10

nov

Privacyregels voor internet- en ICT bedrijven

in E-commerce

De onlangs gewijzigde cookiewet, de aanstaande Europese privacy verordening, de nieuwe wet datalekken, de recente doorhaling van de Safe Harbor beginselen: maar enkele voorbeelden waaruit blijkt dat privacy een hot topic is binnen de internet/ICT wereld.

Internet- en ICT bedrijven doen er verstandig aan zich te verdiepen in de privacyregels. Hoewel het College Bescherming Persoonsgegevens in de afgelopen jaren haar tanden maar weinig heeft laten zien, is het de verwachting dat dit door een aanstaande wetswijziging én de komende privacy verordening gaat veranderen. In ieder geval gaan de boetes die bij overtreding kunnen worden opgelegd enorm stijgen.

Hieronder leest u een aantal voorbeelden van wettelijke verplichtingen die wellicht op uw bedrijf van toepassing zijn.

Wet bescherming persoonsgegevens en Telecommunicatiewet

De Wet bescherming persoonsgegevens (Wbp) geeft regels die gelden voor de ‘verwerking’ van ‘persoonsgegevens’. Belangrijk om te weten is dat er snel sprake is van een persoonsgegeven: ieder tot een individu herleidbaar gegeven wordt gezien als een persoonsgegeven. Bankrekeningnummers, e-mailadressen en zelfs IP-adressen vallen hieronder. Ook het begrip ‘verwerking’ is ruim: dit is iedere handeling met betrekking tot een persoonsgegeven (bv. opslaan, raadplegen).  De regels uit de Wbp zijn dus erg snel van toepassing. Dit heeft onder meer tot gevolg dat de betrokkene (de persoon wiens gegevens worden verwerkt) moet worden geïnformeerd over de gegevens die over hem/haar worden verzameld en om welke reden dat gebeurt.  Daarnaast moet een onderneming, wil het tot het verzamelen van gegevens mogen overgaan, de betrokkene in bepaalde gevallen vooraf toestemming vragen.

Ook ter bescherming van de privacy van betrokkenen, zijn in de Telecommunicatiewet regels opgenomen die betrekking hebben op het gebruik van cookies. Bij het plaatsen van cookies worden namelijk persoonsgegevens verwerkt. Hoewel de regels op het gebied van cookies in het afgelopen jaar zijn versoepeld, geldt voor een deel van de cookies nog steeds dat websitebezoekers dienen te worden geïnformeerd over het gebruik en de reden daarvan en dient deze in sommige gevallen zelfs toestemming te geven voordat kan worden overgegaan tot plaatsing. Een voorbeeld van een cookie waarvoor toestemming is vereist, is de tracking-cookie. Voor louter functionele cookies of analytische cookies is geen toestemming vereist.

Verantwoordelijke of bewerker?

Wanneer een partij persoonsgegevens verwerkt, is het van belang na te gaan of die partij dat doet als verantwoordelijke of als bewerker. Een partij wordt gezien als verantwoordelijke, indien hij het doel en de middelen voor de gegevensverwerking bepaalt. Dit is de partij die formeel-juridisch de zeggenschap over de verwerking heeft. Een voorbeeld van een verantwoordelijke is een webwinkel die persoonsgegevens van bezoekers registreert om bestelde artikelen te kunnen factureren en leveren.

Een bewerker is diegene die in opdracht van de verantwoordelijke persoonsgegevens verwerkt, zonder dat hij zijn ondergeschikte is. Een voorbeeld hiervan is de ICT leverancier die een SaaS dienst aanbiedt waarbinnen persoonsgegevens van klanten van zijn opdrachtgever worden opgeslagen.

Logischerwijs rusten de meeste verplichtingen uit de Wbp en de Telecommunicatiewet op de verantwoordelijke. Een aantal voorbeelden van verplichtingen zijn: de informatieplicht, de plicht passende beveiligingsmaatregelen te treffen en (per 1-1-2016) de meldplicht bij datalekken.

