De GDPR is een verordening van de Europese Unie, die voor alle lidstaten sinds 25 mei 2018 geldt. Zij regelt het gebruik van persoonsgegevens.
De GDPR is technologieneutraal. Vanwege de bijzondere omstandigheden op het internet zijn er extra regels vastgesteld. Daarbij hoort bijvoorbeeld de ePrivacy Richtlijn. In haar tweede versie werd ze ook als Cookie Richtlijn aangeduid.
Voor het internet en websites is de GDPR vooral relevant, omdat IP-adressen persoonsgegevens zijn (zie vonnis van het Europees Hof van Justitie en het Bundesgerichtshof). Een verwerking van gegevens vindt al plaats bij een verzameling van gegevens, de mogelijke kennisneming door een aan de door een aanbieder genoemde ontvanger.
Dus is elke oproep naar een website een proces dat onder de verantwoordelijkheid van de AVG valt. Elke beheerder van een website moet zich aan de AVG onderwerpen. Velen doen dit met tegenzin of helemaal niet, zoals bijvoorbeeld te zien is aan de inzet van rechtswijdende Consent Tools.
Alleszondering is op te merken dat IP-adressen al voor het inwerking treden van de AVG persoonsgerelateerde gegevens waren. Het Wet bescherming persoonsgegevens (Bundesdatenschutzgesetz) werd gewoon niet consequent toegepast. In dit verband wordt erop gewezen dat sommige toezichthoudende instanties op het gebied van privacy in Duitsland niet echt glansrijk presteerden (groeten vooral naar Hessen).
Voor websites volgen zich hieruit enkele consequenties, onder meer:
- Voorafgaande toestemming vragen voordat bepaalde gegevensverwerkingen worden uitgevoerd
- Uitleg van de uitgevoerde gegevensverwerkingen in de privacyverklaring en op vraag om toestemming
- Melding van rechten van betrokkenen in de gegevensbeschermingsverklaring
- Melding van een verantwoordelijke instantie in de gegevensbeschermingsverklaring
- Van elke onderpagina uit bereikbaarheid van de privacyverklaring (in maximaal twee klikken)
- Permanente controle door gegevensbeschermingsautoriteiten mogelijk
- Bij schendingen van de privacybescherming dreigen boetes
Wat betekent gegevensverwerking?
De antwoord vind je Artikel 4 GDPR. Korte samenvatting van mij: Bijna elke vorm van het verstrekken van persoonsgegevens aan derden wordt als gegevensverwerking beschouwd, ongeacht of er daadwerkelijk verwerking plaatsvindt. Deze definitie is zinvol omdat geen derde de volgende procedure kan bewijzen:
- Websitel W biedt een link (URL) op gegevens van een gebruiker door Tracking (_opsporing van de URL door een tracker) aan dienstverlener D beschikbaar
- Diensverlener D vraagt de ontvangen URL op
- Diensverlener D beoordeelt de uitgelezen inhoud
Artikel 4 GDPR zegt onder punt 2:
In de zin van deze verordening wordt de uitdrukking:
Verwerking“ van elke met of zonder hulp van geautomatiseerde processen uitgevoerde handeling of elk dergelijk handelingsproces in verband met persoonsgegevens zoals het inzamelen, het registreren, de organisatie, het ordenen, opslaan, aanpassen of wijzigen, het inlezen, het vragen, gebruiken, openbaren door overdracht, verspreiden of een andere vorm van ter beschik stellen, vergelijken of koppelen, beperken, wissen of vernietigen;
Artikel 4, lid 2 van de Algemene Verordening Gegevensbescherming (GDPR)
Wie iemand een URL door Tracking aan derden doorgeeft, die een link naar persoonlijke gegevens van een ander vertegenwoordigt, maakt het mogelijk dat deze gegevens verwerkt worden en waarschijnlijk schendt dit artikel 32 GDPR (Sicherheit der Verarbeitung), in het bijzonder:
… treffen van de verantwoordelijken en de opdrachtnemers passende technische en organisatorische maatregelen om… de capaciteit, de vertrouwelijkheid, integriteit, beschikbaarheid en belastbaarheid van systemen en diensten inzake de duurzame beveiliging te waarborgen
Uittreksels uit art. 32, lid 1 GDPR
De verwerking van gegevens begint al met het verzamelen ervan. De gegevensverzameling heb ik mij nader onderzocht. Zodra een server op basis van een aanbod (zoals een website) een vraag ontvangt en deze niet blokkeert, ligt er een gegevensverwerking voor! Zodra u een brief in uw brievenbus heeft, die iemand naar aanleiding van uw aanbod heeft gestuurd, verzamelt u de gegevens uit de brief (tenzij uw brievenbus kort na ontvangst van de brief afbrandt o. dgl.)
De belangrijkste artikelen van de AVG
Bij mijn beoordeling van vragen over de bescherming van persoonsgegevens op websites spelen steeds weer deze artikelen een rol:
- Artikel 4 GDPR: Algemene begripsbepalingen, zoals wat persoonsgegevens zijn
- Artikel 5 GDPR: Grondslagen van de verwerking van persoonsgegevens. Hierbij moet vooral de gegevensvermindering worden genoemd. In de praktijk betekent dit een verbod om Google Schriften te gebruiken, die op het Google-server geladen worden (het vragen van toestemming voor lettertypen heeft weinig zin). Oplossing: Lettertypen lokaal inbinden
- Artikel 6 GDPR: Rechtsgronden. Vooral belangrijk: Is er een gerechtvaardigd belang aanwezig?
- Artikel 7 GDPR
Viele Artikel in PDF-Form · Kompakte Kernaussagen für Beiträge · Offline-KI · Freikontingent+ für Website-Checks
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
