Blog Boetes

02.02.2021 Bart Van den Brande

Eerste grote boete voor geoblocking gaat naar gaming platform Steam

De Europese Commissie heeft Valve, eigenaar van het online pc-gamingplatform “Steam”, en vijf verdelers van videogames een boete van € 7,8 miljoen opgelegd wegens het overtreden van de Europese geoblockingregels.  Valve en de betrokken verdelers beperkten de crossborder verkoop van bepaalde videogames op basis van de geografische locatie van consumenten en precies dat is verboden onder de geoblockingverordening.

 

Wat is geoblocking?

In het kader van haar Digital Single Market pakket geldt in de EU sinds 2019 de zogenaamde Geoblockingverordening.  Met die Geoblockingverordening wil de EU korte metten maken met elke discriminatie op basis van woon- of verblijfplaats online.  De praktijk wees immers uit dat heel vaak inwoners van een bepaald land niet konden meegenieten van bepaalde aanbiedingen online omdat zij op basis van hun locatie of IP-adres de toegang tot een bepaalde website ontzegd werden of omdat zij automatisch omgeleid werden naar een andere landversie. 

Het klassieke voorbeeld dat daarbij aangehaald wordt is de passagier die een vliegtuigticket wil boeken op een vlucht van bijvoorbeeld Berlijn naar Brussel.  Wie vanuit Duitsland naar de website van de betreffende airline surft, vindt daar een aanbod aan, opnieuw bijvoorbeeld, 59 euro.  Wie als passagier echter vanuit België datzelfde ticket probeert te boeken, wordt automatisch omgeleid naar een Belgische website, waar hetzelfde ticket aanzienlijk duurder is, of kan gewoon geen toegang krijgen tot de Duitse website.  Precies dat wil de EU voorkomen met de Geoblockingverordening. 

De verordening bevat een reeks regels die zowel het technisch beperken van toegang voor buitenlandse kopers tot een website als het praktisch bemoeilijken of onmogelijk maken van aankopen op een website door buitenlanders aan banden legt.

 

Wat is niet meer toegestaan sinds begin 2019?

  • De toegang tot websites technisch onmogelijk maken vanuit een ander land (pure geoblocking)
  • De toegang tot websites of tot de producten aangeboden op deze website “op enigerlei andere wijze” bemoeilijken of onmogelijk maken (dit is bijvoorbeeld het geval wanneer een koper zijn adresgegevens niet kan invullen in het bestelformulier omdat het formaat van de invulvelden dit niet toelaat, met name bij de postcode blijkt dit geregeld problematisch te zijn omdat deze een gepreformateerd formaat vereist)
  • Het omleiden van websitebezoekers naar een lokale versie van de website zonder voorafgaande toestemming van de betrokkene
  • Het hanteren van prijsverschillen op basis van afkomst van de koper (tenzij hiervoor een objectieve rechtvaardiging bestaat)
  • Het hanteren van andere verkoopsvoorwaarden in functie van de woon- of verblijfplaats van de koper (tenzij hiervoor een objectieve rechtvaardiging bestaat)
  • Verkoopsweigering op basis van woon- of verblijfplaats (wat wel kan is de levering beperken tot bepaalde gebieden, maar de koper die bereid is de beperkte leveringsmogelijkheden te aanvaarden, moet steeds kunnen aankopen)
  • Het discrimineren van kopers op basis van de aangeboden betaalmiddelen (dit is in casu het systematisch weigeren van bvb kredietkaarten die uitgegeven zijn in een ander land)

 

Wat deed Valve verkeerd?

Commissaris Margrethe Vestager, verantwoordelijk voor het mededingingsbeleid, verwoorde een en ander als volgt: Meer dan 50% van alle Europeanen speelt videogames. De videogame-industrie in Europa bloeit en is nu meer dan € 17 miljard waard. De sancties van vandaag tegen de “geoblocking” -praktijken van Valve en vijf uitgevers van pc-videogames herinneren eraan dat volgens de EU-concurrentiewetgeving het bedrijven verboden is om grensoverschrijdende verkoop contractueel te beperken. Dergelijke praktijken ontnemen Europese consumenten de voordelen van de digitale eengemaakte markt van de EU en de mogelijkheid om op zoek te gaan naar het meest geschikte aanbod in de EU ”.

Steam is een van ’s werelds grootste platforms voor online games, waar gebruikers games kunnen streamen of downloaden. Ook games die buiten Steam aangekocht zijn (bvb in  fysieke winkels of via downloads van derde websites) van derden, ook in staat om videogames op Steam te activeren en te spelen.  Valve biedt verdelers van games daarbij een territoriumcontrolefunctie aan, die het mogelijk maakt om bij de activering van games bepaalde geografische beperkingen in te stellen. Precies die beperkingen hebben als gevolg de actieve geoblocking van games op basis van de geografische locatie van de gebruiker.  De reden hiervoor was vooral om het territorium van elk der betrokken verdelers onder elkaar te verdelen.  Als gevolg hiervan konden gebruikers buiten een aangewezen lidstaat bepaalde games niet activeren met Steam-activeringssleutels.

De Commissie oordeelde dat Valve hiermee de facto de markt opsplitst op een wijze die in strijd is met het Europees mededingingsrecht en meer bepaald dat Valve en de betrokken verdelers zich schuldig maakten aan de volgende geoblockingpraktijken:

  • Bilaterale overeenkomsten en / of onderling afgestemde praktijken tussen Valve en elk van de betrokken verdelers geïmplementeerd door middel van geografisch geblokkeerde Steam-activeringssleutels die de activering van bepaalde videogames van deze uitgevers buiten Tsjechië, Polen, Hongarije, Roemenië, Slowakije, Estland, Letland en Litouwen, als reactie op ongevraagde verzoeken van consumenten (de zogenaamde “passieve verkoop”). Deze duurden tussen één en vijf jaar en werden, afhankelijk van de gevallen, geïmplementeerd tussen september 2010 en oktober 2015.
  • Geoblockingpraktijken in de vorm van licentie- en distributieovereenkomsten die bilateraal werden gesloten tussen vier van de vijf betrokken verdelers (Bandai, Focus Home, Koch Media en ZeniMax) en enkele van hun respectieve distributeurs in de EU, die clausules bevatten die de grensoverschrijdende (passieve) verkoop van de betrokken games binnen de EU beperkten. Deze duurden doorgaans langer, dwz tussen drie en elf jaar, en werden tussen maart 2007 en november 2018 geïmplementeerd, afhankelijk van elke bilaterale relatie.

 

Waarop letten om je zelf niet schuldig te maken aan geoblocking?

Niet alleen Internationale verdelers van online games moeten opletten met geoblocking.  De regels zijn van toepassing op elke website en webshop in Europa.

Check daarom op tijd je website minstens op onderstaande punten:

  • Is je website vrij toegankelijk vanuit de ganse EU?
  • Als je een redirect hanteert, heeft de bezoeker dan de keuze om tóch op de gekozen landversie te blijven (en daar ook te bestellen aan de aldaar aangeboden prijs)?
  • Bevatten je verkoopsvoorwaarden geen ongelijke voorwaarden in functie van de woon- of verblijfplaats (prijs, garantie, geschillenregeling, bedenktermijn, …)
  • Ben je zeker dat je payment solutions niet discrimineren in functie van de plaats van uitgifte van betaalkaarten en/of de woon- of verblijfplaats van de koper?
  • Ben je zeker dat je bestelformulieren locatieneutraal zijn opgesteld en met name in de adresvelden de lokale samenstelling van adresgegevens mogelijk laten?

 

Vragen over geoblocking of e-commerce?

Ons team maakt graag tijd.  Boek gerust rechtstreeks een kennismaking in de agenda van Bart of neem contact via mail op bart@siriuslegal.be of per telefoon op  +32 492 249 516

27.05.2020 Bart Van den Brande

Boete van € 725.000 voor verwerken vingerafdruk personeel zonder toestemming

Onder GDPR worden een hele reeks persoonsgegevens “bijzonder beschermd”.  Je mag ze in principe nooit verwerken zonder voorafgaande expliciete toestemming van de betrokkene.  Het gaat bijvoorbeeld om medische gegevens, gegevens over seksuele geaardheid, politieke voorkeur, maar ook om zogenaamde biometrische gegevens.  

Dat laatste omvat bijvoorbeeld irisscans, vingerafdrukscans en facial recognition.  Heel wat bedrijven experimenteren tegenwoordig met security tools die de toegang tot gebouwen regelen op basis van fingerprint scanners of gezichtsherkenning.  Dat is immers makkelijk en veilig. Alleen toont een recente monsterboete van maar liefst 725.000 euro van de Nederlandse Autoriteit Persoonsgegevens nu aan dat wij bedrijven al twee jaar lang ernstig waarschuwen voordat zij zulke tools implementeren… 

 

Monsterboete voor vingerafdrukscans van je personeel, hoezo dan?

Biometrische gegevens, zoals vingerafdrukken, zijn gevoelige persoonsgegevens, of “bijzonder beschermde gegevens”  onder de Algemene Verordening Gegevensbescherming (AVG of GDPR).  Je kan ze slechts verwerken onder strenge voorwaarden. Zo moet je bijvoorbeeld een hoger niveau van veiligheid kunnen garanderen dan voor standaard persoonsgegevens.  Je kan ze in principe (behoudens enkele uitzonderingen) ook enkel verwerken als je daarvoor de voorafgaande toestemming hebt gekregen van de betrokkene.

Specifiek in Nederland voorziet de Uitvoeringswet AVG overigens naast toestemming ook de mogelijkheid om biometrische gegevens te verwerken als dat noodzakelijk is voor authenticatie- of beveiligingsdoeleinden (een uitzondering die in België niet bestaat, overigens). 

Volgens de Autoriteit Persoonsgegevens kon het bedrijf niet op een van deze twee rechtsgronden terugvallen.

 

Geen toestemming en geen noodzaak  

Enerzijds wordt toestemming van werknemers over het algemeen ongeldig beschouwd omdat zij omwille van de ondergeschikte band ten aanzien van hun werkgever niet vrij zijn om te weigeren.  Dat betekent dat de toestemming niet “vrij” gegeven wordt en dus ongeldig is.  Na onderzoek stelde de Autoriteit Persoonsgegevens in casu vast dat veel personeelsleden zich verplicht voelden om in te stemmen met het gebruik van hun vingerafdrukken.  Geen geldige toestemming dus.

Daarnaast kan de noodzaak van de verwerking voor authenticatie- of beveiligingsdoeleinden alleen worden ingeroepen wanneer gebouwen en informatiesystemen zodanig moeten worden beveiligd dat dit niet mogelijk is zonder het gebruik van biometrische gegevens (dwz biometrie kan alleen worden gebruikt als er niet minder invasieve maatregelen beschikbaar). In dit geval was de Autoriteit Persoonsgegevens van mening dat, hoewel de activiteiten van het bedrijf vertrouwelijk moeten blijven, het gebruik van biometrie voor veiligheidsdoeleinden niet gerechtvaardigd was.

Het besluit was dus dat het gebruik van vingerafdrukverwerking door het bedrijf onnodig en onevenredig was. 

Het bedrijf heeft overigens aangekondigd in beroep te gaan tegen het besluit van de Autoriteit Persoonsgegevens.

 

Omgaan met gevoelige gegevens binnen je bedrijf

Als bedrijf moet je met bijzondere aandacht en omzichtigheid omgaan met de verwerking van gevoelige gegevens van je werknemers. Je mag die eigenlijk enkel verwerken in één van de volgende gevallen:

  • als je de schriftelijke toestemming van het personeelslid hebt gekregen
  • als dat noodzakelijk is om de betrokken persoon de nodige (medische) zorgen te verstrekken
  • als dat verplicht is door de arbeidswetgeving of de sociale zekerheidswetgeving
  • als “de betrokkene de gegevens zelf openbaar heeft gemaakt” (wanneer iemand zich publiek heeft geout als holebi, bijvoorbeeld)
  • als dat noodzakelijk is voor een gerechtelijke procedure
  • als dat noodzakelijk is voor wetenschappelijk onderzoek.

De facto zal dus in 90% van de gevallen toestemming vereist zijn.  Wie, zoals in het voorbeeld hierboven vingerafdrukken wil gebruiken voor toegangscontrole kan dat de facto enkel doen als er een échte vrije toestemming mogelijk is.  Dat betekent in se dat “klassieke” toegangscontrole ook mogelijk moet zijn (prikkaart, badge, intekenen, etc…) voor zij dit dat verkiezen en dat je als werkgever overtuigend moet kunnen aantonen dat niemand op welke manier dan ook gesanctioneerd wordt of kan worden voor zijn of haar weigering om de vingerafdruk te gebruiken.  

Jezelf goed documenteren en jezelf kunnen verantwoorden bij controle is dus cruciaal.  Een goed uitgewerkt dataregister, een duidelijke employee privacy policy, bewijs van open communicaties naar het personeel, het aanduiden van een DPO of alleszins ombudspersoon die klachten onafhankelijk kan afhandelen, … zijn de meest voor de hand liggende stappen om “GDPR compliant” met gevoelige gegevens om te gaan als werkgever. 

 

Vragen rond GDPR binnen je bedrijf?

Neem gerust vrijblijvend contact op met Bart Van den Brande op 0486 901 931 of op bart@siriuslegal.be

12.05.2020 Roeland Lembrechts

DPO met belangenconflict? Dat is dan € 50.000 ...

De GDPR is intussen bijna twee jaar in werking.  Een jammere vaststelling blijft dat héél wat bedrijven nog niet of niet voldoende compliant zijn.
Bij bedrijven die wél al het nodige gedaan hebben, is één van de maatregelen vaak geweest het aanstellen van een DPO, of Data Protection Officer of ook nog in mooi Nederlands de Functionaris voor Gegevensbescherming. Het is precies rond die rol van DPO dat er nog heel wat onduidelijkheid bestaat bij bedrijven.  Een nog zeer recente beslissing van de Gegevensbeschermingsautoriteit brengt alvast wat verduidelijking nu. Let vooral op dat je interne DPO geen belangenconflict heeft! 

 

Interne of externe DPO?

De GDPR voorziet de mogelijkheid om een DPO zowel intern binnen je bedrijf als via een externe consultant aan te stellen. Vele ondernemingen kiezen voor de interne versie en duiden een van hun personeelsleden aan om een DPO-opleiding te gaan volgen, bijvoorbeeld bij Data Protection Institute, waar de advocaten van Sirius Legal geregeld ook als lesgever fungeren. Die DPO-klassen zijn vaak een kleurrijk allegaartje van personen uit verschillende sectoren met verschillende professionele achtergronden en iedereen heeft zijn reden om zo’n opleiding te volgen: instructies van de werkgever, bijkomende verantwoordelijkheid als security en/of risk manager, gezonde nieuwsgierigheid of als zelfstandige nakijken wat je zelf in orde moet brengen, dan wel welke nieuwe opportuniteiten in het verschiet liggen.

Het voordeel van een eigen DPO binnen je bedrijf, is natuurlijk in de eerste plaats de doorgedreven kennis van de organisatie zelf.   De keuze om iemand intern aan te duiden is dan ook vaak snel gemaakt.  Er lijken op het eerste zicht immers niet veel bijkomende vereisten te zijn. Er bestaan -voorlopig althans- geen officiële diploma’s en de facto kan iedereen deze functie op zich nemen zolang deze persoon aan een aantal minimale vereisten voldoet (kennis van nationale en Europese wetten en praktijken op het gebied van gegevensbescherming, kennis van het bedrijf of van bedrijfsprocessen en voldoende onafhankelijkheid ten aanzien van het bedrijf en ten aanzien van de gegevensverwerking binnen het bedrijf zijn de belangrijkste).

Maar is het altijd een goede beslissing om een van je personeelsleden aan te duiden als DPO of zijn er toch redenen om een externe professional in te huren?   

 

Iedereen DPO…?

In een beslissing van 28 april 2020 heeft de Geschillenkamer van de Gegevensbeschermingsautoriteit de onafhankelijkheid en de essentiële rol van de DPO nog eens op scherp gesteld. De beslissing helpt ons om beter in te schatten wat de rol, de taken en de verantwoordelijkheden van een DPO precies zijn.