Toch dienen ook bewerkers ervoor te waken dat zij niet aansprakelijk kunnen worden gehouden op grond van de Wbp. Dit kan bijvoorbeeld gebeuren wanneer een bewerker persoonsgegevens van zijn opdrachtgever op een bepaalde wijze gaat verwerken, zonder dat hij hier expliciet opdracht voor heeft gekregen. Dit klinkt misschien logisch, maar het komt in de praktijk vaak voor dat partijen zonder zich daarvan bewust te zijn of zonder kwade bedoelingen, persoonsgegevens buiten de opdracht om verwerken. Denk hier bijvoorbeeld aan het aanbrengen van verbeteringen aan het systeem, waarbij het gebruikersgedrag wordt gemonitord. Volgt dit niet uit de opdracht, dan is het maar zeer de vraag of de bewerker hier nog wel als bewerker kan worden aangemerkt. Wanneer hij zelf het doel (productverbetering) en het middel (monitoring via zijn systeem) bepaalt, verwordt de bewerker tot verantwoordelijke en dient hij zelf een geldige grondslag te hebben voor die verwerking (bv. toestemming) én de betrokkenen daarover te informeren. 

De bewerkersovereenkomst

Om te voorkomen dat een bewerker min of meer per ongeluk als verantwoordelijke wordt aangemerkt, is het noodzakelijk dat er goede afspraken worden gemaakt over de verwerkingen die in opdracht van de opdrachtgever plaatsvinden. Dit is overigens een wettelijke verplichting van de verantwoordelijke.

In een zogenaamde bewerkersovereenkomst dient onder meer te worden opgenomen:

-         welke dienst er wordt geleverd en welke persoonsgegevens daarbij worden verwerkt;

-         een expliciet verbod om andere handelingen met de persoonsgegevens uit te voeren dan wat er in de opdracht

          is omschreven;

-         de afspraken over de technische en organisatorische beveiligingsmaatregelen;

-         een geheimhoudingsverplichting ten aanzien van de persoonsgegevens;

-         de eisen die gelden indien de bewerker een subbewerker inschakelt die buiten de EU is gevestigd.

Het is dus zowel voor de verantwoordelijke als voor de bewerker belangrijk dat er een goede bewerkersovereenkomst wordt opgesteld waarin de rechten en verplichtingen over en weer nauwkeurig worden vastgelegd.

Privacy statements en cookies

Een onderneming die op eigen initiatief persoonsgegevens verwerkt, is dus verantwoordelijke in de zin van de wet en verplicht de betrokkenen over die verwerking te informeren. Wanneer een onderneming bijvoorbeeld een webwinkel, vacaturesite of platform exploiteert waarbij persoonsgegevens van  bezoekers worden geregistreerd, is deze verantwoordelijke in de zin van de wet. Het is dan verstandig gebruik te maken van een privacy statement, waarmee de gebruiker voorafgaand aan de registratie van zijn gegevens wordt geïnformeerd en wordt verzocht daarmee in te stemmen.

Wanneer een onderneming bijvoorbeeld een nieuwssite exploiteert en zijn businessmodel heeft gebouwd op advertentie-inkomsten, dan is het waarschijnlijk dat er gebruik wordt gemaakt van cookies waarvoor een toestemmingsplicht geldt. In zo’n geval is een cookie pop-up verplicht, waarbij de bezoeker wordt geïnformeerd én wordt gevraagd toestemming te verlenen voor het plaatsen van de cookies.  

Meer weten?

Eigenlijk is de privacywetgeving te lastige materie om in 1000 woorden aan u uit te leggen. Mocht u meer willen weten over de regels die op uw bedrijf van toepassing zijn, dan help ik u graag verder.

Dit artikel is tevens gepubliceerd in het MKB Deventer Magazine van november 2015