GDPR. Et alors?

1

GDPR.

Matthias Dobbelaere-Welvaert

Et alors?

2

Over theJurists

theJurists is gespecialiseerd in privacy, digitaal recht, intellectuele eigendom en vennootschapsrecht. theJurists gelooft in digital transformation en artificiële intelligentie, en werkt hard aan projecten die recht opnieuw toegankelijk moet maken. Wij staan voor een open, transparant en innoverend recht.

Gent - Brussel - London - Paris - Amsterdam

theJurists Europe is een eigentijds juridisch nichekantoor, en speelt sinds acht jaar een pioniersrol in digitaal recht.

• Insert Image

3

Over Matthias

MATTHIAS DOBBELAERE-WELVAERT

Matthias is de Managing Partner voor theJurists Europe, met kantoren in Gent, Brussel, Amsterdam, Parijs en Londen. Hij is lid van de raad van bestuur van FeWeb en Ghent Web Valley. Hij doceert aan de EHB ‘Copyright and Mediarights’. Hij is gespecialiseerd in online privacy, cybercrime, en art. 10 EVRM.

theJurists Europe.

MANAGING PARTNER

4

Wat is Privacy?Elk gegeven dat kán terugleiden naar een persoon, is een persoons gegeven.

5

art. 8 EVRMRecht op eerbiediging

van het privé-leven.

Een ieder heeft het recht op respect voor zijn privé leven, zijn familie- en

gezinsleven, zijn woning en zijn correspondentie. Geen inmenging

van enig openbaar gezag is toegestaan in de uitoefening van dit

recht, dan voor zover bij wet is voorzien en in een democratische

samenleving noodzakelijk is

7

De Privacycommissie

Bart Tommelein, de ex-Staatssecretaris maakte furore met Facebook aan te klagen, te winnen in eerste aanleg en dan … te verliezen.

Zijn opvolger, Philippe De Backer, wil nu Google aanklagen voor vermeende privacyschendingen. Waar liggen de prioriteiten van de Privacycommissie?

Mediageile stunter of daadwerkelijke waakhond?

8

Informatie is het nieuwe goudEen gratis dienst bestaat niet. Is er geen toegangs- of verkoopprijs, dan is de gebruiker simpelweg het product. Privacy is een nieuwe currency. Facebook, Snapchat, Instagram, Gmail, Twitter, etc. werken allemaal volgens dat principe. Dezelfde redenering gaat op voor online wedstrijden. Het doel is altijd (meer) data.

9

Debat

MEER VAN IETS IS MINDER VAN HET

ANDER

En, wat mag het zijn voor u? Privacy of

Veiligheid?

10

Een nieuwe Europese verordening die de Privacy in de Europese lidstaten regelt.

De Algemene Verordening Gegevensbescherming (of: GDPR) is een verordening waarmee de Europese Commissie de veiligheid van data wil bevorderen. Het gaat hierbij vooral om het beschermen van persoonlijke informatie van Europese inwoners, maar ook om het reguleren van de export van persoonlijke data buiten de Europese Unie. De Europese Commissie wil hiermee de controle over persoonlijke data teruggeven aan het individu.

Wat is de GDPR?

11

De Algemene Verordening Gegevens-bescherming is aangenomen in april 2016. Zij trad in werking op 24 mei 2016 en zal integraal van toepassing zijn vanaf 25 mei 2018. Dit geeft Europese overheden en bedrijven twee jaar de tijd om zich voor te bereiden op de veranderende regelgeving.

25 mei 2018 De voorganger van de GDPR is de privacyrichtlijn 95/46/EG die bestaat sinds 1995, maar niet langer toereikend is in het huidige digitale tijdperk. De GDPR is echter een verordening en niet langer slechts een richtlijn.

Een richtlijn moet binnen iedere lidstaat omgezet worden naar nationale wetten, terwijl een verordening rechtstreeks geldig is.

De lidstaten mogen wel nog steeds eigen accenten leggen en de nationale wetgeving aanpassen aan de eigen gebruiken. Zo zijn er bijvoorbeeld regionale verschillen in de maximumleeftijd van kinderen.

