Terugblik op het privacyjaar 2018 en een vooruitblik op 2019

Kijkend naar de privacywetgeving was 2018 een heel druk jaar. De nieuwe AVG heeft veel bedrijven goed beziggehouden. In 2019 zal dat niet veel anders worden, de ontwikkelingen omtrent de AVG zijn nu in volle gang. Ondertussen blijft de digitale dienstenmaatschappij zich in rap tempo doorontwikkelen en dus ook de daarbij behorende uitwisseling van big (personal) data. De wetgevingsmachine van de EU draait daarom overuren om dit bij te benen. In deze blog kijken we daarom even terug op het afgelopen AVG jaar en welke andere gerelateerde (digitale dienstenmaatschappij) wetgeving er in werking is getreden. We blikken ook vooruit naar 2019. Welke veranderingen kunnen we dit jaar verwachten op dit vlak.

Terugblik 2018:

Algemene verordening gegevensbescherming (AVG)

Op 25 mei 2018 is de veel besproken AVG in werking getreden. De AVG vervangt de Wet bescherming persoonsgegevens (Wbp). Een groot verschil tussen de AVG en de Wbp is dat de AVG een verordening is en daarom gelijkelijk geldt voor iedere lidstaat in de gehele Europese Unie, niet alleen voor Nederland. Dit zorgt voor meer harmonisatie van privacyregels binnen de EU.

Daarnaast heeft de AVG als doel het uitbreiden en versterken van de privacy rechten van de burgers, legt ze meer verantwoordelijkheid neer bij de bedrijven en breidt het de bevoegdheden uit van de Europese privacy toezichthouders. Zo hebben de toezichthouders nu de mogelijkheid om hogere boetes op te leggen bij overtreding van de AVG. Welke kunnen oplopen tot maximaal 20 miljoen euro of 4% van de wereldwijde jaaromzet, mocht dat bedrag hoger uitkomen.

Ondertussen heeft de Autoriteit Persoonsgegevens (AP), de Nederlandse privacy waakhond, zich eerst gefocust op de grotere organisaties. Ze heeft inmiddels een last onder dwangsom opgelegd aan het UWV omdat de beveiliging van persoonsgegevens niet goed op orde is. De last onder dwangsom op 1 november 2019 bedraagt € 150.000,- per maand en kan maximaal oplopen tot € 900.000.

Uber heeft in november 2018 van de AP een boete opgelegd gekregen van € 600.000,- voor het te laat melden van een datalek. Het lek vond al in 2016 plaats, maar in plaats van het lek binnen de verplichte 72 uur te melden aan de AP verzweeg Uber het lek. Het is voor het eerst dat de AP een boete oplegt voor het niet melden van een datalek.

Intussen loopt tegen tennisbond KNLTB momenteel nog een onderzoek. Verschillende leden van de bond hebben bij de AP een klacht ingediend over het delen van persoonsgegevens, zonder dat daar toestemming voor was gegeven. De leden werden ongevraagd opgebeld, kregen mailtjes of reclame per post. Het commercieel verhandelen van persoonsgegevens kan de tennisbond een geldboete opleveren. De AP zal ook steeds meer speldenprikacties gaan ondernemen richting het bedrijfsleven.

Speldenprik-acties zijn willekeurige controles van de AP waarbij er wordt gekeken of bedrijven en organisaties voldoen aan de AVG. Bijvoorbeeld, houdt u een verwerkersregister bij en voldoet deze aan de eisen van de AVG? Zij richt hierbij ook haar pijlen op de private sector, dus niet alleen op de Belastingdienst, UWV of de Politie.

De AVG is het meest onder de aandacht geweest, maar is niet de enige wet die in werking is getreden in 2018 welke ziet op privacy.

Wet bescherming bedrijfsgeheimen (Wbb)

Op 23 oktober 2018 is de Wbb in werking getreden. Daar waar de AVG ziet op de bescherming van persoonsgegevens, ziet de Wbb op de bescherming van zakelijke gegevens, met name dan bedrijfsgeheimen. Deze wet geeft aan wanneer er sprake is van een bedrijfsgeheim, tegen welke inbreuken de organisatie beschermd wordt en welke juridische maatregelen er genomen kunnen worden wanneer er sprake is van een inbreuk. Een mooie aanvullende beschermingswet voor het zakenleven.

Verordening Geoblocking

Op 3 december 2018 is de Europese verordening Geoblocking in werking getreden. Geoblocking is vanaf die datum verboden. Geoblocking technieken zorgen ervoor dat consumenten niet bij webshops uit een ander land hun aankopen kunnen doen. Bijvoorbeeld Nederlandse consumenten worden herleid naar de Nederlandse webshop van een Spaans merk in plaats van naar de Spaanse webshop. Dit betekent dat er geen vrij verkeer van goederen mogelijk is en dat is in strijd met de EU-grondregels. Hier heeft de EU dus sinds 3 december j.l. een einde aan gemaakt. Consumenten kunnen rechtstreeks beroep doen op deze verordening.

Vooruitblik 2019:

PSD2 inzake betaaldiensten.

Op 1 januari 2019 is de nieuwe Europese richtlijn PSD2 in werking getreden, welke zorgt voor regulering van betaaldiensten. Geheel nieuw is deze richtlijn niet. In 2007 is de eerste PSD (PSD1) aangenomen door het Europese Parlement. PSD2 moet voor meer innovatie en concurrentie zorgen. Een belangrijke wijziging in de PSD2 is dat derde partijen toegang kunnen krijgen tot betaalrekeningen van klanten, mits de klant hier zelf uitdrukkelijk toestemming voor heeft gegeven. Een praktijkvoorbeeld van een betaaldienst is het aanbieden van een digitaal huishoudboekje. De aanbieder heeft dan toegang nodig tot je betaalgegevens om een totaaloverzicht te kunnen geven van je inkomsten en uitgaven. Op dit moment bieden voornamelijk banken dit soort diensten al aan. Hierbij gaat het dan om de rekeningen die zij in beheer hebben. Echter Google heeft net een Europese vergunning verworven om ook deze diensten te kunnen gaan aanbieden en zal dat uiteraard ook gaan doen. Immers zij hebben weer veel data omtrent surfgedrag en de sociale media profielen. Facebook heeft inmiddels een vergunningsaanvraag lopen. De PSD2 richtlijn maakt deze betaaldiensten dus ook mogelijk voor de rekeningen van andere banken zodat dit niet bancaire instellingen zoals Google en Facebook in de kaart speelt.

Een van de eisen is dat de klant wél duidelijk moet kunnen zien welke partijen toegang hebben tot welke gegevens en waar zij de toestemming voor de toegang weer kunnen intrekken. Ook moet de toegang tot de bankrekening door derde partijen gratis zijn.

Medio 2019: E-privacy verordening

De E-privacy verordening zou oorspronkelijk tegelijk met de AVG inwerkingtreden. Door onenigheid over de concepttekst is dit niet gelukt. Wij verwachten dat de E-privacy verordening medio 2019 van kracht zal gaan. De E-privacy verordening is een aftakking (zogenaamde lex specialis) op de AVG. Waar de AVG ziet op elke verwerking van persoonsgegevens ziet de E-privacy verordening alleen op verwerkingen van persoonsgegevens bij elektronische communicatiediensten. Hieronder vallen alle online communicatiediensten zoals Mailchimp, WhatsApp, Facebook, Google, etc. Een belangrijk aspect van de E-privacy verordening is dat deze ook ziet op de cookieregels en spamverbod. De AVG stelt voor deze onderwerpen algemene richtlijnen, de verordening gaat er specifieker op in. Met de inwerkingtreding van de E-privacy verordening vervalt de huidige Telecommunicatiewet.

Wet aanpak cyber crime 2019

In 2019 wil de Nederlandse overheid de digitale weerbaarheid van Nederland gaan aanpakken. Cybercrime blijft zich in snel tempo ontwikkelen en de dreigingen zijn nog altijd groot. De overheid wil in zijn aanpak gaan samenwerken met bedrijven, burgers en maatschappelijke organisaties. De aanpak richt zich o.a. op de onderwerpen digitale diefstal, afpersing, fraude, platleggen diefstal en bedrijfsspionage. Het is de bedoeling dat cybercrime wordt voorkomen, dat er betere opsporing en onderzoek mogelijk is, dat er slachtofferhulp geboden wordt en dat het makkelijker wordt om aangifte te doen van cybercrime.

De ingangsdatum van deze wet is nog niet bekend. Wanneer er meer over bekend is laten wij dat zeker weten!

