Meest gemaakte fouten

Transcriptie

1

2

3

4

5 Meest gemaakte fouten 1. Cookies worden al geplaatst voordat de gebruiker is geïnformeerd en toestemming heeft gegeven 2. Geldt ook voor uitlezen van info (geo-locatie) 3. Informatie op de melding en op de privacy pagina niet correct of niet volledig 4. Geen melding gemaakt van bewerkersovereenkomst derde partijen

6 Drie soorten cookies Functionele Geen toestemming Analytische Informeren Tracking Toestemming Let op: Er ligt een nieuw wetvoorstel Europese cookiewet, maar het is onduidelijk wat exacte inhoud gaat worden (bijv. regelen in de browser instellingen) en wanneer dit ingaat. Kan zijn 2018, maar ook paar jaar later.

7 Soorten toestemming Expliciet Concrete actie vereist Impliciet Geen concrete actie vereist

8 Expliciet

9 Cookie muur

10 Cookie muur

11 Impliciet

12 Impliciet

13 Impliciet, mag dit wel?

14 Check: Hoe staat jouw cookiemelding er voor? Wordt er überhaupt een melding getoond? Technische check: (juiste) cookie geplaatst na acceptatie? Impliciet of expliciet? Welke informatie in de melding? Positie van de melding? Cookie- en privacy pagina?

15 Wat nu?

16 Uitgangspunten basisadvies Juridis h gedekt Gebruikersvriendelijk Niet/minimaal ten koste gaan van conversie

17 Vier basis-ingrediënten 1. Soort melding 2. Welke informatie in de melding 3. Positie van de melding 4. Cookie- en privacy pagina

18 Basis advies soort melding Impliciet Met een impliciete toeste i g ordt de ge ruiker zo i ogelijk gestoord in zijn/haar gebruikersgedrag en zal dit leiden tot minder bounce/hogere click through en worden in meer gevallen cookies geplaatst.

19 Basis advies soort melding Echter: Met een expliciete toestemming worden er minder cookies geplaats, is er een hogere bounce, maar ligt de eindconversie mogelijk hoger (psychologisch principe van consistentie). Let op! Mogelijk dat dit in 2018 wordt gevraagd in de wet

20 Basis advies tekst Als je doorklikt op onze website ga je akkoord met het gebruik van cookies en vergelijkbare technieken door ons en door derde partijen, zoals omschreven in ons cookiebeleid (link). Met cookies volgen wij én derde partijen je gedrag binnen deze website. Cookies gebruiken we om je passende advertenties te tonen en zodat je informatie kunt delen op social media.

21 Basis advies tekst Als je doorklikt op onze website ga je akkoord met het gebruik van cookies en vergelijkbare technieken door ons en door derde partijen, zoals omschreven in ons cookiebeleid (link). Met cookies volgen wij én derde partijen je gedrag binnen deze website. Cookies gebruiken we om je passende advertenties te tonen en zodat je informatie kunt delen op social media.

22 Basis advies tekst Als je doorklikt op onze website ga je akkoord met het gebruik van cookies en vergelijkbare technieken door ons en door derde partijen, zoals omschreven in ons cookiebeleid (link). Met cookies volgen wij én derde partijen je gedrag binnen deze website. Cookies gebruiken we om je passende advertenties te tonen en zodat je informatie kunt delen op social media.

23 Basis advies tekst Als je doorklikt op onze website ga je akkoord met het gebruik van cookies en vergelijkbare technieken door ons en door derde partijen, zoals omschreven in ons cookiebeleid (link). Met cookies volgen wij én derde partijen je gedrag binnen deze website. Cookies gebruiken we om je passende advertenties te tonen en zodat je informatie kunt delen op social media.

24 Basis advies tekst Als je doorklikt op onze website ga je akkoord met het gebruik van cookies en vergelijkbare technieken door ons en door derde partijen, zoals omschreven in ons cookiebeleid (link). Met cookies volgen wij én derde partijen je gedrag binnen deze website. Cookies gebruiken we om je passende advertenties te tonen en zodat je informatie kunt delen op social media.

