Door Sander van Voorst

Nieuwsredacteur

De AVG komt eraan

Wat kun je er precies mee?

Inleiding

Sinds 2012 in de maak, in 2016 gereed en vanaf 25 mei van kracht: de algemene verordening gegevensbescherming heeft lang op zich laten wachten, maar over iets minder dan een week is het zover. "Eindelijk", zullen sommigen denken. Voor anderen mag de AVG nog wel enkele jaren worden uitgesteld. Hoe je er ook over denkt, het is belangrijk te weten wat voor veranderingen deze Europese wetgeving met zich meebrengt, behalve dat je een hoop mail over nieuwe voorwaarden ontvangt en je ineens voor van alles je toestemming moet geven. Daarom gaan we het hebben over de belangrijkste onderdelen van de AVG; wat kun je er precies mee als burger en wat betekent de wet voor organisaties? Het is de bedoeling dat je na het lezen van ons overzicht beslagen ten ijs komt en je rechten kunt laten gelden terwijl je op de hoogte bent van de plichten van bedrijven.

De AVG, gdpr, privacyverordening of hoe je hem ook wilt noemen, is bedoeld om de privacywetgeving van alle Europese lidstaten zo goed mogelijk gelijk te trekken. Hij vervangt in Nederland de huidige Wet bescherming persoonsgegevens, die is gebaseerd op een Europese richtlijn uit de jaren negentig. Er zitten naast veel ongewijzigde onderdelen ook nieuwe elementen in, bijvoorbeeld het recht om je gegevens mee te nemen naar een andere dienstverlener, of de in sommige gevallen torenhoge boetes die toezichthouders kunnen opleggen. Ook deze laten we de revue passeren.

Er is nog veel onduidelijk over de nieuwe regels, wat zich manifesteert in de vraag 'of jij al AVG-ready bent'. We zien grote techbedrijven, wellicht usual suspects voor toezichthouders, zich opmaken voor de komende veranderingen. Hetzelfde geldt voor kleinere organisaties. In de aanloop naar 25 mei is er veel gebeurd op het gebied van privacy, denk aan de gebeurtenissen rond Cambridge Analytica, waardoor Facebook in het middelpunt van de aandacht is komen te staan. Het is de vraag in hoeverre het met de AVG mogelijk zal zijn een vuist te maken tegen grote databedrijven en een stukje controle over onze gegevens terug te krijgen. Het worden ongetwijfeld spannende tijden voor de bescherming van de persoonlijke levenssfeer: een van onze grondrechten.

Wat je moet weten

Voordat we beginnen

De AVG is belangrijke wetgeving op het gebied van privacy, dus voordat we haar helemaal gaan uitpluizen, is het handig dat je op de hoogte bent van een aantal zaken die het eenvoudiger maken om alles in de juiste context te plaatsen. We zullen proberen dat proces zo aangenaam en interessant mogelijk te maken. Het gaat vooral om bepaalde begrippen en concepten.

De verordening is van toepassing op de verwerking van persoonsgegevens. Die zin bevat meteen al twee van de belangrijkste concepten. Wat je moet weten is dat het begrip 'persoonsgegevens' heel breed is. Officieel gaat het om gegevens over 'geïdentificeerde of identificeerbare personen'. Het is bovendien mogelijk om personen direct of indirect te identificeren. Bij directe identificatie kun je denken aan een naam. Aan de hand daarvan is het eenvoudig iemand te identificeren. Bij indirecte identificatie gaat het erom of het mogelijk is een persoon te identificeren aan de hand van combinaties van unieke eigenschappen binnen een bepaalde groep. Dan gaat het om het herleiden van gegevens tot een bepaald persoon.

Voorbeelden van persoonsgegevens uit de AVG zijn 'een identificatienummer, locatiegegevens, een online identificator, of een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van een persoon'. Er zijn ook bijzondere persoonsgegevens, bijvoorbeeld over ras, politieke opvattingen en gezondheid. Die mogen niet verwerkt worden, tenzij er een geldige reden is. In de AVG zijn ook genetische en biometrische gegevens als bijzonder aangemerkt. Een uitzondering voor biometrische gegevens is bijvoorbeeld dat ze wel voor beveiligings- en authenticatiedoeleinden verwerkt mogen worden.

Ten slotte zijn gegevens van overleden personen geen persoonsgegevens. Hetzelfde geldt voor geanonimiseerde data. Gegevens onder een pseudoniem blijven echter wel persoonsgegevens, omdat die vaak alsnog tot een persoon zijn te herleiden met behulp van andere gegevens. Denk aan het toekennen van nieuwe namen aan personen, waarbij de koppeling wordt bijgehouden in een afzonderlijke tabel.

Verwerken

Je zag het begrip 'verwerken' hiervoor al langskomen en dat zal in de loop van dit stuk nog veel vaker gebeuren. Ook dit begrip is heel breed. Er vallen handelingen onder met betrekking tot persoonsgegevens, zoals het verzamelen, opslaan en raadplegen ervan. Maar bijvoorbeeld ook het gebruiken, combineren en wissen van data wordt gezien als verwerkingshandeling. Andere begrippen zijn 'verantwoordelijke', 'verwerker' en 'betrokkene'. Onder dat laatste begrip, in het Engels aangeduid als data subject, vallen de personen van wie de persoonsgegevens zijn, bijvoorbeeld de gebruikers van een dienst. Die dienst, neem Google, is dan de verantwoordelijke. Die bepaalt voor welk doel en op welke manier gegevens mogen worden verwerkt. Een verantwoordelijke kan ook een verwerker aanwijzen, die de verwerking van gegevens op zich neemt, bijvoorbeeld een aparte dienstverlener voor het opslaan van data.

Als je je tot hier hebt weten door te vechten, ben je al een heel eind. Nu moet je alleen nog weten dat het verwerken van persoonsgegevens alleen mag op basis van zes verschillende juridische gronden, oftewel redenen. Die worden allemaal genoemd in de AVG. De bekendste daarvan is toestemming, waarop we verderop nader ingaan. Er zijn echter ook andere mogelijkheden voor organisaties om jouw gegevens te mogen gebruiken, ook al geef je daarvoor geen toestemming. Die staan hieronder.

Reden Voorbeeld
Uitvoering van een overeenkomst Een webshop moet jouw adres verwerken om je een pakket toe te sturen.
Nakomen van een wettelijke verplichting Een bedrijf levert jouw informatie aan de politie, omdat het daartoe wettelijk is verplicht.
Vitale belangen Iemand raadpleegt jouw medische gegevens op je telefoon omdat je betrokken bent bij een ernstig ongeluk.
Algemeen belang of uitvoering van openbaar gezag Een gemeente houdt toezicht met camera's op basis van een wettelijk geregelde taak.
De verwerking is noodzakelijk voor een gerechtvaardigd belang dat zwaarder weegt dan dat van de betrokkene Een bedrijf houdt een personeelsadministratie bij of stuurt marketingmateriaal aan zijn klanten.
Toestemming Zie volgend hoofdstuk

Wat is er nieuw voor burgers?

Omdat nieuwe dingen het leukst zijn, kijken we hier eerst naar de belangrijkste vernieuwingen die de AVG met zich meebrengt voor burgers. Hiervoor hebben we al even aandacht besteed aan de verwerkingsgrond van toestemming, waarvan we hier de verschillen met de nieuwe versie kort bespreken. Je zult in de toekomst vaak om toestemming gevraagd worden, dus is het goed te weten wat je van die vraag mag verwachten.

Toestemming

Onder de huidige wet luidt de definitie:

elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt

De AVG hanteert deze bewoording:

elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt

Wat meteen opvalt, is de vermelding van een 'ondubbelzinnige actieve handeling' in de AVG. De verordening is zelf vrij duidelijk op dit punt en daarom vermelden we hier nog een andere zin: "Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden." "Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden." Je kunt zien dat deze zin voortborduurt op de actieve handeling, wat dan weer concreet betekent dat van tevoren aangekruiste hokjes niet meer mogen. Een andere eis is dat als elektronisch om toestemming wordt gevraagd, dit kort en duidelijk moet zijn en niet storend mag zijn voor het gebruik van de dienst. Het is de vraag hoe dat laatste uiteindelijk wordt geïmplementeerd en wat de gangbare manier wordt, maar een cookiemuur 2.0 rolt er hopelijk niet uit.

Verder mag een organisatie niet in één keer toestemming voor van alles en nog wat vragen. Als een bedrijf bijvoorbeeld jouw gegevens wil gebruiken voor het verbeteren van zijn machinelearningalgoritmes en voor marketingdoeleinden, moet het dus twee keer om toestemming vragen, omdat dit verschillende verwerkingsdoelen zijn. Bij alle toestemmingsverzoeken moet het bovendien duidelijk aangeven wat het doel is, wat de identiteit van het bedrijf is, welke gegevens het verzamelt en dat je het recht hebt om je toestemming in te trekken. Dat proces mag niet ingewikkelder zijn dan het geven van toestemming. Ten slotte moet toestemming vrij gegeven zijn, wat bijvoorbeeld van belang is in machtsverhoudingen, zoals tussen werkgever en werknemer. De AVG zelf noemt specifiek het voorbeeld van een overheidsinstantie. De verlening van een dienst mag ook niet afhankelijk worden gesteld van het verlenen van toestemming, voor zover die niet nodig is voor de dienstverlening.

De AVG bevat ook een hele rits rechten waarvan we met z’n allen gebruik kunnen maken. Die zijn niet allemaal nieuw, maar komen voor een groot deel al voor in de wet waarmee we het nu nog doen. In de eerste plaats is er het recht op 'dataportabiliteit'.

Portabiliteit

Dit recht maakt het kort gezegd mogelijk om je gegevens bij een organisatie op te vragen in een door machines leesbaar formaat, bijvoorbeeld om naar een andere dienst te verhuizen en je gegevens daarnaartoe mee te nemen. Als je nu denkt: 'hadden we dit recht niet ook al onder de Wbp?' dan zit je ernaast, maar niet helemaal. Onder de huidige wet was er al een recht op inzage, maar dat was minder uitgebreid en stelde andere eisen. Volgens de Artikel 29-werkgroep waren mensen bijvoorbeeld gebonden aan het formaat dat de verwerker van de gegevens koos. De Nederlandse wet zei dan ook alleen dat de gegevens begrijpelijk moesten zijn.

Daar is nu een aantal eisen bijgekomen. Zo moeten de gegevens die je opvraagt, niet alleen 'machineleesbaar' worden aangeleverd, maar moet dat formaat ook 'gestructureerd, gangbaar, en interoperabel' zijn. Hoewel niet expliciet in de wet genoemd, kun je daarbij denken aan csv, xml of json volgens de WP29. Die merkt op dat je na het ontvangen van de gegevens zelf verantwoordelijk bent voor de beveiliging ervan, maar dat de verwerker je nog wel kan wijzen op encryptietools en soortgelijke maatregelen. Bovendien moet je de gegevens meteen naar een andere partij kunnen laten doorsturen, voor zover dit technisch mogelijk is.

Je kunt niet in alle gevallen jouw informatie opvragen, dat kan alleen als die op basis van jouw toestemming is verkregen of wordt verwerkt als gevolg van een gesloten overeenkomst. Bovendien moeten de gegevens geautomatiseerd worden verwerkt, dus je kunt geen papieren dossiers opvragen. Sommige bedrijven hebben een functie ontwikkeld waarmee je eenvoudig bij je eigen gegevens kunt. Zo kent Google al enige tijd een zogenaamde take-outfunctie en biedt Facebook dezelfde mogelijkheid. Ook Apple kondigde onlangs een dergelijke functie aan.

Recht op 'vergetelheid'

Onder de nieuwe rechten is een ander recht dat je bekend zou kunnen voorkomen, voor zover 'right to be forgotten' je iets zegt. Het wordt in de AVG ook wel aangeduid als het recht op gegevenswissing en houdt in dat je een organisatie mag vragen jouw persoonsgegevens te wissen. Die verplichting geldt ook voor back-ups, voor zover dat mogelijk is. Een uitzondering zouden bijvoorbeeld tapes zijn. Het nieuwe recht lijkt een beetje op de variant die je onder de huidige wetgeving al hebt om gegevens te wijzigen of te laten verwijderen. Het gaat alleen verder dan dat, omdat het nieuwe recht niet beperkt is tot bepaalde categorieën gegevens.

Ook het nieuwe recht is niet zonder beperkingen en is alleen van toepassing in een aantal situaties. Dat kan onder meer als jouw gegevens niet langer nodig zijn voor het doel waarvoor ze in eerste instantie zijn verzameld. Bijvoorbeeld als je je hebt aangemeld voor een evenement dat inmiddels heeft plaatsgevonden. Daarnaast kan het zo zijn dat een organisatie je gegevens verwerkt op basis van jouw toestemming. Trek je die in en is er geen andere basis voor de organisatie om de gegevens te verwerken, dan kan dat ook een reden zijn om jouw data te verwijderen. Daarnaast is verwijdering onder meer aan de orde als je bezwaar maakt of als de gegevens onrechtmatig zijn verwerkt.

Volgens de wetgever ziet dit recht vooral toe op de verwijdering van gegevens die je hebt afgestaan toen je voor de wet een kind was. Bijvoorbeeld als jouw gegevens op internet zijn beland toen je je niet bewust was van de daarmee verbonden risico's. Er zijn bovendien situaties waarin een verzoek tot verwijdering niet gehonoreerd hoeft te worden, bijvoorbeeld als jouw recht op privacy het onderspit delft tegenover de vrijheid van meningsuiting. Dit recht kan je bekend voorkomen, omdat iets soortgelijks voortvloeit uit een uitspraak van het Europese Hof van Justitie uit 2014. Die gaat over het verwijderen van links uit zoekresultaten, in het geval van de onderliggende zaak ging het om Google Spanje, als mensen van mening zijn dat de informatie niet langer relevant of correct is. Dit heeft nu in deze vorm zijn weg naar de AVG gevonden.

Andere rechten

Rechten op inzage en rectificatie

De rechten op inzage en rectificatie zijn niet nieuw en bestonden ook al onder de Wbp. Stel dat je je gegevens alleen wilt inzien en niet meteen wilt verhuizen. Dan kun je van deze mogelijkheid gebruikmaken. De AVG noemt het voorbeeld dat je het kunt gebruiken om informatie in jouw medisch dossier in te zien. De organisatie die jouw gegevens verwerkt, moet bovendien desgevraagd de nodige informatie verstrekken. Dat is bijvoorbeeld nuttig als je erachter wilt komen voor welk doel je gegevens worden verwerkt, aan wie ze zijn doorgegeven, hoe lang ze worden opgeslagen, wat de bron van de gegevens is en of er geautomatiseerde beslissingen op basis van de data worden genomen. Bij dat laatste kun je ook denken aan profiling.