12

Toepassingsgebied

De nieuwe privacyverordening of GDPR vervangt de huidige richtlijn met betrekking tot privacy. Wanneer jouw onderneming op dit ogenblik al te maken heeft met nationale privacywetgeving dan mag je ervan uitgaan dat ook de nieuwe verordening op jouw onderneming van toepassing is.

13

Weet je niet zeker of de verordening wel op jou van toepassing is, dan moet je jezelf de vraag stellen: Verwerkt mijn onderneming persoonsgegevens van EU-burgers?

Verwerk je gegevens?

Wat is verwerken? Wat zijn persoonsgegevens?

14

Persoonlijke data is dus om het even welke informatie die direct of indirect een natuurlijk persoon kan identificeren. Dus ook: IP adressen, human tissue, anonieme vs pseudonieme data: (enkel bij anonimisering kan men niet meer spreken over persoonlijke data).

Wat zijn persoons-gegevens?

Art. 4.1. GDPR: “alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.”

JUISTE REFLEX

15

Dus: quasi elke handeling met een persoonsgegeven. Reflex aanleren.

Wat is verwerken?

Art. 4.2. GDPR: “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”

JUISTE REFLEX

16

Waar is de GDPR van toepassingDeze verordening is van toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verwerkingsverantwoordelijke of een verwerker in de Unie, ongeacht of de verwerking in de Unie al dan niet plaatsvindt.

17

Deze verordening is van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de Unie bevinden, door een niet in de Unie gevestigde verwerkingsverantwoordelijke of verwerker, wanneer de verwerking verband houdt met:

a) het aanbieden van goederen of diensten aan deze betrokkenen in de Unie, ongeacht of een betaling door de betrokkenen is vereist; of b) het monitoren van hun gedrag, voor zover dit gedrag in de Unie plaatsvindt.

Verwerk je gegevens?

18

Het maakt niet langer uit of de verwerking van de gegevens gebeurt binnen de Europese Unie of niet, zolang er maar gegevens worden verwerkt van natuurlijke personen die zich in de Unie bevinden. Dit is een belangrijke vooruitgang voor de privacy van particulieren. Vroeger konden belangrijke internetgiganten zoals Google en Amazon ontsnappen aan de Europese privacywetgeving aangezien ze een hoofdvestiging in Silicon Valley hadden, maar wanneer nu persoonsgegevens verwerkt worden van Europese burgers zal de GDPR ook op hen van toepasing zijn.

Waar?

19

De verplichtingen in de GDPR zijn daarboven niet alleen van toepassing op ondernemingen die persoonsgegevens verwerken voor eigen doeleinden (verwerkingsverantwoordelijken), maar ook ondernemingen die persoonsgegevens verwerken ten behoeve van andere ondernemingen (verwerkers). Wanneer je als onderneming wordt ingehuurd om de marketing van een andere onderneming te verzorgen en hierbij de contactgegevens van zijn klanten verzamelt, val ook jij dus onder het toepassingsgebied van de GDPR.

Onder- aannemer?

20

Je verplichtingen onder de GDPR: toestemming, informeren, beveiliging.

De bestaande privacywetgeving legt reeds veel verplichtingen op die ook in de GDPR aanwezig zijn. Er zijn echter een aantal bijkomende zaken waar je je onderneming moet op voorbereiden als je GDPR-compliant wil handelen.

Wat moet je doen?

21

Toestemmen Anders dan vroeger in de GDPR: mag steeds worden ingetrokken, kan niet worden gegeven wanneer belangrijk onevenwicht, moet worden gegeven via actieve handeling.

Toestemming kan enkel door een actieve handeling worden gegeven. Daaruit moet blijken dat de dataverstrekker vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van persoonsgegevens instemt. Indien de verwerking meerdere doeleinden heeft, moet de verstrekker voor ieder daarvan afzonderlijk toestemming geven.

Bovendien kan hij of zij de toestemming te allen tijde intrekken én moet dit even eenvoudig zijn als het geven ervan.ART. 6 GDPR

22

Voor een kind jonger dan 16 jaar geldt de volgende regel:

De verwerking is enkel rechtmatig wanneer de toestemming of machtiging tot toestemming wordt verleend door de persoon die ouderlijke verantwoordelijkheid over het kind draagt.

