Blog Privacy

De GDPR is inmiddels 5 jaar in werking en de voorbije 3 jaar, sinds mei 2018, wordt de inhoud ervan ook effectief afgedwongen door de overheid.

Ook na al die tijd blijkt elke dag opnieuw dat ondernemers de regels rond gegevensbescherming onduidelijk, vaag en moeilijk te begrijpen vinden en onze ervaring leert dat heel wat goedbedoelende ondernemers afhaken bij gebrek aan begrip van wat er van hen precies verwacht wordt.  Het ganse uitgangspunt van GDPR is dan ook in wezen een open deur naar onzekerheid en toekomstige risico’s: ondernemingen moeten een gepast niveau van veiligheid voorzien en moeten daarvoor gepaste maatregelen nemen, maar voorafgaand is er geen enkele manier om te weten of de maatregelen die zij zich voornemen inderdaad “gepast” zijn.  De beoordeling naar het eventuele tekortschieten van de ondernemer in kwestie gebeurt pas post factum, als er op een later ogenblik klachten, controles of datalekken optreden…  Een en ander is erg moeilijk te begrijpen voor ondernemers, die immers in hun dagelijkse activiteit precies proberen om zoveel mogelijk onzekere factoren uit te schakelen en onzichtbare risico’s te vermijden.

Webbouwers, app-ontwikkelaars of online marketeers stellen ons daarbij zeer regelmatig de vraag of zij hun plannen voorafgaand kunnen voorleggen aan de Gegevensbeschermingsautoriteit voor advies en goedkeuring, zoals dat ook in fiscale aangelegenheden kan.

Tot op vandaag kan dat niet, maar een recent wetsontwerp lijkt daar verandering in te gaan brengen.

Voorafgaand privacy advies

Voorafgaand advies van de GBA over voorgenomen verwerkingen, laat staan de expliciete validatie ervan, is vandaag in se onmogelijk.  GDPR voorziet zulks niet expliciet en ook de Belgische kaderwet voorziet niet in een formele procedure.  Wie geluk -en de juiste begeleiding- heeft kan soms wel informeel bij de GBA terecht, maar die informele akkoorden worden niet gepubliceerd en zelfs als ze dus één specifiek bedrijf vooruit helpen, zijn andere verantwoordelijken of verwerkers dus vaak niet op de hoogte van precedenten en kunnen zij er zich niet op baseren of beroepen.

Een recent wetsvoorstel vanuit CD&V-hoek wil daar verandering in brengen.  Het idee is om een systeem van voorafgaande beslissingen in te bouwen in de Belgische Kaderwet waardoor de Gegevensbeschermingsautoriteit in individuele gevallen kan bepalen hoe de gegevensbeschermingswetgeving zal worden toegepast op een specifieke situatie of beoogde verwerking van persoonsgegevens.  Het voorstel voorziet daarvoor in een raadplegingsprocedure die maximaal drie maanden zou duren.  Zo’n ruling geeft rechtszekerheid aan de aanvrager, want zij verbindt alle diensten van de Gegevensbeschermingsautoriteit. Een voorafgaande beslissing zou de Gegevensbeschermingsautoriteit voor de toekomst verbinden.

De indieners verwijzen in hun voorstel naar succesvolle proefprojecten in het Verenigd Koninkrijk met de zogenaamde “regulatory sandboxes”.  Sinds maart 2019 biedt de Britse toezichthouder  (Information Commissioner’s Office) een nieuwe dienst aan, die is ontworpen om organisaties te ondersteunen die innovatieve en maatschappelijk nuttige projecten ontwikkelen waarbij er een gebruik van persoonlijke gegevens is.  Organisaties die deelnemen aan de sandbox kunnen profiteren van de mogelijkheid om rechtstreeks met de toezichthouder in contact te treden over innovatieve projecten met complexe gegevensbeschermingskwesties.

Persoonlijk kunnen wij dit voorstel enkel zeer hard toejuichen.  Als het uiteindelijk aangenomen wordt, zal het voor héél veel ondernemers de kans bieden om vooraf zekerheid te krijgen over hun plannen en op die manier onnodige juridische en financiële risico’s te vermijden.  Een en ander kan alleen maar het algemene niveau van GDPR compliance bij Belgische ondernemingen vergroten.

Het is nu vanzelfsprekend wachten op een eventueel politiek akkoord om dit voorstel ook effectief goed te keuren. Wij houden dit in elk geval stipt in de gaten en zorgen voor de nodige info en uitleg op onze blogpagina zodra alles definitief zou zijn.

Maar zo’n rulings bestaan eigenlijk wél al voor een stukje…

Zo’n voorafgaande consultatie en “ruling” bestaat vandaag overigens eigenlijk wel degelijk al wél onder GDPR.   Artikel 35 voorziet immers dat de verantwoordelijke voor de verwerking die een voorafgaande Gegevensbeschermingseffectenbeoordeling of Data Protection Impact Assessment voert en op het eind daarvan vaststelt dat er een restrisico bestaat, verplicht is om het voorafgaande en bindende advies van de GBA in te winnen.

Alleen is de vaststelling dat de meerderheid van de Belgische ondernemingen hun verplichtingen onder artikel 35 niet kennen of deze -erger nog- bewust naast zich neerleggen, waardoor de GBA nauwelijks verzoeken tot voorafgaande raadpleging ontvangt.

Wie meer wil weten over Data Protection Impact Assessments kan overigens terecht op ons Youtube kanaal voor de opname van één van onze recente webinars precies over DPIA’s:  https://youtu.be/y66jmrYeQWU

Meer weten over GDPR en databescherming? Heb je zelf een project waarvoor je wel privacy advies wil inwinnen? 

Ons team maakt graag tijd.  Boek gerust rechtstreeks een kennismaking in de agenda van Bart of neem contact via mail  (bart@siriuslegal.be) of per telefoon op  +32 492 249 516

Om de zoveel tijd duikt er tegenwoordig een nieuw social mediaplatform op dat volgens insiders en early adopters het internet gaat veranderen.  

Het succes van de Snapchats en TikToks in deze wereld heeft twee dingen gemeen: enerzijds taant hun succes even snel als dat hun hype begonnen is en anderzijds -en daarin ergert de privacy voorvechter in mij zich blauw aan- blijkt telkens weer dat de bedrijven achter de apps het alles behalve nauw nemen met jouw en mijn privacy.  In sommige gevallen lijkt dit vooral een gevolg van een totaal gebrek aan kennis van en inzicht in (Europese of andere) gegevensbeschermingsregels, maar even vaak blijft toch vooral de indruk achter dat het ganse businessmodel van social mediabedrijven gebouwd is op ongebreidelde datacollectie tot meerdere eer en glorie van de advertentieprofielen die uit die data gedistilleerd kunnen worden.

Schoolboek marketingklassiekers

De laatste ster aan het social mediafirmament is Clubhouse, een audiodiscussieapp waar je alleen na een uitnodiging door één van je vrienden mee aan de slag kan. 

De makers achter Clubhouse hebben met andere woorden enkele marketingklassiekers uit de kast gehaald om van hun nieuwe product een succes  te maken: kunstmatige schaarste creëren door de toegang tot je product te beperken en rekenen op het ego van de happy few om de hype aan te wakkeren en de massa reikhalzend te laten uitkijken naar het moment dat ook zij opgenomen worden in the inner circle.  Het lukte destijds al op speelplaatsen overal ter wereld met de zeldzame Pikachukaartjes en ook vandaag nog vallen we met zijn allen voor dezelfde verhalen…

Over privacy en GDPR…

Maar ook Clubhouse blijkt in hetzelfde bedje ziek te zijn als zovele andere succesverhalen uit je favoriete lokale appstore.  De marketingstrategie is weldoordacht, maar bij het respect voor jouw en mijn privacy heeft niemand echt lang stil gestaan. 

Het hoeft dan ook niet te verwonderen dat Clubhouse intussen het voorwerp uitmaakt van onderzoeken door verschillende Europese privacyoverheden.  Zowel de Franse CNIL als de deelstatelijke DPA in Hamburg, de HmbBfDI onderzoeken op dit ogenblik de manier waarop Alpha Exploration Co., het Amerikaanse bedrijf achter Clubhouse omgaat met persoonsgegevens van haar gebruikers én van derden.  

In Frankrijk is het onderzoek overigens een gevolg van een petitie tegen Clubhouse die inmiddels meer dan 10.000 handtekeningen verzamelde.  Wie zich de miljoenenboetes in Frankrijk voor Google en Amazon afgelopen december nog herinnert weet dat de CNIL hard en gericht kan uithalen tegen Amerikaanse techbedrijven.

Jouw contactgegevens verwerkt zonder dat je het wist… 

Een van de grootste issues met Clubhouse is dat het hele verhaal gebaseerd is op een, member-get-member systeem, waarbij bestaande leden hun digitale telefoonboek uploaden en openstellen voor Clubhouse. Op basis daarvan worden telkens nieuwe gebruikers uitgenodigd.   

Met andere woorden, ook als je vandaag nog geen uitnodiging hebt gekregen, heeft Clubhouse jouw persoonsgegevens waarschijnlijk wél al verwerkt zonder jouw toestemming via één van je vrienden of kennissen en dat op zich is érg problematisch.  

