Wwv2015 mark jansen van dirkzwager

Lezing Webwinkel Vakdagen d.d. 21 januari 2015

advocaten & notarissen


Webwinkel vakdagen

21 januari 2015

Webwinkels &

privacy



Programma vanmiddag

Korte introductie op Wbp

Karakter Wbp

Rollen in Wbp

Bijzondere persoonsgegevens

Exportverbod

Transparantie

Kern van de cookiewet

Praktische aandachtspunten

Korte blik in de toekomst


Introductie op Wbp


Karakter Wbp

Basisprincipes

Verscherpt regime

voor bijzondere

persoonsgegevens

Procedurevoorschriften

Melding bij CBP

Exportvergunning bij Justitie

Regels over FG

•Zorgvuldigheid

•Grondslagvereiste

•Doelbinding

•Gegevenskwaliteit

•Beveiliging & bewaring

•Transparantie


Toepassingsbereik

Web is van toepassing op alle digitale

verwerkingen van persoonsgegevens

Dus in online omgeving

steeds relevant

Gebruik klantgegevens

voor bestellingen;

Gebruik trackers voor reclame en/of

websiteoptimalisatie;

Gebruik check credit ratings;

Etc.

= ieder werkwoord

= gegevens

herleidbaar tot

natuurlijk persoon


Verschillende rollen

Wbp onderscheidt twee rollen: verantwoordelijke en

bewerker

Verantwoordelijke: degene die doel en middelen

vaststelt

Bewerker: externe die in opdracht van

verantwoordelijke verwerkt

Wbp vol van toepassing op verantwoordelijke, slechts

beperkt van toepassing op bewerker.

Webwinkel =

verantwoordelijke

Bijv. webhoster


Uitbesteding verwerking

Verantwoordelijke die bewerker inschakelt is wettelijk

verplicht die samenwerking schriftelijk vast te leggen

(“bewerkersovereenkomst”)

In bewerkersovereenkomst minimaal vereiste elementen:

Scope / opdrachtafbakening;

Beveiliging;

Geheimhouding

Cbp gaat echter nog veel verder

Specificatie dienstverlening, verwerkte persoonsgegevens en

personen die toegang hebben tot persoonsgegevens

De betrouwbaarheidseisen die op de verwerking van

toepassing zijn.

Transparantie over de beveiliging: rapportage & audit.

Transparantie over opgetreden beveiligingsincidenten.

Afspraken over het al dan niet toestaan van verwerking door

subbewerkers, met daarbij de eventuele beperkingen.

Afspraken over welke persoonsgegevens in welke landen

worden verwerkt.

Voorwaarden voor heronderhandeling of beëindiging van de

overeenkomst.


Bijzondere persoonsgegevens

Extra streng regime voor gegevens betreffende

godsdienst of levensovertuiging

ras

politieke gezindheid

gezondheid

seksuele leven

lidmaatschap van een vakvereniging / vakbond

strafrechtelijke gegevens en gegevens over “straatverboden”

Verwerken verboden, tenzij uitzondering of toestemming


Beveiligingsverplichting

Artikel 13 Wbp: passende technische en

organisatorische maatregelen

CBP 19-02-2013: publicatie Richtsnoeren

beveiliging van persoonsgegevens

Beveiligingsbeleid conform standaarden, zoals

NEN/ISO 2700X

Incorporeren van beleid in dagelijkse praktijk

organisatie

Controleren, evalueren en waar nodig bijstellen

van bestaande werkwijze


Exportverbod

Gegevensverkeer naar landen buiten EER en “veilige landen”

niet toegestaan, behoudens:

Toestemming

Modelcontract

Vergunning minister

Relevant bij uitbesteding of gebruikmaking van online

diensten


Transparantie

Voorafgaand aan verwerking informeren over:

