GDPR topic

[iceke]

Wat ga je dan checken ?
Om reclame mails te sturen heb je specifiek de toestemming nodig, om je uit een database te laten verwijderen moet je specifiek een opdracht geven.
Maar ook hier is alles weer niet 100% duidelijk... Toitoitoi om een bedrijf aan te klagen die je een "nieuwsbrief" stuurt wanneer jij hun mails niet beantwoordt hebt.

[Didymus]

Er is zoiets als legitiem belang in de GDPR ingeschreven. Als je bv. ergens iets hebt gekocht, dan mag dat bedrijf je reclamemails sturen voor gelijkaardige producten, tenzij je je daar expliciet tegen verzet.

[MClaeys]

Wat ga je dan checken ?
Om reclame mails te sturen heb je specifiek de toestemming nodig, om je uit een database te laten verwijderen moet je specifiek een opdracht geven.
Maar ook hier is alles weer niet 100% duidelijk... Toitoitoi om een bedrijf aan te klagen die je een "nieuwsbrief" stuurt wanneer jij hun mails niet beantwoordt hebt.

Ghohja, de mails moeten een uitschrijflink hebben, dus als er een bedrijf is dat na de 25e nog mailt is het gewoon 1 keer uitschrijven en daarna is dat wel duidelijk denk ik zo.

[on4bam]

Geen idee of er hier nog Yahoo gebruikers zijn maar ik run voor onze club al meer dan 15 jaar een mailinglist op yahoo groups en heb zelf al veel langer een yahooadres dat enkel nog gebruikt wordt voor deze lijst.

Bij het inloggen vandaag (dat gebeurt maar nu en dan) moest ik eerst door de "nieuwe" voorwaarden en kreeg ik een lijst van bedrijven waarmee mijn data gedeeld (kunnen) worden. ALLES stond aangevinkt en naast een gewone lijst "partners" was er een nog grotere lijst 3rd party. Nergens een mogelijkheid om alles in één beweging af te vinken natuurlijk dus zeker 100-200 keer het knopje verzet naar off. Ik kan mij best voorstellen dat een meerderheid dat niet doet. Volgens de letter van de wet is dat natuurlijk expliciet toelating geven als je niet alles

[Tomby]

Da's wel straf, want ik dacht dat GDPR expliciet vereiste dat alles standaard uit staat en je dus zelf alles moet aanvinken.
Dankzij GDPR krijg ik nu ook wel mails van bedrijven waar ik nog nooit van gehoord had, maar die dus blijkbaar wel gegevens van mij hebben.
Ik ben ook eens van plan bij Google of Facebook mijn gegevens op te vragen. Benieuwd wat die allemaal zo over mij hebben.

[iceke]

Er is zoiets als legitiem belang in de GDPR ingeschreven. Als je bv. ergens iets hebt gekocht, dan mag dat bedrijf je reclamemails sturen voor gelijkaardige producten, tenzij je je daar expliciet tegen verzet.

Ik denkt het niet... promo mails sturen valt niet onder legitiem belang, je moet die verschillende belangen expliciet vermelden in je privacyverklaring.

Ghohja, de mails moeten een uitschrijflink hebben, dus als er een bedrijf is dat na de 25e nog mailt is het gewoon 1 keer uitschrijven en daarna is dat wel duidelijk denk ik zo.

Nope, niks belet hun om opnieuw een database aan te leggen met openbare info(als dat in hun privacy verklaring staat)
Als ik morgen een privacy verklaring opstel met zevenendertighonderd openbare databases kan ik u blijven spammen, zolang jij niet expliciet de opdracht geeft om te schrappen uit a: mijn database(en ik vraag een copy van uw pas & aangetekend schrijven & 2 maand de tijd) of b: je hetzelfde doet bij die zevenendertighonderd openbare databases.

Da's wel straf, want ik dacht dat GDPR expliciet vereiste dat alles standaard uit staat en je dus zelf alles moet aanvinken.
Dankzij GDPR krijg ik nu ook wel mails van bedrijven waar ik nog nooit van gehoord had, maar die dus blijkbaar wel gegevens van mij hebben.
Ik ben ook eens van plan bij Google of Facebook mijn gegevens op te vragen. Benieuwd wat die allemaal zo over mij hebben.

Dat kan je toch gewoon checken bij google, https://goo.gl/HcF9Zn
Die opt-in regels is ook maar een richtlijn van de privacycommissie https://goo.gl/YMuyoW , of dit echt nodig is zullen we wel merken bij de eerste aanklacht. (een Europees bedrijf zal er misschien niet mee wegkomen, maar buiten de EU ?)

[Didymus]

Ik denkt het niet... promo mails sturen valt niet onder legitiem belang, je moet die verschillende belangen expliciet vermelden in je privacyverklaring.

Ik denk niet, ik wéét. Voor bestaande klanten mag dit zolang het om een gelijkaardig product gaat dat door de verzender wordt aangeboden én er tijdens het verzamelen verzet mogelijk was.

Zie bijvoorbeeld https://ictrecht.be/featured-2/mag-best ... ilen-gdpr/:

Eenvoudig gezegd, vereisen deze regels toestemming via opt-in voor e-marketing, tenzij deze verzameld zijn in het kader van een verkoop en het individu op dat moment de mogelijkheid had om zich te verzetten (opt-out). Als er nog geen contact is geweest, moet je natuurlijk voorzien in de gangbare opt-in.

[iceke]

En zo zijn er dus tientallen tegenstrijdigheden... de 1ne zegt van welles, de ander van nietes
(maar dan valt het dus onder gerechtvaardigd belang, en zou ik het zeker ook expliciet in de privacy verklaring zetten)

[on4bam]

Heeft er al eens iemand uitgezocht hoe en door wie een vermeende inbreuk behandeld moet worden....(hint: zoek het vooral in de richting federaal/regionaal/gewestelijk...)

[Sinna]

Dit zal door de Belgische gegevensberschermingautoriteit (de vervelde privacycommissie) moeten gebeuren, maar die is blijkbaar nog niet geïnstalleerd door interne twist bij de CBPL+ het feit dat Philippe De Backer - staatssecretaris voor privacy en Noordzee - en Willem Debeuckelaere - hoofd van de Privacycommissie - niet door één deur kunnen...

[on4bam]

Proficiat Sinna, je hebt gewonnen

M.a.w. voorlopig is GDPR in Belgie dode letter tot de dames en heren het eens zijn wie er bevoegd is. Daar sta je dan weer als burger.

Blijkbaar zou het indienen van een klacht (we zijn namelijk in de EU) best in Portugal ingediend worden, hun equivalent van de privacy commissie zou zijn inkomsten halen uit opbrengst van de inbreuken en ze zouden dus wat extra moeite doen.

[Sinna]

Ik zie dit niet als winnen (enfin: ik ben bevooroordeeld omwille van mijn opleiding postgraduaat Data Protection Officer aan Howest), maar om zomaar te stellen dat de GDPR in België dode letter is, is een beetje te kort door de bocht. De Europese Data Protection Board kan nl. zelf optreden als ze merkt dat de lidstaten de boel teveel laten betijen...
Trouwens: het land waar de klacht ingediend wordt is hier niet van tel. Het is de gegevensbeschermingsautoriteit van het land waar de organisatie / het bedrijf zijn (hoofd)vestiging heeft, die de klacht moet behandelen. Ik dacht ook dat het Polen was ipv. Portugal...

[ubremoved_539]

Wanneer gaat Userbase mailtjes sturen om te vragen of ze me nog verder mogen contacteren ?

Wat als iemand morgen eist dat z'n gegevens verwijderd worden (en dus alle posts, gequote of niet) ?

Wat als iemand een tijd niet meer aanlogged... en de "contractuelen band" dus vervalt (gaat men het profiel verwijderen) ?

Wat met het gebrek aan privacy by design (waarom worden hier geboortedata, beroepen, locatie, ... opgeslagen) ?

Nu ja, vragen waar velen mee zitten vrees ik en hoe simpel ook... het antwoord is dat niet altijd.

[Sinna]

Wanneer gaat Userbase mailtjes sturen om te vragen of ze me nog verder mogen contacteren ?

