Voldoet Tweakers.net niet aan AVG/GDPR?

Onder welk punt van GDPR vallen ads en analytics volgens jou dan?

@mmjjb voor zover ons bekend is mogen wij nog gewoon werken met de genoemde partijen. De implementatie is zo ingericht dat we AVG correct opereren.

Op https://tweakers.net/info/algemene-voorwaarden/privacy/ staat beschreven welke data verzamelen en waarvoor. Het is inderdaad niet gebonden aan specifieke systemen. Anders zouden we bij elk nieuw systeem de privacy statement moeten updaten.

@mmjjb , ik zal het nog eens bij het expert team van ons moederbedrijf neerleggen, maar wat ik begrijp is dat je van de AVG persoonsgegevens mag verzamelen en verwerken. Dit verwerken mag ook door derde partijen gedaan worden zolang je de gebruiker maar informeert en een verwerkerovereenkomst met derde partij hebt.

(de ip-adressen naar GA worden trouwens anoniem gemaakt, zie https://developers.google...n/gtagjs/ip-anonymization. Dus naar GA worden helemaal geen persoonsgegevens gestuurd )

mmjjb schreef op vrijdag 25 mei 2018 @ 12:55:
@Van-Gogh

[...]


Dat bedoel ik, T.net voldoet dus nog niet aan de AVG, zeker aangezien het IP adres volgens de privacy voorwaarden gewoon meegestuurd wordt.

Ik denk dat er nog wat aanpaswerk gedaan moet gaan worden (helaas bij m'n eigen projecten ook)

Heb je ook bronnen? Want je kan dit wel roepen, maar dat maakt het nog niet gelijk waar

Ik doe even een snelle cross-post uit een ander topic, nadat ik naar dit topic werd verwezen.


Voldoet Tweakers zelf wel aan de GDPR-wet?

Ik heb geen mogelijkheid om ergens cookies te weigeren. En ik heb het hier uiteraard over de niet functionele cookies zoals analytics an advertentie gerelateerde cookies.

Een anonieme analytics mag volgens mij, ik weet alleen niet zeker of Tweakers het geanonimiseerde analytics gebruikt?
Maar ook die gegevens zijn eigenlijk na een tijd te koppelen aan een gebruiker. (In theorie, met een beetje kans berekening) Nu is dit niet echt het probleem.

Maar de rest van de cookies welke met advertenties/marketing te maken hebben zullen toch echt een opt-out horen te krijgen? (Eigenlijk mogen deze niet standaard ingesteld zijn, en moet de gebruiker actief een opt-in uitvoeren)

Bij het niet accepteren van de regeling bij de cookiewall mag je de site niet op. En huidige gebruikers krijgen geen melding over de keuze op het moment. Naast dat je geen dienst mag weigeren als statistische of marketing cookies niet worden geaccepteerd door de gebruiker, is er geen actief consent geweest voor bestaande gebruikers die de site al eerder bezocht hebben.

Nu is het mogelijk dat er niets noemenswaardigs is veranderd aan de cookie/privacy regeling op Tweakers, maar dat moet dus wel gebeuren volgens mijn interpretatie van deze wetgeving.

Als dit meer een vraag is om over de mail te stellen dan ga ik dat doen. Maar ik hoor graag de mening/gedachtegang van anderen hierover.


Edit:

Van-Gogh schreef op vrijdag 25 mei 2018 @ 12:59:
@mmjjb , ik zal het nog eens bij het expert team van ons moederbedrijf neerleggen, maar wat ik begrijp is dat je van de AVG persoonsgegevens mag verzamelen en verwerken. Dit verwerken mag ook door derde partijen gedaan worden zolang je de gebruiker maar informeert en een verwerkerovereenkomst met derde partij hebt.

(de ip-adressen naar GA worden trouwens anoniem gemaakt, zie https://developers.google...n/gtagjs/ip-anonymization. Dus naar GA worden helemaal geen persoonsgegevens gestuurd )

Dit klopt precies, mits de gebruiker hier actief toestemming voor heeft gegeven. Dat missen we hier nog.
Als deze conditie wordt gemeten is er niets aan de hand.

Anonieme GA mag inderdaad ook, ook zonder actieve toestemming van de gebruiker. Maar informeren hierover is nog wel verplicht.
(Zelf ben ik van mening dat Anonieme GA na enige tijd mogelijk nogsteeds is te herleiden aan een gebruiker. Maar zoals ik al aangaf is dat een ander probleem)

[ Voor 26% gewijzigd door Adr01 op 26-05-2018 17:42 ]

@Adr01 , ja Tweakers gebruikt alleen anonieme analytics data. Heel theoretisch heb je misschien gelijk dat iemand te herleiden is, maar wij bij Tweakers kunnen dat simpelweg niet. Ik zou werkelijkwaar niet weten hoe ik dat moest doen. Het staat trouwens ook netjes in onze privacy statement (zie de link in de footer).

Even los van of het wenselijk is, naar wat ik begrijp mogen sites een cookiewall aanbieden waarbij het niet accepteren gelijk staat aan het niet kunnen bezoeken van de site. De uitzondering daarop zijn volgens mij (semi-)overheid sites. Dit is tevens de positie van ons moederbedrijf, die wij hierin volgen.

De AVG is al 2 jaar actief, pas sinds vrijdag wordt hij gehandhaafd. Als het goed is, heb jij in die 2 jaar tijd al minimaal 1x de cookiewall gezien. Die cookiewall was en is AVG correct (althans dat zeggen de juristen van het moederbedrijf, ik ben geen jurist). Je hebt dus al consent gegeven aan Tweakers om advertising te tonen. Die consent is nog steeds geldig als ik het goed begrijp.

Maak je gebruik van een cookiewall? Dan voldoe je vanaf de invoering van de Europese cookiewet niet meer aan de privacyvoorwaarden van de EU. De volledige toegang tot een website is volgens de EU essentieel voor internetgebruikers om (digitaal) te communiceren.

https://www.frankwatching...gevolgen-voor-je-website/

Volgens mij is een cookiewall niet meer toegestaan sinds gisteren, en voldoet tweakers.net dus nog niet aan de voorwaarden.

Volgens mij gaat dat om de nieuwe eprivacy wetgeving. zie bv https://www.i-scoop.eu/gdpr/eu-eprivacy-regulation/ Die is nog niet definitief. De ePrivacy en AVG hangen er nauw samen, maar zijn niet hetzelfde. Lees het artikel eens, ik vond het erg informatief

Bij het niet accepteren van de regeling bij de cookiewall mag je de site niet op. En huidige gebruikers krijgen geen melding over de keuze op het moment. Naast dat je geen dienst mag weigeren als statistische of marketing cookies niet worden geaccepteerd door de gebruiker, is er geen actief consent geweest voor bestaande gebruikers die de site al eerder bezocht hebben.

Wanneer Tweakers al voor 25 mei je consent heeft gedocumenteerd en dit kan aantonen voldoen ze nog wel aan de AVG.
Ik twijfel er echter wel aan of de toestemming die nu gedocumenteerd wordt voldoende is. Als ik mij niet vergis moet toestemming specifiek gegeven worden voor een verweking van persoonsgegevens, en het lijkt met analytische cookies en marketing cookies niet voor hetzelfde doel worden verzameld,

Ook ben ik wel van mening dat het gebruiken van een cookiewall, en dus bezoekers weigeren die geen cookies willen accepteren zeker niet volgens de AVG is.
Als ik de website van Autoriteit Persoonsgegevens bekijk zie ik ook staan:

Vrijelijk gegeven: u mag iemand niet onder druk zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft. Let daarbij op machtsverhoudingen: een werknemer kan een vraag van zijn werkgever bijvoorbeeld moeilijk weigeren.

