Laat me raden: Fecesboek?

En daarom kun je de overheid dus niet vertrouwen...
Zoiets gaat natuurlijk helemaal vanzelf en per ongeluk.

Geven ze zichzelf dan nu ook een boete? :-)

Lijkt me sterk dat dat onbedoeld was...

Als ontvanger een klacht indienen tegen de AP?

Nieuwsbrieven in bulk versturen doe je niet zelf, daar heb je een onderaannemer voor. Goede kans dat het daar is misgegaan, en nu staat de AP een beetje voor schut. Kan de beste dus overkomen, naleven van afspraken blijft mensenwerk. Als het maar goed wordt opgepakt en afgehandeld.

Dat geeft veel vertrouwen in de AP. :-/

Dit is een standaardfeature van mailingsoftware, en dat is best een probleem omdat veel bedrijven daarom denken dat mensen volgen zonder toestemming gewoon mag of in ieder geval gedoogd wordt. Echt 90% van de mailings doet dat zonder je toestemming te vragen. Ze zijn ook verplicht om een manier te bieden om tracking uit te zetten, net zoals bij tracking cookies. Niemand biedt dit aan zonder een hele moeizame klantenservice / privacy officer / rechtszaak route.

En tracking pixels zijn nog wel te blokkeren. Maar je wordt ook gevolgd via tracking links (ook een standaardfeature). Soms moet je daar op klikken om iets te kunnen doen. Maar je kan dus niet je toestemming intrekken of de originele (meestal gewoon publiek toegankelijke) link verkrijgen.

Het zou ze goed staan om die verdere details wel te geven. Ik neem aan dat ze niet willens en wetens een tracking pixel hebben toegevoegd, maar hoe is die dan tot stand gekomen? Besteden ze die e-mails uit aan een externe partij die dat deed? Was het een instellingsfout in software die ze op een eigen server draaien? Van wie was die tracking pixel zelf, van wiens wiens server werd die geladen? Betekent het vernietigen van de gegevens door AP dat niemand ze meer heeft of heeft alleen AP zelf er geen beschikking meer over maar heeft een derde partij dat mogelijk nog wel?

Een hoop zure reacties hier... Bij vergelijkbare incidenten zie ik eigenlijk nooit dit niveau van transparantie. Na een foutje betrokkenen informeren en de verzamelde data verwijderen gebeurt zelden. De meeste organisaties die ik zie zetten stilletjes de pixel uit en laten het erbij. Ik heb vaker gehoord dat organisaties een issue hebben gehad met de tracking pixel van Spotler, maar ik weet niet hoe dat precies tot verbetering heeft gezorgd. Het is dus goed mogelijk dat de AP tegen een breder issue bij de leverancier is aangelopen en dat dit incident bij de leverancier tot een verbetering heeft geleid die ook voor andere klanten voordelig is.

Ik vraag me af in hoeverre de AVG wet hier iets over te zeggen heeft.

Met deze actie hebben ze technisch geen persoonsgegevens anders dan de gegevens die ze al hadden.
En alleen of een bericht is gelezen of niet.

Valt "seen" als persoonsgegevens?

Volgens mij is het email adres een persoonsgegevens, als wel het ip van degene die getracked is.
Maar het lijkt me onwaarschijnlijk dat dit ook maar enige impact heeft op degene achter die data.
Netjes dat ze dit melden, veel bedrijven zullen dit afwegen, tot de conclusie komen dat het niet spannend is om vervolgens data te verwijderen en niets melden.

Ja, dit valt primair onder artikel 12.7a Tw, maar ook onder de AVG. Nee, het woord 'seen' is zonder enige context geen persoonsgegeven. Maar de registratie wanneer ik een specifieke nieuwsbrief van de AP heb geopend is wel een persoonsgegeven. Het is mij niet duidelijk waar het mechanisme vandaan komt dat het dubbel verwerken van dezelfde gegevens de gegevens opeens niet meer een persoonsgegeven maakt, maar dat is volgens mij ook onzin én hier niet van toepassing omdat elke keer dat je de mail opent er nieuwe informatie wordt verzameld.

Ze regelen het vast via een ander bedrijf en als je dan niet oplet gaat zo pixel gauw ook mee.
AP heeft zeer weinig te winnen aan tracking gezien ze constant onder vergrootglas liggen als kuch privacy beschermers. Dus in dit geval geef ik ze zelf de benefit of the doubt. Het is hoe dan ook incompetentie ten top en aangestelde dpo, fg mag wel even achter de oren krabbelen hoe dit er door geglipt is bij audits.