In de betrokken organisatie bekleedt de aangestelde interne DPO ook een verantwoordelijke positie in het Compliance departement, het Risk departement en het Interne Audit departement. Aangezien hij hoofd was van Interne Audit had hij in die hoedanigheid ook beslissingsrecht. Volgens de Geschillenkamer was hier sprake van een belangenconflict, waarbij zij benadrukt dat er een verschil is tussen louter processen analyseren en via interne audit het functioneren van werknemers beoordelen,  hetwelk op gespannen voet staat met de vertrouwensfunctie die de functionaris voor gegevensbescherming heeft binnen de onderneming

De DPO bepaalt met andere woorden vanuit zijn andere functies (mee) “de doelstellingen van en de middelen voor de verwerking van persoonsgegevens”. Op die manier kan hij als DPO onmogelijk onafhankelijk toezicht uitoefenen op de omgang met persoonsgegevens en zijn bovendien de geheimhouding en de vertrouwelijkheid ten aanzien van de personeelsleden onvoldoende gegarandeerd.

De onafhankelijkheid van de DPO en het absoluut vermijden van belangenconflicten wordt met deze beslissing nog eens herhaald met de verwijzing naar de richtsnoeren van de WP29  (het vroegere Europese adviesorgaan rond gegevensbescherming) waar letterlijk staat dat de DPO geen functie mag bekleden die de doelstellingen van en de middelen voor de verwerking van persoonsgegevens kan bepalen. Als  vuistregel  worden  binnen  de  organisatie  als  functies  met  een  belangenconflict  beschouwd: functies  in  het  hogere  management  (bv.  Chief  Executive,  Chief  Operating,  Chief  Financial,  Chief  Medical  Officer,  hoofd  van  de  marketingafdeling,  hoofd van Human Resources of hoofd van de IT-afdeling), maar ook lagere functies binnen de organisatiestructuur als deze personen  de  doelstellingen  van  en  middelen  voor  de  verwerking  van  gegevens  moeten  bepalen.  

De WP29 stelt als goede praktijk dat elke organisatie afhankelijk van haar activiteiten, haar grootte en haar structuur om:

  • de functies die een belangenconflict opleveren, te identificeren;
  • daartoe interne regels op te stellen;
  • een meer algemene uitleg over belangenconflicten op te nemen;
  • te verklaren dat hun DPO geen belangenconflict heeft, als een manier om anderen voor deze vereiste van onafhankelijkheid te sensibiliseren;
  • in het intern reglement waarborgen op te nemen en ervoor te zorgen dat de vacature voor de positie van functionaris voor gegevensbescherming of de dienstverleningsovereenkomst voldoende gepreciseerd en gedetailleerd is om belangenconflicten te vermijden.

 

De prijs van een DPO belangenconflict: sanctie door de GBA

Aangezien de betrokken DPO wel degelijk een belangenconflict had, werd de organisatie naast de corrigerende maatregel om zich terug in regel te stellen met de GDPR, ook een administratieve geldboete opgelegd van 50.000 Euro

De Geschillenkamer hield bij de begroting van de geldboete rekening met de verwerking van persoonsgegevens als kernactiviteit op zeer grote schaal, waaronder persoonsgegevens die een grote mate van gevoeligheid kunnen hebben voor betrokkenen, onder meer omdat ze een regelmatige en stelselmatige observatie mogelijk maken. Ook werd rekening gehouden met de duur van de inbreuk die minstens liep sedert de inwerkingtreding tot 14 februari 2020 (datum hoorzitting).

 

Dan maar een externe aanstelling?

De aanstelling van een interne DPO kan zeer nuttig zijn vanuit organisatorisch en financieel vlak, maar is niet zonder risico. In een interne verhouding is het niet eenvoudig om te kunnen spreken van voldoende onafhankelijkheid, zij het de uitsluiting van een belangenconflict. Stel je een werknemer in dienstverband aan, dan blijft hoe dan ook de gezagsverhouding werkgever-werknemer spelen. Een loutere ‘papieren’ DPO is strijdig met de GDPR, gelet op de essentiële taken die de DPO moet kunnen uitoefenen. Een onafhankelijke DPO daarentegen die radicaal tegen de beleidslijnen van de werkgever durft ingaan, riskeert op termijn sancties zoals het mislopen van promoties of zelfs ontslag. Er geldt weliswaar een sociale bescherming voor dit ontslag, maar het is nooit uitgesloten dat daar in realiteit op creatieve wijze rondgefietst wordt. Gaat het anderzijds om de aanstelling van een interne DPO die niet meer onder de gezagsrelatie valt, dan komt men bij de gebruikelijke functies al snel in het vaarwater van het kunnen bepalen van de doelstellingen van en middelen voor de persoonsgegevens.

Om die reden is het een goede overweging om een externe DPO of op zijn minst een externe ondersteunende DPO-dienst aan te stellen. De onafhankelijkheid wordt beter gewaarborgd en het risico op belangenconflicten kan tot een minimum worden herleid. Bovendien heb je de mogelijkheid om profielen aan te spreken die aan alle criteria voor een DPO voldoen, namelijk:

  • Niveau van deskundigheid afhankelijk van de gevoeligheid en complexiteit van de gegevens 
  • Professionele kwaliteiten: grondige kennis van de wetgeving en praktijken met betrekking tot databescherming. Dit vraagt om een sterk juridisch profiel voor een correcte analyse
  • Vermogen om zijn taken te vervullen: tonen van integriteit en professionele ethiek

 

De DPO-advocaat als absolute garantie

Niet ontoevallig hebben ook advocaten de mogelijkheid om (enkel) op te treden als extern DPO. De beroepsvereisten van een DPO liggen volledig in lijn met de deontologische verplichtingen die een advocaat moet volgen. Art. 1 van de Codex deontologie zegt letterlijk: ‘De advocaat oefent zijn beroep op deskundige wijze uit met eerbiediging van het beroepsgeheim, van de essentiële plichten van onafhankelijkheid en partijdigheid, en met het vermijden van belangenconflicten. Hij eerbiedigt de beginselen van waardigheid, rechtschapenheid en kiesheid, die aan het beroep ten grondslag liggen.’

Laat dat nu net de DPO-beginselen van deskundigheid, integriteit, vertrouwelijkheid, onafhankelijkheid en het vermijden van belangenconflicten zijn die bovendien tuchtrechtelijk gegarandeerd worden. De Codex voorziet expliciet dat de tuchtregels van toepassing blijven wanneer de advocaat als DPO optreedt. De DPO-advocaat is dus onderworpen aan een eigen toezichtsorgaan.

Bovendien zijn advocaten verplicht verzekerd voor hun aansprakelijkheid, ook wanneer zij als DPO optreden. 

 

Sirius Legal als DPO?

Ook bij Sirius Legal treden we al sinds de inwerkingtreding van de AVG op als extern DPO voor onze cliënten.

Sirius Legal verzamelt advocaten die reeds jarenlang op deskundige wijze omgaan met databescherming, waarbij zij zowel optreden als extern DPO als ondersteuning bieden aan interne DPO’s bij het uitschrijven van onafhankelijke en onderbouwde adviezen. 

Ons team bestaat uit verschillende opgeleide DPO’s en wij geven zélf sinds ruim 2 jaar les aan toekomstige DPO’s via Data Protection Institute.
Neem gerust eens een kijkje op onze DPO services pagina

Naast DPO-opdrachten en ad hoc bijstand aan interne DPO’s kan je bij Sirius Legal overigens terecht voor allerlei specifieke diensten inzake databescherming:

  • Crisishulp bij datalekken
  • Data Protection Impact Assessments op nieuwe software of nieuwe verwerkingen
  • Volledige GDPR compliance trajecten
  • Specifieke GDPR compliance oefeningen voor marketing- of HR-departementen of voor webshops en webplatformen
  • Hulp bij gegevensuitwisseling en data-export
  • Vaste vertegenwoordiger in de EU voor niet-EU verantwoordelijken

Wil je meer weten over de mogelijkheden, neem dan gerust even vrijblijvend contact op met roeland@siriuslegal.be 

06.04.2020 Bart Van den Brande

Eerste GDPR boete voor Belgisch bedrijf in beroep vernietigd

De Belgische Gegevensbeschermingsautoriteit legde de voorbije twee jaar erg weinig boetes op in vergelijking met haar collega’s in de buurlanden.  Behalve twee kleinere boetes in een niet-commerciële context, legde ze eigenlijk maar één stevige boete op aan een commercieel bedrijf.  Die ene boete werd recent vernietigd in beroep door het zogeheten “Marktenhof”, een speciale afdeling van het Hof van Beroep in Brussel dat bevoegd is voor beroepsprocedures tegen de GBA, het BIPT, de FSMA en andere marktregulatoren.  

