toch heeft Nederland al een algoritmetoezichthouder, die als een van zijn belangrijkste taken heeft om te onderzoeken wat een algoritme precies is en wanneer je het wel en niet moet inzetten.
De AVG kende aanvankelijk heel veel normen die gaandeweg moesten worden uitgelegd. "Sommige processen, zoals wanneer iets een 'hoog risico' is of wanneer data 'organisatorisch goed beveiligd zijn', zijn erg dynamisch", zegt AP-voorzitter Aleid Wolfsen. "Je ziet dat bedrijven zich telkens weer moeten aanpassen aan die vraag als er nieuwe technieken opkomen."
Budgetproblemen
Het grote struikelblok van de AVG ligt vooral bij de toezichthouders. In de meeste landen krijgen die te weinig geld. Relatief gezien krijgt de Nederlandse Autoriteit Persoonsgegevens al veel geld, maar het is nog steeds niet genoeg, aldus de waakhond zelf. Het budget van de AP lag in 2022 op 29,02 miljoen euro, een flinke stijging ten opzichte van 2021, toen de toezichthouder 26,257 miljoen euro kreeg. In het regeerakkoord van eind 2021 werd afgesproken dat de AP vanaf 2025 acht miljoen euro extra budget zou ontvangen. Negen maanden later, op Prinsjesdag 2022, werd dat budget nog met twee miljoen euro extra verhoogd. De AP heeft daarmee vanaf 2023 een budget van 34,478 miljoen euro. Dat maakt haar tot een van de duurste toezichthouders van Europa. In 2021 bleek de AP in absolute cijfers al een van de duurste toezichthouders en ook per hoofd van de bevolking staat Nederland hoog op de lijst. Slechts vier landen, waaronder het kleine Liechtenstein en Luxemburg, geven per inwoner meer geld uit aan hun privacytoezichthouder.
Budget 2021
2022
2023
2024
2025
2026
2027
26.257.000
29.020.000
34.478.000
37.829.000
40.694.000
41.294.000
41.294.000
Doordat het budget desondanks tekortschiet, lopen de achterstanden bij de AP op. Eind 2022 had de toezichthouder nog vijfduizend klachten op de plank liggen, klachten van burgers waarvoor simpelweg niet het geld en de menskracht zijn om ze te behandelen. De achterstand was in 2021 nog groter; toen waren er ruim twee keer zoveel klachten blijven liggen. Dat werd niet zozeer ingehaald door hard werk, maar door de telefoon niet meer op te pakken; de AP verslechterde in 2022 noodgedwongen de telefonische bereikbaarheid.
Grote achterstanden
De AP heeft op vrijwel alle gebieden achterstanden. Ze komt bijvoorbeeld vrijwel niet toe aan het uitgeven van vergunningen waarmee bedrijven gegevens naar het buitenland mogen sturen. Volgens de AP is zelfs het verhoogde budget niet genoeg. De toezichthouder wil een verdrievoudiging van het budget: 100 miljoen per jaar. Wolfsen pleit al jaren voor meer geld en legde tijdens de kabinetsformatie in 2021 een hard bedrag als verzoek op tafel. Nu krijgt de toezichthouder 10 miljoen euro extra en ook nog pas over een paar jaar. Ook tijdens het interview beklaagt Wolfsen zich meer dan eens over het budget.
Ik krijg een déjà vu. U vraagt al vier jaar om meer geld, nu zelfs om een verdrievoudiging. Is het niet eens tijd om te concluderen dat u dat geld niet gaat krijgen?
"Jawel hoor, dat budget gaat er zeker komen. Dat is een kwestie van tijd."
Waar baseert u dat op?
"Ik sprak onlangs mijn collega uit Litouwen. Daar zitten ze met hetzelfde probleem. Hun nationale Ombudsman kwam met een heftig rapport, dat leek op het rapport van de Nederlandse Ombudsman, die vorig jaar zei dat wij niet goed omgingen met klachtenafhandeling. In Litouwen heeft dat ertoe geleid dat ze veel meer budget krijgen. Daar hoorden ze het van een neutrale, derde partij, net zoals in Nederland. En vergeet ook niet dat de Tweede Kamer ons inmiddels al fors meer budget heeft gegeven."
Nou ja, fors... Acht miljoen, dat is veel minder dan u wil.
"Ja, wel veel te weinig."
Waar ligt dat aan? De enige oplossing die het huidige kabinet voor problemen lijkt te hebben, is om overal bakken geld tegenaan te smijten. Waarom smijten ze dat geld niet naar de AP?
"Misschien moet er een nog grotere ramp gebeuren dan de toeslagenaffaire.""Ik denk dat de Tweede Kamer toch nog moet prioriteren. Misschien moet er ook weleens een keer een ramp voorkomen. Zoals eerder deze maand, toen bleek dat de politie burgers illegaal bespioneert. Dan is de Tweede Kamer in rep en roer, maar ze zien ook dat wij er niet aan toekomen om daarop te handhaven. Zulke rampen kunnen helpen; de Arbeidsinspectie kreeg jaren geleden ook plotseling honderden miljoenen extra en de AFM werd ook versterkt na rampen in de bankenwereld. Misschien moet zoiets voor ons ook eens gebeuren."
We hebben toch het toeslagenschandaal gehad? Dat draaide grotendeels om persoonsgegevens.
"Ja, dat heeft helaas geholpen, maar er moet nog meer gebeuren om te laten zien hoe belangrijk databescherming is."
Je zou toch denken dat als de toeslagenaffaire geen duidelijk genoeg signaal is, dat het dan nooit komt?
"Dan ben je denk ik te somber. Kijk maar eens wat er sindsdien is gebeurd. We hebben een staatssecretaris voor Digitalisering en een commissie Digitale Zaken. In de Eerste Kamer wordt nu ook gepleit voor zo'n commissie. Dat gaat wel de goede kant op, maar ik deel je ongeduld.'
De politiek lijkt zich na SyRI en de toeslagenaffaire dus wel degelijk bewust van de gevaren, maar toch geeft Den Haag jullie niet waar jullie om vragen. Dan is het toch niet gek om te denken dat dat geld nooit gaat komen?
"Ik denk het wel. Je ziet dat overal gebeuren. Kijk maar naar Ierland; daar speelt dezelfde discussie als in Nederland. De Data Protection Commission begon daar klein, maar is nu groter dan wij in Nederland zijn, terwijl Ierlands bnp en inwoneraantal kleiner zijn."
De Tweede Kamer heeft sinds vorig jaar een Commissie Digitale Zaken.
Overtreedt Nederland de AVG?
Opvallend is dat de AVG uit zichzelf hoort te zorgen voor hoge budgetten. In artikel 52.4 van de wet staat dat lidstaten 'ervoor moeten zorgen dat elke toezichthouder beschikt over de personele, technische en financiële middelen' die nodig zijn voor de taak. Als de AP slechts een derde krijgt van wat het zegt dat het nodig heeft, dan zou je kunnen zeggen dat de Nederlandse overheid de AVG overtreedt.
De AVG verplicht overheden om genoeg geld voor handhaving beschikbaar te stellen."Dat is heel fijntjes opgemerkt", zegt Aleid Wolfsen daarop. Handhaven op dat wetsonderdeel zit er voorlopig niet in, al zou de AP als AVG-toezichthouder daar wel het recht toe hebben. "Het is aan de Europese Commissie om dat aan te kaarten. Die kan een inbreukprocedure starten naar een land. Dat is eerder al eens gebeurd bij landen waar het toezicht niet goed was, zoals België." Die procedure had overigens niets te maken met geld, maar met zorgen over de onafhankelijkheid van de GBA. Zo'n inbreukprocedure hoeft overigens niet vanuit Europa te komen. Wolfsen: "In Bulgarije speelt deze discussie nu in het parlement. Daar gaat het over een verdubbeling van het budget."
