Drücke „Enter”, um zum Inhalt zu springen.
Hinweis zu diesem Datenschutz-Blog:
Anscheinend verwenden Sie einen Werbeblocker wie uBlock Origin oder Ghostery, oder einen Browser, der bestimmte Dienste blockiert.
Leider wird dadurch auch der Dienst von VG Wort blockiert. Online-Autoren haben einen gesetzlichen Anspruch auf eine Vergütung, wenn ihre Beiträge oft genug aufgerufen wurden. Um dies zu messen, muss vom Autor ein Dienst der VG Wort eingebunden werden. Ohne diesen Dienst geht der gesetzliche Anspruch für den Autor verloren.

Ich wäre Ihnen sehr verbunden, wenn Sie sich bei der VG Wort darüber beschweren, dass deren Dienst anscheinend so ausgeprägt ist, dass er von manchen als blockierungswürdig eingestuft wird. Dies führt ggf. dazu, dass ich Beiträge kostenpflichtig gestalten muss.

Durch Klick auf folgenden Button wird eine Mailvorlage geladen, die Sie inhaltlich gerne anpassen und an die VG Wort abschicken können.

Nachricht an VG WortMailtext anzeigen

Betreff: Datenschutzprobleme mit dem VG Wort Dienst(METIS)
Guten Tag,

als Besucher des Datenschutz-Blogs Dr. DSGVO ist mir aufgefallen, dass der VG Wort Dienst durch datenschutzfreundliche Browser (Brave, Mullvad...) sowie Werbeblocker (uBlock, Ghostery...) blockiert wird.
Damit gehen dem Autor der Online-Texte Einnahmen verloren, die ihm aber gesetzlich zustehen.

Bitte beheben Sie dieses Problem!

Diese Nachricht wurde von mir persönlich abgeschickt und lediglich aus einer Vorlage generiert.
Wenn der Klick auf den Button keine Mail öffnet, schreiben Sie bitte eine Mail an info@vgwort.de und weisen darauf hin, dass der VG Wort Dienst von datenschutzfreundlichen Browser blockiert wird und dass Online Autoren daher die gesetzlich garantierten Einnahmen verloren gehen.
Vielen Dank,

Ihr Klaus Meffert - Dr. DSGVO Datenschutz-Blog.

PS: Wenn Sie meine Beiträge oder meinen Online Website-Check gut finden, freue ich mich auch über Ihre Spende.

Jetzt testen

sofort das Ergebnis sehen

DSGVO Website-Check

Gegevensbescherming en puzzels: wat hebben ze met elkaar te maken? Meer dan verwacht

0
Dr. DSGVO Newsletter detected: Extended functionality available
More articles · Website-Checks · Live Offline-AI
📄 Artikel als PDF
📄 Artikel als PDF (alleen voor abonnees van de nieuwsbrief)
🔒 Premium-Funktion
Der aktuelle Beitrag kann in PDF-Form angesehen und heruntergeladen werden

📊 Download freischalten
Der Download ist nur für Abonnenten des Dr. DSGVO-Newsletters möglich

Een klassiek puzzel te ontleden, kan ook gevolgen hebben voor de bescherming van persoonlijke levenssfeer. Lees hierom!

Onlangs kwam ik tot een aantal belangrijke en verstrekkende inzichten met betrekking tot gegevensbescherming op het internet. Voor mij waren deze inzichten de meest opmerkelijke die ik persoonlijk de laatste tijd heb kunnen bedenken. Voor zover ik weet, zijn sommige van deze inzichten helemaal niet of nauwelijks bekend.

Wat waren deze realisaties en hoe zijn ze tot stand gekomen?

Bevindingen

Ik begon met mijn lange onderzoek naar Consent Tools. Ik onderzocht alle tools van dit soort die ik breedverspreid vind, op praktijkwaarde. Het einddocument is meer dan 90 DIN A4 pagina's lang. Daarnaast bekeek ik websites die deze zogenaamde cookie pop-ups gebruiken. Hierbij had ik moeite om de juridische beoordeling te doen. Toch vielen er zo veel bevindingen, die gemakkelijk als gebreken konden worden aangewezen, dat ik het resultaat de naam Cookiegeddon gaf.