"Als het maar goed wordt opgepakt": het lekken van data gebeurt hier door, langs, en aan (een keten van) derde partijen. "Onlekken" kan nou eenmaal niet; dus "als het maar goed wordt opgepakt en afgehandeld" is een wassen neus. Als ik iemands huisdier doodrij en "het daarna goed oppak en afhandel" is het dier nog steeds even dood.

Wat AVG betreft: de data wordt verzameld door, blootgesteld aan een keten van derde partijen (analytics hier en daar; fecesboek kan natuurlijk, maar ook als het een willekeurige andere derde partij als Mailchimp (reputatie: likmevestje) oid is, is het nog steeds persoonsgegevens lekken aan derden. Nou zullen AVG-ontwijkers nog wel aankomen met papieren maatregelen als "verwerkersovereenkomst" - die dan, als je even kijkt, ofwel niet nagekomen is ofwel simpelweg overreikend en daarmee ongeldig.

Dit geeft juist wel vertrouwen omdat ze dit zelf naar buiten brengen en maatregelen treffen.

Hangt er denk ik vooral vanaf of ze kunnen zien wie de nieuwsbrief geopend heeft.
Als ze alleen een getal ontvangen van het aantal nieuwsbrieven dat geopend is is dat geen informatie die naar een persoon of bedrijf te herleiden is.

Soms helpt het, als je je afvraagt wat een wet ergens over zegt, om gewoon eens zelf te kijken wat er in die wet staat. De AVG vind je hier:
https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679&from=NL

Artikel 4, dat zijn de definities, begint met:
Wat jij met "seen" aanduidt is in veel gevallen informatie over een geïdentificeerde of identificeerbare (via bijvoorbeeld het IP-adres) natuurlijke persoon, en dus valt het onder de de definitie voor persoonsgegevens die de AVG hanteert.

Het is dus niet iets van: deze persoon kennen we al dus zijn het geen extra persoonsgegevens, nee: alle informatie die te herleiden is tot een persoon is een persoonsgegeven, dus ook iets dat aangeeft of je wel of niet een nieuwsbrief hebt gelezen.

Alle informatie over iemand kan namelijk interessant zijn, bijvoorbeeld voor marketingdoeleinden of voor oplichters die het kunnen gebruiken om geloofwaardig over te komen. Gezien het gemak waarmee digitale gegevens kunnen lekken en vervolgens verhandeld kunnen worden is het voor elke organisatie, ook AP zelf, nodig om niets vast te leggen dat niet echt nodig is en dat niet goed beschermd is. En bij het bepalen van het beveiligingsniveau voor een dataset is geen rekening gehouden met gegevens die er niet in thuishoren maar er per abuis in belanden, dus dat kan heel makkelijk niet volstaan.

Ik denk dat het in dit geval daadwerkelijk onbedoeld was. Het is gewoon een feature die in dergelijke software aanwezig is, waarbij je heel gemakkelijk de vergissing kan begaan om dat niet uit te zetten.
Gezien dat ze uberhaupt beleid hebben en hun reactie lijkt mij dit heel goed verklaarbaar door middel van Hanlon's Razor.

Zou wel moeten. een toezichthouder die opzichtig faalt in het goed voorbeeld.

Welke winst voor de naleving van de AVG valt er te behalen door het beboeten van een verwerkingsverantwoordelijke di zichzelf al netjes corrigeerd? En specifieker: welk signaal geeft de AP naar verwerkingsverantwoordelijken als de AP boetes gaat opleggen aan verwerkingsverantwoordelijken die zich ook aan transparantieverplichtingen houden wanneer er fouten zijn gemaakt en rechtgezet? Gaat men dan minder fouten maken of vooral minder transparant worden?

Och, je moeteens kijken hoeveel nieuwsbrieven een trackingpixel meesturen.
En dan hebben we het nog niet gehad over de zonder noodzaak gecodeerde links in die nieuwsbrieven.
En altijd zit aan de andere kant een geborneerde 'communicatiedeskundige' die geen benul heeft of wil hebben.
Gelukkig stapt langzamerhand de gehele Nederlandse overheid over op Microsoft 365 en hangt alles lekker in de cloud.

'God is in heaven
the sun is in the sky
all is known
to the FBI'.