Nergens genoeg geld
De beperkte budgetten zijn niet alleen in Nederland een probleem; iedere expert lijkt te erkennen dat de geringe slagkracht van de toezichthouders hét grote struikelblok van de AVG is. Volgens D66-Europarlementariër Sophie in 't Veld heeft dat te maken met een inherent mankement in de hele Europese politiek. Ze hekelt het feit dat het toezicht op de AVG bij nationale toezichthouders is neergelegd en niet centraal bij de Europese Commissie zelf of op zijn minst een 'publieke instantie op Europees niveau'. Nationale toezichthouders zijn volgens In 't Veld 'te gevoelig voor nationale belangen'.
In België kreeg een particulier een AVG-boete voor het ophangen van beveiligingscamera's.
'Belangen' is misschien niet het juiste woord, maar er zit inderdaad veel verschil in de werkwijzen en culturen van toezichthouders. Dat levert grote regionale verschillen op. Kijk bijvoorbeeld naar de enorme verschillen tussen de Nederlandse Autoriteit Persoonsgegevens en de Belgische Gegevensbeschermingsautoriteit, die eerder deze week haar jaarverslag uitbracht. Waar de Autoriteit Persoonsgegevens de telefoon noodgedwongen minder vaak opneemt en alsnog 13.000 klachten per jaar ontvangt, kreeg de GBA er 604 in een heel jaar. Er is ook een enorm verschil tussen de AP en de GBA in het soort zaken dat ze aanpakken. Tweakers concludeerde al dat de Nederlandse toezichthouder weinig, maar hoge boetes uitdeelt: grote zaken met een hoog profiel, omdat de AP nu eenmaal keuzes moet maken in wat ze wel en niet kan onderzoeken. De Gegevensbeschermingsautoriteit daarentegen deelde in 2020 een boete van 1500 euro uit aan een particulier stel voor het ophangen van een beveiligingscamera. Dat geeft aan dat de privacytoezichthouders van Nederland en België fundamenteel anders naar de AVG kijken en fundamenteel andere prioriteiten hebben. En dat zijn twee landen die cultureel nog relatief weinig verschillen.
Culturele verschillen
Budget is dan ook niet de enige oorzaak van de beperkte effectiviteit van toezichthouders. Dat verschilt per land. In Hongarije wil de regering liefst zo min mogelijk onafhankelijk toezicht en is de toezichthouder, in de woorden van Sophie in 't Veld, 'een loopjongen van de regering'. Ondertussen is de Griekse toezichthouder juist zeer onafhankelijk, maar probeert de regering hem juist daarom tegen te houden en onderzoek te vertragen. In Duitsland heerst weer een sterke privacycultuur, dus bestaan er naast de federale toezichthouder allerlei regionale toezichthouders die stevig van zich laten horen. En Spanje deelt zoveel boetes uit dat die zich amper in een vergelijkende grafiek laten vatten: 651, tegenover 146 in Duitsland. En Nederland? Ook dat is een uitschieter. Met tienduizenden klachten en datalekmeldingen wordt de Nederlandse toezichthouder uitzonderlijk veel vaker overvraagd dan die in andere landen. Aleid Wolfsen wijt dat meestal aan de hoge mate van digitalisering in Nederland.
De achterlopende budgetten hebben dus wel degelijk invloed op de effectiviteit van toezichthouders, maar ook regionaal spelen er belangrijke verschillen.
Dan is er nog Ierland. Daar ligt het grootste probleem bij AVG-handhaving, vooral waar het bigtechbedrijven betreft. De Europese hoofdkantoren van Meta, Google, Twitter en de meeste andere techtoko's staan in Dublin, deels om belastingredenen, maar ook omdat de Ierse Data Protection Commission vaak laks is met het aanpakken van grote AVG-overtreders. Dat was met eerdere Meta-boetes wel te zien; de DPC stelde veel lagere boetes voor dan de andere Europese toezichthouders wilden geven. Privacyvoorvechter Max Schrems ziet de recente recordboete van 1,2 miljard die Ierland aan Meta uitdeelde, echter niet als een teken dat de AVG nu goed werkt.
Integendeel, schrijft hij. "Het is een voorbeeld van handhaving die juist níét werkt." Schrems voert met zijn stichting NOYB, of None Of Your Business, al jaren strijd tegen de manier waarop Meta en andere techbedrijven data verzamelen en naar de VS sturen. Die strijd duurt lang en daar valt Schrems nu ook over. "Niet alleen duurde het meer dan tien jaar voordat de DPC hierover een besluit nam, maar ik moest in deze zaak ook drie keer juridische actie ondernemen tegen de DPC voordat die zijn werk deed. Daar viel ook een gang naar het Europese Hof van Justitie onder en de koepelorganisatie van privacytoezichthouders, de European Data Protection Board, moest de DPC drie keer zeggen deze zaak af te handelen." Schrems merkt op dat de zaak inmiddels al meer dan tien miljoen euro heeft gekost.
Dat bevestigt wat verschillende experts in de afgelopen vijf jaar weleens vaststelden; de bewijslast bij de AVG ligt grotendeels bij burgers. Europarlementariër In 't Veld bevestigt dat eveneens. "De AVG beschermt je goed, maar áls er iets fout gaat, ligt de volledige bewijslast bij het individu. Die moet een klacht indienen, die moet naar de rechter, die moet procederen tegen hoge kosten."
Conclusie: de toekomst van de AVG
De toekomst van de wet laat zich lastig voorspellen. De AVG is hoe dan ook here to stay en daar veranderen de DSA, DMA en AI Act niets aan. "Ook bij nieuwe wetgeving blijft de AVG intact. Wetten als de DSA zijn ook preventiever dan de AVG", zegt Wolfsen. Wel komen er nog verbeteringen aan in de wet. De European Data Protection Board en de Europese wetgevers werken aan manieren om toezicht uniformer te maken. Er komen duidelijkere regels voor wie wanneer kan en moet optreden en wanneer zaken naar toezichthouders van andere landen mogen worden doorverwezen. Wolfsen zegt daar blij mee te zijn, maar verder door te willen op dezelfde weg. Er komt dan meer aandacht voor nieuwe technologie, waaronder algoritmes.
En dan is er natuurlijk nog de algoritmetoezichthouder die begin vorig jaar van start ging. Hoe staat het daar inmiddels mee?
"Die is inmiddels in opbouw. Er is een coördinerend directeur; de eerste werknemers zijn begonnen. We gaan nu eerst aan de slag met normuitleg over wat onder een algoritme wordt verstaan."
"De overheid stuurt ons niet op algoritmetoezicht." "Nee, want de overheid stuurt ons niet. Ze geeft ons alleen de middelen om ons toezicht te intensiveren. De overheid vindt het belangrijk dat onze toezichthoudende taak goed wordt uitgelegd. Bovendien zijn algoritmes persoonsgegevens. Als die in het spel zijn, houden wij daar toezicht op en coördineren wij dat toezicht."
"Het zou gek zijn als wij algoritmes niet belangrijk vinden. Nu zegt de overheid alleen: 'Wij vinden dit een belangrijk grondrecht; daar gaan we jullie voor versterken."
Waar gaat de AVG nog heen?
Met het extra budget voor algoritmes en een hoger algemeen budget lijkt de Autoriteit Persoonsgegevens de wet iets beter te kunnen gaan handhaven. Het bewustzijn over de wet blijft nog achter, vaak bij de overheid, maar zowel Wolfsen als privacyexperts zien daar verbetering in.
Politici vinden het lastig om de AVG te duiden. Sophie in 't Veld denkt dat de druk op de wet zal groeien doordat steeds meer Europese wetgeving moeilijk verenigbaar lijkt te zijn met de AVG. "Als je kijkt naar wetten zoals voorstellen om kindermisbruikmateriaal tegen te gaan of medische gegevens uit te wisselen, vraag je je af of iemand daarbij wel aan de AVG heeft gedacht."