Aanpak AP in 2019 van handhaving AVG:

De acties richting het MKB

De Autoriteit Persoonsgegevens, onder leiding van directeur Aleid Wolfsen, waarschuwde in september 2018 op het VPR-jaarcongres, dat The Legal Privacy Company bijwoonde, het MKB voor der eerder genoemde speldenprik controles. Wolfsen zegt dat het MKB vaak worstelt met verplichtingen waar nog invulling aan moet worden gegeven. Dat het MKB hiermee worstelt is ook te lezen in de rapportage van het Centraal Planbureau “Vooral MKB en thuisgebruikers lopen vermijdbare risico’s”. Eén van de redenen is dat de nadere inkleuring en interpretatie van deze verplichtingen vaak door uitspraken van rechters gebeurd. Deze uitspraken worden uiteraard niet gelezen door het MKB.

Sancties

Aleid Wolfsen sprak verder over het AVG controle- en sanctiebeleid en gaf nader uitleg over de speldenprik-acties. Met enige regelmaat worden er namelijk door de Autoriteit Persoonsgegevens sancties uitgedeeld die voortkomen uit deze acties. Wanneer een organisatie of bedrijf niet voldoet aan de AVG heeft de AP vier mogelijkheden om op te treden, namelijk:

  • Waarschuwen
  • Hulp bieden
  • Last onder dwangsom
  • Boete

Concluderend

Het afgelopen jaar was al een bewogen jaar qua invoering van nieuwe Europese wetten met binnenlandse effecten voor het bedrijfsleven zoals de AVG, Wet bescherming bedrijfsgeheimen, Verordening Geoblocking en de richtlijn PSD2. Ook in 2019 zullen er nog veel ontwikkelingen zijn. Zo treedt de E -privacy verordening inwerking, ligt het Wetsvoorstel bestrijding cybercrime klaar en kunt u speldenprik acties verwachten van de AP. Daarover later meer in een nieuwe blog.

The Legal Privacy Company houdt u graag op de hoogte van de ontwikkelingen en kan u adviseren over welke gevolgen deze wetgeving heeft voor uw organisatie. Dit doen wij o.a. door middel van adviezen maar ook door het plaatsen van informatieve blogs en het geven van masterclasses.

Op 14 februari 2019 geven wij bijv. de Masterclass AVG Management Z tot A. In deze Masterclass leren wij u aan de hand van praktijkgevallen hoe uw organisatie zo pragmatisch mogelijk de AVG kan naleven. In deze Masterclass nemen wij de nieuwste ontwikkelingen mee op het gebied van het privacyrecht. Schrijf u snel in, want de belangstelling is weer groot! Meer informatie vindt u op onze website. Natuurlijk kunt u ook mailen naar info@thelegalprivacycompany.com of bellen naar 020-3450152.  

Privacy van de werknemers, hoe de AVG in de praktijk toe te passen?

Een organisatie met werknemers verwerkt per definitie persoonsgegevens van werknemers. Denk aan de gebruikelijke gegevens als naam, adres, telefoonnummer, BSN, etc. Naast deze gebruikelijke gegevens worden er vaak andere persoonsgegevens verwerkt zoals psychologische assessment rapporten, gps-trackingoverzichten, foto’s in het smoelenboek, tijdsregistratiesystemen, etc. Vanaf 25 mei 2018 zal men ten aanzien van al die gegevens opnieuw moeten bezien of al de verwerkingen voldoen aan de Algemene verordening gegevensbescherming (hierna AVG). Het niet voldoen aan de AVG kan immers hoge boetes opleveren, reputatieschades en claims van werknemers. Ook kan het in ziektedossiers en ontslagzaken vervelende effecten hebben. Wat zijn nu de belangrijkste verplichtingen en veranderingen voor de werkgever ingevolge de AVG?

Recht op inzage

Onder Wet bescherming persoonsgegevens (Wbp) bestonden er al privacy rechten voor de werknemer. Een aantal van die rechten zijn onder de AVG verruimd. Zo hebben werknemers recht op inzage in de persoonsgegevens die de werkgever van hen verwerkt, zelfs als deze gegevens al eerder zijn verstrekt.

Dit is gebaseerd op een van de belangrijkste privacy beginselen, het zogenaamde transparantiebeginsel. Iedereen moet in de gelegenheid zijn om de persoonsgegevens die over hem zijn verzameld te allen tijde in te zien. Daarbij moet dat recht eenvoudig uit te oefenen zijn zodat hij zich van de verwerking op de hoogte kan stellen en de rechtmatigheid daarvan kan controleren. Dat de werknemer al bekend is met deze gegevens of wanneer deze gegevens al eens verstrekt zijn, is geen reden om de stukken niet te verstrekken. Simpel gezegd betekent dit dat de werknemer zijn volledige personeelsdossier mag opvragen en dat de werkgever deze ook aan de werknemer moet verstrekken. Dit moet dan ook zo snel mogelijk en uiterlijk binnen de AVG termijn van een maand nadat het verzoek is ingediend.

Recht op vergetelheid

Een nieuw persoonlijk recht onder de AVG is het recht op vergetelheid. Dit recht houdt in dat de werknemer aan de werkgever kan vragen om bepaalde persoonsgegevens te wissen. Dit is echter geen absoluut recht. Als er bijvoorbeeld sprake is van een wettelijk bewaartermijn voor de werkgever kan dit recht niet uitgeoefend worden zolang het wettelijke bewaartermijn nog loopt.

Informatieplicht

Wat verder volgt uit het transparantiebeginsel is de informatieplicht. Als werkgever moet je je sollicitanten en werknemers pro-actief, dus uit jezelf informeren over de verwerkingen van persoonsgegevens die plaatsvinden binnen de organisatie. De meest gebruikelijke manier om dit te doen is door het plaatsen van een privacyverklaring op de website en een intern privacy beleid dat onderdeel is van de arbeidsdocumentatie. Er moet duidelijk vermeld worden welke gegevens er worden verzameld, voor welke doeleinden dit gedaan wordt en waar de werknemer eventueel een klacht of verzoek kan indienen rondom de verwerking.

Cameratoezicht, GPS en vingerscan

Hoe zit het met cameratoezicht op het werk, het gebruik van een vingerscan om toegang te krijgen of de tijd te klokken en het GPS-systeem in de auto van de werknemer? Mag je dit allemaal wel verzamelen zolang je de werknemer er maar van op de hoogte stelt? Of moet je toestemming vragen? En mag je die gegevens dan ook gebruiken om de werknemer te controleren en onregelmatigheden op te sporen?

AVG stappen

In al deze gevallen dient men eerst vast te stellen of er wel een wettelijke grondslag is voor de verwerking. Vervolgens moet men een belangenafweging maken tussen het belang van de werkgever om de gegevens te verwerken en te verzamelen en het belang van de werknemer om die gegevens geheim te houden. De vraag die de werkgever zich daarbij altijd moet stellen is of er een alternatief is om aan de gegevens te komen dat minder ingrijpend is ten aanzien van de privacy van de werknemer.

AVG te streng toegepast

Deze vragen zijn niet altijd gemakkelijk te beantwoorden. We zien in de praktijk daarom geregeld dat werkgevers vanwege gebrek aan kennis een veel te strenge afweging maken. Er worden dan keuzes gemaakt met de gedachte, ‘dat mag niet meer onder de AVG’, terwijl dat wel nog had gekund maar dan anders. Bijvoorbeeld het versturen van loonstrookjes over de mail. Dat mag nog steeds maar streep dan het BSN-nummer weg en andere gegevens die niet relevant zijn voor de ontvanger.

Zorg voor de juiste kennis over de praktijk toepassing van de AVG

Het is een zeer divers palet aan situaties waar men als werkgever steeds mee te maken krijgt. Het is daarom belangrijk om de juiste praktijkkennis in huis te halen omtrent wat de juiste algemene stappen en afwegingen zijn in de meest voorkomende werknemerssituatie.

Om de juiste praktische toepassing binnen uw organisatie mogelijk te maken organiseren wij op 22 november 2018 de Masterclass Privacy en Werknemers. In één dagdeel maken wij u wegwijs in dit onderwerk en krijgt u daar bovendien een handig naslagwerk bij. Schrijf u snel in want de belangstelling voor dit onderwerp is groot, kijk voor meer informatie op onze website Trainingen, mail info@thelegalprivacycompany.com of bel 020-3450152.

