Data Protection

De Autoriteit Persoonsgegevens heeft een enorm toezichtsgebied en vraagt geheel terecht regelmatig om een hoger budget. Een van de kerntaken van de AP waar maatschappelijk veel vraag naar is, is het uitvoeren van onderzoeken en (waar gepast) ook boetes opleggen. In nieuwsberichten ligt de focus helaas te vaak op de boetes. Afhankelijk van de context kunnen reprimandes, lasten onder dwangsom, verwerkingsverboden, etc. ook hele terechte en effectieve uitkomsten van onderzoeken zijn. ...

Vanaf het begin van het Nederlandse algoritmeregister ben ik een enthousiast voorstander. Sinds de (met ruime meerderheid aangenomen) motie van Klaver waarin wordt opgeroepen tot de oprichting van het register, kijk ik uit naar de mogelijkheid voor burgers om toezicht te kunnen houden op algoritmegebruik door de overheid. MOTIE VAN HET LID KLAVER C.S. Voorgesteld 19 januari 2021 De Kamer, gehoord de beraadslaging, […] verzoekt de regering, voorts een algoritmeregister op te zetten waarin beschreven wordt welke algoritmen de overheid gebruikt, voor welk doel en op basis van welke datasets opdat iedereen toezicht kan houden op al dan niet discriminerende algoritmen, en gaat over tot de orde van de dag. ...

Op 22 januari heeft de Autoriteit Persoonsgegevens met de lancering van een nieuwe vacature-website een vertrouwde traditie van het crowdsourcen van compliance controles voortgezet. De nieuwe vacaturewebsite van de AP maakt namelijk gebruik van cookies van Google Analytics en Vimeo/Cloudflare. Ik heb direct dezelfde dag de FG gemaild met deze observatie. Vandaag heeft de AP het mogelijk gemaakt voor betrokkenen om een pagina op te zoeken op de website van de AP om te achterhalen wat er is gebeurd. Dat beschrijf ik bewust wat omslachtig omdat de informatie best lastig te vinden is als je niet al weet dat de AP deze fout heeft gemaakt. ...

Ik krijg af en toe vragen over het gebruik van Google Analytics. Mag dat wel (zonder toestemming) onder de AVG? De Autoriteit Persoonsgegevens heeft in het verleden een handleiding gepubliceerd. Deze handleiding is een paar keer bijgewerkt. Maar op een gegeven moment zijn alle handleidingen zonder uitleg van de website van de AP verdwenen. Ook het archief van de AP is onvolledig. De AP geeft ook tot nu toe ook geen uitleg waarom het archief onvolledig is. Omdat ik al meerdere maanden wacht op de AP die me zou terugbellen over het archief heb ik maar een Woo-verzoek ingediend voor de Google Analytics handleiding. Dat is in ieder geval binnen vier weken geregeld. Ik denk dat het efficiënter kan. ...

Supervisory authorities should view supply chains as an asset to use in their enforcement activities instead of an obstacle in their investigations. Let’s use two examples by the Dutch data protection authority (AP) as an example: Locatefamily.com and Clearview AI. Locatefamily.com On December 10 2020 the AP fined the website Locatefamily € 525.000,- for violations of the GDPR. Locatefamily.com did not end the violation and bluntly refused to provide information about the identity of the controller and refused to pay the fine. In an interview dated August 26 2024, the AP explained that it made an effort to find out who hosted the website in order to find out the address of the company behind Locatefamily.com but failed in its effort and the AP, practically admitting defeat, closed the case. ...

Meer dan een jaar geleden heb ik een blogpost geschreven over twee bedrijven die veel gebruikt worden voor het monitoren van sociale media. Daarin heb ik beschreven dat het gebrek aan transparantie een probleem is. Ik wil meer schrijven over het monitoren van mensen op het internet, maar mede vanwege het gebrek aan transparantie heeft het zo lang geduurt om met een update te komen. Hieronder wil ik het hebben over OBI4wan (tegenwoordig Spotler Engage), de Belgische en Nederlandse Politie. ...

Deze blogpost is deel vier van een serie en de derde over specifieke issues met betrekking tot Hâck The Hague 2023 en dat geeft gelijk al een hint over het verloop van het CVD proces: langdurig en moeizaam. Dat is niet te wijten aan individuele medewerkers van de gemeente die ik heb gesproken. Zeker als ik ze buiten e-mail om spreek, zijn het stuk voor stuk vriendelijke mensen die dit goed willen oplossen. Maar zodra er iets moet worden afgestemd is dat bijna een garantie voor miscommunicatie, vertraging en het verbreken van afspraken. ...

Nadat ik de websites van politieke partijen heb bekeken zijn nu ook de nieuwsbrieven van de partijen aan de beurt. Ik heb tracking pixels in de nieuwsbrieven van de volgende partijen aangetroffen: VVD D66 GROENLINKS / Partij van de Arbeid (PvdA) PVV (Partij voor de Vrijheid) SP (Socialistische Partij) Forum voor Democratie Partij voor de Dieren ChristenUnie Volt JA21 BBB Deze tracking pixels gaan niet altijd samen met cookies. Maar ook tracking pixels zonder cookies vallen onder wat (onterecht) de ‘cookiewet’ wordt genoemd. Geheel toevallig heeft de EDBP eergisteren de Guidelines 2/2023 on Technical Scope of Art. 5(3) of ePrivacy Directive gepubliceerd ter publieke consultatie waarin hoofdstuk 3.1 wat meer achtergrond geeft hierover. ...

Net als vorige Tweede Kamerverkiezingen houdt ik in de gaten of politieke partijen onrechtmatig mensen volgen op hun websites. De tijdlijn ziet er op hoofdlijnen als volgt uit: 23 oktober 2023 Eerste reproduceerbare scan van de websites van de 26 partijen die meedoen. 26 oktober 2023 Ik vul het tipformulier van de AP in met een samenvatting van mijn bevindingen uit de eerste scan. 1 november 2023 De AP publiceert de waarschuwingsbrief aan politieke partijen. Deze brief is gedateerd 12 oktober 2023 en is aangetekend verzonden. Dat betekent dat de partijen op het moment van de eerste scan bijna twee weken gehad hebben om iets te doen met de waarschuwing. 3 november 2023 Ron Roozendaal publiceert een blogpost, mede op basis van mijn scanresultaten. 8 november 2023 De NOS publiceert een artikel waarin mijn onderzoek deels gereproduceert is door Joost schellevis en Rob van Eijk. In het artikel geeft de autoriteit aan geschrokken te zijn dat de partijen na de waarschuwingsbrief nog zonder toestemming volgcookies gebruiken. De AP was hierover op 26 oktober al voor gewaarschuwd. In het 8 uur journaal (vanaf 7:07) gaat het ook over dit onderwerp. In die uitzending geeft Aleid Wolfsen aan de partijen (verder ongespecificeerd welke) om opheldering te vragen. In onderstaande tabel heb ik voor de verschillende partijen aangegeven wanneer ik welke trackers voor het laatst heb gezien bij elke partij. Dikgedrukte velden geven nog niet opgeloste problemen op. Uitleg over het verwijderen van de verzamelde persoonsgegevens en het informeren van betrokkenen is hier te vinden. ...

What happened? Stripchat is a website owned by Technius Ltd. in Cyprus that hosts a large amount of adult webcam operators. The owner has been reprimanded by the Cyprus data protection authority for a breach of over 64 million user accounts and not informing them properly about the breach. I didn’t know the website before, but on Oktober 22 2019 I get an e-mail from the website that an account has been created on this website. These kinds of e-mails are relatively common for me so I don’t pay any attention to the e-mail. ...