GDPR/AVG - Wet met verregaande gevolgen voor afiliate site*

Pagina: 1
Acties:

Acties:
  • +1 Henk 'm!

  • fritsjof
  • Registratie: Juni 2003
  • Laatst online: 21-09 15:20
Beste,

Ik heb even gezocht op dit sub-forum over de GDPR maar kreeg geen enkele hit, dus ik heb dit topic geopend. Als ik met m'n neus heb gekeken dan lees ik graag waar ik wel moet zijn.

Het probleem:

Recent ontvikg ik van affiliate-network Performance Horizon een mailing met daarin de mededeling dat de GDPR (General Data Protection Regulation), Europese wetgeving die per 25 mei 2018 in werking zal treden, grote gevolgen zal hebben voor iedereen met een website/blog/mailinglist die inwoners van de EU als bezoeker heeft.

Ik had ergens wel eens van deze regelgeving gehoord maar er nooit verder over gelezen. Het bericht van PH triggerde bij mij een 'effe verder zoeken'-reactie en ik vond veel info bij Frank Watching over de GDPR (o.a. dit artikel).

Ik ging er in eerste instantie vanuit dat ik op mijn blogs geen data verzamel, maar dat 3e partijen (Google Analytics, Adsense, affiliate networks) dat doen. Dus waarom moet ik dan wat aanpassen?

En ook: ik heb een country-block op mijn Nederlandse sites, dus ik heb alleen met Nederlanders te maken.

En als laatste: Ik ga gewoon iedereen toegang tot mijn content weigeren die geen cookies accepteert, dus: wil je mijn content consumeren? Dan even cookies accepteren.

Maar helaas: reacties op mijn aannames bleken verontrustend.

1. Ik faciliteer het verzamelen van gegevens door derden op mijn sites, dus ben ik de 'gatekeeper' en dus verantwoordelijk voor het voldoen aan deze nieuwe wet- en regelgeving.
2. Country-blocks zijn niet langer toegestaan (jij bepaalt wie er op je website komt? Ha! Vergeet het maar!)
3. Alle bezoekers zonder cookie-consent gewoon weigeren is niet toegestaan.

Wat blijkt:
Ik moet op mijn sites gaan bijhouden welke bezoeker wel en welke niet instemt met het gebruik van cookies, ik moet dat loggen en kunnen overleggen. Dus waar ik voorheen geen data verzamelde, moet ik dat nu wel gaan doen.

Ik moet de data van elke bezoeker in een eenvoudig te transporteren format opslaan en aan dienstverleners (lees: sites) met dezelfde dienstverlening kunnen doorgeven/transporteren.

Ik moet de (voor mij onbegrijpelijke) wet- en regelgeving in 'normale mensentaal' omzetten zodat de bezoeker begrijpt waarvoor hij cookies accepteert. Dit moet voor alle bezoekers uit de EU begrijpelijk zijn, dus moet dit in alle in de EU gesproken talen beschikbaar zijn (of alleen Engels? Ik heb geen idee).

Ik moet de bezoeker de optie geven de cookies te accepteren, en dan niet alles tegelijk, nee ik moet de bezoeker per soort cookie toestemming vragen. Ik mag de vinkjes niet vooraf zetten in de checkboxes, nee, de bezoeker moet dit zelf aanklikken.

En dit is nog maar wat ik er tot nu toe over heb geleerd. De GDPR heeft verregaande gevolgen voor iedereen met een website/blog/mailinglist, en de boetes bij het niet voldoen aan deze wet- en regelgeving is enorm: €20 miljoen of 4% van de omzet ('whatever is highest').

Het verbaast me een beetje dat er niet veel ophef is over deze wetgeving, die heel snel zal worden ingevoerd en hele grote gevolgen heeft: browsers moeten de mogelijkheid gaan bieden voor gebruikers om cookies standaard overal wel of overal niet te accepteren, dus ook browser-bouwers zijn hard bezig deze wijzigingen te implementeren.
Het probleem is echter, voor alle partijen, dat niemand precies weet wat er precies gedaan moet worden, wat er nodig zal zijn.

Ik heb een verzoek tot ondersteuning ingediend bij Bol.com (webshop+affiliate network), Tradetracker (Affiliate network) en Amazon (webshop+affiliate network).

Ik heb enkel van Bol.com een reactie gekregen, die luidt als volgt:
Bol.com heeft alle maatregelen genomen om te voldoen aan de wet. Voor jouw eigen website ben jij zelf verantwoordelijk om aan de eisen te voldoen. Het is zo dat als een consument geen toestemming geeft voor de cookie de order niet bij ons doorkomt en jij geen commissie ontvangt. Echter is dat op dit moment ook al het geval.
Toen ik vroeg of er ondersteuning zou komen voor de affiliates, omdat wij ten slotte de cookies voor Bol.com faciliteren ('gatekeeper functie') en we niets meer verdienen zodra deze cookies niet meer geplaatst gaan worden, ontving ik:
Het is de eigen verantwoordelijkheid van onze partners om te voldoen aan de nieuwe wetgeving. Om deze reden hebben wij dan ook geen tools ter ondersteuning. Waarschijnlijk zal er binnenkort nog een artikel op het Partnerblog geplaatst worden met een uitgebreide toelichting.
Ik lees daarin dat grote partijen zich niet willen branden aan deze wet, en zich dan ook niet uitlaten over hoe er mee om te gaan. Mogelijk is de GDPR zo complex en zo verstrekkend dat het (nog) niet mogelijk is te overzien wat de gevolgen gaan zijn. Een grote partij als Tradetracker, die leeft van het faciliteren van affiliate marketing, is opvallend stil over dit onderwerp, en, zoals gezegd, liet alleen Performance Horizon weten met het onderwerp bezig te zijn.

Ik hoop dat ik de enige ben die zich zorgen maakt over deze nieuwe wet en dat het allemaal wel los zal lopen, maar ik vrees van niet; wat je allemaal kan verwachten en wat er allemaal niet mag is wel duidelijk, maar hoe je hier, als blogger, mee om moet gaan (technisch) kan/wil niemand echt vertellen, zo lijkt het.
Ik ben een groot voorstander van meer privacy (voor mij geen sleepnet!) maar de GDPR is, wat mij betreft, een gedrocht dat juist zorgt voor meer data-logging en meer cookie-ongemak, voor alle betrokken partijen.

Nog wat leesvoer bij Marketingfacts.

Bekabelde WIFI


Acties:
  • +1 Henk 'm!

  • Railgunner
  • Registratie: Maart 2001
  • Laatst online: 17:17
De GDPR is geen cookiewet, maar een wet om de verwerking van persoonsgegevens te reguleren.

Het verbaast mij dat je blijkbaar te maken hebt met de verwerking van persoonsgegevens en nu pas van deze wet op de hoogte bent. De wet is in mei 2016 in werking getreden en op bijv. LinkedIn zie ik het onderwerp dagelijks voorbijkomen. Ik word op mijn werk ook regelmatig gebeld door adviesbureau's die willen helpen met de implementatie van de aangepaste regelgeving in onze processen en systemen.

Intel Core i7-6700 | 16 GB | GeForce GTX1060 6 GB | 850 EVO 500 GB SSD + 1 TB HDD | 34" QHD | Logitech G5 | Win10 Pro x64
Apple iPad 2025 128 GB | Apple iPhone 15 Pro 128 GB | Sony 49" 4K Android TV | Sony 5.1 Blu-Ray home cinema


Acties:
  • 0 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

fritsjof schreef op maandag 19 maart 2018 @ 10:17:
Ik ging er in eerste instantie vanuit dat ik op mijn blogs geen data verzamel, maar dat 3e partijen (Google Analytics, Adsense, affiliate networks) dat doen. Dus waarom moet ik dan wat aanpassen?

En ook: ik heb een country-block op mijn Nederlandse sites, dus ik heb alleen met Nederlanders te maken.
Jouw site, jouw verantwoordelijkheid te verifieren dat die anderen (verwerkers) goed omspringen met de persoonsgegevens zoals IP-adressen. Zo heeft Google een verwerkersovk - en moet je verifieren dat Google als Amerikaanse partij onder het EU-US Privacy Shield valt.
Ik moet op mijn sites gaan bijhouden welke bezoeker wel en welke niet instemt met het gebruik van cookies, ik moet dat loggen en kunnen overleggen. Dus waar ik voorheen geen data verzamelde, moet ik dat nu wel gaan doen.
Bijhouden kan in de cookie zelf? Dan wel de methode administreren (wat is sinds wanneer de concrete cookie-vraag, wat als ja, wat als nee). Dat lijkt me zat. Natuurlijku wel doen wat je zegt en bijhouden wat je aanpast.
Ik moet de data van elke bezoeker in een eenvoudig te transporteren format opslaan en aan dienstverleners (lees: sites) met dezelfde dienstverlening kunnen doorgeven/transporteren.
Welke data heb je? Zorg dat je geen data opslaat en je hebt niets te verschaffen.


offtopic:
Ik ben zo vrij een alias te maken naar Privacy & Beveiliging waar het onderwerp al wel langer speelt :P
Ik vraag de lokale mods hier ook om de topictitel wat aan te passen omdat het inderdaad bepaald geen cookiewet is.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • 0 Henk 'm!

  • fritsjof
  • Registratie: Juni 2003
  • Laatst online: 21-09 15:20
Welke data heb je? Zorg dat je geen data opslaat en je hebt niets te verschaffen.
Je bent verplicht van elke bezoeker zijn voorkeur(en) op te slaan (wel of geen cookies, indien wel -> welke dan wel en welke niet?) dus dat moet je altijd opslaan, en dus kunnen verschaffen.

[ Voor 56% gewijzigd door fritsjof op 19-03-2018 11:45 ]

Bekabelde WIFI


Acties:
  • 0 Henk 'm!

