Privacy proof website, tegenwoordig een must om in business te blijven.

De grens tussen de digitale en de analoge wereld is aan het vervagen. Steeds meer dagelijkse taken worden online uitgevoerd via allerlei platforms, portals en websites. Met- of zonder het te weten, wordt online de meest vertrouwelijke informatie gedeeld. Toch zijn heel veel mensen niet technisch genoeg onderlegd om alle gevaren van het internetgebruik te kunnen vermijden en de informatie die wij delen te minimaliseren. We zijn dus niet in staat om onszelf goed te beschermen. Om ervoor te zorgen dat onze privacy online beschermd wordt, zijn er wetten ingevoerd die dit in het internetverkeer regelen. Ook de veel besproken Algemene verordening gegevensbescherming (AVG) is van invloed op de manier waarop persoonsgegevens door websitehouders verzameld en gebruikt mogen worden. Uit een onderzoek van de Consumentenbond blijkt echter dat 2 van de 3 websites deze nieuwe privacywet overtreden. In deze blog wordt specifiek ingegaan op hoe websitehouders de privacy van websitebezoekers dienen te waarborgen.

 

Verplichtingen voor websitehouders

Websitehouders die persoonsgegevens via hun website (m.b.v. in te vullen webformulieren) verzamelen moeten een wettelijke grondslag hebben om dit te doen. Dat is bijv. het geval als die gegevens nodig zijn ter voorbereiding van een offerte of vanwege een sollicitatie. Dan zijn die gegevens noodzakelijk om de levering van de aangevraagde diensten of producten mogelijk te maken of de arbeidsovereenkomst te kunnen aangaan. Dit betreft de grondslag “noodzakelijk ter uitvoering (of voorbereiding daarvan) van een overeenkomst. Verder is een veel voorkomende grondslag het vragen van toestemming van de betrokkene, van wie persoonsgegevens verzameld worden. Dat wordt gedaan als de andere grondslagen niet voorhanden zijn.

Naast de grondslag dient de betrokkene (in dit geval een websitebezoeker) globaal geïnformeerd te worden over waarom die gegevens worden verzameld, wat is het doeleinde van de verwerking van die persoonsgegevens. Het informeren van betrokkenen doet de websitehouder door middel van de zogenaamde privacyverklaring. Daarbij dienen ook de cookieverklaring en een cookiebanner datzelfde informatiedoel.

 

Meer controle en rechten voor de websitebezoekers.

Sinds de invoering van de AVG hebben de betrokkenen meer controle en rechten die zij moeten kunnen uitoefenen, zoals recht op inzage en recht op vergetelheid en recht om niet onderworpen te worden aan tracking (klikgedrag wordt bijgehouden) en profiling (gedragsvoorspelling). Daarover moeten Websitehouders de bezoekers op de juiste momenten informeren. Websitehouders die zich hier niet aan houden, riskeren hoge boetes opgelegd door de toezichthouder, de AP. Dit is recent bij Theodoor Gilissen Bankiers (TGB) gebleken. 

Wat zijn cookies?

Cookies zijn tekstbestanden die opgeslagen worden na het bezoek op de website. Door middel van cookies zijn de websitehouders bijvoorbeeld in staat om bezoekersaantallen bij te houden of voorkeurstaal te onthouden. Aan de hand daarvan kan een websitebeheerder reclamecampagnes afstellen of de website zo klantenvriendelijk mogelijk maken.

Aangezien het verzamelen van informatie over het bezoekersgedrag inbreuk maakt op de privacy van de bezoekers moeten de websites eerst om toestemming vragen om deze gegevens te mogen verzamelen door de betrokkenen hierover vóóraf informeren.

 

Welke soorten cookies zijn er?

Er bestaan vele verschillende cookies. Deze cookies verzamelen verschillende soorten informatie en kunnen afkomstig zijn uit verschillende bronnen. Zo kunnen cookies onderverdeeld worden in First-party cookiesen Third-party cookiesen worden enerzijds door de websitebeheerder zelf en anderzijds door derden zoals de adverteerders geplaatst. Een andere verdeling kan gemaakt worden volgens de functie van cookies. Zo zijn er cookies die je voorkeurenop de website onthouden zoals de taalkeuze. Dit zijn cookies die noodzakelijk zijn voor de werking en prettige ervaring op de website. Daarom worden deze cookies functionele cookiesgenoemd en kunnen ze zonder voorafgaande toestemming geactiveerd worden. Een andere mogelijke functie van de cookies is het bijhouden van het surfgedrag van een websitebezoeker. Door middel van deze gegevens kan een heel nauwkeurig profiel van de websitebezoeker gecreëerd worden. Deze cookies worden ook wel marketing cookiesgenoemd. Dit is een vergaande inbreuk op de privacy van de gebruikers, dus dient er altijd een voorafgaande toestemming gevraagd te worden.

Voor alle soorten cookies geldt dat de websitebezoeker geïnformeerd dient te worden over de soorten cookies die gebruikt worden en de gegevens die daarmee verzameld worden. Daarnaast dient men de keuze te hebben om cookies uit te zetten.

 

SSL  Certificaat

Onder de AVG zijn websitehouders verder ook verplicht om te zorgen voor een optimale beveiliging van de verzamelde persoonsgegevens. Zij dienen voldoende organisatorische en technische (IT-) maatregelen te treffen om datalekken te voorkomen. Naast de beveiliging achter de schermen, zijn de websitehouders die formulieren of (nieuwsbrief-) aanmeldingen op hun website plaatsen, verplicht om een SSL-certificaat (HTTPS) te verkrijgen. Dit is een protocol die de communicatie tussen een computers (bijvoorbeeld op het internet) codeert en daarmee beveiligt. Men kan de websites die SSL-gecertificeerd zijn herkennen door ‘https’ voorafgaand aan het websiteadres bijv. (https://thelegalprivacycompany.com).

 

E-Privacy Verordening.

Er komen steeds meer regels bij. Inmiddels wordt ook gewerkt aan een nieuwe E-privacy verordening, de Europese wetgeving die gaat over het inzetten van gebruikersdata bij online advertising via o.a. Google, Facebook, Bing, DSP’s, (Web)Analytics en tooling als Data Management Platforms. In grote lijnen betekent dit dat veel meer dan voorheen specifieke toestemming van de eindgebruiker nodig is om te werken met persoonlijke en naar individuele persoon (pseudo anonieme data) herleidbare data.voor de inzet van verschillende marketingkanalen zoals e-mail, cookies en telemarketing. In deze verordening worden de fundamentele rechten en vrijheden van consumenten op het gebied van online privacy gewaarborgd.

De impact van de ePrivacy Verordening zal vooral op de Digital Advertising markt het grootst zijn.

 

Privacy website toets

Het is door alle nieuwe regels en dataverkeer niet simpel meer om als een bedrijf te voldoen aan de privacyregelgeving, ook niet rondom uw website. Bovengenoemde aspecten vormen echter wel een goed begin van een privacy proof website. Uw website is immers uw visitekaartje en een eerste contactmoment met uw toekomstige klanten, werknemers en samenwerkingspartners. Dit kan ook een goede indicatie geven dat u een modern bedrijfsvoering heeft die up-to-date is en de AVG naleeft. Uiteraard moet dit intern dan wel echt kloppen en zullen uw mensen bijv. op de werkvloer veilig moeten omgaan met de persoonsgegevens. Twijfelt u daar nog aan laat dan een AVG audit uitvoeren.

Een privacy proof website is overigens niet alleen een wettelijke verplichting maar ook een aangename dienst richting uw klanten. Daarom heeft The Legal Privacy Company een Website Privacy Screeningontwikkeld. Dit is een dienst waarmee wij uw website controleren op het juiste gebruik van cookies, informatievoorziening rondom de verzameling van persoonsgegevens zoals de privacyverklaring, beveiliging van uw website en veel meer. Wilt u meer informatie krijgen over de Website Privacy Screening of direct een offerte aanvragen? Klik hier, mail naar info@thelegalprivacycompany.comof bel (020) 345 01 52.

