ICTRecht juridisch adviesbureau https://ictrecht.nl Deskundig, praktisch en concreet juridisch advies tegen een passend tarief. Wed, 16 Oct 2019 14:20:18 +0000 nl hourly 1 Onderzoek ICTRecht over opslag van medische data in de cloud gepubliceerd https://ictrecht.nl/2019/10/15/onderzoek-ictrecht-over-opslag-van-medische-data-in-de-cloud-gepubliceerd/ https://ictrecht.nl/2019/10/15/onderzoek-ictrecht-over-opslag-van-medische-data-in-de-cloud-gepubliceerd/#respond Tue, 15 Oct 2019 13:54:44 +0000 https://ictrecht.nl/?p=115696 In opdracht van de minister voor Medische Zorg en Sport hebben wij recent een onderzoek uitgevoerd naar de wenselijkheid van het gebruik van cloudplatforms voor de opslag en eventuele verdere verwerking van medische data van Nederlandse patiënten. Het adviesrapport dat wij naar aanleiding van het onderzoek hebben opgeleverd aan de minister is inmiddels gepubliceerd. De […]

Het bericht Onderzoek ICTRecht over opslag van medische data in de cloud gepubliceerd verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
In opdracht van de minister voor Medische Zorg en Sport hebben wij recent een onderzoek uitgevoerd naar de wenselijkheid van het gebruik van cloudplatforms voor de opslag en eventuele verdere verwerking van medische data van Nederlandse patiënten. Het adviesrapport dat wij naar aanleiding van het onderzoek hebben opgeleverd aan de minister is inmiddels gepubliceerd.

De aanleiding voor het onderzoek bestond met name uit diverse nieuwsartikelen (bron 1 & 2) van het AD waarin de vraag werd opgeworpen of de opslag en verdere verwerking van medische data van Nederlandse patiënten wel veilig genoeg zou zijn in het (zakelijke) cloudplatform van Google. Ook over het door ons opgeleverde rapport heeft het AD geschreven. (Voortaan wel graag zonder cookiewall!) Hieronder volgen onze belangrijkste conclusies en adviezen.

Cloudplatforms worden meer gebruikt, ook voor verwerking van medische data

De wens vanuit zorgpartijen om ‘de cloud in’ te gaan is zeer goed te begrijpen. Cloudproviders bieden in het algemeen mogelijkheden voor verwerking én bescherming van medische data die door zorgpartijen zelf niet goed zijn te evenaren. Zorgverleners en andere partijen die medische data verwerken, kunnen daar hun voordeel mee doen.

Controleerbare naleving van AVG zorgt voor goede beveiliging van medische data

Specifiek waar het gaat om medische data gelden wel extra strenge wettelijke eisen, met name voortvloeiend uit de AVG. Zo is het verplicht om een risicoanalyse uit te voeren, contractuele afspraken te maken ter bescherming en beveiliging van de data en om aanvullende maatregelen te treffen wanneer medische data buiten de EU kan worden opgeslagen. Als de cloudprovider en afnemer beide aantoonbaar aan dit pakket eisen voldoen, wordt daarmee een hoog niveau van veiligheid gerealiseerd bij de opslag van medische data in de cloud. Om naleving van de AVG effectief af te kunnen dwingen, is wel vereist dat de cloudprovider ten minste een vestiging of opslaglocatie heeft in de EU. Bij de meest populaire cloudproviders is dit het geval. Ook vindt de nodige innovatie plaats wat betreft certificeringsmechanismes om naleving te controleren en aan te tonen. Daarbij wordt gestreefd naar controles die zo onafhankelijk, doorlopend (of frequent en onverwacht), volledig en specifiek mogelijk de naleving waarborgen, zodat het risico op niet-naleving zo ver mogelijk wordt geminimaliseerd.

Specifieke risico’s in verband met de internationale dimensie van de cloud

Een bijzonder aspect van clouddienstverlening is dat een cloudprovider onderworpen kan zijn aan meerdere rechtsstelsels. Een Amerikaans bedrijf dat in diens datacenters in de EU medische data van Nederlanders opslaat voor een Amsterdams ziekenhuis is gehouden aan de AVG, maar ook aan bevelen van Amerikaanse autoriteiten tot inzage. Dat is bijvoorbeeld mogelijk in het kader van strafrechtelijk onderzoek en bij geheime bevelen van Amerikaanse geheime diensten. Cloudproviders kunnen in een lastige positie komen als Amerikaanse wetgeving, zoals de CLOUD Act, hen verplicht tot rechtstreekse verstrekking van persoonsgegevens van mensen in de EU, en dus niet via een rechtshulpverzoek aan de autoriteiten in het betreffende land, terwijl de AVG dat juist verbiedt. Zij moeten dan kiezen om ofwel de AVG na te leven, ofwel de Amerikaanse wetgeving. Tussen de VS en de EU wordt al onderhandeld om dit probleem op te lossen.

Ons advies aan de minister in dit kader luidt om zoveel als mogelijk te faciliteren dat afspraken met andere landen worden gemaakt, waardoor autoriteiten van die landen gehouden worden het verschoningsrecht voor medische data van Nederlandse patiënten te respecteren. Dat recht houdt in dat zorgpartijen en cloudproviders die voor hen medische data verwerken, niet gedwongen kunnen worden om dergelijke data te verstrekken. Dit is ook van belang in verband met de voorgestelde e-evidence verordening, die het in EU-verband ook mogelijk moet maken voor autoriteiten om data te vorderen zonder traditionele rechtshulpverzoeken.

Een ander belangrijk risico wordt gevormd door een rechtszaak die momenteel wordt gevoerd voor het Hof van Justitie van de EU. Daarin staan twee veelgebruikte instrumenten om doorgifte van persoonsgegevens uit de EU naar de VS te legaliseren, namelijk het Privacy Shield en de model clauses, ter discussie. Deze zouden namelijk onvoldoende werkelijke bescherming kunnen bieden tegen inzage door Amerikaanse autoriteiten. Door de rechtszaak bestaat een reëel risico dat deze instrumenten binnenkort (opnieuw) herzien of vervangen zullen moeten worden. Dit kan echter ook worden beschouwd als kans voor zowel de EU als de VS om te voorzien in privacybescherming in de VS die werkelijk gelijkwaardig is aan die in de EU.

Technische maatregelen om risico’s bij cloudopslag te beperken

Wanneer een cloudprovider onder de jurisdictie valt van een land waar gelijkwaardige bescherming van medische data – waaronder het (afgeleide) verschoningsrecht – niet zeker is, is het wenselijk om medische data van Nederlandse patiënten te versleutelen voordat deze worden overgedragen aan de cloudprovider.

Deze technische maatregel kan ook andere risico’s verder minimaliseren. Hoe veelbelovend de hierboven al genoemde nieuwe certificeringsmechanismes ook zijn, zij zullen het risico op niet-naleving door de cloudprovider niet voor de volle 100 procent kunnen uitsluiten. Door encryptie toe te passen waarbij de sleutel altijd buiten de macht van de cloudprovider wordt gehouden, wordt technisch afgedwongen dat de cloudprovider de data zelf niet kan inzien en ook geen inzage kan verstrekken aan buitenlandse autoriteiten. Versleuteling moet wel met grote zorg en aandacht worden ingebouwd, vereist de nodige expertise en kan ook kosten, belemmeringen of andere nadelen met zich mee brengen. Voor zover zorgverleners en andere partijen hier feitelijk niet goed toe in staat zijn, luidt het advies aan de minister om hierin zoveel mogelijk faciliterend op te treden.

Een andere technische maatregel die in het bijzonder van belang is voor het beschermen van medische data bij cloudopslag, is het gebruik van twee- of meerfactorauthenticatie voor toegang. Tevens dienen er technische maatregelen getroffen te zijn om de goede werking van de toegangsbeveiliging te controleren (logging). Tot slot dient zowel het verkeer van de gebruiker naar de cloudprovider, als de opslag van medische data bij de cloudprovider zelf, versleuteld te zijn om opgeslagen medische data optimaal te kunnen beschermen.

Het vertrouwen in Amerikaanse cloudproviders is nog niet optimaal

Ondanks alle hoogstaande beveiligingsmaatregelen die de grote cloudproviders aan de dag leggen, is het vertrouwen in hen nog niet optimaal. Dat komt enerzijds doordat deze bedrijven geregeld in het nieuws zijn vanwege privacy-schendingen in hun diensten die op consumenten zijn gericht en anderzijds door het risico van toegang door buitenlandse (met name Amerikaanse) autoriteiten. Als de cloudproviders erin slagen deze legitieme zorgen beter te adresseren, kunnen zij hun positie nog verder versterken.

Onze aanbevelingen aan cloudproviders, (potentiële) afnemers en overheden

In deel C van ons adviesrapport doen wij een aantal aanbevelingen aan cloudproviders, (potentiële) afnemers van clouddiensten en overheden, in het kader van opslag en eventuele verdere verwerking van medische data in de cloud. Lees het adviesrapport voor deze verdere aanbevelingen!

