Ik ben advocaat bij Sirius Legal en werk vanuit onze kantoren in Mechelen. In 2020 studeerde ik met onderscheiding af aan de Vrije Universiteit Brussel. Daarvoor studeerde ik al met onderscheiding af in de bacheloropleiding Bedrijfsmanagement-Rechtspraktijk aan de University-College Leuven-Limburg.
In mijn laatste jaar aan de universiteit liep ik stage bij Sirius Legal. Deze leerrijke ervaring heeft mij over de streep getrokken om advocaat te worden. Bij Sirius Legal is advocaat zijn immers méér is dan louter pleiten in de rechtbank. Dit stemt volledig overeen met mijn overtuiging. Ik krijg hier de kans om me te verdiepen in de thema’s die mij echt interesseren, zoals auteursrechten, gegevensbescherming en nieuwe technologieën.
Daarbovenop kan ik hier gebruik maken van het neusje van de zalm van de beschikbare (legal) tech.
In mijn vrije tijd verslind ik boeken, films en lekker eten. Het liefst doe ik dat respectievelijk in de tuin, de cinema en een restaurant waar de chefs met passie koken.
COVID-19 heeft de manier waarop we werken helemaal veranderd. De grootste aanpassing voor ons allemaal was wellicht wel het thuiswerk en de vele daarmee gepaard gaande online meetings via Teams, Zoom, Google Meet of een van de vele andere digitale vergadertools.
Dat digitaal vergaderen ging en gaat met vallen en opstaan. We herkennen allemaal de ongemakkelijke stiltes, de slechte internetverbindingen en het door elkaar heen praten. Maar video calls hebben natuurlijk ook voordelen. Je kan zo’n vergadering bijvoorbeeld heel makkelijk opnemen en dat is handig voor wie er niet bij kon zijn of voor wie later nog even terug wil kijken.
We ontvingen de voorbije maanden dan ook, niet verbazend, met regelmaat de vraag of je online meetings zomaar mag opnemen en wat de privacy-impact hiervan is. Het antwoord is, zoals alle antwoorden in gegevensbescherming en privacy, wat genuanceerd. Lees even mee…
Als je bijvoorbeeld een teammeeting opneemt “verwerk” je de persoonsgegevens van de deelnemers en dat betekent dat GDPR van toepassing is. Welke gegevens je precies verwerkt, hangt natuurlijk wat af van het platform en van de instellingen die de deelnemers kiezen. Meestal verwerk je minstens de naam, de stem en het beeld van de deelnemer, samen met een hele reeks technische data die je ook als persoonsgegevens moet beschouwen (IP-adres, logfiles, kwaliteitsstatistieken voor de verbinding, connectietijden, …). Als deelnemers thuiswerken, is de kans bovendien groot dat er heel wat persoonlijke details meegenomen worden, denk maar aan huisgenoten die onbedoeld mee in beeld komen of een onverwachte inkijk in de keuken, woonkamer of zelfs slaapkamer van je gesprekspartner. Die inkijk in iemands woning kan zelfs leiden tot de “verwerking” van gevoelige gegevens, zoals iemands religieuze overtuiging of politieke opvattingen.
Dan vraag je de deelnemers toch gewoon om toestemming voor de opname of als het om werknemers gaat, neem je een clausule op in hun arbeidsovereenkomst en het probleem is opgelost?
Zo eenvoudig is het jammer genoeg niet. Er zijn immers een aantal moeilijkheden die zich kunnen voordoen.
Specifiek voor werknemers hebben verschillende Gegevensbeschermingsautoriteiten de voorbije twee jaar immers duidelijk gemaakt dat zo’n toestemming in veel gevallen moeilijk gegeven kan worden door de werknemer. Die laatste is vaak niet echt vrij om neen te zeggen tegen zijn werkgever en dat is vaak (maar niet noodzakelijk altijd, overigens) een probleem. Een geldige toestemming onder GDPR moet immers “vrij, specifiek, geïnformeerd en ondubbelzinnig” gegeven worden. Het woord “vrij” betekent dat de betrokkene ook moet kunnen weigeren zonder nadelige gevolgen te ondervinden van die weigering en dat is voor werknemers niet altijd evident. In deze blog lees je overigens meer over de boetes die in deze context al eerder werden opgelegd.
