Blog

29.04.2021 Bart Van den Brande

Handboek Kunstrecht: auteursrecht, wat is dat?

Auteursrecht en de kunstwereld liggen aan de basis van wat wij vandaag doen bij Sirius Legal.  Ons kantoor is doorheen de jaren uitgegroeid tot een specialist in alles wat met media, internet en digitalisering te maken heeft, maar onze roots liggen bij het auteursrecht.  Onze managing partner Bart Van den Brande, die 11 jaar geleden aan de wieg van Sirius Legal stond,  werkte jarenlang voor beheersvennootschappen als Sabam, voor schrijvers, kunstenaars en muzikanten en later voor productiehuizen, tv- en radiozenders en reclamebureaus.  

Vandaag bestaat ons cliënteel vooral uit technologische start-ups, software en app developers, online handelaars en online marketing professionals, maar we zijn onze roots zeker niet vergeten.  Precies daarom waren we erg blij met de uitnodiging van uitgeverij Intersentia en editor Oliver Lenaerts om met ons team mee te schrijven aan het nieuwe “Handboek Kunstrecht”.  Het feit dat we precies het hoofdstuk rond auteursrecht mochten verzorgen, bevestigt alleen maar de 20 jaar lange traditie in die sector die Sirius Legal vertegenwoordigt.

Dit nieuwe “Handboek Kunstrecht” benadert alle juridische vraagstukken die rechtstreeks relevant zijn voor de sector van de beeldende kunsten vanuit een tweedimensionale invalshoek: per doelgroep (kunstenaar, curator, kunstgalerij & kunstdealer,…) en vervolgens vragen per thema (fiscus, auteursrechten, financieringen, vermogensplanning, …). Door het Q&A format is het een praktisch naslagwerk, boordevol concrete adviezen en tips. 

De komende weken kiezen we alvast enkele korte vragen en antwoorden uit ons eigen hoofdstuk bij wijze van teaser.  Voor wie het volledige hoofdstuk wil lezen, is het Handboek Kunstrecht vanaf 15 juni te bestellen op de website van Uitgeverij Intersentia.

We beginnen met de basics ter inleiding: Auteursrecht, wat is dat eigenlijk en wat beschermt het…?

 

Auteursrecht, wat is dat?

Auteurs, kunstenaars en muzikanten leven (of althans proberen te leven) van hun werk. Het is niet evident om een inkomen te verwerven uit je passie en het is dan ook bijzonder frustrerend als je moet vaststellen dat je werk zonder jouw toestemming en zonder enige vergoeding gebruikt wordt door anderen, die er zelf geld mee verdienen. Dat was nochtans eeuwenlang de norm. Kunst werd nauwelijks of niet beschermd en kunstenaars, zelfs de grote namen uit onze kunstgeschiedenis, hadden vaak de grootste moeite om hun boterham te verdienen met hun kunst. Daarin is gelukkig de voorbije eeuw verandering gekomen met de intrede van het auteursrecht.

Het auteursrecht is een door de wet voorziene bescherming die kunstenaars, schrijvers, muzikanten en eigenlijk iedereen die creatieve werken tot stand brengt (‘auteurs’) beschermt en hen het exclusieve recht geeft om te beslissen wat er met hun creatie gebeurt. Alleen de auteur van een werk beslist of en hoe zijn of haar werk gebruikt wordt en of hij of zij voor dat gebruik al dan niet vergoed wil worden. Dat betekent meteen ook dat het gebruik van een auteursrechtelijk beschermd werk zonder de voorafgaande toestemming van de auteur verboden is.

Destijds was het auteursrecht vooral bedoeld als bescherming voor schrijvers en uitgevers. Veel later werd het ook van toepassing op muziek, schilderijen en beeldende kunst, film, foto’s en tegenwoordig beschermt het auteursrecht in principe élke creatie, inclusief bijvoorbeeld softwarecode, lay-out en vormgeving en ‘alternatieve’ kunstvormen op basis van digitale technieken, geluid en beeld of bijvoorbeeld nog artificiële intelligentie.

Dankzij de bescherming die het auteursrecht verleent, kunnen creatievelingen vandaag wél controle houden over hun werk en een inkomen genereren uit de exploitatie ervan.

Het auteursrecht was en is dus de voorbije honderd jaar een enorme verbetering voor artiesten, kunstenaars, muzikanten en schrijvers overal ter wereld. Tegelijkertijd moet die vaststelling de voorbije twee decennia genuanceerd worden. De enorm snelle technologische evolutie en de digitale samenleving waarin we vandaag leven, maakt het voor veel creatievelingen steeds moeilijker om controle over hun werk te behouden. Knippen, plakken, kopiëren en samplen: het wordt allemaal steeds makkelijker en ook steeds meer als vanzelfsprekend beschouwd, in die zin zelfs dat sommigen het bestaansrecht zelf van het auteursrecht in een digitale maatschappij in vraag durven stellen en ervan uitgaan dat creativiteit gemeen goed moet zijn en niet kan of mag toebehoren aan één persoon.

Gelukkig is dit een evolutie waarin wetgevers en rechtbanken tot op heden niet meegestapt zijn. Vandaag beschermt het auteursrecht de rechten van kunstenaars en artiesten met net zoveel kracht en overtuiging in een digitale wereld als bij haar ontstaan.

 

Er bestaat niet één ‘auteursrecht’

‘Het auteursrecht’ bestaat overigens niet. Het auteursrecht is intrinsiek territoriaal van aard. Elk land heeft zijn eigen ‘auteursrecht’ en de vraag welke bescherming verleend wordt aan de auteur of kunstenaar hangt dus in grote mate af van het land waarin men zich bevindt. Eenzelfde werk van eenzelfde kunstenaar kan met andere woorden op hetzelfde ogenblik in verschillende landen anders beschermd zijn.

De vraag welk recht van toepassing is, wordt overigens niet ingegeven door de nationaliteit van de kunstenaar of van het land waar het kunstwerk gecreëerd is. De vraag welk recht dan wél van toepassing is, is een soms complexe vraag van Internationaal Privaatrecht, die afhankelijk van het geval en afhankelijk van de plaats waar de vraag gesteld wordt (!) een andere invulling kan krijgen.

De specifieke vraag welk recht van toepassing zal zijn bij online inbreuken op het auteursrecht, waar de inbreuk in werkelijkheid overal plaatsvindt en waar de locatie van de inbreukpleger niet altijd eenvoudig te achterhalen is. De (Europese) rechtspraak heeft een tijdje nodig gehad om zich te ontwikkelen op dit punt, maar vandaag kunnen we zeggen dat het nationale recht van de ‘plaats waar de inbreuk plaatsvindt’ ingeroepen kan worden en dat onder dat laatste ook begrepen moet worden de plaats waar de auteur of kunstenaar de facto schade lijdt. Het gevolg hiervan is dat een Belgische kunstenaar wiens kunst online nagemaakt wordt door een Amerikaanse kunstenaar en waarbij die namaak online toegankelijk is vanuit België wellicht de bescherming zal kunnen inroepen van de Belgische rechtbanken. Dezelfde redenering geldt overigens ten aanzien van de bevoegdheid van de Belgische rechtbanken in dergelijke gevallen. Evengoed echter zou diezelfde kunstenaar ook in de Verenigde Staten naar de rechtbank kunnen trekken om schadevergoeding te vorderen voor de inbreuken op zijn of haar auteursrecht. De lokale rechter zou dan onder Amerikaans recht moeten beoordelen of hij of zij bevoegd is en zou vervolgens naar alle waarschijnlijkheid het Amerikaanse recht moeten toepassen.

Een en ander betekent dat eenzelfde rechtszaak over eenzelfde auteursrechtelijke inbreuk twee verschillende aflopen kan kennen afhankelijk van waar ze gevoerd wordt en welk recht erop van toepassing zal zijn… Een treffend voorbeeld is een reeks van procedures die al 25 jaar lang gevoerd worden door twee Belgische componisten tegen de Amerikaanse componist R. Kelly en diens platenlabel(s). In 1995 bevestigden deskundigen aangesteld door de Belgische auteursrechtenvereniging SABAM dat het lied “You are not alone”, dat R. Kelly voor Michael Jackson schreef, gelijkenissen vertoonde met een werk dat oorspronkelijk in 1993 werd gecomponeerd door de Belgische componisten en producers Eddy en Danny Van Passel onder de naam “If we can start all over”. “You are not alone” stond op nr. 1 in de Verenigde Staten, het Verenigd Koninkrijk en tal van andere landen. R. Kelly beweerde het nummer te hebben gecomponeerd, maar heeft daar geen bewijs van geleverd. Na 12 jaar, op 11 september 2007, gaf de Belgische rechter Danny en Eddy Van Passel gelijk dat zij en niet producer R. Kelly de hit “You are not alone“ hebben gecomponeerd. Op 3 september 2009 bevestigde ook het Hof van Cassatie het arrest van 2007 en de uitspraak moest ‘internationaal’ worden gepubliceerd. De heren Van Passel rekenden zich al rijk, rekening houdende met het feit dat “You are not alone” een wereldhit en een klassieker was en nog steeds is. Alleen is de vaststelling dat de beslissing van de Belgische rechter een zeer beperkte (territoriale) reikwijdte heeft: alleen in België is “You are not alone” een bewerking van “If we can start all over” en alleen in België worden beide heren als de rechtmatige auteurs van het nummer beschouwd. In de rest van de wereld blijft R. Kelly de auteur en blijven de auteursrechten aan hem toekomen. Tenzij de heren Van Passel in elk land afzonderlijk dezelfde rechtszaak opnieuw voeren en dan telkens onder het nationale recht van dat land trachten de auteursrechten naar zich toe te trekken…

Een belangrijke uitzondering op deze territoriale werking van het auteursrecht, tenminste binnen de Europese Unie, is de leer van de ‘communautaire uitputting’. Die ‘uitputtingsleer’ volgt uit een reeks opeenvolgende arresten van het Europees Hof van Justitie, allen voortbouwend op het zogenaamde ‘Deutsche Grammophonarrest’, en houdt in dat als een werk of een kopie of een bewerking van een werk (bv. posters van een kunstwerk) binnen de Europese Unie in één lidstaat rechtsgeldig in het economische verkeer zijn gebracht, de auteur of rechthebbende zich niet kan verzetten tegen de verdere verdeling en herverkoop ervan in andere lidstaten van de Europese Unie. De kunstenaar die aan een partner in een EU-lidstaat het recht geeft om bijvoorbeeld reproducties te maken van zijn of haar kunstwerk, kan zich niet verzetten tegen de aanwezigheid van die reproducties op het Belgisch grondgebied op basis van zijn auteursrecht als zij hun weg tot hier vinden. Zij zijn regelmatig in het verkeer gebracht en de latere verspreiding ervan binnen de gehele Europese Unie is vrij.

Wat daarentegen wel mogelijk is voor de kunstenaar in kwestie is om op contractuele basis te (trachten) voorkomen dat diezelfde reproducties hun weg naar België zouden vinden door in de overeenkomst met zijn partner de nodige clausules op te nemen om export of doorverkoop aan personen die export beogen te verbieden. De reproducent kan dan niet verkopen aan een partij waarvan hij of zij weet dat deze de intentie heeft om de reproducties in België beschikbaar te maken. Als vervolgens de gezegde reproducties toch op de Belgische markt aanwezig blijken te zijn, heeft de kunstenaar in principe een contractueel verhaal ten aanzien van de reproducent (maar nog steeds geen auteursrechtelijk verhaal op de Belgische eigenaar van de betreffende reproductie, omwille van de beperking aan zijn auteursrecht op basis van de uitputtingsleer).

 

Wat is auteursrechtelijk beschermd?

Het doel van het auteursrecht was steeds om de drempel om in aanmerking te komen voor bescherming zo laag mogelijk te houden. Het auteursrecht wilde immers alle kunstenaars zo goed mogelijk beschermen.

Noch het Belgische Wetboek Economisch Recht, waarin het auteursrecht is opgenomen, noch de Europese Richtlijnen 2006/116/EG betreffende de beschermingstermijn van het auteursrecht en van bepaalde naburige rechten of 2001/29/EG van 22 mei 2001 betreffende de harmonisatie van bepaalde aspecten van de informatiemaatschappij, noch enige andere wetgevende norm bevatten een duidelijke definitie van wat precies in aanmerking komt om als auteursrechtelijk beschermd werk beschouwd te worden. Wel is er sprake in artikel XI.165 van het Wetboek Economisch Recht van “werken van letterkunde of kunst” en worden verder in hetzelfde boek XI criteria aangegeven die van toepassing zijn op onder andere werken van letterkunde (XI.172 WER), werken van grafische of beeldende kunst (XI.173 WER) of audiovisuele werken (XI.179 WER).

Wat precies is een ‘werk’? Ook die invulling geeft de wet ons niet. De rechtspraak van het Europees Hof van Justitie, met name in de Levolo zaak uit 2018, leert ons wel dat het moet gaan om een idee, gedachte of creatie met een nauwkeurige, objectieve en originele uitdrukkingsvorm. Interessant daarbij in het licht van conceptuele kunst is dat die ‘uitdrukkingsvorm’ volgens het Europees Hof van Justitie niet permanent moet zijn, voor zover hij toelaat om het voorwerp van de auteursrechtelijke bescherming ‘nauwkeurig en objectief uit te drukken’. Installaties bijvoorbeeld moeten in het licht hiervan niet permanent zijn om toch auteursrechtelijk beschermd te kunnen zijn.

De precieze invulling van wat als een auteursrechtelijk beschermd werk beschouwd kan worden, is ingegeven door decennia van rechtspraak en rechtsleer en ondanks de vele verfijningen en beperkingen die doorheen de jaren door verschillende rechtbanken zijn opgelegd, blijft ook vandaag het basisprincipe dat élke creatie auteursrechtelijk beschermd is als aan twee essentiële voorwaarden voldaan is.

Eerst en vooral moet een werk in een concrete vorm gegoten zijn. Een louter idee of concept is niet beschermd door het auteursrecht. Dat werd zeer recent in juni 2020 nogmaals bevestigd door het Europees Hof van Justitie in de Brompton fietsen zaak, waarin het Europees Hof van Justitie nogmaals duidelijk maakt dat ideeën, methodes, concepten of vormgevingen die louter technisch zijn ingegeven niet voor auteursrechtelijke bescherming in aanmerking komen. De concrete vorm of uitdrukking die aan een idee, concept, principe gegeven wordt, is daarentegen wel beschermbaar. (Tenzij tenminste deze een noodzakelijk gevolg is van de onderliggende technische concepten. Een wiel is immers omwille van zijn concept altijd rond en de ronde vorm ervan is om die reden niet auteursrechtelijk beschermd).

Het meest voor de hand liggende voorbeeld om te verduidelijken dat het onderliggende idee niet beschermd is, maar de concrete vormgeving die eraan gegeven wordt wel, is een vaas met bloemen. Het idee om een schilderij te maken van een vaas met bloemen is niet beschermd en kan niet beschermd worden. Niemand kan de eigendom op dat idee claimen. Er zijn doorheen de eeuwen dan ook miljoenen variaties geschilderd op hetzelfde basisidee van een vaas met bloemen. Elk van die variaties is een individuele concretisering van hetzelfde idee en die individuele concretisering komt wél voor bescherming in aanmerking. Niet ‘een’ vaas met bloemen is beschermd door het auteursrecht, maar ‘mijn’ vaas met bloemen is beschermd door het auteursrecht.

De tweede voorwaarde om auteursrechtelijk bescherming te kunnen inroepen, is de noodzaak om ‘origineel’ te zijn. Een werk moet, zegt men dan, de ‘persoonlijke stempel’ van de auteur dragen. De drempel ligt ook hier erg laag. Een werk moet absoluut niet vernieuwend zijn of een grote artistieke waarde hebben om voor bescherming in aanmerking te komen. Het volstaat dat de auteur eigen, individuele keuzes gemaakt heeft die zich onderscheiden van de keuzes van andere auteurs in dezelfde situatie. Om het met hetzelfde voorbeeld te zeggen: ‘mijn’ vaas is auteursrechtelijk beschermd omwille van de vorm en de kleuren die ik gekozen heb, de lichtinval die ik gegeven heb, het kader en de achtergrond die ik gekozen heb.

De tweede voorwaarde stelt in praktijk minder problemen. De algemene consensus lijkt te zijn dat zodra een auteur kan aantonen dat hij of zij in zekere mate individuele keuzes gemaakt heeft, zijn of haar werk auteursrechtelijk beschermd is. Er zijn nochtans wel enkele deelgebieden van het auteursrecht waar geregeld discussies opduiken over de vraag of er wel sprake is van voldoende creatieve vrijheid in hoofde van de auteur. Met name in de (journalistieke) fotografie valt af en toe te horen dat de fotograaf die niet meer deed dan louter op het juiste moment de sluiter indrukken, geen auteursrecht kan claimen. Die stelling komt bijvoorbeeld weleens naar boven bij sportfotografie. De fotograaf bij een voetbalwedstrijd controleert immers niet de choreografie, de belichting, het onderwerp van zijn foto’s en zelfs in veel gevallen niet het kader of de achtergrond. 

Nochtans wordt ook daar de drempel bewust laag gehouden: zodra een fotograaf kan aantonen dat hij of zij een aantal minimale keuzes gemaakt heeft, bij het maken van de foto of bij de bewerking ervan achteraf, is zijn of haar werk wel degelijk auteursrechtelijk beschermd. Iedereen kent wellicht ook het voorbeeld van de aap die met het fototoestel van fotograaf David Slater in 2011 een selfie maakte, waarna zich een lange discussie, tot voor de rechtbank en tot voor het US Copyright Office, ontspon over de vraag of een selfie genomen door een aap al dan niet auteursrechtelijk beschermd kan zijn. (Het antwoord op die vraag is overigens tot op vandaag niet evident en verschillend afhankelijk van het land waar je de vraag stelt. Auteursrecht verschilt immers van land tot land).

Wat in elk geval niét van invloed is op de vraag of een werk al dan niet in aanmerking komt voor auteursrechtelijke bescherming zijn de esthetische waarde of het talent van de kunstenaar, de nieuwheid, de vraag of het werk af is of nog niet, de vaststelling dat het strijdig is met de openbare orde of de goede zeden, de omvang van het werk (of de lengte van een muzikaal of audiovisueel werk), het doel waarvoor het werk bestemd is of de inspanning die nodig was om het werk tot stand te brengen.

We geven nog even mee dat het auteursrecht ook voorziet in een regeling voor werken gemaakt door verscheidene (co-)auteurs. Zulke werken kunnen worden opgedeeld in deelbare werken (waarbij de auteur voor elk onderdeel van het werk geïdentificeerd kan worden, zoals bv. het geval is met dit boek) of ondeelbare werken (waarbij de bijdragen van de verschillende auteurs niet van elkaar te onderscheiden zijn), elk met hun eigen regels voor de exploitatie van de betreffende auteursrechten.

 

Vragen over auteursrecht?

We maken graag tijd voor je.  Bel of mail gerust met Bart Van den Brande op bart@siriuslegal.be of +32 492 249 516 of boek hier meteen een vrijblijvend online kennismakingsgesprek in met Bart via Google Meet of Zoom.

Onze volgende publicatie uit het boek zal je zeker interesseren: Is “nieuwe” kunst beschermd? Over graffiti, performance art en AI in de kunst. Hou onze blog in de gaten!

Populair artikel
26.04.2021 Bart Van den Brande

Data Export na Schrems II: stilaan meer duidelijkheid op basis van eerste beslissingen

Dat het Schrems II arrest van afgelopen zomer heel wat stof heeft doen opwaaien is een understatement.  Heel wat bedrijven zijn bijzonder ongerust over de impact van het wegvallen van het Privacy Shield tussen de VS en Europa en over de strengere interpretatie van data exportregels van de EU naar gebieden buiten de EU.  De recente Mailchimp beslissing, waarover we al eerder schreven op onze blogpagina’s heeft daarbij alleen maar olie op het vuur gegooid.