Het bericht Onderzoek ICTRecht over opslag van medische data in de cloud gepubliceerd verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
https://ictrecht.nl/2019/10/15/onderzoek-ictrecht-over-opslag-van-medische-data-in-de-cloud-gepubliceerd/feed/ 0
Arbeidsovereenkomst tussen Helpling en de schoonmaker? https://ictrecht.nl/2019/10/14/arbeidsovereenkomst-tussen-helpling-en-de-schoonmaker/ https://ictrecht.nl/2019/10/14/arbeidsovereenkomst-tussen-helpling-en-de-schoonmaker/#respond Mon, 14 Oct 2019 08:14:57 +0000 https://ictrecht.nl/?p=115686 Online platformen gericht op dienstverlening stijgen in populariteit. Verschillende concepten worden gelanceerd om bedrijven en consumenten te ontzorgen. Eén van deze concepten is Helpling. Helping brengt vraag en aanbod op het gebied van huishoudelijke hulp samen. Door middel van een app kunnen schoonmakers ingeschakeld worden voor opdrachten. Maar zijn deze schoonmakers nou werknemers of zzp’ers? […]

Het bericht Arbeidsovereenkomst tussen Helpling en de schoonmaker? verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
Online platformen gericht op dienstverlening stijgen in populariteit. Verschillende concepten worden gelanceerd om bedrijven en consumenten te ontzorgen. Eén van deze concepten is Helpling. Helping brengt vraag en aanbod op het gebied van huishoudelijke hulp samen. Door middel van een app kunnen schoonmakers ingeschakeld worden voor opdrachten.

Maar zijn deze schoonmakers nou werknemers of zzp’ers? Kunnen we spreken van een werkgeverschap? Recentelijk heeft de Rechtbank Amsterdam zich uitgesproken over de vraag of er tussen Helpling en de schoonmaker een arbeidsovereenkomst tot stand is gekomen.

Om een rechtsverhouding als een arbeidsovereenkomst te kunnen kwalificeren moet voldaan worden aan de criteria van artikel 7:610 BW inhoudende dat een werknemer, in dienst van een werkgever, tegen de betaling van loon gedurende zekere tijd arbeid verricht. In het geval van Helpling en de schoonmaker is de situatie als volgt:

Feitelijke situatie

Helpling exploiteert een online platform waar schoonmakers en huishoudens (de klanten in dit geval) afspraken kunnen maken over de uit te voeren huishoudelijke werkzaamheden. Beide partijen kunnen op het platform een profiel aanmaken. De schoonmaker maakt een profiel aan waarbij een omschrijving wordt gegeven van de werkzaamheden inclusief het daarbij geldende uurtarief. Helpling heeft voor de schoonmakers een minimum en een maximumtarief ingesteld, waarbij rekening wordt gehouden dat het tarief niet lager is dan het minimumloon.

Nadat de schoonmaker zich heeft aangemeld volgt een intakegesprek. Helpling verstrekt hierbij een gebruikershandleiding waarin de regels voor het gebruik van het platform zijn omschreven. Hierin staat o.a. vermeld dat wanneer een schoonmaker drie aantekeningen heeft (negatieve beoordeling, niet op tijd afzeggen of niet nakomen van gemaakte afspraken), de schoonmaker van het platform wordt verwijderd.

De overeenkomst tussen Helpling en de schoonmaker wordt aangeduid als een Gebruikersovereenkomst. Deze overeenkomst is niet schriftelijk vastgelegd.

De relevante afspraken c.q. bepalingen voor de uitvoering van deze overeenkomst zijn neergelegd in de van toepassing zijnde algemene voorwaarden gesloten tussen Helpling en de schoonmaker en tussen Helpling en de klant. In de algemeen voorwaarden staat o.a. dat overeenkomst tussen de schoonmaker en de klant tot stand komt en dat Helpling slechts optreedt als facilitator voor opdrachten van de klant. Verder is in de algemene voorwaarden aangegeven dat niet beoogd is dat tussen partijen (Helpling en schoonmaker) een arbeidsovereenkomst tot stand komt.

Wel of geen arbeidsovereenkomst

Voor de toetsing of de rechtsverhouding beantwoordt aan de criteria van een arbeidsovereenkomst moet rekening worden gehouden met alle omstandigheden van het geval. Vast staat dat de overeenkomst tussen Helpling en de schoonmakers niet schriftelijk is vastgelegd. Alleen de algemene voorwaarden zijn geaccepteerd. Relevant in deze uitspraak is of er sprake is van een gezagsverhouding.

Bij de vraag of er sprake is van een gezagsverhouding dient te worden beoordeeld of Helpling de bevoegdheid heeft om de schoonmakers instructies of aanwijzingen te geven bij het uitvoeren van hun schoonmaakwerkzaamheden. Naar het oordeel van de kantonrechter is hier geen sprake van.

Het enkele feit dat Helpling telefonisch, dan wel op haar website tips geeft over hoe bepaalde schoonmaakwerkzaamheden kunnen worden uitgevoerd of hoe een schoonmaker kan omgaan met vragen of klachten van een klant, maakt nog niet dat sprake is van gezag. Dat Helpling de faciliteiten biedt om facturen te sturen, de agenda te beheren, contact te hebben met de klant en dat zij, indien zij te veel klachten over een schoonmaker ontvangt het account kan blokkeren, maakt ook niet dat er sprake is van gezag door Helpling.

Daarmee biedt Helpling immers slechts de faciliteiten om de werkzaamheden goed en eenvoudig af te stemmen en uit te voeren en draagt zij zorg voor een betrouwbare en goed onderhouden website. Doordat er niet voldaan is aan dit punt kan ook geen sprake zijn van een arbeidsovereenkomst.

Uitzendovereenkomst

In de zaak speelde nog de vraag of wellicht sprake zou zijn van een uitzendovereenkomst. Het antwoord op de vraag spreekt voor zich. Nu geen sprake is van een arbeidsovereenkomst is er ook geen sprake van een uitzendovereenkomst.

Arbeidsbemiddeling

Hoe kan Helpling dan wel worden gekwalificeerd? De kantonrechter heeft aangegeven dat er sprake is van arbeidsbemiddeling door Helpling. Arbeidsbemiddeling is ‘het behulpzaam zijn van een werkgever dan wel werkzoekende bij het zoeken naar arbeidskrachten of arbeidsgelegenheid, waarbij de totstandkoming van een arbeidsovereenkomst naar burgerlijk recht wordt beoogd’ aldus artikel 1 lid 1 sub b Waadi. Helpling speelt door haar ingerichte platform een actieve rol tussen de totstandkoming van de arbeidsovereenkomst tussen de klant en de schoonmaker. Deze actieve rol blijkt onder meer uit de bemoeienis van Helpling bij de totstandkoming van de arbeidsovereenkomst en ook de regels voor het accepteren/wijzigingen/annuleren van een opdracht.

Gevolgen uitspraak

Het oordeel van de Rechtbank Amsterdam is dat er geen sprake is van zowel een arbeidsovereenkomst als een uitzendovereenkomst, maar dat sprake is van arbeidsbemiddeling.

Wanneer u als ondernemer een platform faciliteert let er dan ook goed op of de ingeschakelde mensen via uw platform worden gekwalificeerd als werknemers of als zzp’ers. Wanneer (achteraf) blijkt dat de ingeschakelde mensen als werknemers worden gezien heeft dit vergaande gevolgen voor u als ondernemer en moet u voldoen aan de regels die komen kijken bij het arbeidsrecht. Denk daarbij aan het afdragen van een werkgeverspremie, doorbetaling bij ziekte en minimumloon.

Het bericht Arbeidsovereenkomst tussen Helpling en de schoonmaker? verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
https://ictrecht.nl/2019/10/14/arbeidsovereenkomst-tussen-helpling-en-de-schoonmaker/feed/ 0
The Future is Legal: blijven domeinnaamgeschillen relevant in de toekomst? https://ictrecht.nl/2019/10/10/the-future-is-legal-blijven-domeinnamen-relevant/ https://ictrecht.nl/2019/10/10/the-future-is-legal-blijven-domeinnamen-relevant/#respond Thu, 10 Oct 2019 07:12:32 +0000 https://ictrecht.nl/?p=115682 Hoe zit het met de (juridische) toekomst van domeinnamen? Hoe hebben domeinnamen zich door de jaren heen ontwikkeld? Wat betekenen de toenemende schaarste van traditionele domeinnamen en andere ontwikkelingen voor de toekomst van het domeinnaamrecht, domeinnaamgeschillen en de manier waarop wij het internet gebruiken? Kortom, blijven domeinnamen relevant? Geschiedenis De eerste top level domains (“TLD’s”) […]

Het bericht The Future is Legal: blijven domeinnaamgeschillen relevant in de toekomst? verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
Hoe zit het met de (juridische) toekomst van domeinnamen? Hoe hebben domeinnamen zich door de jaren heen ontwikkeld? Wat betekenen de toenemende schaarste van traditionele domeinnamen en andere ontwikkelingen voor de toekomst van het domeinnaamrecht, domeinnaamgeschillen en de manier waarop wij het internet gebruiken? Kortom, blijven domeinnamen relevant?

Geschiedenis

De eerste top level domains (“TLD’s”) uit 1985 (.com, .edu, .gov, .int, .mil, .net en .org) en de voor lokaal gebruik ontwikkelde TLD’s (e.g. .nl) leken eindeloze mogelijkheden te bieden voor webadressen.

Toch begon het binnen de internetgemeenschap snel door te dringen dat er een beperkte hoeveelheid bruikbare domeinnaamcombinaties bestaat. De race om registratie van de beste domeinnamen was tegen 1995 lang en breed op gang. Zogeheten ‘cybersquatters’ kochten domeinen op met als doel deze voor enorme bedragen te verkopen. Denk aan loans.com, autos.com en andere voor de hand liggende beschrijvende woorden, of juist de handels- en merknamen van (groeiende) bedrijven. De business rondom domeinnaaminvesteringen, -oplichting en de juridische geschillen die eruit volgden was geboren en is – gezien de hoeveelheid domeinnaamgeschillen waar we bij ICTRecht mee te maken krijgen – nog niet uitgegroeid.

