Category

Op 17 mei 2017 zullen Dirk Beeckman en Kelly Matthyssens spreken op een gratis seminarie over de Algemene Verordening Gegevensbescherming, in samenwerking met Vectr. Consulting en Evolane.

In 2018 gaat de nieuwe Europese privacywetgeving van kracht. Ondermeer bedrijfsprocessen, systemen en software dienen hierop afgestemd te worden. Centraal hierin staat de bescherming van persoonlijke data. Om dit in de praktijk te realiseren, is het aangewezen het Security by Design en Privacy by Design principe te hanteren.

Wat zijn de belangrijkste punten uit de nieuwe wetgeving? Wat betekent dat voor mijn organisatie? En hoe implementeer ik dat nu eigenlijk? Kom het antwoord ontdekken tijdens ons seminarie op 17 mei, waar we samen de vertaalslag maken tussen GDPR en IT-implementatie.

Sprekers:
Dirk Beeckman en Kelly Matthyssens, Questa Advocaten.
Kristof Haeck, securityspecialist bij Evolane, zoomt in op de uitdagingen waarvoor bedrijven staan om een optimale en veilige online-ervaring te creëren.
Tom Michiels en Ignaz Wanders, data-architecten van Vectr. Consulting. Zij maken de vertaling van het juridische kader naar concrete use cases.Ze doen dit aan de hand van een project implementatie bij een direct-marketing bedrijf, waarbij Privacy by Design wordt ingebouwd.

Praktisch:
Waar? Congres- en Erfgoedcentrum Lamot, Van Beethovenstraat 8-10, 2800 Mechelen.
Wanneer? 17 mei 2017, vanaf 17:00 ontvangst. Om 18:00 stipt starten de presentaties. Afronden doen we na een netwerkdronk rond 21:00.

Inschrijven kan nog via de volgende link: Inschrijven.

Geschreven door Lynn Vleugels, semesterstagiaire bij het team corporate en IP/ICT recht.

In het kader van de Digital Single Market strategie wordt de Europese regelgeving inzake digitale diensten grondig herzien (e-commerce, telecom, online platformen,…). Ook op het vlak van privacy en gegevensbescherming wordt het wetgevend kader hervormd. Als aanvulling op de Algemene Verordening Gegevensbescherming (GDPR) en de nieuwe NIS- richtlijn, die beide 25 mei 2018 van toepassing worden, is er nu ook een voorstel gepubliceerd voor hervorming van de e-Privacy Richtlijn.

Het voorstel beoogt strengere privacyregels, in lijn met de strikte GDPR, voor alle elektronische communicatiediensten die gericht zijn aan eindgebruikers in de EU. Net zoals met de GDPR wordt de huidige richtlijn veranderd in een verordening, die de regels rechtstreeks toepasselijk maakt, in de hele EU.

Allereerst wordt in het voorstel het toepassingsgebied verruimd. Daar waar de huidige richtlijn zich louter tot de traditionele telecombedrijven richt, zou de verordening ook van toepassing zijn op marktspelers die communicatiediensten via het internet aanbieden, de “over-the-top” diensten (OTT) zoals Whatsapp, Skype, Facebook Messenger en e-maildiensten. Daarnaast zou de verordening ook toepassing vinden wat betreft elektronische communicatie tussen apparaten, het Internet of Things (IoT).

Het voorstel bevat ook nieuwe regels voor de opslag en verwijdering van de elektronische berichten en de metadata ervan (afkomst, datum,…). Na ontvangst moeten de dienstverleners de inhoud verwijderen of anonimiseren, tenzij ze uitdrukkelijke toestemming hebben bekomen van de eindgebruiker om de gegevens op te slaan of te verwerken, mits dat noodzakelijk is om de dienst te verlenen. Ook de metadata moeten worden verwijderd of geanonimiseerd behoudens toestemming, of indien ze noodzakelijk zijn voor de betaling of het opsporen van misbruik van de dienst.

Daarnaast wijzigt het voorstel de regels inzake ‘cookies’. De voorwaarden om cookies te plaatsen zijn: een actieve toestemming van de eindgebruiker en het weergeven van een duidelijke en specifieke reden voor het gebruik ervan. Volgens de nieuwe regels is echter geen toestemming meer nodig om de website of communicatie vlot te laten verlopen of om het aantal bezoekers te tellen. Met het voorstel zou de controle op de privacy-instellingen in het algemeen, waaronder het al dan niet accepteren van cookies, makkelijker worden.

