privacy TipS EN TricKS voor DE ONDErNEMiNGSpraKTiJK 2013 in-house counsel practical GuiDE

privacy TIPS EN TRICKS VOOR DE ONDERNEMINGSPRAKTIJK 2013

in-house counsel practical guide

3

privacy: tips en tricks voor de ondernemingspraktijk

4


Inhoud 7 Voorwoord 9 Keypoints 10 De concept-Privacyverordening: zware verplichtingen, hoge boetes 22 Datalekken: de meldplicht komt eraan 32 De klokkenluidersregeling en privacy 42 Document retention: dataopslag en bewaartermijnen 50 Cookies en toestemming 60 Privacy in de cloud: er zit onweer in de lucht 70 e-Discovery en privacy: het eeuwige dilemma? 82 Bijlage 85 Privacy team 87 Houthoff Buruma vestigingen

5


6


voorwoord Uit een recent onderzoek1 onder Nederlandse bedrijfsjuristen blijkt dat privacy, de bescherming van persoonsgegevens, een van de zes thema’s is die hoog op de agenda van de General Counsel staan. Die constatering staat in duidelijk contrast met de eerdere houding van het bedrijfsleven tegenover privacy sinds de invoering van de Wet persoonsregistratie in 1989 en de Wet bescherming persoonsgegevens in 2001. Tot voor kort benadrukten de meeste Nederlandse ondernemingen vooral de administratieve lasten die de implementatie van privacyregelgeving met zich meebracht. Het privacybewustzijn is met name in een stroomversnelling gekomen door het op 25 januari 2012 door de Europese Commissie gepubliceerde voorstel voor een privacyverordening. Hoewel het nog enkele jaren kan duren voor deze verordening van kracht wordt – terwijl de inhoud nog uitgebreid ter discussie staat – werpen de torenhoge boetes op overtreding (tot 2% van de wereldwijde omzet van een onderneming) hun lange schaduw vooruit. In deze uitgave wordt in korte hoofdstukken aandacht geschonken aan zes actuele thema’s die met privacy te maken hebben: de nieuwe EU verordening, datalekken, klokkenluiderregelingen, cookies, bewaren van documenten en gegevens, e-Discovery en de cloud. Een aantal Nederlandse ondernemingen heeft met een of meer van deze onderwerpen te maken, sommige zelfs dagelijks. Als de EU verordening van kracht is zal het hele Nederlandse bedrijfsleven werk moeten maken van bescherming van persoonsgegevens. Privacyrisico’s moeten worden geanalyseerd en vastgelegd. Er moeten adequate beveiligingsmaatregelen, procedures en protocollen zijn ter bescherming van persoonsgegevens. De verwerking van persoonsgegevens moet zoveel mogelijk bij de bron worden beperkt. Datalekken moeten onmiddellijk worden gemeld. Veel ondernemingen moeten een functionaris aanstellen die moet toezien op naleving van de privacyregels. En op overtreding van elk van deze regels staat een hoge boete. Het is dan ook niet voor niets dat privacy de komende jaren hoog op de agenda van de Nederlandse General Counsel staat. Thomas de Weerd en Wolter Wefers Bettink, partners Houthoff Buruma, maart 2013

Dit boekje verscheen eveneens als nummer 1 in de NGB reeks ‘Tips & Tricks voor de praktijk van de bedrijfsjurist’.

Bedrijfsjuristenmonitor 2012, Houthoff Buruma, Amsterdam. Zie http://www.bedrijfsjuristenmonitor.nl/.

1

7


8


keypoints

De nieuwe Privacy verordening verzwaart de lasten van het bedrijfsleven aanzienlijk.

Iedere onderneming moet een roadmap hebben hoe om te gaan met datalekken en het melden daarvan. Een klokkenluidersregeling moet voldoen aan strenge eisen ter waarborging van de privacy van betrokkenen.

Een document retentie beleid bespaart kosten en beschermt tegen claims.

Opslaan van gegevens in de cloud maakt het moeilijk om aan de nieuwe Privacyverordening te voldoen.

9

Voldoen aan de cookie regels begint met bekijken welke cookies noodzakelijk zijn.


De concept-Privacyverordening: zware verplichtingen, hoge boetes Inleiding Jarenlang heeft de zorg voor privacy – de bescherming van persoonsgegevens – niet veel aandacht gekregen binnen de meeste Nederlandse ondernemingen. De uit 1989 stammende Wet persoonsregistraties heeft overwegend een sluimerend bestaan geleid. Weliswaar werd deze in 2001 vervangen door de Wet bescherming persoonsgegevens (Wbp),1 die de uit 1995 stammende Privacyrichtlijn2 implementeert, maar privacy leek ook in de jaren daarna een onderwerp waar vooral

In het bedrijfsleven werd de Wbp vaak geschaard onder de administratieve lasten.

overheidsinstellingen, het College Bescherming Persoonsgegevens (CBP) en een handvol gespecialiseerde juristen zich mee bezighielden. In het bedrijfsleven werd de Wbp vaak geschaard onder de administratieve lasten, waarvan het mkb in Nederland er al zoveel heeft. De oorzaak van deze houding ten opzichte van privacy lag primair in de abstracte normen van de regelgeving die moeilijk concreet uit te voeren waren. Het vrijwel ontbreken van sancties en een chronische onderbezetting bij het CBP zorgde voorts voor een sporadische, op uitwassen gerichte handhaving. In die houding van het bedrijfsleven is verandering gekomen toen met de Code Tabaksblat3 compliance onderdeel werd van het DNA van in Nederland werkzame ondernemingen. Voldoen aan de privacywetgeving werd onderdeel van de compliance scorecard. In diezelfde periode groeide, parallel aan de toename van het commerciëel gebruik van het internet, de hoeveelheid gegevens die voor commerciële doeleinden wordt verzameld exponentieel. Ondernemingen als Google en Facebook gingen voorop in het samenstellen en uitbaten van profielen van gebruikers. Dat gebeurde met behulp van cookies, kleine tekstbestanden die worden geplaatst op de computer van een websitebezoeker, doorgaans zonder dat deze zich daarvan bewust was. Om het gebruik van cookies aan banden te

Wet bescherming persoonsgegevens, Stb. 2000, 302.

