Security Professionals - ipfw add deny all from eindgebruikers to any

Onduidelijkheid verschil AVG en GDPR

23-04-2021, 21:56 door Anoniem, 15 reacties
Op de site van het AP is het ook zoeken. In principe is de AVG gelijk aan de GDPR maar de laatste heeft clausules waarbij het mogelijk is dat een EU lidstaat zoals Nederland in de lokale wetgeving (AVR) eigen aanvullingen of beperkingen kan instellen.

De AVG is dus niet 100% hetzelfde als de GDPR. Zo heeft elk lidstaat een lokale "kopie" van de GDPR met mogelijk amendementen.

Toch zijn de meeste adviesbureaus het erover eens, zo is op menige site te lezen dat het precies hetzelfde is "alleen in het Engels".

Waarom is het AP hier niet duidelijker over? Een matrixoverzicht met alle lidstaten en de GDPR zou ook heel handig zijn.
Reacties (15)
24-04-2021, 01:43 door Anoniem
Interessante vraag voor juristen.

Misschien moet je dit op een forum posten voor juristen?
24-04-2021, 09:02 door Anoniem
De AVG is niets meer of minder dan de Nederlandstalige tekst van dezelfde wet waar de GDPR de Engelstalige tekst van is, inclusief de clausules over wat in nationale wetgeving wordt ingevuld. Je kan over de verschillen die je noemt niets vinden op de website van AP omdat die verschillen er niet zijn.

Als die verschillen er toch zijn, zoals je beweert, kan je dan aangeven in welke artikelen en onderdelen van die artikelen ze staan? Hier een voorbeeld van een clausule met een verwijzingen naar andere wetgeving (en dat is inclusief nationale) die, zoals ik stel, in beide versies staat:
Artikel 6

Rechtmatigheid van de verwerking

1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
[...]
c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
Article 6

Lawfulness of processing

1. Processing shall be lawful only if and to the extent that at least one of the following applies:
[...]
(c) processing is necessary for compliance with a legal obligation to which the controller is subject;

De volledige wetteksten in beide talen staan hier:
https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=NL
https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN
24-04-2021, 10:23 door Anoniem
AVG is de Nederlandse implementatie van de GDPR.

GDPR betreft Europese regelgeving.
24-04-2021, 10:59 door karma4
Door Anoniem: De AVG is niets meer of minder dan de Nederlandstalige tekst van dezelfde wet waar de GDPR de Engelstalige tekst van is, inclusief de clausules over wat in nationale wetgeving wordt ingevuld. Je kan over de verschillen die je noemt niets vinden op de website van AP omdat die verschillen er niet zijn. ...
Je zult wel degelijk verschillen vinden, een vertaling is niet per definitie foutloos. Het begint al met het probleem dat elke taal een iets andere uitleg en perceptie met woorden heeft. Die uitleg veranderen is de truc van juristen om wetten anders te krijgen dan waarvoor ze bedoeld waren.

Veel kwalijker is het volgende:
- Kijk even naar artikel 63 in de gdpr.
- waar artikel 1 begint (op ca 40% van het geheel) .

Artikel 63 zegt heel duidelijk dat het de bedoeling is om een uniform standpunt en beleid in de Unie te hebben.
Een UAVG is meteen het introduceren van verschillen. Artikel 87 laat het BSN vrij voor algemeen gebruik. De AP wil het, meelopend met privacy activisme, als gevoelig persoonsgegeven zien dat niet bekend mag zijn.

Die eerste 40% van de tekst in de GDPR is een uitleg hoe een en ander gelezen moet worden. Dat is vrij uniek voor juristen, het komt bij Nederlandse wettteksten niet op die manier voor. Ook daar zie je een probleem ontstaam. De AP kan ook hiermee niet omgaan. Daarmee worden verschillen gemaakt bij de uitvoering en uitleg door de AP en andere toezichthouders welke er niet zouden moeten zijn.
24-04-2021, 11:32 door Anoniem
Door karma4: Artikel 63 zegt heel duidelijk dat het de bedoeling is om een uniform standpunt en beleid in de Unie te hebben.
En dat zegt het zowel in het Engels als in het Nederlands. Mijn punt was dat dat overeenkomt, en dat klopt dus.
Een UAVG is meteen het introduceren van verschillen.
De AVG laat ruimte voor verschillen, ook al is een van de doelen om die verschillen te minimaliseren. Je hebt met Europese wetgeving altijd het probleem dat elk land een ander stelsel van wetten heeft waar de Europese wet in moet worden gepast. De invoeringswet, die de AVG invoert in de nationale wetgeving, vult in wat nog ingevuld moet worden.