Hier gaat iets helemaal fout: Inboxes onnodig overspoeld door AVG toestemmingsmails

Met de komst van de Algemene Verordening Gegevensbescherming (AVG) afgelopen 25 mei worden we overspoeld door compliance e-mails. Erg vermoeiend en met ongewenste reputatie schade voor zowel bedrijven als  geadresseerden.

 

Vraag geen onnodige toestemming vanuit paniek.

Vanuit een ‘paniekmodus’ mailen duizenden bedrijven hun bestaande mailinglijsten om bevestigende opt-in toestemming voor hun e-mail marketing te krijgen, ogenschijnlijk om te voldoen aan de AVG. Deze benadering berust op een ongelukkig misverstand, omdat de meeste van deze e-mails gestuurd worden naar mensen met wie het bedrijf reeds een commerciële relatie heeft. Daarvoor is géén toestemming nodig omdat men een ‘gerechtvaardigd belang’ heeft om bestaande relaties te blijven informeren over de producten en diensten. Dat was zo en dat blijft zo onder de AVG. Heel simpel: als ik iets in een webshop koop, mag het bedrijf me berichten sturen op basis van een gerechtvaardigd bedrijfsbelang (direct marketing) – wél met een duidelijke afmelding / opt-out mogelijkheid.

De basisregel is dat een vóór de inwerking getreden AVG gegeven toestemming geldig blijft als deze voldoet aan de AVG-standaard: ondubbelzinnig (dus geen vooraf aangevinkte vakjes) en specifiek. De toestemming moet dus aantoonbaar zijn voor aangegeven producten en diensten waarvoor men de geadresseerden ook in de toekomst wil blijven mailen. Daar moeten schriftelijke bewijzen van zijn in de administratie.

 

Hernieuwde toestemming vragen om alsnog legale mailinglijsten te krijgen.

Bedrijven die zich wel zorgen moeten maken bij hernieuwde toestemmings e-mails voor marketing, zijn degenen die momenteel niet kunnen aantonen dat deze toestemming legaal is verkregen én daarvoor al in strijd handelden met de EU-wetgeving. Zie artikel 13 van de e-Privacy Verordening (ePV) die bepaalt: “communicatie, inclusief e-mail, mag niet worden verzonden zonder voorafgaande toestemming, tenzij er al een klantrelatie bestaat.”

Beland iemand op een mailinglijst, zonder iets gekocht of afgenomen te hebben en zonder daar ooit aantoonbaar toestemming voor te hebben gegeven, dan mocht die persoon vóór 25 mei 2018 niet gemaild worden – en daarna dus ook niet. Die persoon mag strikt genomen ook niet ‘even’ gemaild worden om nu alsnog toestemming te vragen onder het mom van de AVG. Dit gaat vaak fout, waarbij de AVG wordt aangegrepen om de illegale mailinglijsten alsnog legaal te maken!

 

Toestemmingsmails in strijd met de AVG principes.

Het is zorgelijk dat bedrijven twee wetten (de AVG en de ePV) combineren ten koste van gebruikers. Dat druist regelrecht in tegen de principes van de AVG. Op zich zouden de hernieuwde toestemmingsmails via de AVG nog een goede zaak kunnen zijn als ze het bewustzijn hierover daadwerkelijk vergroten voor degenen die reeds toestemming hebben gegeven. Deze sneeuwen echter onder mede door foute e-mails in verband met illegale mailinglijsten. Mijns inziens ondermijnt dit de privacy, omdat mensen de AVG hierdoor als een ergernis gaan zien. De hierop volgende instemmingsmoeheid zorgt ervoor dat echt belangrijke e-mails die de privacy werkelijk beïnvloeden genegeerd worden. Deze vermoeidheid zal onvermijdelijk leiden tot mechanische klikken op ‘Nee, bedankt’ of het negeren van de e-mails. Dat doe ik, door deze drukte, inmiddels zelf ook. Bovendien lijkt het een goede gelegenheid om snel en automatisch van mailinglijsten af ​​te komen, omdat mensen juist gaan kiezen voor de “opt-out” of niets doen. De relatie die een bedrijf eigenlijk zonder toestemming mocht blijven mailen, raak het dan ook nog eens kwijt.

Dan is het ook nog eens de vraag of bedrijven eenieder die niet reageert op een verzoek om hernieuwde toestemming, hen daadwerkelijk uit de verzendlijsten halen. Aangezien toestemming een positieve actie moet zijn, kan stilzitten niet worden geïnterpreteerd als impliciete toestemming.

 

Correcte email marketing onder de AVG, hoe zit dat nu?

Zoals met gegevensbescherming vaak het geval is het niet zwart of wit. E-mail of direct marketing moet gesplitst worden in twee delen:

1)          de AVG beoordeelt de verwerking van persoonsgegevens om een marketingmail te kunnen verzenden aan de geadresseerde en

2)         de  e-Privacy-richtlijn omvat de regels omtrent het verzenden van de communicatie zelf.

Toestemming voor e-mail marketing is al een vereiste onder de Europese wetgeving inzake e-privacy. De e-privacy verordening maakt dit type marketing mogelijk via een opt-out voor bestaande klanten. Dus als je je afmeldknop hebt geplaatst, is alles goed. De AVG brengt daar geen verandering in!  Onder de AVG moet een bedrijf eerst een wettelijke grondslag hebben om de persoonsgegevens voor het doel van e-mail marketing te mogen gebruiken. Dat betekent voor bestaande klanten dus ‘een gerechtvaardigd belang’ en voor personen die nog geen klant zijn, ‘toestemming vragen’.

Daarbij is het ook zo dat als bedrijven niet zeker weten hoe ze de contactgegevens hebben verzameld, ze mogelijk geen reden meer hebben om met de gebruiker contact op te nemen. Contact opnemen met mensen die zich in het verleden hebben afgemeld voor alle communicatie is sowieso illegaal, omdat deze gegevens geen deel meer mogen maken van een database. Ze worden waarschijnlijk langer bewaard dan strikt noodzakelijk. Het kan overigens ook een argument zijn om de opt-outs te behouden om te voorkomen dat ze terugkomen in de mailinglijst bij het samenvoegen van databases of iets dergelijks. Daar zou dan wel een bewaartermijn voor moeten worden vastgesteld.

Hoe dan ook, het gebruik van opt-outs om opnieuw om toestemming te vragen is in ieder geval not-done. Als een bedrijf persoonlijke gegevens heeft verkregen, moet het nog steeds de juiste en aantoonbare grondslag hebben om überhaupt te mogen mailen onder de AVG.

Als er in het geval van bulkmailadreslijsten, geen AVG grondslag is voor de verwerking, kan toestemming vragen wel de meest simpele oplossing lijken, maar dit is ook een risicovolle. Bedrijven moeten dan immers ook de betrokkenen informeren over hoe het bedrijf de privégegevens in de eerste plaats heeft gekregen.

 

Zorgvuldige acties met de juiste professionele begeleiding.

Bedrijven moeten hoe dan ook hun mailing acties zorgvuldig overwegen om elke mogelijke reputatiecrisis en onnodig verlies van legale geadresseerden te voorkomen. Ook is het raadzaam dat zij zich laten bijstaan door gecertificeerde privacy experts die écht weten hoe van de hoed en de rand. Op dit moment bestaat er maar een Europees erkend privacy keurmerk en dat is die van de CIPP/e (certified information privacy professional) van de IAPP (International Association Privacy Professionals) in Ierland. Zorg dat u zich laat bijstaan door een privacy expert met een IAPP lidmaatschap en het CIPP/e examen met goed gevolg heeft afgelegd. Zo bent u verzekerd van de kwaliteit van het advies, ook over de mailingacties maar ook over andere privacy consultancy vraagstukken zoals omtrent de verwerkersovereenkomsten, de verwerking van bijzondere persoonsgegevens, de juiste privacy administratie en documentatie.

 

Mr. Hella Vercammen CIPP/e (link certificaat https://bit.ly/2seQBtx )
Directeur en jurist The Legal Privacy Company B.V.

 

AVG to do list ná de nulmeting: Sluit de juiste verwerkersovereenkomsten

Gemakshalve ga ik ervan uit dat u mijn vorige privacy #1 blog heeft gelezen. U weet dus dat de start van iedere MKB onderneming om AVG privacy proof te worden voor 25 mei 2018 altijd start met een AVG privacy nulmeting. U weet ook wat de AVG inhoudt en waarom het belangrijk is om conform deze Europese privacywet privacy verantwoord te ondernemen. 

Stap 1 in de nulmeting: Wat is onze juridische positie binnen de AVG?

In de nulmeting eindrapportage wordt ten eerste vastgelegd welke juridische rol uw bedrijf inneemt binnen de kaders van de AVG wetgeving om de persoonsgegevens te beschermen. Zodoende kunnen ook de specifieke plichten die bij die rol horen, worden gecheckt en afgevinkt. Is uw bedrijf verantwoordelijke (controller in het Engels) voor de verwerking van de persoonsgegevens of is uw bedrijf slechts de verwerker (processor in het Engels), of is uw bedrijf beiden? Of is uw bedrijfs zelfs de subverwerker (sub processor)?

Voorbeeld #1: Uw organisatie is een cateringbedrijf en u legt de persoonsgegevens van al uw personeel vast in een arbeidsovereenkomst, in het personeelsdossier en in de loonadministratie. Dan bent u de verantwoordelijke. Als u deze persoonsgegevens vervolgens doorgeeft aan een externe salarisadministrateur, dan is dit kantoor “de verwerker.” Stel dit kantoor voert weer die salarisadministratie uit met behulp van een extern gehost (Saas) HRM softwarepakket, dan is die softwareleverancier weer een “subverwerker”.

Het basisprincipe van de verantwoordelijke is: U bent verantwoordelijk voor persoonsgegevens dus zult u zicht moeten hebben op wat er gebeurt met die gegevens.

Ook wanneer die gegevens doorgespeeld worden aan een derde om deze slechts te verwerken. Je hebt als verantwoordelijke zwaardere plichten dan als verwerker. Dat is een reden waarom de AVG de verwerkersovereenkomst verplicht heeft gesteld. Daarin wordt de verdeling van verantwoordelijkheden tussen verantwoordelijke en verwerker verder contractueel uitgewerkt.

Een van de verbetertaken uit de nulmeting: sluit verwerkersovereenkomsten.

Een hele belangrijke verbetertaak die meestal uit de nulmetingen rolt is het sluiten van verwerkersovereenkomsten met partijen waar dat nog niet mee is gedaan. Ook kan het screenen van reeds enige tijd afgesloten verwerkersovereenkomsten een verbetertaak zijn, om te toetsen of deze wel voldoen aan de minimale nieuwe eisen die de AVG eraan stelt. Zowel de (verwerkings)verantwoordelijke als de verwerker hebben de plicht om een verwerkersovereenkomst af te sluiten.

Is er altijd een verwerkersovereenkomst nodig?