Als het over het opnemen van online meetings gaat, is het duidelijk dat je werknemer moeilijk geldig toestemming kan geven. De consequentie zou zijn dat hij of zij niet kan deelnemen aan de meeting en dat dreigt achteraf zijn of haar positie bij bijvoorbeeld evaluaties niet ten goede te komen.
Het probleem stelt zich veel minder ten aanzien van (potentiële) klanten of andere derden, zij kunnen in principe wel vrij beslissen of ze akkoord gaan met een opname.
Hou er overigens wel rekening mee dat iedereen, zowel personeel als derden, hun toestemming theoretisch gezien op elk ogenblik kunnen intrekken. In dat geval moet je de “verwerking” onmiddellijk staken en dat betekent wellicht dat je de opname alsnog moet wissen of dat je in elk geval de betrokken persoon onherkenbaar moet kunnen maken. Hou er ook rekening mee dat jij als verantwoordelijke voor de opname moet kunnen bewijzen dat je toestemming hebt voor de opname. Die vraag je dan ook best expliciet ofwel in de invite ofwel bij het begin van de call (en herhaal je nog even zodra de opname gestart is).
Toestemming vragen om video calls op te nemen, blijkt dus niet zo eenvoudig. Gelukkig voorziet GDPR misschien wel een alternatief. Toestemming is immers niet de enige rechtsgrond onder GDPR en je kan bijvoorbeeld ook persoonsgegevens verwerken als dat noodzakelijk is voor de uitvoering van een overeenkomst of als je kan aantonen dat je daarvoor een “gerechtvaardigd belang” hebt.
Je kan gesprekken met andere woorden ook zonder toestemming opnemen als dat noodzakelijk is voor de uitvoering van de overeenkomst, al zal dat slechts zelden het geval zijn.
Als je daarentegen een gerechtvaardigd belang hebt bij de opname van die meetings, kan je de opname ook maken zonder expliciete toestemming. Wees daar echter erg voorzichtig mee. De Europese en Belgische overheden en het Europees Hof van Justitie stellen immers strenge voorwaarden voor het verwerken van persoonsgegevens op basis van een gerechtvaardigd belang. Je zal in dat geval 3 opeenvolgende stappen moeten kunnen aantonen (en documenteren) én je zal maximale transparantie moeten garanderen naar de betrokkenen toe. Je zal meer bepaald moeten aantonen dat je zelf een te rechtvaardigen belang hebt bij de opname, dat de opname ook echt noodzakelijk is om dat belang te realiseren én dat er een evenwicht is tussen jouw belang en de inbreuk op de privacy van de betrokkene. Bij dat laatste moet je je eigenlijk in de plaats van de betrokkene stellen en je afvragen of die betrokkene redelijkerwijze kan of zou verwachten dat je de opname gaat maken.
Specifiek in het kader van de opname van online meetings, moet je jezelf dus afvragen waarom je die opname maakt. Wat wil je ermee bereiken, waarom is die opname nodig? Wil je bijvoorbeeld achteraf nog een verslag kunnen opmaken van de meeting of wil je dat je team de besproken info achteraf (opnieuw) ter beschikking heeft of dient de opname eerder voor bewijsdoeleinden?
Daarna moet je je afvragen of de opname wel echt noodzakelijk is om dat doel te bereiken. Als er een alternatief is om hetzelfde doel te bereiken, kan je de opname in se niet maken (of althans niet op basis van een gerechtvaardigd belang zonder expliciete toestemming). Een verslag van de meeting bijvoorbeeld kan even goed gemaakt worden door iemand die tijdens de meeting notitie neemt.
