aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end Nevenfunc(es:
Voorzi&er van de Geschillencommissie Promo4onele Producten; Secretaris Beroepscommissie Onderzoek en Sta4s4ek; Voorzi&er Commissie Regelgeving DDMA; Bestuurslid FEDMA; Lid Legal Affairs Commi&ee FEDMA; Legal Counsel ESOMAR; DM Man van het Jaar 2004; Erelid DDMA 2013; Houder Cer4ficate of Gra4tude, Yonsei University, Seoul, Zuid Korea, 2012; Lid van Management Commi&e Consulta4ve Commi&ee, Universal Postal Union; Lid Direct Marke4ng Advisory Board, Universal Postal Union.
Curriculum vitae: Nederlands recht specialisa4e strafrecht (1984-‐1989) Beleidsmedewerker/onderzoeker Registra4ekamer (1989-‐1992) Adjunct directeur DMSA (1992-‐1998) CEO Singewald Consultants Group BV (1998-‐)
Alexander J.J.T. Singewald CEO Singewald Consultants Group BV Website: www.privacy.nl Adres: Weteringstraat 5 1431 BB Aalsmeer Postadres: Postbus 295 1430 AG Aalsmeer Telefoon:0297 369 767 Telefax: 0297 369 545 E-‐mail: [email protected] KvK: 34117959 Twi&er: twi&er.com\scglaw
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Perspectief • Industriele revolutie 1750
– Productiefactoren zijn: • Arbeid • Kapitaal • Grondstoffen
– Worden nog dagelijks geregeld, sinds begin 1840 • Nieuwe productiefactor:
– Informatie, (persoons)gegevens • Begonnen in 1995
– Wetgeving als reactie op macht denken (kennis is macht, bijvoorbeeld: uitbuiting in arbeid)
• Kennis is macht is geworden kennis is een voorwaarde voor een relatie
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
ACM
4
Let op: vierde tranche Algemene wet bestuursrecht (mede-‐plegen) wordt toegepast
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Co-‐registra4e e-‐mail toegestaan
• Mits duidelijk is waar de abonnee of gebruiker toestemming voor geej: – Adverteerder met naam noemen; of – Categorieen van adverteerders.
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Boetes • Van tafel: euro 600.000,-‐ • Het CBb oordeelt dat het bewijs dat ACM voor de
overtredingen heej geleverd ontoereikend is. Op grond van dat bewijs is niet aannemelijk dat de personen die over de e-‐mailberichten hebben geklaagd ook abonnees zijn. Daarvoor is het bewijs in verhouding tot de hoeveelheid verzonden e-‐mailberichten te onbeduidend.
• De wet op grond waarvan de spamboetes in deze zaak zijn opgelegd, is in juni 2012 gewijzigd. Het spamverbod geldt niet meer uitsluitend voor de verzending van ongevraagde e-‐mailberichten aan abonnees, maar beschermt nu ook andere gebruikers.
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Boetes • Verlaging: van euro 150.000,-‐ naar euro 60.000,-‐ • Nadat eerst is geprocedeerd over de vraag of SD&P tegen dit
sanc4ebesluit wel naarbezwaar had gemaakt velt ACM in deze zaak nu een inhoudelijk oordeel op bezwaar. Het bezwaar van SD&P wordt gedeeltelijk gegrond verklaard, omdat uit de uitspraak van het College van Beroep voor het bedrijfsleven van 5 juni 2014 volgt dat een deel van de sms-‐berichten die SD&P heej verzonden (de zogenoemde vervolgberichten) niet kan worden beschouwd als ‘direct marke4ng’ en daarmee niet onder het spamverbod valt.