Je krijgt vervolgens een kopie van de gegevens. Dat kan ook digitaal, als je het verzoek op die manier hebt ingediend, bijvoorbeeld door een mail te sturen en niet specifiek om papieren kopieën te vragen. Als je dan toch je gegevens inziet, kun je fouten meteen laten herstellen. Dat volgt uit het recht op rectificatie, dat apart wordt genoemd in de AVG, maar verder niet veel om het lijf heeft. Ontbreekt er bijvoorbeeld informatie, dan kun je die aanvullen. Als de verwerkende organisatie jouw informatie heeft doorgegeven aan andere partijen, dan moet ze die ook op de hoogte stellen van de wijziging van de gegevens, voor zover mogelijk.

Recht op beperking van de verwerking

Van deze mogelijkheid zul je waarschijnlijk niet vaak gebruikmaken, maar in bepaalde gevallen kan het vragen om beperking van de verwerking van data handig zijn. Dit houdt in dat je een organisatie kunt vragen om jouw data tijdelijk niet te verwerken. Volgens de AVG betekent dit dat jouw data dan ook als zodanig gelabeld moet worden en niet mag worden verwerkt of gewijzigd. Uit een uitleg van de Britse privacytoezichthouder is op te maken dat het er in feite op neerkomt dat alleen de opslag van jouw gegevens nog is toegestaan en verder niets. Voor alle andere activiteiten is toestemming of een andere reden vereist.

Afbeelding van Josh Hallett, CC BY 2.0

Je kunt maar in een handjevol gevallen van deze optie gebruikmaken, bijvoorbeeld als je hebt aangegeven dat jouw gegevens niet juist zijn. Dan heeft de organisatie even de tijd om die gegevens aan te passen en kun je vragen in die periode geen verdere verwerking uit te voeren. Een ander voorbeeld is dat je vindt dat de verwerking onrechtmatig is en dat je in plaats van het wissen van de data vraagt om een beperking. Het recht lijkt dus vooral bedoeld als een tijdelijke maatregel in afwachting van verdere stappen.

Recht op bezwaar

Ook als je bezwaar maakt, moet de desbetreffende organisatie de verwerking beperken, voor zover nog niet duidelijk is of je gelijk hebt. Dat brengt ons op het recht op bezwaar, wat erop neerkomt dat je een organisatie kunt vragen te stoppen met het verwerken van jouw data vanwege jouw specifieke situatie. Dit is echter alleen mogelijk als de verwerking plaatsvindt op basis van een van twee van de in totaal zes beschikbare gronden, namelijk een algemeen of een gerechtvaardigd belang. Daaruit volgt dat je bijvoorbeeld niet eerst toestemming kunt geven en dan bezwaar kunt maken; je kunt dan beter gewoon je toestemming intrekken.

Het wordt interessanter in het geval van direct marketing. Stuurt een bedrijf jou online of offline marketingmateriaal, dan kun je altijd gratis bezwaar maken.Stuurt een bedrijf jou online of offline marketingmateriaal,
dan kun je altijd gratis bezwaar maken
Dat bedrijf mag dan jouw gegevens hier niet meer voor gebruiken. Hierbij geldt niet de hierboven genoemde eis dat je specifiek voor jou geldende redenen moet noemen. De AVG voegt daaraan toe dat het recht van bezwaar ook van toepassing is als organisaties jouw gegevens gebruiken voor profiling. In het zojuist genoemde voorbeeld gaat het om profiling voor marketingdoeleinden. Organisaties moeten je bovendien informeren over de mogelijkheid om bezwaar te maken.

Recht bij geautomatiseerde besluiten en profiling

Het kan voorkomen dat bedrijven beslissingen over jou nemen waar geen mens aan te pas komt. Bijvoorbeeld bij het online invullen van een sollicitatieformulier. Op basis van de inhoud is het mogelijk dat je automatisch wordt afgewezen als je niet aan een bepaalde eis voldoet. Daarnaast kunnen bedrijven profielen van jou opstellen op basis van jouw data. De AVG bevat een definitie van dit begrip, waaruit volgt dat het gaat om evaluatie van gegevens 'met de bedoeling om beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen'. Het kan dus ook voorkomen dat een organisatie een besluit over jou neemt op basis van een dergelijk profiel, dat niet altijd de waarheid hoeft weer te geven.

Volgens de huidige en de nieuwe wet mag dat in bepaalde gevallen, maar heb je het recht om de organisatie een nieuw besluit te laten nemen waar wel een mens bij is betrokken. Het moet dan om een besluit van een organisatie gaan dat juridische gevolgen heeft of dat jou 'in aanmerkelijke mate treft'. Dat laatste is een nogal rekbaar begrip, waardoor niet helemaal duidelijk is wanneer hiervan sprake is.

Geautomatiseerde besluiten over personen zijn toegestaan als ze nodig zijn om bijvoorbeeld de verplichtingen uit een overeenkomst uit te voeren. Een andere mogelijkheid is dat je toestemming hebt gegeven dat jouw gegevens zo worden verwerkt. In die gevallen moet de organisatie in kwestie wel maatregelen nemen om jouw rechten te beschermen en om je de kans te geven een dergelijk geautomatiseerd besluit aan te vechten. Als je meer wilt weten over de onderliggende logica van de geautomatiseerde besluiten, kun je bovendien het recht op inzage gebruiken om hierover informatie op te vragen bij de desbetreffende organisatie. Ten slotte bestaat de verplichting jou over de aanwezigheid en de gevolgen van profiling te informeren.

Nota bene

Het is voor de volledigheid belangrijk te vermelden dat de hier genoemde rechten niet zonder beperkingen zijn. Ook die worden allemaal genoemd in de AVG, maar het zijn er te veel om hier op te sommen. Het komt erop neer dat zwaarder wegende belangen de rechten kunnen inperken. Denk aan dingen als nationale en openbare veiligheid, en het voorkomen en opsporen van misdrijven.

Een ander belangrijk punt is dat je weinig aan deze rechten hebt als je ze niet kunt gebruiken. Daarom vereist de AVG dat organisaties het gebruik eenvoudig maken, bijvoorbeeld door procedures voor het inzien of wissen van gegevens in het leven te roepen. Verzoeken moeten bovendien langs elektronische weg mogelijk zijn en organisaties moeten er binnen een maand op reageren.

De andere kant

Als het goed is, ben je nu op de hoogte van jouw rechten en wat je mag verwachten als een organisatie om toestemming vraagt om jouw gegevens te verwerken. De AVG introduceert echter ook verplichtingen voor organisaties, waarvan we hier de belangrijkste behandelen. In dit deel kom je er bijvoorbeeld achter waarom sommige bedrijven opzien tegen de komst van de nieuwe regels.

Voor wie gelden de regels eigenlijk?

Soms lijkt het erop dat de regels uit de AVG alleen gelden voor grote bedrijven. Die indruk klopt niet, omdat de regels uit de verordening evengoed gelden voor de overheid, kleine organisaties en zzp’ers. Het enige verschil is dat sommige verplichtingen niet gelden, maar daarover later meer. De verordening is van toepassing zodra er persoonsgegevens worden verwerkt, met uitzondering van een persoon die dat doet bij het uitvoeren van een persoonlijke of huishoudelijke activiteit. Het bijhouden van een persoonlijk adressenboekje valt er bijvoorbeeld niet onder. Verder zijn er bijvoorbeeld uitzonderingen voor strafrechtelijke gegevens en de verwerking voor wetenschappelijke, journalistieke en artistieke doelen.

Het is ook goed om te beseffen dat de AVG niet voor de hele wereld geldt, maar grof gezegd voor organisaties die in de EU zijn gevestigd en hier gegevens verwerken of organisaties die buiten de EU zijn gevestigd en bijvoorbeeld diensten in de EU aanbieden en daarbij gebruikersdata verwerken. Denk hierbij onder meer aan Amerikaanse techbedrijven.

Beginselen

Zodra je dus persoonsgegevens verwerkt, moet je je aan bepaalde uitgangspunten houden. Dat was overigens ook al zo onder de Wbp. Die uitgangspunten komen terug in de AVG en laten goed zien wat het beleid is voor de omgang met jouw data.

Beginsel / uitgangspunt Toelichting
Verwerking moet rechtmatig, behoorlijk en transparant zijn Dit betekent dat de verwerking plaatsvindt op de eerdergenoemde gronden en dat het voor personen duidelijk is voor welk doel en op welke manier dit gebeurt.
Doelbinding Verwerking mag alleen plaatsvinden voor een duidelijk omschreven doel. Een organisatie kan dus niet de gegevens naderhand voor een heel ander doel gaan gebruiken, maar wel voor een doel dat verenigbaar is met het oorspronkelijke oogmerk.
Minimale gegevensverwerking Als een organisatie persoonsgegevens verwerkt voor een bepaald doel, mogen daar niet meer of minder gegevens voor gebruikt worden dan nodig. Ook moeten de gegevens geschikt zijn voor dat doel.
Juistheid Een organisatie moet actuele en juiste gegevens verwerken. Daarom heb je ook de mogelijkheid om jouw gegevens in te zien en bijvoorbeeld te verbeteren.
Opslagbeperking Gegevens mogen niet eindeloos opgeslagen worden. Dat houdt in dat een organisatie ze moet verwijderen als ze niet meer nodig zijn voor het verzameldoel.
Integriteit en vertrouwelijkheid Organisaties moeten gegevens van ‘passende’ beveiliging voorzien en ze beschermen tegen vernietiging of verlies, bijvoorbeeld door een datalek. Je kunt hierbij denken aan encryptie- en hashingmaatregelen, maar ook het regelen van een back-upbeleid. Het begrip ‘passend’ is vrij vaag, maar houdt verband met het risico dat de verwerking van de gegevens met zich meebrengt, net als met de stand van de techniek en de kosten. Een wachtwoordendatabase met md5 hashen zit er dus, gelet op de stand van de techniek, niet meer in.

Maar wat is er dan nieuw?

Om de nieuwe regels niet vrijblijvend te laten en meer druk op organisaties uit te oefenen om er daadwerkelijk iets mee te doen, is er met de AVG een zogenaamde verantwoordingsplicht bijgekomen. Die houdt in dat organisaties ervoor verantwoordelijk zijn om bovenstaande beginselen daadwerkelijk in de praktijk te brengen en, belangrijker nog, moeten kunnen aantonen dat ze dit doen. Een toezichthouder zoals de Autoriteit Persoonsgegevens kan een organisatie vragen om dit aan te tonen.

Er zijn verschillende uitvloeisels van deze verantwoordingsplicht. Een daarvan is dat organisaties rekening moeten houden met privacy by design and by default. Dat wil zeggen dat ze van tevoren moeten nadenken hoe ze de principes in de praktijk gaan brengen via 'technische en organisatorische maatregelen'.

Daar komt bij dat organisaties met meer dan 250 werknemers een register moeten bijhouden waarin ze zogenaamde verwerkingsactiviteiten bijhouden. Naast informatie over zichzelf moeten ze daarin bijvoorbeeld opnemen wat voor gegevens ze voor welk doel verwerken, met wie deze gegevens worden gedeeld en welke beveiligingsmaatregelen ze hebben genomen. Ook is het verplicht om aan te kunnen tonen dat daadwerkelijk om toestemming is gevraagd, mocht een bedrijf deze grond gebruiken voor zijn verwerking. In de praktijk komt het er waarschijnlijk op neer dat ook veel organisaties met minder dan 250 werknemers een register moeten bijhouden, omdat ze pas van die verplichting zijn vrijgesteld als ze bijvoorbeeld 'incidenteel' persoonsgegevens verwerken. Als een bedrijf echter regelmatig gegevens van klanten verwerkt, zal dit al snel niet meer als incidenteel gelden.

Het zou goed kunnen dat de termen Functionaris Gegevensbescherming en Data Protection Impact Assessment iets zeggen. Kort gezegd komt het erop neer dat organisaties in bepaalde gevallen een dergelijke 'fg' moeten aanstellen, die er intern op toeziet dat de regels uit de AVG worden nageleefd en die als aanspreekpunt voor toezichthouders fungeert. Overheden en andere publieke organisaties zijn verplicht een persoon met deze functie in dienst te hebben na 25 mei. Een zogenaamd dpia is onder meer nodig als een organisatie een verwerking van persoonsgegevens wil uitvoeren die risico's met zich meebrengt. Het is een middel om ze ertoe te verplichten van tevoren de privacygevolgen in te schatten. Als daar uitkomt dat de verwerking een hoog risico met zich meebrengt, moet de organisatie de toezichthouder om advies vragen.

Waar ook veel over te doen is geweest, zijn de boetes die toezichthouders kunnen opleggen. Een boete kan oplopen tot maximaal 20 miljoen euro of vier procent van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger uitkomtEen boete kan oplopen tot maximaal 20 miljoen euro of vier procent van de wereldwijde jaaromzet. In het geval van Google-moederbedrijf Alphabet komt vier procent van de omzet van vorig jaar neer op ongeveer 4,4 miljard dollar. Daarbij moeten toezichthouders wel rekening houden met de omstandigheden van de overtreding. Een zodanig hoge boete zal dus lang niet in alle gevallen van toepassing zijn. Over grote bedrijven moeten we nog vermelden dat als ze gegevens in verschillende EU-landen verwerken, één toezichthouder het aanspreekpunt vormt. Deze kan samenwerken met toezichthouders in andere lidstaten.

Hoe nu verder?

Het idee achter de nieuwe regels is natuurlijk dat organisaties ze daadwerkelijk gaan naleven. Doen ze dat niet, dan zijn er de toezichthouders die achter ze aankomen en met boetes staan te zwaaien. Althans, dat is de theorie; in de praktijk gaat het misschien anders uitpakken, omdat toezichthouders in verschillende lidstaten al hebben aangegeven onvoldoende middelen te hebben om hun taken onder de AVG uit te voeren. De Nederlandse Autoriteit Persoonsgegevens heeft bijvoorbeeld aangegeven dat haar budget wellicht onvoldoende is. Daardoor zou de situatie 'nijpend' kunnen worden. De AP heeft eerder al laten doorschemeren dat een van haar eerste acties zal zijn om gemeenten te vragen of ze een Functionaris Gegevensbescherming in dienst hebben, waartoe gemeenten verplicht zijn.

Over de berichten dat nationale toezichthouders zeggen niet klaar te zijn om hun taken uit te voeren, zegt David Korteweg van de Nederlandse burgerrechtenorganisatie Bits of Freedom tegen Tweakers: "De waarde van de regels valt of staat bij handhaving. Daarom moeten de toezichthouders natuurlijk wel de middelen krijgen om hun taak uit te voeren." Er zijn nog wel andere mogelijkheden voor burgers als de toezichthouders niet uit zichzelf actie ondernemen waar rechten in het geding komen. "Je kunt bijvoorbeeld een klacht indienen. Dan is een toezichthouder verplicht om daar inhoudelijk op te reageren. Dit geldt dan ook weer als besluit, waartegen je vervolgens weer bezwaar kunt aantekenen bij de rechter als je het er niet mee eens bent. Daarnaast kun je een handhavingsverzoek indienen, wat overigens nu ook al mogelijk is."

Afbeelding van Joe Gratz, CC0 1.0

Een andere mogelijkheid is om zelf naar de rechter te stappen. "Dat kan met een verzoekschriftprocedure waardoor je geen advocaat nodig hebt", aldus Korteweg. Een laatste optie is dat je iemand anders machtigt om namens jou te procederen of een klacht in te dienen. "In Nederland is het ook mogelijk voor een stichting of vereniging om dit uit eigen beweging te doen. Lidstaten kunnen dit zelf regelen, dus dat is niet overal mogelijk", voegt hij daaraan toe. Op de vraag of Bits of Freedom zelf van plan is om hiervan gebruik te maken, antwoordt hij dat de organisatie in ieder geval van plan is om 'actiever strategisch te procederen' nadat de AVG is ingegaan.

Het is dus ook mogelijk om collectief een schadevergoeding te eisen van een partij die de regels van de AVG overtreedt. Een van de organisaties die van die mogelijkheid gebruik gaat maken, is de ngo die door de Oostenrijker Max Schrems is opgezet en de naam noyb draagt. Hij sprak daarover eerder in een interview met Tweakers. Over het begrip schadevergoeding zegt de AVG dat het begrip 'schade' ruim moet worden uitgelegd.

Misvattingen en merkbare effecten

Gevraagd naar misvattingen over de AVG zegt Korteweg: "Het is belangrijk om je te realiseren dat heel veel van de rechten en verplichtingen er nu ook al zijn. In de kern zijn die dus in veel gevallen hetzelfde gebleven." Hij wijst erop dat er ook nieuwe elementen zijn, zoals de verplichting tot verantwoording en tot het aanstellen van een Functionaris Gegevensbescherming. Maar de claim van veel bedrijven dat de nieuwe regels onwerkbaar zijn en dat het daardoor niet te doen is, berust op een misvatting." Een ander belangrijk punt in de verordening zou de transparantievereiste bij toestemming zijn. Zo kunnen bedrijven niet langer toestemming vragen door je grote lappen tekst voor te schotelen.

"De claim van veel bedrijven dat de nieuwe regels onwerkbaar zijn en dat het daardoor niet te doen is, berust op een misvatting"Tweakers vroeg ook naar effecten van de AVG die nu al merkbaar zijn. Korteweg bespreekt het fenomeen dat mensen nu veel mails van bedrijven krijgen waarin hun gevraagd wordt opnieuw toestemming te geven, bijvoorbeeld om een nieuwsbrief te blijven ontvangen. "Vaak zijn dat partijen waarbij je ooit iets hebt gekocht en die je toen mails zijn gaan sturen zonder je vooraf de mogelijkheid te bieden om dergelijke mails niet te ontvangen. Het interessante is dat dit zonder de AVG ook al niet mocht onder de antispamregels van de Telecommunicatiewet. Daaruit is op te maken dat die partijen zich niet aan de geldende regels hielden of dat ze naar aanleiding van de komst van de AVG zijn gaan inventariseren wat ze eigenlijk precies doen." Korteweg verwees naar dit fenomeen naar aanleiding van de vraag welke invloed van de AVG nu al merkbaar is. Hij voegt daaraan toe: "Wat ook kan meespelen, is dat de hoge boetes het effect hebben dat er nu ook bewustzijn is op directieniveau."

Tot slot

Hoe de regels van de AVG precies in de praktijk uitpakken, daar zullen we met z'n allen getuige van worden. De nieuwe rechten voor burgers en plichten voor organisaties moeten vorm krijgen en in de loop van de tijd zal het een stuk duidelijker worden hoe de regels te interpreteren zijn. Daar dragen bijvoorbeeld besluiten van toezichthouders en uitspraken van rechters, die zich ongetwijfeld zullen buigen over privacyconflicten, aan bij. Misschien kijken we over een paar jaar terug en was er weinig reden voor paniek, of komen we erachter dat er te weinig is gedaan. Hoe dan ook wordt het een interessante tijd voor privacy.

Wil je meer weten over privacy en ben je ook geïnteresseerd in security? Op zaterdag 26 mei houdt Tweakers de Meet-up XL over Security & Privacy in Hilversum. Op de desbetreffende pagina vind je meer informatie over het evenement.

Lees meer

Reacties (262)

262
252
200
9
0
30
Wijzig sortering
Ik vraag me af hoe review sites hier mee omgaan. Zeker bij anonieme reacties. En al eerder geplaatste reacties. Vaak zul je toch ip en of email logging moeten doen om dubbele reviews te voorkomen. Maar dit zijn volgens de AVG privacygevoelige informatie omdat deze naar een persoon zijn te herleiden en dienen in ieder geval na een bepaalde tijd te worden verwijderd.

En tweakers en andere fora? Krijgt elke gebruiker een email wat er is gepost. En is dit akkoord om te laten weergeven komend jaar? Iedereen die niet reageert wordt verwijderd?

[Reactie gewijzigd door fortfort op 20 mei 2018 06:54]

Waarom zou er voor het weergeven van een geplaatste reactie expliciet losse (en intrekbare) toestemming gegeven moeten worden?

Is het voor jou niet vooraf duidelijk dat de reactie die je zat te typen hier onder dit artikel zou gaan komen? Sterker nog, was het niet zelfs door jou verwacht dat de dienstverlening "discussiemogelijkheid onder artikelen" (of welk label daar aan zou moeten hangen) van Tweakers dat zo doet?
Je hebt die reactie toch met de bedoeling om 'm hier te laten verschijnen getyped... en je dat mensen de mogelijkheid hebben om op je vragen te reageren ;)

Hetzelfde geldt voor reviews en andere publieke bijdrages.

Dat zegt natuurlijk niet dat alles maar mogelijk is met die reactie. Er uit afleiden wat voor advertenties voor jou relevant (lijken te) zou wel aanvullende toestemming voor moeten komen.
Maar dat lijkt me alsnog iets dat in dit geval wel in 1x voor alle reacties (per doel uiteraard) zou mogen.

Van het ip en/of email leg je zelf al uit waarom die dan blijkbaar nodig zijn.
Volgens de AVG-meneer die ik gebeld heb, is de hele regelgeving voer voor juristen.
Als het in belang is van degene die bijvoorbeeld een mail ontvangt is het in sommige gevallen toegestaan 'een soort van SPAM te sturen met een goeie smoes'.
De vraag is of een reactie plaatsen ook zo werkt.
Stel dat je in een reactie schrijft dat je altijd last hebt van bepaalde hoofdpijnen, dan zou (in theorie) een farmaceutisch bedrijf jou een berichtje mogen sturen met een wondermiddel zodat je voortaan van de pijn af bent.
Artikel 6 1
d) de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
Er staan meer leuke regels in de verordeningen AVG (.pdf)
Wat dacht je van
e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang
Wat is dat...algemeen belang... Daar valt lijkt mij heel veel onder... en wie bepaalt dat ;)
Dat gaat een hele kluif worden om dat uit te zoeken.
Ik denk dat alleen de excessen en (over)duidelijke gevallen worden aangepakt, wanneer bewust misbruik wordt gemaakt
Volgens de AVG-meneer die ik gebeld heb, is de hele regelgeving voer voor juristen.
Dat geldt voor iedere wet. Rode stoplichten zijn ook voer voor juristen, maar je kan er toch maar beter niet door heen rijden.
Als het in belang is van degene die bijvoorbeeld een mail ontvangt is het in sommige gevallen toegestaan 'een soort van SPAM te sturen met een goeie smoes'.
Daar begint het al, het zoeken naar smoesjes om de wet te negeren. Ik hoop dat die AVG-meneer meer jurist dan IT'er is, want IT'ers die gaten in de wet zoeken zorgen als snel voor brokken.
[i]d) de verwerking is noodzakelijk om de vitale belangen
e) de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang
Wat is dat...algemeen belang... Daar valt lijkt mij heel veel onder... en wie bepaalt dat ;)
Nee hoor, niet op die manier, die termen zijn gewoon in de wet vastgelegd.
Het 'algemeen belang' geldt sowieso alleen voor overheden en 'vitaal belang' is ook behoorlijk beperkt.
Nu zullen er vast heel veel bedrijven gaan proberen om zichzelf een uitzondering aan te praten, maar ik denk niet dat de rechter daar veel sympathie voor gaat hebben. De intentie van de wet is heel duidelijk.
Mee eens hoor, ik denk dat rechters (als het zover komt) vooral gaan kijken naar de intentie.
Lastig zijn bijvoorbeeld onderwerpen als, seksuele voorlichting, waar ook semi overheidsinstellingen geld aan verdienen, denk aan GGD 's bijvoorbeeld. Mogen zij nog middelbare scholen benaderen met een lespakket. Of 'de gezonde school'* die 'in het algemeen belang' zaken als sport, goed eten, pesten enz. enz. aankaarten. Helaas zijn deze onderwerpen tegenwoordig 'handel' geworden, maar 'we', burgers en overheden, vinden dit soort zaken erg belangrijk uiteraard... lastig dit...
De kans dat een school de GGD gaat beschouwen als spammer is trouwens denk ik erg gering ;) maar hoe dat 'officieel' juridisch uitpakt, geen idee...

* Onder de vlag Gezonde School versterken vele organisaties gezamenlijk gezondheidsbevordering in het primair onderwijs (po), voortgezet onderwijs (vo) en het middelbaar beroepsonderwijs (mbo).
De AVG gaat over bescherming van natuurlijke personen en daar vallen zowel scholen als GGD's niet onder.
Maar in beide gevallen geeft de gebruiker expliciet en doelbewust toestemming. Dus het zou niet veel anders moeten zijn dan nu.
Dat is maar heel erg de vraag. In de zorg zit men echt met de handen in het haar. Er worden nu zelfs juridische stukken opgesteld over de verwerking van data als je bij een zorgverlener bent geweest. Wat je moet gaan tekenen bij bezoek. Al zou je denken dat je expliciet toestemming geeft om dossier te laten opstellen als je bij een "dokter" komt.
Waarom? Misschien wil ik wel alleen advies? Niet alles hoeft perse in een dossier?

(Ik speel even advocaat van de duivel)
Maar als jij voor advies komt dan is het handig als dit in een dossier word opgeslagen. Stel dat je een 2de keer komt voor het zelfde. Is het handig als de dokter of een eventuele inval arts kan lezen wat er de vorige keer geadviseerd is.

Ook is het handig als jij advies hebt gevraagd en een paar dagen later bij de spoedeisende komt omdat het gene waarvoor jij advies hebt gevraagd in eens uit de hand is gelopen. De dokters daar ook kunnen zien wat er geadviseerd id te doen de eerste keer.
'Handig' is natuurlijk geen goede grond. Voor de gegevensverwerker is het sowieso 'handig' als er geen restricties zijn.
Laten we 'handig' dan vervangen door 'kosten besparend door voorkoming van duplicatie en door verhogen van efficientie'. Dan is het in het belang van de klant daar het resulteert in lagere premies.
In het belang van ons. Niet van de individu.

Alle tussenhandel is lastig. Koop je een ticket dan krijgt de ander mogelijk de gegevens. Maar hoe weet je dan hoe lang deze bewaard blijven.

De intentie van De wet is goed. De uitvoering is bagger. Echt bagger. Het is toch te gek voor woorden dat de semie publieke sector dit niet op tijd op orde heeft en dan met name vanuit de overheid. Hetzelfde geldt voor alle verenigingen. Hier faalt de overheid in ondersteuning.

Er worden nu miljoenen aan geld van kleine verenigingen weggegooid omdat niemand ze fatsoenlijk ondersteund. En bedrijven als Google en Facebook merken er amper iets van.
Een vereniging moet een ledenadministratie aanhouden en haar leden informeren. Dus voor een vereniging die bijv. de leden een nieuwsbrief verstuurd, verandert er weinig. Ook zijn dat vaak kleine organisaties, waardoor ingewikkelde zaken zoals het bijhouden van een logboek / aanstellen van een functionaris niet hoeven. Enige wat een vereniging moet doen is dan een privacydocument opstellen waarin wordt omschreven hoe de vereniging met de gegevens van haar leden omgaat.

Als secretaris van een kleine vereniging heb ik me ook recent moeten inlezen in deze materie en ja, het is vervelend (in mijn geval omdat we onze nieuwsbrief ook versturen naar niet-leden, dus daar moeten we het eea aanpassen), maar voor de rest is het goed te overzien.
Precies dit. Het nuance verschil is: handig voor de gebruiker vs handig voor de leverancier.

Als alles wat handig is automatisch mag kunnen we deze wet meteen doorstrepen :)
Ik loop hier tegenaan bij mijn zorgverlener (Masseuse voor mijn nek-/schouderklachten). Ze houdt/hield een dossier bij. echter vanwege deze regelgeving gaat ze dat niet meer doen omdat ze dan van alles moet regelen en ze dit alleen vanuit thuis doet zeg maar (wel een speciale ruimte ingericht). Ze heeft daar de tijd en middelen niet voor en ook het aanstellen van een functionaris. Ik begrijp dat iig zeker wel.
Heb zelf voorgesteld om mijn dossier zelf iedere keer mee te nemen omdat ik het zeker wel belangrijk vind dat ze dat bij kan houden. Dus moet ik zelf alle spullen mee nemen iedere keer wanneer ik kom.

Dan maar op die manier.

Snap dat het er is, maar op sommige momenten zou ik het gewoon aan willen kunnen geven dat ik het wel nodig acht zonder dat het de ander meer werk kost, maar dat is mijn mening.
Anoniem: 120539
@FireDrunk20 mei 2018 08:32
Ik ga mee in het spel:
De arts zal zijn uren willen schrijven, en i.v.m. facturering moeten kunnen verantwoorden voor welke patiënt dit was.
Dan mag dat, maar niet in mijn officiele dossier wat (eventueel) gedeeld wordt met andere artsen.
Anoniem: 426269
@FireDrunk21 mei 2018 12:27
Dan moet je de privacyverklaring van de arts eerst lezen.

Sinds de AVG/GDPR bewaren ze juist meer van je, merk ik aan alle mailings die ik opeens krijg van bedrijven. Het was er natuurlijk om gedaan om grote jongens zoals Facebook en Google wat te stoppen, maar die eerste perst er nu ook gezichtherkenning mee doorheen, haha.

Ik heb het nu ook in mijn eigen AVG/Privacyverklaring erbij gezet. Alle correspondentie, dus ook advies, offertes en facturen, daarvoor bewaar ik alle gegevens. Dat moet zelfs van de fiscus. Die bewaartermijn is 7 jaar, en dat zijn niet alleen facturen, maar zoals gezegd ook offertes. Ook al je vragen en antwoorden mogen bewaard worden. Dit om je "de volgende keer beter antwoord te kunnen geven" en als bewijs voor bewezen diensten.

In geval van die arts zal het niet in je medisch dossier komen. Maar het kan -of het zou soms zelfs moeten- in een ander algemeen dossier kunnen komen.
Valt al onder de wet WGBO! Dus nergens voor nodig vanuit patientperspectief.
Dat is niet waar. Patiënten mogen zelfs hun eigen dossier laten aanpassen of delen laten schrappen. Er wordt nu gezocht naar mogelijkheden hoe dit te doen. Want stel dat iemand besluit een behandeling niet te willen laten doen maar deze notitie laat verwijderen. Of een behandeling is gedaan maar deze wil laten "verdwijnen". Tevens meteen groot probleem voor verzekeraars voor Aov en OVR. Etc
Volgens mij vallen medische gegevens onder heel andere wetten en zijn er zelfs conflicten met de AVG/GDPR regels. Je kan een arts helemaal niet vragen om delen van je medisch dossier te laten verwijderen.
Daarnaast zijn het gegevens OVER jou en zijn het niet altijd gegevens aangeleverd door jou. Ben heel benieuwd hoe dat allemaal gaat werken met deze nieuwe wetgeving. Ben bang dat het eerst tot jurisprudentie moet komen.
Dat is dus niet helemaal waar, medische gegevens moeten verplicht 15 jaar bewaard blijven, daarna mogen ze bij aanvraag verwijderd worden.
Daarnaast zit je met discussie relevante of niet relevante informatie, dat is niet zo zwart/wit als men denkt dat het is. Voor fysieke aspecten is het duidelijk, iets is gebroken of niet, ontstoken of niet(of de klachten er vandaan komt is een 2e).
Mentaal/Geestelijk is lastig, deze zaken zijn vaak wel van invloed, maar is lastiger te duiden, en wie bepaald dat het niet van belang is? Zelfde discussie als met fake news, grens is lastig
De AVG (en GDPR) noemt medische gegevens expliciet. Het is ook de nieuwere wet. Als er al een conflict is met oudere wetten, dan geldt de AVG nog steeds.

Dat het gegevens OVER jou zijn is precies de reden waarom jij ze mag verwijderen onder de AVG. Wie ze aangeleverd heeft is irrelevant.

Ik ben het met je eens dat er eerst een paar boetes uitgedeeld moeten worden voordat bedrijven begrijpen dat de AVG van kracht is.
Als dat zo is, dat je op elk moment, elke informatie kan laten verwijderen. Dan kom je nogal in de problemen, idem met toestemming geven over delen van informatie in noodsituaties(is dat geregeld in deze wet?)
Lijkt mij dan toch best vervelend als ik daar naar binnen gebracht wordt buiten bewust zijn en dat document niet kan tekenen.
Levens redden staat altijd op 1, Dat is geen discussie. Maar als je daarna je dossier laat verwijderen omdat je zelf zo dronken was en een ongeluk hebt veroorzaakt bv. (Wat nog niet bekend is).
Wat ik begrijp van medewerkers in de zorg, en op de IC, is dat je in een soort niemandsland kan terechtkomen met deze wetgeving. Zeker willen ze levens redden etc, maar deze wet maakt het heel lastig om dat met goed fatsoen te doen, zonder regels te overtreden. Ook in de 1e lijn is het lastig, wet gaat ver en kennis is vaak beperkt op ICT gebied en financieël is de ruimte zoek om kennis in te huren.
Overigens mag je niet je dossier laten vernietigen/verwijderen, wij zijn verplicht 15 jaar een dossier te bewaren, binnen die periode mag alleen niet relevante medische gegevens verwijderd worden.
Ik denk dat je hier twee dingen door elkaar haalt. Je mag blijkbaar na 15 jaar gegevens verwijderen, ook als de patient het daar niet mee eens is. (Maar welke wet dat regelt durf ik niet te zeggen). De AVG eist dat je gegevens verwijdert op verzoek van de patient.
Klopt dat na 15 jaar het mag verwijderd worden. Echter is ook geregeld in die wet, dat medische informatie niet binnen 15 jaar verwijderd mag worden. Zover ik begrijp overruled de AVG deze wet niet.
Wat wel een probleem is, is de machtigingen wie wat mag inzien. Dat is dus ook het niemandsland waar je in kan terecht komen
Dat is maar heel erg de vraag. In de zorg zit men echt met de handen in het haar.
Niet zoveel FUD de wereld in helpen. De situaties omschreven door fortfort en gerefereerd door pepsiblik (reviews op een website) hebben geen betrekking op de zorg. Baken de discussie af.

Voor het plaatsen van een 'anonieme' review (die niet anoniem is, dus hernoem dat) kan gewoon aan de gebruiker expliciet gevraagd worden voor toestemming met de juiste informatie. Als de gebruiker dan ondubbelzinnig en expliciet 'ja' kiest, dan is er niets aan de hand. Mogelijk is toestemming niet eens nodig, omdat er mogelijk een gerechtvaardigd belang is.
Daar komt bij dat organisaties met meer dan 250 werknemers een register moeten bijhouden waarin ze zogenaamde verwerkingsactiviteiten bijhouden. (...) In de praktijk komt het er waarschijnlijk op neer dat ook veel organisaties met minder dan 250 werknemers een register moeten bijhouden, omdat ze pas van die verplichting zijn vrijgesteld als ze bijvoorbeeld 'incidenteel' persoonsgegevens verwerken.
Wel moet een dergelijk register bijgehouden worden en moet je andere processen binnen de organisatie opzetten, maar het is niet het einde van de wereld. Het is niet alsof toezichthouders meteen torenhoge boetes gaan uitdelen.

Men had twee jaar om zich voor te bereiden. Als al die energie over het klagen over de AVG door ondernemers ingezet was om zich 'GDPR ready' te maken, dan waren ze nu niet zo nerveus. ;)

[Reactie gewijzigd door The Zep Man op 20 mei 2018 10:20]

Volgens de Wet op de Geneeskundige Behandelingsovereenkomst moet de zorgverlener een dossier bijhouden, dus dat zit wel goed lijkt me.
Anoniem: 167912
@fortfort22 mei 2018 10:53
De Belgische orde van geneesheren heeft gecommuniceerd (in andere bewoordingen weliswaar) dat de individuele artsen zich niet al te veel moeten aantrekken van de gdpr, maar dat ziekenhuizen wel een DPO moeten hebben.
Ik ben er redelijk zeker van dat patiënten niet het recht hebben om data in het medisch dossier van de arts te wijzigen. Het zou mooi zijn: patiënten die de diagnose van een arts overrulen en dan schadeclaims indienen omwille van een medische fout.
Ik dacht dat het hier in België zelfs een wettelijke verplichting is dat alle wijzigingen aan een medisch dossier moeten bijgehouden worden.
Een van de mogelijke rechtmatige verwerkingen onder de GDPR is trouwens "de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting".
Dat is gewoon van toepassing voor een arts op de gegevens van zijn patiënten.
Je kan ook gewoon geen IP loggen bij anonieme reacties. Dan is het geen herleidbare informatie meer.
dus dan kan een spammer lekker zijn gang gaan zonder dat ik enige vorm van ID heb om die te blokkeren?
Anoniem: 426269
@ArtGod21 mei 2018 12:31
Hmmm interessant. Want mag dat eigenlijk (nog) wel?

In de logs is wellicht nog wel het een en ander te vinden. Een ip-adres wordt volgens de AVG/GDPR toch echt wel als een persoonsgegeven gerekend. En de ISP's hebben bewaartermijn van verzonden gegevens zoals tijdstippen en ip-adressen. Dus op grond van een bevel is dan wellicht toch alles van de persoon weer te herleiden.
Anoniem: 167912
@ArtGod22 mei 2018 09:24
IP adressen worden expliciet gemeld als een persoonsgegeven. Ze zijn wel degelijk herleidbaar tot een natuurlijke persoon, dat dat moeilijk is, is niet relevant.
Zeker bij anonieme reacties.
Welke sites laten nog anonieme reacties toe?
Met andere woorden, als je iets wil posten op een site is de kans bijna 100% dat je daarvoor eerst ingelogd moet zijn.
En bij het aanmaken van dat account geef je de beheerder het recht je gegevens te verwerken.
https://security.nl bijvoorbeeld. Daar kan je anoniem posten en dat gaat prima. Daar is het verschil tussen een aangemaakte account dat je comments er meteen op komt en als je anoniem post er een delay inzit.

[Reactie gewijzigd door Tjahneee op 21 mei 2018 10:08]

Anoniem: 498327
@fortfort20 mei 2018 17:35
Dus ik mag eindelijk al mijn oude posts op Tweakers wissen?

Hoe zit het ook ak weer met cookiewalls, ik mis dat in artikel. Ik meende dat met AVG je cookies mag weigeren en dan toch de site moet kunnen zien.
Je mag ze zelf al wissen. Of tweakers dat ook moet doen: https://blog.iusmentis.co...-ook-bij-forumdiscussies/

Nee.
Je gaat er van uit dat dit met toestemming moet, maar dat is niet het geval. Deze dataverwerking kan onder gerechtvaardigd belang (vermijden dat er meerdere reviews onder dezelfde user komen).
De gebruiker moet evenwel gebruik van zijn rechten (Vb inzage of aanpassing etc) kunnen maken voor zolang het gekoppeld staat.
In de praktijk zullen de gegevens na een bepaalde periode geanonimiseerd worden bij reviews. Als je bijvoorbeeld een bewaartermijn van 2 jaar hanteert bij reviews, is dit vast voldoende om misbruik uit te sluiten.
Als de vrijheid van menignsuiting in geding komt, dan is de avg niet geheel van toepassing. Dus discussies in fora vallen erbuiten.

https://www.emerce.nl/ach...n-vergeten-onder-avg-1920

Ik heb bij Fok! wel mijn account + geschiedenis kunnen wissen, door heel veel heibel te maken (en te bluffen met rechten die we eigenlijk niet hebben).

Je kunt het dus altijd proberen.

[Reactie gewijzigd door Adlermann op 20 mei 2018 12:09]

Jaja, en ondertussen geeft de belastingdienst eenmanszaken/ZZP'ers een BTW-nummer dat basicly het BSN-/SoFi-nummer is |:(

En de overheid houdt alles bij van haar inwoners met aftappen, camera's langs de wegen, tracken van mobieltjes etc., terwijl hun eigen ICT-infrastructuur vaak verouderd of onveilig is.

Hoe is het trouwens nu met de beveiliging bij gemeentes?

Kortom, waarschijnlijk net zo'n wassen neus als de kudtcookiewet: "kijk wij doen echt moeite om je privacy te beschermen" maar ondertussen zien ze hoogstens een splinter in het oog van iemand anders maar niet de balken in hun eigen ogen :X
BSN is niet onderhevig aan de AVG. Je kunt straffeloos (voor de AVG dan) een lijst met namen + BSN publiceren:
https://www.autoriteitper...g/algemene-informatie-avg
& artikel 87 AVG

PS. De nationale uitvoeringswet AVG is pas op 15 mei jl geaccepteerd, wat daar precies instaat betreffende BSN weet ik niet.
BSN is wel onderhevig aan de AVG.
De nationale Autoriteit Persoonsgegevens mag het BSN onder bijzondere gegevens laten vallen, en dat is ook gebeurd.
Dit wordt nog aangepast in de uitvoeringswet 34851 in zake de AVG paragraaf 3.1 na wijzigingsvoorstellen eerste kamer

//edit//:
De uitvoeringswet AVG is op 22 mei gepubliceerd in de Staatscourant / Staatsblad 2018 onder nummer 144.
In artikel 46 van de UAVG staat het volgende:

Artikel 46. Verwerking nationaal identificatienummer
1. Een nummer dat ter identificatie van een persoon bij wet is voorge-
schreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt
ter uitvoering van de desbetreffende wet dan wel voor doeleinden bij de
wet bepaald.
2. Bij algemene maatregel van bestuur kunnen andere dan in het eerste
lid bedoelde gevallen worden aangewezen waarin een daarbij aan te
wijzen nummer als bedoeld in het eerste lid, kan worden gebruikt. Daarbij
kunnen nadere regels worden gegeven over het gebruik van een zodanig
nummer.

[Reactie gewijzigd door metalmania_666 op 22 mei 2018 14:17]

Ik ben ook zzper, maar mijn btw nr is niet mijn bsn met ‘bXX’ erachter. Kwestie van contact opnemen en laten wijzigen.
Wat is de rechtsvorm van jouw onderneming dan? Is het soms een vof of maatschap?
Eenmanszaak, bel gewoon de bd even op
Is dat dan al mogelijk? Zo ja, heb je daar een bron van?

Volgens mij zijn ze al jaren aan het steggelen erover maar wordt het steeds vooruit geschoven...

Meest recente (april 2018) dat ik kan vinden:
https://www.rtlnieuws.nl/...hrappen-bsn-in-btw-nummer

[Reactie gewijzigd door 3dfx op 20 mei 2018 07:33]

BSN BTW belasting betalen zijn Wettelijke verplichtingen. Handhaving (politie & toezicht) valt onder algemeen belang. De AVG bevat rechten en plichten. Deze zijn niet zo veel anders dan voorheen.
Een typische is dat het BSN GEEN bijzonder persoonsgegeven is. Alleen als nationale uitzondering via de AVGU is de vrijheid on een BSN in verwerkingen beperkt tot wat den Haag daar van vindt.
Het geheim houden van een BSN is iets wat van BZK RVIG Logius komt omdat ze het verschil in identificatie (userid-BSN) en authenticatie (password keys) willen oplossen
Een typische is dat het BSN GEEN bijzonder persoonsgegeven is.
Niet? Volgens de AP wél hoor: https://autoriteitpersoon...e/burgerservicenummer-bsn
Het BSN is een uniek en tot de persoon herleidbaar nummer. Daarom is het een zogeheten bijzonder persoonsgegeven.
Voor het gebruik van bijzondere persoonsgegevens gelden extra strenge regels.
Niet meer dat was zo met de WBP en is niet meer zo met de GDPR (AVG). Er zijn EU landen waar het identificatie nummer in het publieke domein vrij gebruikt wordt. Het enige doel van het BSN was ooit om de persoonsverwisseling op de zelfde namen met andere individuen te voorkomen. Een mens is uniek de naam niet. Het AP loopt achter deze GDPR EU is als sinds 2016 van kracht. Alleen de effectuering is 2 jaar uitgesteld om iedereen ruim de tijd te geven om de geringe aanpassingen door te voeren.

Dit is de GDPR
"Artikel 9
Verwerking van bijzondere categorieën van persoonsgegevens
1. Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden."


Artikel 87
Verwerking van het nationaal identificatienummer
De lidstaten kunnen de specifieke voorwaarden voor de verwerking van een nationaal identificatienummer of enige andere identificator van algemene aard nader vaststellen. In dat geval wordt het nationale identificatienummer of enige andere identificator van algemene aard alleen gebruikt met passende waarborgen voor de rechten en vrijheden van de betrokkene uit hoofde van deze verordening.
Dat zal allemaal best, maar het is nog steeds niet de bedoeling dat iedereen zomaar het BSN moet kunnen verwerken en daar blijft het gek dat het BTWNr gelijk is aan het BSN.
De BTW is een wettelijke verplichting en daarmee is het net als het wer/loon vermogen (financials) zorg (kijk op je zorgpas) opleiding (leerlingnummer) een door den Haag opgelegd iets om te gebruiken.
In het geheel niet raar dat het een herleidbaar iets is.

Wat de grootste kolder is, is dat BZK RVIG uitdraagt dat het noemen van je BSN genoeg is als bewijs dat je die persoon bent.. Als iemand hier onder "bytemaster460" post neem ik aan dat jij dat bent voldoende herleidbaar op het forum.

Nu staat er in de GDPR AVG ook zo'n alinea dat het leveren van opgevraagde persoonsgegevens alleen mag als er voldoende overtuiging is dat de betreffende persoon die het vraagt ook bij de betreffende persoonsgegevens hoort. Hoe zou dat moeten lopen? Nee niet het noemen van een BSN.
BZK RVIG overtreed trouwens de wet als ze het noemen van een BSN als bewijs van de persoon zien.

…………………..

Er is nog iets raars met die BTW . Dat is het verrekenen van de betaalde BTW met wat je zelf moet betalen. Het betekent dat het voorlaatste bedrijf de volledige afdracht doet.
Stel nu dat elk bedrijf de BTW meteen bij de verkoop zou moeten afdragen. Geen carrouselfraude meer mogelijk en alle keten afhankelijkheden en keten controles zijn weg. Dan is er geen reden meer om het BTW nummer bij de inkoop te moeten weten en het hele gegeven hoeft niet meer openbaar controleerbaar.

Het Klinkt eenvoudig en zolang de keten binnen een staat blijft veranderd er niets.
De clou zit in dat binnen de staat blijven. Met internationale handel kun je met BTW schuiven over de landen en dan raak je de mogelijkheden van belastingverdragen en de belastingontwijking.
De hele btw problematiek van ZZP-er kun je als een gevolg zien van het ter wille zijn van het internationale grootkapitaal.

[Reactie gewijzigd door karma4 op 20 mei 2018 09:47]

De gemeente Dronten heeft in ieder geval een mooi beveiligingslek gehad waardoor je alle persoonsgegevens (naam & adres) kon scrapen van een groot deel van de inwoners. Ze hebben het wel gefixt toen het was aangegeven, maar dan nog...

Willekeurig lokale bedrijfjes worden ingehuurd om dit soort meuk te regelen en daar komt blijkbaar gewoon gegevens van inwoners willekeurig in handen van willekeurige bedrijven, ongeacht of deze bedrijven überhaupt capabel zijn om dit soort dingen te regelen (blijkbaar niet dus)

[Reactie gewijzigd door Gamebuster op 22 mei 2018 13:49]

BTW: is er op tweakers al een functie te vinden waarmee ik alle informatie die ze van mij hebben kan opvragen?
Dat kan al meer dan 10 jaar, staat ook gewoon in het Privacy Statement, onder het kopje Inzage, correctie en verwijdering :)
Je hebt het recht om je persoonsgegevens in te zien, te corrigeren of te verwijderen. Leden kunnen dit voor het grootste deel zelf, bijvoorbeeld via de My Tweakers.net pagina. In de gevallen dat dit op deze manier niet mogelijk is, kan je een gespecificeerd verzoek tot Tweakers.net richten om je persoonsgegevens in te zien, te corrigeren of te verwijderen. Je kunt hiertoe een e-mail sturen naar het e-mailadres dat is opgenomen op de contactpagina. In je verzoek dien je zoveel mogelijk te specificeren op welke persoonsgegevens het verzoek ziet. Naar aanleiding van je verzoek berichten we je per post over het verdere verloop van de procedure.

Tweakers.net zal in beginsel binnen vier weken op een verzoek tot inzage of correctie verzoek reageren. In geval van een verzoek tot verwijdering zal Tweakers.net de betreffende persoonsgegevens zo spoedig mogelijk verwijderen, tenzij en voorzover de wet verplicht om de betreffende persoonsgegevens te bewaren of er (andere) dringende redenen zijn die zich tegen verwijdering verzetten. Tweakers.net stuurt je na uitvoering van een verzoek tot verwijdering een bevestigingsbericht. Indien Tweakers.net de betreffende persoonsgegevens (gedeeltelijk) niet heeft verwijderd, stuurt Tweakers.net de bezoeker een bericht waarin zij toelicht waarom niet (volledig) aan het verzoek kon worden voldaan.

Indien Tweakers.net niet of niet volledig kan vaststellen op welke persoonsgegevens een verzoek tot inzage, correctie of verwijdering betrekking heeft, kan Tweakers.net de bezoeker vragen om zijn verzoek (nader) te specificeren. Tweakers.net schort de uitvoering van het verzoek op totdat de bezoeker Tweakers.net de (nadere) specificatie heeft verstrekt.
Anoniem: 426269
@wildhagen21 mei 2018 12:38
Daar staat eigenlijk niets over o.a. al je nieuwsposts en forumreacties. Misschien bedoelde @keenan001 dat ook wel, naast de persoonsgegevens?

Stel, ik laat al mijn persoonsgegevens verwijderen, wat zal er dan gebeuren met deze nieuwsreactie van mij? Ik denk dat die zal blijven staan, maar dan bij gebruiker/poster -gebruiker verwijderd, i.p.v. Slingeraap2- ofzoiets?
Aangezien je ook het recht hebt om vergeten te worden, kan je argumenteren dat een forum verplicht is om al je posts (inclusief quotes) te verwijderen indien jij daarom vraagt

Op z'n minst moeten ze je nickname verwijderen en dit ook in elke post waarin gequote wordt.
Als er inhoudelijk zaken in staan die naar je zouden kunnen verwijzen, moet dat er ook allemaal uit. Het lijkt ondoenbaar om al je posts te gaan screenen en inhoudelijk te bepalen welke informatie wel en niet persoonsgegevens zijn.

Dus: er zit hen niks anders op om al je posts te verwijderen. En dat vind ik een prima recht.
Aangezien je ook het recht hebt om vergeten te worden, kan je argumenteren dat een forum verplicht is om al je posts (inclusief quotes) te verwijderen indien jij daarom vraagt
Niet helemaal correct. In Nederland komt er naast de AVG de zogeheten Uitvoeringswet AVG, met daarin een aantal belangwekkende uitzonderingen bij “journalistieke doeleinden of academische, artistieke of literaire uitdrukkingsvormen”. Alle rechten die je normaal hebt, zoals inzage, correctie en verwijdering, gelden bij deze uitingsvormen niet. Daarmee kun je als forum dus ook andere verzoeken pareren, althans voor zover het gaat om persoonsgegevens die als journalistiek of literair te duiden zijn.
Op z'n minst moeten ze je nickname verwijderen
Die wel
en dit ook in elke post waarin gequote wordt.
Niet zondermeer.
Als er inhoudelijk zaken in staan die naar je zouden kunnen verwijzen, moet dat er ook allemaal uit. Het lijkt ondoenbaar om al je posts te gaan screenen en inhoudelijk te bepalen welke informatie wel en niet persoonsgegevens zijn.
Ook dit is weer afhankelijk van de aanvrager. Je zal zelf moeten aangeven wat er waarom weg moet.
Dus: er zit hen niks anders op om al je posts te verwijderen. En dat vind ik een prima recht.
Dus: u schiet iets te snel uit de heup. ;)

[Reactie gewijzigd door zeef op 22 mei 2018 09:21]

Ik kan me inbeelden dat dit bijzonder pijnlijk voor forums zou worden, maar als Belg zijnde ga ik mij toch wel geen fluit aantrekken van wat jullie in Nederland bekokstoven en wens ik mijn Europese rechten uit te oefenen :P

Er komen zeer interessante testcases aan om te zien hoe dit alles in de praktijk zal lopen.

Ik zou Arnoud nu ook niet altijd geloven, het is niet alsof hij de enige advocaat is die alles juist weet. Er zijn nog heel wat onduidelijkheden en eentje die ik toch wel zou willen aanhalen lijkt me het feit dat mijn posts allesbehalve onder journalistiek vallen. Als iemand daar al zou kunnen over oordelen, dan zou dat in de eerste plaats mezelf zijn. Als je iedereen opeens journalist gaat maken die iets op een forum knalt, dan heeft dat nog wel enkele andere bijzonderheden. Dan zou de politie mij opeens niet meer mogen tappen in Belgie enz. Lijkt me?

Bijkomend, als dit naar het Europees hof gaat, dan zal de primaire wetgeving van GDPR altijd meer doorwegen op de Nederlands aanpassing. Zoiets lijkt me gedoemd om te mislukken.

Nog zo een leuke: als jullie iemand bannen op basis van IP of emailadres en die gebruiker dan eist dat jullie zijn IP verwijderen uit al jullie systemen.

[Reactie gewijzigd door ? ? op 25 mei 2018 11:01]

Dat kan al meer dan 10 jaar, staat ook gewoon in het Privacy Statement, onder het kopje Inzage, correctie en verwijdering :)
[...]
Citaat uit je link: "Je hebt het recht om je persoonsgegevens in te zien, te corrigeren of te verwijderen. Leden kunnen dit voor het grootste deel zelf, bijvoorbeeld via de My Tweakers.net pagina."

Er is helemaal geen Mytweakers.net pagina 400 Bad Request

[Reactie gewijzigd door Bruin Poeper op 20 mei 2018 12:12]

Je snapt het niet helemaal denk ik, je hebt op je profiel gewoon gegevens die jijzelf kunt aanpassen. Als je dat niet lukt of je wil het laten verwijderen.

"In de gevallen dat dit op deze manier niet mogelijk is, kan je een gespecificeerd verzoek tot Tweakers.net richten om je persoonsgegevens in te zien, te corrigeren of te verwijderen. Je kunt hiertoe een e-mail sturen naar het e-mailadres dat is opgenomen op de contactpagina."
Je snapt het niet helemaal denk ik, je hebt op je profiel gewoon gegevens die jijzelf kunt aanpassen. Als je dat niet lukt of je wil het laten verwijderen.

"In de gevallen dat dit op deze manier niet mogelijk is, kan je een gespecificeerd verzoek tot Tweakers.net richten om je persoonsgegevens in te zien, te corrigeren of te verwijderen. Je kunt hiertoe een e-mail sturen naar het e-mailadres dat is opgenomen op de contactpagina."
Ik snap het helemaal hoor. Er wordt verwezen naar een niet bestaande pagina.

En als dat niet lukt, ja dan kan ik een mail sturen met "een verzoek".

De primaire oplossing werkt er evengoed niet om.
Er staat halfslachtige informatie. Geef gewoon concreet een link die werkt, niet eentje waarvan ik "toch zou moeten begrijpen wat er bedoeld wordt".
Ik begrijp die echt niet! Dat is wat jij niet helemaal snapt, denk ik.

[Reactie gewijzigd door Bruin Poeper op 20 mei 2018 13:09]

Er wordt verwezen naar My Tweakers, ik ben het eens dat het enigszins verwarrend is, maar ik denk (ik weet het niet zeker) dat ze hiermee gewoon je profiel pagina bedoelen. Ze bedoelen hiermee dus niet een url (denk ik).
Officieel is tweakers geen tweakers maar tweakers.net en my tweakers.net is gewoon je profielpagina.

Misschien niet de slimste woordkeuze maar met een seconde of 3 denkwerk kom je er toch wel uit...
Ik moet eerlijk bekennen dat ik me hier al een poosje mee bezig hou, maar dat ik nou nog steeds niet weet wat ik hier als Eenmanszaak ook daadwerkelijk mee aan moet. Ik bewaar gegevens van klanten (naam, tel.nummer, email en adres) zodat ik ze kan contacten indien nodig, en ze een factuur kan sturen.

Deze wachtwoorden zitten op zowel de telefoon als de laptop achter een wachtwoord zodra het scherm op slaapstand springt. Zit deze niet in slaapstand, dan zit ik er zelf achter. Wat meer kun je doen dan dit? Of beter, wat moet je meer doen? De gegevens moeten naar mijn mening/weten ook nog fatsoenlijk te bereiken zijn voor mij als eigenaar ten slotte, om er in alle redelijkheid nog mee te kunnen werken.

Wat meer zou de overheid nu in de praktijk van je verwachten met deze AVG?

En over blogs gesproken bijvoorbeeld: Als er 100 mensen reageren op een blog, dan kan ik daar toch niet veel aan veranderen? Die blog zit achter een wachtwoord, maar op 't moment dat je een site hebt die door iedereen bezocht kan worden (en waar dus iedereen op kan reageren), dan kan ook iedereen zien wie er gereageerd heeft... ook al is dat onder een nickname.
Toevallig een windows laptop?
Dat wachtwoord is niets waard als ze hem stelen, harde schijf eruit halen en bv. in een externe harde schijf case steken. Dan kunnen ze aan al je data.

Je hebt een programma nodig waarbij je die zaken encrypteert. Of encrypteer je hele schijf met bv. Bitlocker van Microsoft zelf.
Hoef je ook maar een wachtwoord in te geven, maar is het wel beveiligd.