Artikel 87 laat het BSN vrij voor algemeen gebruik. De AP wil het, meelopend met privacy activisme, als gevoelig persoonsgegeven zien dat niet bekend mag zijn.
Artikel 87 laat het BSN niet vrij voor algemeen gebruik, het laat lidstaten vrij om nadere voorwaarden aan de verwerking te stellen. Ook dat staat zowel in de Nederlandse als de Engelse versie. Alweer: mijn punt was dat dat overeenkomt, en dat doet het ook. En dit is weer een voorbeeld van een clausule die ruimte voor verschillende nationale wetgeving openlaat die niet, zoals de topicstarter stelt, in de ene versie wel en in de andere niet voorkomt.

Dat een vertaling niet per definitie foutloos is doet er niets aan af dat het dezelfde wet betreft en dat het wel degelijk de bedoeling is dat de wettekst in alle talen hetzelfde zegt. De topicstarter stelt dat de GDPR clausules heeft die nationale invullingen mogelijk maken die de AVG niet heeft. Dat spreek ik tegen, en dat is een ander onderwerp dan jij nu aansnijdt.
24-04-2021, 13:16 door Anoniem
Door Anoniem: De AVG is niets meer of minder dan de Nederlandstalige tekst van dezelfde wet waar de GDPR de Engelstalige tekst van is, inclusief de clausules over wat in nationale wetgeving wordt ingevuld. Je kan over de verschillen die je noemt niets vinden op de website van AP omdat die verschillen er niet zijn.

Als die verschillen er toch zijn, zoals je beweert, kan je dan aangeven in welke artikelen en onderdelen van die artikelen ze staan? Hier een voorbeeld van een clausule met een verwijzingen naar andere wetgeving (en dat is inclusief nationale) die, zoals ik stel, in beide versies staat:
Artikel 6

Rechtmatigheid van de verwerking

1. De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
[...]
c) de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
Article 6

Lawfulness of processing

1. Processing shall be lawful only if and to the extent that at least one of the following applies:
[...]
(c) processing is necessary for compliance with a legal obligation to which the controller is subject;

De volledige wetteksten in beide talen staan hier:
https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=NL
https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN

Dank je wel voor deze heldere aanvulling. (Ik heb dit topic gemaakt). Ik zeg overigens niet dat de aanvullingen per land er zijn, maar de mogelijkheid is er en mijn vraag was daarmee ook of en zoja welke aanvullingen er zijn voor Nederland (nog geen dus volgens u) en evt andere landen (ook nog geen).

Dat matrix idee is voor als er t.z.t. aanvulligen komen.

Goed dan houd ik de lijn aan dat de AVG de Nederlandse vertaling van de GDPR is tot er amendementen zijn.

Dat stuk over dataportabiliteit in de wet zal nog wel wat haken en ogen krijgen bij een praktische uitvoering.

Bedankt voor deze reactie en alle reacties trouwens!
24-04-2021, 13:25 door Anoniem
Door Anoniem: AVG is de Nederlandse implementatie van de GDPR.

GDPR betreft Europese regelgeving.

Dit zeggen meer mensen maar dit schept precies de verwarring die ik wilde aankaarten.

De AVG is zoals de andere reacties zal vermelden een letterlijke vertaling van de GDPR. De Nederlandse wet is dezelfde als de Bulgaarse als de Franse etc. Alleen is er een optie voor elk land om eventueel een toevoeging te doen voor (ik vermoed) strictere nationale privacywetgeving. Maar die addendums zijn er (nog) niet dus is AVG==letterlijk GDPR.

Ik vind de AVG een verademing t.a.v. de oude WBP met name ddoor de Europese samenwerking en de AP die in het leven geroepen is en ool steeds meer toeziet op de handhaving. Ik wacht met smart op de ePrivacy wet oftewel de nieuwe cookiewet, die 3 jaar vertraging heeft opgelopen. De meeste sites zoals Google platformen, FB en populaire blog modules zijn al compliant met deze ePrivact Act die er nog niet is.
24-04-2021, 13:46 door Anoniem
Topicstarter hier nogmaals.

Ik doelde niet op verschillen in wetteksten van de GDPR t.a.v. de AVG omdat de wet (Europees) dezelfde is.