Het niet toelaten op de website omdat iemand geen toestemming wil geven lijkt me toch benadelen.

@Van-Gogh

Allereerst, fijn dat jullie openstaan voor discussie en mogelijke verbetering omtrent deze regeling.

Advertenties tonen is geen enkel probleem, daar is ook geen toestemming voor nodig.
Wanneer hier gepersonaliseerde advertenties mee worden bedoelt is er wel degelijk toestemming nodig.

Gepersonaliseerde advertenties voldoen niet aan de omschrijving van verplichte gegevens verzameling om het product of service zijn werking te kunnen laten vervullen.

Zie ook deze directe bron:
https://autoriteitpersoon...gevens-mag-verwerken-6310


Over de besproken, en wel bekende, Cookie Wall:
Een Cookie Wall mag misschien wel worden ingezet, prima. Maar let wel dat er regels zijn, zoals ik in mijn initiele post heb proberen over te brengen binnen de GPDR-wet welke het omzeilen van de regeling nog misleiden van de gebruiker een no-go maken.

Een citatie uit een directe, correcte bron vertelt ons ook:

Vrijelijk gegeven: u mag iemand niet onder druk zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft. Let daarbij op machtsverhoudingen: een werknemer kan een vraag van zijn werkgever bijvoorbeeld moeilijk weigeren.

Bron:
https://autoriteitpersoon...rondslag-toestemming-6331

Ik ben (obviously) van mening dat iemand niet toelaten op je website een benadeling is op basis van zijn of haar keuze.

[ Voor 4% gewijzigd door Adr01 op 26-05-2018 20:29 ]

Gaat het nu ook mogelijk worden om kosteloos onze notes in te zien? Andere sites bieden sinds de invoering van AVG wel deze mogelijkheid.

Ach andere sites blokkeren je helemaal

We’re sorry. This site is temporarily unavailable.

We recognise you are attempting to access this website from a country belonging to the European Economic Area (EEA) including the EU which enforces the General Data Protection Regulation (GDPR) and therefore cannot grant you access at this time.

sugarlee89 schreef op zondag 27 mei 2018 @ 10:34:
Ach andere sites blokkeren je helemaal


[...]

Je service of product niet meer verlenen aan een Europeaan is het natuurlijk gewoon toegestaan. Dat is een keuze van het bedrijf zelf.

Bedrijven die dit doen zal ik toch missen als kiespijn, dat betekend gewoon niet veel goeds van dat bedrijf.

"Vrijelijk gegeven: u mag iemand niet onder druk zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft."

@Verwijderd & @Adr01 , een interessante interpretatie door te stellen dat de cookiewall een vorm is van een persoon onderdruk zetten om toestemming te geven voor het gebruik van zijn persoonsgegevens. Ik denk dat wij (Tweakers + moederbedrijf") van mening zijn dat we de gebruiker niet onder druk zetten door hem/haar een keuze te geven. Je punt is echter duidelijk.

@Adr01 , mbt de gepersonaliseerde advertenties. Dat is een erg grijs gebied. Niet alleen wie moet nu waar consent voor vragen (en wanneer), maar wie is nu eigenaar van die verzamelde gegevens en wie is op welk moment welke verwerker? Er lopen hier intern met het moederbedrijf en met allerlei externe partijen vrij veel discussies over. Tweakers heeft uiteraard geen intentie om niet AVG correct te opereren en voor zover wij weten zijn we zo AVG correct. Mocht het grijs gebied zwarter of witter worden, dan zal Tweakers zich natuurlijk op de correcte manier aanpassen.

Persoonlijk vind ik dat ook erg lastig aan de AVG. Er zitten nogal veel punten in die ruim interpreteerbaar zijn en waarschijnlijk onduidelijk blijven totdat er rechtelijke uitspraken zijn (en dat gaat vast nog wel even duren).

@Gunner , dat is altijd kosteloos geweest. Voor meer informatie over dit kun je het beste even bij Guido (@ginz) onze community manager aankloppen

Van-Gogh schreef op maandag 28 mei 2018 @ 08:48:
@Gunner , dat is altijd kosteloos geweest. Voor meer informatie over dit kun je het beste even bij Guido (@ginz) onze community manager aankloppen

Is dat zo? Ik meende dat je altijd een klein bedrag aan administratiekosten moest betalen.

Heb even gezocht, meest relevantie wat ik tegenkwam was dit topic waar over de maximale wettelijke kosten gesproken werd bij het opvragen; Usernotes, waar op te vragen? Dus nee, het is niet altijd kosteloos geweest.

Zie dat ik daar ook in gereageerd heb

Maar ik vermoed dat dit met de nieuwe AVG aangepast is.

[ Voor 33% gewijzigd door Gunner op 28-05-2018 08:58 ]

Van-Gogh schreef op maandag 28 mei 2018 @ 08:48:
[...]


@Verwijderd & @Adr01 , een interessante interpretatie door te stellen dat de cookiewall een vorm is van een persoon onderdruk zetten om toestemming te geven voor het gebruik van zijn persoonsgegevens. Ik denk dat wij (Tweakers + moederbedrijf") van mening zijn dat we de gebruiker niet onder druk zetten door hem/haar een keuze te geven. Je punt is echter duidelijk.

Die interessante interpretatie is wel de interpretatie die ik het meest voorbij zie komen.

De cookie wall nu voelt aan als een checklist van (minimaal) 4 doeleinden, die alle 4 al zijn aangevinkt (mag niet), en niet uitgevinkt kunnen worden (mag ook niet). Je zou per doeleinde apart toestemming moeten (kunnen) geven. Als ik bijvoorbeeld geen toestemming voor integratie van sociale media wil geven, dan zou dat een optie moeten zijn.
Of anders gezegd, misschien is het beter niet om toestemming te vragen, maar de gebruiker alleen te informeren en een andere grondslag dan toestemming te gebruiken.

Van-Gogh schreef op zaterdag 26 mei 2018 @ 19:43:
Volgens mij gaat dat om de nieuwe eprivacy wetgeving. zie bv https://www.i-scoop.eu/gdpr/eu-eprivacy-regulation/ Die is nog niet definitief. De ePrivacy en AVG hangen er nauw samen, maar zijn niet hetzelfde. Lees het artikel eens, ik vond het erg informatief

Dat heb je mooi mis. In de preambule bij de AVG staat het ook gewoon:

Indien de betrokkene zijn toestemming moet geven na een verzoek via elektronische middelen, dient dat verzoek duidelijk en beknopt te zijn en niet onnodig storend voor het gebruik van de dienst in kwestie.

De toestemming wordt geacht niet vrijelijk te zijn verleend indien geen afzonderlijke toestemming kan worden gegeven voor verschillende persoonsgegevensverwerkingen ondanks het feit dat dit in het individuele geval passend is, of indien de uitvoering van een overeenkomst, daaronder begrepen het verlenen van een dienst, afhankelijk is van de toestemming ondanks het feit dat dergelijke toestemming niet noodzakelijk is voor die uitvoering

De AVG zegt uitdrukkelijk niet dat een cookiewall niet is toegestaan, enkel dat je er geen toestemming mee kunt krijgen. De cookiewall is nog wel nodig voor de cookiewet.

