Blog Privacy

De GDPR is inmiddels 5 jaar in werking en de voorbije 3 jaar, sinds mei 2018, wordt de inhoud ervan ook effectief afgedwongen door de overheid.

Ook na al die tijd blijkt elke dag opnieuw dat ondernemers de regels rond gegevensbescherming onduidelijk, vaag en moeilijk te begrijpen vinden en onze ervaring leert dat heel wat goedbedoelende ondernemers afhaken bij gebrek aan begrip van wat er van hen precies verwacht wordt.  Het ganse uitgangspunt van GDPR is dan ook in wezen een open deur naar onzekerheid en toekomstige risico’s: ondernemingen moeten een gepast niveau van veiligheid voorzien en moeten daarvoor gepaste maatregelen nemen, maar voorafgaand is er geen enkele manier om te weten of de maatregelen die zij zich voornemen inderdaad “gepast” zijn.  De beoordeling naar het eventuele tekortschieten van de ondernemer in kwestie gebeurt pas post factum, als er op een later ogenblik klachten, controles of datalekken optreden…  Een en ander is erg moeilijk te begrijpen voor ondernemers, die immers in hun dagelijkse activiteit precies proberen om zoveel mogelijk onzekere factoren uit te schakelen en onzichtbare risico’s te vermijden.

Webbouwers, app-ontwikkelaars of online marketeers stellen ons daarbij zeer regelmatig de vraag of zij hun plannen voorafgaand kunnen voorleggen aan de Gegevensbeschermingsautoriteit voor advies en goedkeuring, zoals dat ook in fiscale aangelegenheden kan.

Tot op vandaag kan dat niet, maar een recent wetsontwerp lijkt daar verandering in te gaan brengen.

Voorafgaand privacy advies

Voorafgaand advies van de GBA over voorgenomen verwerkingen, laat staan de expliciete validatie ervan, is vandaag in se onmogelijk.  GDPR voorziet zulks niet expliciet en ook de Belgische kaderwet voorziet niet in een formele procedure.  Wie geluk -en de juiste begeleiding- heeft kan soms wel informeel bij de GBA terecht, maar die informele akkoorden worden niet gepubliceerd en zelfs als ze dus één specifiek bedrijf vooruit helpen, zijn andere verantwoordelijken of verwerkers dus vaak niet op de hoogte van precedenten en kunnen zij er zich niet op baseren of beroepen.

Een recent wetsvoorstel vanuit CD&V-hoek wil daar verandering in brengen.  Het idee is om een systeem van voorafgaande beslissingen in te bouwen in de Belgische Kaderwet waardoor de Gegevensbeschermingsautoriteit in individuele gevallen kan bepalen hoe de gegevensbeschermingswetgeving zal worden toegepast op een specifieke situatie of beoogde verwerking van persoonsgegevens.  Het voorstel voorziet daarvoor in een raadplegingsprocedure die maximaal drie maanden zou duren.  Zo’n ruling geeft rechtszekerheid aan de aanvrager, want zij verbindt alle diensten van de Gegevensbeschermingsautoriteit. Een voorafgaande beslissing zou de Gegevensbeschermingsautoriteit voor de toekomst verbinden.

De indieners verwijzen in hun voorstel naar succesvolle proefprojecten in het Verenigd Koninkrijk met de zogenaamde “regulatory sandboxes”.  Sinds maart 2019 biedt de Britse toezichthouder  (Information Commissioner’s Office) een nieuwe dienst aan, die is ontworpen om organisaties te ondersteunen die innovatieve en maatschappelijk nuttige projecten ontwikkelen waarbij er een gebruik van persoonlijke gegevens is.  Organisaties die deelnemen aan de sandbox kunnen profiteren van de mogelijkheid om rechtstreeks met de toezichthouder in contact te treden over innovatieve projecten met complexe gegevensbeschermingskwesties.

Persoonlijk kunnen wij dit voorstel enkel zeer hard toejuichen.  Als het uiteindelijk aangenomen wordt, zal het voor héél veel ondernemers de kans bieden om vooraf zekerheid te krijgen over hun plannen en op die manier onnodige juridische en financiële risico’s te vermijden.  Een en ander kan alleen maar het algemene niveau van GDPR compliance bij Belgische ondernemingen vergroten.

Het is nu vanzelfsprekend wachten op een eventueel politiek akkoord om dit voorstel ook effectief goed te keuren. Wij houden dit in elk geval stipt in de gaten en zorgen voor de nodige info en uitleg op onze blogpagina zodra alles definitief zou zijn.

Maar zo’n rulings bestaan eigenlijk wél al voor een stukje…

Zo’n voorafgaande consultatie en “ruling” bestaat vandaag overigens eigenlijk wel degelijk al wél onder GDPR.   Artikel 35 voorziet immers dat de verantwoordelijke voor de verwerking die een voorafgaande Gegevensbeschermingseffectenbeoordeling of Data Protection Impact Assessment voert en op het eind daarvan vaststelt dat er een restrisico bestaat, verplicht is om het voorafgaande en bindende advies van de GBA in te winnen.

Alleen is de vaststelling dat de meerderheid van de Belgische ondernemingen hun verplichtingen onder artikel 35 niet kennen of deze -erger nog- bewust naast zich neerleggen, waardoor de GBA nauwelijks verzoeken tot voorafgaande raadpleging ontvangt.

Wie meer wil weten over Data Protection Impact Assessments kan overigens terecht op ons Youtube kanaal voor de opname van één van onze recente webinars precies over DPIA’s:  https://youtu.be/y66jmrYeQWU

Meer weten over GDPR en databescherming? Heb je zelf een project waarvoor je wel privacy advies wil inwinnen? 

Ons team maakt graag tijd.  Boek gerust rechtstreeks een kennismaking in de agenda van Bart of neem contact via mail  (bart@siriuslegal.be) of per telefoon op  +32 492 249 516

Om de zoveel tijd duikt er tegenwoordig een nieuw social mediaplatform op dat volgens insiders en early adopters het internet gaat veranderen.  

Het succes van de Snapchats en TikToks in deze wereld heeft twee dingen gemeen: enerzijds taant hun succes even snel als dat hun hype begonnen is en anderzijds -en daarin ergert de privacy voorvechter in mij zich blauw aan- blijkt telkens weer dat de bedrijven achter de apps het alles behalve nauw nemen met jouw en mijn privacy.  In sommige gevallen lijkt dit vooral een gevolg van een totaal gebrek aan kennis van en inzicht in (Europese of andere) gegevensbeschermingsregels, maar even vaak blijft toch vooral de indruk achter dat het ganse businessmodel van social mediabedrijven gebouwd is op ongebreidelde datacollectie tot meerdere eer en glorie van de advertentieprofielen die uit die data gedistilleerd kunnen worden.

Schoolboek marketingklassiekers

De laatste ster aan het social mediafirmament is Clubhouse, een audiodiscussieapp waar je alleen na een uitnodiging door één van je vrienden mee aan de slag kan. 

De makers achter Clubhouse hebben met andere woorden enkele marketingklassiekers uit de kast gehaald om van hun nieuwe product een succes  te maken: kunstmatige schaarste creëren door de toegang tot je product te beperken en rekenen op het ego van de happy few om de hype aan te wakkeren en de massa reikhalzend te laten uitkijken naar het moment dat ook zij opgenomen worden in the inner circle.  Het lukte destijds al op speelplaatsen overal ter wereld met de zeldzame Pikachukaartjes en ook vandaag nog vallen we met zijn allen voor dezelfde verhalen…

Over privacy en GDPR…

Maar ook Clubhouse blijkt in hetzelfde bedje ziek te zijn als zovele andere succesverhalen uit je favoriete lokale appstore.  De marketingstrategie is weldoordacht, maar bij het respect voor jouw en mijn privacy heeft niemand echt lang stil gestaan. 

Het hoeft dan ook niet te verwonderen dat Clubhouse intussen het voorwerp uitmaakt van onderzoeken door verschillende Europese privacyoverheden.  Zowel de Franse CNIL als de deelstatelijke DPA in Hamburg, de HmbBfDI onderzoeken op dit ogenblik de manier waarop Alpha Exploration Co., het Amerikaanse bedrijf achter Clubhouse omgaat met persoonsgegevens van haar gebruikers én van derden.  

In Frankrijk is het onderzoek overigens een gevolg van een petitie tegen Clubhouse die inmiddels meer dan 10.000 handtekeningen verzamelde.  Wie zich de miljoenenboetes in Frankrijk voor Google en Amazon afgelopen december nog herinnert weet dat de CNIL hard en gericht kan uithalen tegen Amerikaanse techbedrijven.

Jouw contactgegevens verwerkt zonder dat je het wist… 

Een van de grootste issues met Clubhouse is dat het hele verhaal gebaseerd is op een, member-get-member systeem, waarbij bestaande leden hun digitale telefoonboek uploaden en openstellen voor Clubhouse. Op basis daarvan worden telkens nieuwe gebruikers uitgenodigd.   

Met andere woorden, ook als je vandaag nog geen uitnodiging hebt gekregen, heeft Clubhouse jouw persoonsgegevens waarschijnlijk wél al verwerkt zonder jouw toestemming via één van je vrienden of kennissen en dat op zich is érg problematisch.  

De Belgische GBA legde aan datingwebsite Twoo nog maar enkele maanden geleden in zeer gelijkaardige omstandigheden een stevige boete op, met de argumentatie dat voor de verwerking van vriendengegevens geen geldige rechtsgrond onder GDPR gevonden kan worden.  Je vrienden hebben immers geen toestemming gegeven aan -in dit geval- Clubhouse om hun gegevens te verwerken en ook niet aan aan jou om hun gegevens met dat doel te verwerken en te delen met Clubhouse.  Clubhouse en haar gebruikers kunnen evenmin terugvallen op een gerechtvaardigd belang in deze context en de verwerking van contactgegevens van niet-gebruikers mist dus een geldige rechtsgrond.  

Het gaat hier overigens niet om een administratieve formaliteit.  De verplichting om wel een geldige rechtsgrond te hebben voor elke verwerking van persoonsgegevens is één van de hoekstenen van GDPR en van jouw en mijn privacybescherming…

Clubhouse gaat overigens nog een stapje verder als het gaat om de verwerking van telefoonboekgegevens van haar gebruikers.  Die worden immers niet alleen gebruikt om nieuwe leden uit te nodigen, maar ook om een database met ​​gebruikersstatistieken of -profielen samen te stellen over bestaande en toekomstige gebruikers.  De eerste indicaties van de CNIL lijken aan te geven dat Clubhouse die gegevens verkoopt of kan verkopen aan derden (adverteerders). Clubhouse zelf schrijft in haar privacy policy weliswaar dat het “uw persoonlijke gegevens niet verkoopt“, maar tegelijk noemt het wel een groot aantal gevallen waarin je gegevens potentieel kan “delen” met derden, inclusief voor “reclame- en marketingdiensten”…

Gesprekken opgenomen zonder dat je het wist…

Wist jij trouwens dat Clubhouse je gesprekken ook opneemt? Op zich hoeft dat geen probleem te zijn, tenminste voor zover Clubhouse die opnames alleen gebruikt om eventuele klachten te beoordelen en opnames daarna definitief van haar servers te verwijderen. Alleen weten we niet of Clubhouse dat ook echt doet en het bovenstaande verhaal geeft alvast weinig vertrouwen.

Geen transparantie…

Vooral de Duitse overheid struikelt daarenboven over het feit dat Clubhouse geheel niet transparant is naar gebruikers toe.  De correcte contactgegevens van het bedrijf achter Clubhouse (“das Impressum”, zoals dat onder Duits recht genoemd wordt) zijn nergens duidelijk vindbaar en de privacy policy is alleen in het Engels beschikbaar, daar waar GDPR vereist dat die in een (voor de gemiddelde gebruiker) begrijpelijke taal opgesteld is.  Ter vergelijking, Whatsapp liep in 2016 al eens een stevige boete op in Duitsland omdat haar gebruiksvoorwaarden niet in het Duits beschikbaar waren.  Bovendien blijkt uit de privacy policy dat heel wat verplichte informatie ontbreekt zoals bijvoorbeeld de bewaartermijnen van jouw persoonsgegevens en de namen van de partijen met wie die gegevens gedeeld worden…

Ook onduidelijk overigens lijkt op het eerste zicht de datacollectie door middel van cookies en andere trackers.  Clubhouse geeft zelf aan dat het data verzamelt op die manier én dat het die deelt met adverteerders via advertentienetwerken.   Clubhouse geeft echter voor zover wij konden vaststellen nergens een duidelijk overzicht van wélke cookies en trackers gebruikt worden, wélke data verzameld wordt en met wie die data precies gedeeld wordt.  Bovendien wordt, opnieuw voor zover wij konden vaststellen, nergens vrije toestemming gevraagd voor het plaatsen van die cookies en trackers…

Data export buiten de EU

Persoonsgegevens exporteren buiten de EU (door ze bijvoorbeeld op te slaan op servers in de VS) mag enkel onder strikte voorwaarden en mits contractuele én technische veiligheidswaarborgen.  Clubhouse echter beperkt zich in zijn privacy tot de laconieke melding dat “By using our Service, you understand and acknowledge that your Personal Data will be transferred from your location to our facilities and servers in the United States, and where applicable, to the servers of the technology partners we use to provide our Service”.

Blijf je beter weg van Clubhouse dan?

Of Clubhouse een zoveelste hype is dan wel een blijver in het social medialandschap zal de tijd uitwijzen.  Bovenstaande opmerkingen hoeven ook niet noodzakelijk te betekenen dat je beter niet met Clubhouse aan de slag gaat.  Follow the hype als je je daartoe geroepen voelt, daar is in se niets mis mee.

Maar als consument en burger kan je maar beter bewust zijn van wat big tech bedrijven met je data doen, zodat je bewuste keuzes kan maken.  

Met andere woorden, wees voorzichtig, informeer je en lees zorgvuldig de gebruiksvoorwaarden en het privacybeleid voor je Clubhouse of elke andere social media app gebruikt.

Meer weten over GDPR, gegevensbescherming of social media?

Aarzel dan niet om ons te contacteren via bart@siriuslegal.be of boek een vrijblijvend videogesprek met Bart via deze link: https://koalendar.com/events/Meet-with-Bart-Van-den-Brande 

Een komend arrest van het Hof van Justitie kan mogelijks interessante gevolgen hebben voor bedrijven die in een grensoverschrijdende context werken. De Advocaat-Generaal van het Hof van Justitie schreef in een recente opinie over de zaak van de Belgische Gegevensbeschermingsautoriteit (GBA) tegen Facebook dat ‘de GBA van het land waar de hoofdvestiging van een bedrijf is gevestigd een algemene bevoegdheid heeft om juridische procedures te starten tegen dat bedrijf. De andere GBA’s hebben deze bevoegdheid ook, maar slechts in een beperkt aantal gevallen.

Lokale en leidende autoriteiten

Een Gegevensbeschermingsautoriteit (GBA) of Data Protection Authority (DPA) is een onafhankelijke overheidsinstantie die onder andere waakt over ons recht op een privéleven. Elk Europees land heeft minstens één zo’n autoriteit die binnen haar grondgebied haar bevoegdheden uitoefent. Soms zijn meerdere GBA’s bevoegd, want problemen doen zich steeds meer over de grenzen heen voor. In dat geval is er een leidende GBA. Dat is de GBA van het land waar de hoofdvestiging zich bevindt van de verwerker of verwerkingsverantwoordelijke die de inbreuk pleegt. 

België v. Facebook

De zaak begon een vijftal jaar geleden al toen de voorloper van de Belgische GBA Facebook voor de rechter sleepte. De reden hiervoor zat hem onder meer in het gebruik van tracking cookies. Dat zijn cookies om internetgebruikers te volgen over verschillende websites heen. De voorloper van de Belgische GBA kreeg eerst haar gelijk, maar Facebook ging tegen deze beslissing in beroep. Facebook beweert dat de Belgische GBA niet bevoegd is om een juridische procedure tegen haar te beginnen. Zij is van mening dat enkel de GBA van de plaats van haar hoofdvestiging bevoegd is om gerechtelijke procedures te starten. In dit geval zou dat dan de GBA van Ierland zijn. 

Vervolgens heeft het Hof van Beroep in Brussel de vraag gesteld aan het Hof van Justitie in Luxemburg wie er bevoegd is om gerechtelijke zaken aan te spannen tegen een bedrijf in geval van grensoverschrijdende inbreuken. Is dat enkel de leidinggevende GBA of kan iedere nationale GBA dit doen?

One DPA to rule them all

Het is nog even wachten op een arrest van het Hof van Justitie, maar de Advocaat-Generaal Michal Bobek heeft zijn advies reeds gedeeld. Deze opinies worden bijna altijd ook gevolgd door het Hof van Justitie. Hij verduidelijkt in zijn opinie dat GBA’s inderdaad de bevoegdheid hebben om inbreukplegers voor de rechtbank te slepen, maar in geval van grensoverschrijdende geschillen wordt deze bevoegdheid ingeperkt. Dan mag enkel de leidende GBA in eerste instantie een procedure starten in samenspraak met de andere bevoegde autoriteiten. 

Dit is het principe van het één-loketmechanisme. Dat betekent dus dat een bedrijf in eerste instantie slechts door de GBA van zijn hoofdvestiging voor de rechter kan gebracht worden. In de Facebook zaak betekent dit dus dat de Ierse GBA in eerste instantie de bevoegdheid heeft om een procedure te starten. Zij dient dit wel steeds te doen in nauwe samenwerking met de andere GBA’s. Let wel, de slachtoffers van een inbreuk kunnen nog steeds procedures starten in hun eigen land tegen de bedrijven met een hoofdvestiging in een ander land. 

De Advocaat-Generaal benadrukt dat de nationale GBA’s in vijf gevallen gerechtelijke procedures kunnen starten wanneer zij niet de leidende GBA zijn:

• Bij inbreuken buiten het kader van de GDPR. Zo heeft de Franse GBA (CNIL) in dit kader al boetes opgelegd voor inbreuken tegen de cookie regels in de ePrivacy richtlijn.
  
• Bij grensoverschrijdende verwerkingen die worden uitgevoerd door overheidsinstanties in het algemeen belang of tijdens de uitoefening van hun openbaar gezag of door niet in de Unie gevestigde verwerkingsverantwoordelijken.
  
• Wanneer de verwerkingsverantwoordelijke geen enkele vestiging in de Europese Economische Ruimte heeft.
  
• Voor dringende maatregelen.
  
• Nadat de leidende DPA heeft besloten om een zaak niet te behandelen.

Het zal nu nog enkele maanden duren voordat het Hof van Justitie een definitief arrest velt in deze zaak. Daarna zal het Brusselse Hof van Beroep zich uitspreken over de zaak, rekening houdende met de antwoorden van het Hof van Justitie. 

Gevolgen

Een mogelijk gevolg van deze situatie is dat sommige bedrijven hun hoofdzetel zullen verplaatsen naar het land met de minst strenge GBA. Sommige GBA’s zijn namelijk meer toegeeflijk op sommige punten dan andere GBA’s. Wil je graag meer weten over welke GBA’s er bevoegd zijn voor jouw verwerkingsactiviteiten of privacy en GDPR in het algemeen? Je mag ons altijd vrijblijvend contacteren via bart@siriuslegal.be en matthias@siriuslegal.be.

Heel wat bedrijfsinformatie zit in de mailboxen van iedereen die bij je bedrijf betrokken is: communicatie met leveranciers en klanten, contracten in bijlage, prijslijsten, kortingen en andere vertrouwelijke informatie. Het is dus logisch dat cybercriminelen meestal niet veel verder gaan zoeken dan je mailaccount. Die bevat immers een enorme bron van (gevoelige) informatie. 

En dat hackers van buitenaf niet in je mailbox mogen neuzen, dat klinkt logisch. Maar dat je dat als werkgever, collega of medevennoot zou doen, daar lijkt die reflex veel minder aanwezig. ‘Het is voor het werk, dus wat is het probleem?’ zou je zeggen. Toch is het antwoord niet zo eenvoudig en is het van belang om je als organisatie daar goed op voor te bereiden. Strafbare handelingen loeren immers al snel om de hoek en zijn niet beperkt tot de bescherming van de privacy.

Niet zonder problemen…

Als medevennoten beslis je om verschillende work accounts te maken, waaronder e-mailaccounts die door elk van de vennoten persoonlijk gebruikt worden. Of je maakt een account aan voor de zelfstandig aangestelde CFO, je voorziet een apart mailadres voor de verschillende freelancers of werknemers die mee aan een project werken. Op het moment dat deze personen tijdelijk niet meer kunnen werken, onbeschikbaar zijn of de onderneming om welke reden dan ook verlaten hebben, kan je verschillende redenen hebben om informatie die in deze accounts opgeslagen zit, te bemachtigen: bewijsmateriaal voor een discussie in de samenwerking (vb. anti-concurrentie, onrechtmatige vrijgave van bedrijfsgeheimen, ..), de opvolging van een project, opzoeken van informatie voor overheidsinstanties, het voorbereiden van een ontslag, nakijken of een bestuurder aansprakelijk zou zijn, etc.

Het probleem is echter dat je je niet zomaar toegang kan verschaffen tot deze accounts. Het is in essentie verboden om met (in sommige gevallen bedrieglijk) opzet kennis te nemen van die elektronische communicatie, voor zover je zelf niet deelneemt aan die communicatie en je geen toestemming hebt van alle deelnemers aan die communicatie. Door een strenge interpretatie en toepassing van de toepasselijke wetgeving zou je je al snel schuldig kunnen maken aan strafbare handelingen.

Bovendien kan je je al snel schuldig maken aan hacking indien je je onrechtmatig toegang verschaft tot een mailbox die aan iemand anders behoort. De vraag tot wie een bepaalde account op een gegeven moment behoort, is in de praktijk overigens niet altijd even eenvoudig.

Let er ook op dat je je schuldig kan maken aan informaticasabotage wanneer je onrechtmatig een account van die andere persoon blokkeert, geheel of gedeeltelijk wist, wijzigt of op een andere manier manipuleert.

Tot slot is de kans groot dat diezelfde handelingen kunnen beschouwd worden als onrechtmatige verwerkingen onder de GDPR. En die voorziet zowel administratieve als strafrechtelijke boetes.

Maar wat kan ik dan wel doen?

Zijn er dan geen mogelijkheden om alsnog toegang te krijgen tot deze accounts en nuttige informatie van mijn onderneming te bemachtigen en te beschermen, zonder dat je je blootstelt aan eventuele strafklachten?

Het is theoretisch gezien nagenoeg onmogelijk om geen strafbare handelingen te stellen wanneer je je op een of andere manier toegang verschaft tot andermans e-mailaccount. De relevante wetgeving voorziet wel in een reeks uitzonderingen, maar deze zijn eerder beperkt en vatbaar voor discussie. Het bekendste instrument vinden we bij het arbeidsrecht, nl. de CAO nr. 81, maar inmiddels is gebleken dat geen enkele werkgever in de praktijk aan het formalisme van deze CAO kan voldoen. Ook de vroegere privacycommissie heeft in haar aanbeveling nr. 08/2012 gezocht naar een praktische handleiding om het controlerecht van de werkgever en de privacy van de werknemer met elkaar te verzoenen, maar kan geen garanties geven. In de rechtspraak wordt dan weer de Antigoondoctrine gebruikt om de belangen van de werknemer deels te beschermen: e-mails kunnen als bewijs gebruikt worden, hoewel ze op strafbare wijze bemachtigd zijn.

Eén ding is duidelijk: het consulteren van andermans e-mailaccount blijft een probleem en zal de volgende jaren nog veel stof doen opwaaien. Maar wat kan je ondertussen doen om jezelf en je onderneming juridisch zo veilig mogelijk te stellen? Daar kunnen in elk geval een aantal richtlijnen voor gegeven worden. Voor deze richtlijnen baseren we ons op 3 belangrijke principes die ook in de bewuste CAO gehanteerd worden:

1.Transparantie

• Maak een duidelijk onderscheid tussen werkmails en privémails en spreek af hoe en wanneer je tijdelijk toegang kan krijgen tot een account.
• Maak kenbaar of spreek af dat werk-accounts onder het beheer van je bedrijf blijven en bepaal duidelijk de rechten van het bedrijf op deze account (toegang, beheer, afsluiting, monitoring, …. vb. tijdens tijdelijke onbeschikbaarheid, …)
• Zorg voor een banner/disclaimer onderaan elke werkmail met vermelding dat deze mail in het belang van het bedrijf kan geconsulteerd worden en dat indien 1 van de deelnemers in het mailverkeer hier bezwaar tegen kan maken via een algemeen mailadres van de onderneming
• Spreek af dat voor elke mail die een zakelijk belang heeft steeds het algemeen mailadres mee in cc wordt gezet (info@…, project@…, secretariaat@…)
• Voorzie duidelijke interne privacy policies, bring-your-own-device policies die de rechten van alle betrokkenen bepalen, een arbeidsreglement, overeenkomst, pop-ups met verwittiging die duidelijkheid creëren over wat elke betrokkene van zijn privacy op de werkvloer mag verwachten.
• Voorzie een duidelijke opname in je dataregister en voer een gegevensbeschermingseffectbeoordeling uit.

2.Proportionaliteit

Indien je beslist om tot een bepaalde controle over te gaan, bepaalde communicatie op te pikken of informatie te zoeken om de continuïteit van je activiteiten te verzekeren, zorg er dan steeds voor dat je de minst ingrijpende maatregel neemt. De inmenging in de e-mailaccount moet tot een absoluut minimum beperkt worden.

Bouw daarbij zelf bijvoorbeeld een trapsgewijze procedure in waarbij een steeds indringendere maatregel kan toegepast worden met een reeks waarborgen voor de betrokkene: een voorafgaand overleg, een eerste berisping, de omschrijving van een bepaald vermoeden,  wanneer een maatregel kan genomen, worden, …

Maak eventueel gebruik van de tussenkomst van een externe DPO of een onafhankelijke tussenpersoon die in alle vertrouwelijkheid de bewuste informatie in de e-mailaccounts kan nagaan en hier de louter noodzakelijke informatie uit kan filteren. Zorg ervoor dat de tussenkomst van deze persoon ook duidelijk op voorhand meegedeeld is, zodat de maatregel ook zo goed als mogelijk gedragen wordt door elke betrokkene.

3.Doelmatigheid 

Bepaal steeds op voorhand voor welke doeleinden je een eventuele controle zou uitvoeren, toegang zou nemen of gebruik zou maken van het e-mailaccount. Deze doeleinden kunnen bijvoorbeeld gaan over de vaststelling van strafbare of ongeoorloofde feiten die ook de belangen van je onderneming kunnen schaden, de vaststelling van zaken die de concurrentiële positie van je onderneming kunnen schaden, het na een grondig vermoeden doen vaststellen dat vertrouwelijkheidsverplichtingen geschonden zijn, het garanderen van de veiligheid van het IT-netwerk, de vaststellingen van grove fouten die een ontslag om dringende redenen kunnen vormen, etc.

Zorg voor een duidelijk beleid en goede afspraken

Het consulteren van iemand anders zijn of haar e-mailaccount binnen je bedrijf is nooit zonder risico en nagenoeg altijd strafbaar. Om dat risico tot een minimum te beperken is het van belang dat je op voorhand met alle betrokkenen een duidelijk beleid en goede afspraken maakt rond privacyverwachtingen en rechtmatige toegang tot het e-mailaccount.

Hoewel alle betrokken actoren reeds jaren zoeken naar een goed evenwicht, blijft het voor je bedrijf van belang je eigen verantwoordelijkheid te nemen. Dat accountability-principe, zoals we dat van GDPR kennen, werpt ook in de rechtspraak zijn vruchten af en verhoogt je kansen in een procedure. Aangezien het samenspel tussen de verschillende rechtsbronnen vrij complex is en de rechtspraak zeer genuanceerd, is het aan te raden je te laten bijstaan door iemand met kennis van zaken.

Meer vragen of het beheer van e-mailaccounts binnen je onderneming?

Neem dan vrijblijvend contact op via roeland@siriuslegal.be

Of neem gerust een kijkje op onze cyber security pagina over employee compliance en veilige policies voor werknemers.

Een erg interessante en relevante uitspraak van de Rechtbank Midden-Nederland van 23 november 2020 wijst erop dat gegevensbeschermingsautoriteiten de mogelijkheid van verantwoordelijken voor de verwerking om zich te beroepen op het gerechtvaardigd belang als rechtsgrond niet systematisch mogen inperken.  De vraag of gegevens verwerkt kunnen worden op basis van een gerechtvaardigd belang (en dus zonder expliciete toestemming) moet daarentegen geval per geval beoordeeld worden.

Dit vonnis is ook voor België bijzonder relevant, omdat ook de Belgische GBA in haar Direct Marketing Aanbevelingen van begin dit jaar de mogelijkheid voor bedrijven om zich te beroepen op het gerechtvaardigd belang bijzonder restrictief interpreteert. Daardoor is het met name in marketing en prospectie zeer moeilijk voor bedrijven om gegevens te verwerken zonder voorafgaande expliciete toestemming.

Gerechtvaardigd belang?

GDPR kent zes rechtsgronden op basis waarvan persoonsgegevens verwerkt kunnen worden.  Wie persoonsgegevens wil verwerken moet één van die zes geldig kunnen inroepen.  In een commerciële context moeten bedrijven vaak een keuze maken tussen:

• toestemming vragen
• gegevens verwerken zonder toestemming omdat dit noodzakelijk is om een overeenkomst uit te voeren
• gegevens zonder toestemming verwerken op basis van het “gerechtvaardigd belang” van de verantwoordelijke voor de verwerking.

Met name die laatste rechtsgrond is van zeer groot belang in (direct) marketing en prospectie, waar bedrijven vaak om praktische redenen geen voorafgaande, vrije en geïnformeerde toestemming kunnen bekomen van hun doelpubliek en zich dus noodgedwongen moeten baseren op het gerechtvaardigd belang.

Volgens het Europees Hof voor Justitie kan je je beroepen op het gerechtvaardigd belang om gegevens te verwerken als je voldoet aan een zogenaamde “driestappentest” die individueel op jouw context wordt toegepast:

1. Heb je een gerechtvaardigd belang (doel)?
2. Is de voorgenomen verwerking van persoonsgegevens noodzakelijk om het doel te bereiken?
3. Weegt het belang van jouw bedrijf zwaarder door dan het privacybelang van de betrokkene en vooral ook: verwacht de betrokkene redelijkerwijze dat je zijn gegevens gaat verwerken in deze context?  

Als verantwoordelijke voor de verwerking, moet je zélf deze afweging maken én documenteren in je dataregister.  Er is geen voorafgaande controle door de overheid en het komt niet aan de GBA of andere overheden toe om voorafgaand beperkingen op te leggen op de toepassing van deze toets.

Gerechtvaardigd belang in marketing en prospectie

Probleem voor heel wat marketeers is dat precies in een marketingcontext de Belgische Gegevensbeschermingsautoriteit in haar Aanbevelingen inzake Direct Marketing van begin 2020 het gebruik van het gerechtvaardigd belang wel bijzonder restrictief interpreteert, waardoor bedrijven die aan direct marketing of prospectie willen doen de facto in hun marketingbeleid geblokkeerd worden.

De GBA stelt zo bijvoorbeeld in haar aanbevelingen dat: “Wanneer u nooit enige relatie met een betrokkene heeft gehad, of deze relatie een hele tijd teruggaat zonder dat deze ondertussen werd opgevolgd, kan de rechtsgrond gerechtvaardigd belang niet worden ingeroepen, omdat de ontvangst van uw bericht niet tot hun redelijke verwachtingen behoort.’ 

De Direct Marketingaanbevelingen van de GBA leggen zo aan bedrijven ernstige beperkingen op aan de gevallen waarin zij wel of niet beroep kunnen doen op het gerechtvaardigd belang.  De GBA “interpreteert” immers al vooraf bepaalde situaties en bepaalt zo al vooraf en zonder individuele toetsing de uitkomst van zo’n driestappentest.  De GBA stelt zich met andere woorden ten onrechte in de plaats van de verwerkingsverantwoordelijke enerzijds en de betrokkene anderzijds en zij sluit op algemene gronden – zonder kennis van individuele elementen eigen aan elk dossier – per definitie het beroep op het gerechtvaardigd belang bij direct marketing ten aanzien van prospecten uit.  

Daarmee interpreteert de GBA haar bevoegdheden wel érg breed. Het komt immers niet toe aan de GBA om zelf bijkomende beperkingen op te leggen die niet volgen uit de GDPR zelf of uit de rechtspraak van het Europees hof voor Justitie. De AVG stelt immers uitdrukkelijk dat direct marketing ook een gerechtvaardigd belang kan zijn. 

Wie is (was) VoetbalTV?

VoetbalTV was (het bedrijf is inmiddels failliet) een online platform waarop amateur voetbalwedstrijden werden uitgezonden.  Lokale amateurclubs konden opnames laten maken, die dan online werden aangeboden aan ruim 500.000 gebruikers.  

In die context worden natuurlijk bijzonder veel persoonsgegevens verwerkt. Er staan immers heel wat spelers, scheidsrechters en supporters herkenbaar op beeld. VoetbalTV was van oordeel dat zij onmogelijk aan iedereen toestemming kon vragen en dat zij een gerechtvaardigd belang had om gegevens te verwerken zonder voorafgaande toestemming.  Zij had daarvoor voor zichzelf ook de driestappentest doorlopen om tot dat besluit te komen en was van oordeel dat zij een belang had, dat de verwerking van persoonsgegevens (met name de afbeelding en stem van spelers, scheidsrechters en supporters) noodzakelijk was om wedstrijden op te nemen en dat het tot de gerechtvaardigde verwachting van de aanwezigen bij een voetbalwedstrijd behoort dat er video-opnames gemaakt worden.

De Nederlandse Autoriteit Persoonsgegevens was het daar niet mee eens.  De AP hanteerde altijd een strikte interpretatie van gerechtvaardigd belang. Zij herhaalde in het verleden meer dan eens dat belangen volgens haar pas gerechtvaardigd zijn als ze ergens in de wet expliciet zijn benoemd als rechtmatige, wettelijke belangen.  “Zuiver commerciële belangen en het belang van winstmaximalisatie”, zegt de AP, “zijn niet specifiek genoeg en missen een dringend ‘wettelijk’ karakter, zodat zij niet kunnen worden aangemerkt als gerechtvaardigde belangen. De kern van de activiteiten van eisers bestaat uit de verwerking van persoonsgegevens en met die verwerking verdient zij geld. Zij heeft daarmee een zuiver economisch belang bij het verwerken van persoonsgegevens. Dit kan volgens verweerder nooit een gerechtvaardigd belang zijn.” Zij legde aan VoetbalTV een boete op van maar liefst 575.000 euro.

Wat besliste de Nederlandse rechtbank nu?

Op 23 november 2020 oordeelde de Rechtbank Midden-Nederland nu dat VoetbalTV de door de AP opgelegde boete van € 575.000 niet moet betalen. De Autoriteit Persoonsgegevens heeft ten onrechte de mogelijkheid voor VoetbalTV om zich te beroepen op het gerechtvaardigd belang voorafgaand al ingeperkt in plaats van in de individuele context van VoetbalTV de driestappentest te doorlopen. 

De rechtbank is van oordeel dat de AP al meteen bij de eerste stap van de driestappentest in de fout ging door te zeggen dat het “zuiver commercieel belang” van VoetbalTV geen gerechtvaardigd belang kan zijn omdat commerciële belangen nergens in de wet zijn ingeschreven als rechtmatige of wettelijke belangen.

De rechtbank maakt zeer duidelijk dat de AP de verkeerde logica hanteert: een gerechtvaardigd belang mag niet bij voorbaat uitgesloten zijn.  Een belang is altijd gerechtvaardigd, tenzij de driestappentoets leidt tot het besluit dat dat niet zo is.  

Erg belangrijke uitspraak, ook in Belgische context

VoetbalTV is inmiddels failliet.  Het opheffen van de boete van 575.000 euro maakt voor hen nog weinig verschil.  Maar deze uitspraak is wél bijzonder relevant voor bedrijven in Nederland én in België.

Dit vonnis bevestigt immers dat, in tegenstelling tot wat onze eigen GBA in haar Direct Marketing Aanbevelingen tracht te doen, een overheid niet per definitie bepaalde verwerkingen kan uitsluiten van het gerechtvaardigd belang.  

Je kan als marketeer in je eigen individuele geval en voor je individuele context beoordelen of je al dan niet persoonsgegevens zoals e-mailadressen, namen, fysieke adressen, geboortedata, profielinfo, surfgedrag, etc… kan verwerken zonder daarvoor de expliciete voorafgaande toestemming te hebben van de betrokkene.
De enige drie relevante vragen daarbij zijn:

1. Heb je zelf een te verantwoorden rechtmatig belang (en dat belang kan dus ook puur commercieel zijn)?
2. Is de verwerking van persoonsgegevens noodzakelijk om je belang te verwezenlijken (dit punt vereist wel de nodige aandachtig en terughoudendheid)
3. Is er een evenwicht tussen jouw belangen en de privacy van de betrokkene en verwacht de betrokkene redelijkerwijze dat je zijn of haar gegevens gaat verwerken (wat in een online context zeker te verantwoorden is)

Dit vonnis is dus bijzonder relevant voor marketeers, want het geeft stevig tegengas aan de beperkingen die de Belgische overheid tracht op te leggen aan direct marketing en prospectie zonder voorafgaande toestemming.  Wie zichzelf kan verantwoorden op basis van de driestappentest kan altijd beroep doen op het gerechtvaardigd belang en daarmee openen zich heel wat deuren voor prospectie en direct marketing, vooral in een online context.

Belangrijk blijft wel dat je een gedetailleerd dataregister bijhoudt en dat je ook de driestappentest duidelijk motiveert en documenteert in je dataregister.  Daarnaast kan je maatregelen nemen om het evenwicht tussen jouw belangen en de privacy van de betrokkene in evenwicht te houden. Zorg bijvoorbeeld voor een transparante en gedetailleerde privacy policy, gebruik gegevens alleen voor het doel waarvoor je ze verzamelde, verzamel niet meer gegevens dat minimaal nodig is, bewaar prospectgegevens slechts voor een zeer beperkte periode, …

Hulp nodig bij het kiezen van de juiste rechtsgrond?

We zien vandaag nog al te vaak dat bedrijven zich maar al te makkelijk baseren op gerechtvaardigd belang, maar zonder hier verder de nodige juridische aandacht aan te schenken.   Heb jij als marketeer of webverantwoordelijke hulp nodig om je marketing- en prospectiebeleid juridisch in goede banen te leiden?

Sirius Legal verzorgt op zeer regelmatige basis legal compliance audits voor marketingdepartementen, webshops en  salesdepartementen, waarin we in overleg met de cliënt datastromen in kaart brengen, de marketingobjectieven voor de lange termijn analyseren, dataregisters opstellen, aanbevelingen en adviezen geven rond rechtsgronden, opt-ins, dataverzameling, … en samen met de cliënt ook een onderzoek doen naar de gebruikte tools, data export, privacy by design, verwerkersovereenkomsten met partners, etc…  

We maken graag tijd voor een vrijblijvende kennismaking.  Boek gerust zelf een Google Meet call of mail naar bart@siriuslegal.be