Terug naar af dus voor de Gegevensbeschermingsautoriteit en een serieuze slag ook voor GDPR compliance in het algemeen in België. Bedrijven dreigen meer nog dan voordien een gevoel van straffeloosheid te krijgen.  Dat zou nochtans geen verstandig besluit zijn bij nader onderzoek van dit verhaal…

 

Klantenkaart aangemaakt op basis van identiteitskaart

In 2018 ontving de Gegevensbeschermingsautoriteit een klacht van een klant over een drankenhandel.  De klager wilde een klantenkaart van de bewuste drankenhandel en om die klantenkaart te kunnen krijgen, werd zij verplicht om haar elektronische identiteitskaart te laten inlezen in het kassasysteem van de drankenhandel. De dame in kwestie wilde haar identiteitskaart echter niet elektronisch laten inlezen.  Ze voelde dat aan als een inbreuk op haar privacy.  In plaats daarvan stelde zij voor om de persoonsgegevens die nodig waren om een klantenkaart aan te maken gewoon op papier te schrijven.  De drankenhandel weigerde dit en weigerde haar vervolgens eenvoudigweg de klantenkaart met de melding dat die alleen elektronisch aangemaakt kon worden.

We schreven eerder al uitgebreid over deze zaak, je kan het artikel hier raadplegen.

 

Waarom is dit in strijd met GDPR?

De GBA onderzocht vervolgens in 2019 de klacht van de dame en stelde drie inbreuken op de Algemene Verordening Gegevensbescherming vast, waarvoor zij een boete van 10.000 euro oplegde.

In de eerste plaats was volgens de GBA het beginsel van de “minimale gegevensverwerking” niet nageleefd.  Dit stelt eenvoudigweg dat je niet meer gegevens mag verzamelen en verwerken dan je écht nodig hebt en dat je ze niet langer mag bewaren dan strikt noodzakelijk is.  Om de klantenkaart aan te maken, las de drankenhandelaar in dit geval alle gegevens  eID in, zoals naam, voornaam, adres, enz., maar ook de foto en de barcode die gekoppeld is aan het Rijksregisternummer. De GBA wees er in haar beslissing op dat het Rijksregisternummer een gegeven is dat onderworpen is aan strikte regels voor de raadpleging en het gebruik ervan en dat dat niet zomaar systematisch verzameld en verwerkt mag worden.

De GBA stelde bovendien vast dat de drankenhandel geen geldige toestemming verkreeg van haar klanten om al die gegevens elektronisch te verzamelen.  Gegevens verwerken kan slechts op basis van een zeer beperkt aantal gronden.  In dit geval baseerde de drankenhandel zich op de toestemming van zijn klanten (“mogen wij uw gegevens verzamelen in het kader van het beheer van uw klantenkaart?”.  Probleem was echter dat zo’n toestemming “vrij” moet zijn, wat betekent dat klanten ook moeten kunnen kiezen om géén toestemming te geven om hun elektronische ID-kaart uit te lezen, maar in dat geval daarvoor niet afgestraft mogen worden door geen klantenkaart te krijgen.  Met andere woorden, ook wie geen toestemming geeft om zijn ID-kaart uit te lezen, moet een klantenkaart kunnen krijgen en dat was hier niet het geval.

Deze beslissing van de GBA was in onze ogen in alle elementen logisch en een correcte toepassing van de basisbeginselen uit de GDPR.  Het systematisch verzamelen van zoveel detailgegevens over klanten, inclusief het Rijksregisternummer, enkel en alleen maar voor marketingdoeleinden (in dit geval klantenbinding via een klantenkaart) kan op geen enkele manier verantwoord worden onder GDPR.

 

Vernietigd in beroep

Voor de Gegevensbeschermingsautoriteit was dit destijds een soort van voorbeeldzaak.  De Voorzitter van de Geschillenkamer Hielke Hijmans, zei destijds op de website van de GBA: “Bedrijven of handelaars moeten bewuster omgaan met persoonsgegevens wanneer zij allerlei persoonsgegevens opvragen voor een dienstverlening, zeker als dit gebeurt zonder geldige toestemming van de klant. De AVG voorziet in principes en verplichtingen die als leidraad moeten dienen om persoonsgegevens op een correcte wijze te verwerken“.  De Voorzitter van de GBA voegde daaraan toe: “Deze beslissing is een belangrijke nieuwe bouwsteen op de weg naar een betere bescherming van de privacy van onze burgers

Voor de Gegevensbeschermingsautoriteit is het dan ook een ernstige stap achteruit om nu vast te stellen dat het Marktenhof deze beslissing in beroep heeft vernietigd.

Belangrijk om weten daarbij is dat het Marktenhof inhoudelijk de redenering van de GBA eigenlijk niet weerlegt.  Het feit dat de drankenhandel in kwestie de beginselen van de AVG of GDPR niet gerespecteerd heeft, wordt niet betwist.

De ganse beslissing van het Marktenhof draait rond de wijze waarop de boete van de GBA tot stand kwam en de procedures die daarbij gevolgd werden.   Zo stelt het Marktenhof vast dat de beslissing van de GBA slordig gemotiveerd was en dat de beschrijving van de feiten die in de beslissing gegeven werd, niet altijd helemaal overeenstemde met de stukken uit het dossier en met de feiten.

Het Marktenhof oordeelde ook dat het bedrag van de opgelegde boete (10.000) onvoldoende gemotiveerd werd door de Gegevensbeschermingautoriteit.  De GBA bepaalt zelf welke sanctie zij oplegt, maar daarbij moet ze wel rekening houden met een aantal criteria, zoals “de ernst van de inbreuk; de duur van de inbreuk; de nodige afschrikkende werking om verdere inbreuken te voorkomen” en zij moet haar beslissing in het licht van die criteria motiveren en onderbouwen.

Bovendien, zegt het Marktenhof dat “De inbreukpleger moet voordat hem een sanctie wordt opgelegd kennis krijgen van de aard van sanctie die overwogen wordt en van de omvang ervan (in geval een geldboete overwogen wordt). De inbreukpleger moet gewaarschuwd warden (met als doel het nodeloos sanctioneren te vermijden) en de gelegenheid krijgen zich te verdedigen omtrent de door de Geschillenkamer voorgestelde bedragen van de boete, voordat de sanctie effectief wordt opgelegd en uitgevoerd“.

 

Wat moeten we hieruit onthouden?

Laat je niet misleiden door deze beslissing.  Ze doet zoals gezegd geen enkele uitspraak over de grond van de zaak, waarover ook weinig discussie mogelijk is. Elke gegevensverzameling en -verwerking onder de AVG of GDPR moet proportioneel zijn en als je je op toestemming baseert moet die toestemming “vrij” gegeven zijn.

Wat wél blijkt uit deze beslissing is dat de GBA wellicht nog kampt met enkele -logische- groeipijnen.  Dit was de eerste échte geldboete onder GDPR (met uitzondering van twee eerder anekdotische gevallen) en het is duidelijk dat de Geschillenkamer van de GBA nog moet groeien in haar rol.  Toekomstige beslissingen zullen ongetwijfeld beter en preciezer gemotiveerd worden en dat betekent ook dat toekomstige inbreukplegers wellicht minder makkelijk de dans zullen ontspringen.

Wat we met andere woorden vooral moeten onthouden is dat er effectief controles zijn op het naleven van de GDPR en dat bij niet-naleving effectief boetes opgelegd worden, boetes die in de toekomst beter gemotiveerd zullen zijn en waar minder makkelijk aan ontsnapt zal kunnen worden.  Deze beslissing zal de toekomstige werking van de GBA eerder versterken dan verzwakken in onze ogen.

Bereid je bedrijf dus tijdig voor door middel van een grondige GDPR compliance oefening en zorg zeker ook voor een grondige compliance oefening binnen je marketing departement.

 

Vragen over GDPR of nood aan begeleiding?

Sirius Legal is al jarenlang een échte specialist in gegevensbescherming en privacy.  Ons team staat en stond ontelbare grote en kleine bedrijven en non-profit organisaties uit België, Nederland, Frankrijk en de rest van Europa bij bij alle mogelijke vragen rond GDPR en databescherming.

Je kan bij ons terecht voor bijvoorbeeld:

  • Volledige GDPR compliance audit trajecten
  • Onze Start2GDPR toolkit om zelf mee aan de slag te gaan
  • Specifieke deeltrajecten voor marketingdepartementen, webshops, HR-departementen, etc…
  • DPIA oefeningen bij nieuwe apps, nieuwe websites, nieuwe tools zoals CDP’s en marketing automation tools
  • DPO-as-a-service diensten
  • Opleidingen, trainingen, vormingen en presentaties
  • Ad hoc vragen
  • Bijstand bij geschillen, klachten en gerechtelijke procedures
  • Advies rond cyber risico’s en hulp en bijstand bij data breaches, hacking, dataverlies

Meer info vind je op de databeschermingspagina’s op onze website.