Van-Gogh schreef op vrijdag 25 mei 2018 @ 12:59:
@mmjjb , ik zal het nog eens bij het expert team van ons moederbedrijf neerleggen, maar wat ik begrijp is dat je van de AVG persoonsgegevens mag verzamelen en verwerken. Dit verwerken mag ook door derde partijen gedaan worden zolang je de gebruiker maar informeert en een verwerkerovereenkomst met derde partij hebt.

Het probleem bij bijvoorbeeld scorecardresearch is dat zij zelf bepalen wat ze verzamelen, en wat ze met de gegevens doen. Zij zijn dan zelf verantwoordelijk voor de verwerking. Een verwerkersovereenkomst sluit je alleen met partijen die data in opdracht van jullie verwerken, waarbij jullie het doel en de middelen bepalen, dus niet met een partij als scorecardresearch. Als scorecardresearch iets met de data doet dat verder gaat dan het oorspronkelijke doel (art. 6 lid 4 AVG) is T.net mede-aansprakelijk voor eventuele schade (art. 82 lid 2 AVG), of kan T.net een boete opgelegd krijgen (art. 83 lid 5 AVG), omdat T.net medebewerker is (zij heeft de gegevens immers doorgegeven). Hetzelfde geldt als scorecardresearch geen behoorlijk gehoor geeft aan een verzoek om inzage. Dat kan nog leuk worden

[ Voor 22% gewijzigd door GlowMouse op 28-05-2018 17:10 ]

Van-Gogh schreef op maandag 28 mei 2018 @ 08:48:
[...]

@Adr01 , mbt de gepersonaliseerde advertenties. Dat is een erg grijs gebied. Niet alleen wie moet nu waar consent voor vragen (en wanneer), maar wie is nu eigenaar van die verzamelde gegevens en wie is op welk moment welke verwerker? Er lopen hier intern met het moederbedrijf en met allerlei externe partijen vrij veel discussies over.
[...]

Dit kan ik onderschrijven. Er is veel grijs in de GDPR en daardoor weten ook de grote advertentiebedrijven niet wat ze moeten doen. De afgelopen maanden heeft de industrie voor een groot deel naar elkaar gekeken, heeft IAB Europe (het lijkt erop samen met AppNexus) een 'consent framework' opgezet, heeft Google zich daar bewust buiten gehouden en Google heeft de GDPR ook aangegrepen op de duimschroeven wat verder aan te draaien bij marktpartijen. Het is best een zooitje in advertentieland op dit moment. Veel partijen kwamen ook pas in de laatste twee (!) weken met tools en verdere uitwerking van juridische documenten. Google (die miljarden doet in online advertising) is daar helaas geen uitzondering op.

Verder is toestemming vragen een ding, zorgen dat deze ook wordt gehonoreerd is een tweede. De techniek daarvoor staat nog in de kinderschoenen en is deels incompatible tussen netwerken. Ik verwacht (en hoop) dat de situatie de komende weken nog wel gaat verbeteren of iig duidelijker gaat worden. Goede nieuws is dat Google zich inmiddels (op 24 mei) ook heeft gecommiteerd aan het IAB Framework, alleen gaat het maanden duren voor ze dat helemaal rond hebben.

Adr01 schreef op zaterdag 26 mei 2018 @ 20:26:

Over de besproken, en wel bekende, Cookie Wall:
Een Cookie Wall mag misschien wel worden ingezet, prima. Maar let wel dat er regels zijn, zoals ik in mijn initiele post heb proberen over te brengen binnen de GPDR-wet welke het omzeilen van de regeling nog misleiden van de gebruiker een no-go maken.

Ik heb het idee dat mensen de AVG- en cookiewet een beetje door elkaar halen. Zoals @Verwijderd aangeeft is de cookiewall onder de nieuwe AVG gewoon toegestaan.

De cookiewall is het resultaat van de cookiewet uit 2016, en die wet is nog steeds van kracht. Het huidige plan is dat de cookiewet pas in 2019 opnieuw gaat veranderen. Dit zal op Europees niveau gebeuren onder de naam "ePrivacy Verordening".

Dit artikel legt het allemaal netjes op:

https://www.rocketdigital.nl/blog/europese-cookiewet-2018/

De ePrivacy Verordening wordt nogal eens verward met de Algemene Verordening Gegevensbescherming (AVG). Ondanks dat ze beide betrekking hebben op de bescherming van persoonsgegevens, zijn het twee verschillende verordeningen.

De AVG is een Europese privacywetgeving met algemene regels voor het gebruik van persoonsgegevens. De AVG gaat niet in op de bescherming van persoonsgegevens in elektronische communicatie. Deze regels zijn vastgelegd in de ePrivacy Verordening.

De ePrivacy Verordening stelt dat ergens in 2019 cookies alleen geplaatst mogen worden indien:

De eindgebruiker hiervoor toestemming heeft gegeven;
De geplaatste cookies puur functioneel zijn; of
De cookies enkel dienen voor het bijhouden van webstatistieken door de dienstaanbieder (let op: niet door een derde partij, zoals bijvoorbeeld Google Analytics).

Daarnaast zal ook de cookiewall verboden worden.

De kans is echter aanwezig dat voor Google Analytics een uitzondering komt:

De ePrivacy Verordening is nog niet aangenomen en ligt nu ter beoordeling bij de raad van ministers. Ook zij kunnen nog wijzigingen in de ePrivacy Verordening voorstellen.

Zo heeft Raad van de Europese Unie onlangs een wijziging voorgesteld voor onder meer artikel 8. In deze wijziging staat onder andere dat analytische cookies van derden onder bepaalde voorwaarden wel geplaatst mogen worden zonder toestemming. Dit zou betekenen dat Google Analytics cookies geplaatst mogen worden zonder toestemming, mits Google Analytics privacyvriendelijk is ingesteld en Google zelf niets doet met de data, maar alleen optreedt als verwerker voor de verwerkingsverantwoordelijke.

Oorspronkelijk had de ePrivacy Verordening samen met de AVG in mei 2018 moeten intreden, dus misschien komt daar alle verwarring vandaan.

[ Voor 9% gewijzigd door XWB op 29-05-2018 23:18 ]

De verwarring komt vooral door het deel van de GDPR waarin staat dat wel/niet instemmen met b.v. tracking cookies een vrije keus moet zijn. Ik had het niet verwacht in een artikel over IT in een krant maar dit is best een helder verhaal:

https://www.nrc.nl/nieuws...-juridisch-limbo-a1604537

Bottomline; het is allemaal erg grijs en onduidelijk. De publishers zoeken de rand op maar niemand weet nog waar die rand ligt of zelfs maar hoort te liggen.

@XWB , bedankt voor de extra uitleg!

@bartvb we zijn op de hoogte van het IAB Consent Framework en zijn bezig dit zsm te implementeren. Gelukkig heeft Google zich hier ook bij aangesloten. We gebruiken namelijk de Google-stack. Het is trouwens niet noodzakelijk om GDPR compliant te zijn wat ik er van begrijp.

