Door Tijs Hofmans

Nieuwscoördinator

Feedback • 25-05-2020 06:0077

Twee jaar AVG

Het tweede jaar, met de eerste boetes

Strenge interpretaties

Het is overigens niet de enige situatie waarbij de waakhond streng optreedt. Onlangs sprak de AP zich uit tegen het verzamelen van locatiedata door overheden in de strijd tegen het coronavirus. Opvallend aan de uitspraak: volgens de AP kunnen locatiedata per definitie niet anoniem zijn, daarom is er een wetswijziging nodig.

De AP lijkt de privacywet soms strenger te interpreteren dan andere toezichthoudersWolfsen vindt dat de AP-juristen de wet niet bijzonder veel strenger dan juristen of andere Europese toezichthouders interpreteren. “Op veel vlakken lopen we wel voorop”, zegt hij. “We zijn niet de trendsetter, maar spreken ons wel in een vroeg stadium al uit over bepaalde zaken. Dat komt dan misschien streng over, maar dat is juist omdat Nederland zo sterk gedigitaliseerd is en zo veel bedrijven met de wet hebben te maken.” Op veel vlakken, zegt Wolfsen, is te zien hoe andere Europese toezichthouders of het grote overkoepelende toezichthoudersorgaan er inmiddels dezelfde denkwijzes op na houden. “Als het gaat om onze interpretatie van de cookiewall, zie je dat inmiddels alle andere toezichthouders nu zeggen wat wij eerder al zeiden.”

Misschien heeft het ook te maken met het feit dat alle boetes, maar ook de subtielere waarschuwingen en de openbare blogposts van de AP, na twee jaar eindelijk meer duidelijkheid geven aan bepaalde begrippen. Bedrijven hekelden ooit termen zoals ‘het gerechtvaardigd belang’. Door een combinatie van boetebesluiten en bredere duiding van de AP worden die begrippen een stuk helderder. “De term ‘gerechtvaardigd belang’ was inderdaad lang een discussiepunt”, zegt Wolfsen. ”Na een tijdje hebben we daar op de website meer over geschreven, over de manier waarop we daar tegenaan kijken.”

Onderbezetting

Er is één probleem dat consequent terugkomt in discussies over de AP: de zware onderbezetting van de waakhond. Ook nu, twee jaar na invoering en na veel verzoeken om meer geld bij de regering, is er nog maar weinig veranderd aan de situatie. Ondertussen blijft het aantal vragen, klachten en meldingen bij de organisatie ongeremd groeien. Waren er in de tweede helft van 2018 nog 10.000 verzoeken die de AP moest afhandelen, in het eerste half jaar van 2019 ging het om 15.000 verzoeken.

De AP is notoir onderbezet, en dat levert problemen opDe toezichthouder is verplicht iedere melding in behandeling te nemen. Een paar maanden geleden moest de waakhond voor het eerst concluderen dat dat niet lukte. In 2019 zijn 3000 behandelverzoeken blijven liggen. De waakhond probeert prioriteiten te stellen om te bepalen wat voor soort vragen als eerste worden behandeld, maar nog steeds voelen burgers zich regelmatig afgescheept als ze lang moeten wachten.

‘Formatieproblematiek’

Wolfsen erkent het probleem, dat hij ‘formatieproblematiek’ noemt: “we hebben te veel werk.” Ook organisaties zoals Bits of Freedom zien inmiddels de problematiek rondom de onderbezetting, zegt Benaissa. “Dat beperkt hun slagkracht, en daardoor vallen er te weinig boetes om voor een echt afschrikwekkend effect te zorgen.” De problemen zijn ook bekend bij de politiek, maar dat heeft nog niet veel effect gesorteerd. In juni vorig jaar ging het budget marginaal omhoog, van 15,1 miljoen naar 18,5 miljoen euro per jaar. Minister Sander Dekker van Rechtsbescherming schreef vorig jaar aan de Tweede Kamer dat er niet nog meer extra geld naar de AP zou gaan.

Met de handhaving mag het inmiddels voorzichtig de goede kant op gaan, maar een echt harde aanpak van bedrijven lijkt moeilijk zolang de toezichthouder beperkte slagkracht heeft.

Singlepage-opmaak

Lees meer

'We moeten nog te vaak nee verkopen'
Privacy

26 mei 2022

'We moeten nog te vaak nee verkopen'

Privacywaakhond over onderbezetting en datalekken

13
Privacytoezichthouders willen meer geld
Privacy

2 sep 2021

Privacytoezichthouders willen meer geld

Europese waakhonden en hun budgetten

13
'Serieuze zaken vergen serieuze boetes'
Privacy

27 mei 2021

'Serieuze zaken vergen serieuze boetes'

Interview met Aleid Wolfsen over de AVG

96
Megaboete voor tennisbond
Politiek en recht

11 mrt 2020

Megaboete voor tennisbond

Mogen sportclubs je data verkopen?

248
NRC: Europa waarschuwt privacytoezichthouder AVG te streng te interpreteren Nieuws van 4 juli 2022
Iers rapport: slechts 2 procent van GDPR-zaken tegen Big Tech is afgerond Nieuws van 13 september 2021
Streamingdienst amateurvoetbal ging failliet door onterechte dreiging AVG-boete Nieuws van 24 november 2020
Autoriteit Persoonsgegevens geeft goedkeuring aan privacygedragscode ict-branche Nieuws van 27 augustus 2020
HagaZiekenhuis stopt met vrijwillige vragenlijsten vanwege niet voldoen aan AVG Nieuws van 21 juli 2020
Privacywaakhond waarschuwt supermarkten die gezichtsherkenningscamera's inzetten Nieuws van 5 juni 2020
Autoriteit Persoonsgegevens moet nog 3000 achterstallige klachten behandelen Nieuws van 23 maart 2020
Autoriteit Persoonsgegevens deelt AVG-boete van 525.000 euro uit aan tennisbond Nieuws van 3 maart 2020
Autoriteit Persoonsgegevens gaat bedrijven met PSD2-vergunning onderzoeken Nieuws van 24 februari 2020
Privacywaakhond gaat extra aandacht geven aan datahandel, overheden en ai Nieuws van 11 november 2019
Meer producten en artikelen
Privacy algemene verordening gegevensbescherming Autoriteit Persoonsgegevens

Reacties (77)

-Moderatie-faq
77
73
39
8
0
19
Wijzig sortering
NiGeLaToR
25 mei 2020 06:10
Vrijwel iedereen werkzaam in de IT heeft te maken met de AVG. Waar het in de aanloop naar de ingang van handhaving twee jaar geleden voor veel organisaties even flink aanpoten was om 'te voldoen aan' zie je dit urgentie sindsdien wel afnemen. Toch word mijn bedrijf geregeld gevraagd om te ondersteunen bij incidenten waarbij de AP is of wordt ingeschakeld, dan wel door de meldplicht, dan wel omdat klanten of betrokkenen zelf aan de bel trekken. Ik ervaar de AP hierin adequaat reagerend, doch bureaucratisch. De meldprocedure is onnodig ingewikkeld en onhandig in gebruik, er is geen dossiervorming zichtbaar en communicatie verloopt veelal via (aangetekende) post. Dit is omslachtig en kost veel procedurele tijd (poststukken verzamelen, verslaglegging op papier, aangetekende brieven schrijven, etc).

