Blog Databescherming

14.10.2021 Bart Van den Brande

Scrapers en crawlers zijn vaak illegaal omdat ze het databankrecht schenden.

We krijgen heel wat vragen van online start-ups rond het gebruik van scraper en crawlers om online content te verzamelen en die, al dan niet herverpakt, aan te bieden op het eigen platform. Meestal gaat die vraag gepaard met een ernstige waarschuwing van onze kant. Als de informatie die je online verzamelt opgenomen is in een georganiseerde databank, is ze meestal beschermd onder het Databankrecht en mag je ze niet geheel kopiëren of er systematisch data uit opvragen voor eigen gebruik.
Een recent arrest van het Europees Hof van Justitie verduidelijkte dit deze zomer nog eens.

01.10.2021 Bart Van den Brande

Nieuwe Data Protection Act (PIPL) in China: ons Chinees partnerkantoor licht toe

Sinds 10 juni 2021 heeft China een eigen gegevensbeschermingswet, PIPL.  Op het eerste zicht lijkt die aardig op onze eigen GDPR, maar er zijn wel enkele verschillen.

Populair artikel deadline SCC's_Standard_Contract_Clauses
21.09.2021 Bart Van den Brande

Opgelet: Nieuwe SCC's treden in werking op 27 september

We hebben op deze blog en in een aantal webinars al uitgebreid aandacht besteed aan de nieuwe Standard Contract Clauses of SCC’s van de Europese Commissie. Na het wegvallen van het EU-US Privacy Shield ingevolge het Schrems II arrest van het Europees Hof van Justitie moeten deze SCC’s de juridische basis vormen voor de meeste vormen van data export buiten de EU.  Die nieuwe SCC’s treden op 27 september in werking.  Nieuwe data transfers buiten de EU moeten vanaf dan gebeuren op basis van aangepaste contracten met de nieuwe standaard contractclausules.

07.09.2020 Matthias Vandamme

Schrems-II, wat nu? Data export naar de VS in 7 stappen

Schrems-II is niet de dubbelganger van de Oostenrijkse privacyactivist Max Schrems en het is ook niet de naam van zijn kind. Het is de naam van zijn tweede overwinning begin deze zomer bij het Europees Hof van Justitie. We schreven er toen al een blog over want de gevolgen van dit arrest zijn enorm voor gegevensexport naar het buitenland. Er werd geen gratieperiode toegekend waardoor elke onderneming die gegevens naar een derde land exporteert meteen zijn zaken op orde moet stellen. Schrems kende zichzelf ook geen rustperiode toe, maar legde al meteen 101 klachten neer bij diverse gegevensbeschermingsautoriteiten in de EU. Ook Belgische ondernemingen zijn niet gespaard gebleven: tegen bpost.be, neckermann.be, logic-immo.be en flair.be werd al een klacht neergelegd. Dit is dus geen ver-van-je-bed-show, je exporteert gegevens naar de VS voor je het weet. Talloze frequent gebruikte tools zoals Google Analytics, Hubspot, Sharpspring, Facebook, Twitter exporteren data naar de VS, dus quasi elke onderneming in België is geïmpacteerd. 

Recent gaf een Duitse gegevensbeschermingsautoriteit (van Baden-Württemberg) als eerste meer concrete richtlijnen over hoe het leven verder gaat na het Schrems-II arrest. We hebben deze richtlijnen grondig bestudeerd en geven hier de belangrijkste bevindingen voor je weer in een aantal stappen.  

 

Stap 1: maak een inventaris van alle gegevens die je exporteert naar derde landen

Als je al een dataregister hebt, is dit een eenvoudige stap voor jou en kan je ineens naar de volgende stap gaan. Is het woord ‘dataregister’ chinees voor jou, dan leggen we dit graag even uit.

De Algemene Verordening Gegevensbescherming (AVG of GDPR) legt aan elke verwerkingsverantwoordelijke de verplichting op om alle verwerkingsactiviteiten vast te leggen die onder haar verantwoordelijkheid plaatsvinden. Concreet breng je in zo’n dataregister een aantal zaken in kaart voor alle gegevens die je verzamelt: de doeleinden, de middelen, de rechtsgrond, de risico’s voor de privacy van de betrokkenen, de toegang tot die gegevens, de doorgifte aan derden, … Zo krijg je een overzicht van alle datastromen binnen de onderneming. Dit vereenvoudigt de eventuele controles en audits aanzienlijk.

Je kan hiervoor gebruik maken van een aantal kwalitatieve vragenlijsten of evaluatietools, maar uiteraard kan Sirius legal je hierbij gespecialiseerde ondersteuning bieden.

 

Stap 2: contacteer je dienstverleners/contractpartijen in het derde land

Je doet er goed aan om al je contractpartijen, dienstverleners en dergelijke te informeren over het Schrems-II arrest en de gevolgen hiervan. Sirius Legal heeft hiervoor een standaard brief template gemaakt met een Data Exhange Vendor Assessment. Je kan deze template gratis downloaden onderaan dit blogbericht.

Met ‘derde land’ willen we niet elk ander land dan je eigen land zeggen, maar wel elk land dat buiten de Europese Economische Ruimte ligt, dat is de EU uitgebreid met Noorwegen, Ijsland en Liechtenstein.

 

Stap 3: ga na of er een beslissing over een passend beschermingsniveau in het derde land is

Voor sommige derde landen heeft de Europese Commissie beslist dat dit land een passend beschermingsniveau biedt (‘een adequaatheidsbesluit’), dus kan je de gegevensexport naar die landen op basis van die beslissing doen. De volledige lijst van die landen kan je op de website van de Europese Commissie vinden. Momenteel zijn er onderhandelingen bezig met Zuid Korea. We volgen dit uiteraard op en houden je via onze blog en sociale media continu op de hoogte over eventuele wijzigingen.

 

Stap 4: beoordeel de juridische situatie van het derde land 

Wanneer er sprake is van gegevensexport naar een derde land waar geen beslissing over een passend beschermingsniveau is, dan komen we bij de volgende stap. De gegevensbeschermingsautoriteit van Baden-Württemberg raadt in dat geval aan om de juridische situatie van dat derde land grondig te onderzoeken. Het is in dit kader vooral interessant om na te gaan of nationale veiligheidsinstanties toegang kunnen krijgen tot de geëxporteerde gegevens.

Je kan hiervoor ten rade gaan bij je nationale gegevensbeschermingsautoriteit (in België is dat de GBA, in Nederland de AP, in Frankrijk de CNIL en in Engeland de ICO), de Europese Commissie, de EDPB, het nationaal ministerie van buitenlandse zaken, …

We begrijpen maar al te goed dat dit een ingewikkeld en tijdsintensief karwei is. Sirius Legal beschikt over een omvangrijk netwerk van buitenlandse advocaten gespecialiseerd in deze materies. Zo kunnen we voor bijna elk derde land onze eigen ‘gepastheidsbeoordeling’ maken.

 

Stap 5: beoordeel of SCCs volstaan

Nu je op de hoogte bent van de juridische situatie in het derde land is het tijd om te beoordelen of de standaard contractuele clausules (SCCs) volstaan. Deze zijn in het leven geroepen door de Europese Commissie voor gegevensexport naar derde landen. Het zijn overeenkomsten die je kan sluiten de verwerkingsverantwoordelijke of verwerker in dat derde land. Als er geen problemen werden gevonden in de bovenstaande stap, dan kan je deze SCCs zonder meer gebruiken. Hou wel in het achterhoofd dat de Europese Commissie deze SCCs aan het herzien zijn. Als de SCCs niet volstaan, ga dan naar de volgende stap.

 

Stap 6: creëer aanvullende garanties en gebruik aangepaste SCCs

De gegevensbeschermingsautoriteit van Baden-Württemberg stelt een aantal aanvullende garanties voor. Ten eerste de encryptie (versleuteling) van de gegevens aan jouw kant. Zorg er in dat geval voor dat jij als exporteur de enige bent met de ‘sleutel’ om de gegevens te ontcijferen en dat de encryptie niet zomaar kan worden ontsleuteld. We nodigen je uit om het artikel “Is encryptie verplicht onder GDPR” te lezen als je meer wil weten over encryptie. 

Ten tweede de anonimisering of pseudonimisering van de gegevens aan jouw kant. Zo zorg je ervoor dat de ontvanger van de gegevens niet zomaar kan weten over wie het nu werkelijk gaat. Denk eraan dat dit proces vaak al begint voor je de gegevens nog maar ingeeft of ergens uploadt. 

Vervolgens stelt de gegevensbeschermingsautoriteit van Baden-Württemberg een aantal concrete aanpassingen en aanvullingen voor op de SCCs:

  • Een verplichting voor de gegevensexporteur om de betrokkene te informeren dat zijn of haar gegevens naar een derde land gaan dat geen passend beschermingsniveau biedt;
  • Een verplichting voor de gegevensimporteur om zowel de exporteur als de betrokkene op de hoogte te brengen van elk verzoek tot inzage van de gegevens. Als dit niet mogelijk is, de verplichting om de nationale gegevensbeschermingsautoriteit van de exporteur hiervan op de hoogte te brengen;
  • Een verplichting voor de gegevensimporteur om juridische stappen te nemen tegen elk verzoek om inzage en deze uit te putten;
  • De toekenning van meer rechten aan de betrokkene in een geschil met de gegevensimporteur en de toevoeging van een compensatieclausule.

 

Stap 7: en als dat allemaal niet helpt…

Het is mogelijk dat alle bovenstaande maatregelen ofwel niet mogelijk zijn ofwel nog steeds onvoldoende waarborgen bieden. In dat geval vermeldt de gegevensbeschermingsautoriteit van Baden-Württemberg dat er nog een alternatieve optie bestaat, maar dat deze alternatieven heel strikt geïnterpreteerd worden en dus weinig aanvaard als reden om gegevens te exporteren naar een derde land. Hieronder valt bijvoorbeeld de mogelijkheid om de toestemming van de betrokkene te vragen voor de gegevensexport. Deze toestemming moet wel voldoen aan alle vereisten van de GDPR. M.a.w. de toestemming moet vrij zijn, specifiek, geïnformeerd en ondubbelzinnig.

Als al het bovenstaande niet heeft mogen baten is het allicht veiliger om de samenwerking met de partner te stoppen. 

 

Een gewaarschuwde onderneming telt voor twee

Onze vorige blogpost over het Schrems-II arrest en deze blogpost zou je al een heel eind op weg moeten helpen. Er komen vast nog een aantal adviezen, richtlijnen en dergelijke aan van andere gegevensbeschermingsautoriteiten die meer duidelijkheid bieden. Wij volgen deze uiteraard steeds op en informeren je hierover op onze blog en sociale media. Voorlopig kan je alvast met de volgende stappen aan het werk gaan:

Stap 1: raadpleeg je dataregister/ stel een dataregister op

Stap 2: informeer je dienstverleners/ contractpartijen

Stap 3: ga na of er beslissing over het passend beschermingsniveau is

Stap 4: beoordeel de juridische situatie

Stap 5: ga na of SCCs volstaan

Stap 6: zo niet, creëer aanvullende garanties en sluit aangepaste SCCs

Stap 7: de gegevensexport stoppen/ alternatief

 

Vragen rond gegevensexport onder GDPR of hulp nodig bij een audit van jouw lopende contracten?

Bel of mail gerust vrijblijvend. Ons team staat je graag te woord. Bellen of mailen kan naar +32 2 721 13 00 of naar bart@siriuslegal.be of matthias@siriuslegal.be

 

23.04.2020 Bart Van den Brande

Geen e-commerce zonder analytics data

Zonder analytics geen e-commerce.  Wie zijn klant niet kent en begrijpt kan onmogelijk zijn producten zo optimaal mogelijk aan de man brengen.  Waar je in een klassieke brick and mortar omgeving nog heel wat inzichten over je klanten kan verzamelen door winkelgedrag te observeren, klantenkaarten op te volgen en voorraden te monitoren, kan datzelfde online enkel met een goede analytics account.

Dat lijkt een evidentie, maar jammer genoeg ziet de overheid dat zo niet.  Analytics accounts werken op basis van cookies en het standpunt van de Belgische Gegevensbeschermingsauthoriteit inzake het gebruik van cookies -en met name analytics cookies- is de voorbije maanden duidelijk bijgesteld.  Daar waar vroeger oogluikend aanvaard werd dat websites analytics cookies plaatsten zonder expliciete toestemming, wordt nu al enkele maanden lang via verschillende communicatiekanalen duidelijk gemaakt dat het plaatsen van analytics cookies altijd de voorafgaande opt-in vereist van websitebezoekers.     

 

Zonder analytics data vaar je een blinde e-commerce koers

Heel wat ondernemers vonden de voorbije weken met vertraging de weg naar e-commerce.  De Covid-19 crisis deed onder meer restauranthouders overschakelen naar take-away of delivery, heel wat kleine zelfstandigen starten alsnog met een eigen webshop of starten met verkopen via één van de vele nieuwe online platformen die lokale ondernemers en lokale producten willen ondersteunen in deze moeilijke tijden.  

Eén ding leren deze nieuwe digitale handelaars al snel: zonder bezoekers op je webshop, verkoop je niets.  Je moet dus vindbaar zijn voor je klant én je moet ervoor zorgen dat je webshop zo is opgezet dat hij optimaal converteert.   Het is daarom cruciaal om de traffic naar je webshop en het gedrag van bezoekers op je pagina’s zo precies mogelijk te kunnen meten.  

Met Analytics kan je precies zien hoe bezoekers op je website terechtkomen: via een Google search, één van je Adwords campagnes, via links op andere sites of via je nieuwsbrief. Bovendien laat je analytics account toe om de reacties en het gedrag van bezoekers op je website zelf te monitoren en om op basis daarvan te gaan bijsturen: zit je SEO goed, geef je niet te veel uit aan die SEA campagne die toch niet converteert, heeft die prijsaanpassing van vorige week het verhoopte succes, werkt die nieuwe lay-out van een bepaalde pagina, …?

Zonder een goed opgezette analytics account vaar je blind.  Je weet niet waar bezoekers vandaan komen, welke pagina’s en producten ze bezoeken, hoe lang ze op je website blijven rondhangen, je weet niet welke advertenties werken en welke het slecht doen, je weet niet welke producten goed of slecht voorgesteld worden of geprijsd staan, …  Met andere woorden, zonder goede analytics is e-commerce puur giswerk.

 

Maar analytics vereist cookies

Die analytics account – ongeacht of het om Google Analytics of een andere tool gaat – werkt op basis van cookies, kleine tekstbestanden die bij een eerste bezoek aan een website op je device geplaatst worden en die vanaf dan je surfgedrag in kaart brengen.  

Daar precies begint het probleem.  Om zo’n analytics cookies te mogen plaatsen, heb je immers de voorafgaande toestemming van de bezoeker aan je website nodig.  Bij een eerste bezoek aan je website moet je een pop-up of overlay tonen waarin je expliciet meldt aan de bezoeker dat je cookies wil plaatsen en waarvoor die dienen en waarin je toestemming vraagt om dit te doen.  

Geen aangevinkte toestemming betekent geen cookies en dat is een groot probleem in een e-commerce context.  Geen analytics cookies betekent immers ook geen data op basis waarvan je je sales en marketing kan organiseren, geen inzicht in de herkomst van je bezoekers, geen inzicht in het succes van je SEO, je pagina lay-out of je pricing strategie, …

Als webshop dreig je bovendien achter te blijven met stuurloze advertising campagnes: geen cookies betekent ook een drastische verkleining van de audiences voor retargeting campagnes, voor verhoogde biedingen in Google Search, voor cross device campagnes e.d. Performance campagnes worden dus ook voor 30 tot 60% “stuurloos”, en kunnen dus ook niet meer geoptimaliseerd worden. Dat is niet alleen een ramp voor de e-commerce sector, maar voor elke adverteerder en diens media of marketing agency. De echte ROI van online investeringen is niet meer meetbaar en extrapolaties dreigen volledig fout te zijn omdat de overblijvende data niet meer representatief genoeg is. 

 

Dan vragen we toch gewoon toestemming?

Geen probleem, hoor ik je denken.  Dan vragen we toch gewoon een opt-in bij het eerste bezoek aan onze website?  Dat kan natuurlijk.  Alleen wijzen diverse onderzoeken én eigen a/b testen bij enkele van onze cliënten uit dat, afhankelijk van de precieze omstandigheden tussen 30% en 60% van je websitebezoekers geen actieve opt-in geeft als je daarom vraagt.  Dat betekent dat je als webshop tussen 30% en 60% van je data verliest door plichtsgetrouw de wet na te leven…

 

Dura lex, sed lex…?

Bovenstaande is een ramp voor webshops natuurlijk, maar de regels zijn duidelijk.  De Gegevensbeschermingsautoriteit heeft die regels de voorbije maanden herhaaldelijk onder de aandacht gebracht.  Recent pas publiceerde zij een cookie informatiepagina op haar website waarin nogmaals expliciet herhaald werd dat voor analytics cookies altijd een voorafgaande opt-in nodig is.  Enkel voor strikt noodzakelijke cookies heb je niet zo’n opt-in nodig.  Strikt noodzakelijk betekent hier dat je website niet werkt (vanuit het oogpunt van bezoekers) zonder die betreffende cookie. 

Hetzelfde standpunt nam de GBA overigens ook al in in de veelbesproken Jubel-zaak, waarin een boete van 15.000 euro werd opgelegd omdat -naast enkele andere inbreuken- analytics cookies geplaatst werden zonder opt-in.  Een en ander werd bevestigd in diverse publieke optredens van leden van de GBA de voorbije maanden, bijvoorbeeld op een LaFeweb event in Gembloux eerder dit jaar.

Het standpunt van de GBA inzake analytics cookies is moeilijk te begrijpen.  Wij zijn altijd de eerste om de bescherming van de privacy toe te juichen, maar in dit geval dreigt een correcte toepassing van de wet zeer grote financiële schade toe te brengen aan een ganse sector en dat kan vanzelfsprekend niet de bedoeling zijn.  Bovendien blijken de overheden in onze buurlanden aanzienlijk meer genuanceerd om te gaan met dit probleem en kan in Frankrijk, Nederland of Duitsland een en ander wél zonder opt-in onder een aantal voorwaarden.  Daarmee wordt dubbel schade toegebracht aan de Belgische e-commerce.  Belgische websites lijden zo immers een aanzienlijk concurrentienadeel ten aanzien van webshops uit onze buurlanden, die wél over gedetailleerde bezoekersdata kunnen beschikken zonder daarvoor de wet te moeten overtreden.

Hoog tijd dus dat de sector van zich laat horen in dit verband en gelukkig zijn enkele sectorfederaties in de e-commerce en online marketingsector inmiddels wakker geschoten om het probleem samen aan te kaarten bij de Belgische overheid en te lobbyen voor een meer soepele interpretatie zoals die ook in onze buurlanden bestaat, mét respect voor de privacy van de consument, maar evenzeer mét oog voor de commerciële belangen van de e-commerce sector.

 

En intussen?

In afwachting kan je maar beter voorzichtig zijn.  Zorg voor een correcte cookie opt-in, niet enkel voor analytics, maar voor alle cookies op je website.  Wie daarover meer info wil, kan een kijkje nemen op www.cookie-scan.be of mag natuurlijk ook gewoon contact opnemen met Sirius Legal op info@siriuslegal.be 

24.01.2019 Bart Van den Brande

DPO of privacy verantwoordelijke: what’s in a name?

De nieuwe GDPR-regels vereisen in bepaalde gevallen de aanstelling van een functionaris voor de gegevensbescherming. Bedrijven zijn de voorbije maanden massaal op zoek gegaan naar privacy consultants, privacy verantwoordelijken, privacy officers, DPO’s,… en een veelheid aan andere titels. Maar wist je dat het gebruik van die titels niet zo vrijblijvend is als het lijkt? En wist je dat Sirius Legal 3 DPO’s telt die reeds heel wat bedrijven bijstaan hierin?

 

What’s in a name?

De GDPR vereist dat een Data Protection Officer (DPO) of Functionaris voor de Gegevensbescherming dient aangesteld te worden in 3 situaties waaronder het verrichten van verwerkingen die regelmatige en stelselmatige observatie op grote schaal van betrokkenen vereisen (bv. wifitracking van klanten in een winkel, webshop van een zekere omvang) of situaties waarbij de verwerkingsverantwoordelijke of de verwerker hoofdzakelijk belast zijn met grootschalige verwerking van “gevoelige” gegevens (bv. een ziekenhuis).

In deze gevallen dient een DPO aangesteld te worden die vervolgens een aantal door de wet opgelegde taken krijgt en een specifiek beschermingsstatuut. Zo bepaalt de wet dat de DPO door de verwerkingsverantwoordelijke of de verwerker niet ontslagen of gestraft kan worden voor de uitvoering van zijn taken. Uiteraard geldt dit specifieke (beschermings-)statuut énkel en alleen indien men effectief voldoet aan de eisen die worden gesteld voor de aanstelling en aanmelding van de DPO bij de Gegevensbeschermingsautoriteit.

Met andere woorden: indien je iemand aanstelt om toe te zien op data bescherming en privacy binnen je onderneming, maar je bent als onderneming niet verplicht om een DPO aan te stellen, geef deze persoon dan een andere titel zoals bv. privacy officer, privacy verantwoordelijke,…

 

Wat kan Sirius Legal voor u doen?

Het team van Sirius Legal bestaat onder meer uit drie ervaren DPO’s (Bart Van den Brande, Andries Hofkens en Freekje De Vidts) die vandaag heel wat bedrijven bijstaan in het kader van DPO as a service opdrachten. Een DPO hoeft immers niet noodzakelijk een voltijds of deeltijdse bediende te zijn. Deze opdracht kan ook uitgevoerd worden door een consultant die bijvoorbeeld een halve dag, 1 dag of meerdere dagen per maand (in functie van de vraag en nood) DPO-diensten levert aan uw onderneming.

Ons team heeft uitgebreide en jarenlange ervaring in privacy en databescherming. Wij kennen niet enkel onze materie, maar geven zelf ook opleidingen via onder meer Data Protection institute, WoltersKluwer, Infotopics,… zijn erkend arbiter in geschillen rond data protection bij Lexpert/Arbiters.be en bloggen heel regelmatig over deze onderwerpen.

DPO as a service staat bij Sirius Legal garant voor een flexibele samenwerking in functie van de noden van uw onderneming, met een transparant tarief op maat (van KMO tot multinational én met ruime ervaring in de non-profitsector). Onze tarieven starten vanaf 500 EUR/dag (excl. BTW) voor kleine ondernemingen en verenigingen.

Meer info of een vrijblijvende offerte aanvragen? Contacteer ons via gdpr@siriuslegal.be

18.09.2018 Bart Van den Brande

De Californian Consumer Protection Act CCPA: Bescherming van persoonsgegevens dringt nu ook in de VS door...

Dat op 25 mei 2018 de GDPR van toepassing is geworden, zal niet veel mensen ontgaan zijn. Zelfs in Sillicon Valley (Californië) – de bakermat van techbedrijven in de wereld – zijn ze van deze ontwikkeling op de hoogte. Op 28 juni 2018 is in Californië de ‘California Consumer Privacy Act’ (de CCPA) aangenomen, een nieuwe wetgeving om de persoonsgegevens van consumenten in deze staat te beschermen. Deze CCPA heeft aardig wat weg van ‘onze’ GDPR.

 

CCPA, een Amerikaanse GDPR?

Europa heeft met de invoering van de GDPR het voortouw genomen in de bescherming van de privacy van haar burgers en de bescherming van persoonsgegevens.

Heel wat internationale technologiebedrijven, zoals  zoals Google en Microsoft, hebben in het kader van GDPR beloofd om de GDPR regels wereldwijd te implementeren en dat lijkt op zijn beurt weer een bewustzijn rond databescherming te creëren in heel wat andere rechtsgebieden.  Brazilië publiceerde afgelopen maand bijvoorbeeld zijn eigen versie van de GDPR en ook in de VS lijkt men nu de Europese basisprincipes opgepikt te hebben.

Nochtans heeft men in de VS altijd al meer waarde gehecht aan economische belangen en aan de vrijheid van meningsuiting dan aan privacy en bescherming van persoonsgegevens.  Het gevolg daarvan was altijd dat de Amerikaanse privacywetgeving vooral gefocust was op het optreden van de overheid ten aanzien van haar burgers en niet zozeer op wat bedrijven doen met de data van consumenten..

Californië neemt nu het voortouw in een ommezwaai die de VS dichter bij het Europees privacyrecht lijkt te gaan brengen door het aannemen van de CCPA.