Klopt, als je alleen Google gebruikt heb je het IAB Consent Framework helemaal niet nodig zelfs. Dan kan je volstaan met:
https://support.google.com/dfp_premium/answer/9004919?hl=en

De GDPR wordt door Google iig aangegrepen om druk uit te oefenen op de markt. Wel erg positief dat de markt (o.a. dmv het IAB Consent Framework) daar wat tegengas op heeft gegeven waar Google nu wel in mee moet. Google heeft met die acties ook wel een enorm target op z'n voorhoofd geschilderd voor de toezichthouders.

Kort antwoord op de TS: nee, voldoet niet, maar op dit moment is dat ook nog bijna niet te doen doordat het nog even een puinhoop is in online advertentieland.

[ Voor 13% gewijzigd door bartvb op 30-05-2018 09:31 ]

XWB schreef op dinsdag 29 mei 2018 @ 23:14:
[...]


Ik heb het idee dat mensen de AVG- en cookiewet een beetje door elkaar halen. Zoals @Verwijderd aangeeft is de cookiewall onder de nieuwe AVG gewoon toegestaan.

De cookiewall is het resultaat van de cookiewet uit 2016, en die wet is nog steeds van kracht. Het huidige plan is dat de cookiewet pas in 2019 opnieuw gaat veranderen. Dit zal op Europees niveau gebeuren onder de naam "ePrivacy Verordening".

Dit artikel legt het allemaal netjes op:

https://www.rocketdigital.nl/blog/europese-cookiewet-2018/

RockDigital geeft zelf ook de keuze om alleen voor noodzakelijke, functionele, cookies te kiezen. Zonder weigering van het gebruik van de website als de gebruiker die keuze maakt.

Is dat een iets liefdadigheids, zo spontaan, of voldoen zij nu ineens aan de avg wet?

En even voor de duidelijkheid, ik heb nooit beweert dat een cookiewall verboden is, toch?
Het weigeren van een dienst bij het niet accepteren van niet functionele cookies, welke gegevens verzamelen, mag niet.
Het dwingt de gebruiker tot het moeten accepteren van de niet functionele cookies om gebruikt te kunnen maken van de website. Dit is wel degelijk in werking nu.

Adr01 schreef op woensdag 30 mei 2018 @ 09:37:
[...]


RockDigital geeft zelf ook de keuze om alleen voor noodzakelijke, functionele, cookies te kiezen. Zonder weigering van het gebruik van de website als de gebruiker die keuze maakt.

Is dat een iets liefdadigheids, zo spontaan, of voldoen zij nu ineens aan de avg wet?

En even voor de duidelijkheid, ik heb nooit beweert dat een cookiewall verboden is, toch?
Het weigeren van een dienst bij het niet accepteren van niet functionele cookies, welke gegevens verzamelen, mag niet.
Het dwingt de gebruiker tot het moeten accepteren van de niet functionele cookies om gebruikt te kunnen maken van de website. Dit is wel degelijk in werking nu.

Exact. "Freely given".

Je zou ook kunnen zeggen dat je betaald met je persoonsgegevens voor de artikelen die tweakers levert. Dan is er ook geen toestemming nodig want het valt onder "Noodzakelijk voor het uitvoeren van een overeenkomst".

Het is dan ook niet benadelen als ik weiger. Bij benadelen zou het gaan dat ik bijvoorbeeld geen gebruik zou kunnen maken van bepaalde faciliteiten bij een sportclub als ik geen toestemming heeft. Belangrijk hierbij is dat de verwerking niet noodzakelijk is (ik betaal al contributie bij de sportclub, en ik kan gewoon meedoen met de sport ook als ze niet weten wat de geboortedatum van mijn kinderen zijn).

Een cookiewall zou dan het middel kunnen zijn waarmee je de overeenkomst aan gaat. Het is vrij aan een ieder om wel of niet te betalen (met persoonsgegevens) voor tweakers.

http://eur-lex.europa.eu/...656&uri=CELEX:52015PC0634

[ Voor 7% gewijzigd door Batavia op 30-05-2018 11:52 ]

peltco schreef op woensdag 30 mei 2018 @ 11:51:
Je zou ook kunnen zeggen dat je betaald met je persoonsgegevens voor de artikelen die tweakers levert. Dan is er ook geen toestemming nodig want het valt onder "Noodzakelijk voor het uitvoeren van een overeenkomst".

Het is dan ook niet benadelen als ik weiger. Bij benadelen zou het gaan dat ik bijvoorbeeld geen gebruik zou kunnen maken van bepaalde faciliteiten bij een sportclub als ik geen toestemming heeft. Belangrijk hierbij is dat de verwerking niet noodzakelijk is (ik betaal al contributie bij de sportclub, en ik kan gewoon meedoen met de sport ook als ze niet weten wat de geboortedatum van mijn kinderen zijn).

Een cookiewall zou dan het middel kunnen zijn waarmee je de overeenkomst aan gaat. Het is vrij aan een ieder om wel of niet te betalen (met persoonsgegevens) voor tweakers.

http://eur-lex.europa.eu/...656&uri=CELEX:52015PC0634

Dat zou wel al te mooi zijn voor alle bedrijven om onder grote delen van de AVG uit te komen. Volgens mij gaat die vlieger echter niet op

Van-Gogh schreef op maandag 28 mei 2018 @ 08:48:
[...]


@Verwijderd & @Adr01 , een interessante interpretatie door te stellen dat de cookiewall een vorm is van een persoon onderdruk zetten om toestemming te geven voor het gebruik van zijn persoonsgegevens. Ik denk dat wij (Tweakers + moederbedrijf") van mening zijn dat we de gebruiker niet onder druk zetten door hem/haar een keuze te geven. Je punt is echter duidelijk.

Ik ben ook heel benieuwd naar hoe dit bedoeld is, want iemand "niet mogen benadelen" klinkt als "verplicht toegang moeten geven ondanks dat de gebruiker je verdienmodel onder druk zet"? En een betaalde versie als alternatief zal dan ook wel niet mogen, want iemand laten betalen om onder de advertenties uit te komen is heel abstract gezien dan ook "benadelen".

bartvb schreef op woensdag 30 mei 2018 @ 09:31:
Kort antwoord op de TS: nee, voldoet niet, maar op dit moment is dat ook nog bijna niet te doen doordat het nog even een puinhoop is in online advertentieland.

Ik waardeer eerlijkheid en ook de open discussie alhier. Ik denk ook dat Tweakers wel wat krediet zal krijgen, van haar gebruikers dus hard oordelen is niet op zijn plaats. Maar de stelling dat het nu 'een puinhoop' is in advertentieland toont voor mij wel aan dat het hoog tijd werd voor nieuwe regels.

Natuurlijk is de wet al twee jaar geldig, dus kun je zeggen dat advertentieland heeft zitten slapen. Of je moet het vergelijken met een scholier die pas op het laatste moment begint met leren. Maar persoonlijk zou ik het niet alleen wettelijk juist maar ook integer vinden als vinkjes voor cookie walls en persoonlijke advertenties uit gezet kunnen worden.

Ik begrijp wel dat er meer kan worden verdiend met persoonlijke advertenties, maar dat is geen argument om dit grijze gebied te blijven bewandelen. Ik hoop dat Tweakers voorop gaat lopen en de mogelijkheid gaat bieden om persoonlijke advertenties uit te zetten. Ik vind andere websites die mij niet de keuze geven dat uit te zetten (zoals NPO) ook heel irritant. Ik vind advertenties als verdienmodel prima, maar profiling niet.

Succes met deze discussie en het maken van (nieuwe) afwegingen!