Waar ik wel op doelde zijn 2 dingen:

1. De uitleg van sommige AVG adviseurs en webdesign bedrijven spreken elkaar tegen. Een noemt een verschil tussen de Nederlandse wet en de Europese wet bijv door te stellen dat de AVG een Nederlandse implementatie van de GDPR is en dat wekt verwarring. Terwijl anderen duidelijk stellen dat de AVG gewoon de GDPR is wat gewoon heldere taal is.


2. De verschillen die er nu nog niet zijn maar in de toekomst wel (BSN als speciaal persoonsgegeven is een goed voorbeeld) dat zijn dus die "aanvullende clausules" voor lokale / lidstaat wetgeving (doorgaans om de pan-Europese wet passend te maken met allerlei verschillende nationale wetten).

Ik heb me destijds in 2018-2019 niet bezig kunnen houden met de regelgeving en liep een beetje achter. Vandaar dat ik dit aankaart. Hoewel ik niet elk artikel bestudeerd heb, zijn de grote lijnen mij nu duidelijk. Het gaat als ICTer mij toch om de implementatie zodat ik in de praktijk geen site bouw zonder op de hoogte te zijn van hoe ik met gegevens moet omgaan, hoe ze te categoriseren, beschermen, wanneer datalekken melden inclusief alle verantwoording naar de gebruiker toe incl. afhandeling van eventuele verzoeken op basis van de GDPR. (Dataportabiliteit verzoekjes kan nog tot vraagtekens leiden bij veel bedrijven en denk bijv eens aan webshops als iemand ze aanschrijft... maar dit terzijde)
24-04-2021, 14:06 door Anoniem
De meeste sites zoals Google platformen, FB en populaire blog modules zijn al compliant met deze ePrivact Act die er nog niet is.

Google is niet compliant. Ze dwingen cookies af op een ongeoorloofde wijze. Ik neem geen cookies meer aan van Google of Youtube en ik sloop de hele cookiewall eruit met een filter.
24-04-2021, 15:31 door Anoniem
Door Anoniem: Dank je wel voor deze heldere aanvulling. (Ik heb dit topic gemaakt). Ik zeg overigens niet dat de aanvullingen per land er zijn, maar de mogelijkheid is er en mijn vraag was daarmee ook of en zoja welke aanvullingen er zijn voor Nederland (nog geen dus volgens u) en evt andere landen (ook nog geen).
Ik antwoordde op het beeld dat de AVG en GDPR van elkaar zouden verschillen.

Dat matrix idee is voor als er t.z.t. aanvulligen komen.

Goed dan houd ik de lijn aan dat de AVG de Nederlandse vertaling van de GDPR is tot er amendementen zijn.
Nederland kan helemaal niet op zijn eigen houtje de AVG gaan aanpassen, en andere EU-lidstaten kunnen dat ook niet. Het is namelijk een Europese verordening, een EU-wet, en geen nationale wet. De voorganger van de AVG was een richtlijn. Dát was iets wat landen helemaal in hun eigen wetgeving moesten implementeren - in Nederland gebeurde dat in de Wet Bescherming Persoonsgegevens. De AVG is er mede gekomen omdat dat teveel verschillen tussen lidstaten opleverde. Die lidstaten kunnen nu echt niet op eigen houtje dergelijke verschillen introduceren in hun eigen versie van de AVG. Het is namelijk geen nationale wet, het is een Europese wet die boven nationale wetten gaat.

De AVG en de GDPR gaan dus niet uit elkaar lopen, het is een en hetzelfde en er is niets om uit elkaar te lopen. Als er amendementen komen zijn het wijzigingen op Europees niveau die dan ook weer voor alle lidstaten gelden. Mogelijk gaan we wel zien dat de Britse wetgeving dat soort wijzigingen krijgt, omdat die de EU verlaten hebben en dus zelf kunnen bepalen hoe ze doorgaan ermee.

Wel geeft de AVG op sommige punten expliciet aan dat zaken in andere wetgeving, dus ook in nationale wetgeving, worden geregeld. Wat ik al citeerde is dat een wettelijke verplichting, dus via een andere wet, om bepaalde persoonsgegevens te verwerken meteen een geldige verwerkingsgrondslag voor de AVG is. Nederlandse wetten zeggen bijvoorbeeld dat je bank en je huisarts je BSN moeten vastleggen. Dan mag dat automatisch ook volgens de AVG, zonder dat de AVG zelf de details invult of zelfs maar duidelijk maakt welke andere wet dat dan regelt. De verschillen tussen landen zitten in die ruimte, niet in amendementen en aanvullingen per land op de AVG zelf.

