ADM Blue paper: Confrontatie tussen theorie en realiteit
Juridische aspecten van e-commerce
Inhoudsopgave Juridische aspecten van e-commerce .................................................... 3 e-Commerce .................................................................................... 4 e-Privacy........................................................................................... 5 e-Signature ....................................................................................... 6 e-Money............................................................................................ 7 e-Invoicing ........................................................................................ 8 e-Archiving ........................................................................................ 9
2
Juridische aspecten van e-commerce Geleidelijk aan benutten steeds meer organisaties de mogelijkheden van e-commerce. Het duurt echter nog een hele tijd voor zowel aan bedrijfskant als aan de kant van de klanten alles digitaal verloopt. Ook de wetgeving rond e-commerce kan de wijzigende realiteit niet altijd op de voet volgen. Soms is het voor bedrijven niet duidelijk wat de wettelijke verplichtingen en mogelijke risico‟s zijn als ze hun business willen digitaliseren. Vandaar deze samenvatting over huidige stand van zaken. De infosessie “Legal aspects van e-commerce”, op 28 september 2010, gaf een samengebald overzicht van de huidige mogelijkheden, de wettelijke richtlijnen en de mogelijke valkuilen van e-commerce. Deze sessie vormde tevens de afsluiter van een reeks van 5 sessies van de werkgroep Legal Counsel in 2009 en 2010. Daarin werden de leden van de werkgroep (juristen) over de verschillende technologische nieuwigheden geïnformeerd en discuteerden ze over juridische aspecten ervan. In dit overzicht worden voor elk van de behandelde onderwerpen de belangrijkste aandachtspunten opgesomd.
e-Commerce Presentatie door Patrick Van Eecke - DLA Piper
e-Privacy Presentatie door David Lenaerts – Deloitte
e-Signature Presentatie door Georgia Skouma – Deloitte
e-Money Presentatie door Maarten Truyens – DLA Piper
e-Invoicing Presentatie door Lieven Woets – KPMG Tax Advisers
e-Archiving Presentatie door Patrick Van Eecke - DLA Piper
De presentaties zelf zijn terug te vinden op het ADM Extranet.
3
e-Commerce Presentatie door Patrick Van Eecke - DLA Piper Rond het jaar 2000 en in de jaren daarna is er steeds meer wetgeving gekomen rond e-commerce. Op Europees niveau werden heel veel nieuwe regels opgesteld. Ook op nationaal niveau – onder meer in ons land – kwam er een parallel wettelijk kader, onder meer over de wettelijke bescherming van de persoonlijke levenssfeer, elektronische handtekeningen en het claimen van domeinnamen. Toch is het voor veel bedrijven niet duidelijk aan welke regels ze moeten voldoen om op een legale manier aan e-commerce te doen. Wat zijn je rechten en plichten bij online handel? Er zijn alvast een paar vuistregels:
Informatie op de website (zoals de contactgegevens en prijsinformatie) moet eenvoudig, direct en permanent toegankelijk zijn.
Digitale contracten moeten beschikbaar zijn in dezelfde taal als de website.
De bezoeker moet altijd een stap kunnen terugkeren bij het aangaan van een contract.
De klant moet een bevestiging van zijn bestelling krijgen.
Bij problemen ligt de bewijslast bij de e-shop, niet bij de klant.
Nieuwe wet sinds september 2010: de klant krijgt 14 dagen (i.p.v. de vroegere week) om af te zien van zijn aankoop.
Op originele en persoonlijke creaties rust copyright tot 70 jaar na het overlijden van de auteur.
Bij copyright gaat het niet alleen om afbeeldingen en teksten, maar ook om audiovisuele bestanden, muziek, sofware, multimedia, databases, etc.
Opgelet met freeware en lay-outontwerpen van websites – ook daar kunnen copyrights op rusten.
Bij het online zetten van een foto, houd je rekening met copyrights maar ook met het portretrecht van de afgebeelde personen.
Ook op bekende gebouwen of objecten kunnen copyrights gelden (bv. het Atomium, de Barcelona-stoel).
Reclameboodschappen versturen via e-mail mag alleen na expliciete toestemming van de contactpersonen.
Je mag wel reclameboodschappen versturen via e-mail naar je bestaande klanten om gelijkaardige producten en diensten aan te bieden.
Het is ook toegestaan om via e-mail commerciële boodschappen te sturen naar algemene adressen van bedrijven en organisaties (bv. een info@... adres).
De ontvangers van reclame via e-mail moeten de mogelijkheid hebben om zich uit te schrijven op de mailinglijst.
Reclame naar mobiele toestellen is nog vrij beperkt vanwege de beperkte lengte – ook bij reclame via sms moet de klant even grondig geïnformeerd worden.
Reclame via sms mag alleen na expliciete toestemming van de klanten.
4
e-Privacy Presentatie door David Lenaerts – Deloitte Een groot voordeel van e-commerce is de mogelijkheid om informatie te verzamelen over klanten en prospecten. Daarbij is het wel belangrijk om die persoonsgegevens op een legale manier te verkrijgen en te bewaren.
E-privacy is heel belangrijk voor de reputatie van je onderneming.
De Privacycommissie zal de controle op e-privacy opvoeren. Dit is in andere EU landen reeds het geval.
Het publiek is steeds meer bewust van het feit dat hun persoonlijke gegevens gebruikt kunnen worden door bedrijven.
Door aandacht te schenken aan e-privacy, geef je de consumenten meer vertrouwen.
Privacy tools kunnen het databeheer verbeteren. Daardoor stijgt de efficiëntie en verlagen de kosten.
Persoonsgegevens: alle informatie die verbonden is aan een geïdentificeerde of identificeerbare natuurlijke persoon.
Gegevens zoals raciale of etnische afkomst, politieke opvattingen, godsdienstige of levenbeschouwlijke overtuiging, het lidmaatschap van een vakvereniging, seksuele leven, gezondheid en criminele geschiedenis, worden beschouwd als gevoelige informatie en mogen in principe niet worden gebruikt in e-commerce.
Persoonsgegevens mogen alleen worden gebruikt na toestemming van de klant of voor zover ze noodzakelijk zijn om een contract na te komen – bv. om aan pakje af te leveren. Ze mogen ook niet langer worden bewaard dan noodzakelijk voor het doeleinde waarvoor ze verzameld zijn.
Persoonsgegevens mogen slechts beperkt zichtbaar zijn voor de eigen medewerkers, volgens de functie die ze hebben in de organisatie.
Voorzie voldoende maatregelen, zowel op organisatorisch als op technisch vlak (bv. door een firewall) voor het voorkomen van verlies, wijziging of misbruik van persoonsgegevens.
Tegen mei 2011 moet de nieuwe Europese ePrivacy richtlijn omgezet worden in Belgische wet wat er toe zal leiden dat de bezoeker van de website niet enkel geïnformeerd moet worden over, maar ook toestemming moet geven voor het gebruik van cookies. De praktische omzetting voor België is nog niet duidelijk.
De klant heeft het recht om zijn bijgehouden persoonsgegevens te corrigeren, te blokkeren of te verwijderen. Voorzie hiervoor een duidelijk contactpunt.
Persoonsgegevens mogen circuleren binnen de EU en met andere landen met een adequaat niveau van bescherming van persoonsgegevens zonder bijkomende voorwaarden.
Transfers naar andere landen zijn enkel mogelijk indien men bijkomende juridische beschermingsmaatregelen respecteert, zoals het afsluiten van een EU-modelcontract, US Safe Harbor, Binding Corporate Rules of andere voorwaarden voorzien in de Privacywet.
Het is belangrijk om van bij de start van e-commerce activiteiten, na te denken over e-privacy: „privacy by design‟.
Mogelijk komt er een verplichting om mensen en/of de Privacycommissie te informeren bij ongeoorloofde toegang tot of verlies van persoonsgegevens („data breach notification‟).
5
e-Signature Presentatie door Georgia Skouma – Deloitte Een elektronisch document heeft dezelfde wettelijke waarde als een papieren document wanneer je kan aantonen dat het bestand niet gewijzigd is en dat het de originele versie is. Daarbij speelt ook de digitale handtekening een belangrijke rol. Een digitale handtekening heeft legale waarde onder dezelfde voorwaarden als een handtekening op papier. Die parameters zijn het moment van ondertekening (wat bv. belangrijk is voor arbeidscontracten), de identiteit en het engagement (commitment) van de ondertekenaar. Vanwege die parameters zijn niet alle vormen van digitale handtekening even sluitend. Alleen de „Qualified Electronic Signature‟ (QES) wordt beschouwd als het equivalent van de manuele handtekening, maar dan nog kan de rechtsgeldigheid ter discussie worden gesteld. Bij de andere categorieën elektronische handtekeningen moet de equivalentie expliciet worden aangetoond met behulp van bepaalde tools zoals certificaten.
Sommige digitale handtekeningen zijn wettelijk erkend: de handtekening met een eID, een e-mail handtekening in combinatie met ander bewijs, de handtekening van een bedrijf – dus geen natuurlijke persoon (company signature), …
Stel jezelf een aantal cruciale vragen voor je als organisatie gebruik begint te maken van digitale handtekeningen:
Is er een wettelijke reden voor het implementeren van een digitale handtekening?
Is er een businessreden voor het implementeren van een digitale handtekening?
Staat de verplichte regelgeving digitaal ondertekenen toe?