Deze leeftijdsgrens kan door andere regionale autoriteiten verlaagd worden tot 13 jaar, dus hier kunnen regionale verschillen optreden

ART. 6 GDPR

23

Overeen-komst

Dit is bijvoorbeeld wanneer je een auto wil kopen. De verkoper moet jouw naam adres etc vragen om je de auto te kunnen verkopen. Toestemming is hier niet vereist.

Wanneer de verkoper vraagt om je hobby’s kan hij niet op deze rechtvaardigingsgrond steunen.

ART. 6 GDPR

24

Wettelijke verplichting

Wanneer bijvoorbeeld je werkgever je loon moet betalen moet hij een deel voor sociale zekerheid inhouden. Daarvoor moet hij informatie over werknemer sturen naar de sociale zekerheid. Een werkgever dient immers zijn werknemer te betalen en belastingen te betalen.

1. Noodzakelijk om vitale belangen te beschermen van betrokkene,

2. Noodzakelijk voor vervulling taak algemeen belang,

3. Noodzakelijk voor behartiging van gerechtvaardigde belangen van verwerkingsverantwoordelijke of een derde (belangenafweging doen).

ART. 6 GDPR

25

De controller moet steeds verduidelijken voor welke doeleinden.

PURPOSE INFORMATIE

Transparantiebeginsel: Waarom zijn deze gegevens nodig hier?

Doel & informatie

Lee & White consultants.

26

Bijzondere persoonsgegevens of gevoelige persoonsgegevens slaan op bepaalde categorieën van gegevens waarvan de wetgever vindt dat ze extra bescherming nodig hebben. Dit zijn persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, of genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid of gegevens met betrekking tot iemands seksueel gedrag of seksuele geaardheid.

Beetje speciaal

De verwerking van deze gegevens is normaal gezien verboden, maar hier bestaan wel belangrijke uitzonderingen op.

27

1. Passende beveiligingsmaatregelen nemen,

2. De rechten van het datasubject respecteren,

3. Profilering: datasubject moet zich hiertegen altijd kunnen verzetten.

4. Een aantal bijkomende verplichten ten aanzien van dataprocessors.

En wat nog?

28

Specifieke verplichtingen onder de GDPRDe GDPR legt daarnaast ook specifieke nieuwe verplichtingen op. Zo moeten er DPO’s (Data Protection Officers) aangenomen worden als de voorwaarden zijn vervuld, ben je verplicht melding te geven over een datalek, en is er een grotere verantwoordingsplicht aanwezig.

29

DPO of Data Protection Officer

De DPO is ondertussen al enkele keren vermeld geweest en vormt ook een van de meest ingrijpende veranderingen die de verordening met zich meebrengt. Of toch op zijn minst voor sommigen. U bent namelijk enkel verplicht om een DPO aan te duiden indien u op 1 van volgende vragen ‘ja’ moet antwoorden:

Verwerk je meer dan 5000 dataverstrekkers per jaar?

> 5000

OVERHEID

BIJZONDER

OBSERVATIE

Ben je een overheidsinstantie of -orgaan?

Verwerk je hoofdzakelijk bijzondere gegevens?

Doe je aan regelmatige observatie op grote schaal?

1

2

3

4

30

De rol van Data Protection Officier of DPO mag u toekennen aan een bestaande werknemer. Diens andere verantwoordelijkheden moeten echter compatibel zijn met de verplichtingen die bij de rol van DPO komen kijken. Hij of zij mag geen tegenstrijdige belangen dienen. Binnen een bedrijvengroep of concern mag één DPO aangeduid worden, zolang deze voor iedere vestiging gemakkelijk bereikbaar is. Bovendien mag de DPO als werknemer worden aangenomen door de verwerkingsverantwoordelijke, maar ook zijn taken vervullen binnen een dienstverleningsovereenkomst.

De rol van een DPO

31

Uw organisatie en werknemers die persoonsgegevens beheren, van informatie en advies voorzien omtrent de verplichtingen die bij de GDPR komen kijken; De correcte naleving van de General Data Protection Regulation monitoren door middel van de Europese of lokale beschermingsvoorzieningen en de privacy policy van uw organisatie. Dit slaat ook op het trainen van betrokken werknemers en het uitvoeren van gerelateerde audits; Uw organisatie adviseren omtrent de verplichte risicoanalyse en de resultaten ervan; • Samenwerken met de regionale autoriteit en als contactpersoon optreden voor uw organisatie; Antwoord bieden op alle vragen die te maken hebben met gegevensverwerking en de rechten van de betrokkenen wiens data verwerkt worden. Dit kunnen uw medewerkers, klanten en dergelijken zijn.