Ook voor SPAM (of: ongewenste communicatie voor reclamedoeleinden) biedt het voorstel betere waarborgen. Voor alle elektronische (ook telefonische) marketing is toestemming nodig. Het wordt vereist dat callcenters, mits een speciale prefix of nummer, duidelijk maken dat het om reclame gaat. Wat betreft B2B-relaties stelt het voorstel dat de lidstaten zelf bepalen hoe ze ondernemingen hierbij voldoende kunnen beschermen.

Een laatste belangrijke wijziging betreft het sanctiemechanisme. Overeenkomstig de GDPR, zouden boetes kunnen worden opgelegd die tot 20 miljoen euro of 4% van de vorige globale jaaromzet.

Het blijft echter koffiedik kijken of ook deze hervormde verordening op 25 mei 2018 in werking kan treden, samen met de GDPR en de NIS-richtlijn.

Geschreven door Stefanie Vinck, semesterstagiaire bij het team corporate en IP/ICT recht.

Op 6 juli 2016 heeft het Europees Parlement een richtlijn aangenomen over netwerkbeveiliging en informatiesystemen (‘NIS Directive’). Het voorstel voor deze richtlijn dateerde al van 2013. Het doel is om een hogere beveiliging van netwerk- en informatiebeveiliging te verkrijgen over de hele unie.

Na de inwerkingtreding in augustus krijgen de lidstaten nog de tijd tot 9 mei 2018 om deze richtlijn te implementeren in hun eigen wetgeving. Dit heeft als gevolg dat bedrijven moeten beginnen met nadenken of zij onder deze nieuwe regelgeving vallen. Indien het antwoord hierop positief zou zijn, moeten zij nadenken of zij hun veiligheidsprocedure zullen moeten herzien en aanpassen naar het recht van het land waar ze zich bevinden.

De richtlijn zelf verplicht de lidstaten om voorbereid te zijn door de juiste uitrusting te hebben. Bijvoorbeeld door het oprichten van een NIS-autoriteit, samenwerking te creëren met andere lidstaten, … Ze zullen ook verplicht worden om een Computer Security Incident Response Team (CSIRT) in te zetten zodat er snel gereageerd kan worden op veiligheidsincidenten en zodat er informatie gedeeld kan worden over risico’s. De veiligheidscultuur zal zich uitstrekken over verschillende sectoren die van vitaal belang zijn voor de economie, van transport en water tot de cloud.

De Europese Unie zal zelf ook blijven werken aan cybersecurity. Dit door haar eigen netwerk, namelijk ‘the European Union Agency for Network and Information Security’ (ENISA). Bovendien haalde de Europese Commissie haar intentie aan om de cybersecurity te stroomlijnen, opleidingen te coördineren en trainingen te voorzien.

Anderzijds voorziet de richtlijn ook in de oprichting van twee werkgroepen: enerzijds is er de samenwerkingsgroep die de uitwisseling van informatie tussen de lidstaten moet garanderen, anderzijds is er het CSIRT-team, dat hierboven reeds besproken werd.

Verder is nog vermeldenswaardig dat de lidstaten zelf bevoegd zijn om inbreuken op de richtlijnen te sanctioneren.

Geschreven door Lynn Vleugels, zomerstagiaire bij het team corporate en IP/ICT recht.

In navolging van de Europese Dataretentierichtlijn die in 2014 vernietigd werd door het Europees Hof van Justitie, heeft het Grondwettelijk Hof ook de Belgische Dataretentiewet vernietigd op 11 juni 2015. Overeenkomstig deze wet moesten telecom- en internetoperatoren de communicatiegegevens waarover zij beschikken gedurende 12 maanden bewaren voor het onderzoeken, opsporen en vervolgen van strafbare feiten.

De reden van nietigverklaring ligt in het feit dat die bewaring in strijd werd bevonden met het gelijkheids- en non-discriminatie beginsel en het recht op privacy en eerbiediging van het privéleven. Beide hoven keurden de ruime en algemene bewaringsplicht af, omdat die werd toegepast zonder enig onderscheid betreffende welke gegevens bewaard moesten worden en van wie.