Moet de digitale handtekening rekening houden met specifieke vereisten in de businesscontext?
Is het gewenste type digitale handtekening gemeengoed in de specifieke soort transacties waarvoor ze moet dienen?
Is de creatie van een digitale handtekening een onderdeel van ruimere context van handtekenen?
Kan de digitale handtekening een betere oplossing bieden dan andere vormen van authenticatie?
Hoeveel zal het kosten?
6
e-Money Presentatie door Maarten Truyens – DLA Piper Digitale business wordt in de toekomst zonder twijfel eenvoudiger. Door een meer eenduidige wetgeving, door het overschakelen van partners en klanten naar digitale communicatie, en ook door nieuwe mogelijkheden om online te betalen. Op het vlak van e-money zijn er nog heel wat opportuniteiten die e-commerce kunnen vereenvoudigen. In een klassiek scenario moet de handelaar een contract sluiten met een verwerker van betalingen zoals Ogone of Atos, en met een bankinstelling. Er zijn geen specifieke regels voor gewone kredietkaarttransacties. Wel zijn er recente regels over betaalmogelijkheden. Sinds mei 2010 is het bovendien niet langer verboden om consumenten bij een online transactie te vragen om vooraf te betalen. Het probleem is: een gewone online betaling met een kredietkaart is intrinsiek een onveilige betaalwijze. Daarom zijn er steeds meer mogelijkheden om te betalen met „digitaal geld‟ (e-money). Daarbij wordt het geld bijgehouden in een zogenaamde „digitale portemonnee‟. De gebruiker moet er uiteraard voor zorgen dat er ook werkelijk voldoende geld beschikbaar is door via een bankoverschrijving de digitale portemonnee te vullen. Zowel op Europees als op nationaal niveau, tracht men de initiatieven rond e-money te stimuleren. Dat gebeurt door minder strenge eisen op te leggen bij het oprichten van een e-money „bank‟. Daar staat tegenover dat de mogelijke activiteiten en investeringen van die initiatieven ook beperkter zijn dan die van „echte‟ banken. Totnogtoe zijn er weinig spelers in die emoney markt. Voorlopig is het enige grote Europese succesverhaal PayPal, en dat is intussen een volwaardige bank geworden. Op nationaal vlak zijn er een paar succesvolle initiatieven waaronder Proton en ChipKnip (in Nederland). Intussen zijn een paar struikelblokken weggewerkt, mede door een bredere definitie van e-money en de mogelijkheid om de businessactiviteiten uit te breiden. Toch blijven er een aantal hinderpalen, waaronder een te grote verscheidenheid in de regelgeving rond waivers in de verschillende landen. Maar in ieder geval blijft de markt rond e-money in beweging. Zo zijn er al heel wat nieuwe trends:
„App shops‟: Apple iTunes, Google Android Market, BlackBerry App World, Nokia Ovi shop, Java shop, …
Platform credits: Nintendo Wii, Sony Playstation, Microsoft xBox, Facebook Credits.
P2P-betalingen.
Betalingen via een mobiel toestel.
7
e-Invoicing Presentatie door Lieven Woets – KPMG Tax Advisers De BTW-regeling rond elektronische facturatie is recent gewijzigd. Niet alle struikelblokken zijn echter door de nieuwe wetgeving verdwenen. Mogelijke problemen en onduidelijkheden rond elektronische facturatie:
Voorlopig heeft een digitale factuur niet automatisch dezelfde rechtswaarde als een papieren factuur. De gebruikte methode van efacturatie moet nog altijd de authenticiteit en de integriteit van de factuur bewijzen.
Er zijn geen richtlijnen over hetgeen al dan niet aanvaardbaar is, zodat het zowel voor leveranciers alds klanten onduidelijk is of ze voldoen aan de wettelijke vereisten.
De ontvanger van de digitale factuur moet akkoord gaan met efacturatie. In de praktijk wordt impliciete toestemming wellicht door de belastingdienst aanvaard, bv. door het vooraf meedelen van de algemene voorwaarden aan de consument.
Bij transacties die vallen onder de BTW-regeling van een ander EUland, moeten Belgische bedrijven de regels van dat land toepassen. Dat is echter niet altijd mogelijk (op een efficiënte manier).
Specifieke verplichtingen rond de archivering van digitale facturen:
De authenticiteit en integriteit moeten gedurende de hele bewaarperiode gegarandeerd zijn.
Digitale facturen moeten ook elektronisch worden bewaard (dus niet afdrukken en in een papieren archief bewaren).
De gegevens die de authenticiteit en integriteit garanderen, moeten ook worden gearchiveerd.
De nieuwe richtlijn die vanaf 1 januari 2013 van kracht wordt, moet een aantal van bovenstaande struikelblokken wegwerken door de eisen voor digitale en papieren facturen te nivelleren. Dat zal echter niet gebeuren door minder strikte eisen te stellen aan digitale facturen, maar wel door de regels voor papieren facturen strenger te maken. Die krijgen dezelfde eisen opgelegd voor het bewijzen van de authenticiteit van de oorsprong en de integriteit van de inhoud. Bedrijven zijn wel vrij om te kiezen op welke manier ze dat doen. Ze kunnen zelf de nodige businesscontroles inbouwen om een betrouwbaar auditspoor te creëren tussen de facturatie en de levering of ontvangst van goederen of diensten.
Authenticiteit en integriteit garanderen.
De ontvanger van de digitale factuur moet nog steeds akkoord gaan met e-facturatie.
De strikte voorwaarden rond archivering blijven behouden.
8
e-Archiving Presentatie door Patrick Van Eecke - DLA Piper De wetgeving rond elektronische archivering is een weinig consistente en complexe mengelmoes van wettelijke vereisten. Bewaring op lange termijn is in ieder geval een technologische uitdaging, gezien de voortdurend wijzigende bestandsformaten en de geldigheid van elektronische handtekeningen. Een elektronisch document dat vandaag op een wettelijke manier is beveiligd of ondertekend, is dat misschien binnen vijf jaar niet meer omdat de gebruikte technologie dan niet meer waterdicht is. Met dat risico werd geen rekening gehouden in de wetgeving. Een ander probleem is het ontbreken van een homogeen Europees wettelijk kader. Daardoor is het vooral voor multinationals heel moeilijk om aan alle uiteenlopende nationale wetten tegelijk te voldoen. Cruciaal voor ondernemingen is de minimale en maximale bewaarperiode van digitale documenten. In principe moeten bestanden die persoonsgegevens bevatten (en dat kunnen ook e-mails en contracten zijn) worden verwijderd als ze niet langer noodzakelijk zijn voor het doel waarom ze oorspronkelijk werden gecreëerd. Het is echter niet altijd duidelijk wat „noodzakelijk‟ precies inhoudt. Selectief verwijderen (bv. binnen grote archieven) kan onder meer met behulp van metadata. Daarnaast zijn er nog meer elementen die e-archiving complex maken:
Storage buiten de EU is niet steeds toegestaan. Nu we steeds vaker via de Cloud werken, is dat niet altijd reëel. Wat doe je met gegevens die op servers in Singapore gestockeerd worden?
Documenten van eenzelfde type kunnen toch verschillende bewaartermijnen hebben.
De wettelijke eisen rond beveiliging zijn niet duidelijk.
De toegangsrechten tot de bewaarde informatie.
Ook wettelijke claims op basis van digitale documenten moeten binnen een bepaalde termijn worden ingediend. Die termijn is ook weer afhankelijk van het soort document. Zo kunnen werknemerscontracten worden betwist tot een jaar na het einde van de overeenkomst. Documenten voor het ondersteunen van claims in verband met onroerend goed, mogen tot 30 jaar na hun creatie worden gebruikt. Door de termijn van de mogelijkheid om claims in te dienen, is er natuurlijk een even lange termijn voor het bijhouden van de betrokken documenten. E-mails en informatie uit e-mailverkeer mogen alleen worden bewaard om een commerciële transactie of een bedrijfscommunicatie te bewijzen. Bovendien moeten de betrokken partijen worden ingelicht van het registreren, de doeleinden en de duur van de archivering. De gegevens moeten gewist worden wanneer er geen claims meer kunnen worden ingediend die verband houden met de transactie of communicatie.
9
Telecommunicatie : De gegevens uit het telefonie- gsm- en internetverkeer moeten zo snel mogelijk worden gewist. De enige uitzonderingen zijn informatie rond facturatie, de eigen direct marketing en gegevens die noodzakelijk zijn binnen fraudeonderzoeken.
Nieuwe wetgeving op komst Een nieuw wetsvoorstel rond e-archiving is al opgesteld, maar is – door de val van de Belgische regering in de zomer van 2010– bij het schrijven van deze nota‟s nog niet goedgekeurd. Wanneer het wetsvoorstel groen licht krijgt, zal iedereen vrij zijn om e-archiveringdiensten aan te bieden, wanneer dat op een veilige manier gebeurt. Wanneer bedrijven ervoor zorgen dat ze voldoen aan de regelgeving, zouden ze vervolgens digitale archiveringdiensten kunnen aanbieden aan andere organisaties.
10
Deze paper kwam tot stand dankzij de medewerking van DLA Piper, Deloitte, KPMG en de leden van de ADM werkgroep Legal Counsel Speciale dank ook aan de coördinatoren van deze werkgroep: Patrick Van Eecke, Partner DLA Piper en David Lenaerts, Sr. Consultant Deloitte .
© ADM 2010 www.adm.be
11