Voor de duidelijkheid; ik werk niet voor Tweakers

Het is een puinhoop in advertentieland, maar voor een groot deel komt dat doordat echt heel erg lang compleet onduidelijk is geweest hoe de GDPR nu precies bedoeld is. In de GDPR staan flink wat vage termen, er is echt heel erg veel grijs gebied. Dat zag je ook op b.v. de site van de Autoriteit Persoonsgegevens de laatste maanden/weken. Bij flink wat antwoorden op vragen stond 'wij weten het ook niet'

Pas een maand of twee terug (IIRC) is de 'Article 29 working party' gekomen met een beleidsdocument mbt hoe om te gaan met b.v. personalisatie. Dat is nogal rijkelijk laat. De advertentiewereld zit nogal erg complex in elkaar met echt honderden bedrijven die allemaal een stukje regelen en waarbij heel veel met elkaar moet worden afgestemd, dat is dus niet van de ene op de andere dag gebeurd.

Over het algemeen heb ik het idee dat veel advertentiepartijen hier allemaal best netjes mee zijn omgegaan. Sommigen idd wat laat, zeker de kleine spelers, sommigen erg pro-actief zoals b.v. AppNexus. Google is daarin een wat vreemde eend in de bijt, ze zijn op hun eilandje (nou ja, continent) blijven zitten en hebben de GDPR aangegrepen voor wat 'wijzigingen' in de manier waarop ze met hun partners omgaan.

Nog iets dat meespeelt is dat er niet echt 1 organisatie is die centraal alles regelt en beslist. Je hebt de IAB maar zij zijn vooral adviesgevend. Rond de GDPR hebben flink wat partijen (waaronder b.v. ook Tweakers) naar elkaar zitten kijken. Hoe gaat 'de markt' hiermee om, wat is 'gangbaar in het economisch verkeer' en b.v. ook hoeveel tractie krijgen Consent Management Platforms die werken volgens het IAB Framework. Dat zijn voor een groot deel consensus zaken die nu pas echt duidelijk beginnen te worden.

Maar erg goed om te horen dat Tweakers aan het kijken is naar een oplossing die meer in lijn is met de AVG. Wij zijn hetzelfde van plan, vooral nog een paar technische zaken en afstemming met advertentienetwerken.

GDPR, MOSS, Cookiewet, ... werkelijk Europa op zijn best. Je kan nog beter een rechtzaak tegen jezelf beginnen om een rechter het grijs gebied te laten uitklaren over wat nu in de praktijk wel en niet kan...

Kan me wel vinden in de essentie van de wet maar werk het dan verdorie ook concreet uit.

WhiteDog schreef op woensdag 30 mei 2018 @ 21:56:
GDPR, MOSS, Cookiewet, ... werkelijk Europa op zijn best. Je kan nog beter een rechtzaak tegen jezelf beginnen om een rechter het grijs gebied te laten uitklaren over wat nu in de praktijk wel en niet kan...

Kan me wel vinden in de essentie van de wet maar werk het dan verdorie ook concreet uit.

MOSS is ook een verschrikkelijke wet. Compleet debiel uitgevoerde wet...

... Gelukkig wordt die per 2019 aangepast en komt er ook een drempelwaarde. (Van flink wat duizenden euro’s aan BTW) Als je er onder zit hoef je niet meer met die waanzin mee te doen.

Overigens denk ik dat dit een van de slechts nageleefde belastingwetten is. Er zijn nog zat bedrijven die geen idee hebben wat het is en al jaren niet meedoen terwijl ze dat eigenlijk wel moeten. En logisch ook want er is nauwelijks communicatie en publicatie over geweest, de infovoorziening was extreem slecht en de belastingdienst zelf wist tot maanden na invoering niet wat nou eigenlijk de regels waren op bepaalde gebieden. Nu nog niet mbt bewijs van land waarin de afnemer zit... Ik sprak een inspecteur die het een “draak van een wet” noemde en “als uiteindelijk blijkt dat hetgeen wij nu besproken hebben op basis van de documenten die wij [belastingdienst] hebben tóch niet blijkt te kloppen, dan hoeft u niet bang te zijn voor boetes mocht u ooit controle krijgen want dit is ons huidige beleid en interpretatie van de wet.”

Net als met de GDPR nu vond ik het met VATMOSS raar dat bedrijven niet veel actiever werden ingelicht door overheid, KvK en belastingdienst.


@bartvb Het wordt nog grappiger als je een bedrijf buiten de EU bent. De GDPR-implementatiewetten wijken her en der ietsjes van elkaar af. Welke je dan moet volgen of dat je mag cherry picken of aan allemaal moet voldoen per land (onmogelijk.) is mij tot dusver niet duidelijk geworden...

[ Voor 12% gewijzigd door WhatsappHack op 31-05-2018 00:04 ]

XWB schreef op dinsdag 29 mei 2018 @ 23:14:
Ik heb het idee dat mensen de AVG- en cookiewet een beetje door elkaar halen. Zoals @Verwijderd aangeeft is de cookiewall onder de nieuwe AVG gewoon toegestaan.

[...]

Ik denk dat een deel van de oorzaak ligt bij de cookiewall die nu nog actief is. Daar wordt geen woord gerept over persoonsgegevens. Daarmee voldoet T.net imho niet aan de informatieplicht. Er zou op zijn minst een directe en expliciete verwijzing naar het privacybeleid moeten staan.

Ik weet dat Tweakers over verzoek ook gebruikersnamen kan anonimiseren als een gebruiker niet meer actief wilt zijn. In dat geval zie ikd at de naam wordt veranderd in het gebruikersID nummer die aan het account hangt.

Echter staan in de database vaak nog quotes met daarin de vorige naam van de gebruiker. Neemt Tweakers nu ook maatregelen sinds de AVG-overstap om dit ook te anonimiseren? Het is immers geen geringe klus.

Just interesting

mmjjb schreef op donderdag 31 mei 2018 @ 18:18:
Kudo's overigens voor Avrotros, kwam net op haar website en kreeg een keurige keuze optie aangeboden

Weet je, als eindgebruiker wil ik gewoon niet lastig gevallen worden met dat soort vragen. En dat dan op elke website. Laat het maar snel 2019 zijn, waarbij tracking volgens de nieuwe cookiewet standaard uit moet staan. Dan hoeven dit soort popups ook niet meer getoond te worden.

XWB schreef op donderdag 31 mei 2018 @ 18:55:
[...]


Weet je, als eindgebruiker wil ik gewoon niet lastig gevallen worden met dat soort vragen. En dat dan op elke website. Laat het maar snel 2019 zijn, waarbij tracking volgens de nieuwe cookiewet standaard uit moet staan. Dan hoeven dit soort popups ook niet meer getoond te worden.

Bekijk die website eens. Er is geen wall, dus je hoeft niet eens te kiezen. En zonder third-party javascript zie je het zelfs niet.

Deze cookies gebruiken geen persoonsgegevens

Dit is een goed begin, maar is dat genoeg? Betekent dat dat er nergens persoonsgegevens gebruikt worden?

Statement van ons moederbedrijf:

De websites van de Persgroep zijn voor een groot deel afhankelijk van advertentie-inkomsten. De Persgroep gebruikt onder meer cookies om gebruikers van haar websites de meest relevante artikelen en advertenties te tonen. Om gebruik te kunnen maken van de websites van de Persgroep dienen gebruikers daarom toestemming te geven middels de cookiemuur voor het plaatsen van cookies.

