IT & RECHT ICT-Recht Topic 1: Privacy Wk 15 november 2010 Kristien Melaerts ICT-recht Topics Wk 15/11: Privacy Intellectuele rechten Contracten Elektronische communicatie Informaticacriminaliteit...
www ORLD B X ICT-Recht: Inleiding moeilijke combinatie recht en technologie online en off line immaterieel en mondiaal snel evoluerende wetgeving
ICT-Recht GRIJS! wit? zwart? zwart? ICT-Recht: Privacy Typische vragen Welke gegevens over personen (klanten, werknemers) mogen opgeslagen worden? Onder welke voorwaarden? Mogen surfgedrag en e-mails van werknemers worden gecontroleerd of gefilterd? Mag surfgedrag van gebruikers van de website worden verzameld en opgeslagen?
ICT-Recht: Privacy Wettelijk kader EU-niveau EVRM Data protection directive (1995) Nationaal Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer tav de verwerking van persoonsgegevens (privacywet) ICT-Recht: Privacy Privacy behoefte aan een eigen levenssfeer voor een individu of voor een groep niet nieuw moderne samenleving: hoge graad van privacy en grotere vrijheid nevenverschijnelen verschil met beroepsgeheim?
EVRM ICT-Recht: Privacy eenieder heeft recht op de eerbiediging van zijn privéleven, zijn gezinsleven, zijn huis en zijn briefwisseling uitzonderingen: bij wet voorzien eenieder: natuurlijke persoon of rechtspersoon persoonlijke levenssfeer: elastisch begrip verschillende betekenis: - integriteit eigen lichamelijkheid - relaties met anderen - zelfbeschikkingsrecht op info over zichzelf kan worden ingeroepen door iedere burger Wet van 8 december 1992 aanpassingen van 11 december 1998 Privacywet Wanneer is de wet van toepassing? verwerking van persoonsgegevens op elektronische of manuele wijze logisch gerangschikt
verwerking Privacywet elke bewerking (of geheel van bewerkingen) mbt persoonsgegevens op geautomat. wijze (geheel/gedeeltelijk) of niet geautomatiseerd maar niet-limitatieve opsomming in wet: verzamelen, ordenen, raadplegen, gebruiken, bijwerken, verspreiden, vernietigen,... persoonsgegevens Privacywet iedere info betreffende een identificeerbare of geïdentificeerde natuurlijke persoon tekst, beeld, geluid,... met redelijkerwijs inzetbare middelen geen rechtspersonen is een IP-adres een persoonsgegeven?
Privacywet verantwoordelijke voor de verwerking natuurlijke persoon, rechtspersoon of feitelijke vereniging die doel en middelen van de verwerking bepalen met behulp van aangestelden in dienst of personen van buiten de organisatie is niet noodzakelijk de verwerker Privacywet territoriaal toepassingsgebied van Belgische wet principe land van herkomst : als de verwerking in het kader van de B activiteiten van een vaste vestiging op het Belgisch grondgebied van de verantwoordelijke gebeurt Belgische wet is van toepassing indien vaste vestiging buiten EU, en gebruik van middelen op B grondgebied (tenzij de middelen enkel dienen voor doorvoer van gegevens) cookies = middel bvb. B bedrijf verzamelt en verwerkt gezondheidsgegevens van proefnemingen in Afrika B wet is van toepassing indien vaste vestiging binnen EU : recht van de lidstaat bvb. een Franse oing met filiaal in B verwerkt gegevens in B in het kader van activiteiten in Frankrijk Franse wet is van toepassing
Privacywet territoriaal toepassingsgebied van Belgische wet wat is de locatie van een internetonderneming? is het plaatsen van persoonsgegevens op een webpagina (server binnen EU) doorgifte naar derde landen? ICT-Recht: Privacy - Privacywet hoe rechtmatig verwerken? (5) finaliteitsregel doelmatigheidsbeginsel: duidelijk omschreven en gerechtvaardigd doel proportionaliteitsbeginsel: toereikend, niet overmatig, niet langer dan nodig, nauwkeurig en volledig
hoe rechtmatig verwerken? (5) Privacywet toelaatbaarheidstoetsing ondubbelzinnige toestemming betrokkene: vrij specifiek afdoende informatie wettelijke verplichting noodzakelijk voor de uitvoering van een overeenkomst de vervulling van een taak van openbaar belang de behartiging van gerechtvaardigde belang van de verantwoordelijke voor verwerking de vrijwaring van een vitaal belang van de betrokkene Privacywet hoe rechtmatig verwerken? (5) strengere regels voor gevoelige medische gerechtelijke gegevens gevoelige gegevens: afkomst, pol. opvattingen, levensbeschouwelijke overtuiging, seksuele leven verwerking verboden tenzij schriftelijke toestemming / medische gegevens: verwerking verboden tenzij schriftelijke toestemming / onder verantwoordelijkheid van beroepsbeoefenaar in gezondheidszorg gerechtelijke gegevens verwerking verboden tenzij toegelaten door wet
hoe rechtmatig verwerken? (5) Privacywet vertrouwelijkheid en beveiliging technische en organisatorische maatregelen, passend beveiligingsniveau onder meer: updates, correcties hoe rechtmatig verwerken? (5) Privacywet aangifte en transparantie aanmeldingsplicht aan Privacy Commissie van geautomatiseerde verwerking voorafgaand bij einde vrijstelling bvb. boekhouding, personeelsadmin. publiek register
Privacycommissie htt^p Privacywet rechten van de betrokkene (4) recht op kennisgeving ( informatieplicht) over verantwoordelijke, doeleinden, ontvangers, recht tot toegang en verbetering van de gegevens en bestaan van recht op verzet bij direct marketing ook bij verwerking van gegevens niet afkomstig van persoon zelf uitz. verwerking opgelegd door wet
Privacybeleid IBM http://www.ibm.com/be/nl Privacybeleid Visitronics http://www.visitronics.be/info/privacy.php
Privacybeleid VRT http://www.vrt.be/vrt_master/over/vrt_pr ivacy/index.shtml Privacywet rechten van de betrokkene (4) recht op mededeling op verzoek van betrokkene, schriftelijk, met copie identiteitskaart antwoord < 45d bij 2e verzoek: redelijke termijn recht op correctie kosteloos verbeteren verwijderen als niet conform termijn: 1 maand
Privacywet rechten van de betrokkene (4) recht op verzet niet motiveren bij direct marketing in andere gevallen: zwaarwichtige en gerechtvaardigde reden nodig Specifieke toepassingen Privacywet verwerking van pers.gegevens via internet veelal techniek van stilzwijgende toestemming richtlijnen Commissie: privacybeleid op aparte pagina + overal verwijzing voldoende inlichtingen syst. toestemming wettelijke vertegenwoordiger kind niet vereist bescherming gegevens gegevensopslag gegevensuitwisseling
Specifieke toepassingen Privacywet cookies = tekstbestand internetgebruiker wordt geacht geïnformeerd toe te stemmen in de gegevensverwerking adhv cookies = pragmatische werkwijze, aanvaardbaar voor Commissie Vacature.com http://www.vacature.com/art1722
Google.com http://itprofessional.be/news.cfm?id= 69237 Nieuwe technologie - RFID Radio Frequency Identification Tags containers, shipping ook andere omgevingen (vb. Baja) the walking cookie : waakzaamheid tag individueel monitoring verborgen applicaties
Nieuwe technologie - RFID http://itprofessional.be/views.cfm?i d=62862&p=1 http://www.rfidconsultation.eu/ Privacy op Facebook? http://www.privacycommission.be/ nl/new/topic/europeseovereenkomst-socialenetwerken.html
ICT-Recht Topic 2: Controle van internet en e-mailgebuik van werknemers Wk 15 november 2010 Kristien Melaerts Bewuste controle http://www.vacature.com/scri pts/artzoaker/displayarticle.asp?id=10424&startp os=1
Toevallig opgemerkt http://www.youtube.com/watc h?v=vfx0yhtztng Controle van internet- en e-mailgebruik Wettelijk kader Unieke wetgeving in België: CAO 81 van 26 april 2002 tot bescherming van de werknemers ten opzichte van de controle op de elektronische online communicatiegegevens algemeen verbindend (niet voor overheid) Raakvlak met privacy-wetgeving
Controle van internet- en e-mailgebruik Regel 1 werkgever bepaalt in principe wat mag (en wat niet mag) voorbeelden... begrenzing recht werkgever door billijkheid Controle van internet- en e-mailgebruik Regel 2 werkgever mag het internet- en e-mailgedrag van de werknemers controleren, mits: informatieplicht collectieve informatie via OR, vakbondsafvaardiging,... individuele informatie (pop up als controleprogramma) inhoud van de informatie (welke software, welke doelstelling, rechten/plichten WN, wat mag -niet-, straffen)
Controleren toegestaan op 4 types van gedragingen 1. voorkomen van lasterlijke of ongeoorloofde feiten feiten strijdig met goede zeden schadelijk voor de waardigheid van een andere persoon 2. beschermen van de eco-, handels-, financiële belangen van de onderneming die vertrouwelijk zijn, en het tegengaan van praktijken die hiermee in strijd zijn Controleren toegestaan op 4 types van gedragingen 3. beschermen van de veiligheid/goede technische werking van IT-netwerksystemen van de onderneming 4. ter goeder trouw naleven van de in de onderneming geldende beginselen en regels voor het gebruik van online technologieën (Acceptable Use Policy) => oplossing op maat
Hoe controleren? professionele vs. privé-communicatie communicatiegegevens vs. inhoud directe vs. indirecte individualisatie Acceptable Use Policy controle (indirecte ind.) Voor gedragingen 1, 2 en 3: directe individualisatie eerst controle op basis van niet-geïndividualiseerde data bij onregelmatigheid: directe individualisatie is onmiddellijk toegelaten
Voor AUP: indirecte individualisatie controle op basis van anonieme gegevens bij onregelmatigheid: eerste waarschuwing bij herhaling van onregelmatigheden: individualisatie toegelaten evaluatie/sanctie nà persoonlijk gesprek ICT-Recht: Controle van internet- en e-mailgebruik Nuttige informatie Belgian Telecommnications Users Group: www.beltug.be Beltug Paper, Aanbevelingen bij een Corporate Policy over het gebruik van de communicatiemidelen van de werkgever, versie 2, december 2005
ICT in de beroepsomgeving ICT-Recht Topic 3: Gedragscode voor informatiebeheerders Wk 15 november 2010 Kristien Melaerts Waarom een gedragscode? Rol van de IT-professional Professioneel gedrag Nood aan duidelijkheid Bescherming van werkgever,
IT-professional =? iedereen die op een professionele wijze te maken heeft met informatie System Admin IT consultant Helpdesk assistent... (Juridische) waarde =? deel laten uitmaken van de arbeidsovereenkomst er sancties aan verbinden voorbeeld gedragscode (ADM): zie volgende slides
Gedragscode voor de IT-professional De 10 geboden 1. Ik stel mij objectief en onpartijdig op in de uitvoering van mijn functie. 2. Ik streef ernaar persoonlijke belangenconflicten te vermijden in de uitvoering van mijn functie. 3. Ik streef ernaar in de best mogelijke verstandhouding samen te werken met iedereen binnen de onderneming. Gedragscode voor de IT-professional De 10 geboden 4. Ik zal mijn vaardigheden steeds op gepaste wijze ten dienste stellen van de onderneming en de gebruikers van de ICT systemen. 5. Ik gebruik mijn toegangsbevoegdheid tot het computersysteem of -netwerk uitsluitend om de integriteit ervan te verzekeren.
Gedragscode voor de IT-professional De 10 geboden 6. Ik respecteer de regels van de privacywetgeving, met bijzondere aandacht voor gevoelige gegevens. 7. Ik zorg voor de beveiliging en bescherming van belangrijke en vertrouwelijke gegevens tegen risico's zoals vernietiging en verlies. Gedragscode voor de IT-professional De 10 geboden 8. Bij de controle van elektronische on-linecommunicatie leef ik steeds de wettelijke procedures na. 9. Ik informeer de gebruikers over het goed gebruik van informaticamiddelen binnen de onderneming en zie toe op de naleving ervan. 10. Ik houd steeds een geactualiseerde documentatie bij over de netwerkinfrastructuur, systemen en toepassingen.
Gedragscode voor de IT-professional Nuttige informatie Antwerp Digital Mainport: http://www.adm.be ADM Gedragscode van de Informatiebeheerder (6p.) ADM Certificaat met de 10 basisprincipes