Privacy-bewust online ondernemen

Privacy-bewust online ondernemen

December 6, 2016

Op internet lijkt alles gratis. Maar dat is vaak schijn. De consument betaalt niet met geld, maar met persoonlijke data. Veel online bedrijven baseren hun verdienmodel op handel in persoonsgegevens. Het debat rondom datahandel en het recht wordt feller. Onwetende onlineconsumenten worden kritische gebruikers. (Zie ook: “Je hebt wél iets te verbergen” – van De Correspondent). De Privacywetgeving verandert langzaam met het debat (en recente privacy-rechtszaken) mee. Elk bedrijf dat met persoonsgegevens in aanraking komt, moet zorgen dat het aan de wetgeving voldoet. Het maakt hierbij niet uit of het bedrijf die persoonsgegevens verkoopt of niet.

Ondernemers van nu moeten de privacy van hun gebruikers serieus nemen. Niet alleen om boetes en rechtszaken te voorkomen. Belangrijker is het vasthouden van het vertrouwen van de gebruikers. Onze cliënten zijn online first en wij adviseren hen dan ook regelmatig over privacy. Met dit artikel willen we ook andere online ondernemers wegwijs maken binnen de privacy regelgeving. Verder delen we graag onze ‘Privacy Proof flowchart’ met jullie.

Privacy proof ondernemen

Privacy: doe het goed

Onlineontwikkelingen gaan sneller dan de wetgever kan bijhouden. De privacywetgeving loopt daardoor wat achter. Ons advies: Volg daarom niet alleen de letter van de wet, maar doe echt goed je best als het om privacy gaat. Je merk en het consumentenvertrouwen zijn in het geding. Bekend staan vanwege je rammelende privacybeleid is niet waar je naar op zoek bent, en zal waarschijnlijk schadelijker zijn dan een boete.

Wanneer kom ik met privacywetgeving in aanraking?

Je hebt als ondernemer al snel te maken met privacywetgeving. Een veelvoorkomend misverstand is dat alleen duidelijk identificeerbare gegevens, zoals iemands naam, adres of telefoonnummer, persoonsgegevens zijn. Dit is niet juist. Ook een ‘onpersoonlijk’ nummer zoals een IP-adres of gegevens die geanonimiseerd zijn, kunnen persoonsgegevens zijn.

En: vrijwel iedere handeling die je verricht met persoonsgegevens is een ‘verwerking’ waarop de privacywetgeving van toepassing is. Dus: Zodra je ook maar iets doet met persoonsgegevens val je al onder de privacywetgeving.

Alles over persoonsgegevens

Wat is een persoonsgegeven?

Persoonsgegevens zijn alle gegevens die direct of indirect tot een persoon te herleiden zijn. Dat is een breed begrip. Voorbeelden van persoonsgegevens zijn: iemands naam, (e-mail)adres of leeftijd.  Maar ook: (dynamisch) IP-adres, pasfoto en koop-/surfgedrag op internet. Er zijn twee categorieën persoonsgegevens te onderscheiden:

  1. Wet bescherming persoonsgegevensdirecte persoonsgegevens: gegevens over een duidelijk geïdentificeerde natuurlijk persoon. Uitgangspunt is dat een gegeven direct herleidbaar is tot een persoon. Zonder inspanning (zoals ingewikkeld, kostbaar of tijdrovend recherchewerk), kan iemands identiteit worden vastgesteld. Denk aan: iemands naam, (e-mail)adres of telefoonnummer.
  2. indirecte persoonsgegevens: gegevens over een (redelijkerwijs) identificeerbare natuurlijk persoon. Dit zijn persoonsgegevens die niet direct te relateren zijn aan een persoon, maar met wat moeite (bijvoorbeeld door koppeling met andere beschikbare gegevens) kun je toch achterhalen om wie het gaat.
    Het verschil tussen directe en indirecte persoonsgegevens is dat je bij indirecte persoonsgegevens meer moeite moet doen om de betrokken persoon te achterhalen dan bij directe persoonsgegevens. Alleen als de identiteit van de betrokken persoon met ‘disproportionele aanwending van geld, mankracht of middelen kan worden achterhaald’, is er géén sprake van een persoonsgegeven.
Voorbeelden indirecte persoonsgegevens
  1. Een nummer dat door dit te matchen met een – via andere bron beschikbare – lijst met nummers en bijbehorende namen (bijvoorbeeld kentekenregister) kan worden gelinkt aan een natuurlijk persoon. Deze ‘matchingsmogelijkheid’ maakt dat het betreffende nummer – hoewel niet op naam – een persoonsgegeven is. Immers: de identiteit van de betrokken personen is gemakkelijk te achterhalen.
  2. Als een bijzondere eigenschap of combinatie van gegevens direct (of indirect door dit te koppelen aan andere beschikbare informatie) tot een natuurlijk persoon te herleiden is. Denk aan: een combinatie van beroep, woonplaats en leeftijd. Vaak is dit genoeg om te herleiden om wie het gaat, ook staat de naam van de betrokkene er niet bij vermeld. Denk ook aan: een geluidsopname van iemands stem, vingerafdruk of DNA-profiel.
Goed om te weten: Een gegeven dat eerst nog geen persoonsgegeven was, kan na verloop van tijd transformeren in een persoonsgegeven.
Door de continue ontwikkeling van de informatietechnologie kan het namelijk zo zijn dat identificatie op een gegeven moment wel mogelijk is. Het is moeilijk te voorspellen hoe groot dit transformatierisico is, maar je kunt ervan uitgaan, omdat de innovatie steeds verder vordert, dat de groep van persoonsgegevens daardoor ook steeds groter wordt.

 

Advocaat privacyrechtWanneer verwerk ik persoonsgegevens?

De privacywetgeving is van toepassing zodra je persoonsgegevens ‘verwerkt’. Bijna iedere denkbare handeling is een verwerking. Bijvoorbeeld: verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, beschikbaar stellen, samenbrengen, met elkaar in verband brengen, afschermen, wissen, en ja, zelfs het vernietigen van gegevens is een vorm van verwerking.

Oftewel: zodra je ook maar iets met persoonsgegevens doet ben je al aan het verwerken en val je onder de privacywetgeving.

Voorbeelden van verwerken van persoonsgegevens
  • verzamelen van naam en e-mailadres van klanten bij het aanmaken van een persoonlijk account;
  • surf- en zoekgedrag van bezoekers van je website registreren en analyseren;
  • klanttevredenheidsonderzoeken uitvoeren en de verzamelde gegevens bewaren, analyseren en/of opslaan;
  • pasfoto van de leden van jouw fitnessclub maken en in het systeem bewaren ter toegangsverificatie;
  • sportresultaten van de leden van je fitnessclub bijhouden in een persoonlijke omgeving;
  • bewakingscamera’s ophangen en beeld-/geluidsopnamen maken. Bijv. ter voorkoming van onbevoegde toegang of diefstal.

Moet ik alle persoonsgegevens met dezelfde voorzichtigheid behandelen?

Niet alle persoonsgegevens zijn even ‘HOT’. Daarmee bedoelen we: niet alle persoonsgegevens zijn even privacygevoelig. Iemands e-mailadres is bijvoorbeeld minder precair dan iemands bankrekening- of BSN-nummer. Gegevens over iemands gezondheid zijn extra gevoelig.

Meer over bijzondere persoonsgegevens
Het gaat hierbij niet alleen om medische gegevens die artsen vastleggen, maar om alle gegevens over iemands lichamelijke of geestelijke gezondheid. Dit soort gezondheidsgerelateerde gegevens worden ‘bijzondere persoonsgegevens’ genoemd en mogen niet gebruikt worden tenzij er aan bijzondere strengere voorwaarden wordt voldaan. Het uitgangspunt hierbij is dat bijzondere persoonsgegevens niet mogen worden verwerkt, tenzij je valt onder een van de in de wet genoemde (algemene of specifieke) uitzonderingen op dit verbod.
Voorbeelden van omgang met 'bijzondere persoonsgegevens'
Voorbeeld 1: het verbod om gegevens over iemands godsdienst of levensovertuiging te verwerken geldt, kort gezegd, niet voor: kerken en instellingen op godsdienstige of levensbeschouwelijke grondslag. Een verzorgingstehuis op islamitische grondslag mag dus gegevens over de godsdienst van patiënten verzamelen om hen adequate geestelijke verzorging te kunnen geven.

Voorbeeld 2: gegevens over iemands gezondheid mogen in beginsel niet verwerkt worden. Dit verbod geldt echter niet indien je: (1) valt onder één van de in de Wbp (Wet bescherming persoonsgegevens) omschreven uitgezonderde groepen, zoals ziekenhuizen, verzekeraars, speciale school, reclasseringsinstelling e.d.; of (2) je voor de verwerking de uitdrukkelijke toestemming van de betrokkene hebt.

 

Wat moet ik doen als ik persoonsgegevens gebruik?

 

1.      Melding Autoriteit Persoonsgegevens

Advocaat privacyrecht

Een melding bij de Autoriteit Persoonsgegevens kan gelukkig ook per diskette ;-)

Dat je persoonsgegevens verwerkt moet je melden bij de Autoriteit Persoonsgegevens (AP). Dit zorgt voor meer transparantie. Alle meldingen staan namelijk in een openbaar register. De AP monitort de meldingen overigens niet strak; er staat geen boete op het ‘vergeten’ van de melding. In enkele gevallen is het melden van gegevensverwerkingen bij de AP niet verplicht. Welke gegevensverwerkingen zijn vrijgesteld is opgesomd in het Vrijstellingsbesluit. Het gaat daarbij om gegevensverwerkingen waarvan algemeen bekend is dat zij plaatsvinden en waarbij het onwaarschijnlijk is dat de persoonlijke levenssfeer van de betrokkene door de verwerking wordt geschaad. Denk bijvoorbeeld aan het verwerken van persoonsgegevens in het kader van personeels- of ledenadministratie. Dit soort gegevensverwerkingen zijn vrijgesteld van de meldingsplicht.

Voorbeelden van gegevensverwerkingen die zijn vrijgesteld:
  • Ledenadministratie door verenigingen, stichtingen en publiekrechtelijke beroepsorganisaties;
  • Ledenadministratie door kerkgenootschappen of andere genootschappen op geestelijke grondslag;
  • Gegevensverwerkingen met betrekking tot sollicitanten;
  • Personeels- en salarisadministratie door werkgevers;
  • Gegevensverwerkingen met betrekking tot debiteuren, crediteuren, afnemers en leveranciers;
  • Cliëntenadministratie door notarissen, advocaten of andere rechtshulpverleners;
  • Patiëntenadministratie door beroepsbeoefenaren in de gezondheidszorg;
  • Leerlingadministratie door scholen, universiteiten en andere onderwijsinstellingen;
  • Gegevensverwerkingen ten dienste van het interne beheer van de organisatie, zoals verwerkingen met betrekking tot netwerk- en computersystemen, communicatieapparatuur en toegangscontrole.

 

ACTIE: MELD DE AUTORITEIT PERSOONSGEGEVENS DAT JE PERSOONSGEGEVENS VERWERKT

2. Je gebruikers informeren

Informeer je klanten en websitebezoekers welke persoonsgegevens je verwerkt en met welk doel (dit doe je in een privacy- en cookiestatement).

Voor het verwerken van persoonsgegevens moet ten minste één van de in de wet genoemde rechtvaardigingsgronden aanwezig zijn. Voorbeelden zijn:

  • het hebben van uitdrukkelijke toestemming van de betrokkene;
  • het feit dat de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst met de betrokkene (bijv. adresgegevens omdat het product anders niet geleverd kan worden); of
  • het feit dat de gegevensverwerking noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de verwerker (bijv. e-mailadres om de klant noodzakelijke updates of productinformatie te kunnen versturen).