De Europese Commissaris (afdeling Binnenlandse Zaken) berichtte eerder dat er geen nieuwe richtlijn komt en het dus aan de lidstaten is om nieuwe, niet-strijdige, regelgeving op te stellen. De Belgische wetgever heeft in de nieuwe Dataretentiewet de bewaringsplicht behouden. Wel voorziet de wet in meer en betere waarborgen die de privacy moeten veiligstellen en het risico op misbruik beperken.

Een eerste belangrijke garantie is dat de beschikbaarheid van de persoonsgegevens afhankelijk is van het soort misdrijf. Hoe zwaarder de potentiële straf, hoe langer men toegang heeft tot de gegevens. De wet bepaalt duidelijk welke personen of overheden (gerechtelijke autoriteiten, politie, inlichtingendiensten,…) de gegevens mogen ontvangen en voor welke doeleinden. Daarnaast bevat de wet strengere toegangs- en beschermingsvoorwaarden zoals technologische bewaringsmaatregelen en organisatorische beveiliging van de gegevens.

De hervormde Dataretentiewet is op 28 juli 2016 in werking getreden en wijzigde hierbij de Wet op de Elektronische Communicatie, het Wetboek van Strafvordering en de Wet houdende regeling van de inlichtingen- en veiligheidsdienst.

Daarnaast ging op 13 augustus 2016 het koninklijk besluit van kracht dat niet langer een onbeperkte bewaring van gegevens door de Staatsveiligheid en de militaire inlichtingendienst toelaat. Na 50 jaar – of in sommige gevallen reeds sneller – moeten zij alle persoonsgegevens vernietigen. In uitzonderlijke gevallen kunnen ze echter langer worden bijgehouden, bijvoorbeeld indien noodzakelijk in het kader van een gerechtelijk onderzoek. In die gevallen zal wel elke vijf jaar een evaluatie plaatsvinden waarbij de diensten bepalen of de gegevens nog moeten bewaard worden. Zo niet, worden ze onmiddellijk vernietigd.

Met al deze tijds- en gebruiksbeperkingen probeert de wet tegemoet te komen aan de moeilijke balans tussen het recht op privacy en criminaliteitsbestrijding. De nieuwe waarborgen die zijn ingevoerd moeten de proportionaliteit van de inmening in de privacy verzekeren en zo helpen aan de digitale opsporing van misdrijven, die in deze 21e eeuw een sterk hulpmiddel kan bieden.

Op 12 juli 2016 keurde de Europese Commissie het EU-U.S. Privacy Shield goed, dat een veilig kader zou moeten vormen voor de overdracht van persoonsgegevens naar de Verenigde Staten. De regelgeving en uitvoering van het Privacy Shield zal jaarlijks worden geëvalueerd door de VS en de Europese Commissie, zodat het akkoord up to date blijft en effectief wordt uitgevoerd.

Het Privacy Shield vervangt de Safe-Harbor regeling, die werd opgeheven naar aanleiding van het Schrems-arrest van het Europese Hof van Justitie. Het Hof oordeelde op 6 oktober 2015 dat de regelgeving onvoldoende garantie bood op de bescherming van persoonsgegevens door Amerikaanse ondernemingen en verklaarde deze ongeldig. De vernietiging had tot gevolg dat heel wat bedrijven die in de EU verzamelde persoonsgegevens opsloegen in datacenters die zich fysiek in Amerika bevonden, of de gegevens lieten verwerken door Amerikaanse ondernemingen, plots niet meer aan de Europese privacyverplichtingen voldeden. Zij moesten daar in principe dan ook mee ophouden, dan wel een alternatieve regeling treffen om een adequaat beschermingsniveau te garanderen. Een snelle oplossing drong zich dan ook op.

Deze komt er, volgens de Europese Commissie met het EU-U.S. Privacy Shield. Kort gezegd zou het Privacy Shield Amerikaanse bedrijven striktere privacyverplichtingen opleggen m.b.t. bescherming van de persoonsgegevens van Europeanen, betere afdwinging van rechten garanderen, waarborgen en openheid vastleggen m.b.t. toegang tot persoonsgegevens door de Amerikaanse overheden en verhaal voor individuen vergemakkelijken.

Het Privacy Shield werkt met een systeem van zelf-certificering. Amerikaanse bedrijven die wensen deel te nemen dienen zich officieel te registreren voor de Privacy Shield list. Dit kan vanaf 1 augustus 2016. Een overdracht van persoonsgegevens naar gecertificeerde bedrijven is toegelaten zonder dat een afzonderlijke overeenkomt moet worden afgesloten op een adequaat beschermingsniveau te garanderen. Het is nog wel nodig een bewerkersovereenkomst af te sluiten, die de modaliteiten van de verwerking vastlegt tussen de verwerkingsverantwoordelijke en de verwerker. De bedrijven die deelnemen dienen zichzelf jaarlijks te evalueren en op de naleving van de Privacy Shield zal meer controle worden uitgevoerd. Ondernemingen die hun verplichtingen terzake niet of onvoldoende naleven zullen gesanctioneerd worden en kunnen zelfs uitgesloten worden

De V.S. zou verder ondermeer de automatische toegang tot Europese persoonsgegevens uit haar wetgeving moeten verwijderen. In de plaats daarvan zal de toegang tot zulke gegevens door de Amerikaanse overheden worden onderworpen aan strikte beperkingen, voorwaarden en controle. Toegang op grote schaal (mass surveillance) of op willekeurige wijze zou in de toekomst dan ook niet meer mogelijk mogen zijn. Ook zal meer openheid gecreëerd worden over het aantal verzoeken tot inzage van persoonsgegevens dat de Amerikaanse overheid uitbrengt en burgers met klachten kunnen zich richten tot een ombudsdienst.

Tot slot wordt voorzien in gemakkelijk toegankelijke en goedkopere geschillenbeslechtingsmechanismen voor de betrokkene. Ondernemingen zullen steeds binnen 45 dagen moeten reageren op klachten van individuen en er wordt zonder kosten voorzien in een vorm van alternatieve geschillenbeslechting. Het Privacy Shield voorziet ook in een samenwerkings- en handhavingsbeleid tussen het Amerikaanse ministerie van handel en de Federal Trade Commission, met de Europese privacy autoriteiten. Wanneer individuen zich richten tot hun gegevensbescherminsautoriteit, kan deze er zo op toe zien dat klachten worden onderzocht en behandeld. Als laatste toegangsmiddel wordt een arbitragecollege ingesteld dat bindende beslissingen zal kunnen nemen.

De kans is echter groot dat ook deze regeling zal worden aangevochten voor het Hof van Justitie. Tegenstanders oordelen dat het Privacy Shield onvoldoende waarborgen biedt, voornamelijk dan het systeem van zelfcertificering, en te vaag werd geformuleerd. Zo oordeelt ook de article 29 Working party, het overlegorgaan van de Europese privacytoezichthouders. Op 13 april 2016 stelde zij in haar verslag dat het Privacy Shield te vaag geformuleerd is en in het algemeen niet volstaat om de privacy van de Europese burger voldoende te beschermen.[1] In haar – niet bindende – beslissing verlangt de Working party ondermeer extra waarborgen m.b.t. automatische verwerkingen, verdere beperkingen op de toegang door de Amerikaanse overheden en effectieve en onafhankelijke verhaalsmogelijkheid voor de betrokkenen.

Desondanks werden niet alle punten van kritiek van de Working party verholpen. Zo kunnen Amerikaanse ondernemingen nog steeds persoonsgegevens gebruiken voor andere doeleinden dan waarvoor ze verzameld zijn. Echter moeten ze de betrokkene nu wel de mogelijkheid geven om dat te weigeren. De Ombudsman waartoe betrokkenen zich kunnen richten blijft onderdeel uitmaken van het department of state en dus weinig onafhankelijk, en ondanks een kleine wijziging t.a.v. de oorspronkelijk versie op dit punt, mogen persoonsgegevens onder het Privacy Shield bewaard worden zo lang ze relevant zijn. Dit in tegenstelling tot de Europese privacywetgeving, die verlangt dat de gegevens worden verwijderd van zodra het behoud ervan niet langer noodzakelijk is. Ook onder de definitieve versie van het Privacy Shield blijft het mogelijk voor de Amerikaanse autoriteiten om gegevens in bulk te verzamelen, voor zes doelen die zeer breed geïnterpreteerd kunnen worden. De Europese Commissie stelt echter dat het verzamelen van gegevens in bulk niet hetzelfde is als mass surveillance, en het Schrems arrest dus niet geschonden wordt door dit toe te staan. Het is dus maar de vraag of het Privacy Shield een toets door het Hof zou doorstaan.

Het EU-U.S. Privacy Shield trad in werking op 1 augustus 2016.

[1] Working Party Statement of 13 April 2016 on the opinion on the EU-U.S. Privacy Shield, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf.