De Autoriteit Persoonsgegevens heeft in de afgelopen drie jaar relatief weinig AVG-boetes uitgedeeld, maar die boetes vallen over het algemeen veel hoger uit dan in andere Europese landen. De laagste boete van de AP is hoger dan de hoogste boete van zestien andere EU-landen.
Tweakers bekeek de cijfers van 26 Europese landen waar de Algemene Verordening Gegevensbescherming van kracht is. Daaruit blijkt dat de Autoriteit Persoonsgegevens gemiddeld erg hoge boetes uitdeelt aan vooral bedrijven. De AP valt in de middenmoot als het gaat om de hoeveelheid uitgedeelde boetes. Daarin zit veel verschil tussen landen.
De AVG, in Europees verband de General Data Protection Regulation of GDPR, is van kracht sinds 2016. Sinds 25 mei 2018 wordt de wet gehandhaafd door toezichthouders, en dat betekent dat er boetes kunnen worden uitgedeeld voor overtredingen. Een bedrijf kan de AVG op meerdere manieren overtreden, bijvoorbeeld door geen geldige reden te hebben om gegevens in de eerste plaats te verzamelen, maar ook omdat het zich bijvoorbeeld niet aan de bewaartermijn houdt of omdat het toezichthouders te laat informeert over een datalek.
Data
Tweakers bekeek de boetes die zijn uitgedeeld in de verschillende EU-landen waar de AVG van toepassing is. Daarvoor maakten we gebruik van verschillende databronnen, maar wel met de kanttekening dat de gegevens daardoor mogelijk niet helemaal volledig zijn. Er is namelijk geen centrale database van AVG-boetes, ook niet van de European Data Protection Board, het samenwerkingsverband van toezichthouders. Dat verwijst naar de individuele toezichthouders, maar ook die hebben vaak geen open data beschikbaar en verwijzen naar lijsten met publicaties waar ook bijvoorbeeld persberichten tussen staan. Wel zijn er verschillende onafhankelijke websites die de boetes bijhouden, bijvoorbeeld de Enforcement Tracker of het Vlaamse DailyBits. Die laatste maakt gebruik van rss-feeds van verschillende toezichthouders, maar dat levert een incompleet overzicht op. Zo staan bijvoorbeeld de meest recente Nederlandse boetes, voor de PVV Overijssel en LocateFamily.com, niet in die overzichten. Mogelijk zijn er dus ook in andere landen boetes niet meegenomen die wel zijn uitgedeeld.
Sommige boetes worden niet openbaar gemaaktSommige boetes die wel zijn uitgedeeld, zijn bovendien niet openbaar. Zo heeft de Autoriteit Persoonsgegevens drie boetes opgelegd die niet openbaar zijn. Dat kan bijvoorbeeld zijn omdat de ontvanger via de rechter anonimiteit heeft afgedwongen. Ook in andere landen zijn boetes mogelijk niet openbaar gemaakt. In Nederland gebeurde dat tot nu toe drie keer.
Tot slot hanteren toezichthouders verschillende begrippen van boetes, waarschuwingen, en lasten onder dwangsom. In Nederland stelt de Autoriteit Persoonsgegevens zelf bijvoorbeeld dat het in november 2018 een AVG-boete heeft gegeven aan Uber, maar technisch gezien was dat geen AVG-overtreding. Die vond namelijk plaats in 2016 toen de AVG in Nederland nog de Wet bescherming persoonsgegevens was. De websites die boetes bijhouden nemen daarnaast vaak twee andere zaken mee dan boetes: lasten onder dwangsom, en schadevergoedingen. In Nederland is één last onder dwangsom van 50.000 euro geïnd bij verzekeraar Menzis. Er zijn nog nooit schadevergoedingen opgelegd door de Nederlandse privacytoezichthouder.
In dit overzicht hebben we alleen boetes meegenomen die openbaar zijn en waarvan het bedrag en de overtreding dus bekend is gemaakt.
Eerste boetes
De Autoriteit Persoonsgegevens deelde in juni 2019 de eerste Nederlandse AVG-boete uit. Het ging om een boete van 460.000 euro voor het Haagse HagaZiekenhuis. Medewerkers konden daar makkelijk in patiëntendossiers kijken en deden dat ook. De boete kwam op een moment dat veel andere landen ook begonnen met het uitdelen van hun eerste AVG-boetes. Een handvol landen begon daar medio en eind 2018 al mee, maar de meeste deden dat halverwege 2019. Daar is Nederland dus heel gemiddeld in.
Dat is in lijn met wat de privacytoezichthouder daar eerder zelf over zei. Voorzitter Aleid Wolfsen zei vorig jaar in een interview met Tweakers dat het eerste jaar van de wet bewust was bedoeld om 'het accent te leggen op informatievoorziening, voorlichting en bijsturen'. "Het tweede jaar jaar hebben we meer invulling gegeven aan de handhaving", zei Wolfsen.