Pogingen om dit juridische slagveld te kalmeren en wat extra ruimte te maken op het wereldwijde web (e.g. .info, .biz) slaagden maar half. ICANN maakte in 2011 bekend dat zij het publiek toe zou staan om zelf ‘generic’ TLD’s te registreren (“gTLD’s”). Via dit registratieproces zou nagenoeg elk woord in elke taal een TLD kunnen vormen. Voor een zacht prijsje van $185.000,- en zonder garantie op daadwerkelijke registratie kon vanaf 2011 iedereen een gTLD aanvragen.

Dit zorgde voor nieuwe mogelijkheden. Bedrijven kregen de kans om hun domeinnamen nog verder te personaliseren (denk aan bijvoorbeeld home.google in plaats van google.com). Daarnaast konden TLD’s plotseling voor nieuwe doeleinden worden ingezet. Denk bijvoorbeeld aan het registreren van .sucks domeinnamen in het kader van een protest of boycot.

Vermoeden was dat de publieke domeinnaamwedloop meteen zou overwaaien naar gTLD’s. Het is in de tussenliggende 8 jaar echter gebleken dat de voorkeur van het publiek duidelijk uitgaat naar een traditionele domeinnaam. Het is daarnaast niet verassend dat er door de grote bedrijven conservatief wordt omgegaan met het gebruik van gTLD’s. De eerdere pogingen van ICANN om nieuwe TLD’s te introduceren waren niet erg succesvol en werden in sommige gevallen al snel geassocieerd met onbetrouwbare websites (e.g. .biz). Of die terughoudendheid in de komende 15 jaar gaat veranderen valt niet met zekerheid te zeggen.

De toekomstis juridisch… of niet?

Wat wel zeker is, is dat juridische geschillen rondom domeinnamen nog altijd aan de orde van de dag zijn en voorlopig waarschijnlijk zullen toenemen naargelang de schaarste dat ook doet. Hoewel bedrijven niet of nauwelijks naar buiten treden met gTLD’s, kunnen we er zeker van zijn dat de grote bedrijven achter de schermen hard bezig zijn hun merknamen en handelsnamen als gTLD te registreren en dat er bedrijven zijn die in het kader van preventie razendsnel achter hun .sucks domeinnaam aan zijn gegaan. Mocht dit zich ooit naar de voorgrond verplaatsen dan zal dit de strijd vermoedelijk des te heviger maken, immers is een gTLD moeilijker te vervangen met een alternatief dan een domeinnaam onder een algemeen TLD. Daarnaast zullen er tot die tijd, naarmate het gebrek aan ruimte op de .com’s en .nl’s van deze wereld toeneemt, steeds meer partijen zijn die er alles aan doen om de laatste goede ‘traditionele’ domeinnamen in handen te krijgen.

Naast het gebrek aan succes bij het afremmen van de domeinnaamwedloop, introduceert de ontwikkeling van het gTLD-programma en andere initiatieven van ICANN ook problemen op het gebied van veiligheid. Of beter gezegd: het legt oude problemen bloot. Het Domain Name System (“DNS”) is op veel manieren de ‘last line of defense’ voor gebruikers op het internet; aan de URL kan de gebruiker, als al het andere faalt, zien of hij of zij wel verbonden is met het juiste adres. Het toestaan van Chinese, andere niet-Latijnse of zelfs Unicode karakters zou bijvoorbeeld mogelijkheden openen voor phishing, dankzij de aanwezigheid van karakters die lijken op of nagenoeg identiek zijn aan karakters uit Latijnse alfabetten maar binnen het DNS toch anders vertaald worden. Deze en andere door de jaren heen blootgestelde zwakheden – zoals aanvalsmethoden in het kader van DNS-cache poisoning, DNS spoofing of DNS ID hacking, of bijvoorbeeld de in 2008 blootgelegde ‘Kaminsky bug’ – zorgen bij sommigen voor twijfels over de integriteit en levensduur van DNS.

Door de jaren heen zijn er aarzelend technologieën aangewezen die misschien de potentie hebben om zich te ontwikkelen tot een alternatief voor DNS zoals we het nu kennen. Voorbeelden zijn peer-to-peer DNS protocollen waarbij vindbaarheid en navigatie van bestanden wordt geregeld via toewijzing van unieke cryptografische hashes of bijvoorbeeld DNS gebaseerd op blockchain technologie, waarbij de noodzaak van gecentraliseerde servers en losse ‘telefoonboeken’ in de vorm van DNS vervalt. Als het puntje bij paaltje komt is er echter simpelweg geen volwassen techniek beschikbaar die op kan boksen tegen traditionele DNS, al is het simpelweg omdat internetten voor de meeste gebruikers niet denkbaar is zonder het gebruik van URL’s die je kunt onthouden.

Maar is dat echt ondenkbaar?

Een ander relevant aspect voor de toekomst van domeinnamen is namelijk de wijze waarop deze door internetters worden gebruikt. Hoe vaak typ jij nog een hele domeinnaam uit? In het dagelijks leven wordt bijna alles gegoogled. Kunstmatige intelligentie wordt daarbij steeds slimmer en is steeds beter in staat te anticiperen wat een eindgebruiker wil van een apparaat of dienst. Bij gebruik van veel internet- apparaten en diensten komen al nauwelijks domeinnamen meer kijken. Zetten deze trends door, dan zullen domeinnamen in de toekomst alleen nog relevant zijn in het kader van infrastructuur. In zo’n geval zal de eindgebruiker zich slechts met behulp van door AI geïnterpreteerde contextuele informatie en zoekmachines via zijn rand- en IoT-apparatuur op het internet begeven en zullen toetsenborden hier nauwelijks een rol meer in spelen. Het maakt dan niet meer uit hoe de domeinnaam eruitziet, met als gevolg dat de geschillen rondom tegen die tijd tot het verleden behoren.

De toekomst is onzeker

De juridische toekomst van domeinnamen is niet met zekerheid te voorspellen. Afhankelijk van hoe het bedrijfsleven, de techniek, de gemiddelde internetgebruiker en de relevantie van domeinnamen zich de komende 15 jaar ontwikkelen, kunnen we zowel een groei als een afname tegemoet gaan van de business rondom domeinnamen en de daaruit voortvloeiende geschillen. De tijd zal het leren.

Het bericht The Future is Legal: blijven domeinnaamgeschillen relevant in de toekomst? verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
https://ictrecht.nl/2019/10/10/the-future-is-legal-blijven-domeinnamen-relevant/feed/ 0
Hof van Justitie: “voor het plaatsen van cookies is de actieve toestemming van de internetgebruikers vereist” https://ictrecht.nl/2019/10/09/hof-van-justitie-voor-het-plaatsen-van-cookies-is-de-actieve-toestemming-van-de-internetgebruikers-vereist/ https://ictrecht.nl/2019/10/09/hof-van-justitie-voor-het-plaatsen-van-cookies-is-de-actieve-toestemming-van-de-internetgebruikers-vereist/#respond Wed, 09 Oct 2019 08:01:28 +0000 https://ictrecht.nl/?p=115675 Op 1 oktober jl. heeft het Hof van Justitie van de Europese Unie uitspraak gedaan over het vragen van toestemming bij het plaatsen van cookies. De uitspraak kwam niet als donderslag bij heldere hemel, maar is eigenlijk een bevestiging van wat wij al wisten: voor het plaatsen van cookies is namelijk de actieve toestemming vereist […]

Het bericht Hof van Justitie: “voor het plaatsen van cookies is de actieve toestemming van de internetgebruikers vereist” verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
Op 1 oktober jl. heeft het Hof van Justitie van de Europese Unie uitspraak gedaan over het vragen van toestemming bij het plaatsen van cookies. De uitspraak kwam niet als donderslag bij heldere hemel, maar is eigenlijk een bevestiging van wat wij al wisten: voor het plaatsen van cookies is namelijk de actieve toestemming vereist van een internetgebruiker. In deze blog staan we kort stil bij de uitspraak en leggen we uit op welke manier een website rechtsgeldig toestemming kan vragen.

Wat ging er aan de uitspraak vooraf?

De Duitse onderneming Planet49 maakte op haar website gebruik van vooraf aangevinkte vakjes. Op deze manier vroeg de onderneming om toestemming voor het plaatsen van cookies. Wanneer een websitebezoeker geen toestemming wilde geven voor het plaatsen van cookies, dan moest diegene de vakjes zelf uitvinken. Duitse consumentenorganisaties waren het niet eens met deze handelswijze en stapten naar de rechter.

Toestemming

De definitie van toestemming vinden we in de AVG. Er is sprake van rechtsgeldige toestemming wanneer de toestemmingsvraag aan de volgende voorwaarden voldoet:

  • de toestemming moet specifiek zijn;
  • de toestemming moet op informatie berusten;
  • de toestemming moet in vrijheid gegeven zijn;
  • de toestemming moet een actieve handeling zijn.

Hoe moet je toestemming vragen?

Via een cookiebanner vraagt een website om toestemming voor het plaatsen van cookies. In de cookiebanner is duidelijk vermeld:

  • welke partijen cookies plaatsen;
  • wat voor cookies worden geplaatst (bijvoorbeeld social media cookies);
  • wat die cookies doen (denk aan gepersonaliseerde advertenties laten zien);
  • waar meer informatie gevonden kan worden (in de privacy- en cookieverklaring).

