Naar aanleiding van de discussie op een andere plek in het forum en op verzoek van de Tweakers crew zal ik één van mijn vragen hier herhalen en nader onderbouwen: Gaat Tweakers zich inspannen om alle onrechtmatig verzamelde en verder verwerkte persoonsgegevens te (laten) verwijderen?
Ik zal het vrij stevig formuleren omdat het niet zozeer gaat over dat ik wil dat Tweakers mijn gegevens verwijderd, maar omdat ik van mening ben dat Tweakers alle verzamelde gegevens moet verwijderen. Ik vraag nu expliciet niet aan Tweakers om mijn gegevens te verwijderen. Iedereen kan dat inividueel vragen en voor zover ik me kan voorstellen is daar voor de advertentie-gerelateerde tracking geen enkele weigeringsgrond voor (art. 21(3) AVG). Maar dat zou voor Tweakers voor elk verzoek een enorme klus zijn om bij alle trackers langs te gaan die ooit hebben getracked op de site en er zitten elke keer een wettelijk termijn aan vast waarbinnen het geregeld zou moeten worden. Veel gedoe dus en veel makkelijker om het in één keer te doen en dat is bovendien ook verplicht.
In het kort is zit het als volgt: De gegevens zijn door de verschillende trackers onrechtmatig verzameld omdat de toestemmingsvraag van Tweakers niet aan de wettelijke eisen voldoet en dus niet tot rechtmatig verkregen toestemming kan leiden. Ten tweede is Tweakers gezamelijk verwerkingsverantwoordelijke met alle externe trackingpartijen die de bezoekers op de site van Tweakers volgen. Een uitzondering daarop zijn de trackers waar een verwerkersovereenkomst mee getekend is door Tweakers, maar daar kom ik met een andere argumentatie tot dezelfde conclusie. Tweakers moet er voor zorgen dat er afspraken zijn over o.a. het bewaken van de rechtmatigheid van de verwerking van de verzamelde gegevens en deze afspraken ook communiceren aan de betrokkenen (Art. 26(2)). Het is voor Tweakers waarschijnlijk erg ongemakkelijk, maar uit bijvoorbeeld de Fashion ID uitspraak, maar ook meerdere onderzoeksrapporten van de AP blijkt dat in een dergelijke context de websitehouder (Tweakers) en alle trackers/adverteerders gezamelijke verwerkingsverantwoordelijken zijn onder de AVG. Als er geen grondslag blijkt te zijn is Tweakers dus verantwoordelijk voor de afspraken dat de persoonsgegevens ook verwijderd worden en die afspraken moeten natuurlijk (net als de AVG zelf) nageleefd worden.
Waarom zeg ik dat de toestemming voor tracking niet rechtmatig verkregen is? Ik baseer me dan op de toestemmingsvraag zoals die nu is. Ik geloof niet dat de situatie in het verleden meer compliant is geweest. Maar dat is een aanname waar ik graag op gecorrigeerd wordt. Toestemming onder de AVG is best ingewikkeld. Een hele fijne paper heeft dat uitgewerkt in 22 eisen. Een aantal van de eisen waarvan ik denk dat Tweakers in ieder geval niet voldoen zal ik hieronder uitwerken. Dat is dus geen volledig analyse, maar er moet aan alle eisen voldaan worden om tot rechtmatige toestemming te komen. Voor de duidelijkheid zal ik de nummering uit de paper hanteren van R1 t/m R22. De paper zelf bevat aanvullende uitwerkingen en referenties.
Hoewel het duidelijk is dat Tweakers haar best doet om de site zo goed mogelijk, met lastige randvoorwaarden, in te richten is het mij ook duidelijk dat de persoonsgegevens die door alle advertentiepartijen op de site verzameld zijn niet rechtmatig zijn verzameld.
Ik ben bereid om te assisteren bij de verzoeken om dit voor elkaar te (proberen) te krijgen. Ik weet dat het waarschijnlijk niet realistisch is dat Tweakers deze onrechtmatigheden ook kan (laten) herstellen. Maar een serieuze poging en open communicatie over wat wel en niet lukt zou ik ook erg op prijs stellen.
P.S.
Hoewel ik stevige formuleringen gebruik bedoel ik dit niet persé verwijtend richting Tweakers. Hoewel het volkomen redelijk is om te stellen dat je mag verwachten dat Tweakers zich aan de wet houd wil ik daarbij benadrukken dat Tweakers zich op belangrijke punten zichtbaar meer inspant dan heel veel andere websites. Wat mij betreft gaat dit puur over de vraag hoe Tweakers nu vooruit gaat en niet over hoe dit zo gekomen is of waarom het niet eerder is opgelost. Laat het gerust weten als ik er compleet naast zit in mijn redenering hierboven, maar ik zou het op prijs stellen als een eventuele discussie zich vooral richt op hoe het door Tweakers opgelost kan worden.
Edit: Op dinsdag 6 april heb ik de tabel uitgebreid met een vierde kolom om ook de tekortkomingen van de nieuwe cookiemuur te omschrijven.
Ik zal het vrij stevig formuleren omdat het niet zozeer gaat over dat ik wil dat Tweakers mijn gegevens verwijderd, maar omdat ik van mening ben dat Tweakers alle verzamelde gegevens moet verwijderen. Ik vraag nu expliciet niet aan Tweakers om mijn gegevens te verwijderen. Iedereen kan dat inividueel vragen en voor zover ik me kan voorstellen is daar voor de advertentie-gerelateerde tracking geen enkele weigeringsgrond voor (art. 21(3) AVG). Maar dat zou voor Tweakers voor elk verzoek een enorme klus zijn om bij alle trackers langs te gaan die ooit hebben getracked op de site en er zitten elke keer een wettelijk termijn aan vast waarbinnen het geregeld zou moeten worden. Veel gedoe dus en veel makkelijker om het in één keer te doen en dat is bovendien ook verplicht.
In het kort is zit het als volgt: De gegevens zijn door de verschillende trackers onrechtmatig verzameld omdat de toestemmingsvraag van Tweakers niet aan de wettelijke eisen voldoet en dus niet tot rechtmatig verkregen toestemming kan leiden. Ten tweede is Tweakers gezamelijk verwerkingsverantwoordelijke met alle externe trackingpartijen die de bezoekers op de site van Tweakers volgen. Een uitzondering daarop zijn de trackers waar een verwerkersovereenkomst mee getekend is door Tweakers, maar daar kom ik met een andere argumentatie tot dezelfde conclusie. Tweakers moet er voor zorgen dat er afspraken zijn over o.a. het bewaken van de rechtmatigheid van de verwerking van de verzamelde gegevens en deze afspraken ook communiceren aan de betrokkenen (Art. 26(2)). Het is voor Tweakers waarschijnlijk erg ongemakkelijk, maar uit bijvoorbeeld de Fashion ID uitspraak, maar ook meerdere onderzoeksrapporten van de AP blijkt dat in een dergelijke context de websitehouder (Tweakers) en alle trackers/adverteerders gezamelijke verwerkingsverantwoordelijken zijn onder de AVG. Als er geen grondslag blijkt te zijn is Tweakers dus verantwoordelijk voor de afspraken dat de persoonsgegevens ook verwijderd worden en die afspraken moeten natuurlijk (net als de AVG zelf) nageleefd worden.
Waarom zeg ik dat de toestemming voor tracking niet rechtmatig verkregen is? Ik baseer me dan op de toestemmingsvraag zoals die nu is. Ik geloof niet dat de situatie in het verleden meer compliant is geweest. Maar dat is een aanname waar ik graag op gecorrigeerd wordt. Toestemming onder de AVG is best ingewikkeld. Een hele fijne paper heeft dat uitgewerkt in 22 eisen. Een aantal van de eisen waarvan ik denk dat Tweakers in ieder geval niet voldoen zal ik hieronder uitwerken. Dat is dus geen volledig analyse, maar er moet aan alle eisen voldaan worden om tot rechtmatige toestemming te komen. Voor de duidelijkheid zal ik de nummering uit de paper hanteren van R1 t/m R22. De paper zelf bevat aanvullende uitwerkingen en referenties.
| Volgnummer | Omschrijving | Uitleg | Uitleg nieuwe situatie |
| R4 | Weigering zonder nadelige gevolgen | Hier verschillen meningen over. Ik ben het met de schrijvers van de paper eens. Ik weet dat Tweakers vind dat het wel mag. | Mening blijven verschillen hierover |
| R5 | Verchillende toestemming per doel | Verschillende derde partijen die gebruikers volgen omschrijven meerdere doelen waarvoor ze verzamelde persoonsgegevens verwerken. Alleen Facebook al omschrijft verschillende doelen zoals het tonen van advertenties, het meten van de effectiviteit van advertenties en het doen van onderzoek om Facebooks producten te verbeteren. Het is voor bezoekers niet mogelijk om per doel toestemming te geven. | Er is nog steeds geen mogelijkheid om per doel toestemming te geven. Er zou een inventarisatie moeten komen van alle specifieke verwerkingsdoelen waarvoor alle partijen persoonsgegevens verwerken en per doel moet wel of geen toestemming gegeven kunnen worden.:fill(white):strip_exif()/f/image/fKoCjvImaDwYhZEwmlqKq21i.png?f=user_large) |
| R12 | Configureerbare banner | Dit is grotendeels een dubbeling van het vorige punt, maar alleen een "alles accepteren" optie wordt niet als compliant gezien. | Nog steeds niet relevant als ook niet aan R5 wordt voldaan. |
| R13 | Gelijkwaardige keuze | De opties voor het geven en weigeren van de toestemming moeten gelijkwaardig worden gepresenteerd. Dus geen nudging, maar een tracking muur voldoet hier ook niet aan. | Volgens mij worden de twee keuzes die er zijn prima gelijkwaardig gepresenteerd. |