Land
Eerste boete
België
Mei 2018
Portugal
Juli 2018
Oostenrijk
September 2018
Tsjechië
Oktober 2018
Duitsland
November 2018
Bulgarije
December 2018
Frankrijk
Januari 2019
Malta
Februari 2019
Noorwegen
Maart 2019
Polen
Maart 2019
Italië
April 2019
Litouwen
Mei 2019
Nederland
Juni 2019
Spanje
Juni 2019
Roemenië
Juni 2019
Griekenland
Juli 2019
Letland
Augustus 2019
Zweden
Augustus 2019
Cyprus
Oktober 2019
Groot-Brittannië
December 2019
IJsland
Maart 2020
Denemarken
Maart 2020
Ierland
Mei 2020
Finland
Mei 2020
Estland
December 2020
Aantal boetes
Nederland heeft relatief weinig boetes uitgedeeld in vergelijking met andere landen, maar er zit veel verschil in de cijfers. Tot nu toe deelde de AP twaalf boetes uit. Drie daarvan zijn niet openbaar. Daarvan is dus niet bekend aan wie ze zijn uitgedeeld, en hoe hoog die zijn. Opvallend is wel dat de laatste vier boetes van de AP kort op elkaar volgden en recent zijn uitgedeeld. Booking.com, de gemeente Enschede, de PVV Overijssel en sinds vandaag LocateFamily.com kregen hun boetes in de afgelopen anderhalve maand.
Met name door die laatste vier besluiten komt het aantal Nederlandse AVG-boetes iets bovengemiddeld uit als je kijkt naar het totale aantal Europese boetes. Veertien landen deelden méér boetes uit, dertien juist minder. Daarbij valt op dat veel van die laatste landen vooral kleine landen zijn. De drie Baltische staten, Slowakije, IJsland en Malta zitten daartussen. Ook opvallend is ook dat in Groot-Brittannië nog maar vier boetes zijn uitgedeeld, maar daar zit dan wel een boete bij van 22 miljoen euro, gelijk een van de hoogste in Europa tot nu toe.
Er zit erg veel verschil in hoeveel boetes Europese landen uitdelen. Een aantal kleine landen zoals Malta heeft maar een enkele of een handvol boetes uitgedeeld, in veel gevallen minder dan tien. Maar grotere landen delen tientallen boetes uit. België gaf er al 25, Duitsland 30 en Italië 72. Spanje spant de absolute kroon met 221 verschillende boetes, waarvan de hoogste meer dan acht miljoen euro bedroeg.
Hoogte van boetes
Waar Nederland echt met kop en schouders boven de rest uitsteekt, is met de hoogte van boetes. Tot afgelopen dinsdag waren die stuk voor stuk opvallend hoog. Dinsdag kreeg de PVV Overijssel een boete van 7500 euro. Vóór die boete lag de laagste Nederlandse boete op 440.000 euro voor het OLGV-ziekenhuis in Amsterdam. Wel verlaagde een rechter een eerdere boete van 460.000 euro voor het HagaZiekenhuis naar 350.000 euro omdat de AP volgens de rechtbank te streng had geoordeeld.
Dat de AP streng kijkt, bevestigen de cijfers. De boetes lopen, op die aan de PVV na, uiteen van 440.000 tot 830.000 euro, en hoewel die laatstgenoemde niet tot de top vijf van hoogste boetes in Europa behoort, lijkt het gemiddelde dat wel te zijn. Zonder de PVV-boete erbij bedroegen de boetes van de AP gemiddeld 572.500 euro. Ook werd een keer een last onder dwangsom geïnd bij een zorgverzekeraar die na een waarschuwing de beveiliging van gegevens niet verbeterde. In België ligt de hoogste boete op 600.000 euro.
Geïnde last onder dwangsom voor te veel toegang tot medische gegevens
Slechts zeven landen deelden hogere boetes uit dan Nederlands hoogste. Dat waren bijzondere uitschieters: Frankrijk gaf bijvoorbeeld een boete van 100 miljoen euro aan Google, en een Duitse toezichthouder deelde 35 miljoen euro boete uit aan H&M.
Maar wat nog veel meer opvalt dan de hoge boetes zijn de lage boetes. Tot dinsdag deed Nederland daar vrijwel niet aan. De Nederlandse privacywaakhond pakte in de afgelopen jaren alleen nog relatief grote bedrijven of instanties aan om vervolgens met één megaboete een signaal af te geven aan andere sectoren. Dat is niet te vergelijken met andere landen. Vrijwel iedere andere nationale toezichthouder heeft wel een of meerdere boetes uitgedeeld aan individuen of aan kleine verenigingen of organisaties, van lage bedragen.
Neem België als voorbeeld. Daar gaf de Gegevensbeschermingsautoriteit vorig jaar in november een boete van 1500 euro aan een particulier stel omdat die beveiligingscamera's aan hun huis hadden gehangen waarmee ze de openbare weg filmden. Daarmee hoopte de toezichthouder 'burgers wakker te schudden'. De GBA wilde er een signaal mee afgeven dat de AVG niet alleen van toepassing is op bedrijven maar ook op individuele burgers.
Andere voorbeelden komen uit Estland, waar de Andmekaitse Inspektsioon een boete van 48 euro gaf aan een individuele politieagent voor het ongeoorloofd bekijken van het dossier van een bekende, of uit Oostenrijk waar een man 150 euro boete kreeg voor het maken van beelden van een vrouw op een toilet. In Hongarije kreeg Google geen boete, maar moest het bedrijf wel 28 euro schadevergoeding betalen na een uitspraak van de Nemzeta Adatvédelmi és Információszabadság Haóság.
In Nederland is dat tot nu toe nog niet gebeurd. De laagste boete was tot gisteren nog steeds hoger dan de hoogste boete in zestien andere Europese landen.
De boete voor de Overijsselse PVV is mogelijk een keerpunt in het boetebeleid van de Autoriteit Persoonsgegevens. Daarmee laat de privacywaakhond zien dat het bereid is ook lagere boetes te geven voor relatief kleine overtredingen, maar of dat de nieuwe koers gaat worden moet nog blijken. Volgende week spreekt Tweakers met AP-voorzitter Aleid Wolfsen over onder andere de boetes die tot nu toe zijn uitgedeeld.
Alle content op Tweakers is gratis voor iedereen toegankelijk. Het enige dat we van je vragen is dat je de advertenties niet blokkeert, zodat we de inkomsten hebben om in Tweakers te blijven investeren. Je hoeft hierbij niet bang te zijn dat je privacy of veiligheid in het geding komt, want ons advertentiesysteem werkt volledig zonder thirdpartytracking.
Bekijk onze uitleg hoe je voor Tweakers een uitzondering kunt maken in je adblocker.
Ironisch om een artikel over de AVG te lezen op Tweakers.net omdat Tweakers.net zelf zich nota bene niet aan de AVG houdt: Als je inlogt zonder account, heb je niet de keuze om niet-noodzakelijke cookies te weigeren.
Ik heb de privacy-verantwoordelijke van het moederbedrijf aangeschreven en ik kreeg een standaard email terug dat ze eraan werken - Al een half jaar geleden. Kwalijke zaak
Dit klopt inderdaad. Voor de duidelijkheid, het probleem is niet "heb je niet de keuze om niet-noodzakelijke cookies te weigeren", maar "kun je niet zonder negatieve gevolgen weigeren je toestemming te geven voor de verwerking van je data". De negatieve gevolgen zijn: 1) geen toegang tot de site of 2) je moet betalen voor je privacy rechten.
Echt beschamend dat een bedrijf zoals Tweakers nou net zich niet aan de regels houdt. Bij sommige bedrijven die zich er niet aan houden heb ik er nog oprecht begrip voor dat ze de technische know-how niet hebben om de GDPR juist te implementeren en dan maar lui een net-niet-juiste standaardoplossing nemen. Niet dat dat okay is, maar wel te begrijpen. Tweakers echter heeft alle technische know-how om het wel correct te implementeren en heeft geen enkel excuus om dit te doen.
En trouwens, voor iedereen die voor zichzelf wilt checken hoe GDPR werkt: Grote aanrader is de uitleg van de UK overheid (ja, technisch gezien is dat een kopie van de GDPR van 5 maanden geleden, maar goed, op het moment nog hetzelfde): https://ico.org.uk/for-or...otection-regulation-gdpr/ Dit is veruit de beste uitleg die ik heb gezien buiten de GDPR zelf te lezen (hij is goed leesbaar!).
Simpele versie van wat ieder bedrijf moet doen: Jouw presenteren met een lijst (!!!) van dingen die ze met jouw personal data (=alles wat te herleiden is tot jouw, dus postcode+leeftijd kan al personal data zijn) willen doen. Bij ieder item aangeven of ze die verwerking willen doen op basis van een bepaalde grondslag. De twee belangrijkste zijn: Legitimate interests (=praktisch gezien opt-out, maar moet veel zwaarder worden gerechtvaardigd door het bedrijf) of Consents (=praktisch opt-in, praktisch geen limieten). En laatste belangrijke zaak is dat toestemming terugtrekken net zo makkelijk moet zijn als toestemming geven.
---
Hoe dan ook: Goede zaak dat er meer en meer GDPR boetes worden gegeven en hoop dat ze ook zoals in het buitenland middelgrote partijen boetes gaan geven 👍 . Heb haast het idee dat Tweakers dit artikel heeft geschreven om te kijken hoe groot het risico is dat ze gepakt worden 🤔😅 . Zit de laatste tijd te spelen met het idee om een custom adblocker te maken die zich zou baseren op een lijst van websites die GDPR niet eens proberen correct te implementeren. Het zou redelijk veel moderatietijd kosten, maar het zou zowel wettelijk als ethisch te rechtvaardigen zijn en het zou druk kunnen uitoefenen op bedrijven.
[Reactie gewijzigd door David Mulder op 13 mei 2021 10:28]
Die lezing staat haaks op de lezing van het European Data Protection Board (EDPB) die ook in een officiële richtlijn ter interpretatie gepubliceerd is. Het EDPB ziet bijkomende betalingskosten bij het niet verlenen van toestemming als een negatief gevolg waardoor er niet langer sprake is van vrijelijk gegeven toestemming.
De AP zit hier dus fout.
Het is wachten totdat één van de andere lidstaten krachtens AVG artikel 65 lid 1c het EDPB verzoekt een bindende uitspraak te doen inzake haar eerdere advies, waarna de AP verplicht is zich daar naar te voegen.
[Reactie gewijzigd door R4gnax op 13 mei 2021 12:53]
Maar zoals je zelf aangeeft gaat ook dat om een interpretatie. De AP en de EDPB hebben dus een verschillende interpretatie van dezelfde richtlijn. Wie gelijk heeft, daar zal uiteindelijk alleen een rechter over kunnen oordelen. En tot dat een rechter beslist dat de interpretatie van de AP foutief is, is er niets mis met het volgen van die interpretatie door een onderneming in Nederland.
Maar zoals je zelf aangeeft gaat ook dat om een interpretatie. De AP en de EDPB hebben dus een verschillende interpretatie van dezelfde richtlijn. Wie gelijk heeft, daar zal uiteindelijk alleen een rechter over kunnen oordelen. En tot dat een rechter beslist dat de interpretatie van de AP foutief is, is er niets mis met het volgen van die interpretatie door een onderneming in Nederland.
Nee. Dat is het hem juist.
De AVG/GDPR heeft een compleet hoofdstuk aan wetsartikelen aan boord wat bedoeld is om coherente applicatie van de wet over de gehele Unie te bevorderen, zo niet af te dwingen. En de EDPB is de bij wet bevoegde autoriteit die een bindende uitspraak doet bij een geschil inzake aangelegendheden van algemene strekking (engelse tekst: any matter of general application) - dus ook inzake de correctheid van de interpretatie van deze wet. (Art 64 lid 2; Art 65 lid 1c)
Het is sowieso opmerkelijk dat de AP hier haar eigen lijn trekt, want alle nationale autoriteiten houden zetel in de gezamelijke EDPB. Het is letterlijk een koepelorganisatie.
[Reactie gewijzigd door R4gnax op 13 mei 2021 19:18]
Hier moet een onderscheid in zitten, dat kan gewoon niet anders: als mijn verzekeraar, supermarkt, internet provider, etc., geld gaat eisen voor trackingvrije toegang, dan heb je helemaal gelijk en verwacht ik stevig optreden. Als een nieuwssite een vorm van betaling vraagt voor haar product, naar keuze geld of tracking, dan moet dat mogen.
De proportionaliteit zit 'm erin of 't bij de primaire functie van de site past, of niet. Daarom ligt het ook anders voor de publieke omroep dan voor de commerciëlen: informatie en entertainment betaald door de overheid, of betaald door de bezoekende gebruiker.
Daarbij zien we in Europa ook vaak dat een partij in principe maar van één kant betaald kan krijgen: een makelaar of verhuursite mag niet betaald worden door verkoper én koper, verhuurder én huurder. We achten het belangrijk zo te weten wie nu echt de broodheer is. (Daar is AirBnB onlangs nat gegaan.)
Voor het nieuwsdeel heeft Tweakers dus sowieso alle recht dit te doen en een duidelijke noodzaak. Diverse andere delen van de site gaan een grijs gebied in. De pricewatch vind ik het meest dubieus, want dat is toch info die hoofdzakelijk door de opgenomen partijen wordt betaald. Waarom 'betaal' ik nogmaals?
Als een nieuwssite een vorm van betaling vraagt voor haar product, naar keuze geld of tracking, dan moet dat mogen.
Je kunt prima advertenties hebben zonder tracking.
En het simpele argument waarom 'negatieve gevolgen van het type "geef ons geld"' absoluut niet mogen is simpelweg dat je anders toch terug kunt naar een cookiemuur met "Geef ons een miljoen euro of klik 'accepteer'". Denk dat dat voorbeeld absoluut duidelijk maakt dat dat geen vrije keuze is, en de AVG gaat juist erom dat de keuze vrij moet zijn. En ja, een miljoen euro voor jouw of mij is als 1 euro voor iemand zonder geld. Privacy onder de AVG is een Recht, niet een luxe die je van Tweakers.net moet kopen.
Hier moet een onderscheid in zitten, dat kan gewoon niet anders: als mijn verzekeraar, supermarkt, internet provider, etc., geld gaat eisen voor trackingvrije toegang, dan heb je helemaal gelijk en verwacht ik stevig optreden. Als een nieuwssite een vorm van betaling vraagt voor haar product, naar keuze geld of tracking, dan moet dat mogen.
Niet volgens de EDPB. Zij stellen dan indirect dat de tracking keuze of vrijwillig moet zijn (dus optioneel en ook toegang zonder toestemming) of dan maar niet geboden moet worden en er met enkel een paywall gewerkt moet worden.
Of je het daar mee eens moet zijn is een tweede natuurlijk.
Behalve dat er meningsverschillen zijn tussen toezichthouders over dat ene specifieke punt zie je iets anders over het hoofd. De AP heeft de rechtmatigheid van de oplossing van Tweakers niet onderzocht. Die uitleg die je noemt gaat in op de vraag of een cookiewall kan leiden tot vrije toestemming, maar er zijn meer voorwaarden om aan te voldoen. In dit forum topic heb ik een poging gedaan om ook aan andere voorwaarden te toetsen waar toestemming onder de AVG aan moet voldoen. DPG Media voldoet naar mijn mening duidelijk niet aan de AVG op enkele van deze punten op de Tweakers site.
Ik reageer hier omdat ik het belangrijk vind om de misvattingen over cookiemuren op te helderen, maar ik vind het wat ongemakkelijk om Tweakers redacteurs aan te spreken op beleid van Tweakers en (vooral) DPG Media.
Tweakers is geen zelfstandig bedrijf. In het geval van het cookiebeleid zijn ze afhankelijk van DPG media.
DPG media is eigenlijk de partij die maakt dat Tweakers.net niet volledig aan de eisen van de AVG kan voldoen.
In de ogen van da AP is het aanbieden van een betaalde optie waarmee de tracking-optie wel uitgeschakeld kan worden overigens voldoende.
Tweakers.net heeft daar niet alle zeggenschap over, maar moederbedrijf DPG (en daarmee gelijk tweakers.net) zou zich gewoon aan de wet moeten houden. Of Tweakers zich wel of niet volledig aan de wet houdt is nu niet eens duidelijk. De AP interpreteert de AVG wat soepeler dan anderen.
Wellicht omdat het een vrije dag is, maar de stilte van Tweakers omtrent deze reactie vind ik vaak iets zeggen over ze er over denken. Maar ben wel benieuwd naar een eventuele reactie....
Ontopic; dat is inderdaad een hele kwalijke zaak....niet omdat ze er nog aan werken en dat dat al te lang duurt...maar dat een site die zich richt op technologie eigenlijk voorop zou moeten lopen met dit soort dingen....of op zijn allerminst snel meelopen, maar nooit achter lopen......