Een websitebezoeker moet een actieve handeling verrichten om toestemming te verlenen. Dat wil zeggen dat een websitebezoeker zelf moet aanvinken welke cookies geplaatst mogen worden. Het is dus niet de bedoeling dat een website de categorieën cookies aanvinkt, en het aan de websitebezoeker is om deze uit te vinken om die manier te laten zien dat hij/zij geen toestemming geeft.

Wat is nog meer niet goed? Wij zien weleens cookiebanners voorbijkomen met daarop een tekst als “Indien u verder klikt op onze website, gaat u akkoord met het gebruik van cookies”. Natuurlijk is het verder surfen op de website een actieve handeling, maar op deze manier wordt impliciete toestemming gegeven. Dat is niet toegestaan. Een websitebezoeker moet akkoord gaan met het plaatsen van cookies, maar moet ook de mogelijkheid hebben om te weigeren dat cookies worden geplaatst. Dan vinkt diegene niet aan dat advertentie-, social media of andere tracking cookies geplaatst mogen worden.

Uitzonderingen

Niet voor alle soorten cookies is toestemming van een websitebezoeker nodig. Strikt noodzakelijke cookies mag een website gewoon plaatsen, zonder toestemming te vragen. Zonder die cookies werkt een website niet optimaal, denk aan een cookie om je winkelwagentje gevuld te houden.

Hetzelfde geldt voor analytische cookies. Als het gebruik van die cookies slechts geringe gevolgen heeft voor de privacy van de websitebezoeker, dan is daar geen toestemming voor nodig. In Nederland geldt dat voor het gebruik van Google Analytics geen toestemming nodig is, mits de cookie privacyvriendelijk is ingesteld. In een handleiding van de Autoriteit Persoonsgegevens is te lezen op welke manier je de cookie privacyvriendelijk kunt instellen. Helaas geldt deze regel niet in alle EU-landen, maar hopelijk gaat de ePrivacy Verordening die al enige tijd op zich laat wachten, hier meer duidelijkheid over geven.

Het bericht Hof van Justitie: “voor het plaatsen van cookies is de actieve toestemming van de internetgebruikers vereist” verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
https://ictrecht.nl/2019/10/09/hof-van-justitie-voor-het-plaatsen-van-cookies-is-de-actieve-toestemming-van-de-internetgebruikers-vereist/feed/ 0
The Future is Legal: toekomst van het herroepingsrecht https://ictrecht.nl/2019/10/03/the-future-is-legal-toekomst-van-het-herroepingsrecht/ https://ictrecht.nl/2019/10/03/the-future-is-legal-toekomst-van-het-herroepingsrecht/#respond Thu, 03 Oct 2019 12:40:19 +0000 https://ictrecht.nl/?p=115618 Het herroepingsrecht, voor de consument een uitkomst en de ondernemer een strop. We kennen het recht inmiddels al enkele decennia. In dit blog doen we een blik vooruit hoe het herroepingsrecht de komende jaren zal veranderen, en of het überhaupt over 15 jaar nog bestaansrecht heeft. Oorsprong en ratio van het herroepingsrecht Al bijna dertig […]

Het bericht The Future is Legal: toekomst van het herroepingsrecht verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
Het herroepingsrecht, voor de consument een uitkomst en de ondernemer een strop. We kennen het recht inmiddels al enkele decennia. In dit blog doen we een blik vooruit hoe het herroepingsrecht de komende jaren zal veranderen, en of het überhaupt over 15 jaar nog bestaansrecht heeft.

Oorsprong en ratio van het herroepingsrecht

Al bijna dertig jaar heeft de consument in de EU de mogelijkheid om aankopen die buiten de verkoopruimte zijn gedaan (bv. colportage) achteraf ongedaan te maken met een beroep op het herroepingsrecht. De reden hiervoor is dat een consument buiten de verkoopruimte veelal met een aanbod overrompeld wordt en daardoor mogelijk te snel overgaat tot het sluiten van een overeenkomst. Daarom moesten consumenten de mogelijkheid krijgen om “zich te beraden over de verplichtingen die voor hem uit de overeenkomst voortvloeien”.

Ongeveer twintig jaar geleden is dit recht uitgebreid tot aankopen die op afstand worden gedaan, bijvoorbeeld via internet of telefoon. Dit omdat consumenten hierbij niet in staat zijn om “het product te zien of van de aard van de dienstverrichting kennis te nemen”.

In 2014 zijn deze regels in het voordeel van de consument uitgebreid. Voorgaande argumenten werden herhaald en bij aankoop van producten aangevuld met dat de consument deze moet kunnen “testen en inspecteren, voor zover dit noodzakelijk is om de aard, de kenmerken en de werking van de goederen na te gaan”.

Kort gezegd komt het er dus op neer dat het herroepingsrecht er is voor de gevallen dat de consument ofwel te snel overgaat tot akkoord ofwel geen redelijke mogelijkheid heeft gehad het product of aard van de dienst te beoordelen.

Een sprong vooruit

Uit het verleden valt af te leiden dat het herroepingsrecht telkens iets meer in het voordeel van de consument is uitgebreid. Maar wat kunnen we de komende decennia zoal verwachten? Een sprong vooruit:

  • Herroepingsrecht voor gratis diensten

Momenteel geldt het herroepingsrecht alleen voor diensten waar de consument een bedrag voor betaalt. Gevolg hiervan is dat veel gratis diensten, denk aan Facebook en Gmail, buiten de scope van de consumentenregelgeving vallen. Geen herroepingsrecht, maar ook geen bijzondere informatieplichten voor de aanbieder over bijvoorbeeld de aard van de dienst en wat je er zoal van mag verwachten.

Omdat consumenten bij dit soort diensten in feite met hun persoonsgegevens betalen, wordt met dit Europese wijzigingsvoorstel beoogt hier verandering in te brengen.

Bij doorvoering van het voorstel verkrijgen consumenten ook een herroepingsrecht voor gratis diensten en zullen aanbieders hen daar volledig over moeten gaan informeren. Belangrijker nog, als de consument gebruikmaakt van dit recht, zal de aanbieder vanaf dat moment geen waarde meer mogen halen uit de persoonsgegevens. De overeenkomst is dan immers ongedaan gemaakt, zodat ook de grondslagen van de gegevensverwerking komen te vervallen. Oók de grondslag toestemming, want separate intrekking daarvan is bij herroeping niet meer nodig, aldus deze interpretatie.

De gevolgen van herroeping van een gratis dienst zullen verder beperkt zijn. Aanbieders zullen niet gehouden zijn een vergoeding te betalen voor het eerdere gebruik van de persoonsgegevens, en evenmin is de consument verplicht te betalen voor het kortstondige gebruik van de gratis dienst. Het zal dan ook voornamelijk een informatieve last voor de aanbieder zijn.

Ondanks dat deze regels nog niet definitief zijn vastgesteld, is de verwachting dat de introductie van het herroepingsrecht voor gratis diensten niet meer wordt aangepast. Het moment waarop deze nieuwe regels van kracht worden is nog niet bekend, behalve dat het niet eerder dan begin 2022 zal zijn.

  • Geen herroepingsrecht voor aanschaf van (digitale) betaalmiddelen

Momenteel heerst er veel onduidelijkheid over de status van elektronische bonnen, e-coupons, tokens en virtuele munten. Vaak geven ondernemers aan dat het herroepingsrecht hiervoor is uitgesloten, omdat het om levering van digitale inhoud of digitale dienst zou gaan.

In deze inmiddels aangenomen richtlijn wordt duidelijk gemaakt dat dit soort digitale producten slechts een betaalmiddel zijn en niet als ‘digitale inhoud’ of ‘digitale dienst’ mogen worden gezien. Gevolg daarvan is dat het herroepingsrecht gewoon van toepassing is als je dit soort digitale betaalmiddelen koopt. Afhankelijk van de aard van het digitale betaalmiddel kan het mogelijk wel op een andere grond uitgesloten zijn van het herroepingsrecht. Denk bijvoorbeeld aan de aankoop van bitcoins waarop geen herroepingsrecht van toepassing is, omdat de prijs ervan gebonden is aan schommelingen op de financiële markten waarop de verkoper geen invloed heeft.

De verwachting is dus dat steeds meer aanbieders van elektronische bonnen, e-coupons, tokens en virtuele munten overstag zullen (moeten) gaan om het herroepingsrecht procedureel in te regelen. Daarbij is het belangrijk te realiseren dat als je onterecht niet(volledig) informeert over het herroepingsrecht, de bedenktermijn verlengd wordt met 12 maanden.

  • Geen herroepingsrecht als product beschadigd of gebruikt is

In de eerste versie van dit Europese wijzigingsvoorstel werd oorspronkelijk een nieuwe uitzondering op het herroepingsrecht geïntroduceerd: het herroepingsrecht zou moeten vervallen als een consument een product “meer heeft gebruikt dan nodig was om het uit te proberen”. Hier zien we voor het eerst dat er kritischer gekeken wordt naar de uitwerking van het herroepingsrecht in de praktijk.

Ondanks dat dit voorstel vooralsnog geschrapt is door het Europees Parlement zie ik dit alsnog doorgang vinden, nu of bij de eerstvolgende wijziging. Die kans daarop zal groter zijn als deze nieuwe uitzondering wordt voorzien van bepaalde waarborgen en/of toetsingscriteria, waarmee eindeloze discussie tussen ondernemer en consument voorkomen kan worden.

