De titel van het bericht is wat vreemd. Niemand met een greintje verstand zal ooit een van deze bedrijven vragen om zijn persoongegevens door te sturen naar Facebook.
Het doorsturen is niet alleen ongevraagd, maar ook zonder instemming en dat is een overtreding van de WBP.

Het viel mij een keer op dat in de settings van facebook allemaal bedrijven stonden waar ik ook klant was. Bijvoorbeeld spotify, maar diverse webshops. Ik weet 100% zeker dat ik nooit via deze bedrijven heb ingelogd via facebook.

De reden dat ze gelinked stonden was omdat ik hetzelfde e-mailadres had gebruikt. Ik baal hier wel van. Als ik dit vooraf had geweten had ik facebook een apart emailadres gegeven. Zonder mijn toestemming hebben deze bedrijven gecommuniceerd met facebook dat ik klant was. Ik weet niet welke informatie er meegekomen is.

Het is goed dat dit soort zaken worden aangekaart, al is het door de Consumentenbond en niet door de overheid.

Zolang klanten niet wegblijven of er flinke boetes worden uitgedeeld zullen alleen de 'braafste leerlingen' meedoen. Als je de gemiddelde CEO interviewt is braaf niet het eerste woord dat bij je opkomt :)

- 'Sommige bedrijven stelden dat ze dit deden omdat anderen het ook doen.'-

Tel hier het sleepnet verhaal bij op en bij een gemiddelde verjaardag is de mening dat overheid en bedrijfsleven al lang alles van je weten. Campagnes vanuit de overheid zijn nodig zodat mensen vragen gaan stellen als je verplicht geboortedatum etc. moet invullen als je een cadeautje bij iemand anders wil laten bezorgen bijvoorbeeld.

Volgens mij heeft geen van de genoemde bedrijven mijn huidige e-mail adres (dit is 100% spam vrij, zonder spam filter). En dat blijft dus ook zo! (Alles per post).

Vreemd genoeg krijgen ze nooit een boete en blijven ze dit soort gedrag vertonen.

Veel meer bedrijven doen hier aan mee. Een voorbeeld?

Ik kocht op een gegeven moment in het jaar 2009 een nieuwe auto bij een dealer.

Een tijd later vind je dan ik-weet-niet-hoeveel brochures van andere automerken in de brievenbus, compleet met naam adres en woonplaats en dat terwijl ik nog nooit iets met deze bedrijven of zelfs met die automerken te maken heb gehad.

Ik stuur de post meestal weer terug met de vermelding dat ik geen toestemming heb gegeven.

Onder meer KLM en Postcodeloterij vinden dat ze er een gerehtvaardigd belang bij hebben om het te doen. Postcodeloterij noemde dat belang "het zo relevant en persoonlijk mogelijk benaderen van consumenten" en dreigde zelfs de Consumentenbond aansprakelijk te stellen voor schade die door de publicatie ontstaat.

Die zijn van het slag dat de regels naar hun eigen belang toebuigt en gaat dreigen als ze erop aangesproken worden. In essentie vind ik dat een criminele mentaliteit. Lekker clubje, die Postcodeloterij.

Wen er maar aan dat onze persoonlijke gegevens vogelvrij zijn en zodra er een glans van zilverlingen waarneembaar is.

Als mensen blijven zeggen dat zij niets te verbergen hebben dan ben ik benieuwd wat zij gaan aangeven als bij een registratie de keuze is dat hun gegevens aan anderen verstrekt worden als die anderen daar om vraagt?

Zolang er geen serieuze handhaving is, zullen bedrijven hiermee doorgaan. Wat dat betreft ligt er een taak voor de overheid.

Die handhaving ligt bij de overheid maar hebben er gewoon schijt aan.

Naar aanleiding van het onderzoek zijn drie bedrijven gestopt met het ongevraagd delen van klantbestanden met Facebook. Dat zijn de ANWB, Nuon en Oxfam Novib. De Bijenkorf stopte hier al eerder mee. Essent heeft toegezegd binnenkort te stoppen en KLM en Transavia heroverwegen hun aanpak. De Bankgiroloterij, FBTO, KPN/Telfort, Postcodeloterij, Vakantieveilingen, Vriendenloterij en de Persgroep blijven volgens de Consumentenbond gewoon doorgaan. Van Heerlijk.nl, HelloFresh en Hotels.nl ontving de Consumentenbond geen reactie.

Eerst zijn er de onnozelen, de onwetenden die niet weten dat het niet mag
Dan zijn er de braven die het wel wisten maar na erop gewezen te zijn ermee stoppen
Dan zijn er "grote" braven die het wisten en zich aan de wet houden
En dan de ONBESCHOFTEN die gewoon doorgaan.