Het opzet van de CCPA is om duidelijke beperkingen op te leggen aan de onbeperkte verzameling en verwerking van persoonsgegevens en om ongevraagde gegevensverzameling tegen te gaan.  De wet werd in recordtijd tot stand gebracht en kende weinig weerstand, wat wellicht gezien moet worden in het licht van het recente Cambridge Analytica-schandaal.

Het doel van de CCPA is in de eerste plaats om consumenten inzicht te geven hoe bedrijven hun persoonsgegevens verzamelen en verwerken. Om die reden zijn informatieverplichtingen voorzien die vergelijkbaar zijn met de informatieverplichtingen die onder GDPR gelden en die in Europa leiden tot uitgebreide privacy policies voor bedrijven.  

Ook de rechten van de consument worden versterkt, met erg GDPR-achtige rechten om bijvoorbeeld gegevens te laten verwijderen.  Wat niet letterlijk in de GDPR staat, maar wel in de CCPA is het recht voor de consument om gegevens niet door te laten verkopen aan derden.

In het algemeen is de vaststelling, net als in andere landen zoals het al genoemde Brazilië, dat de Californische wetgever de Europese GDPR duidelijk goed gelezen heeft.  heel wat regels zijn vergelijkbaar of minstens op dezelfde ideeën geënt.

 

Beperktere scope van de GDPR

De CCPA zal van toepassing zijn op bedrijven die voldoen aan de volgende voorwaarden:

  • Bedrijven met jaarlijkse bruto-inkomsten van minstens 25 miljoen dollar
  • Databrokers en andere bedrijven die persoonlijke gegevens van 50.000 of meer consumenten, huishoudens of apparaten kopen, ontvangen, verkopen of delen
  • Zaken die het grootste deel van hun jaarlijkse inkomsten halen uit de verkoop van persoonlijke informatie van consumenten.

Velen zullen hierbij de bedenking hebben dat ook de EU dergelijke minimumgrenzen had kunnen voorzien, zodat niet elke kleine zelfstandige ondernemer in de EU onder de zware GDPR regels zou vallen, maar het uitgangspunt in Europa was duidelijk om élke verwerking van persoonsgegevens te reguleren.

De CCPA geeft burgers het recht om een burgerlijke vordering in te stellen tegen bedrijven die de wet overtreden en legt de schadevergoeding forfaitair vast op een bedrag van 100 tot  750 per betrokkene (of hoger ligt, als er meer schade kan worden bewezen). Bovendien kan de staat rechtstreeks boetes opleggen van 7.500 dollar voor elke beweerde overtreding die niet binnen 30 dagen wordt opgelost.  De boetes zijn dus in elk geval van een heel andere grootteorde dan in de EU…

 

Nog niet definitief goedgekeurd

De tekst is nog niet helemaal definitief en de verwachting is dat de komende maanden met name heel wat techbedrijven, die in grote getale hun zetel in Californië hebben zitten, zullen proberen te lobbyen om de meest ‘strenge’ maatregelen van de wet af te laten zwakken. De wet treedt namelijk pas in 2020 in werking en kan tot die tijd nog worden aangepast en gewijzigd. Of de persoonsgegevens van consumenten in Californië daadwerkelijk goed beschermd zullen worden, zal dus afhangen van de mate waarin de oppositie de wetgevers weet te overtuigen.

 

Wat betekent dit voor Europese bedrijven?

De verwachting is dat er niet zo veel verandert voor bedrijven binnen Europa – die tevens gegevens verwerken van inwoners uit Californië. De CCPA lijkt in de huidige vorm zó veel op de GDPR dat een bedrijf dat aan de vereisten van de GDPR voldoet, eigenlijk meteen voldoet aan de privacywetgeving van Californië.

De toekomst zal ons leren in welke vorm de CCPA uiteindelijk ingevoerd gaat worden in 2020 en wat de reactie van andere staten uit de VS zal gaan zijn.

Mogelijk zal de nieuwe privacywetgeving invloed hebben op de rest van Amerika. De (strikte) standaard is nu gezet en zal wellicht als een basis overgenomen worden door bedrijven, in plaats van dat bedrijven ‘per staat’ hun privacybeleid aan gaan passen.

 

Vragen over databescherming of over zakendoen in de VS?

Sirius Legal heeft een team van specialisten in databescherming én in internationale handel en kan bovendien terugvallen op een bijzonder uitgebreid netwerk aan internationale contacten, inclusief in verschillende staten in de VS, waaronder Californië.

Neem gerust vrijblijvend contact op op info@siriuslegal.be of op 0032 2 721 13 00.

18.09.2018 Bart Van den Brande

Ook Brazilië heeft eigen “GDPR” wetgeving

Nu in de EU de GDPR langzaamaan volledig ingebed raakt en ondernemingen in alle lidstaten volop werken aan compliance met de nieuwe regels, zien we recentelijk ook in andere rechtsgebieden nieuwe databeschermingswetgeving opduiken, die vaak op dezelfde principes gebaseerd is als de GDPR.   

Zopas nog maakte Californië bekend dat ze een data protection act voorbereiden en ook in bvb Australië wordt er gewerkt aan nieuwe privacywetgeving. Afgelopen zomer heeft daarnaast ook Brazilië een eigen Algemene Wet betreffende Gegevensbescherming gekregen.  De nieuwe wet treedt in februari 2020 in werking.

 

Braziliaanse GDPR?

Opmerkelijk is dat de Braziliaanse wet erg gelijkaardige principes en definities hanteert als de Europese GDPR.

Zo is de definitie van wat als persoonsgegevens beschouwd moet worden quasi identiek.  Volgens de wet worden ‘persoonsgegevens’ gedefinieerd als gegevens met betrekking tot een geïdentificeerd of identificeerbaar individu. Met andere woorden, alle gegevens die kunnen worden gebruikt, alleen of in combinatie met andere informatie, om een ​​persoon te identificeren. Ook het begrip verwerking loopt gelijk met de EU: elke daad van verzamelen, gebruiken, openen, reproduceren, archiveren, opslaan, verwijderen en overdragen van persoonlijke gegevens in online of offline omgevingen.

Personen wordt de eigendom en controle over hun persoonsgegevens teruggegeven en zij moeten nu, net als in de EU in principe voorafgaande toestemming geven voordat hun gegevens kunnen worden verwerkt of gedeeld. Ook de “doelgebondenheid” uit de GDPR heeft zijn weg gevonden in de Braziliaanse wet: elke verwerking van gegevens moet beperkt zijn tot het specifieke doel dat aan de gebruiker wordt medegedeeld op het ogenblik dat hij of zij toestemming geeft.

De wet geeft, net als de GDPR, bijzondere bescherming aan bepaalde gegevens die als “gevoelig” zijn gedefinieerd en ook hier is de opsomming dezelfde als onder GDPR: raciale en etnische achtergrond, religie, politieke meningen en voorkeuren, gegevens over gezondheid en seksuele geaardheid en genetische of biometrische gegevens.

Net als in Europa worden de rechten van de betrokkenen versterkt en zullen individuen toegang moeten krijgen tot hun persoonsgegevens.

 

Belangrijk voor wie zaken doet met Brazilië

Belangrijk voor wie actief is in Brazilië is het feit dat de wet voorziet dat ook buitenlandse bedrijven die data verwerken van Brazilianen onderworpen zijn aan de Braziliaanse wet.  Bovendien bevat de wet een aantal specifieke verplichtingen of beperkingen voor buitenlandse bedrijven.

Aangezien de Braziliaanse wet, net als de GDPR, in bijzonder hoge boetes voorziet (in het geval van Brazilië tot 2% van de groepsomzet in het afgelopen fiscale jaar met een maximum van omgerekend 10 miljoen euro) doen buitenlandse bedrijven die in Brazilië actief (willen) zijn er best aan zich tijdig te informeren en waar nodig, net als onder GDPR in Europa, de nodige voorbereidende maatregelen te nemen.

 

Vragen over databescherming of over zakendoen in Brazilië?

Sirius Legal heeft een team van specialisten in databescherming én in internationale handel en kan bovendien terugvallen op een bijzonder uitgebreid netwerk aan internationale contacten, inclusief in Brazilië.

Neem gerust vrijblijvend contact op op info@siriuslegal.be of op 0032 2 721 13 00.

14.09.2018 Bart Van den Brande

Beter laat dan nooit: Ook België heeft zijn "GDPR-wet" klaar

Beloofd voor het begin van het jaar, maar naar goede Belgische gewoonte uiteindelijk meer dan drie maanden te laat: de Belgische wet van 30 juli 2018 tot uitvoering van de AVG/GDPR werd afgelopen 5 september 2018 eindelijk gepubliceerd in het Belgisch Staatsblad en dat na een zeer korte voorbereiding en zonder veel democratisch debat in het parlement.

 

GDPR-wet vervangt de Privacywet van 8 december 1992

De “Wet van 30 juli betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens” (die wij hierna “de GDPR-wet” zullen noemen) schrapt de oude wet van 8 december 1992 en de daarbij horende uitvoeringsbesluiten. Deze wet komt bovenop de wet van 3 december 2017, die alvast de nieuwe Gegevensbeschermingsautoriteit oprichtte.

 

Wat staat er in deze GDPR-wet?

De GDPR-wet is uiteindelijk érg omvangrijk geworden, als men er rekening mee houdt dat ze eigenlijk enkele enkele bijkomstige elementen zou moeten uitwerken die niet rechtstreeks door de GDPR zelf geregeld zijn.  Maar liefst 280 artikels regelen niet enkel de implementatie van de GDPR an sich, maar in één trek door ook de omzetting van een andere richtlijn, met name “Richtlijn 2016/680 betreffende gegevensverwerking in verband met het plegen van strafbare feiten en hun straffen” én daarbovenop bevat de wet een hele waslijst specifieke regels betreffende de privacy-gerelateerde aspecten van de werking van onze inlichtingendiensten, leger en veiligheidsdiensten.

 

De territoriale reikwijdte

Een element dat in de GDPR zelf onduidelijk blijft, betreft de territoriale bevoegdheid en reikwijdte van nationale wetgeving van de lidstaten.

De Belgische wetgever tracht dat zelf in te vullen door te stellen dat de wet van toepassing is op elke verwerking van persoonsgegevens die plaatsvindt in het kader van de activiteiten van een in België gevestigde verwerker of verantwoordelijke, zelfs als de eigenlijke verwerking in een ander land plaatsvindt.

De wet is daarnaast ook van toepassing op elke verwerking van persoonsgegevens van Belgische inwoners, ook als de verantwoordelijke of de verwerker zich buiten de EU zouden bevinden.

 

De nieuwe uitvoeringsregels en toepassing van de GDPR

De GDPR is een Europese verordening, die rechtstreekse toepassing heeft in de ganse EU.  Op het eerste zicht is dan weinig nationale wetgeving nodig voor de “omzetting” in nationaal recht, maar de GDPR liet de lidstaten nog steeds heel wat ruimte om enkele specifieke elementen zelf te regelen.

Het is in die context dat de Belgische wetgever beslist heeft om:

  • De minimumleeftijd waarop jongeren zelf toestemming kunnen geven voor verwerking van hun persoonsgegevens (in een digitale context) wordt omlaag gebracht van de in de GDPR voorziene 16 jaar naar 13 jaar.
  • Een hele lijst van verwerkingen wordt om redenen van openbaar belang noodzakelijk geacht en vormt een uitzondering op het verbod op “gevoelige” gegevensverwerking, zo onder meer verwerking van persoonsgegevens door vzw’s of stichtingen met als doel de verdediging van de mensenrechten.  Ook Child Focus bijvoorbeeld wordt hier nominatum vernoemd.
  • Aanvullende waarborgen zijn voorzien voor de verwerking van genetische, biometrische en gezondheidsgegevens (dit is bijna letterlijk de inhoud van het relevante KB onder de oude Privacywet).  Zo moet de verantwoordelijke bijvoorbeeld zorgen voor het classificeren van mensen met toegang tot de gegevens, met een nauwkeurige beschrijving van hun functie in relatie tot de uitgevoerde behandelingen.
  • Een lijst is voorzien waarin een uitzondering wordt gemaakt op het verbod op verwerking van gegevens met betrekking tot veroordelingen en strafbare feiten. Natuurlijke of rechtspersonen, publiek- of privaatrechtelijk, hebben bijvoorbeeld het recht dergelijke gegevens te verwerken met het oog op het beheer van hun eigen geschillen; advocaten zijn ook vrijgesteld van dit verbod in het belang van de verdediging van hun klanten enz.
  • De wet voorziet in een aantal beperkingen van de rechten van betrokkenen in het kader van de verwerking van hun gegevens door gerechtelijke autoriteiten, politiediensten, de algemene inspectie van de federale politie en de lokale politie, de fiscus, de algemene administratie van douane en accijnzen en in het kader van verwerking van passagiersinformatie in de luchtvaart.
  • De wet regelt verder een hele reeks aangelegenheden met betrekking tot de werking van en de verwerking van gegevens door actoren in de openbare sector (artikelen 19 tot en met 23 van de wet).  Deze artikels zijn o.i. van relatief belang voor de openbare sector en we gaan hier om deze reden niet in op de details.
  • Wat wel aandacht vereist is de vaststelling dat de Belgische wetgever de gevallen waarin de aanwijzing van een DPO vereist is, verbreedt. De wet bepaalt dat een private rechtspersoon die persoonsgegevens verwerkt namens een federale overheidsinstantie of een federale overheidsinstantie die persoonsgegevens heeft overgedragen, altijd een DPO moeten aanstellen bij de behandeling van gegevens die een hoog risico met zich mee kunnen brengen in de zin van artikel 35 van de GDPR.
  • De wet voorziet een hele reeks erg uitgebreide vrijstellingen en ontheffingen voor behandeling voor journalistieke doeleinden en voor wetenschappelijke, artistieke en literaire doeleinden.

 

Rechtsmiddelen en sancties

De wet regelt daarnaast ook het aspect van de gerechtelijke actiemiddelen in geval van overtreding van de GDPR en de bijhorende Belgische wetten.

Gerechtelijke procedures kunnen ingesteld worden niet enkel door de betrokkene zelf, maar ook door belangenverenigingen en door de bevoegde toezichthoudende autoriteit en deze procedures kunnen gepaard gaan met een vordering tot schadevergoeding op basis van contractuele of buitencontractuele aansprakelijkheid.

Bevoegd is de voorzitter van de rechtbank van eerste aanleg, zetelend zoals in kortgeding.

De wet regelt tenslotte een aantal administratieve sancties voor overheden, hun ambtenaren en aangestelden.  Terechte bedenking die de oude Privacycommissie daarbij destijds al maakte is dat de overheid zichzelf bezwaarlijk boetes kan of zal opleggen, natuurlijk…

 

Vragen over GDPR of databeshcemrign en privacy in het algemeen?

Contacteer ons vrijblijvend op info@siriuslegal.be of op 02 721 13 00

1 2