  • Leasen van producten

In de markt zien we een duidelijke verschuiving van koop naar huur, in hippe termen: private lease. Dit heeft qua herroepingsrecht aardig wat gevolgen voor de consument. Zo heeft de consument bij de koop van een product de mogelijkheid om het te beoordelen, gezien de bedenkermijn pas gaat lopen na de dag van aflevering. Bij huur gaat de bedenktermijn echter direct lopen op de dag nadat de overeenkomst is gesloten. Gevolg is dat de consument het gehuurde product korter, of, als het pas wordt geleverd na verloop van de bedenktermijn, helemaal niet kan beoordelen.

Misschien is het niet kunnen beoordelen van een product niet zo problematisch als je een container huurt voor een dag, maar gezien je tegenwoordig al bedden, elektronica, witgoed en in de toekomst wellicht volledige keukens kan huren, zou een aanpassing op zijn plaats zijn. Een aanpassing zou dan kunnen zijn dat de bedenktermijn bij huur van producten pas aanvangt op de dag nadat de consument het gehuurde heeft ontvangen. Mocht de consument vervolgens van dit recht gebruikmaken, dan moet hij natuurlijk wel een naar-rato vergoeding betalen – maar dat is nu ook al het geval.

Vooralsnog staat een dergelijke wijziging niet op de Europese agenda, maar over een periode van 15 jaar kan een hoop gebeuren.

  • Geen herroepingsrecht voor aankopen in een “virtuele verkoopruimte”

Hierboven is aangegeven waarom een consument nu eigenlijk een herroepingsrecht heeft. Met de huidige stand van zaken, de wijze waarop een consument online contracteert en van informatie wordt voorzien, is verdere handhaving van het herroepingsrecht in onaangepaste vorm zeker terecht. De online-ervaring verschilt nu eenmaal nog te veel van de offline-ervaring. Wel zien we dat online ondernemers steeds beter worden in het verschaffen van informatie voorafgaand aan de aankoop. Bijvoorbeeld middels uitgebreide (product)beschrijvingen, verkoopadvies op afstand, videodemonstraties, apps die virtueel passen van kleding mogelijk maken, of andere slimme oplossingen die bijvoorbeeld je kledingmaten (steeds beter) kunnen inschatten.

Mijn voorspelling is dan ook dat op termijn een uitzondering op het herroepingsrecht zal worden geïntroduceerd voor online aankopen die gedaan zijn in een ‘virtuele winkel’. In hoofdlijnen moet die virtuele winkel dan wel een vrijwel gelijke ervaring bieden als een fysieke winkel. Voor veel producten zie ik die gelijkschakeling op termijn wel gebeuren. Bijvoorbeeld het kopen van een TV terwijl je thuis op de bank zit met een VR-bril op, voorzien van live-verkoopadvies en demo’s op afstand. Voor producten waar andere zintuigen een belangrijke rol spelen bij de beoordeling (bv. parfum) ligt gelijkschakeling wel minder voor de hand.

Voor aankopen gedaan buiten een verkoopruimte (colportage of op een beurs), of middels telemarketing, verwacht ik een dergelijke wijziging sowieso niet zo snel. Dit komt doordat het herroepingsrecht daarvoor voornamelijk is gecreëerd om consumenten te beschermen tegen het overhaast sluiten van overeenkomsten. Nabootsing van de winkelervaring zal daar geen verandering in brengen. En voor telemarketing is dat gewoonweg ook niet mogelijk.

Het bericht The Future is Legal: toekomst van het herroepingsrecht verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
https://ictrecht.nl/2019/10/03/the-future-is-legal-toekomst-van-het-herroepingsrecht/feed/ 0
De grondslag ‘gerechtvaardigd belang’: oplossing voor privacy horde https://ictrecht.nl/2019/10/02/de-grondslag-gerechtvaardigd-belang-oplossing-voor-privacy-horde/ https://ictrecht.nl/2019/10/02/de-grondslag-gerechtvaardigd-belang-oplossing-voor-privacy-horde/#respond Wed, 02 Oct 2019 11:37:44 +0000 https://ictrecht.nl/?p=115571 Veel organisaties zien de Algemene Verordening Gegevensbescherming (AVG) als een horde. Een blok aan het been, dat van alles en nog wat verbiedt, en innovatieve ideeën in de weg staat. “Dat zal wel niet mogen van de AVG” is een veelgehoorde uitspraak. Klopt deze uitspraak? Nee. De AVG laat veel toe, mits je goed uitlegt wat […]

Het bericht De grondslag ‘gerechtvaardigd belang’: oplossing voor privacy horde verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
Veel organisaties zien de Algemene Verordening Gegevensbescherming (AVG) als een horde. Een blok aan het been, dat van alles en nog wat verbiedt, en innovatieve ideeën in de weg staat. “Dat zal wel niet mogen van de AVG” is een veelgehoorde uitspraak. Klopt deze uitspraak? Nee. De AVG laat veel toe, mits je goed uitlegt wat je aan het doen bent. Deze verantwoordingsplicht loopt als een rode draad door de AVG heen. Dit zie je ook terug bij de grondslagen voor het verwerken van persoonsgegevens, en dan met name de grondslag gerechtvaardigd belang. Als organisatie moet je een grondslag hebben om persoonsgegevens te verwerken. De grondslag “gerechtvaardigd belang” kan in bepaalde gevallen een passend alternatief zijn voor ongeschikt gebruik van, bijvoorbeeld, de grond “toestemming” of “de uitvoering van een overeenkomst”, mits je verantwoording aflegt met een driestappentoets. Hoe werkt dat nu precies met zo’n gerechtvaardigd belang?

Verantwoording afleggen met een driestappentoets

Het recht op privacy van de betrokkene is niet absoluut. Dat betekent dat andere rechten zwaarder kunnen wegen, wanneer die botsen met dit recht. De AVG noemt bijvoorbeeld expliciet dat in sommige gevallen het recht op ondernemerschap zwaarder kan wegen dan het recht op privacy van de betrokkene. Een beroep op de grondslag gerechtvaardigd belang kan uitkomst bieden in het geval je als organisatie meent een belang te hebben bij een verwerking van persoonsgegevens. Om gebruik te kunnen maken van de grondslag gerechtvaardigd belang dien je een zorgvuldige – schriftelijke – belangenafweging te maken. Daarbij dient te worden afgewogen of het belang van de organisatie (of van een derde), zwaarder weegt dan het privacybelang van de betrokkene. Om deze belangenafweging te maken dient een driestappentoets te worden doorlopen:

  • Heb je een gerechtvaardigd belang?
  • Is de voorgenomen verwerking van persoonsgegevens noodzakelijk om het doel te bereiken?
  • Weegt het belang van jouw organisatie (of een derde) zwaarder dan het privacybelang van de betrokkene?

 Stap 1: heb je een gerechtvaardigd belang?

Hoewel het redelijk voor zich spreekt dien je als organisatie (of een derde) ook daadwerkelijk een gerechtvaardigd belang te hebben. Met andere woorden, de verwerking van persoonsgegevens moet een bepaalde “waarde” voor de organisatie of een derde hebben.  Deze waarde dien je als organisatie duidelijk te verwoorden. Denk aan beveiliging, het aanpakken van fraude en/of commerciële waarde. In een eerdere blog schreven wij over een zaak waarin een werkgever een gerechtvaardigd belang had om een onderzoeksbureau in te schakelen, nadat er een melding was ontvangen van ongewenst gedrag op de werkvloer. De werkgever had er een bepaald belang bij dat het ongewenste gedrag werd onderzocht.

Stap 2: noodzakelijk?

Het verwerken van persoonsgegevens dient noodzakelijk te zijn om het doel te bereiken. In juridische taal ook wel de proportionaliteit- en subsidiariteitstoets genoemd. Proportionaliteit betekent dat de verwerking in verhouding moet staan tot het te bereiken doel. Daarbij is met name belangrijk om na te gaan of het verwerken van persoonsgegevens een bijdrage levert om dat doel te bereiken. Ook dienen er zo min mogelijk persoonsgegevens te worden verwerkt. Kan je het doel ook bereiken met minder persoonsgegevens? Als je bijvoorbeeld ongewenst internetgebruik van werknemers wil gaan controleren, dan mag je dit niet constant doen. Het doel kan namelijk ook worden bereikt als je steekproefsgewijs en periodiek gaat controleren.

Subsidiariteit houdt in dat het doel niet op een andere manier kan worden bereikt die minder ingrijpt in de privacy van werknemers. Er mogen dus geen andere minder zware middelen zijn waarmee het doel kan worden bereikt. In een eerdere blog schreven wij over het gebruik van een‘vingerscan-autorisatiesysteem’ bij schoenenketen Manfield. In het kader van noodzakelijkheid oordeelde de kantonrechter dat alternatieven die minder inbreuk maken op de privacy van werknemers, zoals een toegangspas, werknemerspas en/of cijfercodes, al dan niet in combinatie met elkaar, onvoldoende waren onderzocht.

Stap 3: belangenafweging

De laatste stap is het maken van een belangenafweging tussen de belangen van jouw organisatie (of een derde) en het privacybelang van de betrokkene. In dat kader dient onder andere de gevoeligheid van de gegevens te worden meegenomen. Indien het gaat om medische of financiële gegevens dan zal de belangenafweging minder snel in jouw voordeel uitvallen, dan wanneer er enkel contactgegevens worden verwerkt. Maar denk ook aan de doelgroep. Het verwerken van persoonsgegevens van kinderen (kwetsbare groep) zal lastiger zijn dan het verwerken van persoonsgegevens van professionele dienstverleners, omdat het belang van kinderen zwaar weegt. Verder speelt de verwachting van de betrokkene een rol. Mag de betrokkene verwachten dat zijn persoonsgegevens worden verwerkt? Als organisatie kun je maatregelen nemen om de belangenafweging eerder in jouw voordeel te laten uitvallen. Denk aan maatregelen zoals (1) het op de juiste wijze informeren over de verwerking van hun persoonsgegevens; (2) de persoonsgegevens niet inzetten voor andere doeleinden; (3) de persoonsgegevens zo snel mogelijk op een veilige manier verwijderen; (4) een onvoorwaardelijk recht van bezwaar aanbieden aan betrokkenen; en (5) het nemen van een passende beveiligingsmaatregel.