De Telecommunicatiewet bevat de regels omtrent deze cookies, welke voortkomen uit de Europese ePrivacy-richtlijn. Op grond van deze regels mogen bepaalde cookies niet zonder toestemming worden geplaatst. Volgens de wetgever is een cookiemuur een rechtmatige manier om deze toestemming te verkrijgen. Dit principe van 'voorwaardelijk toegang' staat in de ePrivacy-richtlijn.

De AVG verandert de regels omtrent cookies niet. Dit blijkt mede uit artikel 95 van de AVG. Momenteel wordt er in Europa gesproken over een herziening van de ePrivacy-richtlijn. Uit de laatste concepten van wat dan de ePrivacy-verordening gaat heten, blijkt dat het principe van 'voorwaardelijk toegang' wordt gehandhaafd. Onze cookiemuur zal naar verwachting onder de ePrivacy-verordening rechtmatig zijn. Mochten de regels toch nog veranderen, dan zullen wij ook onze cookiemuur waar nodig herzien.

De AVG veranderd inderdaad niks aan de regels omtrent cookies, maar wel aan de regels omtrent het verwerken van persoonsgegevens, en ook cookies (kunnen) persoonsgegevens verwerken.

Wanneer een cookie persoonsgegevens verwerkt gelden volgens mij dezelfde regels als voor andere manieren van persoonsgegevens verwerken.
En dan komen we weer bij de omschrijven van het geven van toestemming voor het verwerken van bepaalde soorten persoonsgegevens, namelijk:

"Vrijelijk gegeven: u mag iemand niet onder druk zetten om toestemming te geven. Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft. Let daarbij op machtsverhoudingen: een werknemer kan een vraag van zijn werkgever bijvoorbeeld moeilijk weigeren."
(bron: https://autoriteitpersoon...de-grondslag-toestemming-

AW_Bos schreef op donderdag 31 mei 2018 @ 15:37:
Ik weet dat Tweakers over verzoek ook gebruikersnamen kan anonimiseren als een gebruiker niet meer actief wilt zijn. In dat geval zie ikd at de naam wordt veranderd in het gebruikersID nummer die aan het account hangt.

Echter staan in de database vaak nog quotes met daarin de vorige naam van de gebruiker. Neemt Tweakers nu ook maatregelen sinds de AVG-overstap om dit ook te anonimiseren? Het is immers geen geringe klus.

Just interesting

Zie AVG Forum topics verwijderen

Twee derde van 150 populaire websites overtreedt nog steeds de privacywet https://nos.nl/artikel/22...vertreedt-privacywet.html

Hackus schreef op donderdag 7 juni 2018 @ 16:04:
Twee derde van 150 populaire websites overtreedt nog steeds de privacywet https://nos.nl/artikel/22...vertreedt-privacywet.html

Er staan zoveel fouten in dat artikel dat ik niet weet waar ik moet beginnen. Heel veel zaken die aangehaald worden zijn onderdeel van de cookiewet uit 2016, en andere zaken hoeven pas veranderd te worden met de nieuwe cookiewet van 2019.

De AVG gaat over het beschermen van persoonsgegevens en heeft verder weinig tot niks met de cookiewet te maken. Het is heel erg jammer dat beide continue door elkaar gehaald blijven worden.

XWB schreef op donderdag 7 juni 2018 @ 16:51:
[...]


Er staan zoveel fouten in dat artikel dat ik niet weet waar ik moet beginnen. Heel veel zaken die aangehaald worden zijn onderdeel van de cookiewet uit 2016, en andere zaken hoeven pas veranderd te worden met de nieuwe cookiewet van 2019.

De AVG gaat over het beschermen van persoonsgegevens en heeft verder weinig tot niks met de cookiewet te maken. Het is heel erg jammer dat beide continue door elkaar gehaald blijven worden.

Ik vraag me toch af of dat wel zo is, als ik de AVG bekijk moet er ook toestemming gevraagd worden voor het verwerken van persoonsgegevens verzameld en mogelijk verwerkt door andere partijen via cookies. Dat er een cookie wet is, en de AVG betekend volgens mij niet dat de AVG per definitie niet gaat over data verzameld doormiddel van cookies. En mag dit niet afgevangen worden achter een "accepteer dit of je mag niet meer op onze website" muur volgens een flink aantal reacties van juridisch geschoolde personen die ik gelezen heb.

Ik heb zeker wel het gevoel dat een zeer groot aantal, ook Europese bedrijven, gewoon weg super laks is met het correct toepassen van de AVG omdat ze bang zijn inkomsten te verliezen en liever kijken naar wat jurisprudentie gaat brengen dan "het beste jongetje uit de klas te zijn". Uiteraard geen probleem dat ze daar bang voor zijn en opzich ook wel logisch want ik verwacht ook dat correcte implementatie een aantal bedrijven ook mogelijk inderdaad omzet zal kosten.

[ Voor 21% gewijzigd door Dennism op 07-06-2018 18:33 ]

Van-Gogh schreef op maandag 28 mei 2018 @ 08:48:
[...]


@Verwijderd & @Adr01 , een interessante interpretatie door te stellen dat de cookiewall een vorm is van een persoon onderdruk zetten om toestemming te geven voor het gebruik van zijn persoonsgegevens. Ik denk dat wij (Tweakers + moederbedrijf") van mening zijn dat we de gebruiker niet onder druk zetten door hem/haar een keuze te geven. Je punt is echter duidelijk.

@Adr01 , mbt de gepersonaliseerde advertenties. Dat is een erg grijs gebied. Niet alleen wie moet nu waar consent voor vragen (en wanneer), maar wie is nu eigenaar van die verzamelde gegevens en wie is op welk moment welke verwerker? Er lopen hier intern met het moederbedrijf en met allerlei externe partijen vrij veel discussies over. Tweakers heeft uiteraard geen intentie om niet AVG correct te opereren en voor zover wij weten zijn we zo AVG correct. Mocht het grijs gebied zwarter of witter worden, dan zal Tweakers zich natuurlijk op de correcte manier aanpassen.

Persoonlijk vind ik dat ook erg lastig aan de AVG. Er zitten nogal veel punten in die ruim interpreteerbaar zijn en waarschijnlijk onduidelijk blijven totdat er rechtelijke uitspraken zijn (en dat gaat vast nog wel even duren).

@Gunner , dat is altijd kosteloos geweest. Voor meer informatie over dit kun je het beste even bij Guido (@ginz) onze community manager aankloppen

Gepersonaliseerde gegevens mogen slechts met toestemming van de gebruiker en je dient een bewerkersovereenkomst te hebben wanneer je persoonlijke informatie doorgeeft, als jij aan je adverteerder door geeft dat ik een .NET developer ben mag dat prima, als je echter doorgeeft wat mijn postcode is, mijn voornaam en mijn beroep dan mag dit niet.
Het is GEEN grijs gebied, ja websites zien dit graag als grijs gebied, maar de wet is kant en klaar op dit punt.

@raptorix , jouw standpunt horen wij vaker. We volgen hier echter ons moederbedrijf. Die hebben het volgende statement mbt de cookiewall:

De websites van de Persgroep zijn overwegend afhankelijk van advertentie-inkomsten. De Persgroep gebruikt onder meer cookies om gebruikers van haar websites de meest relevante artikelen en advertenties te tonen. Om gebruik te kunnen maken van de websites van de Persgroep dienen gebruikers daarom toestemming te geven middels de cookiemuur voor het plaatsen van cookies.

