Blog Digitaal ondernemen

Populair artikel BTW_e-commerce
24.06.2021 Bart Van den Brande

BTW in e-commerce voor marktplaatsen vanaf 1 juli 2021

De regels voor BTW in e-commerce veranderen vanaf 1 juli 2021.  Daarover kon je al alles lezen in onze checklist “De nieuwe BTW-regels in e-commerce. Dankzij deze wetswijziging worden gelijke concurrentievoorwaarden voor ondernemingen gegarandeerd, zowel binnen als buiten de EU, dus dat is een positief gegeven.

Als webshop eigenaar ben je maar beter op de hoogte van de nieuwe BTW-regels. Er is een grote impact op je fiscalé aangifte én je hebt de verantwoordelijkheid om op jouw webshop de correcte prijzen inclusief BTW te vermelden. Ook voor webbouwers is dit een uitdaging aangezien niet alle webshop platformen complexe en verschillende BTW-voeten per land kunnen hanteren.

Deze week kregen we een concrete vraag van één van de grote logistieke partners in FMCG in de Benelux naar de verantwoordelijkheden van marktplaatsen en platformwebsites onder de nieuwe regels en die leek ons relevant genoeg om ze even in een blog te hernemen.  

 

Kleine verkopen door verkopers buiten de EU

Tot 1 juli 2021 zijn pakjes met een kleine waarde, onder 22 euro, die afkomstig zijn van buiten de EU (denk aan verkopen via bvb AliExpress) gewon vrijgesteld van BTW.  dat is handig voor de consument, maar dat veroorzaakt wel een concurrentienadeel voor Europese verkopers, die wél BTW moeten aanrekenen en dus altijd duurder zijn dan hun niet-Europese concurrenten.

Vanaf 1 juli verandert dit.  Op alle verkopen, ook onder 22 euro en ook door verkopers buiten de EU, is gewoon BTW verschuldigd.  

Er wordt wel een nieuw systeem ingevoerd, dat voorziet dat marktplaatsen of platformwebsites in de EU die derde verkopers van buiten de EU hosten, verantwoordelijk kunnen zijn voor het afhandelen van de BTW voor die niet-Europese verkopen als het gaat om verkopen van minder dan 150 euro per pakketje.  Op die manier is Amerikaanse of Chinese verkoper zelf niet verantwoordelijk voor BTW-verplichtingen in de EU én kan voorkomen worden dat de consument bij levering door de koerier gevraagd wordt om nog even (onverwacht meestal) de BTW bij te passen. 

 

Verantwoordelijkheid platformen en marktplaatsen

Er zijn wat voorwaarden die vervuld moeten zijn voordat je als marktplaats of platformwebsite moet instaan voor de BTW op kleine verkopen door niet-EU verkopers op jouw platform.   We lijsten die hieronder nog even op.

In se staan platformen en marktplaatsen in voor de BTW-afhandeling als zij “de goederenlevering faciliteren”.  Dat begrip is zeer breed te interpreteren.  De bedoeling van de EC is om quasi alle platformen en marktplaatsen wel als BTW-plichtige in te schakelen, behalve in zeer beperkte uitzonderlijke gevallen.  Wie valt buiten de definities: eigenlijk de facto alleen pure PSP’s of pure lead generation / affiliate platformen.

Vraag is in de eerste plaats wat “faciliteren” hier betekent.  Dat wordt verduidelijkt in de “Toelichting op de btw-regels voor e-commerce” die de Europese Commissie afgelopen najaar publiceerde.

Samengevat zijn dit de regels:

  • De vraag of een platform of marktplaats verkopen “faciliteert” moet per transactie bekeken worden.  Het kan best zijn dat er soms sprake is van “faciliteren” en soms niet en dat de marktplaats of het platform dus soms instaat voor de BTW-verplichtingen en soms niet (bvb afhankelijk van de vraag of het pakket boven of onder de 150 euro zit of afhankelijk van de rol van de marktplaats of het platform bij bepaalde verkopen)…
  • Onder “faciliteren” wordt verstaan het in contact brengen van koper en verkoper via een elektronische interface (webplatform). Met andere woorden, de verkoop-aankoop wordt gerealiseerd/gesloten met behulp van de elektronische interface. 
  • Concreet blijkt “faciliteren” uit het feit dat de werkelijke bestelling en de afrekening door of met behulp van de elektronische interface worden uitgevoerd.
  • Daarnaast moet de transactie ook effectief worden afgesloten via de elektronische interface”.  dat staat los van de levering/shipping/logisitiek, die eventueel door de verkoper zelf afgehandeld wordt.
  • Er is géén sprake van “faciliteren” als 3 voorwaarden cumulatief vervuld zijn:
    • Als het platform  noch direct, noch indirect één van de algemene voorwaarden bepaalt waaronder de goederenlevering wordt verricht.  Dit is zeer breed te interpreteren: zodra het platform zelf ook gebruiksvoorwaarden / accountvoorwaarden heeft voor gebruikers, wordt het geacht wel onrechtstreeks één van de algemene voorwaarden te bepalen (zie lijstje hieronder met voorbeelden van situaties waarin het platform geacht wordt (mee) de voorwaarden te bepalen). 
    • Én als het platform noch direct, noch indirect betrokken is bij “het verlenen van goedkeuring om de afnemer te factureren voor de gedane betaling” (Dit is concreet het faciliteren van de betaling via het platform of via een PSP gekoppeld aan het platform)
    • Én als het platform noch direct, noch indirect betrokken is bij de bestelling of de levering van de goederen.  Ook dit moet ruim geïnterpreteerd worden, zie lijstje met voorbeelden hieronder.

 

Concrete voorbeelden

Het platform bepaalt mee de voorwaarden in bijvoorbeeld deze gevallen, volgens de “Toelichting op de btw-regels voor e-commerce” :

  • als de elektronische interface is eigenaar van of beheert het technische platform voor de levering van goederen;  
  • als de elektronische interface bepaalt regels voor het aanbieden en verkopen van goederen via zijn platform;  
  • als de elektronische interface is eigenaar van klantgegevens in verband met de levering;  
  • als de elektronische interface voorziet in een technische oplossing voor het opnemen van bestellingen of het in gang zetten van het aankoopproces (bv. door de goederen in een winkelwagen te plaatsen);  
  • als de elektronische interface organiseert/beheert de communicatie van het aanbod, de aanvaarding van de bestelling of de betaling voor de goederen;  
  • als de elektronische interface bepaalt voorwaarden waaronder de leverancier of afnemer verantwoordelijk is voor de betaling van de kosten in verband met het terugzenden van goederen;  
  • als de elektronische interface legt een of meer specifieke betaalmethoden, opslag- of fulfilmentvoorwaarden of methoden voor verzending of levering op aan de onderliggende leverancier die moeten worden gebruikt om de handeling te volbrengen;  
  • als de elektronische interface heeft het recht de betaling van de afnemer te verwerken of in te houden van de onderliggende leverancier of om anderszins de toegang tot tegoeden te beperken;  
  • als de elektronische interface kan de verkoop zonder toestemming of goedkeuring van de onderliggende leverancier crediteren indien de goederen niet naar behoren werden ontvangen;  
  • als de elektronische interface biedt klantenservice, hulp bij het terugzenden of omruilen van goederen, of procedures voor klachtenafhandeling en geschillenbeslechting voor leveranciers en/of hun afnemers;  
  • als de elektronische interface heeft het recht om de prijs vast te stellen waartegen de goederen worden verkocht, bijvoorbeeld door korting aan te bieden via een loyaliteitsprogramma, heeft controle over of oefent invloed uit op de prijsstelling.

Het platform is betrokken bij de bestelling of de levering als:

  • de elektronische interface voorziet in het technische hulpmiddel om de bestelling van de afnemer aan te nemen (meestal de winkelwagen / afrekening);  
  • de elektronische interface verstrekt de afnemer en de onderliggende leverancier de bevestiging en/of de gegevens van de bestelling;  
  • de elektronische interface berekent de onderliggende leverancier een vergoeding of commissie op basis van de waarde van de bestelling;  
  • de elektronische interface geeft goedkeuring om met de levering van de goederen te beginnen / geeft de onderliggende leverancier of een derde opdracht om de goederen te leveren;  
  • de elektronische interface verleent fulfilmentdiensten aan de onderliggende leverancier;  
  • de elektronische interface regelt de levering van de goederen;  
  • de elektronische interface verstrekt de afnemer gegevens met betrekking tot de levering. 