  • fritsjof
  • Registratie: Juni 2003
  • Laatst online: 21-09 15:20
Railgunner schreef op maandag 19 maart 2018 @ 10:25:
[..]
Het verbaast mij dat je blijkbaar te maken hebt met de verwerking van persoonsgegevens en nu pas van deze wet op de hoogte bent. De wet is in mei 2016 in werking getreden [..]
Volgens mij treedt de GDPR op 25-5-2018 in werking en vervangt hij eerdere wetgeving.
En volgens de GDPR is iedereen met een website die bijhoudt hoeveel bezoekers hij heeft een verzamelaar van persoonsgegevens (anonieme data of niet). Dus als je een leuk hobbyblogje hebt en daar via Google Analytics bijhoudt hoeveel bezoekers je hebt, dan moet je aan de GDPR voldoen.

Maar wellicht dat ik er echt helemaal niets van heb begrepen hoor, dat zou kunnen, ik ga af op wat ik online vind hierover, zoals deze countdown timer voor de wet, of in hun woorden:
"The EU General Data Protection Regulation (GDPR) is the most important change in data privacy regulation in 20 years"
Als deze wet eigenlijk al in 2016 in werking zou zijn getreden, waarom wordt hij dan nu pas zo groots aangekondigd? :?

Bekabelde WIFI


Acties:
  • 0 Henk 'm!

  • drice
  • Registratie: December 2000
  • Laatst online: 09:26

drice

Loading...

De wet is al sinds 2016 in werking, alleen is er een soort van overgangsregeling dat bedrijven tot 25 mei 2018 de tijd hebben te voldoen. Daarna kunnen er controles worden uitgevoerd en boetes worden opgelegd.

Ik snap dat voor een particulier dit redelijk onduidelijk is, maar voor een bedrijf moet dit niet als verrassing komen.

Did you know that IF is a middle word in life. "Ja maar wie ben ik om aan mezelf te twijfelen"


Acties:
  • 0 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Er is overigens best wat mogelijk, mits goed geregeld, goed onderbouwd, etc. Maar regel het wel proportioneel goed in. En terecht.

Een beetje meer aandacht voor je klanten bij affiliatie-sites je producten ( ;) ) is helemaal niet verkeerd. Maar wees niet te angstig voor de genoemde boete. Je kunt twee maanden cel krijgen vanwege ‘een artikeltje 5’ bij autorijden maar dat betekent niet dat je die ook krijgt zodra je even niet oplet op de weg.
fritsjof schreef op maandag 19 maart 2018 @ 12:18:

Dus als je een leuk hobbyblogje hebt en daar via Google Analytics bijhoudt hoeveel bezoekers je hebt, dan moet je aan de GDPR voldoen.
En dat is een mooi voorbeeld van waarom die wet er nu is. Het is helemaal niet nodig om tot op IP-adres analytics bij te houden. https://support.google.com/analytics/answer/2763052
Als deze wet eigenlijk al in 2016 in werking zou zijn getreden, waarom wordt hij dan nu pas zo groots aangekondigd? :?
Dit is al zeker een jaar “overal” gaande. Maar ook drie jaar geleden las ik er al over. Alleen niet op de voorpagina van de krant, maar dat is ook niet zo voor pak-em-beet nieuwe regels voor je bedrijfsadministratie of over de uitstoot van je leaseauto.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • 0 Henk 'm!

  • fritsjof
  • Registratie: Juni 2003
  • Laatst online: 21-09 15:20
Dank, opnieuw, voor de reacties.
F_J_K schreef op maandag 19 maart 2018 @ 13:16:
Er is overigens best wat mogelijk, mits goed geregeld, goed onderbouwd, etc. Maar regel het wel proportioneel goed in. En terecht.
[...]
Het probleem is, voor een 'kleine man': hoe regel je dit goed en hoe onderbouw je dit goed? Ga ik een jurist in dienst nemen? Ga ik een software-ontwikkelaar vragen voor mij een implentatie te bouwen?
Dat kan toch niemand betalen?

Ik lees overal wat me te wachten staat, lappen tekst, de EU biedt me een tig pagina's tellende tekst over de wet met condities, restricties, etc. Heel mooi. Maar hoe ga ik dit toepassen? Hoe ga ik er voor zorgen dat ik voldoe aan die wet? Ik heb daar de juridische kennis niet voor, en ook de technische kennis niet. Ik heb gewoon een paar affiliate-blogjes met wat Adsense-banners.

Ik begrijp dat het voor bedrijven prima te regelen is, maar ik val daar niet onder... 8)7

Bekabelde WIFI


Acties:
  • 0 Henk 'm!

  • Wouterkaas
  • Registratie: April 2009
  • Laatst online: 09:13
De GDPR wordt in Nederland ook wel de Algemene Verordening Gegevensbescherming (AVG) genoemd, daar zul je denk ik aanzienlijk meer hits op krijgen. Het is een Europese verordening die inderdaad al in 2016 in werking is getreden, maar hij is in Nederland pas van toepassing als er een nationale uitvoeringswet van gemaakt is en daarvoor hebben lidstaten 2 jaar de tijd gekregen. Uiteindelijk is de hele mikmak vanaf 25 mei 2018 daadwerkelijk van toepassing, vandaar de verschillende data.

Die uitvoeringswet is toevallig vorige week aangenomen door de Tweede Kamer, waardoor er ook meer bekend is over hoe die wet er in Nederland uit gaat zien. Daarbij is overigens ook een amendement aangenomen dat voorschrijft dat administratieve lasten voor kleine en micro ondernemingen zoveel mogelijk voorkomen moeten worden.

Laat je niet bang maken door de boetes, dat loopt in jouw geval echt wel los hoor. De bedragen die je noemt zijn de maximumbedragen. Je kunt evengoed geen of 1 euro boete krijgen. Zorg dat jij je administratie goed op orde hebt en dat je daar zorgvuldig mee omgaat.

Het lijkt me onwaarschijnlijk dat je een heel circus moet optuigen, maar ik sluit me wel aan bij wat F_J_K zegt. Is het voor jou niet te overwegen om eens (eenmalig) een jurist te raadplegen en diegene voor te leggen waar jij nou precies aan moet voldoen? Dan weet je gelijk of je 'proof' bent of wat je moet doen om dat wel te zijn.

Acties:
  • 0 Henk 'm!

  • fritsjof
  • Registratie: Juni 2003
  • Laatst online: 21-09 15:20
@Wouterkaas dank voor je reactie.

Ik zou inderdaad een jurist kunnen vragen waar ik aan zou moeten voldoen. Hij zal mij dan zeggen wat ik moet doen, maar een jurist kan me niet zeggen hoe ik dat technisch voor elkaar krijg (onderdelen van sites weglaten indien geen cookies geaccepteerd, bepaalde tracking zo instellen dat het de ene data wel verzamelt, en de andere niet op basis van wat de bezoeker accepteert, alles laten vastleggen per gebruiker, etc.)
Dus die zal zeggen: ga dat dan maar een een developer voorleggen. Die zal op zijn beurt mij weer vragen gaan stellen over wat de jurist precies bedoelt met... Etc.

Ik ben lang niet de enige in de EU/NL die websites heeft met wat affiliate links en Adsense banners, dus zouden we dan allemaal een jurist moeten raadplegen? En allemaal onze eigen software laten ontwikkelen die de aanwijzingen van de jurist in de praktijk brengt?

Daar zit voor mij het grote struikelblok: natuurlijk voldoe ik graag aan de wet, prima, privacy is een groot goed en ik gebruik zelf al jaren ghostery en blockers, dat is het punt niet.
Maar het vergt zoveel juridische kennis om die regels te snappen en technische kennis om het te implementeren, of idem financiele middelen om het te laten doen, dat ik vermoed dat de impact voor de kleine professional nogal wordt onderschat.

Bekabelde WIFI


Acties:
  • 0 Henk 'm!

  • Wouterkaas
  • Registratie: April 2009
  • Laatst online: 09:13
Ja, dat is het lastige met die AVG: het is voor iedereen nieuw. Dan krijg je onvermijdelijk twee stromen: iedereen gaat naar elkaar kijken of iedereen gaat zelf het wiel uitvinden.

Probeer in elk geval zo transparant mogelijk te zijn over wat je doet naar je bezoekers. Geef aan wanneer er gebruik gemaakt wordt van tracking cookies, leg uit waarom dat noodzakelijk is voor het gebruik van jouw blog en dat als ze dat niet oke vinden ze geen gebruik kunnen maken van jouw website. Het is zeker geen totaaloplossing, maar als basis is het belangrijkste voor jou dat je een goed verhaal hebt. Als jij uit kunt leggen waarom jouw site op deze manier werkt en waarom die verwerking nodig is voor het functioneren daarvan, dan sta je al veel sterker in het geval dat je een keer gehannes aan je broek krijgt.

Acties:
  • 0 Henk 'm!

  • The Eagle
  • Registratie: Januari 2002
  • Laatst online: 10:28

The Eagle

I wear my sunglasses at night

Mijn zusje heeft een logopediepraktijk en toevallig hadden we het hier gisteren over. Paar wellicht nuttige links:
https://autoriteitpersoon...s/avg_in_een_notendop.pdf
Onderin de pdf staat een stappenplan genoemd.
Verder kwam ik https://www.intramed.nl/wp-content/uploads/AVG-checklist.pdf tegen. Wellicht schept dat ook duidelijkheid :)

De wet zegt dat je dingen bij moet houden en moet kunnen aantonen. Ze zeggen alleen wat, niet hoe. Dat is aan jou. Dus ik denk dat je eerst moet inventariseren wat je bij moet / mag houden en waar je toestemming voor moet vragen / hebben, dat tegen je huidige gang van zaken aanhouden, en dan pas het hoe bedenken.

En idd, die wet is er al een tijdje maar wordt vanaf 25 mei pas actief op gecontroleerd. Nou is de algehele consensus qua verwachting dat de controles in eerste instantie bij grote of high profile bedrijven plaats zullen vinden, maar dat ontheft je niet van je plichten. Worst case krijg je een zware boete en gaat je bedrijf op de fles. Dan maak je een doorstart en dan ben je er ook weer. Die kant wil je niet in, dus zul je iets moeten :)

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


Acties:
  • 0 Henk 'm!

