• Expertise
  • Over ons
  • Team
  • Cliënten
  • Contact
  • Privacy bewust online ondernemen

    Tekst: Philip de Roos & Yonie Scheijde | Legal graphics: Maurits Fornier 

    Op internet lijkt alles gratis. Maar dat is vaak schijn. De consument betaalt niet met geld, maar met persoonlijke data. Veel online bedrijven baseren hun verdienmodel op handel in persoonsgegevens. Het debat rondom datahandel en het recht wordt feller. Onwetende onlineconsumenten worden kritische gebruikers. (Zie ook: “Je hebt wél iets te verbergen” – van De Correspondent). De Privacywetgeving verandert langzaam met het debat (en recente privacy-rechtszaken) mee. Elk bedrijf dat met persoonsgegevens in aanraking komt, moet zorgen dat het aan de wetgeving voldoet. Het maakt hierbij niet uit of het bedrijf die persoonsgegevens verkoopt of niet.

    Ondernemers van nu moeten de privacy van hun gebruikers serieus nemen. Niet alleen om boetes en rechtszaken te voorkomen. Belangrijker is het vasthouden van het vertrouwen van de gebruikers. Onze cliënten zijn online first en wij adviseren hen dan ook regelmatig over privacy. Met dit artikel willen we ook andere online ondernemers wegwijs maken binnen de privacy regelgeving. Verder delen we graag onze ‘Privacy Proof flowchart’ met jullie.

     

    Privacy: doe het goed

    Onlineontwikkelingen gaan sneller dan de wetgever kan bijhouden. De privacywetgeving loopt daardoor wat achter. Ons advies: Volg daarom niet alleen de letter van de wet, maar doe echt goed je best als het om privacy gaat. Je merk en het consumentenvertrouwen zijn in het geding. Bekend staan vanwege je rammelende privacybeleid is niet waar je naar op zoek bent, en zal waarschijnlijk schadelijker zijn dan een boete.

    Wanneer kom ik met privacywetgeving in aanraking?

    Je hebt als ondernemer al snel te maken met privacywetgeving. Een veelvoorkomend misverstand is dat alleen duidelijk identificeerbare gegevens, zoals iemands naam, adres of telefoonnummer, persoonsgegevens zijn. Dit is niet juist. Ook een ‘onpersoonlijk’ nummer zoals een IP-adres of gegevens die geanonimiseerd zijn, kunnen persoonsgegevens zijn.
    En: vrijwel iedere handeling die je verricht met persoonsgegevens is een ‘verwerking’ waarop de privacywetgeving van toepassing is. Dus: Zodra je ook maar iets doet met persoonsgegevens val je al onder de privacywetgeving.

    Alles over persoonsgegevens

    Wat is een persoonsgegeven?

    Persoonsgegevens zijn alle gegevens die direct of indirect tot een persoon te herleiden zijn. Dat is een breed begrip. Voorbeelden van persoonsgegevens zijn: iemands naam, (e-mail)adres of leeftijd.  Maar ook: (dynamisch) IP-adres, pasfoto en koop-/surfgedrag op internet. Er zijn twee categorieën persoonsgegevens te onderscheiden:

    De Nederlandse Wet bescherning persoonsgegevens definieert een persoonsgegeven als: “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”

    1. directe persoonsgegevens: gegevens over een duidelijk geïdentificeerde natuurlijk persoon. Uitgangspunt is dat een gegeven direct herleidbaar is tot een persoon. Zonder inspanning (zoals ingewikkeld, kostbaar of tijdrovend recherchewerk), kan iemands identiteit worden vastgesteld. Denk aan: iemands naam, (e-mail)adres of telefoonnummer.
    2. indirecte persoonsgegevens: gegevens over een (redelijkerwijs) identificeerbare natuurlijk persoon. Dit zijn persoonsgegevens die niet direct te relateren zijn aan een persoon, maar met wat moeite (bijvoorbeeld door koppeling met andere beschikbare gegevens) kun je toch achterhalen om wie het gaat.
      Het verschil tussen directe en indirecte persoonsgegevens is dat je bij indirecte persoonsgegevens meer moeite moet doen om de betrokken persoon te achterhalen dan bij directe persoonsgegevens. Alleen als de identiteit van de betrokken persoon met ‘disproportionele aanwending van geld, mankracht of middelen kan worden achterhaald’, is er géén sprake van een persoonsgegeven.

    Wanneer verwerk ik persoonsgegevens?

    De privacywetgeving is van toepassing zodra je persoonsgegevens ‘verwerkt’. Bijna iedere denkbare handeling is een verwerking. Bijvoorbeeld: verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen, en ja, zelfs het vernietigen van gegevens is een vorm van verwerking.

    Oftewel: zodra je ook maar iets met persoonsgegevens doet ben je al aan het verwerken en val je onder de privacywetgeving.

    Moet ik alle persoonsgegevens met dezelfde voorzichtigheid behandelen?

    Niet alle persoonsgegevens zijn even ‘HOT’. Daarmee bedoelen we: niet alle persoonsgegevens zijn even privacygevoelig. Iemands e-mailadres is bijvoorbeeld minder precair dan iemands bankrekening- of BSN-nummer. Gegevens over iemands gezondheid zijn extra gevoelig.

    Wat moet ik doen als ik persoonsgegevens gebruik?

    1. Melding Autoriteit Persoonsgegevens

    Dat je persoonsgegevens verwerkt moet je melden bij de Autoriteit Persoonsgegevens (AP). Dit zorgt voor meer transparantie. Alle meldingen staan namelijk in een openbaar register. De AP monitort de meldingen overigens niet strak; er staat geen boete op het ‘vergeten’ van de melding. In enkele gevallen is het melden van gegevensverwerkingen bij de AP niet verplicht. Welke gegevensverwerkingen zijn vrijgesteld is opgesomd in het Vrijstellingsbesluit. Het gaat daarbij om gegevensverwerkingen waarvan algemeen bekend is dat zij plaatsvinden en waarbij het onwaarschijnlijk is dat de persoonlijke levenssfeer van de betrokkene door de verwerking wordt geschaad. Denk bijvoorbeeld aan het verwerken van persoonsgegevens in het kader van personeels- of ledenadministratie. Dit soort gegevensverwerkingen zijn vrijgesteld van de meldingsplicht.

    2. Je gebruikers informeren

    Informeer je klanten en websitebezoekers welke persoonsgegevens je verwerkt en met welk doel (dit doe je in een privacy- en cookiestatement).

    Voor het verwerken van persoonsgegevens moet ten minste één van de in de wet genoemde rechtvaardigingsgronden aanwezig zijn. Voorbeelden zijn:

    • het hebben van uitdrukkelijke toestemming van de betrokkene;
    • het feit dat de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst met de betrokkene (bijv. adresgegevens omdat het product anders niet geleverd kan worden); of
    • het feit dat de gegevensverwerking noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de verwerker (bijv. e-mailadres om de klant noodzakelijke updates of productinformatie te kunnen versturen).

    Voor de meeste commerciële bedrijven is de toestemmings-grondslag de meest geschikte en veilige optie. Voor een beroep op deze grondslag: vraag vooraf toestemming voor het verwerken van hun persoonsgegevens, bijv. met een cookiebanner en een opt-in vinkje voor het accepteren van je privacy policy bij de aanschaf van het product. Werk niet met opt-out (vooraf aangevinkte vakjes). Dit wordt niet aangemerkt als ‘uitdrukkelijke toestemming’ in de zin van de wet.

    ACTIE: MAAK EEN COOKIEBANNER & PRIVACYSTATEMENT

    3. Dataminimalisatie

    Verzamel niet méér persoonsgegevens dan strikt noodzakelijk is. Vraag dus niet iemands adres, leeftijd of geboortedatum, als je deze informatie helemaal niet nodig hebt om je product of dienst te kunnen leveren.

     ACTIE: Privacy by Default

    Privacy by Default: stel je product standaard in op de voor de klant meest privacy vriendelijke instelling. Dus niet: standaard JA aanvinken bij de optie ‘delen persoonsgegevens met derden’ of ‘ontvangen reclame van onze partners’, maak alleen noodzakelijke ‘registratie’ velden verplicht en alle overige velden persoonsgegevens ‘optioneel’. Dit is geen ‘vriendelijke’, maar een noodzakelijke maatregel. Met een vooraf aangevinkt vinkje, heb je niet de ‘ondubbelzinnige toestemming’ zoals vereist in de Wet bescherming persoonsgegevens (Wbp).

    4. Veiligheid gegevens

    Neem maatregelen om persoonsgegevens te beveiligen tegen verlies, diefstal of toegang door onbevoegden. Het gaat hier om de opslag van je data, de omgang met de persoonsgegevens en het embedden van privacymaatregelen in je ontwikkelingsproces. Zorg ervoor dat alle medewerkers die werken met persoonsgegevens op de hoogte zijn van de geldende privacywetgeving en bedrijfspolicy.

    ACTIE: MAAK EEN BEWERKERSOVEREENKOMST

     ACTIE: PRIVACY BY DESIGN

    Privacy by Design: houd tijdens het ontwikkelingsproces van je product al rekening met privacy door privacyverhogende maatregelen te embedden in de technologie (broncode) van je product. Dergelijke privacyverhogende technische maatregelen noemt men ook wel ‘Privacy Enhancing Technologies (PET)’. Door de privacyrisico’s al in een vroeg stadium mee te nemen in de ontwikkeling van het product, voorkom je dat je de eindversie later moet herzien om te voldoen aan de privacyregelgeving.

    5. Datalek melden

    Je moet een datalek direct (in ieder geval binnen 72 uur) melden bij de Autoriteit Persoonsgegevens. Een datalek is iedere vorm van inbreuk op de (technische of organisatorische) beveiligingsmaatregelen, dus niet alleen een hack of technisch falen, maar ook het kwijtraken of de diefstal van een USB-stick met persoonsgegevens. Zorg ervoor dat er een intern protocol is hoe te handelen bij een datalek en dat alle medewerkers hiervan op de hoogte zijn.

    Welke risico’s loop ik als ik de privacywetgeving overtreed?

    Bij overtreding van de Wbp kan de Autoriteit Persoonsgegevens bestuursdwang toepassen of een boete opleggen.

    Bestuursdwang: de AP neemt zelf maatregelen om een einde te maken aan de onrechtmatige situatie. Dit kan bijvoorbeeld zijn: afscherming, uitwissing of vernietiging van de onrechtmatig verwerkte persoonsgegevens. Meestal zal de AP je eerst nog een termijn gunnen waarbinnen je de bestuursdwang kunt voorkomen door zelf maatregelen te nemen.

    Boetes: De boetes zijn sinds 1 januari 2016 flink verhoogd. Van € 4.500,- naar een bedrag van honderdduizenden euro’s. De boete van € 4.500,- was in verhouding tot de winst die ondernemers met persoonsgegevens konden behalen zo laag dat het nauwelijks een afschrikwekkend effect had. De boete kan nu oplopen tot € 820.000,- of zelfs 10% van de jaaromzet. Maar, wees gerust, voordat de AP een boete oplegt zal zij in de regel eerst een waarschuwing geven. Pas als die niet wordt opgevolgd, volgt er een boete. Als er sprake is van een opzettelijke wetsovertreding of ernstig verwijtbare nalatigheid, legt de AP direct (dus zonder waarschuwing) een boete op.

    Voor overtreding van de Cookiewet kan de boete oplopen tot € 450.000 euro per overtreding. De Autoriteit Consument en Markt (ACM) is de organisatie die de boete oplegt. Zij houdt toezicht op de naleving van de Cookiewet.

    Overigens: de hele discussie over boetes is wat ons betreft een achterhoedegevecht. Door je netjes aan de privacy regels te houden bouw je een merk op waarmee je het vertrouwen van consumenten en zakenpartners wint. Wij adviseren onze cliënten op dit vertrouwen te focussen, en niet zozeer op angst voor boetes.

    Hulp nodig bij Privacy?

    Wij onderzoeken bij veel ondernemingen of zij voldoen aan de privacywetgeving en adviseren waar acties nodig zijn. We hebben hiervoor een Light en een Heavy pakket.

    Light privacy check

    Voor wie: Start-ups die niet met ‘HOT’ persoonsgegevens werken en die datahandel niet als main business hebben.
    Wat: We controleren of de persoonsgegevens op de juiste wijze worden verwerkt en beschermd. We checken het cookiestatement en de privacy policy en geven advies over de inrichting van de interface (‘privacy by design’ en ‘privacy by default’).

    Heavy privacy check

    Voor wie: Bedrijven in een scale-up fase die persoonsgegevens verwerken of startende bedrijven die persoonsgegevens doorgeven aan derden. Vaak is de komst van investeerders of een samenwerking met een grote partij reden om het interne privacybeleid kritisch onder de loep te nemen.
    Wat: Een grondig privacy-onderzoek en het in kaart brengen van de privacy-risico’s bij de gegevensverwerking van een bedrijf. Vervolgens stellen we in nauw overleg met de ondernemer een privacy-strategie op. Hieruit volgen een privacy policy, een cookiestatement op maat en andere directe acties die ervoor zorgen dat aan de privacywetgeving voldaan wordt. Denk bijvoorbeeld aan: een vaste procedure bij een datalek, begeleiding bij due diligence bij de bewerker van de data en advies over nog te nemen privacybeschermende maatregelen. Natuurlijk staan de commerciële strategie en doelen van de ondernemer centraal in deze check.

     Meer info? Neem contact op onze advocaat privacyrecht Laura van Gijn

    Over ons

    De Roos Advocaten is an experienced, accessible and transparent law firm. We provide excellent legal advice in the areas of Corporate Law, Intellectual Property Law, Financial Law, Commercial Contract Law and Privacy Law. We are the legal extension of your company.

    Hulp nodig?

    Onze gespecialiseerde advocaten zijn altijd beschikbaar voor een vrijblijvend eerste adviesgesprek. Heeft u een juridische kwestie waar u vertrouwelijk advies over wilt inwinnen? Aarzel niet om met ons contact te zoeken.

    Ontvang onze nieuwsbrief

    Wij gebruiken jouw emailadres voor het toesturen van de nieuwsbrief. Niet voor andere doeleinden. Wil je meer weten? Zie hier onze Privacy Policy.