Vanuit de Nederlandse overheid wil de staatssecretaris van Digitalisering weinig over de wet zeggen. Voor de vraag of de AP meer geld moet krijgen, verwijst ze door naar Franc Weerwind, de minister voor Rechtsbescherming, die over het budget van de toezichthouder gaat. Wel zegt de staatssecretaris 'dat privacy een sleutelrol speelt in het vertrouwen van de burger in een digitale overheid en maatschappij'. Daarom liet Van Huffelen ook eerder dit jaar een groot onderzoek instellen naar de naleving van de wet. Van Huffelen denkt vooral dat lessen uit de AVG in de toekomst kunnen worden toegepast op toekomstige wetten, zoals de AI Act. Ze verwijst daarbij naar de dpia, data protection impact assessment, dat een van de belangrijkste AVG-instrumenten bleek te zijn.
Minder bekend zijn de hria's, human rights impact assessments. "Laatstgenoemde zetten wij bijvoorbeeld in om AI-technologie te controleren op de impact ervan op de mensenrechten. Daarbij gaat het om de lichamelijke en geestelijke integriteit, maar ook om rechten als de vrijheid van demonstratie en het verbod op profilering." Zo heeft Nederland, ondanks een zwakke toezichthouder, toch nog iets geleerd.
Jammer dat ze zich vooral zo op de grote vissen richten. Hoevaak ik het wel niet tegenkom dat als je ergens een account aanmaakt je vervolgens ook opeens de nieuwsbrief krijgt (zonder consent te hebben gegeven). Of die eindeloze hoeveelheid camera’s die tegenwoordig de openbare straat filmen (veel al deurbellen) zonder enige indicator dat ze aan of uit zijn.
Ik snap wel dat de grotere vissen boeiender zijn maar het doet wel afbraak aan het idee dat iedereen gelijk is voor de wet.
Ik snap wel dat de grotere vissen boeiender zijn maar het doet wel afbraak aan het idee dat iedereen gelijk is voor de wet.
Die ene nieuwsbrief raakt 100 mensen een beetje. Die grote vissen raken miljoenen mensen vaak erg stevig. Net als met milieudelicten wil je hier juist de grootste vervuilers het eerst aanpakken om zo snel mogelijk zo veel mogelijk impact te hebben (biggest bang for your buck). En dat is nig afgezien van de voorbeeldfunctie die hiervan uitgaat.
Overigens handhaaft de politie snelheid ook niet actief op uitgestorven landweggetjes, maar juist wel op plekken waar veel overtredingen verwacht worden (zie dit Tweakers artikel, wat overigens mocht van het CBP) of veel frustratie/gevaar ontstaat.
[Reactie gewijzigd door J_van_Ekris op 22 juli 2024 21:58]
Zo'n nieuwsbrief heeft nauwelijks privacy-aspecten, tenzij je braaf elke keer alle linkjes die er in staan aanklikt.
Een nieuwsbrief die in jouw inbox valt en die je netjes ongelezen weggooit vertelt de verzender in het gunstigste geval dat je mailadres nog steeds bestaat.
'Facebook' tracking cookies op duizenden websites geven Facebook zonder dat jij het weet informatie over jouw interesses, telkens weer, jarenlang.
Dat is in mijn optiek een wereld van verschil. Nieuwsbrieven negeren kan ik heel goed, zelfs degenen die ik eigenlijk zou willen lezen. Cookies doen hun werk zonder dat ik het merk (al laten advertenties zien dat ze wel degelijk gewerkt hebben).
Mijn inziens niet helemaal juist. Zal het je uitleggen met een recent voorbeeld.
Kaartjes gekocht bij Spot Groningen* (zonder account) en deze zijn verzonden via e-mail.
Paar weken na het evenement krijg je de volgende mail: "We zijn benieuwd naar jouw mening" (waar heb ik hier ergens toestemming voor gegeven?).
Deze mail wordt verzonden door een externe partij, is voorzien van 2 trackers, volledige naam en uiteraard het mailadres (oftewel Spot Groningen geeft mijn data aan een derde partij, zonder toestemming en noodzaak).
Daar blijft het dan niet bij. Doe netjes een verzoek bij Spot Groningen voor het verwijderen van deze gegevens en vraag waar ik hier toestemming voor gegeven heb. Echter zij reageren simpelweg niet (klacht indienen bij de AP is compleet zinloos (voldoet overigens ook niet aan de AVG, je moet persoonsgegevens verstrekken die niet relevant zijn, inderdaad zelfs de AP houdt zich niet aan de AVG), die doen niets aan dit soort praktijken)
Wordt nog een beetje erger wanneer je weet dat Spot in verbinding staat met de Gemeente Groningen, die zouden toch beter moeten weten.
Resultaat dat ik uiteraard never nooit geen stap meer binnen zet bij Spot Groningen.
*eigenlijk gaat het daar al mis. Je moet al jouw NAW-gegevens inclusief 06-nummer verstrekken om te kunnen bestellen (nergens voor nodig dus niet toegestaan). Dit op een website dat data/persoonsgegevens deelt met Google en Facebook.
Onze organisatie – werkmaatschappij SPOT Groningen, onderdeel van de gemeente Groningen
en gevestigd aan de Trompsingel 27 te Groningen – verwerkt persoonsgegevens.
Oftewel, misschien moet u ook bij de gemeente Groningen klagen en misschien is het een goed idee om toch een klacht in te dienen bij het AP, want dit is een grote jongen vooral omdat het onderdeel uitmaakt van een gemeente.
Niet al die grote vissen gaat gelijk over miljoenen mensen.
Bv het Haga ziekenhuis heeft echt geen gegevens van miljoenen patiënten.
Andersom gaan die kleine vissen echt niet alleen over 100 mensen.
Ik krijg genoeg nieuwsbrieven die ik meerdere keren per jaar afzeg en steeds weer terugkomen. En dat zijn geen webshops van mensen die het als hobby ‘erbij’ doen.
Pak er daar een aantal van aan en je komt denk we in de buurt van zo’n grote vis qua aantal mensen waar het invloed op heeft.
En met misschien zelfs minder middelen want minder complex.
Niet al die grote vissen gaat gelijk over miljoenen mensen.
Bv het Haga ziekenhuis heeft echt geen gegevens van miljoenen patiënten.
Haga ziekenhuis was volgens mij ook een duidelijk signaal naar alle ziekenhuizen dat niet-professionele interesse in patienten door medewerkers gewoon niet kan en dat daat actief op gemonitord en gealarmeerd dient te worden. Ik was destijds DPO van een organisatie in de gezondheidszorg, en dat signaal heeft wel wat zaken scherper gesteld (en discussies met het bestuurlijke niveau enorm vereenvoudigd).
Bij handhaven hoort evenwicht. Dat gaat niet alleen om de ernst van de overtreding maar ook dat er genoeg gelijke kans is. Overtredingen bij vele kleine bedrijven is daarbij net zo goed ernstig. Zelfs een enkele overtreding is al ernstig genoeg. De wet maakt opzettelijk geen verschil, dat verschil maakt de toezichthouder en maakt dat vooral voor zichzelf. We zijn inmiddels 5 jaar verder, hebben al veel langer wetgeving die ook door vele kleine bedrijven al overtreden werd, en nog lijkt de situatie dat die zonder gevolgen hun gang kunnen blijven gaan. Of ze nu op de grote snelweg de overtredingen begaan of op een landweggetje.
Ze moeten beide aangepakt worden. Sinds de tijd dat de maximumsnelheid op de snelweg (overdag) 100km/uur is geworden, ben ik om de haverklap de linkerbaan aan het checken, omdat mensen nog steeds 130 (of sneller) blijven rijden. Dat verpest het rijplezier, maar controles vinden er amper plaats.
Is dat ernstig? Nee, maar nog steeds vervelend. En dat is hier ook. Gisteren een account ergens voor "moeten" aanmaken. E-mailadres, telefoonnummer, woonadres. In de mail kan ik nog redelijk eenvoudig dingen blokkeren, mijn telefoonnummer is 06-11223344 en mijn postcode is een "typfout".
En ja, dat maakt mijn gedrag ook verkeerd. Maar we kijken al jaren tegen het wanbeleid van de overheid. Ondanks dat een rechter SyRI verbiedt, ondanks dat de regering aftreedt vanwege de toeslagenaffaire, ondanks dat nota bene de eindverantwoordelijke daarvoor, de minister president, smsjes verwijdert wat in strijd is met de archiefwet: de overheid is incompetent en met de verkeerde intenties als het gaat om opslag van gegevens.
Maar het maakt niet uit. Misschien is de piratenpartij de enige partij die nog enigszins het verschil kan maken, maar er moeten echt stappen gemaakt worden.
Voordat je mensen als "kneus" afschildert misschien eerst even opnieuw de verkeersregels leren?
Er is een maximum snelheid in Nederland, op elke weg waarop je je met de auto begeeft. Wanneer er meerdere banen zijn, zijn die bedoelt om het inhalen makkelijker en veiliger te maken. Werkelijk nergens is het, vanwege het beschikbaar zijn van een extra rijbaan, een legitimering om daar de maximum snelheid te negeren.
De linkerbaan is bedoelt als er trager verkeer op de rechter (normale) rijbaan zit om binnen de snelheidslimiet in te kunnen halen. Dus ik vind de kneuzen meer degenen die denken dat de maximale snelheid niet voor hen geldt, en dat iedereen maar rekening met ze moet houden. Als ik op de rechterbaan zit met 100 km/u (de maximum snelheid op dat stuk) en ik kom een vrachtauto met 80 km/u tegen, dan ga ik naar links als dat kan. Dat iemand vanuit het niets met 140 km/u ineens achter me zit terwijl ik die vrachtauto aan het inhalen ben is zijn probleem, dat moet-ie niet het mijne maken. Als jij 140 km/u wilt rijden, dan is dat jouw keuze, maar er zitten gevolgen aan. O.a. dat je boetes krijgt en dat juist jij meer op moet letten omdat er (verrassing) ook mensen zijn die zich wel aan de regels houden.
En dat is ook precies mijn mening over het volgen van de AVG: als bedrijven dat niet wensen te doen moeten ze niet mij opzadelen met allerlei extra maatregelen die ik moet treffen. En ze moeten niet lopen zeuren wanneer er een boete komt. Het is alleen zo jammer dat (net als met te hard rijden) er gewoon te weinig gecontrolleerd wordt of kan worden.
Nee, ja en nee.
Geen kneus, wel 100, niet uit principe.
Als ik de linkerbaan gebruik, doe ik dat in principe met de intentie om in te halen. Rijdt iemand 99, dan ga ik niet met 1 km/uur snelheidsverschil inhalen (voorbijkruipen). Dan verhoog ik even de snelheid, al overschrijd ik dan kort de maximumsnelheid. Word ik dan beboet? Dan probeer ik het aan te vechten, verlies ik dat, is dat prima. Ik overtreed uiteindelijk bewust de regels.
Links is niet altijd een inhaalbaan, er zijn stukken waar je naar links moet invoegen en bij drukte is het de bedoeling dat het verkeer zich verdeeld over het asfalt. Daarom is het de bedoeling dat je bij ritsen de volledige strook gebruikt om te ritsen. En dat is iets anders dan die lege linkerstrook gebruiken om voor te dringen. Je kan ook links met dezelfde snelheid blijven rijden als de strook rechts bij ritsen om niemand in te halen en vooraan te ritsen. Dat voorkomt ook dat voordringers hun kans kunnen grijpen. Als je dat ziet als treiteren van de voordringer, dan is dat jouw perceptie, niet de mijne. En als ik je daar niet mee overtuig, dan vraag ik me af wat je belangrijker vindt: een voordringer ruimte geven om voor te dringen of om tientallen auto's voor te laten dringen, terwijl die wél netjes op tijd ritsen.
Hoevaak ik het wel niet tegenkom dat als je ergens een account aanmaakt je vervolgens ook opeens de nieuwsbrief krijgt (zonder consent te hebben gegeven).
Dit is bij mijn weten een taak voor de ACM en niet voor de AP. GDPR vereist dat er een grondslag is voor deze verwerking, maar een expliciete opt in los voor de nieuwsbrief is daarvoor niet nodig. In nederland vereist de telecommunicatiewet die opt-in wel. In Europa in het algemeen is dat geregeld met 2002/58/EC. In die zin is het geen privacy issue, tenzij er echt geen grondslag is.
Er komt wel een ePrivacy directive aan die dit wel regelt. Deze had samen met de GDPR ingevoerd moeten worden, maar dit is niet gebeurd. Op het moment dat deze wel ingevoerd wordt zou het nuttig kunnen zijn de handhaving van deze opt-ins ook bij de AP neer te leggen.
Dit is bij mijn weten een taak voor de ACM en niet voor de AP. GDPR vereist dat er een grondslag is voor deze verwerking, maar een expliciete opt in los voor de nieuwsbrief is daarvoor niet nodig.
Je hebt effectief twee mogelijkheden voor de grondslag, toestemming of gerechtvaardigd belang. Als er geen toestemming is gegeven blijft dus gerechtvaardigd belang over. Wat daarvoor nodig is is:
er moet een belangenafweging gemaakt zijn (er moet dus een document zijn waar die afweging in staat)
er moet in de privacy verklaring aangekondigd zijn dat gegevens gebruikt gaan worden voor direct marketing
er moet geen gebruik gemaakt zijn van een unsubscribe of ander verzet
Effectief zal het in de meeste gevallen dus gewoon een zaak voor de AP zijn.
In nederland vereist de telecommunicatiewet die opt-in wel.
Als je alleen een account aanmaakt wel. Als je ook iets koopt weer niet.
Op het moment dat deze wel ingevoerd wordt zou het nuttig kunnen zijn de handhaving van deze opt-ins ook bij de AP neer te leggen.
Dan weet je zeker dat er niet gehandhaafd wordt. Ik heb toevallig net de afgelopen twee weken twee besluiten op handhavingsverzoeken van de AP gekregen. Direct marketing van een uitzendbureau: overtreding vastgesteld maar geen sancties. Direct marketing van een webshop: overtreding vastgesteld, maar alleen een berisping.
In bepaalde landen zie je vooral hoge boetes voor grote techbedrijven, die overigens meer dan terecht zijn gezien de impact van de overtredingen maar slechts in een paar landen zoals België, zie je dat er juist op kleinere schaal gehandhaafd wordt.
Ik snap dat het lastig is want 1 grote boete van miljoenen is natuurlijk aantrekkelijker om je tijd in te stoppen dan webshop Picobello die ongeoorloofd klantgegevens inzet voor extra eigen gewin.
Overigens vind ik wel dat de lokale politiek dan heel makkelijk zegt: Laat ze het dan in Brussel maar centraal regelen.
Het enige wat Brussel mijn inziens moet doen, is duidelijkere regels vastleggen en strenger handhaven op de uitvoering ervan in de verschillende landen.
Ik krijg nu de indruk dat in sommige landen, GDPR vooral als een makkelijke cash cow gezien wordt.
Volgens mij was er niet lang geleden in Italië ook een megaboete opgelegd maar was de onderbouwing zo matig, dat de rechter daar een streep door zette.
Ik heb juist de indruk dat het MKB (niet geheel onterecht) juist door
de AVG geraakt wordt en de hele grote jongens nog steeds
doen waar ze zin in hebben.
Onze firma is misschien bovengemiddeld braaf, maar we hebben er
af en toe de handen vol aan.
Op nieuwsbrieven geldt hoofdzakelijk de telecommunicatiewet als Lex specialis aanvullend op de AVG. Mbt tot nieuwsbrieven bestaat er een “opt-out” optie ipv een “opt-in” constructie tav aanmelden. Wanneer een bedrijf vindt dat je een klant bent, omdat je eerder zaken hebt gedaan, dan mag deze club jou elektronisch benaderen voor gelijksoortige waren en diensten, mits ze je een opt-out bieden. Moet je wel wat gekocht hebben natuurlijk. zo niet dan is dit hoofdzakelijk een overtreding van artikel 11.7 Tw
[Reactie gewijzigd door WouterL op 22 juli 2024 21:58]
Heel herkenbaar. Wat ik nog veel schokkender vind, is dat er nog steeds een bloeiende handel is in (illegaal verkregen) emailadressen. De hoeveelheid spam die ik per dag krijg, is echt bizar. En dan filtert de spamfilter al de meest foute dingen eruit. Maar hoe vaak ik niet berichten krijg als: 'dank voor het downloaden van onze whitepaper', terwijl ik dat echt nooit doe... Zels 'reputabele' bedrijven zoals IBM en MS doen hieraan. Bij bedrijven zoals Cisco werkte bijvoorbeeld de afmeldpagina maandenlang niet.
Maar ik ben ervan overtuigd dat deze bedrijven de emailadressen kopen van bedrijven die handelen in emailadressen en die claimen dat deze met consent zijn verkregen. Daar zouden ze eens onderzoek naar moeten doen...
Maar die camera's zijn dan meestal ook geen probleem. Althans. Wettelijk gezien.
Ik mag mijn erf/bezit bewaken met een camera, als ik daar een stukje openbare weg bij film is dat geen probleem.
Zolang ik een redelijkerwijs legitieme reden heb om dat te doen, mag het. Ik kan niet aankomen met het verhaal "Ik wil kijken hoeveel rode auto's er langs mijn huis rijden", maar ik mag prima mijn erf bewaken. Ook als ik bijvoorbeeld word lastiggevallen door buurt-idioten die afval in mijn tuin gooien (dan komen ze niet eens op mijn erf) https://blog.iusmentis.co...era-mag-als-dat-nodig-is/
Ja maar veel mensen hebben dus niet een beetje maar grote delen van de openbare weg op camera staan. Soms wel meerdere huizen aan de overkant met inkijk naar de woonkamer. En voor bewaking moet je ook een gegronde reden hebben.
Wat noem jij veel (in aantallen of procenten, met bron als het kan)? Ik heb me er nooit in verdiept.
Anekdotisch:
Mijn deurbelcamera ziet inderdaad het keukenraam van mijn overburen (had er oprecht niet over nagedacht) en inderdaad n theorie dus hun woonkamer, echter is hij met 2k/5MP niet scherp genoeg om daar wat zinnigs mee te kunnen.
Die gegronde reden gaat voor particulieren al redelijk snel. Bij mij is hij dus: ik wil mijn tuin, richting de straat, in de gaten houden.
(( mijn tuin is 13m diep, dan een stoep, een straat, nog een stoep en ongeveer 3m tuin van de overburen ))
De gegronde reden kan ook zijn dat er regelmatig troep in je tuin gegooid wordt. Dus dat gebeurd dan zelfs niet eens in je eigen tuin. (Aldus mijn link naar van dhr Engelfriet)
Uiteraard snap ik dat lang niet iedereen zo’n diepe tuin heeft, maar op papier val ik er dan ook onder?
Geen probleem? Dat valt niet op te maken uit een gebrek aan handhaving, gebrek aan onderzoek of de gegeven uitleg van de AP. Een beetje de openbare weg filmen is niet standaard toegestaan. De wet stelt namelijk dat privacy bescherming heeft tenzij een uitzondering redelijk is, niet andersom. Die redelijkheid is er niet in de vorm van gemak. Alleen lijken eigenaren de redelijkheid vaak al te willen zien in wat ze zelf voordelig uit komt, niet in echt moeite doen privacy te respecteren. Er zijn prima producten op de markt die het stuk openbare weg blurren, die niet continue filmen, die op te hangen zijn zodat er geen openbare weg zichtbaar is. Maar de AP controleert dat kennelijk in bijna geen geval en de personen die gefilmd worden worden nauwelijks op de hoogte gebracht van die vaste camera's (wat je in principe duidelijk voor kans op filmen van de persoon al hoort aan te geven als je toch de openbare weg mee neemt). Het geen probleem is dus eerder een probleem van gebrek aan negeren van de ontelbare voorbeelden, geen onderzoek doen, niet handhaven en de houding van AP en eigenaren dat de personen die ze filmen maar moeite moeten doen.
Echter: Dhr Engelfriet stelt op zijn blog (zie m’n linkje in m’n vorige post) dat het in de praktijk niet zo’n probleem is als je er een redelijk doel voor hebt en ‘en passant’ wat openbare zaken meeneemt omdat het redelijkerwijs niet te doen is, het anders te doen zonder je halve tuin om te bouwen. (( mijn vertaling van zijn verhaal ))
Ofwel. Zaken als je voordeur/tuin/oprit in de gaten houden zouden een redelijk doel moeten zijn.
Hij haalt zelfs aan dat je de stoep voor je tuin kan filmen als er regelmatig afval in tuin gegooid wordt vanaf de straat.
Dat blog lijkt me vooral een bewijs dat het allang tijd is dat de toezichthouder onderzoek doet en gaat handhaven.
Met beweringen als Het mag als je die papierwinkel invult. en met meningen als een inhoudelijk argument dat voor mij genoeg is zonder afwegingen als hoe maak je zo min mogelijk inbreuk, waaruit blijkt je moeite tot minimaliseren, klinkt dat niet als een neutraal en redelijk betoog. Daarbij lijkt voor die meningen zelfs geen rekening gehouden met bestaande uitspraken, zoals aanpassen aan deze uitspraak: https://www.recht.nl/rech...i=ECLI:NL:RBOBR:2022:2244 die duidelijk maakt dat je de grondslag (doel) noemen niet genoeg is en je vooraf moet aantonen (terwijl je niet iedereen uit gemak vooraf maar als verdachte kan bestempelen voor je doel) dat het prima is dat je al die personen maar filmt. Het laat ook weg dat minimaliseren prima kan, dus niet zomaar kan negeren. Het laat ook weg dat er regels zijn over filmen met vaste camera's, met uitgangspunten die je niet zomaar kan negeren.
Nee ze zouden sowieso de fabrikanten aan moeten pakken door te eisen dat al die apparaten een duidelijke indicatie hebben om aan te geven wanneer ze filmen (al dan niet dus continue). Dan is het aan jou als burger om eventueel bezwaar te maken.
Uuh.. als je langs loopt bijvoorbeeld door beweging en dan even te denken dat je wordt opgenomen. Je wordt namelijk overal opgenomen dus fabrikanten hoeven dat niet aan te geven.
De AP heeft een paar weken geleden daar nog afspraken over gemaakt met Tesla. De conclussie was dat de fabrikant wel degelijk een verantwoordelijkheid heeft om hoe dan ook niet zomaar lange tijd en standaard maar filmen aan te bieden voor een product dat men oa verkoopt voor op of aan de openbare weg. Daarbij zijn ook afspraken gemaakt dat het product ontworpen is om voorbijgangers te waarschuwen.
Maar uiteraard hebben met of zonder die mogelijkheden de eigenaren hoe dan ook verantwoordelijkheid om aan de privacywetgeving te voldoen en de AP de verantwoordelijkheid om te controleren en handhaven. Dat de AP dat nauwelijks doet is duidelijk.
[Reactie gewijzigd door kodak op 22 juli 2024 21:58]
Die hele privacywetgeving is een lachertje en net zo idioot als een cookiemuur op een website waar je maar zogenaamd akkoord mee gaat. En ondertussen zoeken deze bedrijven de grenzen op van de wetgeving om er alsnog mee weg te komen. Het is allemaal half bakken!
Ik heb zo een keer gehad dat mijn Tesla moest ingrijpen met de 'noodrem' om een ongeval te voorkomen door hufterig gedrag van een medeweggebruiker. De opnames werden dankbaar gebruikt door de politie en de betreffende verkeershufter (een bekende van de politie) is hiermee een paar maanden zijn rijbewijs kwijtgeraakt. De verkeersveiligheid is daarmee gediend: ik ben niet de enige op de weg met vrouw en kinderen.
Ook heb ik een keer in het buitenland gehad dat iemand een buitengewone interesse had voor mijn auto en zich moeilijk kon bedwingen om toegang te krijgen, totdat hij opmerkte dat hij gefilmd werd en het hazenpad koos.