 

Vragen over e-commere of BTW?

Check zeker even onze checklist én onze “BTW-checker” service voor webshops als je meer info wil over de nieuwe BTW-regels in e-commerce.

We maken natuurlijk ook graag persoonlijk tijd voor je.  Bel of mail gerust met Bart Van den Brande op bart@siriuslegal.be of +32 492 249 516 of boek hier meteen een vrijblijvend online kennismakingsgesprek in met Bart via Google Meet of Zoom.

06.05.2021 Bart Van den Brande

Europese Unie neemt de leiding in regulering van AI

Alexa, Siri en de Google Assistent, zelfrijdende wagens, spraak- en gezichtsherkenning, beeld- en tekstanalyse software, …  Artificiële Intelligentie is de voorbije jaren aan een ware explosie bezig en bewust of onbewust wordt het leven van élk van ons vandaag al dagelijks beïnvloed door (de gevolgen van) AI: van de reclame die we te zien krijgen, tot de regeling van de verkeerslichten waar we staan te wachten terwijl we die reclame wegswipen op onze smartphone. 

Kunstmatige intelligentie wordt dan ook terecht door de EU beschouwd als één van de essentiële bouwstenen voor de digitale maatschappij van de toekomst en gelet op de snelheid waarmee de rekenkracht van computersystemen evolueert is die toekomst niet morgen, maar gisteren al begonnen.

Die razendsnelle evolutie heeft echter ook de voorbije jaren het besef doen groeien dat er dringend nood is aan een regelgevend kader.  In het beste geval maakt AI ons leven aangenamer, maar als diezelfde technologie in verkeerde handen zou komen, kan dat potentieel desastreuze gevolgen hebben, bijvoorbeeld voor jouw en mijn privacy.  

Precies om die reden wordt er achter de schermen binnen de EU al 2 jaar gewerkt aan een regelgevend kader dat moet zorgen voor een veilig en ethisch verantwoord gebruik van AI binnen de EU.  Het eerste ontwerp van de “AI Verordening” dat hieruit voort zou moeten vloeien, werd vorige week publiek gemaakt, nadat ze naar goede gewoonte enkele dagen eerder al onbedoeld was uitgelekt.

We overlopen hieronder de grote lijnen van het ontwerp samen met jou.

 

Eerste poging in de wereld om AI te reguleren

Het voorstel van verordening dat de Europese Commissie op 21 april 2021 publiek maakte is het allereerste regelgevingskader voor AI ter wereld.  De regels zijn onderdeel van de strategie van de Europese Commissie om van de EU een mondiale hub voor nieuwe technologie en digitalisering te maken.  Om dit doel te bereiken wil de EU zorgen voor wettelijke waarborgen voor de privacy en de grondrechten van Europese burgers en wil ze tegelijk het draagvlak voor AI, investeringen en innovatie in de hele EU versterken. 

(Cynici vragen zich daarbij overigens nu al af of het ontwerp dat vandaag voorligt, omdat het zo streng is, niet precies het omgekeerde effect dreigt te hebben, maar daarover later meer).  

 

“Risk based approach” die doet denken aan GDPR

De nieuwe regels doen bij een eerste lezing onmiddellijk denken aan de GDPR, die sinds 2018 in de EU en tot ver daarbuiten bepaalt hoe bedrijven mogen omgaan met jouw en mijn persoonsgegevens.  Op een gelijkaardige manier wil de EU voor het ganse grondgebied van de EU op één en dezelfde wijze reguleren hoe bedrijven data (al dan niet persoonsgegevens) kunnen inzetten binnen AI-algortimes. 

Eén van die opvallende raakpunten met de aanpak onder GDPR is de zogenaamde “risk based approach”: AI-development zal een risicoanalyse vereisen en AI-systemen die een duidelijke bedreiging vormen voor de veiligheid en rechten van Europese burgers, worden verboden. Het gaat dan om AI-toepassingen die menselijk gedrag manipuleren om de vrije wil van gebruikers te omzeilen.  De Europese Commissie geeft zelf als voorbeeld “smart” speelgoed met spraaktechnologie dat kinderen kan aansporen tot gevaarlijk gedrag. De Commissie maakt een onderscheid tussen zulke “hoog risico” AI, “beperkt risico” AI en “minimaal risico” AI. 

Hoog risico AI-systemen zijn diegene die gebruikt worden voor publieke infrastructuur (verkeer bvb), in medische omgevingen, in het kader van beroepsopleidingen of toegang tot onderwijs (bvb verbeteren van examens), werkgelegenheid, personeelsbeleid (bvb screening bij sollicitaties), essentiële diensten zoals bank- en kredietdiensten (kredietwaardigheidschecks), gebruik door politiediensten, douanediensten, rechtbanken en andere overheden (inclusief bijvoorbeeld ook alle mogelijke biometrische systemen van gezichtsherkenning, stemherkenning, vingerafdrukherkenning, etc…). 

Deze toepassingen zullen aan strenge verplichtingen worden onderworpen voordat zij in de handel mogen worden gebracht:

  • Ernstige plichten tot risicobeoordeling en -beperking
  • Hoge kwaliteit van de datasets die het systeem voeden om risico’s en discriminerende resultaten zoveel mogelijk uit te sluiten
  • Registratieplicht (!)
  • Gedetailleerde documentatie en transparantie naar overheden toe over de werking van de algoritmes
  • Transparante informatie voor gebruikers
  • Verplichting tot passend menselijk toezicht op de werking
  • (cyber-)Veiligheid, robuustheid en nauwkeurigheid

Met name alle systemen voor biometrische identificatie op afstand worden als risicovol beschouwd en moeten aan strikte eisen voldoen. Op openbare plaatsen is het rechtstreekse gebruik van die systemen voor rechtshandhavingsdoeleinden in beginsel verboden. Beperkte uitzonderingen zijn strikt gedefinieerd en geregeld (bv. om een vermist kind te zoeken, een specifieke en nakende terroristische dreiging af te wenden of een dader of verdachte van een ernstig strafbaar feit op te sporen, te identificeren of te vervolgen). Er moet vooraf toestemming worden gegeven door een rechterlijke of andere onafhankelijke instantie, die slechts geldt voor een beperkte termijn en omgeving en voor specifieke databanken.

Onder AI-toepassingen met beperkt risico verstaat de Verordening bijvoorbeeld chatbottoepasingen.  Het zal vereist zijn om de gebruiker transparant en correct te informeren over het gebruik van AI, zodat hij of zij zelf kan beslissen om wel of niet met een softwaretoepassing in gesprek te gaan.

De laatste categorie is met voorsprong de grootste.  Het gaat om duizenden AI-toepassingen voor dagelijks gebruik, die slechts een “minimaal risico” met zich meebrengen.  Als voorbeelden worden vernoemd : “slimme” spamfilters, zelflerende video games, predictieve marketingtools, slimme keukentoestellen, … De ontwerpverordening laat die systemen ongemoeid aangezien het risico voor de rechten of de veiligheid van burgers minimaal of onbestaand is (wat overigens niet betekent dat andere regels zoals precies GDPR niet van kracht zouden kunnen zijn op deze toepassingen, natuurlijk!).

Los van bovenstaande zijn er overigens in het ontwerp ook AI-toepassingen die per definitie verboden zouden zijn.  Dat is bijvoorbeeld het geval voor het gebruik van realtime geautomatiseerde gezichtsherkenningssystemen door overheidsinstanties op openbaar toegankelijke plaatsen of ook nog AI-toepassingen die “subliminale technieken gebruiken die het bewustzijn van een persoon te boven gaan“, of die proberen misbruik te maken van de kwetsbaarheden van mensen als gevolg van leeftijd, fysieke of mentale handicap, in beide gevallen om hun gedrag te verstoren op een manier die lichamelijk letsel kan veroorzaken. of psychologische schade.

 

Te vergaande beperkingen?

Er is overigens meteen ook heel wat, al dan niet terecht, kritiek op het ontwerp van verordening.  Vroege tegenstanders wijzen erop dat de Europese Unie zichzelf in de voet dreigt te schieten.  Ze legt immers als eerste politieke blok ter wereld een wetgevend kader op rond AI dat meteen ook vergaande beperkingen met zich mee brengt én ze legt diezelfde regels meteen ook -net zoals bij GDPR- op aan niet-Europese bedrijven die hun software in de EU willen aanbieden. Met name het verbod om AI in te zetten voor bijvoorbeeld credit scoring of ook nog de vergaande beperkingen in het gebruik van biometrische data dreigen volgens sommigen ernstige concurrentiebeperkingen op te leggen aan Europese spelers en dreigen dus innovatie te verplaatsen van de EU naar andere delen van de wereld.

Nochtans is de Europese Commissie niet lichtzinnig over het innovatieaspect heen gegaan.  Het ontwerp bevat immers precies ook maatregelen ter ondersteuning van innovatie. Zo is er bijvoorbeeld voorzien in een sandboxing-regeling op het gebied van AI en zijn er maatregelen die KMO’s en start-ups moeten vrijstellen van al te veel regelgevende druk of ook nog de oprichting van digitale hubs en faciliteiten voor het testen van experimenten. 

 

Boetes en sancties

Het ontwerp voorziet overigens ook in een stevig sanctiemechanisme bij overtredingen en de voorziene boetes doen op hun beurt ook weer sterk denken aan wat we al kennen onder GDPR, met administratieve boetes tot 20.000.000 euro of 4% van de totale wereldwijde jaaromzet. Net als onder de GDPR zijn de nationale toezichthoudende autoriteiten bevoegd om toe te zien op de naleving van de regels en er wordt een “European Artificial Intelligence Board” (EAIB) opgericht, naar analogie met de EDPB onder GDPR die voor uniforme toepassing doorheen de EU moet zorgen.

 

Binnenkort ook “Machineverordening”

Naast de toekomstige AI-verordening werkt de EU overigens ook aan een “Machineverordening”, die de huidige Machinerichtlijn moet vervangen op termijn. Daar waar de nieuwe AI-verordening de veiligheidsrisico’s van AI-systemen zal aanpakken, wil de machineverordening de veilige integratie van het AI-systeem in de machine als geheel waarborgen.  In de huidige machinerichtlijn, die wordt vervangen door de nieuwe machineverordening, zijn vandaag al gezondheids- en veiligheidseisen voor machines vastgesteld.  Binnen afzienbare tijd krijgen die regels dus een update.   Het gaat dan om de veiligheid van een breed scala aan producten voor consumenten en professionals, van robots tot grasmaaiers, 3D-printers, bouwmachines en industriële productielijnen. 

 

Volgende stappen?

Vandaag ligt enkel een ontwerp van de Europese Commissie voor. Dat ontwerp moet vervolgens door zowel de Europese Raad (de regeringsleiders) als door het Europees Parlement besproken en geamendeerd worden alvorens een definitief voorstel verwacht kan worden.  De analogie met GDPR leert ons opnieuw dat dit een oefening is die in het beste geval 24 maanden tijd vereist.  De finale versie zal dus nog wel even op zich laten wachten, maar dat het de EU menens is, is wel duidelijk.   Wij volgen alvast elke evolutie en berichten hierover zeker ook tijdig op onze kantoorblog.

 

Vragen over AI of de juridische aspecten van nieuwe technologie in het algemeen?

We maken graag tijd voor je.  Bel of mail gerust met Bart Van den Brande op bart@siriuslegal.be of +32 492 249 516 of boek hier meteen een vrijblijvend online kennismakingsgesprek in met Bart via Google Meet of Zoom.

04.05.2021 Roeland Lembrechts

Verdien jij als Belgische ondernemer de titel van Mr. Stupid?

Uit het Cyber Readiness Report 2021, gepubliceerd door de Hiscox Group, blijkt dat ondernemingen in België het afgelopen jaar koploper zijn geweest in een aparte discipline. Maar liefst 42% van de Belgische ondernemingen zou het afgelopen jaar het slachtoffer zijn geweest van een cyberaanval. Belgische ondernemingen die deelnamen aan het onderzoek, worden blijkbaar vaker getroffen dan ondernemingen in de buurlanden.  

Wanneer het gaat over cyberrisico’s voor bedrijven, dan kan je online ettelijke rapporten en statistieken vinden die je vertellen dat je je onderneming moet wapenen tegen onder meer phishing & ransomware-aanvallen. Die statistieken en privé-onderzoeken kunnen met een korrel zout genomen. Het is uiteindelijk een onderdeel van het businessmodel ‘fear sells, so sell fear’. Maar dat neemt niet weg dat er een belangrijke bron van waarheid in vervat zit.  Nationale en internationale instanties zetten momenteel een heuse cyber security strategie in Europa op poten. En in die strategie speelt de KMO steeds een belangrijke rol.

 

Mr. Stupid?

Veel ondernemingen zijn zich wel min of meer bewust van mogelijke cyberaanvallen en de kwetsbaarheid van hun bedrijf. Per slot van rekening is bijna elke onderneming online verbonden met de rest van de wereld. En die verbondenheid houdt inderdaad risico’s in. Maar de onwetendheid of de beperkte interesse in deze risico’s, zorgt voor een overschatting van je eigen digitale veiligheid.
We zullen wel zien als het probleem zich voordoet’, ‘we hebben een firewall en antivirus’, ‘we gebruiken een VPN-verbinding’… en de kous is af.

Deze vaak voorkomende struisvogelpolitiek is wat men in de academische wereld ook wel het Dunning-krugereffect noemt. Dit is een psychologisch verschijnsel dat optreedt bij incompetente of onwetende mensen die door hun incompetentie/onwetendheid niet inzien dat hun keuzes en conclusies soms verkeerd zijn. Bestuurders van ondernemingen lopen zo het risico om te blijven hangen op de ‘peak of Mr. Stupid’. En daar maken cybercriminelen graag gebruik van.

KMO_Cybersecurity_Dunning-krugereffect

 

Or Mr. Smart, Trustworthy and Resilient?

Nochtans zijn er voor ondernemingen, ook voor kleinere met beperkte budgetten, oplossingen om je bedrijf ook digitaal te beschermen als een goede huisvader (of in moderne termen: ‘een redelijk en voorzichtig persoon’). Via de Vlaio verbetertrajecten voor cyber security zorg je ervoor dat je onderneming digitaal gewapend is voor de toekomst en onderscheid je je van de domme leerlingen van je klas. Sirius Legal en BA NV hebben een juridisch/technisch gecombineerd programma dat jouw cyberveiligheid op verschillende vlakken zal optimaliseren, aangepast aan de noden en mogelijkheden van je onderneming.

Zorg er dus voor dat je niet bij de 42% cyberslachtoffers belandt, maar dat je handig gebruik maakt van de 45% subsidies die Vlaio voor je klaar heeft staan. Meer info over dit traject kan je hier vinden.

Zal je in telewerktijden als Mr. Stupid naar je gegijzelde onderneming rijden of ga je vertrouwen winnen bij leveranciers en klanten met de aankondiging dat je bedrijf cyberveilig is onder het Vlaio-label en dat onder een financieel interessante deal?

Aan jou de keuze!

 

Vragen over cybersecurity? 

Boek vrijblijvend een kennismakingsgesprek in met Roeland Lembrechts via deze link.

Populair artikel datalek melden
20.04.2021 Roeland Lembrechts

Iemand nog een datalek te melden? Durf jij nog twijfelen aan de noodzaak van cyber security?

Kranten en tijdschriften melden de laatste tijd bijna dagelijkse nieuwe hacks en datalekken bij bedrijven. De voorbeelden bij sociale media-platformen de laatste weken liegen er niet om: gegevens van 533 miljoen Facebook gebruikers, 500 miljoen Linkedin gebruikers en 1,3 miljoen Clubhouse gebruikers worden online te grabbel gegooid. (Al ontkennen al deze platformen met hand en tand dat er een probleem zou zijn…)

Na het meest recente geval bij Allekabels.nl eerder deze week is het bovendien ook duidelijk dat data breaches niet enkel een probleem zijn voor de Facebooks en Linkedins van deze wereld.  Elk bedrijf, klein of groot, is een potentieel slachtoffer. Allekabels.nl is een relatief kleine Nederlandse webshop die kabels en batterijladers verkoopt, maar waar wel privégegevens, waaronder versleutelde wachtwoorden en logins, telefoonnummers en geboortedata, van zo’n 3,6 miljoen mensen gestolen werden om later te koop aangeboden te worden op een hackersforum.  Blijkbaar, althans dat suggereren de media, heeft Allekabels.nl bijzonder slecht op deze data breach gereageerd en hebben ze slechts gedeeltelijk en/of laattijdig de betrokken personen geïnformeerd. 

Laat het een les zijn: cyber security is een groeiend aandachtspunt in onze gedigitaliseerde economie en elke ondernemer zou er bewust mee aan de slag moeten gaan…

 

Cyber security is een topprioriteit voor iedereen

Iedereen kan geconfronteerd worden met een gehackt systeem of een schadelijk datalek. Ondernemingen zijn digitaal nauw met elkaar verbonden tegenwoordig.  We wisselen permanent data uit en maken daarbij gebruik van heel wat verschillende meer of minder veilige toepassingen.  Precies die digitale verbondenheid en het gebrek aan beveiligingsmaatregelen zorgt steeds meer dat je digitale hebben en houden aan behoorlijk wat risico’s wordt blootgesteld.

Studies van het World Economic Forum zeggen niet voor niets dat informatieveiligheid, data fraude en risico’s op de bedrijfscontinuïteit door bedrijfsleiders één van de grootste bezorgdheden zijn voor ondernemingen wereldwijd. Cyber security zou dus een topprioriteit moeten zijn voor elke ondernemers of manager. 

 

Struisvogelpolitiek

Eigenaardig genoeg vertaalt die politieke bezorgdheid en persaandacht voor cyberrisico’s zich nog niet in effectieve actie bij bedrijven. We hebben allemaal een brandverzekering, onze bedrijfsgebouwen zijn fysiek beveiligd tegen ongewenste bezoekers, onze bedrijfsgeheimen bewaren we in een kluis, etc.,  maar vreemd genoeg trekken bedrijven die lijn niet door naar hun databeleid.

Op het eerste zicht zijn daar wel redenen voor te vinden. De directe meerwaarde van cyber security maatregelen zijn niet onmiddellijk zichtbaar en het ontbreekt veel bedrijven aan tijd en (financiële) middelen. Zo is er ook een gebrek aan kennis over de toepasselijke normen en denken veel ondernemingen nog steeds dat dit enkel een probleem is voor de grote jongens. En probeer het maar eens georganiseerd te krijgen bovenop je eigenlijke dagdagelijkse activiteiten. Kop in het zand dan het maar… 

Nochtans zijn er héél wat quick wins te realiseren binnen bedrijven.  Heel wat winst is te halen uit simpele maatregelen als een goed data securitybeleid, up-to-date software, de juiste antivirus en firewalls, opleiding en awareness bij je personeel, een goede verzekering, thuiswerk policies, BYOD policies, een goed paswoordbeleid, een grondige GDPR compliance oefening ook, …

 

Begeleiding door Sirius Legal en BA met financiële ondersteuning door Vlaio

Er zijn voldoende redenen om net wél prioriteit te geven aan een veilige digitale omgeving. Je beperkt er uiteraard de risico’s voor je informatieveiligheid mee, maar vergroot daarnaast ook het vertrouwen van je klanten, leveranciers, aandeelhouders en anderen die in aanraking met je onderneming komen. Je kan daarbij proactief blijk geven van de nodige toewijding aan de naleving van de geldende normen (technische en juridische standaarden, privacy-vereisten) en door de juiste communicatie kan je hier daadwerkelijk een concurrentievoordeel uit putten.

Dankzij Vlaio hoeft er ook geen drempel te zijn voor jou als ondernemer om tijdig met cyber security aan de slag te gaan.  Sirius Legal (als juridische partner) en BA NV (als technische partner) kunnen als door Vlaio erkende en gesubsidieerde dienstenleverancier op efficiënte en betaalbare wijze zorgen voor een doorgedreven cyber security audittraject binnen je onderneming:  je cyberrisico’s worden maximaal in kaart gebracht en doeltreffend aangepakt op technisch, organisatorisch én juridisch vlak. Dankzij Vlaio wordt je investering bovendien voor maar liefst 45% gesubsidieerd.

Een Vlaio-traject onder begeleiding van twee erkende partners geeft je bedrijf met andere woorden de nodige kickstart in cyberveilig ondernemen. 

 

Meer info over een cyber security verbeteringstraject van Vlaio?  

Neem een kijkje op deze pagina waar we heel het traject nader toelichten. Of neem contact op met Roeland Lembrechts via roeland@siriuslegal.be

31.03.2021 Bart Van den Brande

Wetsontwerp wil "privacy rulings" invoeren naar analogie met fiscale rulings

De GDPR is inmiddels 5 jaar in werking en de voorbije 3 jaar, sinds mei 2018, wordt de inhoud ervan ook effectief afgedwongen door de overheid.

Ook na al die tijd blijkt elke dag opnieuw dat ondernemers de regels rond gegevensbescherming onduidelijk, vaag en moeilijk te begrijpen vinden en onze ervaring leert dat heel wat goedbedoelende ondernemers afhaken bij gebrek aan begrip van wat er van hen precies verwacht wordt.  Het ganse uitgangspunt van GDPR is dan ook in wezen een open deur naar onzekerheid en toekomstige risico’s: ondernemingen moeten een gepast niveau van veiligheid voorzien en moeten daarvoor gepaste maatregelen nemen, maar voorafgaand is er geen enkele manier om te weten of de maatregelen die zij zich voornemen inderdaad “gepast” zijn.  De beoordeling naar het eventuele tekortschieten van de ondernemer in kwestie gebeurt pas post factum, als er op een later ogenblik klachten, controles of datalekken optreden…  Een en ander is erg moeilijk te begrijpen voor ondernemers, die immers in hun dagelijkse activiteit precies proberen om zoveel mogelijk onzekere factoren uit te schakelen en onzichtbare risico’s te vermijden.

Webbouwers, app-ontwikkelaars of online marketeers stellen ons daarbij zeer regelmatig de vraag of zij hun plannen voorafgaand kunnen voorleggen aan de Gegevensbeschermingsautoriteit voor advies en goedkeuring, zoals dat ook in fiscale aangelegenheden kan.

Tot op vandaag kan dat niet, maar een recent wetsontwerp lijkt daar verandering in te gaan brengen.

 

Voorafgaand privacy advies

Voorafgaand advies van de GBA over voorgenomen verwerkingen, laat staan de expliciete validatie ervan, is vandaag in se onmogelijk.  GDPR voorziet zulks niet expliciet en ook de Belgische kaderwet voorziet niet in een formele procedure.  Wie geluk -en de juiste begeleiding- heeft kan soms wel informeel bij de GBA terecht, maar die informele akkoorden worden niet gepubliceerd en zelfs als ze dus één specifiek bedrijf vooruit helpen, zijn andere verantwoordelijken of verwerkers dus vaak niet op de hoogte van precedenten en kunnen zij er zich niet op baseren of beroepen.

Een recent wetsvoorstel vanuit CD&V-hoek wil daar verandering in brengen.  Het idee is om een systeem van voorafgaande beslissingen in te bouwen in de Belgische Kaderwet waardoor de Gegevensbeschermingsautoriteit in individuele gevallen kan bepalen hoe de gegevensbeschermingswetgeving zal worden toegepast op een specifieke situatie of beoogde verwerking van persoonsgegevens.  Het voorstel voorziet daarvoor in een raadplegingsprocedure die maximaal drie maanden zou duren.  Zo’n ruling geeft rechtszekerheid aan de aanvrager, want zij verbindt alle diensten van de Gegevensbeschermingsautoriteit. Een voorafgaande beslissing zou de Gegevensbeschermingsautoriteit voor de toekomst verbinden.

De indieners verwijzen in hun voorstel naar succesvolle proefprojecten in het Verenigd Koninkrijk met de zogenaamde “regulatory sandboxes”.  Sinds maart 2019 biedt de Britse toezichthouder  (Information Commissioner’s Office) een nieuwe dienst aan, die is ontworpen om organisaties te ondersteunen die innovatieve en maatschappelijk nuttige projecten ontwikkelen waarbij er een gebruik van persoonlijke gegevens is.  Organisaties die deelnemen aan de sandbox kunnen profiteren van de mogelijkheid om rechtstreeks met de toezichthouder in contact te treden over innovatieve projecten met complexe gegevensbeschermingskwesties.

Persoonlijk kunnen wij dit voorstel enkel zeer hard toejuichen.  Als het uiteindelijk aangenomen wordt, zal het voor héél veel ondernemers de kans bieden om vooraf zekerheid te krijgen over hun plannen en op die manier onnodige juridische en financiële risico’s te vermijden.  Een en ander kan alleen maar het algemene niveau van GDPR compliance bij Belgische ondernemingen vergroten.

Het is nu vanzelfsprekend wachten op een eventueel politiek akkoord om dit voorstel ook effectief goed te keuren. Wij houden dit in elk geval stipt in de gaten en zorgen voor de nodige info en uitleg op onze blogpagina zodra alles definitief zou zijn.

 

Maar zo’n rulings bestaan eigenlijk wél al voor een stukje…

Zo’n voorafgaande consultatie en “ruling” bestaat vandaag overigens eigenlijk wel degelijk al wél onder GDPR.   Artikel 35 voorziet immers dat de verantwoordelijke voor de verwerking die een voorafgaande Gegevensbeschermingseffectenbeoordeling of Data Protection Impact Assessment voert en op het eind daarvan vaststelt dat er een restrisico bestaat, verplicht is om het voorafgaande en bindende advies van de GBA in te winnen.

Alleen is de vaststelling dat de meerderheid van de Belgische ondernemingen hun verplichtingen onder artikel 35 niet kennen of deze -erger nog- bewust naast zich neerleggen, waardoor de GBA nauwelijks verzoeken tot voorafgaande raadpleging ontvangt.

Wie meer wil weten over Data Protection Impact Assessments kan overigens terecht op ons Youtube kanaal voor de opname van één van onze recente webinars precies over DPIA’s:  https://youtu.be/y66jmrYeQWU

 

Meer weten over GDPR en databescherming? Heb je zelf een project waarvoor je wel privacy advies wil inwinnen? 

Ons team maakt graag tijd.  Boek gerust rechtstreeks een kennismaking in de agenda van Bart of neem contact via mail  (bart@siriuslegal.be) of per telefoon op  +32 492 249 516

25.03.2021 Roeland Lembrechts

Phishing: laat je niet verleiden, maar informeer je!

De titel van de Pano Reportage deze week kopte ‘Opgelicht online’, een boeiende reportage over slachtoffers van phishing. Phishing is een verzamelnaam van sociale en technische technieken die oplichters gebruiken om je via verschillende communicatiekanalen (sms, email, website, sociale media, ….)  te benaderen en je geld afhandig te maken. De reportage maakt weer pijnlijk duidelijk wat de risico’s zijn en waarom dit criminaliteitsfenomeen de nodige aandacht verdient.

 

Phishing is booming business …

Het parket gaf mee dat er in de eerste helft van 2020 al 3.438 pv’s van phishing geregistreerd werden en dat dit vermoedelijk nog maar het topje van de ijsberg was. Als je er de officiële criminaliteitsstatistieken op naleest, dan zie je dat er bijvoorbeeld in 2016 nog maar 219 feiten geregistreerd werden, terwijl er in 2019 sprake is van 2.365 (een vertienvoudiging op 4 jaar tijd). Leggen we daar de cijfers van het voorjaar 2020 naast dan liegen we niet als we stellen dat phishing een exponentiële groei kent.

De reden van die exponentiële groei is al bij al niet zo ver te zoeken. Phishing blijkt een enorm lucratieve business te zijn, waarbij cybercriminelen op korte tijd zeer veel potentiële slachtoffers kunnen bereiken. Iedereen kan slachtoffer worden, van de brave huisvader die onwetend achter zijn computer zit en een verkeerde bestelling plaatst tot de zeer voorzichtige ceo die de goeder trouw investeringen wenst te doen, maar in handen komt van een bijzonder professionele, maar criminele organisatie. Twee maanden geleden was in Het Nieuwsblad nog te lezen dat een onderzoeksrechter die reeds 15 jaar lang gespecialiseerd was in cybercrime, zelf het slachtoffer was geworden van online oplichters. Don’t need to say more… 

De pakkans is echter nog steeds bijzonder klein. Cybercriminelen genieten een grote anonimiteit en opereren internationaal, terwijl justitie ook op dit vlak moet vaststellen dat er niet voldoende middelen zijn om krachtdadig op te treden. Je moet zelfs geen hoogstaand technisch IT-profiel te hebben om met phishing te starten. Het internet biedt naast officiële marktplaatsen ook minder officiële marktplaatsen aan op het darkweb, waar je voor enkele luttele euro’s de nodige tools, diensten en lijsten van gegevens van potentiële slachtoffers kan aankopen: cybercrime-as-a-service, ter beschikking voor iedereen.

 

… maar je geld recupereren en reputatie herstellen is een complexe business

Des te sneller je je hebt laten verleiden en je geld verdwenen is, des te moeilijker is het om dit te recupereren. Indien je nog snel reageert, dan zou je de transactie nog kunnen tegenhouden, maar in de meeste gevallen beseffen slachtoffers dit te laat en/of weten ze niet hoe er gereageerd moet worden.

Buiten de anonieme daders is het ook steeds moeilijk om na te gaan wie er aansprakelijk is. Is het de onachtzaamheid van het slachtoffer zelf? Of zijn de website, e-mail, social media kanalen van de organisatie die misbruikt werd voor de phishing wel veilig genoeg? Hebben deze systemen phishing of spoofing mogelijk gemaakt door geen state-of-the-art veiligheid in te bouwen? Hadden banken verdachte transacties niet moeten opmerken en zelf preventief moeten blokkeren? Kunnen we de zogenaamde geldezels niet aanspreken (wat in zekere zin ook personen zijn die in hun context door criminelen misbruikt/misleid worden), etc. 

Daarnaast ervaren heel wat slachtoffers schaamte en reputatieschade. Niemand wenst aan te kondigen dat hij op een eenvoudige manier opgelicht werd: de CEO wil liever niet aan de raad van bestuur of de vergadering van aandeelhouders melden dat reserves in rook zijn opgegaan, een onderneming kondigt liever niet aan bij haar klanten dat haar website of e-mail misbruikt wordt voor oplichting of dat er lijsten gelekt zijn met persoonlijke gegevens die er voor zorgen dat eigen klanten benaderd zullen worden.

 

Informeer je!

Phishing is een opkomend, maar geen nieuw fenomeen. De Europese Commissie stelde in 2017 reeds vast dat 95% van de cyberincidenten gebeuren door een of andere menselijke fout. De ENISA, het Europees Cyber Security Agentschap, publiceerde in 2018 een rapport met een overzicht en adviezen met betrekking tot gedragsaspecten van cybersecurity. Daarin wordt opnieuw duidelijk dat de mens de zwakste schakel is in de cyberveiligheid van de onderneming. Phishing is daar een sterke katalysator van het probleem, zodat elke onderneming naast de aandacht voor veilige IT, even goed deze IT in harmonie met haar personeel moet krijgen. Het trainen van kennis & vaardigheden in combinatie met een volledige herstructurering van de praktijk en het beleid, moet er voor zorgen dat jouw ‘poortwachters’ zich zo min mogelijk laten verleiden door phishing-praktijken.

Bij Sirius Legal zijn we ons bewust van het multidisciplinair karakter van zo’n oefening. Via een hele reeks juridische technieken kan het informatieveiligheidsbeleid van je onderneming verder op punt gesteld worden. Maar dat kan enkel wanneer die initiatieven in harmonie zijn met het personeelsbeleid, de afspraken met je leveranciers, de communicatie & afspraken met je klanten én je technische veiligheidsstructuur.

Wil je graag eens horen wat je allemaal kan doen? Boek dan gerust een vrijblijvend gesprek in met ons en onze technische cyber security partner BA op het digitale Infosecurity Event (31 maart en 1 pril).

PS: wil je nog een stap verder gaan in je veiligheidsbeleid? Vraag dan zeker naar onze mogelijkheden om je te begeleiden op juridische en technisch vlak via de subsidieregeling van Vlaio

02.02.2021 Bart Van den Brande

Eerste grote boete voor geoblocking gaat naar gaming platform Steam

De Europese Commissie heeft Valve, eigenaar van het online pc-gamingplatform “Steam”, en vijf verdelers van videogames een boete van € 7,8 miljoen opgelegd wegens het overtreden van de Europese geoblockingregels.  Valve en de betrokken verdelers beperkten de crossborder verkoop van bepaalde videogames op basis van de geografische locatie van consumenten en precies dat is verboden onder de geoblockingverordening.

 

Wat is geoblocking?

In het kader van haar Digital Single Market pakket geldt in de EU sinds 2019 de zogenaamde Geoblockingverordening.  Met die Geoblockingverordening wil de EU korte metten maken met elke discriminatie op basis van woon- of verblijfplaats online.  De praktijk wees immers uit dat heel vaak inwoners van een bepaald land niet konden meegenieten van bepaalde aanbiedingen online omdat zij op basis van hun locatie of IP-adres de toegang tot een bepaalde website ontzegd werden of omdat zij automatisch omgeleid werden naar een andere landversie. 

Het klassieke voorbeeld dat daarbij aangehaald wordt is de passagier die een vliegtuigticket wil boeken op een vlucht van bijvoorbeeld Berlijn naar Brussel.  Wie vanuit Duitsland naar de website van de betreffende airline surft, vindt daar een aanbod aan, opnieuw bijvoorbeeld, 59 euro.  Wie als passagier echter vanuit België datzelfde ticket probeert te boeken, wordt automatisch omgeleid naar een Belgische website, waar hetzelfde ticket aanzienlijk duurder is, of kan gewoon geen toegang krijgen tot de Duitse website.  Precies dat wil de EU voorkomen met de Geoblockingverordening. 

De verordening bevat een reeks regels die zowel het technisch beperken van toegang voor buitenlandse kopers tot een website als het praktisch bemoeilijken of onmogelijk maken van aankopen op een website door buitenlanders aan banden legt.

 

Wat is niet meer toegestaan sinds begin 2019?

  • De toegang tot websites technisch onmogelijk maken vanuit een ander land (pure geoblocking)
  • De toegang tot websites of tot de producten aangeboden op deze website “op enigerlei andere wijze” bemoeilijken of onmogelijk maken (dit is bijvoorbeeld het geval wanneer een koper zijn adresgegevens niet kan invullen in het bestelformulier omdat het formaat van de invulvelden dit niet toelaat, met name bij de postcode blijkt dit geregeld problematisch te zijn omdat deze een gepreformateerd formaat vereist)
  • Het omleiden van websitebezoekers naar een lokale versie van de website zonder voorafgaande toestemming van de betrokkene
  • Het hanteren van prijsverschillen op basis van afkomst van de koper (tenzij hiervoor een objectieve rechtvaardiging bestaat)
  • Het hanteren van andere verkoopsvoorwaarden in functie van de woon- of verblijfplaats van de koper (tenzij hiervoor een objectieve rechtvaardiging bestaat)
  • Verkoopsweigering op basis van woon- of verblijfplaats (wat wel kan is de levering beperken tot bepaalde gebieden, maar de koper die bereid is de beperkte leveringsmogelijkheden te aanvaarden, moet steeds kunnen aankopen)
  • Het discrimineren van kopers op basis van de aangeboden betaalmiddelen (dit is in casu het systematisch weigeren van bvb kredietkaarten die uitgegeven zijn in een ander land)

 

Wat deed Valve verkeerd?

Commissaris Margrethe Vestager, verantwoordelijk voor het mededingingsbeleid, verwoorde een en ander als volgt: Meer dan 50% van alle Europeanen speelt videogames. De videogame-industrie in Europa bloeit en is nu meer dan € 17 miljard waard. De sancties van vandaag tegen de “geoblocking” -praktijken van Valve en vijf uitgevers van pc-videogames herinneren eraan dat volgens de EU-concurrentiewetgeving het bedrijven verboden is om grensoverschrijdende verkoop contractueel te beperken. Dergelijke praktijken ontnemen Europese consumenten de voordelen van de digitale eengemaakte markt van de EU en de mogelijkheid om op zoek te gaan naar het meest geschikte aanbod in de EU ”.

Steam is een van ’s werelds grootste platforms voor online games, waar gebruikers games kunnen streamen of downloaden. Ook games die buiten Steam aangekocht zijn (bvb in  fysieke winkels of via downloads van derde websites) van derden, ook in staat om videogames op Steam te activeren en te spelen.  Valve biedt verdelers van games daarbij een territoriumcontrolefunctie aan, die het mogelijk maakt om bij de activering van games bepaalde geografische beperkingen in te stellen. Precies die beperkingen hebben als gevolg de actieve geoblocking van games op basis van de geografische locatie van de gebruiker.  De reden hiervoor was vooral om het territorium van elk der betrokken verdelers onder elkaar te verdelen.  Als gevolg hiervan konden gebruikers buiten een aangewezen lidstaat bepaalde games niet activeren met Steam-activeringssleutels.

De Commissie oordeelde dat Valve hiermee de facto de markt opsplitst op een wijze die in strijd is met het Europees mededingingsrecht en meer bepaald dat Valve en de betrokken verdelers zich schuldig maakten aan de volgende geoblockingpraktijken:

  • Bilaterale overeenkomsten en / of onderling afgestemde praktijken tussen Valve en elk van de betrokken verdelers geïmplementeerd door middel van geografisch geblokkeerde Steam-activeringssleutels die de activering van bepaalde videogames van deze uitgevers buiten Tsjechië, Polen, Hongarije, Roemenië, Slowakije, Estland, Letland en Litouwen, als reactie op ongevraagde verzoeken van consumenten (de zogenaamde “passieve verkoop”). Deze duurden tussen één en vijf jaar en werden, afhankelijk van de gevallen, geïmplementeerd tussen september 2010 en oktober 2015.
  • Geoblockingpraktijken in de vorm van licentie- en distributieovereenkomsten die bilateraal werden gesloten tussen vier van de vijf betrokken verdelers (Bandai, Focus Home, Koch Media en ZeniMax) en enkele van hun respectieve distributeurs in de EU, die clausules bevatten die de grensoverschrijdende (passieve) verkoop van de betrokken games binnen de EU beperkten. Deze duurden doorgaans langer, dwz tussen drie en elf jaar, en werden tussen maart 2007 en november 2018 geïmplementeerd, afhankelijk van elke bilaterale relatie.

 

Waarop letten om je zelf niet schuldig te maken aan geoblocking?

Niet alleen Internationale verdelers van online games moeten opletten met geoblocking.  De regels zijn van toepassing op elke website en webshop in Europa.

Check daarom op tijd je website minstens op onderstaande punten:

  • Is je website vrij toegankelijk vanuit de ganse EU?
  • Als je een redirect hanteert, heeft de bezoeker dan de keuze om tóch op de gekozen landversie te blijven (en daar ook te bestellen aan de aldaar aangeboden prijs)?
  • Bevatten je verkoopsvoorwaarden geen ongelijke voorwaarden in functie van de woon- of verblijfplaats (prijs, garantie, geschillenregeling, bedenktermijn, …)
  • Ben je zeker dat je payment solutions niet discrimineren in functie van de plaats van uitgifte van betaalkaarten en/of de woon- of verblijfplaats van de koper?
  • Ben je zeker dat je bestelformulieren locatieneutraal zijn opgesteld en met name in de adresvelden de lokale samenstelling van adresgegevens mogelijk laten?

 

Vragen over geoblocking of e-commerce?

Ons team maakt graag tijd.  Boek gerust rechtstreeks een kennismaking in de agenda van Bart of neem contact via mail op bart@siriuslegal.be of per telefoon op  +32 492 249 516

Populair artikel
29.01.2021 Roeland Lembrechts

Sirius Legal en BA NV zijn trotse partner van Vlaio om jouw onderneming cyberveilig te maken

Met veel trots kunnen we jullie melden dat Sirius Legal, samen met haar technische partner BA NV, erkend dienstverlener is van Vlaio om de Vlaamse KMO bij te staan in cyber security verbeteringstrajecten. Deze trajecten helpen KMO’s op een laagdrempelige manier hun cyber security maturiteit te verbeteren.

Voor deze verbetertrajecten heeft VLAIO dit jaar een budget voorzien van maar liefst  € 4.000.000. Elk traject wordt voor 45% gesubsidieerd, dus wil je je onderneming op de kaart zetten als digitale solide partner, dan is dit het uitgelezen moment om contact op te nemen.

 

Een geïntegreerde aanpak, de technisch-juridische perfecte blend

Sirius Legal en BA NV zijn er van overtuigd dat cyberrisico’s enkel aangepakt kunnen worden door een benadering vanuit verschillende invalshoeken. Een blend van een technische aanpak met een organisatorische/juridische aanpak maakt je onderneming volwaardig cyberveilig. Met deze visie staan wij niet alleen:  de Europese Commissie en  Het Europees Agentschap voor Netwerk- en informatiebeveiliging wijzen sinds 2017/2018 reeds op het belang van de organisatorische en menselijke aspecten bij een cyber security strategie:

  • mensen zijn de zwakste schakel, 
  • 95% van de cyberincidenten vinden hun oorzaak door een menselijke tussenkomst, 
  • technische strategie moet in harmonie staan met de menselijke aspecten 
  • resultaat kan je enkel bereiken met een doelgerichte awareness, ingebed in een geherstructureerde praktijk en beleid.
  • cybersecurity binnen een onderneming is een sociale constructie waarbij een gezamenlijke houding gecreëerd wordt.

Naast een stevige technische beveiligingsstructuur is dus een geïmplementeerd veiligheidsbeleid noodzakelijk. Dat beleid moet ondersteund worden door gedragsverandering en actieve deelname. Alle betrokkenen bij je onderneming moeten de inhoud en de reden van de opgelegde beleidsregels begrijpen zodat deze ook gerespecteerd zullen worden. Een duidelijke rolverdeling, transparante procedures en afbakening van verantwoordelijkheden dragen bij tot een verhoogde cyber resilience.

 

Waarom cyber security en wat is er dan juridisch aan die strategie?

Het is haast ondenkbaar dat je onderneming niet digitaal verbonden is met de wereld en dat maakt je onderneming spijtig genoeg ook kwetsbaar. Dat we onze bedrijfspanden beveiligen met een alarm, voorzien van een afsluiting en een toegangscontrole, een brandverzekering afsluiten voor alle mogelijke natuurrampen, etc. vinden we evident. De schade van die fysieke risico’s is zichtbaar en we stellen ons amper vragen bij deze veiligheidsmaatregelen.

Vreemd genoeg maken we die reflex niet of onvoldoende als het gaat om de digitale bescherming van onze onderneming. De reden daarvoor is eenvoudig: het risico is niet voldoende zichtbaar. Maar dat betekent niet dat het risico niet bestaat. Buiten de ettelijke commerciële statistieken die je op het internet kan terugvinden, maken ook officiële instanties zich grondig zorgen over de cyberveiligheid van de KMO’s. Grotere bedrijven die het budget en de middelen hebben om zich cyberveilig te maken, zorgen bij cybercriminelen evengoed voor een aangepaste strategie: zij gaan op zoek naar de zwakkere plekken in de gehele supply chain en komen zo bij de onbeveiligde KMO.

Die bezorgdheid is niet zonder reden:

  • Cybercriminaliteit is veel lucratiever dan klassieke criminaliteit;
  • De impact op een onderneming kan veel groter zijn aangezien een cyberaanval onmiddellijk effect kan hebben op alle klanten en leveranciers van een onderneming;
  • De continuïteit en dus productiviteit van een onderneming kan verminderd of voor (middel)lange tijd verhinderd worden;
  • Essentiële informatie van de onderneming kan verloren gaan;
  • ….

Geen enkele onderneming zal te koop lopen met het gegeven dat zij slachtoffer werd van een cyberaanval omdat haar digitale huishouding niet in orde was. Je wil op zijn minst de reputatieschade nog tot een minimum beperken en het vertrouwen van je stakeholders hoog houden. Maar dat is uiteraard geen solide cyber security strategie.

Een correcte strategie gaat steeds uit van een preventieve risicobenadering. En aan cybercriminaliteit zijn vanzelfsprekend een heleboel juridische risico’s verbonden die mits o.a. correct legal risk management tot een minimum herleid kunnen worden. Heb je je bijvoorbeeld al eens volgende vragen gesteld:

  • Ben ik met mijn onderneming zelf in orde met al mijn veiligheidsverplichtingen?
  • Hebben mijn leveranciers voldoende maatregelen genomen om hun continuïteit te waarborgen en mijn data + geleverde goederen/diensten te verzekeren?
  • Zijn er duidelijke afspraken gemaakt over de verdeling van de rollen en verantwoordelijkheden met die leveranciers? Heb ik waarborgen afgesproken om dat te kunnen controleren?
  • Wanneer er zich een incident voordoet:  weet ik dan wie ik snel kan aanspreken om mij bij te staan? Kan ik de oorzaak van dat incident snel identificeren en heb ik afspraken gemaakt om snel te kunnen reageren en na te kijken wie welk herstel en/of schade zal opvangen?
  • Ben ik voldoende verzekerd voor cyberincidenten en zo nee, welke verzekering kan mij het beste dekken, zonder dat deze overlapt met mijn lopende verzekeringen?
  • Weet ik welke autoriteiten ik moet verwittigen en op basis van welke criteria?
  • Moet ik een incident melden aan mijn klanten en zo ja op welke manier kan ik dit best doen?
  • Heb ik duidelijke afspraken met mijn werknemers, freelancers en medebestuurders over het gebruik van mailcorrespondentie, toegangen tot de verschillende systemen, gebruik van eigen computers, smartphones, applicaties, etc.? Is in heel dit beleid met het personeel nagedacht over het cyber security draagvlak binnen de onderneming?
  • Bevatten mijn diensten en/of goederen software, zijn deze gelinkt met het internet? Zo ja, zijn mijn diensten en/of goederen die ik verkoop veilig genoeg en heb ik de juiste standaarden voorzien? 

Sirius Legal neemt voor deze en vele andere vragen het juridisch gedeelte van het verbeteringstraject voor haar rekening via een eigen legal risk assessment. Sirius Legal brengt jouw onderneming juridisch volledig in kaart en zal aan de hand van prioriteiten jouw onderneming  (en in samenspraak met haar technische partner), optillen naar een solide cyberveilig niveau. Niet via een theoretische “met het vingertje wijzend aan de zijkant” – benadering, maar met een pragmatische aanpak die rekening houdt met de specifieke noden van je onderneming.

 

VLAIO opent de poort naar haalbare mogelijkheden

KMO’s hebben meestal geen tijd en middelen om écht in te zetten op cyber security. De prioritaire bezorgdheid om de productiviteit blijft doorwegen en dat is op zich niet onlogisch. Het is juist om die reden dat VLAIO met dit prachtig initiatief komt en maar liefst 45% van de kost zal subsidiëren. De opgemaakte offertes werden stevig onderhandeld met VLAIO, waarbij de prijzen gereduceerd werden naar een haalbaar niveau voor elke KMO. Zoals steeds tracht Sirius Legal in al haar offertes de juridische aspecten rond de digitalisering van de onderneming zo laagdrempelig mogelijk te houden. In de cyber security verbeteringstrajecten zal dit niet anders zijn.

Investeren in cyber security kost inderdaad geld, maar leidt ook tot economische voordelen: je beperkt informatiebeveiligingsrisico’s, je vergroot het vertrouwen van de consument, je geeft proactief blijk van compliance als moderne onderneming en je geniet hierdoor concurrentievoordeel omdat je klanten zekerheid en continuïteit kan bieden.

Laat deze unieke kans niet aan je voorbijgaan en geniet van de voordelen die Vlaio, BA en Sirius Legal je nu kunnen bieden. Meer informatie nodig? Neem dan vrijblijvend contact op met Roeland via roeland@siriuslegal.be of boek meteen een afspraak via deze link.

22.01.2021 Bart Van den Brande

E-commerce na de Brexit, kan jij nog volgen?

De definitieve Brexit is nog maar net een feit, maar de online sector begint zelfs na amper twee weken al de impact te voelen, in die mate zelfs dat heel wat Europese online retailers beslist hebben om voorlopig geen pakjes meer te bezorgen naar het VK vanwege de hoge kosten en ingewikkelde belastingregels.  Reden hiervoor zijn de nieuwe fiscale en administratieve verplichtingen voor wie exporteert naar het VK.  We zetten even op een rijtje waar Belgische en Nederlandse webshops rekening mee moeten houden als ze willen verkopen aan Britse klanten vanaf 1 januari 2021.

 

Impact van Brexit op e-commerce 

Het Verenigd Koninkrijk is Europa’s grootste markt voor e-commerce. 93% van de Britten winkelt online en ze geven gemiddeld €900 per persoon, per jaar uit.

Britse consumenten bestellen ook vaak en veel in het buitenland. 52% van de Britse buitenlandse e-commerce bestellingen gebeuren in de VS en China. Europa loopt niet ver achter. Duitsland hapt op zijn eentje overigens 9% van de Britse aankopen in de EU weg.  Groot-Brittannië is de tweede meest populaire e-commerce ‘bestemming’ voor Europa, maar onderzoek voorafgaand aan de Brexit toonde aan dat tot 70% van de Britse shoppers zou kunnen stoppen met crossborder bestellen in de EU na de Brexit.

Dit is het gevolg van veel strengere en complexere invoerregelingen en BTW-regels, met alle daaraan verbonden kosten voor verkopers en consumenten.

 

Brits BTW nummer verplicht bij B2C verkopen

Nu het Verenigd Koninkrijk geen deel meer uitmaakt van de Europese interne markt, gelden er nieuwe BTW-regels, administratieve procedures en douaneformaliteiten. 

Europese webshops die in het VK willen verkopen moeten in de eerste plaats zorgen voor een BTW-registratie in het VK, net zoals Chinese of Amerikaanse invoerders dat ook al sinds jaar en dag moeten doen en dat wordt verstrekt door Her Majesty’s Revenue & Customs (HMRC), de Britse belastingdienst. Zij zullen onderworpen zijn aan het Britse BTW-regime en in het VK hun aangiftes en betalingen moeten verzorgen.  Wie verkoopt naar het VK is in België geen BTW verschuldigd, maar zal dus in het VK wel aangifte moeten doen en BTW moeten betalen. 

Verzend je pakjes met een intrinsieke waarde van méér dan 135 Britse Ponden?  Dan is je klant invoer-BTW verschuldigd.  De postbode zal dan bij levering vragen om betaling van de verschuldigde BTW, wat Britse klanten voor onaangename verrassingen dreigt te stellen.  Als je dat wil voorkomen, dan kan je zelf beroep doen op een douane-expediteur om de invoeraangifte voor jouw rekening te nemen (maar dan moet je natuurlijk rekening houden met de BTW in je prijsvermelding online).  Als je al een Brits BTW-nummer hebt, kan je de invoer-BTW in je Britse BTW-aangifte weer in aftrek brengen. In sommige gevallen kan je ook gebruik maken van de regeling om de verschuldigde invoer-BTW niet te betalen aan de douane, maar aan te geven in de Britse BTW-aangifte, wat qua administratie en cashflow de dingen vereenvoudigt.

Wie diensten levert aan particulieren in het VK (B2C), rekent in principe meestal zijn eigen BTW aan.  Dat verandert niet.  Voor sommige diensten echter, zoals raadgevende of financiële diensten, opgesomd in artikel 21bis, §2, 10° WBTW, geldt echter de plaats van de afnemer, als die gevestigd is buiten de Gemeenschap. Wie in de toekomst dergelijke diensten verricht voor een Britse particulier, moet dus geen Belgische BTW meer aanrekenen.

 

En wat bij B2B?

Wie B2B goederen verkoopt, kan dat nog steeds zonder BTW doen, maar niet meer omdat het om een intracommunautaire handeling gaat (artikel 39bis WBTW), wel omdat het om een vrijgestelde uitvoer gaat.  Om dezelfde reden hoeft het BTW-nummer van de Britse ontvanger niet meer vermeld te worden op jouw factuur om vrijstelling te krijgen.  Nog steeds om dezelfde reden moet je je verkoop niet langer opnemen onder vak 46 van je BTW-aangifte, maar wel onder vak 47.  Voor B2B-diensten verandert er weinig, behalve de wijziging in je BTW-aangifte van van 46 naar vak 47.

 

Hogere verzendkosten en douanerechten

Niet enkel de BTW-veranderingen zijn vervelend voor Europese webshops, ook de extra formaliteiten die de import-exportverrichtingen en de grenscontroles met zich meebrengen zorgen voor frustratie en vooral ook voor hogere verzendkosten van en naar het VK. Koerierbedrijven als DHL, UPS en Federal Express hebben al aangekondigd extra kosten te gaan aanrekenen voor zendingen tussen het Verenigd Koninkrijk en de EU, omwille van de investeringen die ze hebben moeten doen om hun systemen aan te passen aan de Brexit. Het zou in sommige gevallen gaan om 4 à 5 euro extra per bestelling.

Bovendien zijn in de toekomst mogelijks invoerrechten verschuldigd bij verkoop van of naar het VK.  Groot-Brittannië geniet immers niet meer van de open grenzen, die het vrije verkeer van goederen en personen mogelijk maken, met als gevolg veel strengere douanevoorschriften voor pakketten die het VK en de EU binnenkomen en verlaten.  Dit valt mee voor goederen die in de EU gemaakt zijn en naar het VK verkocht worden, maar als het gaat om goederen die buiten de EU gemaakt zijn en naar het VK verkocht worden, zijn wel degelijk invoerrechten verschuldigd als de waarde van de bestelling hoger ligt dan 150 euro.  Ook in dat geval echter moet de verkoper zorgen voor een correcte douaneadministratie op basis van de juiste douaneformulieren.  Je zal met name een EURI-nummer moeten aanvragen, oorsprongsformulieren en factuur moeten toevoegen aan de verzending voor de douanecontrole, etc… 

 

Bedenktermijn en praktische gevolgen

Onder EU-recht heeft de consument recht op 14 dagen bedenktermijn, ook bij aankopen in andere lidstaten.  De Britse wetgeving voorziet echter in een minimum van 30 dagen.  Het is nog onduidelijk of deze retourtermijn na de Brexit ook zal gelden voor webshops die vanuit de EU verzenden naar het VK, maar het heeft er alle waarschijnlijkheid van dat dit inderdaad zo zal zijn.  Europese webshops moeten dus naast alle financiële gevolgen ook rekening houden met een verstoord retourbeleid bij verkopen naar het VK.

 

Evalueer je website

Belangrijk voor Europese webshops is om hier duidelijk rekening mee te houden op hun website.  Belangrijk is om zowel de BTW-verschillen als de administratieve kosten en de extra leverkosten transparant en correct te verwerken in je pricing of op zijn minst transparant en tijdig eventuele bijkomende kosten te vermelden op je website.

Europees consumentenrecht bij online verkoop (zoals dat is opgenomen in België in Boek VI van het Wetboek Economisch Recht) vereist immers dat je de prijs steeds inclusief BTW en alle kosten vermeld aan de consument.  Enkel (leverings-)kosten die vooraf niet ingeschat kunnen worden omdat ze afhankelijk zijn van bijvoorbeeld de omvang van de bestelling mogen op een later ogenblik, in de check-out, toegevoegd worden.

Ook na de Brexit blijft het Europese consumentenrecht van toepassing op Europese webshops en dezelfde transparantieverplichtingen blijven dus bestaan in principe ook naar Britse klanten toe.

 

Niet meer leveren?

De extra kosten en administratieve verplichtingen zouden heel wat webshops ertoe kunnen aanzetten om eenvoudigweg niet meer te verkopen naar het VK.  Op die manier voorkomt een webshop potentiële onaangename (financiële) verrassingen.

Sinds enkele jaren is er binnen de EU weliswaar de zogenaamde geoblockingverordening van kracht.  Op basis van die verordening is het verboden voor Europese webshops om klanten te discrimineren op basis van hun woon- of verblijfplaats.  Die discriminatie kan onder andere volgen uit prijsdifferentiatie, maar ook uit verkoopweigering.  Weigeren om aan Britten te verkopen dreigt op het eerste zicht op die manier en inbreuk te vormen op deze geoblockingregels, maar de vaststelling is dat deze Geoblockingverordening niet meer van toepassing is op Britse klanten na de brexit, waardoor je als Europese webshop perfect kan beslissen om niet meer te verkopen aan het VK.

Vragen over e-commerce?

Ons team maakt graag tijd.  Boek gerust rechtstreeks een kennismaking in de agenda van Bart of neem contact via mail op bart@siriuslegal.be of per telefoon op  +32 492 249 516

1 2 6 7
Contracten_vennootschappen

Vragen over dit topic? Bel ons gerust eens.