De Belgische GBA legde aan datingwebsite Twoo nog maar enkele maanden geleden in zeer gelijkaardige omstandigheden een stevige boete op, met de argumentatie dat voor de verwerking van vriendengegevens geen geldige rechtsgrond onder GDPR gevonden kan worden.  Je vrienden hebben immers geen toestemming gegeven aan -in dit geval- Clubhouse om hun gegevens te verwerken en ook niet aan aan jou om hun gegevens met dat doel te verwerken en te delen met Clubhouse.  Clubhouse en haar gebruikers kunnen evenmin terugvallen op een gerechtvaardigd belang in deze context en de verwerking van contactgegevens van niet-gebruikers mist dus een geldige rechtsgrond.  

Het gaat hier overigens niet om een administratieve formaliteit.  De verplichting om wel een geldige rechtsgrond te hebben voor elke verwerking van persoonsgegevens is één van de hoekstenen van GDPR en van jouw en mijn privacybescherming…

Clubhouse gaat overigens nog een stapje verder als het gaat om de verwerking van telefoonboekgegevens van haar gebruikers.  Die worden immers niet alleen gebruikt om nieuwe leden uit te nodigen, maar ook om een database met ​​gebruikersstatistieken of -profielen samen te stellen over bestaande en toekomstige gebruikers.  De eerste indicaties van de CNIL lijken aan te geven dat Clubhouse die gegevens verkoopt of kan verkopen aan derden (adverteerders). Clubhouse zelf schrijft in haar privacy policy weliswaar dat het “uw persoonlijke gegevens niet verkoopt“, maar tegelijk noemt het wel een groot aantal gevallen waarin je gegevens potentieel kan “delen” met derden, inclusief voor “reclame- en marketingdiensten”…

Gesprekken opgenomen zonder dat je het wist…

Wist jij trouwens dat Clubhouse je gesprekken ook opneemt? Op zich hoeft dat geen probleem te zijn, tenminste voor zover Clubhouse die opnames alleen gebruikt om eventuele klachten te beoordelen en opnames daarna definitief van haar servers te verwijderen. Alleen weten we niet of Clubhouse dat ook echt doet en het bovenstaande verhaal geeft alvast weinig vertrouwen.

Geen transparantie…

Vooral de Duitse overheid struikelt daarenboven over het feit dat Clubhouse geheel niet transparant is naar gebruikers toe.  De correcte contactgegevens van het bedrijf achter Clubhouse (“das Impressum”, zoals dat onder Duits recht genoemd wordt) zijn nergens duidelijk vindbaar en de privacy policy is alleen in het Engels beschikbaar, daar waar GDPR vereist dat die in een (voor de gemiddelde gebruiker) begrijpelijke taal opgesteld is.  Ter vergelijking, Whatsapp liep in 2016 al eens een stevige boete op in Duitsland omdat haar gebruiksvoorwaarden niet in het Duits beschikbaar waren.  Bovendien blijkt uit de privacy policy dat heel wat verplichte informatie ontbreekt zoals bijvoorbeeld de bewaartermijnen van jouw persoonsgegevens en de namen van de partijen met wie die gegevens gedeeld worden…

Ook onduidelijk overigens lijkt op het eerste zicht de datacollectie door middel van cookies en andere trackers.  Clubhouse geeft zelf aan dat het data verzamelt op die manier én dat het die deelt met adverteerders via advertentienetwerken.   Clubhouse geeft echter voor zover wij konden vaststellen nergens een duidelijk overzicht van wélke cookies en trackers gebruikt worden, wélke data verzameld wordt en met wie die data precies gedeeld wordt.  Bovendien wordt, opnieuw voor zover wij konden vaststellen, nergens vrije toestemming gevraagd voor het plaatsen van die cookies en trackers…

Data export buiten de EU

Persoonsgegevens exporteren buiten de EU (door ze bijvoorbeeld op te slaan op servers in de VS) mag enkel onder strikte voorwaarden en mits contractuele én technische veiligheidswaarborgen.  Clubhouse echter beperkt zich in zijn privacy tot de laconieke melding dat “By using our Service, you understand and acknowledge that your Personal Data will be transferred from your location to our facilities and servers in the United States, and where applicable, to the servers of the technology partners we use to provide our Service”.

Blijf je beter weg van Clubhouse dan?

Of Clubhouse een zoveelste hype is dan wel een blijver in het social medialandschap zal de tijd uitwijzen.  Bovenstaande opmerkingen hoeven ook niet noodzakelijk te betekenen dat je beter niet met Clubhouse aan de slag gaat.  Follow the hype als je je daartoe geroepen voelt, daar is in se niets mis mee.

Maar als consument en burger kan je maar beter bewust zijn van wat big tech bedrijven met je data doen, zodat je bewuste keuzes kan maken.  

Met andere woorden, wees voorzichtig, informeer je en lees zorgvuldig de gebruiksvoorwaarden en het privacybeleid voor je Clubhouse of elke andere social media app gebruikt.

Meer weten over GDPR, gegevensbescherming of social media?

Aarzel dan niet om ons te contacteren via bart@siriuslegal.be of boek een vrijblijvend videogesprek met Bart via deze link: https://koalendar.com/events/Meet-with-Bart-Van-den-Brande 

Een komend arrest van het Hof van Justitie kan mogelijks interessante gevolgen hebben voor bedrijven die in een grensoverschrijdende context werken. De Advocaat-Generaal van het Hof van Justitie schreef in een recente opinie over de zaak van de Belgische Gegevensbeschermingsautoriteit (GBA) tegen Facebook dat ‘de GBA van het land waar de hoofdvestiging van een bedrijf is gevestigd een algemene bevoegdheid heeft om juridische procedures te starten tegen dat bedrijf. De andere GBA’s hebben deze bevoegdheid ook, maar slechts in een beperkt aantal gevallen.

Lokale en leidende autoriteiten

Een Gegevensbeschermingsautoriteit (GBA) of Data Protection Authority (DPA) is een onafhankelijke overheidsinstantie die onder andere waakt over ons recht op een privéleven. Elk Europees land heeft minstens één zo’n autoriteit die binnen haar grondgebied haar bevoegdheden uitoefent. Soms zijn meerdere GBA’s bevoegd, want problemen doen zich steeds meer over de grenzen heen voor. In dat geval is er een leidende GBA. Dat is de GBA van het land waar de hoofdvestiging zich bevindt van de verwerker of verwerkingsverantwoordelijke die de inbreuk pleegt. 

België v. Facebook

De zaak begon een vijftal jaar geleden al toen de voorloper van de Belgische GBA Facebook voor de rechter sleepte. De reden hiervoor zat hem onder meer in het gebruik van tracking cookies. Dat zijn cookies om internetgebruikers te volgen over verschillende websites heen. De voorloper van de Belgische GBA kreeg eerst haar gelijk, maar Facebook ging tegen deze beslissing in beroep. Facebook beweert dat de Belgische GBA niet bevoegd is om een juridische procedure tegen haar te beginnen. Zij is van mening dat enkel de GBA van de plaats van haar hoofdvestiging bevoegd is om gerechtelijke procedures te starten. In dit geval zou dat dan de GBA van Ierland zijn. 

Vervolgens heeft het Hof van Beroep in Brussel de vraag gesteld aan het Hof van Justitie in Luxemburg wie er bevoegd is om gerechtelijke zaken aan te spannen tegen een bedrijf in geval van grensoverschrijdende inbreuken. Is dat enkel de leidinggevende GBA of kan iedere nationale GBA dit doen?

One DPA to rule them all

Het is nog even wachten op een arrest van het Hof van Justitie, maar de Advocaat-Generaal Michal Bobek heeft zijn advies reeds gedeeld. Deze opinies worden bijna altijd ook gevolgd door het Hof van Justitie. Hij verduidelijkt in zijn opinie dat GBA’s inderdaad de bevoegdheid hebben om inbreukplegers voor de rechtbank te slepen, maar in geval van grensoverschrijdende geschillen wordt deze bevoegdheid ingeperkt. Dan mag enkel de leidende GBA in eerste instantie een procedure starten in samenspraak met de andere bevoegde autoriteiten. 

Dit is het principe van het één-loketmechanisme. Dat betekent dus dat een bedrijf in eerste instantie slechts door de GBA van zijn hoofdvestiging voor de rechter kan gebracht worden. In de Facebook zaak betekent dit dus dat de Ierse GBA in eerste instantie de bevoegdheid heeft om een procedure te starten. Zij dient dit wel steeds te doen in nauwe samenwerking met de andere GBA’s. Let wel, de slachtoffers van een inbreuk kunnen nog steeds procedures starten in hun eigen land tegen de bedrijven met een hoofdvestiging in een ander land. 

De Advocaat-Generaal benadrukt dat de nationale GBA’s in vijf gevallen gerechtelijke procedures kunnen starten wanneer zij niet de leidende GBA zijn:

• Bij inbreuken buiten het kader van de GDPR. Zo heeft de Franse GBA (CNIL) in dit kader al boetes opgelegd voor inbreuken tegen de cookie regels in de ePrivacy richtlijn.
  
• Bij grensoverschrijdende verwerkingen die worden uitgevoerd door overheidsinstanties in het algemeen belang of tijdens de uitoefening van hun openbaar gezag of door niet in de Unie gevestigde verwerkingsverantwoordelijken.
  
• Wanneer de verwerkingsverantwoordelijke geen enkele vestiging in de Europese Economische Ruimte heeft.
  
• Voor dringende maatregelen.
  
• Nadat de leidende DPA heeft besloten om een zaak niet te behandelen.

Het zal nu nog enkele maanden duren voordat het Hof van Justitie een definitief arrest velt in deze zaak. Daarna zal het Brusselse Hof van Beroep zich uitspreken over de zaak, rekening houdende met de antwoorden van het Hof van Justitie. 

Gevolgen

Een mogelijk gevolg van deze situatie is dat sommige bedrijven hun hoofdzetel zullen verplaatsen naar het land met de minst strenge GBA. Sommige GBA’s zijn namelijk meer toegeeflijk op sommige punten dan andere GBA’s. Wil je graag meer weten over welke GBA’s er bevoegd zijn voor jouw verwerkingsactiviteiten of privacy en GDPR in het algemeen? Je mag ons altijd vrijblijvend contacteren via bart@siriuslegal.be en matthias@siriuslegal.be.

Heel wat bedrijfsinformatie zit in de mailboxen van iedereen die bij je bedrijf betrokken is: communicatie met leveranciers en klanten, contracten in bijlage, prijslijsten, kortingen en andere vertrouwelijke informatie. Het is dus logisch dat cybercriminelen meestal niet veel verder gaan zoeken dan je mailaccount. Die bevat immers een enorme bron van (gevoelige) informatie. 

En dat hackers van buitenaf niet in je mailbox mogen neuzen, dat klinkt logisch. Maar dat je dat als werkgever, collega of medevennoot zou doen, daar lijkt die reflex veel minder aanwezig. ‘Het is voor het werk, dus wat is het probleem?’ zou je zeggen. Toch is het antwoord niet zo eenvoudig en is het van belang om je als organisatie daar goed op voor te bereiden. Strafbare handelingen loeren immers al snel om de hoek en zijn niet beperkt tot de bescherming van de privacy.

Niet zonder problemen…

Als medevennoten beslis je om verschillende work accounts te maken, waaronder e-mailaccounts die door elk van de vennoten persoonlijk gebruikt worden. Of je maakt een account aan voor de zelfstandig aangestelde CFO, je voorziet een apart mailadres voor de verschillende freelancers of werknemers die mee aan een project werken. Op het moment dat deze personen tijdelijk niet meer kunnen werken, onbeschikbaar zijn of de onderneming om welke reden dan ook verlaten hebben, kan je verschillende redenen hebben om informatie die in deze accounts opgeslagen zit, te bemachtigen: bewijsmateriaal voor een discussie in de samenwerking (vb. anti-concurrentie, onrechtmatige vrijgave van bedrijfsgeheimen, ..), de opvolging van een project, opzoeken van informatie voor overheidsinstanties, het voorbereiden van een ontslag, nakijken of een bestuurder aansprakelijk zou zijn, etc.

Het probleem is echter dat je je niet zomaar toegang kan verschaffen tot deze accounts. Het is in essentie verboden om met (in sommige gevallen bedrieglijk) opzet kennis te nemen van die elektronische communicatie, voor zover je zelf niet deelneemt aan die communicatie en je geen toestemming hebt van alle deelnemers aan die communicatie. Door een strenge interpretatie en toepassing van de toepasselijke wetgeving zou je je al snel schuldig kunnen maken aan strafbare handelingen.

Bovendien kan je je al snel schuldig maken aan hacking indien je je onrechtmatig toegang verschaft tot een mailbox die aan iemand anders behoort. De vraag tot wie een bepaalde account op een gegeven moment behoort, is in de praktijk overigens niet altijd even eenvoudig.

Let er ook op dat je je schuldig kan maken aan informaticasabotage wanneer je onrechtmatig een account van die andere persoon blokkeert, geheel of gedeeltelijk wist, wijzigt of op een andere manier manipuleert.

Tot slot is de kans groot dat diezelfde handelingen kunnen beschouwd worden als onrechtmatige verwerkingen onder de GDPR. En die voorziet zowel administratieve als strafrechtelijke boetes.

Maar wat kan ik dan wel doen?

Zijn er dan geen mogelijkheden om alsnog toegang te krijgen tot deze accounts en nuttige informatie van mijn onderneming te bemachtigen en te beschermen, zonder dat je je blootstelt aan eventuele strafklachten?

Het is theoretisch gezien nagenoeg onmogelijk om geen strafbare handelingen te stellen wanneer je je op een of andere manier toegang verschaft tot andermans e-mailaccount. De relevante wetgeving voorziet wel in een reeks uitzonderingen, maar deze zijn eerder beperkt en vatbaar voor discussie. Het bekendste instrument vinden we bij het arbeidsrecht, nl. de CAO nr. 81, maar inmiddels is gebleken dat geen enkele werkgever in de praktijk aan het formalisme van deze CAO kan voldoen. Ook de vroegere privacycommissie heeft in haar aanbeveling nr. 08/2012 gezocht naar een praktische handleiding om het controlerecht van de werkgever en de privacy van de werknemer met elkaar te verzoenen, maar kan geen garanties geven. In de rechtspraak wordt dan weer de Antigoondoctrine gebruikt om de belangen van de werknemer deels te beschermen: e-mails kunnen als bewijs gebruikt worden, hoewel ze op strafbare wijze bemachtigd zijn.

Eén ding is duidelijk: het consulteren van andermans e-mailaccount blijft een probleem en zal de volgende jaren nog veel stof doen opwaaien. Maar wat kan je ondertussen doen om jezelf en je onderneming juridisch zo veilig mogelijk te stellen? Daar kunnen in elk geval een aantal richtlijnen voor gegeven worden. Voor deze richtlijnen baseren we ons op 3 belangrijke principes die ook in de bewuste CAO gehanteerd worden:

1.Transparantie

• Maak een duidelijk onderscheid tussen werkmails en privémails en spreek af hoe en wanneer je tijdelijk toegang kan krijgen tot een account.
• Maak kenbaar of spreek af dat werk-accounts onder het beheer van je bedrijf blijven en bepaal duidelijk de rechten van het bedrijf op deze account (toegang, beheer, afsluiting, monitoring, …. vb. tijdens tijdelijke onbeschikbaarheid, …)
• Zorg voor een banner/disclaimer onderaan elke werkmail met vermelding dat deze mail in het belang van het bedrijf kan geconsulteerd worden en dat indien 1 van de deelnemers in het mailverkeer hier bezwaar tegen kan maken via een algemeen mailadres van de onderneming
• Spreek af dat voor elke mail die een zakelijk belang heeft steeds het algemeen mailadres mee in cc wordt gezet (info@…, project@…, secretariaat@…)
• Voorzie duidelijke interne privacy policies, bring-your-own-device policies die de rechten van alle betrokkenen bepalen, een arbeidsreglement, overeenkomst, pop-ups met verwittiging die duidelijkheid creëren over wat elke betrokkene van zijn privacy op de werkvloer mag verwachten.
• Voorzie een duidelijke opname in je dataregister en voer een gegevensbeschermingseffectbeoordeling uit.

2.Proportionaliteit

Indien je beslist om tot een bepaalde controle over te gaan, bepaalde communicatie op te pikken of informatie te zoeken om de continuïteit van je activiteiten te verzekeren, zorg er dan steeds voor dat je de minst ingrijpende maatregel neemt. De inmenging in de e-mailaccount moet tot een absoluut minimum beperkt worden.

Bouw daarbij zelf bijvoorbeeld een trapsgewijze procedure in waarbij een steeds indringendere maatregel kan toegepast worden met een reeks waarborgen voor de betrokkene: een voorafgaand overleg, een eerste berisping, de omschrijving van een bepaald vermoeden,  wanneer een maatregel kan genomen, worden, …

Maak eventueel gebruik van de tussenkomst van een externe DPO of een onafhankelijke tussenpersoon die in alle vertrouwelijkheid de bewuste informatie in de e-mailaccounts kan nagaan en hier de louter noodzakelijke informatie uit kan filteren. Zorg ervoor dat de tussenkomst van deze persoon ook duidelijk op voorhand meegedeeld is, zodat de maatregel ook zo goed als mogelijk gedragen wordt door elke betrokkene.

3.Doelmatigheid 

Bepaal steeds op voorhand voor welke doeleinden je een eventuele controle zou uitvoeren, toegang zou nemen of gebruik zou maken van het e-mailaccount. Deze doeleinden kunnen bijvoorbeeld gaan over de vaststelling van strafbare of ongeoorloofde feiten die ook de belangen van je onderneming kunnen schaden, de vaststelling van zaken die de concurrentiële positie van je onderneming kunnen schaden, het na een grondig vermoeden doen vaststellen dat vertrouwelijkheidsverplichtingen geschonden zijn, het garanderen van de veiligheid van het IT-netwerk, de vaststellingen van grove fouten die een ontslag om dringende redenen kunnen vormen, etc.

Zorg voor een duidelijk beleid en goede afspraken

Het consulteren van iemand anders zijn of haar e-mailaccount binnen je bedrijf is nooit zonder risico en nagenoeg altijd strafbaar. Om dat risico tot een minimum te beperken is het van belang dat je op voorhand met alle betrokkenen een duidelijk beleid en goede afspraken maakt rond privacyverwachtingen en rechtmatige toegang tot het e-mailaccount.