Identiteit

Doeleinden

Andere relevante informatie

Online vaak gedaan middels privacy statements

Zorg voor leesbaarheid en vindbaarheid


Privacycheck

De Dirkzwager

privacycheck

Nagenoeg volledige Wbp

in opgenomen

Alleen ja/nee vragen

Snelle toets of u voldoet aan

privacyrecht

Ook geschikt als inspiratiebron

www.dirkzwagerieit.nl/privacycheck


Cookiewet


Cookiewet

Bezoeker voorafgaand aan plaatsen cookie:

toestemming vragen

informeren over doeleinden cookie

Niet vereist bij functionele cookies

Let op: CBP strenger dan ACM over wat functioneel is, met

name als derde partijen betrokken zijn

CBP bijv. erg kritisch over diensten als Google Analytics en

Comscore, zeker in standaardinstellingen


Praktische aandachtspunten


Indicatieve checklist (1/3)

Staat er een privacy- en cookiestatement op de website?

Is dat statement ook volledig?

Wordt voor alle niet-functionele cookies toestemming

gevraagd?

Worden die cookies pas na verkregen toestemming

geplaatst?



Is geborgd dat gegevens niet voor een ander doel dan

genoemd in privacystatement gebruikt worden?

Is geborgd dat gegevens niet te lang worden bewaard?

Is het personeel onderworpen aan geheimhouding?

Is een melding gedaan bij het CBP?



Is de eigen beveiliging op orde?

Ook bij de ingeschakelde bewerkers?

Zijn er bewerkersovereenkomsten met alle bewerkers?

En zijn er afspraken inzake privacy met andere partijen

waarmee samengewerkt wordt?


Korte blik in de toekomst….


Nieuwe privacyverordening (EU)

Van nationale privacywetten in alle landen EU

naar overkoepelende privacyverordening

Door Europees Parlement aangenomen. Nu

Raad van Ministers aan zet.

Tijdens behandeling meer dan 3.500 (!) amendementen ingediend.

Voor uw onderneming relevant:

nog meer nadruk op accountability;

export-verbod lijkt te blijven bestaan;

veel meer nadruk op beveiliging, met

onder meer meldplicht datalekken;

introductie (stevige!) sancties.


NL meldplicht datalekken & boete CBP

In Nederland brede meldplicht datalekken op komst:

Informeren CBP & betrokkene bij datalek, tenzij kleine privacy-

impact;

Bijhouden administratie van datalekken;

Maximale boete € 810.000,--

Boetebevoegdheid CBP op komst:

CBP kan nu alleen last onder dwangsom opleggen bij

overtreding beginselen Wbp;

Straks ook boetes tot € 810.000,-- na voorafgaande last


VRAGEN?


Contactgegevens

Mark Jansen

(026) 353 83 67

[email protected]

Weblog: www.dirkzwagerieit.nl

Privacycheck: www.dirkzwagerieit.nl/privacycheck

Twitter: @ieitrecht

App: www.kennisboek.nl

Nieuwsbrief: www.dirkzwager.nl/profiel

I E I T

(intellectuele eigendom & IT-

recht)

http://www.kennisboek.nl/

http://www.dirkzwager.nl/profiel


Advocatuur Arnhem

Postbus 3045

6802 DA Arnhem

Kantoor Velperpoort

Velperweg 1

6824 BZ Arnhem

T +31 (0)26 353 83 00

F +31 (0)26 351 07 93

Notariaat Arnhem

Postbus 111

6800 AC Arnhem

Kantoor Velperpoort

Velperweg 1

6824 BZ Arnhem

T +31 (0)26 365 55 55

F +31 (0)26 365 55 00

Advocatuur Nijmegen

Postbus 55

6500 AB Nijmegen

Kantoor Stella Maris

Van Schaeck Mathonsingel 4

6512 AN Nijmegen

T +31 (0)24 381 31 31

F +31 (0)24 322 20 74

Notariaat Nijmegen

Postbus 1104

6501 BC Nijmegen

Kantoor Stella Maris

Van Schaeck Mathonsingel 4

6512 AN Nijmegen

T +31 (0)24 381 27 27

F +31 (0)24 324 07 26

Wwv2015 mark jansen van dirkzwager

Marketing