• De overige verzonden sms-‐berichten (de zogenoemde aanmeldberichten) beschouwt ACM wel als ‘direct marke4ng’. Bovendien zijn deze berichten ongevraagd en zonder toestemming aan consumenten verzonden. Daarom blijj ACM bij haar eerdere oordeel dat het verzenden van dit soort berichten een overtreding van het spamverbod oplevert. ACM ma4gt de daarvoor opgelegde boete van 150.000 euro naar 60.000 euro. Dit gebeurt omdat die overtreding minder erns4g wordt gevonden, nu de andere overtredingen niet overeind zijn gebleven.
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Rechtsonzekerheid?
• Er ontstaat rechtsonzekerheid ten aanzien van de regeling: – Toen regeling werd gemaakt in Europa is dit nooit besproken
• Regels zijn ook nooit specifiek in Brussel gemaakt voor Nederlandse situa4e
• Komt rich4ng strijd Lex Certa
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Houding van de consument
• Opt-‐out voor telemarke4ng > • Geen/minder opt-‐in for e-‐mail
– Of gebruik van een trashbox, voor het kado, daarna blokkering
• Opt-‐out voor direct mail < • Opt-‐out voor ongeadresseerde mail =
• Klachten over cookies en bannering >
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Juridische dossiers
• Cookies • Datalekken • Boete bevoegdheid Cbp • Europese Verordening Bescherming Persoonsgegevens
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Juridische dossiers
• Cookies -‐> ja • Datalekken -‐> beperken, wellicht
verbeteren • Boete bevoegdheid Cbp -‐> ja • Europese Verordening Bescherming • Persoonsgegevens -‐> ja
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
13
LET OP!
• Toestemming voor het plaatsen of uitlezen van een cookie ziet toe op de technische handeling (Telecommunica4ewet), onasankelijk van het feit of er persoonsgegevens in het geding zijn
• Daarnaast kan er sprake zijn dat voor het verwerken van persoonsgegevens nog toestemming nodig is (Wet bescherming persoonsgegevens)
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Voorbeelden van uitzonderingen nr benaming Beschrijving/doel 1 User input cookies Cookies zijn nodig om in een sessie bijvoorbeeld bij vragen en antwoorden gestart
door de gebruiker bij te houden of het bijhouden van een boodschappen mandje
2 Authentication cookies Cookies om een gebruiker te identificeren als deze is ingelogd op een eigen account. Er dient dan wel sprake te zijn van een sessiecookie, die dus na het einde van de sessie wordt verwijderd.
3 User centric security cookies
Cookies die worden gebruikt om extra beveiligingmaatregelen (bescherming om misbruik te voorkomen) te kunnen nemen voor een dienst die de gebruiker afneemt
4 Multimedia players session cookies
Deze cookies worden gebruikt om technische gegevens op te slaan om video of audio af te kunnen spelen, wanneer de gebruiker daarom vraagt. Deze cookies zijn alleen gedurende de sessie actief.
5 Load balancing session cookies
Deze cookies worden gebruikt om de communicatie van de juiste server te laten plaats vinden en mogen ook alleen voor dat doel worden gebruikt
6 User interface customization cookies
Deze cookies worden gebruikt om de preferenties van een gebruiker met betrekking tot de dienstverlening te onthouden los van cookies of gegevens. Voorbeelden zijn geselecteerde taal instelling, of het weergeven van het aantal resultaten op een zoek website
7 Social plug-in content sharing cookies
(let op verschil in ingelogd of uitgelogd)
Zolang deze cookies worden geplaatst wanneer iemand is ingelogd in een omgeving, dan is er sprake van een gevraagde dienst. In alle andere gevallen van Social plug-in content sharing cookies is er geen sprake van een uitzondering en zal toestemming dienen te worden gevraagd.
