ICTRecht juridisch adviesbureau https://ictrecht.nl Deskundig, praktisch en concreet juridisch advies tegen een passend tarief. Thu, 22 Aug 2019 06:56:02 +0000 nl hourly 1 The Future is Legal: hét congres over de toekomst van technologie en recht https://ictrecht.nl/2019/08/21/the-future-is-legal-het-congres-over-de-toekomst-van-technologie-en-recht/ https://ictrecht.nl/2019/08/21/the-future-is-legal-het-congres-over-de-toekomst-van-technologie-en-recht/#respond Wed, 21 Aug 2019 10:00:38 +0000 https://ictrecht.nl/?p=115096 Dit jaar vieren wij ons 15-jarig jubileum. ICTRecht, ontstaan op een zolderkamertje, groeide in 15 jaar uit tot allround adviesbureau op het gebied van ICT, privacy en recht. Met een team van inmiddels bijna 70 specialisten voorzien we organisaties van praktisch advies. Van startup tot multinational en van overheidsinstantie tot zorginstelling. Om ons 15-jarig jubileum […]

Het bericht The Future is Legal: hét congres over de toekomst van technologie en recht verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
Dit jaar vieren wij ons 15-jarig jubileum. ICTRecht, ontstaan op een zolderkamertje, groeide in 15 jaar uit tot allround adviesbureau op het gebied van ICT, privacy en recht. Met een team van inmiddels bijna 70 specialisten voorzien we organisaties van praktisch advies. Van startup tot multinational en van overheidsinstantie tot zorginstelling. Om ons 15-jarig jubileum te vieren, roepen we dit jaar uit tot het jaar van de ‘Toekomst van het ICT-recht’.

ICTRecht staat met verschillende evenementen en acties stil bij de toekomst en ontwikkeling van het internet en ICT-recht. Met als hoogtepunt de organisatie van een speciaal ICTRecht-congres op 15 november “The Future is Legal“. Hét congres over de toekomst van technologie en recht. 15 unieke lezingen over AI, fake news, slimme auto’s, regulering en meer!

Het bericht The Future is Legal: hét congres over de toekomst van technologie en recht verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
https://ictrecht.nl/2019/08/21/the-future-is-legal-het-congres-over-de-toekomst-van-technologie-en-recht/feed/ 0
AVG implementeren? Vergeet de Ondernemingsraad niet! https://ictrecht.nl/2019/08/21/avg-implementeren-vergeet-de-ondernemingsraad-niet/ https://ictrecht.nl/2019/08/21/avg-implementeren-vergeet-de-ondernemingsraad-niet/#respond Wed, 21 Aug 2019 09:48:21 +0000 https://ictrecht.nl/?p=115146 Organisaties zijn de afgelopen tijd druk bezig geweest met het implementeren van de regels uit de Algemene Verordening Gegevensbescherming (AVG). Dit vergt onder meer – bij de ene organisatie wat meer dan bij de andere – het opstellen van documenten, het uitrollen van nieuw privacybeleid, en een andere manier van werken. Wat bij de implementatie […]

Het bericht AVG implementeren? Vergeet de Ondernemingsraad niet! verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
Organisaties zijn de afgelopen tijd druk bezig geweest met het implementeren van de regels uit de Algemene Verordening Gegevensbescherming (AVG). Dit vergt onder meer – bij de ene organisatie wat meer dan bij de andere – het opstellen van documenten, het uitrollen van nieuw privacybeleid, en een andere manier van werken. Wat bij de implementatie van de AVG nogal eens over het hoofd wordt gezien is dat de Ondernemingsraad (OR) in bepaalde gevallen om instemming dient te worden gevraagd. Maar wanneer dan precies?

Wanneer is een Ondernemingsraad verplicht?

Een OR is volgens de wet verplicht voor ondernemingen waarin ten minste 50 werknemers werkzaam zijn op basis van een arbeidsovereenkomst of publieke aanstelling. Daarbij maakt het niet uit of sprake is van een fulltimer, parttimer of oproepkracht. Ook uitzendkrachten tellen mee als zij minimaal twee jaar bij de onderneming hebben gewerkt. Zzp’ers daarentegen tellen niet mee, tenzij de onderneming en de OR hebben afgesproken dat deze groep wel meetelt. Heeft een werkgever meerdere ondernemingen? Dan moet elke onderneming met minimaal 50 werknemers een OR hebben. Heeft de werkgever meer ondernemingen met elk minder dan 50 werknemers? Dan kan een gemeenschappelijke OR worden ingesteld.

Regeling over het gebruik van persoonsgegevens en personeelsvolgsystemen

Op grond van de Wet op de ondernemingsraden (WOR) dient de OR om instemming te worden gevraagd bij elk voorgenomenbesluittot het vaststellen, wijzigen of intrekken van regelingen omtrent het gebruiken van persoonsgegevens van werknemers. Ook dient om instemming te worden gevraagd indien het gaat om een regeling over het gebruik van personeelsvolgsystemen. De wetgever vond betrokkenheid van werknemers, openheid over procedures en de omgang met gegevens dusdanig belangrijk, dat de OR daarvoor instemming dient te geven.

Maar wat is precies een ‘regeling’? Onder een ‘regeling’ wordt verstaan een besluit dat een algemene strekking heeft. Het moet dus gaan om een besluit dat is gericht op alle of een groep werknemers. Het instemmingsrecht geldt niet ten aanzien van besluiten die gericht zijn op een individu. Denk bijvoorbeeld aan het gebruiken van camerabeelden voor een individuele ontslagzaak en daarmee afwijken van beleid ten aanzien van het inzetten van camera’s.

Om te kunnen voldoen aan de regels van de AVG is een goed privacybeleid haast onmisbaar. Het is dan ook aan te bevelen om privacybeleid te maken dat naleving van de AVG op hoofdlijnen beschrijft, gevolgd door specifieke aanvullingen op verschillende gebieden. Dit privacybeleid kan ook raken aan de persoonsgegevens van werknemers. Denk bijvoorbeeld aan beleid over welke persoonsgegevens van werknemers worden opgevraagd, voor welk doel dit gebeurt, hoe lang deze persoonsgegevens worden bewaard en op welke manier ze worden beveiligd. Meer concreet kun je denken aan privacybeleid ten aanzien van het registreren van ziekte, de omgang met personeelsdossiers en het administreren van het salaris. Dergelijk privacybeleid kwalificeert als ‘regeling’ over het gebruik van persoonsgegevens van werknemers, waarvoor dus instemming van de OR nodig is.Instemming van de OR is ook nodig voor regelingen voor het gebruik van personeelsvolgsystemen. Een personeelsvolgsysteem is elk geautomatiseerd systeem dat geschikt is om personeel te volgen. Het maakt daarbij niet uit of het ook de bedoeling is van het systeem om het personeel daadwerkelijk te volgen. Je kunt denken aan beleid op het gebied van cameratoezicht, gps-trackers, monitoring van ICT- en internetgebruik en systemen die aanwezigheid, tijd en toegang registreren.

Betrek de OR op tijd

Het instemmingsrecht van de OR ziet op ‘voorgenomen’ regelingen. Het is daarom belangrijk om de OR op tijd te betrekken bij het besluitvormingsproces en niet pas op het moment dat het besluit al in kannen en kruiken is. De OR dient schriftelijk op de hoogte te worden gesteld van het te nemen besluit. Daarbij dient een overzicht te worden verstrekt van de beweegredenen voor het besluit en de gevolgen die het besluit naar verwachting zal hebben voor de werknemers. Er dient vervolgens minimaal éénmaal een overleg te zijn gepleegd met de OR over het voorgenomen besluit. Na het overleg deelt de OR zo spoedig mogelijk, schriftelijk en met redenen omkleed, zijn beslissing mee. Na het besluit van de OR dient zo spoedig mogelijk schriftelijk aan de OR te worden medegedeeld welk besluit is genomen en met ingang van welke datum het besluit wordt uitgevoerd. Als de OR wordt overgeslagen terwijl instemming verplicht is, dan kan de OR de nietigheid van het besluit inroepen, waardoor het besluit ongeldig is.

