Staatssecretaris: naleving AVG is continu proces, geen statisch gegeven

Het naleven van de Europese privacywet AVG is geen statisch gegeven, maar een continu proces. Dat zegt de Nederlandse staatssecretaris Menno Snel als uitleg bij de constatering dat de Belastingdienst over een jaar volledig aan de AVG zal voldoen.

Volgens Snel bevat de AVG 'veel open normen', wat naleving van de Europese privacywet voor nu lastig maakt, zo schrijft hij in een Kamerbrief. Die open normen 'laten ruimte voor aanpassing van te nemen maatregelen op de specifieke kenmerken van een verwerking en de privacyrisico’s die daarmee samenhangen'.

Een voorbeeld van punten waarop de Belastingdienst pas later zal voldoen aan de AVG, is het geautomatiseerd opschonen van bestanden, waar dat tot nu toe handmatig gebeurde. Ook gaat het om "het uitbreiden van persoonlijke informatie op portalen zoals MijnBelastingdienst en MijnToeslagen, en het verfijnen van autorisatie op basis van nieuwe technieken, die nog beter invulling geven aan beginselen van doelbinding, vertrouwelijkheid en integriteit."

De Belastingdienst voldoet bovendien op diverse punten nog niet aan de AVG, omdat het nog geen goede reden heeft om persoonsgegevens te verzamelen. Dat is onder meer zo bij het gebruik van camerabeelden om mensen op te sporen die geen motorrijtuigenbelasting hebben betaald, schrijft Snel.

De opmerkingen van Snel over het voldoen aan de AVG als 'continu proces' staan haaks op de opmerkingen van minister Sander Dekker, die juist zei dat grote bedrijven een 'strikte handhaving' van de AVG tegemoet kunnen zien. Bij veel grote bedrijven is net als bij de Belastingdienst het voldoen aan de AVG moeilijk vanwege de open normen in de Europese privacywet.

Volgens Snel heeft de Autoriteit Persoonsgegevens ook benadrukt dat de AVG voor iedereen geldt. Het is onbekend of de Belastingdienst sancties tegemoet kan zien vanwege het niet op tijd voldoen aan de AVG. Snel meldt in antwoord op vragen hierover: "Hierover kan ik niets zeggen omdat het nemen van handhavende maatregelen is een eigen verantwoordelijkheid van de AP als onafhankelijke toezichthouder."

Door Arnoud Wokke

Redacteur

Feedback • 06-06-2018 09:00116

06-06-2018 • 09:00

116 Linkedin Whatsapp

Lees meer

Belastingdienst overtrad AVG bij toeslagenaffaire
Belastingdienst overtrad AVG bij toeslagenaffaire Nieuws van 17 juli 2020
Belastingdienst kan beveiliging gevoelige persoonsgegevens niet garanderen
Belastingdienst kan beveiliging gevoelige persoonsgegevens niet garanderen Nieuws van 12 oktober 2018
AP start steekproef ter controle naleving privacyregels door grote organisaties
AP start steekproef ter controle naleving privacyregels door grote organisaties Nieuws van 17 juli 2018
Autoriteit Persoonsgegevens waarschuwt voor AVG-oplichting via 'boetes'
Autoriteit Persoonsgegevens waarschuwt voor AVG-oplichting via 'boetes' Nieuws van 22 juni 2018
Autoriteit Persoonsgegevens waarschuwt voor bedrijven die AVG-keurmerk aanbieden
Autoriteit Persoonsgegevens waarschuwt voor bedrijven die AVG-keurmerk aanbieden Nieuws van 7 juni 2018
'Meerderheid van 150 in Nederland populaire sites houdt zich niet aan AVG'
'Meerderheid van 150 in Nederland populaire sites houdt zich niet aan AVG' Nieuws van 7 juni 2018
EU-Hof: beheerders Facebook-pagina zijn medeverantwoordelijk voor dataverwerking
EU-Hof: beheerders Facebook-pagina zijn medeverantwoordelijk voor dataverwerking Nieuws van 5 juni 2018
'Veel mkb-websites zijn kwetsbaar voor toegang tot database met klantgegevens'
'Veel mkb-websites zijn kwetsbaar voor toegang tot database met klantgegevens' Nieuws van 1 juni 2018
Privacy-organisatie Schrems beschuldigt Google en Facebook van overtreden AVG
Privacy-organisatie Schrems beschuldigt Google en Facebook van overtreden AVG Nieuws van 25 mei 2018
'Ruzies en uittocht personeel maken Nederlandse privacywaakhond vleugellam'
'Ruzies en uittocht personeel maken Nederlandse privacywaakhond vleugellam' Nieuws van 25 mei 2018
Kleine Nederlandse organisaties worden ontzien bij handhaving AVG
Kleine Nederlandse organisaties worden ontzien bij handhaving AVG Nieuws van 24 mei 2018
Nederlandse privacytoezichthouder: budget handhaving AVG is wellicht onvoldoende
Nederlandse privacytoezichthouder: budget handhaving AVG is wellicht onvoldoende Nieuws van 9 mei 2018
Groot deel Europese privacytoezichthouders: we zijn nog niet klaar voor AVG
Groot deel Europese privacytoezichthouders: we zijn nog niet klaar voor AVG Nieuws van 8 mei 2018
Meer producten en artikelen
Politiek en recht Belasting Belastingdienst Nederland

IT-banen

Meer vacatures

Reacties (116)

-Moderatie-faq
116
113
39
5
1
60
Wijzig sortering
celshof
6 juni 2018 09:10
naleving AVG is continu proces, geen statisch gegeven
Ben ik het mee eens. Het kan natuurlijk niet zo zijn dat je het een keertje denkt op orde te hebben en er dan nooit meer naar kijkt.
Als je merkt dat bij andere bedrijven en overheden dingen aan het licht komen die niet volgens de AVG zijn en je hebt dit zelf ook niet goed geregeld, moet je gewoon actie gaan ondernemen.
Volgens Snel bevat de AVG 'veel open normen'
En dat is gewoon kolder om een excuus te hebben waarom het nog steeds een rommeltje is. Je hebt 2 jaar de tijd gehad om het op orde te krijgen voordat er gehandhaafd gaat worden en hebt als BD en minister+staatssecretaris te weinig prioriteit gegeven aan de AVG.
Gezien de problemen bij de BD van de afgelopen jaren wellicht begrijpelijk, maar wees er dan eerlijk over dat je geen extra geld wilde uitgeven,
DeFeCt
@celshof6 juni 2018 09:25
Volgens mij zijn die open normen geen kolder, alleen is het geen excuus om de boel niet op orde te hebben. Het 'probleem' zit hem in het feit dat er nog geen rechtspraak is die duiding geeft aan die open normen. Wat er dus volgens de wet echt onder wordt verstaan moet dus nog maar blijken. Iets afdoende beveiligen en dan niet vermelden wat je onder afdoende verstaat laat natuurlijk een hoop ruimte voor interpretatie.
KopjeThee
@DeFeCt6 juni 2018 11:26
Volgens mij zijn die open normen geen kolder, alleen is het geen excuus om de boel niet op orde te hebben. Het 'probleem' zit hem in het feit dat er nog geen rechtspraak is die duiding geeft aan die open normen. Wat er dus volgens de wet echt onder wordt verstaan moet dus nog maar blijken. Iets afdoende beveiligen en dan niet vermelden wat je onder afdoende verstaat laat natuurlijk een hoop ruimte voor interpretatie.
Ik begrijp het niet helemaal. Hoe kan je "de boel op orde" krijgen als je niet weet wat dat betekent? Ik heb er verder weinig ervaring mee, maar volgens mij zou je als organisatie eerst AVG moeten interpreteren voor jouw organisatie, zodat de "open normen" worden ingevuld. Die interpretatie of zienswijze is natuurlijk niet ondersteund door jurisprudentie, dus kan eventueel in de loop der tijd wijzigen. Met die interpretatie zet je de organisatie aan het werk om systemen en processen aan te passen. Dan werk je in ieder geval consistent, en er zijn geen (veel minder) onduidelijkheden, dus je kunt in een bepaald opzicht zeggen dat je de boel op orde hebt.. Laat een ander later (AP) maar aantonen dat het niet voldoet.
twiFight
@KopjeThee6 juni 2018 11:36
Terechte opmerking, maar "Met die interpretatie zet je de organisatie aan het werk om systemen en processen aan te passen." is niet gratis. Sterker nog, bij een 'bedrijf' zoals de BD is dat een kollossale, tijdrovende en prijzige klus. Ik snap dan ook wel dat je daar niet graag mee aan de slag gaat als nog onduidelijk is of jouw interpretatie wel klopt. Met andere woorden, je hebt kans dat je na al die tijd en dat geld alles nog een keer moet doen om het aan te passen aan de (hopelijk voortkomende) jurisprudentie. De afwachtende houding is in die zin begrijpelijk. Ze doen het liever in een keer goed, het is daar al chaotisch genoeg.

Mijns inziens zijn de vage richtlijnen een zwak punt in een verder welkome reguliering.
KopjeThee
@twiFight6 juni 2018 11:50
Terechte opmerking, maar "Met die interpretatie zet je de organisatie aan het werk om systemen en processen aan te passen." is niet gratis. Sterker nog, bij een 'bedrijf' zoals de BD is dat een kollossale, tijdrovende en prijzige klus.
Het lijkt me een mega klus. In elke grote organisatie, en zeker in een organisatie die niet bekend staat om zijn gedegen IT landschap. Het kan vrijwel al je systemen raken. Het zal misschien ook enigszins afhangen van hoe compliant je oorspronkelijk was met WbP.
DeFeCt
@KopjeThee6 juni 2018 11:40
Dat is ook precies wat ik (probeer te) zeg(gen). En daarom is het ook een continue proces, het zal o.a. door jurisprudentie die er gaat komen bijgestuurd moeten worden. Daarnaast vragen nieuwe systemen of bedrijfsvoering binnen een bedrijf ook blijvend aandacht. Het is dus ook een slap excuus dat de belastingdienst de boel niet op orde heeft. Dat ben ik helemaal met @celshof eens, waar het mij om ging is dat de open normen kolder zouden zijn, dat is namelijk niet het geval.

Of je de boel werkelijk op orde hebt wordt waarschijnlijk pas echt duidelijk na een bezoek van de AP.

[Reactie gewijzigd door DeFeCt op 6 juni 2018 11:41]

KopjeThee
@DeFeCt6 juni 2018 11:51
Of je de boel werkelijk op orde hebt wordt waarschijnlijk pas echt duidelijk na een bezoek van de AP.
Ja, en eigenlijk pas nadat er een uitspraak door de rechter is gedaan.
Cronax
@KopjeThee6 juni 2018 14:08
De GDPR is al in 2016 bekend gemaakt. Na 2 jaar heb je toch als bedrijf, groot en log of niet, genoeg tijd gehad om te interpreteren wat er precies aan zat te komen en de juiste afdelingen in gang te zetten. Uit eigen kring kan ik je melden dat de meeste bedrijven het hele verhaal gewoon niet zo boeiend vonden en het veel te lang hebben laten liggen. De hoeveelheid bedrijven die pas net een maand (of nog minder) voor de deadline eens in gang schoot is schrikbarend. Dat het dan ineens heel duur en ingewikkeld is om op hele korte termijn de hele wet te interpreteren en implementeren mag voor niemand een verrassing zijn.

Stiekem hoopte men natuurlijk dat het over zou waaien want een boel geld uitgeven alleen maar zodat je weer aan de wet- en regelgeving voldoet, daar verdien je natuurlijk niet direct iets mee. Zoals gewoonlijk worden de wensen en rechten van de klant weer op grote schaal ondergeschikt gesteld aan winst. Logischerwijs kan ik de redenering wel volgen, maar mijn moreel compas zegt er toch iets anders over.
celshof
@DeFeCt6 juni 2018 09:30
Dat is ook wat ik bedoelde.
tweaknico
@DeFeCt6 juni 2018 13:29
Open Normen zijn dus een Kans....
om de zaken goed op te zetten, het stellen van normen (het kan zijn dat je fout zit ... of moet bijschaven) maar er kan niet gesteld worden dat je op je handen gezeten hebt.

En je kan ook een vraag bij de AP neerleggen... "is .... acceptabel?" waarmee je in ieder geval tijd hebt tot je een antwoord hebt. Alleen lijkt het erop dat iedereeen alleen alles via de Rechter wil laten toetsen.
Neoldian
@DeFeCt6 juni 2018 14:35
Mwaa, dat is helemaal niet zo onduidelijk hoor. Afdoende beveiligen betekent dat gegevens dusdanig beveiligd zijn dat onbevoegden deze niet kunnen inzien/gebruiken/opvragen, etc. De rechtspraak houd daarbij rekening met de stand van de techniek. Juist omdat deze zo snel veranderd, is het onmogelijk om in de wet 100% concreet en zwart-wit te beschijven waar je aan moet voldoen.

Het artikel trekt overigens wel iets uit zijn verband: De belastingdienst heeft absoluut een goede reden voor het verzamelen en verwerken van persoonsgegevens: de AWR (Algemen wet rijksbelastingen). Men heeft echter nog geen compleet dataregister opgemaakt en dat is toch echt iets anders. Nog steeds niet goed natuurlijk, maar dat is nogal een klus met gegevens van 8,5 miljoen belastingplichtigen verdeeld over de inkomstenbelastingen en toeslagen en daarnaast is er nog het stuk ondernemers, waar je met loonheffingen, BTW, etc te maken hebt. Pittig klusje en dat kost nogal wat tijd en geld, al had men met de 2 jaar al wel een eind op weg kunnen zijn natuurlijk.
Smuey
@celshof6 juni 2018 09:16
Dat eerste punt, hoe waar het ook mag zijn, wordt hier anders ook goed misbruikt. Er wordt mee bedoeld dat er tijd overheen gaat om te voldoen aan de AVG (zou je echt meer dan twee jaar voor nodig hebben dan?) en niet zozeer dat de belastingdienst het continu gaan monitoren.
Carharttguy
@celshof6 juni 2018 10:27
Eerlijk gezegd snap ik niet hoe de naleving van een wet een proces is, en geen statisch gegeven.

Ga ik ook eens bij de rechter proberen: Naleving verkeerswet is een continu proces, geen statisch gegeven.
tweaknico
@Carharttguy6 juni 2018 13:34
Ook daar geldt dat. De verkeerswet wordt (on)regelmatig herzien soms zijn er grote veranderingen some kleine. En wat 20 jaar geleden nog acceptabel is is dat nu echt niet meer.... (bellen achter het stuur).
Dat men zich er nog niet echt aan houdt is een ander iets.

Ook zijn er soms regels die lastig uit te voeren zijn. Drugs op achter het stuur is net zo fout als drank op..., echter de tests waren niet goed genoeg... Al komt daar sinds 1-2 jaar goed verandering in. Dus waar je eerste mee weg kon komen, kan dat nu niet meer.
Carharttguy
@tweaknico6 juni 2018 13:42
Ja, de wetgever zorgt ervoor dat de wet regelmatig wordt herzien, niet degene die onderworpen is aan die wet. Europa is wetgever in deze, de belastingdienst is onderworpen.

Ik als chauffeur ben onderworpen aan een wet, ik heb niet het recht om mij daar geleidelijk aan te houden, dat moet gewoon onmiddellijk, ook als een verkeersbord in een bepaalde straat veranderd van 60 naar 80. Ik moet dan onmiddellijk 60 rijden, niet deze week nog 75, volgende week 70 enzovoort.
tweaknico
@Carharttguy6 juni 2018 13:47
Jij zult je dus regelmatig op de hoogte moeten stellen van de nieuwe regels...
want roepen dat vorig jaar de weg nog 80 was en nu 60... tja.

Overigens dan moeten ook de borden aan de straat herzien zijn, die geven immers het plaatselijk regime aan. Het is de de wegbeheerder die de grootste klus heeft. (en aanspraaklijk is als bewegwijzering aantoonbaar niet op orde is).

Als de regel: met aanhanger mag je 90 weer terug gedraaid wordt naar 80 of zelfs 70 dan moet je dat zelf uitzoeken etc. en implementeren.
burne
@celshof6 juni 2018 10:31
Je hebt 2 jaar de tijd gehad om het op orde te krijgen voordat er gehandhaafd gaat worden en hebt als BD en minister+staatssecretaris te weinig prioriteit gegeven aan de AVG.
In goed Nederlands: mealymouthed weasel words van de staatsecretaris. :+
Somoghi
@celshof6 juni 2018 09:17
Tijd dat de politiek zich mag verantwoorden, een boete heeft weinig zin. Laat de verantwoordelijken maar eens schaamte voelen. Dat de belastingdienst van alle instanties het niet op orde heeft, zij die de meeste gegevens van allemaal verwerken, is toch van de pot gerukt.
Anoniem: 950021
6 juni 2018 09:11
Volgens mij is de Avg kraakhelder over wat je mag bewaren en wat niet. En wanneer je iemands persoonlijke gegevens moet verwijderen (volledig dus). Het is dan ook walgelijk dat ze er zelf niet aan voldoen.
Crazy D
@Anoniem: 9500216 juni 2018 09:38
Volgens mij is de Avg kraakhelder over wat je mag bewaren en wat niet. En wanneer je iemands persoonlijke gegevens moet verwijderen (volledig dus). Het is dan ook walgelijk dat ze er zelf niet aan voldoen.
Dat is het nou juist niet. Je moet een goede reden hebben om gegevens op te slaan. En als je die hebt, mag je een hoop gegevens gewoon opslaan. Dat maakt het dus niet kraakhelder, als jij een dienst verleent waarbij geboortedatum noodzakelijk is, mag je dat gewoon opslaan. Ik mag voor mijn dienstverlening dat niet, dat is totaal niet relevant bij wat ik doe. Dat maakt het dus al niet kraakhelder.

Verwijderen idem. Ik moet 7 jaar administratie bewaren. Ik _mag_ dus niet alles verwijderen, want dan is mijn administratie niet compleet. Daarbij zit er een risico in: een aangifte van 4 jaar terug (kan makkelijk paar jaar duren voordat een aangifte definitief is) kan resultaten hebben (zeker qua regels waarbij je bv 3 x n de 5 jaar een bepaalde maatregel mag gebruiken) van 7 jaar terug. En misschien krijg ik vandaag de controle, en moet ik morgen die van 7 jaar terug verwijderen. Dat maakt het dus al niet zo zwart-wit.

Verwijderen is vooral makkelijk als er enkel informatie/prijsopgaves aan zijn gekoppeld, niet wanneer er echt facturen verstuurd (of ontvangen) zijn. Dan botsen bepaalde regels.

En de belastingdienst heeft dat 10 x zo hard. Als startend ondernemer mag je bepaalde aftrekregels 3 x in de 5 jaar doen. Zij moeten terug kunnen kijken bij een controle van je aangifte van 5 jaar terug, als je die regel gebruikt, of dat de 1e, 2e of 3e keer was. (Kun je stellen dat ze dan sneller moeten zijn met definitief maken van de aangifte, dat ben ik met je eens... maar dat is de praktijk nu eenmaal).
eborn
@Crazy D6 juni 2018 10:17
Daar komt nog bij dat regels veranderen. De Belastingdienst moet bijvoorbeeld weten wanneer elke persoon voor het eerste een hypotheek heeft afgesloten, omdat er per periode andere regels gelden voor de HRA. Als er nu besloten wordt dat alle gegevens ouders dan X jaar (voordat de huidige regels veranderden) samengevoegd worden, dan betekent dit dat je die oudere gegevens ook nooit meer hebt.

Overigens kan de termijn 'oneindig' binnen de AVG een prima bewaartermijn zijn, mits je dit kunt beargumenteren. Een wispelturige overheid kan wat mij betreft voor de Belastingdienst een geldige reden zijn.
ACM
@eborn6 juni 2018 12:33
Er zijn natuurlijk sowieso allerlei gegevens die gewoon bewaard kunnen en/of moeten worden omdat er een goede reden voor is. De startdatum van een lopende hypotheek is er zoeen ;)

Ik zou verwachten dat banken ook gewoon alle betaalafschriften van die lopende hypotheek mogen bewaren. Maar zodra de hypotheek afloopt, dan is er op een gegeven moment geen goede reden meer om het nog langer te blijven bewaren (geen idee of die termijn 7 jaar is).
Anoniem: 167912
@Crazy D6 juni 2018 13:50
dat is nu eigenlijk een van de dingen die wel nogal goed geregeld zijn binnen de avg: er zijn uitzonderingen op het recht vergeten te worden (zie art. 17).
Het recht op vergeten te worden is uiteraard niet absoluut. Stel dat ik iets op krediet koop en de dag erna vraag ik mijn kredietverlener om vergeten te worden.
Anoniem: 950021
@Crazy D6 juni 2018 23:17
Je kunt het mij hartstikke goed uitleggen en roept vervolgens dat het niet kraakhelder is...
bArAbAtsbB
@Anoniem: 9500216 juni 2018 09:14
tja maar aan dat verwijderen hangen weer andere zaken...als je een klant gefactureerd hebt moet je de gegevens 7 jaar bewaren...als een klant vraagt om verwijdering...mag dat dus pas na 7 jaar..hoe ga je dat regelen? in 7 jaar kan er een hoop veranderen!
The Zep Man
@bArAbAtsbB6 juni 2018 10:57
als een klant vraagt om verwijdering...mag dat dus pas na 7 jaar..hoe ga je dat regelen? in 7 jaar kan er een hoop veranderen!
Een brief terug:

"Wij kunnen uw gegevens niet verwijderen omdat wij een legitiem doel hebben om dit op te slaan. Onder de huidige regelgeving kunt u op DD MMM YYYY een nieuw verzoek doen. Wij wensen u nog een prettige dag."

Bij een nieuw verzoek over zeven jaar wordt de nieuwe regelgeving van dan erbij gepakt. Opgelost.
bArAbAtsbB
@The Zep Man6 juni 2018 10:59
tja maar je mag het volgens de wet niet bij de klant terugleggen....de winkelier moet dus een systeem gaan opzetten om dit te realiseren!
celshof
@bArAbAtsbB6 juni 2018 11:15
Klopt. Na 7 jaar vervalt inderdaad de reden om het te bewaren en als je dan niet een andere grond hebt zul je moeten verwijderen.
Maar een heleboel bedrijven zullen vast nu al na 7 jaar al automatisch zulke zaken verwijderen. En voor degene die dat nog niet doen werd het wel eens tijd het te gaan regelen.
bArAbAtsbB
@celshof6 juni 2018 11:43
voor bedrijven is juist de geschiedenis van belang...wat heeft een klant gekocht en wanneer...deze info is vaak ouder dan 7 jaar...deze info geeft ook pas inzichten na een jaar of 10...dan pas kan je conclusies trekken uit de data die stand houden!
Superkanjo
@bArAbAtsbB6 juni 2018 12:22
Een bedrijf die statistiek gaat gebruiken van 10 jaar oud loopt hopeloos achter imo. Ja voor trendlines misschien, maar 10 jaar is doorgaans veel te lang en te oud voor deze doeleinden.
bArAbAtsbB
@Superkanjo6 juni 2018 12:33
dat ligt er vooral aan hoe lang producten meegaan....in de zakelijke markt kan dat zo 10 a 15 jaar zijn met machines ed!

ook kan je vanuit de aanschaf gaan bekijken wanneer klanten toe zijn aan vervanging!

[Reactie gewijzigd door bArAbAtsbB op 6 juni 2018 12:36]

Superkanjo
@bArAbAtsbB6 juni 2018 15:03
Maar dat gaat over bedrijven, die informatie kan gewoon bewaard worden toch? Zijn geen persoonsgegevens als je de juiste data bewaard.
bArAbAtsbB
@Superkanjo6 juni 2018 15:05
t.a.v. in de gegevens...of een email als "sjakie@hetbedrijf.nl" en je hebt al persoonsgegevens! een mobiel nummer van je contactpersoon....persoonsgegevens! het gaat nogal ver allemaal!
Superkanjo
@bArAbAtsbB6 juni 2018 15:06
Daarom zeg ik, als je de juiste data bewaard. Maar klopt!
bArAbAtsbB
@Superkanjo6 juni 2018 15:10
dan moet er dus een systeem opgezet gaan worden op deze "foute" gegevens eruit te filteren...das niet te doen voor kleine ondernemers!

de wet is een gedrocht en wordt zeer waarschijnlijk binnen niet afzienbare tijd herzien!

[Reactie gewijzigd door bArAbAtsbB op 6 juni 2018 15:11]

MSalters
@bArAbAtsbB6 juni 2018 12:38
Sorry, maar onder de AVG krijgt de klant voorrang boven jouw wensen. Je mag aan de klant om toestemming vragen ("consent"), maar de klant mag dat zonder consequenties weigeren. En als jij toch probeert er consequenties aan te verbinden, dan is elke eventuele toestemming daardoor ongeldig.
bArAbAtsbB
@MSalters6 juni 2018 12:46
huh waar heb jij het over? de wettelijke verplichting om facturen ed te bewaren gaat boven de wens om "vergeten" te worden!
MSalters
@bArAbAtsbB6 juni 2018 12:53
Die wettelijke verplichting wel ja, maar niet "deze info geeft ook pas inzichten na een jaar of 10.". Dat is jouw stelling waarop ik reageerde.
celshof
@bArAbAtsbB6 juni 2018 13:31
En zelfs binnen de 7 jaar mogen ze het daar niet voor gebruiken, behalve als ze expliciet toestemming hebben of als ze er een belang bij hebben om het bedrijf te runnen (zoals bijvoorbeeld factureren).
Neoldian
@celshof6 juni 2018 14:47
En daar sla je de spijker op zijn kop. Het gaat niet alleen om het mogen hebben/verwerken van persoonsgegevens, want vaak is er wel een legitieme reden voor. Het gaat vooral over het gebruiken van persoonsgegevens voor andere doeleinden dan waarvoor de persoon in kwestie toestemming heeft gegeven.

Bedrijven hebben bij de invoering van de WBP ook moord en brand geschreeuwd dat hun bedrijfsvoering in gevaar kwam etc. Feit is echter dat je geen (of nauwelijks) persoonsgegevens nodig hebt om informatie over producten, successen e.d. te kunnen bepalen. Hoe deed men dat anders toen de digitale wereld nog geen gemeengoed was en men zijn TV gewoon in de winkel kocht, betaalde met contact geld en zelf mee naar huis nam. Ik kan me niet herinneren dat ik ooit gevraagd ben naar mijn naam, adres, etc.(ja, ik ben al zo oud dat ik dit vroeger dus echt deed :) ).
Natuurlijjk kunnen ze jou wel beter manipuleren als ze meer van jou weten, en dat betekent mogelijk meer omzet/winst voor een bedrijf. Maar daar zitten de meeste mensen nu eenmaal niet op te wachten en er zijn zelfs doelgroepen (denk aan kinderen/minderjarigen, mensen die in de schuldsanering zitten, mensen met een beperking e.d.) waarbij dit soort manipulatie kan leiden tot (meer) problemen.
SuperDre
@celshof6 juni 2018 14:01
Dit is juist 1 van die onzin dingen, te gek voor woorden dat je je administratie zou moeten weggooien na 7 jaar, historie is zeer belangrijk. IMHO gaat de AVG op sommige punten gewoon compleet voorbij waarvoor het bedoelt zou zijn.
celshof
@SuperDre6 juni 2018 14:06
Als je je data anonimiseert mag je het prima blijven gebruiken. Daarbij, die 7 jaar geldt alleen voor de financiele zaken. Je mag het alleen daarvoor gebruiken onder de wettelijke grondslag.
SuperDre
@celshof6 juni 2018 22:19
Wat heb ik aan anonieme data.... Het gaat om historie van bv vragen en antwoorden en ook facturering. Kijk vroeger toen alles op papier was kan ik me nog iets voorstellen ivm opslag, maar tegenwoordig kost dit niets meer.
R4gnax
@SuperDre7 juni 2018 08:22
Wat heb ik aan anonieme data....
Met geaggregeerde anonieme data heb je voldoende om bedrijfsbeslissingen op basis van statistiek te nemen. Je kunt het alleen niet meer op de individuele persoon richten. En dat is goed. Want dat is juist waarvoor zo'n persoon zelf kiest door de toestemming tot verwerking van hun persoonsgegevens in te trekken.
Het gaat om historie van bv vragen en antwoorden en ook facturering.
Als je een klant zijn toestemming tot verwerken van gegevens in trekt, dan gaat dat boven jouw belang de historie van bijv. service-desk calls bij te houden. (Trouwens; als een klant dat al gaat doen, is de relatie toch wss. al verziekt en ga je aan die call-historie ook weinig meer hebben voor toekomstige cases.)

En wat betreft facturering: daar is een wettelijke grondslag voor. Dus voor dat doel mag je de minimaal vereiste set persoonsgegevens blijven aanhouden en verwerken, totdat die grondslag vervalt. (De wet verplicht jou slechts x aantal jaren administratie te houden.)

[Reactie gewijzigd door R4gnax op 7 juni 2018 08:28]

tweaknico
@bArAbAtsbB6 juni 2018 13:40
Dat betekent dat je in de administratie alles ouder dan 7 jaar ook verwijderd..
Dan is dat geborgd.... In je antwoord kun je alleen vermelden dat alle in de financiele administratie pas na 7 jaar ivm wettelijke eisen verwijderd wordt.

Je zal mogelijk een archief moeten inrichten met een plank (zo lang als nodig is): max 7 jaar te bewaren die rechts vult en links leeg maakt tot datum nu - 7 jaar. (of dat maandelijks doet oid).
Voor hypotheek zaken zul je een plank moeten hebben waar de linkerkant op Datum nu - 30 jaar staat.
Je kan ook stellen dat de bewaartermijn verlengt wordt als voor de eind datum er nog zaken onder een rechterlijke uitspraak moeten wachten.
Anoniem: 950021
@bArAbAtsbB6 juni 2018 23:18
Daarvoor moet je de gegevens anonimiseren. That's all.
TheMak
@Anoniem: 9500216 juni 2018 09:23
Dat automatisch verwijderen kan weleens een heikel punt zijn. Persoonlijk heb ik weleens gebruik kunnen maken omdat ik twintig jaar eerder van een andere regeling gebruik heb gemaakt. Dus de belastingdienst kan wel besluiten om de oude gegevens te verwijderen. De belastingbetaler kan daar weleens anders over denken. Fouten in het verleden kunnen een impact hebben op het heden. En de belastingdienst weet zelf ook wel dat er in het verleden foutjes tussen door zijn gelopen.
Frogmen
@TheMak6 juni 2018 09:36
Des te meer reden om schonen fouten uit het verleden mogen geen maatstaf zijn voor het heden.
Verder vindt ik deze alinea opmerkelijk:
De Belastingdienst voldoet bovendien op diverse punten nog niet aan de AVG, omdat het nog geen goede reden heeft om persoonsgegevens te verzamelen. Dat is onder meer zo bij het gebruik van camerabeelden om mensen op te sporen die geen motorrijtuigenbelasting hebben betaald, schrijft Snel.
Volgens mij is dit een duidelijke reden alleen hoef je al die beelden niet te bewaren alleen diegene die niet betaald hebben. Het probleem is dat voor de efficientie van allerlei opsporingsdiensten het eigenlijk wel handig is om al die data te bewaren.
celshof
@Frogmen6 juni 2018 11:18
"We moeten nog regelen dat allerlei zaken die we nu illegaal verzamelen volgens de AVG legaal verzameld kunnen worden"

De wetgevingsjuristen van het ministerie zijn vast al hard aan het werk
MSalters
@celshof6 juni 2018 12:40
Dat is niet zo gek. Volgens de AVG mag een organisatie gegevens opslaan als daarvoor een wettelijke basis is. Met elke nieuwe wet kan dat dus veranderen.
Robby517
@Anoniem: 9500216 juni 2018 10:20
Kraakhelder? Ik dacht het niet.

Een simpel voorbeeldje, veel bedrijven maakten of maken nog backup op tape die dan in een kluis verdwijnt. Hele databases worden op deze manier gearchiveerd. De AVG stelt bewaren wel gelijk aan het verwerken van gegevens, maar hoeveel bedrijven gaan op jouw vraag om je gegevens te verwijderen die kastjes opendoen en files op tapes gaan clearen?

Ik vermoed geen enkele. Dit is maar 1 voorbeeld van een grijze zone waar de technische realiteit het heel moeilijk maakt om aan de wetgeving te voldoen. Als developer zie ik dagelijkst hoe moeilijk het is om aan bepaalde zaken te voldoen, bedrijven moeten al hun producten herevalueren en grote structurele veranderingen doorvoeren. Daar kruipt heel veel geld en tijd in die men liever had besteedt aan de orde van de dag, nml proberen iets in het laatje te brengen.

Los daarvan wil ik wel benadrukken dat ik echt voor de AVG ben en dat er m.i. door veel bedrijven ook gewoon stilgezeten is tot een week voor 25 mei.
burne
@Robby5176 juni 2018 10:41
Kraakhelder? Ik dacht het niet.

Een simpel voorbeeldje, veel bedrijven maakten of maken nog backup op tape die dan in een kluis verdwijnt. [..]
Jammer, maar dat is nou net wel geregeld. Als het technisch niet haalbaar is gegevens van een individu te verwijderen mag je de gegevens laten als, als je er maar voor zorgt dat ze niet meer gebruikt worden. (artikel 17, lid 2 van de AVG). En als jij je backups netjes rouleert verdwijnen die gegevens vanzelf na een x-aantal maanden.
SuperDre
@burne6 juni 2018 14:05
hoezo backup rouleert? wie bepaalt hoe lang ik een backup moet bewaren?
Anoniem: 950021
@SuperDre6 juni 2018 23:21
Als jij je backups kunt schoonvegen op een andere manier mag dat ook. Rouleren is natuurlijk een stuk slimmer.
tweaknico
@Robby5176 juni 2018 13:44
En als je een restore doet, moet je eerst alle verwijder verzoeken er nog even overheen draaien.

Dus je hebt een journaal van verwijderverzoeken nodig....
Als je er daar heeeel veeel van krijgt heb je vermoedelijk echt iets niet goed gedaan in het verleden.
RoNoS
6 juni 2018 09:04
Boete voor de belastingdienst? En waar gaat dat geld heen? En waar komt dat geld vandaan?
cloudcosmonaut
@RoNoS6 juni 2018 09:07
Daan gaat het van de staat naar de staat...
Luminai
@cloudcosmonaut6 juni 2018 09:09
Of het geld gaat naar europa
EDIT: Snap niet helemaal waarom ik gedownvote wordt. De GDPR is een Europese weet. Voor zover ik weet worden boetes aan bedrijven buiten de EU ook aan de EU betaald.

[Reactie gewijzigd door Luminai op 6 juni 2018 09:21]

QQ2
@Luminai6 juni 2018 10:36
Ahh de complexiteit van Europese wetgeving. GDPR is de Europese wet en landen moeten die in lokale wetgeving verankeren. In Nederland is dat de AVG. Dus strikt genomen schend de belastingdienst niet GDPR maar de AVG. Boete voor dit soort wetten gaat naar de lidstaat zelf.

Overigens is dit niet helemaal broekzak/vestzak want bij een aantal boetes staat een soort bestedingsdoel tegen over. Bijvoorbeeld x procent van van verkeersboetes moet naar verbetering van de veiligheid. Als dat in dit geval ook is kan dat, naast politieke schaamte, ook budgettaire implicaties hebben
MSalters
@QQ26 juni 2018 12:45
Nee, nu verwar je de GDPR met zijn voorganger.

De EU heeft verschillende soorten wetgeving. De GDPR is een verordening. Die hoeft niet omgezet te worden in nationaal recht, en is dus in de hele EU exact hetzelfde. De AVG is simpelweg de vertaling van de GDPR.

Je hebt ook EU richtlijnen, die wél in nationale wetgeving moeten worden omgezet. Dat is hoe de vorige Wet Bescherming Persoonsgegevens tot stand kwam. Hierbij mochten landen in positieve zin afwijken (meer bescherming bieden).
QQ2
@MSalters6 juni 2018 13:30
Als ik dit artikel lees https://www.lexology.com/...ad-4c24-a19c-4d99183f160e lijkt het er toch echt op dat er wel degelijk een Nederlandse implementatie aspect it. Je hebt helemaal gelijk dat dat niet de AVG is, dat had ik blijkbaar verwart. Heb ik het dan ook fout dat de betaling naar de Nederlandse staat gaat of klopt dat wel?
MSalters
@QQ26 juni 2018 15:29
Dit gaat voorzover ik kan zien over flankerende wetgeving. Zo heb je in Nederland de Autoriteit Persoonsgegevens (AP), hierboven al een oaar keer genoemd. Die is bij Nederlandse wet opgedragen om de GDPR te handhaven. We hebben ook een wetsvoorstel "aanpassingswet AVG". Die past bestaande wetten aan om naar de nieuwe AVG te verwijzen in plaats van de vorige Wet Bescherming Persoonsgegevens. Denk dan aan de Wet Basisregistratie Personen, die de gemeenteadministratie regelt.
BStorm
@QQ26 juni 2018 14:20
Dus dáárom wordt er maar steeds gehamerd op die paar mensen die nog steeds dood weten te gaan in het verkeer. :+
234FaTaLiTy
@Luminai6 juni 2018 09:10
Dat verwacht ik eerder. Maar ja, daar gaat al wel meer geld heen. :(
Luminai
@234FaTaLiTy6 juni 2018 09:21
Dat is zo slecht nog niet. Maar aangezien de GDPR een Europese wet is, lijkt het mij logisch dat de boetes van het overtreden er van ook naar de EU gaan.
rik86
@Luminai6 juni 2018 09:28
Alleen is 't volgens mij geen Europese wet, maar in Europese richtlijn die in nationale wetgeving omgezet is, en dat is de wetgeving die overtreden wordt en die de AP handhaaft
walteij
@rik866 juni 2018 09:32
Precies dit inderdaad. De GDPR is de Europese richtlijn, waaraan alle Europese lidstaten aan moeten voldoen, door een wet per lidstaat in te voeren.
Handhaving zal dus ook per lidstaat plaats moeten vinden, boetes zullen aan de lidstaat uitbetaald moeten worden.
Als een bedrijf dus in meerdere lidstaten actief is, en in al die lidstaten de landelijke GDPR/AVG wetgeving overtreedt, zouden (in theorie) alle lidstaten het bedrijf dus kunnen beboeten. In de praktijk zal 'Europa' het dan overnemen.
JakkeMan
@walteij6 juni 2018 09:50
Om het even te kaderen, want de vorm zit in de naam zelf, geen idee waarom je +2 krijgt 8)7 .

GDPR (General Data Protection Regulation) is een European Regulation = zonder lokale wetten direct van kracht geworden op 25 mei. Daarom dat de datum ook zo belangrijk was. Hij is eigenlijk op 25 mei 2016 al van kracht geworden, maar pas op 25 mei 2018 ook enforced, zodat organisaties 2 jaar inloop periode hadden.

Tegenover de vroegere European Directive van 1995 omtrent privacy, die moest omgezet worden in lokale wetten.
walteij
@JakkeMan6 juni 2018 10:51
Je hebt gelijk, ik zat er naast.
Bedankt voor de correctie en verduidelijking naar mij en de rest.
JakkeMan
@walteij6 juni 2018 11:54
Geen probleem, we zijn hier allemaal om te leren. :)
Het is een groot man die zijn fout kan toegeven.
Luminai
@walteij6 juni 2018 09:56
Helemaal duidelijk. Ik was onder de indruk dat de wet Europees was en de AVG de Bederlandse benaming/interprtatie was.
WhatsappHack
@Luminai6 juni 2018 13:38
Toch klopt dat, we hebben namelijk een implementatiewet. Er zijn kleine verschillen in elk land.
nl noob
@rik866 juni 2018 09:35
In Nederland moet je het idd over de uAVG hebben. Welke gebaseerd is op de (Europese) AVG.
MSalters
@nl noob6 juni 2018 15:31
Als je met uAVG de Uitvoeringswet AVG bedoeld, dat is een wet die primair bedoeld is om te zorgen dat de Nederlandse overheid zelf aan de AVG voldoet.
blb4
@rik866 juni 2018 09:44
Het is idd een Europese verordening, dat houd in dat het rechtstreekse werking heeft en dus niet in nationale wetgeving is omgezet. Vandaar exact dezelfde regels in alle EU landen. Zie https://nl.m.wikipedia.or...ening_gegevensbescherming
debroervanhenk
@Luminai6 juni 2018 09:59
De AVG moet door nationale instanties worden gehandhaafd. Zij bepalen of er wordt ingegrepen en zo ja hoe hoog de sanctie wordt. Omdat de hele handhaving nationaal is, verwacht ik dat de boetes ook naar de nationale schatkist gaan.

Uiteindelijk maakt het natuurlijk niet uit: als het geld naar de EU gaat kunnen daar Europese dingen van worden betaald waar wij ook weer van profiteren, of de contributie kan (iets) omlaag. Als het geld naar Nederland gaat kunnen daar Nederlandse dingen van worden betaald, of de belasting kan iets omlaag. En de boetes gaan relatief niet zoveel geld opleveren dat je echt een verschil in de begrotingen gaat zien.

Volgens de uitvoeringswet kan de Autoriteit Persoonsgegevens trouwens aan overheidsinstanties dezelfde boetes uitdelen als aan andere organisaties. Of dat gebeurt is natuurlijk een tweede: http://wetten.overheid.nl...5#Hoofdstuk2_Paragraaf2.2
DrCode
@RoNoS6 juni 2018 09:10
Van de broekzak naar het vestzakje want het is gewoon overheid. Maar eerst natuurlijk vanuit uw broekzak naar hun broekzak.
PolarBear
@RoNoS6 juni 2018 10:00
Boete voor de belastingdienst? En waar gaat dat geld heen? En waar komt dat geld vandaan?
Er zal eerst daadwerkelijk gehandhaafd worden en geconstateerd worden dat er daadwerkelijk een overtreding is. Daarbij zijn een hoop zaken nog best voor interpertatie vatbaar en is er nog een hoop jurispidentie nodig.
KevinAtlantica
6 juni 2018 09:58
Hoe zit het met bijvoorbeeld een auto huren? Hier dient een kopie gemaakt te worden van je rijbewijs, dit is echter niet meer toegestaan volgens de AVG en toch blijven de bedrijven bestaan.. Wat een regeltjes allemaal. (Overigens voorstander van de AVG).
MSalters
@KevinAtlantica6 juni 2018 12:47
Het bijhouden van de identiteit van de huurders is een legitiem doel. Met alle recente AVG-spam in je mailbox is hat makkelijk om te denken dat "toestemming" de enige AVG-grond is, maar er zijn er in totaal 6.
mati1983
@MSalters6 juni 2018 13:55
Spot on.

Overigens is het hele AVG project in essentie leuk en aardig, maar de praktische invulling is een drama. Kleinere organisaties en verenigingen kunnen door de bomen het bos niet meer zien en proberen naar eer en geweten, zo goed en kwaad als het kan hun best te doen. Sportverenigingen die je per email toestemming vragen om je gegevens te bewaren. Dat soort bijzondere dingen. (en wat nu als ik die toestemming over 3maanden doodleuk weer intrek? Wat gaan ze dan doen?) ;)

Voor grote organisaties is het ook een draak. Het in kaart brengen (en aanpassen) van alle processen, procedures en tooling is zeer complex en tijdrovend; laat staan het informeren en onderwijzen van je medewerkers en derden. Relaties en verhoudingen als controllers, processors, etc. ..de gemiddelde medewerker gaat dat écht niet direct en altijd snappen. Knappe organisatie die nu al roept 'AVG proof' te zijn. Ik zou het vooral even bij 'AVG ready' oid houden.. ;)
MSalters
@mati19836 juni 2018 15:23
Waarom zou een sportvereniging om toestemming vragen? Lijkt me nergens voor nodig. Om welke gegevens zou dat dan gaan? Contactgegevens hebben ze nodig voor de uitvoering van je lidmaatschap, en noodzaak is één van die 6 redenen. En vragen om gegevens die ze niet nodig hebben is doorgaans een slecht idee.

En ja, het aanpassen van je processen is tijdrovend. Daarom had je 2 jaar de tijd. De meeste medewerkers hoeven niet te weten waarom de bedrijfsprocessen zo ingericht zijn, die moeten gewoon de interne regels uitvoeren zonder daaraan een eigen invulling te geven.
mati1983
@MSalters6 juni 2018 16:03
Klopt; dat was ook bedoeld als concreet praktijkvoorbeeld. Men heeft vaak geen flauw benul wat men nu wel en niet moet doen en gaat dus het zekere voor het onzekere nemen. Vaak resulterend in verzoeken/meldingen die niet nodig zijn.

Dat medewerkers 'gewoon de interne regels moeten uitvoeren zonder daaraan een eigen invulling te geven' klopt helemaal, maar zo werkt de wereld niet. Wanneer de ruimte bestaat zullen er altijd mensen zijn die volharden in hun eigen ja-maar-ik-doe-het-al-jaren-zo manier van werken. No way dat een grote organisatie altijd 100% AVG proof is.
Heedless
@KevinAtlantica6 juni 2018 10:38
Heb je een link naar waar staat dat ze dat niet mogen?
Er zijn wel een aantal sites waarop staat dat bedrijven niet zomaar een kopie mogen maken van je paspoort bijvoorbeeld, maar ze melden nooit wanneer dat dan wel mag / moet. Het is echt heel lastig te vinden.
KevinAtlantica
@Heedless6 juni 2018 11:02
https://www.rijksoverheid...-te-geven-aan-een-bedrijf

Moet het zelf ook nog even doorspitten hoor :P, zover ik nu heb gezien mogen zij het vragen maar je bent niet verplicht deze te geven. Denk alleen niet dat je de auto dan mee krijgt. 8)7
Clueless
@KevinAtlantica6 juni 2018 12:45
Bijzonder issue met een identiteitsbewijs als een paspoort of een identiteitskaart is dat hier het BSN nummer op staat. Het BSN nummer is een bijzonder persoonsgegeven en mag niet zomaar verwerkt worden tenzij expliciet opgenomen is in de wet dat zij dat voor dat specifieke doel mogen.
Regels gebruik BSN
Overheidsorganisaties mogen het BSN gebruiken om hun taak uit te voeren, mits het BSN hierbij noodzakelijk is. Organisaties buiten de overheid mogen het BSN alléén gebruiken als dit in de wet staat. En dan nog alleen voor de doelen die in de wet staan, dus niet zomaar overal voor.
Bron: AP treedt op tegen verboden gebruik BSN

Er mag wel degelijk een kopie gemaakt worden van het identiteitsbewijs mits bepaalde gegevens gemaskeerd worden op de kopie door bijv. een ID-cover. Voor de overblijvende gegevens moet wel een verwerkingsgrondslag zijn.
Kopie of scan zonder wettelijke verplichting
Is er geen wet waarop een organisatie het gebruik van een kopie of scan van uw identiteitsbewijs kan baseren? En wil deze organisatie toch een kopie of scan van uw identiteitsbewijs maken? Dan moet de organisatie ervoor zorgen dat deze niet uw bijzondere persoonsgegevens en uw BSN verzamelt. De organisatie moet u er dan op wijzen dat u in ieder geval uw BSN en pasfoto afschermt.

U kunt hiervoor een ID-cover gebruiken. Dit is een hoesje dat uw BSN en pasfoto onzichtbaar maakt. U kunt ook de KopieID app van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties gebruiken waarmee u zelf kunt kiezen welke gegevens u afschermt. Op een papieren kopie kunt u ook zelf bepaalde gegevens onleesbaar maken.

Let op: uw BSN staat op meerdere plaatsen op uw identiteitsbewijs.
Bron: AP: Wat kan ik doen als een organisatie een kopie of scan van mijn identiteitsbewijs wil maken

Als een auto-verhuurder dus nu moeilijk gaat doen over het maskeren van de kopie kan je ze wijzen op de AVG en indien nodig aangeven bij de AP. Nu in de nieuwe wet de AP serieuze tanden heeft gekregen vermoed ik zomaar dat die verhuurders wel zullen inbinden...
dakka
@Clueless6 juni 2018 17:24
Het BSN nummer is een bijzonder persoonsgegeven

nope
"Volgens de AVG is het BSN géén bijzonder persoonsgegeven." - Autoriteit Persoonsgegevens 2017
Clueless
@dakka6 juni 2018 19:01
Je hebt gelijk:
Bijzondere persoonsgegevens zijn gegevens over iemands:
  • ras of etnische afkomst;
  • politieke opvattingen;
  • godsdienst of levensovertuiging;
  • lidmaatschap van een vakbond;
  • genetische of biometrische gegevens met oog op unieke identificatie;
  • gezondheid;
  • seksuele leven;
  • strafrechtelijk verleden.
Een organisatie mag geen bijzondere persoonsgegevens gebruiken, tenzij daarvoor in de wet een uitzondering is.
Volgens "de wet" is het geen "bijzonder persoonsgegeven" maar het is wel een "bijzonder" persoonsgegeven, de overheid legt er namelijk wel dezelfde eigenschappen aan op. Een BSN mag alleen verwerkt worden door een in de wet opgenomen entiteit en voor de expliciet in de wet aangegeven verwerkingsgronden; net als een "bijzonder persoonsgegeven".
CopyCatz
6 juni 2018 09:53
Ik zou het wel prettig vinden als eventuele boetes worden ingehouden van het salaris van de betrokken bestuurders. Het is al triest te noemen dat een overheidsorganisatie met een voorbeeldfunctie als eerste met smoesjes komt, maar dan gaan per saldo de burgers ook nog eens opdraaien voor de boetes..
SgtElPotato
@CopyCatz6 juni 2018 10:33
Ja dat is helaas de overheid. Ze verzinnen regels en proberen extra geld binnen te harken, alleen houden ze zich er zelf niet aan en komen ze met slappe excuses.
Ook voor overheidsinstanties is deze wet al 2 jaar geleden ingegaan, dus het zijn slappe smoesjes.
Saph
6 juni 2018 11:04
Informatie beveiliging is altijd al een continue proces geweest de AVG veranderd dat niet. Beetje een logische en in mijn ogen overbodige uitspraak.

Ik snap dat de Belastingdienst een grote organisatie is maar de AVG is 2 jaar geleden al aangekodigd zodat bedrijven zich hierop konden voorbereiden. Aan de ene kant vind ik dat er gewoon sanctie's moeten volgen, aan de andere kant ook weer niet omdat uit ons belastinggeld zal moeten komen.
bArAbAtsbB
6 juni 2018 09:09
het is belachelijk dat zelfs de overheid de wet niet kan uitleggen en praat over het naleven ervan waar zij (de overheid ) pas over aan jaar aan voldoen...hoe kan je alle bedrijven in NL verplichten eraan te voldoen als je als overheid er zelf niet aan voldoet! het is een gedrocht wat simpelweg niet uit te leggen is aan kleine winkeliers! en als zelfs de overheid er geen invulling aan kan geven (met duizenden juristen in dienst) hoe moet een kleine ondernemer het dan allemaal wel weten!?

ps. Snap echt niet dat ik een aantal "offtopic/Irrelevant" beoordelingen krijg via het moderatiesysteem tweakers moet dat eens gaan aanpassen!

[Reactie gewijzigd door bArAbAtsbB op 6 juni 2018 12:40]

Rataplan_
@bArAbAtsbB6 juni 2018 09:17
Volledig mee eens, al is er natuurlijk wel een schaalverschil tussen een kleine onderneming (zoals ikzelf heb, we zijn met 2 man in mijn bedrijf) en de belastingdienst. Maar ik kan je zeggen dat we in ons kleine bedrijfje al maanden zowat 0.6FTE kwijt zijn aan dit gedrocht van een wet. Met name door alle onduidelijkheden en open lijntjes die erin staan. Voor die 0.6FTE krijgen we niks, maar dan ook niks terug. Ik zie vooralsnog niet in op welk vlak dan ook wij of onze klanten hier beter van worden. Het kost alleen bakken geld en er is weer een nieuwe wagonlading juristen die zich kapot lachen.
SgtElPotato
@Rataplan_6 juni 2018 10:36
Maar hoe ben je daar 0,6FTE aan kwijt maandelijks? Een beetje bedrijf heeft zijn administratie op orde en slaat geen onnodige gegevens op?
Eigenlijk verandert er niet heel veel, maar zijn de regels aangescherpt en zal er flink gehandhaafd worden door de overheid (in theorie).

Als je een beetje professioneel nadenkt over hoe je de bedrijfsvoering runt en hoe je het in elkaar zou meoten hebben zouden deze nieuwe regels voor vrij weinig problemen moeten zorgen.
Rataplan_
@SgtElPotato6 juni 2018 10:45
Wij hosten (o.a.) remote desktop omgevingen. Wijzelf hebben nauwelijks gevoelige gegevens, maar wij hosten wel gevoelige gegevens voor al onze klanten. Dat maakt ons bij wet 'verwerker' van die data, waardoor we sowieso met elke klant een verwerkers overeenkomst moeten hebben. Alleen dat al is een enorme overhead. Dan het schrijven van zo'n overeenkomst, een jurist eroverheen laten pissen, overal 10x achteraan moeten bellen want iedereen is druk, bange klanten proberen uit te leggen dat wij dus verwerker zijn, en waarom dat is. verwerkersovereenkomsten die wij weer met derden moeten hebben (bv externe spamfilters), daar weer achteraan moeten zitten, en zo kan ik nog wel een hele tijd doorgaan. Een klein gedeelte kunnen we doorbelasten aan de klant, maar het gros niet.

Wij hebben onze administratie goed op orde maar dit is een enorme overhead voor ons. Kost bakken geld.

[Reactie gewijzigd door Rataplan_ op 6 juni 2018 10:46]

SgtElPotato
@Rataplan_6 juni 2018 11:08
Ja daar heb je inderdaad gelijk in. Wij als klant versturen de verwerkersovereenkomsten zelf naar de externe partijen die met onze data werken, of er iig toegang tot hebben.
Rataplan_
@SgtElPotato6 juni 2018 13:42
Klopt, maar er moet ook een stuk technische 'maatregelen' instaan. Daar heeft onze klant totaal geen weet van bij ons. Ze kunnen het weten want het staat in de contracten die we met ze hebben, maar die leest natuurlijk geen mens.
We hebben van verschillende klanten wel van hun kant uit verwerkersovereenkomsten gekregen, maar daar was er dan weer geen een hetzelfde van natuurlijk. En dat willen wij dan weer niet, ik wil éénduidig zijn, en voor alle klanten gelijk.
MSalters
@Rataplan_6 juni 2018 15:44
Tja, dan hebben jouw klanten dus weer het probleem dat hún verwerkingsovereenkomsten niet meer eenduidig zijn.
WhatsappHack
@Rataplan_6 juni 2018 13:47
Volgens mij hoef je dat niet apart per klant los van je normale policies te doen, tenzij elke klant een unieke dienst heeft. Is de dienst hetzelfde dan kan je het algemeen opnemen in de policy en hoef je geen apart document op te laten stellen per klant.
roawser
@WhatsappHack6 juni 2018 19:54
Dit heb ik ergens eerder horen rondzingen en zou mij gigantisch veel werk besparen... heb je een verwijzing naar een regelgeving o.i.d. waar dit expliciet of impliciet in vermeld staat? Thx.
Jester-NL
@bArAbAtsbB6 juni 2018 09:18
Tja. De belastingdienst heeft wel meer issues met automatisering. En daarnaast hebben ze natuurlijk niet zo heel lang geleden een redelijke braindrain gehad.

Het is wel tekenend dat het weer een club is waar een staatssecretaris (en dus de regering uitspraken over moet doen die zich (nog) niet aan deze wet kan houden. Een wet die niet uit de lucht is komen vallen...
bArAbAtsbB
@Jester-NL6 juni 2018 09:39
als de wet 2 jaar voorbereidingstijd heeft gehad....mag je ICT problemen niet meer als excuus opvoeren! en aangezien kennis over de wet bij de BS ook geen probleem zou mogen zijn...is dat ook geen excuus!
Qlusivenl
6 juni 2018 09:08
Zolang de overheid het zelf nog niet op orde heeft, zal er nog weinig naleving van de AVG gebeuren...
DoggyDogger
6 juni 2018 09:09
Dan krijg je zoveel tijd, en stel je het toch uit.
Smuey
6 juni 2018 09:10
Gelukkig heeft de belastingdienst niet ruim twee jaar de tijd gehad om zich goed voor te bereiden...

Serieus, wat voor beeld schetst het als er naar bedrijven toe wél gehandhaafd gaat worden, terwijl onze eigen overheid er lachend een of andere smoes omheen bedenkt?
MSalters
@Smuey6 juni 2018 12:51
Het is niet de Staat die handhaaft. Dat staat ook met zoveel woorden in de laatste zin van het artikel. Handhaving gebeurt door een onafhankelijke toezichthouder en eventuele geschillen komen dan bij een onafhankelijke rechter.
Smuey
@MSalters6 juni 2018 13:29
Ik beweer toch ook helemaal niet dat onze overheid zou handhaven? Ik beweer wél dat je van onze overheid mag verwachten dat er een goed voorbeeld wordt gegeven. Als er van individuele bedrijven iets wordt verwacht, waarom zou dat zelfde dan niet van onze overheid mogen worden verwacht? Wet is wet, lijkt me toch?

Er is gewoon kneiterhard gefaald bij het voorbereiden op de invoering van de AVG, door een instantie die een enorme bult aan informatie verwerkt (wellicht de grootste verwerker van Nederland). Er is een ruime twee jaar de tijd gegeven om alles op orde te krijgen, hoe kan het dan zo zijn dat de belastingdienst nog steeds niet kan voldoen aan de AVG?
WhatsappHack
@Smuey6 juni 2018 13:48
Dat 2 jaar argument gaat wat mij betreft niet op. Er was, en is her en der, verschrikkelijk veel onduidelijk. Dat moest allemaal opgehelderd worden en dat heeft tijd gekost. Ik ben van mening dat bedrijven niet daadwerkelijk 2 jaar de tijd hebben gekregen.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee