wwv2015 mark jansen van dirkzwager
TRANSCRIPT
Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Webwinkel vakdagen
21 januari 2015
Webwinkels &
privacy
Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Programma vanmiddag
Korte introductie op Wbp
Karakter Wbp
Rollen in Wbp
Bijzondere persoonsgegevens
Exportverbod
Transparantie
Kern van de cookiewet
Praktische aandachtspunten
Korte blik in de toekomst
Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Karakter Wbp
Basisprincipes
Verscherpt regime
voor bijzondere
persoonsgegevens
Procedurevoorschriften
Melding bij CBP
Exportvergunning bij Justitie
Regels over FG
•Zorgvuldigheid
•Grondslagvereiste
•Doelbinding
•Gegevenskwaliteit
•Beveiliging & bewaring
•Transparantie
Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Toepassingsbereik
Web is van toepassing op alle digitale
verwerkingen van persoonsgegevens
Dus in online omgeving
steeds relevant
Gebruik klantgegevens
voor bestellingen;
Gebruik trackers voor reclame en/of
websiteoptimalisatie;
Gebruik check credit ratings;
Etc.
= ieder werkwoord
= gegevens
herleidbaar tot
natuurlijk persoon
Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Verschillende rollen
Wbp onderscheidt twee rollen: verantwoordelijke en
bewerker
Verantwoordelijke: degene die doel en middelen
vaststelt
Bewerker: externe die in opdracht van
verantwoordelijke verwerkt
Wbp vol van toepassing op verantwoordelijke, slechts
beperkt van toepassing op bewerker.
Webwinkel =
verantwoordelijke
Bijv. webhoster
Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Uitbesteding verwerking
Verantwoordelijke die bewerker inschakelt is wettelijk
verplicht die samenwerking schriftelijk vast te leggen
(“bewerkersovereenkomst”)
In bewerkersovereenkomst minimaal vereiste elementen:
Scope / opdrachtafbakening;
Beveiliging;
Geheimhouding
Cbp gaat echter nog veel verder
Specificatie dienstverlening, verwerkte persoonsgegevens en
personen die toegang hebben tot persoonsgegevens
De betrouwbaarheidseisen die op de verwerking van
toepassing zijn.
Transparantie over de beveiliging: rapportage & audit.
Transparantie over opgetreden beveiligingsincidenten.
Afspraken over het al dan niet toestaan van verwerking door
subbewerkers, met daarbij de eventuele beperkingen.
Afspraken over welke persoonsgegevens in welke landen
worden verwerkt.
Voorwaarden voor heronderhandeling of beëindiging van de
overeenkomst.
Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Bijzondere persoonsgegevens
Extra streng regime voor gegevens betreffende
godsdienst of levensovertuiging
ras
politieke gezindheid
gezondheid
seksuele leven
lidmaatschap van een vakvereniging / vakbond
strafrechtelijke gegevens en gegevens over “straatverboden”
Verwerken verboden, tenzij uitzondering of toestemming
Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Beveiligingsverplichting
Artikel 13 Wbp: passende technische en
organisatorische maatregelen
CBP 19-02-2013: publicatie Richtsnoeren
beveiliging van persoonsgegevens
Beveiligingsbeleid conform standaarden, zoals
NEN/ISO 2700X
Incorporeren van beleid in dagelijkse praktijk
organisatie
Controleren, evalueren en waar nodig bijstellen
van bestaande werkwijze
Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Exportverbod
Gegevensverkeer naar landen buiten EER en “veilige landen”
niet toegestaan, behoudens:
Toestemming
Modelcontract
Vergunning minister
Relevant bij uitbesteding of gebruikmaking van online
diensten
Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Transparantie
Voorafgaand aan verwerking informeren over:
Identiteit
Doeleinden
Andere relevante informatie
Online vaak gedaan middels privacy statements
Zorg voor leesbaarheid en vindbaarheid
Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Privacycheck
De Dirkzwager
privacycheck
Nagenoeg volledige Wbp
in opgenomen
Alleen ja/nee vragen
Snelle toets of u voldoet aan
privacyrecht
Ook geschikt als inspiratiebron
www.dirkzwagerieit.nl/privacycheck
Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Cookiewet
Bezoeker voorafgaand aan plaatsen cookie:
toestemming vragen
informeren over doeleinden cookie
Niet vereist bij functionele cookies
Let op: CBP strenger dan ACM over wat functioneel is, met
name als derde partijen betrokken zijn
CBP bijv. erg kritisch over diensten als Google Analytics en
Comscore, zeker in standaardinstellingen
Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Indicatieve checklist (1/3)
Staat er een privacy- en cookiestatement op de website?
Is dat statement ook volledig?
Wordt voor alle niet-functionele cookies toestemming
gevraagd?
Worden die cookies pas na verkregen toestemming
geplaatst?
Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Indicatieve checklist (2/3)
Is geborgd dat gegevens niet voor een ander doel dan
genoemd in privacystatement gebruikt worden?
Is geborgd dat gegevens niet te lang worden bewaard?
Is het personeel onderworpen aan geheimhouding?
Is een melding gedaan bij het CBP?
Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Indicatieve checklist (3/3)
Is de eigen beveiliging op orde?
Ook bij de ingeschakelde bewerkers?
Zijn er bewerkersovereenkomsten met alle bewerkers?
En zijn er afspraken inzake privacy met andere partijen
waarmee samengewerkt wordt?
Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Nieuwe privacyverordening (EU)
Van nationale privacywetten in alle landen EU
naar overkoepelende privacyverordening
Door Europees Parlement aangenomen. Nu
Raad van Ministers aan zet.
Tijdens behandeling meer dan 3.500 (!) amendementen ingediend.
Voor uw onderneming relevant:
nog meer nadruk op accountability;
export-verbod lijkt te blijven bestaan;
veel meer nadruk op beveiliging, met
onder meer meldplicht datalekken;
introductie (stevige!) sancties.
Lezing Webwinkel Vakdagen d.d. 21 januari 2015
NL meldplicht datalekken & boete CBP
In Nederland brede meldplicht datalekken op komst:
Informeren CBP & betrokkene bij datalek, tenzij kleine privacy-
impact;
Bijhouden administratie van datalekken;
Maximale boete € 810.000,--
Boetebevoegdheid CBP op komst:
CBP kan nu alleen last onder dwangsom opleggen bij
overtreding beginselen Wbp;
Straks ook boetes tot € 810.000,-- na voorafgaande last
Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Contactgegevens
Mark Jansen
(026) 353 83 67
Weblog: www.dirkzwagerieit.nl
Privacycheck: www.dirkzwagerieit.nl/privacycheck
Twitter: @ieitrecht
App: www.kennisboek.nl
Nieuwsbrief: www.dirkzwager.nl/profiel
I E I T
(intellectuele eigendom & IT-
recht)
Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Advocatuur Arnhem
Postbus 3045
6802 DA Arnhem
Kantoor Velperpoort
Velperweg 1
6824 BZ Arnhem
T +31 (0)26 353 83 00
F +31 (0)26 351 07 93
Notariaat Arnhem
Postbus 111
6800 AC Arnhem
Kantoor Velperpoort
Velperweg 1
6824 BZ Arnhem
T +31 (0)26 365 55 55
F +31 (0)26 365 55 00
Advocatuur Nijmegen
Postbus 55
6500 AB Nijmegen
Kantoor Stella Maris
Van Schaeck Mathonsingel 4
6512 AN Nijmegen
T +31 (0)24 381 31 31
F +31 (0)24 322 20 74
Notariaat Nijmegen
Postbus 1104
6501 BC Nijmegen
Kantoor Stella Maris
Van Schaeck Mathonsingel 4
6512 AN Nijmegen
T +31 (0)24 381 27 27
F +31 (0)24 324 07 26