Maar gelukkig wordt de soep niet altijd zo heet gedronken als ze geschonken wordt.  Een recente beslissing van de Franse Conseil d’Etat maakt duidelijk dat het Schrems II arrest heus niet hoeft te betekenen dat Europese bedrijven helemaal geen beroep meer kunnen doen op niet-Europese (meestal Amerikaanse) dienstverleners.  Hoe zit de vork dan precies in de steel en wat moet je als ondernemer wel en niet doen?  Dat proberen we hieronder op een rijtje te zetten.

 

Hoe zat het ook weer met dat hele Schrems II verhaal?

Afgelopen zomer oordeelde het Europees Hof van Justitie in haar Schrems II-arrest dat het zogenaamde “Privacy Shield” dat de uitwisseling van persoonsgegevens van de EU naar de VS mogelijk maakte zonder bijkomende waarborgen of beperkingen in strijd was met het Europees recht en met name met GDPR.  Premisse van het Privacy Shield was immers de “belofte” van Amerikaanse bedrijven dat de persoonsgegevens van Europese burgers eenzelfde niveau van veiligheid zouden genieten in de VS als in de EU en dat uitgangspunt is de facto onmogelijk.  Amerikaanse veiligheidswetgeving, zoals bvb de FISA act, geven Amerikaanse inlichtingendiensten immers vergaande inzagerechten in (Europese of andere) datastromen die de VS binnenkomen.  Europese data is dus nooit echt “veilig” in de VS en die vaststelling betekende meteen ook het einde van het Privacy Shield.

De gevolgen hiervan zijn potentieel érg vergaand. Quasi alle software tools die Europese bedrijven vandaag gebruiken, zijn immers Amerikaans en aangezien de meeste daarvan tegenwoordig cloud services of online tools zijn, is er per definitie sprake van gegevensuitvoer naar de VS.

Het probleem werd enkel maar groter als we ook rekening houden met het feit dat het EHJ daar ook aan toevoegde dat wie data exporteert buiten de EU (ook naar andere bestemmingen dan de VS), meteen rekening moet houden met het feit dat de Standard Contract Clauses die de Europese Commissie zélf voorziet om veilige gegevensexport te garanderen tussen bedrijven en organisaties binnen en buiten de EU niet volstaan.

Het Schrems II-arrest zegt immers zeer duidelijk dat overdrachten van persoonsgegevens aan cloudserviceproviders in de Verenigde Staten geval per geval beoordeeld moeten worden en indien er een risico bestaat voor de integriteit van de betreffende gegevens, moeten bijkomende veiligheidswaarborgen voorzien worden.  Die aanvullende waarborgen dringen zich bij export naar de VS bijna automatisch op, gelet op de zeer vergaande onderzoeksbevoegdheden van de Amerikaanse inlichtingendiensten, bijvoorbeeld op grond van sectie 702 (50 USC § 1881a) van de Foreign Intelligence Surveillance Act (Cloud Services Act).

 

Dus geen data export meer naar de VS?

Wie vorige week ons blogartikel over het gebruik van Mailchimp gelezen heeft, zou de indruk kunnen hebben dat data export naar de VS vandaag onmogelijk geworden is als gevolg van het Schrems II arrest.  Dat is gelukkig echter niet het geval.

We gaven in dat artikel, net als in deze blog met een duidelijk 7 stappen plan voor data export, al mee dat heel veel afhankelijk is van jouw eigen specifieke context en de “gevoeligheid” van jouw data en we legden ook al uit dat het jouw taak is als ondernemer om een correcte inschatting te maken van die context en van de veiligheid van jouw data bij de ontvangende partij.  Om die veiligheid te verzekeren zal je zelf moeten zorgen voor gepaste “bijkomende veiligheidsmaatregelen” bovenop de standaard contractuele garanties die de ontvangende partij je moet geven in de vorm van zogenaamde “Standard Contract Clauses” (ook dit lees je in ons 7 stappen plan).  Eén van die bijkomende maatregelen kan bijvoorbeeld de voorafgaande encryptie van je data zijn, zodat ze aan de ontvangende zijde niet kan uitgelezen worden.

Als je bovenstaande graag rustig uitgelegd ziet, kan je overigens terecht op ons Youtube kanaal. Je vindt er de opname van een recent Schrems webinar waarin we samen met onze partners van de IT & Data Protection Practice Group van Consulegis een overzicht geven van internationale data export en de impact van Schrems II vanuit Amerikaans, Indisch, Brits en Europees perspectief.

 

En wat heeft de Franse Raad van State hiermee te maken?

We begonnen ons verhaal met de melding dat de Franse Raad van State zopas verduidelijkte dat Europese bedrijven wel degelijk nog kunnen samenwerken met Amerikaanse partners in het kader van verwerking van persoonsgegevens. Tijd dus om even te kijken wat de Conseil d’Etat in Frankrijk precies gezegd heeft…

De Franse regering werkt al een hele tijd aan een nationaal platform voor de verwerking van medische gegevens van Franse burgers, een beetje zoals het eHealth platform bij ons in België.  Dat Franse platform heet Doctolib en het staat ondermeer in voor het boeken van afspraken voor Covid-19 vaccinaties.

De servers van Doctolib worden, zoals ongeveer 33% van alle serverruimte in Europa, gehost door het Luxemburgse Amazon Web Services (AWS). De servers van AWS staan weliswaar in Frankrijk en Duitsland, maar AWS is wel een onderdeel van de Amerikaanse Amazon-groep. De vaststelling dat de gezondheidsgegevens van miljoenen Franse burgers verwerkt zouden worden op een platform dat gehost wordt door (de dochteronderneming van) een Amerikaans bedrijf, zorgde voor behoorlijk wat onrust in Frankrijk en leidde uiteindelijk tot een procedure voor de Raad van State in een poging om die beslissing teniet te doen en de Franse overheid te dwingen een Europees alternatief te kiezen.

De Conseil d’État wees echter het verzoek tot opschorting van het partnership tussen de Frase overheid en Doctolib af. 

De Raad van State zegt daarbij 3 belangrijke dingen:

  1. Het loutere feit dat er samengewerkt wordt met een Amerikaans bedrijf betekent niet dat er per definitie sprake is van data export naar de VS.  In casu staan alle servers in de EU.  Die vaststelling is meteen een hele geruststelling voor de miljoenen Europese bedrijven en zelfstandigen die werken met software van bijvoorbeeld Microsoft of Google of die serverruimte hebben bij AWS, Azure of Google Cloud Services.  Dat zijn stuk voor stuk Amerikaanse bedrijven, maar daarom is er nog niet automatisch sprake van data export.  Het feit dat bijvoorbeeld Google haar klanten zelf laat kiezen voor opslag in de Amerikaanse, Europese of binnenkort ook Russische Google cloud, is wat dat betreft een hele geruststelling. 
  2. De Franse Raad van State zegt er wél meteen bij dat er wel degelijk een (potentieel) risico bestaat op toegang door Amerikaanse wetshandhavingsinstanties tot de persoonsgegevens die op Europese servers van een Amerikaans bedrijf (of haar dochteronderneming) staan.  Amerikaanse veiligheidswetgeving is immers ook van toepassing op Amerikaanse bedrijven buiten de VS.  Dat is dan weer minder goed nieuws voor diezelfde miljoenen Europese bedrijven die samenwerken met Amerikaanse suppliers…
  3. Vervolgens stellen de rechters vast dat de Franse staat een voldoende risico-analyse gemaakt heeft en voor voldoende juridische en technische “bijkomende waarborgen” gezorgd heeft om de uitwisseling van persoonsgegevens met een Amerikaans bedrijf toch te rechtvaardigen.  Het contract tussen Doctolib en AWS voorziet bijvoorbeeld dat AWS elk algemeen inzageverzoek (van de Amerikaanse overheid) zou weigeren en aanvechten. Op technisch vlak is bovendien sprake van vergaande encryptie van alle bij AWS gehoste data en dat de sleutel wordt bewaard door een vertrouwde derde partij in Frankrijk (en niet door AWS zélf, dat eventueel gedwongen zou kunnen worden om de sleutel uit handen te geven aan de Amerikaanse overheid).

 

Wat leren we hieruit?

Hoewel deze zaak geen betrekking heeft op de doorgifte van persoonsgegevens naar de VS, toont het arrest in elk geval wél aan dat Schrems II, volgens de hoogste Franse rechtbank, EU-bedrijven niet per definitie verbiedt om samen te werken met Amerikaanse aanbieders van clouddiensten. De uitspraak illustreert vooral de noodzaak tot grondig voorafgaand onderzoek én tot het nemen van voldoende bijkomende waarborgen om dataveiligheid te garanderen.  Tegelijk geeft het arrest ook aan dat zulke garanties niet alleen absoluut nodig zijn als data effectief getransfereerd wordt naar de VS, maar dat ze ook aangewezen (kunnen) zijn in situaties waarin samengewerkt wordt met Europese dochterondernemingen en waarin de data wel in de EU gehost wordt of althans waar gezegd wordt dat dat zo is (let wat dat betreft op de kleine lettertjes, die vaak uitzonderingen voorzien voor noodgevallen ,waarbij data toch omgeleid of in back-up gezet kan worden buiten de EU…)

 

Vragen over GDPR, data export of gegevensbescherming in het algemeen?

We maken graag tijd voor je.  Bel of mail gerust met Bart Van den Brande op bart@siriuslegal.be of +32 492 249 516 of boek hier meteen een vrijblijvend online kennismakingsgesprek in met Bart via Google Meet of Zoom.

Populair artikel
21.04.2021 Bart Van den Brande

We are growing... Welkom Thomas, Isha en Pieter!

“Innovation distinguishes leaders from followers”

Rake woorden uit de mond van Steve Jobs en woorden die élk bedrijf in een snel digitaliserende economie ter harte zou moeten nemen.  Woorden die nog meer gelden in de advocatuur dan in andere sectoren.  Ons beroep is al enige tijd aan het veranderen en vooral aan het digitaliseren. Een golf van nieuwe “legal tech” toepassingen en tools die klassiek, tijdrovend werk automatiseren, overspoelt de juridische wereld en bestaande businessmodellen worden hierdoor steeds opnieuw in vraag gesteld.

Bij Sirius Legal zijn we hier al lang zeer intensief mee bezig. Wij willen niet overspoeld worden door die vernieuwingsgolf. Wij surfen ook niet zomaar mee op die golf. Neen, bij Sirius Legal zijn wij die golf.  We hebben ze de voorbije jaren zelf mee in gang gezet!  

Wij zijn vandaag al bezig met de juridische regels én technologische evoluties van morgen. Dat is de enige manier om futureproof te ondernemen en blijvend te innoveren. Dat geldt niet alleen voor ons, maar ook voor de starters, KMO’s en multinationals uit binnen- en buitenland die onze cliënten zijn en voor iedereen die wil innoveren in zijn of haar sector. Precies daarom omarmt Sirius Legal technologie en volgen wij op de voet de technologische actualiteit. Je vindt bij ons om die reden ook niet enkel advocaten, maar ook professionals die hun sporen verdienden in de media-, marketing en IT-wereld. Voor wie ons nog niet helemaal kent: Sirius Legal staat voor pragmatisch, snel, toegankelijk en betaalbaar advies, gedreven door passie en mét kennis van jouw business.

 

2 jaar geleden startten wij zelf met een ambitieus intern vernieuwingstraject.  We verbreedden onze horizon en haalden ervaren maar pragmatische consultants van buiten de advocatuur in huis. We gingen aan de slag met een interne digitaliseringsoefening met als doel onze diensten beter, sneller en efficiënter te maken voor onze cliënten in binnen- en buitenland. Sirius Legal werkt daardoor niet als een klassiek advocatenkantoor, maar als een echte digitale onderneming waarbij de cliënt centraal staat. Dat onderscheidt ons van anderen en houdt onze relaties met cliënten en partners zeer scherp. Achter de schermen werken we bovendien naarstig verder aan ons eigen érg ambitieus digitale juridische platform voor bedrijven en ondernemers.

Maar a fool with a tool remains a fool, natuurlijk. Daarom zetten we even hard in op de versterking van ons team en zijn we bijzonder trots om dit voorjaar een aanzienlijke uitbreiding van ons team aan te kondigen. We verwelkomen maar liefst drie nieuwe collega’s die stuk voor stuk ervaring, kennis en een gedeelde passie voor technologie en innovatie met zich meebrengen.

 

We zijn bijzonder trots en blij met de komst van Thomas Luyten. Thomas bouwde bij onze Mechelse buren van Mahla een carrière uit in het handelsrecht maar vooral ook in gegevensbescherming en GDPR. Thomas is een ervaren en gecertificeerde Data Protection Officer en zal ons binnenkort bijstaan in cybersecurity en GDPR trajecten en in DPO opdrachten voor onze key accounts. 

Ook zorgen we voor een aanzienlijke injectie aan jeugdig enthousiasme én technische knowhow in de personen van Isha Upadhyaya en Pieter Dirix. Isha studeerde aan de KULeuven en de Université CY Cergy-Paris en deed de voorbije jaren ervaring op bij verschillende legal tech bedrijven zoals Clausebase. Ze werkt actief mee aan diverse technologieprojecten binnen de KULeuven. Pieter behaalde na zijn studies aan de Universiteit Antwerpen een Master na Master in IP & ICT Law en startte zijn carrière bij Solit.Legal, waar hij bedrijven adviseerde in ICT-recht en gegevensbescherming. 

Deze forse uitbreiding van ons team, investeringen in state of the art technologie en gouden partnerships, wapenen Sirius Legal alvast voor de toekomst.
We zijn klaar om onze cliënten nóg beter, sneller en efficiënter van dienst te zijn.

 

P.S.: Wil jij als advocaat, consultant of IT’er ook deel uitmaken van ons verhaal?
Bel of mail ons vandaag nog, wij maken graag tijd om te luisteren naar jouw visie en ambitie… 

Populair artikel datalek melden
20.04.2021 Roeland Lembrechts

Iemand nog een datalek te melden? Durf jij nog twijfelen aan de noodzaak van cyber security?

Kranten en tijdschriften melden de laatste tijd bijna dagelijkse nieuwe hacks en datalekken bij bedrijven. De voorbeelden bij sociale media-platformen de laatste weken liegen er niet om: gegevens van 533 miljoen Facebook gebruikers, 500 miljoen Linkedin gebruikers en 1,3 miljoen Clubhouse gebruikers worden online te grabbel gegooid. (Al ontkennen al deze platformen met hand en tand dat er een probleem zou zijn…)

Na het meest recente geval bij Allekabels.nl eerder deze week is het bovendien ook duidelijk dat data breaches niet enkel een probleem zijn voor de Facebooks en Linkedins van deze wereld.  Elk bedrijf, klein of groot, is een potentieel slachtoffer. Allekabels.nl is een relatief kleine Nederlandse webshop die kabels en batterijladers verkoopt, maar waar wel privégegevens, waaronder versleutelde wachtwoorden en logins, telefoonnummers en geboortedata, van zo’n 3,6 miljoen mensen gestolen werden om later te koop aangeboden te worden op een hackersforum.  Blijkbaar, althans dat suggereren de media, heeft Allekabels.nl bijzonder slecht op deze data breach gereageerd en hebben ze slechts gedeeltelijk en/of laattijdig de betrokken personen geïnformeerd. 

Laat het een les zijn: cyber security is een groeiend aandachtspunt in onze gedigitaliseerde economie en elke ondernemer zou er bewust mee aan de slag moeten gaan…

 

Cyber security is een topprioriteit voor iedereen

Iedereen kan geconfronteerd worden met een gehackt systeem of een schadelijk datalek. Ondernemingen zijn digitaal nauw met elkaar verbonden tegenwoordig.  We wisselen permanent data uit en maken daarbij gebruik van heel wat verschillende meer of minder veilige toepassingen.  Precies die digitale verbondenheid en het gebrek aan beveiligingsmaatregelen zorgt steeds meer dat je digitale hebben en houden aan behoorlijk wat risico’s wordt blootgesteld.

Studies van het World Economic Forum zeggen niet voor niets dat informatieveiligheid, data fraude en risico’s op de bedrijfscontinuïteit door bedrijfsleiders één van de grootste bezorgdheden zijn voor ondernemingen wereldwijd. Cyber security zou dus een topprioriteit moeten zijn voor elke ondernemers of manager. 

 

Struisvogelpolitiek

Eigenaardig genoeg vertaalt die politieke bezorgdheid en persaandacht voor cyberrisico’s zich nog niet in effectieve actie bij bedrijven. We hebben allemaal een brandverzekering, onze bedrijfsgebouwen zijn fysiek beveiligd tegen ongewenste bezoekers, onze bedrijfsgeheimen bewaren we in een kluis, etc.,  maar vreemd genoeg trekken bedrijven die lijn niet door naar hun databeleid.

Op het eerste zicht zijn daar wel redenen voor te vinden. De directe meerwaarde van cyber security maatregelen zijn niet onmiddellijk zichtbaar en het ontbreekt veel bedrijven aan tijd en (financiële) middelen. Zo is er ook een gebrek aan kennis over de toepasselijke normen en denken veel ondernemingen nog steeds dat dit enkel een probleem is voor de grote jongens. En probeer het maar eens georganiseerd te krijgen bovenop je eigenlijke dagdagelijkse activiteiten. Kop in het zand dan het maar… 

Nochtans zijn er héél wat quick wins te realiseren binnen bedrijven.  Heel wat winst is te halen uit simpele maatregelen als een goed data securitybeleid, up-to-date software, de juiste antivirus en firewalls, opleiding en awareness bij je personeel, een goede verzekering, thuiswerk policies, BYOD policies, een goed paswoordbeleid, een grondige GDPR compliance oefening ook, …

 

Begeleiding door Sirius Legal en BA met financiële ondersteuning door Vlaio

Er zijn voldoende redenen om net wél prioriteit te geven aan een veilige digitale omgeving. Je beperkt er uiteraard de risico’s voor je informatieveiligheid mee, maar vergroot daarnaast ook het vertrouwen van je klanten, leveranciers, aandeelhouders en anderen die in aanraking met je onderneming komen. Je kan daarbij proactief blijk geven van de nodige toewijding aan de naleving van de geldende normen (technische en juridische standaarden, privacy-vereisten) en door de juiste communicatie kan je hier daadwerkelijk een concurrentievoordeel uit putten.

Dankzij Vlaio hoeft er ook geen drempel te zijn voor jou als ondernemer om tijdig met cyber security aan de slag te gaan.  Sirius Legal (als juridische partner) en BA NV (als technische partner) kunnen als door Vlaio erkende en gesubsidieerde dienstenleverancier op efficiënte en betaalbare wijze zorgen voor een doorgedreven cyber security audittraject binnen je onderneming:  je cyberrisico’s worden maximaal in kaart gebracht en doeltreffend aangepakt op technisch, organisatorisch én juridisch vlak. Dankzij Vlaio wordt je investering bovendien voor maar liefst 45% gesubsidieerd.

Een Vlaio-traject onder begeleiding van twee erkende partners geeft je bedrijf met andere woorden de nodige kickstart in cyberveilig ondernemen. 

 

Meer info over een cyber security verbeteringstraject van Vlaio?  

Neem een kijkje op deze pagina waar we heel het traject nader toelichten. Of neem contact op met Roeland Lembrechts via roeland@siriuslegal.be

Populair artikel
07.04.2021 Bart Van den Brande

De Duitse Mailchimp beslissing maakt de impact van het Schrems II-arrest op data export pijnlijk duidelijk

Een recente beslissing van de Beierse gegevensbeschermingsautoriteit doet grote twijfel rijzen over de vraag of het populaire e-mailmarketingplatform MailChimp volgens de GDPR wel legaal gebruikt kan worden.  

Bij uitbreiding stelt hetzelfde probleem zich voor bij quasi alle Amerikaanse softwaretoepassingen die persoonsgegevens van EU-burgers verwerken.  Data Export naar de VS is immers sinds afgelopen zomer niet meer mogelijk onder het door het Europees Hof van Justitie vernietigde Privacy Shield en ook het gebruik van Standard Contract Clauses als alternatief blijkt -en dat is voor gegevensbeschermingsspecialisten niet verbazend- zeer moeilijk te liggen omdat het Europees hof van Justitie in dat geval de bijkomende verplichting oplegt om individueel en geval per geval te onderzoeken of bijkomende veiligheidsmaatregelen nodig zijn.  

Precies dat laatste probleem komt nu naar boven in de beslissing over Mailchimp uit Beieren.

 

Data export?

De impact van het Schrems II-arrest van het Europese Hof van Justitie van afgelopen zomer laat zich steeds harder voelen.  Voor heel wat bedrijven was het toch even in de haren krabben vorig jaar, toen het Europese Hof het Privacy Shield tussen de VS en de EU (de EER eigenlijk) onderuit haalde.  Quasi alle software tools die Europese bedrijven vandaag gebruiken, zijn immers Amerikaans en aangezien de meeste daarvan tegenwoordig cloud services of online tools zijn, is er per definitie sprake van gegevensuitvoer naar de VS.

Het probleem werd enkel maar groter als we ook rekening houden met het feit dat het EHJ daar ook aan toevoegde dat wie data exporteert buiten de EU (ook naar andere bestemmingen dan de VS), meteen rekening moet houden met het feit dat de Standard Contract Clauses die de Europese Commissie zélf voorziet om veilige gegevensexport te garanderen tussen bedrijven en organisaties binnen en buiten de EU niet volstaan.

Het Schrems II-arrest zegt immers zeer duidelijk dat overdrachten van persoonsgegevens aan cloudserviceproviders in de Verenigde Staten geval per geval beoordeeld moeten worden en indien er een risico bestaat voor de integriteit van de betreffende gegevens, moeten bijkomende veiligheidswaarborgen voorzien worden.  Die aanvullende waarborgen dringen zich bij export naar de VS bijna automatisch op, gelet op de zeer vergaande onderzoeksbevoegdheden van de Amerikaanse inlichtingendiensten, bijvoorbeeld op grond van sectie 702 (50 USC § 1881a) van de Foreign Intelligence Surveillance Act (Cloud Services Act).

Gebruik van Mailchimp niet OK?

Het klinkt bijna absurd, maar de Beierse gegevensbeschermingsautoriteit (Bayerisches Landesamt für Datenschutzaufsicht) heeft eerder deze maand een Europees online tijdschrift het verbod opgelegd om nog langer Mailchimp te gebruiken om haar newsletters uit te sturen. Meer info vind je op deze link

De reden? Wel, wie Mailchimp gebruikt om nieuwsbrieven te versturen, stuurt persoonsgegevens (bijv. e-mailadressen en namen van ontvangers) naar de servers van Mailchimp in de Verenigde Staten en dat is potentieel niet OK.

De Beierse gegevensbeschermingsautoriteit motiveerde haar beslissing met de vaststelling dat het bedrijf niet voorafgaand had onderzocht of er aanvullende waarborgen nodig waren voor het doorgeven van persoonsgegevens aan Mailchimp, met name omdat Mailchimp mogelijk onderworpen is aan de Cloud Services Act. 

Let wel op de belangrijke nuance dat De Beierse gegevensbeschermingsautoriteit niet oordeelde niet dat MailChimp an sich per se onwettig is.  In plaats daarvan oordeelde het dat in dit specifieke geval het gebruik van MailChimp door het bedrijf in kwestie onwettig was omdat het bedrijf niet voorafgaand had beoordeeld of er adequate aanvullende maatregelen waren getroffen om ervoor te zorgen dat haar persoonsgegevens beschermd waren tegen toegang door Amerikaanse toezichthoudende instanties. 

 

Bijkomende waarborgen?

Het is inderdaad zo dat je als Europees bedrijf eigenlijk, volgend op het al geciteerde Schrems II arrest, al enige tijd geleden moest overgaan tot een interne data-export audit of een “vendor assessment” om achtereenvolgens in te schatten:

  • Of er sprake is van gegevensuitwisseling buiten de EU/EER
  • Of er een gepaste rechtsgrond voor handen is conform Hoofdstuk V GDPR (standard contract clauses, binding corporate rules of één van de andere minder gangbare en evidente rechtsgronden)
  • Wat de gevoeligheid is van de betreffende data en of de data-export an sich wel te verantwoorden is
  • Of bijkomende waarborgen zich al dan niet opdringen aan de zijde van de uitvoerder of van de ontvanger
  • Meer algemeen ook, of de ontvanger GDPR compliance kan garanderen

Die oefening dient, vanuit het oogpunt van het verantwoordingsprincipe onder GDPR vanzelfsprekend gedocumenteerd te worden en het is precies daarom dat wij bij Sirius Legal al sinds september een gratis Data Export Impact Assessment formulier ter beschikking stellen op onze website.  Dat formulier is inmiddels honderden keren gedownload door bedrijven uit gans Europa, overigens.

Welke bijkomende maatregelen zich eventueel opdringen, is overigens al een poos geleden opgelijst door de EDPB in haar “Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data” van 10 november 2020.  In dit document worden verschillende data export scenario’s voorgesteld en wordt telkens case by case aangegeven hoe gezorgd kan worden voor veilige uitwisseling van persoonsgegevens of welke werkwijze zeker niet voldoende veilig is.  

De steeds terugkerende boodschap in dat document is overigens de noodzaak om over te gaan tot encryptie van persoonsgegevens alvorens ze uit te voeren en om daarbij gebruik te maken van eigen (bij voorkeur Europese) encryptietechnieken voorafgaand aan de export en los van de eigen encryptie die platformen of tools standaard aanbieden.  

Ook het gebruik van Mailchimp valt binnen deze context.  Persoonsgegevens worden immers uitgevoerd naar de VS, waar Mailchimp onder de FISA wetgeving als een telecomprovider beschouwd wordt, die potentieel inzage moet geven in zijn klantengegevens aan de Amerikaanse overheid.  Encryptie dringt zich dan op.  Alleen… het gebruik van Mailchimp laat zo’n encryptie eigenlijk technisch gezien niet toe en de facto kan een Europees bedrijf Mailchimp dus niet rechtsgeldig gebruiken…

 

Mailchimp als Wake-up call?

Tot nu toe leek het erop dat de Europese gegevensbeschermingsautoriteiten voorlopig een oogje dicht knepen en een soort van onofficiële uitstelperiode hadden gegeven aan Europese bedrijven en organisaties om zich aan te passen aan de gewijzigde juridische situatie na het Schrems II arrest.  Dit had zeker ook te maken met het feit dat de al genoemde Standard Contract Clauses precies op dit ogenblik vernieuwd worden door de Europese Commissie.

Het optreden van de Beierse gegevensbeschermingsautoriteit toont nu echter aan dat de speeltijd nu wel degelijk ten einde is en dat bedrijven echt zullen moeten zorgen voor een veilige uitwisseling van persoonsgegevens met hun niet-Europese partners. In een persbericht bij de Mailchimp-beslissing merkte de autoriteit op dat deze zaak in haar ogen een voorbeeld is voor de wijze waarop het Schrems II-arrest in praktijk gehandhaafd zal worden. 

 

Is jouw software “data export compliant”?

De pijnlijk problematische vaststelling is dat geen enkele Amerikaanse softwaretoepassing op heden helemaal “GDPR compliant” werkt.

We deden zelf bij Sirius Legal de voorbije maanden een benchmark test bij 10 van de meest bekende marketingtools, waaronder Mailchimp, Sharpspring, Hubspot, Active Campaign, Salesforce en enkele anderen.  De vaststelling is dat de meeste van deze -stuk voor stuk Amerikaanse- aanbieders de voorbije maanden zich wel aangepast hebben in die zin dat zij niet langer het Privacy Shield inroepen als rechtsgrond, maar nu wel verwijzen naar Standard Contract Clauses, maar dat zij toch ook allemaal nog steeds verschillende tekortkomingen vertonen op het vlak van data-export verplichtingen:

  • In een aantal gevallen zijn de Standard Contract Clauses onvindbaar of niet beschikbaar
  • De meeste aanbieders voorzien ofwel geen ofwel slechts zeer algemene en vage “bijkomende waarborgen”
  • Zowat alle aanbieders doen op hun beurt beroep op subverwerkers, waarvan noch de identiteit, noch de locatie voldoende duidelijk is en waarvan weinig of geen garantie bestaat op GDPR en data-export compliance bij de betrokken subverwerker   

Hetzelfde geldt bij uitbreiding voor andere niet-Europese clouddiensten of online toepassingen.  Het is bijna per definitie zo dat die niet (helemaal) GDPR compliant werken en dat elk gebruik ervan een voorafgaande audit en eventueel het voorzien van bijkomende technische of organisatorische waarborgen vereist.

 

Kan je dan als Europees bedrijf helemaal geen Amerikaanse of andere niet-Europese services meer gebruiken?  

Zo’n vaart loopt het gelukkig niet en die conclusie zou ook absurd zijn in de huidige geglobaliseerde samenleving en economie waarin wij ons allemaal begeven.

In de Mailchimp-zaak was het probleem evident duidelijk, omdat het bedrijf in kwestie blijkbaar helemaal geen voorafgaande risk assessment gemaakt had om te documenteren of aanvullende waarborgen nodig waren.  Dat op zich was al voldoende om deze beslissing uit te lokken.  

Toekomstige zaken zullen wellicht minder voor de hand liggend tot een sanctie leiden, als je tenminste als EU-bedrijf een goed onderbouwde en gedocumenteerde voorafgaande risico-analyse gemaakt hebt of zelfs aanvullende waarborgen hebt geïmplementeerd.  Welke maatregelen in welke context “voldoende” zullen zijn, zal pas duidelijk worden als er voldoende rechtspraak voorhanden zal zijn, maar het is evident dat de “gevoeligheid” van de data en het risico op inzageverzoeken vanuit het buitenland meespelen.  Een mailinglijst voor een juridisch weekblad lijkt in die context veel minder problematisch dan de ledenlijst van een politieke partij en in dat eerste geval kan een goed onderbouwde voorafgaande inschatting wellicht (?) wel volstaan…

Deze beslissing is echter een waarschuwing voor alle bedrijven en organisaties in Europa over het belang van gepaste zorgvuldigheid bij de overdracht van persoonsgegevens buiten de EU.  Je kan als bedrijf maar best dringend aan de slag met een strenge en grondige interne auditoefening op basis waarvan je kan aantonen dat je hebt beoordeeld of jouw data al dan niet in handen kunnen komen van derden en met name van buitenlandse overheden als je gebruik maakt van niet-Europese toepassingen.

Gebruik hiervoor eventueel ons gratis Data Export Impact Assessment formulier om de nodige informatie te verzamelen bij je niet-Europese partners.  Hoe er ook rekening mee dat als een leverancier geen informatie kan of wil verstrekken om jou te helpen de potentiële risico’s goed in te schatten, je noodgedwongen zal moeten afwegen of je nog langer kan samenwerken en dat je dus in het ergste geval effectief op zoek moet naar een alternatieve (bij voorkeur Europese) partner…

 

Wil je meer weten over de praktische impact van Schrems II?

Wie meer wil weten, kan terecht bij bart@siriuslegal.be of kan hier rechtstreeks een online kennismaking inboeken via Google Meet.

Of beter nog, schrijf in voor het Schrems II webinar van ons internationale contactennetwerk Consulegis The Practical Impact of Schrems II on International Data Flows  op 14 april.  Sprekers uit de EU (waaronder Bart Van den Brande voor Sirius Legal), het VK, de VS en Indië bespreken er alle juridische en praktische gevoeligheden van internationale datastromen en maken tijd vrij voor al jouw vragen en bezorgdheden. 

 

Overigens, als je dit leest vanuit onze Mailchimp newsletter: ja, ook wij beraden ons op heden actief over hoe we verder kunnen werken en intern is de beslissing genomen om in de loop van het voorjaar over te stappen naar een andere provider.  Lead by example is een credo dat ons niet vreemd is.

31.03.2021 Bart Van den Brande

Wetsontwerp wil "privacy rulings" invoeren naar analogie met fiscale rulings

De GDPR is inmiddels 5 jaar in werking en de voorbije 3 jaar, sinds mei 2018, wordt de inhoud ervan ook effectief afgedwongen door de overheid.

Ook na al die tijd blijkt elke dag opnieuw dat ondernemers de regels rond gegevensbescherming onduidelijk, vaag en moeilijk te begrijpen vinden en onze ervaring leert dat heel wat goedbedoelende ondernemers afhaken bij gebrek aan begrip van wat er van hen precies verwacht wordt.  Het ganse uitgangspunt van GDPR is dan ook in wezen een open deur naar onzekerheid en toekomstige risico’s: ondernemingen moeten een gepast niveau van veiligheid voorzien en moeten daarvoor gepaste maatregelen nemen, maar voorafgaand is er geen enkele manier om te weten of de maatregelen die zij zich voornemen inderdaad “gepast” zijn.  De beoordeling naar het eventuele tekortschieten van de ondernemer in kwestie gebeurt pas post factum, als er op een later ogenblik klachten, controles of datalekken optreden…  Een en ander is erg moeilijk te begrijpen voor ondernemers, die immers in hun dagelijkse activiteit precies proberen om zoveel mogelijk onzekere factoren uit te schakelen en onzichtbare risico’s te vermijden.

Webbouwers, app-ontwikkelaars of online marketeers stellen ons daarbij zeer regelmatig de vraag of zij hun plannen voorafgaand kunnen voorleggen aan de Gegevensbeschermingsautoriteit voor advies en goedkeuring, zoals dat ook in fiscale aangelegenheden kan.

Tot op vandaag kan dat niet, maar een recent wetsontwerp lijkt daar verandering in te gaan brengen.

 

Voorafgaand privacy advies

Voorafgaand advies van de GBA over voorgenomen verwerkingen, laat staan de expliciete validatie ervan, is vandaag in se onmogelijk.  GDPR voorziet zulks niet expliciet en ook de Belgische kaderwet voorziet niet in een formele procedure.  Wie geluk -en de juiste begeleiding- heeft kan soms wel informeel bij de GBA terecht, maar die informele akkoorden worden niet gepubliceerd en zelfs als ze dus één specifiek bedrijf vooruit helpen, zijn andere verantwoordelijken of verwerkers dus vaak niet op de hoogte van precedenten en kunnen zij er zich niet op baseren of beroepen.

Een recent wetsvoorstel vanuit CD&V-hoek wil daar verandering in brengen.  Het idee is om een systeem van voorafgaande beslissingen in te bouwen in de Belgische Kaderwet waardoor de Gegevensbeschermingsautoriteit in individuele gevallen kan bepalen hoe de gegevensbeschermingswetgeving zal worden toegepast op een specifieke situatie of beoogde verwerking van persoonsgegevens.  Het voorstel voorziet daarvoor in een raadplegingsprocedure die maximaal drie maanden zou duren.  Zo’n ruling geeft rechtszekerheid aan de aanvrager, want zij verbindt alle diensten van de Gegevensbeschermingsautoriteit. Een voorafgaande beslissing zou de Gegevensbeschermingsautoriteit voor de toekomst verbinden.

De indieners verwijzen in hun voorstel naar succesvolle proefprojecten in het Verenigd Koninkrijk met de zogenaamde “regulatory sandboxes”.  Sinds maart 2019 biedt de Britse toezichthouder  (Information Commissioner’s Office) een nieuwe dienst aan, die is ontworpen om organisaties te ondersteunen die innovatieve en maatschappelijk nuttige projecten ontwikkelen waarbij er een gebruik van persoonlijke gegevens is.  Organisaties die deelnemen aan de sandbox kunnen profiteren van de mogelijkheid om rechtstreeks met de toezichthouder in contact te treden over innovatieve projecten met complexe gegevensbeschermingskwesties.

Persoonlijk kunnen wij dit voorstel enkel zeer hard toejuichen.  Als het uiteindelijk aangenomen wordt, zal het voor héél veel ondernemers de kans bieden om vooraf zekerheid te krijgen over hun plannen en op die manier onnodige juridische en financiële risico’s te vermijden.  Een en ander kan alleen maar het algemene niveau van GDPR compliance bij Belgische ondernemingen vergroten.

Het is nu vanzelfsprekend wachten op een eventueel politiek akkoord om dit voorstel ook effectief goed te keuren. Wij houden dit in elk geval stipt in de gaten en zorgen voor de nodige info en uitleg op onze blogpagina zodra alles definitief zou zijn.

 

Maar zo’n rulings bestaan eigenlijk wél al voor een stukje…

Zo’n voorafgaande consultatie en “ruling” bestaat vandaag overigens eigenlijk wel degelijk al wél onder GDPR.   Artikel 35 voorziet immers dat de verantwoordelijke voor de verwerking die een voorafgaande Gegevensbeschermingseffectenbeoordeling of Data Protection Impact Assessment voert en op het eind daarvan vaststelt dat er een restrisico bestaat, verplicht is om het voorafgaande en bindende advies van de GBA in te winnen.

Alleen is de vaststelling dat de meerderheid van de Belgische ondernemingen hun verplichtingen onder artikel 35 niet kennen of deze -erger nog- bewust naast zich neerleggen, waardoor de GBA nauwelijks verzoeken tot voorafgaande raadpleging ontvangt.

Wie meer wil weten over Data Protection Impact Assessments kan overigens terecht op ons Youtube kanaal voor de opname van één van onze recente webinars precies over DPIA’s:  https://youtu.be/y66jmrYeQWU

 

Meer weten over GDPR en databescherming? Heb je zelf een project waarvoor je wel privacy advies wil inwinnen? 

Ons team maakt graag tijd.  Boek gerust rechtstreeks een kennismaking in de agenda van Bart of neem contact via mail  (bart@siriuslegal.be) of per telefoon op  +32 492 249 516

25.03.2021 Sophie Vercraeye

Annulering van een pakketreis: is er ook een terugbetaling van de reisverzekering?

Gaat een reis niet door omwille van onvoorziene omstandigheden, zoals een vulkaanuitbarsting op de plaats van bestemming? Dan heeft de reiziger in de meeste gevallen recht op terugbetaling van de reis op basis van de Pakketreizenwet. De praktijk leert ons dat reizigers in zo’n geval hun reis meestal netjes terugbetaald krijgen, maar over de vraag of ze ook de premie die ze betaald hebben voor hun reisverzekering terug krijgen, is wél heel wat discussie. Op het eerste zicht zou een terugbetaling logisch zijn.  De reis gaat immers niet door omwille van overmacht en de verzekering is bijgevolg ook niet nodig omwille van dezelfde overmachtsituatie.  De wet is jammer genoeg allesbehalve duidelijk en in de praktijk weigeren heel wat verzekeraars terugbetaling. Wij denken er het onze van. Lees even mee…

 

Reis- of annulatieverzekering: reisdienst?

De pakketreizenwet definieert een aantal begrippen die belangrijk zijn in deze context. Professionals uit de reiswereld kennen deze natuurlijk, maar voor de goede orde zetten we alles toch nog even op een rijtje, zodat ook nieuwkomers of start-ups in de sector of reizigers het verhaal kunnen volgen.  

Allereerst spreekt de wet van “reisdiensten”. Wat is een reisdienst en wat is het belang ervan? Wel, een reisdienst is elke dienst geleverd door een professional in de reissector en die bestaat uit:

  1. passagiersvervoer (bv. bus, trein of vliegtuig); of
  2. accommodatie die niet intrinsiek deel uitmaakt van passagiersvervoer (dus geen bed in een nachttrein) en die niet voor bewoning is bestemd (dus geen accommodatie voor een uitwisselingsprogramma van 4 maanden); of
  3. verhuur van auto’s of andere motorvoertuigen; of
  4. elke andere toeristische dienst die niet intrinsiek deel uitmaakt van bovenstaande reisdiensten, en een aanzienlijk deel of essentieel onderdeel van de reis vormt (bv. excursies).

Als je verschillende van die reisdiensten gecombineerd aanbiedt, spreken we van een “pakketreis”. 

 

Reisverzekering als “reisdienst”?

Merk op dat “verzekering” niet in de eerste opsomming staat.  Daar knelt immers precies het schoentje. Als je verzekering een reisdienst is, is die immers onderdeel van je pakketreis en dan moet die ook terugbetaald worden.  

Is een verzekering dan een reisdienst? De meningen lijken wat verdeeld, maar er kan volgens ons geen twijfel over bestaan: neen, reis- of annulatieverzekeringen zijn geen reisdiensten. De Europese richtlijn betreffende pakketreizen (nr. 2015/2302) stelt duidelijk dat een verzekering geen reisdienst is. De Belgische rechtspraak heeft ook al meerdere keren bevestigd dat een reisverzekering niet als een toeristische dienst gekwalificeerd kan worden. Of de verzekeringspremie inclusief of slechts facultatief bij een reispakket wordt aangeboden en/of de prijs al dan niet inbegrepen zit in de totaalprijs van het pakket, verandert hier niets aan. 

Een reis- of annulatieverzekering is en blijft dus enkel een “financiële dienstdie gereguleerd wordt door het verzekeringsrecht en in het bijzonder de Verzekeringswet van 2014 en is geen “reisdienst” die onderdeel van je pakketreis uitmaakt. Dat betekent ook dat andere rechtsregels dan het reisrecht van toepassing zijn, namelijk het verzekeringsrecht en in het bijzonder de Verzekeringswet van 2014. 

 

“Alle voor de pakketreis betaalde bedragen”

Maar zelfs als een reisverzekering geen “reisdienst” is, argumenteren sommigen dat de verzekeringspremie toch terugbetaald moet worden.  De Pakketreizenwet zegt immers dat de reiziger recht heeft op terugbetaling van  “alle voor de pakketreis betaalde bedragen”? Als de verzekering mee in een pakketboeking zat, zou je die dus volgens de letterlijke lezing van de wet toch ook terug moeten krijgen?    Dat is alvast ook de mening van Test Aankoop.

Jammer genoeg voor de gedupeerde reiziger ligt de oplossing juridisch gezien anders.  De Pakketreizenwet definieert ‘pakketreis’ uitdrukkelijk als een combinatie van (minstens twee) “reisdiensten”. Een pakketreis kan dus niet uit andere diensten, zoals financiële diensten of verzekeringen bestaan, want dat zijn, zoals we al aanhaalden, precies géén “reisdiensten”. 

Dat een financiële dienst of verzekering mee verkocht wordt aan de reiziger, betekent met andere woorden niet dat de Pakketreizenwet onvoorwaardelijk van toepassing zou zijn op die financiële dienst of verzekering. 

Bovendien dekken beide diensten een volledig andere lading. Zo zal de verzekeraar pas tussenkomen wanneer de reis geannuleerd wordt en de reisdiensten dus niet gepresteerd worden. De verzekering is dus slechts een instrument om de contractuele implicaties van de niet-uitvoering van de pakketreisovereenkomst te regelen. Het is een “risico”-overeenkomst die naast de pakketreisovereenkomst staat. Er kan niet samen genoten worden van zowel de uitvoering van het reiscontract als van de dekking volgens de annuleringsverzekering. Het is het één of het ander. Je kan de pakketreis ‘op zich’ en de reis- of annulatieverzekering dus niet over één kam scheren. 

 

Om alle misverstanden de wereld uit te helpen… 

Moet de verzekeringspremie terugbetaald worden wanneer de consument recht heeft op “alle voor de pakketreis betaalde bedragen”? 

Neen, wij beschouwen de verzekeringspremie niet als een bedrag betaald voor de pakketreis. De verzekeringspremie is een financiële dienst die gekocht wordt door de reiziger om de niet-uitvoering van deze pakketreis te dekken. Dit vormt geen onderdeel van de pakketreis zelf, integendeel de reiziger zal nooit de uitvoering van beide diensten tegelijk kunnen inroepen. De verzekeringspremie valt ons inziens dus niet onder de Pakketreizenwet, maar enkel onder haar eigen verzekeringswetgeving. 

 

Vragen over reisrecht of consumentenbescherming?

Neem gerust vrijblijvend contact op met Roeland Lembrechts (roeland@siriuslegal.be) of Sophie Vercraeye (sophie@siriuslegal.be).

25.03.2021 Roeland Lembrechts

Phishing: laat je niet verleiden, maar informeer je!

De titel van de Pano Reportage deze week kopte ‘Opgelicht online’, een boeiende reportage over slachtoffers van phishing. Phishing is een verzamelnaam van sociale en technische technieken die oplichters gebruiken om je via verschillende communicatiekanalen (sms, email, website, sociale media, ….)  te benaderen en je geld afhandig te maken. De reportage maakt weer pijnlijk duidelijk wat de risico’s zijn en waarom dit criminaliteitsfenomeen de nodige aandacht verdient.

 

Phishing is booming business …

Het parket gaf mee dat er in de eerste helft van 2020 al 3.438 pv’s van phishing geregistreerd werden en dat dit vermoedelijk nog maar het topje van de ijsberg was. Als je er de officiële criminaliteitsstatistieken op naleest, dan zie je dat er bijvoorbeeld in 2016 nog maar 219 feiten geregistreerd werden, terwijl er in 2019 sprake is van 2.365 (een vertienvoudiging op 4 jaar tijd). Leggen we daar de cijfers van het voorjaar 2020 naast dan liegen we niet als we stellen dat phishing een exponentiële groei kent.

De reden van die exponentiële groei is al bij al niet zo ver te zoeken. Phishing blijkt een enorm lucratieve business te zijn, waarbij cybercriminelen op korte tijd zeer veel potentiële slachtoffers kunnen bereiken. Iedereen kan slachtoffer worden, van de brave huisvader die onwetend achter zijn computer zit en een verkeerde bestelling plaatst tot de zeer voorzichtige ceo die de goeder trouw investeringen wenst te doen, maar in handen komt van een bijzonder professionele, maar criminele organisatie. Twee maanden geleden was in Het Nieuwsblad nog te lezen dat een onderzoeksrechter die reeds 15 jaar lang gespecialiseerd was in cybercrime, zelf het slachtoffer was geworden van online oplichters. Don’t need to say more… 

De pakkans is echter nog steeds bijzonder klein. Cybercriminelen genieten een grote anonimiteit en opereren internationaal, terwijl justitie ook op dit vlak moet vaststellen dat er niet voldoende middelen zijn om krachtdadig op te treden. Je moet zelfs geen hoogstaand technisch IT-profiel te hebben om met phishing te starten. Het internet biedt naast officiële marktplaatsen ook minder officiële marktplaatsen aan op het darkweb, waar je voor enkele luttele euro’s de nodige tools, diensten en lijsten van gegevens van potentiële slachtoffers kan aankopen: cybercrime-as-a-service, ter beschikking voor iedereen.

 

… maar je geld recupereren en reputatie herstellen is een complexe business

Des te sneller je je hebt laten verleiden en je geld verdwenen is, des te moeilijker is het om dit te recupereren. Indien je nog snel reageert, dan zou je de transactie nog kunnen tegenhouden, maar in de meeste gevallen beseffen slachtoffers dit te laat en/of weten ze niet hoe er gereageerd moet worden.

Buiten de anonieme daders is het ook steeds moeilijk om na te gaan wie er aansprakelijk is. Is het de onachtzaamheid van het slachtoffer zelf? Of zijn de website, e-mail, social media kanalen van de organisatie die misbruikt werd voor de phishing wel veilig genoeg? Hebben deze systemen phishing of spoofing mogelijk gemaakt door geen state-of-the-art veiligheid in te bouwen? Hadden banken verdachte transacties niet moeten opmerken en zelf preventief moeten blokkeren? Kunnen we de zogenaamde geldezels niet aanspreken (wat in zekere zin ook personen zijn die in hun context door criminelen misbruikt/misleid worden), etc. 

Daarnaast ervaren heel wat slachtoffers schaamte en reputatieschade. Niemand wenst aan te kondigen dat hij op een eenvoudige manier opgelicht werd: de CEO wil liever niet aan de raad van bestuur of de vergadering van aandeelhouders melden dat reserves in rook zijn opgegaan, een onderneming kondigt liever niet aan bij haar klanten dat haar website of e-mail misbruikt wordt voor oplichting of dat er lijsten gelekt zijn met persoonlijke gegevens die er voor zorgen dat eigen klanten benaderd zullen worden.

 

Informeer je!

Phishing is een opkomend, maar geen nieuw fenomeen. De Europese Commissie stelde in 2017 reeds vast dat 95% van de cyberincidenten gebeuren door een of andere menselijke fout. De ENISA, het Europees Cyber Security Agentschap, publiceerde in 2018 een rapport met een overzicht en adviezen met betrekking tot gedragsaspecten van cybersecurity. Daarin wordt opnieuw duidelijk dat de mens de zwakste schakel is in de cyberveiligheid van de onderneming. Phishing is daar een sterke katalysator van het probleem, zodat elke onderneming naast de aandacht voor veilige IT, even goed deze IT in harmonie met haar personeel moet krijgen. Het trainen van kennis & vaardigheden in combinatie met een volledige herstructurering van de praktijk en het beleid, moet er voor zorgen dat jouw ‘poortwachters’ zich zo min mogelijk laten verleiden door phishing-praktijken.

Bij Sirius Legal zijn we ons bewust van het multidisciplinair karakter van zo’n oefening. Via een hele reeks juridische technieken kan het informatieveiligheidsbeleid van je onderneming verder op punt gesteld worden. Maar dat kan enkel wanneer die initiatieven in harmonie zijn met het personeelsbeleid, de afspraken met je leveranciers, de communicatie & afspraken met je klanten én je technische veiligheidsstructuur.

Wil je graag eens horen wat je allemaal kan doen? Boek dan gerust een vrijblijvend gesprek in met ons en onze technische cyber security partner BA op het digitale Infosecurity Event (31 maart en 1 pril).

PS: wil je nog een stap verder gaan in je veiligheidsbeleid? Vraag dan zeker naar onze mogelijkheden om je te begeleiden op juridische en technisch vlak via de subsidieregeling van Vlaio

Populair artikel
22.03.2021 Bart Van den Brande

Waarom Clubhouse het zoveelste voorbeeld is van bedrijven die jouw en mijn privacy niet ernstig nemen

Om de zoveel tijd duikt er tegenwoordig een nieuw social mediaplatform op dat volgens insiders en early adopters het internet gaat veranderen.  

Het succes van de Snapchats en TikToks in deze wereld heeft twee dingen gemeen: enerzijds taant hun succes even snel als dat hun hype begonnen is en anderzijds -en daarin ergert de privacy voorvechter in mij zich blauw aan- blijkt telkens weer dat de bedrijven achter de apps het alles behalve nauw nemen met jouw en mijn privacy.  In sommige gevallen lijkt dit vooral een gevolg van een totaal gebrek aan kennis van en inzicht in (Europese of andere) gegevensbeschermingsregels, maar even vaak blijft toch vooral de indruk achter dat het ganse businessmodel van social mediabedrijven gebouwd is op ongebreidelde datacollectie tot meerdere eer en glorie van de advertentieprofielen die uit die data gedistilleerd kunnen worden.

 

Schoolboek marketingklassiekers

De laatste ster aan het social mediafirmament is Clubhouse, een audiodiscussieapp waar je alleen na een uitnodiging door één van je vrienden mee aan de slag kan. 

De makers achter Clubhouse hebben met andere woorden enkele marketingklassiekers uit de kast gehaald om van hun nieuwe product een succes  te maken: kunstmatige schaarste creëren door de toegang tot je product te beperken en rekenen op het ego van de happy few om de hype aan te wakkeren en de massa reikhalzend te laten uitkijken naar het moment dat ook zij opgenomen worden in the inner circle.  Het lukte destijds al op speelplaatsen overal ter wereld met de zeldzame Pikachukaartjes en ook vandaag nog vallen we met zijn allen voor dezelfde verhalen…

 

Over privacy en GDPR…

Maar ook Clubhouse blijkt in hetzelfde bedje ziek te zijn als zovele andere succesverhalen uit je favoriete lokale appstore.  De marketingstrategie is weldoordacht, maar bij het respect voor jouw en mijn privacy heeft niemand echt lang stil gestaan. 

Het hoeft dan ook niet te verwonderen dat Clubhouse intussen het voorwerp uitmaakt van onderzoeken door verschillende Europese privacyoverheden.  Zowel de Franse CNIL als de deelstatelijke DPA in Hamburg, de HmbBfDI onderzoeken op dit ogenblik de manier waarop Alpha Exploration Co., het Amerikaanse bedrijf achter Clubhouse omgaat met persoonsgegevens van haar gebruikers én van derden.  

In Frankrijk is het onderzoek overigens een gevolg van een petitie tegen Clubhouse die inmiddels meer dan 10.000 handtekeningen verzamelde.  Wie zich de miljoenenboetes in Frankrijk voor Google en Amazon afgelopen december nog herinnert weet dat de CNIL hard en gericht kan uithalen tegen Amerikaanse techbedrijven.

 

Jouw contactgegevens verwerkt zonder dat je het wist… 

Een van de grootste issues met Clubhouse is dat het hele verhaal gebaseerd is op een, member-get-member systeem, waarbij bestaande leden hun digitale telefoonboek uploaden en openstellen voor Clubhouse. Op basis daarvan worden telkens nieuwe gebruikers uitgenodigd.   

Met andere woorden, ook als je vandaag nog geen uitnodiging hebt gekregen, heeft Clubhouse jouw persoonsgegevens waarschijnlijk wél al verwerkt zonder jouw toestemming via één van je vrienden of kennissen en dat op zich is érg problematisch.  

De Belgische GBA legde aan datingwebsite Twoo nog maar enkele maanden geleden in zeer gelijkaardige omstandigheden een stevige boete op, met de argumentatie dat voor de verwerking van vriendengegevens geen geldige rechtsgrond onder GDPR gevonden kan worden.  Je vrienden hebben immers geen toestemming gegeven aan -in dit geval- Clubhouse om hun gegevens te verwerken en ook niet aan aan jou om hun gegevens met dat doel te verwerken en te delen met Clubhouse.  Clubhouse en haar gebruikers kunnen evenmin terugvallen op een gerechtvaardigd belang in deze context en de verwerking van contactgegevens van niet-gebruikers mist dus een geldige rechtsgrond.  

Het gaat hier overigens niet om een administratieve formaliteit.  De verplichting om wel een geldige rechtsgrond te hebben voor elke verwerking van persoonsgegevens is één van de hoekstenen van GDPR en van jouw en mijn privacybescherming…

Clubhouse gaat overigens nog een stapje verder als het gaat om de verwerking van telefoonboekgegevens van haar gebruikers.  Die worden immers niet alleen gebruikt om nieuwe leden uit te nodigen, maar ook om een database met ​​gebruikersstatistieken of -profielen samen te stellen over bestaande en toekomstige gebruikers.  De eerste indicaties van de CNIL lijken aan te geven dat Clubhouse die gegevens verkoopt of kan verkopen aan derden (adverteerders). Clubhouse zelf schrijft in haar privacy policy weliswaar dat het “uw persoonlijke gegevens niet verkoopt“, maar tegelijk noemt het wel een groot aantal gevallen waarin je gegevens potentieel kan “delen” met derden, inclusief voor “reclame- en marketingdiensten”…

 

Gesprekken opgenomen zonder dat je het wist…

Wist jij trouwens dat Clubhouse je gesprekken ook opneemt? Op zich hoeft dat geen probleem te zijn, tenminste voor zover Clubhouse die opnames alleen gebruikt om eventuele klachten te beoordelen en opnames daarna definitief van haar servers te verwijderen. Alleen weten we niet of Clubhouse dat ook echt doet en het bovenstaande verhaal geeft alvast weinig vertrouwen.

 

Geen transparantie…

Vooral de Duitse overheid struikelt daarenboven over het feit dat Clubhouse geheel niet transparant is naar gebruikers toe.  De correcte contactgegevens van het bedrijf achter Clubhouse (“das Impressum”, zoals dat onder Duits recht genoemd wordt) zijn nergens duidelijk vindbaar en de privacy policy is alleen in het Engels beschikbaar, daar waar GDPR vereist dat die in een (voor de gemiddelde gebruiker) begrijpelijke taal opgesteld is.  Ter vergelijking, Whatsapp liep in 2016 al eens een stevige boete op in Duitsland omdat haar gebruiksvoorwaarden niet in het Duits beschikbaar waren.  Bovendien blijkt uit de privacy policy dat heel wat verplichte informatie ontbreekt zoals bijvoorbeeld de bewaartermijnen van jouw persoonsgegevens en de namen van de partijen met wie die gegevens gedeeld worden…

Ook onduidelijk overigens lijkt op het eerste zicht de datacollectie door middel van cookies en andere trackers.  Clubhouse geeft zelf aan dat het data verzamelt op die manier én dat het die deelt met adverteerders via advertentienetwerken.   Clubhouse geeft echter voor zover wij konden vaststellen nergens een duidelijk overzicht van wélke cookies en trackers gebruikt worden, wélke data verzameld wordt en met wie die data precies gedeeld wordt.  Bovendien wordt, opnieuw voor zover wij konden vaststellen, nergens vrije toestemming gevraagd voor het plaatsen van die cookies en trackers…

 

Data export buiten de EU

Persoonsgegevens exporteren buiten de EU (door ze bijvoorbeeld op te slaan op servers in de VS) mag enkel onder strikte voorwaarden en mits contractuele én technische veiligheidswaarborgen.  Clubhouse echter beperkt zich in zijn privacy tot de laconieke melding dat “By using our Service, you understand and acknowledge that your Personal Data will be transferred from your location to our facilities and servers in the United States, and where applicable, to the servers of the technology partners we use to provide our Service”.

 

Blijf je beter weg van Clubhouse dan?

Of Clubhouse een zoveelste hype is dan wel een blijver in het social medialandschap zal de tijd uitwijzen.  Bovenstaande opmerkingen hoeven ook niet noodzakelijk te betekenen dat je beter niet met Clubhouse aan de slag gaat.  Follow the hype als je je daartoe geroepen voelt, daar is in se niets mis mee.

Maar als consument en burger kan je maar beter bewust zijn van wat big tech bedrijven met je data doen, zodat je bewuste keuzes kan maken.  

Met andere woorden, wees voorzichtig, informeer je en lees zorgvuldig de gebruiksvoorwaarden en het privacybeleid voor je Clubhouse of elke andere social media app gebruikt.

 

Meer weten over GDPR, gegevensbescherming of social media?

Aarzel dan niet om ons te contacteren via bart@siriuslegal.be of boek een vrijblijvend videogesprek met Bart via deze link: https://koalendar.com/events/Meet-with-Bart-Van-den-Brande 

1 2 3 27 28