Het bericht De grondslag ‘gerechtvaardigd belang’: oplossing voor privacy horde verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
https://ictrecht.nl/2019/10/02/de-grondslag-gerechtvaardigd-belang-oplossing-voor-privacy-horde/feed/ 0
The Future is Legal: privacyontwikkelingen door de jaren https://ictrecht.nl/2019/09/27/the-future-is-legal-privacyontwikkelingen-door-de-jaren/ https://ictrecht.nl/2019/09/27/the-future-is-legal-privacyontwikkelingen-door-de-jaren/#respond Fri, 27 Sep 2019 09:31:21 +0000 https://ictrecht.nl/?p=115519 25 mei 2018. Menig multinational, mkb’er en overheidsinstantie had deze datum als een soort D-Day te boek staan in diens agenda: de dag dat de Algemene Verordening Gegevensbescherming (AVG) van toepassing werd. Waar komt deze ontwikkeling ook alweer vandaan, hoe staan we er vandaag de dag voor en wat voorspelt een voorzichtige blik in de toekomst? […]

Het bericht The Future is Legal: privacyontwikkelingen door de jaren verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
25 mei 2018. Menig multinational, mkb’er en overheidsinstantie had deze datum als een soort D-Day te boek staan in diens agenda: de dag dat de Algemene Verordening Gegevensbescherming (AVG) van toepassing werd. Waar komt deze ontwikkeling ook alweer vandaan, hoe staan we er vandaag de dag voor en wat voorspelt een voorzichtige blik in de toekomst?

Waar komen we vandaan?

In Europa dateert het fundamentele recht op bescherming van de privésfeer uit 1950, toen het Europese Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (het EVRM) werd gesloten. Het Europese Hof dat deze rechten waarborgt, heeft in de loop der jaren een brede interpretatie gegeven aan wat precies onder die privésfeer valt, maar ook wat er niet onder valt. Mensenrechten zijn namelijk niet absoluut en vereisen altijd een afweging tegen andere rechten en belangen.

In het kader van toenemende vragen omtrent privacy en persoonlijke gegevens in Europa, publiceerde de Organisation for Economic Co-operation and Development (OECD) in 1980 haar Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. Hoewel de richtlijnen juridisch niet-bindend waren, introduceerden ze een aantal principes die we vandaag nog terugzien in de AVG, waaronder de vereisten van rechtmatigheid, transparantie en doelbinding en het recht van de betrokkene op informatie.

In 1995 werd de daad bij het woord gevoegd door de totstandkoming van Europese regelgeving. Richtlijn 95/46/EG was zodoende specifiek gericht op de bescherming van persoonsgegevens. Nederland gaf in 2001 invulling aan de Richtlijn middels de welbekende Wet bescherming persoonsgegevens. Met het oog op technologische ontwikkelingen en grote verschillen tussen lidstaten die het vrije verkeer binnen Europa belemmerden, werd er sinds 2009 gekeken naar oplossingen om gegevensbescherming in heel Europa uniform te regelen. Het heeft even mogen duren, maar in 2016 was dan eindelijk de tekst van de AVG definitief, waarna deze op 25 mei 2018 in werking trad.

Waar staan we?

Anno 2019 spelen er natuurlijk hele andere vragen dan in 1950. Leuzen als ‘data is the new gold’ en ‘if the product is free, you are the product’ doen zich tegenwoordig de ronde. In hoeverre heb je namelijk privacy als je door de winkelstraat loopt (lees: wifi-tracking), wanneer je in de trein even op je smartphone kijkt (welke vrijwel onlosmakelijk is verbonden met de datagraaiers van deze wereld) of als je ’s avonds laat nog even je hardloopschoenen aantrekt (om je prestaties te meten en te delen met je nieuwe smartwatch en bijbehorende app)?

Voor elk aspect van ons leven ligt er wel een digitaal ‘hulp’middel in de markt dat speciaal voor ons het leven een klein stukje makkelijker zou maken. Wel onder de spreekwoordelijke voorwaarde dat je eerst de app downloadt, een account aanmaakt en je gegevens 24/7 deelt met niet nader gespecificeerde derden in Verweggistan. Daarnaast zijn datalekken, zoals ik laatst schreef, aan de orde van de dag en valt er bij menige organisatie nog wel het een en ander te halen op het gebied van informatiebeveiliging.

Dit klinkt wellicht wat pessimistisch, maar de ontwikkeling van privacyvriendelijke producten staat natuurlijk ook niet stil. De mensen beseffen daarnaast steeds meer welke risico’s er spelen bij het online delen van verscheidene aspecten van hun leven. Organisaties mogen bovendien op regelmatige basis inzage-, en verwijderingsverzoeken verwachten. In de commerciële sferen verwachten bedrijven ook dat hun leveranciers kunnen voldoen aan de privacywet. Compliance levert hierdoor ook voordelen op. Daarnaast merkt ook de toezichthouder, de Autoriteit Persoonsgegevens, dat de awareness bij de burger is toegenomen gelet op het aantal privacyklachten dat de AP ontving.

Ook bij onze westerburen, aan de andere kant van oceaan, wordt de roep om een uniforme aanpak omtrent privacy steeds groter. Recentelijk hebben 51 CEO’s van enkele van ’s werelds grootste bedrijven hun krabbel gezet onder een brief aan het Amerikaanse Congres, waarin zij pleiten voor een federale privacywet. De brief gaat vergezeld met een aantal speerpunten die zij graag terug willen zien, welke toch wel iets weg hebben van onze AVG. Het hoofddoel is vermoedelijk om diens wereldwijde koppositie in de markt te behouden, maar als de privacy van de Amerikaanse consument hiermee beschermd wordt, is dat natuurlijk mooi meegenomen.

Aan de andere kant van de wereld loopt het nog niet zo hard van stapel. Technologische ontwikkelingen gaan weliswaar als een lopend vuurtje, maar de privacy van de burger lijkt, althans in sommige landen, geen rol te spelen. Zo zijn er in China 1984-achtige praktijken gaande, waar het sociaal kredietsysteem klaarstaat om in 2020 in het hele land ingevoerd te worden. Een ontwikkeling die nog wel eens wordt vergeleken met Black Mirror’s Nosedive aflevering.

Dat geldt gelukkig niet voor Azië als geheel. Japan is inmiddels adequaat bevonden door de Europese Commissie, en ook Zuid-Korea staat op de planning. Daarnaast heeft de Asia-Pacific Economic Cooperation haar eigen Cross Border Privacy Rules framework geïmplementeerd, om het op privacy gefocuste Westen te laten zien het onderwerp ook serieus te nemen. Hier komen welbekende onderwerpen als de verantwoordingsplicht, integriteit, doelbinding, beveiliging en de rechten van toegang en correctie in terug.

Waar gaan we naartoe?

Toen de AVG in werking trad, uitten sceptici meteen kritiek dat de wet alweer verouderd zou zijn. Haar uitgangspunt is echter technologieneutraliteit, hetgeen bedoeld is om juist toekomstbestendig te zijn door ruimte te laten voor interpretatie. In mijn dagelijkse praktijk kom ik alleen vaak genoeg casus tegen die heel wat complexer liggen dan de essentiële uitgangspunten van de AVG en hierdoor niet zomaar te interpreteren zijn. Denk bijvoorbeeld aan de rolverdeling wanneer allerlei derde partijen op de (technische) achtergrond spelen en gegevens aan elkaar doorgeven en wie zodoende bepaalde rechten en plichten heeft. Ander voorbeeld: het behouden van grip op verwerkingen in lange, wereldwijde ketens. Privacy is bovendien niet iets dat nu, eenmalig aangepakt moet worden. Juist op het pad dat technologische ontwikkelingen bewandelen dient privacy altijd in het achterhoofd te worden gehouden. De mens blijft immers centraal staan.

Het bericht The Future is Legal: privacyontwikkelingen door de jaren verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
https://ictrecht.nl/2019/09/27/the-future-is-legal-privacyontwikkelingen-door-de-jaren/feed/ 0
Eén grondslag ‘to rule them all’. Of toch niet? https://ictrecht.nl/2019/09/25/een-grondslag-to-rule-them-all-of-toch-niet/ https://ictrecht.nl/2019/09/25/een-grondslag-to-rule-them-all-of-toch-niet/#respond Wed, 25 Sep 2019 10:13:08 +0000 https://ictrecht.nl/?p=115447 Toestemming. Dé basis voor het gros van de verwerkingen van persoonsgegevens onder de Algemene Verordening Gegevensbescherming (AVG). Organisaties nemen massaal hun toevlucht tot het vragen van toestemming alvorens er persoonsgegevens verwerkt worden. Veelal overtuigd dat het ‘netjes vragen om toestemming’ uiteindelijk zal leiden tot minder gedoe en dat het een stoplicht op groen biedt, om vervolgens […]

Het bericht Eén grondslag ‘to rule them all’. Of toch niet? verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
Toestemming. Dé basis voor het gros van de verwerkingen van persoonsgegevens onder de Algemene Verordening Gegevensbescherming (AVG). Organisaties nemen massaal hun toevlucht tot het vragen van toestemming alvorens er persoonsgegevens verwerkt worden. Veelal overtuigd dat het ‘netjes vragen om toestemming’ uiteindelijk zal leiden tot minder gedoe en dat het een stoplicht op groen biedt, om vervolgens zonder al te veel oponthoud aan de slag te kunnen gaan met de voorgenomen verwerking. En dat terwijl een beroep op toestemming in veel gevallen niet alleen een stuk minder efficiënt is dan het gebruik van één van de andere grondslagen, maar het daarnaast ook een aantal risico’s met zich meebrengt.