Bijzondere persoonsgegevens

De AVG maakt onderscheid tussen gewone en bijzondere persoonsgegevens. Omdat de AVG hogere eisen stelt aan organisaties die bijzondere persoonsgegevens verwerken, is het van belang dat u dat ook kunt doen. Dit blijkt in de praktijk lastig te zijn en daarom zullen wij u hiervoor een aantal handvatten aanreiken.

Persoonsgegeven

Onder persoonsgegeven wordt alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon verstaan. De informatie dient direct of indirect (door middel van herleiding) te kunnen leiden tot identificatie van een natuurlijk persoon.

Hieruit kan worden opgemaakt dat een persoonsgegeven een gegeven over een natuurlijke persoon moet zijn. Daarnaast moet het gaan om gegevens die alleen of in combinatie met andere gegevens, zo kenmerkend zijn voor een specifieke natuurlijke persoon dat deze aan de hand daarvan zonder al te veel moeite kan worden geïdentificeerd. Daarbij gaat het om de mogelijkheid tot identificatie. Het is niet van belang of deze identificatie daadwerkelijk ooit plaats zal vinden.

Er is een verschil tussen direct en indirect identificerende gegevens. Direct identificeerbare gegevens zijn gegevens waarmee de identiteit van een persoon zonder veel omwegen kan worden vastgesteld zoals bijvoorbeeld een naam, adres en telefoonnummer en de combinatie van deze gegevens.

Indirect identificeerbare gegevens zijn gegevens die niet direct naar een persoon herleiden maar die via nadere stappen in verband kunnen worden gebracht met een bepaalde persoon. Er kan dan weer een onderscheid worden gemaakt tussen gegevens met een hoog onderscheidend karakter, zoals leeftijd, woonplaats en beroep, en gegevens met een laag onderscheidend karakter, zoals leeftijdsklasse, woonregio en beroepsklasse. Het onderscheidende vermogen van dergelijke (combinaties van) gegevens is mede afhankelijk van de context waarbinnen ze worden gebruikt.

Bijzondere persoonsgegevens

Bijzondere persoonsgegevens zijn gegevens die zo’n gevoelig karakter hebben dat de verwerking ervan iemands privacy ernstig kan beïnvloeden. De verwerking van bijzondere persoonsgegevens is in beginsel verboden, tenzij daarvoor een uitzondering wordt gemaakt in de AVG. Zo mogen organisaties bijzondere persoonsgegevens verwerken als de betrokkene in vrije wil uitdrukkelijk toestemming heeft gegeven, als de verwerking noodzakelijk is om vitale belangen van betrokkenen te beschermen of als de betrokkene de gegevens zelf al openbaar heeft gemaakt.

Voorbeelden van bijzondere persoonsgegevens zijn gegevens die betrekking hebben op iemands:

  • gezondheid;
  • ras of etnische afkomst;
  • politieke opvatting;
  • religieuze of levensbeschouwelijke overtuigingen;
  • lidmaatschap van een vakbond;
  • seksueel gedrag of seksuele gerichtheid;
  • genetische of biometrische kenmerken die worden gebruikt worden om een persoon te identificeren.

Het BSN valt niet onder de categorie bijzondere persoonsgegevens maar dit betekent niet dat organisaties zonder meer deze mogen verwerken. Er gelden vereisten, die in de wet staan omschreven, waaraan u moet voldoen bij het verwerken hiervan. Zo is een werkgever verplicht om het BSN van werknemers vast te leggen op grond van de Wet op de loonbelasting 1964. Het BSN mag echter niet gebruikt dan wel verwerkt worden als personeelsnummer; daar is geen juridische grondslag voor.

De AVG stelt strenge eisen aan organisaties die bijzondere persoonsgegevens verwerken. Zo kan voor organisaties de verplichting gelden om een Data Protection Impact Assessment uit te voeren. Met een Data Protection Impact Assessment worden de privacy risico’s van de gegevensverwerking en eventuele maatregelen die genomen kunnen worden om die risico’s te minimaliseren, in kaart gebracht. Ook moeten organisaties bij een lek van bijzondere persoonsgegevens altijd de betrokkenen op de hoogte stellen. Daarnaast moeten organisaties die vanuit een kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken, een functionaris voor de gegevensbescherming aanstellen.

 

Weet u niet zeker of u bijzondere persoonsgegevens verwerkt of onder welke voorwaarden u ze mag verwerken? Wilt u weten of u een DPIA moet uitvoeren of die door ons laten uitvoeren? Of wilt u meer weten over de overige aspecten van de AVG? Bel 020-3450152 of mail naar info@thelegalprivacycompany.nl

Privacy proof website, tegenwoordig een must om in business te blijven.

De grens tussen de digitale en de analoge wereld is aan het vervagen. Steeds meer dagelijkse taken worden online uitgevoerd via allerlei platforms, portals en websites. Met- of zonder het te weten, wordt online de meest vertrouwelijke informatie gedeeld. Toch zijn heel veel mensen niet technisch genoeg onderlegd om alle gevaren van het internetgebruik te kunnen vermijden en de informatie die wij delen te minimaliseren. We zijn dus niet in staat om onszelf goed te beschermen. Om ervoor te zorgen dat onze privacy online beschermd wordt, zijn er wetten ingevoerd die dit in het internetverkeer regelen. Ook de veel besproken Algemene verordening gegevensbescherming (AVG) is van invloed op de manier waarop persoonsgegevens door websitehouders verzameld en gebruikt mogen worden. Uit een onderzoek van de Consumentenbond blijkt echter dat 2 van de 3 websites deze nieuwe privacywet overtreden. In deze blog wordt specifiek ingegaan op hoe websitehouders de privacy van websitebezoekers dienen te waarborgen.

 

Verplichtingen voor websitehouders

Websitehouders die persoonsgegevens via hun website (m.b.v. in te vullen webformulieren) verzamelen moeten een wettelijke grondslag hebben om dit te doen. Dat is bijv. het geval als die gegevens nodig zijn ter voorbereiding van een offerte of vanwege een sollicitatie. Dan zijn die gegevens noodzakelijk om de levering van de aangevraagde diensten of producten mogelijk te maken of de arbeidsovereenkomst te kunnen aangaan. Dit betreft de grondslag “noodzakelijk ter uitvoering (of voorbereiding daarvan) van een overeenkomst. Verder is een veel voorkomende grondslag het vragen van toestemming van de betrokkene, van wie persoonsgegevens verzameld worden. Dat wordt gedaan als de andere grondslagen niet voorhanden zijn.

Naast de grondslag dient de betrokkene (in dit geval een websitebezoeker) globaal geïnformeerd te worden over waarom die gegevens worden verzameld, wat is het doeleinde van de verwerking van die persoonsgegevens. Het informeren van betrokkenen doet de websitehouder door middel van de zogenaamde privacyverklaring. Daarbij dienen ook de cookieverklaring en een cookiebanner datzelfde informatiedoel.

 

Meer controle en rechten voor de websitebezoekers.

Sinds de invoering van de AVG hebben de betrokkenen meer controle en rechten die zij moeten kunnen uitoefenen, zoals recht op inzage en recht op vergetelheid en recht om niet onderworpen te worden aan tracking (klikgedrag wordt bijgehouden) en profiling (gedragsvoorspelling). Daarover moeten Websitehouders de bezoekers op de juiste momenten informeren. Websitehouders die zich hier niet aan houden, riskeren hoge boetes opgelegd door de toezichthouder, de AP. Dit is recent bij Theodoor Gilissen Bankiers (TGB) gebleken. 

Wat zijn cookies?

Cookies zijn tekstbestanden die opgeslagen worden na het bezoek op de website. Door middel van cookies zijn de websitehouders bijvoorbeeld in staat om bezoekersaantallen bij te houden of voorkeurstaal te onthouden. Aan de hand daarvan kan een websitebeheerder reclamecampagnes afstellen of de website zo klantenvriendelijk mogelijk maken.

Aangezien het verzamelen van informatie over het bezoekersgedrag inbreuk maakt op de privacy van de bezoekers moeten de websites eerst om toestemming vragen om deze gegevens te mogen verzamelen door de betrokkenen hierover vóóraf informeren.

 

Welke soorten cookies zijn er?

Er bestaan vele verschillende cookies. Deze cookies verzamelen verschillende soorten informatie en kunnen afkomstig zijn uit verschillende bronnen. Zo kunnen cookies onderverdeeld worden in First-party cookiesen Third-party cookiesen worden enerzijds door de websitebeheerder zelf en anderzijds door derden zoals de adverteerders geplaatst. Een andere verdeling kan gemaakt worden volgens de functie van cookies. Zo zijn er cookies die je voorkeurenop de website onthouden zoals de taalkeuze. Dit zijn cookies die noodzakelijk zijn voor de werking en prettige ervaring op de website. Daarom worden deze cookies functionele cookiesgenoemd en kunnen ze zonder voorafgaande toestemming geactiveerd worden. Een andere mogelijke functie van de cookies is het bijhouden van het surfgedrag van een websitebezoeker. Door middel van deze gegevens kan een heel nauwkeurig profiel van de websitebezoeker gecreëerd worden. Deze cookies worden ook wel marketing cookiesgenoemd. Dit is een vergaande inbreuk op de privacy van de gebruikers, dus dient er altijd een voorafgaande toestemming gevraagd te worden.

Voor alle soorten cookies geldt dat de websitebezoeker geïnformeerd dient te worden over de soorten cookies die gebruikt worden en de gegevens die daarmee verzameld worden. Daarnaast dient men de keuze te hebben om cookies uit te zetten.

 

SSL  Certificaat

Onder de AVG zijn websitehouders verder ook verplicht om te zorgen voor een optimale beveiliging van de verzamelde persoonsgegevens. Zij dienen voldoende organisatorische en technische (IT-) maatregelen te treffen om datalekken te voorkomen. Naast de beveiliging achter de schermen, zijn de websitehouders die formulieren of (nieuwsbrief-) aanmeldingen op hun website plaatsen, verplicht om een SSL-certificaat (HTTPS) te verkrijgen. Dit is een protocol die de communicatie tussen een computers (bijvoorbeeld op het internet) codeert en daarmee beveiligt. Men kan de websites die SSL-gecertificeerd zijn herkennen door ‘https’ voorafgaand aan het websiteadres bijv. (https://thelegalprivacycompany.com).

 

E-Privacy Verordening.

Er komen steeds meer regels bij. Inmiddels wordt ook gewerkt aan een nieuwe E-privacy verordening, de Europese wetgeving die gaat over het inzetten van gebruikersdata bij online advertising via o.a. Google, Facebook, Bing, DSP’s, (Web)Analytics en tooling als Data Management Platforms. In grote lijnen betekent dit dat veel meer dan voorheen specifieke toestemming van de eindgebruiker nodig is om te werken met persoonlijke en naar individuele persoon (pseudo anonieme data) herleidbare data.voor de inzet van verschillende marketingkanalen zoals e-mail, cookies en telemarketing. In deze verordening worden de fundamentele rechten en vrijheden van consumenten op het gebied van online privacy gewaarborgd.

De impact van de ePrivacy Verordening zal vooral op de Digital Advertising markt het grootst zijn.

 

Privacy website toets

Het is door alle nieuwe regels en dataverkeer niet simpel meer om als een bedrijf te voldoen aan de privacyregelgeving, ook niet rondom uw website. Bovengenoemde aspecten vormen echter wel een goed begin van een privacy proof website. Uw website is immers uw visitekaartje en een eerste contactmoment met uw toekomstige klanten, werknemers en samenwerkingspartners. Dit kan ook een goede indicatie geven dat u een modern bedrijfsvoering heeft die up-to-date is en de AVG naleeft. Uiteraard moet dit intern dan wel echt kloppen en zullen uw mensen bijv. op de werkvloer veilig moeten omgaan met de persoonsgegevens. Twijfelt u daar nog aan laat dan een AVG audit uitvoeren.

Een privacy proof website is overigens niet alleen een wettelijke verplichting maar ook een aangename dienst richting uw klanten. Daarom heeft The Legal Privacy Company een Website Privacy Screeningontwikkeld. Dit is een dienst waarmee wij uw website controleren op het juiste gebruik van cookies, informatievoorziening rondom de verzameling van persoonsgegevens zoals de privacyverklaring, beveiliging van uw website en veel meer. Wilt u meer informatie krijgen over de Website Privacy Screening of direct een offerte aanvragen? Klik hier, mail naar info@thelegalprivacycompany.comof bel (020) 345 01 52.

Hier gaat iets helemaal fout: Inboxes onnodig overspoeld door AVG toestemmingsmails

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) afgelopen 25 mei worden we overspoeld door compliance e-mails. Erg vermoeiend en met ongewenste reputatie schade voor zowel bedrijven als  geadresseerden.

 

Vraag geen onnodige toestemming vanuit paniek.

Vanuit een ‘paniekmodus’ mailen duizenden bedrijven hun bestaande mailinglijsten om bevestigende opt-in toestemming voor hun e-mail marketing te krijgen, ogenschijnlijk om te voldoen aan de AVG. Deze benadering berust op een ongelukkig misverstand, omdat de meeste van deze e-mails gestuurd worden naar mensen met wie het bedrijf reeds een commerciële relatie heeft. Daarvoor is géén toestemming nodig omdat men een ‘gerechtvaardigd belang’ heeft om bestaande relaties te blijven informeren over de producten en diensten. Dat was zo en dat blijft zo onder de AVG. Heel simpel: als ik iets in een webshop koop, mag het bedrijf me berichten sturen op basis van een gerechtvaardigd bedrijfsbelang (direct marketing) – wél met een duidelijke afmelding / opt-out mogelijkheid.

De basisregel is dat een vóór de inwerking getreden AVG gegeven toestemming geldig blijft als deze voldoet aan de AVG-standaard: ondubbelzinnig (dus geen vooraf aangevinkte vakjes) en specifiek. De toestemming moet dus aantoonbaar zijn voor aangegeven producten en diensten waarvoor men de geadresseerden ook in de toekomst wil blijven mailen. Daar moeten schriftelijke bewijzen van zijn in de administratie.

 

Hernieuwde toestemming vragen om alsnog legale mailinglijsten te krijgen.

Bedrijven die zich wel zorgen moeten maken bij hernieuwde toestemmings e-mails voor marketing, zijn degenen die momenteel niet kunnen aantonen dat deze toestemming legaal is verkregen én daarvoor al in strijd handelden met de EU-wetgeving. Zie artikel 13 van de e-Privacy Verordening (ePV) die bepaalt: “communicatie, inclusief e-mail, mag niet worden verzonden zonder voorafgaande toestemming, tenzij er al een klantrelatie bestaat.”

Beland iemand op een mailinglijst, zonder iets gekocht of afgenomen te hebben en zonder daar ooit aantoonbaar toestemming voor te hebben gegeven, dan mocht die persoon vóór 25 mei 2018 niet gemaild worden – en daarna dus ook niet. Die persoon mag strikt genomen ook niet ‘even’ gemaild worden om nu alsnog toestemming te vragen onder het mom van de AVG. Dit gaat vaak fout, waarbij de AVG wordt aangegrepen om de illegale mailinglijsten alsnog legaal te maken!

 

Toestemmingsmails in strijd met de AVG principes.

Het is zorgelijk dat bedrijven twee wetten (de AVG en de ePV) combineren ten koste van gebruikers. Dat druist regelrecht in tegen de principes van de AVG. Op zich zouden de hernieuwde toestemmingsmails via de AVG nog een goede zaak kunnen zijn als ze het bewustzijn hierover daadwerkelijk vergroten voor degenen die reeds toestemming hebben gegeven. Deze sneeuwen echter onder mede door foute e-mails in verband met illegale mailinglijsten. Mijns inziens ondermijnt dit de privacy, omdat mensen de AVG hierdoor als een ergernis gaan zien. De hierop volgende instemmingsmoeheid zorgt ervoor dat echt belangrijke e-mails die de privacy werkelijk beïnvloeden genegeerd worden. Deze vermoeidheid zal onvermijdelijk leiden tot mechanische klikken op ‘Nee, bedankt’ of het negeren van de e-mails. Dat doe ik, door deze drukte, inmiddels zelf ook. Bovendien lijkt het een goede gelegenheid om snel en automatisch van mailinglijsten af ​​te komen, omdat mensen juist gaan kiezen voor de “opt-out” of niets doen. De relatie die een bedrijf eigenlijk zonder toestemming mocht blijven mailen, raak het dan ook nog eens kwijt.

Dan is het ook nog eens de vraag of bedrijven eenieder die niet reageert op een verzoek om hernieuwde toestemming, hen daadwerkelijk uit de verzendlijsten halen. Aangezien toestemming een positieve actie moet zijn, kan stilzitten niet worden geïnterpreteerd als impliciete toestemming.

 

Correcte email marketing onder de AVG, hoe zit dat nu?

