Hoe zit het met cookies en de AVG?
Of ik ff 539 dingen handmatig wil wegklikken
Is nu al de tweede site waarbij dit speelt waarbij ik het voor de grap eens bekijk. Lijkt me niet helemaal AVG proof of valt dat hier niet onder?Edit: Geldt dit voor alle sites
Welke mongool had dat allemaal bedacht?
EUquote:Op woensdag 2 januari 2019 22:48 schreef Antaris het volgende:
Ik word helemaal gestoord van al die kut cookies en meldingen.
Welke mongool had dat allemaal bedacht?
Ik dacht dat de AVG geen cookies beschrijft, omdat die in de e-privacy verordening zou komen. Deze is echter nog niet ingevoerd en is er nu een gat ontstaan. Bedrijven doen nu heel panisch over het plaatsen en de verwerking van gegeven dmv de cookies omdat de regels niet helder zijn.
Panisch? Je weet welke boetes er staan op overtredingen?quote:
Er was een Nederlandse wet. Die is weer ingetrokken door de AVG.
Ik dacht dat de AVG geen cookies beschrijft, omdat die in de e-privacy verordening zou komen. Deze is echter nog niet ingevoerd en is er nu een gat ontstaan. Bedrijven doen nu heel panisch over het plaatsen en de verwerking van gegeven dmv de cookies omdat de regels niet helder zijn.
Overigens staan cookies vrij los van de AVG en je hebt ook lang niet altijd toestemming nodig om cookies te mogen plaatsen.
In principe wel, want een gebruiker kan via browserinstellingen standaard cookies weigeren.quote:
je hebt ook lang niet altijd toestemming nodig om cookies te mogen plaatsen.
Daarom is die hele cookiewet zo debiel: gebruikers hadden altijd al de mogelijkheid cookies te weigeren (met verschillende opties) zonder die cookiewalls.
Ik heb vrij veel te maken gehad met Cookiewet/AVG en er zijn nogal wat misverstanden over, ten eerste gaat het niet om de technische functionaliteit van cookies, sommige cookies zijn functioneel en schenden geen privacy, echter als ik een plaatje op mijn website zet naar httP://wwww.piet.com/tracker.gif?username=Lunatiek&voorkeur=beestenporno en ik heb daar geen toestemming voor dan ben ik net zo goed in overtreding.quote:Op donderdag 3 januari 2019 05:49 schreef Lunatiek het volgende:
[..]
In principe wel, want een gebruiker kan via browserinstellingen standaard cookies weigeren.
Daarom is die hele cookiewet zo debiel: gebruikers hadden altijd al de mogelijkheid cookies te weigeren (met verschillende opties) zonder die cookiewalls.
Overigens al 15 jaar voor de cookiewet was de wet heel duidelijk: je mag geen persoonsgegevens opslaan als daar geen toestemming voor is.
De AVG is gewoon een goede wet, bedrijven die er over zeuren hebben het meestal qua techniek niet goed voor elkaar en 10 jaar lang lopen slapen.
Het opslaan van je gegevens op een server elders die met een cookie met code toegankelijk worden is een ander verhaal. Maar bij de cookiewet wordt daarin geen verschil gemaakt, je weet niet welke info waar wordt opgeslagen als je accepteert (als je de tekst over cookies al leest).
In theorie zou dat in een stuk over AVG op de website moeten staan, maar dat hebben de meeste websites niet (cookies wel, dus... )
De grote wijziging in de wetgeving is het recht om je gegevens te laten wissen en dat is voor bedrijven lastig, vooral door het ontbreken van jurisprudentie. Bijvoorbeeld: moet je het uit alle back-ups verwijderen? Zo nee: als je een back-up terug moet zetten, hoe hou je dan bij welke gegevens verwijderd moeten worden?quote:
De AVG is gewoon een goede wet, bedrijven die er over zeuren hebben het meestal qua techniek niet goed voor elkaar en 10 jaar lang lopen slapen.
Qua AVG zit je met de cookies dus lastig: er is geen (eenvoudig) overzicht welk bedrijf welke serverside data heeft opgeslagen die met een cookie benaderbaar is, dus je kunt niet opvragen welke gegevens zijn opgeslagen en ook niet eisen dat ze verwijderd worden.
Een beetje surfer heeft honderden zo niet duizenden cookies omdat er bijna geen websites zonder zijn. Die privacy is daarom onbeheersbaar voor de gebruiker en dat druist in tegen het principe van privacy by design uit de AVG. Laten we wel zijn, de meeste cookies zijn volledig overbodig vanuit gebruikersstandpunt gezien.
Eens, maar daarom is de AVG zo belangrijk, het is natuurlijk vrij makkelijk om heel veel data serverside te gaan vergaren, en dat maakt het voor de gebruiker lastig te controlleren.quote:
[..]
De grote wijziging in de wetgeving is het recht om je gegevens te laten wissen en dat is voor bedrijven lastig, vooral door het ontbreken van jurisprudentie. Bijvoorbeeld: moet je het uit alle back-ups verwijderen? Zo nee: als je een back-up terug moet zetten, hoe hou je dan bij welke gegevens verwijderd moeten worden?
Qua AVG zit je met de cookies dus lastig: er is geen (eenvoudig) overzicht welk bedrijf welke serverside data heeft opgeslagen die met een cookie benaderbaar is, dus je kunt niet opvragen welke gegevens zijn opgeslagen en ook niet eisen dat ze verwijderd worden.
Een beetje surfer heeft honderden zo niet duizenden cookies omdat er bijna geen websites zonder zijn. Die privacy is daarom onbeheersbaar voor de gebruiker en dat druist in tegen het principe van privacy by design uit de AVG. Laten we wel zijn, de meeste cookies zijn volledig overbodig vanuit gebruikersstandpunt gezien.
Qua backups klopt het dat dit lastig is, deze discussie heb ik ook gehad (ik ben devops engineer), volgens mij is de omschrijving in de AVG: Niet langer dan noodzakelijk.
Echter als je naar bepaalde cloud backups kijkt is dat technisch niet eens mogelijk omdat je naar een willekeurig point in time terug kunt gaan. Volgens mij is het wel zo dat als je backups goed beheerd, bijvoorbeeld met een scherp toegangsbeheer de verwachting is dat je daar niet mee in problemen komt. Voor onze logfiles hanteren wij 90 dagen retentie.
Praktische oplossing is om een extensie als PrivacyBadger te installeren die automatisch alle tracking cookies buiten de deur houdt en ook voortdurend leert. Bovendien kun je alles ook handmatig bedienen, voor het geval een site niet naar behoren werkt zonder cookies (helaas toch nog wel eens het geval).
Voor sommige zaken zijn cookies gewoon functioneel, ik heb ooit eens in een ver verleden een website moeten bouwen waar geen cookies gebruikt mochten worden (dus ook geen sessie cookies), dat is naar huidige maatstaven niet meer te doen. Overigens houden dit soort extensies vaak zaken tegen welke ook in het belang van eindgebruikers zijn.quote:
Dit is in elk geval niet in de geest van de wet, want die schrijft voor dat je op een toegankelijke manier (dus niet 500+ keer klikken) te werk moet gaan.
Praktische oplossing is om een extensie als PrivacyBadger te installeren die automatisch alle tracking cookies buiten de deur houdt en ook voortdurend leert. Bovendien kun je alles ook handmatig bedienen, voor het geval een site niet naar behoren werkt zonder cookies (helaas toch nog wel eens het geval).
Daarom moet je ook niet blind zo’n extensie gebruiken. Het houdt wel een hoop meuk buiten de deur en met een klik zet je die ene specifieke cookie die je toch wilt gebruiken weer aan.quote:
[..]
Voor sommige zaken zijn cookies gewoon functioneel, ik heb ooit eens in een ver verleden een website moeten bouwen waar geen cookies gebruikt mochten worden (dus ook geen sessie cookies), dat is naar huidige maatstaven niet meer te doen. Overigens houden dit soort extensies vaak zaken tegen welke ook in het belang van eindgebruikers zijn.
Ja maar hoe weet jij bijvoorbeeld of je bam.nr-data.net moet blocken?quote:
[..]
Daarom moet je ook niet blind zo’n extensie gebruiken. Het houdt wel een hoop meuk buiten de deur en met een klik zet je die ene specifieke cookie die je toch wilt gebruiken weer aan.
Dit is gewoon een valide tracker die goed met privacy omgaat maar toch zullen veel van dit soort extensies hem blocken.
Als ik merk dat bepaalde functionaliteiten die ik nodig heb het niet doen, dan zet ik 'em aan. Als dat niet zo is, mag het lekker uit blijven staan van mij, valide of niet.quote:
[..]
Ja maar hoe weet jij bijvoorbeeld of je bam.nr-data.net moet blocken?
Dit is gewoon een valide tracker die goed met privacy omgaat maar toch zullen veel van dit soort extensies hem blocken.
Ja ik vind het panisch, omdat een aantal zoals je zelf ook al stelt geen persoonsgegevens verwerkt. Andersom zijn er naast die gebruikersnaam ook diverse andere type persoonsgegevens te bedenken, waaronder ip.quote:
[..]
Panisch? Je weet welke boetes er staan op overtredingen?
Overigens staan cookies vrij los van de AVG en je hebt ook lang niet altijd toestemming nodig om cookies te mogen plaatsen.
Dit ben ik niet geheel met je eens. Het wordt wel meer een hypothetische casus, maar de verwerkingshandeling staat los van de locatie waar het wordt opgeslagen. Wanneer de site dus code gebruikt die de persoonsgegevens laat verzamelen kan je eigenlijk al spreken van een verwerkingshandeling.quote:
Technisch gezien staan de cookies op je eigen harde schijf (daar zijn het cookies voor, die zijn van origine niet serverside), dus sla je zelf je eigen gegevens op en heeft dat dus niet met avg te maken. Dat is pas als van op afstand de cookies worden uitgelezen. Dat hoeft niet per se te zijn door degene die ze heeft laten plaatsen.
Het opslaan van je gegevens op een server elders die met een cookie met code toegankelijk worden is een ander verhaal. Maar bij de cookiewet wordt daarin geen verschil gemaakt, je weet niet welke info waar wordt opgeslagen als je accepteert (als je de tekst over cookies al leest).
In theorie zou dat in een stuk over AVG op de website moeten staan, maar dat hebben de meeste websites niet (cookies wel, dus... )
Dit is in mijn ogen een grote misvatting. Wet bescherming persoonsgegevens had dit al (artikel 36 lid 1). Er was alleen nooit iemand die zich er om bekommerde en de gevolgen voor non-compliance waren er niet of nauwelijks.quote:
[..]
De grote wijziging in de wetgeving is het recht om je gegevens te laten wissen [knip]
Wat mij betreft haal je nu 2 dingen door elkaar.quote:Qua AVG zit je met de cookies dus lastig: er is geen (eenvoudig) overzicht welk bedrijf welke serverside data heeft opgeslagen die met een cookie benaderbaar is, dus je kunt niet opvragen welke gegevens zijn opgeslagen en ook niet eisen dat ze verwijderd worden.
Een beetje surfer heeft honderden zo niet duizenden cookies omdat er bijna geen websites zonder zijn. Die privacy is daarom onbeheersbaar voor de gebruiker en dat druist in tegen het principe van privacy by design uit de AVG. Laten we wel zijn, de meeste cookies zijn volledig overbodig vanuit gebruikersstandpunt gezien.
1. Hoe weet een individu welk bedrijf zijn/haar gegevens verwerkt
2. Hoe dient een bedrijf te voldoen aan regelgeving waaronder privacy by design.
Voor de duidelijkheid, wanneer ik zeg de wetgeving die er al was, dan bedoel ik dat de AVG eigenlijk gewoon hetzelfde is als de Directive uit 95. Wat mij betreft zijn het detail veranderingen, zoals meer duidelijkheid wanneer een FG noodzakelijk is (is dus ook niet nieuw) en de stap van bewerker naar verwerker die plots ook eigen verantwoordelijkheden heeft. De grote winst is dat je met nagenoeg dezelfde wet nu wel naleving begint op te komen.
PS
Zelf kom ik vanuit een audit hoek, waarbij ik privacybeoordelingen uitvoerde nog voor de AVG in de steigers stond.