Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door Tijs Hofmans

Redacteur privacy & security

Hoe staan we ervoor na één jaar AVG?

Serieuze handhaving laat op zich wachten

Conclusie: eerste stap gezet, nu tijd voor handhaving

Of de AVG nu echt voor elkaar heeft gekregen wat de wet beoogde, is nog lastig te zeggen. "Ja en nee", zegt Jeroen Terstegge. "Alleen als er nu goed gehandhaafd wordt", zegt Bits of Freedom. De kennis rondom de ingewikkelde wet begint heel voorzichtig te groeien, maar dan met name bij grote bedrijven die veel geld beschikbaar hebben om zich voor te bereiden. In de eerste periode dat de AVG actief was, leken het vooral kleine bedrijven te zijn die moeite hadden zich aan de wet te houden. Dat waren bijvoorbeeld scholen of lokale sportverenigingen die ineens sterk twijfelden over of zij bepaalde informatie wel openbaar mochten maken of überhaupt mochten verzamelen. Die worstelen ook nu nog met het 'compliant' worden van de wet, al wordt die soep niet zo heet gegeten als hij wordt opgediend. Ook zij moeten weliswaar aan de wet voldoen, maar de eisen zijn minder streng en ze krijgen wat meer vrijheden.

Waar de meeste experts het in ieder geval wel over eens zijn, is dat er onder burgers meer aandacht en bewustzijn is voor privacy, én van de rechten die ze dan hebben. Van der Veen van Privacy First: "Er waren al eerdere momenten dat privacy belangrijk werd, zoals tijdens de Snowden-onthullingen. Maar met de AVG werd privacy ook echt tastbaar. Organisaties weten beter wat ze moeten doen, en er is een wettelijk kader waardoor duidelijk is wanneer iets een overtreding is."

De AVG als arbowet

Ook bij bedrijven is het kwartje inmiddels wel gevallen, denkt hij. "Die wisten eerst niet dat ze aan zulke regels moesten voldoen, maar ook niet wat de waarde daarvan was. Zie het als arbo-wetgeving: je kunt je afvragen waarom je goede, dure stoelen voor je werknemers moet kopen, totdat je snapt dat slechte stoelen leiden tot ziekteverzuim en minder goede werknemers." Het is deels aan de AVG te danken dat bedrijven nu serieuzer met privacy bezig zijn, ook al moesten ze dat eerder ook al. "Er was gewoon een grote achterstand, alsof die WBP nooit heeft bestaan."

Het gaat de goede kant op, maar de AVG moet wel gehandhaafd wordenOver het algemeen lijkt het dus de goede kant op te gaan met de wet, maar volgens de meeste experts is nu wel het moment aangebroken dat er ook echt iets moet gaan gebeuren. "De AP doet haar werk wel goed, maar ze zijn wel heel reactief", zegt Van der Veen. "In het begin waren ze nog veel met zichzelf bezig, dat merkte je wel. Alles komt een beetje laat, zoals een uitspraak over wat scholen mogen doen met hun examenuitslag. Dat kwam pas toen de examens voorbij waren." Ook David Korteweg van Bits of Freedom denkt dat het moment is aangebroken om handhaving in te zetten. "Je hoeft als toezichthouder echt niet meteen alleen met boetes te gaan strooien, daar moet je nuances in aanbrengen. Maar grote partijen gaan bij zo'n wet al snel de grens opzoeken, daaraan moet je laten zien dat het menens is. Hetzelfde zag je bijvoorbeeld met de mededingingsautoriteit die naar Google kijkt. Dat doen ze misschien niet zo vaak, maar áls ze het doen heeft dat een behoorlijk afschrikwekkend effect. Ik ben dus heel benieuwd waar de AP mee komt. Zeker de hoogte van de sancties is interessant, ik hoor dat ze daarbij rekening houden met de omzet van zo'n partij."

'Liever te streng dan te zachtaardig'

Het lijkt voorlopig dus vooral wachten op boetes en handhaving vanuit de AP. Wolfsen is ervan overtuigd dat de eerste boetes successen worden, en dat die volledig terecht zijn. Hij heeft daarin ook wel wat te bewijzen; de AP werd in 2017 stevig op de vingers getikt door de rechter omdat de toezichthouder weigerde op te treden tegen vermeende privacyschendingen zoals de Arnhemse afvalpas. In korte tijd gebeurde dat drie keer. Wolfsen is vastberaden dat niet nog eens te laten gebeuren. "Dat was een wake-up call en daar hebben we ons op aangepast. Ik hoop dat we de komende jaren juist meer gecorrigeerd worden omdat we te streng zijn dan dat de rechter ons achter de broek moet gaan zitten." Of dat lukt is maar bezien; volgens Wolfsen waren er in het afgelopen jaar zo'n twintig tot dertig burgers die niet tevreden waren met de manier waarop de toezichthouder optrad. Een klein aantal op een totaal van 20.000 klachten, maar toch heeft dit inmiddels al geleid tot een rechtszaak.

De eerste stap van de AVG is inmiddels gezet; er is bewustzijn, en bedrijven beginnen steeds meer te wennen aan de nieuwe status quo. De volgende stap is die van handhaving, en dat is voorlopig nog een oefening in geduld.

Reacties (153)

Wijzig sortering
Interessant artikel.

Vandaag kreeg ik in eens een berichtje in m'n Mijn ING app, dat de ING hun privacy statement bijgewerkt heeft, en dat zij mij in eens 'tips' gaan geven op basis van mijn af- en bijschrijvingen. Dit kan ik uitzetten (heb ik ook gedaan), maar het staat standaard aan. Ik heb voor dit gebruik niet expliciet toestemming gegeven (het niet uitzetten in een verborgen plekje op hun website is niet expliciet toestemming verlenen).

Het is dat m'n oog toevallig viel op dat bovenste reclameblokje, waar nu ineens stond dat de het privacy statement was bijgewerkt. (normaal klik ik dat blokje zonder te kijken weg)

Ik heb dit ook bij de AP (want het voelt erg fout) en de Tweakers redactie gemeld.
Dit mogen ze ook gewoon doen. Zij zijn al verwerker van jouw data, die toestemming hebben ze al. Ze mogen ook met jou communiceren, omdat jij een relatie met hen hebt. Ze houden deze data ook nog eens intern, dus tussen jou en de ING, ze publiceren het nergens anders.

Dus in dit geval geen enkel probleem met de gdpr lijkt mij.
Zover ik weet moeten zij aangeven waar zij mijn data voor gebruiken, en moet ik toestemming geven waar ze het voor gebruiken (behalve indien zij verplicht zijn die data te verwerken enz. enz. en.z). Als zij mijn gegevens in eens voor wat anders gebruiken, zonder dat daar een verlichting/noodzaak voor is, moet ik daar zover ik weet toestemming voor geven.

Ze hebben zorgplicht door bijvoorbeeld mijn betaalgedrag te monitoren en afwijkingen te kunnen traceren en zo bijvoorbeeld skimming of andere foute zaken kunnen detecteren. Nu gaan zij die gegevens gebruiken voor marketingdoeleinden.
Dat is dus niet zo. Je hoeft niet overal toestemming voor te geven. Dat is een vervelende en hardnekkige misconceptie. Toestemming is maar een van de mogelijke verwerkingsgrondslagen.
Wel bijna. Er zijn inderdaad 6 grondslagen, zie: https://autoriteitpersoon...gevens-mag-verwerken-6310

1 is toestemming van de persoon. De overige 5 hebben betrekking op de noodzakelijkheid voor dienstverlening of algemeen of gerechtvaardigde belangen. Dat is geen van allen van toepassing op marketingdoeleinden zoals @lenwar hier omschrijft.
Dat is naar mijn bescheiden mening een veel te bout statement. Zoals iemand anders ook al zegt kan ook een gerechtvaardigd belang van de verwerkingsverantwoordelijke grondslag zijn voor de verwerking van persoonsgegevens ten behoeve van (direct) marketing. Zulks wordt expliciet erkend in de overwegingen van de AVG. Natuurlijk dient een passende afweging van belangen gemaakt te worden, maar het is allerminst zeker dat deze in elk geval in het voordeel van de privacy van betrokkene uit zal vallen. Het is niet de bedoeling van de AVG om elk commercieel bedrijf vleugellam te maken, maar om de privacy van natuurlijke personen te beschermen. Iemand advertenties laten zien op basis van zijn eigen koopgedrag lijkt mij in beginsel weinig mee mis.
@MadEgg Is (helaas) niet helemaal waar. "Direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang" aldus overweging 47 van de AVG. Dezelfde overweging leert ons dat dit speelt in gevallen waarbij er een passende verhouding is, waarbij als voorbeeld het zijn van klant wordt genoemd. Hoewel we het misschien niet fijn vinden dat ING het doet, doen ze in beginsel niets onoorbaars met deze methode.
Vervelende clausule. Of het dit helemaal afdekt ben ik niet van overtuigd. Gerechtvaardigd belang moet alsnog worden getoetst aan noodzakelijkheid en alternatieven.

Stel dat we dit onder direct marketing scharen dan nog moet gekeken worden of het verwerken van je transactiegegevens hiervoor noodzakelijk is. Als je klant bent van ING dan mogen ze je inderdaad benaderen voor aanvullende producten en diensten (helaas). Maar het analyseren van je transacties is hier niet voor noodzakelijk en ik zou durven stellen dat dit niet voldoet aan deze eis:
(1) het doel van de verwerking in verhouding staat tot de inbreuk voor de personen van wie u persoonsgegevens verwerkt
Dit rechtvaardigd best een aanvullend onderzoek van de AP. Ik ben ook benieuwd wat @Tijs Hofmans voor reactie gaat krijgen op zijn vragen aan de ING en of hier nog een second opinion over gevraagd gaat worden, bijvoorbeeld bij de AP.
Toestemming is de laatste van de 6 grondslagen waar men op terugvalt, mocht het niet lukken met een van de anderen.
Ik ben hier mee bezig, heb vragen bij ING uit staan!
Fijn! :) ben erg benieuwd wat jullie hier over vinden.

Ik vind het in elk geval op z'n best dubieus dat ze dit zomaar doen. Vooral de manier waarop ze dit 'tussen neus en lippen door' communiceerden zit me erg dwars. Op dezelfde plek waar ze ook 'Het is weer juni, sluit een doorlopende reisverzekering af!'-achtige berichtjes neerzetten (die je ook niet kan uit zetten).
Ze zijn overigens vrij duidelijk in de privacy statement. https://www.ing.nl/de-ing...rsoonsgegevens/index.html

Onder 'Persoonlijke marketing en profilering' en 'Aanbieden van passende producten en diensten' is uitgeschreven waarmee je allemaal akkoord gaat wanneer je een overeenkomst aangaat met de ING.

Het gaat hierbij om persoonsgegevens die worden verwerkt op basis van de grondslag ‘gerechtvaardigd bedrijfsbelang’. Dat betekent dat ING hun bedrijfsbelang heeft afgewogen tegen de inbreuk op jouw privacy en dat zij deze inbreuk gerechtvaardigd achten. Jouw toestemming hebben ze er niet voor nodig.

Kortom, wil je dit niet; zoek een andere bank. Dat is de keuze die je als consument hebt. ING heeft nu eenmaal de reputatie de grenzen op te zoeken van wat betamelijk is.
Het gaat juist om het feit dat ze 'en passant' eventjes het Privacy Statement hebben aangepast. (het stukje dat je aanhaalt is juist het stuk dat veranderd is). Over de helderheid ervan hoor je mij niet. Dat is helemaal ok.

Maar dit is wel het discutabele stukje:
Is het 'Gerechtvaardigd bedrijfsbelang' om mijn betalingsverkeer in de gaten te houden voor marketing doeleinden? Ik ben van mening van niet. (Daar mag de PA uitspraak over doen) Dat ze mijn betaalverkeer in de gaten houden heeft mede te maken met de zorgplicht van een bank (om mij te helpen beschermen tegen de gevolgen van skimming en dat soort zaken)

Als 'voor marketing doeleinden' legitiem had geweest, zou elke organisatie dat zo kunnen neerzetten. We zetten als voetbalvereniging de foto's van je kinderen op Facebook voor marketingdoeleinden. (slaat nergens op natuurlijk, maar ik ben van mening dat wat de ING tot op zekere hoogte op hetzelfde neerkomen)
De vraag is: deden ze het al en hebben ze het privacy statement aangepast? Of hebben ze een nieuwe 'dienst' bedacht. In het eerste geval waren ze wellicht in overtreding. In het laatste geval heb je wellicht een reden tot opzegging.

De AVG schrijft voor dat organisaties die persoonsgegevens verwerken een ethische afweging doen. De ING bepaalt dus of zij een 'gerechtvaardigd belang' hebben bij de inbreuk. Het hergebruik van jouw gegevens voor andere doelen kan ook gerechtvaardigd zijn, wanneer er sprake is van een afgeleid doel dat verenigbaar is met het oorspronkelijke doel. Dus zolang ze jou aanbiedingen doen die gerelateerd zijn aan betaaldiensten die je al afneemt, zal de AP daar zeker geen moeite mee hebben. Als ze al optreden, want een klacht bij de AP is een handhavingsverzoek. De AP zal vermoedelijk aangeven dat je je eerst tot de ING moet wenden.

Het voorbeeld van Facebook is wat minder gelukkig. Want daarbij gaat het om publicatie van beeldmateriaal en daarop is de Auteurswet van toepassing (portretrecht). Afgezien daarvan kan ook een voetbalvereniging prima beargumenteren dat het plaatsen van overzichtsfoto's van sport- en verengingsactiviteiten in het gerechtvaardigd belang van de vereniging is. Want het kan helpen om nieuwe leden te trekken.
Naar een andere bank overstappen is helaas niet zo eenvoudig...

Dat heb ik aan den lijve ondervonden helaas toen ik van Rabo naar ABN ging.
Het begint al met je rekening nummer dat niet mee kan en door de codering in Nederland aan banken is gekoppeld.
Dan heb je nog de automatische incasso's en daar begint het drama pas echt! Ik bleek 8 A4'tjes met
incasso's te hebben, waarvan een heel aantal ten onrechte nog aanwezig waren (sport abo dat al jaren niet meer liep bijvoorbeeld) en de ongeveer 30 nog geldige incasso's moest ik op 30 verschillende manieren overzetten naar de nieuwe rekening.
Voor sommige aanbieders moest ik zelfs papieren afschriften en ander bewijs aanleveren dat ik nog steeds ik was maar dan met een nieuwe rekening 8)7

Als "Direct marketing" door een bedrijf een gerechtvaard belang wordt genoemd om jouw privacy te mogen schenden dan verdienen ze het om een heleboel "klanten" te verliezen. Het is namelijk geen afgeleid doel, ook niet als je er mooie woorden en een strik omheen draait.
De opgeschorte notificatieplicht zou geld besparen? Haha. Wat denk je zelf? 1 melding maken dat je data verwerkt en je voldeed aan je plicht. Nu moet je alles in kaart brengen... wat ik een groot goed vind overigens. Maar als je als bedrijf je zaken niet op orde hebt: een inhaalslag maken, kost geld.

En bedrijven die er mee worstelen? Aaah huiliehuilie boehoe. De meeste bedrijven interesseert het geen zak en ze komen er door de softe houding van AP mee weg:
  • Het KVK had allang torenhoge boetes moeten krijgen, de directie allang in de bak moeten zitten vanwege de doelbewuste verkoop van gegevens
  • Van Sanoma ben je zo lid via een van hun bladen, maar je gegevens wegkrijgen bij Sanoma zelf was tot een paar maanden terug (of zelfs nu) doelbewust onmogelijk
  • Data handelaren hadden massaal failliet moeten gaan omdat ze niet meer mogen handelen (https://decorrespondent.n...hen/377813634352-70e0c6f6)
Bij de datahandelaar EDM heb ik mijn gegevens opgevraagd. Daar hebben ze tegenwoordig een uitstekend proces voor, via iDIN identificatie, binnen 4 weken een overzicht van welke gegevens ze van mij hadden. Meteen wijzen op dat ik mij kan uitschrijven. Ze stapten alleen zeer ligt over 1 belangrijk punt heen: ze hadden totaal geen recht op mijn gegevens en ze konden mij niet aantonen waar ik toestemming had gegeven dat zij die gegevens mochten hebben EN het recht hadden om deze gegevens te verkopen.

Waar zijn de spectaculaire invallen van AP? EDM en andere data-handelaren hebben zo ongeveer alle Nederlanders in een database zitten, zonder enige toestemming.

Zolang dat allemaal niet gebeurt, is alles wat Aleid Wolfsen zegt een wassen neus.
Aleid Wolfsen
De spreekwoordelijke vleesgeworden wassen neus. Blader anders eens door z’n cv. Altijd boter op z’n hoofd en nergens een deuk in een pakje geslagen. Terwijl ‘ie het op de tast zou kunnen vinden.
Ik ben beslist geen fan van Aleid Wolfsen, maar dit keer vind ik zijn woorden (en beleid) goed te verdedigen.
Als we werk willen maken van werkelijke privacy online, dan zal de AP harder moeten worden en echt boetes uit moeten gaan delen.
Veel bedrijven klagen dat het ondoenlijk is om aan de privacywetten te voldoen, maar dat zijn wel bedrijven die vele jaren achter lopen en de kop in het zand gestoken hebben. De AVG en privacy wetten zaten er al jaren aan te komen.
De overheids instanties (UWV, Belastingdienst en anderen) hebben zelf onder een steen geleefd. Boetes uit delen heeft hier niet zoveel nut, wat die komen uiteindelijk weer bij de belastingbetaler terecht. Publiekelijk aan de schandpaal nagelen en de verantwoordelijke minister aanspreken is hier een betere weg. Als zulke grote organen de wet nog met voeten treden, dan is het ook niet fair om het bedrijfsleven wel te beboeten.

Richting bedrijven heeft de AP vooral een service verlenende rol gespeeld. Overtredingen werden inderdaad niet beboet, maar er werd wel contact gezocht met de bedrijven en gemeld wat er mis was en wat eraan verbeterd kon worden. Dat was niet alleen leerzaam voor de bedrijven, maar ook voor de AP. Nu is het echter wel tijd dat de houding gaat veranderen en de tanden echt gebruikt gaan worden. Men kan beginnen door gewoon een rondje maken langs de bedrijven om de situatie opnieuw te bekijken en eventueel alsnog boetes opleggen.

Mensen kijken vooral naar de grote jongens als Google en Facebook. Amazon, Microsoft en Apple zou je daar ook toe moeten rekenen. Met Google heb ik beroepshalve een aantal keer te maken gehad. Die schuren her en der wat tegen de rand van de wet aan, maar voldeden al aan de AVG voordat deze werd ingevoerd. Op Facebook en Amazon is wel wat aan te merken, over Microsoft en Apple kan ik niet goed oordelen. Men vergeet echter de gevolgen van misstanden dichter bij huis veel groter kunnen zijn.

Hier in Nederland staat heel veel gedetailleerde informatie over elke persoon opgeslagen. Delen van die informatie (zoals schulden) zijn ook verhandeld en liggen inmiddels op plekken waar ze niet thuis horen. Daar zal de AP eerst naar moeten zoeken. Daar hebben wij meer aan. De grote kolossen aanpakken is meer iets voor Europa.
Ik ben beslist geen fan van Aleid Wolfsen, maar dit keer vind ik zijn woorden (en beleid) goed te verdedigen.
Na een jaar waarschuwen en een jaar "handhaving" is er.. [drumroll] al één boete uitgedeeld. Applaus!

En iedere week staat er hier wel weer iets nieuws over een datalek bij facebook te lezen.
[...]

Na een jaar waarschuwen en een jaar "handhaving" is er.. [drumroll] al één boete uitgedeeld. Applaus!

En iedere week staat er hier wel weer iets nieuws over een datalek bij facebook te lezen.
Boetes werken niet. Boetes werken alleen als ze zo torenhoog zijn dat een bedrijf er in één klap failliet aan kan gaan, en zo hoog worden ze nooit gezet. Bedrijven weten dit, en dus wordt alles een ingecalculeerd risico en een kosten-afschrijving als het fout gaat.

Zeker bij een bedrijf met zoveel vermogen als Facebook of Google. Ze hebben enorm diepe zakken, en voldoende slagkracht om een boete bij een EU hof aan te gaan vechten en jaren te gaan traineren. Daarnaast vormen ze ook een te essentieel onderdeel van het dagelijks leven om 'kapot te maken' met een boete-regen.

[Reactie gewijzigd door R4gnax op 4 juni 2019 15:50]

Facebook en Amazon zijn twee bedrijven die wel een paar boetes verdienen, maar ik schreef al dat dat niet echt iets voor de AP is, maar voor Europa.
Datalekken zijn een doorn in het oog, maar lang niet alle datalekken kunnen voorkomen worden. Inbraken door hackers die wachtwoorden van gebruikers raden is lelijk, maar om daar nu gelijk straffen op te zetten is het paard achter de wagen spannen. Je hebt toch liever dat een lek gemeld wordt (en met de gebruikers gedeeld), dan dat men het geheim houdt om een hoge boete te voorkomen?

De AP heeft overigens veel meer kleine boetes en waarschuwingen uitgedeeld. Ik heb zelf een reactie op een sollicitatie van iemand in mijn mail gehad. Dat heb ik bij de afzender en de AP gemeld. Omdat de oorspronkelijke afzender het voorval niet had gemeld, is daar wel degelijk een boete uitgedeeld. Dat soort klein bier staat helaas niet in het rapport.

Ik vermoed dat de boetes de komende tijd wel hoger zullen worden. Hoge boetes aan instanties als de belastingdienst, UWV, kamer van koophandel, gemeentes enz. moeten we niet willen, want die mogen we uiteindelijk zelf via de belasting betalen.

Waar wel meer op gelet moet worden is de toegang tot privacy gevoelige delen van databases en het doorverkopen van data zonder de betrokkenen in kennis te stellen. Natuurlijk moeten de gegevens ook adequaat beveiligd worden, maar naar mate.
Zelf kan ik in de database van ons bedrijf. Daarin staan email-adressen en wachtwoorden (uiteraard gehashed) van klanten. Verder wat gebruiksgegevens van de laatste drie jaar. Dat allemaal beveiligen alsof het een kerncentrale is, lijk mij echt overdreven.
Voor kleine bedrijven is het ook 'onmogelijk' zonder achter te lopen. Neem website. De server logt ip-adressen. Een ip-adres is een persoonsgegeven en mag dus niet zonder toestemming en welomschreven doel worden opgeslaten. Mind you, een ip-adres is een persoonsgegeven net zoals een naam en adres dat zijn, zelfs als alleen maar het ip-adres bekend is. Wat kan ik doen?

De typische shared-hosting provider logt die dingen non-stop en analyseert ze om ddos-aanvallen, hacks en ander gespuis tegen te gaan. Ik kan wel vragen of ze willen anonimiseren door er een paar getallen af te halen, maar dat doen ze niet. Moet ik nu toestemming vragen aan bezoekers van de site? Dat is al te laat, want het ip-adres is gelogd.
Meestal zijn de logs de verantwoordelijkheid van de provider waar de site staat. Binnen een bedrijf volstaat het om de log toeganklijk te houden voor slechts één (hooguit twee) personen en die als verantwoordelijken door te geven.
Als je aangeeft dat je da IP adressen alleen opslaat als log voor beveiligingsdoeleinden en dat de log niet gebruikt wordt voor andere zaken dan veiligheidscontrole, dan ben je gewoon netjes bezig. Als je de log ook netjes opschoond tot alleen de laatste 6 maanden tot 3 jaar, dan krijg je gewoon een duimpje van de AP.

Van een log die alleen voor veiligheidsdoeleinden wordt gebruikt, hoef je de gegevens niet te overhandigen als iemand zijn/haar gegevens opvraagt. Als je de log ook voor allerhande statistiek gebruikt, dan moet je dat wel.
Dit is toch niet wat de AVG zegt?
Toestemming (uncheck)
Opslaan voor beperkt doel (check)
Altijd inzicht in die gegevens (mwoah, op verzoek kan dat)
Delete op verzoek (uncheck)
Een log bijhouden maakt deel uit van de beveiliging.
Als je de log verder niet voor andere zaken gebruikt en er ook geen extra (overbodige) informatie aan toevoegt, dan staat deze buiten de AVG. De toegang moet dan wel heel strikt beperkt zijn tot één of twee beschreven personen.
De regelgeving omtrent een gesloten log komt min of meer overeen met die van bewakingscamera's. Ook daar moet de bewaartermijn beschreven zijn en mogen maar één of twee personen toegang hebben tot de beelden. Deze beelden zijn ook niet opvraagbaar.

Voor een provider gelden zelfs andere wetten. Als gevolg van de sleepwet moeten ze logs bijhouden en minimaal een x aantal jaren bewaren. Men hoeft de individuele gebruiker geen inzicht te geven in deze logs. Bezoekers van jouw site hoeven hier ook niet mee accoort te gaan, want het is een wettelijke verplichting.
pertinent niet waar!
Wat is hier niet waar? Versio vertelt mij gewoon dat ze IP-adressen bewaren en dat ik daar niks aan kan doen. Het Europees Hof vindt sinds 2016 dynamische ip-adressen persoonsgegevens, ook als die niet direct te verbinden zijn aan een natuurlijk persoon of adres, het ip-adres met andere woorden _is_ die persoon voor wat betreft privacy in juridische zin. Conclusie: bezoekers van mijn site moeten daarmee akkoord gaan.
Kijk maar eens welke bedrijven het hardst klagen; dat zijn bijna alleen maar bedrijven die zo ongeveer bestaan op het schenden van je prvacy voor hun gewin.
Om dit een beetje te onderbouwen:
  • Heeft 130.000 exemplaren van een huis-aan-huisblad laten vernietigen omdat er een onwelgevallig artikel over hem in stond.
  • Was als burgemeester van Utrecht in opspraak vanwege zijn opvallend hoge declaraties.
  • Heeft zonder de noodzakelijke toestemming van de gemeentearchivaris gespreksverlagen tussen hem, OM en politie laten vernietigen.
  • Voorzag de gemeenteraad van Utrecht van onvolledige en eenzijdige informatie.
Wolfsen heeft bij opvallend veel van die zaken "beterschap beloofd", net als nu bij de AP. Woorden om vraagtekens bij te stellen bij het lezen van dit artikel.

Hij heeft ook 14 nevenfuncties: bij acht organisaties is hij voorzitter, bij de overige zes raadslid. Je vraagt je af hoe iemand zoveel functies kan combineren met een zware functie als voorzitter van de AP.

[Reactie gewijzigd door HooksForFeet op 4 juni 2019 13:32]

Maar nog veel erger dat er blijkbaaar nogsteeds vertrouwen is in zo iemand die al lang achter slot en grendel had moeten zitten.

[Reactie gewijzigd door Sergelwd op 4 juni 2019 13:49]

Dat lijkt me wat overdreven, maar het is wel schrijnend dat iemand nog steeds wordt aangenomen voor dit soort functies.
Ik vind dat toch wel aardig grote zaken waarmee hij heeft gerommeld hoor.. waar vervolgens voor vele mensen beleid is veranderd.
Niet alle (neven)functies vragen veel tijd. Nu kan ik dat in zijn geval niet beoordelen, maar dat houdt in dat ik ook niet kan oordelen of de nevenfuncties van Aleid Wolfsen dusdanig veel tijd kosten dat het functioneren in zijn hoofdfunctie daardoor in geding komt.
Een groot aantal nevenfuncties is bij vergadertijgers als Wolfsen niet ongewoon.

Zijn geschiedenis is niet brandschoon en of hij de juiste persoon is om het AP te leiden zou ik niet durven stellen. De punten die je opsomt zijn wel allemaal punten waarbij hij in opspraak is gekomen en die niet op de nette manier zijn uitgevoerd, maar mogelijk (deels) wel terecht. In geen van de gevallen zijn er straffen opgelegd.

Nu heeft hij zelf een aantal wetteksten die hij moet (laten) handhaven. Dat lijkt me voor iemand als Aleid Wolfsen een redelijk duidelijke opdracht. Hier kan hij zeker "beterschap" laten zien.
Het feit dat het niet ongewoon is wil nog niet zeggen dat het ook realistisch is om zovel functies even goed uit te voeren.
Dat is sterk afhankelijk van de functies en van de persoon.
"Hij kon geen deuk slaan in de boter op zijn hoofd" zou een nieuw gezegde moeten worden.
Wolfsen was dat niet d66
Je zit met een ding in je handen wat iedere scheet van je doorgeeft aan Google. Maar even een feitje controleren (waar Google bij uitstek geschikt voor is) is teveel moeite?

1: PVDA
2: De AP heeft geen rechter nodig om boetes op te leggen, dat kunnen en mogen ze helemaal zelf.
3: Ze hebben meer dan genoeg advocaten in vaste dienst.
1, zal kloppen, maar blijft hetzelfde den haag netwerkje dat rondgepompt wordt.
2 klopt maar ze weten natuurlijk ook dat als ze een boete opleggen er wel een gang naar de rechter kan volgen. Ze zullen de boete dus goed moeten onderbouwen.
3 ze hebben genoeg advocaten in dienst, zal zeker zo zijn maar zoals uit het artikel blijkt is er schijnbaar toch te weinig personeel. Advocaten nu zullen voordat een boete gegeven wordt de bewijslast ook moeten analyseren en kijken of deze voldoende is. Bij een proces zullen die advocaten dan toch weer tijd aan die zaak moeten besteden die ze niet aan andere zaken kunnen besteden.
Daarnaast faalt de AVG ook nog wel degelijk om Facebook en Google te reguleren. Zo als is aangegeven is er inderdaad niet veel veranderd. Ja er zijn pagina's waar je bij kunt voor je data, maar dit houd alleen ruwe data in (e.g. niet verwerkte/berekende data).

Leuk voorbeeldje van hoe idioot Facebook met de wet omgaat als je dus echt ALLE data wilt opvragen:
https://ruben.verborgh.org/facebook/

(TLDR: Hij wordt verwezen naar de download-je-data pagina die dus niet door-berekende data bevat, de rest vermijden ze door leuk wat legalese te lullen en om te buigen.)

Voor dit soort gedrag mogen ze nog wel eens flinke boetes uitdelen.

Edit: En dan hebben we ook nog websites die je niet kan bekijken zonder eerst een consent-form aan te tikken voor het opslurpen van je data...

[Reactie gewijzigd door BerghopperHB op 4 juni 2019 07:56]

Facebook en Google vind ik inderdaad perfecte voorbeelden. Zonder in veel detail te treden lijkt het me niet vergezocht om te stellen dat deze bedrijven totale schijt aan privacy hebben.

Blijkbaar kunnen ze daar gewoon mee doorgaan, zonder een ingreep van de AP. Als dat kan en mag, waarom zou iemand dit nog serieus nemen?
Ik vind facebook en google juist compleet irrelevant in deze discussie.

Ik verwacht van de AVG dat ze mij beschermen van hongerige overheden en andere achterhaalde processen waar je helaas niet zonder kunt.
Dat mensen ervoor kiezen hun hebben en houden op facebook te zetten zal me een rotzorg zijn.
Ik vind facebook en google juist compleet irrelevant in deze discussie.
Nou, ik mag juist hopen dat dat de reden was dat de AVG uberhaupt in het leven werd geroepen. Om al dat data vergaren door de grote jongens wat tegen te gaan. Maar natuurlijk is daar niets van terecht gekomen. De tech-reuzen drukten er juist nog even wat andere zaken door, zoals gezichtsherkenning. Er komen gewoon nog wat extra A4'tjes in de voorwaarden en that's it. En de MKB'er was weer een paar maanden kwijt met nutteloze documenten te schrijven.

Het zal mij verder ook een biet wezen dat iedereen zijn hele leven op social media gooit onder het mom 'kijk mij eens een leuk leven hebben'. Niemand interesseert dat toch wat en de volgende dag is iedereen het alweer vergeten.
Ik verwacht van de AVG dat ze mij beschermen van hongerige overheden en andere achterhaalde processen waar je helaas niet zonder kunt.
De overheden roepen in iets leven tegen henzelf? Dat gaat niet gebeuren natuurlijk. Kijk maar naar bijvoorbeeld de KvK en de belastingdienst die zelf al die regels nog steeds aan hun laars lappen. :)

[Reactie gewijzigd door Slingeraap2 op 4 juni 2019 15:01]

Daarom is het ook zo van belang dat daar iets aan gebeurd..
Facebook en google daar kun je ook gewoon wegblijven maar de overheid verwacht gewoon gegevens die vervolgens doorverkocht/doorverwerkt en slecht beveiligd worden
Ja okee. Van Facebook wegblijven op het web is wel makkelijk. Ik heb gewoon alles van facebook.com geblokkeerd in mijn domainblocker. Neemt niet weg dat Whatsapp en Instagram ook van ze zijn. :)

Van Google wegblijven is nog wat lastiger. Die noteert toch wel alles van je waar je maar surft. Want ze hebben dit op heel veel websites geintegreerd staan:
Google Analytics
Google Tag Manager
Google Webfonts
Google reCaptcha (deze gaat op Wordpress via Contact Form 7 nu op elke pagina mee, i.p.v. voorheen alleen op de pagina's met daadwerkelijk een formulier)

En Google G Suite en Gmail (ook al heb je het zelf geen Gmail, je berichten komen er toch in bij anderen die het wel hebben).

Scripts uitzetten voor het web werkt ook niet, dan werkt niets meer. Alles hangt tegenwoordig toch met javascript aan elkaar: Vanilla JS, jQuery, Angular (van Google), React (van Facebook)...

Nou ja, ik dwaal af. :)
Ik schakel zelf alleen de broodnodige scripts in dus ik weet wel hoe ik er iets aan kan doen, dan blijven er enkel nog de overheidsdiensten over waar je met open ogen overbodige informatie moet achterlaten.
Slechte grap als je beseft dat Google en Facebook tesamen het merendeel van persoonlijke informatie opslurpen. Ook wanneer je er niet voor kiest.
Dat is natuurlijk niet helemaal eerlijk; de KvK is deels verplicht gegevens te verstrekken conform de Handelsregisterwet. Bepaalde producten, zoals bulk bestanden, kun je wel bepaalde vraagtekens bij plaatsen. Deze zijn dan inmiddels ook offline gehaald.

Toch is een wijziging in de HR noodzakelijk om de privacy problematiek die nu speelt écht op te lossen. Tot dan is het KvK gewoon wettelijk verplicht om de gegevens te verstrekken. De AP maakte er wellicht destijds een mooi PR praatje van, maar het KvK vervulde voor het grootste gedeelte gewoon haar wettelijke plicht. De AP had beter de wetgever kunnen aanspreken.

Er is nu een levendige discussie gaande in de Kamer over het toevoegen van een Databankenrecht voorbehoud aan het handelsregister: een onder juristen bekritiseerde toevoeging om het onduidelijk is of het KvK wel een dergelijk voorbehoud kan toekomen. De Databank Wet heeft een Europese origine, en is daarmee vrij absoluut: het bestaat of het bestaat niet. Of je daar nu een voorbehoud aan toevoegt of niet. Het is dan ook volstrekt onzeker of het databankrecht wel toekomt aan het KvK. Er is dan een redelijke kans dat het voorbehoud ongeldig wordt verklaard, omdat het Hr niet voldoet aan de eisen van het Europese databankrecht. Persoonlijk vraag ik mij ook ten zeerste af of de KvK wel een databankrecht kan toekomen op het Hr. Voor het toekomen van een databankrecht is volgens de wet een investeringsrisico nodig. Het is maar zeer de vraag of een publiek orgaan bij de uitvoering van een dergelijke wettelijke taak (waar de helft van het 'investeringsrisico' wordt gedragen door de overheid) een databankrecht kan toekomen. Het databankrecht zal derhalve eerder toekomen aan het Rijk.

Daarnaast rijst de vraag of een dergelijk voorbehoud niet in strijd is met de komende herziende richtlijn voor het hergebruik van overheidsinformatie.

[Reactie gewijzigd door WouterL op 4 juni 2019 09:33]

Ja, je zegt het zelf al, "bij bulk bestanden kun je wel vraagtekens neerzetten". Dat de KvK een uittrekseltje van een bedrijf stuurt op aanvraag van een ander bedrijf om te kijken met wie ze zaken gaan doen, okee. Dat is waar de KvK voor bedoeld was. Maar nu verkopen ze gewoon hun hele bestand aan criminelen die daarmee iedereen lastig vallen. Sorry maar ik heb geen ander woord voor deze dubieuze bedrijven.

Kijk maar eens op: https://www.wieheeftgebeld.nl/
Dat zijn vaak agressieve energieverkopers en dat soort dingen. Ze liegen ook gewoon en zijn onbeschoft. Mijn telefoon is eigenlijk onbruikbaar geworden door dit soort oplichters. Op een gegeven moment werd ik 10x per dag gebeld door dit soort criminelen. Gelukkig is er de blacklist en privenummers worden meteen opgehangen bij mij. Ik kan niet anders meer helaas. Aan de KvK had ik mijn telefoonnummer gegeven, maar dat heb ik sinds ze mijn persoonsgegevens verkopen snel weer laten weghalen daar.
Zo lang verschillende overheidsorganen in Nederland hun zaakjes nog niet op orde hebben, en die er nog mooi mee weg komen hebben ze imho het recht niet om boetes uit te gaan delen. Ze mogen prima boetes gaan uitdelen maar dan ook aan de belastingdienst en dergelijke.
Met één groot verschil. De belastingdienst en de overheid verdienen niet aan jou data. En je mag er ook vanuit gaan dat deze data niet misbruikt wordt of met derde partijen gedeeld wordt(en ik zie voor het gemak de overheid als één partij).

Bij Facebook en Google weet je dat niet.
Dus je hebt daar een klacht over ingediend:
https://autoriteitpersoon...klacht-indienen-bij-de-ap

En het duurt lang, maar uiteindelijk krijg je de bevestiging dat ze ermee bezig zijn. Ze zijn wettelijk verplicht alle klachten in behandeling te nemen en voortgang te melden. Ik heb dat al gedaan voor bijvoorbeeld Whatsapp. (Van Whatsapp krijg je dus gewoon een ndr terug, als je daar een email naartoe stuurt.)

Als je geen klacht meldt, dan zijn er dus ook geen klachten.
Volledig mee eens, vooral met de 3 punten die je aanhaalt. En de belastingdienst zit er ook nog bij.

Ook zulke sites als https://drimble.nl/bedrijf/ publiceren persoonsgegevens. Dat zijn gewoon kopien van de KvK en de krant (met bijvoorbeeld aanvragen van vergunningen). Alles staat erin. Ook persoonsgegevens zoals volledige voornamen en achternamen. Klik maar eens op een BV, dan zie je ook de volledige namen erbij staan. Leuk voor identiteitsfraude. Dan heb je al de volledige naam van iemand, zijn adres (want vaak is het hetzelfde als een huisadres), de website, dus ook het emailadres, enz. Dan ook nog voor de eenmanszaken en VOF's het BSN nummer verplicht op de site moeten zetten (weer een grote bots met de AVG, zie https://www.belastingdien...mer_vermelden_op_website/) en je hebt eigenlijk alles van iemand.

[Reactie gewijzigd door Slingeraap2 op 4 juni 2019 11:14]

Als achtergrond bij dit artikel is het wellicht interessant het artikel van Investico te lezen over privacy toezicht / Autoriteit Persoonsgegevens.
https://www.groene.nl/art...e-van-het-privacytoezicht
Leuke toevoeging. Schetst prachtig waarom de Wbp een dure, maar massaal genegeerde wet was.
Leuk artikel. Ik had bij de AP al het gevoel dat het een tandeloze tijger is. De schrijver is het blijkbaar met me eens.

Bijzondere quote van de voorzitter van de AP "De Autoriteit zal een ‘ombudsman van de privacy’ worden, verklaart hij, tot onaangename verrassing van de medewerkers." Dat is juist wat je niet moet zijn als toezichthouder. Zelf werk ik als auditor in de financiële branche en ben heel wat toezichthouders gewend, maar geen enkele is een ombudsman. Je moet toezicht houden door het uitvoeren van onderzoeken bij de instellingen waar je toezicht op moet houden. En vanuit daar verbeteringen aanbrengen. Het probleem met de AP is dat zij toezichthouder zijn van alle bedrijven in NL die zich aan de AVG moeten houden, waar een AFM of DNB specifieke branches krijgen toegewezen. Die taak van de AP is enorm en blijkbaar nog niet goed doordacht hoe ze dit uit moeten gaan voeren. Ik kan me zo voorstellen dat ook de AP genoodzaakt is om op een soort van Horizontaal Toezicht (wat mij betreft een zwaktebod) over te gaan om het toezicht behapbaar te houden, zoals de Belastingdienst al een hele tijd doet om invulling aan haar controlerende taak te geven.

[Reactie gewijzigd door Hulleman op 4 juni 2019 09:03]

Het grote probleem voor scholen, verenigingen en kleine bedrijven is dat ze nu alles moeten vastleggen om toestemming aan te kunnen tonen. Hier komt een berg aan extra administratie bij.

School voetbal toernooi foto's maken is vrijwel onmogelijk want je kan nooit alle mensen af om schriftelijk toestemming te vragen. En een kind uitsluiten omdat zijn ouders geen toestemming geven voor de foto's of mogelijk zelf niet in staat zijn bij het evenement aanwezig te zijn geeft dus al een hoofdpijn dossier. Er hoeft maar een iemand te zijn die geen toestemming geeft en de foto's zijn feitelijk al onbruikbaar.

Het weigeren van toegang tot een school evenement op basis van die toestemming zal ook niet zomaar mogelijk zijn. Bij een concert zullen dit soort dingen staan bij de kaart verkoop en heb je een besloten evenement. Een school voetbal evenement kan je moeilijk in een gevangenis gaan houden.
Wat ik bij ons op het KDV zie, is dat zij een app hebben waar ze dus ook foto's mee maken. Vervolgens taggen zij welke kinderen er op de foto staan, en de app weigert dan de foto te posten als er een kind niet op internet/de KDV-app/whatever mag.

Dit moet dus ook heel goed mogelijk zijn voor scholen en verenigingen. Ze hebben dan wel die administratie natuurlijk, maar de uitvoering er omheen gaat automatisch. Het enige dat de school dus moet doen is weten wie ze op het internet willen gooien (en dat is toch niet heel vreemd?). Ze hoeven niet uit hun hoofd te weten wie wel of niet mag, want dat weet de software, ze hoeven alleen maar te weten wie er op welke foto staat.
Mijn zoon en andere kinderen waarvoor dergelijke toestemming niet gegeven is wordt op de foto's van het KDV gewoon overplakt met een smiley-sticker als ze foto's op Facebook e.d. plaatsen. Prima oplossing.

Je kunt heel snel de handdoek in de ring gooien en zeuren op de wet of gewoon constructief naar oplossingen zoeken om aan de wet te voldoen.
ga maar vast plakken dan :P
https://sassets.knvb.nl/s...YqaoLE2&focal_point=50,50
*notabene de knvb site zelf,, xD

Dat is natuurlijk geen doen op grote evenement, prima voor een lokale bijeenkomst op school. en verenigingen met 20 - 25 leden hoe moeten die dit gaan invullen op open dagen?

Dat er duidelijkheid is met de nieuwe wet dat is prima maar overdrijven zijn we ook wel erg goed in. We staan met ons gezicht 1000x op facebook, op honderden camera's maar ow wee als mijn kind op een foto van school ergens wordt gedeeld...
Hier hoeft het toch ook niet? Er staat niemand in particular op dus je kunt je niet op portretrecht beroepen. Ook kun je hier zo het veld oplopen. Als je over straat loopt mag je ook gewoon gefotografeerd worden zolang de nadruk maar niet op jouw persoon ligt. Daar heeft AVG niets mee van doen.
zo simpel ligt het dus niet...
het gaat erom dat jij niet simpel te herleiden bent.
de foto die ik nu pakte is random uit google en staat geen tekst bij.

Als hieronder een tekst had gestaan met Frenkie de Jong wint schoolvoetbal 2012 of zelfs algemener. De vrije fliere fluiters uit moordrecht winnen de schoolvoetbal competitie of zelfs een deelnemer lijst dan ben je dus te koppelen aan de foto en speelt de AVG dus wel degelijk mee.
Klopt, maar dan betrek je er alweer metadata die persoonsgegevens bevatten bij. Overigens lijkt me niet dat de naam van het team een probleem zal zijn, de deelnemerslijst inderdaad wel. Maar IANAL, van de teamnaam ben ik niet zeker. Het is echter niet een persoonsgegeven maar een naam van een club, daarvoor gelden hele andere zaken.

Deelnemerslijst mag je er niet bij zetten zonder toestemming. En dat is erg omdat? Ja, het kost moeite. Zorgvuldigheid kost moeite. Net als veiligheid. Ook daar wordt doorgaans veel aandacht aan besteed.
Ook al pertinent niet waar!
Goed onderbouwd ook.
@mrveenie heeft wel een punt; de wet zorgt voor een hoop extra werk. Bij het publiceren van foto's een smiley over een gezicht plakken vergt nogal wat voorwerk. Iemand moet alle foto's bekijken, de personen kennen, van elke persoon weten of er toestemming is, die persoon moet handig genoeg zijn om de foto's te bewerken. Dat betekent in de praktijk dat alle foto's die gepubliceerd moeten worden feitelijk eerst allemaal beoordeeld en bewerkt moeten worden. Alles kan, maar in een organisatie die voornamelijk draait op vrijwilligers is dat gewoon lastig te implementeren. En vooral: vol te houden.
Kijk eens naar wat wel kan. Je kunt gerust foto's maken, maar ze publiceren is een ander punt. Deel ze in besloten kring en zorg dat iedereen ze niet kan/mag doorsturen.

Als je foto's maakt en in lage resolutie publiceert zodat niemand herkenbaar is, is dat ook geen probleem. Tenzij er iemand op staat die een privacybelang heeft (iemand die zijn broek verliest bijvoorbeeld) of een beroemdheid is en met zijn verschijning geld verdient. Dat is allemaal vrij logisch, alsof je als fatsoenlijk mens al weet wat er wel en niet kan.

Dit is overigens het portretrecht en niet de AVG.
"School voetbal toernooi foto's maken is vrijwel onmogelijk want je kan nooit alle mensen af om schriftelijk toestemming te vragen"

Waarom niet? Dat is letterlijk kinderspel.

"En een kind uitsluiten omdat zijn ouders geen toestemming geven voor de foto's of mogelijk zelf niet in staat zijn bij het evenement aanwezig te zijn geeft dus al een hoofdpijn dossier."

Nee, waarom zou het dat zijn?

"Er hoeft maar een iemand te zijn die geen toestemming geeft en de foto's zijn feitelijk al onbruikbaar. "

Nee? Op niet iedere foto staat iedereen tegelijk en je kunt gewoon foto's maken. Daarna maak je een schifting in wie geen toestemming gaf, wat in de praktijk een kleine minderheid of niemand is. Die verwijder je.

Opgelost. Waar is het hoofdpijndossier? Weet je wat het is, iedere vorm van ergens een paar minuten werk in steken is blijkbaar al te erg tegenwoordig. Dan zijn dingen ineens onmogelijk of een hoofdpijndossier. Aanstellerij van mensen die te lui zijn om uit hun ogen te kijken.
een gemiddeld school voetbal toernooi heeft snel 500 fotos. zeg dat er 50 gepubliceerd worden. Kan jij iedereen op de foto onder elke hoek herkennen? Ik denk het niet dus hoe ga jij uitsluiten wie wel en geen toestemming geeft/ een hele dossier aanleggen met mug shots van uit elke hoek om iemand te herkennen? Het gaat niet om een paar minuten werk maar om rustig enkele dagen werk voor iets wat we vroeger massaal deelde. Paar jaar terug massaal op facebook gooien en de ouders doen dat ook nog steeds. Maar als school moet je ineens alle fotos miniteus gaan nalopen op eventuele mensen die niet akkoord zijn gegaan met de verklaring...
Waarom denk jij dat je vreemden zonder toestemming mag fotograferen en zelfs delen op social media?

Ik snap in je voorbeeld dat het wat werk is, maar toestemming is nu eenmaal nodig. Je kunt je ook afvragen waarom je in godsnaam 500 foto's moet maken. Dat is geen eis, het is een uiterst recent fenomeen.
Een groot ding wat de AVG verzorgd heeft is dat een hoop leuke dingen verpest zijn.
Heel veel mensen bij organisaties en verenigingen zijn compleet in de stress geschoten.
Waar je voorheen voor de leden van een club of deelnemers aan een evenement nog een leuke fotoserie kon maken durven de mensen niet meer “want stel je voor dat”.
Op scholen zijn leuke foto projecten weg want dat mag niet meer. Want het zou wel eens kunnen zijn dat er klachten over zouden kunnen komen. En die ouders (en kinderen wanneer ze kunnen) pleuren hun kinderen wel continue zelf op Facebook, Instagram etc.

Zo veel leuke reacties die je vroeger bij dat soort foto series kreeg, en stukje bij beetje verdwijnt dat allemaal. Heel erg jammer.
Binnen de AVG mag vrijwel alles nog, mits je toestemming hebt gevraagd. Niets mis mee. Foto's tijdens openbare evenementen is sowieso geen probleem, zolang de foto's niet met het portretrecht in strijd zijn. Maar dat was voorheen ook al zo.

Dat organisaties in de stress schieten is de fout van de organisatie, niet van de wet zelf. Toestemming vragen is zo gek toch niet? De school van mijn kinderen heeft netjes toestemming gevraagd middels een formulier voor allerlei toepassingen. Daarbij kon ik ook prima aangeven dat fotomateriaal en dergelijke gebruikt mag worden voor werkjes en drukwerk, maar niet voor social media als Facebook en Instagram. En nee, daar zet ik zelf mijn kinderen vanzelfsprekend ook niet op. Een prima ontwikkeling wat mij betreft.
Binnen de AVG mag vrijwel alles nog, mits je toestemming hebt gevraagd.
Dit is wat tekort door de bocht. Zo mag je nooit persoonsgegevens verkopen en ook geen kopieën van paspoort opslaan enkel op basis van toestemming.

Ook het profileren van mensen heb je toch echt meer dan toestemming nodig.
Ik zei dan ook "vrijwel alles" ;) Dingen waar de "data subject" daadwerkelijk blij van wordt of zonder al te veel fantasie blij zou kunnen worden. Maar er zijn gelukkig uitzonderingen.
Maar zoals het op een basisschool gaat is natuurlijk ook een hele andere wereld uiteindelijk.

Als je die 2 werelden gelijk zou trekken zou je kind bij het zetten van een bepaalde uithaal op zijn/haar kleurplaat zomaar allerlei toestemmingen kunnen geven ;)
Dat is flauwekul. De ouders die de privacy van hun kinderen beschermen gooien hun kinderen ook niet op Facebook. Voor scholen is er de Parro app. Die heeft een persoonlijke inlogcode voor elke ouder en ouders kunnen alleen de klas zien waar hun kind in zit. Gooi daar de schoolfoto's maar in in plaats van op een onbeveiligde website of op social media. Dat doen veel scholen niet omdat kinderen een uithangbord zijn, lees reclamebord, voor de school: kijk eens hoe leuk het hier is!
Onzin. Dan zijn die verenigingen gewoon lui of incompetent, of overdreven angstig. Ik deed laatst met 20 mensen mee aan een vrijwilligersdag. Bij binnenkomst super simpel formuliertje waar je aangeeft of foto's gemaakt mogen worden, iedereen vult het braaf in, in 2 minuten geregeld. Klaar.
Dat krijg je als mensen de wet niet kenne / lezen en niet weten waar het over gaat :)
De AVG is op bepaalde punten echt doorgeslagen. Zo heeft de basisschool van mijn dochter een groot scherm in de gang, met daarop de verjaardagen van de kinderen die maand, uit moeten schakelen. Dit zou namelijk in strijd zijn met de AVG... |:(
De bord op zichzelf is niet in strijd met de AVG. Blijkbaar is de basisschool van je dochter te lui om aan de ouders toestemming te vragen om de verjaardagen van hun kinderen te publiceren op dat bord. Als ze die toestemming gevraagd en gekregen hebben dan mag dat gewoon.

Een goede zaak wat mij betreft. De basisschool van mijn kinderen kwam netjes met een formulier met verzoek om toestemming voor dat soort zaken.
Ja en dan is er 1% van de ouders die daar 'nee' tegen zegt en dan zit je met een systeem dat allerlei extra onderhoud vraagt om netjes bij te houden. Dan snap ik eerlijk gezegd best de keuze om het dan maar uit te zetten.
Ik kan begrip opbrengen voor de beslissing om het bord uit te zetten, maar wijs dan niet naar de AVG. Het is het goed recht van ouders om daar niet mee akkoord te gaan en de plicht van de school om daar gehoor aan te geven. Zo'n complex systeem hoeft het niet te zijn, een ja/nee lijst per leerling voor weergave op het bord.
dan zit je met een systeem dat allerlei extra onderhoud vraagt om netjes bij te houden.
Daar is dan ook op maat gemaakte software voor. Er is administratiesoftware voor scholen die daar netjes op in speel. De school kan netjes een vlaggetje bij elk kind zetten wat er wel en niet mag. Ditzelfde systeem kan je dan ook gebruiken welk kind wel of niet op internet mag met z'n/d'r gezicht. (al moeten de vakkrachten dan wel even de kinderen markeren die op de individuele foto's staan, en de software doet de rest)
Zolang je uit luiheid dan maar niet dat soort beslissingen voor anderen denkt te kunnen gaan nemen en anderen er last van hebben dan.
Mooi, weer een nutteloze energieverspiller uitgezet.
Precies wie er vandaag jarig is mag niet op het bord, maar wel uitdelen en de klassen rond met een feestmuts. 8)7
Precies wie er vandaag jarig is mag niet het bord, maar wel uitdelen en de klassen rond met een feest muts.
8)7
Alles afhankelijk van toestemming van de ouders, ja. Toen ik op de basisschool zat had ik ook een aantal kinderen van Jehova's Getuigen in mijn klas. Uit religieuze overwegingen mochten zij hun verjaardag niet vieren, dus voor hen was het ook niet langs de klassen met een feestmuts. Ook daar moest toen al individueel rekening mee gehouden worden. Wat is er daar hier zo anders aan?
Wat jij aangeeft is persoonlijke voorkeur van ouders en heeft niets met de avg te maken.

Nu de vraag aan jou? wat is het verschil dat een school je naam En dat je jarig bent op een monitor zet of dat ze s’morgens handmatig op een schoolbord en stoel en hoera ik ben 5 must schrijven waar je hele dag mee rondloopt.

Waarom moet je voor een ppt wel met verwerking overeenkomst hebben en voor een schoolbord niet?

Dat een school naw en geboortedatums verwerkt is logische en dat daar een verwerkingsovereenkomst voor nodig lijkt me evident.

Maar wat is avg technische volgens deze basisschool dan het verschil tussen een oud krijtbord of een digitaal-bord ?

[Reactie gewijzigd door xbeam op 4 juni 2019 10:25]

Maar wat avg technische volgens die basis school dan het verschil tussen oud krijtbord of een digitaal-bord ?
Dat is er niet. Simpel. Voor beide moet toestemming gevraagd worden.

Wat wel een verschil is is dat het kind in de klas op zijn verjaardag waarschijnlijk zelf al enthousiast gaat vertellen dat hij of zij jarig is. In dat geval is er weinig bezwaar om dat ook op het bord te schrijven. Wel is er dan de verplichting om daar zorgvuldig mee om te gaan. Dat houdt onder andere in dat je het bord moet wissen zodra de klas het lokaal verlaat.
Het verschil is dat je bij het analoge krijtbord waarschijnlijk wel kunt volhouden dat de AVG er niet op van toepassing is (zie artikel 2 lid 1 van de AVG) omdat een krijtbord geen "bestand" is.
Dat is het punt niet. Het punt is dat er ouders zijn die foto's maken in school en scholen geven aan dat ze daar niets tegen kunnen doen en dat het de verantwoordelijkheid is van ouders. School neemt geen verantwoordelijkheid voor het feit dat ouders in scholen fotograferen. Althans niet de school waar mijn kinderen op zitten. De genomen foto's belanden her en der op het internet en op die foto kan privacygevoelige informatie staan zoals, jawel, verjaardagen.

Maar er gaat wel meer verkeerd op scholen. Foto's die openbaar in te zien zijn op de website zonder enige vorm van inlogcodes. Een 'mijn fotoalbum' met dezelfde inlogcode als 200 andere ouders met het verzoek de inloggegevens vooral niet te delen aan andere familieleden (waarom niet alle foto's via de Parro app waar je je eigen inlogcodes hebt?) en nog wel wat zaken.

Ter voorbeeld. Ik ben zeven maanden bezig geweest om tientallen foto's van het internet en social media te krijgen van mijn kinderen. Tel daar bij op dat ik ook nog een zeikerige ex heb die het allemaal wel prima vindt en het probleem is er. Gelukkig gaat mijn 'nee' boven haar 'ja' en daarmee zijn de foto's er dan ook af. Maar ik moest school dreigen met een officiële klacht.

Scholen lopen vaak de kantjes er van af en hebben een persoon van de gemeente in dienst die met hun meekijkt hoe de privacy gewaarborgd blijft. Dat is de theorie. Op de school kregen wij een formulier in de handen gedrukt die we moesten tekenen. Ik weigerde omdat er geen opt outs in stonden. Je gaf alleen toestemming voor een heel aantal zaken maar nergens stond dat ik voor niets toestemming gaf. En toen konden ze het weer aanpassen. Ouders over de zeik want ik ben een zeur. Laat mij maar een zeur zijn. Privacy van mijn kinderen boven alles.
Ik ben het in de geschetste situatie helemaal met je eens hoor.

Mijn punt is alleen dat het hoe scholen handelen niet altijd even consequent is. Wel op het schoolbord maar niet een digitaalbord.

Of er voor een school overeenkomst een opt-out per onderdeel moet zijn weet ik niet, Een school is geen websites en gebeurt het verwerken gegevens of volgen van gedrag van een kind niet zonder dat je merkt.

Foto’s maken door ouders en zo maar plaatsen/rond sturen was vroeger in het pre Facebook/digitale foto tijd niet zoon probleem.
Omdat foto’s de familie sfeer niet verlaten en foto’s maken voor commercieel gebruik voor de school mocht voor de AVG ook niet zondet toestemming.

Daarom stond er ook altijd bij deelnemen van een evenent of kaartjes voor festival dat je bij het kopen van een kaartje of inschrijven voor een event dat je aanvaard dat er foto’s gemaakt kunnen en deze commercieel gebruikt worden.

Een school is een besloten omgeving waarvoor deze regels ook van toepassing waren voor de avg.

[Reactie gewijzigd door xbeam op 4 juni 2019 11:33]

Lijkt me helemaal prima. Voortaan bij iedere nieuwe inschrijving zo'n toestemming formulier laten ondertekenen. Dan kost het weinig moeite om aan de AVG te voldoen.
Dat klopt niet helemaal en dat is juist de crux, je kan mensen wel een formulier laten tekenen dat A,B,C informatie verwerkt wordt maar het gaat om het begrip “minimale verwerking van gegevens nodig voor X”, want wat is dan minimaal? Is het nodig dat de naam van kinderen op een bord wordt geschreven wanneer ze jarig zijn?
Dat is natuurlijk gevaarlijk want hoe kundig op het onderwerp van kwestie zijn de mensen die dat moeten/gaan beoordelen?
En moet dat via een geautomatiseerd programma gebaseerd op basis van geboortedatums.

Je kan ook iedere morgen ook lijstje maken met die 2 of 3 voornamen en de felicitatie ppt sheet iedere dag update.
De wet geeft spelregels aan organisaties op het gebied van privacy. Hoe kan dit dan volkomen doorgeslagen zijn? Het probleem ligt bij de organisaties zelf, die willen hier gewoon geen moeite voor doen.
Gewoon uitzetten, wat is in godsnaam het doel van dat bord?

Je kunt wanneer iemand jarig is, het kind vooraf eventjes vragen of hij/zij er aandacht voor wil in de klas. Zo ja, feestmuts op en liedje zingen. Zo niet, niets doen.

Klaar. Niet in problemen denken.
Ik zou als ouder er echter niet op te wachten staan dat jan en alleman die de school binnenloopt de exacte verjaardag van mijn kinders weet.

Ook raar dat het zomaar in een gang staat en niet in een klaslokaal.
Ik persoonlijk vind de AVG niet door geslagen, te minste niet in Nederland, waar ze nog enigszins werkbaar mee omgaan.
Hier in Duitsland vind ik het een stuk meer door geslagen.
Papiertje ondertekenen, dat de bank mijn gegevens mag opslaan.
Papiertje ondertekenen, dat de bank medewerker bij mij gegevens mag.
Papiertje ondertekenen, dat als ik bel, dat het door gegeven mag worden.

Maar terug te komen op jouw voorbeeld, school.
Ik heb een hele tijd een geheim adres gehad, ivm een gestoorde stiefvader (gelukkig vreten de wormen hem nu op)
Hoe leuk denk je, dat ik het vond. Dat de namen van mijn kinderen in de lokale online krant kwamen omdat ze een zwemdiploma behaald hadden of omdat ze doorstromen naar het vervolg onderwijs?

Het betreffende zwembad, heeft nu op het formulier een vinkje staan, waar je kan aangeven dat het in de krant mag.
De school heeft nu zelfs meerdere vinkjes. Sociaal media, krant, intranet etc etc.

Dat de AVG lastig kan zijn, geef ik best toe. Maar het is ook een moment om goed na te denken of je iets moet doen. Zonder te vragen.

20 jaar geleden, je naam in de lokale krant, was een veel minder probleem. Dan nu dat alles online staat.
Als ik Google alerts kan maken op namen, kan een ieder ander dat ook.
In Duitsland wordt veel waarde gehecht aan het begrip Selbstbestimmungsrecht. Dat komt voort uit het verleden; de Stasi dossiers van de DDR en - wat verder terug - de tweede wereldoorlog.
Dat bord met verjaardagen zou best eens verpest kunnen zijn door ouder(s) die niet wilde dat hun kind op dat bord stond vermeld, om nu dan ook weer meteen te roepen dat de school te lui was is absoluut flauwekul.
Ik heb zelf meegemaakt dat op de school waar ik mee hielp mensen een klacht hadden ingediend omdat er een foto van hun kind op een schoolbord was geplaatst.
Want de school mag ook niet zeggen als er 1 ouder dit niet wil wie dit was of in geval van meervoud wie dit waren. Want je moet wel even logisch nadenken als er kinderen in een klas niet op het bord staan, dan worden die er waarschijnlijk mee gepest. Dus wijsheid is dan om het hele ding af te schaffen.

Het is veel belangrijker te kijken naar spaarkaarten en de diverse klantenkaarten van bedrijven, daar zit de ware bedreigingen van bedrijven, hiermee kan men heel wat van jou worden achterhaalt.
Vooral de AH bonus kaart kan ontzettend veel over een persoon zeggen waardoor men met zekerheid zelfs een vrij goed inzicht krijgt wat voor persoon jij bent en wat jou lokt naar de winkel.
Mensen onderschatten wat men kan halen uit de combinatie klantenkaarten/facebook en consorten want jawel dat is ook een bron van informatie. Ik baal ook van bepaalde winkels dat ze veel te veel gegevens van mij willen hebben die niet relevant zijn om bij deze bedrijven online te winkelen.
Zoals mijn geboortedatum en meer van dit soort zaken die helemaal niets toevoegen anders dan puur verzamelen van zoveel mogelijk gegevens, je adres en eventueel telefoon nummer daar valt wat voor te zeggen maar sommige winkels kun je absoluut niet om die vragen heen men heeft ze verplicht gesteld.
Dat zou ik willen zien als een inbreuk op de privacy, het zou beperkt moeten blijven tot zaken die voor de handeling relevant zijn Toch eisen heel veel winkels die gegevens zoals geboortedatum en soms zelfs plaats, wat moet men daarmee. Sterke drank en rookwaren vind ik een artikel wat in mijn visie alleen zelf gekocht kan worden in winkels en niet online. Maar ik weet dat de jeugd met gemak al die beperkingen simpelweg toch weer weet te omzeilen. Zolang er mensen zijn die toch voor die jongeren dat spul blijven kopen, ik ken meerdere rokers en drinkers die met een lach graag voor die jongeren het spul met hun eigen producten mee naar buiten nemen. Dus ook dweilen met de kraan open.
Een opsomming van één jaar AVG:
- Elke gebruiker, elke keer dat ze de website bezoeken, dood spammen met het liefst een pagina grote cookie melding met een heel klein kruisje en alleen een akkoord knop.
- Gebruikers de 'optie' bieden voor verschillende opt-in / opt-out mogelijkheden; maar de NPO heeft bewezen dat met welke keuze je ook maakt, je bij elk bezoek toch alles weer opnieuw moet instemmen.
- Content wordt compleet onbereikbaar gemaakt wanneer er niet akkoord gegaan wordt (kuch Telegraaf.nl kuch) wat het vrije internet totaal in de weg zit.
- Data wordt nog steeds opgeslagen en verwerkt, statistieken houden netjes bij hoeveel gebruikers bouncen van je website door de cookie melding.

Vorig jaar heb ik mij 3 maanden zorgen moeten maken om de AVG, documenten moeten schrijven voor klanten hoe wij onze data verwerkte etc., meer handtekeningen verzameld dan een SP actie voor betere pensioenregels en puntje-bij-paaltje is er geen snars veranderd. Bedrijven hebben kosten moeten maken voor het implementeren van de AVG en bijkomende documentatie kosten die ze zullen blijven moeten maken.

De hele AVG wetgeving is solide als een Jenga toren gemaakt van zachte lange vingers. Het blijft wel staan maar het flikkert toch een keer in elkaar. Het schud aan alle kanten en garanties worden niet gegeven. Een beetje gemiddelde internet gebruiker gebruikt verschillende AdBlocks, anti-tracking en datamining instellingen van add-ons of gewoon standaard browser instelling en zal daardoor altijd doodgegooid blijven worden door pagina blokkerende cookie meldingen.
AVG is een heel stuk breder dan alleen die cookie melding.

Desalniettemin heb je een punt dat het gewenste effect er nog niet is:

Het "ontwerp" van de cookie melding is bewust zo irritant gemaakt dat geen toestemming verlenen uiterst pijnlijk is, de gebruiker wordt min of meer gedwongen richting de optie "fuck it, weg met dit ding".

AVG voorziet hier niet in, er wordt niet echt gesteld hoe men toestemming moet vragen. Effectief veranderd er dus weinig op dit gebied: iedereen ramt op JA.

Het klopt dat analytics gewoon mogen, maar slechts op een bepaalde manier die niet tot een persoon te herleiden zijn, dus die tellen niet mee.

Wel interessant: de AP stelt dat cookie walls (zoals ook te vinden op Tweakers) illegaal zijn, maar sinds die uitspraak grijpt men wederom niet in. Je vraagt je af wat ze daar allemaal aan het doen zijn.
AVG voorziet hier niet in, er wordt niet echt gesteld hoe men toestemming moet vragen. Effectief veranderd er dus weinig op dit gebied: iedereen ramt op JA.
AVG voorziet daar wel in. Feitelijk komt de wettekst er op neer dat een 'do-not-track'-header van browsers gehoorzaamd zou moeten worden. De AP heeft echter de autoriteit van een pakje boter dus houdt niemand zich eraan...
Waar staat het dan in je linkje? Wees wat specifieker.

"Feitelijk komt de wettekst er op neer dat een 'do-not-track'-header van browsers gehoorzaamd zou moeten worden. "

Dit is zeker een verzinsel, dat staat gegarandeerd nergens in de wettekst. Toestemming is nodig, de wijze waarop is open ter interpretatie.
Waar staat het dan in je linkje? Wees wat specifieker.
Hier:
5. In het kader van het gebruik van diensten van de informatiemaatschappij, en niettegenstaande Richtlijn 2002/58/EG, mag de betrokkene zijn recht van bezwaar uitoefenen via geautomatiseerde procedés waarbij wordt gebruikgemaakt van technische specificaties.
Do-not-track is een geautomatiseerd procedé gebruikmakend van een technische specificatie.

Ook de wijze waarop is weinig open ter interpretatie:
4. Het in de leden 1 en 2 bedoelde recht wordt uiterlijk op het moment van het eerste contact met de betrokkene uitdrukkelijk onder de aandacht van de betrokkene gebracht en duidelijk en gescheiden van enige andere informatie weergegeven.
De popup bij bezoeken van een website valt daar in principe onder, mits er duidelijk wordt aangegeven dat je als bezoeker het recht hebt om niét akkoord te gaan met deze voorwaarden.

Ik vind er weinig onduidelijks aan.
Er staat nergens hoe een button er uit moet zien, en hoe de huidige misleidende manier van toestemming vragen verboden is.
De AVG specificeert dat de toestemming vrij moet zijn. Er mogen geen drempels worden opgeworpen. Als je meer moeite moet doen om te weigeren is dat niet meer "vrijelijk". Ik zie veel cookietoestemmingvragen waar dat het geval is. Bijvoorbeeld je krijgt knoppen waarvan niet duidelijk is wat die doen of een hele lijst van knoppen die je niet in 1 keer uit kunt zetten. Gebruik je de verkeerde methode op je site, dan heb je geen toestemming verkregen.

"Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schrif­telijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. "

"Toestemming mag niet worden geacht vrijelijk te zijn verleend indien de betrokkene geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen."
Exact. Een link naar de relevante gronden van de AVG:

https://www.privacy-regulation.eu/nl/grond-32-EU-AVG.htm
https://www.privacy-regulation.eu/nl/grond-42-EU-AVG.htm

Een menu van tientallen opties door worstelen om géén toegang te geven terwijl wél toestemming geven één druk op de knop is, is best een nadelig gevolg van toestemming weigeren en mag dus niet.
Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden.
De popups die zeggen "als u doorgaat gaat u akkoord" mogen dus niet, maar een voorgeselecteerde, visueel voorgetrokken knop presenteren met een onopvallend of negatief vormgegegeven link om "het proces van weigeren" te beginnen valt daar ook onder.
Met de cookie walls zitten we in een vervelende spagaat. De AVG heeft de Wbp vervangen. Maar de ePrivacy verordening die de ePrivacy richtlijn (Nederland: Telecommunicatiewet) moest vervangen, is vertraagd. Dus privacybescherming is nu wel EU-breed geregeld, maar we zitten nog wel met 28 lidstatelijke implementaties van de oude ePrivacy richtlijn.

Onder de Wbp en de Telecommunicatiewet werden cookie walls min of meer als legaal beschouwd. Onder de AVG gelden ze inderdaad als niet zo legaal, aangezien je moeilijk kunt beargumenteren dat het niet verlenen van toestemming geen gevolgen heeft voor de gebruiker.

Dus de uitspraak van de AP over de cookie walls moet gezien worden als een opmaat naar de e-privacyverordening. Wanneer die ook moge komen...

Overigens vind ik persoonlijk dat Tweakers de uitspraak van de AP niet zo netjes interpreteert. Men lijkt te doen alsof de bezoeker een 'overeenkomst' aangaat bij het bezoeken van de site.
De hele AVG wetgeving is solide als een Jenga toren gemaakt van zachte lange vingers. Het blijft wel staan maar het flikkert toch een keer in elkaar. Het schud aan alle kanten en garanties worden niet gegeven. Een beetje gemiddelde internet gebruiker gebruikt verschillende AdBlocks, anti-tracking en datamining instellingen van add-ons of gewoon standaard browser instelling en zal daardoor altijd doodgegooid blijven worden door pagina blokkerende cookie meldingen.
De AVG-wetgeving is best solide. De handhaving ervan stelt alleen (nog) niets voor. AP en diens zusterorganisaties in andere EU-landen moeten hun tanden laten zien en alle overtreders flink achter de broek zitten en boetes uitdelen. Tot nu toe gebeurt dat nog amper en hebben bedrijven dus weinig incentive om de wet na te leven. Daarom is er voor de consument nog niet zo veel veranderd. Als bedrijven daadwerkelijk de wet zouden naleven dan zou de consument daar wel wat aan hebben en niet lastig gevallen worden met de genoemde toestemmingsformulieren die weinig effectief zijn en je de verkeerde richting in duwen.
Wat ik vooral een trieste uitwerking vindt dat vele vrijwilligers organisaties en verenigingen allemaal menen dat er geen foto's meer gemaakt mogen worden etc. Dit omdat het om kinderen gaat. Terwijl het in mijn ogen als journalistiek belang gewoon mag ter verslaglegging van een evenement of gebeurtenis. Tuurlijk hoeven er geen volledige namen bij etc. Maar helaas de angst is groot en de onwetendheid misschien nog groter. Op scholen zie je hetzelfde gevolg is dat er vooral foto's rondgaan in app groepen, misschien is dat iets wat we eigenlijk echt niet moeten willen.
Zou het fijn vinden als daar duidelijkheid over kwam.
Een menselijk recht als privacy zou niet moeten afhangen van wat jij wel en niet vind kunnen, en gelukkig is dat ook niet zo.
Waar ik mij zorgen om maak is dat er straks en generatie komt zinder historie, die geen foto van vroeger hebben, simpel omdat hun ouders bang waren voor een foto. Als pa en ma er niet meer zijn zijn hun herinneringen aan vroeger weg. Want zij staan op geen enkele foto.
Dit nog los van de bijna onmogelijkheid voor scholen en verenigingen om hiermee om te gaan want hoe weet je wie wel en wie niet op de foto.
Wat ik nog ergerlijker vindt is dat ouders die geen toestemming geven niets zeggen als er een groepsfoto wordt gemaakt, waarschijnlijk stonden ze wel zelf een foto te maken met hun mobiel maar mag je niets met de officiele foto.
Als iemand er goed over nagedacht hebbende die beslissing neemt snap ik het maar er zijn teveel mensen die hun actie niet overzien. Overigens stimuleert het vooral een grijs circuit waar wel foto's rondgaan, en was dat nu net de bedoeling! Persoonlijk zie ik liever een duidelijke site waar foto's te zien zijn welke niet door searchengines geindexeerd word en met een duidelijke manier om foto's verwijdert te krijgen.
Privacy verhindert namelijk niet dat ze gemaakt worden.
Ik denk dat er weinig mensen bang zijn voor foto’s van hun kinderen. Wel als die op social media komen.

Bij de school van mijn kinderen zijn er best een aantal die geen toestemming voor social media hebben, maar geen zonder toestemming voor foto’s in het algemeen. De klassefoto wordt gewoon gemaakt. Ouders van kinderen die dat niet zien zitten konden aangeven dat hun kind er niet op mag, maar niemand heeft dat gedaan.

Foto’s van mijn kinderen zijn er genoeg, maar niet op social media. Wel in ons eigen digitale archief en in een aantal papieren fotoalbums. Het is geen alles-of-niets situatie.
Maarja, dan komt de klassefoto alsnog op social media natuurlijk. Er hoeft er maar eentje te zijn die hem erop zet. Van mijn lagere school staan nu ook opeens de klassefoto's online op diverse sites en social media.
Tja. Klas op aanspreken. Als je kinderen op een gegeven moment zo oud zijn dat ze zelf dat soort dingen gaan zoeken houdt het snel op als ouder zijnde, maar bij kleine kinderen waarvan de ouders dat doen mag je daar best commentaar op leveren, en dat zou ik ook zeker doen.
Bedankt voor de input voor onze Scouting groep worstelen we hier dus best wel mee, en door onderscheid te maken kunnen we misschien ook een duidelijker beeld krijgen. Kortom opties twee opties geven,
Om te beginnen met dat "doemscenario": van de eerste 25 jaar van mijn bestaan zijn max 100 fotos, en alleen geprint, ergens weg te rotten op zolder. Ik vind dat fantastisch. Niets van wat ik ooit gezegd hebt, gedaan hebt, waar ik was, is ergens vastgelegd. De informatie is er gewoon niet, hooguit in hoofden van mensen. Ik vind dat een geweldig iets, en heb medelijden met de jeugd dat dit niet meer mogelijk is.

Maar dat is mijn persoonlijke mening, want bovenstaande scenario is absurd en ondenkbaar in de huidige tijd. Een generatie zonder foto's? Ouders maken er een duizend of zo per jaar van hun kinderen. Als ze wat ouder zijn dan doen hun vrienden het. Daarna zijn ze zo zelf obsesses dat ze voornamelijk zichzelf fotograferen. Hoe kom je er bij dat er geen foto's zijn? Dit gaat uitsluitend om vreemden, instanties buiten de familie die toestemming nodig hebben.

"Dit nog los van de bijna onmogelijkheid voor scholen en verenigingen om hiermee om te gaan want hoe weet je wie wel en wie niet op de foto."

Door het te vragen? Wat is daar moeilijk aan?
“Bedrijven hebben hun privacyverklaringen nagelopen en hebben die concreter gemaakt. Dat moet ook wel, want onder de AVG zijn er veel meer elementen waar zo'n overeenkomst aan moet voldoen ten opzichte van de eerdere wet."

Of het gaat om verwerkersovereenkomsten, maar een privacyverklaring is alles behalve een overeenkomst. Een privacyverklaring is een manier voor een organisatie om te voldoen aan de informatieplicht. Exact een van de hardnekkige AVG misverstanden. Vaak zie ik dan ook organisaties die je laten tekenen voor de privacyverklaring in een constructie als "ik ga akkoord met de privacyverklaring".

[Reactie gewijzigd door WouterL op 4 juni 2019 07:13]

Informatieplicht is prima (hoewel de privacyverklaringen vaak nog altijd enorm vaag zijn en op een groot aantal punten tekort schieten), maar er moet ook toestemming worden gevraagd voor een aantal onderdelen die daar in staan en dat moet vrijelijk kunnen, d.w.z. dat er keuze moet zijn. Zaken die niet noodzakelijk zijn voor het uitvoeren van de overeenkomst of een andere grondslag naast toestemming moeten optioneel zijn. Dat gaat verder dan hoe het al was met betrekking tot toestemming voor mailings. Maar dat is nog niet doorgedrongen tot veel bedrijven. Gek genoeg is dat wel zo bij toestemming vragen voor cookies. Daar wordt inmiddels wel per soort toestemming gevraagd.