De Telecommunicatiewet bevat de regels omtrent deze cookies, welke voortkomen uit de Europese ePrivacy richtlijn. Op grond van deze regels mogen bepaalde cookies niet zonder toestemming worden geplaatst. Volgens de wetgever is een cookiemuur een rechtmatige manier om deze toestemming te verkrijgen. Dit principe van 'voorwaardelijk toegang' staat in de ePrivacy richtlijn.

De AVG (Algemene Verordening Gegevensbescherming) verandert de regels omtrent cookies niet. Dit blijkt mede uit artikel 95 van de AVG. Momenteel wordt er in Europa gesproken over een herziening van de ePrivacy richtlijn. Uit de laatste concepten van wat dan de ePrivacy verordening gaat heten, blijkt dat het principe van 'voorwaardelijk toegang' wordt gehandhaafd. Onze cookiemuur zal naar verwachting onder de ePrivacy verordening rechtmatig zijn. Mochten de regels toch nog veranderen, dan zullen wij ook onze cookiemuur waar nodig herzien.

Je punt is duidelijk en we communiceren dit ook door naar de DPO, die is hier tenslotte verantwoordelijk voor. De situatie blijft echter dat de DPO (in overleg met allerlei juridische experts) de huidige implementatie als correct beschouwd. Zoals beschreven in de statement. Mochten er dingen veranderd moeten worden, dan zal ook Tweakers dat doen.

Een Wet kan door partijen verschillend geïnterpreteerd worden. Beide zullen hun kant verdedigen zoals hun de Wet 'lezen'.

raptorix schreef op donderdag 14 juni 2018 @ 10:42:
[...]

Gepersonaliseerde gegevens mogen slechts met toestemming van de gebruiker

Toestemming is niet de enige verwerkingsgrond onder de Avg.

en je dient een bewerkersovereenkomst te hebben wanneer je persoonlijke informatie doorgeeft

Nee hoor, een verwerkersovereenkomst is alleen verplicht tussen een verwerkingsverantwoordelijke en een verwerker. Een advertentieboer is geen verwerker in de zin van de Avg omdat zij zelf bepaalt hoe de profiling plaatsvindt. Wel is T.net vermoedelijk ook als verwerkingsverantwoordelijke aan te merken voor de verwerking die de advertentieboeren doen. De uitspraak van het EHRM over beheerders van Facebookpagina's heeft al laten zien dat er best meerdere verwerkingsverantwoordelijken kunnen zijn voor dezelfde verwerking. Bovendien bepaalt T.net het doel (adverteren) en verschaft zij daarvoor deels de middelen (toevoegen van wat aangeleverde JS). Het is duidelijk dat op termijn deze manier van adverteren aan banden gelegd gaat worden omdat websites nu aansprakelijk nijn voor non-compliance van een adverteerder, maar geen enkele website neemt het voortouw.

als jij aan je adverteerder door geeft dat ik een .NET developer ben mag dat prima, als je echter doorgeeft wat mijn postcode is, mijn voornaam en mijn beroep dan mag dit niet.

Grappig dat je dit onderscheid maakt tussen de informatie dat jij een .NET developer bent en je postcode; de Avg maakt dit onderscheid niet. Volgens mij heb je geen benul waar je het over hebt.

raptorix schreef op donderdag 14 juni 2018 @ 10:45:
als jij een foto van mij voor mijn huis maakt en die op je weblog plaatst dan ben je dus persoonsgegevens van mij aan het vastleggen en hier dien je expliciete toestemming van mij voor te hebben.

Nogmaals, toestemming is niet de enige verwerkingsgrond.

Van-Gogh schreef op donderdag 14 juni 2018 @ 10:44:
De AVG (Algemene Verordening Gegevensbescherming) verandert de regels omtrent cookies niet. Dit blijkt mede uit artikel 95 van de AVG.

Ik zou toch eens kijken naar de publicaties van de Article 29 Working Party (WP29). In dit document ("With regard to (..)", pagina 4) stelt WP29 dat toestemming onder de huidige e-Privacy richtlijn (2002/58/EC) hetzelfde is als toestemming onder de Avg. Een beroep op art. 95 Avg omdat Richtlijn 2002/58/EC een lichtere vorm van toestemming zou vereisen gaat dus niet op.

@GlowMouse , ik heb je onderste paragraaf doorgegeven aan de DPO. Bedankt voor alle feedback

Hoi,

Ik denk, ik kom er nog even wat bijgooien voor de DPO, en dan specifiek over de volgende uitspraak van het moederbedrijf:

Volgens de wetgever is een cookiemuur een rechtmatige manier om deze toestemming te verkrijgen. Dit principe van 'voorwaardelijk toegang' staat in de ePrivacy richtlijn.

De AVG (Algemene Verordening Gegevensbescherming) verandert de regels omtrent cookies niet. Dit blijkt mede uit artikel 95 van de AVG.

Een paar punten hierover:

1.
Er is al eerder aangehaald dat keuze vrijelijk gegeven moet worden. Het antwoord was dat het "een interessante interpretatie [was] dat de cookiewall een vorm is van een persoon onder druk zetten". Dit slechts een interessante interpretatie noemen doet geen recht aan de kracht van het standpunt, en wel vanwege het volgende:

1a.
De Autoriteit Persoonsgegevens vervolgt (en dit werd in de originele aanhaling ook erbij gezet): "Bijvoorbeeld door iemand te benadelen als hij of zij geen toestemming geeft." Vindt Tweakers en haar moederbedrijf dan dat het ontzeggen van toegang tot hun website geen benadeling is? Interessante houding ten opzichte van de eigen diensten!

1b.
Artikel 7.4 verklaart dit deel nader:
Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.

De overeenkomst is in dit geval het bezoeken van de website. Wij zijn jullie als bezoekers wettelijk niets verschuldigd voor de dienst die Tweakers levert: de website in dit geval. Voor het leveren van de website zijn er geen advertentiecookies noodzakelijk. (Inlogcookies enzo natuurlijk wel.) Volgens 7.4 is de toestemming dus niet vrijelijk gegeven.

1c.
We kunnen nog verder teruggaan naar de bron van de Autoriteit Persoonsgegevens: de wet zelf.

Deze zegt in Grond 42:
Toestemming mag niet worden geacht vrijelijk te zijn verleend indien de betrokkene geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen.

In het geval van een cookiemuur heeft de betrokkene niet de optie gehad te weigeren zonder nadelige gevolgen (zie 1a). Een cookiemuur is dus een vorm van toestemming afdwingen.

2.
Even ter context, artikel 95 van de AVG zegt:
Deze verordening legt natuurlijke personen of rechtspersonen geen aanvullende verplichtingen op met betrekking tot verwerking in verband met het verstrekken van openbare elektronische-communicatiediensten in openbare communicatienetwerken in de Unie, voor zover zij op grond van Richtlijn 2002/58/EG onderworpen zijn aan specifieke verplichtingen met dezelfde doelstelling.

Refererend naar die ePrivacy-richtlijn (Richtlijn 2002/58/EG), Grond 17:
In deze richtlijn dient "toestemming van een gebruiker of abonnee", ongeacht of deze laatste een natuurlijke of rechtspersoon is, dezelfde betekenis te hebben als "toestemming van de betrokkene" zoals gedefinieerd en nader bepaald in Richtlijn 95/46/EG.