Het bericht AVG implementeren? Vergeet de Ondernemingsraad niet! verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
https://ictrecht.nl/2019/08/21/avg-implementeren-vergeet-de-ondernemingsraad-niet/feed/ 0
Manfield op de vingers getikt voor gebruik vingerafdruk https://ictrecht.nl/2019/08/16/manfield-op-de-vingers-getikt-voor-gebruik-vingerafdruk/ https://ictrecht.nl/2019/08/16/manfield-op-de-vingers-getikt-voor-gebruik-vingerafdruk/#respond Fri, 16 Aug 2019 09:59:59 +0000 https://ictrecht.nl/?p=115136 Op 12 augustus 2019 heeft de Rechtbank Amsterdam uitspraak gedaan in een zaak waarin een werknemer van Manfield weigerde om haar vingerafdruk af te staan. Onlangs heeft Manfield een ‘vingerscan-autorisatiesysteem’ voor toegang tot de kassa’s ingevoerd bij al haar filialen. Een werknemer vond dit te ver gaan, en schoof Manfield in de schoenen dat daarmee […]

Het bericht Manfield op de vingers getikt voor gebruik vingerafdruk verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
Op 12 augustus 2019 heeft de Rechtbank Amsterdam uitspraak gedaan in een zaak waarin een werknemer van Manfield weigerde om haar vingerafdruk af te staan. Onlangs heeft Manfield een ‘vingerscan-autorisatiesysteem’ voor toegang tot de kassa’s ingevoerd bij al haar filialen. Een werknemer vond dit te ver gaan, en schoof Manfield in de schoenen dat daarmee te veel inbreuk wordt gemaakt op de privacy. Weigert de werknemer terecht?

 Een vingerafdruk is een bijzonder persoonsgegeven

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) is het begrip ‘biometrisch gegeven’ bestempeld als bijzonder persoonsgegeven. Biometrische gegevens zijn persoonsgegevens die zijn verkregen uit iemands fysieke, fysiologische of gedragsgerelateerde kenmerken die eenduidige identificatie mogelijk maken, en ook daadwerkelijk worden gebruikt voor de identificatie van een persoon. Is een vingerafdruk ook een biometrisch persoonsgegeven? De kantonrechter beantwoordde deze vraag bevestigend. Dat is niet verwonderlijk, omdat een vingerafdruk in de AVG expliciet is genoemd als voorbeeld van een biometrisch gegeven. Maar denk bijvoorbeeld ook aan gezichtsherkenning of irisscans.

Verbod op het verwerken van bijzondere persoonsgegevens

Met bijzondere persoonsgegevens, en dus ook met een vingerafdruk, dien je extra voorzichtig om te gaan. Waarom? Bijzondere persoonsgegevens zijn gevoelig. Dit zit ‘m onder andere in de mogelijke gevolgen als er iets misgaat. Zo ligt identiteitsfraude op de loer indien een vingerafdruk in verkeerde handen komt. De wetgever heeft daarom een apart wettelijk regime opgetuigd voor het verwerken van bijzondere persoonsgegevens: je mag deze niet verwerken, tenzij er sprake is van een uitzondering.

Eén van die uitzonderingen is als je daar toestemming voor hebt verkregen. Toestemming biedt in dit geval echter weinig soelaas, omdat toestemming in vrijheid dient te worden gegeven. Van vrijheid in een arbeidsrelatie is door de gezagsverhouding tussen werkgever en werknemer maar zelden sprake. Zijn er nog andere mogelijkheden?

Noodzakelijk voor authenticatie- of beveiligingsdoeleinden

De AVG biedt ruimte aan lidstaten om uitvoering te geven aan bepaalde artikelen. Deze ruimte heeft Nederland ingevuld middels de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG). In artikel 29 van de UAVG staat dat het verbod op het verwerken van biometrische gegevens niet van toepassing is wanneer de verwerking noodzakelijk is voor authenticatie- of beveiligingsdoeleinden. Manfield beroept zich op deze uitzondering.

Om gebruik te kunnen maken van deze uitzondering dient er een afweging plaats te vinden waarbij het gebruik van identificatie met biometrische gegevens noodzakelijk is voor authenticatie- of beveiligingsdoeleinden. In het geval van Manfield dient de toegang tot het kassasysteem zodanig – zwaar – beveiligd te zijn dat dit met biometrie dient plaats te vinden. In de memorie van toelichting bij de UAVG wordt als voorbeeld het beveiligen van een kerncentrale genoemd.

Bij die afweging loopt het spaak voor Manfield. Manfield stond stevig in haar schoenen en stelde dat er een noodzaak was om gebruik te maken van een ‘vingerscan-autorisatiesysteem’. Volgens Manfield bestaat deze noodzaak uit het beveiligen van gevoelige informatie in het kassasysteem zoals financiële informatie en gegevens van werknemers en klanten. Ook zegt Manfield een bedrijfsbelang te hebben, namelijk het tegengaan van fraude van werknemers en daarmee het besparen van kosten. De kantonrechter is echter van mening dat het gebruiken van een ‘vingerscan-autorisatiesysteem’ niet noodzakelijk is. Alternatieven die minder inbreuk maken op de privacy van werknemers, zoals een toegangspas, werknemerspas en/of cijfercodes, al dan niet in combinatie met elkaar, zijn onvoldoende onderzocht. Het had op de weg gelegen van Manfield om te onderbouwen, bijvoorbeeld aan de hand van een DPIA, waarom is gekozen voor het ‘vingerscan-autorisatiesysteem’.

Zorg dat je je privacy zaakjes op orde hebt

De kantonrechter geeft Manfield een tik op de vingers. Het gebruik van een ‘vingerscan-autorisatiesysteem’ is in de gegeven omstandigheden in strijd met de AVG. De uitspraak is niet heel verrassend te noemen, maar laat wel zien dat het belangrijk is om als organisatie goed na te denken over het verwerken van persoonsgegevens, temeer als het gaat om bijzondere persoonsgegevens.

Als organisatie dien je een rechtsgeldige grondslag te hebben voor het verwerken van persoonsgegevens en goed na te denken of een verwerking door de beugel kan voordat deze daadwerkelijk plaatsvindt. Het uitvoeren van een DPIA is een manier om dit te doen, en in bepaalde gevallen zelfs verplicht. Als organisatie dien je te kunnen onderbouwen waarom voor een bepaalde verwerking is gekozen. Een dergelijke onderbouwing ontbrak bij Manfield.

Indien je persoonsgegevens verwerkt in strijd met de AVG loop je niet alleen het risico op boetes van de Autoriteit Persoonsgegevens, maar is ook het moeten betalen van een schadevergoedingen aan gedupeerden niet uit te sluiten. Zorg er daarom voor dat je je privacy zaakjes op orde hebt.

Het bericht Manfield op de vingers getikt voor gebruik vingerafdruk verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
https://ictrecht.nl/2019/08/16/manfield-op-de-vingers-getikt-voor-gebruik-vingerafdruk/feed/ 0
BTW en dropshipping https://ictrecht.nl/2019/08/15/btw-en-dropshipping/ https://ictrecht.nl/2019/08/15/btw-en-dropshipping/#comments Thu, 15 Aug 2019 13:32:34 +0000 https://ictrecht.nl/?p=115125 Dropshipping is een driehoeksverhouding tussen een webshop, consument en (dropshipping)leverancier. De webshop biedt op zijn website producten aan die hij niet zelf op voorraad heeft. Wanneer een consument een dergelijk product bestelt, dan zet de webshop deze bestelling door naar de leverancier. De leverancier verzendt vervolgens het product rechtstreeks naar de consument. Eerder schreven wij […]

Het bericht BTW en dropshipping verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
Dropshipping is een driehoeksverhouding tussen een webshop, consument en (dropshipping)leverancier. De webshop biedt op zijn website producten aan die hij niet zelf op voorraad heeft. Wanneer een consument een dergelijk product bestelt, dan zet de webshop deze bestelling door naar de leverancier. De leverancier verzendt vervolgens het product rechtstreeks naar de consument. Eerder schreven wij een blog over de meest voorkomende valkuilen bij dropshipping. Deze bijdrage gaat in op de implicaties van btw voor Nederlandse webshops die gebruikmaken van dropshipping om Nederlandse consumenten te bedienen. Hierbij wordt gekeken naar drie verschillende levering situaties: vanuit Nederland, een EU-lidstaat en een niet-EU-lidstaat.

