aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end Nevenfunc(es:  

Voorzi&er  van  de  Geschillencommissie  Promo4onele  Producten;  Secretaris  Beroepscommissie  Onderzoek  en  Sta4s4ek;  Voorzi&er  Commissie  Regelgeving  DDMA;  Bestuurslid  FEDMA;  Lid  Legal  Affairs  Commi&ee  FEDMA;  Legal  Counsel  ESOMAR;  DM  Man  van  het  Jaar  2004;  Erelid  DDMA  2013;  Houder  Cer4ficate  of  Gra4tude,  Yonsei  University,  Seoul,  Zuid  Korea,  2012;  Lid  van  Management  Commi&e  Consulta4ve  Commi&ee,  Universal  Postal  Union;  Lid  Direct  Marke4ng  Advisory  Board,  Universal  Postal  Union.  

Curriculum  vitae:  Nederlands  recht  specialisa4e  strafrecht  (1984-­‐1989)  Beleidsmedewerker/onderzoeker  Registra4ekamer  (1989-­‐1992)  Adjunct  directeur  DMSA  (1992-­‐1998)  CEO  Singewald  Consultants  Group  BV  (1998-­‐)  

Alexander  J.J.T.  Singewald  CEO  Singewald  Consultants  Group  BV  Website:  www.privacy.nl  Adres:  Weteringstraat  5  1431  BB  Aalsmeer  Postadres:  Postbus  295  1430  AG  Aalsmeer  Telefoon:0297  369  767  Telefax:  0297  369  545  E-­‐mail:  singewald@privacy.nl  KvK:  34117959  Twi&er:  twi&er.com\scglaw  

 

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Perspectief •  Industriele revolutie 1750

–  Productiefactoren zijn: •  Arbeid •  Kapitaal •  Grondstoffen

– Worden nog dagelijks geregeld, sinds begin 1840 •  Nieuwe productiefactor:

–  Informatie, (persoons)gegevens •  Begonnen in 1995

– Wetgeving als reactie op macht denken (kennis is macht, bijvoorbeeld: uitbuiting in arbeid)

•  Kennis is macht is geworden kennis is een voorwaarde voor een relatie

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

ACM  

4  

Let  op:  vierde  tranche  Algemene  wet  bestuursrecht  (mede-­‐plegen)  wordt  toegepast  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Co-­‐registra4e  e-­‐mail  toegestaan  

•  Mits  duidelijk  is  waar  de  abonnee  of  gebruiker  toestemming  voor  geej:  – Adverteerder  met  naam  noemen;  of  – Categorieen  van  adverteerders.  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Boetes  •  Van  tafel:  euro  600.000,-­‐  •  Het  CBb  oordeelt  dat  het  bewijs  dat  ACM  voor  de  

overtredingen  heej  geleverd  ontoereikend  is.  Op  grond  van  dat  bewijs  is  niet  aannemelijk  dat  de  personen  die  over  de  e-­‐mailberichten  hebben  geklaagd  ook  abonnees  zijn.  Daarvoor  is  het  bewijs  in  verhouding  tot  de  hoeveelheid  verzonden  e-­‐mailberichten  te  onbeduidend.  

•  De  wet  op  grond  waarvan  de  spamboetes  in  deze  zaak  zijn  opgelegd,  is  in  juni  2012  gewijzigd.  Het  spamverbod  geldt  niet  meer  uitsluitend  voor  de  verzending  van  ongevraagde  e-­‐mailberichten  aan  abonnees,  maar  beschermt  nu  ook  andere  gebruikers.  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Boetes  •  Verlaging:  van  euro  150.000,-­‐  naar  euro  60.000,-­‐  •  Nadat  eerst  is  geprocedeerd  over  de  vraag  of  SD&P  tegen  dit  

sanc4ebesluit  wel  naarbezwaar  had  gemaakt  velt  ACM  in  deze  zaak  nu  een  inhoudelijk  oordeel  op  bezwaar.  Het  bezwaar  van  SD&P  wordt  gedeeltelijk  gegrond  verklaard,  omdat  uit  de  uitspraak  van  het  College  van  Beroep  voor  het  bedrijfsleven  van  5  juni  2014  volgt  dat  een  deel  van  de  sms-­‐berichten  die  SD&P  heej  verzonden  (de  zogenoemde  vervolgberichten)  niet  kan  worden  beschouwd  als  ‘direct  marke4ng’  en  daarmee  niet  onder  het  spamverbod  valt.  

•  De  overige  verzonden  sms-­‐berichten  (de  zogenoemde  aanmeldberichten)  beschouwt  ACM  wel  als  ‘direct  marke4ng’.  Bovendien  zijn  deze  berichten  ongevraagd  en  zonder  toestemming  aan  consumenten  verzonden.  Daarom  blijj  ACM  bij  haar  eerdere  oordeel  dat  het  verzenden  van  dit  soort  berichten  een  overtreding  van  het  spamverbod  oplevert.  ACM  ma4gt  de  daarvoor  opgelegde  boete  van  150.000  euro  naar  60.000  euro.  Dit  gebeurt  omdat  die  overtreding  minder  erns4g  wordt  gevonden,  nu  de  andere  overtredingen  niet  overeind  zijn  gebleven.  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Rechtsonzekerheid?  

•  Er  ontstaat  rechtsonzekerheid  ten  aanzien  van  de  regeling:  – Toen  regeling  werd  gemaakt  in  Europa  is  dit  nooit  besproken  

•  Regels  zijn  ook  nooit  specifiek  in  Brussel  gemaakt  voor  Nederlandse  situa4e  

•  Komt  rich4ng  strijd  Lex  Certa  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Houding  van  de  consument  

•  Opt-­‐out  voor  telemarke4ng  >  •  Geen/minder  opt-­‐in  for  e-­‐mail  

– Of  gebruik  van  een  trashbox,  voor  het  kado,  daarna  blokkering  

•  Opt-­‐out  voor  direct  mail  <  •  Opt-­‐out  voor  ongeadresseerde  mail  =  

•  Klachten  over  cookies  en  bannering  >  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Juridische  dossiers  

•  Cookies  •  Datalekken  •  Boete  bevoegdheid  Cbp  •  Europese  Verordening  Bescherming  Persoonsgegevens  

 

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Juridische  dossiers  

•  Cookies  -­‐>                    ja  •  Datalekken  -­‐>                  beperken,  wellicht  

                       verbeteren  •  Boete  bevoegdheid  Cbp  -­‐>          ja  •  Europese  Verordening  Bescherming    •  Persoonsgegevens  -­‐>              ja  

 

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Cookies

•  Stand van zaken

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

13  

LET  OP!  

•  Toestemming  voor  het  plaatsen  of  uitlezen  van  een  cookie  ziet  toe  op  de  technische  handeling  (Telecommunica4ewet),  onasankelijk  van  het  feit  of  er  persoonsgegevens  in  het  geding  zijn  

•  Daarnaast  kan  er  sprake  zijn  dat  voor  het  verwerken  van  persoonsgegevens  nog  toestemming  nodig  is  (Wet  bescherming  persoonsgegevens)  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

In  behandeling  Eerste  Kamer  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Toelich4ng:11.7a  lid  2  Tw  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Voorbeelden van uitzonderingen nr benaming Beschrijving/doel 1 User input cookies Cookies zijn nodig om in een sessie bijvoorbeeld bij vragen en antwoorden gestart

door de gebruiker bij te houden of het bijhouden van een boodschappen mandje

2 Authentication cookies Cookies om een gebruiker te identificeren als deze is ingelogd op een eigen account. Er dient dan wel sprake te zijn van een sessiecookie, die dus na het einde van de sessie wordt verwijderd.

3 User centric security cookies

Cookies die worden gebruikt om extra beveiligingmaatregelen (bescherming om misbruik te voorkomen) te kunnen nemen voor een dienst die de gebruiker afneemt

4 Multimedia players session cookies

Deze cookies worden gebruikt om technische gegevens op te slaan om video of audio af te kunnen spelen, wanneer de gebruiker daarom vraagt. Deze cookies zijn alleen gedurende de sessie actief.

5 Load balancing session cookies

Deze cookies worden gebruikt om de communicatie van de juiste server te laten plaats vinden en mogen ook alleen voor dat doel worden gebruikt

6 User interface customization cookies

Deze cookies worden gebruikt om de preferenties van een gebruiker met betrekking tot de dienstverlening te onthouden los van cookies of gegevens. Voorbeelden zijn geselecteerde taal instelling, of het weergeven van het aantal resultaten op een zoek website

7 Social plug-in content sharing cookies

(let op verschil in ingelogd of uitgelogd)

Zolang deze cookies worden geplaatst wanneer iemand is ingelogd in een omgeving, dan is er sprake van een gevraagde dienst. In alle andere gevallen van Social plug-in content sharing cookies is er geen sprake van een uitzondering en zal toestemming dienen te worden gevraagd.