Voor de meeste commerciële bedrijven is de toestemmings-grondslag de meest geschikte en veilige optie. Voor een beroep op deze grondslag: vraag vooraf toestemming voor het verwerken van hun persoonsgegevens, bijv. met een cookiebanner en een opt-in vinkje voor het accepteren van je privacy policy bij de aanschaf van het product. Werk niet met opt-out (vooraf aangevinkte vakjes). Dit wordt niet aangemerkt als ‘uitdrukkelijke toestemming’ in de zin van de wet.

ACTIE: MAAK EEN COOKIEBANNER & PRIVACYSTATEMENT

3. Dataminimalisatie

Verzamel niet méér persoonsgegevens dan strikt noodzakelijk is. Vraag dus niet iemands adres, leeftijd of geboortedatum, als je deze informatie helemaal niet nodig hebt om je product of dienst te kunnen leveren.

ACTIE: Privacy by Default

Privacy by Default: stel je product standaard in op de voor de klant meest privacy vriendelijke instelling. Dus niet: standaard JA aanvinken bij de optie ‘delen persoonsgegevens met derden’ of ‘ontvangen reclame van onze partners’, maak alleen noodzakelijke ‘registratie’ velden verplicht en alle overige velden persoonsgegevens ‘optioneel’. Dit is geen ‘vriendelijke’, maar een noodzakelijke maatregel. Met een vooraf aangevinkt vinkje, heb je niet de ‘ondubbelzinnige toestemming’ zoals vereist in de Wet bescherming persoonsgegevens (Wbp).

Advocaat privacyrecht4. Veiligheid gegevens

Neem maatregelen om persoonsgegevens te beveiligen tegen verlies, diefstal of toegang door onbevoegden. Het gaat hier om de opslag van je data, de omgang met de persoonsgegevens en het embedden van privacymaatregelen in je ontwikkelingsproces. Zorg ervoor dat alle medewerkers die werken met persoonsgegevens op de hoogte zijn van de geldende privacywetgeving en bedrijfspolicy.
Beveiligingsmaatregelen zijn:

  • data-encryptie;
  • toegang op need-to-know basis: toegang beperken tot alleen die werknemers die de persoonsgegevens echt nodig hebben voor hun werkzaamheden;
  • toegang beveiligen met strikt geheime, moeilijk te kraken toegangscodes;
  • toegang alleen mogelijk maken na validatie van twee of meer bevoegde personen;
  • de toereikendheid van het beveiligingssysteem periodiek controleren en ervoor zorgen dat deze overeenstemt met de laatste technologische ontwikkelingen.

Als je de gegevensbewerking hebt uitbesteed aan een ander (ICT-)bedrijf (je slaat de persoonsgegevens bijvoorbeeld op een externe server), moet je een bewerkersovereenkomst sluiten met die derde (de bewerker). Let op bij het inschakelen van een ICT-bedrijf dat is gevestigd in de VS dat je checkt of dit bedrijf EU-U.S. Privacy Shield-gecertificeerd is.

ACTIE: MAAK EEN BEWERKERSOVEREENKOMST

ACTIE: PRIVACY BY DESIGN

Privacy by Design: houd tijdens het ontwikkelingsproces van je product al rekening met privacy door privacyverhogende maatregelen te embedden in de technologie (broncode) van je product. Dergelijke privacyverhogende technische maatregelen noemt men ook wel ‘Privacy Enhancing Technologies (PET)’. Door de privacyrisico’s al in een vroeg stadium mee te nemen in de ontwikkeling van het product, voorkom je dat je de eindversie later moet herzien om te voldoen aan de privacyregelgeving.[/expand]

 

Datalek melden

Een datalek meld je binnen 72 uur bij de Autoriteit Persoonsgegevens

5. Datalek melden

Je moet een datalek direct (in ieder geval binnen 72 uur) melden bij de Autoriteit Persoonsgegevens. Een datalek is iedere vorm van inbreuk op de (technische of organisatorische) beveiligingsmaatregelen, dus niet alleen een hack of technisch falen, maar ook het kwijtraken of de diefstal van een USB-stick met persoonsgegevens. Zorg ervoor dat er een intern protocol is hoe te handelen bij een datalek en dat alle medewerkers hiervan op de hoogte zijn.

ACTIE: MELD EEN DATALEK BIJ DE AUTORITEIT PERSOONSGEGEVENS

 

Welke risico’s loop ik als ik de privacywetgeving overtreed?

Bij overtreding van de Wbp kan de Autoriteit Persoonsgegevens bestuursdwang toepassen of een boete opleggen.

Bestuursdwang: de AP neemt zelf maatregelen om een einde te maken aan de onrechtmatige situatie. Dit kan bijvoorbeeld zijn: afscherming, uitwissing of vernietiging van de onrechtmatig verwerkte persoonsgegevens. Meestal zal de AP je eerst nog een termijn gunnen waarbinnen je de bestuursdwang kunt voorkomen door zelf maatregelen te nemen.

Boetes: De boetes zijn sinds 1 januari 2016 flink verhoogd. Van € 4.500,- naar een bedrag van honderdduizenden euro’s. De boete van € 4.500,- was in verhouding tot de winst die ondernemers met persoonsgegevens konden behalen zo laag dat het nauwelijks een afschrikwekkend effect had. De boete kan nu oplopen tot € 820.000,- of zelfs 10% van de jaaromzet. Maar, wees gerust, voordat de AP een boete oplegt zal zij in de regel eerst een waarschuwing geven. Pas als die niet wordt opgevolgd, volgt er een boete. Als er sprake is van een opzettelijke wetsovertreding of ernstig verwijtbare nalatigheid, legt de AP direct (dus zonder waarschuwing) een boete op.

Voor overtreding van de Cookiewet kan de boete oplopen tot € 450.000 euro per overtreding. De Autoriteit Consument en Markt (ACM) is de organisatie die de boete oplegt. Zij houdt toezicht op de naleving van de Cookiewet.

Overigens: de hele discussie over boetes is wat ons betreft een achterhoedegevecht. Door je netjes aan de privacy regels te houden bouw je een merk op waarmee je het vertrouwen van consumenten en zakenpartners wint. Wij adviseren onze cliënten op dit vertrouwen te focussen, en niet zozeer op angst voor boetes.

Hulp nodig bij Privacy?

Wij onderzoeken bij veel ondernemingen of zij voldoen aan de privacywetgeving en adviseren waar acties nodig zijn. We hebben hiervoor een Light en een Heavy pakket.

Light privacy check

Voor wie: Start-ups die niet met ‘HOT’ persoonsgegevens werken en die datahandel niet als main business hebben.
Wat: We controleren of de persoonsgegevens op de juiste wijze worden verwerkt en beschermd. We checken het cookiestatement en de privacy policy en geven advies over de inrichting van de interface (‘privacy by design’ en ‘privacy by default’).

Heavy privacy check

Voor wie: Bedrijven in een scale-up fase die persoonsgegevens verwerken of startende bedrijven die persoonsgegevens doorgeven aan derden. Vaak is de komst van investeerders of een samenwerking met een grote partij reden om het interne privacybeleid kritisch onder de loep te nemen.
Wat: Een grondig privacy-onderzoek en het in kaart brengen van de privacy-risico’s bij de gegevensverwerking van een bedrijf. Vervolgens stellen we in nauw overleg met de ondernemer een privacy-strategie op. Hieruit volgen een privacy policy, een cookiestatement op maat en andere directe acties die ervoor zorgen dat aan de privacywetgeving voldaan wordt. Denk bijvoorbeeld aan: een vaste procedure bij een datalek, begeleiding bij due diligence bij de bewerker van de data en advies over nog te nemen privacybeschermende maatregelen. Natuurlijk staan de commerciële strategie en doelen van de ondernemer centraal in deze check.

Advocaat privacyrechtMeer info? Neem contact op met onze twee senior advocaten privacyrecht: Yonie Scheijde en Laura van Gijn

tekst: Advocaat privacyrecht Yonie Scheijde
Legal infographic: van Advocaat procesrecht Maurits Fornier

Deel dit: Share on Facebook Share on Google+ Tweet about this on Twitter Share on LinkedIn

© 2017 De Roos Advocatuur. All rights reserved.