Het is heel logisch dat ze er stil over zijn, ze gaan er immers gewoon niet over. Tweakers is van de Persgroep en die maken hier de beslissing over, kan je lastig de gewone medewerker van Tweakers aanrekenen.
Ik reken het niet de gewone medewerker aan, ik reken het Tweakers aan. Eind verantwoordlelijk of niet, ze hebben toch op zijn minst het plan cq. antwoord cq. reden van vertraging?
Overigens afhankelijk van de randvoorwaardes, weet ik niet of ik het met je eens ben; Tweakers kan zijn expertise toch gebruiken om te faciliteren, of om voortouw te nemen, of wat dan ook....want hoe je het ook wendt of keert, het komt niet goed over dat een site als Tweakers, voor welke reden dan ook, dit niet op orde heeft....dat is toch geen punt van discussie?
[Reactie gewijzigd door yvez op 13 mei 2021 11:04]
Ik ben slechts redacteur dus ik heb maar zoveel in de melk te brokkelen als het om deze beslissingen gaat. Ik kan wel weer verwijzen naar de tientallen forumtopics die hierover lopen waarin we onszelf hierover verantwoorden, waar we concreet mee bezig zijn, wat de relatie met DPG daarin is en blablabla, maar het is een beetje overdone om dat onder ieder artikel over privacy te moeten doen. Dit artikel gaat over AVG-boetes en onze nationale toezichthouder, niet over Tweakers. De reden dat ik weinig zin heb om te reageren op comments over onze cookiewall is niet omdat ik vrij heb maar omdat ik het off-topic vindt en het jammer vindt dat de reacties op dit artikel dan niet over het artikel gaan.
Fair enough. Niet iedereen zit veel op het forum, zoals ik. Dus ipv deze reactie die jou blijkbaar negatieve energie kost, kun je ook een linkje naar die vele topics plaatsen.
De verwijzing naar het forum is al gegeven door een mede-tweaker, maar nog even voor de volledigheid: hoe wij hier tegenaan kijken is inderdaad in het topic We passen de cookiewall aan en maken abo's trackingvrij terug te lezen (zie ook de gepinde reacties). In een notendop: onze juridische afdeling is van mening dat we met het aanbieden van een trackingvrij abonnement (als alternatief voor het accepteren van cookies) een keuzemogelijkheid bieden waardoor de gebruiker zijn toestemming 'vrijelijk' kan geven. Zelf vinden we dit ook geen ideale oplossing, maar omdat we het technisch nog niet voor elkaar krijgen om advertenties trackingvrij te serveren, is het een tussenstap. Met als uiteindelijke doel: een trackingvrij Tweakers voor iedereen (ongeacht of je een abonnement hebt). Updates daarover plaatsen we in het genoemde topic.
[Reactie gewijzigd door jelle. op 13 mei 2021 18:53]
Ik snap je sentiment, maar ik zou niet weten waarom een platform als Tweakers daar dan niet over mag berichten in dit geval. Ze uiten geen mening of ze het wel of niet eens zijn met de boetes, of de AVG zelf. Ze brengen nieuws. Met die redenatie zouden ze over heel veel onderwerpen geen nieuws mogen maken. Extreem gechargeerd: "Geen nieuws over Mars rovers, omdat ze er zelf geen één hebben rijden"
Het topic is lang en er is veel over gesproken, maar de conclusie is dat het Tweakers niks boeit en dat ze DPG achter aan huppelen. 'De juristen hebben het uitgezocht en daarmee basta'. Geen eigen mening, geen tegengas, niks. Naar wat ik begreep zijn er al brieven naar de Nederlandse autoriteit gestuurd, heck er zijn zelfs aanbiedingen geweest van mensen op het forum om te helpen (gratis een commerciële partij helpen).
Ze hadden beter de oude cookie wall kunnen gebruiken, hoewel slecht minder slecht dan de huidige implementatie.
Als er een statement komt vanuit Tweakers, zal deze net zoals in het topic ontwijkend en verschuilend zijn achter DPG.
Aangezien Tweakers een ander publiek heeft dan de rest van de DPG groep heeft het vele langer geduurd voordat ze hier een oplossing hadden voor de cookiewall, eentje waarmee alle partijen tevreden zijn. Stellen dat ze geen tegengas geven is dus niet correct, dan hadden ze al veel eerder hetzelfde principe kunnen toepassen als op de anderen sites van DPG.
En hoezo was de oude cookiewall beter? Die bood je minder opties dan vandaag. Daar was het ofwel cookies aanvaarden ofwel geen toegang tot de site. Vandaag is er een keuze bijgekomen doordat je trackingvrij de site kunt bezoeken als je een abbonement afneemt. Ik zie echt niet in hoe minder keuze, minder opties beter is dan meer.
Tja en als je je even inleest weet je heel goed dat dat verboden is. Je mag de toegang niet ontzeggen door de gebruikers te verplichten te betalen met zijn data. Dus of je maakt de site open en gratis en geeft de gebruiker een keuze om alles behalve de noodzakelijke cookies te weigeren en niet de extra trackers te forceren. Of je maakt de gehele site ontoegankelijk voor niet-betalende gebruikers.
De hoeveelheid opties doet er dan ook totaal niet toe. Het gaat om DE opties die aangeboden worden.
Maar goed, wat betreft het publiek. Dat maakt toch geen moer uit? Zou dat een reden mogen zijn om je cookiewall ten eerste jaren lang achter te laten lopen, om vervolgens een halve wall in te bouwen die niet eens rechtsgeldig is? Juist op een site als Tweakers verwacht je dat alles tip-top geregeld is met de laatste regeltjes.
Hoe kun je inloggen zonder account? Dat is in mijn ogen een Contradictio in terminis (om dat woord eens te gebruiken)
Dat was wss. verkeerd verwoord. Ik gok dat er inloggen zonder abonnement bedoeld wordt. Je moet inloggen met een account waar een betaald abo aan gekoppeld zit en dan heb je schijnbaar ergens de optie om advertenties (en daarmee ook tracking) uit te schakelen.
Het is dus niet eens als daadwerkelijke of-of keuze in de cookiewall geimplementeerd, als ik het goed begrijp - waarmee de situatie zich enkel maar dieper in juridisch grijs gebied begeeft.
[Reactie gewijzigd door R4gnax op 13 mei 2021 19:24]
Het is wel degelijk een of-keuze. Als je Tweakers bezoekt kun je ervoor kiezen om alle cookies te accepteren óf een trackingvrij abonnement af te sluiten. Kies je voor dat laatste dan worden er geen trackingcookies geplaatst gedurende de checkout. Zodra je het abonnement hebt afgesloten, worden automatisch de advertenties (en dus trackingcookies) uitgeschakeld. Voor trackingcookies in embedded content kun je vervolgens, indien gewenst, toestemming geven.
Er is inderdaad ook een optie om direct in te loggen, bedoeld voor gebruikers die bovenstaande keuze al hebben gemaakt (dat is dan gekoppeld aan hun account).
Ik vind het ook wel buiten-proportioneel die boetes van ze. Volgens mij heeft het haga ziekenhuis wel steken laten vallen, maar zijn ze niet doelbewust de privacy van mensen gaan schenden. Omdat er ook zo weinig bedrijven gepakt worden doet het ook erg denken aan willekeur en publieke straffen om anderen af te schrikken.
Is dat naar jou idee heel anders met de rest van het Nederlandse beleid? Naar mijn idee zijn zat boetes veel te hoog en de pakkans te laag. Kijk bijvoorbeeld bij door rood rijden, een enkeling krijgt een bon en 'half Nederland' doet het. Zou je echter 90% pakkans hebben bij rood rijden dan zou dat wellicht snel veranderen.
Hoewel ik zelf vaak die persoon ben, ben ik wel voorstander van meer trajectcontroles.
Het enige probleem er mee is dat de snelheidsverschillen zo klein zijn dat men steeds dichter op elkaar gaat rijden. Op de A2 in de spits zit er soms amper een autolengte tussen. Dat gaat goed, totdat het niet goed gaat en dan gaat het direct heel goed fout. Je ziet daar dus ook relatief vaak serieuze ongevallen.
Ik hou me doorgaans gewoon aan de vmax, maar im heb een grafhekel aan trajectcontrole, inderdaad wegens het verkeersbeeld.
Normaal boeit het me niet zo als mensen me inhalen, maar die paar honderd meter voor begin controle is gewoon irritant, zeker omdat ik op het comtroletraject vaak harder rijd dan de auto die me net zo nodig nog even voorbij moest...
Tenzij er een rood licht camera bij staat...
Verder hoor ik dan blijkbaar tot die andere helft, met 1 uitzondering: Als de detectielus niet op mijn motor reageert en er is nauwelijks verkeer.
Dat van het Haga zie je ook wel aan de uitspraak van de rechter. Die vond de AP ook veel te hard. Je hoort het tussen de regels door ook wel van veel juristen, dat de AP sommige AVG-begrippen streng uitlegt. Bijvoorbeeld ook over locatiegegevens, en over 'gerechtvaardigd belang'.
Ik vind ze eigenlijk bijzonder proportioneel. Veel bedrijven en instellingen zien deze boetes als een kostenpost om hun gedrag niet te verbeteren in plaats van als straf. Dat ziekenhuis heeft die boete dubbel en dwars verdiend, xulke incompetentie als bij het Haga kun je lastig als excuus gebruiken, vind ik. Er is door medewerkers van het ziekenhuis actief en doelbewust de privacy geschonden, en de algemene reactie leek te zijn dat het wel vaker gebeurde. Als zoveel van je medewerkers zo slecht bezig zijn, ben je als bedrijf verantwoordelijk.
Dat een ziekenhuisgroep met een omzet van bijna een miljard huilie-huilie gaat doen in het nieuws en durft te stellen dat zoiets "ten koste gaan van de zorg" maakt het verhaal alleen maar erger. Het lijden van patiënten verwijten aan de instantie die ze een boete heeft gegeven voor hun falen is giftig en gewoonweg slecht. Ik snap niet hoe Carla van de Wiel 's nachts rustig slaapt als ze zulke uitspraken durft te doen in de media.
De ogenschijnlijke willekeur komt doordat het kabinet het AP wil uitschakelen omdat het hun wetgeving in de weg zit, onder andere door een incompetente beunhaas aan de top te zetten die veel goede, hoge medewerkers heeft doen vertrekken. Wat mij betreft schrijft het AP inderdaad beter wat meer boetes uit, maar de hoogte mag van mij hetzelfde blijven.
Wauw, het verschil van aantal boetes Spanje ten opzichte van de rest is echt enorm.
Is dit omdat het in Spanje vaker voorkomt/meer meldingen worden gemaakt, of dat er meer capaciteit voor handhaving is en dus ook meer kleine boetes gegeven worden? Of een combinatie?
[Reactie gewijzigd door paralyz3 op 13 mei 2021 09:39]
Terecht. Gewoon iedereen aanpakken en lekker geld binnenharken als het kan. Men had die kosten ook upfront kunnen maken om wel netjes compliant te zijn.
Het is wachten op de dag dat tweakers/DGP er eentje krijgt vanwege de cookiewall. En wat zeggen we dan? “Told you so”?
Men weet dondersgoed wat de gevaren zijn en ook dondersgoed wat men moet doen om het te voorkomen (hoewel daar soms wat ambigu over bestaat), maar toch hebben we hier al drie jaar een cookiewall hier die niet compliant is.
En ja er zijn verbeteringen en tests met andere opties in die cookiewall, maar dit had in 2018 gewoon geregeld moeten zijn.
Inderdaad is er een gebrek aan capaciteit om te handhaven. Onder Rutte zijn er overheidsorganisaties die moeten handhaven verder uitgehold. Denk aan NVWA, politie.
Organisaties zoals de NVWA moeten het daarom ook hebben van het piepsysteem waarbij pas actie volgt als er klachten worden gemeld. Kijk eens naar het volgend voorbeeld waarbij spoorwerkers lange tijd zijn blootgesteld aan gevaarlijke stoffen:
Ik meen te herinneren dat de Spaanse toezichthouder de boetes mag gebruiken voor zijn eigen budget, dat zou dat grote aantal kunnen verklaren. Ik heb geprobeerd dat te verifiëren maar kon het niet zo direct terugvinden (geef m'n gebrekkige Spaans ook maar de schuld!), ik zag er alleen anekdotes over. Daarom heb ik het ook niet in het stuk geschreven.
Een boete doet een bedrijf pijn, zeker. Maar reputatieschade kan nog veel grotere impact hebben. Door bedrijven links te laten liggen die willens en wetens onzorgvuldig zijn, wordt snel genoeg het belang ingezien. Wat dat betreft hebben we als burgers ook “macht” en hoeven we niet alleen maar naar de AP te kijken.
Dit gaat niet altijd op (bijvoorbeeld in het geval van een ziekenhuis), maar voor het bestellen van kabeltjes zijn er voldoende alternatieven.
Dat werkt in de praktijk toch niet.
Mensen trekken zich nergens iets van aan. Kinderarbeid, uitbuiting, sexuele malversaties, fraude, datalekken.
Zodra er een leuke korting is....
Ik weet dat dit niet de strekking is van verhaal, maar als je simpele regels al niet eens na kunt laten leven bij bedrijven, hoe ga je dan als organisatie ooit serieurs over komen? Bovenstaand is slechts één voorbeeld. Als ik een dagje ga browsen dan heb ik zo een gigantische lijst bij elkaar met bedrijven die regels niet naleven.
Hoe kun je een organisatie als AP nou series nemen als het handhaven van overtredingen (die iedereen zo kan vinden) niet gehandhaafd wordt?
De hele bedoeling van de wetgeving rondom cookies was natuurlijk dat bedrijven zouden stoppen met het plaatsen van tracking cookies. In plaats daarvan hebben ze het probleem bij de gebruiker neergelegd.
Het hele verhaal laat naar mijn vermoeden vooral zien welke harde keuzes de AP moet maken: ze gaan alleen achter de heftige zaken aan. Zelfs voor laaghangend fruit is niet of nauwelijks tijd.
Auteur probeert een conclusie te suggereren dat onze AP gelijke zaken als in het buitenland harder bestraft, maar onderbouwt die totaal niet. Dan moet je echt in de inhoud van de zaken duiken en in de keuzes die de diverse landelijke AP's (al dan niet gedwongen) maken.
Dat was een last onder dwangsom die werd geïnd, dus geen boete. Ik heb me bewust gericht op daadwerkelijke boetes omdat het uit de beschikbare data moeilijk te achterhalen is hoeveel lasten onder dwangsom toezichthouders opleggen en hoeveel daarvan vervolgens worden geïnd.
Wat ik vooral nog mis in dit artikel is eigenlijk het aantal boetes per x miljoen inwoners. Je kan al aan de grafiek zien dat het niet per de per grootte van elk land meer of minder boetes zijn maar een ‘genormaliseerde’ vergelijking lijkt mij kwalitatief beter. Tenslotte betekent meer inwoners vaak ook meer bedrijven en dus meer kans op overtredingen van bedrijven of particulieren.
Het hangt bijv ook af van de hoofdkantoren die in een land zijn gevestigd, zoals Google en Facebook in Ierland. Malta heeft weer heel veel online gokbedrijven. Dus een vergelijking tussen inwoners en bedrijven geeft ook niet altijd een juist beeld
De basis voor (een deel van) de boete voor de KNLTB is overigens m.i. zeer wankel, gegeven de uitkomst van de - niet in het lijstje genoemde - boete voor VoetbalTV waar de Rechtbank Midden-Nederland een streep door heeft gezet.
De AP lijkt niet op één lijn te zitten met de overige Europese toezichthouders wat betreft de invulling van de verwerkingsgrond gerechtvaardigd belang. Dat aan deze eigenzinnige uitleg zo veel tijd/handhaving wordt besteed is een wrange vorm van ironie, aangezien er honderden - wellicht tienduizenden - websites zijn die overduidelijk de AVG overtreden met hun cookiebeleid waarop je heel makkelijk zou kunnen scoren als - de blijkbaar onderbezette - AP, zonder vrees voor een succesvol beroep.
De boete aan de tennisbond is vorig jaar maart uitgeschreven.
Toen was de berichtgeving dat de tennisbond in beroep zou gaan. Weet iemand wat daar uit is gekomen? Hebben ze daadwerkelijk betaald, is het beroep nog gaande of is de boete verlaagd?