Je mag natuurlijk ook altijd bellen of mailen naar bart@siriuslegal.be of naar +32 486 901 931

17.12.2019 Bart Van den Brande

500.000 euro boete voor GDPR inbreuken in call centers

“Hallo meneer, bent u verantwoordelijk voor de energie in uw bedrijf?” Over GDPR en privacy in call centers…

Bij Sirius Legal benadrukken we in het kader van GDPR compliance projecten bij onze cliënten die beroep doen op call centers dat bijzondere aandacht nodig is voor het naleven van de regels inzake GDPR en databescherming in het kader van telemarketing en cold calling.  

Het belang hiervan werd recent bevestigd door de Franse gegevensbeschermingsautoriteit CNIL, die een boete van 500.000 euro opgelegde aan het bedrijf Futura Internationale precies omwille van het niet naleven van de regels uit de Algemene Verordening Gegevensbescherming in het kader van telefonische prospectie.

 

Hoge boete voor een klein bedrijf

Futura Internationale is allesbehalve een multinational.  Het is een middelgroot Frans bedrijf met nauwelijks 100 werknemers dat warmtepompen en isolatiematerialen levert.  

Om haar producten aan de man te brengen, doet het bedrijf beroep op een call center voor telemarketing naar consumenten.

Eén van die consumenten legde in februari 2018 een klacht neer bij de CNIL omdat zij ondanks herhaalde verzoeken om haar gegevens te verwijderen toch nog steeds telefoontjes met reclame voor de producten en diensten van Futura Internationale kreeg.  De klant in kwestie verklaarde in haar klacht aan de CNIL dat ondanks haar herhaalde mondelinge en schriftelijke verzoeken, de ongevraagde telefoontjes toch maandenlang bleven aanhouden.

 

Waar ging Futura Internationale in de fout dan?

Tijdens het daaropvolgende onderzoek stelde de CNIL vast dat Futura Internationale beroep deed op verschillende call centers.  Zij gaf daarbij prospectlijsten door aan elk van deze call centers, waarbij de contactgegevens van dezelfde prospects terugkwamen op verschillende lijsten.  Deze mensen werden dus gebeld door verschillende call centers.  

Onze persoonlijke bedenking hierbij is dat dit een bijzonder klantonvriendelijke en inefficiënte werkwijze is, aangezien dezelfde mensen op deze manier telkens opnieuw gebeld worden met dezelfde boodschap, wat zeer snel contraproductief werkt.  Iedereen met een eigen zaak kent in België ongetwijfeld ook de niet aflatende stroom van telefoontjes die informeren naar “de verantwoordelijke voor de energie in uw bedrijf”…

Puur juridisch gezien onder GDPR echter was de vaststelling van de CNIL dat Futura Internationale de rechten van de betrokkenen niet respecteerde en met name dan het recht op verzet tegen verdere verwerking.  Het bedrijf had geen gecentraliseerde CRM tool of prospectlijst. Daardoor kon zij niet opvolgen wie via één call center gevraagd had om niet meer gebeld te worden om dit vervolgens door te briefen aan alle andere call centers.  Dezelfde mensen die reeds om verwijdering van hun gegevens gevraagd hadden bleven daardoor telkens opnieuw gebeld worden en moesten vaststellen dat hun gegevens de facto niet verwijderd waren binnen alle databases van het bedrijf.

 

Hele reeks bijkomende inbreuken

Een vaak gedane vaststelling bij controles inzake GDPR is dat een klacht over één concreet onderwerp leidt tot een meer uitgebreide controle, waarbij heel wat andere inbreuken aan het licht komen.

In het geval van Futura Internationale heeft de CNIL uiteindelijk 4 ernstige inbreuken op de Algemene Verordening Gegevensbescherming vastgesteld:

  • In de CRM tool van Futura Internationale werden verslagen van telefoongesprekken bijgehouden, inclusief gegevens over de gezondheidstoestand van de betrokkenen (en ook geregeld omschrijvingen van de betrokkenen in erg beledigende taal).  Gezondheidsgegevens mogen nochtans enkel verwerkt worden onder de zeer specifieke voorwaarden die de GDPR oplegt aan “gevoelige gegevens”. In se betekent dat dat voorafgaande en expliciete toestemming altijd vereist is.
  • Bovendien bevonden de callcenters zich meestal in Noord-Afrika.  Dat laatste gebeurt wel vaker voor met name de Franstalige markt.  In principe is het gebruik van Marokkaanse call centers niet noodzakelijk een probleem, maar de vaststelling is wel dat op deze wijze persoonsgegevens buiten de EU geëxporteerd worden.  Data export is aan strenge voorwaarden onderworpen en naar landen die, zoals Marokko, geen gelijkwaardig niveau van databescherming kunnen garanderen zoals de EU kan je enkel data uitvoeren als er zeer strikte contractuele garanties gegeven zijn door de ontvanger op basis van de zogenaamde Standaard contractclausules van de EU.
    Die laatste waren hier niet voorhanden en het gebruik van de betreffende call centers was dus in strijd met de GDPR omdat er niet voldoende niveau van veiligheid voor de betreffende persoonsgegevens voorzien was.
  • Ten slotte bleek dat alle gesprekken opgenomen werden, maar dat de betrokkenen hiervan niet op de hoogte waren (noch van enige andere verwerking van hun persoonlijke gegevens, overigens).
  • Om het plaatje compleet te maken bleek ook nog dat het bedrijf in kwestie niet spontaan meewerkte met het onderzoek van de CNIL, wat de boete enkel maar verhoogd heeft.

 

Wat moet je dus weten als je beroep doet op call centers

  • Zorg dat je werkt met call centers binnen de EU of win juridisch advies in als je toch in zee wil gaan met call centers buiten de EU.
  • Zorg voor goede verwerkersovereenkomsten met je call center, waarin deze garanderen dat ze je data overeenkomstig GDPR én overeenkomstig jouw instructies verwerken en waarin ze garanderen dat jouw gegevens veilig zitten bij hen.
  • Zorg ervoor dat je gegevens definitief en integraal kan verwijderen binnen 30 dagen nadat een betrokkene daarom verzocht heeft en dat uit al je databases en bij al je partners (bij alle call centers dus).
  • Wees je er van bewust dat je enkel die gegevens over mensen mag verzamelen en verwerken waarvan je kan aantonen dat ze relevant en noodzakelijk zijn voor jouw bedrijf.  Medische gegevens vallen daar in de meeste gevallen niet onder. Beledigende omschrijvingen van mensen vallen daar óók niet onder.
  • Weet wat dat laatste betreft dat mensen ook inzage in hun gegevens kunnen eisen en dat je in dat geval die beledigende omschrijvingen ook vrij moet geven, wat een ramp is voor je merkimago.
  • Weet ook dat er een verschil is tussen de do-not-call-me lijst enerzijds en de correcte toepassing van GDPR anderzijds.  Als een betrokkene vraagt om zijn gegevens te verwijderen uit jouw database, beroept hij of zij zich op GDPR. Hij of zij heeft het recht om die verwijdering te vragen, zonder motivering en zonder beperking als het om een marketingdatabase gaat.  Je kan niet eenvoudigweg weigeren om gegevens te verwijderen en antwoorden dat de betrokkene “zich dan maar moet inschrijven op de do-not-call-me lijst”. Het kan best zijn dat iemand alleen gewist wil worden uit jouw database, maar voor anderen wel nog bereikbaar wil zijn.
  • Zorg dat je call center transparant werkt.  Zorg dat zij zich identificeren, dat zij geen opnames maken zonder toestemming, dat zij melding maken van jouw privacy policy en over de plaats waar mensen daar kennis van kunnen nemen.  Je hebt immers een wettelijke verplichting tot informatie en transparantie

 

Toon respect voor je klant

We hebben het recent in een aantal presentaties en artikels gehad over het belang van vertrouwen -trust- in de opbouw van een langetermijnrelatie met je audience als marketeer.   Vertrouwen van de consument, vertaalt zich in de bereidheid om een langetermijnrelatie aan te gaan en de bereidheid om gegevens te delen.  

Dat geldt onverminderd in telemarketing.  Je brengt je bedrijfsimago onherroepelijk schade toe door je publiek telefonisch plat te spammen via verschillende call centers met telkens dezelfde vraag (“Bent u de verantwoordelijke voor de energie in uw bedrijf…?).  Los van de ontelbare juridische issues die dat soort spamming met zich meebrengen, doe je er jezelf als bedrijf op lange termijn geen plezier mee…

 

Meer weten over GDPR, direct marketing of telemarketing?

Neem gerust vrijblijvend contact op via bart@siriuslegal.be of via 0486901931

03.10.2019 Roeland Lembrechts

Kan je je verzekeren voor geldboetes bij datalekken?

Uit het IAPP-EY Privacy Governance Report 2019 blijkt dat 38% van de respondenten in het afgelopen jaar een datalek heeft gemeld. Dit is een stijging van 22% ten opzichte van het vorige jaar.  38% daarvan spreekt bovendien over meer dan 5 datalekken in het laatste jaar. 

Datalekken zijn in vele gevallen het gevolg van inadequate technische en organisatorische maatregelen. De GDPR en de GDPR-wet voorzien hiervoor een sanctie in de vorm van administratieve en strafrechtelijke geldboetes. In ons artikel van 29 juli 2019 bespraken we reeds de Cybersecurity-wet die bij uitbreiding administratieve en strafrechtelijke geldboetes oplegt voor digitale dienstverleners. Daarbij moet het niet enkel gaan over de bescherming van persoonsgegevens.

 

 

Verzekering als onderdeel van je risicomanagement

In het kader van het risicomanagement van je onderneming is het dus aangeraden om de nodige maatregelen te nemen voor een voldoende beveiliging van je IT-omgeving. Naast het uitzoeken van de beste IT-partners om te zorgen voor je technische beveiliging en naast het nemen van de nodige organisatorische maatregelen, blijft het ook van belang om het financieel risico van een datalek (schadeclaims, herstelkosten, gerechtskosten, dringende interventies, reputatieherstel, losgeld, ….) zoveel mogelijk te beperken.

Bedrijven kunnen zich onder andere laten verzekeren, maar de verzekering voor al wat specifiek te maken heeft met schade ten gevolge van cyberrisico’s is nog een jonge markt. Het is dus altijd goed uitkijken wat voor soort polis je hebt ondertekend en wat nu precies wel of niet gedekt zal worden. Dit is van belang, aangezien vb. schadeclaims in deze context stevig kunnen oplopen. Zie wat dat betreft ook ons blogartikel van 12 augustus 2019.

Nu ook de GBA (gegevensbeschermingsautoriteit) stilaan in actie is geschoten en de kans op controle en boetes stelselmatig zal verhogen, stelt zich ook de vraag of je je tegen deze geldboetes kan verzekeren.

 

Strafrechtelijke boetes

De nationale wetgever voorziet in verschillende strafrechtelijke geldboetes. Een overtreding van de GDPR wordt bestraft met een geldboete van 2.000 Euro tot 120.000 Euro. Een verzuim van onder andere je beveiligingsverplichtingen als digitale dienstverlener wordt gestraft met een geldboete van 26 Euro tot 240.000 Euro.

Deze boetes zijn in België niet verzekerbaar. De wet op de verzekeringen sluit dit expliciet uit: Geen enkele geldboete of geen enkele minnelijke schikking in strafzaken kan het voorwerp zijn van een verzekeringsovereenkomst, …’

Daarover kan dus weinig discussie bestaan.

 

Administratieve geldboetes

Strafrechtelijke geldboetes kennen tot op vandaag nog geen voorbeelden in de praktijk, wat wel gezegd kan worden van de administratieve geldboetes. De laatste maanden hebben de verschillende beschermingsautoriteiten administratieve geldboetes opgelegd. Administratieve geldboetes onder de GDPR kunnen oplopen tot 20.000.000 Eur of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is. Onder de Cybersecuritywet kunnen deze boetes oplopen tot 100.000 Euro.

Over de verzekerbaarheid van deze geldboetes bestaat tot op vandaag nog discussie.

De wet op de verzekeringen sluit de verzekerbaarheid van administratieve geldboetes niet expliciet uit en een groot deel van de verzekeringspolissen voorziet ook de verzekerbaarheid van administratieve geldboetes. Maar, deze polissen formuleren dit regelmatig als verzekerbaar voor zover de wet dit toelaat. En daar knelt het schoentje. Administratieve geldboetes zijn verzekerbaar voor zover zij geen afschrikkend en bestraffend karakter hebben. Eén van de elementen voor deze beoordeling is dat de boete zeer zwaar moet zijn, gelet op het bedrag ervan.

Als je de maximale bedragen tussen de strafrechtelijke en administratieve geldboetes vergelijkt, dan zie je dat de administratieve maxima een veelvoud zijn van de strafrechtelijke maxima. Hoewel dit nog niet definitief uitgeklaard is, lijkt het nu al duidelijk te worden dat ook deze administratieve geldboetes een strafrechtelijk karakter zullen worden toegeschreven en niet verzekerbaar zullen zijn. Je zal dan ook geen beroep kunnen doen op een lopende verzekering. 

 

En in de rest van Europa?

Enkel Slowakije lijkt tot op heden deze geldboetes als verzekerbaar te beschouwen. In de overige landen is het simpelweg niet verzekerbaar of dient een vergelijkbare analyse gemaakt te worden zoals in België.

 

Conclusie

Je laten verzekeren voor cyberrisico’s is een belangrijk onderdeel voor het risicomanagement van je vennootschap. Kijk hiervoor altijd steeds goed na of de aangeboden verzekering een verzekering is op maat van je vennootschap. Stel daarbij de vraag of de gedekte initiatieven jou te verwachten schade zullen opvangen. Kijk tot slot kritisch naar de voorgehouden dekking van de geldboetes, aangezien de kans groot is dat zij tot geen enkele dekking zullen leiden.

19.09.2019 Bart Van den Brande

Boetes als je wél toestemming vraagt aan je personeel? Gekker hoeft het niet met die GDPR.

Wie personeel in dienst heeft, moet personeelsdossiers bijhouden.  Contactgegevens van personeelsleden, sociale zekerheidsgegevens, bankrekeningnummer, evaluaties, misschien ook een foto voor op het intranet of op de bedrijfswebsite en wie weet zelfs een vingerafdruk of gezichtsscan voor de toegangscontrole.  Maar persoonsgegevens verwerken onder GDPR kan niet zomaar, natuurlijk.  Geen probleem, je vraagt even expliciete toestemming op papier en klaar is kees.  Toch…? Niet dus…

Een recente GDPR boete van 150.000 euro opgelegd aan PwC door de Griekse Gegevensbeschermingsautoriteit en een tweede boete van 200.000 Zweeds Kronen opgelegd door de Zweedse overheid aan een lokale school maken pijnlijk duidelijk dat toestemming vragen aan personeelsleden alles behalve evident is…

 

 

Altijd toestemming nodig?

Het is een vaak terugkerend misverstand dat je altijd toestemming nodig zou hebben om gegevens te kunnen verwerken onder de Algemene Verordening Gegevensbescherming.  Dat is immers zeer zeker niet het geval.  

De basisregel onder GDPR is eigenlijk eenvoudig: je mag persoonsgegevens niet verzamelen en verwerken, tenzij je kan aantonen dat je één van de zes limitatieve rechtsgronden hebt om dat wél te mogen doen:

  • de wet verplicht je of staat je expliciet toe om gegevens te verwerken
  • je hebt toestemming gevraagd en gekregen van de betrokkene om gegevens te verwerken
  • je moet bepaalde gegevens verwerken omdat dat nodig is om een overeenkomst met de betrokkene uit te voeren
  • het is van levensbelang voor de betrokkene dat je zijn gegevens verwerkt
  • je bent een overheid en het is van algemeen belang (openbaar belang) dat je bepaalde gegevens verwerkt
  • je valt niet onder één van bovenstaande vijf, maar je beslist om gegevens toch te verwerken omdat je een “gerechtvaardigd belang” hebt om dat te doen, waarbij jouw belang in evenwicht moet zijn met de inbreuk die je begaat op de privacy van de betrokkene.

Toestemming is dus slechts één van de zes rechtsgronden die je toelaten om gegevens te verwerken en je hebt zeker niet altijd toestemming nodig. 

