Misschien een gekke vraag, kunnen instanties/bedrijven die denken dat een procedure mogelijk de AVG overtreedt dit niet laten nakijken bij AP? Of een specialist op het gebied tegen betaling, want voor niks gaat de zon op.

Waarom zouden ze dit doen? Je stopt het er in en als niemand het opmerkt ben je spekkoper, en als men het wel merkt dan krijg je hoogstens een waarschuwing van het AP en stop je er mee.

Heeft ht AP al boetes uitgedeeld voor het overtreden van het AVG?

Natuurlijk, maar als je het antwoord niet wilt weten moet je de vraag niet stellen :-)

echt fijne mensen daar bij DUO!!!

Daar adviseert de gemiddelde Functionaris Gegevensbescherming de organisatie graag over

Dat vind ik wel grappig... ik weet zeker dat als er een zaak is waarin een advocaat een student moet verdedigen en
DUO aankomt met zo'n tracking "bewijs", deze zal aanvoeren dat een IP adres niet naar een persoon (de verdachte)
te herleiden is en dat het net zo goed iemand anders kan zijn geweest die de mail geopend heeft.

Waarom voorlopig ? Denken ze dat het volgende week geen overtreding meer is ? Dit is de houding waar ik mij enorm aan erger, m.b.t. overheid en privacy.

Een wel erg vage manier van rechercheren, bewust een regel te overtreden om overtreders te pakken. Komt ook erg geloofwaardig over. Laat me raden: een overheidsinstantie.

Volgens mij is dit onzin.
Je kunt zien dat een e-mail is geopend, maar je kunt niet zien door wie, dus weet je nog steeds niets.
Hooguit heb je een IP adres, maar ook dan heb je geen zekerheid.
Het bewijst dus eigenlijk niets.............

Hoe wil men dit bewijzen? Als mail of attachment een keer is geopend wil dat nog niet altijd zeggen dat het bericht ook is gelezen. Of gaat ook de webcam meteen aan, en wordt er een filmpje teruggestuurd en opgeslagen bij DUO met gezicht en lezende oogjes? (dan nog steeds pech, want de webcam is waarschijnlijk vaak afgeplakt)

Wat een amateuristische dwaasheid dus weer, terwijl je zou mogen verwachten dat zo'n instantie er verstand van heeft.
Echt ten hemel schreiend zulke onzin. Prutsers. Zoiets mag gewoon niet gebeuren.
Daarom: ontslag a.u.b.: laat eens koppen rollen, zodat mensen met supervisie gaan beseffen dat ze eerst goed moeten nadenken en nakijken of het legaal is en dat het echt zin heeft voordat ze wat doen!

Ik vind het een sterk verhaal. Content in een mail wordt doorgaans vanuit de mailprovider geserveerd. Je kan dus niet eens zien waar requests voor afbeeldingen o.i.d. vandaan komen omdat je die niet meer zelf levert. Bovendien is JavaScript geen mogelijkheid. Hoe kun je dan als externe partij in godsnaam IP-adressen opvragen via tracking-'software'.

Mijn inziens een sensatieverhaal van de AP met het schrikwoord AVG terwijl het gewoon om link of iets dergelijks zal gaan waarop vervolgens analytische gegevens worden verzameld.

Netjes van DUO? Nee. Maar ook niet schikbarend, helemaal omdat het 'slechts' IP-adressen zijn. Ze hadden evengoed persoonlijke links kunnen gebruiken en een analyse rechtstreeks kunnen koppelen aan e-mailadres of naam. Dan was het pas echt nieuwswaardig geweest.

Daarom staat er ook "herleidbaar". Het is te herleiden naar een persoon. Het is niet direct die persoon. Als er een rechtszaak komt, zal men dat herleiden dus moeten doen om te kunnen bewijzen dat die persoon de mail heeft gelezen. Een willekeurig IP adres is geen bewijs.

Het is interessanter hoe men omspringt met anti-spam en anti-phishing software op de server van de provider. Sommige systemen volgen URL's of downloaden images om te controleren of het phishing of malware is. Dan krijg je die IP adressen in ieder geval ook in de DUO logging. En die zullen zeker niet leiden naar de student.

Peter

De discussie rondom IP adressen speelt al een tijdje, en het antwoord of het persoonsgegevens zijn is gedeeltelijk een kwestie van perspectief. Het perspectief van de Autoriteit Persoonsgegevens is of de AVG toegepast moet worden. De definitie van een persoonsgegeven in de AVG is: "alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon", waarbij overweging 26 nadere uitleg geeft: "Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken. Om uit te maken of van middelen redelijkerwijs valt te verwachten dat zij zullen worden gebruikt om de natuurlijke persoon te identificeren, moet rekening worden gehouden met alle objectieve factoren, zoals de kosten van en de tijd benodigd voor identificatie, met inachtneming van de beschikbare technologie op het tijdstip van verwerking en de technologische ontwikkelingen."

Voornamelijk op basis van Overweging 26 heeft het Europees Hof van Justitie recentelijk in Breyer vs. Duitsland geconcludeerd dat onder bepaalde omstandigheden redelijkerwijs verwacht mag worden dat het IP Adres met ISP gegevens gecombineerd wordt tot een identificeerbaar gegeven, hetzij door de verwerkingsverantwoordelijke zelf, hetzij door een derde partij. Indien dat redelijkerwijs verwacht mag worden, concludeerde het EHvJ dat een IP-Adres voor wat betreft toepassing van de AVG een persoonsgegeven is.

Dat verschaft in ieder geval klaarheid in een situatie waarin organisaties nog wel eens tegelijk als bewijs van identificatie een IP-adres opvoerden en als bewijs van niet hoeven houden aan gegevensbescherming dat een IP-adres geen bewijs van identificatie zou zijn...

OP hier
I stand corrected. Snel even een testje gedaan en Gmail doet dit bijvoorbeeld wel, maar Outlook dan weer niet, in het laatste geval is tracking door middel van een plaatje dus wel mogelijk.

Naast schending van de AVG is dit een schending van de cookiewet, aldus Arnoud Engelfriet:

"Dit is dus waar de cookiewet tegen bedoeld is. E-mailtrackers vallen onder het wettelijke begrip “gegevens opslaan of uitlezen” van andermans computer of telefoon. Of je dat nu doet vanuit een website of via een mail doet er niet toe. Zodra je gegevens wilt opslaan of juist wilt ophalen van iemands computer, zegt de cookiewet dat er toestemming voor nodig is."

Zie: https://blog.iusmentis.com/2017/03/06/is-tracker-e-mail-legaal/

Het gaat over studenten en scholieren.
Met het IP adres heb je in het gunstigste geval een adres, maar nog steeds geen persoon.

Die tracking zit ingebouwd in vrijwel alle software voor het verzenden van nieuwsbrieven, zoals eht veelgebruikte MailChimp. En het staat meestal ook standaard ingeschakeld. Het is puur toeval dat DUO nu als voorbeeld dient. Vrijwel iedereen doet het. De nieuwsbrief die ik van mijn gemeente ontvang ook. De gegevens worden opgeslagen op een server in de VS en MailChimp claimt een "Right to Review Content and Campaigns"

In de 2 nieuwsbrieven die ik namens verenigingen verstuur (met MailPoet en Newsletter) heb ik het met enige moeite kunnen uitschakelen.

Bijna elke nieuwsbrief (of reguliere e-mail met logo van verzender) wil de afbeeldingen (logo bv) downloaden vanuit de oorspronkelijke server. Daarmee is er een IP-connectie met de ontvanger, CMS software registreert dat als "mail geopend". Als je deze info kunt vergelijken met andere e-mails kan je 'vaststellen' dat het om dezelfde persoon gaat.

Niet alleen DUO zal hier dan mee te maken krijgen...

Dat verwacht ik ook. Mensen lezen hun mail steeds vaker via een mobiel apparaat en niet alleen thuis. Dat IP adres kan ook van hun mobiele provider zijn, van de werkplek (b.v. universiteit) of van vrienden waar ze op het moment van lezen zijn.

Het zal DUO er meer om gaan of de mail wel gelezen is. Meestal zitten die trackers in nul-pixel plaatjes en als je standaard geen plaatjes opent, kan DUO niet zien of er mail gelezen is.
Of je hebt een mailserver die dergelijke trackers (webbugs) opzoekt en uit de mail verwijderd, zoals bij mij gebeurd.

Quote:
Euh, €460.000 aan het Haga ziekenhuis?
URL: https://autoriteitpersoonsgegevens.nl/nl/nieuws/haga-beboet-voor-onvoldoende-interne-beveiliging-pati%C3%ABntendossiers

Misschien is het belang om dit op deze wijze te controleren groter dan het nadeel??
Het is bekend dat er enorm misbruik gemaakt wordt door studenten.
nl. dat ze zogenaamd buitens huis wonen en daarbij dus financiel voordeel krijgen.
Daaraan wil ik mijn betaalde belastingen niet besteden.
Controleren op deze wijze vind ik goed.
Er zal nl. echt dieper naar de gegevens worden gekeken bij bovenstaande onregelmatigheden.

Dat viel mij ook op. Je kunt gewoon in je e-mailcliënt een leesbevestiging meesturen dan krijg je het bericht terug dat de mail is geopend als de andere kant zijn toestemming heeft gegeven. Dus zoveel technologisch wonder zit daar niet achter. Slechts een hokje aanvinken bij het configureren is voldoende.

Daarom staat een BEETJE mailprogramma ook standaard zo ingesteld dat er geen afbeeldingen en stylesheets
geladen worden van externe servers bij het displayen van mail. Afbeeldingen die niet met de mail zijn meegestuurd
zie je dan dus niet. Hetzelfde geldt voor de meeste webmail software.

Uiteraard kun je die setting aanpassen, en dan "wordt je mail veel mooier", maar dat heb je dan wel zelf gedaan.
Zonder die aanpassing kan DUO echt niet detecteren of jij een mail opent.

Of je kan internationaal kijken: http://www.enforcementtracker.com/

Dit werkt maar heel beperkt. Lang niet alle mail programmas ondersteunen dat. Mijn Apple mail in elk geval niet. Bij Ziggo webmail of bij Thunderbird heb ik die optie ook nooit gezien. Ik ken deze optie eigenlijk alleen van de roundcube webclient.

Waarschijnlijk moet de ontvanger bepaalde microsoft mail programma's gebruiken om dit te laten werken.

1/ tracking algemeen
Lees je het verhaal dan staat er letterlijk dat het hetzelfde als de vele trackers op websites.
Daar heeft het AP nog nooit op willen reageren ook als is het bekend hoe fout het zit.

2/ bevestiging van een bericht.
Er is iets raars. Duo verzend niet zo maar een mail, dat heeft een reden.
De bewering van niet hebben ontvangen in de problematische situaties waarbij het verwijt is dat er geen bericht van DUO is ontvangen, hoe moet het daar mee? Dan gaan we de kant op dat als er na 2 weken niets ontvangen is dat als je daar slachtoffer van wordt dat je maar moet zien te bewijzen dat het niet verstuurd is.

Nou als jouw mail programma's "dat niet ondersteunen" (dwz geen optie hebben om al dan niet een dialoog te tonen)
dan is het waarschijnlijker dat deze programma's die bevestiging gewoon altijd sturen als er om gevraagd wordt.

Het is geen Microsoft standaard, nee.

Als een andere computer bij jouw server een 1x1 pixel afbeelding opvraagt, heb je geen gegevens uitgelezen van de andere computer. Het lijkt mij geen cookie.

De server gebruikt het IP-adres wel voor een extra doel. En daar is doelbinding voor nodig. Kennelijk heeft DUO dat feit niet goed kenbaar gemaakt aan de gebruiker.

Tja en ik zou het nog niet eens zo raar vinden als ze zouden zeggen: "Iemand met uitwonende studiebeurs, leest zijn email in 90% van de gavallen waarschijnlijk niet vanaf het adres waar hij ingeschreven staat, laten we daar eens een controleur langs sturen". Waarom zou je die gegevens niet ter indicatie van een mogelijke overtreding gebruiken als je het toch hebt.

Thunderbird ondersteunt gewoon notificatie wanneer gelezen hoor.

Wat hier staat klopt volgens mij niet:
"Volgens advocaat Christiaan Alberdingk Thijm overtreedt DUO met het gebruik van de trackingsoftware de wet. DUO moet namelijk een gerechtvaardigd belang hebben om om persoonsgegevens te verwerken. In enkele gevallen zou dit zo kunnen zijn, maar het toevoegen van een tracker aan alle e-mails noemt Alberdingk Thijm buitenproportioneel. Daarnaast moet de dienst studenten hierover informeren."

DUO kan zich in dit geval helemaal niet beroepen op haar gerechtvaardigd belang. Zoals de AP op haar website zegt:
"Let op: bent u een overheidsinstantie? Dan mag u zich niet baseren op deze grondslag voor de uitoefening van uw taken. U moet zich dan op een van de andere grondslagen baseren. Bijvoorbeeld de grondslag ‘algemeen belang of openbaar gezag’."

De "cookiewet" gaat niet alleen over cookies. Het is hoe artikel 11.7a van de Telecommunicatiewet informeel wordt genoemd. Hier staat hij, het woord "cookie" komt er niet in voor:
https://wetten.overheid.nl/BWBR0009950/2019-01-01#Hoofdstuk11_Paragraaf11.1_Artikel11.7a

Maar het gaat wel over "het via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker". Volgens Arnoud Engelfriet is daar sprake van:
Iets opnemen dat je op afstand kunt uitlezen... De vraag is of Arnoud Engelfriet gelijk heeft dat dat hier gebeurt. Wat zoekopdrachten op het internet geven mij de indruk dat juristen hierover in twee kampen verdeeld zijn. Engelfriet zit duidelijk in het kamp dat vindt dat er wél sprake van is.

Jij redeneert zo te zien dat er niets van de computer van de gebruiker wordt uitgelezen. Maar via de tracking pixel komt er wel degelijk informatie op de server terecht over iets dat plaatsvindt op de apparatuur van de gebruiker en over wat die gebruiker doet. Ik vind het heel verdedigbaar dat je dat als uitlezen van informatie ziet. Een wet gaat uiteindelijk altijd over wat mensen doen en over effecten die dat op andere mensen heeft. Het gaat op dat niveau niet om implementatiedetails van de technologie maar om wat ermee bereikt wordt. Het effect van een tracking pixel is wel degelijk dat er informatie op de server terechtkomt over wat de gebruiker doet.

Ik vind het trouwens ongelukkig dat de telecommunicatiewet het over randapparatuur heeft en niet definieert wat daarmee bedoeld wordt. Je komt op het web wel definities tegen in de trant van "alles wat aan een computer wordt gekoppeld". Ik heb ooit geleerd dat ook allerlei zaken die ingebouwd zijn in de computer ertoe gerekend worden, zoals permanente opslagmedia of het touchscreen van een smartphone. Het komt er dan kort door de bocht op neer dat je met alleen een processor en werkgeheugen het equivalent van een turingmachine kan implementeren, en dat alles wat je toevoegt om die turingmachine ook nog praktisch bruikbaar te maken randapparatuur genoemd wordt.

Arnoud Engelfriet vindt zo te zien dat de computer als geheel tot de randapparatuur gerekend moet worden. Als techneut vind ik dat niet kloppen, maar ik vind het als techneut ook niet kloppen dat het wetsartikel het woord randapparatuur gebruikt en niet simpelweg apparatuur. De bedoeling van de politici was om het artikel technologieneutraal op te schrijven. Als het technologieneutraal is is het volstrekt oninteressant of informatie over het doen en laten van personen nou wel of niet in een bepaalde categorie onderdelen van een apparaat is beland. Waar het om gaat is dat het iets over het doen en laten van personen zegt. En daar valt een tracking pixel overduidelijk wel degelijk onder.

Bij een leesbevestiging moet je dat altijd expliciet toestaan. Het zou dan vreemd zijn als andere programmas dat dan stiekem uit zichzelf doen. Verder had ik dit in het verleden ook al eens voor Apple Mail getest. Die doet dat niet,

Als ik zoek, vind ik ook expliciet dat ook Gmail of Yahoo mail dit niet ondersteunt. Het is dus niet zo dat het alleen Apple is die dit niet ondersteunt.

Je hebt gelijk. Even getest en als ik de mail met Thunderbird open, krijg ik idd de vraag voor een leesbevestiging accepteren.

Terug naar de oorspronkelijke opmerking: Als niet alle mail programma's dit ondersteunen en mensen deze bevestiging kunnen negeren bij programma's die het wel ondersteunen, dan heeft DUO er niet zo veel aan als check dat de mail gelezen is.

je kunt toch gewoon html weergave uitschakelen, dan werken die tracking pixels ook niet meer..

Je kunt precies zien of de betreffende ontvanger de e-mail geopend heeft. De url naar de plaatjes kun je voorzien van een unieke hash: mytracker.jpg?unieke-hash

Deze hash sla je op in je database en als iemand het plaatje opvraagt, vergelijk je de hash vervolgens met de door jou opgeslagen hash en weet je welke gebruiker de e-mail geopend heeft.

Als de betreffende ontvanger de e-mail doorstuurt, zul je wellicht wat meer hits krijgen, maar als je daarbij het IP-adres opslaat, kun je op een gegeven moment ook redelijk zeker zijn welk IP-adres van de eigenaar van het e-mailadres is.

Nee, dat kan niet. Dat zou het afschuiven van verantwoordelijkheid suggereren.
De bedrijven (of eigenlijk de C*O's ervan) zouden gewoon zelf goed moeten nadenken over wat ze doen en waarom en dat zelf toetsen aan de AVG. Uiteraard kunnen ze anderen om advies vragen, maar ze blijven zelf verantwoordelijk.

Ik denk dat het ze om de kickback voor het verspreiden van mail met facebook pixel te doen is.

Niet alleen de juristen zijn verdeeld, andere partijen ook. Er is nog veel te veel ruimte in de regels die verduidelijkt moet worden. En dat maakt de discussies hierover zo moeilijk, er zijn geen simpele zekerheden. Dat is wat ik wilde aanroeren.