De laatste stap is wellicht de moeilijkste: hoe groot is de impact op de privacy van de betrokkene en verwacht de betrokkene redelijkerwijze dat je een opname maakt? De gemiddelde werknemer zal vast niet verwachten dat iedere teammeeting zonder meer integraal wordt opgenomen. Ook klanten of prospects verwachten dat wellicht niet automatisch. Veel zal ook afhangen van wat er precies in die meetings besproken wordt en waarvoor de opname gebruikt zal worden. Een bespreking van de financiële maandcijfers binnen je team is vanzelfsprekend iets anders dan een evaluatie van je werknemers of een persoonlijk intakegesprek met een potentiële klant, die daarbij misschien ook persoonlijke informatie met je deelt.
In elk geval zal je alle deelnemers aan een opgenomen gesprek tijdig en correct op de hoogte moeten stellen van de (mogelijke) opname. Voor je werknemers moet je dit in een duidelijke policy of in het arbeidsreglement hebben uitgeschreven. De opnames moeten ook blijken uit je dataregister en uit je privacy policy en je zal de nodige maatregelen moeten nemen om de vertrouwelijkheid van de opname te garanderen (welk tool wordt gebruikt, blijft de data in Europa, waar wordt de opname opgeslagen, wie heeft er toegang toe en hoe is de toegang beveiligd, …). Je mag de opnames ook niet langer bijhouden dan noodzakelijk is. Hoe lang dat precies is, hangt natuurlijk af van het doel. Een opname die enkel dient om achteraf een verslag te maken, moet gewist worden zodra dat verslag gemaakt is, maar een opname die als bewijs dient voor bepaalde feiten die besproken worden tijdens de meeting kan vanzelfsprekend veel langer bewaard worden. Het is belangrijk dat je in je dataregister zeer duidelijke bewaartermijnen inschrijft én die termijnen ook goed motiveert.
Online meetings opnemen kan vaak aantrekkelijk lijken, maar bovenstaande zal wellicht duidelijk gemaakt hebben dat voorzichtigheid toch geboden is. Personeelsleden, klanten, prospects of elke andere betrokkene hebben immers rechten en precies die rechten vereisen intern een grondige denkoefening voordat je overgaat tot opnames van meetings.
Heel vaak zijn zo’n opnames ook niet echt noodzakelijk en in dat geval vermijd je ze best gewoon. Consequent teammeetings of andere online gesprekken opnemen gewoon “in geval dat je ze ooit nodig hebt” is moeilijk verdedigbaar. Als je toch opnames wil maken, doe dat dan transparant, correct en met de nodige voorzichtigheid.
Heb je nog vragen over de mogelijke verwerkingsgronden of GDPR in het algemeen? Aarzel dan niet om ons te contacteren via bart@siriuslegal.be of matthias@siriuslegal.be of reserveer een vrijblijvende kennismaking in onze agenda via deze link: https://koalendar.com/events/Meet-with-Bart-Van-den-Brande
Ook afbeeldingen en andere content die publiek op het internet staan worden beschermd door het auteursrecht. Maar al te vaak worden we gecontacteerd door mensen die een gepeperde factuur hebben ontvangen van een (al dan niet terecht) boze fotograaf omdat ze zijn foto zonder toestemming hebben overgenomen op hun website. Die fotograaf werkt hard voor het maken van een mooie foto en doet hiervoor vaak aanzienlijke investeringen. Hij wil zich dan ook verzetten tegen ieder onrechtmatig gebruik. Toch heeft de fotograaf niet altijd gelijk. De foto’s zijn namelijk soms niet auteursrechtelijk beschermd en onder bepaalde voorwaarden kan je kosteloos foto’s overnemen op je website zonder daar toestemming voor te moeten vragen. Daar zijn echter wel een aantal voorwaarden aan verbonden… We zetten hier de regels even voor je op een rijtje.
Om te genieten van een auteursrecht moet een werk aan geen enkele formaliteit voldoen. Het moet ook niet in een bepaalde vorm zijn of zelfs “mooi” zijn. Er zijn drie voorwaarden vooraleer een werk auteursrechtelijk beschermd is:
Als we over foto’s op het internet praten, dan is er vaak discussie over dit laatste punt. Uit de praktijk blijkt wel dat rechtbanken redelijk snel aanvaarden dat een werk origineel is. Zo kan een foto van een natuurlandschap of zelfs een edelsteen ook beschermd worden door het auteursrecht. In dat geval mag je de foto niet zomaar gaan knippen en plakken op je website.
Het principe bij auteursrechtelijke beschermde werken is dat je altijd de toestemming nodig hebt van de auteur vooraleer je het werk mag gaan kopiëren. Soms voorziet de auteur wel in zijn algemene voorwaarden dat je het werk onder bepaalde condities mag gebruiken. Bijvoorbeeld enkel in een niet-commerciële context. Op dit principe bestaan uitzonderingen die hieronder verder behandeld worden.
Maar er zijn uitzonderingen: hyperlinken, embedden en soortgelijke praktijken. Als je hier correct gebruik van maakt dan kan je beschermde content van anderen op je website plaatsen zonder toestemming of vergoeding. Deze uitzondering is al vaak bevestigd door de rechtbanken.
De hyperlink is iedereen welbekend. Je deelt eigenlijk gewoon de vindplaats van een stukje content op het internet met een link. Daarop kunnen je website bezoekers klikken en worden zo getransporteerd naar de website waarnaar verwezen wordt. Zo hebben wij bijvoorbeeld hierboven ook via een hyperlink verwezen naar de selfie van de kuifmakaak.
Embedden houdt eveneens in dat je verwijst naar een stukje content op een andere website, maar die content is rechtstreeks op jouw website zichtbaar. Veel online platformen faciliteren dit zelfs, denk maar aan YouTube, Instagram en Twitter. Het is echter geen vereiste dat dit gefaciliteerd wordt. Iemand met een minimale hoeveelheid technische knowhow kan quasi elk stukje content embedden op een website, tenzij de website eigenaar dit onmogelijk maakt.
Zowel bij hyperlinking als embedden blijft de content op de originele server staan. Een gevolg hiervan is dat wanneer de foto verwijderd wordt van de originele server, deze ook verwijderd wordt op alle websites die de foto geëmbed hebben.
Je kan controleren of een foto geëmbed werd door met je rechtermuisknop te klikken op ‘afbeelding openen in nieuw tabblad’. In de link bovenaan zou je vervolgens de vindplaats op de originele website moeten zien. Als de foto gedownload en geüpload werd, dan is er geen sprake van embedden, maar gewoon van kopiëren. In dat geval geldt de uitzondering dus niet. Hier is het vaak opletten geblazen, want sommige CMS tools kopiëren de content automatisch naar hun eigen server wanneer je die upload op je website. In dat geval is er dus ook sprake van een kopie en kan je geen beroep doen op de uitzondering.
Embedden en hyperlinking is geen vrijgeleide om ongeremd te doen wat je wil. Er zijn een aantal beperkingen die doorheen de jaren in de rechtspraak werden ontwikkeld:
Je bent je website aan het voorzien van leuke content, waar moet je dan op letten? In de onderstaande checklist zetten we bij elke punt ook even de gevolgen op een rij:
Nog vragen over internetrecht, auteursrecht of intellectueel recht in het algemeen? Aarzel niet om ons vrijblijvend te contacteren via bart@siriuslegal.be, matthias@siriuslegal.be of +32 2 721 13 00.
Een komend arrest van het Hof van Justitie kan mogelijks interessante gevolgen hebben voor bedrijven die in een grensoverschrijdende context werken. De Advocaat-Generaal van het Hof van Justitie schreef in een recente opinie over de zaak van de Belgische Gegevensbeschermingsautoriteit (GBA) tegen Facebook dat ‘de GBA van het land waar de hoofdvestiging van een bedrijf is gevestigd een algemene bevoegdheid heeft om juridische procedures te starten tegen dat bedrijf. De andere GBA’s hebben deze bevoegdheid ook, maar slechts in een beperkt aantal gevallen.
Een Gegevensbeschermingsautoriteit (GBA) of Data Protection Authority (DPA) is een onafhankelijke overheidsinstantie die onder andere waakt over ons recht op een privéleven. Elk Europees land heeft minstens één zo’n autoriteit die binnen haar grondgebied haar bevoegdheden uitoefent. Soms zijn meerdere GBA’s bevoegd, want problemen doen zich steeds meer over de grenzen heen voor. In dat geval is er een leidende GBA. Dat is de GBA van het land waar de hoofdvestiging zich bevindt van de verwerker of verwerkingsverantwoordelijke die de inbreuk pleegt.
De zaak begon een vijftal jaar geleden al toen de voorloper van de Belgische GBA Facebook voor de rechter sleepte. De reden hiervoor zat hem onder meer in het gebruik van tracking cookies. Dat zijn cookies om internetgebruikers te volgen over verschillende websites heen. De voorloper van de Belgische GBA kreeg eerst haar gelijk, maar Facebook ging tegen deze beslissing in beroep. Facebook beweert dat de Belgische GBA niet bevoegd is om een juridische procedure tegen haar te beginnen. Zij is van mening dat enkel de GBA van de plaats van haar hoofdvestiging bevoegd is om gerechtelijke procedures te starten. In dit geval zou dat dan de GBA van Ierland zijn.
Vervolgens heeft het Hof van Beroep in Brussel de vraag gesteld aan het Hof van Justitie in Luxemburg wie er bevoegd is om gerechtelijke zaken aan te spannen tegen een bedrijf in geval van grensoverschrijdende inbreuken. Is dat enkel de leidinggevende GBA of kan iedere nationale GBA dit doen?
Het is nog even wachten op een arrest van het Hof van Justitie, maar de Advocaat-Generaal Michal Bobek heeft zijn advies reeds gedeeld. Deze opinies worden bijna altijd ook gevolgd door het Hof van Justitie. Hij verduidelijkt in zijn opinie dat GBA’s inderdaad de bevoegdheid hebben om inbreukplegers voor de rechtbank te slepen, maar in geval van grensoverschrijdende geschillen wordt deze bevoegdheid ingeperkt. Dan mag enkel de leidende GBA in eerste instantie een procedure starten in samenspraak met de andere bevoegde autoriteiten.
Dit is het principe van het één-loketmechanisme. Dat betekent dus dat een bedrijf in eerste instantie slechts door de GBA van zijn hoofdvestiging voor de rechter kan gebracht worden. In de Facebook zaak betekent dit dus dat de Ierse GBA in eerste instantie de bevoegdheid heeft om een procedure te starten. Zij dient dit wel steeds te doen in nauwe samenwerking met de andere GBA’s. Let wel, de slachtoffers van een inbreuk kunnen nog steeds procedures starten in hun eigen land tegen de bedrijven met een hoofdvestiging in een ander land.
De Advocaat-Generaal benadrukt dat de nationale GBA’s in vijf gevallen gerechtelijke procedures kunnen starten wanneer zij niet de leidende GBA zijn:
Het zal nu nog enkele maanden duren voordat het Hof van Justitie een definitief arrest velt in deze zaak. Daarna zal het Brusselse Hof van Beroep zich uitspreken over de zaak, rekening houdende met de antwoorden van het Hof van Justitie.
Een mogelijk gevolg van deze situatie is dat sommige bedrijven hun hoofdzetel zullen verplaatsen naar het land met de minst strenge GBA. Sommige GBA’s zijn namelijk meer toegeeflijk op sommige punten dan andere GBA’s. Wil je graag meer weten over welke GBA’s er bevoegd zijn voor jouw verwerkingsactiviteiten of privacy en GDPR in het algemeen? Je mag ons altijd vrijblijvend contacteren via bart@siriuslegal.be en matthias@siriuslegal.be.
