Duke Wat is er nu werkelijk veranderd? Want er lag al heel veel vast in bestaande wetgeving.

De meerwaarde van de AVG zit 'm volgens mij vooral in het feit dat er
a) hernieuwde aandacht is voor privacy
b) er nu ook veel meer een stok achter de deur is die maakt dat (middelgrote en grote) bedrijven moeten gaan voldoen aan privacywetgeving. Bijvoorbeeld door een register van verwerkingen bij te houden en impactanalyses uit te voeren. Vroeger kwam je ermee weg hier met de pet naar te gooien, nu krijg je met een beetje pech de AP op je dak, wiens rol is verstevigd.

Het principe is dus niet echt veranderd, maar de kaders om die principes te bereiken zijn wél verscherpt.

(dat is mijn indruk tenminste, van wat ik er zijdelings van meekrijg van mijn privacycollega's)

      Sloggi Een ding wat er daadwerkelijk veranderd is in de omgeving waar ik werk, is dat je geen foto's meer op je website mag plaatsen zonder expliciete toestemming van iedereen die erop staat. Net zoals het publiceren van de namen van de geslaagden ook niet langer zonder meer is toegestaan.

      • Duke replied to this.

          Mijn handen jeuken. Reageer als ik straks thuis ben.

          Haha, geweldig topic. ? volgt

          janneke141
          Dat bedoel ik. Mooi instrument voor de niet-willers. Lekker anderen het leven zuur maken.

            -i- Volgens mij is je uitleg van de term "persoonsgegevens" te beperkt.

            Op grond van de Wet bescherming persoonsgevens is een persoonsgegeven:

            elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

            De AVG vult daar nog bij aan:

            alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de
            betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

            Het is dus niet zo dat je direct aan een gegeven moet kunnen zien om wie het gaat, zoals jij lijkt te suggereren. Het gaat er om of een persoon direct of indirect kan worden geïdentificeerd. Onder identificeerbaar wordt verstaan, wederom per de AVG:

            Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren (..) Om uit te maken of van middelen redelijkerwijs valt te verwachten
            dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met
            alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de
            beschikbare technologie

            Met andere woorden: de term persoonsgegevens is veel breder dan alleen maar dingen waaraan je direct kunt zien om wie het gaat. Cruciaal is de vraag of redelijkerwijs te verwachten is dat het kan worden gebruikt om iemand te identificeren. Dit houdt dus in dat user-ID's of usernames niet per definitie géén persoonsgegeven zijn, als zij indirect gebruikt kunnen worden om iemand te identificeren. Voor post ID's geldt hetzelfde. Toegespitst op de concrete situatie is een username die je kunt gebruiken om iemand te herleiden dus wel degelijk een persoonsgegeven (ik zag in het FOK!-topic een voorbeeld van een username die, als je hem intypt in Google, direct een website oplevert met de echte naam van de user er op. Dit is dus zonder enige twijfel een persoonsgegeven, net als user-ID's of post-ID's die via dezelfde weg te gebruiken zijn). De term "duidelijk herleidbaar" betekent in deze context niets. Sterker nog, als een user zélf informatie heeft gepost die direct of indirect tot zijn persoon zou kunnen leiden, is zijn username dus een persoonsgegeven (immers, het is niet lastig om posts van een specifieke user terug te vinden).

            Bovendien kun je ook de gegevens niet an sich bekijken, context telt mee. Als je meerdere gegevens hebt die los van elkaar niet tot een persoon kunnen leiden maar samen wel, dan zijn die allemaal persoonsgegevens. Dit wil dus zeggen dat je alle info die je verwerkt op je site in context moet bekijken om te kunnen beoordelen of er wel of niet sprake is van persoonsgegevens.

            Ten slotte: er zijn natuurlijk heel veel gegevens die niet direct betrekking hebben op een persoon maar wel persoonsgegevens zijn of kunnen zijn. Ik noem telefoonnummers, documentnummers, aliassen op websites en sociale media, geboortedata, postcodes, etc cetera. De grens die je moet passeren voor iets géén persoonsgegeven is, is vrij hoog en dus afhankelijk van de context. Nog een laatste stukje uit de AVG:

            De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is.

            Pas als iemand niet identificeerbaar is, gedefinieerd zoals hierboven, in de context van welke gegevens er allemaal samen zijn bewerkt en bekeken aan de hand van objectieve gegevens, dán is er geen persoonsgegeven.

            • -i- replied to this.

                Toen ik meer dan 10 jaar geleden een mailtje stuurde aan het fokmailadres waar je naartoe kon schrijven als je mogelijk POLmod wou worden, toen ondertekende ik met mijn volledige echte naam. Toen ik POLmod werd vond ik in FC een POLsollicitatietopic, met daarin mijn integrale email, inclusief naam. Dat vond ik niet heel prettig, maar soit.

                Al dat soort sollicitatiemailtjes staan allemaal met naam, toenaam en uiteraard alias, bewaard in FC. Zo kwam ik laatst ook aan @Mutant01 z'n echte naam.

                  sigme De tering, echt? Blij dat ik niet gesolliciteerd heb. Ik haakte al af toen ik een kopie van mijn ID-kaart moet overleggen. Daar ben ik nu blij mee, zeg.

                  Op dat hele topic is dus de volle AVG van toepassing, met alle rechten voor crew en verplichtingen voor FOK! die daarbij komen.

                      sigme Volgens mij heb ik die alleen met mijn voornaam ondertekend. Maar ik kan me ook niet aan de indruk onttrekken dat de ID-kopie door meer mensen gezien is dan alleen Danny.

                        tsjok Blij dat ik niet gesolliciteerd heb.

                        Er zijn er best veel die een sollicitatie enkel met usernaam ondertekenen, dat vindt men ook prima (niemand lijkt er ooit een gedachte aan gewijd te hebben). Het is me een raadsel waarom de echte namen niet gewoon standaard even gewist werden, maar ik heb er nooit iemand iets over zien zeggen.

                          Dat van die IDs is wel wat raar. Wie al crew was en nooit een ID instuurde, bleef crew, tot frustratie van de crewleden die met tegenzin hun ID overhandigd hadden.

                          Verder was een motivatie voor dat ID, dat crew die nooit meer terug mocht keren als crew, zonder ID-plicht, met een andere usernaam tóch terug zou kunnen komen. Okee.. maar hoe verhoudt zich dat tot vernietigen ID wanneer iemand de crew verlaat?

                            sigme Die hele ID-plicht slaat als een tang op een varken. Het gaat om informatie die Danny niet mag hebben (ook voor de AVG al), die super gevoelig is voor fraude en die onnodig is. Je zou immers prima je identiteit kunnen aantonen op een andere manier.

                            Dat laatste is wel scherp van je inderdaad. Ofwel Danny bewaart de gegevens, ofwel hij kan ze toch niet gebruiken om te checken of een crewlid weer terugkeert.

                            In elk geval bedankte ik er vriendelijk voor mijn volledige identiteit, geboortedatum, BNS, foto en woon- en geboorteplaats op te geven aan iemand waar ik geen enkele controle over heb zodat ik in ruil daarvoor vrijwilig wat stukjes over voetbalwedstrijden mocht schrijven.

                                sigme

                                Toen ik FA was haalde ik altijd de echte naam uit de sollicitaties en liet alleen de username staan. En toen speelde dat hele AVG niet maar leek mij gewoon logisch om dat soort privacy te respecteren.

                                Maar niet iedereen is zo scherp geweest begrijp ik ?

                                    Tem Soms lijk je net een fatsoenlijk mens. Doe eens niet?

                                    • Tem likes this.

                                      Tem
                                      yvonne laat in elk geval heel vaak (altijd?) de echte naam staan.

                                      • Tem replied to this.

                                          De ID plicht is er omdat Danny tegenwoordig wil weten wie hij de crew binnenhaalt. Op zich vind ik dat helemaal geen gekke gedachtengang. Het adres waar die ID naartoe gaat is alleen toegankelijk voor Danny en slaat hij op een encrypte schijf op. Als je de crew verlaat verwijderd hij je kopie van het id.

                                          Ik geloof best dat hij deze procedure volgt.

                                            tsjok Foto, documentnummer en BSN mocht je allemaal zwart maken, dus dat heb ik uiteraard ook gedaan.

                                            En verder: een werkgever is niet alleen gerechtigd, maar zelfs verplicht om een kopie van het ID van zijn medewerkers te bewaren. Ik weet dat vrijwilligerswerk in allerlei gevallen gelijk is gesteld aan betaald werk, alleen niet precies in welke gevallen.

                                                Tem Ik geloof best dat hij deze procedure volgt.

                                                Dat deed ik ook, totdat ik van een ander crewlid dan Danny ineens informatie over mezelf terugkreeg die je anders eigenlijk niet kon weten.

                                                • Tem replied to this.

                                                    tsjok Maakt het geheel enkel nog waziger. Dit zou betekenen dat klanten / websitebezoekers hun eigen gebruikersnaam opzettelijk ergens anders kunnen plaatsen, daar wat "identificeerbare gegevens" aan kunnen koppelen, en daardoor in hun recht staan wanneer het gaat om de AVG regeling, waardoor ze bedrijven en organisaties opzadelen met stapels werk.

                                                        Tem Wat levert een ID voor informatie op? Je weet dan iemands naam, maar dat is nog geen garantie dat iemand een kundig crewlid is en geen kwaad in de zin heeft. Tenzij Danny van plan is mensen te chanteren met die gegevens of zo, maar dat zou absurd zijn. En verder vind ik dit echt een goed punt:

                                                        sigme Verder was een motivatie voor dat ID, dat crew die nooit meer terug mocht keren als crew, zonder ID-plicht, met een andere usernaam tóch terug zou kunnen komen. Okee.. maar hoe verhoudt zich dat tot vernietigen ID wanneer iemand de crew verlaat?

                                                        • Tem replied to this.