Dat neemt niet weg dat dergelijke opnames tot in eeuwigheid bewaard moeten of mogen blijven. Tesla geeft je nu de hulpmiddelen en guidance in de het scherm hoe je je AVG Proof kunt gedragen. De belangrijkste schakel is en blijft de eindgebruiker, net zoals dit het geval is bij beveiligingscamera's en dergelijke.
Zo werkt ons rechtssysteem. Geen enkele wet wordt voor 100% gehandhaafd. Verre van. Dat kan ook helemaal niet.
Dat is ook niet het uitgangspunt van welke wetgeving dan ook. Als Nederlander wordt je geacht de wet te kennen en je er aan te houden. Het kan en mag niet van de aanwezigheid van toezicht afhangen dat je je aan de wet houdt. Dat doe je met onverantwoordelijke kleuters, maar niet met volwassenen.
Ik snap niet dat jij je zorgen maakt om camera's van huishoudens. Die dingen worden vaak alleen gebruikt om criminelen op te sporen. Stel je voor dat opa Gerrit op zijn zolder computer jou met de hond op straat ziet lopen. Wat een privacy invasie!
Of die eindeloze hoeveelheid camera’s die tegenwoordig de openbare straat filmen (veel al deurbellen) zonder enige indicator dat ze aan of uit zijn.
Tja, als ik zie hoe slecht er wordt opgetreden tegen criminaliteit in slechte wijken in Den Haag. Dan kan ik me heel goed voorstellen dat je daar voor elke voordeur een camera ziet staan (meestal niet zo'n dure deurbel maar een xiaomi cammetje in het erkertje)
Ze staan daar gewoon op vaste plekken op straat te dealen elke avond. De politie doet er geen fuck aan want het is toch maar een slechte buurt en 'er is geen capaciteit'. Ze rijden soms zelfs langs maar ingrijpen ho maar. Geen wonder dat omwonenden camera's voor het raam gaan zetten. Het zou van de gekken zijn als ze over die camera's gaan zeuren want burgers moeten zich toch zelf beveiligen als de politie er met de pet naar gooit.
Moet je eens kijken als ze gaan dealen in het benoordenhout (nette buurt) en er de hele avond BMW's langsrijden met vage gasten die pakjes afgeven, dan kan het opeens wel. Maargoed. Zo is Nederland.
[Reactie gewijzigd door GekkePrutser op 22 juli 2024 21:58]
Tja, GDPR/AVG. Een mooi voorbeeld van gefaalde wetgeving (zoals zoveel moderne wetgeving).
Een onsje meer privacy, maar de echte problemen, de echte schendingen vooral via het oogsten van ongelofelijke hoeveelheden data, zijn niet opgelost en zullen waarschijnlijk ook niet opgelost worden.
Het grootste probleem is het systeem van boetes. Daar waar boetes verschijnen wordt het wel of niet voldoen aan de wet een economische overweging. Verdien ik meer dan de boete? Dan is overtreden geen enkel probleem bij het overgrote deel van zeker multinationals, maar eigenlijk zo ongeveer alle bedrijven.
Effectieve wetgeving vergt een vorm van echte bestraffing die op persoonlijk niveau pijn doet. Leuk zo'n boete van 1.2 miljard voor Meta, waarschijnlijk hebben ze een veelvoud aan deze misdaden verdiend, dus als businessmodel prima gedaan. 23 miljard winst per jaar, peanuts dus. De eigenaren veroordelen tot lange gevangenisstraffen en om uitlevering vragen, dat zou een hele andere dynamiek brengen.
[Reactie gewijzigd door delpit op 22 juli 2024 21:58]
Aandeelhouders zagen dus 5% 'winst' verdampen door zo'n actie. Hun aandelen hadden 5% meer waard kunnen zijn. Dat is serieus veel geld voor veel investeerders. Laat Meta maar kwantificeren dat zij meer dan 5% hebben verdiend door (bewust) Europese wetgeving te overtreden.
Zie je het al voor je in tijdens de presentatie van de kwartaalcijfers??
"Wij hebben 1,5 miljard verdiend door de data van Europese gebruikers naar een ander plekje op de Aarde te kopiëren? En oh ja. Als we hier mee doorgaan wordt de boete nog hoger volgend jaar, maar we zullen dan vast nog meer geld ermee verdienen!!"
Het grootste probleem is het systeem van boetes.
[..]
Effectieve wetgeving vergt een vorm van echte bestraffing die op persoonlijk niveau pijn doet.
Toezichtsautoriteiten hebben meer middelen tot hun beschikking dan enkel boetes.
Zo kunnen ze zelfs een permanent verbod op verdere verwerking van persoonsgegevens opleggen. (Art 58f)
Die boetes zijn een percentages van de omzet en stijgen bij herhaling. Er is dus geen prikkel om een afweging te maken tussen overtreden en conformeren.
De AVG heeft helemaal niet gefaald. De meeste bedrijven gaan veel beter met privacy om en nemen privacy-aspecten tegenwoordig mee in alle beslissingen. Dat is gewoon winst. Ook zonder handhaving is de bescherming van persoonsgegevens er flink op vooruit gegaan.
Ook blijkt de soep niet zo heet gegeten te worden als ze wordt opgediend. Aanvankelijk leek het pure bureaucratie te worden maar in werkelijkheid lijkt werkbaarheid en redelijkheid de boventoon te voeren. Daarnaast vraag ik me af hoe je hebt gemeten dat veel moderne wetgeving faalt. is daar onderzoek naar gedaan?
Ik ben met terugwerkende kracht heel content met de AVG overtreding die een private muziekdocent consequent deed. Dat overtreding irriteerde me al jarenlang en de docent er op aanspreken had geen effect. De issue: in alle emails werden alle leerlingen en ouders genoemd als CC.
Nu is de (bijzonder geliefde) docent plotseling terminaal ziek. Familie heeft de docent niet en het netwerk om de docent kennen we niet. Doordat we over de emailadressen kunnen beschikken, hebben we alle ouders kunnen mailen om zo tot een mooie afsluiting te gaan komen.
Het gebruiken van zo’n emailadres zal ook wel weer een inbreuk zijn op de AVG: in de email iedereen een opt-out geboden (mag vast ook niet). Niemand heeft daar gebruik van gemaakt, iedereen reageerde enthousiast.
Al met al: zo’n inbreuk in de AVG kan ook positief uitpakken.
Waar de AVG zulke kleine partijen vroeger buitensporig hard leek te raken, zijn de DSA en DMA alleen van toepassing op zogenaamde poortwachters.
Dat is incorrect.
Enkel de DMA spreekt van 'poortwachters.'
De DSA is van toepassing op alle hosting diensten, waaronder online platforms, ongeacht grootte.
Alleen zijn er binnen de DSA extra scherpe regels voor zogenaamde 'zeer grote' diensten.
Wel is het zo dat om als 'zeer groot' te boek te staan, een organisatie moet voldoen aan grofweg dezelfde drempels en drempelwaardes als om binnen de DMA als poortwachter gekend te worden - maar het is ook dan nog steeds wel een ander concept. Poortwachters bestaan binnen de DSA niet.
[Reactie gewijzigd door R4gnax op 22 juli 2024 21:58]
Conclusie: Goede plannen genoeg maar het gaat mis bij de controle en handhaving, want dat kost te veel geld.
Hetzelfde verhaal als bij alles dus, van verkeersveiligheid tot hondepoep, van onderwijs tot voedselveiligheid en van zorg tot milieuregels, van verslavingszorg tot defensie en van cultuur tot vluchtelingenopvang.
Even een kleine nuance over de boetes. Die worden betaald van onze centjes. Klinkt allemaal heel stoer en kordaat, maar het is u die de rekeningen betaald.
Kan je daar op uitweiden?
Ik snap de context van je statement niet helemaal. Hoe betaal ik mee aan een boete aan Google/Meta/De Belastingdienst/enz
Hoe ik het zie:
Ik gebruik geen (betaalde) diensten van de eerste twee. De derde wordt inderdaad gefinancierd door de Overheid en is daarmee een kostenpost voor de Overheid (en daarmee dus ‘mij’). Echter gaat de boete ook richting diezelfde overheid en zijn de enige echte nettokosten voor mij ‘de rechtszaak/procedure’ waar ik dan kort door de bocht een-tienmiljoenste van betaal dus dat loopt wel los.
Begrijp ik je verkeerd? (( niet lullig bedoeld, gewoon een oprechte vraag ))
Als Google/Meta een boete moeten betalen dan zullen de kosten voor advertenties omhoog gaan en als de advertentiekosten omhoog gaan dan zullen de productprijzen stijgen. Dat zal natuurlijk niet 1-op-1 zijn, maar er is een effect. Verder kost de AP ook geld hetgeen via de belastingen betaald wordt.
Misschien heb je heel erg op papier gelijk, maar ik vind hem in de praktijk nogal vergezocht . Ik had er zelf ook aan zitten denken, maar ik kon het niet rechtpraten in m'n hoofd.
De meeste bedrijven werken met een vast budget voor adverteren. Als het duurder wordt, worden er domweg minder advertenties geplaatst of op een tactischer plaats.
Het adverteren op Google/Meta-diensten is natuurlijk niet het 'doel' van de advertentie. Google/Meta-diensten zijn slechts een vervangbaar middel.
Verder kost de AP ook geld hetgeen via de belastingen betaald wordt.
Klopt. Maar de AP heeft ook een maatschappelijk doel. De AP is sowieso nodig en zij doen meer dan boetes uitdelen. Echter zou je kunnen stellen dat het stukje 'boetes uitdelen' juist het stukje is, dat de AP kostendekkend kan laten zijn.
Je conclusie is onjuist omdat dat soort bedrijven aan winstmaximalisatie doen. Maw ze vragen altijd de maximale prijs en verhogen nav een boete kan dus niet.
Als het om overheidsdiensten gaat is dat gemakkelijk natuurlijk: Die worden gefinancieerd met belastinggeld. Geen idee of @Yzord alleen daar op doelde of ook op de particuliere bedrijven.
Edit: Voor particuliere bedrijven zou je nog kunnen denken aan verkoop van jouw data, wat een mooie cirkel rond is, want daar gaat de AVG juist (deels) over.
[Reactie gewijzigd door MatHack op 22 juli 2024 21:58]
Klopt, dat schreef ik ook, maar de boete gaat naar dezelfde stapel en vloeit weer terug in de staatskas. Dan kost het echt alleen wat procedures/rechtzaken als het zo ver komt.
Kan je daar op uitweiden?
Ik snap de context van je statement niet helemaal. Hoe betaal ik mee aan een boete aan Google/Meta/De Belastingdienst/enz
Hoe ik het zie:
Ik gebruik geen (betaalde) diensten van de eerste twee. De derde wordt inderdaad gefinancierd door de Overheid en is daarmee een kostenpost voor de Overheid (en daarmee dus ‘mij’). Echter gaat de boete ook richting diezelfde overheid en zijn de enige echte nettokosten voor mij ‘de rechtszaak/procedure’ waar ik dan kort door de bocht een-tienmiljoenste van betaal dus dat loopt wel los.
Begrijp ik je verkeerd? (( niet lullig bedoeld, gewoon een oprechte vraag ))
Voor de overheid is er geen potje 'Te betalen boetes' waar alle overheidsinstanties uit mogen putten wanneer ze een boete krijgen, dat ook weer wordt gevuld door de ontvangen boetes.
Elke overheidsorganisatie (en elke afdeling binnen die organisaties) krijgen elk jaar een vastgesteld budget voor het uitvoeren van de toebedeelde taken. Wanneer het niet juist uitvoeren van die taken resulteert in een boete, moet die boete uit datzelfde budget betaald worden. Wanneer die boete bij de begroting al niet was voorzien, betekent dat dus dat die boete ten koste gaat aan andere uitgaven. Dan betekent een boete dus dat vacatures niet worden ingevuld, apparatuur niet wordt vervangen, onderhoud niet wordt gepleegd, etc. Dat is meestal voor de kwaliteit van de uitvoering niet bepaald gunstig.
Dat snap ik.
Ik reageer puur op de opmerking @Yzord dat het ‘ons centjes kost’.
Je zou het kunnen doorrekenen dat als overheidsorgaan 123 iets niet kan dat jaar doordat ze op dat moment geen geld hebben voor Vacature 1 of apparatuur XYZ vervangen, dat dat ‘ons’ dan geld kost. Echter is dat in de praktijk natuurlijk heel moeilijk te kwantificeren (kijkend naar ‘onze centen’), zeker omdat de boete terugvloeit in een potje ‘onvoorziene inkomsten’ (of zo) waar een ander overheidsorgaan mogelijk weer besparende zaken op kan regelen (al dan niet voor de lange termijn) .
Ook dat is natuurlijk moeilijk te kwantificeren.
Edit: typo
[Reactie gewijzigd door lenwar op 22 juli 2024 21:58]
Soms is het lastig om kosten door te rekenen, maar niet altijd.
Stel jij denkt er al langere tijd over na om een schuurtje te laten bouwen. Dan hoor je van je buurman dat bouwbedrijf X een grote opdracht heeft verloren en over drie maanden te weinig werk heeft, waardoor het voor jou mogelijk is tegen een leuk prijsje een schuurtje te laten bouwen. Je laat dus een bouwtekening maken en je vraagt bij je gemeente een bouwvergunning aan.
De gemeente heeft echter net een boete gekregen omdat ze niet goed op papier hadden vastgelegd volgens welke grondslag ambtenaren die bouwvergunningen afgeven gegevens opvragen uit het kadaster. Die boeten komt ten laste van de afdeling 'vergunningen', bovenop de extra kosten om versneld alsnog alles goed op papier te zetten. Als gevolg daarvan kunnen twee ambtenaren die met pensioen gaan niet vervangen worden en kan een haperend verouderd computersysteem niet vervangen worden en worden standaard brieven niet bijgewerkt naar de laatste wet- en regelgeving. De afdeling, die al krap zat, moet het werk dus doen met twee ambtenaren minder, waar de overgebleven ambtenaren door het haperende computersysteem langer bezig zijn om hun werk te doen (en af en toe stukken of brieven kwijtraken) en langer bezig zijn om de afgegeven vergunningen en begeleidende brieven aan te passen aan de huidige wet- en regelgeving. Hierdoor kan je vergunning niet binnen de standaard zes weken worden afgegeven, en duurt het twee maanden langer.
Tegen de tijd dat je alles rond hebt en je mag gaan bouwen is het gat in de orderportefeuille van het bouwbedrijf verstreken en mag je de volle mep betalen en zijn ondertussen ook de kosten van de bouwmaterialen weer flink gestegen. Dan kan je er voor kiezen om van het plan af te zien, maar dan heb je dus kosten gemaakt voor het maken van de bouwtekeningen en voor de leges voor de bouwvergunning. Je kan er ook voor kiezen om door te zetten, maar dan heb je extra kosten voor het bouwen en extra kosten voor de bouwmaterialen. Dus in dit voorbeeld zijn de extra kosten voor een individuele burger goed te kwantificeren.
Ondanks het woord nuance is je reactie alles behalve genuanceerd.
We betalen met z'n allen voor onze rechten en vrijheid. We hebben regels en handhaving daarvan kost nou eenmaal geld. Dat is een deel van de afweging welke wordt gemaakt bij de introductie van nieuwe wetten.
Instanties welke wetten overtreden vervolgen mag niet afhankelijk zijn van hoe ze gefinancierd zijn.
Hij bedoeld: wij betalen de bedrijven (via advertenties, blauwe checkmarks, onze data die doorverkocht word, etc) en die bedrijven betalen de boete… hij had het in dit geval niet over belasting.
[Reactie gewijzigd door Laurens-R op 22 juli 2024 21:58]
In dat geval is het een bewuste keuze diensten af te (blijven) nemen van deze bedrijven.
Met die beredenering betalen de spreekwoordelijke wij ook voor de milieu boetes van TATA steel of BP. Deze bedrijven overtreden ook wetten om ons producten aan te bieden "waar we niet zonder kunnen".
Het gaat er niet om dat de boete van ons geld wordt betaald, het gaat erom dat de spelers die niet volgens de regels willen spellen een nadelige concurrentie positie krijgen door deze kostenpost welke de concurrent niet heeft.
Hoe dit werkt in het geval dat er geen concurrentie is is een andere discussie
Het betalingsverkeer is een circulair iets: je kunt altijd redeneren dat een boete door "iedereen" betaalt wordt.
Immers, als ik veel boetes krijg ga ik bij mijn baas klagen dat ik meer salaris wil, en als-ie dat honoreert verhoogt hij uiteindelijk z'n prijzen, en mogen onze klanten dus aan mijn boetes meebetalen. En dat herhaalt zich naar hun klanten, etc etc.
Het hele principe van boetes is dan ook niet "we trekken geld weg bij de veroorzaker" maar "we proberen de veroorzaker in te laten zien dat-ie verkeerd bezig is en proberen hem te bewegen zijn gedrag aan te passen" - waardoor hopelijk de spiraal doorbroken wordt.
Aan de ene kant is het mooi dat er veel meer aandacht is voor privacy, bescherming enz. Aan de andere kant staat de kraan af en toe echt nog wagenwijd open.
Om Zweden erbij te pakken; de overheidsinstanties bieden veelal een API aan waardoor eigenlijk al je gegevens opgevist kunnen worden. Inkomen, belasting, woonadres, vorige woonadres, geboortedatum, persoonsnummer, huisdieren, voertuigen, partner, ... Deze gegevens worden opgevist door bedrijven met een 'publicatielicentie' (vergelijkbaar met nieuws-organisaties) waardoor ze opeens volledig buiten deze wetgevingen vallen en er gewoon dik aan verdienen (betaal-dienst voor specifieke info).
We staan erbij en kijken ernaar. Niets, maar dan ook echt niets, wordt eraan gedaan. Je hebt gewoon nul controle hierover. Ingeschreven in de Zweedse bevolkingsregister? Dan hang je. Enige uitzondering is 'beschermde personen', maar daarvoor moet je een gerechtelijk process door...
Maar als een ander bedrijf iets niet helemaal goed heeft ingeregeld dan volgt er een boete. Does not compute. En dat is mijn inziens ook wel de zwakte van zulke wetgeving. Allereerst brakke toezicht. En dan ook nog meer bizarre uitzonderingsposities.
Veel informatie in Zweden, zoals het bevolkingsregister en belastingaangiften, zijn bij wet openbaar en publiekelijk toegankelijk.
Door die wettelijke verplichting is er een verwerkingsgrond in de AVG voor de overheid om die gegevens beschikbaar te stellen. Dat zal dan blijkbaar ook gelden voor bedrijven die die gegevens inzichtelijker maken en beschikbaar stellen.
Voor andere verwerkingen van diezelfde persoonsgegevens, voor andere doeleinden, is een andere verwerkingsgrond nodig en moet een bedrijf dat dus AVG-technisch goed georganiseerd hebben.
In Zweden gelden andere wetten, dus daar kan de Nederlandse AP niet veel mee.
Honderd procent privacy bestaat niet. De vraag is dan ook niet hoe je dat bereikt, maar hoe je op een zinnige manier met gegevens om gaat.
Een andere aanpak kan ook zinnig zijn. Als een deel van je gegevens openbaar zijn heeft dat ook voordelen. Je kunt bijvoorbeeld aan mij meteen zien cq opmerken als je me aanspreekt en ziet lopen, dat ik geen tiener meer ben en geen vrouw, wat mijn lengte ongeveer is, grofweg mijn gewicht, huidskleur, kleur ogen, dat ik waarschijnlijk niet ernstig lichamelijk gehandicapt ben, Nederlands spreek, etc etc.
Dit maakt het moeilijker voor anderen om zich voor mij uit te geven bij een controle irl.
In het begin mogen er van mij netjes boetes worden gegeven, maar heb je je 1x in je vingers gesneden, denk erom dat er bij een 2e keer, andere gevolgen gaan komen, directie en management aanspreken en uitzoeken waar die rotte appel zit en dan strafvervolging en ontslag en niets uitkopen of regeling treffen.
Zelfde geldt ook voor die ministers die dit bewust doen, strafvervolging, dan gaan ze wel anders denken want nu hebben ze een vrijbrief.
Als ik te hard rij, krijg ook ik een bekeuring en een leuk strafblad, download ik iets verkeerds, zit Brein achter me aan en ga zo maar door, nu nog de mentaliteit veranderen van die figuren die nu nog steeds doorgaan, wie niet wil luisteren, niet janken en op je blaren zitten en je eigen verantwoording dragen.
/i/2004582292.png?f=fpa_thumb)
:fill(white):strip_exif()/i/2003989646.jpeg?f=imagemedium)
Het is moeilijk te staven of de naleving van en het bewustzijn over de wet echt goed gaan in Nederland. "Je ziet wel steeds meer aandacht voor privacy", zegt de AP-voorzitter. "Er is meer bewustzijn van de gevaren van misbruik, zeker nu er onlangs zoveel in het nieuws is over ChatGPT en kunstmatige intelligentie. De coronaperiode hielp met die aandacht, met een aantal grote datalekken zoals :strip_exif()/i/2004823388.jpeg?f=imagenormal)
:strip_exif()/i/2005788952.jpeg?f=imagenormal)
:strip_exif()/i/2005788954.jpeg?f=imagemedium)
/i/2002568432.png?f=imagenormal)
:strip_icc():strip_exif()/i/2006852536.jpeg?f=fpa_thumb)
:strip_icc():strip_exif()/i/2006495064.jpeg?f=fpa_thumb)
/i/2004735554.png?f=fpa)
:strip_exif()/i/2005763752.jpeg?f=fpa)
:strip_exif()/i/1207076674.gif?f=fpa)
:strip_exif()/i/2004648160.jpeg?f=fpa)
:strip_exif()/i/2006378028.jpeg?f=fpa)
:strip_exif()/i/2006225226.jpeg?f=fpa)
/i/2004907232.png?f=fpa)
:strip_exif()/i/2004776604.jpeg?f=fpa)
:strip_exif()/i/2004806902.jpeg?f=fpa)
:strip_exif()/i/2004648164.jpeg?f=fpa)
/i/2005182236.png?f=fpa)
/i/2004620466.png?f=fpa)
:strip_exif()/i/2005669902.jpeg?f=fpa)
:strip_icc():strip_exif()/u/789283/crop65b0dfe4af024_cropped.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/71414/images.jpg?f=community){kind=small}
/u/75323/5procentoog.JPG?f=community){kind=small}
:strip_icc():strip_exif()/u/71325/blablaleet.jpg?f=community){kind=small}
:strip_icc():strip_exif()/u/97486/crop5d2ae1c7d10b2_cropped.jpeg?f=community){kind=small}
zo niet dan is dit hoofdzakelijk een overtreding van artikel 11.7 Tw
:strip_exif()/u/15094/gibsonvierkant.gif?f=community){kind=small}
/u/176086/crop5f0823fa5e8d6_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/1409850/crop5ee4a83aea275_cropped.jpeg?f=community){kind=small}
:strip_exif()/u/119419/candc-60px.gif?f=community){kind=small}
/u/8115/tweakers.png?f=community){kind=small}
:strip_icc():strip_exif()/u/63694/spion200_250-150x150.jpg?f=community){kind=small}
/u/236860/crop689888d9b3d62_cropped.png?f=community){kind=small}
/u/36698/avatar.png?f=community){kind=avatar}
/u/125288/crop588f32af4f776_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/73625/Tetris_failure_ava_forum.jpg?f=community){kind=small}
/u/362622/crop61582b5a3ebcf_cropped.png?f=community){kind=small}
:strip_exif()/u/324634/crop659fcf9abb18b_cropped.gif?f=community){kind=small}