Heel simpel. Als ik een onderzoek invul van de NS is de NS verantwoordelijk voor mijn verzamelde data.. Dat zij hun verantwoordelijkheid verder uitbesteden aan een 3de partij heb ik als klant geen boodschap aan.
Het zelfde geld voor de aanschaf van een product in een winkel. Ik heb een garantie overeenkomst met de winkel.niet met de fabrikant van het product.
Als het product stuk gaat ga ik terug naar de winkel niet naar de fabrikant. Zo zie ik dit ook met dit soort onderzoeken waarbij data uitgewisseld wordt tussen klant en onderzoeker (zoals een NS, Ziggo, of andere partij die mij een enquete laat invullen)
https://www.security.nl/glitch/javascript

Beste oplossing voor antwoorden op dit soort vragen: opheffen van de AP en een nieuwe opzetten.
De AP faalt vreselijk in het begrijpen van privacy en ketenafhankelijkheden. Zij hadden dit moeten bedenken.

Voor telco's is de uitleg eenvoudig gemaakt. Die technologie valt buiten ketenverantwoordelijkheden.
Dat zou blauw op dezelfde wijze ingeregeld moeten hebben en niet onversleuteld buiten de deur verwerken.

De partij die oorspronkelijke opdrachtgever is, is en blijft eindverantwoordelijk & primair aanspreekpunt in de keten (voor klanten en toezichthouders); de NS dus. Hoe de keten daarachter eruit ziet en hoe de verantwoordelijkheden onderin afgesproken zijn, mogen ze zelf intern/en public juridisch uitvechten.

Ik werk als telefonische enquêteur voor een van de marktonderzoeksbureaus dat niet alleen door Nederlandse bedrijven, maar ook door wereldwijd opererende bedrijven alsmede de (Europese) overheid wordt ingehuurd. Ik doe dit werk al jaren met veel plezier, vooral vóór de bedrijfsovername door mijn huidige baas, die vanaf de bedrijfsovername NEBU heeft geïntroduceerd. Mijn collega's die binnen en buiten de Europese Unie (meestal verplicht thuis, zonder thuiswerkvergoeding!) moeten werken, moeten NEBU gebruiken. Dat is wel zo handig voor onze huidige baas: wéé o wéé, als wij langer dan 7 minuten naar de wc moeten binnen een halve dag, want dát registreert het tijdregistratie- systeem waarom NEBU geprezen wordt, maar al te goed. Dat verplichtte thuiswerken zorgt er wel voor, dat wij ons niet kunnen organiseren in vakbonden, want mijn collega's en ik kúnnen elkaar niet kennen, laat staan: met elkaar uitwisselen. Wéé o wee, als wij ook maar een kleine fout maken (zoals te weinig interviews binnen een tijdmarge van anderhalf uur of minder op een project, waar wij voor het eerst zitten). Ik vraag dus ook vanuit deze invalshoek aan het kabinet, om alleen de slaafse arbeidsomstandigheden vanuit NEBU in kaart te brengen.

Wat jij nu aankaart gaat niet over privacywetgeving maar over arbeidsrecht. Wat opmerkingen waar je mogelijk wat aan hebt:

• Je hoeft je collega's niet te kennen om lid te worden van een vakbond, bijvoorbeeld FNV of CNV. Als je lid bent kan je aan de vakbond voorleggen dat je werk zo is georganiseerd dat je niet weet wie je collega's zijn en dat je daardoor zwak staat. Wie weet kan je zo iets in beweging zetten.
• Elk Nederlands bedrijf waar 50 of meer mensen werken (de wet spreekt niet over vaste werknemers maar over het aantal personen (dus niet FTE's) dat er in de regel werkzaam is) is verplicht een ondernemingsraad te hebben. Iedereen die 3 maanden of langer werkzaam is geweest in de onderneming mag zich daarvoor verkiesbaar stellen en mag stemmen. Ik denk dat dat het lastig maakt om voor werknemers geheim te houden wie de andere werknemers zijn. Ik weet niet hoeveel mensen er voor jouw werkgever werken, maar wie weet overtreedt die de Wet op de ondernemingsraden.
• Via https://www.rijksoverheid.nl/contact/informatie-rijksoverheid/e-mail-sturen kan je contact opnemen met de Rijksoverheid. Je bent natuurlijk maar een van de zeer velen die dat doen (als je het doet), maar ik heb ooit een keer meegemaakt dat een opmerking die ik maakte over beleid dat toen ontwikkeld werd resulteerde in een razend enthousiaste reactie van een ambtenaar, en een maand of twee later maakte ik mee dat in een interview de minister die erover ging zijn beleid in termen van mijn idee uitlegde. Je kan dus per ongeluk raak schieten met een goede opmerking. En ja, de politiek blijkt dan ook wel eens wél te luisteren naar wat burgers inbrengen.
• Je kan ook je situatie onder de aandacht brengen van een politieke partij. Ze hebben contactformulieren op hun websites staan. Dat heb ik meerdere keren gedaan, bij meerdere partijen, en de reacties varieerden van teleurstellend afgepoeierd worden tot uitgebreid inhoudelijk antwoord krijgen van van iemand die toen ik zijn naam opzocht lid van de Tweede kamer bleek te zijn.

Ik zou als ik jou was in ieder geval lid worden van een vakbond en aan hun voorleggen wat de situatie is.

Dan ben je weer tientallen miljoenen lichter alleen omdat er een nieuwe AP moet komen.
Dat zal de belastingbetaler niet leuk vinden denk ik.

Want het AP is de wetgever.... ?????
Zat die niet in Den Haag, ergens in het Torentje en de Tweede Kamer?
Dus als de huidige wetgeving faalt, dan zijn die lieden verantwoordelijk.
Het AP voert alleen maar uit..


Dat gezegd hebbende:
De partij die de data als eerste deelt/uitbesteed is eindverantwoordelijk voor alles wat er met die data mis gaat verderop in de keten. De bestaande wetgeving is daar nu al duidelijk in.
Dat die partij problemen heeft met de verwerkers verderop in de keten, is zijn probleem.

Dit is een schoolvoorbeeld wat er allemaal fout kan gaat als je uitbesteed.
Zelfs als je "goede" contracten hebt afgesloten.
Dit voelt een beetje aan als het DigiNotar debacle. Die had ook alles goed geregeld. (op papier).

Hopenlijk leren bedrijven hier van, en snappen ze beter welke risico's ze lopen met uitbesteden.

Ok maar mijn vraag is dan, bij een boete gaat geld naar … of naar het slachtoffer?

Het is een Canadees bedrijf he? Zou men nu dat CETA verdrag kunnen inzetten om die lui er bij te slepen?

hmmm ik heb enigsinds begrip voor deze logica, echter, ik betwijfel of deze logica consistent doorgezet gaat worden bij een andere partij die machtiger is. Denk bijvoorbeeld eens aan een bedrijf dat MicroSoft Software gebruikt en door een foute patch of gebrekkige update wordt dat bedrijf toch gehackt en is er een data lek. Gaat deze politicus dan ook op de barricade met deze logica en stellingen en beargumenteren dat MicroSoft een stuk van de blaam betreft danwel dat bedrijven niet risico loos met MicroSoft in zee kunnen gaan? Ik geloof namelijk niet dat MS mee zal werken als het er even echt op aan komt een keer.

Als opvolg vraag dan ook; wat nu als mensen concluderen nu dat de consument niet goed beschermd is met al die 'alles in de cloud' toko's ? Denken we echt nu dat Amazone / MS / Google coorperatief zullen zijn als er eens echt iets mis gaat met een afnemer en waarbij dus deels de blaam ook richting de BigTech gaat?

Kijk al dit soort vlugge hippe moderne opzetjes zijn leuk zolang dingen werken. Maar bij problemen, dan komt het op de lettertjes van de wet aan en gaan we weer blame shiften en ontwijkgedrag zien en afschuiven van verantwoordelijkheden krijgen en allemaal steeds ten koste van die consumenten.

Niets nieuws onder de zon. En sommige mensen willen meer van dit soort wilde weste taferelen in de maatschappij waarbij winsten voo rbedrijf zijn en risicos en kosten voor maatschappij / overheid.

Boetes gaan naar de staat (artikel 14 lid 6 UAVG)

Als je met je puntjes AP bedoelt: nee, het geld gaat naar geen van beide, het gaat naar de staatskas, en de rijksbegroting verdeelt jaarlijks geld uit die grote hoop, en daar krijgt AP weer een stukje van. Boetes zijn geen verdienmodel voor de instantie die ze uitdeelt. Gelukkig maar.

Boetes zijn ook geen schadevergoeding. Schade vergoeden is de kosten neerleggen bij de veroorzaker van die kosten. Dat is geen straf, dat is aansprakelijkheid. Als je daar de boete voor zou inzetten zou de boete ophouden een straf te zijn.

Daarom moet de overheid ook niet in ze gaan met bedrijven die geen aansprakelijk accepteren. Zie microsoft EULA

Blaauw is geen overheidsorganisatie :-)

Helemaal eens, maar je kúnt aansprakelijkheid als het gaat om verwerking van persoonsgegevens niet uitbesteden. Je blijft als organisatie altijd verantwoordelijk. Ze besteden verwerking van data uit, niet de aansprakelijkheid voor fouten of lekken.

Exact. Diep triest hoe vooralsnog de NS hiermee om springt. Eén flut mailtje (vanaf een noreplyadres) zonder maar ook een beetje verantwoordelijk nemen en dat was het.

"Ik zou als ik jou was in ieder geval lid worden van een vakbond en aan hun voorleggen wat de situatie is."

Dank je voor de suggesties!! En dank voor het meedenken! Ik (auteur van de bedrijdrage boven, telefonisch enquêteur) ben inderdaad al jaren lid van één van de vakbonden die je noemt, en er werd altijd heel goed meegedacht met deze situatie, zowel wat de bedrijfsovername betreft, als ook de situatie daarna. Ik heb van beide vakbonden waardevolle adviezen gekregen. Echter, om het kort samen te vatten: uiteindelijk verliep alles juridisch in een dood spoor, en vakbondbestuurders waren zelf ook geschrokken van de situatie.

Mijn punt is (en daarom heb ik dit in de context van cybersecurity geplaatst): wij telefonische interviewers gebruiken nog steeds Nebu, en mijn vragen hierover, die ik naar aanleiding van de situatie van dit datalek aan mijn baas stelde, werden niet beantwoord. Alle informatie die ik heb, ontneem ik ook maar uit de media.

En, de hamvraag voor nu: hoe cybersecurity- veilig is het verplichtte thuiswerken al dan niet?

Met wat er nu is zijn we veel geld kwijt en ze brengen niets proportioneels. Verbieden goede identificatie autenticattie en geven boete als de gevolgen van hun bekeid naar boven komen.

De gdpr is een eu directive dasr heeft de haag niets direct in te brengen.
De uitleg van die wet is waar het mis gaat. De AP miat doel en bedoeling en voert een eigen agenda. Je kent big brother?

De uitbestedende partijen zijn ns en vele anderen die een onderzoeksbureau (kosten argument) inschakelen. Zo'n onderzoeksbureau gaat met het argument laagste kosten op zoek naar in te zetten techniek.

De AP had gewoon minimale controle eisen kunnen opstellen met de GDPR in gedachte. Zoals je keuringseisen voor auto's hebt.
In plaats daarvan zijn ze voor onduidelijkheid en onvoorspelbaarheid vegaan met daarbij kweken van angst.

Dank voor je antwoord, eigenlijk ook logisch.

'vraagt het CDA-Kamerlid verder' en dan in mijn vraag 'Gaat deze politicus dan ook ...'

het gaat dus niet om Blaauw (perse).

hoewel ik het hartig hier mee eens ben, zou je een dit moeten lezen:

https://www.computable.nl/artikel/nieuws/security/7492902/250449/aleid-wolfsen-ap-verhaal-schade-na-datalek.html

Lees vooral de opinie van die Floor Terra.

Ikzelf vindt het de wereld op zijn kop zetten en ben het dus niet eens met persoon Floor.