Petitie betere bescherming persoonsgegevens. - Privacy en beveiliging

Vraag

dinsdag 24 februari 2026 10:21

Acties:

Topicstarter

Op navolging van de Odidohack en op basis van het motto "gegevens die ze niet hebben kunnen ook niet gehacked worden" overweeg ik een petitie te starten om:
A. Service providers verplicht te stellen een dienst te verlenen op basis van minimale juridische en functioneel benodigde persoons gegevens en de dienst in redelijkheid moet blijven verstrekken zolang aan de betalingverplichting wordt voldaan (ook al kan de dienstverlener geen contact met de klant krijgen).
B. Wetgeving te herzien en waar mogelijk de wettelijk verplichte gegevens verzameling en bewaartermijn te beperken en verwijderplicht te versterken. b.v. om een account op basis van alleen een klantnummer mogelijk te maken bij diensten die niet adres gebonden zijn.
C. Het doorspelen van gegevens compleet te verbieden tenzij specifiek per geval toestemming verleend is. (En geen toestemming verlenen geen gevolgen voor de dienst heeft).
D. Bovengenoemde ook toe te passen op andere gebieden die gegevens kunnen verzamelen zoals werkgevers en webshops.

Het sterkste argument hiervoor is dat als er geen waardevolle gegevens verzameld worden het voor hackers ook niet lucratief meer zijn.

Heeft dit een kans van slagen?

Minimaal Vereiste Gegevens
Juridisch:

Naam — nodig voor wettelijke verstrekking van gegevens op grond van de Telecommunicatiewet.
Fysiek adres — vereist voor wettelijke verstrekking en voor de regulatoire werking van telecomdiensten.
Klant-/accountregistratie — nodig voor contractuele naleving volgens de AVG (hoeft geen persoonsgegevens te bevatten, b.v. op klantnummer, SIM, IMEI of modem-ID).

Functioneel / Technisch:

Fysiek installatieadres — noodzakelijk om een vaste lijn te activeren.
Netwerkeindpunt‑identificatie (bijv. modem‑MAC, ONT‑serienummer) — nodig voor authenticatie (geen persoonsgegevens).
Accountidentificatie — interne ID voor beheer van de dienst (hoeft geen persoonsgegevens te bevatten, b.v. op klantnummer, SIM, IMEI of modem-ID).

Gegevens die vaak worden verzameld maar NIET Juridisch of Technisch nodig zijn:

Kopie van ID / BSN — alleen toegestaan wanneer een specifieke wet dit verplicht (niet van toepassing op internetproviders).
Geboortedatum — niet vereist.
Telefoonnummer — niet vereist.
E‑mailadres — niet vereist.
Betaalgegevens gekoppeld aan identiteit — geen wettelijke plicht om identiteitsgebonden betaaldata te verzamelen.
Aanvullende profiel-, marketing- of gedragsgegevens — niet nodig voor dienstverlening of wettelijke naleving.

Alle reacties

dinsdag 24 februari 2026 10:35

Acties:

Room42

Wat wil je bereiken? Want dit is grotendeels al geregeld in de AVG en Telecommunicatiewet.

Heeft dit een kans van slagen?

Waarom vraag je dat niet aan dezelfde LLM als waarmee je het geschreven hebt?

Simracing set: Thrustmaster TX Servo Base + T3PA Pro + Leather 28GT Wheel (Revisie nodig!) aangeboden - En meer!

dinsdag 24 februari 2026 13:33

Acties:

Pino Blauw

Topicstarter

Room42 schreef op dinsdag 24 februari 2026 @ 10:35:
Wat wil je bereiken? Want dit is grotendeels al geregeld in de AVG en Telecommunicatiewet.

[...]

Waarom vraag je dat niet aan dezelfde LLM als waarmee je het geschreven hebt?