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Analy4c  cookies  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Affiliate  cookies  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Cookies  

•  Cookies  die  leiden  tot  het  maken  van  een  profiel  passen  niet  binnen  de  vrijstelling,  dus  informeren  en  toestemming  vragen  

•  Ga  na  of  uw  defini4es  van  cookies  gelijk  zijn  aan  de  defini4es  in  de  Telecommunica4ewet  –  Voorbeeld:    

•  Func4onele  cookies  zijn  niet  relevant,  het  gaat  om  de  func4e  van  het  cookie;  

•  Sessie  ID  cookie  met  een  houdbaarheid  van  60  maanden,  kun  je  wel  een  Sessie  ID  cookie  noemen  maar  is  gewoon  een  tracking  cookie  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Open  data  Social  Media  Big  Data  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Hoofdstukje  Wbp  •  Persoonsgegevens    •  Verzamelen  en  verwerken  voor  bepaalde  doelstelling  •  Grondslag  om  persoonsgegevens  te  verwerken:    

–  Toestemming    –  Uitvoering  overeenkomst  –  Bescherming  vitaal  belang  – We&elijk  voorschrij  –  Gerechtvaardigd  belang  Verantwoordelijke,  tenzij  belang  betrokkene  hoger  is  

•  Verenigbaar  gebruik  •  Informeren  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Privacystatement  •  Iden4teit  Verantwoordelijke  •  Doeleinden  voor  verwerking  •  Recht  van  verzet  bij  commercieel,  charita4ef  of  ideëel  gebruik  •  Omgang  met  elektronische  contactgegevens  (e-­‐mail  etc)  •  Beveiliging  •  Gebruik  van  cookies  (en  ook  vooraf  op  landingspagina)  •  Links  en  verwijzingen  naar  andere  website  •  Vragen  •  Wijziging  van  privacystatement  •  Datum    

–  Populair  is  Social  Media  Statement  opnemen  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Open  data  Social  Media  Big  Data  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

maps.amsterdam.nl  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

maps.amsterdam.nl  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

maps.amsterdam.nl  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Social Media, zelfde regime voor Big Data

•  Persoonsgegevens? – Door combinatie

•  Gebruiksvoorwaarden platform van social media

•  Kleine lettertjes

•  Voor welke doelen beschikbaar gesteld

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Voorbeeld  gebruiksvoorwaarden  

•  Facebook:    

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Gebruiksvoorwaarden  

•  Twi&er  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Social Media en Wetgeving •  Wet bescherming persoonsgegevens

– Artikel 33/34: informatieplicht

– Artikel 11: toereikend, ter zake dienend en niet bovenmatig

– Artikel 10: niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren

– Artikel 9: verenigbaar gebruik

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Social  Media  en  Wetgeving  – Artikel 8: grondslag gegevensverwerking

•  Gerechtvaardigd belang –  Toets: proportioneel, subsidiair, informeren, verenigbaar

gebruik, zorgvuldig –  Soms andere grondslag toestemming voor verwerking

gegevens door wet bepaald

– Artikel 7: welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden

– Artikel 6: in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Social Media en Wetgeving

Telecommunicatiewet •  E-mailadres/sms/mms:

–  Toestemming voor commercieel, charitatief of ideële doeleinden (btob en btoc)

•  Telefoonnummer: –  Bel-me-niet register en eigen recht van verzetlijst, tenzij gevraagde

oproep (btoc + uitoefening beroep bedrijf)

•  Plaatsen tracking cookie via first party/third party: –  Toestemming en informeren (technische handeling, btob en btoc)

•  Adres: –  Postfilter.nl en eigen blokkeringslijst (btoc)

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Datalekken  

•  Tweede  Kamer    

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Datalekken  •  Ar4kel  34a    •  1.  De  verantwoordelijke  stelt  het  College  onverwijld  in  kennis  van  een  inbreuk  op  de  beveiliging,  bedoeld  in  ar8kel  

13,  waarvan  redelijkerwijs  kan  worden  aangenomen  dat  die  leidt  tot  een  aanmerkelijke  kans  op  nadelige  gevolgen  voor  de  bescherming  van  persoonsgegevens  die  door  hem  worden  verwerkt.  

–  Wijziging:  De  verantwoordelijke  stelt  het  College  onverwijld  in  kennis  van  een  inbreuk  op  de  beveiliging,  bedoeld  in  ar8kel  13,  die  erns8ge  nadelige  gevolgen  hee@  voor  de  bescherming  van  de  verwerkte  gegevens.      