Btw-aangifte

Btw is een omzetbelasting die de overheid heft op de verkoop van producten en diensten. Elke ondernemer moet btw in rekening brengen over zijn verkopen, tenzij hij daarvoor is vrijgesteld. Deze vrijstelling geldt voor beroepen in bepaalde branches of specifieke werkzaamheden, zoals bijvoorbeeld medisch specialisten, erkende kinderopvang en uitvaartondernemers. Eens per maand, kwartaal of jaar doet de ondernemer aangifte van de door hem geïnde btw bij de belastingdienst. De btw die de onderneming zelf heeft moeten afdragen aan bijvoorbeeld leveranciers mag hij hiervan aftrekken.

Lees hier meer over de btw-verplichtingenen voor webshops.

Situatie 1: levering vanuit Nederland

Zoals in de inleiding al is aangegeven, gaat deze blog uit van een Nederlandse webshop met Nederlandse klanten. Wanneer de webshop een leverancier gebruikt die producten levert vanuit Nederland, dan is er sprake van twee betalingen mét btw-heffing. Ten eerste door de consument aan de webshop en ten tweede door de webshop aan de leverancier. Om hun webshop rendabel te houden bouwen webshops het bedrag dat de consument moet betalen (vaak) op uit allerlei posten, waaronder de inkoopkosten (bij de leverancier) en een winstmarge. De btw die de webshop zelf moet betalen aan zijn leverancier berekent een webshop hierin niet door, omdat hij deze dus kan aftrekken bij zijn periodieke btw-aangifte.

Dus stel dat een webshop een televisie koopt bij de leverancier voor €300,- (incl. 21% btw á €63,-) en deze verkoopt aan een consument voor €400,- (incl. 21% btw á €84,-), dan hoeft hij vanwege de aftrekmogelijkheid maar €21,- (= €84,- minus €63,-) aan de belastingdienst af te staan bij zijn periodieke btw-aangifte.  

Situatie 2: levering vanuit EU-lidstaat

Wanneer de webshop een leverancier inschakelt die levert vanuit een andere EU-lidstaat, dan wordt deze levering intracommunautaire verwerving genoemd. De lidstaten hebben bepaald dat dergelijke verwervingen in de andere lidstaat met 0% wordt belast. Hier staat tegenover dat dit in Nederland alsnog moet worden gedaan. Hiervoor moet de webshop de btw zelf uitrekenen en aangeven in zijn periodieke btw-aangifte. In dezelfde aangifte kan de webshop deze btw ook weer aftrekken, zodat hij per saldo niks hoeft te betalen. Net zoals in de eerste situatie zorgt de aftrekmogelijkheid ervoor dat de webshop de door hem te betalen btw niet zal doorberekenen aan de consument.

Dus stel dat een webshop een laptop koopt bij zijn Duitse leverancier voor €250,- (incl. 0% btw in Duitsland) en deze in Nederland verkoopt aan een consument voor €375,- (incl. 21% btw á €78,75), dan moet hij bij de btw-aangifte €52,50 (= 21% btw over €250,-) aangeven, welk bedrag hij ook meteen mag aftrekken. De €78,75 die door de consument is betaald moet de webshop wel afstaan aan de belastingdienst.

Situatie 3: levering vanuit niet-EU-lidstaat

Gebruik je als webshop een leverancier die levert vanuit een niet-EU-land (zoals China), dan is er geen sprake van intracommunautaire verwerving, maar van import. Bij import moet het product worden aangegeven bij de douane en is het mogelijk dat je als webshop belasting moet betalen in het niet-EU-land. Voor deze belasting heb je geen aftrekmogelijkheid in Nederland, maar zal je moeten aankloppen bij de buitenlandse belastingdienst.

Wanneer het geïmporteerde product (excl. verzend- en verzekeringskosten) meer waard is dan €22,-, dan moet invoer-btw worden betaald aan de douane. Indien het product wordt ingevoerd op de naam van de webshop, dan kan hij de invoer-btw aftrekken bij zijn periodieke btw-aangifte en kom je tot eenzelfde conclusie als bij de eerste twee situaties: de btw hoeft niet doorberekend te worden aan de consument. Bij dropshipping vindt de invoer echter niet plaats op de naam van de webshop, want er wordt immers direct van de leverancier aan de consument geleverd. Meestal vindt hierbij de invoer plaats op naam van de leverancier, om zo niet de consument te hoeven belasten met allerlei formaliteiten en onverwachte kosten. Als feitelijke importeur zou de leverancier dan de invoer-btw kunnen terugvragen of aftrekken per btw-aangifte aan de Nederlandse fiscus. Omdat leveranciers uit niet-EU-landen dergelijke kosten vaak al hebben verrekend in een all-in verkoopprijs aan de webshop, is dit niet interessant voor hun en blijft dit meestal achterwege. Bij deze gang van zaken wordt de invoer-btw doorberekend naar de consument óf de prijsverhoging gaat ten koste van de webshop zijn winstmarge.

Dus stel dat een webshop een tablet koopt bij zijn Chinese leverancier voor €200,- (incl. Chinese btw en Nederlandse invoer-btw) en deze verkoopt aan een consument voor €350,- (incl. 21% btw á €73,50,-), dan moet de webshop bij de btw-aangifte €73,50 afstaan aan de belastingdienst. De webshop kan de invoer-btw van €42,- (21% van €200,-) niet aftrekken van zijn aangifte, omdat hij deze niet betaald heeft. De consument betaalt btw over een prijs waar ook al invoer-btw in zit verborgen. Daarnaast kan de webshop de Chinese btw ook niet aftrekken bij deze aangifte.

Mogelijke oplossing voor verborgen invoer-btw

Aansluitend op de invoer verricht de leverancier in de hiervoor geschetste situatie ook een levering in Nederland, namelijk aan de webshop. Het maakt hiervoor niet uit dat het product niet fysiek bij de webshop komt. Wettelijk gezien moet de leverancier hier aangifte van doen. De meeste leveranciers van buiten Europa gaan ervan uit dat zij door de invoer-btw te betalen aan al hun verplichtingen hebben voldaan. Doet de leverancier wel aangifte, dan zou hij de invoer-btw terug kunnen vorderen en aan kunnen geven dat de verschuldigde btw naar de webshop wordt verlegd. Als je als webshop je leverancier zover krijgt om toch deze aangifte te gaan doen, dan is dit een mogelijke oplossing voor de verborgen btw-invoerkosten die anders op het bordje van de consument of de webshop komt.


Deze blog is geschreven door Raoul van de Laak, in samenwerking met oud-stagiair Derk Jan Pilat.

Het bericht BTW en dropshipping verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
https://ictrecht.nl/2019/08/15/btw-en-dropshipping/feed/ 1
FG, DPO, CISO, PO: wie is wie? https://ictrecht.nl/2019/08/14/fg-dpo-ciso-po-wie-is-wie/ https://ictrecht.nl/2019/08/14/fg-dpo-ciso-po-wie-is-wie/#respond Wed, 14 Aug 2019 11:53:22 +0000 https://ictrecht.nl/?p=115118 Het zijn veelgehoorde afkortingen: de FG/DPO, de CISO en de PO, maar drie verschillende functies. Allen privacy professionals, maar met verschillende taken en verantwoordelijkheden. Wie doet wat? En hoe verhouden de functies zich tot elkaar? Zie jij ook door de bomen het bos niet meer? In deze blog lees je meer over de verschillende functies. […]

Het bericht FG, DPO, CISO, PO: wie is wie? verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
Het zijn veelgehoorde afkortingen: de FG/DPO, de CISO en de PO, maar drie verschillende functies. Allen privacy professionals, maar met verschillende taken en verantwoordelijkheden. Wie doet wat? En hoe verhouden de functies zich tot elkaar? Zie jij ook door de bomen het bos niet meer? In deze blog lees je meer over de verschillende functies.