25 Basis advies tekst Als je doorklikt op onze website ga je akkoord met het gebruik van cookies en vergelijkbare technieken door ons en door derde partijen, zoals omschreven in ons cookiebeleid (link). Met cookies volgen wij én derde partijen je gedrag binnen deze website. Cookies gebruiken we om je passende advertenties te tonen en zodat je informatie kunt delen op social media.

26 Basis advies positie melding

27

28 Voorbeeld realisatie banner op denieuwezaak.nl

29 Basis-advies cookie-pagina 1. Noem de soorten cookies 2. Geef praktische voorbeelden 3. Link door naar de privacy- e ookie erklari ge a de derde partije let op: zet ze op o follo 4. Plaats een link op cookie-pagina link naar privacy-beleid (en vv) 5. Neem de links op in de klantenservice-pagina 6. Zet op de cookie-pagina datum van de laatste update 7. Neem een contactmogelijkheid op om de gebruiker inzicht te geven in gegevens of deze te wijzigen/verwijderen (geeft vertrouwen) 8. Vorm: makkelijk leesbaar/scanbaar document door gebruik nummering en opsomming

30 Basis-advies cookie-pagina

31 Basis-advies cookie-pagina

32

33

34 Testen: Wat werkt het beste? KPI s Acceptatie-ratio cookies Bounce rate Conversie

35 Conversie Booster

36 Testen

37 Testen Door meer dan 1 miljoen gebruikers geaccepteerd Ik he ook Review-score van 9.4 op Trustpilot

38 Testen Goedgekeurd door de consumentenbond

39 Take-aways Goede cookie melding: basis op orde Check jouw cookie-melding Maak gebruik van de adviezen Wees voorbereid op strakkere regels Test wat het beste werkt voor jouw website

40

41

42 Titel: Webwinkels: hoe voorkomt u een DE VIER BASIS miljoenenboete? Door: Roswitha Talen

43 Programma 1. Ontwikkeling privacywetgeving 2. Persoonsgegevens 3. Verwerking, partijen & rolverdeling 4. Grondslagen 5. Rechten & plichten 6. Privacy by design & privacy by default 7. Privacy Impact Assessment (PIA) 8. Beveiliging & Meldplicht datalekken 9. Vragen? 14:00 15:15

44 WAT IS PRIVACY?

45 Privacy Het re ht et rust gelate te orde De persoo lijke le e ssfeer Zelf epale ie elke i for atie o er o s krijgt. De e s o espied e o e aakt te le e. Ee af eerre ht Persoo lijke rijheid Ieder heeft, ehoude s ij of kra hte s de et te stelle eperki ge, re ht op eer iedigi g a zij persoo lijke le e ssfeer.

46 Het recht om met rust gelaten te worden

47 Ontwikkeling privacywetgeving

48 Richtlijn vs. verordening Richtlijn Instructie aan lidstaten Om te zetten in wetgeving Nationale afwijkingen mag tenzij volledige harmonisatie Verordening Rechtstreekse werking In alle lidstaten direct verbindend Geen nationale afwijkingen tenzij in verordening toegestaan

49 Toepasselijkheid Van toepassing op: Geheel of gedeeltelijk geautomatiseerde verwerking; Niet geautomatiseerde verwerking, maar opgenomen in bestand (gestructureerd geheel en systematisch toegankelijk). Niet van toepassing op: Handmatige ongeordende verwerking; Persoonlijke of huishoudelijke doeleinden; Politie, inlichtingen en veiligheidsdiensten; Wet GBA; Wet justitiële en strafvorderlijke gegevens; Kieswet; Krijgsmacht; Journalistieke doeleinden.

50 Territoriale Toepasselijkheid wbp/avg Wbp van toepassing op: Verantwoordelijke met vestiging in Nederland; Geen vestiging in de EU, maar gebruik van al dan niet geautomatiseerde middelen in Nederland. Tenzij deze uitsluitend gebruikt worden voor doorvoer. AVG van toepassing op: Verantwoordelijke of verwerker met vestiging in EU, ongeacht of verwerking in de EU plaatsvindt; Geen vestiging in de EU, maar verwerking van persoonsgegevens die zich in de EU bevinden die verband houden met: Aanbieden van goederen of diensten; Monitoren van gedrag betrokkenen in de EU.