Niet op een lijn zitten met andere landen lijkt me niet snel relevant voor de eigen wetgeving. Het is in de situaties die je vergelijkt daarbij niet zo dat de toezichthouder van een ander land beoordeling doet. De richtlijn is voor de hele EU van toepassing, maar ieder land heeft eigen wetgeving, eigen handhaving, eigen rechters. Dan mag je verschillen verwachten, die zijn niet zomaar relevant.
Bij verschillende motivaties en organisaties zijn er daarbij in een land al ook verschil in redelijkheid mogelijk. Het is anders al snel appels met peren vergelijken. Dus waarom zou een eerder al gegeven boete volgens jou wankel zijn door een latere uitspraak over een voorgenomen boete voor een ander bedrijf? Als dat werkelijk zo wankel was, dan kan toch wel verwacht worden dat die na een jaar wel een beroep heeft gekregen?
Niet op een lijn zitten met andere landen lijkt me niet snel relevant voor de eigen wetgeving. Het is in de situaties die je vergelijkt daarbij niet zo dat de toezichthouder van een ander land beoordeling doet. De richtlijn is voor de hele EU van toepassing, maar ieder land heeft eigen wetgeving, eigen handhaving, eigen rechters. Dan mag je verschillen verwachten, die zijn niet zomaar relevant.
Bij verschillende motivaties en organisaties zijn er daarbij in een land al ook verschil in redelijkheid mogelijk. Het is anders al snel appels met peren vergelijken. Dus waarom zou een eerder al gegeven boete volgens jou wankel zijn door een latere uitspraak over een voorgenomen boete voor een ander bedrijf? Als dat werkelijk zo wankel was, dan kan toch wel verwacht worden dat die na een jaar wel een beroep heeft gekregen?
Ik denk dat meerdere punten in jouw post een reactie verdienen, maar voorop dien ik te stellen dat de AVG een verordening betreft, geen richtlijn. Ik zal je een les EU-recht besparen, maar de hoofdlijn die je mag onthouden is dat een verordening geen implementatie nodigt door haar directe werking en - althans in theorie - uniform wordt toegepast binnen de gehele EU. Er geldt voor deze verordening wel een bepaalde discretie voor de lidstaten - welke wij invullen middels de uAVG (uitvoeringswet AVG) - maar het blijft een verordening.
Daarnaast zit de AP - net als de overige toezichthouders - in de EDPB. De AP is de laatste keer dat ik er mee bezig was vice-voorzitter en penvoerder van de EDPB. De AP heeft - ondanks haar beperkte capaciteit - een niet te verwaarloosbare invloed op de wijze waarop de AVG wordt gehandhaafd in Europa. Dat gezegd hebbende, lijkt ze geisoleerd in haar positie t.a.v. de vraag of een zuiver commercieel belang als gerechtvaardigd belang mag worden gezien.
Ten aanzien van jouw vraag waarom een succesvol beroep tegen een boete invloed heeft op een andere boete, verwijs ik naar de uitspraak in de VoetbalTV zaak, waar de AP wordt verweten een eigenzinnige - zeer beperkte - interpretatie van het begrip gerechtvaardigd belang hanteert welke noch uit de AVG, noch uit enige interpretaties van de EDPB, lijkt voort te vloeien. Laat diezelfde interpretatie van gerechtvaardigd belang nou ook de basis vormen voor de KNLTB boete. De KNLTB heeft nu dus jurisprudentie om mee te slaan om de motivering van de AP voor (een deel van) de boete onderuit te halen.
Wat de huidige status is van het beroep is een vraag die ik graag zou willen beantwoorden, maar helaas tast ik daarover nog in het duister. Ik zou het persoonlijk funnest voor de rechtszekerheid vinden indien wij geen uitspraak van de rechter krijgen over de KNLTB zaak.
[Reactie gewijzigd door Gosukiller op 14 mei 2021 12:46]
Zie dat in België een boete van 1.500 euro uitgedeeld is aan een particulier omdat die de buren filmde. nieuws: België geeft eerste AVG-boete aan particulieren voor onterecht camera... Je ziet in Nederland ook steeds meer camera's die ook gericht zijn op de openbare weg. Dit mag volgens mij ook niet. Daarnaast zijn die camera deurbellen ook steeds meer te zien en die hebben een camera die ook naar voren filmen en dus meestal de openbare weg. Kan dat dan wel zomaar?
Ik lees op de site van de AP dat er toch best een grijs gebied is hierover. https://autoriteitpersoon...-bij-huis-en-bij-de-buren
[Reactie gewijzigd door tomvdlee op 13 mei 2021 10:33]
De openbare weg opnemen mag, maar alleen als het niet anders kan. Als je bijvoorbeeld het pad naar je voordeur met een camera wil beveiligen en daarbij een hoekje van de stoep meeneemt, kan dat vaak prima.
De hele straat opnemen met zo'n spionagedeurbel mag voor zover ik weet absoluut niet. Er is echter een pakkans van 0 en de politie moedigt het bijna actief aan omdat ze daarmee makkelijker bewijs kunnen sprokkelen.
Het wordt gewoon gedoogd. Het enige wat je kan doen is de mensen die je kent erop aanspreken als ze zo'n ding kopen.
Gokje gezien recente berichtgeving: weinig boetes vanwege capaciteitsgebrek en hoge boetes vanwege daaruit voortvloeiende noodzaak tot prioritering. Niks verrassends dus, maar wel interessant om de vergelijking te zien met andere landen.
Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.
Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.
Functioneel en analytisch
Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie.
Meer details
janee
Relevantere advertenties
Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht.
Meer details
Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.
Ingesloten content van derden
Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden.
Meer details