FG/DPO

De Functionaris voor de Gegevensbescherming (FG) en haar Engelstalige variant Data Protection Officer (DPO) is de persoon binnen een organisatie die toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG). De FG heeft een breed takenpakket, waaronder het creëren van privacy-bewustzijn in de organisatie en het actief betrokken zijn bij de wijze waarop de organisatie omgaat met gegevens. De FG/DPO fungeert als eerste aanspreekpunt voor de AP. Kenmerkend voor de FG is dat deze een onafhankelijke rol dient te behouden binnen de organisatie, maar tegelijk rechtstreekse lijnen heeft met het bestuur. De FG heeft kennis van privacywetten en -regelgeving, maar ook voldoende inzicht in en kennis van security én de processen binnen de organisatie. De functionaris voor gegevensbescherming kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of kan de taken op grond van een dienstverleningsovereenkomst verrichten.

In bepaalde situaties zijn organisaties verplicht om een FG aan te stellen. Dit geldt voor publieke organisaties en overheidsinstanties, organisaties die doen aan profilering, hun personeel ‘tracken’ of anderszins vanuit hun kernactiviteiten op grote schaal individuen volgen of diens activiteiten in kaart brengen. Maar ook organisaties die vanuit hun kerntaak op grote schaal bijzondere persoonsgegevens verwerken, zoals gegevens over iemands gezondheid of religie zijn verplicht tot het aanstellen van een FG. Voor deze laatste categorie heeft de AP duiding gegeven over de richtlijn voor grootschaligheid, waaruit blijkt wanneer een zorginstelling verplicht is om een FG aan te stellen. Deze verplichting tot aanstelling geldt ook wanneer een organisatie strafrechtelijke persoonsgegevens verwerkt. Daarnaast kunnen EU-lidstaten andere situaties benoemen waarin een FG verplicht is. Meer duiding is nog niet gegeven over de verplichting tot aanstelling van een FG/DPO en het komt dan ook vaak voor dat een organisatie hierover twijfelt. Belangrijk daarbij is dat er een goede onderbouwing is waarom er wél of juist niet voor is gekozen.

CISO

Het vakgebied van de Chief Information Security Officer is nog niet vastomlijnd en verschilt per branche of organisatie. Veel organisaties hebben moeite met het vinden van een Chief Information Security Officer, ofwel CISO. Dit komt mede door het feit dat de CISO verantwoordelijk is voor het implementeren van informatiebeveiligingsbeleid én het toezicht daarop. Net als de FG/DPO dient de persoon die deze functie bekleedt kennis en ervaring te hebben op het gebied van informatiebeveiliging, risicoanalyse en specialistische beveiligingstechnieken, én kennis van de relevante wet- en regelgeving. De CISO krijgt te maken met het bestuur, maar ook veel met de interne organisatie.

PO

De Privacy Officer (PO), ook wel: de juridisch adviseur op privacygebied die geen FG is. De PO is verantwoordelijk voor het ontwikkelen en bewaken van het privacybeleid. Tevens biedt de PO ondersteuning bij de uitvoering van dit beleid. De PO speelt een grote rol binnen de organisatie, door te fungeren als aanspreekpunt voor privacyvraagstukken die spelen in de organisatie.

De Privacy Officer zorgt ervoor dat de voor de AVG benodigde taken worden uitgevoerd en dat maatregelen worden ingebed in de organisatie. Dit doet hij in nauwe samenwerking met de FG en de CISO, indien aanwezig.

Zijn de functies wel zo verschillend?

Uit bovenstaande blijkt dat de functies op veel gebieden op elkaar lijken: privacy en security staat centraal. Waar bij de FG en de PO het houden van toezicht (FG) en de daadwerkelijke implementatie (PO) wat meer gescheiden is, geldt voor de CISO dat deze functies beide bij hem/haar liggen. Elke organisatie zal om andere redenen kiezen voor een FG, PO en/of CISO. Dit geldt ook voor de precieze invulling en inkadering van deze functies. Uiteraard dient men zich daarbij aan de wet te houden, maar er zal in de praktijk regelmatig een FG zijn die taken van een PO op zich neemt. Idealiter blijven deze functies echter ook gescheiden. De Privacy Officer heeft een belangrijke uitvoerende rol in de organisatie en zal wellicht druk ervaren binnen de organisatie. Door dit te combineren met een onafhankelijke functie als FG, zal de invulling van de dagelijkse taken niet altijd ten goede komen. Er wordt veel gevraagd van een FG/DPO en, met name binnen de grotere organisaties, is het zeer gewenst om daarnaast één of meer PO’s aan te stellen die kunnen helpen bij de uitvoerende werkzaamheden.

Ondanks de samenhang in de takenpakketten van de functies van deze privacy professionals, kunnen de functies niet zomaar voor elke organisatie worden samengevoegd. De FG/DPO dient te allen tijde de onafhankelijke positie te bewaren en de combinatie van een FG- en CISO-functie zal de onafhankelijkheid onder druk doen staan. De CISO dient in overleg met de FG tot passende beveiligingsmaatregelen te komen, waarop de FG vervolgens toezicht dient te houden. Daarom kan één persoon niet het eigen beveiligingsbeleid opstellen om deze vervolgens ook zelf te keuren: het cliché ‘de slager keurt zijn eigen vlees’ gaat hier dan ook op.

Verantwoordelijk

Duidelijk is en blijft dat de FG/PO/CISO niet persoonlijk verantwoordelijk zijn wanneer de AVG niet nageleefd wordt. De AVG maakt duidelijk dat het de verantwoordelijke of de verwerker is die erop toe dient te zien en moet kunnen aantonen dat de verwerking aan de voorwaarden voldoet. Naleving van regels op het gebied van gegevensbescherming is de verantwoordelijkheid van de verantwoordelijke of de verwerker en is bovendien een continue proces.

Het bericht FG, DPO, CISO, PO: wie is wie? verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
https://ictrecht.nl/2019/08/14/fg-dpo-ciso-po-wie-is-wie/feed/ 0
Continuïteit clouddienst deel 6: domeinnamen https://ictrecht.nl/2019/08/08/continuiteit-clouddienst-deel-6-domeinnamen/ https://ictrecht.nl/2019/08/08/continuiteit-clouddienst-deel-6-domeinnamen/#respond Thu, 08 Aug 2019 12:19:08 +0000 https://ictrecht.nl/?p=115112 Om bij bedreiging van de continuïteit controle te houden over de relevante domeinnamen, kan er voor één van de volgende continuïteitsoplossingen gekozen worden: (1) er kan een andere domeinnaam gebruikt worden, (2) de domeinnamen kunnen worden overgedragen aan de aparte economische entiteit of , indien de domeinnamen niet van de clouddienstverlener zijn maar van de klant, dan (3) […]

Het bericht Continuïteit clouddienst deel 6: domeinnamen verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
Om bij bedreiging van de continuïteit controle te houden over de relevante domeinnamen, kan er voor één van de volgende continuïteitsoplossingen gekozen worden: (1) er kan een andere domeinnaam gebruikt worden, (2) de domeinnamen kunnen worden overgedragen aan de aparte economische entiteit of , indien de domeinnamen niet van de clouddienstverlener zijn maar van de klant, dan (3) moet de klant er enkel voor zorgen dat hij de domeinnaam ook in de praktijk onder controle heeft. Hieronder worden de oplossingen toegelicht.

Via een domeinnaam heb je toegang tot de clouddienst. Type een URL in de browser en middels de juiste toegangscodes heb je toegang tot de clouddienst. Op het moment dat de leverancier van de clouddienst failliet gaat, is het niet zeker dat de domeinnaam gebruikt kan worden op dezelfde manier. Een domeinnaam is immers een betaalde dienst die wordt afgenomen via een registrar of reseller. Een registrar registreert de domeinnaam weer bij een registry ten behoeve van de domeinnaamhouder, hier waarschijnlijk de clouddienstverlener.

Domeinnaam veiligstellen

De curator kan besluiten niet langer voor de domeinnaam te betalen. Om de continuïteit van de clouddienst te waarborgen is het daarom goed om de domeinnaam veilig te stellen. Uiteraard kan er daarnaast voor gekozen om een andere domeinnaam te gebruiken vanaf het intreden van de bedreiging van de continuïteit. Dit zou wel inhouden dat er direct technisch ingegrepen moet kunnen worden, de DNS-verwijzingen moeten immers aangepast kunnen worden.

