EDPB komt met richtlijn over gerechtvaardigd belang voor dataverwerking
De Europese privacytoezichthouders verenigd in de EDPB hebben een richtlijn aangenomen over het gerechtvaardigd belang bij de verwerking van persoonlijke data. Daarbij is rekening gehouden met de recente uitspraak van het Hof van Justitie van de Europese Unie dat een commercieel belang bij de verkoop van klantgegevens in sommige gevallen een gerechtvaardigd belang kan zijn.
Om de gegevensverwerking op een gerechtvaardigd belang te kunnen baseren moet de dataverwerker aan drie voorwaarden voldoen. Zo mogen alleen belangen die rechtmatig, duidelijk en nauwkeurig omschreven zijn, reëel en bestaand als legitiem worden beschouwd. Ten tweede moet er een noodzaak zijn om persoonsgegevens voor het genoemde belang te verwerken. Daarbij moet ook worden gekeken of er geen minder ingrijpende alternatieven voorhanden zijn. Daarbij moet ook het principe van dataminimalisatie worden meegenomen bij de beoordeling of de gegevensverwerking noodzakelijk is.
Als laatste moet er een afweging tussen de rechten en vrijheden van het individu en de belangen van de dataverwerker worden gemaakt. Dit noemen de toezichthouders een 'balanceeract', waarbij de dataverwerker rekening moet houden met de belangen van het individu, de impact van de gegevensverwerking en de redelijke verwachtingen, alsmede aanvullende waarborgen om de impact op het individu te beperken. De richtlijnen van de EDPD leggen ook uit hoe deze beoordeling in de praktijk moet worden uitgevoerd, waaronder in een aantal specifieke contexten, zoals fraudepreventie, direct marketing en informatiebeveiliging. Het publiek kan tot 20 november op de richtlijn reageren.
Hier gaat het dus al weer fout... er is een richtlijn en heel veel bijvoeglijke naamwoorden die geen duidelijk grenzen trekken.
#1 alleen als de gebruikers het via een OPT-IN zelf aangegeven hebben
#2 er mag niet een druk uitgeoefend worden om mensen een OPT-IN te chanteren door deze minder opties te bieden als mensen die hun gegevens wel te grabbel gooien (zoals hogere contributie, minder opties, meer reclame, niet mee op reizen enz enz..
Hier gaat het dus al weer fout... er is een richtlijn en heel veel bijvoeglijke naamwoorden die geen duidelijk grenzen trekken.
#1 alleen als de gebruikers het via een OPT-IN zelf aangegeven hebben
#2 er mag niet een druk uitgeoefend worden om mensen een OPT-IN te chanteren door deze minder opties te bieden als mensen die hun gegevens wel te grabbel gooien (zoals hogere contributie, minder opties, meer reclame, niet mee op reizen enz enz..
Neem even de moeite om de voorbeelden en uitleg in het pdfje op deze webpagina door te lezen:
https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2024/guidelines-12024-processing-personal-data-based_en
Als ik deze uitleg / voorbeelden (pag 29 e.v.) probeer toe te passen op het KNLTB verhaal, dan lijkt het er toch op dat de KNLTB nog steeds fout zit en gewoon individuele teostemming had moeten vragen.
Specifiek op pag 31 (paragraaf 114):
Most significantly, under the ePrivacy Directive, the sending of unsolicited communications for purposes
of direct marketing by email, SMS, MMS and other kinds of similar applications can only take place with
the prior consent of the individual recipient.137 In this respect it should be noted that the consent to be
obtained should meet the requirements set out in Article 4(11) GDPR.138 Therefore, in this context, the
processing for direct marketing purposes may not be based on Article 6(1)(f) GDPR.
Hier gaat het dus al weer fout... er is een richtlijn en heel veel bijvoeglijke naamwoorden die geen duidelijk grenzen trekken.
#1 alleen als de gebruikers het via een OPT-IN zelf aangegeven hebben
#2 er mag niet een druk uitgeoefend worden om mensen een OPT-IN te chanteren door deze minder opties te bieden als mensen die hun gegevens wel te grabbel gooien (zoals hogere contributie, minder opties, meer reclame, niet mee op reizen enz enz..
Neem even de moeite om de voorbeelden en uitleg in het pdfje op deze webpagina door te lezen:
https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2024/guidelines-12024-processing-personal-data-based_en
Als ik deze uitleg / voorbeelden (pag 29 e.v.) probeer toe te passen op het KNLTB verhaal, dan lijkt het er toch op dat de KNLTB nog steeds fout zit en gewoon individuele teostemming had moeten vragen.
Specifiek op pag 31 (paragraaf 114):
Most significantly, under the ePrivacy Directive, the sending of unsolicited communications for purposes
of direct marketing by email, SMS, MMS and other kinds of similar applications can only take place with
the prior consent of the individual recipient.137 In this respect it should be noted that the consent to be
obtained should meet the requirements set out in Article 4(11) GDPR.138 Therefore, in this context, the
processing for direct marketing purposes may not be based on Article 6(1)(f) GDPR.
Hier gaat het dus al weer fout... er is een richtlijn en heel veel bijvoeglijke naamwoorden die geen duidelijk grenzen trekken.
#1 alleen als de gebruikers het via een OPT-IN zelf aangegeven hebben
#2 er mag niet een druk uitgeoefend worden om mensen een OPT-IN te chanteren door deze minder opties te bieden als mensen die hun gegevens wel te grabbel gooien (zoals hogere contributie, minder opties, meer reclame, niet mee op reizen enz enz..
Neem even de moeite om de voorbeelden en uitleg in het pdfje op deze webpagina door te lezen:
https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2024/guidelines-12024-processing-personal-data-based_en
Als ik deze uitleg / voorbeelden (pag 29 e.v.) probeer toe te passen op het KNLTB verhaal, dan lijkt het er toch op dat de KNLTB nog steeds fout zit en gewoon individuele teostemming had moeten vragen.
Specifiek op pag 31 (paragraaf 114):
Most significantly, under the ePrivacy Directive, the sending of unsolicited communications for purposes
of direct marketing by email, SMS, MMS and other kinds of similar applications can only take place with
the prior consent of the individual recipient.137 In this respect it should be noted that the consent to be
obtained should meet the requirements set out in Article 4(11) GDPR.138 Therefore, in this context, the
processing for direct marketing purposes may not be based on Article 6(1)(f) GDPR.
Ik zie hier alleen niet staan, dat het verkopen van die data niet mag...
Verkopen mag wel, alleen moeten ze wel de regels volgen. Zoals toestemming vooraf vragen.
Maar dat hebben ze niet gedaan. Dat zal wel teveel in hun winstmarge snijden. :-)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