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Cookies
• Cookies die leiden tot het maken van een profiel passen niet binnen de vrijstelling, dus informeren en toestemming vragen
• Ga na of uw defini4es van cookies gelijk zijn aan de defini4es in de Telecommunica4ewet – Voorbeeld:
• Func4onele cookies zijn niet relevant, het gaat om de func4e van het cookie;
• Sessie ID cookie met een houdbaarheid van 60 maanden, kun je wel een Sessie ID cookie noemen maar is gewoon een tracking cookie
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Hoofdstukje Wbp • Persoonsgegevens • Verzamelen en verwerken voor bepaalde doelstelling • Grondslag om persoonsgegevens te verwerken:
– Toestemming – Uitvoering overeenkomst – Bescherming vitaal belang – We&elijk voorschrij – Gerechtvaardigd belang Verantwoordelijke, tenzij belang betrokkene hoger is
• Verenigbaar gebruik • Informeren
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Privacystatement • Iden4teit Verantwoordelijke • Doeleinden voor verwerking • Recht van verzet bij commercieel, charita4ef of ideëel gebruik • Omgang met elektronische contactgegevens (e-‐mail etc) • Beveiliging • Gebruik van cookies (en ook vooraf op landingspagina) • Links en verwijzingen naar andere website • Vragen • Wijziging van privacystatement • Datum
– Populair is Social Media Statement opnemen
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Social Media, zelfde regime voor Big Data
• Persoonsgegevens? – Door combinatie
• Gebruiksvoorwaarden platform van social media
• Kleine lettertjes
• Voor welke doelen beschikbaar gesteld
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Voorbeeld gebruiksvoorwaarden
• Facebook:
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Social Media en Wetgeving • Wet bescherming persoonsgegevens
– Artikel 33/34: informatieplicht
– Artikel 11: toereikend, ter zake dienend en niet bovenmatig
– Artikel 10: niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren
– Artikel 9: verenigbaar gebruik
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Social Media en Wetgeving – Artikel 8: grondslag gegevensverwerking
• Gerechtvaardigd belang – Toets: proportioneel, subsidiair, informeren, verenigbaar
gebruik, zorgvuldig – Soms andere grondslag toestemming voor verwerking
gegevens door wet bepaald
– Artikel 7: welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden
– Artikel 6: in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Social Media en Wetgeving
Telecommunicatiewet • E-mailadres/sms/mms:
– Toestemming voor commercieel, charitatief of ideële doeleinden (btob en btoc)
• Telefoonnummer: – Bel-me-niet register en eigen recht van verzetlijst, tenzij gevraagde
oproep (btoc + uitoefening beroep bedrijf)
• Plaatsen tracking cookie via first party/third party: – Toestemming en informeren (technische handeling, btob en btoc)
• Adres: – Postfilter.nl en eigen blokkeringslijst (btoc)
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Datalekken • Ar4kel 34a • 1. De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in ar8kel
13, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt.
– Wijziging: De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in ar8kel 13, die erns8ge nadelige gevolgen hee@ voor de bescherming van de verwerkte gegevens.
• 2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk onguns4ge gevolgen zal hebben voor diens persoonlijke levenssfeer. 3. De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instan8es waar meer informa8e over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de nega8eve gevolgen van de inbreuk te beperken.
• 4. De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heej getroffen of voorstelt te treffen om deze gevolgen te verhelpen.
– Wijziging: De kennisgeving aan het College omvat tevens een beschrijving van de gevolgen van de inbreuk voor de verwerkte gegevens en de maatregelen die de verantwoordelijke hee@ getroffen of voorstelt te treffen om deze gevolgen te verhelpen
• 5. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informa4evoorziening is gewaarborgd.
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Datalekken • 6. De kennisgeving aan de betrokkene is niet vereist indien de verantwoordelijke gepaste technische
beschermingsmaatregelen hee@ genomen waardoor de persoonsgegevens die het betre@ versleuteld zijn of anderszins onbegrijpelijk zijn gemaakt voor eenieder die geen recht hee@ op kennisname van de gegevens.
– Wijziging: Het eerste en het tweede lid zijn niet van toepassing indien de verantwoordelijke passende technische beschermingsmaatregelen hee@ genomen waardoor de persoonsgegevens die het betre@ onbegrijpelijk of ontoegankelijk zijn voor een ieder die geen recht hee@ op kennisname van de gegevens.
• 7. Indien de verantwoordelijke geen kennisgeving aan de betrokkene doet, kan het College, indien het van oordeel is dat inbreuk waarschijnlijk nadelige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, van de verantwoordelijke verlangen dat hij alsnog een kennisgeving doet.
– Wijziging: Indien de verantwoordelijke geen kennisgeving aan de betrokkene doet, kan het College, indien het van oordeel is dat inbreuk waarschijnlijk nadelige onguns8ge gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, van de verantwoordelijke verlangen dat hij alsnog een kennisgeving doet.
• 8. De verantwoordelijke houdt een overzicht bij van alle inbreuken. Dit overzicht bevat in elk geval de feiten en de gegevens, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene.
– Wijziging: lid 8 vervalt
• 9. Dit ar4kel is niet van toepassing indien de verantwoordelijke in zijn hoedanigheid als aanbieder van een openbare elektronische communica4edienst een kennisgeving heej gedaan als bedoeld in ar4kel 11.3a, eerste en tweede lid, van de Telecommunica4ewet. 10. Het tweede en zevende lid zijn niet van toepassing op financiële ondernemingen als bedoeld in de Wet op het financieel toezicht. 11. Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld met betrekking tot de kennisgeving.
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
College bescherming persoonsgegevens wordt Autoriteit Persoonsgegevens
• Uitbreiding bevoegdheden Cbp/AP in wetsvoorstel datalekken
• Toekomst; boete bevoegdheid tot € 800.000,-‐ – Nu alleen last onder dwangsom
• Het wordt serieus! – AP: persoonsgegevens – ACM: consumentenrechten – AFM: toezichthouder financiele sector
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Er zijn zes categorieën: de eerste categorie, € 335 [Red: Per 1 januari 2014: € 405.] ; de tweede categorie, € 3 350 [Red: Per 1 januari 2014: € 4.050.] ; de derde categorie, € 6 700 [Red: Per 1 januari 2014: € 8.100.] ; de vierde categorie, € 16 750 [Red: Per 1 januari 2014: € 20.250.] ; de vijfde categorie, € 67 000 [Red: Per 1 januari 2014: € 81.000.] ; de zesde categorie, € 670 000 [Red: Per 1 januari 2014: € 810.000.]
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Spanningsveld Data lekken, Social Media / Big Data
• Beveiliging: – Wat je niet hebt, niet te beveiligen – Wat je niet hebt, kan niet lekken
• Bevoegdheid Cbp/Ap
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Verschil richtlijn en verordening
• Richtlijn – Per lidstaat omzetten in wet
• NL: Wet bescherming persoonsgegevens – Interpretatie verschillen bij implementatie
• Verordening – Rechtstreekse werking
• NL: intrekken Wet bescherming persoonsgegevens • Overige lid staten Europese Unie ook
– (kans op interpretatie verschillen bij handhaving)
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Europese Unie
• Begin 2012 ontwerp Verordening Bescherming Persoonsgegevens – Verordening heej directe werking
• Begin 2015 ontwerp Verordening Bescherming Persoonsgegevens gestemd • Begin 2017 inwerkingtreding Verordening Bescherming Persoonsgegevens
– Lid-‐Staten trekken eigen we&en in
• Verordening in werking in 2017, gebaseerd op concepten en denken uit 2012
• 8 EU-‐Commissarissen op het gebied van commerciele communica4e – Jus4ce/consumers, Digital Economy & Society, Economic and Financial Affairs, Internal
market (Postal), Trade, Digital Single Market, Jobs & Compe44veness, Be&er regula4on:
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Europese Verordening
• Mogelijk nog een klein 30 ‘maatregelen van bestuur’
• Gerucht in Brussel dat lidstaten op bepaalde vlakken de mogelijkheid zouden moeten hebben om lokale regels te stellen
• Europese markt, vrij verkeer van persoonsgegevens
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
E-‐privacy Richtlijn • Richtlijn:
– toestemming for e-‐mail, sms – Opt-‐out voor ongevraagde outbound telemarke4ng – Cookie rules
• Evalua4e na totstandkoming Verordening Gegevensbescherming – E-‐privacy Richtlijn: iedere lid staat zal dus deze richtlijn weer moeten omze&en naar lokale wetgeving
• Gegevensverwerking is geharmoniseerd, alleen het gebruik van peroonsgegevens voor communica4e niet
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Commerciële communica4e en persoonsgegevens in de gehele
Europese Unie • Verwerken persoonsgegevens
– Verordening: 1 – Maatregelen van bestuur: 30
• Gebruik van persoonsgegevens voor communica4e – Lokale implementa4e E-‐privacy richtlijn: 28
• 2017 totaal minimum 29 • 2027 totaal maximaal 59
• Hoe en of alle maatregelen relevant zijn, is de vraag.