Verplichte taken (DPO)

32

Melding datalek

Een datalek betekent dat er een inbreuk is op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot persoonsgegevens.

Indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, meldt de verwerkingsverantwoordelijke deze zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de Privacycommissie, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien de melding aan de toezichthoudende autoriteit niet binnen 72 uur plaatsvindt, gaat zij vergezeld van een motivering voor de vertraging. De verwerker (IT-dienstleverancier) informeert de verwerkingsverantwoordelijke (klant)zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.

33

Accountability

De verantwoordingsplicht houdt in dat ondernemingen zelf moeten nagaan of hun verwerking van persoonsgegevens in lijn is met de GDPR en ze moeten dit ook op ieder ogenblik kunnen aantonen.

Het is een belangrijke wijziging ten aanzien van de bestaande privacyrichtlijn. Hoewel het concept ‘verantwoordingsplicht’ niet uitdrukkelijk werd opgenomen in de GDPR worden wel een aantal verplichtingen opgenomen in de GDPR die onder het concept kunnen vallen. Bijvoorbeeld:

1. Onderneming moet passende technische en organisatorische maatregelen nemen om te waarborgen dat de verwerking GDPR-compliant is,

2. Elke verwerkingsverantwoordelijke houdt een register van verwerkingsactiviteiten bij (die onder zijn verantwoordelijkheid vallen).

34

Pseudonimisering

Pseudonimisering is een nieuw concept dat werd geïntroduceerd in de GDPR. Het betekent dat gegevens worden verwerkt op een zodanige manier dat de persoonsgegevens niet meer gekoppeld kunnen worden aan het datasubject zonder dat er aanvullende gegevens gebruikt worden.

Deze aanvullende gegevens moeten hiervoor afzonderlijk bewaard worden en er moeten ‘technische en organisatorische’ maatregelen genomen worden zodat de gegevens niet kunnen worden teruggekoppeld aan de persoon.

Data worden door dit proces dus niet volledig geanonimiseerd (wat een uitsluiting uit de GDPR zou betekenen) maar men kan het datasubject ook niet langer direct gaan identificeren. Enkel de controller heeft de sleutel tot de brondata en er zijn waarborgen die reïdentificatie gaan voorkomen. Maar de brondata zijn nog aanwezig, ze zijn niet vernietigd dus je moet nog aan de privacywetgeving voldoen. Omdat het privacyrisico van de betrokkenene echter verminderd is zal de privacywetgeving zich soepeler opstellen bij de verwerking van gepseudonimiseerde persoonsgegevens.

35

Welke rechten heeft de gebruiker?

Onder de GDPR heeft het datasubject heel wat rechten.Indien er persoonsgegevens verwerkt worden heeft de betrokkene recht op informatie omtrent (de verwerking van) deze gegevens. Welke informatie moet verstrekt worden is afhankelijk van het feit of de persoonsgegevens rechtstreeks of onrechtstreeks werden verzameld bij de betrokkene.

Lees artikel 13 GDPR en 14 GDPR.

IN DE WET

36

Recht op informatieBestond al, maar ruimer gemaakt in de GDPR.

Indien er persoonsgegevens verwerkt worden heeft de betrokkene recht op informatie omtrent (de verwerking van) deze gegevens. Welke informatie moet verstrekt worden is afhankelijk van het feit of de persoonsgegevens rechtstreeks of onrechtstreeks werden verzameld bij de betrokkene.

37

Recht op inzageBestond al, maar ruimer gemaakt in de GDPR.

Betrokkene heeft recht om te weten of gegevens van hem al dan niet verwerkt worden en wanneer het zo is om inzage hierin te krijgen en van volgende gegevens ook inzage krijgt (verwerkingsdoeleinden, categorieën persoonsgegevens, ontvangers, periode, etc.)

38

Recht op correctieArt. 16 en 18 GDPR.

De GDPR erkent uitdrukkelijk het recht om persoonsgegevens te corrigeren wanneer deze onjuist of onvolledig zijn.