| R20 | toestemmingsmuur | Volgens overweging 32 mag een toestemmingsvraag niet onnodig verstorend zijn voor het gebruik van van de dienst. De toestemmingsvraag van Tweakers blokkeert het gebruik van de site volledig. | Ik kan de site nog steeds niet gebruiken zonder een keuze te maken. |
| R21 | Intrekken van toestemming | Ik heb niet kunnen vinden hoe ik toestemming kan intrekken voor tracking op de Tweakers-site. Volgens artikel 7(3) van de AVG moet het intrekken van toestemming zelfs net zo makkelijk zijn als het geven daarvan. | In tegenstelling tot één duidelijk knop om toestemming te geven die fel gekleurd is en midden in het scherm staat, kan ik het intrekken van de toestemming als volgt terugvinden: Scroll naar de onderkant van de frontpage, klik op "Cookies", scroll dan naar onderen en klik op de link aan het eind van de op twee na laatste paragraaf "deze pagina", klik dan op de blauwe knop "Toestemming intrekken". Ik denk niet dat ik iemand wijs kan maken dat dat intrekken net zo makkelijk is als het geven van de toestemming. Ik ben benieuwd wat er gebeurt als je iemand voor het eerst voor de site neerzet, de opdracht geeft om toestemming te geven voor cookies en de tijd bijhoud met een stopwatch, en vervolgens vraag om de toestemming in te trekken. Hoeveel langer zou het intrekken duren als diegene niet weet waar hij/zij moet zijn? Een factor tien tot honderd langer zou me niets verbazen. |
| R22 | Intrekken van toestemming ook communiceren aan trackers | Na het intrekken van de toestemming zal in de meeste gevallen (zeker bij advertentie-cookies) ook de grondslag vervallen voor het verwerken van de al verzamelde gegevens. Het intrekken van de toestemming moet dus gecommuniceerd worden aan alle partijen die de bezoekers op Tweakers getracked hebben. Dit gebeurd niet op Tweakers, mede omdat het niet eens mogelijk is om de toestemming in te trekken. | Ik heb geteld naar hoeveel partijen het intrekken van toestemming wordt gecommunceerd: 1, Tweakers. Terwijl er door een flink aantal externe partijen tracking heeft plaatsgevonden in mijn paar pagina-bezoeken daarvoor. Het intrekken van toestemming wordt dus niet naar alle trackers gecommuniceerd. Daarmee kan ik dus wel aangeven dat ik mijn toestemming intrek, maar er wordt niet volledig gevolg aan gegeven. Ik kan daarmee dus niet echt mijn toestemming intrekken. |
Hoewel het duidelijk is dat Tweakers haar best doet om de site zo goed mogelijk, met lastige randvoorwaarden, in te richten is het mij ook duidelijk dat de persoonsgegevens die door alle advertentiepartijen op de site verzameld zijn niet rechtmatig zijn verzameld.
Ik ben bereid om te assisteren bij de verzoeken om dit voor elkaar te (proberen) te krijgen. Ik weet dat het waarschijnlijk niet realistisch is dat Tweakers deze onrechtmatigheden ook kan (laten) herstellen. Maar een serieuze poging en open communicatie over wat wel en niet lukt zou ik ook erg op prijs stellen.
P.S.
Hoewel ik stevige formuleringen gebruik bedoel ik dit niet persé verwijtend richting Tweakers. Hoewel het volkomen redelijk is om te stellen dat je mag verwachten dat Tweakers zich aan de wet houd wil ik daarbij benadrukken dat Tweakers zich op belangrijke punten zichtbaar meer inspant dan heel veel andere websites. Wat mij betreft gaat dit puur over de vraag hoe Tweakers nu vooruit gaat en niet over hoe dit zo gekomen is of waarom het niet eerder is opgelost. Laat het gerust weten als ik er compleet naast zit in mijn redenering hierboven, maar ik zou het op prijs stellen als een eventuele discussie zich vooral richt op hoe het door Tweakers opgelost kan worden.
Edit: Op dinsdag 6 april heb ik de tabel uitgebreid met een vierde kolom om ook de tekortkomingen van de nieuwe cookiemuur te omschrijven.
[ Voor 14% gewijzigd door Floort op 07-04-2021 10:15 . Reden: Update na nieuwe cookiemuur ]
:fill(white):strip_exif()/f/image/aXFUfJB71xRK4ACWL5cYSXGm.png?f=user_large)
:no_upscale():strip_icc():fill(white):strip_exif()/f/image/s8xHZm1b0qMTIhR0gGdrGW0M.jpg?f=user_large)
:fill(white):strip_exif()/f/image/cFz1uV8nmwQTJRlKtToofKG6.png?f=user_large)
:fill(white):strip_exif()/f/image/G1AwE1Gg9O7nfQ3VWdI4eCCh.png?f=user_large)
:fill(white):strip_exif()/f/image/GEIAwaCRAfLkgon0NvBVO1rE.png?f=user_large)
:strip_exif()/f/image/MIC0u4YdXb57tpr9KyDAVbCz.png?f=user_large)