Naast het gebruik van een nieuwe domeinnaam, kan er gekozen worden voor overdracht van de domeinnamen aan een andere economische entiteit zoals dat ook bij software kan.

Voor de domeinnaam geldt echter dat de andere economische entiteit houder moet worden. Als de clouddienstverlener het contract heeft met de registrar dan kan hij de domeinnaam tegen een marktconforme vergoeding overdragen aan de andere economische entiteit. Het contract met de registrar moet dan ook nog op naam van die entiteit komen te staan en die entiteit moet als houder worden geregistreerd.

De juiste afspraken maken

Ten slotte moeten de juiste afspraken worden gemaakt. Denk aan afspraken met de clouddienstverlener zodat hij voor zijn dagelijkse bedrijfsvoering gebruik kan maken van de domeinnaam. Daarnaast moet de Stichting gebruik kunnen maken van de domeinnaam ten behoeve van de continuïteit.

De domeinnaam kan natuurlijk ook van de klant zijn en niet van de dienstverlener. Dan moet de klant ervoor zorgen dat hij als houder geregistreerd staat en bij voorkeur ook de domeinnaam daadwerkelijk in zijn macht heeft. Oftewel, de klant moet beschikken over de autorisatie-code van zijn domeinnaam en moet in staat zijn om de DNS-verwijzingen van de domeinen te wijzigen.

In de volgende blogs zal ik de verschillende bedrijfsonderdelen en bijbehorende continuïteitsoplossingen behandelen.

Het bericht Continuïteit clouddienst deel 6: domeinnamen verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
https://ictrecht.nl/2019/08/08/continuiteit-clouddienst-deel-6-domeinnamen/feed/ 0
Het recht op schadevergoeding onder de AVG https://ictrecht.nl/2019/08/07/het-recht-op-schadevergoeding-onder-de-avg/ https://ictrecht.nl/2019/08/07/het-recht-op-schadevergoeding-onder-de-avg/#respond Wed, 07 Aug 2019 12:24:12 +0000 https://ictrecht.nl/?p=115091 Organisaties die slecht met persoonsgegevens omgaan hangen sinds de invoering van de AVG hoge boetes boven het hoofd. Wat minder bekend is, is dat zij daarnaast aansprakelijk kunnen worden gesteld voor de veroorzaakte schade. Wanneer iemand nadeel ondervindt van een datalek of onrechtmatige verwerking kan de rechter diegene een schadevergoeding toekennen. In potentie is dit […]

Het bericht Het recht op schadevergoeding onder de AVG verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
Organisaties die slecht met persoonsgegevens omgaan hangen sinds de invoering van de AVG hoge boetes boven het hoofd. Wat minder bekend is, is dat zij daarnaast aansprakelijk kunnen worden gesteld voor de veroorzaakte schade. Wanneer iemand nadeel ondervindt van een datalek of onrechtmatige verwerking kan de rechter diegene een schadevergoeding toekennen. In potentie is dit een zeer ingrijpend middel: bij een incident met veel slachtoffers kan de totale veroorzaakte schade snel oplopen, ook wanneer het om een klein bedrag gaat. De AVG regelt ook dat een belangenorganisatie namens een groep slachtoffers in de rechtbank kan optreden.

Terwijl de recordboetes ons ondertussen om de oren vliegen, zijn er nog erg weinig zaken geweest over een schadevergoeding onder de AVG. Wat weten we er nu over en hoe zal dit recht zich in de komende jaren ontwikkelen?

Het recht op schadevergoeding

In artikel 82 van de AVG is het recht op schadevergoeding vastgelegd. Iemand die schade heeft geleden als gevolg van een inbreuk op de AVG, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen. Naast materiële schade komt ook immateriële schade in aanmerking voor schadevergoeding. Denk hierbij bijvoorbeeld aan reputatieschade of psychische stress. Omdat het vaak lastig is om vast te stellen hoe immateriële schade gewaardeerd moet worden in geld, wordt het interessant om te zien welke richtlijnen er door heel Europa gehanteerd worden.

In de overwegingen bij de AVG wordt verduidelijkt dat het begrip “schade” ruim moet worden uitgelegd, in het licht van de rechtspraak van het Europees Hof van Justitie. Desondanks zal het van de ernst van de overtreding afhangen of de schade voor financiële vergoeding in aanmerking komt.

Weinig aanvullende richtlijnen

Naast het artikel in de AVG is er nog weinig bekend over hoe het recht op schadevergoeding toegepast gaat worden. De EDPB heeft nog geen richtsnoer gepubliceerd, zoals ze dat over andere onderwerpen wel hebben gedaan. Ook de Autoriteit Persoonsgegevens heeft over dit onderwerp nog geen nadere informatie gegeven. Dit heeft er ongetwijfeld mee te maken dat het toekennen van schadevergoedingen niet bij de toezichthouders ligt, maar bij de bevoegde rechtbank. Wat betreft de precieze toepassing van het recht zal daarom de jurisprudentie de komende tijd de belangrijkste informatiebron zijn.

Omdat er onder de Wbp ook al een recht op schadevergoeding bestond, in artikel 49 van die wet, weten we iets meer van de overwegingen van de Nederlandse rechter op grond daarvan. Uit zaken op grond van de Wbp blijkt in elk geval dat niet vaak werd overgegaan tot het toekennen van een immateriële schadevergoeding. Daar waar sprake is van een afwijzing van de vordering is dit met name gelegen in het gebrek aan bewijsbare schade.

Rechtszaken tot nu toe

In Nederland hebben we voor zover bekend de primeur gehad: de gemeente Deventer is tot een schadevergoeding veroordeeld vanwege het doorgeven van persoonsgegevens aan andere overheden van een bekende ‘Wobber’. De gemeente informeerde andere overheden over de vele Wob-verzoeken die ze had ontvangen en hoe zij hiermee omging. Dat was onrechtmatig en heeft volgens de rechter tot (immateriële) schade geleid. Deze schade werd gewaardeerd op 500 euro.

Een zoektocht naar andere zaken in Europa levert slechts één voorbeeld op: in Duitsland is geoordeeld dat, ook al is sprake van een overtreding van de AVG, niet automatisch een recht op schadevergoeding ontstaat. Het ging in deze zaak om een persoon die op 25 mei 2018 zo’n typischeWij hebben uw e-mailadres, mogen we dan nu toestemming om u te mailen?’e-mail ontving. Het gebruiken van het e-mailadres was onrechtmatig, maar voor schadevergoeding is meer nodig. Zo werd geoordeeld dat het slachtoffer een merkbaar nadeel moet hebben gehad. Ook moet er een objectief vast te stellen schending van persoonlijke rechten van een zeker gewicht zijn geweest.

Vooralsnog lijkt het erg rustig als het gaat om schadevergoedingen. Wel weten we dat er al heel wat claims lopen. Facebook is het mikpunt van een Franse claim door een lokale belangengroep. Ook horen we vaak bij bekendmaking van een AVG-boete ook dat er een massaclaim in gang is gezet. Wellicht zal blijken dat het recht op schadevergoeding als een zwaard van Damokles boven de hoofden van vele organisaties hangt.

Het bericht Het recht op schadevergoeding onder de AVG verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
https://ictrecht.nl/2019/08/07/het-recht-op-schadevergoeding-onder-de-avg/feed/ 0
Motivering concurrentiebeding in een arbeidsovereenkomst voor bepaalde tijd niet snel voldoende https://ictrecht.nl/2019/08/06/motivering-concurrentiebeding-in-een-arbeidsovereenkomst-voor-bepaalde-tijd-niet-snel-voldoende/ https://ictrecht.nl/2019/08/06/motivering-concurrentiebeding-in-een-arbeidsovereenkomst-voor-bepaalde-tijd-niet-snel-voldoende/#respond Tue, 06 Aug 2019 08:36:43 +0000 https://ictrecht.nl/?p=115072 Een non-concurrentiebeding in een arbeidscontract voor bepaalde tijd is pas rechtsgeldig, als het zwaarwegend belang door werkgever voldoende schriftelijk gemotiveerd wordt. Een generieke motivering voor een bepaalde functie is daarvoor niet specifiek genoeg. Belangen concurrentiebeding Het concurrentiebeding in de arbeidsovereenkomst is een veelbesproken onderwerp. Werkgevers dienen de beschrijving van dit beding in de arbeidsovereenkomst zeer […]

Het bericht Motivering concurrentiebeding in een arbeidsovereenkomst voor bepaalde tijd niet snel voldoende verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
Een non-concurrentiebeding in een arbeidscontract voor bepaalde tijd is pas rechtsgeldig, als het zwaarwegend belang door werkgever voldoende schriftelijk gemotiveerd wordt. Een generieke motivering voor een bepaalde functie is daarvoor niet specifiek genoeg.

Belangen concurrentiebeding

Het concurrentiebeding in de arbeidsovereenkomst is een veelbesproken onderwerp. Werkgevers dienen de beschrijving van dit beding in de arbeidsovereenkomst zeer serieus te nemen, om te waarborgen dat het beding zijn werking heeft in de praktijk. Er gelden immers strenge regels voor zo’n beding in de arbeidsovereenkomst, daar het de werknemer beperkt in haar mogelijkheden om een nieuwe baan te vinden.

In een arbeidscontract voor bepaalde tijd zijn de eisen voor het non-concurrentiebeding nog zwaarder dan in een contract voor onbepaalde tijd. In dit contract moet een werkgever motiveren waarom hij belang heeft bij het concurrentiebeding. Dit belang moet zo zwaarwegend zijn, dat het belang van de werknemer om vrij arbeid te kunnen verrichten moet wijken voor het bedrijfs- of dienstbelang van werkgever. De motivering voor dit bedrijfs- of dienstbelang moet schriftelijk opgenomen worden bij het concurrentiebeding. De motivering moet specifiek gericht zijn op de functie, of, blijkens een uitspraak van het Hof Den Bosch, specifiek gericht op de werknemer. Wanneer meerdere werknemers dezelfde functie bekleden, is het volgens het onvoldoende specifiek om voor al deze werknemers een en dezelfde motivering te gebruiken voor het zwaarwegend belang van de werkgever bij het concurrentiebeding.

Uit deze uitspraak lijkt te volgen dat als de motivering specifieker toegesneden kan worden, de werkgever dat ook moet doen. Feitelijk kan een werkgever daar uitvoering aan geven door in de motivering te beschrijven welke specifieke werkzaamheden de werknemer uitvoert.

Conclusie

De les die we uit deze uitspraak leren? Het concurrentiebeding in een arbeidscontract voor bepaalde tijd is zeker mogelijk, maar moet zeer goed gemotiveerd worden. Per medewerker moet specifiek worden omschreven wat hij of zij gaat doen, welke informatie hij of zij tegenkomt en waarom juist dit ervoor zorgt dat de werknemer voor werkgever een risico vormt, wanneer hij ergens anders arbeid gaat verrichten. En deze motivering moet dan ook nog toekomstproof zijn. De motivering moet immers op het moment van ondertekenen gelden, maar ook zeker op het moment van inroepen van het beding.

Advies

Benieuwd of uw concurrentiebeding rechtsgeldig is overeengekomen? Wij kunnen het beding voor u controleren of herschrijven. Wilt u weten wat een concurrentiebeding precies is, hoe deze rechtsgeldig kan worden overeengekomen en kan worden vernietigd? U leert het in onze webinar.

Het bericht Motivering concurrentiebeding in een arbeidsovereenkomst voor bepaalde tijd niet snel voldoende verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
https://ictrecht.nl/2019/08/06/motivering-concurrentiebeding-in-een-arbeidsovereenkomst-voor-bepaalde-tijd-niet-snel-voldoende/feed/ 0
Dossier ePrivacy Verordening (ePV): ontwikkelingen & huidige stand van zaken https://ictrecht.nl/2019/08/01/dossier-eprivacy-verordening-epv-ontwikkelingen-huidige-stand-van-zaken/ https://ictrecht.nl/2019/08/01/dossier-eprivacy-verordening-epv-ontwikkelingen-huidige-stand-van-zaken/#respond Thu, 01 Aug 2019 09:11:56 +0000 https://ictrecht.nl/?p=114045 Eerder blogden we er al over: ‘Wordt 2019 het jaar van de ePrivacy Verordening (ePV)?’ Een definitieve ePV lijkt op dit moment echter nog steeds niet in zicht, mede door de Europese Parlementsverkiezingen die in mei van dit jaar op de planning staan. Deze verkiezingen kunnen er namelijk voor zorgen dat de onderhandelingen opnieuw geopend zullen worden. Welke […]

Het bericht Dossier ePrivacy Verordening (ePV): ontwikkelingen & huidige stand van zaken verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
Eerder blogden we er al over: ‘Wordt 2019 het jaar van de ePrivacy Verordening (ePV)?’ Een definitieve ePV lijkt op dit moment echter nog steeds niet in zicht, mede door de Europese Parlementsverkiezingen die in mei van dit jaar op de planning staan. Deze verkiezingen kunnen er namelijk voor zorgen dat de onderhandelingen opnieuw geopend zullen worden. Welke ontwikkelingen hebben er de afgelopen jaren gespeeld rondom deze ePV en waarom is deze verordening op dit moment nog steeds niet definitief? Wij praten u in dit dossier bij over de totstandkoming van de ePV en de laatste ontwikkelingen die nu spelen. 


Laatste update ‘Dossier ePrivacy Verordening (ePV)’: 1 augustus 2019


Jaar 2019

  • Oktober 2019: er wordt een nieuwe Europese Commissie gekozen.
  • 26 juli 2019: de Finse overheid doet een aangepast voorstel, met enkele aanpassingen op het gebied van elektronische communicatie, data en metadata en ‘verdere verwerking’ (art. 6 t/m 6c). Dit voorstel zal besproken worden op de volgende vergadering van de Raad op 9 september 2019.
  • 7 juni 2019: de Telecomraad houdt een voortgangsrapportage over de ePV, de laatste onder het Roemeense voorzitterschap. Belangrijke discussiepunten zijn uitzonderingen op het communicatiegeheim ten behoeve van de bestrijding van kinderporno, het bestrijden en voorkomen van terrorisme, en dataretentie. De bespreking is nog niet besluitvormend of concluderend.
  • 23-26 mei 2019: de Europese verkiezingen hebben plaatsgevonden. Aangezien het voorstel voor de ePV nog niet definitief was vóór de verkiezingen, zal het nieuwe parlement als medewetgever hier verder mee aan de slag gaan.
  • 21 maart 2019: de Advocaat-Generaal (AG) bij het Hof van Justitie van de Europese Unie publiceert zijn opinie bij de Planet49-zaak. De AG is van mening dat vooraf aangevinkte vakjes voor het gebruik van cookies geen rechtsgeldige toestemming opleveren. Het uitvinken van een vakje kan niet als ‘vrijelijk gegeven’ en ‘geïnformeerde’ toestemming gezien worden.
  • 13 maart 2019: er worden verdere concessies gedaan aan het tekstvoorstel.
  • 12 maart 2019: de European Data Protection Board (voorheen de Artikel 29-Werkgroep) publiceert een opinie over de wisselwerking tussen de ePrivacy Richtlijn en de AVG, met specifieke aandacht voor de taken en bevoegdheden van de gegevensbeschermingsautoriteiten.
  • 7 maart 2019: de Autoriteit Persoonsgegevens breekt de cookiewall af als strijdig met de AVG. De ePV acht cookiewalls inmiddels onder omstandigheden toelaatbaar. De AP wordt (waarschijnlijk) de nieuwe toezichthouder onder de ePV.
  • 28 februari 2019: FEDMA (de Europese direct marketing vereniging) en tien andere organisaties verzoeken de Roemeense voorzitter om een nieuwe effectbeoordeling van het ePrivacy-voorstel, waarin de laatste technologische ontwikkelingen en praktische implementatie beter worden overwogen.
  • 4 februari 2019: de tekst van de ePV is geüpdatet met enkele uitzonderingen in het kader van kinderbescherming en nationale veiligheid en defensie.
  • Januari-juni 2019: Roemenië neemt het voorzitterschap van de Europese Raad van Oostenrijk over. Of 2019 het jaar van de ePrivacy Verordening gaat worden, is nog niet duidelijk.

Jaar 2018

  • 30 november 2018: de Autoriteit Persoonsgegevens (AP): ‘Bedrijven mogen mensen alleen bij hoge uitzondering met wifi-tracking volgen’. De AP publiceert hierover nadere uitleg. De ePV gaat het gebruik van wifi-tracking verder inkaderen.
  • Oktober 2018: de belangenstrijd rond de ePV wordt verder gevoerd. Artikel 6 (toegestane verwerkingen) en artikel 10 (bescherming van de eindapparatuur van eindgebruikers – lees: cookies) worden verder aangepast. Staatssecretaris van Economische Zaken Mona Keijzer kondigt aan om van telemarketing ook een opt-insysteem te maken. Tot de ePV in werking treedt, krijgt de telemarketingsector ondertussen de tijd om zelf irritatie onder klanten te verlagen door middel van zelfregulering.
  • 20 september 2018: aanpassingen volgen elkaar in rap tempo op. Bij deze versie wordt onder meer toegevoegd dat eindgebruikers uiterlijk elke 12 maanden herinnerd worden aan hun recht om toestemming in te trekken (tenzij de betrokkene heeft aangegeven dergelijke herinneringen niet te willen ontvangen). Er is een nieuw lid aan artikel 6 toegevoegd, op grond waarvan metadata voor ‘verenigbare doelen’ gebruikt mag worden.
  • Juli 2018: onder het Oostenrijkse voorzitterschap van de Raad van de Europese Unie wordt een herzien concept gepubliceerd met belangrijke wijzigingen. Het gebruik van cookies (en vergelijkbare technieken) is verboden, tenzij:
    • Dat noodzakelijk is voor de overdracht van elektronische communicatie;
    • De eindgebruiker toestemming heeft gegeven;
    • Dat noodzakelijk is om een door de eindgebruiker gevraagde “dienst voor de informatiemaatschappij” aan te bieden;
    • Dat noodzakelijk is om bezoekersaantallen te meten (met beperkingen);
    • Dat noodzakelijk is voor beveiliging, fraudepreventie of tijdsbeperkte detectie van technische fouten;
    • Dat noodzakelijk is voor een software update (afhankelijk van extra vereisten);
    • Dat noodzakelijk is om apparatuur van eindgebruikers te lokaliseren in het kader van een noodoproep.

Waar er voorheen nog Lidstaten twijfelden over hoe ‘toestemming’ moest worden geïnterpreteerd, is het vanaf nu duidelijk dat het gaat om een ondubbelzinnige uiting van de eindgebruiker. Het voorstel geeft ook een optie om een soort algemene toestemming (niet) te geven via de browser.

  • Juli-december 2018: Oostenrijk is voorzitter van de Raad van de Europese Unie.
  • Mei 2018: de Algemene Verordening Gegevensbescherming (AVG) is van kracht. Omdat het begrip ‘toestemming’ in de Telecommunicatiewet is gekoppeld aan de privacywet, dient dit vanaf nu te voldoen aan de eisen die de AVG stelt.

Jaar 2017

  • Oktober 2017: het Europees Parlement bepaalt zijn positie ten opzichte van het voorstel.
  • 4 april 2017: de Artikel 29-Werkgroep publiceert Opinion 01/2017 over de voorgestelde ePV. De Werkgroep adviseert onder meer om privacy by default verplicht te stellen en om browsertoestemming een optie te maken.
  • Januari 2017: ePrivacy gaat op de schop. De Europese Commissie publiceert het voorstel voor de ePrivacy Verordening (ePV). Hierin zijn onder andere de volgende punten opgenomen:
    • Device fingerprinting wordt gereguleerd;
    • Het materiële toepassingsbereik wordt uitgebreid. De wet beperkt zich niet langer tot de klassieke telecomsector. De ePV ziet ook op zogenaamde over-the-top-diensten (zoals VoIP en webmails), machine-to-machine-communicatie en (semi-)openbare draadloze netwerken.
    • Het territoriale toepassingsbereik is gelijk aan de AVG. Dit betekent dat ook niet-Europese organisaties zich aan de wet moeten houden wanneer zij diensten in de Europese Unie aanbieden.
    • De toegestane verwerkingen worden aangepast. Een kleine greep uit de nieuwe bepalingen:
      • Wifi- en Bluetooth-tracking is alleen toegestaan met toestemming en informatievoorziening, behoudens enkele uitzonderingen die de inbreuk op de privacy beperken.
      • De opt-in en opt-outregeling voor e-mailmarketing blijven bestaan. Direct marketing via alle kanalen, zowel B2C als B2B wordt waarschijnlijk op opt-inbasis.
      • De cookiewall wordt in dit eerste voorstel verboden. Later worden hier tijdens de onderhandelingen concessies in gedaan. Ook browsertoestemming staat ter discussie. Tracking cookies blijven op opt-inbasis.
      • De ePV beschermt inhoud én metadata (tijdstip, afzender, locatie, etc.). Elke verwerking van metadata is verboden, tenzij toegestaan door de ePV. De Commissie ziet kansen voor organisaties om metadata te gebruiken met toestemming van de eindgebruiker.
    • De boetes worden hetzelfde als onder de AVG, namelijk:
      • € 20.000.000,- of 4% van de wereldwijde omzet; of
      • € 10.000.000,- of 2% van de wereldwijde omzet.
    • Ook de toezichthouder wordt hetzelfde: de Autoriteit Persoonsgegevens gaat toezicht houden op de naleving van de ePV.

Jaar 2016

  • Juli 2016: de Artikel 29-Werkgroep adviseert over herziening van de ePrivacy Richtlijn. Er dient onder meer een gelijk speelveld te zijn voor functioneel gelijkwaardige diensten, zoals bellen via de vaste telefoon en bellen via Skype. Semi-openbare netwerken horen ook onder het toepassingsbereik te vallen, cookies dienen alléén met uitdrukkelijke toestemming geplaatst te worden en er dient een minimaal beveiligingsniveau te worden gegarandeerd. Ook ziet de Werkgroep graag een verbod om alle vormen van ongewenste communicatie en alle vormen van spam te verbieden.
  • April 2016: de Europese Commissie start een openbare consultatie voor herziening van de ePrivacy Richtlijn.

Jaar 2015

  • Maart 2015: de Cookiewet wordt gewijzigd. Analytics cookies, A/B testing cookies en affiliate cookies vereisen geen toestemming van de websitebezoeker, mits de privacyinbreuk gering blijft. Het College Bescherming Persoonsgegevens (de voorganger van de Autoriteit Persoonsgegevens) publiceert een handreiking om Google Analytics privacyvriendelijk in te stellen. De ACM reageert: “We zullen bedrijven hierop aanspreken en zo nodig beboeten”.

Jaar 2012

  • Juni 2012: de Cookiewet is van kracht. De Cookiewet is eigenlijk geen aparte wet, maar een Europese toevoeging aan de Telecommunicatiewet. Vanaf nu mag je alleen (niet-noodzakelijke) cookies plaatsen met toestemming van de websitebezoeker. Ook dien je websitebezoekers vanaf nu te informeren over het gebruik en het doel van cookies.

Jaar 2009

  • Oktober 2009: het spamverbod wordt uitgebreid. Ook (geautomatiseerde) ongevraagde commerciële, charitatieve of ideële mailings aan bedrijven mogen alleen met toestemming van de ontvanger worden verzonden.

Jaar 2004

  • Juni 2004: de ePrivacy Richtlijn wordt in Nederland geïmplementeerd in de Telecommunicatiewet.

Jaar 2002

  • Juli 2002: de Europese ePrivacy Richtlijn wordt aangenomen. Elke Lidstaat dient de Richtlijn in een nationale wet om te zetten. Dat betekent dat er de nodige verschillen komen tussen de verschillende Lidstaten.

Houd dit dossier in de gaten voor nieuwe updates rondom de ePrivacy Verordening (ePV).

Het bericht Dossier ePrivacy Verordening (ePV): ontwikkelingen & huidige stand van zaken verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
https://ictrecht.nl/2019/08/01/dossier-eprivacy-verordening-epv-ontwikkelingen-huidige-stand-van-zaken/feed/ 0
DPIA’s (laten) uitvoeren; hoe doe je dat nou? https://ictrecht.nl/2019/08/01/dpias-laten-uitvoeren-hoe-doe-je-dat-nou/ https://ictrecht.nl/2019/08/01/dpias-laten-uitvoeren-hoe-doe-je-dat-nou/#respond Thu, 01 Aug 2019 09:07:39 +0000 https://ictrecht.nl/?p=114975 Het uitvoeren van Data protection Impact Assessments (DPIA’s) is vaak een van de hete hangijzers binnen een organisatie. Onder andere het beleggen van de verantwoordelijkheid tot het uitvoeren van DPIA’s levert namelijk al vaak discussies op; niemand lijkt een DPIA echt uit te willen voeren omdat het (commerciële) plannen kan vertragen en dus blijft het […]

Het bericht DPIA’s (laten) uitvoeren; hoe doe je dat nou? verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
Het uitvoeren van Data protection Impact Assessments (DPIA’s) is vaak een van de hete hangijzers binnen een organisatie. Onder andere het beleggen van de verantwoordelijkheid tot het uitvoeren van DPIA’s levert namelijk al vaak discussies op; niemand lijkt een DPIA echt uit te willen voeren omdat het (commerciële) plannen kan vertragen en dus blijft het vaak liggen. Toch is het uitvoeren van DPIA’s wettelijk verplicht, dus hoe pak je de implementatie van deze verplichting nou succesvol aan?

Modelkeuze

Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Om deze risico’s in kaart te brengen en af te wegen, zijn er verschillende DPIA-modellen in omloop waarbij het als eerste van belang is om te kiezen voor een bepaald model dat je wilt gaan (laten) gebruiken. Voor het kiezen of samenstellen van een model, kun je het beste rekening kunt houden met de volgende factoren:

  • In welke landen is mijn organisatie actief?
  • Hoe risicovol zijn de verwerkingen die binnen mijn organisatie worden verricht?
  • Wie binnen mijn organisatie moeten er DPIA’s gaan uitvoeren, en hoe is hun kennisniveau op het gebied van privacy?

Afhankelijk van het land waarin je actief bent, wil je wellicht een model kiezen of je keuze voor een specifiek model baseren op de richtsnoeren van de betreffende nationale toezichthouder. Laat je bijvoorbeeld inspireren of gebruik modellen/tooling zoals verstrekt door de Franse CNIL of de Engelse ICO.

Daarnaast kunnen de gegevensverwerkingen binnen een organisatie zeer divers zijn. Om die reden wil je wellicht wel opteren voor twee modellen: één model voor de ‘zware’ risicovolle verwerkingen (zoals het migreren van het gehele CRM-systeem naar de cloud) en één light model voor minder risicovolle zaken, maar waar je toch een DPIA op uit wil voeren (zoals voor het gebruik van nieuwe personalisatie cookies op de website). Het verschil in beide modellen is dan gelegen in hoe diepgaand de informatie moet zijn die moet worden verzameld, en de uitwerking daarvan op papier.

Zorg er in ieder geval voor dat je het model in het algemeen zo simpel en eenvoudig mogelijk houdt, en je hierbij rekening houdt met de medewerkers die de DPIA’s moeten gaan uitvoeren. Voor juristen kunnen lange lappen ingewikkeld juridisch jargon namelijk aantrekkelijk zijn, maar dat geldt vaak niet voor de rest van de medewerkers. Het risico is in dat geval dat de kans bestaat dat medewerkers ontwijkend gedrag gaan vertonen, verzet geven bij het neerleggen van de verantwoordelijkheid voor het uitvoeren van DPIA’s of het resultaat half ingevulde questionnaires oplevert omdat niemand begrijpt wat hij/zij nu eigenlijk moet invullen.

Beleid

Als het model er ligt, is het van belang om beleid op te stellen. Het beleid ligt namelijk ten grondslag aan de uitvoering van de DPIA en de uiteindelijke implementatie van de resultaten ervan. Uitgewerkt beleid geeft bijvoorbeeld antwoord op de vraag wie binnen de organisatie de DPIA’s uit zal gaan voeren. Veelal zal dit niet de functionaris gegevensbescherming (FG) zelf zijn (mocht die er zijn) maar dient deze wel te adviseren over de noodzaak tot het uitvoeren van een DPIA en de uitkomst ervan. Daarbij is niet voor alle verwerkingen een DPIA verplicht, en kan de DPIA verplichting (de ‘zwarte lijst’) per land verschillen. Zorg dus dat wanneer je voor een internationale organisatie werkt, duidelijk is welke zwarte lijsten van de verschillende toezichthouders allemaal van toepassing zijn. In hoofdlijnen zijn de belangrijkste punten uit een DPIA-beleid, welke duidelijk op papier dienen te staan:

  • Bij wie de verschillende afdelingen/medewerkers (geplande) risicovolle verwerkingen moeten melden;
  • Wanneer het uitvoeren van een DPIA verplicht is, en wie hierover (in twijfelgevallen) het besluit neemt (de FG);
  • Wie verantwoordelijk is voor het uitvoeren van een DPIA;
  • Welk DPIA-model moet worden gebruikt, en waar dit te vinden is;
  • Op welke wijze de DPIA aan de FG moet worden aangeboden voor advies (wanneer er een FG is);
  • Waar de DPIA intern moet worden opgeslagen en geregistreerd (denk hierbij ook aan opname van de verwerking in het verwerkingsregister);
  • Hoe wordt geborgd dat de DPIA periodiek, indien nodig, wordt geüpdatet.

Een complicatie die je hierbij mogelijk tegenkomt is dat er reeds een hoop risicovolle verwerkingen worden verricht, waarvoor nog nooit een DPIA is gedaan. Dit moet uiteraard wel, ondanks het feit dat de verwerkingen al enige tijd plaatsvinden. De meest pragmatische oplossing is in dat geval om eerst DPIA’s te gaan (laten) uitvoeren voor geplande hoge risicovolle verwerkingen, en vervolgens pas met terugwerkende kracht aan de slag te gaan met de verwerkingen waar eerder geen DPIA op is uitgevoerd. Hiermee voorkom je namelijk demotivatie, en pak je eerst de verwerkingen aan waarmee medewerkers toch al in hun hoofd bezig waren.

Awareness en training

Als laatste is het van belang om na de keuze voor een model en inrichting van het beleid, aan de slag te gaan met de awareness van medewerkers. Alle medewerkers moeten namelijk weten dat er een DPIA verplichting bestaat, en dat ze dus bepaalde geplande verwerkingen intern moeten melden. Daarnaast is het van belang dat medewerkers die DPIA’s gaan uitvoeren, weten wat en hoe ze dit moeten doen. Deze informatie kan worden gegeven via een (online) training. In een dergelijke training is het van belang dat naar voren komt:

  • Wat het belang van en de gedachte achter een DPIA is;
  • Wat de basisregels uit de privacywetgeving zijn (denk aan mogelijke grondslagen, noodzakelijkheidscriteria, redeneringen achter bewaartermijnen, maar natuurlijk ook de regels waaruit de DPIA verplichting voortkomt);
  • Met welk model de DPIA moet worden uitgevoerd, en hoe dit werkt;
  • Wat de interne procedure is, zoals omschreven in het DPIA-beleid;
  • Welke informatie mensen dienen te verzamelen of acties die zij dienen te verrichten om:
    • te beoordelen of een DPIA verplicht is;
    • de DPIA uit te voeren en vervolgens aan de FG voor te leggen;
    • de DPIA intern op te slaan/te registeren (evt. ook in het verwerkingsregister);
    • de DPIA periodiek up-to-date te houden.

Veel succes met het implementeren van de DPIA-verplichting binnen je organisatie!

Mocht je zelf nog tips hebben voor een succesvolle implementatie die je wilt delen, dan horen we dat uiteraard graag. Hiervoor kun je een reactie achterlaten onder deze blog.

Meer weten over de DPIA? Lees ook onze factsheet over dit onderwerp.

Het bericht DPIA’s (laten) uitvoeren; hoe doe je dat nou? verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
https://ictrecht.nl/2019/08/01/dpias-laten-uitvoeren-hoe-doe-je-dat-nou/feed/ 0