Als we terug kijken op afgelopen twee jaar en de hoeveelheid meldingen die gedaan zijn is het verruimen van budgetten voor handhaving wellicht zinvol, maar ook het automatiseren van het bureaucratische proces eromheen. Zorg dat je in contact kunt blijven via een handiger en minder tijdrovend systeem, beveiligd volgens de geldende standaarden. Wat ik tenslotte wel als enorm pluspunt ervaar is de mogelijkheid tot persoonlijk contact: de meldingen waar ik als intermediair tussen klant en AP optrad was de AP goed bereikbaar en beschikbaar voor repliek. Ook voor advies vanuit een FG rol blijkt de AP een goede gesprekspartner. Behulpzaam, doch rechtvaardig.
Daoka
@NiGeLaToR25 mei 2020 07:13
Ik snap je gevoel maar ik heb op stukken wel een tweestrijd. Zoals de aangetekende post. Email zou inderdaad sneller zijn maar toch minder beschermend. Dan bedoel ik bijvoorbeeld zoals een keer dat ik de vraag had: hoe kan het deze bedrijf onze mails kunnen ontvangen maar als we een rekening sturen ontvangen ze het vaak niet. Het leek er van mij kant ieder geval op dat ze stiekem uitstel van betaling deden. Want het was naar dezelfde persoon, zelfde emailadres en dus geen typfouten en de rekening was als pdf als bijlage en er waren eerder al grotere pfd bestanden gestuurd. Maar technisch gezien konden wij verder niets bewijzen dat hun het echt niet ontvangen zouden hebben. Vooral als het gaat om zulke zaken is zekerheid belangrijk. Want dingen kunnen nog wel eens verkeerd of "verkeerd" gaan.
NiGeLaToR
@Daoka25 mei 2020 08:27
De initiële aanschrijving per aangetekende post: prima.

Maar als je melding doet en je wilt deze aanvullen, moet je het gehele aanmeldformulier nogmaals invullen. Je kunt geen 'login' via een geverifieerd iets krijgen om je dossier in te zien. Dus als je vervolgens - per post - weer aanvullende vragen krijgt, moet je die via dat formulier wederom geheel opnieuw invullen.

Nu kun je met auto-form-fill dingen wel eromheen werken en zicht houden op wat je aan informatie aanlevert, maar handig is het niet.

Maargoed, wat nog niet is, kan nog komen. Andere handhavingsinstanties en overheidsorganen zijn inmiddels verder, dus kan best zijn dat dit nog volgt. Prioriteit lag begrijpelijk elders.
Daoka
@NiGeLaToR25 mei 2020 08:43
Dank je wel voor de verdere uitleg. Ik begreep inderdaad even niet dat het zou ingewikkeld ging. Ik zat dan meer te denken aan de "officiëlere" zaken zoals dat de waarschuwing / boete, aanvragen van documenten of aanvraag voor controle bij de bedrijven en dat soort dingen.

Vooral omdat je ook zei dat de AP goed bereikbaar was zat ik aan zulke zakwn te denken. En dus niet voor een kleine toevoeging.
Anoniem: 562971
@Daoka25 mei 2020 10:35
En zoiets als een leesbevestiging of een elektronische handtekening (ontvangst) vóór opening van het document?
CAPSLOCK2000
@Anoniem: 56297125 mei 2020 10:44
Zo'n leesbevestiging is volkomen onbetrouwbaard. Die wordt verstuurd door de software van de ontvanger. Als de ontvanger niet wil weten of mail is gelezen dan kan die het versturen van die bevestigingen gewoon uitschakelen.
Een elektronische handtekening voor ontvangst helpt ook niet, dan tekent de ontvanger niet en weet je nog niks. Los van de vraag hoe je dat met digitale middelen doet, praktisch gezien.
svenk91
@CAPSLOCK200025 mei 2020 17:17
Maar aangetekende post hoef je ook niet te accepteren, en je kan betwisten wat er in die post zat natuurlijk.
Daoka
@Anoniem: 56297125 mei 2020 10:47
Een leesbevestiging hoeft niet verstuurd te worden ook al heb je de bericht gelezen. En elektronische handtekening voor documenten had ik inderdaad even niet aan gedacht. Al vraag ik me wel af of zulke dingen wettelijk gezien gelden voor rechtszaken.
re-atari
25 mei 2020 11:52
Kleine correctie op dit artikel: de AVG is in werking getreden op 25 mei 2016 en niet, zoals door velen wordt beweerd, pas op 25 mei 2018. De verplichtingen die in de AVG zijn vastgelegd zijn pas op 25 mei 2018 volledig van toepassing geworden.

De AVG gaf bedrijven en overheidsinstanties nl. een termijn van 2 jaar na inwerkingtreding, dus tot 25 mei 2018, om hun organisatie en informatiesystemen zodanig aan te passen, dat deze uiterlijk op die datum zouden voldoen aan de verplichtingen vastgelegd in de AVG. De Autoriteit Persoonsgegevens zou tot die datum niet handhavend optreden.

Dat wil echter niet zeggen, dat iemand of een belangenorganisatie die door een inbreuk op de AVG in zijn/haar belang(en) meende te zijn benadeeld, zich niet al vanaf 25 mei 2016 bij een (kort geding) rechter tegen die inbreuk kon verweren en naleving van de bepalingen van de AVG kon eisen. Er zijn gevallen waarin de rechter al voor 25 mei 2018 heeft geanticipeerd op het volledig van toepassing worden van de AVG.

De klaagzang die in de weken voorafgaand aan eind mei 2018 ineens in de pers ontstond, waarin bedrijven en overheidsinstanties (zoals de Belastingdienst) dikke krokodillentranen huilden, dat men die datum niet kon halen, was overigens nogal misplaatst. Het was al ruim voor 25 mei 2016 bekend dat de AVG eraan zat te komen, en men had ook nog eens een termijn van 2 jaar gekregen om de verplichtingen van de AVG te implementeren.

re-atari
WhatsappHack
25 mei 2020 20:53
Zijn er eigenlijk echt succes verhalen van mensen die klachten indienen? Ik ben dan vooral benieuwd naar internationale samenwerking. Ik heb een klacht ingediend in september 2018 tegen een Frans bedrijf dat, naar mijn mening (en volgens ‘t AP “daar lijkt het inderdaad op”), zich niet aan de wet houdt mbt keuze opties qua consent, informatie én ‘t verwerken van medische data. Daar krijg ik nu van ‘t AP nog steeds netjes elke 3 maanden een berichtje van dat er niets te melden valt omdat ze niets gehoord hebben van hun collegae in Frankrijk, maar er lijkt dus echt he-le-maal niets mee te gebeuren door de Franse toezichthouder. Dat schiet niet op.

Als er zoveel tijd overheen gaat vraag ik me af of het echt zin heeft. Met consumables zullen veel mensen dan allang weg zijn. En ‘t bedrijf krijgt wss eerst een waarschuwing, maar die mogen eerst blijkbaar ook een paar jaar hun gang blijven gaan. Bij ‘t bedrijf in kwestie is namelijk ook nog niets veranderd aan de policy. :P

Dan moet je je af gaan vragen of ‘t de volgende x dat je zoiets ziet überhaupt nut heeft om de moeite te nemen zo’n onderbouwd rapport in te dienen.
chrisborst
25 mei 2020 08:02
Je kan vinden van de AVG wat je wil, maar voordat die wet er was heb ik op kantoor of ergens anders het woord privacy of databeveiliging niet gehoord. Het leefde totaal niet onder de normale mensen.
En sinds er over de AVG wordt gesproken is iedereen er veel bewuster mee bezig.
Dus het heeft ieder geval eens stukje bijgedragen aan de bewustwording.

Helaas is er nog blijkbaar wel veel onduidelijk want ik hoor te vaak sprookjes over dat iets niet zou mogen, want dat zou in strijdt zijn met de AVG.
Voorbeeld; Onze jongeren-vereniging op kantoor is voor mensen tot 35 jaar. Nu willen ze dus een email versturen naar iedereen die hieraan voldoet. Krijgen ze te horen van Personeelszaken dat dit niet mag want dan zou je mensen op leeftijd targeten en dat zou volgens de AVG niet mogen.
Of de CV van een sollicitant moet direct vernietigd worden. Terwijl je prima mag vragen of je hem een jaar mag bewaren voor het geval er nog een vacature beschikbaar komt.

Volgens mij zou je de AVG kunnen samenvatten (op hele grove hoofdlijn) dat bijna alles mag zolang je er een goed verhaal bij heb, dit duidelijk verteld en de data volgens de spelregels opslaat.
Daarom hebben partijen als Bits of Freedom er ook bezwaar tegen omdat je nog steeds enorm veel mag hierdoor. Er worden namelijk heel veel zaken niet verboden.

[Reactie gewijzigd door chrisborst op 25 mei 2020 08:42]

XBL
@chrisborst25 mei 2020 09:42
Geboortedatum van je werknemers gebruiken voor iets anders dan de wettelijke verplichtingen van de werkgever (goede administratie voeren zegmaar), mag toch ook niet? Tenzij die werknemer toestemming heeft gegeven z'n geboortedatum ook voor andere dingen te mogen gebruiken.

Wellicht dat ik ook wel zo'n strakke AVG interpretatie doe, dus ik ben oprecht benieuwd of en hoe het anders ligt.
chrisborst
@XBL25 mei 2020 09:49
Het zou een ander verhaal zijn als de Jong@bedrijfsnaam een lijst met naam + geboortedatum zou vragen aan HR. Maar nu is gewoon de vraag, geef mij een lijst met namen van iedereen die 35 of jonger is.
Die mensen krijgen dat een email met de uitnodiging voor bijvoorbeeld een BBQ.
Kan nooit de bedoeling van de AVG zijn geweest om dit soort zaken te verbieden.
Dit valt gewoon onder normale bedrijfsvoering.
bzzzt
@chrisborst25 mei 2020 11:51
Die BBQ is een beetje flauw voorbeeld van leuke dingen die mogelijk gehinderd worden door de AVG.

De hele vraag is natuurlijk overbodig: waarom niet iedereen een mailtje te sturen met daarbij de doelgroep (en wat er eventueel voor de overgeslagen mensen wordt georganiseerd ivm scheve gezichten ;) )

Het gaat er in essentie om of iemand 'zomaar' een lijst van jongere werknemers mag maken (gebruik makend van data uit de personeelsadministratie). Volgens keer is het niet voor een BBQ, maar een ontslagronde. Of wordt bijvoorbeeld een evenement georganiseerd voor mensen met overgewicht (gebruik makend van gewicht uit je medische dossier).
chrisborst
@bzzzt25 mei 2020 12:09
De BBQ is geen flauw voorbeeld, want dat is precies wat een personeelvereniging of een jongerenvereniging doet in een bedrijf. Leuke uitjes/zaken organiseren om de verbondenheid tussen werknemers te bevorderen.
En natuurlijk kan je iedereen een mail sturen maar daar gaat de discussie niet over.

En je voorbeeld van een ontslagronde is natuurlijk onzin want daar bestaat het ontslagrecht voor. En daar wordt in beschreven dat in sommige gevallen in elke leeftijdsgroep een x percentage moet worden ontslagen.
Ook de overheid werkt met bepaalde gegevens om doelgroepen te bereiken. Zo krijg je boven een bepaalde leeftijd de oproep voor een bevolkingsonderzoek. Allemaal legitieme redenen die keurig aan de wet en regelgeving voldoen.
bzzzt
@chrisborst25 mei 2020 14:14
dat is precies wat een personeelvereniging of een jongerenvereniging doet in een bedrijf. Leuke uitjes/zaken organiseren om de verbondenheid tussen werknemers te bevorderen.
Wanneer je bij in diensttreding een alinea over gebruik van de personalia ivm dit soort activiteiten hebt opgenomen is er ook helemaal niets aan de hand.
Het gaat er om dat niet iedere random werknemer 'even' wat gegevens trekt uit de personeelsadministratie en dat - wanneer de vraag komt - er nagedacht wordt over het legitiem zijn van zo'n verzoek.
XBL
@chrisborst25 mei 2020 12:29
De nette manier is om al je medewerkers te vragen of hun persoonsgegevens gebruikt mogen worden voor dit soort doeleinden. Dan heb je er daarna geen discussie meer over nodig.

Ik lees alleen 'dit gaat wel erg ver', maar volgens mij gaat de AVG ook zo ver. Uitgangspunt is dat persoonsdata van de persoon is en dat er zonder grondslag niets mee gedaan mag worden. BBQ organiseren is geen geldige grondslag. Toestemming hebben van de persoon is dat wel.

Lijstje van de AP:
1. U heeft toestemming van de persoon om wie het gaat.
2. Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
3. Het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent.
4. Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
5. Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
6. Het is noodzakelijk om gegevens te verwerken om uw gerechtvaardigde belang te behartigen.
Speedpete
@XBL25 mei 2020 15:22
Nou, formeel is toestemming dat dus niet.

Toestemming moet vrijelijk, specifiek, geïnformeerd en ondubbelzinnig gegeven worden. Tussen een werkgever en een werknemer bestaat een machtsverhouding, dit beperkt het vrijelijk geven van toestemming waardoor toestemming al heel snel geen geldige grondslag meer is. Wil je dan toch gebruik maken van toestemming dan moet je heel erg duidelijk maken dat de toestemming echt vrij is en geen negatieve gevolgen heeft.

Als grondslag voor zo'n lijst zou ik dus kiezen voor gerechtvaardigd belang en de overweging hiertoe duidelijk inkleden.
Droefsnoet
@XBL25 mei 2020 10:31
Dat is best strak ja, dat zou betekenen dat het verjaardagskaartje van je collega's niet attent is, maar schending van je privacy.
chrisborst
@Droefsnoet25 mei 2020 12:02
Precies dit. Ik heb laatst ook een bloemetje gekregen voor mijn verjaardag.
Dat zijn gewone zaken die in een bedrijf gebeuren en niks met schending van privacy te maken heeft. De hele AVG is niet voor dit soort zaken in het leven geroepen.
En ook voor de AVG moest een bedrijf zorgvuldig met dit soort gegevens omgaan.
BoB_HenK
@chrisborst25 mei 2020 14:58
Het probleem is niet het bloemetje dat je ontvangt, het probleem is de veel te makkelijke wijze waarop onbevoegde medewerkers toegang tot je gegevens kunnen krijgen. Vandaag is het de secretaresse die je adres opzoekt voor een bloemetje, wie weet is het morgen de HR stagair met toegang tot het HR systeem die opeens je BSN, geboortedatum en rekeningnummer buitmaakt en doorverkoopt.

Het feit dat een bedrijf voor AVG zorgvuldig moet zijn zegt in de praktijk niets. Indien je die redenatie aanhoudt kan je het strafrecht boek wel in de prullenbak doen, iedereen weet dat je de anders hersenpan niet in mag slaan met een knuppel toch?
XBL
@Droefsnoet25 mei 2020 12:33
Klopt. Mijn opdrachtgever vraagt om na te denken over het open stellen van je Outlook agenda, omdat je daar potentieel persoonsdata mee openbaart (voorbeeld is daarbij idd de verjaardagen van je collega's).

Of het een schending van je privacy is moet je zelf weten, maar volgens de wet is dat het volgens mij wel (tenminste, als ze het op basis van de personeelsadministratie gaat). Makkelijke oplossing is al je werknemers te vragen of hun gegevens voor dit soort doeleinden gebruikt mogen worden.
Superstoned
@XBL31 mei 2020 08:15
Je kunt ook gewoon de HR afdeling de uitnodiging laten versturen... dan is het ook opgelost.
Caayn
@chrisborst25 mei 2020 08:41
De fabeltjes rondom de AVG kunnen nog wel eens een probleem zijn. Zelf heb ik er gelukkig geen last van en vind het prima dat de AVG er is, maar als ik naar mijn vriendin kijk waar haar management/directie de AVG incorrect interpreteert en daardoor te streng is werkt het averechts (zoals in het door jouw genoemde voorbeeld). Het personeel is daardoor terecht geïrriteerd en roept vervolgens dan ook kreten als "AVG weg ermee".
comecme
@chrisborst25 mei 2020 19:06
Los van de AVG, is zo'n jongerenvereniging niet een gevalletje leeftijdsdiscriminatie?
chrisborst
@comecme25 mei 2020 19:29
Natuurlijk, net zo als 65+ korting in een restaurant, woningen voor 55+-ers en ga zo maar door. Overal is er sprake van (positieve) leeftijdsdiscriminatie.
In heel veel (technische)bedrijven zie je dat ze een jongerenvereniging hebben. Vaak is de gemiddelde leeftijd redelijk hoog en willen ze jongeren met elkaar in contact brengen.
Niks vreemds aan lijkt mij.
Daoka
25 mei 2020 08:30
Ik vind dat ze goed bezig zijn. Al vind ik de AVG wet op sommige vlakken wel overdreven. Zoals een contact formulier dat ineens een bevestiging nodig heeft dat je begrijp dat de gegevens die je invult verwerkt wordt. Dat is toch gewoon logisch en wordt toch zelfs verwacht dat dit gebeurt. Anders heeft de bericht sturen ook geen zin. En als er gewoon een email gestuurd wordt dan is er toch ook geen waarschuwing of bevestiging nodig.
MadEgg
@Daoka25 mei 2020 09:38
Maar is dat de AVG die overdreven is of de implementatie van het contactformulier wat het wat te streng heeft geimplementeerd? Voor zover ik weet hoef je niet expliciet toestemming te geven voor iets wat overduidelijk het gevolg is van een actie. Zoals dat als je een contactformulier invult dat de gegevens die j invult gebruikt worden om een antwoord te sturen.