Het gevolg daarvan is wel dat als je zo'n matrix van verschillen wilt opstellen je heel veel meer wetten dan alleen de AVG moet onderzoeken, want dit zijn dingen die in allerlei hoekjes en gaatjes van de nationale wetgevingen van de lidstaten kunnen zitten.
24-04-2021, 16:03 door Anoniem
Door Anoniem: De AVG is zoals de andere reacties zal vermelden een letterlijke vertaling van de GDPR. De Nederlandse wet is dezelfde als de Bulgaarse als de Franse etc. Alleen is er een optie voor elk land om eventueel een toevoeging te doen voor (ik vermoed) strictere nationale privacywetgeving. Maar die addendums zijn er (nog) niet dus is AVG==letterlijk GDPR.
En dat blijft ook zo, want het is gewoon dezelfde wettekst in verschillende talen. Omdat het een Europese verordening is mogen lidstaten er helemaal geen eigen wijzigingen in aanbrengen. De teksten gaan niet uit elkaar lopen.
24-04-2021, 17:04 door karma4
Door Anoniem: De AVG laat ruimte voor verschillen, ook al is een van de doelen om die verschillen te minimaliseren. Je hebt met Europese wetgeving altijd het probleem dat elk land een ander stelsel van wetten heeft waar de Europese wet in moet worden gepast. De invoeringswet, die de AVG invoert in de nationale wetgeving, vult in wat nog ingevuld moet worden.
Je geeft exact het probleem met nationale wetgeving aan. Het uiteindelijke reslultaat is dat er tussen de lidstaten toch verschillen ontstaan. Dat was nu net niet de bedoeling met de GDPR.


Artikel 87 laat het BSN niet vrij voor algemeen gebruik, het laat lidstaten vrij om nadere voorwaarden aan de verwerking te stellen. Ook dat staat zowel in de Nederlandse als de Engelse versie. Alweer: mijn punt was dat dat overeenkomt, en dat doet het ook. ....
Dus niet, het gaat op vele fronten mis bij de houding vanuit de AP.
1/ in Nl dekt de AP dat het en een authenticerend en identificerend gegeven is, Het is bedoeld als primary key om verwisselingen te voorkomen, Het AP houdt zich niet aan die wet (gebruik bsn) nog aan de GDPR.
2/ Waar het voorkomen van een persoonsverwisseling belangrijk is zie je een grote verscheidenheid van meningen en invullingen in alle lidstaten. Dat is niet wat de GDPR beoogde en artikel 87 is geen vrijbrief tegen de GDPR.

Dat een vertaling niet per definitie foutloos is doet er niets aan af dat het dezelfde wet betreft en dat het wel degelijk de bedoeling is dat de wettekst in alle talen hetzelfde zegt. De topicstarter stelt dat de GDPR clausules heeft die nationale invullingen mogelijk maken die de AVG niet heeft. Dat spreek ik tegen, en dat is een ander onderwerp dan jij nu aansnijdt.
Ik had het er over dat de bedoeling van de GDPR door woordspelletjes in de verschillende talen een andere invulling krijgt.. Let op die lange intro in de wettekst om dat tegen te gaan. Woordspelletjes en andere invulling geven is in feite er een andere wet van maken.
Het gevolg dat er een beleving ontstaat zoals bij de topsicstarter dat de GDPR per land anders is, is een duidelijk signaal hoe de GDPR niet zijn beoogde doel van degenen die er aan gewerkt krijgt. Je kent vast wel Eric Arthur Blair.
24-04-2021, 21:19 door Anoniem
Door karma4: Je geeft exact het probleem met nationale wetgeving aan. Het uiteindelijke reslultaat is dat er tussen de lidstaten toch verschillen ontstaan. Dat was nu net niet de bedoeling met de GDPR.
De AVG laat op verschillende punten expliciet andere wetgeving dingen invullen. Dat staat er echt niet voor niets in, daar is bewust voor gekozen. Het is zeker de bedoeling van de AVG om de verschillen die er eerst waren te verkleinene, maar niet om alle verschillen in nationale wetgeving in een klap glad te strijken.

Dus niet, het gaat op vele fronten mis bij de houding vanuit de AP.
Ik had het over de wetteksten in verschillende talen, niet over wat de AP er vervolgens mee doet. En lees artikel 87 nog eens, dat geeft, precies zoals ik schreef, lidstaten de vrijheid om zelf de voorwaarden voor de verwerking van zoiets als een BSN nader te bepalen. Je kan nog zo hard vinden dat er wat anders staat, maar als je dat artikel leest is dat toch echt wat er staat.

Je veronderstelt dat juristen met woordspelletjes allerlei verschillen van betekenis in de verschillende taalversies hebben aangebracht, maar jij slaagt erin om een volkomen andere interpretatie aan artikel 87 te geven dan er zowel in het Nederlands als het Engels feitelijk staat. Ik denk dat jij met zulke interpretatiemissers niet de aangewezen persoon bent om verschillen in de taalversies te beoordelen, als ik eerlijk ben.
25-04-2021, 12:54 door karma4 - Bijgewerkt: 25-04-2021, 12:55
Door Anoniem:
De AVG laat op verschillende punten expliciet andere wetgeving dingen invullen. Dat staat er echt niet voor niets in, daar is bewust voor gekozen. Het is zeker de bedoeling van de AVG om de verschillen die er eerst waren te verkleinen, maar niet om alle verschillen in nationale wetgeving in een klap glad te strijken.
Dat het als directive ofwel verordening is ingezet heeft wel degeljik de bedoeling om het in 1 keer glad te strijken. Anders had het bij een aanwijzing kunnen blijven zoals de voorgaande wetgeving.
Dat de geboden ruimte zo benut is om dat doel te torpederen geeft aan hoe slecht de GDPR nageleefd wordt.


Ik had het over de wetteksten in verschillende talen, niet over wat de AP er vervolgens mee doet. En lees artikel 87 nog eens, dat geeft, precies zoals ik schreef, lidstaten de vrijheid om zelf de voorwaarden voor de verwerking van zoiets als een BSN nader te bepalen. Je kan nog zo hard vinden dat er wat anders staat, maar als je dat artikel leest is dat toch echt wat er staat. ...
Ik geef aan met de inleidende tekst uit de GDPR dat artikel 87 er polderend als compromis in gekomen is. Feitelijk een ondergraving van het doel achter het inzettten van de GDPR als directive is.
Dat men er in geslaagd is dat doel inderdaad te ondergraven is een constatering.

Ik denk dat jij met zulke interpretatiemissers niet de aangewezen persoon bent om verschillen in de taalversies te beoordelen, als ik eerlijk ben.
Ik doe een constatering als feit, gelukkig ben ik niet de enige met die vaststelling.https://www.europarl.europa.eu/RegData/etudes/STUD/2020/658189/IPOL_STU(2020)658189_EN.pdf
https://curia.europa.eu/juris/document/document.jsf?docid=236410&doclang=EN
https://www.bitkom.org/sites/default/files/2021-01/20210128_bitkom-stellungnahme-evaluierung-bdsg.pdf
Voordat je het op de persoon speelt zou ik eerste een literatuuronderzoek doen.
[
25-04-2021, 13:23 door Anoniem
Door karma4: Dat het als directive ofwel verordening is ingezet heeft wel degeljik de bedoeling om het in 1 keer glad te strijken. Anders had het bij een aanwijzing kunnen blijven zoals de voorgaande wetgeving.
Dat de geboden ruimte zo benut is om dat doel te torpederen geeft aan hoe slecht de GDPR nageleefd wordt.
Wees even reëel. Er staat expliciet in de AVG dat een wettelijke verplichting om een verwerking te doen een geldige grondslag voor die verwerking is. Dat had er niet zo gestaan als men op dat punt de andere wetten die in de lidstaten gelden gelijk had willen trekken, dan had men het in detail uit moeten werken.

Ik geef aan met de inleidende tekst uit de GDPR dat artikel 87 er polderend als compromis in gekomen is.
Eerst stel je dat het artikel iets anders zegt dan het feitelijk zegt, en daarop aangesproken maak je er opeens van dat het een compromis is dat niet de bedoeling is.

Mijn punt was dat het in de Engelse en Nederlanse versie van de tekst hetzelfde zegt. En wat het zegt is de wetgeving die nu geldt.

Zoals wel vaker als je geen argumenten hebt smijt je weer eens met links naar dingen die niet eens herkenbaar iets met het onderwerp dat we bespreken te maken hebben. Waar in die documenten staat dat verschillende taalversies van de AVG tot verschillende juridische interpretaties leidt? Of dat dat bewust erin is gestopt? Noem er paginanummers bij en citeer relevante passages, ik ga namelijk echt geen 156 pagina's over de single market rules doorspitten om uit te vinden of daar misschien ergens een passage in te vinden is die iets te maken zou kunnen hebben met wat wij bespreken. Doe dat huiswerk zelf maar even als je er iets mee meent te kunnen zeggen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.