De personenautoindustrie bijvoorbeeld overtreedt op grote schaal de AVG op deze wijze door te claimen dat alles wat zij willen per se moet en niet anders kan. Je ziet de vreemdste claims in hun privacy policies.

Edit: herstel

[Reactie gewijzigd door mrmrmr op 5 juni 2019 09:51]

Weer een wijdverbeid misverstand. Je hoeft zeker géén toestemming te vragen voor een privacyverklaring. ;) Je haalt nu verwerkingsgrondslag en informatieplicht door elkaar. Voor elke verwerking heb je inderdaad een grondslag nodig, maar de privacyverklaring ziet toe op het informeren van je doelgroep. Voor sommige verwerkingen heb je toestemming nodig, maar heel veel verwerkingen ook niet (bijv. gerechtvaardigd belang, wettelijke grondslag). Per afzonderlijke verwerking zul je een verwerkingrondslag nodig hebben (wat soms toestemming is), én zul je de betrokkene moeten informeren over een aantal basisbeginselen (die terugkomen in de privacyverklaring).

Ik zie dat je heel ver bent met de materie, maar je haalt bepaalde zaken door elkaar.

De toestemming voor cookies wordt weer geregeld in een hele andere wet: de Telecommunicatiewet. Wanneer er met cookies persoonsgegevens worden verwerkt, gaat daarnaast ook nog de AVG gelden. Dus heel verwonderlijk is dat niet :)
*wijdverbreid

Jazeker heb je toestemming nodig voor het verwerken van gegevens die geen andere grondslag hebben dan toestemming. Dat is in essentie wat ik schreef. Ik weet natuurlijk dat de regels omtrent cookies uit een andere wet komen, maar dat maakt voor de vergelijking geen verschil. (Voldoen aan wetgeving is overigens een van de grondslagen in de AVG.)
Bedankt voor de typo.

''maar er moet ook toestemming worden gevraagd voor alles wat daar in staat ''

Dat is dus niet waar :) En dat is niet de essentie van je schrijven. Maar misschien schreef je het iets wat gechargeerd op, en reageerde ik daar wat fel op.

Daarnaast heb je het volgens mij over het bundelen van verwerkingsdoeleinden die niet strikt noodzakelijk zijn voor de uitvoering van de overeenkomst. Inderdaad iets wat veelvuldig wordt misbruikt. Er is op dit moment een 'guideline' in concept bij de EDPB die uitgebreid ingaat op de verwerkingsgrondslag 'noodzakelijk voor de uitvoering van de overeenkomst' om het e.e.a. te verduidelijken.
Je hebt gelijk, ik heb het bericht hersteld. Ik bedoelde het anders dan ik het opschreef. Het gaat mij erom dat je akkoord wordt afgedwongen met de hele policy waarin doorgaans ook vele onderdelen staan die veel te vaag zijn en onderdelen waarvoor afzonderlijk toestemming moet worden gevraagd. Dat laatste gebeurt zelden in mijn ervaring. Dat afzonderlijk vragen van toestemming gebeurt wel m.b.t. mailings en cookies. Men zegt vaak impliciet: dit is het contract (met privacy policy verwijzing) en als je niet akkoord bent is er geen overeenkomst. Dat gaat te kort door de bocht.
Klopt helemaal. Is natuurlijk ook een beetje onwetendheid: men denkt, als ik toestemming vraag voor de privacystatement/policy, dan zit het wel goed.

Men weet dan ook amper wat een privacystatement nu eigenlijk precies is, en waarom het bestaat.
Het risico is dan averechts: men vraagt op een verkeerde manier toestemming, en overtreedt de wet.
Of er wordt moedwillig misbruik van gemaakt: dat kan natuurlijk ook.

Wat wél kan is een checkbox met ''ik heb de privacypolicy gelezen''. Zulks mag echter nooit een zelfstandige grondslag opleveren voor het verwerken van persoonsgegevens. Een 'gecheckboxte vinkje' met ''ik heb de privacypolicy gelezen'' kan hoogstens betekenen dat je als organisatie aan je informatieplicht hebt voldaan. Dat staat los van elkaar. Je zult alsnog per verwerkingsdoel een verwerkingsgrondslag nodig hebben. Wanneer dat toestemming is, moet dat zelfs uitdrukkelijk zijn.
Dat onderscheid blijkt voor bedrijven in de praktijk inderdaad nogal lastig.
Per afzonderlijke verwerking zul je een verwerkingrondslag nodig hebben (wat soms toestemming is), én zul je de betrokkene moeten informeren over een aantal basisbeginselen (die terugkomen in de privacyverklaring).

Ik zie dat je heel ver bent met de materie, maar je haalt bepaalde zaken door elkaar.
En ook jij hebt het niet helemaal juist.
Aan die informatieplicht dien je inderdaad per verwerkingsdoel te voldoen, maar je moet de wettelijk vereiste informatie losstaand verstrekken. Dit mag niet begraven zitten in een centrale privacy verklaring.
De toestemming voor cookies wordt weer geregeld in een hele andere wet: de Telecommunicatiewet. Wanneer er met cookies persoonsgegevens worden verwerkt, gaat daarnaast ook nog de AVG gelden. Dus heel verwonderlijk is dat niet :)
Cookies die een uniek ID bevatten zijn per definitie persoonsgegevens. Dus die lijn kun je eigenlijk wel wegvegen. In de praktijk zal zo'n 90% van niet-functionele cookies en andere vormen van opslag onder de AVG vallen.

Hopelijk gaat binnenkort de ePrivacy verordening in; dat is dwingend EU recht en is bedoeld als de partner-wet voor de AVG. Deze harmoniseren beter en daarmee gaat een boel wat nu nog nationaal geregeld is -- in Nederland bijv. in de Telecommunicatie-wet -- vervallen.
Een verwijzing naar een centrale privacyverklaring is volgens de AP afdoende, mits voldoende transparant. Je mag wel degelijk een groot aantal zaken in een (centrale)privacyverklaring kwijt. Loststaande verstrekking is geen aparte eis (misschien in de war met algemene voorwaarden) die de AP stelt. Eenvoudig te raadplegen wel, en "verstrekking" tijdens het persoonsgegevens verzamelen ook. Dat kan echter ook met een verwijzing.
Dan is er een criterium waar het AP overheen leest: de verstrekte informatie dient ook beknopt te zijn.
Dwz. gelimiteerd tot het vereiste.
Artikel 12 - Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene

1. De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt. Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.
Een algemene verwijzing naar een centrale privacy-verklaring dekt dat niet.
Misschien wel als je verwijst naar een specifiek hoofdstuk of artikel in die verklaring.

[Reactie gewijzigd door R4gnax op 4 juni 2019 16:17]

Wat fijn dat jij dat vindt, maar dat is niet de visie van onze toezichthouder, Europa, noch elk ander toezichthoudend orgaan. Een goede privacyverklaring kan zeker in beknopte vorm. Een geladderde privacyverklaring is hier een goed voorbeeld van. Je kunt dan klikken op het voor jouw relevante deel van de privacyverklaring.

Het criterium beknopt ziet niet toe op het feit dat alleen voor de verwerking relevante informatie wordt verstrekt, maar in het feit dat bladzijde lange privacyverklaring hoogstwaarschijnlijk niet aan het criterium zullen voldoen. Of dat privacyvoorwaarden zijn 'verstopt' tussen andere algemene voorwaardes of contractbepalingen waardoor 'lezersmoeiheid' optreedt. Een betrokkene moet niet veel tijd kwijt zijn aan het 'zoeken' naar informatie. Maar enige inspanning mag zeker vereist worden.

Jouw lezing van dit artikel is derhalve geen breed gedragen consensus.

Om de EDPB (destijds nog de werkgroep 29) te quoten:

''In een onlinecontext zal het gebruik van een gelaagde privacyverklaring/mededeling een betrokkene de mogelijkheid bieden om direct naar het specifieke onderdeel van de privacyverklaring/mededeling dat ze willen lezen te navigeren, in plaats van door grote lappen tekst te moeten scrollen op zoek naar specifieke onderwerpen. ''

Al met al zal het afhangen van de complexiteit van de verwerking welke vorm van informeren het beste passend is. Zo zal de bakker om de hoek prima kunnen volstaan met een verwijzing naar een niet geladderde, simpele privacyverklaring, maar een online marketing bureau dat 1008 dingen wil doen met je gegevens niet. Misschien bedoelde je dat.

[Reactie gewijzigd door WouterL op 4 juni 2019 16:53]

''In een onlinecontext zal het gebruik van een gelaagde privacyverklaring/mededeling een betrokkene de mogelijkheid bieden om direct naar het specifieke onderdeel van de privacyverklaring/mededeling dat ze willen lezen te navigeren, in plaats van door grote lappen tekst te moeten scrollen op zoek naar specifieke onderwerpen."
Is dat niet wat ik onderaan al schreef?

[Reactie gewijzigd door R4gnax op 4 juni 2019 16:58]

Dat is natuurlijk de helft van het verhaal :) per verwerking zal bekeken moeten worden hoe het best invulling gegeven kan worden aan de informatieplicht. Dat een partij als Google of Facebook niet wegkomt met een verwijzing naar 1 centrale privacyverklaring mag voor zich spreken. Het gemiddelde MKB bedrijf kan hiermee prima uit de voeten.
Als iemand die elke dag met de AVG werkt en daarvoor met de Wbp is het toch wel fascinerend hoe slecht de overheidsorganisaties dit op orde hebben. Zaten ze hiervoor ook al te slapen? Vooral hoe laks het overkomt en hoe ruim ze de tijd krijgen om het op orde te stellen? De overige sectoren moeten springen in de pas om alles op orde te krijgen, maar dat er dan zulke nieuwsberichten komen dat de belastingdienst of UWV het nog niet op orde heeft gaan er bij mij niet in :X 8)7

Ik hoop dat de AP nu woord bij daad voegt en hun bevoegdheden gebruikt om deze organisaties aan te pakken. Ongeacht of het nu onze eigen staatskas spekken is of niet. De minimale handhaving op dit vlak staat haaks op het feit dat ze na 3+ jaar nog steeds niet ver genoeg zijn.
Het is juist volstrekt begrijpelijk dat het bij de belastingdienst niet op orde is. Een organisatie die heel wat complexer is dan zelfs de grote bedrijven. Tevens een ICT legacy inclusief systemen van 30 a 40 jaar oud. Ga daar maar eens met terugwerkende kracht AVG op toepassen.
Uiteraard is complexiteit de belangrijkste factor waarom het niet op orde is, maar als je van iedereen vereist dat ze aan de AVG gaan voldoen behoort de BD daar ook bij. Komt het terug bij de juiste prioriteitstelling en vereiste capaciteit. Beide zijn m.i. grof onderschat. En daar vind ik van dat het nalatig is dat men daar niet harder op acteert.
"En daar vind ik van dat het nalatig is dat men daar niet harder op acteert."

Het is allemaal niet ideaal, maar niet nalatig. Iedereen die het oneerlijk vind dat de BD geen boete krijgt, wordt wakker en besef dat de AP helemaal geen boetes heeft uitgedeeld. Aan niemand. Dus is het niet nalatig. AP is nalatig naar iedereen, zo kun je het wel zien.

Op dit item kan niet meer gereageerd worden.


OnePlus 7 Pro (8GB intern) Nintendo Switch Lite LG OLED C9 Google Pixel 3a XL FIFA 19 Samsung Galaxy S10 Sony PlayStation 5 Apple

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True