Recap: de AVG en grondslagen

Voordat we ingaan op de grondslag toestemming en de mitsen en maren die kleven aan het gebruik van deze grondslag is het goed om eraan herinnerd te worden dat de verwerking van persoonsgegevens in veel gevallen echt niet staat of valt bij het al dan niet mogen beroepen op toestemming. Immers, er zijn nog vijf andere grondslagen die van toepassing kunnen zijn:

  • Verwerken van persoonsgegevens ter uitvoering van een overeenkomst. Misschien wel de meest relevante grondslag onder de AVG. Bestel je bijvoorbeeld een pakketje bij een webshop, dan hoeft deze webshop echt niet om jouw toestemming te vragen om je adresgegevens te mogen delen met de bezorger. Het is toch logisch dat je bij het sluiten van een koopovereenkomst wenst dat de aankoop uiteindelijk op je deurmat terecht komt?
  • Voldoen aan een wettelijke verplichting. Soms moet je persoonsgegevens verwerken, simpelweg omdat hier een wettelijke opdracht toe is. Denk hierbij bijvoorbeeld aan het bewaren van bepaalde persoonsgegevens voor de Belastingdienst.
  • Om de vitale belangen van een betrokkene te behartigen. Hoewel deze grondslag zich niet vaak aandient is deze zeker vitaal te noemen. Hierbij draait het erom dat er gegevens van een betrokkene verwerkt mogen worden als die hier b.v. geen toestemming voor kan geven, maar het nodig is om zijn/haar leven te kunnen redden.
  • Ter behartiging van een taak van algemeen belang of de uitoefening van openbaar gezag. Voor het overgrote deel gericht op overheden. Denk bijvoorbeeld aan het verwerken van persoonsgegevens door de burgermeester in het kader van zijn/haar verantwoordelijkheid van het handhaven van de openbare orde. Echter, ook niet-overheden kunnen zich hierop beroepen. Zo worden ook aan liefdadigheidsinstellingen dergelijke taken toegewezen.
  • Voor de behartiging van een gerechtvaardigd belang. Een grondslag die allereerst een daadwerkelijk belang vereist, welke enkel behartigd kan worden middels de verwerking van een bepaalde set persoonsgegevens. Ook dient een belangenafweging gemaakt te worden om te kijken of de belangen van de betrokkenen niet zwaarder wegen dan dit gerechtvaardigd belang. Typische voorbeelden van het verwerken van persoonsgegevens op grond van een gerechtvaardigd belang: verwerkingen die noodzakelijk zijn voor het uitvoeren van bedrijfsprocessen, zoals het registeren van bezoekers aan uw kantoor.

Nadelen aan toestemming

De bovenstaande lijst doorlopende valt op dat er verschillende wegen bewandeld kunnen worden om persoonsgegevens te mogen verwerken. Toch is ‘toestemming’ verreweg de bekendste grondslag. Waarom is het dan niet zonder meer de meeste gewenste grondslag voor een verwerkingsverantwoordelijke?

Op deze vraag zijn diverse antwoorden mogelijk. Een eerste reden zit ‘m erin dat er aan rechtsgeldige toestemming flink wat eisen verbonden zijn. Dacht je dus dat je goed zat met je grondslag, blijkt dat nog niet alle zaakjes op orde waren. Zo moet de toestemming onder meer vrij (dus zonder dwang); ondubbelzinnig; op informatie berust; actief gegeven; en, zonder consequenties in te trekken zijn. In veel gevallen is dit simpelweg lastig te bewerkstellingen.

Daarnaast omvatten deze vereisten ook direct het tweede nadeel aan het gebruik van toestemming. Immers, gegeven toestemming kan altijd ingetrokken worden, zonder dat de betrokkene hiervoor een gegronde reden hoeft aan te dragen. Belangrijke processen die op de grondslag van toestemming (van meerdere personen) draaien lopen dus constant het risico om spaak te lopen, of in ieder geval ernstige vertraging te ondervinden doordat er ergens iemand zijn/haar toestemming intrekt.

Ook lijken verantwoordelijken zich in veel gevallen te vergissen in het feit dat gegeven toestemming een vrijbrief in zou houden voor het mogen verwerken van persoonsgegevens. Dit is namelijk niet het geval. Ook voor toestemming is een noodzakelijkheids- en proportionaliteitstoets nodig. Is de voorgenomen verwerking dus niet noodzakelijk om een vastgesteld doel te bereiken, dan heb je ook aan ontvangen toestemming niets.

Hoe dan wel?

Bij het nadenken over de verwerking van persoonsgegevens is het dus belangrijk om ook de alternatieven van toestemming te overwegen. Los van de vraag of toestemming in alle gevallen wel de meest gewenste resultaten met zich meebrengt, is het ontvangen van toestemming niet eens altijd noodzakelijk om de geplande verwerking doorgang te laten vinden.

In veel gevallen is de verwerking immers al onderdeel van een gegeven opdracht door de betrokkene. Nee, het is dus niet noodzakelijk om mij te vragen om mijn toestemming voor het verwerken van mijn gegevens, als ik ergens contractueel de opdracht toe geef! Ook snap ik dat mijn gegevens verwerkt worden om ervoor te zorgen dat ik mijn salaris ontvang aan het einde van de maand.

Valt het niet onder de uitvoering van de overeenkomst? Ook dan is er in sommige gevallen dus nog meer mogelijk. Een gerechtvaardigd belang ondervangt namelijk al verschillende verwerkingen van persoonsgegevens die ‘logisch’ en noodzakelijk zijn in het geval ze een geringe inbreuk maken op de privacy van betrokkenen.

Het bericht Eén grondslag ‘to rule them all’. Of toch niet? verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
https://ictrecht.nl/2019/09/25/een-grondslag-to-rule-them-all-of-toch-niet/feed/ 0
The Future is Legal: gedaan met privacy op school over 15 jaar? https://ictrecht.nl/2019/09/20/the-future-is-legal-gedaan-met-privacy-op-school-over-15-jaar/ https://ictrecht.nl/2019/09/20/the-future-is-legal-gedaan-met-privacy-op-school-over-15-jaar/#respond Fri, 20 Sep 2019 10:05:34 +0000 https://ictrecht.nl/?p=115435 “Mam, gym is uitgevallen vandaag, dus ik ga naar de stad!”. Hopelijk kijkt de moeder niet in Magister (een systeem met informatie over leerlingen en hun schoolprestaties), want dan komt ze erachter dat haar kind heeft gespijbeld. In deze blog bespreken we de privacy van leerlingen. Ook kinderen hebben namelijk recht op privacy, maar ouders […]

Het bericht The Future is Legal: gedaan met privacy op school over 15 jaar? verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
“Mam, gym is uitgevallen vandaag, dus ik ga naar de stad!”. Hopelijk kijkt de moeder niet in Magister (een systeem met informatie over leerlingen en hun schoolprestaties), want dan komt ze erachter dat haar kind heeft gespijbeld. In deze blog bespreken we de privacy van leerlingen. Ook kinderen hebben namelijk recht op privacy, maar ouders hebben weer een wettelijke zorgplicht. Dat botst nog weleens in de praktijk. We gaan 15 jaar terug in de tijd; hoe zag het schoolleven er toen uit? En we stappen – in het kader van ons event ‘The Future is Legal’ in een tijdmachine om te speculeren over hoe onderwijs en privacy van leerlingen over 15 jaar geregeld is.

Vroeger was alles beter

Als je het onderwijs van nu vergelijkt met 15 jaar geleden, dan zien we dat er een hoop is veranderd. Cijfers van proefwerken werden klassikaal medegedeeld; van onvoldoendes tot hoge cijfers. Leerlingen wisten van elkaar welk cijfer er was behaald. Op de laatste dag voor de vakantie kreeg je een rapport. Had je slechte cijfers gehaald, dan liet je het rapport gewoon in je kluisje. De braafste leerlingen waren bij elke les aanwezig, maar er waren ook altijd een paar leerlingen die van spijbelen een sport maakten. Die spijbelaars waren vaak heel handig met het namaken van de handtekening van hun ouders.

In mijn beleving hadden leerlingen vroeger best veel “privacy”. Daarmee bedoel ik eigenlijk dat je de voortgang van je schoolprestaties nog geheim kon houden voor je ouders, tot het moment aanbrak dat je samen met je ouders op gesprek moest komen.

Is er nu nog privacy op school?

De papieren agenda is inmiddels ingeruild voor een leerlingvolgsysteem, zoals Magister en Somtoday. Via dit soort systemen hebben niet alleen leerlingen toegang tot hun lesrooster, cijfers en afwezigheidsoverzicht, maar ook de ouders. Waar leerlingen vroeger nog eens ‘per ongeluk’ het rapport in de kluis konden laten liggen of niet naar de les gingen, volgen ouders tegenwoordig alle activiteiten van hun kind op de voet. Wat dat betreft is het gedaan met de privacy van leerlingen.

Inzage in leerlingvolgsystemen

Is het eigenlijk wel toegestaan dat ouders inzage hebben in het systeem? Je zou kunnen beargumenteren dat scholen de wettelijke verplichting hebben om ouders te informeren over hoe het met hun kind gaat op school. Maar is het daarvoor noodzakelijk om ouders toegang te geven tot leerlingvolgsystemen? Dat denk ik niet. Als je het hebt over privacy dien je je altijd af te vragen of er geen ander middel is die minder inbreuk maakt op de privacy. Wat is er mis met een 10-minuten gesprek? En is het echt wel nodig om als ouder alle ins en outs van de leerling te weten? Met een rapport en de ouderwetse ouderavond kan toch worden voldaan aan de informatieplicht, zonder dat kinderen constant op de huid worden gezeten?

De jeugd van tegenwoordig heeft het niet makkelijk met de komst van leerlingvolgsystemen. Niets blijft meer geheim, ouders zijn overal van op de hoogte. Tijdens het avondeten mag je gaan uitleggen waarom je voor biologie een onvoldoende hebt gescoord.

De school van de toekomst

Als het nu al matig is gesteld met de privacy van leerlingen, kun je je afvragen hoe het er in de toekomst aan toegaat op school. Zijn er überhaupt nog scholen dan? Ik denk dat er over 15 jaar veel minder scholen zijn, en wel om twee redenen: lerarentekort en digitalisering. Vanwege het lerarentekort wordt er gezocht naar oplossingen, en digitalisering is daar één van. Als er meer digitaal onderwijs gegeven wordt, dan kunnen leerlingen op een gegeven moment ook vanuit huis lessen volgen. Op universiteiten gebeurt dit al jaren. Zodra de pubers thuis digitaal onderwijs volgen, hebben ze al helemaal geen privacy meer. Als alles digitaal gaat, zoals huiswerk en toetsen maken, dan kan alles natuurlijk nog meer gevolgd worden.

Schieten deze volgsystemen hun doel niet voorbij? Het doel van onderwijs is toch leren? Systemen moeten dit gemakkelijker maken, maar hebben als neveneffect dat alles te volgen is. Kinderen moeten toch ook een beetje kind kunnen zijn en kattenkwaad kunnen uithalen? Anders wordt school een soort glazen huis, waar niets onbespied kan plaatsvinden. Werken al die volgsystemen niet averechts en komen kinderen niet te veel onder druk te staan? En het belangrijkste misschien wel: privacy is een grondrecht waar kinderen recht op hebben, daar wordt aan getornd.

Benieuwd naar de toekomst van technologie en recht?

Om ons 15-jarig jubileum te vieren, roepen we dit jaar uit tot het jaar van de ‘Toekomst van het ICT-recht’. Met verschillende blogs, acties én het congres ‘The Future is Legal’ staan we stil bij de toekomst en ontwikkeling van het internet en ICT-recht. Wilt u bij het congres ‘The Future is Legal’ aanwezig zijn? Dat kan! Bekijk de event website voor meer informatie en tickets.

Het bericht The Future is Legal: gedaan met privacy op school over 15 jaar? verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
https://ictrecht.nl/2019/09/20/the-future-is-legal-gedaan-met-privacy-op-school-over-15-jaar/feed/ 0
Wat te doen bij datalekken? https://ictrecht.nl/2019/09/18/wat-te-doen-bij-datalekken/ https://ictrecht.nl/2019/09/18/wat-te-doen-bij-datalekken/#comments Wed, 18 Sep 2019 07:28:20 +0000 https://ictrecht.nl/?p=115412 Vrijwel dagelijks verschijnen ze in het nieuws: datalekken. Of het nu bij de overheid is, het mkb of een van de techgiganten, elke organisatie heeft ermee te maken. Zo werden er in 2018 maar liefst 20.881 datalekken bij de Autoriteit Persoonsgegevens (AP) gemeld, een verdubbeling ten opzichte van 2017. Wij krijgen vaak de vraag wat […]

Het bericht Wat te doen bij datalekken? verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
Vrijwel dagelijks verschijnen ze in het nieuws: datalekken. Of het nu bij de overheid is, het mkb of een van de techgiganten, elke organisatie heeft ermee te maken. Zo werden er in 2018 maar liefst 20.881 datalekken bij de Autoriteit Persoonsgegevens (AP) gemeld, een verdubbeling ten opzichte van 2017. Wij krijgen vaak de vraag wat een datalek nu precies is, hoe je hier het beste op kunt reageren, en of de AP meteen op de stoep staat na een datalek. In deze blog beantwoorden we deze veelgestelde vragen.

Wat is een datalek en hoe herken ik er een?

De eerste stap naar een datalek is dat er sprake is van een inbreuk op de beveiliging. Op grond van de Algemene Verordening Gegevensbescherming (AVG) dienen organisaties voldoende technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen. Waterdichte beveiliging bestaat echter niet, en dat wordt dan ook niet verwacht. De AVG vereist een beveiligingsniveau dat is afgestemd op het risico van de verwerkingen. Voor bijzondere persoonsgegevens gelden daarom extra strenge maatregelen.

Een inbreuk op de beveiliging betekent dat er iets is gebeurd dat niet in lijn is met de genomen beveiligingsmaatregelen of het -beleid. Om te spreken van een datalek, moet de beveiligingsinbreuk ‘per ongeluk of op onrechtmatige wijze’ leiden tot een verkeerde verwerking. Datalekken kunnen dus niet alleen ontstaan door bijvoorbeeld hacks en aanvallen, maar ook (juist) door menselijke foutjes. De wet houdt hier rekening mee.

Tot slot moet worden gekeken of het incident een risico of zelfs een hoog risico oplevert voor de betrokkene(n). Een datalek dat geen risico voor de betrokkene(n) oplevert, hoeft namelijk niet te worden gemeld. Dit dient wel intern geregistreerd te worden.

De AP heeft eerder dit jaar enkele voorbeelden van datalekken gepubliceerd:

  • Een direct-marketingmail wordt verzonden naar ontvangers in “CC” in plaats van in “BCC”. Hierdoor ziet iedere ontvanger het mailadres van iedere andere ontvanger.
  • Een onlinedienst wordt gehackt, waardoor klantgegevens geëxtraheerd konden worden.
  • Alle persoonsgegevens binnen een organisatie zijn ontoegankelijk door een ransomware-aanval.
  • Een DDOS-aanval leidt ertoe dat een ziekenhuis gedurende 30 uur medische dossiers niet in kan zien.
  • Persoonsgegevens van een groot aantal studenten worden naar de verkeerde mailinglijst verzonden.

Wat moet ik doen als ik een datalek ontdek?

De verwerkingsverantwoordelijke moet een datalek binnen 72 na ontdekking melden bij de toezichthouder. Het is daarom belangrijk dat medewerkers weten wat een datalek is, hoe ze dit kunnen herkennen en wie verantwoordelijk is voor een eventuele melding bij de AP. Behulpzaam hierbij is het hanteren van een calamiteitenplan datalekken, waarin de procedures duidelijk worden uitgelegd.

Ben je veelal verwerker van persoonsgegevens, dan kun je een meldplicht richting je klanten hebben. De wet zegt niet binnen welke termijn deze melding moet worden gedaan, maar dit dient in ieder geval ‘zonder onredelijke vertraging’ na ontdekking te gebeuren. Hier dienen duidelijke afspraken over te worden gemaakt in de verwerkersovereenkomst.

Leidt een datalek tot een hoog risico voor betrokkenen? Dan dienen ook die betrokkenen (in begrijpelijke taal!) te worden geïnformeerd over wat er precies is gebeurd en wat de gevolgen kunnen zijn. Ook dienen zij te horen waar ze terecht kunnen voor meer informatie en of ze zelf nog maatregelen kunnen nemen. De manier waarop is vormvrij: dit mag per mail, maar ook telefonisch of in persoon.

Heb je de maken met een datalek of een beveiligingsincident? Beide dienen in ieder geval intern te worden geregistreerd in een datalekkenregister.

Leidt een datalek tot een boete?

Een datalek levert niet altijd een boete op. Wanneer de beveiliging op orde is, en een datalek netjes wordt gemeld, hoeft de melder zich in principe geen zorgen te maken. Is de beveiliging echter niet op orde en wordt een datalek gemeld, dan kan dit inderdaad leiden tot een onderzoek en een boete voor onvoldoende beveiliging. Is de beveiliging wel op orde, maar wordt een datalek onder het kleed geschoven en de toezichthouder komt hierachter, dan kan dit leiden tot een boete voor het verzwijgen. Is én de beveiliging niet op orde, én er wordt niet gemeld, dan is de organisatie dubbel in overtreding.

Datalekken en beveiliging vallen in de zogenaamde tweede boetecategorie. Dat betekent dat overtreding kan leiden tot een boete van maximaal €10.000.000,- of 2% van de wereldwijde omzet.

Wees voorbereid

Zorg dat het intern duidelijk is wat een datalek is, wat medewerkers moeten doen als ze er een tegenkomen én wat de mogelijke gevolgen zijn van niet-melden. Bestaat er twijfel over of er sprake is van een datalek of een beveiligingsincident, neem dan contact op met één van onze privacy-specialisten.

Het bericht Wat te doen bij datalekken? verscheen eerst op ICTRecht juridisch adviesbureau.

]]>
https://ictrecht.nl/2019/09/18/wat-te-doen-bij-datalekken/feed/ 2