Als vervolgens je contactgegevens in een database opgeslagen worden en blijven is het een ander verhaal - dat is niet nodig om aan je contactverzoek te voldoen en daar zal dus expliciet toestemming voor gevraagd moeten worden.
Daoka
@MadEgg25 mei 2020 10:15
Ik zeg heel eerlijk dat ik te weinig weet over de AVG om dit eerlijk te bepalen. Ik ging er eigenlijk vanuit omdat ik dit sinds de AVG op meerdere websites heb gezien. En ik heb net even gezocht en zag meerdere websites dit uitleggen hoe je een contactformulier AVG proof maakt. Maar dat gaat het wel om websites waar je niet kan inloggen. Dus geen webwinkel bijvoorbeeld waar je al akkoord gegeven heb op de privacy overeenkomst. Misschien zit hier een verschil in. Of misschien omdat ons bedrijf in de zorg zit dat er andere regels voor gelden. Want uit eindelijk verwerken we de persoonlijke informatie (meestal een hulpvraag) wel om te bepalen of die persoon wel past in wat wij kunnen bieden. Die gegevens worden tijdelijk wel bewaard voor het geval dat de persoon toevallig verder contact opneemt zoals voor de vraag welk bedrijf wel kan helpen of verdere uitleg waarom wij hem of haar niet kunnen helpen.
SRI
25 mei 2020 07:52
Hoe wel ik het principe van de GDPR (Europese overkoepelende versie van de AVG) goed vind heb ik er wel wat problemen mee.

Zo moeten je als je bijvoorbeeld advertenties of analytics hebt in je apps een pop up altijd tonen aan mensen in de EU (volgens onze advocaat lijkt het zelfs zo te zijn dat je als Europees bedrijf dit moet tonen aan iedereen). Maar hoe je er achter moet komen wie dan een EU burger is daar zeggen ze niks over.

Tevens heb ik ook geregeld apps en websites gezien die er niks mee doen. En wat moet je dan? Het is in elk geval wel iets beter dan de cookie wetgeving waar iedereen gewoon laks mee omgaat.
PdeBie
@SRI25 mei 2020 08:23
Tevens heb ik ook geregeld apps en websites gezien die er niks mee doen. En wat moet je dan? Het is in elk geval wel iets beter dan de cookie wetgeving waar iedereen gewoon laks mee omgaat.
Melden bij de waakhond.
ikkuhqhp
@SRI25 mei 2020 16:10
Dat is vreemd, want in beginsel zijn advertenties en analytics een ePrivacy Richtlijn onderwerp , dus verwant aan de AVG, maar niet hetzelfde. En onder de Nederlandse implementatie van die richtlijn heb je geen toestemming nodig voor het gebruik van analytics. De AVG is overigens exact hetzelfde als de GDPR. De eerste is alleen verschillende de Nederlandse taalvariant en de andere de Engelse. Inhoudelijk is er geen verschil.
SRI
@ikkuhqhp25 mei 2020 17:39
Gezien analytics veel al via Google gaat is het volgens onze advocaat wel degelijk iets waar je permissie voor moet hebben om het te mogen verzamelen.

Naast dit moet je voor advertenties het vragen of aan de provider melden dat de ads niet gepersonaliseerd mogen zijn (aanzienlijk lagere inkomsten).