Zoals met gegevensbescherming vaak het geval is het niet zwart of wit. E-mail of direct marketing moet gesplitst worden in twee delen:

1)          de AVG beoordeelt de verwerking van persoonsgegevens om een marketingmail te kunnen verzenden aan de geadresseerde en

2)         de  e-Privacy-richtlijn omvat de regels omtrent het verzenden van de communicatie zelf.

Toestemming voor e-mail marketing is al een vereiste onder de Europese wetgeving inzake e-privacy. De e-privacy verordening maakt dit type marketing mogelijk via een opt-out voor bestaande klanten. Dus als je je afmeldknop hebt geplaatst, is alles goed. De AVG brengt daar geen verandering in!  Onder de AVG moet een bedrijf eerst een wettelijke grondslag hebben om de persoonsgegevens voor het doel van e-mail marketing te mogen gebruiken. Dat betekent voor bestaande klanten dus ‘een gerechtvaardigd belang’ en voor personen die nog geen klant zijn, ‘toestemming vragen’.

Daarbij is het ook zo dat als bedrijven niet zeker weten hoe ze de contactgegevens hebben verzameld, ze mogelijk geen reden meer hebben om met de gebruiker contact op te nemen. Contact opnemen met mensen die zich in het verleden hebben afgemeld voor alle communicatie is sowieso illegaal, omdat deze gegevens geen deel meer mogen maken van een database. Ze worden waarschijnlijk langer bewaard dan strikt noodzakelijk. Het kan overigens ook een argument zijn om de opt-outs te behouden om te voorkomen dat ze terugkomen in de mailinglijst bij het samenvoegen van databases of iets dergelijks. Daar zou dan wel een bewaartermijn voor moeten worden vastgesteld.

Hoe dan ook, het gebruik van opt-outs om opnieuw om toestemming te vragen is in ieder geval not-done. Als een bedrijf persoonlijke gegevens heeft verkregen, moet het nog steeds de juiste en aantoonbare grondslag hebben om überhaupt te mogen mailen onder de AVG.

Als er in het geval van bulkmailadreslijsten, geen AVG grondslag is voor de verwerking, kan toestemming vragen wel de meest simpele oplossing lijken, maar dit is ook een risicovolle. Bedrijven moeten dan immers ook de betrokkenen informeren over hoe het bedrijf de privégegevens in de eerste plaats heeft gekregen.

 

Zorgvuldige acties met de juiste professionele begeleiding.

Bedrijven moeten hoe dan ook hun mailing acties zorgvuldig overwegen om elke mogelijke reputatiecrisis en onnodig verlies van legale geadresseerden te voorkomen. Ook is het raadzaam dat zij zich laten bijstaan door gecertificeerde privacy experts die écht weten hoe van de hoed en de rand. Op dit moment bestaat er maar een Europees erkend privacy keurmerk en dat is die van de CIPP/e (certified information privacy professional) van de IAPP (International Association Privacy Professionals) in Ierland. Zorg dat u zich laat bijstaan door een privacy expert met een IAPP lidmaatschap en het CIPP/e examen met goed gevolg heeft afgelegd. Zo bent u verzekerd van de kwaliteit van het advies, ook over de mailingacties maar ook over andere privacy consultancy vraagstukken zoals omtrent de verwerkersovereenkomsten, de verwerking van bijzondere persoonsgegevens, de juiste privacy administratie en documentatie.

 

Mr. Hella Vercammen CIPP/e (link certificaat https://bit.ly/2seQBtx )
Directeur en jurist The Legal Privacy Company B.V.

 

Persbericht: MKB kennis AVG ‘redelijk voldoende’, maar nu nog doorpakken in de praktijk

Amstelveen, 24 mei 2018 – 9 van de 10 MKB-ondernemers weet dat alleen al het opslaan van persoonsgegevens betekent dat de onderneming persoonsgegevens verwerkt. En dat de AVG (Algemene Verordening Gegevensbescherming) meer omvat dan enkel het beveiligen van persoonsgegevens. Maar in de praktijk gaat het nog vaak mis: slechts 20% van de bedrijven geeft aan dat zij een data-lek protocol hebben. Ook heeft slechts 15% privacy awareness trainingen voor het personeel georganiseerd – dé manier om het personeel te instrueren over de risico’s bij de beveiliging en waarborging van persoonsgegevens.

 

Dat blijkt uit de ‘AVG Zelfkennis en Voorbereidingstest’ die MKB privacy expert TLPC (The Legal Privacy Company) in samenwerking met branche organisaties, waaronder MKB Belangen, Accountancy Vanmorgen, Clean Totaal, Meer Business en lokale MKB partijen zoals de Amstelveens Ondernemersvereniging, in de afgelopen twee weken uitvoerde. MKB-ondernemers deden massaal mee met 2500 deelnemers. In de test werd onderscheid gemaakt tussen kennis en praktijk. Vanaf 25 mei a.s. moeten bedrijven en organisaties kunnen aantonen dat zij aan de AVG voldoen.

 

MKB privacy pilot

Vergelijkbare ervaringen blijken uit een pilot met vier MKB-bedrijven in de afgelopen maanden en een beta-versie van een door TLPC ontwikkeld digitaal privacy portaal dat op 25 mei a.s. live zal gaan.

Gebleken is dat de combinatie van praktische begeleiding door een privacy expert, samen met een digitale tool met de benodigde functionaliteiten om privacy proof te worden en te blijven bij het MKB het beste werkt.

 

Doorpakken in de praktijk

Mr. Hella Vercammen, directeur TLPC en CIPP/E gecertificeerd privacy jurist legt uit: “Ondanks vele berichten dat het MKB bedrijfsleven niet klaar is voor de AVG en de focus op boetes bij het in gebreke zijn, zien wij een positief beeld. Alhoewel men de zaak complex vindt en tegen de uitvoering aanhikt, begrijpt het MKB heel goed dat ze de AVG en de rol van privacy serieus moeten nemen. Wij zien inmiddels dat bij een belangrijk deel van het MKB de kennis én de wil aanwezig is, maar het schort nog bij het doorpakken in de praktijk. Toch kan een MKB ondernemer met enige hulp en een aantal tools, redelijk snel en tegen relatief geringe kosten privacy verantwoord ondernemen. Daarmee worden uiteindelijk boetes en het mislopen van opdrachten voorkomen, maar men kan hieruit ook een USP creëren. Ook kan dit een rol spelen bij de verkoop van een onderneming”.

 

Fonville schoonmaakbedrijven

Marcel Mink van Fonville Schoonmaakbedrijven BV: “Wij waren met dit voor ons belangrijke onderwerp bezig omdat we met 1800 mensen werken en dus veel persoonsgegevens hebben. De combinatie van een privacy masterclass, een nulmeting en een speciaal software tool van TLPC hebben ons daarbij heel goed geholpen. We hebben hierdoor zelf de benodigde documentatie kunnen opstellen en het is met één privacy dashboard veel overzichtelijker geworden. De implementatie en het management van de AVG is daarmee een stuk duidelijker en behapbaar geworden.”

 

‘Lichte onvoldoende’

Uit de AVG test bleek verder dat kennisvragen bij 64% van de deelnemers een voldoende opleverde, maar dat bij praktijkvragen laag werd gescoord (30%). Hier valt uit op te maken dat MKB-ondernemers wel over kennis van de AVG beschikken, maar dat men met de toepassing in de praktijk minder ver is. De gemiddelde score was een ‘lichte onvoldoende’. Bij de kennisvragen bleek dat, naast de eerder genoemde  positieve resultaten, vooral de ‘meldplicht datalekken’ het slechtst scorende onderwerp. Dat is opvallend omdat de meldplicht datalekken al op 1 januari 2016 is ingegaan. Wat in de praktijk beter gaat is het uitvoeren van een data-inventarisatie waarmee inzicht wordt verschaft in welke persoonsgegevens de onderneming verwerkt, op welke wijze en of dat ook rechtmatig is. Ook bleek de instructie over hoe om te gaan met de veiligheid van persoonsgegevens van anderen op de werkplek redelijk op orde te zijn via bijvoorbeeld clean desk policies.

 

Invoering AVG

Vanaf 25 mei 2018 dient het bedrijfsleven, waaronder het MKB,  te voldoen aan de Europese privacy wetgeving via de AVG (Algemene Verordening Gegevensbescherming). Op naleving van de AVG wordt toegezien door toezichthouder Autoriteit Persoonsgegevens (AP). Onder de nieuwe regelgeving heeft de burger altijd het recht te weten wie welke gegevens van hem bewaart en wat daarmee gebeurt. Bedrijven en organisaties mogen alleen nog persoonsgegevens verzamelen, bewaren en verwerken voor een vastgesteld doel en met de juiste wettelijke grondslag. De data zijn niet voor andere zaken te gebruiken en mogen niet langer dan strikt noodzakelijk worden bewaard. Bovendien moeten bedrijven de gegevens goed beschermen.