Handhaving: niks Straffen: niks

Daar hebben ze het AP voor bedacht. Faalt in haar taak en zet in op wat leuke nerd aaibaarheid.

Maar goed dat ik geen facebook etc gebruik maar ja ik ben wel klant van een aantal bedrijven die toch de wet overtreden hebben zomaar met gegevens aan de haal te gaan.

Strafrechtelijk vervolgen met de optie tot celstraffen.

Goed dat de Consumentenbond aandacht aan dit soort onderwerpen besteedt. Hopelijk zetten ze dit ook door.

Maar zelf kun je ook (wat) actie ondernemen.
N.a.v. dit verhaal heb ik - naar de bedrijven/organisaties waarvan ik klant ben - een reactie gestuurd, waarin ik om opheldering heb gevraagd.
Als basis heb ik de voorbeeld brief [inzage] gebruikt die op de website van de AP staat: https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/voorbeeldbrieven
Meer specifiek heb ik gevraagd of en zo ja, welke persoonsgegevens er aan FB zijn verstrekt en op grond waarvan dat is gedaan. Voor zover ik weet heb ik namelijk nimmer uitdrukkelijke toestemming gegeven.

Nu 4 weken wachten op een reactie (als die komt....).
tzt plaats ik hier nog wel even kort de uitkomst.

Helemaal mee eens

Het UWV blijkt ook persoonsgegevens te delen met andere bedrijven, waaronder het feit dat ze al 14 jaar lang namen en emailadressen schijnen te delen met Hoezo BV voor het organiseren van diverse events. Dit betekent dat je een uitnodiging kan krijgen van deze derde partij voor zaken die aan werk zoeken of je gezondheid gerelateerd zijn en dit bedrijf dus ook inzage krijgt in wie er in de WW of WAO zitten.
Nu zegt het UWV dat dit wel goed dichtgetimmerd zal zijn, volgens de medewerkster die ik hierover aansprak. Maar ik vind het vreemd dat het UWV zelf dus niet de mailinglijsten beheert maar dit overlaat aan derden, zonder hierover hun klanten te informeren!

Of het goed dichtgetimmerd is, is volstrekt irrelevant, als men niet het recht heeft om de data te delen. Dat is hetzelfde idee als bij het bedrijf in bovenstaand artikel wat het probleem niet inziet, omdat ze de gegevens encrypted versturen richting Facebook. Dichttimmeren is goed om te voorkomen dat derden toegang krijgen, maar het voorkomt niet dat men gegevens deelt, zonder dat dit mag.

Bedrijven gaan niet stiekem gegevens wegeven aan een miljardenbedrijf als Facebook zonder dat ze er zelf beter van worden.

Met andere woorden: als de administratie van de bovengenoemde bedrijven eens goed onderzocht wordt kan er nog wel eens boven komen drijven dat de bedrijven de gegevens aan Facebook verkopen en daar grof aan verdienen.

"We doen het omdat anderen het ook doen..." Te gestoord voor woorden dit!

Misschien is het een idee om een zwarte-lijst website op te tuigen a la populariteit buienradar en daar bedrijf plus datum plus overtredingen in een lijst te verwerken. Een nieuwsbrief en extra domein registratie onder een 2e persoon moeten voorkomen dat bedrijven zich van de lijst kunnen kopen... Anyone?

De wet blokkeert niet dat gegevensverwerking aan een externe partij wordt uitbesteed. Dan moet er wel een degelijke bewerkersovereenkomst worden afgesloten, blijft de verantwoordelijke (UWV) aansprakelijk, en is de bewerker (Hoezo BV) ook aansprakelijk als ze de mist ingaan.

Ik heb geen inzicht in hoe ze het geregeld hebben, maar als er een deugdelijke overeenkomst is gesloten is het best mogelijk dat het gewoon mag.

Dat wil niet zeggen dat ik die uitbestedingswoede een goed idee vind. In de bouw is al gebleken dat een wirwar van onderaannemers een recept is voor ongelukken, het overzicht over het geheel raakt namelijk zoek. Dat kan bij uitbesteden van allerlei fragmenten van je gegevensverwerking aan allerlei partijen ook optreden. En je kan het niet beoordelen als je met zo'n partij te maken hebt, je wordt geconfronteerd met derden die over je gegevens blijken te beschikken zonder dat je inzicht hebt in hoe goed dat dichtgetimmerd is. En er wordt maar al te vaak van je verwacht dat je zo'n derde op zijn woord gelooft als die beweert namens een voor jou bekende partij op te treden. Kennelijk zijn organisaties die dingen uitbesteden zich totaal niet bewust van het feit dat een ander niet weet wat ze zelf weten en dat ze iets doen wat niet van phishing te onderscheiden is.

IS STOPPEN met Facebook geen optie?
Ik gebruik het sowiezo niett.
HEERLIJK geen onzin!
En z.g.n. VRIENDEN.
Ik zou zeggen vertel dit rond aan Uw “Fecesbookvrienden”

Kan de consumentenbond/AP dan ook iedere Whats-app gebruiker aanspreken voor het delen van hun telefoon-contacten met FB zonder dat ze eerst al deze kenissen/vrienden/etc hiervoor expleciet toestemming hebben gevraagd?

Dat wordt nog leuk 25 mei 2018 met de nieuwe Algemene verordening gegevensbescherming (AVG).
Is kijken of AP dan gelijk boetes gaat uitdelen of het alleen maar bij waarschuwingen laat.
Al zoveel gevallen dat AP de weg van de minste weerstand kiest of als het raakvlakken heeft met overheid ze de regels wat ruimer toepassen. Of nog erger, de overheid / EU de spel-regels aanpassen omdat het economische voordelen heeft.
Ook al zijn bedrijven ruimschoots van tevoren ingelicht betreffende de nieuwe-strengere-regels, denk ik dat (schoothondje) AP het meeerendeels bij waarschuwingen houdt, wat leid naar de gezegde : Zachte heelmeesters maken stinkende wonden. En Oh, wat zal het gaan stinken.

Schande wat die bedrijven zich permitteren en er zullen nog veel meer bedrijven zijn die dit ook ongestraft doen.

Er is één troost, binnenkort 25 mei 2018 treedt een nieuwe Europese wet in werking GDPR. https://nl.wikipedia.org/wiki/Algemene_verordening_gegevensbescherming .
Ik ben geen voorstander van alles wat uit Brussel komt maar in dit geval worden de gegevens van individuen binnen EU dan beter en strenger geregeld. Als er nu een klacht komt bij de Autoriteit Persoonsgegevens moet zij aantonen dat een bedrijf iets fout gedaan heeft. Met de nieuwe wet moet je als bedrijf aantonen dan je niet verkeerd doet. Het zondermeer delen van data is dan niet meer toegestaan, als bedrijf moet je aangeven wat het belang is van het delen en moet er toestemming zijn van het individu. Bij misbruik zijn flinke boetes. Dus hopen dat er dan ook gehandhaafd wordt.

Ja en dan heb je er in dit geval nog zicht op en kun je de bedrijven die je data buiten toestemming versjacheren aan derden aan de schandpaal nagelen.

Maar wat bij app collusion op android waar je al je data ongevraagd met Jan en Alleman gedeeld worden en ook met groot-spionerende overheidsdiensten.

Wat willen we vervolgens daar aan gaan doen? Veel kwalijker en veel moeilijker in beeld te brengen, want het eventueel boete betalen is van te voren al ingecalculeerd en wordt lachend uit de broekzak door grote monopolisten aan een overheid als de EU bij voorbeeld betaald.

Vervolgens is het weer 'business as usual'. Verrot systeem eigenlijk, dat je niet een, twee, drie weer goed krijgt.

Er wordt wel ach en wee geroepen hier, maar heeft iemand (zoals de consumentenbond) de moeite genomen om de voorwaarden van genoemde maatschappijen te lezen? Ik heb net even de KLM voorwaarden bekeken en er staat gewoon in dat gegevens worden gedeeld al dan niet op een 'vieze' manier door embedding van content van derden. Dit is ook bekend van andere bedrijven, en dan met name thuisbezorgd.nl. Lees de voorwaarden en huiver. Je gaat zelf akkoord met de, inderdaad, belachelijke voorwaarden.

Pas vanaf mei 2018 krijgt de AP echte tanden, nu kunnen ze nog niet veel. Leuk voorbeeldje van een niet al te betrouwbare site: https://it.slashdot.org/story/17/11/02/2134219/hilton-paid-a-700k-fine-for-2015-breach-under-gdpr-it-would-be-420-million [slashdot.org].

Ook pas in mei 2018 moeten bedrijven daadwerkelijk kunnen aantonen dat ze toestemming hebben voor het verzamelen van de gegevens. (opt in niet toegestaan). Tevens is doelbinding van standaard verzameling van gegevens een vereiste. Voor alle andere gegevens moet toestemming worden gehaald. Gaan de Amerikaanse bedrijven zoals de eigenaar van thuisbezorgd.nl (takeaway.com) dat ook daadwerkelijk doen? Ik betwijfel het.

Nee, maar de wet vereist wel enige veiligheid van dit soort persoonsgegevens en nu is het maar de vraag og Hoezo B.V. hun software wel goed beveiligd heeft. Van het UWV is dit natuurlijk te verwachten gezien de aard van de gegevens die ze beheren. Maar een deel van die gevoelige gegevens komen dus ook in handen van een particulier bedrijf, met dank aan de overheid. En daar zet ik dus vraagtekens bij.

Het zal misschien mogen maar net als jij heb ik totaal geen inzage in deze overeenkomst. En de medewerkster van het UWV had er zelf ook geen antwoord op en nam aan dat het wel goed zat. Zal wel, maar is ben beroepsmatig enorm paranoide als het om beveiliging gaat en ik zie dit als een potentieel risico.
Maar goed, voor contact met het UWV heb ik een speciaal email adres in gebruik dat alleen bij het UWV bekend is. Dus als er opeens gespamt gaat worden dan merk ik het meteen.
Zoals ik dat in het verleden al eens heb gemerkt met LinkedIn, Adobe, Facebook en diverse andere sites die werden gehackt...

Het is ook geen goed idee! Het UWV moet zelf de benodigde automatisering in huis hebben om dit zelf te doen, en niet uitbesteden aan derden. Maar goed, overheden falen al langer op het gebied van automatisering dus het verbaast mij niets dat ze het op deze manier proberen op te lossen.

Lees nog eens wat ik schreef. Daar gaat die degelijke bewerkersovereenkomst nou precies over. En verder bevat je reactie ook een heleboel dingen die ik ook al schreef, maar dan op een opgewonden "ja maar"-toon die suggereert dat ik iets heel anders schreef.

Wat ik schreef is dat zo'n uitbestede verwerking toegestaan kan zijn maar dat ik niet kapot ben van het idee om redenen die heel behoorlijk overeen komen met waarom jij het geen goed idee vindt. Ik ga er wel wat minder van uit dat partijen niet anders dan incompetent kunnen zijn (en vertaal dat niet naar blind vertrouwen, er ligt nog een heel scala aan gradaties tussen blind vertrouwen en blind wantrouwen, die allemaal minder blind zijn dan de uiteinden van de schaal).

Het is er niet mee begonnen dat overheden uitbesteden omdat ze het zelf niet kunnen, ze zijn automatiseren verleerd omdat alles zo nodig uitbesteed moest worden. Het probleem van te weinig zelf doen is dat je niet meer de kennis levend houdt om de uitvoerder te beoordelen. Die uitbestedingswoede is het gevolg van het idee dat de overheid zoveel mogelijk uitgekleed moet worden; een idee waar een flink deel van de wereld sinds Thatcher/Reagan last van heeft. En daarvoor hadden bijvoorbeeld het rijk en de gemeente Amsterdam eigen automatisering met grote rekencentra die beslist niet achterliepen qua techniek en professionaliteit.

Meer zelf doen zou inderdaad een positieve ontwikkeling zijn, maar het kost wel tijd en geduld om zoiets in een organisatie in te bedden en er iets degelijks van te maken, en we zijn helaas nog niet zo ver dat de politiek een omslag in hun denken heeft gemaakt die dat mogelijk maakt. En als UWV vanaf nu opeens alles zelf moet doen is de omslag te abrupt en wordt dat weer een puinzooi.

En het zijn echt niet alleen overheden die in dat patroon zitten. Bedrijven die het ooit allemaal zelf deden besteden het ook grootschalig uit, vaak genoeg aan dezelfde partijen die het voor de overheid doen, met vermoedelijk uiteindelijk dezelfde resultaten als de kennis van zaken bij de opdrachtgevers afgekalfd raakt.

Waarom doet de Autoriteit Persoonsgegevens wederom niets? Wat een waardeloze club is dat toch.

Misschien omdat dit pas een paar dagen geleden naar buiten is gebracht?

Ik weet niet of en wat AP ermee gaat doen, maar ik denk wel dat het te vroeg is voor dit soort conclusies. Ze zijn daar niet helderziend en hebben geen onbeperkte capaciteit. Onderzoek vergt tijd, weet je?

Wat een ongelooflijke ka-u-tee-smoes.

M.i. uitstekend advies, daar niet van.
Maar wil dat zeggen dat facebook je gegevens dan niet in handen krijgt ?