Nee niet altijd:

Voorbeeld #2: U bent consultant, adviseur of bijv. een advocaat en u stuurt ten behoeve van een werkgever (uw opdrachtgever, cliënt), een e-mail aan de wederpartij met uw standpunt in een bepaalde arbeidszaak. Bijvoorbeeld omtrent een bepaalde werknemer die u noemt met naam en toenaam. Dat is geen simpele verwerking van persoonsgegevens. Immers de opdracht van uw opdrachtgever is niet gericht op verwerken van persoonsgegevens maar gericht op het afnemen van (juridisch) advies, ten behoeve van het oplossen van een (juridisch) probleem. U als adviseur, advocaat verwerkt die gegevens geheel op eigen verantwoordelijkheid op een manier dat u zelf bepaalt. Daarom bent u verantwoordelijke. Dan is er ook geen verwerkersovereenkomst nodig aangezien uw opdrachtgever ook een verantwoordelijke is.

Voorbeeld #3. Hoe zit het met hoofdaannemer die gegevens opvraagt van personeel in dienst bij onderaannemer om te voldoen aan de WAV, WKA etc. De onderaannemer vergaart die gegevens niet alleen voor de hoofdaannemer maar ook voor zichzelf. Maak daar goede afspraken zodra de gegevens worden doorgestuurd. Hier is dus wederom geen verwerkersovereenkomst nodig tussen hoofdaannemer en onderaannemers omdat zij ieder hun eigen verantwoordelijkheid hebben en dus beiden verantwoordelijke zijn. Doorgeven van gegevens is niet in het kader van gegevensverwerking maar in het kader van de onderaanneming. Denk er trouwens wel aan om in de aannemingsvoorwaarden een meldingsplicht op te leggen aan onderaannemer als er data lekken voorkomen bij hen en vice versa. Dit kan vastgelegd worden in een data-uitwisselingsovereenkomst.

Wat legt u vast in een verwerkersovereenkomst?

In de verwerkersovereenkomst legt u bijvoorbeeld vast waar de persoonsgegevens voor mogen worden verwerkt, met wel doel, welke veiligheidsmaatregelen getroffen moeten worden en waar de persoonsgegevens worden opgeslagen, de mogelijkheden om een privacy proof audit uit te voeren bij de verwerker en of de verwerker subverwerkers mag inschakelen voor de verwerking. In principe mag u deze overeenkomst niet in de algemene voorwaarden verstoppen maar in een afzonderlijk document. Echter dat is niet dwingend opgelegd. Er gaan kritisch geluiden van experts dat het gewoon verwerkt moet kunnen worden in bestaande documenten dus ook in de algemene voorwaarden. Verstandig om daar kritisch naar te kijken per type relatie en de gegeven omstandigheden van het geval.

Onderhandelen over een verwerkersovereenkomst.

Degene die het eerste met een eigen versie komt, heeft meestal het onderhandelingsvoordeel. U bent dan penvoerder en aanpassingen gedaan krijgen in het document van een ander is altijd lastiger. In onze MKB privacy Portal kunt u op maat zulke verwerkersovereenkomst in een handomdraai maken. Uiteraard kan het zijn dat grote partijen, corporates alsnog met hun eigen versie komen en u niet in de onderhandelingspositie bent om met uw eigen versie te komen. Alsnog is het dan raadzaam om die kritisch te screenen en niet zomaar alles te accepteren wat daar in staat. Dat kan enorme consequenties hebben. Juist als het om grote wederpartijen gaat die diepe zakken hebben om te procederen. Bij een datalek zullen deze genoeg geld en tijd hebben om via de rechter een schadeclaim neer te leggen bij uw organisatie op grond van de verwerkersovereenkomst. U staat dan 2-0 achter als u niet uw aansprakelijkheid heeft beperkt in de verwerkersovereenkomst.

Cyberrisk verzekering.

Een cyberrisk verzekering kan dan trouwens wel nog een vangnet vormen als u die beperking van aansprakelijkheid niet gedaan krijgt. Ook dekt het de kosten van uw rechtsbijstand. Laat u daar goed over adviseren.

Heeft u vragen over dit onderwerp, of interesse in de diensten van TLPC, zoals de AVG nulmeting, de MKB privacy portal of andere privacy consultancy diensten, bel of mail ons dan op 020-3450152 of info@thelegalprivacycompany.com Surf vooral ook naar www.thelegalprivacycompany.com