 

The Legal Privacy Company

The Legal Privacy Company (TLPC) in Amstelveen is een Europees gecertificeerd privacy expert kantoor gericht op het ‘privacy proof’ maken van het Nederlandse MKB. TLPC – en haar team van privacy juristen en consultants – wil met de juiste juridische privacy producten en oplossingen, zoals haar privacy portaal (theprivacyportal.com) ervoor zorgen dat MKB ondernemingen kunnen voldoen aan de complexe privacy wetgeving en privacy verantwoord kunnen ondernemen. Het kantoor is in 2003 opgericht om als juridische afdeling te fungeren voor MKB-ondernemingen (zonder eigen juristen) en dat praktisch en betaalbaar te maken.

Dé belangrijkste AVG misverstanden en prioriteiten op een rij!

Nog maar 13 dagen tot 25 mei 2018 om te zorgen dat uw onderneming of uw organisatie voldoet aan de nieuwe Europese privacyregelgeving (Algemene Verordening Gegevensbescherming). Als u nu nog moet beginnen dan is het belangrijk dat u weet wat uw 4 belangrijkste prioriteiten zijn. In deze blog help ik u daar graag mee op weg. Eerst maar even 5 misverstanden over deze Europese wet uit de weg ruimen.

Misverstand #1

Even een paar standaard documentjes downloaden van internet, knippen en plakken en dan voldoen we aan de wet.”

Onthoud dat de implementatie van de AVG geen eenmalige exercitie is. De privacy huishouding binnen uw bedrijf of organisatie dient op orde te blijven net zoals uw financiële boekhouding. U heeft een wettelijke documentatieplicht om aan te tonen dat dat zo is. Regel dus een inzichtelijk online privacy managementsysteem (www.theprivacyportal.com) dat er blijvend op toeziet dat de bescherming van persoonsgegevens pro-actief wordt gemanaged.

Misverstand #2

Ach, dat gedoe rondom de privacy, dat is gewoon een hype van voorbijgaande aard. Straks kraait er geen haan meer na.

Privacyrechten van voorbijgaande aard? Privacy rechten zullen in deze maatschappij een steeds grotere rol gaan spelen. De exponentiële groei van het verwerken, het delen, het doorgeven, het raadplegen en het verzamelen van persoonsgegevens op grote schaal is namelijk nog lang niet in zicht. We digitaliseren en automatiseren steeds verder en voegen daar ook nog nieuwe technologische  dimensies aan toe die ook weer nieuwe privacy vraagtekens opwerpen. Neem het toenemend gebruik van gedragsvoorspellende technologie met behulp van kunstmatige intelligentie. Neem de opkomst van Blockchain, Bitcoins en andere toepassingen van K.I. De daarvoor verantwoordelijke organisaties en bedrijven zullen daarom in toenemende mate de privacy rechten van hun klanten, werknemers, toeleveranciers, onderaannemers, samenwerkingspartners etc. moeten managen. De kans dat u met deze organisaties in uw bedrijfsketen te maken krijgt is groot.

Misverstand #3. 

De kans dat iemand gaat zeuren over privacy bij mijn organisatie en bovendien mensen delen alles zelf op social media.

Dat mensen alles delen op social media is hun goed recht. Zij mogen vrijelijk beschikken over hun persoonsgegevens maar dat betekent nog niet dat een ander daar misbruik van mag maken. Dit soort activiteiten vallen bovendien niet onder de reikwijdte van de AVG omdat het om huishoudelijke activiteit gaat. Privacy gaat nu juist over gegevens die de mensen niet willen delen maar geheim willen houden. Niemand zet zijn pincode of de stand van zijn bankrekening of spaarrekening op facebook.

Bedenk ook dat niet alleen gaat om de privacy van anderen maar ook om uw eigen recht op bescherming van uw persoonlijke levenssfeer, om geheimhouding van uw persoonlijke informatie, om communicatie. Het betreft ook uw fundamenteel grondrecht, een mensenrecht dat na de tweede wereldoorlog is vastgelegd in internationale (mensenrechten) verdragen en uiteindelijk nu in een rechtstreeks werkende Europese wet.

Misverstand #4

“Als de IT security op orde is in mijn organisatie, is 80% van de AVG al geregeld.”

De naleving van de AVG is niet voornamelijk een kwestie van technische veiligheidsmaatregelen om te zorgen dat de persoonsgegevens gehackt worden. Die maatregelen vormen slechts 20% van de maatregelen die u moet nemen om de AVG na te leven. Datalekken komen met name voor omdat mensen fouten maken. Het gaat dus ook om awareness trainingen. Ook heeft de andere 80% er betrekking op dat u checkt en blijft checken dat u alleen persoonsgegevens verwerkt waarvoor u een wettelijke grondslag heeft. Dat u niet te veel persoonsgegevens uitvraagt, dat u ze ook op een correcte wijze verwerkt zodra u een grondslag heeft. Ook moet u organiseren in uw bedrijf dat de uitoefening van de privacyrechten van uw klanten, werknemers en andere natuurlijke personen niet belemmert maar juist faciliteert. Zodra zij recht op inzage van de door u verwerkte persoonsgegevens vragen, dient u hen zo snel mogelijk doch uiterlijk binnen 1 maand te berichten.

Misverstand #5.

Mijn huisadvocaat regelt dit wel even voor mij, die kent mijn hele organisatie van haver tot gort”.

Het privacyrecht is helaas een zeer complex en gespecialiseerd rechtsgebied waarbij diepgaande juridische kennis en praktijkervaring nodig is om de implementatie van de AVG correct te kunnen adviseren. U kunt zich geen omissies en fouten veroorloven. Daarvoor zijn de zakelijke afbreukrisico’s en de boetes te groot.

Check dus goed of uw advocaat praktijkervaring heeft, vraag referenties op. Vraag ook naar de opleiding die deze heeft genoten op dit gebied. Let erop dat de privacy jurist een Europees gecertificeerde privacy expert is. Indien de privacy jurist de CIPP/E titel gebruikt dan is dat een aanduiding dat de privacy jurist de gehele AVG zeer goed heeft bestudeerd, daar les over heeft gehad en geëxamineerd is door de IAPP, ‘werelds grootste en meest gerenommeerde beroepsorganisatie voor privacy experts.

En dan nu zoals beloofd hierbij de 5 AVG prioriteiten voor als u nog moet beginnen.

  1. Data-inventarisatie: In deze fase wordt gekeken welke persoonsdata in- door en uit uw organisatie stroomt en wat u precies doet aan verwerkingen van deze persoonsdata. Er wordt vastgelegd wat de huidige stand van zaken is rondom de verwerkingen in uw organisatie en door wie wat wordt gedaan. Laat dit altijd door een externe partij doen omdat men door bedrijfsblindheid al snel bepaalde zaken over het hoofd kan zien.
  2. Grondslagen en rechtmatigheidsonderzoek. In deze fase wordt in kaart gebracht of uw organisatie wel de persoonsgegevens in kwestie mág verwerken. En zo ja, wat uw organisatie nog aan maatregelen moet nemen om dit correct en veilig te doen conform de AVG regels en normen.
  3. Uitvoeren van de AVG maatregelen en verbetertaken. In deze fase gaat u de geadviseerde en geformuleerde maatregelen doorvoeren in uw fysieke en digitale werkprocessen en in uw personele organisatie. Zodanig dat u toewerkt naar 100% compliance aan de AVG.
  4. AVG Beheerfase. In deze laatste fase zult u voortdurend moeten monitoren of de maatregelen die u heeft genomen ook daadwerkelijk worden uitgevoerd én nog steeds up to date en toereikend zijn. Maatregelen kunnen dat namelijk niet meer zijn op het moment dat u andere verwerkingen gaat doen of wanneer u gaat werken met nieuwe technologieën of met andere verwerkers. U zal dan nieuwe maatregelen moeten nemen. Ook beschikt u een overzichtelijk management en registratie tooling waardoor het privacy beheer inzichtelijk is bij een controle door de AP. Ook tooling waarmee u de continuïteit van uw privacy beheer kunt garanderen en dit dus niet afhankelijk is een of meer personen die bij u in dienst zijn maar weg kunnen gaan.Via een AVG audit van TLPC en een abonnement op The Privacy portal inclusief de daarbij geleverde account privacyjurist regelt u in één klap alle bovenstaande stappen.