  • DiedX
  • Registratie: December 2000
  • Laatst online: 15:37
Ha Fritsjof,

Ik vraag me een aantal zaken af. Je poneert wat stellingen, maar ik mis de onderbouwing hierbij. Ik ga er naar kijken vanuit mijn visie...
fritsjof schreef op maandag 19 maart 2018 @ 10:17:

1. Ik faciliteer het verzamelen van gegevens door derden op mijn sites, dus ben ik de 'gatekeeper' en dus verantwoordelijk voor het voldoen aan deze nieuwe wet- en regelgeving.
'gatekeeper' ken ik niet. Je bent uiteindelijk controller van de data, dus je moet inderdaad hier keuzes in gaan maken.
2. Country-blocks zijn niet langer toegestaan (jij bepaalt wie er op je website komt? Ha! Vergeet het maar!)
Bron?
3. Alle bezoekers zonder cookie-consent gewoon weigeren is niet toegestaan.
Klopt. Je moet een keuze aan kunnen bieden.
Ik moet op mijn sites gaan bijhouden welke bezoeker wel en welke niet instemt met het gebruik van cookies, ik moet dat loggen en kunnen overleggen. Dus waar ik voorheen geen data verzamelde, moet ik dat nu wel gaan doen.
Hmmz. Nee, je moet bij gaan houden wie er consent geeft voor direct-marketing cookies. Alle andere technische zut hoef je echt niet bij te gaan houden. Dan heb je een dedicated server nodig voor alleen die consent.

Desalniettemin: je móet een keuze aan gaan bieden óf uitgaan van 'gerechtvaardigd belang', en laten zien dan je een afweging hebt gemaakt, waarbij iemand ook opt-out moet kunnen doen. Dát is al een klus an sich.
Ik moet de data van elke bezoeker in een eenvoudig te transporteren format opslaan en aan dienstverleners (lees: sites) met dezelfde dienstverlening kunnen doorgeven/transporteren.
Welke data heb je dan? Want IP-adressen mag je ook niet bijhouden. Dan wordt het een tuple in de vorm van : DiedX:$wachtwoord$:500:500. Succes met het mailen hiervan.
Ik moet de (voor mij onbegrijpelijke) wet- en regelgeving in 'normale mensentaal' omzetten zodat de bezoeker begrijpt waarvoor hij cookies accepteert. Dit moet voor alle bezoekers uit de EU begrijpelijk zijn, dus moet dit in alle in de EU gesproken talen beschikbaar zijn (of alleen Engels? Ik heb geen idee).
Nee, alleen Nederlands. Dáar target je op. En nee, dat is aangeven wát je doet met de data, en dan de klanten aan laten geven wat ze willen.
Ik moet de bezoeker de optie geven de cookies te accepteren, en dan niet alles tegelijk, nee ik moet de bezoeker per soort cookie toestemming vragen. Ik mag de vinkjes niet vooraf zetten in de checkboxes, nee, de bezoeker moet dit zelf aanklikken.
Zie boven.
En dit is nog maar wat ik er tot nu toe over heb geleerd. De GDPR heeft verregaande gevolgen voor iedereen met een website/blog/mailinglist, en de boetes bij het niet voldoen aan deze wet- en regelgeving is enorm: €20 miljoen of 4% van de omzet ('whatever is highest').
Nope. 2%, 4% is voor mensen die dóelbewust niet compliant willen zijn, of al een tik op de vingers hebben gehad, en daarna zich niet aanpassen.

Overigens kan de AP ook naar beneden qua boete. Het is dus van 0 - 'whatever is highest'. Ze zullen je bedrijf écht niet kapot maken.

Oftwel: wélke data heb je, en wát doe je er mee? Voor een simpele blog lijkt me je stress echt overdreven. Mocht die nog niet hoog genoeg zijn, kijk dan ook even naar de ePrivacy-directive. Dáár krijg ik stress van....

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards


Acties:
  • 0 Henk 'm!

  • Grvy
  • Registratie: Juni 2008
  • Laatst online: 13:31

Grvy

Bot

@DiedX ik kan er nu niet met bronnen op ingaan maar ben het afgelopen jaar bezig geweest met AVG en je gehele post liet mijn wenkbrauwen omhoog gaan. In mijn visie (en wat ik ervan weet) klopt er niks van.

Ik kom er later op terug als ik wat bronnen uit mijn eigen onderzoek terug gehaald heb. O-)

[ Voor 18% gewijzigd door Grvy op 19-03-2018 18:52 ]

Dit is een account.


Acties:
  • 0 Henk 'm!

  • DiedX
  • Registratie: December 2000
  • Laatst online: 15:37
Grvy schreef op maandag 19 maart 2018 @ 18:52:
@DiedX ik kan er nu niet met bronnen op ingaan maar ben het afgelopen jaar bezig geweest met AVG en je gehele post liet mijn wenkbrauwen omhoog gaan. In mijn visie (en wat ik ervan weet) klopt er niks van.
Heel graag! Ik volg nu een studie in Brugge inzake GDPR, dus laten we vooral kijken waar we bij elkaar komen, en waar we niet bij elkaar komen...

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards


Acties:
  • 0 Henk 'm!

  • JK
  • Registratie: Maart 2000
  • Laatst online: 07-10 08:35

JK

Ik ben wel benieuwd hoe je die aanpassingen voor Google Analytics doet en hoe je die bewerkersovereenkomst kan regelen met Google. Ik heb wat kleine websites (zonder useraccounts, puur opvraagbare info) en ik ga er in elk geval geen zeeën van tijd in steken als er van de andere kant weinig input komt. Met een mogelijke boete van 4% van de omzet schrikken ze mij als hobbyist niet af.

[ Voor 0% gewijzigd door JK op 19-03-2018 19:22 . Reden: typo ]


Acties:
  • 0 Henk 'm!

  • Yucon
  • Registratie: December 2000
  • Laatst online: 16:24

Yucon

*broem*

The Eagle schreef op maandag 19 maart 2018 @ 18:40:
En idd, die wet is er al een tijdje maar wordt vanaf 25 mei pas actief op gecontroleerd.
Toch wel jammer. Als ze nu gewoon wel al eerder met controles begonnen waren zonder boetes uit te schrijven lag er nu een duidelijke invulling.

Acties:
  • +1 Henk 'm!

  • DiedX
  • Registratie: December 2000
  • Laatst online: 15:37
JK schreef op maandag 19 maart 2018 @ 19:21:
Ik ben wel benieuwd hoe je die aanpassingen voor Google Analytics doet en hoe je die bewerkersovereenkomst kan regelen met Google. Ik heb wat kleine websites (zonder useraccounts, puur opvraagbare info) en ik ga er in elk geval geen zeeën van tijd in steken als er van de andere kant weinig input komt. Met een mogelijke boete van 4% van de omzet schrikken ze mij als hobbyist niet af.
Dit had je kunnen vinden. https://www.tijdvooreensi...e-verwerkersovereenkomst/

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards


Acties:
  • 0 Henk 'm!

  • NiGeLaToR
  • Registratie: Maart 2000
  • Laatst online: 14:22
GDPR geldt niet voor burgers, maar voor bedrijven. Dus als hobbyist kun je lekker doorrommelen ;-)

KOPHI - Klagen Op Het Internet podcast. Luister hier! – bejaardenexport, WEF en de LIDL kassa kwamen al voorbij. Meepraten als gast? DM mij!


Acties:
  • 0 Henk 'm!

  • The Eagle
  • Registratie: Januari 2002
  • Laatst online: 10:28

The Eagle

I wear my sunglasses at night

Yucon schreef op maandag 19 maart 2018 @ 19:32:
[...]

Toch wel jammer. Als ze nu gewoon wel al eerder met controles begonnen waren zonder boetes uit te schrijven lag er nu een duidelijke invulling.
Nee, want het is wetgeving en de naleving daarvan ligt bij de bedrijven. Niet bij de overheid. Als bedrijf wordt jij, net als individu, geacht de wet te kennen.
Verder: Wat jij voorstelt is ongeveer net zoiets als actief mensen van de snelweg plukken die 130 rijden in een 130 gebied. Om ze vervolgens te melden dat er nu nog een gedoogbeleid geldt, maar dat ze binnenkort op de bon gaan als ze daar 130 rijden omdat het op papier al een 100 gebied is, maar de borden er nog niet staan. Dat slaat ook nergens op 8)7

[ Voor 5% gewijzigd door The Eagle op 19-03-2018 19:45 ]

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


Acties:
  • 0 Henk 'm!

  • DiedX
  • Registratie: December 2000
  • Laatst online: 15:37
NiGeLaToR schreef op maandag 19 maart 2018 @ 19:42:
GDPR geldt niet voor burgers, maar voor bedrijven. Dus als hobbyist kun je lekker doorrommelen ;-)
Hmmz. Daar zou ik mee opletten. Overigens vraag ik me af of je gelijk hebt. In huizelijke kring mag je data uitwisselen, maar is het hebben van een blog (met daarin duidelijk commercieel activiteiten) nog steeds te zien als huiselijke activiteit?

Ik zou daar zeker mee opletten...

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards


Acties:
  • 0 Henk 'm!

  • Yucon
  • Registratie: December 2000
  • Laatst online: 16:24

Yucon

*broem*

The Eagle schreef op maandag 19 maart 2018 @ 19:43:
[...]

Nee, want het is wetgeving en de naleving daarvan ligt bij de bedrijven. Niet bij de overheid. Als bedrijf wordt jij, net als individu, geacht de wet te kennen.
Verder: Wat jij voorstelt is ongeveer net zoiets als actief mensen van de snelweg plukken die 130 rijden in een 130 gebied. Om ze vervolgens te melden dat er nu nog een gedoogbeleid geldt, maar dat ze binnenkort op de bon gaan als ze daar 130 rijden omdat het op papier al een 100 gebied is, maar de borden er nog niet staan. Dat slaat ook nergens op 8)7
Als het altijd zo ontzettend duidelijk was konden we alle jurisprudentie in de vuilnisbak kiepen.

Acties:
  • 0 Henk 'm!

  • RoamingZombie
  • Registratie: Maart 2012
  • Laatst online: 08-10 19:19

RoamingZombie

Watching the sheeple...