De studie heb ik naar de non-profitorganisatie Gegevensbeschermingsorganisatie noyb gestuurd. noyb is de afkorting voor None Of Your Business, wat zoveel betekent als „dat gaat je niets aan“. Kort daarna werd ik gevraagd of een videobijeenkomst mogelijk was. Het team van noyb, dat ook advocaten omvatte, had hulp nodig bij het beoordelen van technische gegevens die op websites gebruikelijk zijn.

De advocaat vroeg me welke informatie op het eindapparaat van de gebruiker werd opgeslagen. De antwoord op deze vraag is fundamenteel, omdat de ePrivacy Richtlijn in artikel 5 lid 3 dit als kriterium voor een verplichting tot toestemming formuleert. Uit deze recht korte discussie en verdere onderzoeken volgden Aha-momenten. Daarna werd het me plotseling gemakkelijk mogelijk om een technisch-rechtelijke beoordeling van belangrijke feiten op websites te kunnen uitvoeren.

Realisatie: cookies zijn geen tekstbestanden

Cookies zijn geen tekstbestanden: Deze uitspraak lijkt lapidar, zegt echter veel over de markt voor gegevensbescherming in Duitsland. Enkele weinigen die als competent worden beschouwd, geven een aanbeveling uit of maken een uitspraak. Alle anderen, zo lijkt het, vertrouwen deze Experten bijna blind en schrijven dat af wat voorgeschreven wordt.

Hetzelfde geldt voor cookies. In bijna elke privacyverklaring stond en staat nog een onjuistheid over cookies te lezen: Cookies worden met tekstbestanden gelijkgesteld. Dat dit nooit juist what en tegenwoordig helemaal niet meer waar is, bewijst mijn bijdrage over cookies. Cookies zijn geen tekstbestanden. Cookies zijn gegevenssets.

Hoewel ik daar heb bewezen dat cookies geen tekstbestanden zijn, moest ik een discussie aangaan met iemand die nog steeds vasthoudt aan deze overtuiging. De persoon, die ik halverwege ken van een lang telefoongesprek en verschillende e-mails, gelooft dit alleen maar, neem ik aan, omdat het zo uitkomt. Er zouden te veel onjuiste gegevensbeschermingsverklaringen moeten worden gecorrigeerd als deze fout zou worden toegegeven. Ik denk dat het goed is om de fout toe te geven. Ik had het tenslotte ook verkeerd gekopieerd. Om ervoor te zorgen dat mij dit niet nog eens overkomt, doe ik al een tijdje intensief onderzoek en ontmasker ik valse informatie met bewijzen. De bewijsaanpak komt ook voort uit het feit dat ik geen zin meer heb om me door vervelende discussies heen te worstelen en als indiener van een verzoekschrift op te treden wanneer iemand gegevensbeschermingsovertredingen begaat.

Inzicht: informatie opgeslagen op het eindapparaat van de gebruiker

De ePrivacy Richtlijn verwijst in artikel 5, lid 3 naar de vereiste toestemming voor het toegang krijgen tot informatie die op het eindapparaat van de gebruiker is opgeslagen. Dit geldt, mits geen gerechtvaardigd belang aanwezig is, wat alleen dan moet worden aangevoerd als het gaat om de beheersing van geregistreerde gebruikers of soortgelijke fundamentele kernfuncties.

Mijn streven was het om te ontdekken welke informatie op het apparaat van de gebruiker is opgeslagen. Daarbij stelde ik vast dat dit niet de IP-adres is, in ieder geval niet in de zin van de ePrivacy Richtlijn. Hierbij stelde ik overigens ook vast dat cookies geen tekstbestanden zijn en waarom de ePrivacy Richtlijn ook cookie-richtlijn genoemd wordt.

Realisatie: de koekjescatastrofe

De cookie-catastrofe zal de populaire toestemmingshulpmiddelen doen instorten, althans dat hoop ik. De bekende leveranciers van toestemmingshulpmiddelen doen regelmatig alsof websites GDPR-compliant kunnen worden gemaakt met hun wondertools. Dit kan in zeer zeldzame gevallen het geval zijn. Deze gevallen worden vooral gekenmerkt door het feit dat er zeer weinig, eenvoudig te beheren tools worden gebruikt. Een voorbeeld van zo'n eenvoudig te beheren tool is Matomo, bij voorkeur in een lokale installatie.

Zodra een website echter tools van Google, Facebook, Vimeo, Adobe of andere bedrijven uit deze categorie gebruikt, kunnen deze tools niet betrouwbaar werken. De redenen daarvoor zijn soms zelfs bewijsbaar en in mijn artikel over Cookie Popups te lezen.

Naast deze theoretische beweisvoering heb ik de bevestiging voor het mislukken van alle Consent Tools die ik ken ook in de praktijk aangetoond en Cookieschandaal genoemd. In mijn Cookie Blocker Praxistest werden onder andere websites van grote bedrijven en die van de leveranciers van dergelijke Consent Tools onder de loep genomen. Allemaal mislukten ze rampzalig, is mijn conclusie, wat bewijsbaar is (alleen maar omdat niet iedereen blij zal zijn als ik zoiets beweer).

Wie moeilijk het is om een wettelijke toestemmingsvraag te creëren, wil je weten, moet je mijn checklist voor toestemmingsvragen op websites bekijken.

Wie je een praktisch voorbeeld wilt hebben van het mislukken van de betrouwbare dienstverleners en advocaten die als experts worden beschouwd, moet je mijn artikel over Google Tag Manager lezen. Daarin bewijs ik met behulp van een video dat Google Tag Manager geen cookievrije domein is. Integendeel, het is een tool – iets waarop men ook zonder mij zou zijn gekomen. Bovendien is het niet cookievrij – dat is al wat moeilijker te begrijpen, maar had dat voor de zogenaamde experts op het gebied van webpagina's moeten zijn. Waarom advocaten hier als experts worden beschouwd, is en blijft mij een groot raadsel.

Inzicht: Toestemmingsvereiste voor de vele tools van Google & Co.

Objectief kan men aantonen dat veel tools van Google, inclusief Google Maps en Google reCAPTCHA, maar ook ingebouwde Vimeo-video's, noodzakelijk een toestemming vereisen. Dit is niet mijn persoonlijke mening, maar bewijsbaar en logisch technisch en rechtelijk af te leiden. Ik heb mijn redenering laten bevestigen door een IT-advocaat. Ook Google Analytics in standaarduitvoering valt noodzakelijk onder de toestemmingsplicht. U hoeft zich niet langer te verantwoorden met verwijzingen naar de mening van gegevensbeschermingsautoriteiten. Bewijs het gewoon na het bestuderen van mijn bijdragen.

Inzicht: Toestemmingsvereiste voor Google Fonts en andere hulpbestanden

De verplichting tot toestemming voor Google Fonts kan uit Artikel 5 GDPR, de minimisatie van gegevens, duidelijk worden afgeleid. Wie het argument van snelheid aanvoert, moet toch een eigen file-server gebruiken of zich een GDPR-compliant CDN huren. Hetzelfde geldt voor alle andere soorten hulpprogramma's die niet op een server van een derde liggen, met wie een geldige overeenkomst is gesloten voor de verwerking van gegevens. Als hulpprogramma's noem ik hieronder volgende externe bestanden:

  • Lettertypen
  • Photos
  • Stijlbestanden (CSS)
  • Video's
  • JavaScript-Bibliotheken

Een YouTube-video zonder cookies heeft omwille van het principe van gegevensminimatie een toestemming nodig. Niemand kan aannemelijk maken dat er al zonder afspelen van een ingebouwd video talrijke gegevensoverdrachten naar meerdere adressen (domeinen) plaatsvinden. Precies dit kan men echter aantonen, als YouTube-videos worden ingelijst via een script.

Puzzels scherpen de zintuigen (afbeelding is automatisch vertaald).

Samengevat

Mijn bevindingen van de afgelopen weken zijn:

  • Cookies zijn geen tekstbestanden. Ik ontkracht dus een wijdverbreide misvatting
  • Toestemmingstools werken niet in de praktijk. Dit weerlegt wat honderdduizenden websitebeheerders denken dat waar is
  • Toestemmingstools werken niet in theorie
  • In de zin van de ePrivacy-richtlijn worden cookies voornamelijk opgeslagen op het eindapparaat van de gebruiker, maar niet op het IP-adres
  • Elke tool is mogelijk behept met cookies. Er is maar één website wereldwijd nodig om zo'n cookie in te schakelen
  • De meeste populaire tools voor websites vereisen verplichte toestemming
  • De doorgifte van gegevens naar onveilige derde landen hoeft meestal niet als argument te worden gebruikt bij de beslissing of voor een hulpmiddel toestemming is vereist
  • Toestemmingsverzoeken kunnen moeilijk juridisch worden beveiligd

Ik vind dat opmerkelijk. Als jij het anders ziet, schrijf me dan! Ik sta open voor argumenten.

De weg naar realisatie

Wat heeft dit allemaal met puzzelen te maken? Eerst niets eigenlijk. De vraag die me kwam: Hoe kom ik aan deze inzichten en de bijbehorende bewijzen of waarom net nu en niet eerder? Ik ben namelijk al een aantal jaar intensief bezig met het digitale geheimhoudingsrecht.

Het duurt lang voordat je alle juridische eisen hebt begrepen. Onder andere moest ik me enkele gebruiksvoorwaarden van tools als Google reCAPTCHA eigen maken, om door te kunnen gaan.

Blijkbaar moet je langer met een complex onderwerp bezig zijn voordat er nieuwe gedachten en inzichten naar boven komen.

Uitdaging met een derde partij die precies wil weten

Wat zeker nuttig is, is het gesprek met een advocaat van noyb, die me ondervroeg om meer te begrijpen over de technische aspecten van websites. Dit was belangrijk voor hem om een klacht voor te bereiden tegen een overtreder van gegevensbescherming. We dachten hetzelfde: iets geloven en iets kunnen bewijzen zijn twee verschillende dingen. Daarom ging ik in op zijn vraag over de videolink en beantwoordde die zo goed als ik kon. Dat what genoeg om een einde te maken aan de vraag.

Als functionaris voor gegevensbescherming of persoon die geïnteresseerd is in gegevensbescherming, kent u waarschijnlijk deze situatie: u bent er persoonlijk vrij zeker van dat iets verkeerd is en de regels voor gegevensbescherming schendt, maar u kunt het niet aannemelijk maken aan uw gesprekspartner (klant, gesprekspartner, persoon die bezwaar maakt tegen gegevensbescherming, …).

Het ging Mir lange tijd so. Nu is een status bereikt waarop niet meer over gesproken hoeft te worden. De Faktenlage is erdrückend. Het blijft afwachten wat de novelle van de ePrivacy-richtlijn oplevert, die soms een positieve ontwikkeling laat zien, maar ook enkele tegenslagen erkennen laat. Het duurt in elk geval even voordat de nieuwe versie van de richtlijn is afgestemd en in werking treedt.

Maar zelfs daarna zijn sommige feiten nog steeds van toepassing:

  • Er moet transparante, gemakkelijk te begrijpen en volledige informatie worden verstrekt over alle verwerkingsactiviteiten.
  • Toegang tot informatie op het eindapparaat van de gebruiker (meestal via cookies) is alleen toegestaan binnen nauwe grenzen.
  • Cookies zijn geen tekstbestanden en zullen dat ook nooit worden.
  • Om ervoor te zorgen dat tools van populaire aanbieders onderhevig zijn aan cookies en dus alleen al om deze reden mogelijk onderhevig zijn aan toestemming, is het voldoende dat er wereldwijd één website in het domein van de tool is die cookies genereert. Dit kan niet vaak genoeg gezegd worden, omdat de implicaties van deze uitspraak de hele cookie-markt op zijn grondvesten doen schudden.

Puzzels scherpen waarneming en combinatievaardigheden aan

Nu de puzzels en het verband met gegevensbescherming.

Hoe langer je aan een bepaalde puzzel werkt, hoe groter de kans dat je de fijnste kleurverschillen direct herkent. Wat in het begin ondenkbaar leek, wordt na een paar uur een vanzelfsprekendheid. Dit what voor mij ook het geval toen ik de toestemmingsplicht voor Google Analytics en andere tools op een waterdichte manier probeerde af te leiden, wat uiteindelijk ook lukte. Het kostte me een paar weken en meer dan 100 A4-tjes tekst om de resultaten van mijn onderzoek te presenteren.

Ik weet niet zeker of puzzelen mijn zintuigen scherper heeft gemaakt, of het toeval what of hard werken. In ieder geval weet ik zeker dat puzzels veel helpen bij het aanscherpen van de geest en de perceptuele vaardigheden. In ieder geval kan ik zo'n nevenactiviteit van harte aanbevelen.

Als u ook geïnteresseerd bent in andere dingen dan privacy en met puzzelen wilt beginnen, hier een paar Tips voor het oplossen van puzzels:

  • In werkelijkheid gaat puzzelen over het opsplitsen van een complex probleem in hanteerbare subproblemen. Puzzelen betekent opzettelijk afbreken en weer in elkaar zetten.
  • In zeer goede lichtomstandigheden wint intuïtie het vaak van mechanisch vallen en opstaan (vergelijkbaar met golfen).
  • Zoek eerst de randstukken.
  • Randstukjes kunnen sneller worden gevonden als de puzzelstukjes worden omgedraaid.
  • Sorteer de puzzelstukjes op kleur of gebied.
  • Nadat je een paar stukjes hebt bekeken, kun je zien welke kleuren en patronen vaak genoeg voorkomen, maar niet te vaak, om ze op een stapel te leggen (of naast elkaar; stapels zijn een slecht idee voor puzzelstukjes).
  • Waarschijnlijk kunnen alleen absolute professionals een complex sorteerproces bijna foutloos uitvoeren. Daarom raad ik aan om je te concentreren op één of twee criteria tegelijk om te voorkomen dat je in de war raakt. Zoek bijvoorbeeld eerst de randstukjes, sorteer dan de kleuren en niet beide in één keer. Dit is zeker de verkeerde strategie voor een wereldkampioenschap puzzelen. Voor de gemiddelde sterveling is het leuker en levert het minder fouten op die de aanvankelijk behaalde productiviteit teniet zouden doen.
  • Plastic bakjes zijn geschikt om te sorteren, net als puzzeldeksels (gebruik niet het deksel met de omslagfoto van de huidige puzzel, tenzij je van uitdagingen houdt).
  • Puzzelstukjes komen het best tot hun recht op witte vellen papier. A3-formaat of groter.
  • Als een puzzelstukje opmerkelijk goed past, hoewel het uiteindelijk niet past, dan is de kans groot dat het zijn uiteindelijke plaats zal vinden in de buurt van de veronderstelde locatie.
  • Afhankelijk van de kwaliteit van de puzzel kan het zelfs gebeuren dat de randstukjes maar in één positie lijken te passen.
  • Onafgemaakte legpuzzels kunnen worden vervoerd op vellen papier uit kunstenaarsbenodigdheden. Leg de puzzel op zo'n vel of gebruik karton of een schildersdoek. Puzzelmatten zijn vaak te duur.
  • Een daglichtlamp is de beste keuze na daglicht. Als je alleen een staande lamp hebt, plaats deze dan op tafel zodat de afstand tussen de lamp en het puzzeloppervlak zo groot mogelijk is.
  • Begin met het oplossen van puzzels van 500 stukjes, daarna van 1000 stukjes. Of begin direct in tweetallen met een puzzel van 1000 stukjes
  • Naast de kleur van een onderdeel is het ontwerp van de uitstulpingen vaak een goed onderscheidingscriterium. Soms kun je een onderdeel alleen vinden omdat het een bijzonder opvallende vorm heeft.
  • In het eindspel, als er nog maar een paar stukjes over zijn, helpt het om de stukjes te sorteren op basis van hun basisvorm. Er zijn zes basisvormen voor puzzelstukken.

Doe je ook aan legpuzzels? Ik hoor graag van je hierover, maar ook over je ervaringen met gegevensbescherming of suggesties voor artikelen. Binnenkort verschijnt er een artikel over wanneer het nuttig kan zijn om toestemmingshulpmiddelen te gebruiken. Maak echter geen gebruik van de bekende cookietools. Ik zal binnenkort een gratis tool aanbieden die effectiever en eerlijker is dan de reclamebeloftes die jullie waarschijnlijk allemaal kennen.

Overigens zou ik de bekendere puzzelwinkels willen aanraden om eens heel kritisch naar hun websites te kijken als het gaat om de regelgeving omtrent gegevensbescherming. Het kan zijn dat iemand binnenkort contact met ze opneemt en in het gunstigste geval informatie wil over de gegevensverwerkingsprocedures. Hiervoor komt binnenkort een tool beschikbaar waarmee dergelijke verzoeken voor veel websites bijna automatisch kunnen worden aangemaakt.

Ook interessant

About the author on dr-dsgvo.de
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.

Plicht tot vermelding van een colofon in e-mails en nieuwsbrieven