GDPR topic

[ubremoved_2964]

Met de komst van de GPDR maak ik een topic aan voor discussies rond de GPDR.

Mij interesseert vooral de consequenties van de GPDR op emailmarketing.

1. Gaan bedrijven die nu naar een hele berg [email protected] adressen sturen, voortaan niet meer mails mogen sturen zonder expliciete opt-in? Dat zou een berg spam nu wel besparen. Ik krijg gewoon veel te veel spam waar ik nooit voor gevraagd heb, en ik schrijf mij dan telkens uit. Zo weten ze uiteraard wel dat je een werkend email address hebt wat ook wordt opgevolgd.

2. Voor de eigen mailinglijst van mijn zaak, vermoed ik dat ik expliciet toestemming opnieuw ga moeten vragen aan mijn bestand om ze vanaf mei te mogen mailen?

Dit is nu een mix van:
- mensen die zich registreerden op de site
- mensen die ooit eens mij mailden met een vraag
- mensen die klant zijn

Moet ik bij al deze drie categorieën nu opnieuw toestemming gaan vragen? Of mag ik bestaande klanten zowiezo mailen?

[Sinna]

Punt 1 zal inderdaad de regel worden: generieke e-mailadressen ipv. op de man/vrouw af, tenzij je kan aantonen dat er al eerder communicatie was.

Punt 2 is een lastige. Op de opleiding tot DPO aan Howest geraken we er ook nog niet echt uit en geeft het voer voor veel discussies. Wat ik tot nu toe begrepen heb, is dat je niet altijd terug toestemming moet vragen, maar dit veiligheidshalve best wel doet, tenzij je kan aantonen dat er eerder al expliciet toestemming gegeven werd of dat er een gerechtvaardigd belang speelt (bv. een afgesloten contract).

Tot slot: aan deze reactie kunnen geen rechten worden ontleend. Ik heb gereageerd vanuit mijn huidige standpunt. Dat punt durft, met dank aan de opleiding, nog wat verschuiven.

[ubremoved_2964]

Volgens deze site zou mijn éénmanszaak (en elke firma onder de 250 werknemers) dus niet onder de GPDR vallen?

http://smallbusiness.co.uk/what-does-gd ... s-2538556/

In fact, Article 30 of the regulation declares that organisations with fewer than 250 employees will not be bound by GDPR – although there are several stipulations that we will come to that mean they probably still should.

Wie kan dit bevestigen of weerleggen?

[iceke]

Pfff, heel die GPDR zever hangt met haken en ogen aan elkaar... en dan bedoel ik niet de wet, maar het toepassen ervan.
Niemand weet wat er moet gebeuren, ook de "specialisten" niet, iedereen roept maar wat, maar echte richtlijnen zijn er amper, en degene die er zijn zij hoogst onduidelijk.
Het is precies een opbod aan regeltjes om het toch nog maar wat onduidelijker te maken.
Enfin, zo komt het bij mij toch over...

Persoonlijk ga ik me er vooral niet teveel van aantrekken en me indekken met een heleboel papierwerk.
https://www.privacycommission.be/sites/ ... -%20V2.pdf

Niet meer, maar ook niet minder wat er in die pdf staat dus.

[powaq]

Volgens deze site zou mijn éénmanszaak (en elke firma onder de 250 werknemers) dus niet onder de GPDR vallen?

http://smallbusiness.co.uk/what-does-gd ... s-2538556/

In fact, Article 30 of the regulation declares that organisations with fewer than 250 employees will not be bound by GDPR – although there are several stipulations that we will come to that mean they probably still should.

Wie kan dit bevestigen of weerleggen?

Je doet er best aan om wel compliant te zijn. Met een eenmanszaak, dus waarschijnlijk een relatief klein aantal contactpersonen, zal het al bij al nog wel meevallen.
Ik ben ook volop bezig met een bedrijf GDPR compliant te maken en het is inderdaad een warboeltje. Maar mensen hebben ook onnodig veel schrik van GDPR. Die monsterboetes komen er niet direct hoor, zeker niet als je aantoonbaar moeite doet om compliant te zijn.

[iceke]

Je moet me dan eens uitleggen hoe je GDPR compliant kan zijn of worden en waaraan je dat kan aftoetsen.

[ITnetadmin]

Kunnen we de typo in de titel mss aanpassen?