GDPR is de EU richtlijn die lidstaten dienen te implementeren in hun eigen wetgeving. Heeft niks met Engels te maken (volgens mij moet elk EU stuk in alle lidstaat talen vertaald worden). AVG is inderdaad de Nederlandse implementatie ervan.
ikkuhqhp
@SRI26 mei 2020 13:05
De AVG is de Algemene Verordening Gegevensbescherming, dus geen richtlijn. De GDPR Is de General Data Protection Regulation. Een regulation is exact hetzelfde als een verordening. Verordeningen hebben - in tegenstelling tot richtlijnen - directe werking en hoeven niet worden omgezet. Alle talen hebben in de EU dezelfde officiële status en daarom is er geen verschil tussen taalversies van verordeningen (of richtlijnen). Zie ook de juridische site van de EU waar je alle talen kunt kiezen.
Superstoned
@SRI31 mei 2020 11:02
Ja zeg als je data van je gebruikers aan een adverteerder overhandigd moet je natuurlijk toestemming vragen. Als je het zelf zou afhandelen niet. Logisch toch, je schendt onnodig de privacy van je gebruikers, dat je daar toestemming voor moet vragen lijkt me logisch.

Je kunt zelf ook Matomo hosten, dan hoef je geen toestemming te vragen want die gegevens verzamelen is op zich een legitiem doel. Doen wij ook... je hoeft alleen te informeren in je privacy policy.
Speedpete
@SRI25 mei 2020 15:28
Jullie advocaat heeft gelijk. Als jullie gevestigd zijn in de EU dan dienen jullie de AVG / GDPR te hanteren, ongeacht waar de klant vandaan komt.
SRI
@Speedpete25 mei 2020 17:00
Ja en dat zorgt er weer voor dat concurrentie een betere eerste ervaring kan leveren aan mensen die hun app downloaden als ze niet in de eu gevestigd zijn en de consument geen eu burger is.
Speedpete
@SRI25 mei 2020 17:04
Zij zullen toch ook aan de AVG moeten voldoen als ze consumenten uit de EU bedienen. Daarin ben ik het eens met @PdeBie: melden bij de waakhond als het niet het geval is.

Alternatief hierin is je analytics en advertenties aanpassen naar een anonieme verwerking, dan is de AVG niet van toepassing en hoef je ook niets te melden.
SRI
@Speedpete25 mei 2020 18:17
Ja daar wordt ook aan gewerkt. Maar als een klein bedrijf zoiets bouwen wat alleen maar in de buurt komt van wat Google Firebase kan is al extreem duur en tijdrovend.
thunder7
25 mei 2020 06:32
Van 15,1 naar 16,5 is bijna 10% in één jaar. Dat is niet marginaal, m.i.
Daoka
@thunder725 mei 2020 06:45
15,1 miljoen naar 18,5 miljoen euro per jaar.
Je heb het per ongeluk verkeerd gelezen. Al kan je natuurlijk afvragen wanneer iets veel of weinig is.
hichelay
25 mei 2020 07:46
. In juni vorig jaar ging , van 15,1 miljoen naar 18,5 miljoen euro per jaar.
3,4 miljoen, meer dan 20% van de oorspronkelijke begroting. Dat is toch niet marginaal?

Als slechts de helft voor salarissen is, kun je makkelijk 20 man extra aannemen.
rickiey
25 mei 2020 08:33
Het grootste probleem van de AVG ligt na mijn mening nog bij de ondercapaciteit van de AP. Deze kan de grote stroom klachten gewoon simpelweg niet aan.
caspar M
25 mei 2020 08:38
"Formatieproblematiek" is helaas standaard bij dit soort publieke organisaties waar de samenleving veel belang bij heeft.

Dat heeft altijd een oorzaak in de politiek. Het is namelijk (openlijk) niet mogelijk om deze belangrijke organisaties de nek om te draaien. Maar niet getreurd! je zorgt ervoor dat er nauwelijks budget is! hiermee wordt de "pak kans" verwaarloosbaar.

De winst die bedrijven maken door zich niet te houden aan wet en regelgeving is dan vele malen hoger dan de mogelijke boete die je misschien ooit krijgt. (en je maakt dan een geheime afspraak, waarbij de uiteindelijke boete verwaarloosbaar is)

Met dank aan de lobby vanuit de zakenwereld en vrindjes van het dispuut!:
Zeker Nú :+
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee