IT & RECHT ICT-Recht Topic 1: Privacy

IT & RECHT ICT-Recht Topic 1: Privacy Wk 15 november 2010 Kristien Melaerts

ICT-recht Topics Wk

15/11: Privacy Intellectuele rechten Contracten Elektronische communicatie Informaticacriminaliteit ...

www …

ORLD BX

ICT-Recht: Inleiding

moeilijke

combinatie

recht

en technologie online en off line immaterieel en mondiaal snel

evoluerende wetgeving

ICT-Recht

GRIJS! wit? zwart? zwart?

ICT-Recht: Privacy Typische

vragen

Welke

gegevens over personen (klanten, werknemers) mogen opgeslagen worden? Onder welke voorwaarden?

Mogen

surfgedrag en e-mails van werknemers worden gecontroleerd of gefilterd?

Mag

surfgedrag van gebruikers van de website worden verzameld en opgeslagen?

ICT-Recht: Privacy Wettelijk

kader

EU-niveau EVRM Data

protection directive (1995)

Nationaal Wet

van 8 december 1992 tot bescherming van de persoonlijke levenssfeer tav de verwerking van persoonsgegevens (privacywet)

ICT-Recht: Privacy Privacy behoefte

aan een eigen levenssfeer voor een individu of voor een groep niet nieuw moderne samenleving: hoge

graad van privacy en grotere vrijheid nevenverschijnelen verschil

met beroepsgeheim?

ICT-Recht: Privacy

EVRM “eenieder heeft recht op de eerbiediging van zijn privéleven, zijn gezinsleven, zijn huis en zijn briefwisseling” uitzonderingen: bij wet voorzien eenieder: natuurlijke persoon of rechtspersoon persoonlijke levenssfeer: elastisch begrip verschillende betekenis: - integriteit eigen lichamelijkheid - relaties met anderen - zelfbeschikkingsrecht op info over zichzelf kan worden ingeroepen door iedere burger

Privacywet Wet van 8 december 1992 – aanpassingen van 11 december 1998

Wanneer is de wet van toepassing? verwerking van persoonsgegevens op elektronische of manuele wijze logisch gerangschikt

Privacywet verwerking elke

bewerking (of geheel van bewerkingen) mbt persoonsgegevens op geautomat. wijze (geheel/gedeeltelijk) of niet geautomatiseerd maar … niet-limitatieve opsomming in wet: verzamelen, ordenen, raadplegen, gebruiken, bijwerken, verspreiden, vernietigen, ...

Privacywet persoonsgegevens

info betreffende een identificeerbare of geïdentificeerde natuurlijke persoon tekst, beeld, geluid, ... met redelijkerwijs inzetbare middelen geen rechtspersonen

iedere

is

een IP-adres een persoonsgegeven?

Privacywet verantwoordelijke

voor de verwerking

natuurlijke

persoon, rechtspersoon of feitelijke vereniging die doel en middelen van de verwerking bepalen met behulp van aangestelden in dienst of personen van buiten de organisatie

is

niet noodzakelijk de verwerker

Privacywet

territoriaal toepassingsgebied van Belgische wet

principe ‘land van herkomst’: als de verwerking in het kader van de B activiteiten van een vaste vestiging op het Belgisch grondgebied van de verantwoordelijke gebeurt Belgische wet is van toepassing indien vaste vestiging buiten EU, en gebruik van middelen op B grondgebied (tenzij de middelen enkel dienen voor doorvoer van gegevens) cookies = middel … bvb. B bedrijf verzamelt en verwerkt gezondheidsgegevens van proefnemingen in Afrika B wet is van toepassing indien vaste vestiging binnen EU : recht van de lidstaat bvb. een Franse oing met filiaal in B verwerkt gegevens in B in het kader van activiteiten in Frankrijk Franse wet is van toepassing

Privacywet territoriaal

toepassingsgebied van Belgische wet wat

is de locatie van een internetonderneming?

is

het plaatsen van persoonsgegevens op een webpagina (server binnen EU) doorgifte naar derde landen?