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Marke4ng communica4e
• Waarschijnlijk 2000 problemen met tekst van de Verordening
• Voor marke4ng communica4e zijn er twee showstoppers
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Twee showstoppers I • Grondslag voor gegevensverwerking
– Om persoonsgegevens te mogen verwerken moet er een grondslag zijn: • Toestemming • Uitvoering overeenkomst • Uitvoering we&elijk voorschrij • Etc • Gerechtvaardigd belang van de Verantwoordelijke of een derde par4j aan wie de
persoonsgegevens worden verstrekt.
– Gerechtvaardigd belang is zeer belangrijk • Propor4onaliteit/subsidiariteit
– Hoe wer6 een bedrijf prospects als er toestemming nodig is, terwijl het een gerechtvaardigd belang is van een bedrijf om prospects te werven
– Het gerechtvaardigd belang is van groot belang voor commerciele communica4e
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Overweging 39 b, inmiddels 39 ter, concept Verordening gegevensbescherming
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Twee showstoppers II
• Profiling – Selecteren, segmenteren, analyseren, a/b testen etc – Als profiling:
• Leidt tot maatregelen die een juridisch effect hebben jegens de betrokkene; of
• Leidt tot maatregelen die hem/haar in aanmerkelijke mate trej; – Contract of pre-‐contractueel – Wetgeving – Toestemming
• Geen juridisch effect of trej in aanmerkelijke mate -‐> toegestaan • Discussie: marke4ng trej niet in aanmerkeljke mate
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Andere onderwerpen
• Transparan4e – Informa4eplichten zijn uitgebreid
• Benoemen van de bewaartermijn • Uitleggen waarom de Controller een gerechtvaardigd belang heej
– Blokkering • Blokkering tegen commercieel gebruik: niet langer meer in het privacystatement maar: ‘Dit recht wordt de betrokkene uitdrukkelijk en op begrijpelijke wijze geboden en moet duidelijk van overige informa4e kunnen worden onderscheiden’. Taalgebruik aangepast, specifiek bij kinderen.
– PIA: Privacy Impact Assesment, Privacy-‐by-‐design, Privacy-‐by-‐default
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Recht om vergeten te worden / recht om gegevens te laten wissen
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Administra4eve verplich4ngen
• Geen melding bij toezichthouder • Documenta4eplicht voor Verantwoordelijke en/of Verwerker
• PIA: Privacy Impact Analyse
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Timing
• 12 maart 2014 stemming in Europees Parlement
aan
deze
pre
sent
atie
kun
nen
geen
rech
ten
wor
den
ontle
end
Timing • Volgende stap overleg tussen EP en Raad van Ministers
– Overeenstemming/geen overeenstemming
• Inwerkingtreding twee jaar en twintig dagen na publicatie
• Vaststelling: 2015
• Feitelijk inwerkingtreding: 2017
• ALLES KAN NOG VERANDEREN
Top Related