 

Auteur: mr. Hella Vercammen CIPP/E (Certified Information Privacy Professional/Europe)

Ketenafhankelijkheid bij de bescherming van persoonsgegevens

Steeds meer persoonsgegevens worden gedigitaliseerd en online beheerd. Dit gaat soms mis. Zo stond Facebook vorige week negatief in de belangstelling omdat de data van ruim vijftig miljoen Facebookgebruikers is gebruikt om profielen te maken van stemmers met als doel de Amerikaanse verkiezingen van 2016 te beïnvloeden in het voordeel van Trump. Facebookgebruikers gaven zelf toestemming voor het verzamelen van hun data en gaven daarmee ook toestemming om de data van hun vrienden te verzamelen. Facebook handelt daarmee in strijd met de privacywetgeving.

Dit soort incidenten zorgen ervoor dat de bezorgdheid omtrent privacy toeneemt. Om de bescherming van privacygevoelige gegevens te waarborgen en de wetgeving binnen Europa gelijk te trekken, is vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van toepassing in alle EU-lidstaten. Deze verordening stelt juridisch vast waar organisaties toe verplicht zijn wanneer ze werken met persoonsgegevens.

De AVG maakt bij de verwerking van persoonsgegevens onderscheid tussen de verwerkingsverantwoordelijke en verwerker. De verantwoordelijke bepaalt hoe de persoonsgegevens worden gebruikt en waarvoor. De verwerker verwerkt enkel ten behoeve van de verantwoordelijke persoonsgegevens en schakelt daarvoor mogelijk op zijn beurt een sub-verwerker in.

Er is dus sprake van een keten. Indien u als organisatie werkt met persoonsgegevens, is het belangrijk dat u in kaart brengt welke partijen deel uitmaken van de keten, wat uw functie is binnen de keten en wat de rol van de andere betrokken partijen is.

Indien u als verantwoordelijke kwalificeert, bent u eindverantwoordelijk voor de keten en moet u op grond van de AVG mogelijkheden hebben tot het houden van toezicht en het controleren van de naleving van de AVG. U dient dus alle verwerkers in de keten te identificeren en daarmee een verwerkersovereenkomst te sluiten, ook als er incidenteel persoonsgegevens worden gedeeld. In de verwerkersovereenkomst dient o.a. te worden vastgelegd waar de persoonsgegevens voor mogen worden verwerkt, welke veiligheidsmaatregelen getroffen moeten worden, waar de persoonsgegevens worden opgeslagen, de mogelijkheden om een audit uit te voeren en of de verwerker sub-verwerkers mag inschakelen voor de verwerking. Indien de verwerker een sub-verwerker inschakelt, doet hij er verstandig aan om een sub-verwerkersovereenkomst te sluiten waarin hij minimaal dezelfde inhoudelijke verplichtingen aan de sub-verwerkers oplegt die de verantwoordelijke aan hem heeft opgelegd. Hij is immers altijd aansprakelijk voor het nakomen van de AVG door de sub-verwerker.

Partijen in de keten hebben er dus belang bij om goede afspraken met elkaar te maken over de verdeling van verantwoordelijkheden. Daarnaast is het voor partijen in de keten belangrijk om te weten wat hun en de andere partijen kwetsbaar maakt. Deelname aan de keten zorgt er immers voor dat partijen op bepaalde aspecten afhankelijk worden van elkaar en dat kan risicovol zijn. Indien de privacy risico’s binnen de keten tijdig in kaart worden gebracht, kunnen er passende maatregelen worden genomen om die risico’s te voorkomen of te beperken.

Neem nu bijvoorbeeld cybersecurity. Om de bescherming van persoonsgegevens te kunnen waarborgen, is goede cybersecurity van groot belang. Niet alleen in elke individuele organisatie maar in de gehele keten. Aanvallers richten zich vaak op het bedrijf met de zwakste cybersecurity. Cybersecurity is daarmee zo effectief als de zwakste schakel. Indien een sub-verwerker zijn cybersecurity niet goed op orde heeft en er een datalek plaatsvindt, zullen de Autoriteit Persoonsgegevens en de benadeelde klanten aankloppen bij de verantwoordelijke. De verantwoordelijke zal op haar beurt aankloppen bij de verwerker, aangezien die verantwoordelijk is voor de sub-verwerker.

Het is dan ook van belang dat alle betrokken partijen in de keten met elkaar samenwerken op het gebied van cybersecurity. Onderlinge informatie-uitwisseling vergroot de kennis binnen organisaties waardoor zij beveiligingsincidenten makkelijker kunnen herkennen. Daarnaast kunnen organisaties door een verhoogde integratie van de beveiliging in de keten de impact van een incident voor de eigen organisatie en voor de betrokken partijen beter inschatten en incidenten voorkomen. Ten slotte stimuleert samenwerking binnen de keten gezamenlijke investeringen in cybersecurity.

Twijfelt u of u verantwoordelijke of verwerker bent onder de AVG? Of wilt u meer weten over de overige aspecten van de AVG? Bel 020-3450152 of mail naar info@thelegalprivacycompany.nl

 

De AVG: wat verandert er voor u als zorgaanbieder?

Goede kwaliteit van zorg is zorg die aansluit bij de zorgbehoeften van patiënten. Om uw patiënten te leren kennen, dient u toegang tot privacygevoelige informatie van uw patiënten te hebben. Het is goed voor te stellen dat uw patiënten alleen bereid zullen zijn hun gegevens aan u te verstrekken indien zij weten dat hun privacyrechten zullen worden gewaarborgd. Het zichtbaar naleven van de privacyrechten van patiënten bevordert de vertrouwensrelatie met uw patiënten en daarmee de kwaliteit en toegankelijkheid van de zorg die u kunt verlenen. De komst van de Algemene Verordening Gegevensbescherming (AVG) op 25 mei 2018 maakt het voor u nog belangrijker om zorgvuldig om te gaan met de privacygevoelige informatie van uw patiënten.

Nieuwe verplichtingen onder de AVG

De gegevens die in de zorg worden gebruikt, zien toe op de gezondheid van patiënten en zijn daarmee van gevoelige aard. Voor de verwerking van gevoelige persoonsgegevens gelden extra strenge eisen. De bestaande privacy-eisen waar zorgaanbieders aan moeten voldoen, zijn vastgelegd in diverse wetten zoals de Wet op de geneeskundige behandelingsovereenkomst (WGBO), de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) en de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

Deze bestaande regels worden door de AVG bevestigd en op onderdelen versterkt. Zo gelden onder de AVG nieuwe informatieverplichtingen en nieuwe regels over het werken met toestemming van de patiënt. In veel gevallen zult u ook verplicht zijn om een register van verwerkingsactiviteiten bij te houden, een data protection impact assessment (DPIA) uit te voeren en een functionaris voor de gegevensbescherming (FG) aan te stellen.

Daarnaast legt de AVG meer verantwoordelijkheid bij u als organisatie om aan te tonen dat u verwerkingen aan de regels van de AVG voldoen (de verantwoordingsplicht). Indien de AP daarom vraagt, moet u bijvoorbeeld kunnen aantonen dat u verwerkingen aan de belangrijkste beginselen van verwerkingen voldoen: rechtmatigheid, juistheid, transparantie en doelbinding. Ook moet u kunnen laten zien dat u voldoende technische en organisatorische maatregelen hebt getroffen om de persoonsgegevens van uw patiënten te beveiligen.

De verantwoordingsplicht betekent onder meer dat uw organisatie:

  • Persoonsgegevens alleen mag verwerken indien daar een wettelijke grondslag voor is;
  • Persoonsgegevens alleen mag verwerken indien de betrokkene op de hoogte is van de verwerking en hoe dit gebeurt;
  • Niet meer persoonsgegevens mag verwerken dan strikt noodzakelijk is voor het doel van de verwerking;
  • Persoonsgegevens niet langer mag bewaren dan noodzakelijk is voor het doel van de verwerking;
  • Ervoor moet zorgen dat persoonsgegevens juist zijn en maatregelen moet nemen om onjuiste persoonsgegevens te wissen of te rectificeren;
  • De toegang van medewerkers tot persoonsgegevens moet beperken.

Vanaf 25 mei 2018 zal de Autoriteit Persoonsgegevens (AP) actief toezien op de naleving van deze regels uit de AVG en loopt u het risico op forse boetes (tot 20 miljoen euro), reputatieschade en claims van patiënten. Om deze risico’s te minimaliseren, dient u al vóór 25 mei 2018 in beweging te komen en actief bezig te zijn met de implementatie van de AVG in uw organisatie.