Maar wat wil het geval wat betreft Richtlijn 2002/58/EG? De AVG zegt in Grond 171:
Richtlijn 95/46/EG dient door deze verordening te worden vervangen.

De ePrivacy-richtlijn is dus niet langer onderheving aan Richtlijn 95/46/EG, maar aan de AVG! Tweakers en haar moederbedrijf kunnen zich dus niet beroepen op de zwakkere eisen van de ePrivacy-richtlijn.

Wat de functionaris voor gegevensbescherming (DPO) zegt, klopt dus niet - de cookiemuur is in strijd met de huidige geldende wetten.

Zoals eerder aangegeven zal de cookiewall pas in 2019 niet meer toegestaan zijn, wanneer de nieuwe cookiewet (onder ePrivacy Verordening) in werking treedt. Dus de ePrivacy-richtlijn die je aanhaalt is nog niet van kracht, en is ook geen onderdeel van de AVG.

Wat je wel al ziet, is dat sommige bedrijven alvast migreren naar de nieuwe wetgeving, omdat die al min of meer in steen gebeiteld is.

[ Voor 21% gewijzigd door XWB op 15-07-2018 20:43 ]

XWB schreef op zondag 15 juli 2018 @ 20:38:
Zoals eerder aangegeven zal de cookiewall pas in 2019 niet meer toegestaan zijn, wanneer de nieuwe cookiewet (onder ePrivacy Verordening) in werking treedt. Dus de ePrivacy-richtlijn die je aanhaalt is nog niet van kracht, en is ook geen onderdeel van de AVG.

Nee, ik haalde de oude ePrivacy-richtlijn aan waar de functionaris voor gegevensbescherming van Tweakers/Moederbedrijf zich op beroept. De 2002 in "Richtlijn 2002/58/EG" en 95 in "95/46/EG" staan voor het jaartal.

Je kunt die richtlijn hier lezen, waar staat verwezen naar de richtlijn uit 1995 die door de AVG is vervangen.

Ook zonder de nieuwe ePrivacy-richtlijn is de cookiemuur dus in strijd met de wet.

[ Voor 6% gewijzigd door Spatienazi op 15-07-2018 20:59 ]

Nergens in de richtlijn van 2002 staat dat een cookiewall ongeldig is. Het probleem is dat de teksten vaag en dus multi-interpretabel zijn. Bijvoorbeeld:

Toestemming mag niet worden geacht vrijelijk te zijn verleend indien de betrokkene geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen.

De toegang tot Tweakers weigeren hoeft geen nadelige gevolgen te hebben. Immers, het gebruik van Tweakers is geen recht. Zij mogen jou toegang weigeren, net zoals een supermarkt dat mag. Het zou wel een probleem zijn als de toegang tot bijvoorbeeld MijnOverheid geweigerd zou worden.

Zeker omdat de wet zo vaag is, is het vrijwel onmogelijk om op een discussieplatform te bepalen of Tweakers zich wel of niet aan de wet houdt. Ik denk dat je alleen met een rechtszaak volledige duidelijkheid kan krijgen.

Persoonlijk maak ik me er niet zo druk om, omdat de cookiewall toch in 2019 moet verdwijnen.

XWB schreef op zondag 15 juli 2018 @ 21:02:
Nergens in de richtlijn van 2002 staat dat een cookiewall ongeldig is.

Klopt. De richtlijn van 2002 gebruikt echter wel de definities van een wet die nu is vervangen door de AVG. Een jaar geleden volgde de Richtlijn 2002 de definities van Richtlijn 1995. Die is nu is vervangen door de AVG, dus nu volgt de Richtlijn 2002 de definities van de AVG - en zodoende is de cookiemuur geen vorm van "vrijelijk gegeven toestemming". Zie nog eens punt 2 hierboven voor ondersteuning daarvoor en Artikel 94 van de AVG.

XWB schreef op zondag 15 juli 2018 @ 21:02
De toegang tot Tweakers weigeren hoeft geen nadelige gevolgen te hebben. Immers, het gebruik van Tweakers is geen recht. Zij mogen jou toegang weigeren, net zoals een supermarkt dat mag.

Het gebruik van Tweakers is inderdaad geen recht, maar wél een aangeboden dienst. Het is mijn keuze om van die dienst gebruik te maken, en dát is het moment dat die wet zegt dat die dienst niet geleverd mag worden als er geen keuze is om die cookies te weigeren ("...indien de betrokkene geen echte of vrije keuze heeft".)

Zie hiervoor ook Grond 43: "De toestemming wordt geacht niet vrijelijk te zijn verleend indien ... de uitvoering van een overeenkomst, daaronder begrepen het verlenen van een dienst, afhankelijk is van de toestemming ondanks het feit dat dergelijke toestemming niet noodzakelijk is voor die uitvoering."

Dat jij daarbij het niet gebruik mogen maken van een aangeboden dienst alleen maar omdat je weigert niet-noodzakelijke cookies te accepteren niet ervaart als een "negatief gevolg"... daarvoor verwijs ik je naar punt 1a hierboven.

"Je kunt deze website niet bezoeken omdat je tracking cookies niet accepteert" (een cookiemuur) is dus wettelijk geen geldige reden, en ik heb hierboven in punt 1 de relevante artikelen aangehaald waarom dat zo is.

[ Voor 20% gewijzigd door Spatienazi op 15-07-2018 21:54 ]

-

[ Voor 100% gewijzigd door Danny op 08-03-2019 06:53 ]

mmjjb schreef op donderdag 7 maart 2019 @ 16:02:
07-03-2019 https://tweakers.net/nieuws/150012/autoriteit-persoonsgegevens-cookiemuur-op-websites-mag-niet.html


[...]


Sorry maar de reactie, "we wisten het niet" gaat niet op. Er wordt gewoon doorgegaan met het plaatsen van analytische en advertentie cookies. Ik hoop dat daar nu een einde aan komt

Heb je het artikel op Tweakers zelf hierover gelezen?
reviews: Cookiemuur mag niet meer. Wat nu?

Gaat het Nederlandse internet er heel anders uitzien, of wordt de soep niet zo heet gegeten als hij wordt opgediend?

Ik ga de conclusie hier niet spoilen, maar laten we het er op houden dat het tweede gedeelte van die zin er niet voor niets staat.

mmjjb schreef op dinsdag 26 maart 2019 @ 20:07:
[...]


Zoals u kunt zien is mijn reactie geplaatst voordat bovenstaande artikel is gepubliceerd. Dat er een verschil is van mening tussen Persgroep en het AP is duidelijk.

Tweakers.net geeft altijd aan privacy erg belangrijk te vinden.
Voor nu lijkt het er nog steeds op dat Tweakers.net bewust doorgaat met het plaatsen van tracking cookies tot er een boete plaats vind van het AP, om daarna naar de rechter te kunnen stappen.

Dit is naar mijn mening tegenstrijdig met 'wij vinden privacy belangrijk'.


Overigens:
Bedankt Tweakers.net dat iedereen haar mening, zowel voorstander als tegenstander, dit hier op dit platform mag delen

Ik denk dat men niet "even" een rechtszaak wilt uitloggen, in het verleden waren de toezichthouders niet zo streng en de boetes relatief laag. Dat ligt tegenwoordig anders, als een site als Tweakers de fout in gaat zullen er serieuze boetes volgen.