Wat ik hiermee wil bereiken is dat is veel minder persoonlijke data in databases van service providers komt te staan, en er dus minder buitgemaakt kan worden bij een hack, en zoals ik in de originele post al zei; Dat als er geen waardevolle gegevens verzameld worden het voor hackers ook niet lucratief meer zal zijn.

Ik heb het lijstje met Minimaal Vereiste Gegevens uit AI. De rest is zelf geschreven. Is dit relevant?

dinsdag 24 februari 2026 13:43

Acties:

dylan111111

Je zwakte in het verhaal zit hem in de ontbrekende definitie van "redelijkheid" in dienstverlening zonder contactgegevens (bijv. hoe omgaan met betalingsgeschillen of fraude zonder verificatiemogelijkheid?).

dinsdag 24 februari 2026 14:18

Acties:

RonnieKo

Pino Blauw schreef op dinsdag 24 februari 2026 @ 13:33:
[...]
Ik heb het lijstje met Minimaal Vereiste Gegevens uit AI. De rest is zelf geschreven. Is dit relevant?

Ja, dat is relevant

Want klopt het wat je aangeeft? Heb je dat zelf gecontroleerd?

Pino Blauw schreef op dinsdag 24 februari 2026 @ 10:21:
A. Service providers verplicht te stellen een dienst te verlenen op basis van minimale juridische en functioneel benodigde persoons gegevens en de dienst in redelijkheid moet blijven verstrekken zolang aan de betalingverplichting wordt voldaan (ook al kan de dienstverlener geen contact met de klant krijgen).

Wat is redelijkheid in jouw geval? Hoe kan je bewijzen dat jij de dienst afneemt en niet door een hacker of oplichter een abbo is afgesloten? Zeker niet online. Dus hoe ga je fraude tegen?

dinsdag 24 februari 2026 14:32

Acties:

laurens0619

Als je het AVG leest en specifiek dan onder Dataminimalisatie en doelbinding:
https://www.autoriteitper...gemeen/de-avg-in-het-kort

Dan denk ik dat de wetgeving er al is? Of wat zou er anders moeten?

[ Voor 4% gewijzigd door laurens0619 op 24-02-2026 14:33 ]

CISSP! Drop your encryption keys!

dinsdag 24 februari 2026 20:31

Acties:

sypie

Wat bedrijven eens moeten begrijpen dat een bewaartermijn ook een keer afloopt. Geen idee hoeveel jaren er bewaard moet worden maar 10 jaar na een abonnement gehad te hebben mogen de gegevens vast wel een keer weg. Feitelijk zouden bedrijven hier veel meer aan gehouden moeten worden. Data gestolen die ouder is dan de wettelijke bewaartermijn? Flinke boete, bovenop de rest van de schadeposten door een hack.

Afgelopen jaar werd er post bezorgd op het adres waar ik op mijn 8e ben komen wonen, waar mijn moeder nog steeds woont. Dat was van een gerenommeerd Nederlands bedrijf waar ik meer dan 20 jaar geleden(!) een aantal weken uitzendwerk voor heb gedaan. De gegevens die men nog had stonden ergens op een server die gehackt was. Kortom: data gestolen... De eerste vraag die ik (mezelf) stelde: "Wat the F moet dat bedrijf na al die tijd nog met mijn gegevens?"

maandag 2 maart 2026 09:27

Acties:

Mathijs Kok

E‑mailadres — niet vereist.
Telefoonnummer — niet vereist.

Dus alle communicatie moet via brieven?

maandag 2 maart 2026 09:36

Acties:

DonJunior

Je gaat een petitie starten om de AVG te implementeren??

*sowieso

maandag 2 maart 2026 09:36

Acties:

D4NG3R

kiwi

Mathijs Kok schreef op maandag 2 maart 2026 @ 09:27:
E‑mailadres — niet vereist.
Telefoonnummer — niet vereist.

Dus alle communicatie moet via brieven?

Dit zou naar mijn mening gewoon een mogelijkheid moeten zijn.

@Pino Blauw Geboortedatum, ID of op andere manier een 18+ controle is wel vereist voor veel doeleinden, je mag onder de 18 immers geen langlopende betaalverplichting (zoals een abonnement) aan gaan zonder toestemming van ouders/verzorgende.

Komt d'r in, dan kö-j d’r oet kieken

maandag 2 maart 2026 09:47

Acties:

Nielless

Born at a very young age.

En dan de petitie invullen met je gegevens zeker.

XBL: DeutscheHelm // STEAM: Nielles™

maandag 2 maart 2026 10:13

Acties:

Yariva

Moderator Internet & Netwerken

Power to the people!

Ik verplaats deze even naar Privacy en beveiliging gezien de lading van het topic. Verder: hou het on topic met behulpzaam commentaar.

Mensen zijn gelijk, maar sommige zijn gelijker dan andere | Humans need not apply

maandag 2 maart 2026 10:24

Acties:

XelaRetak

Pino Blauw schreef op dinsdag 24 februari 2026 @ 10:21:
Op navolging van de Odidohack en op basis van het motto "gegevens die ze niet hebben kunnen ook niet gehacked worden" overweeg ik een petitie te starten om:
A. Service providers verplicht te stellen een dienst te verlenen op basis van minimale juridische en functioneel benodigde persoons gegevens en de dienst in redelijkheid moet blijven verstrekken zolang aan de betalingverplichting wordt voldaan (ook al kan de dienstverlener geen contact met de klant krijgen).
B. Wetgeving te herzien en waar mogelijk de wettelijk verplichte gegevens verzameling en bewaartermijn te beperken en verwijderplicht te versterken. b.v. om een account op basis van alleen een klantnummer mogelijk te maken bij diensten die niet adres gebonden zijn.
C. Het doorspelen van gegevens compleet te verbieden tenzij specifiek per geval toestemming verleend is. (En geen toestemming verlenen geen gevolgen voor de dienst heeft).
D. Bovengenoemde ook toe te passen op andere gebieden die gegevens kunnen verzamelen zoals werkgevers en webshops.

Het sterkste argument hiervoor is dat als er geen waardevolle gegevens verzameld worden het voor hackers ook niet lucratief meer zijn.

Heeft dit een kans van slagen?

Minimaal Vereiste Gegevens
Juridisch:
Naam — nodig voor wettelijke verstrekking van gegevens op grond van de Telecommunicatiewet.
Fysiek adres — vereist voor wettelijke verstrekking en voor de regulatoire werking van telecomdiensten.
Klant-/accountregistratie — nodig voor contractuele naleving volgens de AVG (hoeft geen persoonsgegevens te bevatten, b.v. op klantnummer, SIM, IMEI of modem-ID).
Functioneel / Technisch:
Fysiek installatieadres — noodzakelijk om een vaste lijn te activeren.
Netwerkeindpunt‑identificatie (bijv. modem‑MAC, ONT‑serienummer) — nodig voor authenticatie (geen persoonsgegevens).
Accountidentificatie — interne ID voor beheer van de dienst (hoeft geen persoonsgegevens te bevatten, b.v. op klantnummer, SIM, IMEI of modem-ID).
Gegevens die vaak worden verzameld maar NIET Juridisch of Technisch nodig zijn:
Kopie van ID / BSN — alleen toegestaan wanneer een specifieke wet dit verplicht (niet van toepassing op internetproviders).
Geboortedatum — niet vereist.
Telefoonnummer — niet vereist.
E‑mailadres — niet vereist.
Betaalgegevens gekoppeld aan identiteit — geen wettelijke plicht om identiteitsgebonden betaaldata te verzamelen.
Aanvullende profiel-, marketing- of gedragsgegevens — niet nodig voor dienstverlening of wettelijke naleving.

Als je hier met "petitie" bedoelt, een burgerinitiatief dat op de agenda van de 2e kamer terecht moet komen, dan wordt het al een aardig penibele situatie. Daar zijn alvast een aantal van je "niet nodig" 's nodig zoals de geboortedatum

Voor de rest bestaat deze complete wetgeving al in de vorm van de AVG. Het probleem met Odido is dat ze zich niet aan de AVG hebben gehouden (en ik zie ook meerdere NIS2 schendingen in het verschiet)

maandag 2 maart 2026 10:59

Acties:

Sissors

Mathijs Kok schreef op maandag 2 maart 2026 @ 09:27:
E‑mailadres — niet vereist.
Telefoonnummer — niet vereist.

Dus alle communicatie moet via brieven?

Volgens mij wil TS ook dat je de optie hebt geen communicatie te hebben. (Ik zie de Radar afleveringen al weer komen van slechte bedrijven die gewoon geld zijn blijven afschrijven terwijl de klant het helemaal niet wilde!).

D4NG3R schreef op maandag 2 maart 2026 @ 09:36:
[...]

Dit zou naar mijn mening gewoon een mogelijkheid moeten zijn.

Naar mijn mening niet. Weer meer regeltjes en regulatie. Waarbij je nu dus zelf moet kunnen kiezen of een bedrijf alles per SMS (of Whatsapp?) doet, alles per mail, of per post. En dan moet het binnen de EU mogen, dus dan moet een bedrijf in Griekenland alle communicatie met Nederlandse klanten per post doen als die erom vragen. Moet het ook nog gratis, of mogen ze dan wel alle kosten (dus niet alleen de postzegel) doorrekenen?

maandag 2 maart 2026 11:01

Acties:

Pino Blauw

Topicstarter

Mathijs Kok schreef op maandag 2 maart 2026 @ 09:27:
E‑mailadres — niet vereist.
Telefoonnummer — niet vereist.

Dus alle communicatie moet via brieven?

Als je een beetje out of the box denk kom je op andere mogelijkheden.
De service provider kan zonder jouw contactgegevens te hebben een online portaal hebben waar je kunt inloggen met je klantnummer bijvoorbeeld. Er zijn meer mogelijkheden. En er is nog steeds mailcontact mogelijk zonder dat ze jouw gegevens opslaan. Bijvoorbeeld als jij hun mailt of belt. Geen contact is ook mogelijk; de service wordt verstrekt zolang er aan de betalingsverplichting wordt voldaan.

maandag 2 maart 2026 11:08

Acties:

Pino Blauw

Topicstarter

D4NG3R schreef op maandag 2 maart 2026 @ 09:36:
[...]

Dit zou naar mijn mening gewoon een mogelijkheid moeten zijn.

@Pino Blauw Geboortedatum, ID of op andere manier een 18+ controle is wel vereist voor veel doeleinden, je mag onder de 18 immers geen langlopende betaalverplichting (zoals een abonnement) aan gaan zonder toestemming van ouders/verzorgende.

Er zijn mogelijkheden om leeftijd te checken zonder paspoort gegevens etc te delen Bijvoorbeeld Zero-Knowledge Proof (ZKP)–Based Age Verification, Verifiable Credentials (VCs) / Digital Identity Wallets en Government or Industry Standardized Privacy‑Preserving Systems waarbij de gebruiker niks persoonlijks hoeft te delen. De service verstrekker raadpleegt alleen een tussenpartij zoals de overheid, die weer alleen de property "over 18" of "under 18" verstrekt.

maandag 2 maart 2026 11:12

Acties:

JJ Le Funk

:twk

Pino Blauw schreef op maandag 2 maart 2026 @ 11:08:
[...]

Er zijn mogelijkheden om leeftijd te checken zonder paspoort gegevens etc te delen Bijvoorbeeld Zero-Knowledge Proof (ZKP)–Based Age Verification, Verifiable Credentials (VCs) / Digital Identity Wallets en Government or Industry Standardized Privacy‑Preserving Systems waarbij de gebruiker niks persoonlijks hoeft te delen. De service verstrekker raadpleegt alleen een tussenpartij zoals de overheid, die weer alleen de property "over 18" of "under 18" verstrekt.

precies, het dupliceren van persoonsgegevens is het probleem, niet de wetgeving, niet de security.
het doel is: identificatie, dat zal via één trusted 3rd party geregeld moeten worden met minimale uitwisseling van extra data.

d:)b :henk d:)b

maandag 2 maart 2026 11:15

Acties:

Sissors

Pino Blauw schreef op maandag 2 maart 2026 @ 11:08:
[...]

Er zijn mogelijkheden om leeftijd te checken zonder paspoort gegevens etc te delen Bijvoorbeeld Zero-Knowledge Proof (ZKP)–Based Age Verification, Verifiable Credentials (VCs) / Digital Identity Wallets en Government or Industry Standardized Privacy‑Preserving Systems waarbij de gebruiker niks persoonlijks hoeft te delen. De service verstrekker raadpleegt alleen een tussenpartij zoals de overheid, die weer alleen de property "over 18" of "under 18" verstrekt.

En dat zijn prima mogelijkheden voor bedrijven om te gebruiken. Zodra ze daadwerkelijk bestaan... Vooralsnog zijn dat alleen maar proof-of-concepts enzo. Als ze bestaan. En al ze goed werken. Dan kan je bedrijven gaan verplichten die te gebruiken.

maandag 2 maart 2026 11:17

Acties:

Oon

Heel simpel; dit is allemaal al afgedekt in de AVG, maar handhaving ligt bij de AP die het veel te druk heeft.
In plaats van een petitie starten om de AVG nog een keer te beschrijven zou je beter een petitie kunnen starten om de AP het nodige budget te geven om hun taken uit te voeren, in plaats van dat ze iedere keer één deel hoger budget voor drie delen vergroot takenpakket krijgen.

maandag 2 maart 2026 11:21

Acties:

D4NG3R

kiwi

Sissors schreef op maandag 2 maart 2026 @ 10:59:
Naar mijn mening niet. Weer meer regeltjes en regulatie.

Briefpost is gewoon een duurzame gegevensdrager, het heeft bij mijn weten geen uitzonderingspositie voor communicatie t.o.v. e-mail.

Waarbij je nu dus zelf moet kunnen kiezen of een bedrijf alles per SMS (of Whatsapp?) doet, alles per mail, of per post. En dan moet het binnen de EU mogen, dus dan moet een bedrijf in Griekenland alle communicatie met Nederlandse klanten per post doen als die erom vragen. Moet het ook nog gratis, of mogen ze dan wel alle kosten (dus niet alleen de postzegel) doorrekenen?

Heb je hier een iets concreter voorbeeld voor, want mijn reactie was in de context van een (internet) provider voor en aan Nederlandse klanten. Die kunnen prima per post communiceren indien de klant geen telefoonnummer of e-mailadres wil afstaan.

En ja, als je zelf die keuze maakt mag je daar best voor betalen. Die keuze krijg je echter steeds minder.

Pino Blauw schreef op maandag 2 maart 2026 @ 11:08:
[...]

Er zijn mogelijkheden om leeftijd te checken zonder paspoort gegevens etc te delen Bijvoorbeeld Zero-Knowledge Proof (ZKP)–Based Age Verification, Verifiable Credentials (VCs) / Digital Identity Wallets en Government or Industry Standardized Privacy‑Preserving Systems waarbij de gebruiker niks persoonlijks hoeft te delen. De service verstrekker raadpleegt alleen een tussenpartij zoals de overheid, die weer alleen de property "over 18" of "under 18" verstrekt.

Exact dit dus, iDIN of DIGID zou hier prima voor inzetbaar moeten zijn.

[ Voor 25% gewijzigd door D4NG3R op 02-03-2026 11:25 ]

Komt d'r in, dan kö-j d’r oet kieken

maandag 2 maart 2026 11:29

Acties:

naitsoezn

Nait Soez'n!

Pino Blauw schreef op dinsdag 24 februari 2026 @ 10:21:
Minimaal Vereiste Gegevens
Juridisch:
Naam — nodig voor wettelijke verstrekking van gegevens op grond van de Telecommunicatiewet.
Fysiek adres — vereist voor wettelijke verstrekking en voor de regulatoire werking van telecomdiensten.
Klant-/accountregistratie — nodig voor contractuele naleving volgens de AVG (hoeft geen persoonsgegevens te bevatten, b.v. op klantnummer, SIM, IMEI of modem-ID).
Functioneel / Technisch:
Fysiek installatieadres — noodzakelijk om een vaste lijn te activeren.
Netwerkeindpunt‑identificatie (bijv. modem‑MAC, ONT‑serienummer) — nodig voor authenticatie (geen persoonsgegevens).
Accountidentificatie — interne ID voor beheer van de dienst (hoeft geen persoonsgegevens te bevatten, b.v. op klantnummer, SIM, IMEI of modem-ID).
Gegevens die vaak worden verzameld maar NIET Juridisch of Technisch nodig zijn:
Kopie van ID / BSN — alleen toegestaan wanneer een specifieke wet dit verplicht (niet van toepassing op internetproviders).
Geboortedatum — niet vereist.
Telefoonnummer — niet vereist.
E‑mailadres — niet vereist.
Betaalgegevens gekoppeld aan identiteit — geen wettelijke plicht om identiteitsgebonden betaaldata te verzamelen.
Aanvullende profiel-, marketing- of gedragsgegevens — niet nodig voor dienstverlening of wettelijke naleving.

Beetje simplistisch* in mijn ogen, en volgens mij is een heleboel al geregeld bij wet maar als bedrijven zich daar niet aan houden (zie bv de bewaartermijn in het geval van Odido) dan is geen enkele extra wetgeving nuttig.

* simplistisch omdat je bijvoorbeeld de naam genoeg vindt voor een internetprovider om een dienst te leveren, maar er toch echt controle zal moeten zijn op betalingsverplichtingen en er dus iets meer van persoonsgegevens nodig zullen zijn om het ene individu van het andere te kunnen onderscheiden. En zo zijn er nog wel meer voorbeelden van gegevens die jij misschien in de ideale-wereld-bubbel niet nodig vindt maar die in de grote-boze-echte-wereld wel nodig zijn.

Pino Blauw schreef op dinsdag 24 februari 2026 @ 13:33:
[...]
Ik heb het lijstje met Minimaal Vereiste Gegevens uit AI. De rest is zelf geschreven. Is dit relevant?

Vind je het zelf niet een beetje bijzonder dat je de mensen in dit topic gebruikt om de informatie van de AI te sanity-checken?

Je vraagt nota bene letterlijk "heeft dit kans van slagen", dus je vraagt aan de mensen in dit topic om de info van de AI te controleren. Dat lijkt me nou bij uitstek een voorbeeld van een casus van ongewenst AI-gebruik op het forum.

[ Voor 11% gewijzigd door naitsoezn op 02-03-2026 11:33 ]

't Het nog nooit, nog nooit zo donker west, of 't wer altied wel weer licht

maandag 2 maart 2026 15:46

Acties:

DonJunior

Pino Blauw schreef op dinsdag 24 februari 2026 @ 10:21:
[..]

Heeft dit een kans van slagen?
[..]

Gezien de reacties hier in dit topic en jouw eigen selectieve beantwoording van gestelde vragen denk ik dat het antwoord heel erg kort is op deze vraag:

Nee

*sowieso

Pagina: 1

Reageer