Posts

Op 22 januari heeft de Autoriteit Persoonsgegevens met de lancering van een nieuwe vacature-website een vertrouwde traditie van het crowdsourcen van compliance controles voortgezet. De nieuwe vacaturewebsite van de AP maakt namelijk gebruik van cookies van Google Analytics en Vimeo/Cloudflare. Ik heb direct dezelfde dag de FG gemaild met deze observatie. Vandaag heeft de AP het mogelijk gemaakt voor betrokkenen om een pagina op te zoeken op de website van de AP om te achterhalen wat er is gebeurd. Dat beschrijf ik bewust wat omslachtig omdat de informatie best lastig te vinden is als je niet al weet dat de AP deze fout heeft gemaakt. ...

Ik krijg af en toe vragen over het gebruik van Google Analytics. Mag dat wel (zonder toestemming) onder de AVG? De Autoriteit Persoonsgegevens heeft in het verleden een handleiding gepubliceerd. Deze handleiding is een paar keer bijgewerkt. Maar op een gegeven moment zijn alle handleidingen zonder uitleg van de website van de AP verdwenen. Ook het archief van de AP is onvolledig. De AP geeft ook tot nu toe ook geen uitleg waarom het archief onvolledig is. Omdat ik al meerdere maanden wacht op de AP die me zou terugbellen over het archief heb ik maar een Woo-verzoek ingediend voor de Google Analytics handleiding. Dat is in ieder geval binnen vier weken geregeld. Ik denk dat het efficiënter kan. ...

Supervisory authorities should view supply chains as an asset to use in their enforcement activities instead of an obstacle in their investigations. Let’s use two examples by the Dutch data protection authority (AP) as an example: Locatefamily.com and Clearview AI. Locatefamily.com On December 10 2020 the AP fined the website Locatefamily € 525.000,- for violations of the GDPR. Locatefamily.com did not end the violation and bluntly refused to provide information about the identity of the controller and refused to pay the fine. In an interview dated August 26 2024, the AP explained that it made an effort to find out who hosted the website in order to find out the address of the company behind Locatefamily.com but failed in its effort and the AP, practically admitting defeat, closed the case. ...

Meer dan een jaar geleden heb ik een blogpost geschreven over twee bedrijven die veel gebruikt worden voor het monitoren van sociale media. Daarin heb ik beschreven dat het gebrek aan transparantie een probleem is. Ik wil meer schrijven over het monitoren van mensen op het internet, maar mede vanwege het gebrek aan transparantie heeft het zo lang geduurt om met een update te komen. Hieronder wil ik het hebben over OBI4wan (tegenwoordig Spotler Engage), de Belgische en Nederlandse Politie. ...

Deze blogpost is deel vier van een serie en de derde over specifieke issues met betrekking tot Hâck The Hague 2023 en dat geeft gelijk al een hint over het verloop van het CVD proces: langdurig en moeizaam. Dat is niet te wijten aan individuele medewerkers van de gemeente die ik heb gesproken. Zeker als ik ze buiten e-mail om spreek, zijn het stuk voor stuk vriendelijke mensen die dit goed willen oplossen. Maar zodra er iets moet worden afgestemd is dat bijna een garantie voor miscommunicatie, vertraging en het verbreken van afspraken. ...

Nadat ik de websites van politieke partijen heb bekeken zijn nu ook de nieuwsbrieven van de partijen aan de beurt. Ik heb tracking pixels in de nieuwsbrieven van de volgende partijen aangetroffen: VVD D66 GROENLINKS / Partij van de Arbeid (PvdA) PVV (Partij voor de Vrijheid) SP (Socialistische Partij) Forum voor Democratie Partij voor de Dieren ChristenUnie Volt JA21 BBB Deze tracking pixels gaan niet altijd samen met cookies. Maar ook tracking pixels zonder cookies vallen onder wat (onterecht) de ‘cookiewet’ wordt genoemd. Geheel toevallig heeft de EDBP eergisteren de Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive gepubliceerd ter publieke consultatie waarin hoofdstuk 3.1 wat meer achtergrond geeft hierover. ...

Net als vorige Tweede Kamerverkiezingen houdt ik in de gaten of politieke partijen onrechtmatig mensen volgen op hun websites. De tijdlijn ziet er op hoofdlijnen als volgt uit: 23 oktober 2023 Eerste reproduceerbare scan van de websites van de 26 partijen die meedoen. 26 oktober 2023 Ik vul het tipformulier van de AP in met een samenvatting van mijn bevindingen uit de eerste scan. 1 november 2023 De AP publiceert de waarschuwingsbrief aan politieke partijen. Deze brief is gedateerd 12 oktober 2023 en is aangetekend verzonden. Dat betekent dat de partijen op het moment van de eerste scan bijna twee weken gehad hebben om iets te doen met de waarschuwing. 3 november 2023 Ron Roozendaal publiceert een blogpost, mede op basis van mijn scanresultaten. 8 november 2023 De NOS publiceert een artikel waarin mijn onderzoek deels gereproduceert is door Joost schellevis en Rob van Eijk. In het artikel geeft de autoriteit aan geschrokken te zijn dat de partijen na de waarschuwingsbrief nog zonder toestemming volgcookies gebruiken. De AP was hierover op 26 oktober al voor gewaarschuwd. In het 8 uur journaal (vanaf 7:07) gaat het ook over dit onderwerp. In die uitzending geeft Aleid Wolfsen aan de partijen (verder ongespecificeerd welke) om opheldering te vragen. In onderstaande tabel heb ik voor de verschillende partijen aangegeven wanneer ik welke trackers voor het laatst heb gezien bij elke partij. Dikgedrukte velden geven nog niet opgeloste problemen op. Uitleg over het verwijderen van de verzamelde persoonsgegevens en het informeren van betrokkenen is hier te vinden. ...

What happened? Stripchat is a website owned by Technius Ltd. in Cyprus that hosts a large amount of aduld webcam operators. The owner has been reprimanded by the Cyprus data protection authority for a breach of over 64 million user accounts and not informing them properly about the breach. I didn’t know the website before, but on Oktober 22 2019 I get an e-mail from the website that an account has been created on this website. These kinds of e-mails are relatively common for me so I don’t pay any attention to the e-mail. ...

Op 31 juli heb ik bij de gemeente Den Haag een aantal issues gemeld. Het hele proces is nogal moeizaam verlopen. Elke keer als ik telefonisch of persoonlijk contact heb met medewerkers van de gemeente heb ik het gevoel dat we elkaar begrijpen, maar van de geschreven communicatie krijg ik het idee dat er gigantische miscommunicatie is of dat de gemeente terugkomt op toezeggingen. Pogingen om in te gaan op de uitnodiging om te overleggen over wat er fout gaat en hoe het beter kan worden door de gemeente genegeerd. Dit is de tweede keer dat ik wat heb proberen te melden bij de gemeente Den Haag en de tweede keer dat het (volgens mij wederzijds) bijzonder slecht is bevallen. Het oplossen van kwetsbaarheden lijkt al lastig genoeg, maar het degelijk herstellen van onrechtmatige verwerkingen is schijnbaar een recept voor conflict. ...

Vandaag heeft Ron Roozendaal een blogpost geschreven over politieke partijen die onrechtmatig allerlei tracking cookies gebruiken op hun websites. En ik moet eerlijk bekennen dat ik er een beetje moe van wordt. Alleen al bij politieke partijen blijft de AP keer op keer op keer op keer bezig met zelfs een waarschuwingsbrief tot gevolg. Zelfs als hele concrete overtredingen worden aangereikt is handhaving door de AP niet zichtbaar aanwezig. En het speelt heus niet alleen bij politieke partijen, maar die politieke context maakt de verwerkingen natuurlijk wel extra gevoellig. Bovendien, als partijen door middel van onrechtmatige verwerkingen een oneerlijk voordeel behalen tijdens een verkiezing is de uitslag onomkeerbaar. Geen wonder dat als je zelfs met welwillende partijen praat je terug kan krijgen dat het oneerlijk is omdat de concurenten het wel zo doen. ...