NiGeLaToR schreef op maandag 19 maart 2018 @ 19:42:
GDPR geldt niet voor burgers, maar voor bedrijven. Dus als hobbyist kun je lekker doorrommelen ;-)
Aangezien hij er geld mee verdient lijkt mij dat niet het geval. En ook dan nog draag je volgens mij een bepaalde verantwoordelijkheid.

Ninety percent of everything is crap.


Acties:
  • +1 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Je kunt er ook voor kiezen om je blogs te publiceren zonder links, scripts en cookies op te nemen maar dat is misschien vloeken in de kerk in dit subforum ;)

Bedenk voor jezelf welke persoonsgegevens je eigenlijk hebt, opslaat, verwerkt. (IP, mail, andere aan personen toe te leiden gegevens). Bedenk daarbij wat je qua persoonsgegevens aan anderen verstrekt (zoals IP-adressen aan je analytics, ik heb geen idee wat je aan Bol.com etc doorgeeft - misschien alleen maar jouw ID en een product-ID, dan dus geen persoonsgegevens waar verdere toestemming voor nodig is).

Vraag je af of/aar minder persoonsgegevens opslaan/doorsluizen voldoet. Waar het minder kan doe dat. Controleer dat je de persoonsgegevens voldoende beveiligt (versleuteling, rechten, backups, etc). Schrijf dan meteen alvast op wat je doet als je een datalek krijgt, is dat bezwaarlijk voor je bezoekers?

Controleer welke afspraken je hebt met die anderen, is er een verwerkersovereenkomst? Nodig voor bedrijven die niet Europees maar Amerikaans zijn: zijn ze opgenomen in de lijst op privacyshield.gov?

Toestemming voor cookies en gegevensopslag is een ander iets. Een sluitend archief wie wanneer OK riep hoeft niet per se (voor cookies, nieuwsbrieven, etc.) Zorg wel dat je op papier kunt uitleggen hoe de toestemming is gegeven (en regel dat toestemming kan worden ingetrokken!). Of zonder toestemming: waarom je de gegevens nodig hebt, weeg af of je een gerechtvaardigd belang hebt.

En dat zijn eigenlijk allemaal zaken waar geen wet voor nodig zou moeten zijn. Ik mag hopen dat je al e.e.a. beveiligt, dat je weet welke gegevens je eigenlijk over de muur gooit naar de shops, dat je hebt gecheckt dat ze goed met die gegevens beloven om te gaan, etc. Zo niet, dan weet je de reden waarom de wet nodig is ;)
Dit is niet anders dan iemand die als bijverdienste bij wijze van spreken auto's opknapt en verkocht en last krijgt van milieu- en veiligheidsregels. Ook jammer, ook minder inkomsten, ook regeltjes leren. Maar ik ben toch blij dat ook Beun de Haas geen asbesttapijtje mag leggen.
Yucon schreef op maandag 19 maart 2018 @ 19:32:
Toch wel jammer. Als ze nu gewoon wel al eerder met controles begonnen waren zonder boetes uit te schrijven lag er nu een duidelijke invulling.
Dat gebeurt al wel (deels), zie rapporten van de AP. Maar verwacht niet een leger van tienduizenden ambtenaren die iedere website gaan bekijken...
NiGeLaToR schreef op maandag 19 maart 2018 @ 19:42:
GDPR geldt niet voor burgers, maar voor bedrijven. Dus als hobbyist kun je lekker doorrommelen ;-)
Onjuist. Er uitzonderingen in de wet vwb puur persoonlijke of huishoudelijke activiteiten. Het zou onzinnig zijn als je toestemming nodig hebt van oma om de kerstkaartenlijst te mogen bijhouden. Maar in dit geval is er geen sprake van een kerstkaartenlijst maar van commerciële handelingen. Ook al is er geen BV.

[ Voor 0% gewijzigd door F_J_K op 19-03-2018 20:09 . Reden: typo ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • 0 Henk 'm!

  • NiGeLaToR
  • Registratie: Maart 2000
  • Laatst online: 14:22
F_J_K schreef op maandag 19 maart 2018 @ 19:59:
<knip>

Onjuist. Er uitzonderingen in de wet vwb puur persoonlijke of huishoudelijke activiteiten. Het zou onzinnig zijn als je toestemming nodig hebt van oma om de kerstkaartenlijst te mogen bijhouden. Maar in dit geval is er geen sprake van een kerstkaartenlijst maar van commerciële handelingen. Ook al is er geen BV.
De AP zegt hierover:
Ja, de nieuwe Europese privacywet geldt voor álle organisaties die persoonsgegevens verwerken. Dus ook voor kleine mkb’ers en zzp’ers die gegevens verwerken. Zoals het bijhouden van afspraken van klanten, telefoonnummers van klanten of personeelsinformatie.
Nu kun je zeggen dat een particulier die het voor commercie verzamelt eronder valt, maar dan is het formeel ook een ondernemer. Ik wil niet betwisten dat iemand die hierboven geld verdient met een affiliate site geld verdient eronder valt: dat is evident. Maar privé personen die gegevens verzamelen (foto's maken op straat valt hieronder leerde ik recent), niet.

Dus wellicht bedoelen we hetzelfde, maar als je bedoelt dat particulieren hier onder vallen: die zie ik niet terug.

KOPHI - Klagen Op Het Internet podcast. Luister hier! – bejaardenexport, WEF en de LIDL kassa kwamen al voorbij. Meepraten als gast? DM mij!


Acties:
  • 0 Henk 'm!

  • DiedX
  • Registratie: December 2000
  • Laatst online: 15:37
Maar dat is toch precies wat hij / wij zeggen?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards


Acties:
  • 0 Henk 'm!

  • Bob-B190
  • Registratie: December 2003
  • Laatst online: 06-10 17:38
NiGeLaToR schreef op dinsdag 20 maart 2018 @ 11:20:
[...]


De AP zegt hierover:

[...]


Nu kun je zeggen dat een particulier die het voor commercie verzamelt eronder valt, maar dan is het formeel ook een ondernemer. Ik wil niet betwisten dat iemand die hierboven geld verdient met een affiliate site geld verdient eronder valt: dat is evident. Maar privé personen die gegevens verzamelen (foto's maken op straat valt hieronder leerde ik recent), niet.

Dus wellicht bedoelen we hetzelfde, maar als je bedoelt dat particulieren hier onder vallen: die zie ik niet terug.
Je inslag is verkeerd. De GDPR beschermt rechten van natuurlijke personen tegen onwettige verwerking van hun data (art 1). Maakt dus niets uit wie het verwerkt. Wat een verwerking is is de wet vrij uitgebreid over:

‘processing’ means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction;

Waarbij er uitzonderingen zijn:

2. This Regulation does not apply to the processing of personal data:
(a) in the course of an activity which falls outside the scope of Union law;
(b) by the Member States when carrying out activities which fall within the scope of Chapter 2 of Title V of the TEU;
(c) by a natural person in the course of a purely personal or household activity;
(d) by competent authorities for the purposes of the prevention, investigation, detection or prosecution of criminal
offences or the execution


Dus als je verwerkt en je voldoet niet aan de uitzonderingen, dan heb je jezelf eraan te houden.

Voor de liefhebbers: https://autoriteitpersoon...iles/atoms/files/gdpr.pdf

Memento mori


Acties:
  • 0 Henk 'm!

  • NiGeLaToR
  • Registratie: Maart 2000
  • Laatst online: 14:22
@Bob-B190 das dus gelukkig precies wat de AP zegt, wat ik hierboven schets:
(c) by a natural person in the course of a purely personal or household activity;
Dus als ik gewoon voor de fun als hobby de gegevens van een miljoen Nederlanders verzamel - val ik ik dan wel of niet onder de (uitzondering) van de wet volgens jou? Das een 'purely personal' activity.

KOPHI - Klagen Op Het Internet podcast. Luister hier! – bejaardenexport, WEF en de LIDL kassa kwamen al voorbij. Meepraten als gast? DM mij!


Acties:
  • 0 Henk 'm!

  • Bob-B190
  • Registratie: December 2003
  • Laatst online: 06-10 17:38
NiGeLaToR schreef op dinsdag 20 maart 2018 @ 11:47:
@Bob-B190 das dus gelukkig precies wat de AP zegt, wat ik hierboven schets:


[...]


Dus als ik gewoon voor de fun als hobby de gegevens van een miljoen Nederlanders verzamel - val ik ik dan wel of niet onder de (uitzondering) van de wet volgens jou? Das een 'purely personal' activity.
Dat mag überhaupt al niet, want verzamelen van gegevens moet een doel hebben en rechtsgrond, dan is het legitiem. Dan komt er nog een hele rits aan principes (6 stuks), dat wordt het naast legitiem ook zorgvuldig. Voor huishoudelijk gebruik moet je denken aan een kasboekje of iets dergelijks. Zie ook de uitspraak in de zaak Lindqvist bij het Europese hof.

In het geval van TS zal hij echt een stapje bij moeten zetten of stoppen.

Memento mori


Acties:
  • +1 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

Of op zijn goed Nederlands de AVG: 'Deze verordening is niet van toepassing op de verwerking van persoonsgegevens: [...] door een natuurlijke persoon bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit'

Als het idd puur persoonlijk is (genealogie of zo, waarbij je zelf de gegevens hebt verzameld): lijkt me wel. Of de AP dat ook vindt is afwachten, dus wees voldoende zeker dat de rechter er van kunt overtuigen. Zie @Bob-B190. Of ga alsnog de wet volgen en behandel persoonsgegevens netjes.

Maar: we gaan wat offtopic, er is al een topic dat de AVG / GDPR algemener bespreekt: Algemene verordening gegevensbescherming - GDPR

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)


Acties:
  • +1 Henk 'm!

  • fritsjof
  • Registratie: Juni 2003
  • Laatst online: 21-09 15:20
Dank voor alle reacties.

Voor de duidelijkheid: ik ben ZZP'er, dus ben ik geen particulier, dus 'GDPR geldt alleen voor bedrijven' gaat voor mij niet op (als dat al van toepassing zou zijn). Het voorstel mijn content zonder links te publiceren is daarmee ook meteen van tafel: hoe kom ik dan aan mijn inkomsten?

De bron die zegt dat een countryblock niet meer mag vind je hier (het is een reactie dus ik weet niet in hoeverre betrouwbaar). En dat is ook gelijk een deel van het probleem: die wet is zo veelomvattend dat er heel erg veel misinformatie is.

Google Analytics
De belangrijkste gegevensverzamelaar die ik gebruik is (volgens mij) Google Analytics, en zoals genoemd zijn er stappenplannen om deze dienst zo in te regelen dat hij zonder toestemming te vragen ook kan werken. Dit is het eerste dat ik ga doen. Uitleg over waarom ik GA gebruik staat reeds in mijn privacy verklaring.

Contactformulier
Daarnaast heb ik, net zoals miljoenen andere blogs/sites, een contact formulier dat een bezoeker kan invullen als hij een vraag heeft, waarop bezoekers hun naam kunnen invullen, hun e-mail adres moeten invullen (anders kan ik ze geen reactie sturen) en waarbij hun IP adres wordt gelogd (ivm spam).
Dit heb ik ook omschreven in mijn huidige privacy verklaring. Wat ik hier verder mee moet doen, denk ik: zorgen dat als bezoekers hun gegevens, na het invullen, willen wissen, ik dit voor ze kan doen, en vermelden hoe hun gegevens veilig zijn (in mijn DB, site draait op SSL uiteraard). Ik moet dan kunnen aantonen dat mijn hostingprovider zijn zaakjes op orde heeft wat betreft beveiliging van mijn DB, lijkt me. Hoe? Geen idee. Ernaar vragen? En dan naar het antwoord linken of quoten in mijn privacy verklaring?

Comments
Ook kunnen bezoekers een comment achterlaten. Hierbij mogen ze hun naam invullen (die als zodanig wordt gepubliceerd), hun email adres moeten ze invullen (ivm spam) en hun IP adress wordt gelogd (ivm spam). Email adres en IP worden niet gepubliceerd en zijn alleen voor mij als beheerder inzichtelijk.
Dit heb ik ook omschreven in mijn huidige privacy verklaring. Deze info wordt dus wel gelogd, en wederom, in mijn DB, dus ook hier geldt weer: ga ik bewijzen dat mijn hostingprovider zijn zaakjes op orde heeft? Hoe dan?

Adsense
Dan heb ik Adsense banners, en die 'leven' van cookies, om het maar zo te omschrijven. Ik heb geen idee wat ze plaatsen en verzamelen. Werkelijk geen idee, maar wat ik wel heb is omschrevne in mijn privacy verklaring wat ze doen, exact volgens de richtlijnen van Google Adsense. Als je mijn site bezoekt krijg je de bekende cookie-melding waarin dit ook staat. Bezoek je mijn website dan geef je consent - en dit mag dus niet meer zoals ik het nu doe, vermoed ik. Ik moet het dus zo gaan doen dat een bezoeker die in zijn (nieuwe) browser heeft ingesteld geen cookies te willen ontvangen, hij ook geen cookies krijgt, en bezoekers die het wel willen mogen ze wel krijgen. Hoe ik dit ga doen? Geen flauw idee. Met een plugin waarschijnlijk, welke nog gemaakt moet worden. Ook dit moet ik allemaal gaan vermelden in mijn privacy verklaring: waarom heb ik banners? Voor de inkomsten. Is dat een legitieme reden? Ja, denk ik, want anders heeft het blog geen bestaansrecht. Is dat een goede reden? Geen idee.

Affiliate links
En dan als laatste: de affiliate links. Ik werk samen met Bol.com, Tradetracker, Performance Horizon, Daisycon, Amazon. Bol.com heeft al aagegeven dat ze geen IP tracken en dus alleen mijn site-ID meekrijgen zodat ze weten wie ze de commissie moeten betalen. Ze plaatsen wel een cookie maar die zou dan weer geen IP info bevatten. Van de andere partijen heb ik nog geen info gekregen, behalve PH, die laten weten er mee bezig te zijn. Wat ik al deze partijen overhandig weet ik niet. Ik zou dus van alle partijen afzonderlijk moeten gaan navragen wat ze verzamelen, wat er wordt doorgegeven als een bezoeker op een link klikt, en dan vragen hoe ze deze info opslaan en dit dan verwerken in mijn privacy verklaring, of linken naar hun uitleg? En oh: wat gebeurt er als ik link naar die uitleg? Gaat er dan ook info mee? En hoe omschrijf ik dat dan weer? En kan iemand die geen cookies accepteert die link dan wel volgen? En als die uitleg nu niet 100% blijkt te kloppen, of die partij heeft het toch niet allemaal helemaal correct geregeld?
Ook hier geldt: bestaansrecht is de voornaamste reden dat ik deze affiliate links plaatst. Zonder deze links geen blog. Goede reden? Geen idee.

Vergelijking
Het voelt voor mij alsof de EU mij verplicht een 12-gangendiner op Michelin-niveau klaar te maken, voor een onbepaald aantal gasten, zonder de dieetwensen en allergieen door te geven. Dus ik ga naar een chef en vraag: wat moet ik maken, kan je mij helpen? Die chef zegt: Maak je niet druk: gewoon de juiste ingrediënten kopen en dan op de juiste manier klaarmaken, zo lastig is het toch niet!

En dus heb ik geen idee wat voor gerechten te maken, met welke ingrediënten en hoe het klaar te maken. Ik kan wel een beetje gaan aanmodderen (en dat ga ik doen: ik ga mijn privacy verklaring nog verder uitbreiden en GA op privacy vriendelijke manier inrichten), maar voor de rest heb ik geen idee hoe verder. Op de meeste plaatsen krijg ik feitelijk "maak je niet druk, doe het gewoon goed" te horen. Maar hoe dat dan concreet gedaan moet worden is meestal heel vaag (mogelijk omdat niet zo veel mensen het precies weten).

Ik hoop dat mijn vergelijking hout snijdt. Ik ga weer verder met lezen, dank nogmaals voor de vele reacties, ook voor de linkjes.

Bekabelde WIFI


Acties:
  • 0 Henk 'm!

  • Bob-B190
  • Registratie: December 2003
  • Laatst online: 06-10 17:38
fritsjof schreef op dinsdag 20 maart 2018 @ 12:17:
Dank voor alle reacties.

Voor de duidelijkheid: ik ben ZZP'er, dus ben ik geen particulier, dus 'GDPR geldt alleen voor bedrijven' gaat voor mij niet op (als dat al van toepassing zou zijn). Het voorstel mijn content zonder links te publiceren is daarmee ook meteen van tafel: hoe kom ik dan aan mijn inkomsten?

De bron die zegt dat een countryblock niet meer mag vind je hier (het is een reactie dus ik weet niet in hoeverre betrouwbaar). En dat is ook gelijk een deel van het probleem: die wet is zo veelomvattend dat er heel erg veel misinformatie is.

Google Analytics
De belangrijkste gegevensverzamelaar die ik gebruik is (volgens mij) Google Analytics, en zoals genoemd zijn er stappenplannen om deze dienst zo in te regelen dat hij zonder toestemming te vragen ook kan werken. Dit is het eerste dat ik ga doen. Uitleg over waarom ik GA gebruik staat reeds in mijn privacy verklaring.

Contactformulier
Daarnaast heb ik, net zoals miljoenen andere blogs/sites, een contact formulier dat een bezoeker kan invullen als hij een vraag heeft, waarop bezoekers hun naam kunnen invullen, hun e-mail adres moeten invullen (anders kan ik ze geen reactie sturen) en waarbij hun IP adres wordt gelogd (ivm spam).
Dit heb ik ook omschreven in mijn huidige privacy verklaring. Wat ik hier verder mee moet doen, denk ik: zorgen dat als bezoekers hun gegevens, na het invullen, willen wissen, ik dit voor ze kan doen, en vermelden hoe hun gegevens veilig zijn (in mijn DB, site draait op SSL uiteraard). Ik moet dan kunnen aantonen dat mijn hostingprovider zijn zaakjes op orde heeft wat betreft beveiliging van mijn DB, lijkt me. Hoe? Geen idee. Ernaar vragen? En dan naar het antwoord linken of quoten in mijn privacy verklaring?

Comments
Ook kunnen bezoekers een comment achterlaten. Hierbij mogen ze hun naam invullen (die als zodanig wordt gepubliceerd), hun email adres moeten ze invullen (ivm spam) en hun IP adress wordt gelogd (ivm spam). Email adres en IP worden niet gepubliceerd en zijn alleen voor mij als beheerder inzichtelijk.
Dit heb ik ook omschreven in mijn huidige privacy verklaring. Deze info wordt dus wel gelogd, en wederom, in mijn DB, dus ook hier geldt weer: ga ik bewijzen dat mijn hostingprovider zijn zaakjes op orde heeft? Hoe dan?

Adsense
Dan heb ik Adsense banners, en die 'leven' van cookies, om het maar zo te omschrijven. Ik heb geen idee wat ze plaatsen en verzamelen. Werkelijk geen idee, maar wat ik wel heb is omschrevne in mijn privacy verklaring wat ze doen, exact volgens de richtlijnen van Google Adsense. Als je mijn site bezoekt krijg je de bekende cookie-melding waarin dit ook staat. Bezoek je mijn website dan geef je consent - en dit mag dus niet meer zoals ik het nu doe, vermoed ik. Ik moet het dus zo gaan doen dat een bezoeker die in zijn (nieuwe) browser heeft ingesteld geen cookies te willen ontvangen, hij ook geen cookies krijgt, en bezoekers die het wel willen mogen ze wel krijgen. Hoe ik dit ga doen? Geen flauw idee. Met een plugin waarschijnlijk, welke nog gemaakt moet worden. Ook dit moet ik allemaal gaan vermelden in mijn privacy verklaring: waarom heb ik banners? Voor de inkomsten. Is dat een legitieme reden? Ja, denk ik, want anders heeft het blog geen bestaansrecht. Is dat een goede reden? Geen idee.

Affiliate links
En dan als laatste: de affiliate links. Ik werk samen met Bol.com, Tradetracker, Performance Horizon, Daisycon, Amazon. Bol.com heeft al aagegeven dat ze geen IP tracken en dus alleen mijn site-ID meekrijgen zodat ze weten wie ze de commissie moeten betalen. Ze plaatsen wel een cookie maar die zou dan weer geen IP info bevatten. Van de andere partijen heb ik nog geen info gekregen, behalve PH, die laten weten er mee bezig te zijn. Wat ik al deze partijen overhandig weet ik niet. Ik zou dus van alle partijen afzonderlijk moeten gaan navragen wat ze verzamelen, wat er wordt doorgegeven als een bezoeker op een link klikt, en dan vragen hoe ze deze info opslaan en dit dan verwerken in mijn privacy verklaring, of linken naar hun uitleg? En oh: wat gebeurt er als ik link naar die uitleg? Gaat er dan ook info mee? En hoe omschrijf ik dat dan weer? En kan iemand die geen cookies accepteert die link dan wel volgen? En als die uitleg nu niet 100% blijkt te kloppen, of die partij heeft het toch niet allemaal helemaal correct geregeld?
Ook hier geldt: bestaansrecht is de voornaamste reden dat ik deze affiliate links plaatst. Zonder deze links geen blog. Goede reden? Geen idee.

Vergelijking
Het voelt voor mij alsof de EU mij verplicht een 12-gangendiner op Michelin-niveau klaar te maken, voor een onbepaald aantal gasten, zonder de dieetwensen en allergieen door te geven. Dus ik ga naar een chef en vraag: wat moet ik maken, kan je mij helpen? Die chef zegt: Maak je niet druk: gewoon de juiste ingrediënten kopen en dan op de juiste manier klaarmaken, zo lastig is het toch niet!

En dus heb ik geen idee wat voor gerechten te maken, met welke ingrediënten en hoe het klaar te maken. Ik kan wel een beetje gaan aanmodderen (en dat ga ik doen: ik ga mijn privacy verklaring nog verder uitbreiden en GA op privacy vriendelijke manier inrichten), maar voor de rest heb ik geen idee hoe verder. Op de meeste plaatsen krijg ik feitelijk "maak je niet druk, doe het gewoon goed" te horen. Maar hoe dat dan concreet gedaan moet worden is meestal heel vaag (mogelijk omdat niet zo veel mensen het precies weten).

Ik hoop dat mijn vergelijking hout snijdt. Ik ga weer verder met lezen, dank nogmaals voor de vele reacties, ook voor de linkjes.
De hele kern is: Open en Transparant. Als je die echt snapt dan gaat het je lukken.

Je privacy statement is naar ik vermoed de kern van je gdpr oplossing. Zorg dat er in jip en janneke taal staat wat er gebeurd. Welke data leg je vast, voor hoe lang, waarom, welke grondslag heb je daar voor? Wie krijgt de data nog meer waarom en welke landen gaat het dan om (sub processor en third country processing). Aan je bovenstaande post blijkt dat je heel goed wat er gaande is met alle data, nu nog netjes opschrijven.

Je zal vooral werken op basis van de grondslag "toestemming" (consent). Dus zolang bezoekers toestemming geven voor gebruik van hun data, dan is er niets aan de hand. Let wel op, toestemming moet net zo makkelijk te geven zijn voor bezoekers als in te trekken zijn. Dus verstop dit niet ergens diep in de catacomben van je site.

Verder de affiliate: dit zou je niet hoeven te beschouwen als een verantwoordelijk vs. verwerker relatie. Immers verwerken de affiliates geen data voor jou, maar om zelf spullen te verkopen. De affiliates zijn derhalve verwerkingsverantwoordelijken van zichzelf en zullen zelf alles moeten regelen in lijn met GDPR regelgeving.

Memento mori


Acties:
  • 0 Henk 'm!

  • _trickster_
  • Registratie: Mei 2005
  • Laatst online: 08-10 17:41
Ik volg dit topic ook met interesse, ook omdat ik zelf veel te maken heb met gegevens van bezoekers, inclusief het delen met derde,

Als privacy statement kwam ik bijvoorbeeld ook deze tegen van een 'koppel' bedrijf die tussen een webshop en ene verzendpartij zit.

Deze vindt ik zelf zeer duidelijk, ook voor de normale consument,
Maar zou dit voldoende zijn als informatie voorziening naar de eindgebruiker ?

Acties:
  • 0 Henk 'm!

  • Bob-B190
  • Registratie: December 2003
  • Laatst online: 06-10 17:38
_trickster_ schreef op dinsdag 20 maart 2018 @ 12:34:
Ik volg dit topic ook met interesse, ook omdat ik zelf veel te maken heb met gegevens van bezoekers, inclusief het delen met derde,

Als privacy statement kwam ik bijvoorbeeld ook deze tegen van een 'koppel' bedrijf die tussen een webshop en ene verzendpartij zit.

Deze vindt ik zelf zeer duidelijk, ook voor de normale consument,
Maar zou dit voldoende zijn als informatie voorziening naar de eindgebruiker ?
Genoemde statement bevat een hoop goede zaken, maar kan iemand eind basisschool niveau hem begrijpen? Verder zie ik ook nergens wat de grondslagen zijn voor het bewaren van de informatie, in dit geval is mijn aanname dat hier gaat om uitvoering van een contract.

Memento mori


Acties:
  • 0 Henk 'm!

  • Bob-B190
  • Registratie: December 2003
  • Laatst online: 06-10 17:38
Om een privacy statement overzichtelijk te maken mag er ook gewerkt worden met een "gelayerde" statement. Waarbij kort per onderdeel informatie wordt gegeven met mogelijkheid om door te klikken. Goed voorbeeld is de privacy statement van Microsoft.

Memento mori


Acties:
  • 0 Henk 'm!

  • Wouterkaas
  • Registratie: April 2009
  • Laatst online: 09:13
fritsjof schreef op dinsdag 20 maart 2018 @ 12:17:
[...]
Ik moet dan kunnen aantonen dat mijn hostingprovider zijn zaakjes op orde heeft wat betreft beveiliging van mijn DB, lijkt me. Hoe? Geen idee. Ernaar vragen? En dan naar het antwoord linken of quoten in mijn privacy verklaring?
[...]
ga ik bewijzen dat mijn hostingprovider zijn zaakjes op orde heeft? Hoe dan?
Als het goed is ben jij een overeenkomst aangegaan met jouw hostingprovider, waarbij ook bepaalde voorwaarden gelden. Ten minste één van die voorwaarden zou in moeten gaan op de verplichtingen van jouw host als het gaat om informatiebeveiliging. Als dat niet zo is, kun je dat even navragen en daar desnoods aanvullende afspraken over maken. Als het een beetje provider van formaat is, zal het in de praktijk waarschijnlijk wel snor zitten, maar het kan sowieso geen kwaad om dit helder te hebben.

Als je die afspraken hebt gemaakt, moet jij er van je provider op aan kunnen dat zij die afspraak nakomen. Je kunt dan in je statement simpelweg vermelden dat er veilig en zorgvuldig omgegaan wordt met gegevens. Stel dát er iemand bij jou op verder vraagt, leg je uit welke afspraken jij met je provider hebt gemaakt.

[ Voor 14% gewijzigd door Wouterkaas op 20-03-2018 13:30 ]


Acties:
  • 0 Henk 'm!

  • fritsjof
  • Registratie: Juni 2003
  • Laatst online: 21-09 15:20
@Bob-B190: graag pluis ik je reactie even uit en ga specifiek in op details. Ik doe dit -absoluut- niet om je te tergen/kwetsen/belachelijk te maken, maar juist om mijn punt (materie te complex voor de kleine man) te maken.
Bob-B190 schreef op dinsdag 20 maart 2018 @ 12:29:
[...]
Zorg dat er in jip en janneke taal staat wat er gebeurd. Welke data leg je vast,
Ik ben niet zeker van dat ik weet welke data ik vastleg. Hoe kom ik daar achter? Vraag ik Google Adsense hierom? Ha! Die reageren niet op individuele vragen (ze zullen ze 1000en keren per dag krijgen van EU-website eigenaren) en verwijzen naar lappen tekst met allerhande 'legal terms'. En dat is alleen Google. Dan hebben we nog de andere affiliate-partijen die niet een reageren op mijn vraag hoe het er voor staat en of ze de partners gaan ondersteunen. (Ik ben een kleine speler, maar wel groot genoeg om van te leven - kan je nagaan hoe ze met nog kleinere partners omgaan).
Zelfde verhaal: geen idee, geen idee waar ik dat kan achterhalen.
Dit kan ik wel Jip-en-Janneke uitleggen.
Bob-B190 schreef op dinsdag 20 maart 2018 @ 12:29:
[...]
welke grondslag heb je daar voor?
Eeh... tsja, zal ik gewoon wat termen opsommen hier?
Bob-B190 schreef op dinsdag 20 maart 2018 @ 12:29:
[...]
Wie krijgt de data nog meer
Dit kan ik wel opsommen, maar alleen de partijen van wie ik het weet. Of die partijen het nog verder verkopen (Adsense!) en of ik dat hoor te weten en voor hoor te waarschuwen? Geen idee.
Omdat het zo is afgesproken? Als Bol.com niet weet dat ik een sale gegenereerd heb krijg ik geen commissie, dus ja, dat is de reden. Waarom Google (Adsense) al die data krijgt weet ik niet, dat zou de bezoeker aan Google moeten vragen - Ha maar dat is natuurlijk geen antwoord... Ik weet het niet.
Bob-B190 schreef op dinsdag 20 maart 2018 @ 12:29:
en welke landen gaat het dan om (sub processor en third country processing).
Die weet ik: Nederland. En Duitsland voor Amazon, oh en de UK voor Amazon, en Amazon is een US-based bedrijf dus het gaat ook naer de US vermoed ik. En Google: gevestigd in Ierland, maar een US-bedrijf dus naar zowel Ierland als de US. En dan hebben we de wereldwijde partners van Google, die hun data via Adsense krijgen... Ik denk dat elk land (enkele uitzonderingen) hier opgesomd dient te worden. Of niet?
Bob-B190 schreef op dinsdag 20 maart 2018 @ 12:29:
Aan je bovenstaande post blijkt dat je heel goed wat er gaande is met alle data, nu nog netjes opschrijven.
Ik waardeer het vertrouwen maar ik denk dat ik slechts het topje van de ijsberg weet over wat er met de data, verzameld op mijn site, gebeurt.
Bob-B190 schreef op dinsdag 20 maart 2018 @ 12:29:
Je zal vooral werken op basis van de grondslag "toestemming" (consent). Dus zolang bezoekers toestemming geven voor gebruik van hun data, dan is er niets aan de hand. Let wel op, toestemming moet net zo makkelijk te geven zijn voor bezoekers als in te trekken zijn. Dus verstop dit niet ergens diep in de catacomben van je site.
En hoe ga ik dat technisch regelen, dat mogen intrekken van die consent? Stel iemand geeft toestemming voor cookies en tracking, en bedenkt zich een paar minuten later, wat dan? Gaat mijn site dan op auto-refresh om geen content meer weer te geven die ik alleen wil tonen als er consent is?
En waar staat opgeslagen dat deze specifieke bezoeker eerst consent gaf en nu niet meer? Dat moet ergens geregistreerd worden, maar waar? En hoe? En heb ik toestemming om dat dan weer op te slaan?
Bob-B190 schreef op dinsdag 20 maart 2018 @ 12:29:
Verder de affiliate: dit zou je niet hoeven te beschouwen als een verantwoordelijk vs. verwerker relatie. Immers verwerken de affiliates geen data voor jou, maar om zelf spullen te verkopen. De affiliates zijn derhalve verwerkingsverantwoordelijken van zichzelf en zullen zelf alles moeten regelen in lijn met GDPR regelgeving.
Dat zou mooi zijn, echter komt hier het volgende probleem om de hoek kijken: stel de bezoeker geeft geen enkele toestemming voor tracking/cookies, dan moet ik hem toch content tonen (als ik het goed begrijp). Nu is mijn content verkoop-gericht, dus de linkjes naar producten (maar ook productafbeeldingen) zijn affiliate-links. Als ik geen consent heb dan kan de bezoeker nergens op klikken en dus ook de content niet consumeren zoals het bedoeld is. Met andere woorden: een bezoeker komt op mijn site omdat hij informatie zoekt over het type productX. Ik beschrijf de verschillende modellen productX en link naar de verschillende modellen, om de verschillen in prijs te laten zien maar ook verschillen in producteigenschappen. Als deze bezoeker de linkjes niet kan klikken (want affiliate links) dan slaat zijn bezoek aan mijn site nergens op.
En als we het omdraaien en stellen dat de links moeten werken maar ik geen commissie ontvang op een verkocht product omdat de bezoeker geen toestemming voor tracking gaf - hoe moet ik dan de site openhouden? Bol.com lacht zich rot: bedankt voor de sale, zwaai maar lekker naar je commissie! |:(

Of moet ik een schaduw-versie van mijn site (zonder cookies/tracking/affiliate links/banners/etc)maken en de no-consent-bezoeker daar naar doorverwijzen?
Of zelfs een aparte versie voor elke mogelijk combinatie van te accepteren cookies/tracking?

Of kan ik de bezoeker, bij binnenkomst, de inmiddels bekende cookie-popup geven met de volgende keuzes:
1. of je verlaat deze website
2. of je accepteert cookies voor tonen van de volledige website
3. of je bezoekt alleen de content die wij kunnen aanbieden als je geen tracking/cookies accepteert

Waarbij ik bij optie 3. een pagina laat zien met een tekst over de oude sokken van mijn grootvader. Meer niet, want andere content kan ik jou als bezoeker zonder consent, niet tonen.

Of mag dit niet?

Bekabelde WIFI


Acties:
  • 0 Henk 'm!

  • Bob-B190
  • Registratie: December 2003
  • Laatst online: 06-10 17:38
Ik ga er kort op in, wat me vooral opvalt is dat je al je affiliates als verwerkers ziet. Jij bent niet verantwoordelijk voor de dienst/product die bol.com of amazon levert aan mensen die via jouw site daar wat bestellen. Dat is de verantwoordelijkheid van die site, die is verantwoordelijke.
fritsjof schreef op dinsdag 20 maart 2018 @ 14:38:
@Bob-B190: graag pluis ik je reactie even uit en ga specifiek in op details. Ik doe dit -absoluut- niet om je te tergen/kwetsen/belachelijk te maken, maar juist om mijn punt (materie te complex voor de kleine man) te maken.


[...]

Ik ben niet zeker van dat ik weet welke data ik vastleg. Hoe kom ik daar achter? Vraag ik Google Adsense hierom? Ha! Die reageren niet op individuele vragen (ze zullen ze 1000en keren per dag krijgen van EU-website eigenaren) en verwijzen naar lappen tekst met allerhande 'legal terms'. En dat is alleen Google. Dan hebben we nog de andere affiliate-partijen die niet een reageren op mijn vraag hoe het er voor staat en of ze de partners gaan ondersteunen. (Ik ben een kleine speler, maar wel groot genoeg om van te leven - kan je nagaan hoe ze met nog kleinere partners omgaan).

[...]

Zelfde verhaal: geen idee, geen idee waar ik dat kan achterhalen.

[...]

Dit kan ik wel Jip-en-Janneke uitleggen.

[...]

Eeh... tsja, zal ik gewoon wat termen opsommen hier?
Nee hoor, er zijn maar zes mogelijkheden, dan durf ik van afstand wel publiek belang, vitaal belang en wettelijk verplichting weg te strepen. Bedrijfsbelang lijkt me ook vergezocht ,dus blijft over toestemming of uitvoering van een contract (gegevens die je nodig hebt om de dienst te kunnen leveren die je klant graag wilt).
[...]

Dit kan ik wel opsommen, maar alleen de partijen van wie ik het weet. Of die partijen het nog verder verkopen (Adsense!) en of ik dat hoor te weten en voor hoor te waarschuwen? Geen idee.

[...]

Omdat het zo is afgesproken? Als Bol.com niet weet dat ik een sale gegenereerd heb krijg ik geen commissie, dus ja, dat is de reden. Waarom Google (Adsense) al die data krijgt weet ik niet, dat zou de bezoeker aan Google moeten vragen - Ha maar dat is natuurlijk geen antwoord... Ik weet het niet.
Heb jij adsense nodig of is dit iets wat bol.com pushed naar de klanten? Nogmaals, dan is bol.com verwerkingsverantwoordelijke.
[...]

Die weet ik: Nederland. En Duitsland voor Amazon, oh en de UK voor Amazon, en Amazon is een US-based bedrijf dus het gaat ook naer de US vermoed ik. En Google: gevestigd in Ierland, maar een US-bedrijf dus naar zowel Ierland als de US. En dan hebben we de wereldwijde partners van Google, die hun data via Adsense krijgen... Ik denk dat elk land (enkele uitzonderingen) hier opgesomd dient te worden. Of niet?
Gaat het om data die jij verzameld of die andere partijen verzamelen....?
[...]

Ik waardeer het vertrouwen maar ik denk dat ik slechts het topje van de ijsberg weet over wat er met de data, verzameld op mijn site, gebeurt.

[...]

En hoe ga ik dat technisch regelen, dat mogen intrekken van die consent? Stel iemand geeft toestemming voor cookies en tracking, en bedenkt zich een paar minuten later, wat dan? Gaat mijn site dan op auto-refresh om geen content meer weer te geven die ik alleen wil tonen als er consent is?
En waar staat opgeslagen dat deze specifieke bezoeker eerst consent gaf en nu niet meer? Dat moet ergens geregistreerd worden, maar waar? En hoe? En heb ik toestemming om dat dan weer op te slaan?
Cookies is doorgaans een verhaal appart, deze regelgeving zit nu in de ePrivacy directive, maar wordt nu in lijn gebracht als ePrivacy regulation. Ik zou deze scherper in de gaten houden als ik je bezwaren zo mag inschatten.
[...]

Dat zou mooi zijn, echter komt hier het volgende probleem om de hoek kijken: stel de bezoeker geeft geen enkele toestemming voor tracking/cookies, dan moet ik hem toch content tonen (als ik het goed begrijp). Nu is mijn content verkoop-gericht, dus de linkjes naar producten (maar ook productafbeeldingen) zijn affiliate-links. Als ik geen consent heb
Als ze op de link klinken biedt je hun een dienst (doorsturen naar een webshop) en die kan je niet uitvoeren zonder gegevens mee te versturen? En zo ja, welke gegevens stuur je dan mee?
dan kan de bezoeker nergens op klikken en dus ook de content niet consumeren zoals het bedoeld is. Met andere woorden: een bezoeker komt op mijn site omdat hij informatie zoekt over het type productX. Ik beschrijf de verschillende modellen productX en link naar de verschillende modellen, om de verschillen in prijs te laten zien maar ook verschillen in producteigenschappen. Als deze bezoeker de linkjes niet kan klikken (want affiliate links) dan slaat zijn bezoek aan mijn site nergens op.
En als we het omdraaien en stellen dat de links moeten werken maar ik geen commissie ontvang op een verkocht product omdat de bezoeker geen toestemming voor tracking gaf - hoe moet ik dan de site openhouden? Bol.com lacht zich rot: bedankt voor de sale, zwaai maar lekker naar je commissie! |:(

Of moet ik een schaduw-versie van mijn site (zonder cookies/tracking/affiliate links/banners/etc)maken en de no-consent-bezoeker daar naar doorverwijzen?
Of zelfs een aparte versie voor elke mogelijk combinatie van te accepteren cookies/tracking?

Of kan ik de bezoeker, bij binnenkomst, de inmiddels bekende cookie-popup geven met de volgende keuzes:
1. of je verlaat deze website
2. of je accepteert cookies voor tonen van de volledige website
3. of je bezoekt alleen de content die wij kunnen aanbieden als je geen tracking/cookies accepteert

Waarbij ik bij optie 3. een pagina laat zien met een tekst over de oude sokken van mijn grootvader. Meer niet, want andere content kan ik jou als bezoeker zonder consent, niet tonen.