Ik krijg enkel mailtjes waarvoor ik me specifiek heb aangemeld. Geen issue voor mij.

Wat als iemand morgen eist dat z'n gegevens verwijderd worden (en dus alle posts, gequote of niet) ?

Om de werking van het forum niet te verstoren kan je niet eisen dat alle posts verwijderd worden. Dat valt m.i. onder technisch niet haalbaar. Het enige wat je zou kunnen doen is de nickname/gebruikersnaam pseudonimiseren waarbij enkel de moderatoren de oorspronkelijke poster kunnen achterhalen.

Wat als iemand een tijd niet meer aanlogged... en de "contractuelen band" dus vervalt (gaat men het profiel verwijderen) ?

Als daar een protocol voor opgesteld is wat je als gebruiker 'ondertekent' door het aanmaken van een account (bv. uw account wordt na 3 jaar inactiviteit op non-actief gezet), dan is er m.i. geen probleem.

Wat met het gebrek aan privacy by design (waarom worden hier geboortedata, beroepen, locatie, ... opgeslagen) ?

Niemand verplicht je om die te geven (heb ik dan ook niet gedaan). Niemand verhindert je om dummy-data te geven (bv. locatie = ::1).

Kortom: je moet het niet ingewikkelder maken dan nodig. Hiermee wil ik niet zeggen dat de GDPR een lege doos is (allesbehalve!), maar een pragmatische benadering is te prefereren.

[ubremoved_539]

maar een pragmatische benadering is te prefereren.

En wie gaat bepalen wat pragmatisch is... Facebook zal GDPR dan ook wel "pragmatisch" benaderen... gelukkig werkt het zo niet.

Als iedereen het zo zou doen dan pas zal GDPR een echte lege doos worden !

[Didymus]

De gegevensbeschermingsautoriteiten gaan gewoon niet anders kunnen dan er pragmatisch mee om te gaan en bovendien is de verordening vaag genoeg om interpretatie toe te laten. Facebook zal zich zonder twijfel meer zorgen moeten maken over de naleving ervan dan FC De Pottenstampers uit Zichen-Zussen-Bolder.

[ubremoved_539]

Het probleem is dat ik vaak meer spam krijg van FC De Pottenstampers uit Zichem-Zussen-Bolder dan van Facebook.

En waarom zou men niet anders kunnen... afwachten tot de eerste klachten gaan komen.

[Didymus]

Omdat de mankracht om de volledige naleving van de AVG af te dwingen er gewoon niet is en ook nooit zal zijn. Zelfde met de wegcode trouwens.

[on4bam]

Volgens mij is dit al een inbreuk:

We're updating our terms and policies

As you may be aware, Europe's new General Data Protection Regulation
(GDPR) is taking effect on May 25th, 2018. To keep up with these new laws,
we're updating our Customer Agreement and Privacy Policy, and you can read
both of these documents in full at https://website/legal/. These
updates will take effect on May 25th, 2018, and by using the website on or after that date you’ll be agreeing to the changes. Please
take a moment to read the new documents.

Er is nergens mogelijkheid om "expliciet" toelating te geven (of niet). Dit is gewoon zoals het altijd geweest is.

[ubremoved_539]

Het is niet omdat de mankracht er niet is dat het geen overtreding is die je begaat.

Je bent GDPR op die manier volledig aan het uithollen... de pakkans is klein en we gaan het pragmatisch oplossen

[Didymus]

Hoe gaat het dan wel verlopen volgens jou?

[ubremoved_539]

Geen idee... volgens wij wordt het een lege doos (net zoals het absurde cookie gedoe).

[Didymus]

Grote mond wanneer er mensen met kennis van zaken spreken, maar zelf geen enkel inhoudelijk argument. Zo kennen we je wel weer.

[Sinna]

maar een pragmatische benadering is te prefereren.

En wie gaat bepalen wat pragmatisch is... Facebook zal GDPR dan ook wel "pragmatisch" benaderen... gelukkig werkt het zo niet.

Als iedereen het zo zou doen dan pas zal GDPR een echte lege doos worden !

Ik bedoelde: met een portie gezond verstand. Als je aan de gegevensbeschermingsautoriteit (GBA) duidelijk kan aantonen dat je de GDPR ernstig neemt en bepaalde zaken met meer of minder prioriteit behandelt (omdat het allemaal in één keer in orde krijgen onbegonnen werk is), en dit ook voldoende kan onderbouwen, dan mag de GBA het niet eens zijn met de argumentatie. Ze kan enkel aangeven dat je het op een andere manier moet doen.

[ubremoved_539]

Grote mond wanneer er mensen met kennis van zaken spreken, maar zelf geen enkel inhoudelijk argument.

Wat zijn we toch weer gratuit met onze uitspraken

[ITnetadmin]

Geen idee... volgens wij wordt het een lege doos (net zoals het absurde cookie gedoe).

Ik vrees daar ook voor.
Bij die cookies is het ook altijd van "deze zijn nodig voor de goede werking van de site", en als je ze dan blockt blijkt die site vaak perfect te werken.
En een "ik wil geen cookies, laat me gewoon de site zien" is er bij geen enkele bij.

[Sinna]

Bij die cookies is het ook altijd van "deze zijn nodig voor de goede werking van de site", en als je ze dan blockt blijkt die site vaak perfect te werken.
En een "ik wil geen cookies, laat me gewoon de site zien" is er bij geen enkele bij.

Hier moet ik je tegenspreken: er zijn diverse websites die een onderscheid maken tussen functionele en analytische cookies waarbij je de analytische kan weigeren (bv. www.privacycommission.be/nl).

[liegebeestig]

Intussen al derde mailtje van onze vrienden van bpost over GDPR, telkens op een ander emailadres. Zoals nog andere mensen gebruik ik individuele adressen voor elk contact. En dat loont nu:
mailtje 1 op adres dat ik gegeven had via de 'Mijn voorkeuren'-dienst ivm afleveren pakjes als je niet thuis bent.
mailtje 2 op adres dat ik opgaf bij de website parcel.bpost.be
mailtje 3, het strafste: op emailadres dat ik gebruik voor... 2dehands.be! Dus zij verkopen de mailadressen aan bpost.

Voor geen van de 3 had ik een opt-in gedaan voor advertenties! Alle 3 nu uitgeschreven. Straf he!

[axs]

Dat van 2de hands heb ik hier idd ook voor!

[Jack Daniels]

Om zot van te worden. Ik word hier constant bestookt met e-mails van websites/bedrijven om mij akkoord te verklaren met hun nieuwe GDPR privacy richtlijnen. Betreft wel sites of bedrijven waar ik ooit wat gekocht heb. Ik heb hier dus écht geen boodschap aan.

[JamesEarlGray]

net zoals het absurde cookie gedoe

Het enige absurde aan die wet is het feit dat de website-eigenaar verantwoordelijk werd gesteld en dat de echte leveranciers van de trackers en de malware vrijuit gingen; iets dat nu wordt aangepakt met de GDPR. Eindelijk!

[ubremoved_539]

Het enige absurde aan die wet is het feit dat de website-eigenaar verantwoordelijk werd gesteld en dat de echte leveranciers van de trackers en de malware vrijuit gingen; iets dat nu wordt aangepakt met de GDPR. Eindelijk!

Geloof je dat nu echt... dat overmorgen plots alle trackers verdwenen zijn

Nu ja, je hebt er vanaf overmorgen vermoedelijk een nieuwe hobby bij

[axs]

Wanneer gaat Userbase mailtjes sturen om te vragen of ze me nog verder mogen contacteren ?

Niet nodig aangezien je jezelf aantoonbaar lid hebt gemaakt.

als iemand morgen eist dat z'n gegevens verwijderd worden (en dus alle posts, gequote of niet) ?

Het gaat bij GDPR om persoonlijke ‘identificeerbare’ gegevens.
anonimiseren van de directe link naar een individu (bv profielnaam) is dus voldoende.
Moest er ergens een post zijn waarbij je iemand eenvoudig kan identificeren als persoon Jan Janssens, dan dient deze idd op eenvoudige vraag verwijderd te worden.
Sta je bv in een database met een boel gegevens zoals schoenmaat, kleur van je haar, je loon, ... en de dataverwerker verwijdert enkel de directe info die jou als individu eenvoudig kan identificeren, kan dat perfect GDPR compliance zijn.
Ga er maar van uit dat de data blijft verder bestaan in databases, maar nu wel anoniem (‘profiel x‘ ipv Jan Janssens) zodat men verder aan datamining kan doen met de reeds verzamelde (niet langer identificeerbare) gegevens.

Wat als iemand een tijd niet meer aanlogged... en de "contractuelen band" dus vervalt (gaat men het profiel verwijderen) ?

Hier heb ik geen sluitend antwoord op, maar aangezien dit om bewaren van persoonlijk identificeerbare informatie gaat, vermoed ik dat er idd een beleidsregel moet opgenomen worden die inactieve gebruikers na x tijd bv een reminder stuurt om te herbevestigen.

Wat met het gebrek aan privacy by design (waarom worden hier geboortedata, beroepen, locatie, ... opgeslagen) ?

Geen probleem zolang de verwerker van de gegevens kan aantonen hoe deze verwerkt/opgeslaan/beveiligd worden en of deze relevant zijn.
Geboortedatum om u een ‘verjaardagswens’ te sturen kan al een aanvaardbare reden zijn, net zoals schoenmaat, hoe goed uw band met uw schoonmoeder is, hoeveel ge verdient, ... zolang het maar duidelijk is waarom men deze gegevens wil verwerken.

En laat dat nu het hele GDPR verhaal zijn: transparantie in de gegevensverwerking en beveiliging van deze gegevens tegen databreaches.
GDPR heeft an sich niks te maken met ‘privacy’ maar wel met transperantie van verzamelde identificeerbare gegevens.

[CCatalyst]

transparantie in de gegevensverwerking en beveiliging van deze gegevens tegen databreaches.

De ontnuchtering zal groot zijn vrees ik

Met een verordening verander je niet zomaar een cultuur. Dat moet ook van binnenaf komen. En zolang de EU soloslim speelt, zal er in de globaliserende wereld niet zoveel veranderen. Men gaat transparent zijn tot in de mate dat het wettelijk moet, maar transparantie over wat er echt met je gegevens gebeurt zal nu volledig verdwijnen, uit angst voor boetes.

Met een verordening bescherm je plots niet alle gegevens tegen databreaches. Dat moet ook weer van binnenaf komen, met de nodige investeringen. Als er nu een databreach gebeurt, kunnen we het bedrijf in kwestie failliet maken als we willen, maar dat zal niets veranderen aan het feit dat je gegevens op straat liggen en in allerhande zwarte databases zal opduiken.

Op korte termijn is het afwachten of de EU het serieus meent met hun boetes of niet. Als enforcement dode letter blijft, zal er uiteindelijk niet zoveel veranderen. Als ze het wel menen, dan wordt het interessant om te zien hoe de bedrijven daarop reageren. Mijn vrees is vooral dat enforcement weer een politiek kantje zal krijgen, met sommige inbreuken die vervolgd worden en andere niet, waardoor de grote spelers met hun lobbyisten gevrijwaard blijven en de kleintjes het gelag betalen.

[Koelreuteria]

[quote="r2504" <knip>
Kortom: je moet het niet ingewikkelder maken dan nodig. Hiermee wil ik niet zeggen dat de GDPR een lege doos is (allesbehalve!), maar een pragmatische benadering is te prefereren.

'k Heb inderdaad het gevoel dat men de zaken wat "eenvoudiger" aan het maken is.
Ik zie evenwel 3 tegengestelde strekkingen m.b.t. de mails:
1. “Wenst u onze mail nog te ontvangen, dan hebben wij expliciet uw akkoord nodig via onderstaande link.”
2. “Wenst u onze mail niet meer te ontvangen, dan kan u zich uitschrijven via onderstaande link of via de link in elk van onze mails.”
3. "Als u niet reageert, dan blijft u onze mails ontvangen", met een verwijzing dat er onderaan de mail een uitschrijflink is.

Nr. 2 & 3 zou dus het eenvoudigst zijn, maar zijn ze conform GDPR??

[meon]

Hangt af van de relatie tussen verzender en ontvanger.
Ben je bijvoorbeeld een actieve klant, gebruiker,... bij de verzender: dan wel.
Is het puur om promotionele doeleinden, dan is voor zover ik begrijp een expliciete opt-in nodig.

[ubremoved_539]

Nr. 2 & 3 zou dus het eenvoudigst zijn, maar zijn ze conform GDPR??

Normaal moet het steeds een opt-in zijn... maar uiteindelijk kan je ook stellen dat onder alle drie de punten je vermoedelijk reeds een "contract" (de vraag is hoe rekbaar dat begrip is) hebt met het bedrijf en men zelfs de mail niet hoeft te versturen.

Het gaat bij GDPR om persoonlijke ‘identificeerbare’ gegevens.
anonimiseren van de directe link naar een individu (bv profielnaam) is dus voldoende.

Er bestaat ook nog zoiets als linkability and deniability... het recht op vergeten te worden kan je nooit implementeren via anonimisatie (dat is louter een techniek voor het gebruik van data binnen een test omgeving).

Geen probleem zolang de verwerker van de gegevens kan aantonen hoe deze verwerkt/opgeslaan/beveiligd worden en of deze relevant zijn. Geboortedatum om u een ‘verjaardagswens’ te sturen kan al een aanvaardbare reden zijn, net zoals schoenmaat, hoe goed uw band met uw schoonmoeder is, hoeveel ge verdient, ... zolang het maar duidelijk is waarom men deze gegevens wil verwerken.

Ook dit is niet zo eenvoudig... privacy by design is ook een GDPR vereiste. Concreet voorbeeld, voor een verjaardagswens heb je geen geboortedatum nodig... daar volstaat louter dag/maand ! Op basis van jou verklaring kan Facebook gewoon alles blijven verzamelen onder het motto... "voor een optimale gebruikers ervaring".

Het probleem met GDPR is dat het geen duidelijke regels zijn maar net vatbaar is voor interpretatie en dan weet je zo dat men de begrippen enorm gaat rekken zodat er uiteindelijk maar weinig zal veranderen... al zullen de eerste controles en straffen gaan bepalen of het een lege doos wordt of niet.

[meon]

Het probleem van GDPR is dat je uiteindelijk om van dezelfde service en mogelijkheden gebruik te kunnen maken je gewoonweg zal moeten accepteren dat de tegenpartij die gegevens bijhoudt en beheert.
Het meest nuttige aan GDPR is denk ik transparantie over hoe er met die data omgegaan wordt.

[axs]

1 is voornamelijk een approach van degenen die geen echte directe link hebben tussen de data die verzameld is en de noodzaak om deze te verwerken (vooral direct-marketing gericht). Dus vooral het zwarte/grijze gebied die plots nattigheid voelen omdat ze de dataverwerking niet op orde hebben.

2 en 3 gaat voornamelijk om degenen waar je je bewust op hebt toegestaan om data te verwerken (lees: je bent er bv ‘klant’)

Verder mis je een grote groep: degenen die al van in het begin hun zaakjes rond dataverwerking in orde hebben en hier reeds transparant over communiceerden (al dan niet via hun ‘voorwaarden’)

Echter is het ook erg duidelijk dat er heel wat copy/paste werk gebeurd is omdat men plots heel wat mails verschenen ivm gdpr. Soirt van paniekreactie.

Nogmaals: gdpr gaat in hoofdzaak over transparantie ivm de verwerking van identificeerbare gegevens (incl inzage en mogelijkheid tot correctie) en niet over ‘privacy’ in de letterlijke betekenis.

[ubremoved_539]

Het meest nuttige aan GDPR is denk ik transparantie over hoe er met die data omgegaan wordt.

Geloof jij echt dat Facebook gaat vertellen wat ze exact met je data doen ?

Ik vrees dat voor een aantal mensen GDPR een stevige teleurstelling gaat worden.