mr Alexander J.J.T. Singewald 1 oktober 2013 Singewald Consultants Group BV

Transcriptie

1 mr Alexander J.J.T. Singewald 1 oktober 2013 Singewald Consultants Group BV Alexander J.J.T. Singewald CEO Singewald Consultants Group BV Website: Adres: Weteringstraat BB Aalsmeer Postadres: Postbus AG Aalsmeer Telefoon: Telefax: E- mail: singewald@privacy.nl KvK: Twi&er: twi&er.com\scglaw Curriculum vitae: Nederlands recht specialisa4e strafrecht ( ) Beleidsmedewerker/onderzoeker Registra4ekamer ( ) Adjunct directeur DMSA ( ) CEO Singewald Consultants Group BV (1998- ) Nevenfunc(es: Voorzi&er van de Geschillencommissie Promo4onele Producten; Secretaris Beroepscommissie Onderzoek en Sta4s4ek; Voorzi&er Commissie Regelgeving DDMA; Bestuurslid FEDMA; Lid Legal Affairs Commi&ee FEDMA; Legal Counsel ESOMAR; DM Man van het Jaar 2004 Erelid DDMA 2013 Houder Cer4ficate of Gra4tude, Yonsei University, Seoul, Zuid Korea, 2012 Lid van Management Commi&e Consulta4ve Commi&ee, Universal Postal Union Lid Direct Marke4ng Advisory Board, Universal Postal Union 1

2 E-commerce Aantal inwoners op aarde 1 oktober 2013, uur 5,4 miljard mobiele telefoons 25% smartphone Maximale groei potentie Ontwikkeling Voorwaarde voor e-commerce Iedereen een adres 60% van de wereld bevolking geen adres Geen adres: geen zaken afleveren (betaling?) 2

3 International developments International developments 3

4 Agenda Social Media Cookies Data lekken Gedragscode promotionele kansspelen Implementatie consumentenrechten Europese Verordening Ontwikkelingen Handelsregister Social Media Vogelvrij? 4

5 Social Media Persoonsgegevens? Door combinatie Gebruiksvoorwaarden platform van social media Kleine lettertjes Voor welke doelen beschikbaar gesteld Social Media en Wetgeving Wet bescherming persoonsgegevens Aandachtspunten bij social media: Artikel 33/34: informatieplicht Artikel 11: toereikend, ter zake dienend en niet bovenmatig Artikel 10: niet langer bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren Artikel 9: verenigbaar gebruik Artikel 8: grondslag gegevensverwerking Gerechtvaardigd belang» Toets: proportioneel, subsidiair, informeren, verenigbaar gebruik, zorgvuldig» Soms toestemming voor verwerking gegevens door wet bepaald -> slimme meter Artikel 6: in overeenstemming met de wet en op behoorlijke en zorgvuldige wijze verwerkt 5

6 Social Media en Wetgeving Telecommunicatiewet adres/sms/mms: Toestemming voor commercieel, charitatief of ideële doeleinden (btob en btoc) Telefoonnummer: Bel-me-niet register en eigen recht van verzetlijst, tenzij gevraagde oproep (btoc + uitoefening beroep bedrijf) Tracken via cookie first party/third party: Toestemming en informeren (technische handeling, btob en btoc) Adres: Postfilter.nl en eigen blokkeringslijst (btoc) Stand van zaken Cookies 6

7 Cookiebepaling Implementatie Europese Richtlijn e-privacy Implementatie is conform alleen de uitleg niet Uitbreiding uitzonderingen Analytics Affiliate A/B testen Uitleg van het begrip toestemming 7

8 cookie artikel 11.7a Telecommunicatiewet Artikel 11.7a 1. Onverminderd de Wet bescherming persoonsgegevens dient een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker: a. de gebruiker duidelijke en volledige informatie te verstrekken overeenkomstig de Wet bescherming persoonsgegevens, en in ieder geval omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan, en b. van de gebruiker toestemming te hebben verkregen voor de desbetreffende handeling. Een handeling als bedoeld in de aanhef, die tot doel heeft gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren voor commerciële, charitatieve of ideële doeleinden, wordt vermoed een verwerking van persoonsgegevens te zijn, als bedoeld in artikel 1, onderdeel b, van de Wet bescherming persoonsgegevens. 8

9 cookie artikel 11.7a Telecommunicatiewet 2. De in het eerste lid, onder a en b, genoemde vereisten zijn ook van toepassing in het geval op een andere wijze dan door middel van een elektronisch communicatienetwerk wordt bewerkstelligd dat via een elektronisch communicatienetwerk gegevens worden opgeslagen of toegang wordt verleend tot op het randapparaat opgeslagen gegevens. 3. Het bepaalde in het eerste en tweede lid is niet van toepassing, voor zover het de technische opslag of toegang tot gegevens betreft met als uitsluitend doel: a. de communicatie over een elektronisch communicatienetwerk uit te voeren, of b. de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is. 4. Bij algemene maatregel van bestuur kunnen in overeenstemming met Onze Minister van Justitie nadere regels worden gegeven met betrekking tot de in het eerste lid, onder a en b, genoemde vereisten. Het College bescherming persoonsgegevens wordt om advies gevraagd over een ontwerp van bedoelde algemene maatregel van bestuur. Voorbeelden van uitzonderingen nr benaming Beschrijving/doel 1 User input cookies Cookies zijn nodig om in een sessie bijvoorbeeld bij vragen en antwoorden gestart door de gebruiker bij te houden of het bijhouden van een boodschappen mandje 2 Authentication cookies Cookies om een gebruiker te identificeren als deze is ingelogd op een eigen account. Er dient dan wel sprake te zijn van een sessiecookie, die dus na het einde van de sessie wordt verwijderd. 3 User centric security cookies 4 Multimedia players session cookies 5 Load balancing session cookies 6 User interface customization cookies 7 Social plug-in content sharing cookies (let op verschil in ingelogd of uitgelogd) Cookies die worden gebruikt om extra beveiligingmaatregelen (bescherming om misbruik te voorkomen) te kunnen nemen voor een dienst die de gebruiker afneemt Deze cookies worden gebruikt om technische gegevens op te slaan om video of audio af te kunnen spelen, wanneer de gebruiker daarom vraagt. Deze cookies zijn alleen gedurende de sessie actief. Deze cookies worden gebruikt om de communicatie van de juiste server te laten plaats vinden en mogen ook alleen voor dat doel worden gebruikt Deze cookies worden gebruikt om de preferenties van een gebruiker met betrekking tot de dienstverlening te onthouden los van cookies of gegevens. Voorbeelden zijn geselecteerde taal instelling, of het weergeven van het aantal resultaten op een zoek website Zolang deze cookies worden geplaatst wanneer iemand is ingelogd in een omgeving, dan is er sprake van een gevraagde dienst. In alle andere gevallen van Social plug-in content sharing cookies is er geen sprake van een uitzondering en zal toestemming dienen te worden gevraagd. 9

10 Extra uitzondering aan 11.7a lid 3 onder b (behandeling Tweede Kamer) Toelichting 10

11 Analytics Affiliate 11

12 A/B testen Toestemming voor cookie 12

13 Toestemming verwerken persoonsgegevens Tracking cookies 13

14 Normadressaat Datalekken Inwerking zo snel mogelijk Begin 2014? 14

15 Datalekken Artikel 34a 1. De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens die door hem worden verwerkt. 2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. 3. De kennisgeving aan het College en de betrokkene omvat in ieder geval de aard van de inbreuk, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. 4. De kennisgeving aan het College omvat tevens een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van persoonsgegevens en de maatregelen die de verantwoordelijke heeft getroffen of voorstelt te treffen om deze gevolgen te verhelpen. 5. De kennisgeving aan de betrokkene wordt op zodanige wijze gedaan dat, rekening houdend met de aard van de inbreuk, de geconstateerde en de feitelijke gevolgen daarvan voor de verwerking van persoonsgegevens, de kring van betrokkenen en de kosten van tenuitvoerlegging, een behoorlijke en zorgvuldige informatievoorziening is gewaarborgd. Datalekken 6. De kennisgeving aan de betrokkene is niet vereist indien de verantwoordelijke gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft versleuteld zijn of anderszins onbegrijpelijk zijn gemaakt voor eenieder die geen recht heeft op kennisname van de gegevens. 7. Indien de verantwoordelijke geen kennisgeving aan de betrokkene doet, kan het College, indien het van oordeel is dat inbreuk waarschijnlijk nadelige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokkene, van de verantwoordelijke verlangen dat hij alsnog een kennisgeving doet. 8. De verantwoordelijke houdt een overzicht bij van alle inbreuken. Dit overzicht bevat in elk geval de feiten en de gegevens, bedoeld in het derde lid, alsmede de tekst van de kennisgeving aan de betrokkene. 9. Dit artikel is niet van toepassing indien de verantwoordelijke in zijn hoedanigheid als aanbieder van een openbare elektronische communicatiedienst een kennisgeving heeft gedaan als bedoeld in artikel 11.3a, eerste en tweede lid, van de Telecommunicatiewet. 10. Het tweede en zevende lid zijn niet van toepassing op financiële ondernemingen als bedoeld in de Wet op het financieel toezicht. 11. Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld met betrekking tot de kennisgeving. 15

16 Datalekken Artikel 66 wordt als volgt gewijzigd: 1. Voor de tekst wordt de aanduiding "1." geplaatst. 2. Er worden een lid toegevoegd, luidende: 2. Het College kan aan de verantwoordelijke een bestuurlijke boete opleggen van ten hoogste ter zake van overtreding van het bij of krachtens artikel 34a bepaalde, alsmede van artikel 5:20 van de Algemene wet bestuursrecht. Gedragscode promotionele kansspelen 16

17 Gedragscode promotionele kansspelen Sinds 2006 regeling voor promotionele kansspelen Kansspel is in strijd met Wet Onder voorwaarden in Gedragscode toch mogelijkheden: Maximale prijzenpot 4.500,- of ,- Herziening Definities: 17

18 Bezwaren ingediend Afwachten Herziening Gevolgen voor publishers Gevolgen voor lead generators Consumentenrechten 18

19 Consumentenrechten Implementa4e medio december 2013/juni 2014 Schrilelijke beves4ging voor levering van diensten, ar4kel 230v lid 6 bij telefonische verkoop (niet bij verlenging) 19

20 20

21 21

22 SEPA 22

23 SEPA 1 februari Zakelijk/Pages/ PublicatiesIBAN.aspx 23

24 Gevolg Onduidelijkheid Banken geven aan dat zij gedogen, maar Banken bedoelen (eigenlijk): het is uw risico! Uw risico: Let op met nu ondertekenen SEPA incasso contract Heel u dezelfde afspraken in SEPA contract, nieuwe contract gaat in bij eerste IBAN incasso ( schrilelijke mach4gingen ) Verlies incasso contract Storneren Melding Oneigenlijke Incasso Tot 13 maanden terugbetalen (Banken maken risico inschaqng voor zekerheidsstelling) Let op bij storneren Verzoek om storneren Bij organisatie zelf, maar ook via, Via stornerenknop in internetbankapplicatie, maar ook via, Via MOI-prcedure Het is mogelijk om meermalen te storneren! 24

25 Europese Unie Historie 1995 Directive on data protection Regulation on the use of data for (DM) purposes Principles > 2002 Directive on privacy and electronic Communications Use of channels 2010 Revision Directive on privacy and electronic Communications Focus: Regulation on cookies/techniques Recommendation Council of Europe on profiling Focus: Regulation on profiling techniques OBA Use of techniques 25

26 Verschil richtlijn en verordening Richtlijn Per lidstaat omzetten in wet NL: Wet bescherming persoonsgegevens Verordening Interpretatie verschillen bij implementatie Rechtstreekse werking NL: intrekken Wet bescherming persoonsgegevens Overige lid staten Europese Unie ook (kans op interpretatie verschillen bij handhaving) 26

27 Inhoudsopgave Verordening 1 Algemene bepalingen 2 Beginselen Gronden om persoonsgegevens te verwerken Voorwaarden voor toestemming Speciale gegevens 3 Rechten van de betrokkene Informatie en toegang tot persoonsgegevens Correctie recht Right to be forgotten Recht van bezwaar Profiling 4 De voor de verwerking verantwoordelijke en de verwerker Privacy by design Documentatie (Verantwoordelijke en Bewerker) (in plaats van melding bij Toezichthouder door Verantwoordelijke) Databreach Impact assesment Data Protection Officer (bedrijven meer dan 250 medewerkers) Gedragscodes Inhoudsopgave Verordening 5 Doorgifte van persoonsgegevens naar derde landen of internationale organisaties Cloud computing 6 Onafhankelijke toezichthoudende autoriteiten 7 Samenwerking en conformiteit 8 Beroep op de rechter, aansprakelijkheid en sancties boetes 9 Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking Uitzonderingen voor journalistieke doeleinden Historisch, statistisch en wetenschappelijk onderzoek 10 Gedelegeerde handelingen en uitvoeringshandelingen Mogelijkheid om 26 gedelegeerde handelingen en uitvoeringshandelingen te treffen 11 Slotbepalingen Totaal 91 artikelen / Wet bescherming persoonsgegevens 83 artikelen Komend issue: Cloud computing 27

28 FEDMA Europese Lobby Organisatie Vele onderwerpen om te lobbyen Gekozen voor focus: negen punten Artikel 20: profiling Artikel 6: grondslag gegevensverwerking Artikel 4: definitie betrokkene Artikel 12: inzage recht Artikel 14: informatieplicht Artikel 17/19: right to be forgotten/recht van bezwaar Artikel 19: recht van bezwaar Artikel 4 lid 18: definitie kind Algemeen: Gedelegeerde handelingen en uitvoeringshandelingen Het belang van gerechtvaardigd belang Persoonsgegevens moeten kunnen worden verwerkt op basis van gerechtvaardigd belang Toets op proportioneel, subsidiair, informeren, verenigbaar gebruik, zorgvuldig Persoonsgegevens kunnen ook worden verwerkt met toestemming Eisen aan toestemming 28

29 Gerechtvaardigd belang Gerechtvaardigd belang om persoonsgegevens te verwerken in combinatie met verenigbaar gebruik is noodzakelijk in de Verordening Behandeling Europese Parlement Voorstellen Libe : Direct marketing op gerechtvaardigd belang alleen als de persoonsgegevens zijn verkregen in het kader van een verkoop en dan alleen voor eigen gelijksoortige producten of diensten Overige direct marketing alleen met toestemming 29

30 Toestemming? Artikel 1 onder i Wet bescherming persoonsgegevens: Toestemming van de betrokkene: elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt; 59 Voorwaarden voor toestemming in toekomstige Verordening 30

31 Gegevensverwerking en bescherming is een serieuze zaak Artikel 79 lid 6 Verordening (concept) Boete EUR, of in geval van een bedrijf 2 % jaarlijks wereldwijde omzet Daarom is verwerken van persoonsgegevens zonder toestemming zo belangrijk, maar wel uitgebreid informeren! Verordening: Profiling 31

32 Verordening: Profiling Raad van Europa Verankering privacy wetgeving herzien Raad van Europa: Verdrag/aanbevelingen 32

33 Raad van Europa Profiling op basis gerechtvaardigd belang Verantwoordelijke Toetsen op: 1 Propor4onali4et 2 Subsidiariteit 3 Informa4eplicht 4 Verenigbaar gebruik 5 Behoorlijk en zorgvuldig Introduceer de aanbeveling van de Raad van Europa in de Verordening met betrekking tot profiling 33

34 Profiling Profiling 34

35 Grondslag voor profiling Gerechtvaardigd belang: Voor direct marketing: gerechtvaardigd belang van de Verantwoordelijke tenzij de bescherming van de persoonlijke levenssfeer prevaleert Toets: proportionaliteit, subsidiariteit, informatie, verenigbaar gebruik, zorgvuldig Andere grondslagen: Toestemming Overeenkomst of precontractueel Purpose limitation, risicoprofiel is niet bruikbaar voor cross selling Waarom? Betrokkene 35

36 Inzagerecht Geen probleem met inzage, maar: Betere balans tussen de belangen van de betrokkene en de Verantwoordelijke Inzage met redelijke tussenpozen Informatieplicht Social media Informeren: Bij betrokkene verzameld bij verzameling Niet bij betrokkene verzameld het tijdstip van vastlegging of binnen een redelijke termijn na de verzameling 36

37 Bezwaar in Verordening Gegevensverwerking en bescherming is een serieuze zaak Artikel 79 lid 6 Verordening (concept) Boete EUR, of in geval van een bedrijf 2 % jaarlijks wereldwijde omzet Daarom is verwerken van persoonsgegevens zonder toestemming zo belangrijk, maar wel uitgebreid informeren! 37

38 Recht van bezwaar Lid 3: voor recht van bezwaar is verwerking juist noodzakelijk Gedelegeerde handelingen en uitvoeringshandelingen 26 gedelegeerde handelingen en uitvoeringshandelingen Totstandkoming is niet transparant 38

39 Timing Finale stemming voor eind van deze zittingsperiode, eind verkiezingen Europees Parlement Niet voor eind zittingsperiode loop 2014/2015 Inwerkingtreding twee jaar en twintig dagen na publicatie Inwerkingtreding: 2016/2017 Handelsregister 39

40 Handelsregister Dreigende sluiting of opt-in Wordt opt-out regeling uitgewerkt in nadere lagere regelgeving: Commerciële mailings per post Elektronische zoekmachines Het actueel houden van bestaande klantenbestanden» Wat is er al? 40

41 Vragen? 41