Hoewel alle betrokken actoren reeds jaren zoeken naar een goed evenwicht, blijft het voor je bedrijf van belang je eigen verantwoordelijkheid te nemen. Dat accountability-principe, zoals we dat van GDPR kennen, werpt ook in de rechtspraak zijn vruchten af en verhoogt je kansen in een procedure. Aangezien het samenspel tussen de verschillende rechtsbronnen vrij complex is en de rechtspraak zeer genuanceerd, is het aan te raden je te laten bijstaan door iemand met kennis van zaken.

Meer vragen of het beheer van e-mailaccounts binnen je onderneming?

Neem dan vrijblijvend contact op via roeland@siriuslegal.be

Of neem gerust een kijkje op onze cyber security pagina over employee compliance en veilige policies voor werknemers.

Een erg interessante en relevante uitspraak van de Rechtbank Midden-Nederland van 23 november 2020 wijst erop dat gegevensbeschermingsautoriteiten de mogelijkheid van verantwoordelijken voor de verwerking om zich te beroepen op het gerechtvaardigd belang als rechtsgrond niet systematisch mogen inperken.  De vraag of gegevens verwerkt kunnen worden op basis van een gerechtvaardigd belang (en dus zonder expliciete toestemming) moet daarentegen geval per geval beoordeeld worden.

Dit vonnis is ook voor België bijzonder relevant, omdat ook de Belgische GBA in haar Direct Marketing Aanbevelingen van begin dit jaar de mogelijkheid voor bedrijven om zich te beroepen op het gerechtvaardigd belang bijzonder restrictief interpreteert. Daardoor is het met name in marketing en prospectie zeer moeilijk voor bedrijven om gegevens te verwerken zonder voorafgaande expliciete toestemming.

Gerechtvaardigd belang?

GDPR kent zes rechtsgronden op basis waarvan persoonsgegevens verwerkt kunnen worden.  Wie persoonsgegevens wil verwerken moet één van die zes geldig kunnen inroepen.  In een commerciële context moeten bedrijven vaak een keuze maken tussen:

• toestemming vragen
• gegevens verwerken zonder toestemming omdat dit noodzakelijk is om een overeenkomst uit te voeren
• gegevens zonder toestemming verwerken op basis van het “gerechtvaardigd belang” van de verantwoordelijke voor de verwerking.

Met name die laatste rechtsgrond is van zeer groot belang in (direct) marketing en prospectie, waar bedrijven vaak om praktische redenen geen voorafgaande, vrije en geïnformeerde toestemming kunnen bekomen van hun doelpubliek en zich dus noodgedwongen moeten baseren op het gerechtvaardigd belang.

Volgens het Europees Hof voor Justitie kan je je beroepen op het gerechtvaardigd belang om gegevens te verwerken als je voldoet aan een zogenaamde “driestappentest” die individueel op jouw context wordt toegepast:

1. Heb je een gerechtvaardigd belang (doel)?
2. Is de voorgenomen verwerking van persoonsgegevens noodzakelijk om het doel te bereiken?
3. Weegt het belang van jouw bedrijf zwaarder door dan het privacybelang van de betrokkene en vooral ook: verwacht de betrokkene redelijkerwijze dat je zijn gegevens gaat verwerken in deze context?  

Als verantwoordelijke voor de verwerking, moet je zélf deze afweging maken én documenteren in je dataregister.  Er is geen voorafgaande controle door de overheid en het komt niet aan de GBA of andere overheden toe om voorafgaand beperkingen op te leggen op de toepassing van deze toets.

Gerechtvaardigd belang in marketing en prospectie

Probleem voor heel wat marketeers is dat precies in een marketingcontext de Belgische Gegevensbeschermingsautoriteit in haar Aanbevelingen inzake Direct Marketing van begin 2020 het gebruik van het gerechtvaardigd belang wel bijzonder restrictief interpreteert, waardoor bedrijven die aan direct marketing of prospectie willen doen de facto in hun marketingbeleid geblokkeerd worden.

De GBA stelt zo bijvoorbeeld in haar aanbevelingen dat: “Wanneer u nooit enige relatie met een betrokkene heeft gehad, of deze relatie een hele tijd teruggaat zonder dat deze ondertussen werd opgevolgd, kan de rechtsgrond gerechtvaardigd belang niet worden ingeroepen, omdat de ontvangst van uw bericht niet tot hun redelijke verwachtingen behoort.’ 

De Direct Marketingaanbevelingen van de GBA leggen zo aan bedrijven ernstige beperkingen op aan de gevallen waarin zij wel of niet beroep kunnen doen op het gerechtvaardigd belang.  De GBA “interpreteert” immers al vooraf bepaalde situaties en bepaalt zo al vooraf en zonder individuele toetsing de uitkomst van zo’n driestappentest.  De GBA stelt zich met andere woorden ten onrechte in de plaats van de verwerkingsverantwoordelijke enerzijds en de betrokkene anderzijds en zij sluit op algemene gronden – zonder kennis van individuele elementen eigen aan elk dossier – per definitie het beroep op het gerechtvaardigd belang bij direct marketing ten aanzien van prospecten uit.  

Daarmee interpreteert de GBA haar bevoegdheden wel érg breed. Het komt immers niet toe aan de GBA om zelf bijkomende beperkingen op te leggen die niet volgen uit de GDPR zelf of uit de rechtspraak van het Europees hof voor Justitie. De AVG stelt immers uitdrukkelijk dat direct marketing ook een gerechtvaardigd belang kan zijn. 

Wie is (was) VoetbalTV?

VoetbalTV was (het bedrijf is inmiddels failliet) een online platform waarop amateur voetbalwedstrijden werden uitgezonden.  Lokale amateurclubs konden opnames laten maken, die dan online werden aangeboden aan ruim 500.000 gebruikers.  

In die context worden natuurlijk bijzonder veel persoonsgegevens verwerkt. Er staan immers heel wat spelers, scheidsrechters en supporters herkenbaar op beeld. VoetbalTV was van oordeel dat zij onmogelijk aan iedereen toestemming kon vragen en dat zij een gerechtvaardigd belang had om gegevens te verwerken zonder voorafgaande toestemming.  Zij had daarvoor voor zichzelf ook de driestappentest doorlopen om tot dat besluit te komen en was van oordeel dat zij een belang had, dat de verwerking van persoonsgegevens (met name de afbeelding en stem van spelers, scheidsrechters en supporters) noodzakelijk was om wedstrijden op te nemen en dat het tot de gerechtvaardigde verwachting van de aanwezigen bij een voetbalwedstrijd behoort dat er video-opnames gemaakt worden.

De Nederlandse Autoriteit Persoonsgegevens was het daar niet mee eens.  De AP hanteerde altijd een strikte interpretatie van gerechtvaardigd belang. Zij herhaalde in het verleden meer dan eens dat belangen volgens haar pas gerechtvaardigd zijn als ze ergens in de wet expliciet zijn benoemd als rechtmatige, wettelijke belangen.  “Zuiver commerciële belangen en het belang van winstmaximalisatie”, zegt de AP, “zijn niet specifiek genoeg en missen een dringend ‘wettelijk’ karakter, zodat zij niet kunnen worden aangemerkt als gerechtvaardigde belangen. De kern van de activiteiten van eisers bestaat uit de verwerking van persoonsgegevens en met die verwerking verdient zij geld. Zij heeft daarmee een zuiver economisch belang bij het verwerken van persoonsgegevens. Dit kan volgens verweerder nooit een gerechtvaardigd belang zijn.” Zij legde aan VoetbalTV een boete op van maar liefst 575.000 euro.

Wat besliste de Nederlandse rechtbank nu?

Op 23 november 2020 oordeelde de Rechtbank Midden-Nederland nu dat VoetbalTV de door de AP opgelegde boete van € 575.000 niet moet betalen. De Autoriteit Persoonsgegevens heeft ten onrechte de mogelijkheid voor VoetbalTV om zich te beroepen op het gerechtvaardigd belang voorafgaand al ingeperkt in plaats van in de individuele context van VoetbalTV de driestappentest te doorlopen. 

De rechtbank is van oordeel dat de AP al meteen bij de eerste stap van de driestappentest in de fout ging door te zeggen dat het “zuiver commercieel belang” van VoetbalTV geen gerechtvaardigd belang kan zijn omdat commerciële belangen nergens in de wet zijn ingeschreven als rechtmatige of wettelijke belangen.

De rechtbank maakt zeer duidelijk dat de AP de verkeerde logica hanteert: een gerechtvaardigd belang mag niet bij voorbaat uitgesloten zijn.  Een belang is altijd gerechtvaardigd, tenzij de driestappentoets leidt tot het besluit dat dat niet zo is.  

Erg belangrijke uitspraak, ook in Belgische context

VoetbalTV is inmiddels failliet.  Het opheffen van de boete van 575.000 euro maakt voor hen nog weinig verschil.  Maar deze uitspraak is wél bijzonder relevant voor bedrijven in Nederland én in België.

Dit vonnis bevestigt immers dat, in tegenstelling tot wat onze eigen GBA in haar Direct Marketing Aanbevelingen tracht te doen, een overheid niet per definitie bepaalde verwerkingen kan uitsluiten van het gerechtvaardigd belang.  

Je kan als marketeer in je eigen individuele geval en voor je individuele context beoordelen of je al dan niet persoonsgegevens zoals e-mailadressen, namen, fysieke adressen, geboortedata, profielinfo, surfgedrag, etc… kan verwerken zonder daarvoor de expliciete voorafgaande toestemming te hebben van de betrokkene.
De enige drie relevante vragen daarbij zijn:

1. Heb je zelf een te verantwoorden rechtmatig belang (en dat belang kan dus ook puur commercieel zijn)?
2. Is de verwerking van persoonsgegevens noodzakelijk om je belang te verwezenlijken (dit punt vereist wel de nodige aandachtig en terughoudendheid)
3. Is er een evenwicht tussen jouw belangen en de privacy van de betrokkene en verwacht de betrokkene redelijkerwijze dat je zijn of haar gegevens gaat verwerken (wat in een online context zeker te verantwoorden is)

Dit vonnis is dus bijzonder relevant voor marketeers, want het geeft stevig tegengas aan de beperkingen die de Belgische overheid tracht op te leggen aan direct marketing en prospectie zonder voorafgaande toestemming.  Wie zichzelf kan verantwoorden op basis van de driestappentest kan altijd beroep doen op het gerechtvaardigd belang en daarmee openen zich heel wat deuren voor prospectie en direct marketing, vooral in een online context.

Belangrijk blijft wel dat je een gedetailleerd dataregister bijhoudt en dat je ook de driestappentest duidelijk motiveert en documenteert in je dataregister.  Daarnaast kan je maatregelen nemen om het evenwicht tussen jouw belangen en de privacy van de betrokkene in evenwicht te houden. Zorg bijvoorbeeld voor een transparante en gedetailleerde privacy policy, gebruik gegevens alleen voor het doel waarvoor je ze verzamelde, verzamel niet meer gegevens dat minimaal nodig is, bewaar prospectgegevens slechts voor een zeer beperkte periode, …

Hulp nodig bij het kiezen van de juiste rechtsgrond?

We zien vandaag nog al te vaak dat bedrijven zich maar al te makkelijk baseren op gerechtvaardigd belang, maar zonder hier verder de nodige juridische aandacht aan te schenken.   Heb jij als marketeer of webverantwoordelijke hulp nodig om je marketing- en prospectiebeleid juridisch in goede banen te leiden?

Sirius Legal verzorgt op zeer regelmatige basis legal compliance audits voor marketingdepartementen, webshops en  salesdepartementen, waarin we in overleg met de cliënt datastromen in kaart brengen, de marketingobjectieven voor de lange termijn analyseren, dataregisters opstellen, aanbevelingen en adviezen geven rond rechtsgronden, opt-ins, dataverzameling, … en samen met de cliënt ook een onderzoek doen naar de gebruikte tools, data export, privacy by design, verwerkersovereenkomsten met partners, etc…  

We maken graag tijd voor een vrijblijvende kennismaking.  Boek gerust zelf een Google Meet call of mail naar bart@siriuslegal.be

Een belangrijk principe waarmee ondernemingen rekening moeten houden bij de verwerking van persoonsgegevens is opslagbeperking. Dat verplicht je om de “levenscyclus” van persoonsgegevens (“data lifecycle”) te organiseren en meer concreet om maximale bewaartermijnen voor die persoonsgegevens vast te leggen en op te volgen.

Het is niet makkelijk om te bepalen hoe lang je persoonsgegevens nu precies mag bewaren en veel ondernemingen worstelen hiermee. Hoe lang mag je welke persoonsgegevens bewaren? Hoe lang is het “noodzakelijk” om persoonsgegevens te bewaren? Waarmee moet je rekening houden bij de bepaling van bewaartermijnen? Kan je die bewaartermijnen altijd vrij bepalen?

In dit artikel proberen we op die vragen een antwoord te geven op basis van een praktische gids van de Franse toezichthoudende autoriteit (de Commission Nationale de l’Informatique et des Libertés, afgekort CNIL).

De data lifecycle, wat is dat?

Zo goed als iedere onderneming verwerkt persoonsgegevens. Gegevens worden verzameld, geordend en bewaard, bijgewerkt en verder gebruikt, eventueel doorgezonden en uiteindelijk gewist. Het geheel van verwerkingen die de persoonsgegevens ondergaan vormt de levenscyclus van persoonsgegevens

In haar praktische gids deelt de CNIL die levenscyclus in in drie volgende fasen:

• Het lopende gebruik (“actieve basis”) van persoonsgegevens: deze fase betreft het huidige gebruik van persoonsgegevens door de verschillende departementen binnen de onderneming die verantwoordelijk zijn voor de verwerking ervan. Concreet betekent dit de verzameling van persoonsgegevens en het dagelijkse gebruik ervan binnen de onderneming. De persoonsgegevens zijn toegankelijk in de onmiddellijke werkomgeving voor de verschillende stakeholders die verder aan de slag moeten met de persoonsgegevens.
• De tussentijdse archivering van persoonsgegevens: de persoonsgegevens worden niet meer actief gebruikt om de vastgelegde doeleinden te bereiken (“afgesloten dossiers”), maar zijn wel nog van belang voor de onderneming omdat ze later nog nuttig kunnen zijn, bijvoorbeeld in het kader van eventuele toekomstige geschillen of om te voldoen aan een wettelijke verplichting. De persoonsgegevens kunnen later dan op een ad hoc en gemotiveerde manier geraadpleegd worden door specifiek daartoe bevoegde personen.
• De definitieve archivering van persoonsgegevens: dit heeft betrekking op persoonsgegevens die zonder tijdslimiet worden gearchiveerd. Het gaat om verwerkingen die worden uitgevoerd met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden. De CNIL merkt op dat deze laatste fase voornamelijk relevant is voor de publieke sector. 

De CNIL benadrukt hierbij het basisprincipe uit artikel 5 GDPR dat persoonsgegevens definitief gewist moeten worden bij het einde van de voorgenomen verwerking. Met andere woorden wanneer het doel waarvoor je gegevens gebruikte bereikt is.

Dat betekent overigens niet dat gegevens systematisch en in alle gevallen overal en helemaal moeten worden gewist. Persoonsgegevens kunnen worden gebruikt voor verschillende opeenvolgende toepassingen (en dus doeleinden) en per toepassing en doeleinde kan een andere bewaartermijn gelden.

Het is bijvoorbeeld in bepaalde gevallen mogelijk om persoonsgegevens tijdelijk te archiveren of te anonimiseren. Definitieve anonimisering staat wat dat betreft op dezelfde voet als verwijdering, aangezien geanonimiseerde gegevens geen persoonsgegevens meer zijn.

Hoe bepaal je dan gepaste bewaartermijnen?

GDPR bepaalt niet hoe lang je persoonsgegevens precies mag bewaren. De wet voorziet met andere woorden geen lijst met vooraf bepaalde termijnen.

De CNIL geeft nu wel enkele handige richtlijnen mee:

• Soms bepaalt de wet hoe lang je gegevens mag of moet bewaren (denk bijvoorbeeld maar aan het bewaren van bepaalde boekhoudkundige stukken).
• Er zijn ook sectorspecifieke richtlijnen van sommige toezichthoudende autoriteiten zoals de CNIL zelf (zie bvb haar “referentiekaders”, zoals referentie RS-001 “het beheer van de gezondheidsbewaking”).
• In sommige gevallen vind je ook referenties binnen de sector, bijvoorbeeld in sectorcodes.

De CNIL biedt een evaluatieschema aan om ondernemingen te helpen bij het bepalen van de bewaartermijnen. Dat schema kan je hier vinden.

Enkele concrete voorbeelden

Hoe lang kan ik (persoonsgegevens in) de facturen uit mijn boekhouding bewaren? 

Elke onderneming heeft de verplichting om haar boekhoudkundige stukken gedurende 7 jaar, te rekenen van de eerste dag van het jaar dat op de afsluiting van het boekjaar volgt, te bewaren (KB van 21 oktober 2018).

Bij documenten die te maken hebben met bouw en verbouwing – dus ook de facturen en contracten voor (verkoop van) onroerende goederen, aannemers en architecten – geldt er zelfs een bewaartermijn van 10 jaar.

Dat impliceert dat de bewaartermijn voor persoonsgegevens uit boekhoudkundige stukken kan worden vastgelegd op minstens 7 jaar, in sommige gevallen zelfs 10 jaar.

Hoe lang moet/mag ik (persoonsgegevens in) een CV of een arbeidsovereenkomst bewaren? 

Voor een heel aantal sociale documenten geldt er een verplichte bewaringstermijn van 5 jaar (KB van 8 augustus 1980). De verantwoording voor de bewaring van de persoonsgegevens in die documenten moet je dan ook niet ver gaan zoeken.

Verder is natuurlijk het doeleinde van de verwerking van de concrete persoonsgegevens van belang.  

De Nederlandse toezichthoudende autoriteit, de Autoriteit Persoonsgegevens, stelt dat het gebruikelijk is dat een organisatie sollicitatiegegevens verwijdert uiterlijk 4 weken na het einde van de sollicitatieprocedure. Wel kan de kandidaat toestemming geven om de persoonsgegevens langer te bewaren, bijvoorbeeld omdat er mogelijk op een later tijdstip een passende functie voor de kandidaat komt. Een termijn van maximaal 1 jaar na beëindiging van de sollicitatieprocedure is hiervoor redelijk volgens de Autoriteit Persoonsgegevens.

Voor persoonsgegevens in een arbeidsovereenkomst is het logisch dat de gegevens worden bewaard gedurende de periode van de uitvoering van de arbeidsovereenkomst. Het bewaren van die gegevens na de beëindiging van de arbeidsovereenkomst kan perfect op basis van bovenvermelde verplichte bewaartermijn voor een aantal sociale documenten, naargelang het concrete geval.

Hoe lang mag ik contactgegevens van een klant bijhouden? 

Ook hier is het doeleinde van de verwerking van de concrete persoonsgegevens natuurlijk van belang.  

Bij gegevens die nodig zijn om een lopende overeenkomst uit te voeren stellen zich weinig vragen. Zolang de overeenkomst loopt (of concreter: zolang bepaalde verbintenissen uit de overeenkomst doorlopen – denk aan bijvoorbeeld garantiebepalingen) kunnen persoonsgegevens bewaard worden.

Als diezelfde persoonsgegevens ook bewaard en verder gebruikt worden voor een ander doeleinde (naast de uitvoering van een overeenkomst), zoals bijvoorbeeld voor direct marketingdoeleinden, dan kan je de gegevens natuurlijk na de beëindiging van de overeenkomst nog een bepaalde periode bewaren. 

Tot slot kan je in dit artikel “Bewaartermijnen onder GDPR: Interessante beslissing van de Oostenrijkse GBA” nog een interessant voorbeeld vinden. 

Wat als de persoonsgegevens ook nog worden verwerkt door de partners (leveranciers, onderaannemers, etc.) van jouw onderneming?

Persoonsgegevens die je als verwerkingsverantwoordelijke doorgaf aan een verwerker, blijven jouw verantwoordelijkheid. Jij moet er dus op toezien dat de persoonsgegevens correct bewaard en uiteindelijk gewist worden door je partner (de verwerker).

De verplichtingen van de verwerker moeten worden opgenomen in een verwerkersovereenkomst en de verwerker moet duidelijke instructies ontvangen, onder meer over het bewaren van de persoonsgegevens conform de vastgelegde bewaartermijnen. 

Nuttige tips over het gebruik van verwerkersovereenkomsten kan je vinden in ons artikel “verwerkersovereenkomsten met je webbouwer of hosting provider”

Neem je graag zelf verder concrete stappen naar GDPR compliance?

Bekijk dan zeker onze GDPR toolkit, die je hier kan vinden.

Vragen over GDPR en databescherming in België of Europa, of meer concreet over bewaartermijnen van persoonsgegevens?

Contacteer ons vrijblijvend via bart@siriuslegal.be.

GDPR is er inmiddels al een hele poos en toch zijn nog heel veel bedrijven niet compliant.  Vaak komt dat door een verkeerd begrip of een beperkte kennis van de wetgeving, maar in heel wat gevallen is het ook een bewuste keuze van het bedrijf in kwestie.  Er zijn immers nauwelijks controles, toch…?

Ondanks het feit dat de Gegevensbeschermingsautoriteit sinds januari 2020 heel wat actiever geworden is dan voorheen, zijn er inderdaad relatief weinig controles en boetes en is de druk die bedrijven voelen om zich in regel te stellen nog steeds erg klein.  Maar daar zou wel eens snel verandering in kunnen komen, nu NOYB (None of Your Business), de privacyrechtenorganisatie van Max Schrems, bij Ministrieel Besluit erkend werd als organisatie die in naam van gedupeerde burgers groepsvorderingen of “class actions suits” mag voeren in België…

Wat zijn class actions ook alweer?

Consumenten kunnen sinds een jaar of vijf in groep naar de rechter stappen om een schadevergoeding te eisen als zij allemaal individueel schade lijden door dezelfde fout van een bedrijf (of vereniging of overheid). 

De wet voorziet daarbij een zeer strikte procedure die gevolgd moet worden en waarvoor uitsluitend de Ondernemingsrechtbank in Brussel bevoegd is.  

De bedoeling van het systeem is om consumenten meer macht te geven ten aanzien van grote bedrijven.  In het verleden moesten gedupeerden van bijvoorbeeld een productiefout in een smartphone allemaal afzonderlijk een advocaat onder de arm nemen en afzonderlijk naar de rechtbank trekken.  Heel vaak deden mensen die moeite niet, zeker niet als het over relatief kleine bedragen ging, waarbij de advocatenkosten hoger zijn dan de schadevergoeding die de gedupeerden zouden kunnen bekomen. Daaraan wil de class action procedure, of de groepsvordering in mooi Nederlands, sinds een paar jaar verhelpen door mensen het recht te geven om in groep en altijd onder de leiding van één van de daartoe erkende consumentenorganisaties (Test-Aankoop, Gezinsbond, ziekenfondsen) naar de rechtbank te trekken.

Eén van de domeinen waar een bedrijf potentieel schade kan veroorzaken aan een (zeer) grote groep is vanzelfsprekend databescherming.  Bij een datalek kunnen de gegevens van duizenden, zelfs tienduizenden, mensen in verkeerde handen komen.  Het hoeft dan ook niet te verwonderen dat het systeem van groepsvorderingen sinds 2018 aanzienlijk is uitgebreid naar schade ontstaan onder GDPR.  Wie aansprakelijk is voor bijvoorbeeld een datalek, dreigt dus sinds de inwerkingtreding van GDPR op te draaien voor alle materiële en morele schade veroorzaakt aan de -vaak duizenden- personen wiens gegevens getroffen zijn.

België is overigens tot nader order het enige EU-land dat een specifieke goedkeuringsprocedure heeft voor buiten zijn grondgebied gevestigde consumentenorganisaties om collectieve vorderingen in te dienen.

En wie zijn Max Schrems en NOYB?

Tot noch toe zijn er -bij ons weten althans- geen class actions gevoerd in België op basis van GDPR.  Wellicht speelt het feit dat binnen de groep van erkende consumentenorganisaties geen echt gespecialiseerde organisatie zit daarin mee.

Dat dreigt nu echter snel te veranderen. In september verscheen immers een ministerieel besluit tot goedkeuring van NOYB (“None of Your Business”) in het Belgisch Staatsblad.  

NOYB is de belangenorganisatie of drukkingsgroep van de Oostenrijker Max Schrems. Die laatste kennen we natuurlijk als de man die eigenhandig achtereenvolgens het Safe Harbour principe en -afgelopen zomer pas- het Privacy Shield onderuit haalde voor het Europees Hof van Justitie en daarmee een bom legde onder gegevensuitwisseling met de Verenigde Staten en dus met de werking van ons internet in het algemeen.

NOYB heeft de afgelopen jaren een reputatie opgebouwd als de pitbull van het privacyrecht.  Ze voeren actief campagne in gans Europa tegen het al genoemde Privacy Shield, tegen inbreuken op de cookiewetgeving, tegen het gebruik van tracking-ID’s op smartphones door partijen als Google, tegen het verplicht aanmaken van accounts om online goederen of diensten te kopen of te gebruiken, …  Hun acties bestaan uit petities en awareness, maar ook uit klachten bij verschillende gegevensbeschermingsautoriteiten en dus ook uit het voeren van rechtszaken en class actions in verschillende EU-lidstaten.

Stroomversnelling voor GDPR compliance?

De goedkeuring die ze zopas verkregen, betekent dat NOYB in België groepsvorderingen zal kunnen indienen en namens gebruikers van een bedrijf schadevergoeding zal kunnen eisen voor de overtreding van verschillende wetten met betrekking tot consumentenbescherming, en meer specifiek natuurlijk voor inbreuken op GDPR en ePrivacy.

Gelet op de reputatie van NOYB verwachten we dat het niet lang zal duren voor de eerste grote rechtszaken volgen in België.   NOYB zal immers zichzelf willen tonen en enkele voorbeeldcases op tafel willen leggen.  

Wie de eerstkomende tijd het slachtoffer is van een data breach en/of wie er niet in slaagt om de rechten van betrokkenen correct na te leven en/of wie het niet al te nauw neemt met de anti-spamregels, is bij deze gewaarschuwd.  

De financiële gevolgen voor wie veroordeeld wordt in het kader van een class action kunnen desastreus zijn en in onze ogen is de aankomst op de Belgische “markt” van NOYB een zoveelste reden voor bedrijven om dringend werk te maken van grondige GDPR compliance. 

Meer weten?

Heb je vragen over GDPR of wil je weten wat Sirius Legal voor jou kan doen?  Bel ons gerust op +32 486 901 931 of mail naar bart@siriuslegal.be 

Eerder deze week raakte een (nochtans intern en vertrouwelijk) document publiek, waarin de Belgische Gegevensbeschermingsautoriteit in het kader van een onderzoek na een klacht het Transparency and Consent Framework van IAB Europe toch wel bijzonder kritisch doorlicht.

De GBA is daarbij van oordeel dat het TCF, dat nochtans dé standaard is in de online marketingwereld voor het verzamelen en delen van online profielgegevens met het oog op het aanbieden van gepersonaliseerde online advertenties,  op verschillende punten fundamenteel in strijd zou zijn met GDPR. 

Het gaat om een eerste verslag, niet om een finale beslissing, maar dit zou wel eens bijzonder verstrekkende gevolgen hebben voor de hele online marketingwereld en de manier waarop gepersonaliseerde advertenties worden getoond aan websitebezoekers.  

Een potentiële bom onder de online marketingwereld met andere woorden…

Wat is het IAB TCF?

Het zogenaamde Transparency & Consent Framework van IAB Europe, kortweg TCF, is een standaard die binnen de online advertentiesector wordt gebruikt om toestemming te bekomen voor het plaatsen van cookies en andere trackers die het voor adverteerders mogelijk maken om websitebezoekers gerichte, gepersonaliseerde advertenties te tonen over verschillende websites heen op basis van hun surfgedrag,  online voorkeuren of profielinformatie. 

TCF is ook de motor achter Real Time Bidding of RTB, waarmee adverteerders in “real time”, via geautomatiseerde veilingplatformen en in een fractie van enkele milliseconden kunnen bieden op een bepaalde advertentieruimte, op een bepaalde website die net op dat ogenblik bezocht wordt door iemand die binnen de doelgroep van de adverteerder valt.    

Waarom is dit een probleem?

Op zich is gepersonaliseerde reclame een goede zaak.  Relevantie is immers erg belangrijk in online marketing.  Je wil als adverteerder de juiste boodschap op het juiste ogenblik aan de juiste persoon kunnen afleveren.  Alleen dan weet je immers zeker dat je boodschap aankomt.  Mensen worden overspoeld met reclameboodschappen en enkel dat wat hen écht persoonlijk aanbelangt, nemen ze op.  Dat is beter voor de adverteerder, die minder geld over de balk gooit met overbodige advertenties, én voor de websitebezoeker, die niet gestoord wordt met irrelevante content.

Alleen zit er een serieuze juridische angel aan die relevantie.  Relevantie creëren vereist immers kennis van je audience en die kennis bouw je op met zo gedetailleerd mogelijke profielinformatie.  

Die profielinformatie valt niet uit de lucht, natuurlijk.  Daar komt enerzijds GDPR en anderzijds cookieregelgeving (ePrivacy) in beeld.  Beiden vereisen absolute transparantie én een gepaste rechtsgrond die je toelaat om data te verzamelen en met derden te delen.  In het geval van cookies is die rechtsgrond altijd de voorafgaande toestemming.  In het geval van GDPR kan dat theoretisch gezien ook zonder toestemming, op basis van het gerechtvaardigd belang.  De Belgische Gegevensbeschermingsautoriteit was echter begin dit jaar zeer streng in haar analyse van het gerechtvaardigd belang in het kader van direct marketing (waar naar haar analyse online marketing ook onder valt).  Het gevolg daarvan is dat ook onder GDPR de facto een vrije, voorafgaande en geïnformeerde toestemming vereist is om persoonsgegevens te verzamelen met het oog op online marketingdoeleinden zoals RTB…

Het probleem voor een hele reeks van privacyactivisten (maar liefst 22 organisaties uit 16 landen legden klacht neer bij de GBA) zit hem in de vaststelling (menen zij) dat die toestemming binnen het TCF framework absoluut niet correct bekomen wordt.   Zij hebben daarom collectief een klacht ingediend bij de Belgische Gegevensbeschermingsautoriteit.  De reden om de klacht in België neer te leggen terwijl het om een Europees platform gaat, is eenvoudig: IAB Europe heeft haar kantoren in Brussel.

Wat zegt de GBA?

De GBA volgt in een eerste -weliswaar tussentijds- rapport de klagers.  Zij bevestigt dat ook volgens haar de huidige manier van gegevensverwerking binnen het TCF framework niet in overeenstemming is met GDPR.

Het grootste bezwaar van de GBA is wellicht dat IAB volgens haar zelf verantwoordelijk is voor de verwerking van gegevens die via haar TCF framework verzameld en verwerkt worden door reclameregies en adverteerders.  IAB Europe bepaalt immers volgens de GBA (mee) het doel en de middelen voor de verwerking en dat maakt van haar onder GDPR een verantwoordelijke.  Dat betekent meteen ook dat IAB Europe een hele reeks verplichtingen heeft inzake transparantie, het bekomen van toestemming, privacy by design, etc.. die GDPR oplegt aan verantwoordelijken voor de verwerking.

Persoonlijk hebben we toch vragen bij deze insteek vanwege de GBA.  IAB stelt immers slechts een tool ter beschikking.  Zij bepaalt niet zelf welke data er verzameld wordt en al evenmin bepaalt zij zelf voor welke doeleinden die data verwerkt worden door de betrokken ontvangers.  Een en ander lijkt toch minstens voor kritiek vatbaar…

Moeilijker te weerleggen is de vaststelling dat bij het verzamelen van profielgegevens van websitebezoekers via het TCF framework potentieel ook “gevoelige gegevens” (of “bijzonder beschermde gegevens”, zoals de GDPR ze eigenlijk noemt) te verzamelen.  Het gaat dan bijvoorbeeld over medische gegevens, gegevens over seksuele voorkeur, politieke voorkeur, etc… Die gegevens mogen onder GDPR alleen verwerkt worden als je daarvoor de afzonderlijke expliciete toestemming hebt gekregen van de betrokkene, wat bij online verzameling via cookies of trackers meestal niet het geval is.  Een en ander is, als de eerste conclusies van de GBA niet weerlegd kunnen worden door IAB Europe, een fundamentele breuklijn tussen TCF en GDPR, eentje die zeer moeilijk te lijmen valt ook, rekening houdende met de ontelbare regies en adverteerders die inmiddels zulke gevoelige gegevens in handen hebben gekregen via TCF en die ze ook dagelijks inzetten in RTB campagnes. 

Even zorgwekkend voor de toekomst van TCF is het feit dat TCF actief het gebruik aanmoedigt van het gerechtvaardigd belang als rechtsgrond voor de verwerking van persoonsgegevens in het kader van online profilering en personalisatie. Maar de Belgische Gegevensbeschermingsautoriteit gaf afgelopen januari al aan in haar Direct Marketing Aanbeveling dat het gerechtvaardigd belang slechts in zeer uitzonderlijke gevallen kan dienen als rechtsgrond voor (direct) marketingdoeleinden.  Consequent afzonderlijk toestemming vragen voor elke verzameling en doorgifte van persoonsgegevens is echter quasi onmogelijk.  Het aantal partijen dat tussenkomt in met name het Real Time Bidding proces is zo groot dat zulks moeilijk praktisch haalbaar lijkt. 

Daarbovenop heeft de GBA nog ernstige bedenkingen bij de veiligheid van het ganse TCF systeem, in die zin dat er te weinig garanties ingebouwd zijn in het framework zelf om de rechten van de betrokkene te garanderen.  Ook dit raakt aan één van de hoekstenen van GDPR, wat het tot een ernstige bedreiging voor het TCF maakt.

Breder kader: het einde van third party cookies

Een en ander komt overigens niet uit de lucht gevallen.  Wie onze website, onze publicaties en onze presentaties het afgelopen jaar in de gaten heeft gehouden weet dat er een aardverschuiving aan de gang is in de online marketingwereld en met name in de context van het gebruik van cookies en andere trackers om gegevens van websitebezoekers te verzamelen.  

Die aardverschuiving kreeg vorig jaar brede aandacht toen eerst het Europees Hof van Justitie en daarna ook de Belgische Gegevensbeschermingsautoriteit zwaar uithaalden naar websites die cookies plaatsen op het device van bezoekers zonder voorafgaande vrije en geïnformeerde toestemming van diezelfde websitebezoeker.  Maar onderliggend was er al een hele tijd een en ander aan het borrelen.  Apple had al eerder aangekondigd dat het via zijn ITP 2.1 protocol alle third party cookies (die met name persoonsgegevens verzamelen voor marketingdoeleinden) zou gaan blokkeren.  Mozzila Firefox volgde al snel en ging nog een stapje verder door ook fingerprinting door derde partijen te gaan blokkeren. Toen vervolgens ook Google aankondigde dat in Chrome vanaf 2022 third party cookies geblokkeerd zullen worden, was het duidelijk dat de online marketingwereld voor één van de grootste technische, praktische en juridische uitdagingen uit haar bestaan staat en waarin zij zal moeten leren overleven in een context van cookieless advertising…  

We hebben hierover al meer dan eens gesproken het voorbije jaar, onder meer in Obsessed van Marc Bresseel en Renout Van Hove en in een uitgebreid Cookie Cahier dat eerstdaags verschijnt bij Uitgeverij Politeia.  Deze week is het ook precies het onderwerp van ons legal webinar bij BAM, de Belgian Association for Marketing.

Wat betekent dit concreet?

Op langere termijn zal de ganse sector moeten shiften naar een andere manier van adverteren, naar meer contextuele campagnes, naar het inzetten op meer eigen profieldata (waarbij overigens dezelfde vragen naar GDPR compliance én naar het gebruik van met name analytics cookies telkens opnieuw naar boven zullen blijven komen).

Op kortere termijn verandert er voorlopig niet veel.  Het uitgelekte rapport is slechts een tussentijds rapport.  IAB Europe zal zich nog kunnen verweren (tegen ten laatste 7 december 2020) en er zijn zeker wel een hele reeks bruikbare argumenten denkbaar om het uiteindelijke standpunt van de GBA wat af te zwakken.  De uiteindelijke uitspraak wordt pas in de loop van 2021 verwacht.

Dit is echter een teken aan de wand voor al wie persoonsgegevens verzamelt en verwerkt online, zowel binnen als buiten TCF.  Ruim 80% van de websites in België is nog steeds niet cookie compliant en ruim 66% van de Belgische ondernemingen is nog niet GDPR compliant.  We zien in onze praktijk dagelijks voorbeelden van marketingdepartementen bij grote nationale en internationale bedrijven die de basics van een GDPR compliant marketingbeleid niet in de vingers hebben. De risico’s die dit met zich meebrengt worden uitvergroot door de exponentiële groei aan marketing automation tools, customer data platforms en andere adtech speeltjes die de markt overspoelen met beloftes van eindeloze mogelijkheden, maar die heel vaak niet voldoen aan de basisregels van onze privacywetgeving.

Wees dus voorzichtig.  Laat tijdig een GDPR compliance audit uitvoeren op je marketing activiteiten, denk aan Data Protection Impact Assessments voor je aan de slag gaat met nieuwe tools en software en denk ook op tijd aan een uitgebreide cookie scan op je website(s).

Vragen over GDPR compliance voor marketing departementen?

Neem gerust vrijblijvend contact op met Bart Van den Brande.  Bellen of mailen kan op 0486 901 931 of op bart@siriuslegal.be of je kan ook hier rechtstreeks een vrijblijvend kennismakingsgepsrek via Google Meet inboeken. 

De Franse gegevensbeschermingsautoriteit (de “CNIL”) publiceerde op 1 oktober 2020 nieuwe richtlijnen rond het gebruik van cookies op websites ter vervanging van haar oude richtlijnen uit 2019.  Dit is ook voor België van belang omdat de CNIL, samen met de Britse ICO en de Spaanse AEPD de enige gegevensbeschermingsautoriteit is die tot op heden zulke duidelijke en volledige richtlijnen rond het gebruik van cookies en andere tracking technologie publiek gemaakt heeft.

Nog even over cookies in het algemeen

We zijn bij Sirius Legal het voorbije jaar erg intensief bezig met cookieregelgeving.  Het Planet 49 arrest en de boete voor Jubel vorig jaar hebben heel wat reacties losgeweekt en in de voorbije maanden hebben we een hele reeks opleidingen, webinars en infosessies gegeven rond het gebruik van cookies op websites.  Gelijktijdig hebben we samen met onze partner Grava.be een Cookiescan uitgewerkt, die bedrijven kan helpen om zich zowel technisch als juridisch in regel te stellen.  Binnenkort wordt bovendien een handig handboek over cookies van onze hand gepubliceerd bij uitgeverij Politeia en achter de schermen lobbyen we samen met enkele bevriende vakverenigingen voor een meer soepele interpretatie van de regels.

Eén van onze grootste frustraties van het afgelopen jaar is de afwezigheid van duidelijke en praktisch toepasbare instructies vanuit de overheid over wat nu precies wél en niet aanvaardbaar is als het over het gebruik van cookies of andere trackers op websites gaat.

Dit nieuwe advies van de CNIL is wat dat betreft zeer welgekomen.  Het geeft ons en andere gespecialiseerde professionals een extra houvast om onze cliënten beter en preciezer te adviseren.

Wat zeggen die cookie richtlijnen van de CNIL nu precies?

De CNIL richtlijnen vormen best een lijvig document.  We vatten hier even samen wat je er kan terugvinden: 

• De bevestiging dat toestemming voor het plaatsen van cookies niet stilzwijgend kan gebeuren.  Wie geen expliciete toestemming heeft gegeven, heeft géén toestemming gegeven.
• De bevestiging (volgend op het Facebook Share Button arrest uit 2019) dat de website zelf en de derde-aanbieder die cookies plaatst via die website (bvb bij het gebruik van share of like buttons) gezamenlijke verantwoordelijken voor de verwerking zijn.  Dat betekent eenvoudig gezegd dat websites altijd mee verantwoordelijk zijn voor wat derden zoals Facebook, LinkedIn, ShareThis of AddThis doen via cookies op hun website.
• Het verbod op cookiewalls wordt enigszins afgezwakt, in die zin dat de Franse Raad van State oordeelde dat een algeheel verbod op cookiewalls niet mogelijk is en dat geval per geval bekeken moet worden of de websitebezoeker vrij is om al dan niet toestemming te geven of te weigeren (de facto laat een cookiewall die vrijheid nooit en dus zijn ze bij een individueel onderzoek geval per geval altijd illegaal, alleen mag dat niet als algemene regel in Frans recht opgenomen worden…)
• Cookie consent kan niet gegeven worden samen met de aanvaarding van algemene voorwaarden.  Beide toestemmingen moeten los van elkaar staan en een aparte opt-in is vereist.
• Toestemming is vereist per categorie en per doeleinde of althans de bezoeker moet de keuze hebben om zijn of haar toestemming op die manier te geven (een globale “accepteer alles” knop kan wel, zolang ook “manage my choices” aangeboden wordt)
• De cookie richtlijnen herhalen de aanbeveling van de AVG om eenvoudige en begrijpelijke taal te gebruiken om individuen te informeren over de aard en de doeleinden van cookies en om juridisch of (marketing)technisch jargon te vermijden.
• Om het voorgaande mogelijk te maken, nodigt de CNIL belanghebbenden uit om samen te komen om gestandaardiseerde interfaces te ontwerpen die op dezelfde manier en met dezelfde bewoordingen werken.
• De minimale info die een gebruiker moet krijgen om geïnformeerd zijn of haar toestemming te kunnen geven is de volgende:
  • De identiteit van de gegevensbeheerder (s);
  • Het doel van cookies;
  • Hoe je cookies accepteert of weigert;
  • De gevolgen van hun weigering of aanvaarding; en
  • Het recht om de gegeven toestemming op elk moment in te trekken.
• Zogenaamde “continued browsing” (“door onze website te bezoeken, gaat u akkoord…”) vormt géén geldige toestemming en de CNIL gaat zelfs een stapje verder door te zeggen dat het verder bezoeken van de website zonder actieve keuze, gezien moet worden als een actieve weigering door de bezoeker voor het plaatsen van cookies
• De CNIL geeft ook nog mee dat browser settings op zich geen bewijs kunnen zijn van opt-in.  De techniek laat vandaag immers niet toe aan websitebezoekers om in de settings van Chrome, Edge of Firefox voldoende geïndividualiseerd te kiezen welke cookies zij wel of niet willen aanvaarden.
• Advertentienetwerken die cookies plaatsen op websites zijn in vele gevallen zelf verantwoordelijken voor de verwerking van persoonsgegevens onder GDPR, vaak samen met de website-eigenaar.  
• Hoe lang blijft consent geldig?  Vroeger hanteerde de CNIL in het algemeen 13 maanden.  In dit advies nuanceert zij en zegt zij dat dit afhangt van de aard van de website of applicatie en van het specifieke publiek dat de website of de applicatie gebruikt of bezoekt.  Consent moet dus regelmatig vernieuwd worden.
• De toestemming moet in ieder geval ook op elk moment, kosteloos, kunnen worden ingetrokken, net zo gemakkelijk als deze aanvankelijk werd gegeven. Hiertoe raadt de CNIL aan om een ​​link te gebruiken naar een mechanisme voor het verzamelen van toestemming met een beschrijving zoals “manage my choices”.

En wat met analytics?

Wie ons het voorbije jaar gevolgd heeft, weet dat we érg bezorgd zijn over de impact van de cookiewetgeving op het gebruik van analytics cookies.  Die laatste vereisen immers ook voorafgaande toestemming en we weten uit statistieken dat die opt-in moeilijk te pakken te krijgen is, wat zorgt voor een grote drop in analytics data voor wie de wet correct naleeft.

De CNIL nam eerder al een veel genuanceerder standpunt in dan de Belgische GBA ten aanzien van analytics cookies en dit wordt bevestigd in deze richtlijnen. De CNIL geeft immers ook een opsomming van cookies waarvoor geen toestemming vereist is: 

• Cookies die dienen om de cookiekeuze van bezoekers te bewaren;
• Authentication cookies;
• Shopping cart cookies;
• Personalisatiecookies voor gebruikersinterface (bijvoorbeeld voor de taalkeuze of presentatie van een dienst), wanneer dergelijke personalisatie een intrinsiek en verwacht onderdeel van de dienst vormt;
• Load balancing cookies; 
• Paywall-cookies;
• Met betrekking tot analytics cookies heeft de CNIL gespecificeerd dat ze “niet systematisch de voorafgaande toestemming van de gebruiker vereisen”, zolang ze alleen worden gebruikt om het publiek van een website of een applicatie te meten en op voorwaarde dat deze Cookies:

• • niet toestaan ​​dat gebruikers door verschillende websites of applicaties browsen (cross device tracking); 
  • alleen worden gebruikt om anonieme statistische gegevens te produceren en op voorwaarde dat de verzamelde persoonlijke gegevens niet kunnen worden gecontroleerd of aan derden kunnen worden doorgegeven.

Vragen over cookies of GDPR of wil je beroep doen op onze Cookiescan dienst?

Bel of mail gerust met Bart Van den Brande op +32 486 901 931 of op bart@siriuslegal.be of boek hier rechtstreeks een vrijblijvende Google Meet kennismaking in in de agenda van Bart.