Het is en blijft de GDPR, General Data Protection Regulation.

[Sinna]

Volgens deze site zou mijn éénmanszaak (en elke firma onder de 250 werknemers) dus niet onder de GPDR vallen?

http://smallbusiness.co.uk/what-does-gd ... s-2538556/

In fact, Article 30 of the regulation declares that organisations with fewer than 250 employees will not be bound by GDPR – although there are several stipulations that we will come to that mean they probably still should.

Wie kan dit bevestigen of weerleggen?

Dat moet ik ontkennen! Enkel de aanleg van een dataregister is niet vereist voor bedrijven met minder dan 250 werknemers. Daar is tijdens de opleiding al verschillende keren op gehamerd. Ik probeer een volgende keer dit te staven adhv. de GDPR zelf.

[heist_175]

GDPR (...) emailmarketing.
1. Gaan bedrijven die nu naar een hele berg [email protected] adressen sturen, voortaan niet meer mails mogen sturen zonder expliciete opt-in? Dat zou een berg spam nu wel besparen. Ik krijg gewoon veel te veel spam waar ik nooit voor gevraagd heb, en ik schrijf mij dan telkens uit. Zo weten ze uiteraard wel dat je een werkend email address hebt wat ook wordt opgevolgd.
2. Voor de eigen mailinglijst van mijn zaak, vermoed ik dat ik expliciet toestemming opnieuw ga moeten vragen aan mijn bestand om ze vanaf mei te mogen mailen?

GDPR is enkel van toepassing op levende fysieke personen, dus geen doden en geen rechtspersonen.

1 -> Je mag nog wel mails sturen, ook naar info@. Sterker nog: vooral naar info@ en niet naar [email protected]
2. -> idem hierboven: als er rechtspersonen achter die mail adressen zitten (bvba Louis Michel Belgie), is GDPR niet van toepassing. Maar als het [email protected] is, zou ik suggereren die data maar 1 jaar bij te houden (te rekenen vanaf de datum dat je die data hebt).
TENZIJ
- je die data nodig hebt voor de verder uitoefening van uw contract
- je een expliciete consent (toestemming, instemming) hebt van de klant
Anders moet je de data verwijderen of anonimiseren.

Verwacht dus overal aangepaste algemene voorwaarden, die in elfendertig bladzijden kleine lettertjes toelichten dat je uw consent geeft om uw data 20 jaar te mogen bijhouden...

[ubremoved_539]

Ik heb ondertussen ook al wat workshops over GDPR achter de rug en het blijft allemaal heel vaag.

Op concrete vragen komt er nauwelijks een duidelijk antwoord (en vooral met veel "maar's") en vaak hoor je dat het een wetgeving gemaakt is door advocaten en dat de interpretatie uiteindelijk van de rechtbank zal afhangen (al kijk ik uit naar de eerste persoon die bv. een bedrijf als TN voor de rechter gaat slepen voor een GDPR overtreding).

[iceke]

Verwacht dus overal aangepaste algemene voorwaarden, die in elfendertig bladzijden kleine lettertjes toelichten dat je uw consent geeft om uw data 20 jaar te mogen bijhouden...

Nope, geen 20 jaar, maar "Zolang als nodig geacht wordt"
Je moet er een termijn opplakken, maar dat hoeft niet persé een statisch getal te zijn.

[ubremoved_539]

"Zolang als nodig geacht wordt"

In principe stopt het als je relatie met het bedrijf stopt (tenzij er wettelijke bepalingen zijn).

Maar kan het bedrijf bijvoorbeeld opperen dat ze je gegevens daarna nog 10 jaar bijhouden in het geval je terug klant zou worden (om je dan een betere service te bieden) ?

GDPR staat bol van theoretische benaderingen...

[ITnetadmin]

Net zoals IPv6 zal veel pas duidelijk worden eenmaal de implementatie zover is, in dit geval dus na het in werking treden ervan; om dan nog een paar jaar "grijze zones" te hanteren omdat geen kat weet hoe de vork eigenlijk aan de steel zit.
De grote bedrijven gaan de eersten zijn die voldoen aan de regeling, maar dan wss wel door de kantjes eraf te lopen door advies van hun eigen legal dept.
De kleine bedrijfjes gaan volgen.
Vzw's, onderwijsinstellingen e.d. gaan nog jaren achterop hinken en met rust gelaten worden, onder andere omdat de meesten onder hen geen echte ITers in dienst hebben, maar "iemand die iets van computers kende en nog wat uren nodig had".
Niks nieuws dus.

[ubremoved_539]

om dan nog een paar jaar "grijze zones" te hanteren

Die grijze zone is eigenlijk al in 2016 gestart ! 2018 is dus de deadline.

en met rust gelaten worden

Zolang niemand een klacht start (en ik vermoed dat dit niet eenvoudig zal zijn) gaat er waarschijnlijk geen haan naar kraaien.

[heist_175]

"Zolang als nodig geacht wordt"

In principe stopt het als je relatie met het bedrijf stopt (tenzij er wettelijke bepalingen zijn).

Maar kan het bedrijf bijvoorbeeld opperen dat ze je gegevens daarna nog 10 jaar bijhouden in het geval je terug klant zou worden (om je dan een betere service te bieden) ?

GDPR staat bol van theoretische benaderingen...

Uw tenzij is heel belangrijk. Wij implementeren GDPR met een jurist op/aan elke hoek van de tafel .
Voor heel wat zaken moet je gegevens nog 7 of 10 jaar bijhouden (bv boekhouding), je kan dus vragen (GDPR recht) om data te laten verwijderen, maar je zal "no" krijgen op uw verzoek, omdat er een andere wetgeving vereist dat je de date nog moet bijhouden.

@langer bijhouden om service te bieden
Vandaar: langere algemene voorwaarden en/of een expliciete consent bij contracten.
Uiteindelijk is dat ook een service: wil je die of niet?

[ITnetadmin]

om dan nog een paar jaar "grijze zones" te hanteren

Die grijze zone is eigenlijk al in 2016 gestart ! 2018 is dus de deadline.

In theorie wel.
In de praktijk dus niet, want als niemand weet hoe de vork aan de steel zit, gaat niemand zich kunnen voorbereiden.
En eerlijk, zo gaat dat toch heel vaak met zo'n dingen.
Ik hoor van iedereen hier die cursus heeft gevolgd dat de meeste praktische vragen onbeantwoord blijven; ik ga dus aannemen dat de opleidingen vooral algemeen theoretisch blijven maar dat de echte, praktische implementatiekant nog altijd een groot vraagstuk blijft ook voor degenen die de cursus geven.

En ik durf er geld op te wedden dat vzws en onderwijsinstellingen nog jaren met ITers gaan zitten die nog nooit van de GDPR gehoord hebben.
En zolang er geen gratis GDPR cursussen zijn, ipv de commerciele varianten nu, gaat dat niet snel veranderen, want dit zijn de sectoren die daar echt geen geld aan gaan geven.

en met rust gelaten worden

Zolang niemand een klacht start (en ik vermoed dat dit niet eenvoudig zal zijn) gaat er waarschijnlijk geen haan naar kraaien.

Juist; waardoor zij helemaal niet gemotiveerd gaan zijn om "mee" te zijn.

Jaren geleden was het al "Licenses? Bwa, zolang we ongeveer 75% in orde zijn gaat geen kat ernaar kraaien, want ons laten ze met rust." in het onderwijs; "We krijgen dat gewoon niet rond want 'ik geef nog les' / 'ik heb niet genoeg uren' / 'ik ben geen ITer maar doe dit er maar bij' / 'ik geraak daar totaal niet aan uit' / <insert excuus hier>."

[ubremoved_2964]

Hoe zit het eigenlijk met managed solutions? Wij bouwen een product die in een VPN zit. De VPN is zodanig dichtgetimmerd, dat ze het VPN cert niet kunnen gebruiken om op de machines van andere klanten te geraken (gelukkig maar), maar wij kunnen wel inloggen op alle machines van alle klanten, voor support.

Dat doen we normaal enkel als er support vragen zijn, dus proactief wordt er niet op ingelogd, en er zijn ook geen services die die machines monitoren of packages op afstand managen.

Moeten we nu al die VPN tunnels per default uitzetten?
Of de klanten de mogelijkheid geven de VPN zelf uit te zetten via de lokale webinterface van het toestel, en dit ergens op de site aankondigen?

Het grote probleem zijn de niet technische klanten. Ze zetten vpn dan uit, vergeten dit, vragen support zonder dat de VPN op staat, en wij geraken er niet op. Dus extra tijdverlies want dan moeten we de klant uitleggen hoe hij zijn VPN terug aanzet en proberen uitvissen of er echt een issue is, of de VPN gewoon uitstaat - iets wat we nu niet hebben. We kunnen uiteraard extra aanrekenen voor zij die geen vpn willen, en we dan hun desktop overnemen via een tool zoals teamviewer tegen uurloon.

[heist_175]

Ik zie de GDPR link niet?

Of gaat het erom dat jij aan klantendata zou aankunnen?
Dat verandert niet onder GDPR. Alleen zouden uw klanten aan u een GDPR audit kunnen vragen om te zien hoe jij (uw firma) ervoor gaat zorgen dat er geen data lekken etc zijn.

GDPR verbiedt niemand om (sub)contracten aan te gaan hé.
Jij kan enkel claimen dat je GDPR compliant bent, als alle onderaannemers (die data verwerken) etc dat ook zijn.

[ubremoved_2964]

Ik zie de GDPR link niet?

Of gaat het erom dat jij aan klantendata zou aankunnen?

één van de resellers zegt: op jouw toestel kunnen ze privé data zetten (er staan netwerk shares immers op), jij kan er aan, dus GPDR issue

nu wordt het toestel normaal gekocht om muziek op te zetten en af te spelen, daar is weinig privacy related aan, maar als ze daar nu privé documenten of fotos op zetten, en ik kan er aan .... 't ja ..... dat is zijn punt

deze reseller zit zelf in de IT (hij verkoopt ons toestel in bijberoep) en heeft vandaag een opleiding hierrond gehad

[Joe de Mannen]

Volgens mij moet je gewoon een privacy statement maken dat uitlegt wat je met de data doet waar je bij kan. Als dat antwoord 'niets' is, is het volgens mij al ok.

J.

[Winnie]

Dat kan van u dan een dataverwerker maken als uw klanten er data over andere personen opzetten.

Best kan je opnemen in de voorwaarden dat er enkel muziekbestanden toegelaten zijn en een block zetten op bepaalde bestanden

Daarmee kan je aantonen dat je voorzorgen hebt genomen om te voorkomen dat je een dataverwerker zou worden.

[ubremoved_2964]

Dat kan van u dan een dataverwerker maken als uw klanten er data over andere personen opzetten.

Maar de machines staan bij eindgebruikers thuis, niet ergens in een datacenter ofzo.

Best kan je opnemen in de voorwaarden dat er enkel muziekbestanden toegelaten zijn en een block zetten op bepaalde bestanden

Daarmee kan je aantonen dat je voorzorgen hebt genomen om te voorkomen dat je een dataverwerker zou worden.

Gezien de shares public zijn en er geen passwoord op staat, ben ik wel van plan nieuwe support voorwaarden op te stellen, en duidelijk te vermelden dat het niet toegelaten is om persoonlijke of vertrouwelijke content op de machine achter te laten, als wij die moeten op afstand overnemen. Dus staat er toch vertrouwelijke content op, dan geen support via VPN meer.

[Winnie]

Wie staat in voor de beveiliging van de machine?
Is de klant volle eigenaar van de machine en kan deze met adminrechten inloggen om zelf aanpassingen te doen?

Dan levert u enkel een service in het geval dat de klant zijn eigendom zelf niet wil beheren.
het enige wat van uw kant dan eventueel ondertekend moet worden is een nda in geval dat persoonlijke of vertrouwelijke zaken op de machine staan. Want op dat moment is de klant de data verwerker en u slecht iemand die technisch bijspringt.
Dat heeft niets met gdpr of gegevensvewerking te maken

[ubremoved_2964]

Wie staat in voor de beveiliging van de machine?
Is de klant volle eigenaar van de machine en kan deze met adminrechten inloggen om zelf aanpassingen te doen?

De machine is niet beveiligd, hij staat in het thuisnetwerk, er zit geen passwoord op de shares. Klant is eigenaar. Er staat al sinds jaren in de manual dat de machine niet direct aan het internet mag, dus altijd een home router ertussen. Net omdat het open staat.

Wij beheren deze machine niet, maar in geval van problemen, kunnen we wel aanloggen via SSH als root, of via de webinterface.
Klanten hebben ook toegang tot die webinterface, als ze echt willen ook via ssh maar als ze dan iets om zeep helpen is het fixen niet gratis.

Dan levert u enkel een service in het geval dat de klant zijn eigendom zelf niet wil beheren.
het enige wat van uw kant dan eventueel ondertekend moet worden is een nda in geval dat persoonlijke of vertrouwelijke zaken op de machine staan. Want op dat moment is de klant de data verwerker en u slecht iemand die technisch bijspringt.
Dat heeft niets met gdpr of gegevensvewerking te maken

Normaal moet de klant alles kunnen doen via de webinterface, en de apps. Maar als het foutloopt, is het nakijken via secure shell veel makkelijker, dan de klant zijn scherm te moeten overnemen, want dan moet de klant thuis zijn als wij tijd hebben, dus kost aan verbonden. Dat gebeurt altijd nadat een klant mailt met een probleem en het niet oplosbaar is via de app of de webinterface. Er wordt nooit spontaan of proactief aangelogd op de machines.

Nog een oplossing is een knop maken in de webinterface, die de vpn aan of uit kan zetten.

[axs]

GDPR is toch enkel van toepassing als je de (privacygevoelige) data ook effectief verwerkt?
Lijkt me hier dus niet van toepassing.

Waar GDPR in dit geval zou kunnen bij komen kijken is als je de remote IP- addressen opslaat samen met de contactgegevens vd klant.

[tb0ne]

Een paar leuke dingen die ik hoorde over gdpr:
Elke lidstaat kan nog bepaalde eigen invullingen doen
Voor Belgie spreken de versies in de verschillende landstalen elkaar op een aantal vlakken tegen.
Dat zal plezant worden in de rechtbank!

[ubremoved_2964]

GDPR is toch enkel van toepassing als je de (privacygevoelige) data ook effectief verwerkt?
Lijkt me hier dus niet van toepassing.

Ik kan ook gewoon verbieden om privacy gevoelige informatie op het toestel te zetten.
Wensen ze dit toch te doen, dan kan ik de VPN van die specifieke klant gewoon blacklisten op de VPN server.

Of het certificaat er af halen op de client. Maar dan moet ik alweer aanloggen, en daar wil ik wel eerst toestemming voor. Kip en ei dus.

Waar GDPR in dit geval zou kunnen bij komen kijken is als je de remote IP- addressen opslaat samen met de contactgegevens vd klant

Contactgegevens houden we niet bij, tenzij van onze eigen klanten, maar de meesten kopen via een reseller. Het enige wat we dan doorkrijgen is een VPNID. Er zijn natuurlijk ook klanten van de reseller die ons direct contacteren voor support (dit is niet tegen te houden, ondanks het feit dat dit niet de bedoeling is), en dan hebben we van die klant:

- email adres
- zijn vpnid die op het registratieformulier staat
- een naam / voornaam die mee in de mail staat

Ik kan ook niet tegenhouden dat de reseller die zijn klant niet kan helpen, de mail integraal naar ons doorstuurt voor support. Dan hebben we ook de naam en email van de klant.

[axs]

Zolang je die informatie niet verwerkt, is er geen probleem...
de emails die je integraal krijgt doorgestuurd zijn ook geen issue, zolang je de data niet verder in een ‘klantenbestand’ of dergelijke gaat verwerken.

[ITnetadmin]

Of het certificaat er af halen op de client. Maar dan moet ik alweer aanloggen, en daar wil ik wel eerst toestemming voor. Kip en ei dus.

Kan je dat cert niet gewoon revoken?

[ubremoved_2964]

Of het certificaat er af halen op de client. Maar dan moet ik alweer aanloggen, en daar wil ik wel eerst toestemming voor. Kip en ei dus.

Kan je dat cert niet gewoon revoken?

Als ik de certs revoke, blijft de VPN client wel aanloggen, maar zal hij dan niet binnen geraken.
Gezien ik server side die revoke kan weghalen, kan ik server side ook beslissen dat ik terug op die machine geraak.

Volgens mijn reseller die een IT'er is overdag, is dat een issue, gezien de controle bij mij ligt.

[Winnie]

Ja, dit is een issue
Maar die heeft niets te maken met GDPR

Je dient gewoon in elke client de keuze te laten of men deze functionaliteit wil activeren
Let wel: opt in, niet opt out.