Privacy proof

De AVG-implementatie is een kostbaar en tijdrovend proces. Met name voor bedrijven uit het MKB die weinig personeel hebben.

The Legal Privacy Company helpt u om tijdig passende maatregelen te treffen om aan de AVG te voldoen. Dat doen we o.a. door een privacy nulmeting binnen uw organisatie uit te voeren. Van deze nulmeting maken wij een rapportage waarin we benoemen welke onderdelen binnen uw organisatie nog niet privacy proof zijn en u concrete verbeteradviezen geven.

Daarnaast bieden wij u een online portaal aan waarmee u op elk gewenst moment toegang tot alle benodigde informatie omtrent de (nieuwe) privacywetgeving heeft. Zo wordt en blijft u privacy proof richting uw patiënten.

Ook kunnen de juristen van The Legal Privacy Company u helpen indien u specifieke vragen over de implementatie van de AVG binnen uw organisatie heeft.

Wilt u meer weten over The Legal Privacy Company of een offerte voor een nulmeting aanvragen? Bel dan naar 020-3450152 of mail naar info@thelegalprivacycompany.com

 

 

AVG to do list ná de nulmeting: Sluit de juiste verwerkersovereenkomsten

Gemakshalve ga ik ervan uit dat u mijn vorige privacy #1 blog heeft gelezen. U weet dus dat de start van iedere MKB onderneming om AVG privacy proof te worden voor 25 mei 2018 altijd start met een AVG privacy nulmeting. U weet ook wat de AVG inhoudt en waarom het belangrijk is om conform deze Europese privacywet privacy verantwoord te ondernemen. 

Stap 1 in de nulmeting: Wat is onze juridische positie binnen de AVG?

In de nulmeting eindrapportage wordt ten eerste vastgelegd welke juridische rol uw bedrijf inneemt binnen de kaders van de AVG wetgeving om de persoonsgegevens te beschermen. Zodoende kunnen ook de specifieke plichten die bij die rol horen, worden gecheckt en afgevinkt. Is uw bedrijf verantwoordelijke (controller in het Engels) voor de verwerking van de persoonsgegevens of is uw bedrijf slechts de verwerker (processor in het Engels), of is uw bedrijf beiden? Of is uw bedrijfs zelfs de subverwerker (sub processor)?

Voorbeeld #1: Uw organisatie is een cateringbedrijf en u legt de persoonsgegevens van al uw personeel vast in een arbeidsovereenkomst, in het personeelsdossier en in de loonadministratie. Dan bent u de verantwoordelijke. Als u deze persoonsgegevens vervolgens doorgeeft aan een externe salarisadministrateur, dan is dit kantoor “de verwerker.” Stel dit kantoor voert weer die salarisadministratie uit met behulp van een extern gehost (Saas) HRM softwarepakket, dan is die softwareleverancier weer een “subverwerker”.

Het basisprincipe van de verantwoordelijke is: U bent verantwoordelijk voor persoonsgegevens dus zult u zicht moeten hebben op wat er gebeurt met die gegevens.

Ook wanneer die gegevens doorgespeeld worden aan een derde om deze slechts te verwerken. Je hebt als verantwoordelijke zwaardere plichten dan als verwerker. Dat is een reden waarom de AVG de verwerkersovereenkomst verplicht heeft gesteld. Daarin wordt de verdeling van verantwoordelijkheden tussen verantwoordelijke en verwerker verder contractueel uitgewerkt.

Een van de verbetertaken uit de nulmeting: sluit verwerkersovereenkomsten.

Een hele belangrijke verbetertaak die meestal uit de nulmetingen rolt is het sluiten van verwerkersovereenkomsten met partijen waar dat nog niet mee is gedaan. Ook kan het screenen van reeds enige tijd afgesloten verwerkersovereenkomsten een verbetertaak zijn, om te toetsen of deze wel voldoen aan de minimale nieuwe eisen die de AVG eraan stelt. Zowel de (verwerkings)verantwoordelijke als de verwerker hebben de plicht om een verwerkersovereenkomst af te sluiten.

Is er altijd een verwerkersovereenkomst nodig?

Nee niet altijd:

Voorbeeld #2: U bent consultant, adviseur of bijv. een advocaat en u stuurt ten behoeve van een werkgever (uw opdrachtgever, cliënt), een e-mail aan de wederpartij met uw standpunt in een bepaalde arbeidszaak. Bijvoorbeeld omtrent een bepaalde werknemer die u noemt met naam en toenaam. Dat is geen simpele verwerking van persoonsgegevens. Immers de opdracht van uw opdrachtgever is niet gericht op verwerken van persoonsgegevens maar gericht op het afnemen van (juridisch) advies, ten behoeve van het oplossen van een (juridisch) probleem. U als adviseur, advocaat verwerkt die gegevens geheel op eigen verantwoordelijkheid op een manier dat u zelf bepaalt. Daarom bent u verantwoordelijke. Dan is er ook geen verwerkersovereenkomst nodig aangezien uw opdrachtgever ook een verantwoordelijke is.

Voorbeeld #3. Hoe zit het met hoofdaannemer die gegevens opvraagt van personeel in dienst bij onderaannemer om te voldoen aan de WAV, WKA etc. De onderaannemer vergaart die gegevens niet alleen voor de hoofdaannemer maar ook voor zichzelf. Maak daar goede afspraken zodra de gegevens worden doorgestuurd. Hier is dus wederom geen verwerkersovereenkomst nodig tussen hoofdaannemer en onderaannemers omdat zij ieder hun eigen verantwoordelijkheid hebben en dus beiden verantwoordelijke zijn. Doorgeven van gegevens is niet in het kader van gegevensverwerking maar in het kader van de onderaanneming. Denk er trouwens wel aan om in de aannemingsvoorwaarden een meldingsplicht op te leggen aan onderaannemer als er data lekken voorkomen bij hen en vice versa. Dit kan vastgelegd worden in een data-uitwisselingsovereenkomst.

Wat legt u vast in een verwerkersovereenkomst?

In de verwerkersovereenkomst legt u bijvoorbeeld vast waar de persoonsgegevens voor mogen worden verwerkt, met wel doel, welke veiligheidsmaatregelen getroffen moeten worden en waar de persoonsgegevens worden opgeslagen, de mogelijkheden om een privacy proof audit uit te voeren bij de verwerker en of de verwerker subverwerkers mag inschakelen voor de verwerking. In principe mag u deze overeenkomst niet in de algemene voorwaarden verstoppen maar in een afzonderlijk document. Echter dat is niet dwingend opgelegd. Er gaan kritisch geluiden van experts dat het gewoon verwerkt moet kunnen worden in bestaande documenten dus ook in de algemene voorwaarden. Verstandig om daar kritisch naar te kijken per type relatie en de gegeven omstandigheden van het geval.

Onderhandelen over een verwerkersovereenkomst.

Degene die het eerste met een eigen versie komt, heeft meestal het onderhandelingsvoordeel. U bent dan penvoerder en aanpassingen gedaan krijgen in het document van een ander is altijd lastiger. In onze MKB privacy Portal kunt u op maat zulke verwerkersovereenkomst in een handomdraai maken. Uiteraard kan het zijn dat grote partijen, corporates alsnog met hun eigen versie komen en u niet in de onderhandelingspositie bent om met uw eigen versie te komen. Alsnog is het dan raadzaam om die kritisch te screenen en niet zomaar alles te accepteren wat daar in staat. Dat kan enorme consequenties hebben. Juist als het om grote wederpartijen gaat die diepe zakken hebben om te procederen. Bij een datalek zullen deze genoeg geld en tijd hebben om via de rechter een schadeclaim neer te leggen bij uw organisatie op grond van de verwerkersovereenkomst. U staat dan 2-0 achter als u niet uw aansprakelijkheid heeft beperkt in de verwerkersovereenkomst.

Cyberrisk verzekering.

Een cyberrisk verzekering kan dan trouwens wel nog een vangnet vormen als u die beperking van aansprakelijkheid niet gedaan krijgt. Ook dekt het de kosten van uw rechtsbijstand. Laat u daar goed over adviseren.

Heeft u vragen over dit onderwerp, of interesse in de diensten van TLPC, zoals de AVG nulmeting, de MKB privacy portal of andere privacy consultancy diensten, bel of mail ons dan op 020-3450152 of info@thelegalprivacycompany.com Surf vooral ook naar www.thelegalprivacycompany.com