 

Meer zelfs, toestemming is vaak de verkeerde rechtsgrond

Binnen je personeelsbeleid zullen heel wat gegevens verwerkt worden omdat dat wettelijk verplicht is.  Sociale zekerheidsgegevens en fiscale informatie bijvoorbeeld moet sowieso verwerkt worden.  

Sommige gegevens over je werknemers moet je ook verwerken omdat ze essentieel en noodzakelijk zijn voor de uitvoering van de arbeidsovereenkomst.  Dat is bijvoorbeeld het bankrekeningnummer van je personeelslid. Je kan immers het loon niet betalen als je geen rekening hebt om het op te storten…

Voor heel wat andere gegevens echter kan je noch een wettelijke verplichting, noch een contractuele noodzaak inroepen.  Het voorbeeld van de foto op de bedrijfswebsite werd al gegeven. Een ander voorbeeld is het bijhouden van gegevens over het gezin om -als sympathieke werkgever- bij de verjaardag van de kinderen een cadeautje aan te bieden of het verwerken van persoonsgegevens in het kader van een employee benefit programma.  Hiervoor kan in sommige gevallen nog wel een “gerechtvaardigd belang” ingeroepen worden, maar in de meeste gevallen moet je toch voorafgaande toestemming vragen aan de betrokkenen.

 

Toestemming in het kader van arbeidsrelaties

Precies daar liep het onlangs fout voor een Griekse afdeling van PWC, die een GDPR boete opliep…. omdat ze toestemming had gevraagd aan haar personeelsleden!

Hoe dat kan?  Wel, toestemming is aan een aantal zeer precieze voorwaarden onderworpen.  Toestemming moet namelijk voorafgaand, geïnformeerd en vooral vrij gegeven worden.  “Vrij” betekent dat de betrokkene de toestemming ook moet kunnen weigeren, zonder daarvan nadeel te ondervinden.

De vraag is dus: kan een personeelslid wel “vrij” neen zeggen tegen zijn werkgever?  Wat dat betreft heeft de EU een tijdje geleden zélf al in een aanbeveling aangegeven dat toestemming vragen aan personeelsleden eigenlijk nogal moeilijk is.  De kans is immers groot dat een werknemer niet echt neen durft zeggen als je hem vraagt of je zijn foto op de bedrijfswebsite mag plaatsen of zijn vingerafdruk mag nemen voor de toegangscontrole.

In casu had PwC al haar personeelsleden een “toestemming” laten ondertekenen waarin in het algemeen toestemming werd gegeven voor de verwerking van hun persoonsgegevens in het kader van human resources management.

De Griekse GBA oordeelde daarover -terecht- dat toestemming door personeelsleden nooit “vrij” gegeven is en dus altijd in conflict komt met de AVG of GDPR.  Bovendien kan je toestemming als rechtsgrond niet in de plaats stellen van andere rechtsgronden die zich opdringen, zoals een “wettelijke verplichting” of een “noodzaak om een contract uit te voeren”.  Als de verwerking eigenlijk gebeurt op één van die gronden, hoor je in je verwerkersregister én in je privacy policy de verwerking te baseren op die “natuurlijke” rechtsgrond en niet op basis van toestemming.  

Toestemming is overigens om puur praktische redenen ook te mijden, aangezien de toestemming op elk ogenblik ingetrokken kan worden en in dat geval moet je sowieso elke verwerking stoppen en kan je niet alsnog terugvallen op een andere rechtsgrond.  

 

Specifiek probleem bij vingerafdrukken?

Die toestemming is overigens zeker ook nodig als je als bedrijf of organisatie beslist om vingerafdrukken of gezichtsherkenning van je personeel te gaan gebruiken voor bijvoorbeeld toegangscontrole.  

Vingerafdrukken en gezichtsherkenning zijn immers biometrische gegevens en die zijn onder de AVG of GDPR “bijzonder beschermd”.  Dat betekent dat de énige echte rechtsgrond om die gegevens te verwerken (los van een reeks eerder exotische uitzonderingen) de voorafgaande expliciete toestemming is en je je niet kan baseren op een wettelijke verplichting, de uitvoering van een arbeidsovereenkomst of een gerechtvaardigd belang. 

In Zweden besloot een tijdje geleden een school om afwezigheden te monitoren op basis van gezichtsherkenning.  Voor ze van start ging besloot ze om toestemming te vragen aan de leerlingen om dit te doen. De school dacht daarmee in overeenstemming te zijn met haar verplichtingen onder de Algemene Verordening Gegevensverwerking (AVG of GDPR), maar het kwam haar toch op een GDPR boete van 200.000 Zweedse Kronen (zo’n 18.000 euro) te staan.  Hetzelfde gebeurde vorig jaar met een Frans bedrijf dat op basis van een (al dan niet opgelegde) toestemming de vingerafdrukken van haar personeel verzameld had voor toegangscontrole.

Met andere woorden, de klassieke toegangscontrole zal toch nog een tijdje naast de fingerprintherkenning moeten blijven draaien voor al die personeelsleden die liever niet hebben dat je hun vingerafdruk gebruikt én ze moeten zich vrij voelen om die keuze te kunnen maken…

 

Wat moet je hieruit leren?

Wel, een goede controle van je dataregisters dringt zich op: welke rechtsgronden hanteren we? zijn dat de meeste aangewezen rechtsgronden?  Wat zijn de consequenties van de ingeroepen rechtsgrond. Die afwegingen moeten ervoor zorgen dat je je interne gegevensverwerking alvast baseert op de juiste rechtsgronden en niet op toestemming vertrouwt als een wettelijke basis waar dat niet zou moeten.  Dat elimineert alvast een eerste risico op onaangename en vermijdbare boetes. 

Daarnaast is een grondige check van je privacy policies nodig.  Je bent immers transparantie en informatie verschuldigd aan je personeelsleden.  Dat betekent dat zij moeten wéten welke gegevens je verwerkt, maar ook op basis van welke rechtsgrond dat gebeurt én wat hun rechten zijn in die context (recht op inzage, verbetering, intrekken toestemming, verzet tegen verdere verwerking, …).

Als je toch aan de slag gaat met een update van je privacy policy, doe je dat meteen best grondig overigens.  Andere verplichte vermeldingen die vaak worden vergeten, zijn bijvoorbeeld het detailleren van bewaartermijnen, de identiteit van derden aan wie gegevens doorgegeven worden en het feit dat uw werknemer het recht heeft om een ​​klacht in te dienen bij de GBA (met de contactgegevens van de GBA).

Voor wat personeelsgegevens betreft, zien we in de praktijk overigens al te vaak dat er zelfs geen privacy policy bestaat en dat werkgevers zich ertoe beperken om ergens in de arbeidsovereenkomst een “gegevensbeschermingsclausule” op te nemen.  

Dat is echter manifest onvoldoende en het risico dat een ontevreden individuele werknemer of de collectieve vertegenwoordiging van je werknemers de GBA op de hoogte stelt is écht niet zo denkbeeldig…

 

Vragen over GDPR?

Neem gerust vrijblijvend contact op met Bart Van den Brande op +32 486 901 931 of op bart@siriuslegal.be of check de GDPR pagina’s op onze website.

31.05.2019 Bart Van den Brande

Eerste GDPR-boete van de Gegevensbeschermingsautoriteit

De Gegevensbeschermingsautoriteit had het recent nog aangekondigd: de eerste sancties op basis van de AVG-regels komen eraan. Deze week was het dan zo ver. De Geschillenkamer van de Gegevensbeschermingsautoriteit (“GBA”) heeft een administratieve boete opgelegd van 2.000 euro voor het gebruik van persoonsgegevens voor verkiezingsdoeleinden. Concreet werd het finaliteitsbeginsel overtreden.

 

Verkiezingspropaganda

Het dossier werd ingeleid op basis van een klacht over een burgemeester die gebruik had gemaakt van emailadressen, verkregen in de uitoefening van zijn functie. De emailadressen waren van bouwheren die via hun architect contact hadden opgenomen met de burgemeester in het kader van een verkavelingswijziging.

In de aanloop naar de gemeenteraadsverkiezingen van 14 oktober 2018 verstuurde de burgemeester verkiezingspropaganda per email naar de beide emailadressen van de bouwheren.