[ubremoved_539]

Zolang je die informatie niet verwerkt, is er geen probleem...
de emails die je integraal krijgt doorgestuurd zijn ook geen issue, zolang je de data niet verder in een ‘klantenbestand’ of dergelijke gaat verwerken.

Zo eenvoudig is het niet... als klanten mij op het werk mails sturen (ivm. een probleem) met bv. screenshots met persoonlijke data is er een problem... ook al zou ik daar niets mee doen (dingen als bewaartermijn en dergelijke spelen dan ook).

In het geval van u4b4 is er volgens mij trouwens geen enkel probleem... zolang hij die dingen niet gaat copieren. De klant moet gewoon een akkoord geven voor toegang tot het toestel (en al zijn data) in het kader van support, en u4b4 moet de GDPR richtlijnen respecteren. De IT'er heeft hem duidelijk wat bang gemaakt

[Joe de Mannen]

Ik vroeg me trouwens ook af of GDPR ook invloed heeft op klantennamen/telefoonnummers/emailadressen op mijn werktelefoon...

J.

[axs]

Zolang je die informatie niet verwerkt, is er geen probleem...
de emails die je integraal krijgt doorgestuurd zijn ook geen issue, zolang je de data niet verder in een ‘klantenbestand’ of dergelijke gaat verwerken.

Zo eenvoudig is het niet... als klanten mij op het werk mails sturen (ivm. een probleem) met bv. screenshots met persoonlijke data is er een problem... ook al zou ik daar niets mee doen (dingen als bewaartermijn en dergelijke spelen dan ook).

Daar is het aan je klant om die data te anomiseren voordat hij/zij deze naar jou verstuurd.
Zolang je die data verder niet verwerkt is er geen enkel probleem met GDPR.
(In jouw specifiek geval: screenshot bevat ‘persoonlijke’ info die niet door de klant geanomiseerd werd. Zolang je deze data niet verwerkt is er geen probleem. Delete dus de screenshot na interpretatie of anomiseer deze voordat je deze verwerkt)

Ik werk in een zeer strikte omgeving mbt data privacy (patient en medische data op medical devices) en deze cases zijn dus al in de eerste stappen naar een GDPR compliant omgeving voorbijgekomen.
We dienden uiteraard wel te documenteren dat deze data niet als dusdanig gebruikt en verwerkt wordt tenzij volledig geanomiseerd, wat al common practise was lang voordat er sprake was van GDPR.

[ubremoved_539]

Ik vroeg me trouwens ook af of GDPR ook invloed heeft op klantennamen/telefoonnummers/emailadressen op mijn werktelefoon...

Ja... dat valt er ook onder maar normaal heeft jou werkgever een overeenkomst met zijn opdrachtgevers waarin contact informatie vermeld staat als noodzakelijk.

[tyrone91x]

ik denk niet dat we e-mails kunnen sturen naar inactieve klanten en gebruikers na GDPR, omdat ze het "recht hebben om te worden vergeten." Ik zat vorige week met ons strategieteam twee weken geleden en we hebben dit grondig besproken. dit was de eerste vraag die ons ter ore kwam. Dus keken we naar onze concurrenten en andere bedrijven, evenals hun beleid, namen groot en klein, waaronder facebook, hotjar, twitter, ivacy vpn, google en anderen om te zien hoe ze het doen. we zijn tot de conclusie gekomen dat we alleen mails kunnen sturen naar bestaande gebruikers en zelfs dat met hun uitdrukkelijke toestemming. misschien verander het na 25 mei maar nu willen we veilig zijn.

[Goztow]

Bumpje. Een voordeel van GDPR is dat heel wat bedrijven die me mails sturden nu opnieuw vragen om te bevestigen dat ik die wil krijgen. Op de meeste ga ik geen gevolg geven. Minder spam!

[MClaeys]

Das waar, jammer genoeg niet allemaal.

[Sinna]

... omdat ze dat ook niet allemaal moeten doen.

[svermassen]

Bumpje. Een voordeel van GDPR is dat heel wat bedrijven die me mails sturden nu opnieuw vragen om te bevestigen dat ik die wil krijgen. Op de meeste ga ik geen gevolg geven. Minder spam!

Das wel een goede om te checken na 25/05 en ze dan aanklagen