[Reactie gewijzigd door SmokingCrop op 20 mei 2018 08:06]

Bitlocker is prima oplossing, maar vereist wel een TPM in je systeem. Een professionele laptop heeft die meestal wel, maar ik verwacht dat genoeg ZZP-ers of kleine bedrijven een home-laptop gebruiken.

Veracrypt oid is een goede oplossing om bepaalde delen / mappen te versleutelen, maar niet het gehele OS. Iemand een goede oplossing om de hele schijf incl. OS te encrypten in Windows?
Je hebt eigenlijk geen TPM nodig, enkel Windows Pro.
Als je geen TPM hebt, dien je een aanpassing te maken in het groepsbeleid, zodat je kan instellen dat je bij het opstarten een wachtwoord moet ingeven:
https://www.howtogeek.com...er-on-drives-without-tpm/

Dat werkt prima hier. Al is het natuurlijk wat minder veilig (door dat je de extra beveiliging features van die chip niet hebt)

Je kan zelfs instellen dat Windows daarna automatisch inlogt, zodat je maar 1x een wachtwoord moet ingeven. (Als je dan uit slaapstand komt, moet je natuurlijk wel terug je wachtwoord ingeven van je Windows account.)
http://www.intowindows.co...ally-login-in-windows-10/

PS: Veracrypt kan ook je hele schijf (inclusief windows) encrypteren (nog niet zelf geprobeerd):
https://www.howtogeek.com...rypt-to-secure-your-data/

[Reactie gewijzigd door SmokingCrop op 20 mei 2018 17:01]

Super, thanks! Exact wat ik zocht (en meer zelfs _/-\o_ )
Ik heb een Mac met Sierra als werk-OS (High Sierra als privé OS), maar ik merkte als ik de gehele schijf encrypt dat m'n systeem merkbaar een tikje trager wordt. En dat op een laptop van net een jaar oud.

Bepaalde zaken encrypten kan ook, maar data wordt zo overal-en-nergens bewaard door 't systeem (adresgegevens, emails, agendapunten met persoonsgegevens etc staan niet allemaal in 1 map), dus ik zou een programma kunnen vinden wat wel encrypt, maar niet de computer merkbaar vertraagd.

Wat ik overigens van een bevriende IT'er hoorde, is dat als een bedrijf met werknemers dit ook doet, dat het de eventuele reparaties een stuk moeilijke maakt. Je kan ten slotte als IT'er niet "zomaar" de schijf vervangen en "even" alle data over zetten.
Heeft die IT'er je dan ook uitgelegd dat het noodzakelijk is om backups uit te voeren? dan spreidt je namelijk je kansen het is niet aannemelijk dat de schrijven op hetzelfde moment ermee stoppen ^^

Encryptie van een hardeschijf is dus echt wel noodzakelijk met de gegevens die jij opslaat.

goed dat je geen windows hebt (meer kans op virussen), maar mac is natuurlijk ook gwn vatbaar voor virussen
Heeft die IT'er je dan ook uitgelegd dat het noodzakelijk is om backups uit te voeren? dan spreidt je namelijk je kansen het is niet aannemelijk dat de schrijven op hetzelfde moment ermee stoppen ^^

Encryptie van een hardeschijf is dus echt wel noodzakelijk met de gegevens die jij opslaat.
Dit brengt wel een ander issue met zich mee. Wanneer iemand beroep doet op zijn recht om vergeten te worden, zullen de gegevens van deze persoon ook uit de backups moeten verdwijnen. Dat een externe hardeschijf encrypt is doet er dan niet toe. De gegevens mogen op geen enkele manier direct of indirect herleid worden. Wel of niet encrypten staat hier los van.

Je zal dus een goede backup procedure in plaats moeten hebben welke de oude backups na x dagen overschrijft.

Edit: aanvulling backup

[Reactie gewijzigd door Jelovnik op 20 mei 2018 10:14]

Daarom moet je ook een dagelijkse backup uitvoeren van de persoonsgegevens en gelukkig kan je dit gewoon automatiseren. :)
Los daarvan weegt het recht om vergeten te worden niet zwaarder dan het bedrijfsbelang om backups te maken en omwille van IT-infrastructuur logs bij te houden. Dus als je backups 1x per maand uitvoert en je logs na 8 dagen automatisch verdwijnen, is er volgens onze adviseurs weinig aan de hand.

(Je moet wel een verhaal hebben waarom backups en logs noodzakelijk zijn voor je bedrijfsvoering, maar in beide gevallen lijkt me dat niet zo moeilijk; het gaat om borging van continuiteit in geval van calamiteiten en IT diagnostiek die kort bewaard blijft.)

Ook het voeren van een oplichtersadministratie en het bewaren van gegevens voor de belastingdienst zijn bijvoorbeeld zaken die zwaarder wegen dan de AVG.
Niet mee eens het staat in de AVG GDPT letterlijk anders verwoord (67)
Ik heb gisteren een update gehad van windows 10, en daar staan ook veel dingen bij die betrekking hebben op de privacy.Het enigeste visuele wat die update doet is een snelkoppelimg maken van de edge browser op de desktop tevens moet je best veel instellen wat ook met name betrekking heeft op de reclame wat bing allemaal laat zien.En nog veel meer privacy vragen.Ik vind het wat dit betrefd best goed ook al vind ik het allemaal een beetje te ver gaan.
Maar dat kan misschien een persoonlijke mening zijn.
Encrypten en decrypten kost je rekenkracht, onder Windows (Bitlocker) Ubuntu is dat merkbaar en dat zal op MacOS niet anders zijn.

Ik heb al jaren geen data meer lokaal op mijn computers staan en heb alles in de cloud (Google Drive), daar is het encrypted en beter beveiligd dan ik ooit voor elkaar kan krijgen of betalen kan.

Als ik mijn laptop kwijt ben, dan verwijder ik het device uit mijn lijst van geaccepteerde devices en dan kan niemand bij mijn data.
Als jij kan garanderen dat die data nooit buiten de EU komt... Persoonsgegevens opslaan bij een Google o.i.d. is bij onze organisatie in ieder geval niet toegestaan.

[Reactie gewijzigd door vickypollard op 20 mei 2018 10:12]

Dat Privacy Shield staat wel ter discussie...
Dieselauto's ook, maar toch kopen veel mensen nog steeds een dieselauto.

Die privacy shield is eenvoudig te omzeilen als Google de Google Ireland juridisch loskoppelt van Google VS. Gemakthalve ga ik er van uit dat Google Europese data al in de EU opslaat en anders is dat eenvoudig te realiseren.
Het is makkelijk te omzeilen als Google dezelfde moeite erin steekt als Microsoft doet. Maar tot heden doen ze het niet en staat alle data van een Google gebruiker(ook betaalde) over de gehele wereld verspreid.
Tot op heden doen ze dat wel. Je kan afspraken maken in welk werelddeel de data opgeslagen mag worden en bij een Enterprise abo kun je kiezen voor de locatie(s) waar de data opgeslagen mag worden.
Wie gaat die miljoenen operatie betalen dan?
Gemakthalve ga ik er van uit dat Google Europese data al in de EU opslaat en anders is dat eenvoudig te realiseren.
En gemengde data ? Uitwisselingen tussen Europese en Amerikaanse vestigingen ? Dan wordt het EU-deel tevens opgeslagen op Amerikaanse servers. Lastig.
Gemengde data;

Eenvoudig op te lossen met een GSuite Enterprise abonnement.
Anoniem: 470811
@vickypollard20 mei 2018 18:12
Maar de Model Contract Clause niet, en die kun je gewoon tekenen in de admin portal van Google Suite.
Je zou ook eens kunnen kijken naar een online oplossing. Voor mijn hosting zaken zit ik bij Hostfact (voorheen Wefact Hosting) ze hebben ook een normaal pakket zonder alle hostingkoppelingen. Dat is dan gewoon Wefact. Je kunt daar je gegevens met 2fa beveligen wat stukken veiliger is dan je user wachtwoordje op je mac. (Even booten in een installatie setup en via terminal is je ww in 10sec gewijzigd )

Wat ik overigens veel onhandiger vind aan AVG is het bewaren/archieveren van email. Sinds gmail bestaat ben ik gewend om nooit meer mail te hoeven verwijderen. Blijkbaar mag dat nu ineens niet meer. En wat als een klant aangeeft uit je systeem te willen worden verwijderd. Moeten dan ook alle mailconversaties verwijderd worden?
Denk niet dat je alle mailconversaties mag verwijderen. Belastingdienst wil namelijk dat je gegevens ook voor x jaren minimaal moet bewaren. Dat zijn dan weer wettelijke verplichtingen waar je aan moet voldoen.
Maar als je het daar niet verwijdert, ben je dan niet in overtreding op deze wet?

Mijn vriendin werkt in België op een Centrum leerling begeleiding(CLB) die hebben het meeste van de gegevens in een online database van de overheid staan (Leerling administratie registratie systeem) dus wie is daar dan verantwoordelijk voor?
Ook hebben ze van de oudere leerlingen ernaast nog een papieren administratie en hun gewone werk computers, waarvan het meeste dus in Lars gebeurd.

Enige wat daar beter moet zijn de wachtwoorden van de mensen die er werken. Maar veel ouderen en artsen en computers zijn nooit een goede combinatie.
Het is soms allemaal onduidelijk maar als er een wettelijke verplichting is om administratie te bewaren (voor belastingdienst) dan gaat dat boven recht op privacy omdat het een wettelijke eis is.

Bijv een werkgever moet ook kopie van je id hebben. Dat valt ook onder de privacy maar is tegelijk ook een wettelijke verplichting. Kan natuurlijk goed zijn als je niet meer bij dat bedrijf werkt ze het moeten vernietigen.
Zet alle gevoelige informatie op een microsd en zorg dat daar na iedere wijziging onmiddellijk een backup van wordt weggeschreven.

Een sd kaartje met enkel wat databases en documenten encrypten zal je echt geen merkbaar verschil in performance geven. En dan kun je de rest van je systeem met rust laten.
Permanent op een SDkaart schrijven geeft hem een erg korte levensduur. En dit helpt ook niet tegen cryptolockers.
Ik ga er vanuit dat een redelijk kaartje makkelijk een jaar mee kan met dat soort gebruik. Ook zal bij de meeste mensen de gevoelige data echt niet in de tientallen Gigabytes lopen.

Als dat wel zo is dan kies je uiteraard als volgende laptop er eentje met 2 losse schijven. Eentje zonder encryptie, voor performance, de ander wel met encryptie.

Nu gebruikt mijn vader nog tot oktober even een microsd kaart. Daarna is zijn laptop afgeschreven en komt er een nieuwe.

En wat bedoel je met niet beschermen tegen cryptolockers?
Dat laatste is maar goed ook, want dat is hoe een ander het ook kan doen :-) Een bedrijf zal zijn werknemers moeten dwingen de harde schijf te versleutelen, anders is het simpelweg ergens laten liggen van een laptop al een kans op een datalek.
Nou ik zit hier op een MacBook Pro Retina uit 2013 met gewoon de encryptie aan en ik merk niets in mijn dagelijkse bezigheden.

Ja als ik benchmarks ga draaien zie ik verschil, is het merkbaar nee.

En op de opmerking van je bevriende IT'er, tja dan leren misschien bedrijven of personen ook maar eens normaal backups te maken. Dan is namelijk niet aan de hand als je een keer een kapotte machine hebt. Maar goed hoelang roepen we dat backups al belangrijk zijn? Een jaar of 20? Het wordt alleen maar belangrijker.
.

[Reactie gewijzigd door Gamebuster op 22 mei 2018 13:52]

Anoniem: 435630
@SmokingCrop20 mei 2018 08:54
Psies, bij mij is alles met veracrypt versleuteld een staan alle wachtwoorden in keepas.
(Prettige) Bijkomstigheid is tevens dat er wat lastiger problemen gemaakt kunnen worden over het feit dat men computers en schijven versleutelt. ''Ik moet gegevens beschermen''.
Ik moet eerlijk bekennen dat ik me hier al een poosje mee bezig hou, maar dat ik nou nog steeds niet weet wat ik hier als Eenmanszaak ook daadwerkelijk mee aan moet. Ik bewaar gegevens van klanten (naam, tel.nummer, email en adres) zodat ik ze kan contacten indien nodig, en ze een factuur kan sturen.
Dit lijkt me vrij logische informatie. Ook niet overbodig veel. Gebruikt voor duidelijke doelen (hoewel "contacten indien nodig" wat vaag is). Dat lijkt me in essentie prima.

Verder moeten je aan de genoemde rechten van betrokkenen kunnen voldoen. Een klant mag bijvoorbeeld vragen welke gegevens je van hem hebt. Dat lijkt me in dit geval geen enkel probleem.

Misschien heb je een zakelijke rechtsbijstand verzekering. Dan zou je kunnen informeren of er nog wat andere formaliteiten zijn die je moet regelen.
Deze wachtwoorden zitten op zowel de telefoon als de laptop achter een wachtwoord zodra het scherm op slaapstand springt. Zit deze niet in slaapstand, dan zit ik er zelf achter. Wat meer kun je doen dan dit? Of beter, wat moet je meer doen? De gegevens moeten naar mijn mening/weten ook nog fatsoenlijk te bereiken zijn voor mij als eigenaar ten slotte, om er in alle redelijkheid nog mee te kunnen werken.
Wat meer zou de overheid nu in de praktijk van je verwachten met deze AVG?
Ikdenk van jou niet zo gek veel meer. Dat je zorgvuldig met de gegevens omgaat. Dat ze niet zomaar op straat liggen. Gebruik encryptie op je telefoon en laptop, en en goed wachtwoord. Maar dat lijkt.me vrij normaal.
En over blogs gesproken bijvoorbeeld: Als er 100 mensen reageren op een blog, dan kan ik daar toch niet veel aan veranderen? Die blog zit achter een wachtwoord, maar op 't moment dat je een site hebt die door iedereen bezocht kan worden (en waar dus iedereen op kan reageren), dan kan ook iedereen zien wie er gereageerd heeft... ook al is dat onder een nickname.
Ja. Hoewel een post onder een nickname waarschijnlijk niet herleidbaar is. Maar wat is je punt? Er bestaat geen principe verbod op de verwerking van persoonsgegevens, er zijn alleen wat (vaak vrij logische) voorwaarden aan verbonden.
Je hebt denk ik net de invulling voor kapotlood wat de AVG betreft vrijwel rond gemaakt.
Je zou nog aan harde schijf encryptie op de apparaten kunnen denken en beschrijving voor de opvang als er een uitvalt/gestolen wordt. Wanneer wordt iemand geacht geen klant meer te zijn? Na 3 / 5 termijnen (jaren?) geen opdracht. Een garantie op het geleverde werk. De factuur met klantgevens zal met de boekhouding zo'n 7 jaar bewaard worden als de algemene bewaartermijnen daarvoor geldig zijn.

Allemaal een beetje zoals het was, er is weinig dat echt volledig anders is.
Tsja dat klopt, maar iedereen deed al die tijd maar wat, zoals blijkt uit de heisa eromheen. Dus heeft denk ik weinig nut mensen er nu nog op te wijzen dat het altijd al zo was :-)

[Reactie gewijzigd door vickypollard op 20 mei 2018 10:18]

Daar heb je gelijk in dat iedereen al die tijd maar wat deed. Mooie kans om dat nu glad te gaan strijken.
We kunnen er een heisa van laten worden op een manier dat het "te moeilijk en te duur" weer niets van komt of we kunnen proberen die overdreven heisa een beetje te temperen zodat de verandering doorzet.
Nou ja, het is natuurlijk niet per definitie nodig om bij een reactie een naam te plaatsen. Je zou een reactiesysteem kunnen hebben zonder namen. En zonder opslag van IP's, want ook dat zijn persoonsgegevens. WeIiswaar onhandig, maar goed, het zou wel kunnen.

Dus je zou dat dan op twee manieren moeten/kunnen oplossen: toestemming vragen om die naam en het IP op te slaan met daarbij duidelijk aangegeven waarom, of het gooien op gerechtvaardigd belang (waarbij rekening moet worden gehouden met dat het privacybelang van de betrokkene over het algemeen zwaarder weegt).
Als je gegevens van klanten bewaard moet je zorgen dat ze beveiligd zijn opgeslagen, zodat Jan en alleman niet opeens bij gevoelige informatie kan. Daarnaast moet je een bewaar termijn aangeven voor contact gegevens van contacten waar geen financiële relatie achter zit. Het idee is dat je persoonlijke gegevens na x periode verwijdert als een persoon contact opneemt maar er komt verder niks uit (contact formulier). Bij een financiële relatie heb je die gegevens nodig om een betaling te kunnen verwerken en heb je dus een legitieme reden waarom je de gegevens bewaard.
Bedankt voor je uitleg :)

Die bewaartermijn vond ik wat lastig in te schatten... sommige klanten hoor ik maar eens per jaar van namelijk, soms zelfs minder vaak als ik freelancers om me heen hoor. Die sporadische contacten hou ik daarentegen wel graag warm zodat ik hun óók kan contacten als dat zakelijk nodig is :)

Maar als er een zakelijk belang bij is, dan mag je ze dus gewoon bewaren (zij het achter een beveiligde HD/map/locatie).
Niet per definitie, want wat is "zakelijk belang"? Dat jij er een nieuwe opdracht uit kan slepen is voor jou een zakelijk belang, maar voor de klant misschien irritant. Dan heb jij geen recht om die gegevens te bewaren.

Als je een opdracht uitvoert mag je die gegevens bewaren omdat je een overeenkomst moet uitvoeren (wettelijke grondslag). Eventueel daarna moet je bepaalde gegevens bewaren, omdat je bijvoorbeeld op aanvraag van de Belastingdienst e.e.a. moet kunnen laten zien (ben geen jurist, dus check dit).

Simpelweg gegevens bewaren omdat je iemand wel weer eens een keertje zou willen kunnen spreken ligt wat lastiger. Maar als je uit ervaring weet dat bij jouw bedrijf en de branche waar jij in zit de gemiddelde klant een jaar na zijn laatste contact nog een keertje terugkomt zou je kunnen beargumenteren dat je om die reden de gegevens wat langer bewaart, want je wilt dan waarschijnlijk beter van dienst kunnen zijn door ook nog wat geschiedenis van die persoon te hebben. Mocht iemand na zoveel tijd nog geen contact hebben opgenomen, tsja dan moet je toch wel een keertje die gegevens gaan weghalen.
Gaat het hier niet om bedrijfsgegevens ipv persoonsinformatie?
Een zakelijk contact (ook al is het een e-mailadres gegeven door het bedrijf) betreft ook persoonsgegevens. Je zou op z'n hoogst kunnen stellen dat info@bedrijf.nl geen persoonsgegeven is, mits het geen ZZP-er betreft (want dan is het inherent een persoonsgegeven)

[Reactie gewijzigd door vickypollard op 20 mei 2018 09:41]

Is het email adres henk@tweakers.net een persoonsgegeven dus? Ik kan mij voorstellen van niet- er kan ook iemand anders achter zitten die tijdelijk Henk zijn werkzaamheden heeft overgenomen.
Maar dan is het wederom een persoonsgegeven geworden, omdat het herleidbaar is naar een persoon.

Edit: ik denk dat de mogelijkheid bestaat dat de persoon achter een e-mailadres tijdelijk vervangen is, er niet voor zorgt dat het dan ineens geen persoonsgegeven meer is. Het e-mailadres zal terug te leiden zijn tot Henk.

Je moet niet willen zoeken naar dit soort redenaties om er onderuit te komen, want een rechter zal daar niet in meegaan.

[Reactie gewijzigd door vickypollard op 20 mei 2018 09:49]

Een e-mailadres is een persoonsgegeven. Er zijn vast wel uitzonderingen (zoals algemene adressen bij grote organisaties). Maar je kan die uitzonderingen maar beter op dezelfde manier behandelen als de niet-uitzonderingen, tenzij je alleen met die uitzonderingen werkt en dat kan aantonen...
Stap 1 is de verplichte Privacyverklaring opstellen (en publiceren/meesturen!).
Daar staan eigenlijk alle acties in beschreven die je moet doen (en naar de klant moet communiceren):
 • Inleiding
 • Persoonsgegevens die je verwerkt
 • Verwerkt je ook bijzondere persoonsgegevens?
 • Waarom je gegevens nodig hebt
 • Welke regels gelden bij de verwerking van persoonsgegevens?
 • Hoe lang je gegevens bewaart
 • Delen met anderen/verstrekking gegevens aan derden
 • In kaart brengen websitebezoek (openbare gedeelte)
 • Uw privacy rechten: Gegevens inzien, aanpassen of verwijderen, Vragen
 • Beveiliging
Voor een éénmanszaak, die geen bijzondere gegevens verwerkt, kan dit een simpel A4'tje zijn. En maak dan meteen een verwijzing naar je PV in je AV. :)

De bewaartermijn van je administratie is minimaal 7 jaar:
https://www.belastingdien..._uw_administratie_bewaren

[Reactie gewijzigd door Tweaker626 op 20 mei 2018 13:40]

Ik denk dat je alleen maar al je harde schrijven en telefoons hoeft te versleutelen en dan ben je klaar. Meer kan je feitelijk niet doen en een betere beveiliging is niet mogelijk. Je wachtwoord dient dan wel van hoge kwaliteit te zijn (passphrase).
Je moet

Nu:
- een verwerkingsregister opstellen
- een verwerkerscontract afsluiten met derden waar je gegevens mee deelt (in EU en ook buiten EU)
- risico analyse uitvoeren bij invoering nieuwe technologieën of procession (Data Protection Impact Assesment)
- Organisatorische maatregelen treffen, encryptie is niet voldoende! (ook: trainingen, privacy policies, security policies, monitoring) en dan technische maatregelen: security, encryptie, anonymisering, ...

Later:
- Melden van gegevenslekken bij autoriteiten
- Data protection by default en design implementeren in alles wat je doet

Voor alle persoonsgegevens die je verzamelt moet je nagaan of je ze uberhaupt mag verzamelen en indien ja: met of zonder toestemming (uitvoering contract, wettelijke verplichting, vitaal belang, algemeen belang, gerechtvaardigd belang: bv recht op ondernemen).

Dus, je vraagt je klanten of je hun gegevens x aantal tijd mag bijhouden en waarom (doel) je dit wil doen. Mag het van hen: OK. Anders moet je alles wissen tenzij het verplicht wettelijke informatie op de factuur bv. is. Maar je mag dan niet deze informatie gebruiken om hen reclame op te sturen.

Per "doel" moet je namelijk apart toestemming vragen.
Ik ben benieuwd hoe de BKR instantie hier mee om gaat.
Gegevens inzien kost nu geld, gegevens wijzigen doen ze alleen op verzoek van bedrijven niet van consumenten en gegevens verwijderen zullen ze wel helemaal niet willen.

Nu heb je nog een paar van dat soort brave betaler registers voor bepaalde markten waar je misschien niet van op de hoogte ben, of andere data verzamelaars die hun data van bedrijven krijgen zonder dat je dat weet (omdat het ergens op pagina 62 van de algemene voorwaarde stond vermeld als een third party)
Niet geheel toevallig zijn deze gegevens vanaf 25 mei dan ook gratis op te vragen. Je kunt het teruglezen op www.bkr.nl/home/zakelijk/...pese-privacy-verordening/

[Reactie gewijzigd door telefoontoestel op 20 mei 2018 08:28]

Voor het opvragen van welke persoonsgegevens zijn ze er klaar voor.

Nu nog de profilering. Wat is het model er achter? Het lijkt wel de fico score (vs standaard).
https://www.bkr.nl/global...uctleaflets/bkr-score.pdf
Verschrikkelijke wet, ons bedrijf is er al een tijdje mee bezig maar ik heb er steeds meer bezwaren op.

Om er een paar te noemen,
Wij moeten kenbaar maken hoe we data opslaan en verwerken ook moeten wij vermelden hoe dus wat voor encryptie, hoe lang, locatie, enz. Ik vind dat zelf een beveiligns ''lek'' door zulke informatie naar buiten te brengen weten kwaadwillende beter hoe ze binnen zouden kunnen komen.

Verwerkingsovereenkomst, komt er op neer dat een bedrijf de volledige verantwoordelijkheid bij ons neer legt met de eventuele claims die daar uit kunnen volgen, wij tekenen dan ook geen enkele overeenkomst op het moment.

We werken veel met zzp''ers allemaal verschillende contracten, de tijd en geld dat het kost is niet normaal.
En een vraag die ik vaak voorbij hoor komen, leuk die wet maar hoe zit het met de KVK en zzp''ers, de KVK is een opendatabase voor iedereen toegankelijk waar BSN en NAW gegevens gratis in te zien zijn. de KVK werkt met een opt-in maar verkopen nog steeds je data, aan bedrijven sites e.d.

Zij hebben zeker een uitzondering op deze wet omdat ze anders geen dienst kunnen leveren aan zzpers resultaat er veranderd niks. hypocriete wet is het.

Zou mij niks verbazen dat er over een paar jaar vergunnen worden uitgegeven aan bedrijven die dan wel data mogen inzien.
Verschrikkelijke wet, ons bedrijf is er al een tijdje mee bezig maar ik heb er steeds meer bezwaren op.

Om er een paar te noemen,
Wij moeten kenbaar maken hoe we data opslaan en verwerken ook moeten wij vermelden hoe dus wat voor encryptie, hoe lang, locatie, enz. Ik vind dat zelf een beveiligns ''lek'' door zulke informatie naar buiten te brengen weten kwaadwillende beter hoe ze binnen zouden kunnen komen.
Hoezo naar buiten brengen? Dat is niet nodig, tenzij je daar bij een controle om gevraagd wordt, maar dan ligt het nog niet op straat.
Strict genomen is het een risico, maar ik denk dat de voordelen ruimschoots opwegen tegen de nadelen.
Er zijn namelijk zo ontzettend veel organisaties waar het ronduit slecht geregeld is. Wanneer het goed geregeld is zou je alle informatie die je moet registreren al lang moeten hebben. Niet als wettelijke verplichting maar omdat je het zelf nodig hebt.
Verwerkingsovereenkomst, komt er op neer dat een bedrijf de volledige verantwoordelijkheid bij ons neer legt met de eventuele claims die daar uit kunnen volgen, wij tekenen dan ook geen enkele overeenkomst op het moment.
Waarom is dat vreemd? Het is toch heel gewoon dat je verantwoordelijkheid draagt wanneer je werk voor een ander uitvoert?
We werken veel met zzp''ers allemaal verschillende contracten, de tijd en geld dat het kost is niet normaal.
Eerlijk gezegd, en ik heb makkelijk praten, vind ik dat inherent aan ZZP'ers. Die zijn nu eenmaal verschrikkelijk duur, dat heb je met tijdelijke krachten. Veel ZZP'ers zitten in een situatie waarin ze eigenlijk veel te goedkoop werken omdat alle overhead op hen wordt afgewikkeld, terwijl het bedrijfsleven vooral goedkope en tijdelijk krachten wil. De grens tussen tijdelijke en vaste contracten is IMHO te veel naar tijdelijk verschoven in het nadeel van de werknemers. ZZP'ers moeten werken tegen het (lagere) tarief dat bij een vast contract hoort, waardoor er ook geen stimulans is om mensen in vaste dienst te nemen. Neem ze in vaste dienst als de overhead te veel wordt. (Nogmaals, ik heb makkelijk praten, ik weet niet wat jullie doen. Ik wil het niet persoonlijk maken, ik heb meer over de algehele richting dan jullie specifieke bedrij).

Bij dit soort complexe situaties waarin persoonsgegevens veilig moeten worden opgeslagen lijkt het me ergens ook wel terecht. Als individu kun je haast niet voldoen aan alle eisen waar grote bedrijven mee te maken hebben. Voor je zo'n taak aan een ZZP'er geeft zal je een hoop moeten vastleggen.
En een vraag die ik vaak voorbij hoor komen, leuk die wet maar hoe zit het met de KVK en zzp''ers, de KVK is een opendatabase voor iedereen toegankelijk waar BSN en NAW gegevens gratis in te zien zijn. de KVK werkt met een opt-in maar verkopen nog steeds je data, aan bedrijven sites e.d.
Zij hebben zeker een uitzondering op deze wet omdat ze anders geen dienst kunnen leveren aan zzpers resultaat er veranderd niks. hypocriete wet is het.
Zeker, maar hoe groot is het probleem nu concreet voor jou? Je kan hoog of laag springen maar je moet het maar accepteren en daarmee is de kous af. Je hoeft zelf niks meer of minder te doen dan wanneer die stomme eis er niet was.
Dank duidelijke uitleg.

ik snap dat er iets moet gebeuren maar het probleem ligt meer bij de grote data verzamelaars dan bij de kleine bedrijven, die zijn nu de dupe van hun gepruts, ik hoor vaker dat er een data lek bij een multinational is dan bij een Notaris/advocaten kantoor, en natuurlijk zij zijn groot en een notaris is klein waardoor je het niet zo snel hoort en er uiteindelijk minder gegevens gelekt kunnen worden.