 

Doelbinding bij verwerking van persoonsgegevens

Een belangrijk principe van de privacywetgeving is de doelbinding. Volgens artikel 5.1.b van de Algemene Verordening Gegevensbescherming (“AVG”) mogen persoonsgegevens uitsluitend worden verwerkt voor een welbepaald omschreven doel. Deze persoonsgegevens mogen niet verder worden verwerkt op een wijze die onverenigbaar is met deze doeleinden. In dit geval werden de emailadressen meegedeeld in het kader van correspondentie gevoerd rond een verkavelingskwestie. Het gebruik van die emailadressen voor verkiezingspropaganda gaat het initieel beoogde doel voorbij.

De Geschillenkamer van de GBA tilt zwaar aan de inbreuk. Enerzijds beschouwt ze het finaliteitsbeginsel als een fundamenteel principe. Anderzijds wordt van een burgemeester als overheidsmandataris verwacht zeer zorgvuldig om te springen met de persoonsgegevens die deze in de uitoefening van diens taken verkrijgt van de burger.

De Geschillenkamer is naar eigen zeggen mild en beperkt de sanctie tot een berisping en “een bescheiden geldboete van 2000 euro”, hoofdzakelijk “omdat het aantal betrokken personen beperkt is alsook de aard, de ernst en de duur van de inbreuk”.

De betrokken partijen werden allen gehoord in de Geschillenkamer. De uitspraak volgde meteen op de zitting.

Het is niet zeker of deze beslissing het begin is van een uitgebreide reeks aan procedures. Al liet de GBA wél verstaan dat de AVG-regels op iedereen van toepassing zijn en er niet zal getreuzeld worden om tot onderzoek over te gaan.

 

Vragen over privacywetgeving en meer specifiek GDPR?

Contacteer ons gerust per email op info@siriuslegal.be en telefonisch op 02/721 13 00.

Dit artikel werd geschreven door Andries Hofkens die inmiddels Sirius Legal heeft verlaten.

18.12.2018 Bart Van den Brande

Eerste GDPR rechtspraak: verbod op "bundelen" van opt-ins in Oostenrijk

Zes maanden zijn inmiddels verstreken sinds de GDPR van toepassing werd en terwijl het in België voorlopig met een vergrootglas speuren blijft naar controles, boetes en rechtszaken, stromen uit andere EU lidstaten de voorbeelden dagelijks binnen.  

In Oostenrijk bijvoorbeeld, een van de meer vlijtige leerlingen in de GDPR-klas, ligt zelfs al een eerste beslissing van het Hooggerechtshof voor.

 

Zo snel een arrest van het Hooggerechtshof?

Het lijkt op het eerste zicht een beetje vreemd dat er nauwelijks zes maanden na de inwerkingtreding van de GDPR al een arrest van het Hooggerechtshof voorligt, maar het gaat hier dan ook om een zaak die in eerste aanleg en in beroep nog onder het “oude” recht behandeld werd, maar waarin het Hooggerechtshof deze zomer oordeelde met toepassing van de beginselen uit de GDPR.

In Oostenrijk is het namelijk zo dat wanneer er tussen de dagvaarding in een stakingsprocedure (wat in casu het geval was) en de beslissing van de rechtbank een wetswijziging is geweest, de rechtbank rekening moet houden met zowel de oude wetgeving als de nieuwe wetgeving alvorens een stakingsverbod op te leggen.  Als de nieuwe wetgeving een bepaalde praktijk niet (meer) verbiedt kan geen stakingsbevel opgelegd worden. Aldus moest het Oostenrijkse hooggerechtshof ook rekening houden met de regels die in de GDPR zijn vastgelegd voor het geven van geldige toestemming.

 

Inhoud van het geschil: verbod op het “bundelen” van toestemmingen

Een en ander draaide in casu om de veroordeling van een bedrijf dat bij het aanvaarden van haar algemene voorwaarden en privacy policy opt-ins gebruikte waarin onder meer ook automatisch toestemming vereist was van de betrokkenen voor bepaalde marketingactiviteiten die niet absoluut vereist waren voor de uitvoering van het contract.  Klanten konden geen overeenkomst aangaan met het bedrijf in kwestie zonder toestemming te verlenen voor deze marketingactiviteiten.

De GDPR verbiedt nochtans duidelijk het “bundelen” van toestemmingen voor verschillende verwerkingsactiviteiten.

Op grond van artikel 7, lid 4 GDPR, “wordt bij de beoordeling van de vrije verstrekking van de toestemming zoveel mogelijk rekening gehouden met de vraag of de uitvoering van een overeenkomst, met inbegrip van de verlening van een dienst, afhankelijk is van toestemming voor de verwerking van persoonsgegevens. gegevens die niet noodzakelijk zijn voor de uitvoering van dat contract “.

Overweging 43 van de AVGB wordt nog sterker geformuleerd: “De toestemming wordt geacht niet vrijelijk te worden gegeven als […] de uitvoering van een contract, met inbegrip van het verlenen van een dienst, afhankelijk is van de toestemming, ondanks dat een dergelijke toestemming niet noodzakelijk is voor een dergelijke prestatie.

Het Hooggerechtshof in Oostenrijk oordeelde in dit geval dat van een vrije toestemming geen sprake was, precies omdat deze gebundeld werd samen met andere toestemmingen en verplicht was om de dienst te kunnen afnemen.

 

Relevant voor Belgische ondernemers?

Deze beslissing van het Oostenrijkse Hooggerechtshof is vanzelfsprekend in eerste instantie enkel bindend voor Oostenrijkse rechtbanken.  Ze heeft geen rechtstreeks effect voor Belgische bedrijven.

Dat neemt echter niet weg dat wij in onze praktijk vaststellen dat de behandelde rechtsvraag ook in België zéér vaak problemen stelt.  We zien slag om slinger gevallen waarin betrokkenen “verplicht” zijn om toestemming te geven of waar toestemming globaal gegeven wordt voor een hele waslijst verwerkingsactiviteiten zonder dat de betrokkene individueel kan kiezen waarmee hij wel en niet akkoord gaat.

De kans is dan ook reëel dat een gelijkaardige dossier ooit tot voor onze Belgische rechtbanken raakt en in dat geval zal de beslissing identiek zijn.  Het Oostenrijkse Hooggerechtshof maakt immer een zeer correcte analyse van de toepasselijke bepalingen uit de GDPR.

 

Hoe voorkom ik dan als Belgische ondernemer in de problemen te komen met opt-ins?

De regels rond het vragen en bekomen van opt-ins zijn eigenlijk niet zo complex:

  • Zorg ervoor dat alle opt-ins “geïnformeerd” zijn.  Dat betekent dat betrokkenen wéten wie u bent en wat u met hun gegevens van plan bent.  Ze moeten met andere woorden voorafgaand kennis kunnen nemen van uw Privacy Policy.
  • Zorg ervoor alle opt-ins “vrij” zijn.  Dat betekent dat betrokkenen ook neen moeten kunnen zeggen zonder daarvoor gesanctioneerd te worden.  Ze moeten met andere woorden kunnen deelnemen aan uw online wedstrijd zónder opt-in voor toekomstige direct marketing.
  • Zorg ervoor dat uw opt-ins “specifiek” zijn.  Dat betekent dat u géén opt-in voor 5 verschillende verwerkingsactiviteiten “bundelt” achter één aanvinkhokje.  Elke zelfstandige verwerking vereist een afzonderlijke toestemming. Een en ander is weliswaar moeilijk in praktijk te brengen, maar het is in de meeste gevallen wél mogelijk om alvast afzonderlijk toestemming te vragen voor ingrijpende activiteiten zoals bvb direct marketing, uitwisseling van gegevens met partners of export van gegevens buiten de EU.

 

Let er verder aandachtig op dat u de andere basisprincipes uit de GDPR naleeft:

  • Verwerk gegevens alleen en uitsluitend voor het doel waarvoor ze u verstrekt werden (geen “recyclage” van data voor andere doeleinden).
  • Verzamel alleen die gegevens waarvan u kan bewijzen dat u ze nodig heeft (geen “we zien later wel wat we ermee doen”).
  • Bewaar gegevens niet langer dan “nodig” (en zorg ervoor dat u schriftelijk kan bewijzen dat u vooraf heeft nagedacht over correcte bewaartermijnen).
  • Zorg dat u alle persoonsgegevens die u verzamelt “veilig” bewaart, door zowel op technisch vlak (firewall, antivirus, …) als op “organisatorisch” vlak (toegang tot dat, delen van data, printerbeleid, paswoordbeleid, …) gepaste veiligheidsmaatregelen te nemen.

Vragen over GDPR in België of Europa?

Neem gerust vrijblijvend contact op met ons team op info@siriuslegal.be of via +32 2 721 13 00

1 2