51 Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Alle informatie over een geïdentificeerde of ide tifi eer are atuurlijke persoo de etrokke e ; als ide tifi eer aar ordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

52 Begrip persoonsgegeven Alle informatie over een geïdentificeerde of identifi eer are natuurlijke persoon. Direct herleidbaar Indirect herleidbaar Mogelijkheid tot herleiding Expliciet onder de AVG o.a.: IP-adres, Cookie ID en locatiegegevens.

53 Bijzondere persoonsgegevens Ras of etnische afkomst Politieke opvattingen Religieuze of levensbeschouwelijke overtuigingen Seksueel gedrag of seksuele gerichtheid Lidmaatschap van een vakbond Strafrechtelijke gegevens Genetische gegevens Biometrische gegevens Gezondheid (zowel fysiek als geestelijk)

54 Verwerking Een bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

55 Partijen & rolverdeling Betrokkene Data su je t Doel en de middelen Verwerkt uitsluitend in opdracht van Verwerkingsverantwoordelijke Co troller Verwerker Pro essor

56 Grondslagen Toestemming Uitvoering overeenkomst Wettelijke plicht Vitale belangen betrokkenen Uitvoering overheidstaak Gerechtvaardigd belang Enkel gegevens die noodzakelijk zijn!

57 Uitvoering overeenkomst De gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is

58 Toestemming elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt

59 Checklist: Wat te doen? 1. Verwerkersovereenkomsten sluiten; 2. Beginselen inzake gegevensverwerking opvolgen; 3. Informatieplicht; 4. Rechten van betrokkenen; 5. Privacy by design & privacy by default; 6. PIA; 7. Instellen van een FG; 8. Registerplicht; 9. Passende beveiligingsmaatregelen nemen; 10. Meldplicht datalekken.

60 1) Verwerkersovereenkomst Overeenkomst of andere bindende rechtshandeling; Omschrijving van onderwerp, duur, aard en doel verwerking, soort persoonsgegevens, categorieën betrokkenen en rechten/plichten verantwoordelijke. Vastleggen onderlinge rolverdeling; Inschakelen van derden (subverwerkers); Uitsluitend handelen op basis van schriftelijke instructies Beveiligingsmaatregelen; Geheimhouding; Verzoeken betrokkenen; Afspraken over datalekken; Audits en vernietiging van persoonsgegevens

61 2) Beginselen gegevensverwerking Rechtmatig, behoorlijk en transparant; Doelbinding/doelbeperking; Dataminimalisatie; Accuraat en relevant; Niet langer dan nodig bewaren; Passende beveiliging waarborgen; Verwerkingsverantwoordelijke draagt verantwoordelijkheid voor bovenstaande.

62 3) Informatieplicht Toegankelijk & zichtbaar; Helder & begrijpelijk; Identiteit en Contactgegevens; Verzameling en Gebruik; Doeleinden; Bewaartermijnen; Beveiliging; Verstrekking aan derden; Rechten van de betrokkene; Profilering.

63 4) Rechten van betrokkenen Recht op inzage; Recht op rectificatie; Recht op wissing; Recht op beperking; Recht om vergeten te worden; Recht op dataportabiliteit; Recht op bezwaar; Recht om niet te worden onderworpen aan geautomatiseerde besluitvorming (waaronder profilering).

64 5) Privacy by design & privacy by default Privacy vanaf de ontwikkeling; technische aspecten; organisatorische aspecten. Voorbeelden: pseudonimiseren van gegevens a.s.a.p of knoppen inbouwen waarmee betrokkenen inzage kunnen krijgen. Standaard instellingen van een programma, website, dienst of apparaat; Privacy maximaal wordt gewaarborgd; Standaard instelling: zo beperkt mogelijk; Voorbeeld: Facebook-instellingen.

65 6) Privacy impact assessment (PIA) Wat? Omschrijving van de uit te voeren verwerkingen; Een beoordeling van noodzakelijkheid en proportionaliteit; Een risicoanalyse; Maatregelen ter preventie van de risi o s Wanneer? aars hij lijke Risi o s pri a y etrokke e ; Automatisch beoordelen; Gevoelige gegevens; Openbare ruimten monitoren; Grote schaal combineren (Big Data).

66 7) Functionaris gegevensbescherming/ FG Wanneer? Overheidsinstanties; Regelmatig & stelselmatige observatie op grote s haal Core activity ; Grootschalige verwerking bijzondere/strafrechtelijke persoonsgegevens; Twijfel? Onderbouwing. Taken? Vraagbaak, adviseren, toezien op naleving AVG, PIA, registerplicht, datalekken, verwerkersovereenkomst. Wie? Onafhankelijk; Integer + zeer professioneel; Direct rapporteren directie; Geheimhouding Ontslagbescherming.

67 8) Verwerkingsregister Register verwerker: Naam + contactgegevens; Categorieën verwerkingen; Doorgifte naar landen buiten de EU; Beveiligingsmaatregelen. Register verantwoordelijke: + doeleinden, categorieën gegevens & betrokkenen, ontvangers en bewaartermijnen.

68 9) Beveiliging Passende technische en organisatorische maatregelen Afhankelijk van: Gevoeligheid + hoeveelheid persoonsgegevens; Kosten; Stand van de techniek. Passend, zoals Pseudonimisering en encryptie; Vertrouwelijkheid, beschikbaarheid en integriteit waarborgen; Adequaat en tijdig kunnen reageren op incidenten; Regelmatig testen, evalueren en bijschaven

69 10) Meldplicht datalekken Beveiligingslek inbreuk op de beveiliging, bijvoorbeeld via: Hacking; Ransomware; erkeerde s; Brand datacenter; Verlies wachtwoorden. Datalek wanneer bij een beveiligingslek persoonsgegevens: verloren zijn gegaan; als er een aanzienlijke kans is dat ze verloren zijn gegaan; of als onrechtmatige verwerking van de persoonsgegevens redelijkerwijs niet is uit te sluiten. Registerplicht!

70 10) Meldplicht datalekken Verantwoordelijke: Onverwijld melden aan Autoriteit Persoonsgegevens uiterlijk binnen 72 uur na ontdekking lek. Verwerker: Onverwijld melden aan verantwoordelijke volgens afspraken verwerkersovereenkomst. Afhankelijk van het lek: melden aan betrokkenen.

71 Miljoenenboetes Schriftelijke waarschuwing Regelmatige audits Boetes tot het maximum van % van wereldwijde jaaromzet

72 VRAGEN? /

73 Casus verwerkovereenkomst 1. Tussen welke partijen een VO? Tussen De Nieuwe Zaak en Prohosting? Sub-verwerkersovereenkomst; of Verwerkersovereenkomst? Tussen De Nieuwe Zaak en de webwinkel? Sub-verwerkersovereenkomst; of Verwerkersovereenkomst? Tussen Create en De Nieuwe Zaak? Sub-verwerkersovereenkomst; of Verwerkersovereenkomst?

74 Casus verwerkovereenkomst 1. Sub-vo of vo? Tussen De Nieuwe Zaak en Prohosting? Sub-verwerkersovereenkomst, aangezien de webwinkel verantwoordelijke is. Tussen De Nieuwe Zaak en de webwinkel? Verwerkersovereenkomst, De Nieuwe Zaak is verwerker Tussen Create en De Nieuwe Zaak? Sub-verwerkersovereenkomst Als Create alleen software levrt, en vervolgens alles aan De Nieuwe Zaak wel. overlaat (installatie, onderhoud, updates, is create niet aan het verwerken. Anders Feitelijke invloed

75 2. Welke dingen staan er in een VO? Vastleggen onderlinge rolverdeling: Doeleinden van verwerking; Verplichtingen van verwerking; Doorgifte van persoonsgegevens; Geheimhouding en vertrouwelijkheid; Sub-verwerkers; Audit; Aansprakelijkheid; Rechten van betrokkenen; Beveilingsheidsmaatregelen; Datalek Duur overeenkomst + verwijdering/retrournering gegevens;

76 3. Overige afspraken met prohosting? Continuïteit in de cloud: Wat als je hostingpartij failiet gaat? Van wie is data? Intellectueel eigendom Hardware: eigen of gehuurde servers? Personeel voor onderhoud en helpdesk? Overige overeenkomsten met toe-leveranciers? Contractuele waarborgen, service levels SLA Mandelovereenkomst

77