•  2.  De  verantwoordelijke,  bedoeld  in  het  eerste  lid,  stelt  de  betrokkene  onverwijld  in  kennis  van  de  inbreuk,  bedoeld  in  het  eerste  lid,  indien  de  inbreuk  waarschijnlijk  onguns4ge  gevolgen  zal  hebben  voor  diens  persoonlijke  levenssfeer.  3.  De  kennisgeving  aan  het  College  en  de  betrokkene  omvat  in  ieder  geval  de  aard  van  de  inbreuk,  de  instan8es  waar  meer  informa8e  over  de  inbreuk  kan  worden  verkregen  en  de  aanbevolen  maatregelen  om  de  nega8eve  gevolgen  van  de  inbreuk  te  beperken.    

•  4.  De  kennisgeving  aan  het  College  omvat  tevens  een  beschrijving  van  de  geconstateerde  en  de  vermoedelijke  gevolgen  van  de  inbreuk  voor  de  verwerking  van  persoonsgegevens  en  de  maatregelen  die  de  verantwoordelijke  heej  getroffen  of  voorstelt  te  treffen  om  deze  gevolgen  te  verhelpen.  

–  Wijziging:  De  kennisgeving  aan  het  College  omvat  tevens  een  beschrijving  van  de  gevolgen  van  de  inbreuk  voor  de  verwerkte  gegevens  en  de  maatregelen  die  de  verantwoordelijke  hee@  getroffen  of  voorstelt  te  treffen  om  deze  gevolgen  te  verhelpen    

•  5.  De  kennisgeving  aan  de  betrokkene  wordt  op  zodanige  wijze  gedaan  dat,  rekening  houdend  met  de  aard  van  de  inbreuk,  de  geconstateerde  en  de  feitelijke  gevolgen  daarvan  voor  de  verwerking  van  persoonsgegevens,  de  kring  van  betrokkenen  en  de  kosten  van  tenuitvoerlegging,  een  behoorlijke  en  zorgvuldige  informa4evoorziening  is  gewaarborgd.  

 

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Datalekken  •  6.  De  kennisgeving  aan  de  betrokkene  is  niet  vereist  indien  de  verantwoordelijke  gepaste  technische  

beschermingsmaatregelen  hee@  genomen  waardoor  de  persoonsgegevens  die  het  betre@  versleuteld  zijn  of  anderszins  onbegrijpelijk  zijn  gemaakt  voor  eenieder  die  geen  recht  hee@  op  kennisname  van  de  gegevens.  

–  Wijziging:  Het  eerste  en  het  tweede  lid  zijn  niet  van  toepassing  indien  de  verantwoordelijke  passende  technische  beschermingsmaatregelen  hee@  genomen  waardoor  de  persoonsgegevens  die  het  betre@  onbegrijpelijk  of  ontoegankelijk  zijn  voor  een  ieder  die  geen  recht  hee@  op  kennisname  van  de  gegevens.    

•  7.  Indien  de  verantwoordelijke  geen  kennisgeving  aan  de  betrokkene  doet,  kan  het  College,  indien  het  van  oordeel  is  dat  inbreuk  waarschijnlijk  nadelige  gevolgen  zal  hebben  voor  de  persoonlijke  levenssfeer  van  de  betrokkene,  van  de  verantwoordelijke  verlangen  dat  hij  alsnog  een  kennisgeving  doet.    

–  Wijziging:  Indien  de  verantwoordelijke  geen  kennisgeving  aan  de  betrokkene  doet,  kan  het  College,  indien  het  van  oordeel  is  dat  inbreuk  waarschijnlijk  nadelige  onguns8ge  gevolgen  zal  hebben  voor  de  persoonlijke  levenssfeer  van  de  betrokkene,  van  de  verantwoordelijke  verlangen  dat  hij  alsnog  een  kennisgeving  doet.    

•  8.  De  verantwoordelijke  houdt  een  overzicht  bij  van  alle  inbreuken.  Dit  overzicht  bevat  in  elk  geval  de  feiten  en  de  gegevens,  bedoeld  in  het  derde  lid,  alsmede  de  tekst  van  de  kennisgeving  aan  de  betrokkene.  

–  Wijziging:  lid  8  vervalt  

•  9.  Dit  ar4kel  is  niet  van  toepassing  indien  de  verantwoordelijke  in  zijn  hoedanigheid  als  aanbieder  van  een  openbare  elektronische  communica4edienst  een  kennisgeving  heej  gedaan  als  bedoeld  in  ar4kel  11.3a,  eerste  en  tweede  lid,  van  de  Telecommunica4ewet.  10.  Het  tweede  en  zevende  lid  zijn  niet  van  toepassing  op  financiële  ondernemingen  als  bedoeld  in  de  Wet  op  het  financieel  toezicht.  11.  Bij  algemene  maatregel  van  bestuur  kunnen  nadere  regels  worden  gesteld  met  betrekking  tot  de  kennisgeving.    

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

College  bescherming  persoonsgegevens  wordt  Autoriteit  Persoonsgegevens  

•  Uitbreiding  bevoegdheden  Cbp/AP  in  wetsvoorstel  datalekken  

•  Toekomst;  boete  bevoegdheid  tot  €  800.000,-­‐  – Nu  alleen  last  onder  dwangsom  

•  Het  wordt  serieus!  – AP:  persoonsgegevens  – ACM:  consumentenrechten  – AFM:  toezichthouder  financiele  sector  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Er  zijn  zes  categorieën:  de  eerste  categorie,  €  335  [Red:  Per  1  januari  2014:  €  405.]  ;  de  tweede  categorie,  €  3  350  [Red:  Per  1  januari  2014:  €  4.050.]  ;  de  derde  categorie,  €  6  700  [Red:  Per  1  januari  2014:  €  8.100.]  ;  de  vierde  categorie,  €  16  750  [Red:  Per  1  januari  2014:  €  20.250.]  ;  de  vijfde  categorie,  €  67  000  [Red:  Per  1  januari  2014:  €  81.000.]  ;  de  zesde  categorie,  €  670  000  [Red:  Per  1  januari  2014:  €  810.000.]    

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Spanningsveld  Data  lekken,  Social  Media  /  Big  Data  

•  Beveiliging:  – Wat  je  niet  hebt,  niet  te  beveiligen  – Wat  je  niet  hebt,  kan  niet  lekken  

•  Bevoegdheid  Cbp/Ap  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Europese  Unie  

44  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Verschil richtlijn en verordening

•  Richtlijn – Per lidstaat omzetten in wet

•  NL: Wet bescherming persoonsgegevens –  Interpretatie verschillen bij implementatie

•  Verordening – Rechtstreekse werking

•  NL: intrekken Wet bescherming persoonsgegevens •  Overige lid staten Europese Unie ook

–  (kans op interpretatie verschillen bij handhaving)

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Europese  Unie  

•  Begin  2012  ontwerp  Verordening  Bescherming  Persoonsgegevens  –  Verordening  heej  directe  werking  

•  Begin  2015  ontwerp  Verordening  Bescherming  Persoonsgegevens  gestemd  •  Begin  2017  inwerkingtreding  Verordening  Bescherming  Persoonsgegevens  

–  Lid-­‐Staten  trekken  eigen  we&en  in  

•  Verordening  in  werking  in  2017,  gebaseerd  op  concepten  en  denken  uit  2012  

•  8  EU-­‐Commissarissen  op  het  gebied  van  commerciele  communica4e  –  Jus4ce/consumers,  Digital  Economy  &  Society,  Economic  and  Financial  Affairs,  Internal  

market  (Postal),  Trade,  Digital  Single  Market,  Jobs  &  Compe44veness,  Be&er  regula4on:  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Europese  Verordening  

•  Mogelijk  nog  een  klein  30  ‘maatregelen  van  bestuur’  

•  Gerucht  in  Brussel  dat  lidstaten  op  bepaalde  vlakken  de  mogelijkheid  zouden  moeten  hebben  om  lokale  regels  te  stellen  

•  Europese  markt,  vrij  verkeer  van  persoonsgegevens  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

E-­‐privacy  Richtlijn  •  Richtlijn:  

–  toestemming  for  e-­‐mail,  sms  – Opt-­‐out  voor  ongevraagde  outbound  telemarke4ng  –  Cookie  rules  

•  Evalua4e  na  totstandkoming  Verordening  Gegevensbescherming  –  E-­‐privacy  Richtlijn:  iedere  lid  staat  zal  dus  deze  richtlijn  weer  moeten  omze&en  naar  lokale  wetgeving  

•  Gegevensverwerking  is  geharmoniseerd,  alleen  het  gebruik  van  peroonsgegevens  voor  communica4e  niet  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Commerciële  communica4e  en  persoonsgegevens    in  de  gehele  

Europese  Unie  •  Verwerken  persoonsgegevens  

– Verordening:                                                                    1  – Maatregelen  van  bestuur:            30  

•  Gebruik  van  persoonsgegevens  voor  communica4e  – Lokale  implementa4e  E-­‐privacy  richtlijn:    28  

•  2017  totaal  minimum              29  •  2027  totaal  maximaal              59  

•  Hoe  en  of  alle  maatregelen  relevant  zijn,  is  de  vraag.  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Marke4ng  communica4e    

•  Waarschijnlijk  2000  problemen  met  tekst  van  de  Verordening  

•  Voor  marke4ng  communica4e  zijn  er  twee  showstoppers  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Twee  showstoppers  I  •  Grondslag  voor  gegevensverwerking  

–  Om  persoonsgegevens  te  mogen  verwerken  moet  er  een  grondslag  zijn:  •  Toestemming  •  Uitvoering  overeenkomst  •  Uitvoering  we&elijk  voorschrij  •  Etc  •  Gerechtvaardigd  belang  van  de  Verantwoordelijke  of  een  derde  par4j  aan  wie  de  

persoonsgegevens  worden  verstrekt.  

–  Gerechtvaardigd  belang  is  zeer  belangrijk    •  Propor4onaliteit/subsidiariteit  

–  Hoe  wer6  een  bedrijf  prospects  als  er  toestemming  nodig  is,  terwijl  het  een  gerechtvaardigd  belang  is  van  een  bedrijf  om  prospects  te  werven  

–  Het  gerechtvaardigd  belang  is  van  groot  belang  voor  commerciele  communica4e  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

                       Toestemming  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Overweging  39  b,  inmiddels  39  ter,  concept  Verordening            gegevensbescherming  

 

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Twee  showstoppers  II  

•  Profiling  –  Selecteren,  segmenteren,  analyseren,  a/b  testen  etc    –  Als  profiling:  

•  Leidt  tot  maatregelen  die  een  juridisch  effect  hebben  jegens  de  betrokkene;  of  

•  Leidt  tot  maatregelen  die  hem/haar  in  aanmerkelijke  mate  trej;  –  Contract  of  pre-­‐contractueel  –  Wetgeving  –  Toestemming  

•  Geen  juridisch  effect  of  trej  in  aanmerkelijke  mate  -­‐>  toegestaan  •  Discussie:  marke4ng  trej  niet  in  aanmerkeljke  mate  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Andere  onderwerpen  

•  Transparan4e  –  Informa4eplichten  zijn  uitgebreid  

•  Benoemen  van  de  bewaartermijn  •  Uitleggen  waarom  de  Controller  een  gerechtvaardigd  belang  heej  

–  Blokkering  •  Blokkering  tegen  commercieel  gebruik:  niet  langer  meer  in  het  privacystatement  maar:  ‘Dit  recht  wordt  de  betrokkene  uitdrukkelijk  en  op  begrijpelijke  wijze  geboden  en  moet  duidelijk  van  overige  informa4e  kunnen  worden  onderscheiden’.  Taalgebruik  aangepast,  specifiek  bij  kinderen.  

–  PIA:  Privacy  Impact  Assesment,  Privacy-­‐by-­‐design,  Privacy-­‐by-­‐default  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Informa4eplicht  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Informa4eplicht:  uitgebreid  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Recht  om  vergeten  te  worden  /    recht  om  gegevens  te  laten  wissen  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Administra4eve  verplich4ngen  

•  Geen  melding  bij  toezichthouder  •  Documenta4eplicht  voor  Verantwoordelijke  en/of  Verwerker  

•  PIA:  Privacy  Impact  Analyse  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

                                   PIA  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

             PIA  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Boete    ar4kel  79  

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Timing  

•  12 maart 2014 stemming in Europees Parlement

aan

deze

pre

sent

atie

kun

nen

geen

rech

ten

wor

den

ontle

end

Timing •  Volgende stap overleg tussen EP en Raad van Ministers

–  Overeenstemming/geen overeenstemming

•  Inwerkingtreding twee jaar en twintig dagen na publicatie

•  Vaststelling: 2015

•  Feitelijk inwerkingtreding: 2017

•  ALLES KAN NOG VERANDEREN

Voor vragen kunt u contact opnemen met ProSpex:- http://www.prospex.nl/bel-mij-nu- 088-0150700

®

®

conversion driven marketing