Wij hebben diverse klanten die om de exacte beveiliging vragen omdat ze dat in hun vw willen vermelden... het is niet voor iedereen duidelijk, wij kunnen ze er wel op wijzen maar als iemand anders ze iets wijs maakt dat het voor ons wel ingewikkeld elke keer om te zeggen waarom niet.

De verwerkingsovereenkomsten die ik snel gezien had stonden ook claims/bedragen in, een bank kan ook gehackt worden net als wij, en om daar dan direct forse claims tegen over te zetten gaat mij wat ver.
Daarom worden ze ook nog niet getekend, we zijn het wel aan het uitzoeken maar dat ligt weer bij 3rden die ook geld kosten.

Wij doen er alles aan om zo goed mogelijk de boel te beveiligen en misschien wel meer, maar ik kan geen 100% garantie geven, er zijn altijd situaties waar wij niks aan kunnen doen, bijvoorbeeld als een klant gaat spelen met teamviewer en ongewenste personen op het netwerk toelaat of inzage geeft in dossiers, klanten die mee kijken over de schouders van werknemers van de klant enz.

Wij hebben maar een klein bedrijf met +/- 10 werknemers en +/- 10zzpers er gaat zoveel tijd inzitten dat het ons klauwen met geld kost.
Een zzper heeft voor ons voor en nadelen, ze zijn in ons vak goedkoop maar er zitten een hoop cowboys tussen dat klopt, maar ook met vaste werknemers lopen wij vaak tegen problemen en kosten aan, en die zijn hoger dan bij de zzp'er.
Goed gemotiveerd personeel is moeilijk te vinden voor ons en uit een pool van ZZP'ers is de keus wat groter plus je kan er makkelijker afscheid van nemen
De verwerkingsovereenkomsten die ik snel gezien had stonden ook claims/bedragen in, een bank kan ook gehackt worden net als wij, en om daar dan direct forse claims tegen over te zetten gaat mij wat ver.
Daarom worden ze ook nog niet getekend, we zijn het wel aan het uitzoeken maar dat ligt weer bij 3rden die ook geld kosten.
Wanneer je een verwerkersovereenkonst hebt getekent, je lekt data door een hack en je procedures en beveiliging is aantoonbaar op orde dan krijg je echt geen boete. Daarnaast kan je het omdraaien. "Nee we gaan niet accoord met jouw verwerkersovereenkomst", "hier heb je die van ons,, teken die maar". Enige kans is dat ze dat niet willen doen. Tja dan gaan ze maar naar een ander als ze denken dat het gras daar groener is. Wat je vaak ook ziet met die verwerkersovereenkomsten de laatste tijd dat ze bij offerte trajecten die dingen supersnel tekenen, maar achteraf altijd moeite doen. Hou hier dus rekening mee ;)
Waarom is dat vreemd? Het is toch heel gewoon dat je verantwoordelijkheid draagt wanneer je werk voor een ander uitvoert?
Wat 'heel gewoon' is, is dat je daar in je dienstverleningsovereenkomst (of algemene voorwaarden) afspraken over maakt, tijdens de contractonderhandelingen die daarbij komen kijken. Het is niet gewoon dat verwerkingsverantwoordelijken nu ineens bij verwerkers allerlei extra aansprakelijkheids- en vrijwaringsclausules door de strot duwen. Een verwerker kan in lang niet alle gevallen overzien wat deze aansprakelijkheid inhoudt. Er is dan ook een reden dat in de AVG de verwerkingsverantwoordelijke ook nog steeds degene is die aansprakelijk is.

Een simpel voorbeeld: als je als kleine leverancier iets levert voor een groot concern, wil je niet de kans lopen dat je 4% van de jaaromzet van het grote concern af mag tikken. Dat is wel wat verwerkingsverantwoordelijken nu in de schoenen van verwerkers proberen te schuiven.
Goed punt!

(Het pogen te schuiven met de 4 procent.)

Uiteindelijk gaat het er, denk ik, om dat in de waardeketen altijd sprake is van verantwoordelijkheid en eindverantwoordelijkheid. Dat draait dan niet om historie, maar om het einde van de toevoeging van waarde. Een leverancier (groot of klein) is per definitie nooit een eindverantwoordelijke, immers er volgt nog een waarde-toevoegende keten ná die leverancier. Anders was het geen leverancier maar een vèrkoper.

Overigens moet ik met dit soort problematiek altijd weer aan EULA's denken. De geest van de wet is -en was- vaak zó duidelijk en dan tòch :+ !

[Reactie gewijzigd door BStorm op 22 mei 2018 22:40]

In het artikel staat op de pagina "De andere kant" iets over "Minimale gegevensverwerking:
"Als een organisatie persoonsgegevens verwerkt voor een bepaald doel, mogen daar niet meer of minder gegevens voor gebruikt worden dan nodig. Ook moeten de gegevens geschikt zijn voor dat doel."

Ik was en ben in de veronderstelling dat ik als ondernemer zelf mag bepalen wat ik voor gegevens vraag van en vastleg van mijn klanten, mits aan deze twee voorwaarden wordt voldaan:
- de klant heeft WEL toestemming heeft gegeven (door een vinkje dat niet standaard aan staat) en
- het zijn GEEN bijzondere persoonsgegevens.

Maar de tekst in dit artikel wekt de indruk dat het niet zo is. Concreet voorbeeld: mag ik de geboortedatum vragen en vastleggen bij de NAW gegevens? Zo nee, dan ontvang ik graag een link naar het artikel waarin die grens wordt gesteld. Of kan iemand verduidelijken wat er wordt bedoeld in het artikel?
Je moet kunnen beargumenteren waarom je een bepaald gegeven opslaat. Bij welk deel van de uitvoering van je werk heb je de geboortedatum nodig? Als je een goed antwoord hebt op deze vraag, dan is er niks aan de hand.

[Reactie gewijzigd door pingkiller op 20 mei 2018 15:36]

Je moet kunnen beargumenteren waarom je een bepaald gegeven opslaat.
Ik denk dat voor veel zaken de geboortedatum wel van belang is. Al was het maar omdat aan dienstverleningen aan bijv. minderjarigen andere eisen worden gesteld.
Dan kan je de optie bieden om het elke keer te vragen. Of zodra iemand 18 is het omzetten naar 1 januari 1900

[Reactie gewijzigd door nandervv op 20 mei 2018 17:49]

Ik ben in de veronderstelling dat ik als ondernemer zelf mag bepalen wat ik voor gegevens vraag van en vastleg van mijn klanten, mits aan deze twee voorwaarden wordt voldaan:
- de klant heeft WEL toestemming heeft gegeven (door een vinkje dat niet standaard aan staat) en
- het zijn GEEN bijzondere persoonsgegevens.
Dat klopt niet. De GDPR heetf een expliciete sectie "Conditions for consent", wat precies gaat over dit onderwerp.

De voorwaarden zijn:
- Duidelijke, expliciete toestemming. Een vinkje is OK, maar het moet duidelijk zijn dat het vinkje alleen gaat over deze toestemming.
- Intrekbaar. Het vinkje moet ook weer uitgezet kunnen worden.
- Vrijwillig gegeven. In het bijzonder mag je niet zomaar de tostemming van twee diensten koppelen. Dat levert namelijk de situatie op dat de toestemming voor de ongewenste dienst niet meer vrijwillig is. Concreet: je mag je klanten niet spammen, en je kan ook geen toestemmign afdwingen voor dat soort spam door het als voorwaarde voor andere diensten te eisen,
Bedankt voor je reactie. Ik begrijp uit je reactie dat je je toespitst op de toestemming en daar gaat mijn vraag niet over. Als we er nu even van uit gaan dat die toestemming er is en op de juiste manier verkregen is, dan is mijn vraag of er nu beperkingen zijn ten aanzien van welke vragen je aan je klant mag stellen.

De reactie van Pingkiller is wel een antwoord op mijn vraag, maar het laat wel ruimte voor interpretatie. Het kan zijn dat een vraag voor een klant voelt als irrelevant maar dat ik het wel graag wil weten. het compromis zou zijn om een veld als geboortedatum optioneel te maken, maar ik zou nog wel graag de exacte tekst willen lezen als hier iets over in de wet staat.
Ok, ook daar is inderdaad duidelijk. GDPR Art 5.1.c, "limited to what is necessary". Wat jij "graag wil weten" is niet belangrijk, is die data noodzakelijk? Dit principe staat ook bekend als "data minimisation".
Waar een collega laatst mee kwam is dat het hele plan niet haalbaar is, je hebt namelijk back-up systemen en daar kan je niet zo maar records uit verwijderen. Vooral dat je veel dingen voor de belastingdienst x aangal jaren moet bewaren.

Moet je dan je tapes gaan weg gooien ?
Als er een goede reden is aan te geven waarom je iets niet kunt verwijderen mag je het blijven ooslaan zodra je maar goed beschrijft wat je opslaat, hoe lang je het bewaard en met welk doel. Zo kan je bij bijvoorbeekd persoonlijke informatie in logfiles zeggen dat een emailadres (als onderdeel van logincredentials) een maand wordt bewaard voor mogelijke troubleshootactiviteiten. Uiteraard ga je nat als je die informatie langer bewaard dan nodig of voor andere doeleinden gaat gebruiken.
Terecht, maar als je een backup systeem hebt die overal een backup van maakt. Moet je dus je backups gaan weggooien. En dat kan niet zo maar.
De bewaarplicht voor oa. de belastingdienst gaat voor de verwijdering conform de AVG.

Ook voor CCTV systemen waren er beren op de weg, omdat mensen hun persoonsgevens mochten laten verwijderen, wat vrijwel onmogelijk is zonder veel meer beelden te verwijderen. Gelukkig stelt de AVG dat je binnnen 30 dagen moet voldoen aan het verwijderingsverzoek en in Nederland mag je camerabeelden maximaal 28 dagen bewaren, tenzij er zaken op de beelden waar te nemen zijn die noodzakelijk zijn om bewaard te blijven voor strafvervolging. Dan mag je de beelden langer bewaren en telt het verwijderingsverzoek niet, ook niet als je op deze beelden staat en niets met het delict te maken zou hebben.
Begrijp ik het goed dat facebook dus een optie moet aanbieden om mijn gegevens daadwerkelijk te verwijderen?

En sowieso dat ze mijn gegevens moeten verwijderen als ik met fb stop omdat het doel waarvoor de grgevens verzameld zijn niet meer gediend wordt?
Als ze dit doorvoeren zullen ze waarschijnlijk je persoonsgegevens niet verwijderen maar anonimiseren zodat de data voor hen verder beschikbaar blijft.
En checken ze dan wel dat dat anonimiseren onomkeerbaar is? Ik vraag het mij af.
Ik mag er vanuit gaan van wel. Facebook ligt zo onder vuur de laatste tijd, ik denk dat ze bij de EU niet kunnen wachten om ze een boete uit te delen en met een max hoogte van 4% van de jaaromzet tikt dat lekker aan.

Wat betreft de wet zelf, leuk idee, maar weer iets te ver doorgedreven. Het maakt de drempel wel weer een stuk hoger voor iemand om online met "iets" te beginnen.

Verkeerde prioriteiten wat mij betreft, zeker als het er nu in de praktijk op neer gaat komen dat eenmanszaken aan de schandpaal genageld worden om kleine overtredingen.

En ik had er ook op gehoopt dat we eindelijk van die cookie meldingen af zouden zijn, echter het wordt nu erger dan voorheen vrees ik. Kunnen we niet weer een stukje verantwoordelijkheid bij de gebruiker neerleggen?
Begrijp ik het goed dat facebook dus een optie moet aanbieden om mijn gegevens daadwerkelijk te verwijderen?
Ja.

Maar denk dat het nog wel wat verder zou kunnen gaan. Van mij hebben ze waarschijnlijk ook bergen trackingdata verzameld, ook al heb ik geen account. Op het moment dat dat te herleiden is naar mij, dan zouden ze ook die gegevens moeten verwijderen.

Benieuwd hoe lastig het voor facebook is op het moment dat ik die data ga opvragen, mij die te geven.
Het meest vervelende voor bedrijven vind ik hoe om te gaan met ongestructureerde data (mail en fileshares). Ik werk in een internationaal industrieel bedrijf dat buisiness 2 buisiness werkt. We verwerken dus gegevens van (potentiele)medewerkers, contactpersonen bij klanten/leveranciers.

Even wat “leuke” gebieden
- een medewerker is ernstig ziek. Mag je hem nog een bloemetje sturen?
- iemand mailt zijn collega’s dat hij minder zal werken wegens een ernstige ziekte (bijzonde persoonsgegeven) van zijn zoon (minderjarige). O ja... de mail is in het Spaans.
- iemand verliest “zijn” werktelefoon met daarop fotos en een (prive) adresboek waarop derden te zien zijn
De zieke collega mag je vast wel een bloemetje sturen (goed werkgeverschap, collegialiteit?). Inhoud van een ziekte mag sowieso alleen gevraagd worden door een bedrijfsarts, en de werkgever mag alleen vragen wat de verwachtingen zijn om weer aan de slag te gaan. Dat zijn dan weer andere wetten dan de AVG.

De gevoelige e-mail heeft de collega zelf verstuurd, dus daar kan je een bedrijf niet op aanspreken. Wat je niet mag doen is de e-mail elders administreren in andere databases.

De laatste is gewoon een datalek.
Even wat “leuke” gebieden
- een medewerker is ernstig ziek. Mag je hem nog een bloemetje sturen?
- iemand mailt zijn collega’s dat hij minder zal werken wegens een ernstige ziekte (bijzonde persoonsgegeven) van zijn zoon (minderjarige). O ja... de mail is in het Spaans.
- iemand verliest “zijn” werktelefoon met daarop fotos en een (prive) adresboek waarop derden te zien zijn
1 - Ja

2 - Ja, maar de informatie moet niet voor iedereen toegankelijk zijn. (need to know principe). Dit gaat om een incidentele verwerking van bijzonderpersoonsgegevens van een minderjarige persoon. Je moet je alleen inspannen en omschrijven hoe je voorkomt dat deze gegevens bij irrelevante personen terecht komt.

3 - Regels opstellen hoe bedrijfsmiddelen gebruikt mogen worden en bijvoorbeeld niet toestaan dat hier privefoto's gemaakt mogen worden. Een andere optie kan natuurlijk zijn dat je dit middels admin regels beschermt door alleen in te kunnen loggen op de telefoon middels 2fa en/of de mogelijkheid om de telefoon op afstand te wipen. etc. etc.
1 2 3 ... 7

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

  Relevantere advertenties

  Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

  Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

  Ingesloten content van derden

  Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

  janee