ICT-Recht: Privacy - Privacywet hoe

rechtmatig verwerken? (5)

finaliteitsregel

duidelijk omschreven en gerechtvaardigd doel proportionaliteitsbeginsel: toereikend, niet overmatig, niet langer dan nodig, nauwkeurig en volledig doelmatigheidsbeginsel:

Privacywet hoe


toelaatbaarheidstoetsing ondubbelzinnige

toestemming betrokkene: vrij – specifiek – afdoende informatie wettelijke verplichting noodzakelijk voor

de uitvoering van een overeenkomst de vervulling van een taak van openbaar belang de behartiging van gerechtvaardigde belang van de verantwoordelijke voor verwerking de vrijwaring van een vitaal belang van de betrokkene

Privacywet hoe


strengere

regels voor gevoelige – medische – gerechtelijke gegevens gevoelige

gegevens:

afkomst, pol. opvattingen, levensbeschouwelijke overtuiging, seksuele leven verwerking verboden tenzij schriftelijke toestemming / …

medische gegevens:

verwerking verboden tenzij schriftelijke toestemming / onder verantwoordelijkheid van beroepsbeoefenaar in gezondheidszorg

gerechtelijke

gegevens

verwerking verboden tenzij toegelaten door wet

Privacywet hoe


vertrouwelijkheid

en beveiliging

technische

en organisatorische maatregelen, passend beveiligingsniveau onder meer: updates, correcties

Privacywet hoe


aangifte

en transparantie

aanmeldingsplicht

aan Privacy Commissie van geautomatiseerde verwerking

voorafgaand – bij einde vrijstelling bvb. boekhouding, personeelsadmin.

publiek

register

Privacycommissie

htt^p

Privacywet rechten

van de betrokkene (4)

op kennisgeving ( informatieplicht)

recht over

verantwoordelijke, doeleinden, ontvangers, recht tot toegang en verbetering van de gegevens en bestaan van recht op verzet bij direct marketing ook bij verwerking van gegevens niet afkomstig van persoon zelf uitz. verwerking opgelegd door wet

Privacybeleid IBM

http://www.ibm.com/be/nl

Privacybeleid Visitronics

http://www.visitronics.be/info/privacy.php

Privacybeleid VRT

http://www.vrt.be/vrt_master/over/vrt_pr

ivacy/index.shtml

Privacywet rechten


recht op mededeling op verzoek van betrokkene, schriftelijk, met copie identiteitskaart antwoord < 45d bij 2e verzoek: ‘redelijke termijn’ recht op correctie kosteloos verbeteren verwijderen als niet conform termijn: 1 maand

Privacywet

rechten recht


op verzet

niet

motiveren bij direct marketing in andere gevallen: zwaarwichtige en gerechtvaardigde reden nodig

Privacywet

Specifieke toepassingen verwerking

van pers.gegevens via internet

veelal

techniek van stilzwijgende toestemming richtlijnen Commissie: privacybeleid

op aparte pagina + overal verwijzing voldoende inlichtingen syst. toestemming wettelijke vertegenwoordiger kind niet vereist bescherming

gegevens

gegevensopslag gegevensuitwisseling

Privacywet

Specifieke toepassingen

cookies = tekstbestand … internetgebruiker

wordt geacht geïnformeerd toe te stemmen in de gegevensverwerking adhv cookies =

pragmatische werkwijze, aanvaardbaar voor Commissie

Vacature.com

http://www.vacature.com/art1722

Google.com

http://itprofessional.be/news.cfm?id=

69237

Nieuwe technologie - RFID Radio

Frequency Identification Tags

containers,

shipping

ook

andere omgevingen (vb. Baja)

“the

walking cookie”: waakzaamheid

tag

– individueel monitoring verborgen applicaties

Nieuwe technologie - RFID

http://itprofessional.be/views.cfm?i

d=62862&p=1 http://www.rfidconsultation.eu/

Privacy op Facebook?

http://www.privacycommission.be/

nl/new/topic/Europeseovereenkomst-socialenetwerken.html

ICT-Recht Topic 2: Controle van internet en e-mailgebuik van werknemers Wk 15 november 2010 Kristien Melaerts

Bewuste controle … http://www.vacature.com/scri pts/Artzoaker/displayarticle.asp?ID=10424&startP os=1

Toevallig opgemerkt…

http://www.youtube.com/watc h?v=vfX0yHTztNg

Controle van internet- en e-mailgebruik Wettelijk

kader

Unieke

wetgeving in België: CAO 81 van 26 april 2002 tot bescherming van de werknemers ten opzichte van de controle op de elektronische online communicatiegegevens “algemeen

Raakvlak

verbindend” (niet voor overheid)

met privacy-wetgeving

Controle van internet- en e-mailgebruik

Regel 1 werkgever bepaalt in principe wat mag (en wat niet mag) voorbeelden

...

begrenzing

recht werkgever door “billijkheid”

Controle van internet- en e-mailgebruik Regel 2 werkgever mag het internet- en e-mailgedrag van de werknemers controleren, mits: informatieplicht collectieve

informatie via OR, vakbondsafvaardiging, ... individuele informatie (pop up als controleprogramma) inhoud van de informatie (welke software, welke doelstelling, rechten/plichten WN, wat mag -niet-, straffen)

Controleren toegestaan op 4 types van gedragingen 1.

voorkomen van lasterlijke of ongeoorloofde feiten feiten strijdig met goede zeden schadelijk voor de waardigheid van een andere persoon

2.

beschermen van de eco-, handels-, financiële belangen van de onderneming die vertrouwelijk zijn, en het tegengaan van praktijken die hiermee in strijd zijn

Controleren toegestaan op 4 types van gedragingen 3.

beschermen van de veiligheid/goede technische werking van IT-netwerksystemen van de onderneming

4.

ter goeder trouw naleven van de in de onderneming geldende beginselen en regels voor het gebruik van online technologieën (Acceptable Use Policy) => ‘oplossing op maat’

Hoe controleren?

professionele vs. privé-communicatie

communicatiegegevens vs. inhoud

directe vs. indirecte individualisatie

Acceptable Use Policy controle (indirecte ind.)

Voor gedragingen 1, 2 en 3: directe individualisatie

eerst controle op basis van niet-geïndividualiseerde data

bij onregelmatigheid: directe individualisatie is onmiddellijk toegelaten

Voor AUP: indirecte individualisatie

controle op basis van anonieme gegevens

bij onregelmatigheid: eerste waarschuwing

bij herhaling van onregelmatigheden: individualisatie toegelaten

evaluatie/sanctie nà persoonlijk gesprek

ICT-Recht: Controle van internet- en e-mailgebruik Nuttige informatie Belgian

Telecommnications Users Group: www.beltug.be Beltug

Paper, Aanbevelingen bij een Corporate Policy over het gebruik van de communicatiemidelen van de werkgever, versie 2, december 2005

ICT in de beroepsomgeving ICT-Recht Topic 3: Gedragscode voor informatiebeheerders Wk 15 november 2010 Kristien Melaerts

Waarom een gedragscode? Rol

van de IT-professional

Professioneel Nood

gedrag

aan duidelijkheid

Bescherming van werkgever,

IT-professional =? iedereen

die op een professionele wijze te maken heeft met informatie System

Admin IT consultant Helpdesk assistent ...

(Juridische) waarde =? deel

laten uitmaken van de arbeidsovereenkomst

er

sancties aan verbinden

voorbeeld

gedragscode (ADM):

zie volgende slides

Gedragscode voor de IT-professional De “10 geboden” 1.

Ik stel mij objectief en onpartijdig op in de uitvoering van mijn functie.

2.

Ik streef ernaar persoonlijke belangenconflicten te vermijden in de uitvoering van mijn functie.

3.

Ik streef ernaar in de best mogelijke verstandhouding samen te werken met iedereen binnen de onderneming.


Ik zal mijn vaardigheden steeds op gepaste wijze ten dienste stellen van de onderneming en de gebruikers van de ICT systemen.

5.

Ik gebruik mijn toegangsbevoegdheid tot het computersysteem of -netwerk uitsluitend om de integriteit ervan te verzekeren.


Ik respecteer de regels van de privacywetgeving, met bijzondere aandacht voor gevoelige gegevens.

7.

Ik zorg voor de beveiliging en bescherming van belangrijke en vertrouwelijke gegevens tegen risico's zoals vernietiging en verlies.


Bij de controle van elektronische on-linecommunicatie leef ik steeds de wettelijke procedures na.

9.

Ik informeer de gebruikers over het goed gebruik van informaticamiddelen binnen de onderneming en zie toe op de naleving ervan.

10.

Ik houd steeds een geactualiseerde documentatie bij over de netwerkinfrastructuur, systemen en toepassingen.

Gedragscode voor de IT-professional

Nuttige informatie Antwerp

Digital Mainport: http://www.adm.be ADM

Gedragscode van de Informatiebeheerder (6p.) ADM Certificaat met de 10 basisprincipes

IT & RECHT ICT-Recht Topic 1: Privacy

Recommend Documents