Of mag dit niet?
Ik denk dat je te moeilijk denkt. Bekijk nou gewoon scherp wat jouw site aan gegevens verzameld en opslaat en waarom. Wat bol.com of amazon opslaan, vragen, doen, verwerken is hun verantwoordelijkheid. Dit kan alleen jouw verantwoordelijkheid zijn als je een verantwoordelijke/verwerker relatie hebt. In dat geval mag jij hun ook dicteren wat ze hoe doen. Zoals je al aangeeft, dat doen ze niet, dus ze mogen zelf verantwoording afleggen aan de toezichthouder(s).

Memento mori


Acties:
  • 0 Henk 'm!

  • DiedX
  • Registratie: December 2000
  • Laatst online: 15:37
Bob beantwoord al veel vragen. 'De cookiewet' ken ik niet, maar dat klinkt als ePrivacy. Die is voorlopig uitgesteld, dus ik zou je nu richten op de GDPR.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards


Acties:
  • 0 Henk 'm!

Verwijderd

Waar haal je dat het verboden is om toegang tot je website te ontzeggen als bezoekers niet met de cookies instemmen? Ik herinner me dat een Duitse krantensite bezoekers met adblockers toegang weigerde. Lijkt me iets gelijkaardigs

Acties:
  • 0 Henk 'm!

  • Bob-B190
  • Registratie: December 2003
  • Laatst online: 06-10 17:38
DiedX schreef op dinsdag 20 maart 2018 @ 18:28:
Bob beantwoord al veel vragen. 'De cookiewet' ken ik niet, maar dat klinkt als ePrivacy. Die is voorlopig uitgesteld, dus ik zou je nu richten op de GDPR.
Nee hoor, die is er gewoon, nu in de vorm van een directive (nummer moet ik je schuldig blijven) die omgezet is in NL wetgeving door de "cookiewet". De ePrivacy directive wordt nu omgezet naar een ePrivacy regulation om in lijn te komen met de GDPR en als directwerkend te fungeren (scheelt vertaal en interpretatie foutjes)

Net zoals de GDPR nu een regulation is, werd deze vooruitgegaan door een directive (108), die in NL wetgeving door de "WBP" is omgezet. 80% van de GDPR stond overigens al in de WBP, dus alle commotie blijft bijzonder.

Memento mori


Acties:
  • 0 Henk 'm!

  • DiedX
  • Registratie: December 2000
  • Laatst online: 15:37
De laatste zin ben ik volledig met je eens. Qua cookiewet: ik heb zelf kort gezocht, en verzuip erin met alle tegenstrijdigheden.

Ik zie dat ik zelf ook nog 'even' aan de bak moet met ePrivacy. Op FrankWatching staat dat de nieuwe ePrivacy uitgesteld is, maar dat er ook een oude actief is. Ik vermoed dat ik die genegeerd heb in mijn leven ;)

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards


Acties:
  • +1 Henk 'm!

  • Killjoy
  • Registratie: November 2000
  • Laatst online: 10:20

Killjoy

Klingon lawn products

DiedX schreef op woensdag 21 maart 2018 @ 09:56:
De laatste zin ben ik volledig met je eens. Qua cookiewet: ik heb zelf kort gezocht, en verzuip erin met alle tegenstrijdigheden.

Ik zie dat ik zelf ook nog 'even' aan de bak moet met ePrivacy. Op FrankWatching staat dat de nieuwe ePrivacy uitgesteld is, maar dat er ook een oude actief is. Ik vermoed dat ik die genegeerd heb in mijn leven ;)
Artikel 11.7a van de Telecommunicatiewet moet je hebben

Het is den ambtenaar verboden gedurende den werktijd alcoholhoudende dranken te gebruiken, bij zich te hebben of in de dienstlokalen te bewaren.


Acties:
  • 0 Henk 'm!

  • BruT@LysT
  • Registratie: Januari 2000
  • Laatst online: 09-09 09:18

BruT@LysT

Fear and Loathing

Oh dit gaat echt een ramp worden, ik beheer ruim 40 websites en snap geen zak van wat ik moet doen. Ik snap fritsjof compleet en volgens mij is dit onbegonnen werk. Wij kunnen wel stoppen met ons bedrijf op deze manier. Over veel te veel dingen wordt veel te gemakkelijk gedacht. Technisch is dit echt een ramp. Onze VPN houdt soiezo al van alles bij, kijk maar eens hoeveel logs er worden gegenereerd met ip adressen etc. , ik weet niet eens hoe ik dit allemaal anders moet inrichten, dat zal mijn hostingpartij voor mij moeten regelen ofzo?
Al is het alleen maar om brute-force attacks tegen te gaan. Daarnaast heb ik simpelweg niet genoeg kennis in huis om dit technisch op orde te maken. En ik ben al een behoorlijke PC nerd, er zullen tal van mensen zijn die dit simpelweg niet kunnen, ookal willen ze aan de wet voldoen, we kunnen niet allemaal op hoog niveau coderen en plugins gaan aanpassen zodat we niet onbewust toch nog ergens gegevens opslaan.
Ik wil dat de rest ophoudt met dat standaard geneuzel; "gewoon open en transparant zijn en - klaar is kees", nee nee nee, zo werkt dat niet. TECHNISCHE details graag. Maar 1 ding is geheel duidelijk, niemand weet de technische details, ze lullen maar wat maar snappen totaal niet waar het in de praktijk op neerkomt. Leuke ontwikkeling dit.... ik ga wel alvast opzoek naar een andere baan... :( :( :(

Acties:
  • 0 Henk 'm!

  • Yucon
  • Registratie: December 2000
  • Laatst online: 16:24

Yucon

*broem*

BruT@LysT schreef op woensdag 4 april 2018 @ 14:16:
Oh dit gaat echt een ramp worden, ik beheer ruim 40 websites en snap geen zak van wat ik moet doen. Ik snap fritsjof compleet en volgens mij is dit onbegonnen werk. Wij kunnen wel stoppen met ons bedrijf op deze manier. Over veel te veel dingen wordt veel te gemakkelijk gedacht. Technisch is dit echt een ramp. Onze VPS houdt soiezo al van alles bij, kijk maar eens hoeveel logs er worden gegenereerd met ip adressen etc. , ik weet niet eens hoe ik dit allemaal anders moet inrichten, dat zal mijn hostingpartij voor mij moeten regelen ofzo?
Al is het alleen maar om brute-force attacks tegen te gaan. Daarnaast heb ik simpelweg niet genoeg kennis in huis om dit technisch op orde te maken. En ik ben al een behoorlijke PC nerd, er zullen tal van mensen zijn die dit simpelweg niet kunnen, ookal willen ze aan de wet voldoen, we kunnen niet allemaal op hoog niveau coderen en plugins gaan aanpassen zodat we niet onbewust toch nog ergens gegevens opslaan.
Ik wil dat de rest ophoudt met dat standaard geneuzel; "gewoon open en transparant zijn en - klaar is kees", nee nee nee, zo werkt dat niet. TECHNISCHE details graag. Maar 1 ding is geheel duidelijk, niemand weet de technische details, ze lullen maar wat maar snappen totaal niet waar het in de praktijk op neerkomt. Leuke ontwikkeling dit.... ik ga wel alvast opzoek naar een andere baan... :( :( :(
Haal eerst eens even rustig adem. In paniek raken kan altijd nog.

Acties:
  • 0 Henk 'm!

  • BruT@LysT
  • Registratie: Januari 2000
  • Laatst online: 09-09 09:18

BruT@LysT

Fear and Loathing

Jah joh, fuck off :P

Oeh als ik toch eens wild om me heen zou kunnen schieten zou ik dat maar al te graag doen.
Misschien moet ik daar maar eens mijn geld in investeren, ben ik in elk geval verzekerd van een top uiteinde! ;)

Acties:
  • 0 Henk 'm!

  • DiedX
  • Registratie: December 2000
  • Laatst online: 15:37
Iets te veel smileys, iets te agressief naar je mede-tweakers als je het mij vraagt.

Even serieus: de AP heeft aangegeven éérst naar de grote partijen te willen kijken. Dat zorgt er niet voor dat je zelf vrijgewaard wordt van alles.

Om dan maar in de stress te schieten gaat echt te ver. Gewoon beginnen bij het begin.

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards


Acties:
  • 0 Henk 'm!

  • F_J_K
  • Registratie: Juni 2001
  • Niet online

F_J_K

Moderator CSA/PB

Front verplichte underscores

BruT@LysT schreef op woensdag 4 april 2018 @ 14:16:
Over veel te veel dingen wordt veel te gemakkelijk gedacht. Technisch is dit echt een ramp. Onze VPN houdt soiezo al van alles bij, kijk maar eens hoeveel logs er worden gegenereerd met ip adressen etc. , ik weet niet eens hoe ik dit allemaal anders moet inrichten, dat zal mijn hostingpartij voor mij moeten regelen ofzo?
Al is het alleen maar om brute-force attacks tegen te gaan. Daarnaast heb ik simpelweg niet genoeg kennis in huis om dit technisch op orde te maken.
1) als je niet weet wat je logt dan doe je iets fout. Dat moet je sowieso willen weten. 2) Er is niets mis met loggen vanwege beveiliging. Is zelfs geen toestemming voor nodig. (Mits je wel duidelijk maakt wat je waarom logt en wanneer je het weggooit, en de info alleen zichtbaar is voor de paar beheerders die over beveiliging gaan).
willen ze aan de wet voldoen, we kunnen niet allemaal op hoog niveau coderen en plugins gaan aanpassen zodat we niet onbewust toch nog ergens gegevens opslaan.
Snap ik niet. Als je niet weet wat waar gebeurt en welke gegevens waar in database/filesysteem staan, dan zijn je sites nu toch 1 groot beveiligingsrisico?

Als je het wel weet, er geen goede reden is om gegevens op te slaan, etc. (beveiliging kan een prima reden zijn) dan kan je altijd nog aanpassingen gaan inplannen. En verzoeken tot verwijderen etc kunnen zonodig incidenteel ook 'handmatig' in de databases.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

Pagina: 1