39

Recht van verzetBestond reeds (uitgebreid bij profilering).

Het recht om zich te kunnen verzetten tegen direct marketing, verwerking op basis van gerechtvaardigde gronden en verwerking voor wetenschappelijk of historisch onderzoek. Betrokkenen moeten ook geïnformeerd worden over dit recht van verzet.

40

Profilering

Expliciete toestemming nu vereist.

De betrokkene heeft het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking, waaronder profilering, gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.

41

Deze vereiste geldt niet indien de profiling:

a) noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke;

b) is toegestaan bij een Unierechtelijke of lidstaatrechtelijke bepaling die op de verwerkingsverantwoordelijke van toepassing is en die ook voorziet in passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van de betrokkene; of

c) c) berust op de uitdrukkelijke toestemming van de betrokkene.

Uitzondering

42

Recht om vergeten te wordenNieuw in de GDPR: veel rond te doen.

Het recht om vergeten te worden houdt in dat betrokkenen in sommige gevallen het recht hebben om de verwijdering van persoonsgegevens te verkrijgen. Dit recht kan van toepassing zijn in de volgende gevallen:

43

(1) De gegevens zijn niet langer nodig voor de doeleinden waarvoor de gegevens verzameld werden. (2) De betrokkene trekt zijn toestemming voor de verwerking van zijn persoonsgegevens in en er is geen andere rechtsgrond voor de verwerking. (3) De betrokkene maakt bezwaar tegen de verwerking. (4) De persoonsgegevens van de betrokkene werden onrechtmatig verwerkt. ( 5) De persoonsgegevens moeten gewist om te voldoen aan een wettelijke verplichting volgens het Unierecht of volgens nationale wetgeving. (6) De persoonsgegevens werden verzameld in verband met aanbod van diensten aan kinderen.

Wanneer recht op vergeten?

44

Recht op portabiliteitNieuw in de GDPR: art. 20

Gegevens die verstrekt zijn aan de ene leverancier, moeten gemakkelijk recupereerbaar zijn. Op die manier kan makkelijk van de ene naar de andere dienstenleverancier gegaan worden.

45

(1)Het moet gaan om een gegevensverwerking die berust op toestemming of op een overeenkomst. De AVG stelt uitdrukkelijk dat dit recht niet geldig is bij verwerkingen die noodzakelijk zijn om een opdracht van algemeen belang te vervullen of om het openbaar gezag uit te oefenen.

(2) Er bestaat het recht om de verstrekte persoonsgegevens die aan de verwerkingsverantwoordelijke werd gegeven, terug te krijgen, en recht om de gegevens door te geven aan een andere verwerkingsverantwoordelijke of dienstenaanbieder zonder dat de eerste verwerkingsverantwoordelijke, zich daartegen kan verzetten.

Wanneer recht op vergeten?

46

By design & by defaultNieuw in de GDPR. Art. 25

Artikel 25 AVG stelt dat technische en organisatorische maatregelen genomen moeten worden. Deze moeten genomen worden gedurende het gehele proces van het verwerken van persoonsgegevens.

47

By design & by defaultZowel op het tijdstip van de bepaling van het verwerkingsmiddel, als tijdens het verwerken zelf. Het doel van deze technische en organisatorische maatregelen is om de gegevensbeschermingsbeginselen op een doeltreffende manier uit te voeren. Bijvoorbeeld minimale gegevensverwerking. Daarnaast moeten de nodige waarborgen in de verwerking ingebouwd worden ter naleving van de AVG en ter bescherming van de rechten van de betrokkenen.

Wat zijn nu technische en organisatorische maatregelen? Denk aan het pseudonimiseren, transparantie met betrekking tot de functies en de verwerking van de persoonsgegevens, het in staat stellen van de betrokkene om controle uit te oefenen op de informatieverwerking en, het in staat stellen van de verwerkingsverantwoordelijke om beveiligingskenmerken te creëren en te verbeteren.

48

Als onderneming werkt men vaak samen met, of in opdracht voor, andere ondernemingen. Wanneer men regelmatig persoonsgegevens uitwisselt met andere ondernemingen dan moet men een aantal zaken in het achterhoofd houden. Eerst en vooral is het belangrijk dat er steeds met ondernemingen waaraan gegevens worden doorgegeven, een verwerkersovereenkomst sluit.

In dergelijke overeenkomsten maakt men vervolgens afspraken over de duur, beschrijving en doeleinden van de gegevensverwerking, de beveiligingsmaatregelen die zullen genomen worden, etc. Er zijn duidelijke richtlijnen opgenomen in de GDPR over wat dergelijke overeenkomsten moeten inhouden.

Data overdragen

49

Daarnaast dient er ook steeds nagegaan worden of de onderneming waarmee men samenwerkt een passend beschermingsniveau kan waarborgen, indien de betrokken onderneming zich niet in België bevindt. De lijst van derde landen die een passend beschermingsniveau waarborgen kan je vinden op de website van de Europese Commissie. Indien men het betrokken land niet terugvindt op deze lijst kan een passende bescherming ook gewaarborgd worden aan de hand van een overeenkomst of via bepaalde uitzonderingen die toelaten om persoonsgegevens te versturen naar dit land. Een dergelijke uitzondering bestaat er bijvoorbeeld wanneer de betrokkene expliciet toestemming heeft gegeven voor de doorgifte van zijn persoonsgegevens.

50

De sancties.

Iedereen heeft het erover: de enorme GDPR-sancties.

De GDPR zal de Privacycommissie in België de bevoegdheid geven om een administratieve geldboete op te leggen. De maximumboete (bijv voor het niet rechtmatig verkrijgen van toestemming of niet voldoen aan de regels omtrent data-uitwisseling met niet EU-landen) is 20 miljoen euro of 4% van de wereldwijde omzet. Hoewel het gaat om maximale bedragen bepaalt de GDPR wel dat de Privacycommissie ervoor moet zorgen dat de geldboete afschrikkend moet zijn. Een inbreuk ‘afkopen’ zal dus niet zomaar gaan. Belangrijk dus om bewust te zijn van alle persoons-gegevens die verwerkt worden!

51

Cookies, een vergeten smaakje.

De cookiewetgeving lijkt elke dag een beetje meer dood. In Nederland volgen alle websites en webshops stringent de cookiewetgeving. In België was dit bij aanvang al helemaal niet het geval. De Belgische Privacycommissie was te laks in haar advies en opvolging, wat niet kan gezegd worden van andere Europese privacywaakhonden.

Lees artikel 13 GDPR en 14 GDPR.

IN DE WET

52

Een cookie. Een cookie is een klein tekstbestandje, dat door de server op een pc wordt geplaatst.

Er ontstond grote heisa rond de cookiewetgeving. Websites en webwinkels zouden grote verliezen draaien omwille van de vervelende pop-ups.

Wat is het nu het doel van de cookie? Het doel van dergelijke cookies is zeer divers, gaande van onschuldige technische doeleinden (het vullen van een winkelmandje of het onthouden van een taalkeuze), tot minder onschuldige zaken als het volgen van een gebruiker op het web.

DE ENE COOKIE IS DE ANDERE NIET.

53

Men dient een onderscheid te maken tussen niet-technische cookies en technische cookies. Dit is belangrijk voor de cookiestatement, die een integraal deel uitmaakt van een privacystatement.

Technische cookies zijn onschuldig en de gebruiker hoeft hiervoor geen toestemming te geven via een cookiebanner.

Niet-technische cookies vallen wel onder de toestemmingsvereiste. Voorbeelden hiervan zijn analytics-cookies, tracking cookies, et cetera.

Ook de duur van de cookie speelt een rol. Hoelang een cookie immers bewaard mag worden op het device van de gebruiker, moet aangeduid worden in de cookie statement. Sommige cookies worden onmiddellijk verwijderd (sessiecookies), andere blijven soms jaren op het toestel aanwezig.

We moeten ons natuurlijk de vraag stellen: weet de consument het wel?

54

Wat weet de gebruiker zoal over cookies?



55

Dit zijn allen voorbeelden van technische cookies. Een taalkeuze, het bewaren van de winkelwagen of het mogelijk maken om in te loggen.

Technische cookies.

56

Het grootste probleem met de cookiewetgeving, is het ontbreken van een gemeenschappelijk Europees kader. Elk Europees land heeft de cookiewetgeving op haar eigen manier ingevuld, wat zorgt voor verschillende regelingen per land.

Dit is natuurlijk onvergefelijk in de e-commerce en technische sector, waar grensoverschrijdend handelen meer de regel dan de uitzondering is geworden.



57

De banner hiernaast gezien? Dit is een voorbeeld van een tracking cookie.



58

Toestemming

Er zijn vier voorwaarden alvorens van een geldige toestemming kan worden gesproken.Denk hierbij aan de cookiebanner of -lightbox die de gebruiker vraagt om akkoord te gaan.

De toestemming moet voorafgaandelijk gebeuren.

VOORAFGAANDELIJK

GEÏNFORMEERD

VRIJ

SPECIFIEK

De gebruiker moet voldoende geïnformeerd worden.

De toestemming moet vrij gebeuren, geen cookiewall.

De toestemming moet voor een welbepaalde site zijn.

1

2

3

4

59

Opt-out of opt-in?Veel discussie bij juristen.

Moet je via een expliciete opt-in toestemming vragen aan je gebruiker voor cookies? Niet alle juristen zijn het eens, maar het lijkt alleszins de meest veilige én wetconforme optie. deJuristen raadt alleszins aan om een expliciete opt-in via lightbox of banner te gebruiken. Daarin moet de bezoeker de mogelijkheid hebben om cookies aan en uit te vinken, alsook de cookie statement te consulteren.

67

De cookie-statement.

In een cookiestatement moet vermeld worden:

1. Welke cookies de site gebruikt,

2. Wat hun doel is, en de tijdsduur,

3. Waarom de site deze cookies gebruikt,

4. Hoe kan de bezoeker deze cookies weigeren?

DE ENE COOKIE IS DE ANDERE NIET.

68

Tijd om zelf te oefenen.Enkele casussen.

69

Casus 1

Een Chinees kwam eens robots verkopen in de EU.

70

Ik ben een Chinese producent voor robots. Ik zou graag mijn webshop opstarten met een distributiecentrum in Nederland om mijn robots te verkopen aan om te beginnen Belgische consumenten. Ik wil het mijn klanten zo gemakkelijk mogelijk maken en vraag dan ook maar hun mailadres en hun lievelingsdier voor identificatie bij hun aankoop. Maar met hun mailadres en de adressenlijst zou ik wel gerichte marketing willen doen, door een analyse en eventueel een doorverkoop van deze mailadressen. Zo verdien ik misschien ook wel bijkomend wat geld aan de mailadressen op zich.

Waar moet ik allemaal op letten om helemaal GDPR-compliant te zijn?

De opdracht

71

Hoe wordt de Chinees GDPR-compliant?

China: niet-Europees, dus valt niet onder GDPR? Toch wel, want hij richt zijn activiteiten middels een vestiging/’establishment’ in een lidstaat van de EU (Nederland). Ook richt hij zijn activiteiten op Belgische consumenten en dus onderdanen en dus verwerkt hij gegevens van Europese onderdanen. Puur hun mailadres: persoonsgegevens zijn gegevens die direct of indirect een natuurlijke persoon zouden kunnen identificeren. Enkel mailadressen zoals ‘info@, contact@, team@’ zullen als te onpersoonlijke worden beschouwd. De andere mailadressen vallen wel onder de GDPR. Hun lievelingsdier: het principe van data minimisation stelt dat enkel gegevens mogen verzameld worden die strikt noodzakelijk zijn voor de beoogde doelen van de verwerking. Het vragen naar hun lievelingsdier is een verzameling van gegevens die niet noodzakelijk is voor de aankoop van een robot en zal dus ook niet langer toegelaten worden door de GDPR. Gerichte marketing + doorverkoop van deze lijst: dit zijn de doeleinden waaromtrent de betrokkene duidelijke informatie over moet verkrijgen. Hij dient op de hoogte te worden gesteld (via een privacy policy of in de algemene voorwaarden) van de redenen van verwerking. Deze dienen zo specifiek mogelijk opgesteld te worden. Per doeleinde moet dit vermeld worden, dus verschil loutere marketing versus echte doorverkoop, moet anders vermeld worden. Voor deze vorm van marketing moet er ook expliciete toestemming worden gegeven in de algemene voorwaarden. Verdere GDPR compliant: redelijke en adequate beveiligingsmaatregelen nemen tegen mogelijke datalekken op basis van inschatting ernst lek en graad van beveiliging. Dataregister opstellen en bijhouden van welke gegevens worden verwerkt. Toestemming voor verwerking kan gegeven worden in de algemene voorwaarden.

Het antwoord.

72

Casus 2

Een Belg gebruikte eens een Chinese robot.

73

Ik ben een Belgische software-producent voor Japanse robots die gebruikt worden als begroetinghost bij vestigingen van AXA Belgium. Voor AXA heeft de software als doel om Belgische consumenten te begroeten en om reeds enkele gegevens van hen op te vragen om het inleidend gesprek vlotter te doen verlopen met de verzekeringsmakelaar. De robot vraagt naar hun naam, mailadres, adres en reeds enkele vragen voor risico-analyse.

Ben ik als software ontwikkelaar verantwoordelijk voor de GDPR-verplichtingen of is het AXA Belgium die GDPR-compliant moet zijn? Wie is aansprakelijk bij datalekken?

De opdracht

74

De Belgische software-producent gaat hier via de software die hij produceert persoonsgegevens verwerken ten behoeve van een andere onderneming, AXA Belgium. In deze casus is de software-producent de processor/verwerker en AXA de verwerkingsverantwoordelijke (AXA bepaalt immers voor welke uiteindelijke doeleinden de gegevens verwerkt moeten worden: verzekeringsdoeleinden).

In het ander geval ligt het anders: indien gebruikers gegevens steken in de robot, die gegevens komen in een databank terecht, deze databank is op poten gezet door de IT’er, maar nu is de vraag of het beheer van die databank wordt geoutsourced naar de IT’er of rechtstreeks door AXA (hoogstwaarschijnlijk doet AXA dat zelf). Indien AXA zelf de databank beheert en host is het AXA die de verzamelde gegevens verwerkt en controleert. Als de IT’er gewoon puur software op poten zet en dan volledig erbuiten blijft en dus niet de gegevens eerst zelf moet verwerken dan is hij geen processor.

Indien de IT’er ook nog instaat voor de hosting van het platform, met updates en beschikbaar houden van servers en bandwidth, valt de IT’er wel onder de term verwerker. Dan verwerkt het gegevens in opdracht van de controller. Belangrijk zal zijn dat een verwerkersovereenkomst wordt gesloten tussen AXA en de softwareontwikkelaar. Wanneer dit niet wordt gedaan staan hier hoge boetes op. Hierin moeten afspraken gemaakt worden over het soort persoonsgegevens dat verwerkt wordt, doeleinden van de gegevensverwerking, wat er door de softwareontwikkelaar ondernomen zal worden bij een datalek etc.

Het antwoord (1).

75

Onder de huidige richtlijn worden de verplichtingen voornamelijk gefocust op de verwerkingsverantwoordelijke, maar niet onder GDPR: verwerkers krijgen ook meer verplichtingen en kunnen nu ook verantwoordelijk worden gesteld wanneer ze niet compliant zijn met de GDPR. Beide moeten dus compliant zijn.

Qua aansprakelijkheid: de IT’er zal moeten instaan voor veilige technische maatregelen die datalekken tegenhouden. Alles zal afhangen van context of dat in de opdracht zat inbegrepen. Men zou kunnen verwachten dat de IT’er een veilig platform/software op poten moet stellen. Tenzij AXA zelf volledig instaat voor de hosting en updating/beveiliging van de software. Verder moet zowel de controller als de verwerker een dataregister bijhouden en moet de meldingsplicht bij een datalek overeengekomen worden in een verwerkersovereenkomst.

Het antwoord (2).

76

Er is nog even de tijd.

2017Wat is jouw GDPR-vraag?

25 Mei 2018

theJurists

77

theJurists Europe.

GENT (BELGIUM)

HQBrussel & London.

AMSTERDAM, PARIS,

+

5 offices in 4 European Countries.

78

Get in touch.

We’ll love to help you out.

Webchat & Slack [email protected]

Chat & E-mail

!

Heernislaan 19 B-9000 GENT

Address

"

+32 9 298 04 58

Phone

GDPR. Et alors?

Law

Transcript of GDPR. Et alors?