1

Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de

2

bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Pb EG Nr. L 281 van 23/11/1995 blz. 0031 – 0050. De Nederlandse Corporate Governance Code - beginselen van deugdelijk ondernemingsbestuur en

3

best-practicebepalingen, Commissie Corporate Governance 9 december 2003. Te vinden op http://www. rijksoverheid.nl/documenten-en-publicaties/richtlijnen/2003/12/09/code-tabaksblat.html.

10


leggen stelde de Europese wetgever in 2009 de e-Privacyrichtlijn4 vast, waardoor voortaan de toestemming van de gebruiker is vereist voor het plaatsen van een cookie. Gekoppeld aan een boetebepaling die toezichthouder OPTA de mogelijkheid geeft een boete van maximaal EUR 450.000 op te leggen heeft dit in relatief korte tijd geleid tot een cultuuromslag. Anno 2013 bevatten de meeste websites van Nederlandse ondernemingen uitgebreide informatie over de gebruikte cookies en wordt voor het plaatsen daarvan doorgaans (impliciet) toestemming gevraagd. Het privacybewustzijn is in een stroomversnelling gekomen door het op 25 januari 2012 door de Europese Commissie gepubliceerde voorstel voor een privacyverordening.5 In dit boekje wordt deze ook wel aangeduid als de concept Verordening. Hoewel dit instrument in bepaalde opzichten de lasten voor het bedrijfsleven in de Europese Unie zal verlichten – een onderneming hoeft in de toekomst maar aan één uniform regime te voldoen in plaats van de privacywetgeving van 27 verschillende lidstaten – valt toch vooral op dat de regels voor de verwerking van persoonsgegevens op veel punten zijn aangescherpt en dat op overtreding daarvan zeer hoge boetes zijn gesteld, tot 2% van de wereldwijde jaaromzet van de overtredende onderneming. Het zal nog enkele jaren duren voordat de concept Verordening in werking treedt. Uit het rapport dat over de concept Verordening is uitgebracht aan het Europees Parlement6 (naar haar samensteller het Albrechtrapport genoemd) blijkt dat deze instelling zo

Het privacybewustzijn is in een stroomversnelling gekomen door het voorstel voor een privacyverordening.

Richtlijn 2009/136/EG van het Europese Parlement en de Raad van 25 november 2009 tot wijziging

4

van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische communicatie-netwerken en -diensten, Richtlĳn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlĳke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming, Pb EU Nr. L337/11 van 18/12/2009. Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van

5

natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), 25/01/2012, COM(2012) 11 final. Te vinden op http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_nl.pdf. Draft report on the proposal for a regulation of the European Parliament and of the Council on the

6

protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)). Te vinden op http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387en.pdf.

11


mogelijk nog strengere regels wil stellen aan verwerking van persoonsgegevens in de Europese Unie. Bij de behandeling in een aantal commissies van het Parlement bleek echter dat een meerderheid van de lidstaten een aantal verplichtingen van de Verordening wil afzwakken om met name het MKB te ontlasten.. Naar verwachting wordt in juni 2013 in het Europese Parlement over de tekst van de concept Verordening gestemd. Privacy staat dan ook hoog op de agenda van de Nederlandse General Counsel voor de komende jaren.

Reikwijdte van de concept Verordening De reikwijdte van de concept Verordening is ten opzichte van de Privacyrichtlijn uitgebreid. De concept Verordening is ook van toepassing op het verwerken van persoonsgegevens van betrokkenen die woonachtig zijn in een lidstaat door een Toestemming kan niet worden verantwoordelijke of bewerker die niet in de Europese Unie is gevestigd, gebruikt als grondslag in arbeidsindien de verwerking plaatsvindt verhoudingen, gezien de ongelijke in het kader van een transactie of om een gebruikersprofiel te kunnen positie van werknemer en werkgever. maken (het zogenaamde ‘profilering’). Rechtsgrondslag Evenals onder de Privacyrichtlijn dient een verwerking van persoonsgegevens een rechtmatige grondslag te hebben. Een daarvan is de toestemming van de betrokkene (onderdeel a). De definitie van toestemming in artikel 4 lid 1 van de concept Verordening maakt duidelijk dat deze steeds uitdrukkelijk moet zijn gegeven. Dat kan door een verklaring of een ondubbelzinnige handeling.7 Een optout is niet langer een rechtmatige grondslag voor verwerking van persoonsgegevens. Toestemming kan geen rechtmatige grondslag voor verwerking bieden wanneer er een ‘aanzienlijke onevenwichtigheid’ bestaat tussen de positie van de betrokkenen en de verantwoordelijke.8 Daarmee staat vast dat toestemming niet kan worden gebruikt als grondslag in arbeidsverhoudingen, gezien de ongelijke positie van werknemer en werkgever.9 In artikel 6 lid 1 onderdeel f is de in Nederland gebruikelijke rechtsgrondslag dat de verwerking noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de verantwoordelijke, dat zwaarder weegt dan de bescherming van de grondrechten en fundamentele vrijheden (lees: de privacy van de betrokkenen) gehandhaafd. 7

Overweging 25.

8

Artikel 7 lid 4 concept Verordening.

9

Overweging 34. Overigens was dat ook al de heersende mening, zie Artikel 29 Werkgroep, Opinion 15/2011 on the definition of consent, vastgesteld op 13 juli 2011 (WP 187), te vinden op http://ec.europa.eu/justice/ policies/privacy/docs/wpdocs/2011/wp187_en.pdf

12


Nieuw is een speciale bepaling voor de verwerking van persoonsgegevens van kinderen (artikel 8) die voor een kind jonger dan 13 jaar de toestemming van de ouder of voogd vereist. De verantwoordelijke moet zo goed mogelijk verifiëren of die toestemming rechtmatig is gegeven. Artikel 20 beperkt het verzamelen en verder verwerken van persoonsgegevens ten behoeve van profilering en de daarop gebaseerde marketing.10 Dit onderwerp wordt nader behandeld in het hoofdstuk Cookies en Toestemming. Overigens valt onder deze bepaling ook verwerking van persoonsgegevens ten behoeve van beoordelingsgesprekken en andere HR- doeleinden. De grondslag daarvoor is in dat geval gelegen in de uitvoering van de

Er staan hoge boetes op overtreding van vaag geformuleerde verplichtingen.

arbeidsovereenkomst.

Algemene verplichtingen De concept Verordening bevat enkele algemeen geformuleerde verplichtingen voor de verantwoordelijke, waarvan overtreding met een hoge boete wordt bedreigd. Een voorbeeld is artikel 11 dat de verantwoordelijke verplicht om een privacybeleid te voeren dat ‘transparant en eenvoudig toegankelijk’ is. Informatie en mededelingen moeten ‘in begrijpelijke vorm worden verstrekt’, waarbij ‘duidelijke en eenvoudige, aan de betrokkene aangepaste taal wordt gebruikt’. Een algemene plicht om de verwerking van persoonsgegevens te beperken vloeit voort uit artikel 5 onder (c), dat vereist dat persoonsgegevens alleen worden verwerkt als doeleinden niet kunnen worden verwezenlijkt door verwerking van andere (bijvoorbeeld geanonimiseerde) gegevens. Het feit dat op overtreding van dergelijke vaag geformuleerde verplichtingen een hoge boete staat is niet in overeenstemming met het beginsel dat het strafbaar stellen van overtredingen alleen dan gerechtvaardigd is wanneer de overtreden norm voldoende duidelijk is geformuleerd.11 Privacy by design en by default Ook artikel 23, dat ziet op ‘privacy by design and by default’, is nogal open geformuleerd en biedt ondernemingen daarmee weinig houvast voor een concrete invulling van hun Onder profilering wordt verstaan ‘het geautomatiseerd verwerken van persoonsgegevens met als

10

doel aspecten van de persoonlijkheid van een betrokkene te evalueren of om zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid en gedrag te analyseren of te voorspellen’. 11

Zie artikel 7, 1e lid, van het Europees Verdrag tot Bescherming van de Rechten van de Mens en de Fundamentele Vrijheden (EVRM) en artikel 49, 1e lid, van het Handvest voor de Grondrechten. Zie ook de brief van 11 december 2012 van staatssecretaris Teeven, te vinden op http://www.eerstekamer.nl/eu/ behandeling/20121211/brief_vande_staatssecretaris_van/document3/f=/vj5dlxksri7s.pdf.

13


verplichtingen. Deze bepaling verplicht de verantwoordelijke, kort gezegd, om bij de aanschaf en het laten ontwikkelen van software, de inrichting van databases en, meer algemeen, de inrichting van een IT-systeem maatregelen te nemen om te zorgen dat de hoeveelheid verwerkte gegevens en de bewaartermijn daarvan zijn afgestemd op het doel waarvoor zij worden verzameld en dat de gegevens niet aan een onbeperkt aantal personen ter beschikking worden gesteld. Die maatregelen moeten voldoen aan de stand van de techniek van het moment van implementatie.

Informatieplicht Artikel 14, dat ziet op Veel privacy policies van ondernemingen informatieverstrekking aan de betrokkene, bevat een zeer zullen aan de uitgebreide informatiegedetailleerde uitwerking van de informatie die aan de betrokkene plicht moeten worden aangepast. moet worden verstrekt over de verwerking van zijn persoonsgegevens. Nieuw is dat de betrokkene duidelijke informatie moet worden verstrekt over zijn rechten, zoals het recht op inzage, correctie en verwijdering van persoonsgegevens.12 Ook moet specifiek worden vermeld of profilering wordt toegepast en of de intentie bestaat gegevens door te geven naar derde landen (zie hierna). Veel privacy policies van ondernemingen zullen aan deze uitgebreide informatieplicht moeten worden aangepast.

Right to be forgotten Een nieuw ‘right to be forgotten’ wordt geïntroduceerd door artikel 17. Dit houdt in dat de verantwoordelijke onder omstandigheden moet zorgen dat persoonsgegevens worden gewist en verdere verspreiding achterwege blijft. Dat is onder meer het geval als de betrokkene zijn toestemming intrekt, bezwaar maakt tegen de verwerking, of als de verwerking ‘op andere gronden’ niet voldoet aan de verordening. Dit laatste impliceert dat een onderneming in dat geval uit eigen beweging de gegevens moet wissen. Worden de gegevens op verzoek van de betrokkene verwijderd en zijn zij door of met toestemming van de verantwoordelijke openbaargemaakt dan moet deze alle redelijke maatregelen nemen om derden die de gegevens verwerken van de intrekking van de toestemming door de betrokkene op de hoogte te stellen. Verwerking van persoonsgegevens voor de uitoefening van het recht op vrijheid van meningsuiting is uitgezonderd van de verplichting gegevens te verwijderen.13 Daarmee worden Artikel 12 concept Verordening.

12 13

Artikel 17 lid 3 zondert van deze verplichting onder meer ook uit verwerking om redenen van algemeen belang op het gebied van de volksgezondheid (lid 3 sub b), voor historische, statistische of wetenschappelijke doeleinden (en lid 3 sub c) of wanneer gegevens nog moeten worden bewaard ten behoeve van bewijsvoering (lid 4 sub b).

14


de media in het algemeen gevrijwaard van de verplichting gegevens over personen op hun verzoek te verwijderen.

Privacybeleid Artikel 22 verplicht de verantwoordelijke een privacybeleid te voeren. Daaronder valt onder meer de verplichting documentatie inzake alle verwerkingen die onder zijn verantwoordelijkheid hebben plaatsgevonden te bewaren (artikel 28), passende technische en organisatorische maatregelen te nemen ter beveiliging van persoonsgegevens (artikel 30), in bepaalde gevallen vooraf een privacyeffectbeoordeling uit De bewerker kan bij overtreding van diens te voeren (artikel 33, zie hierna) verplichtingen worden gestraft met dezelfen een gegevensfunctionaris aan te wijzen (artikel 35). Op de hoge boetes als de verantwoordelijke. grond van artikel 33 moeten ondernemingen een zogenaamde privacy impact assessment) doen, wanneer verwerkingen gezien hun aard, reikwijdte of doeleinden bijzondere risico’s inhouden voor de rechten en vrijheden van betrokkenen. Dat is met name het geval wanneer profilering plaatsvindt, bij verwerking van gegevens in de gezondheidszorg die betrekking hebben op het seksuele leven de gezondheid, het ras of de etnische afkomst, videobewaking van openbaar toegankelijke ruimtes en de verwerking in grote bestanden van persoonsgegevens inzake kinderen en van genetische of biometrische gegevens. Functionaris voor de gegevensbescherming De aanstelling van een functionaris voor de gegevensbescherming, hetgeen in Nederland op dit moment vrijwel alleen voorkomt bij de overheid, wordt verplicht voor ondernemingen met meer dan 250 werknemers.14 Deze functionaris moet onder meer toezien op de uitvoering en toepassing van het privacybeleid van de onderneming en van verschillende bepalingen van de verordening, zoals het beperken van gegevensverwerkingen door toepassing van privacy by design en privacy by default, het beveiligen van gegevens en het voldoen aan het verzoek van betrokkenen om informatie in het kader van de uitoefening van hun recht op grond van de verordening. Ook bij melding van datalekken heeft de functionaris een belangrijke rol.

Verplichtingen bewerker Op grond van artikel 26 wordt een aantal verplichtingen gelegd op de bewerker, waaronder het nemen van adequate beveiligingsmaatregelen, het handelen binnen het kader van de 14

En kleinere ondernemingen, indien deze verwerkingen doet die vanwege hun aard, omvang of doel regelmatige en stelselmatige observatie van betrokkene vereisen. Dit laatste geldt bijvoorbeeld voor headhunters.

15


instructies van de verantwoordelijke en het opleggen van een geheimhoudingsplicht aan zijn personeel. Onder de huidige wetgeving moeten deze verplichtingen van de bewerker worden neergelegd in een bewerkerovereenkomst en is naleving dus met name een privaatrechtelijke aangelegenheid. Onder de concept Verordening kan de bewerker bij overtreding van diens verplichtingen worden gestraft met dezelfde hoge boetes als aan de verantwoordelijke kunnen worden opgelegd.

Meldplicht datalekken De concept Verordening voert een Voor doorgifte naar derde landen meldplicht in voor datalekken, die wordt zal steeds een overeenkomst uitgewerkt in artikelen 30 tot en met 32. Uitgangspunt is dat ieder datalek zo moeten worden gesloten die spoedig mogelijk wordt gemeld aan de toezichthouder (het CBP) en, als negatieve voldoet aan de modelbepalingen. gevolgen voor de bescherming van de persoonsgegevens of de privacy van de betrokkenen waarschijnlijk zijn, eveneens aan de betrokkenen. Dit wordt nader behandeld in het hoofdstuk Datalekken. Overdracht gegevens naar derde landen Een ander aandachtspunt is de overdracht van gegevens naar landen buiten de Europese Economische Ruimte, waarvoor de Europese Commissie niet een verklaring heeft afgegeven dat zij een passend beschermingsniveau waarborgen.15 Onder de Privacyrichtlijn zijn dergelijke verklaringen al afgegeven voor een aantal landen.16 Doorgifte is ook mogelijk op grond van binding corporate rules (BCR).17 Een belangrijke verbetering ten opzichte van de Privacyrichtlijn is dat BCR niet ook kunnen worden gebruikt in de relatie met bewerkers.Dit zijn bindende voorschriften die gelden voor alle leden van de groep van ondernemingen waartoe de verantwoordelijke of de bewerker behoort. Goedkeuring van een toezichthouder van één lidstaat is voldoende om de BCR te laten gelden in alle lidstaten. Overdracht naar derde landen is overigens alleen toegestaan op de gronden die zijn opgenomen in artikel 44. Naast toestemming van de betrokkene en doorgifte die noodzakelijk is ter uitvoering van een overeenkomst tussen de betrokkene en de verantwoordelijke is doorgifte onder meer toegestaan als deze noodzakelijk is voor de vaststelling, de uitoefening of de verdediging Op grond van artikel 41 kunnen dergelijke verklaringen door de Europese Commissie worden afgegeven.

15

16

Andorra, Argentinië, Australië, Canada, Zwitserland, Israël, Faeröer eilanden, Guernsey en Isle of Man (stand per 01/02/2013).

Artikel 43 concept Verordening. Dit zijn bindende voorschriften die gelden voor alle leden van de groep

17

van ondernemingen waartoe de verantwoordelijke of de bewerker behoort, waarin de belangrijkste verplichtingen onder de concept Verordening zijn neergelegd.

16


van een recht in rechte of voor de gerechtvaardigde belangen van de verantwoordelijke of de bewerker, mits de overdracht niet als frequent of massaal kan worden beschouwd. Daarbij moeten zo nodig passende garanties worden geboden voor de bescherming van persoonsgegevens, mede gezien de aard daarvan, het doel en de duur van de verwerking. Deze garanties moeten worden gedocumenteerd. Voor de doorgifte zal in deze gevallen van artikel 44 steeds een overeenkomst moeten worden gesloten met de ontvanger van de persoonsgegevens, die voldoet aan de modelbepalingen die de Commissie op grond van artikel 42 vaststelt. Een voordeel voor ondernemingen ten opzichte van de huidige regeling van doorgifte onder de Privacyrichtlijn is dat niet langer

De maximale boete bedraagt 2% van de jaarlijkse wereldwijde omzet.

de voorafgaande goedkeuring van de toezichthouder kan worden vereist. Overigens is dit vergunningvereiste in Nederland onlangs afgeschaft voor gevallen waarin tussen verantwoordelijke en ontvanger een modelcontract is gesloten.18

Concentratie toezicht Een belangrijke verbetering voor ondernemingen die in meerdere lidstaten zijn gevestigd is dat de handhaving van de concept Verordening wordt opgedragen aan de toezichthouder van de lidstaat waar de onderneming zijn hoofdvestiging heeft. Dit is de plaats waar zich zijn centrale administratie in de Europese Unie bevindt.19 Deze ‘hoofdtoezichthouder’ moet samenwerken met de toezichthouders in de andere lidstaaten waar de onderneming werkzaam is. Wellicht dat de huidige praktijk met BCR, waarin één toezichthouder de regels toetst en goedkeurt en twee andere toezichthouders commentaar kunnen leveren, hierbij een voorbeeld voor praktische uitvoering van deze bepaling.

Beperkingen en uitzonderingen De reikwijdte van een aantal bepalingen, zoals de plicht betrokkenen over verwerking van hun gegevens te informeren, het recht om gegevens te laten wissen en de beperkingen ten aanzien van profilering kunnen op basis van de in artikel 21 genoemde gronden worden beperkt door nationale of EU-wetgeving, voor zover dat in een democratische samenleving een noodzakelijke en evenredige maatregel is. Daaronder valt onder meer dat een dergelijke beperking nodig is ter bescherming van de betrokkene of van de rechten en vrijheden van anderen. Deze grond is nu opgenomen in artikel 43 Wbp en vormt onder meer de grondslag voor beperking van de verplichting om de betrokkene informatie te verstrekken over verwerking 18

Aan artikel 77, eerste lid, Wbp is daartoe een onderdeel g. toegevoegd. Wet van 26 januari 2012, Stb. 2012, 33, onderdeel K.

Overweging 27.

19

17


van zijn persoonsgegevens maar ook voor het opschorten van de informatieplicht in geval van verwerking van persoonsgegevens ten behoeve van een overheidsonderzoek of in het kader van een discoveryprocedure (zie hierover het hoofdstuk e-Discovery).

Boetes Zoals aangegeven krijgen het CBP en zijn Europese collega’s ter verbetering van de handhaving van de privacyregels de mogelijkheid hoge boetes op te leggen bij overtreding van de verordening. De maximale boete bedraagt 2% van de jaarlijkse wereldwijde omzet (artikel 79 lid 6 van de concept Verordening). Die boete kan worden opgelegd voor overtredingen, zoals: • niet voldoen aan verzoeken van betrokkenen om informatie, correctie of afscherming van hun gegevens (artikel 19); • het niet documenteren van de verwerkingen van persoonsgegevens binnen de onderneming (artikel 28);

Het Albrecht-rapport wil de regels voor verwerking van persoonsgegevens in de Europese Unie nog verder aanscherpen. • verwerking van gezondheidgegevens en andere gevoelige gegevens zonder de vereiste ondubbelzinnige toestemming van de betrokkene (artikel 9); • ontbreken van adequate beveiligingsmaatregelen om datalekken, ongeautoriseerde toegang tot en vernietiging van data te voorkomen (artikel 30); • niet tijdig of volledig melden van datalekken, zoals verlies van een USB-stick of de hack van een website (artikel 31 en 32); en • niet verrichten van privacyeffectrapportages van verwerkingen die bijzondere privacyrisico’s meebrengen, zoals gezondheidsgegevens (artikel 34).

Het Albrecht-rapport Op 10 januari 2013 heeft rapporteur Albrecht namens de LIBE commissie20 van het Europees Parlement, die bij dit onderwerp de leiding heeft, een rapport uitgebracht dat, zoals in de inleiding is aangegeven, de regels voor verwerking van persoonsgegevens in de Europese Unie nog verder wil aanscherpen.21 Het rapport telt ruim 200 pagina’s, zodat in het kader van deze uitgave alleen aandacht kan worden gegeven aan enkele bepalingen die ingrijpende gevolgen kunnen hebben voor in Nederland gevestigde ondernemingen.

20

De Commissie Burgerlijke vrijheden, justitie en binnenlandse zaken.

Voor de vindplaats van het rapport zie noot 6.

21

18


Een belangrijke voorgestelde wijziging betreft de grondslagen voor verwerking van persoonsgegevens.22 De in Nederland doorgaans gebruikte rechtvaardigingsgrond dat verwerking noodzakelijk is voor de gerechtvaardigde belangen van de verantwoordelijke, die zwaarder wegen dan het privacybelang van de betrokkene, wordt alleen nog toegestaan in specifiek genoemde omstandigheden en alleen wanneer geen van de andere rechtvaardigingsgronden (zoals toestemming) kan worden gebruikt. Bovendien moet de verantwoordelijke de betrokkene

Overdracht van gegevens naar een derde land in het kader van e-Discovery wordt in de voorstellen in het Albrecht-rapport aan strenge voorwaarden onderworpen.

informeren over de redenen waarom het gerechtvaardigd belang van de verantwoordelijke zwaarder weegt dan de bescherming van de privacy van de betrokkene. Die mededeling is ook opgenomen in het voorstel voor aanpassing van de informatieverplichtingen van artikel 14, die verder zijn uitgebreid met informatie over de maatregelen die bij doorgifte zijn genomen en over ‘rights and mechanisms’ om bezwaar te maken tegen verwerking van persoonsgegevens of deze te vermijden. Ook wordt voorgesteld een verplichting in te voeren om de betrokkene op de hoogte te stellen in geval van mededeling van zijn persoonsgegevens aan een overheidsorgaan op diens verzoek. Ten aanzien van profilering stelt het Albrecht-rapport voor om dit alleen toe te staan met toestemming van de betrokkene of op basis van een wettelijke regeling.23 Profiling dient verder te worden beperkt door daarvan uit te sluiten het verwerken van bijzondere gegevens en gegevens die het mogelijk maken om kinderen te identificeren of te individualiseren.24 Een belangrijke voorgestelde wijziging is ook dat ondernemingen die persoonsgegevens verwerken die betrekking hebben op meer dan 500 betrokkenen een functionaris van de gegevensbescherming moeten aanstellen, ook als zij minder dan 250 werknemers hebben.25 Overdracht van gegevens naar een derde land in het kader van e-Discovery wordt in de voorstellen in het Albrecht-rapport aan strenge voorwaarden onderworpen door een nieuw

Artikel 6 conceptverordening.

22 23 24

Amendement 158, pagina 102 van het Albrecht-rapport.

Amendement 162 en 164, pagina 104 en 105 van het Albrecht-rapport. Amendement 223, pagina 134 Albrecht-rapport

25

19


artikel 43a.26 Een dergelijke overdracht is alleen nog toegestaan op basis van een verdrag en na toestemming te hebben verkregen van de toezichthouder (zie ook het hoofdstuk e-Discovery). Ten slotte is opmerkelijk dat in de voorstellen een belangrijke plaats bij de handhaving van en het toezicht op de concept Verordening wordt ingeruimd voor de European Data Protection Board, een nieuw orgaan dat in de plaats treedt van de Artikel 29 Werkgroep. Daarmee krijgt dit adviesorgaan van de Europese Commissie, waarin de toezichthouders van de 27 EU-lidstaten zijn vertegenwoordigd, op privacygebied de status van supertoezichthouder, die op sommige terreinen zelfs de bevoegdheid krijgt nadere uitvoeringsregels te stellen. Inmiddels hebben verschillende commissies van het Parlement een groot aantal wijzigingsvoorstellen ingediend. Inmiddels is uit een brief van het Ierse voorzitterschap van de EU aan de Raad gbleken, dat een meerderheid van de lidstaten wil dat er een meer risicogeoriënteerde aanpak wordt gekozen en dat met name de administratieve lasten meebrengen voor kleinere ondernemingen worden verminderd.27 De volgende stap in het wetgevend proces is de behandeling in het Europees Parlement, dat vervolgens (vermoedelijk in juni 2013) zal stemmen over de tekst van de Verordening. Wanneer de Commissie en het Parlement het over de tekst van de Vervordening zijn eens geworden, zal deze worden voorgelegd aan de Raad, die mede als wetgever optreedt. Verwacht wordt dat de Verordening in de loop van 2014 of 2015 in werking zal treden.

Amendement 259, pagina 151 en 152 van het Albrecht-rapport.

26

Brief van 22 februari 2013, te vinden op http://www.statewatch.org/news/2013/feb/eu-council-dp-

27

regulation-risk-based-approach-public-flexibility-6607-13.pdf

20


21


Datalekken: de meldplicht komt eraan Datalekken zijn gevallen van verlies, diefstal of misbruik van persoonsgegevens (Regeerakkoord 2010) Inleiding Datalekken halen steeds vaker het nieuws. Grote recente voorbeelden zijn de hack bij het Sony PlayStation Network en Sony Online Entertainment (ongeveer 100 miljoen getroffen gebruikers)1 en LinkedIn (6,5 miljoen wachtwoorden gepubliceerd).2 In Nederland zorgde de publicatie van gegevens van 539 KPN-klanten begin 2012 voor paniek,3 en werd het Groene Hart Ziekenhuis getroffen door een lek van patiëntgegevens.4 De privacy van betrokkenen komt in het geding als hun persoonsgegevens buiten een organisatie bekend worden. Verder kunnen ‘gestolen’ gegevens gebruikt worden voor De privacy van betrokkenen zogenaamde identity fraud, zoals het doen van komt in het geding als hun betalingen met verkregen creditcardgegevens. Kosten voor een onderzoek naar de oorzaak van persoonsgegevens buiten de een datalek en de verslechtering van de reputatie organisatie bekend worden. zijn schadeposten voor het getroffen bedrijf. Op dit moment geldt alleen voor aanbieders van ‘openbare elektronische communicatiediensten’ een wettelijke plicht om een datalek te melden. Voor overige ondernemingen ligt er op nationaal niveau een voorstel tot wijziging van de Wbp waarin een meldplicht datalekken is opgenomen. Ook het voorstel van de Europese Commissie voor de op 25 januari geplubiceerde concept Verordening5 bevat een meldplicht. Het feit dat voor Zie de communicatie van Sony hierover op het PlayStation Blog, o.a. onder: http://blog.us.playstation.

1

com/2011/04/22/update-on-playstation-network-qriocity-services/. http://money.cnn.com/2012/06/06/technology/linkedin-password-hack/index.htm.

2

http://www.nu.nl/internet/2773417/17-jarige-bekent-hacken-kpn.html.

3

Zie http://www.rijksoverheid.nl/bestanden/documenten-en-publicaties/kamerstukken/2012/12/06/

4

toezegging-over-informatie-hack-groene-hart-ziekenhuis/lp-v-j-0000002202.pdf. Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van

5

natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), 25/1/2012, COM(2012) 11 final. Te vinden op http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_nl.pdf.

22


veel Nederlandse ondernemingen op dit moment nog geen meldplicht datalek van kracht is, betekent echter niet dat het achterwege laten van een melding altijd raadzaam is. Het niet melden van een datalek kan onder omstandigheden als onrechtmatige daad worden aangemerkt, bijvoorbeeld omdat de betrokken persoon onnodig schade lijdt. Verder kan een datalek een zelfstandig strafbaar feit of onrechtmatige daad opleveren, bijvoorbeeld in geval van schending van de medische geheimhoudingsplicht. Deze punten worden in dit hoofdstuk niet verder beschreven. Meldplicht internet- en telecomproviders Met de implementatie van de gewijzigde e-Privacyrichtlijn6 is een meldplicht voor datalekken in het nieuwe artikel 11.3a Telecommunicatiewet (Tw)7 opgenomen. De meldplicht is sinds 5 juni 2012 van kracht en geldt met name voor aanbieders van ‘openbare elektronische communicatiediensten’.8 Daaronder vallen internetserviceproviders zoals XS4ALL, Ziggo en UPC en telecomproviders zoals KPN, Vodafone en T-Mobile. Deze aanbieders moeten beveiligingsmaatregelen treffen ter bescherming van de persoonsgegevens en privacy van abonnees en gebruikers van hun netwerken. Artikel 11.3a Tw verplicht de aanbieders iedere inbreuk op deze beveiligingsmaatregelen aan de OPTA te melden, indien deze Melding aan betrokkenen moet inbreuk nadelige gevolgen heeft voor de bescherming van persoonsgegevens. plaatsvinden als de inbreuk Melding aan de betrokken abonnees en gebruikers moet plaatsvinden als de inbreuk waarschijnlijk nadelige gevolgen waarschijnlijk nadelige gevolgen zal hebben heeft voor hun privacy. voor hun privacy. Hierbij maakt de wetgever dus een onderscheid tussen (i) inbreuken waarbij nadelige gevolgen voor de bescherming van persoonsgegevens zijn te verwachten en (ii) inbreuken waarbij bovendien nadelige gevolgen voor de privacy te verwachten zijn. Situatie (i) moet alleen gemeld Richtlijn 2009/136/EG van het Europese Parlement en de Raad van 25 november 2009 tot wijziging

6

van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische communicatienetwerken en -diensten, Richtlĳn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlĳke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming, Pb EU Nr. L337/11 van 18/12/2009. Stb. 1998, 610.

7

Wet van 10 mei 2012 tot wijziging van de Telecommunicatiewet ter implementatie van de herziene

8

telecommunicatierichtlijnen, Stb. 2012, 235.

23


worden aan de OPTA, situatie (ii) moet zowel aan de OPTA als aan de betrokken personen gemeld worden. Het verschil tussen deze twee situaties lijkt in de praktijk lastig vast te stellen. Een veilig uitgangspunt is om in elk individueel geval te bepalen of de privacy wel of niet wordt geschaad. In de Memorie van Toelichting9 bij het wetsvoorstel voor de algemene meldplicht in de Wbp10 (zie hieronder meer) wordt gesteld dat het hacken van een ledenadministratie van een sportvereniging ongemak kan veroorzaken, maar dat dit – kort gezegd – waarschijnlijk geen negatieve gevolgen zal hebben voor de privacy van betrokkenen. Anders is dat bij een hack van een bestand met persoonsgegevens van de Belastingdienst of de Sociale Verzekeringsbank (SVB). Melding aan betrokkenen is niet verplicht als beschermingsmaatregelen zijn getroffen waardoor de betreffende persoonsgegevens versleuteld (encrypted) of op andere technische wijze onbegrijpelijk zijn gemaakt voor onbevoegden. Dan zijn immers ook geen nadelige gevolgen voor de privacy te verwachten. In de meldingen moet de aard van de inbreuk worden beschreven en deze moet de contactgegevens bevatten van de instanties waar de betrokkene terecht kan met vragen en informatie over de maatregelen die de betrokkene moet of kan nemen (bijv. veranderen van wachtwoord of gebruikersnaam). Voorts is de aanbieder verplicht aan de OPTA een beschrijving van de verwachte gevolgen te sturen, tezamen met informatie over de getroffen of voorgestelde maatregelen om de gevolgen te verhelpen. Deze informatie hoeft niet aan de betrokkene te worden verstrekt omdat de wetgever ervan uitgaat dat betrokkenen niet alles behoeven te weten (zoals technische gegevens), terwijl sommige gegevens vertrouwelijk van aard zijn. Ten slotte is de aanbieder verplicht een overzicht bij te houden van alle inbreuken. De Telecommunicatiewet geeft de OPTA de mogelijkheid een boete van maximaal EUR 450.000 op te leggen in geval van schending van de plicht beveiligingsmaatregelen te nemen of het niet naleven van de meldingsplicht.11

OPTA kan een boete van maximaal EUR 450.000 opleggen voor het niet naleven van de meldingsplicht voor elektronische communicatiediensten.

Een onderneming die onder de meldplicht van de Tw valt moet een inbreuk op een beveiligingsmaatregel melden zodra zij daarvan de kennis heeft. Dat roept de vraag op of die kennis er al is als de ICT-afdeling een lek ontdekt of pas als de Raad van Bestuur op de hoogte is gesteld. Het antwoord is vermoedelijk dat een onderneming haar organisatie zo zal moeten 9

Zie noot 11. Stb. 2001, 302.

10 11

24

Artikel 15.4 lid 4 juncto 15.1 lid 3 juncto 11.3 en 11.3a Tw.


inrichten dat een datalek meteen na ontdekking wordt gemeld bij de verantwoordelijke personen binnen de onderneming en dat onverwijld de afweging wordt gemaakt of moet worden gemeld of niet. Onder omstandigheden kan het verdedigbaar zijn dat het datalek wordt ‘gedicht’ voordat melding plaatsvindt, om verder misbruik zoveel mogelijk te voorkomen. Aan de andere kant kan de verplichting om de nadelige gevolgen voor betrokkenen zoveel mogelijk te beperken meebrengen dat zo snel mogelijk wordt gemeld. Omdat de melding mede betrekking heeft op de hoeveelheid en het type gegevens dat aan risico’s is blootgesteld zal enig onderzoek nodig zijn voordat tot een melding kan worden overgegaan. Uiteraard dient dat onderzoek voortvarend en efficiënt plaats te vinden om zoveel mogelijk te kunnen voldoen aan het vereiste dat de melding onverwijld na kennisname van het datalek wordt gedaan. De meldplicht brengt mee dat een getroffen onderneming een datalek zelfstandig naar buiten moet brengen, met alle mogelijk nadelige (publicitaire) gevolgen van dien. Het is dan ook raadzaam daarvoor een communicatieplan voor te bereiden. Bij het melden en communiceren over het datalek dient geen bedrijfsgevoelige informatie te worden verspreid. Daarmee moet in het communicatieplan rekening worden gehouden. Algemene meldplicht Op dit moment ligt een wetsvoorstel tot wijziging van de Wbp voor advies bij de Raad van State,12 waarin onder meer een algemene meldplicht voor datalekken is opgenomen. Dit wetsvoorstel is op dit moment nog niet openbaar, maar eerder is wel een consultatiedocument gepubliceerd.13 Hieruit blijkt dat in de Wbp een meldplicht wordt ingevoerd voor alle ondernemingen in de publieke en private sector, met uitzondering van aanbieders van http://www.rijksoverheid.nl/documenten-en-publicaties/wetsvoorstellen/2012/11/01/wijziging-wet-

12

bescherming-persoonsgegevens-meldplicht-datalekken. 13

Wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de verruiming van de mogelijkheid van het gebruik van camerabeelden van strafbare feiten ten behoeve van de ondersteuning van de rechtshandhaving en de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (gebruik camerabeelden en meldplicht datalekken) (versie consultatie en advies - dec 11). Te vinden op http://www.internetconsultatie.nl/ camerabeelden. De consultatie is 29 februari 2012 gesloten. Het wijzigingswetsvoorstel voor de Wbp bevat ook een regeling voor het gebruik van camerabeelden met daarop mogelijke strafbare feiten door particulieren. Camerabeelden met daarop mogelijk strafbare feiten vallen onder de strikte regelgeving van artikel 22 Wbp en mogen maar beperkt worden gebruikt. Op verzoek van staatssecretaris Teeven van Veiligheid en Justitie zullen aanvullende gronden worden gecreëerd op basis waarvan onder andere particulieren deze beelden voor opsporing mogen gebruiken. Kennelijk is veel beeldmateriaal beschikbaar en wordt dit op dit moment onvoldoende wordt gebruikt. Schijnbaar zal een efficiënte manier van gebruik van deze beelden leiden tot meer opsporing.

25


openbare elektronische communicatiediensten en financiële instellingen.14 Het toezicht op datalekken wordt geconcentreerd (ook voor telecom- en Het CBP kan een boete van maximaal internetproviders). Het College Bescherming Persoonsgegevens EUR 200.000 opleggen voor schending (CBP) krijgt de bevoegdheid een boete van maximaal EUR 200.000 op van de algemene meldplicht voor te leggen voor het niet voldoen aan andere ondernemingen. de meldplicht. Op grond van een nieuw artikel 34a Wbp is de verantwoordelijke verplicht datalekken te melden aan het CBP en aan de betrokkenen. In aanvulling daarop wordt de verantwoordelijke verplicht om in de bewerkersovereenkomst vast te leggen dat de bewerker de verantwoordelijke onmiddellijk informeert als hij vaststelt dat een beveiligingsmaatregel van persoonsgegevens die hij voor verantwoordelijke bewerkt, is geschonden. De regeling in de Wbp komt inhoudelijk grotendeels overeen met die van de meldplicht in de Telecommunicatiewet. Een belangrijk verschil is dat een datalek onder het voorgestelde artikel 34a Wbp alleen aan betrokkenen én het CBP hoeft te worden gemeld indien dit kan leiden tot verlies of onrechtmatige verwerking van persoonsgegevens met nadelige gevolgen voor de privacy. Zoals hierboven beschreven dient op grond van de Telecommunicatiewet iedere inbreuk waarbij persoonsgegevens betrokken zijn te worden gemeld aan de OPTA, ook als geen nadelige gevolgen voor de privacy te verwachten zijn. Beoordeling inbreuk Op grond van de Wbp moet de getroffen onderneming zelf toetsen of de inbreuk nadelige gevolgen kan hebben voor de privacy en daarom in aanmerking komt voor melding. Het criterium daarvoor is of van de inbreuk ‘redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijk risico op verlies of onrechtmatige verwerking waaraan nadelige gevolgen voor de persoonsgegevens en de persoonlijke levenssfeer van de betrokkene zijn verbonden’. Om daaraan invulling te geven is het raadzaam een stapsgewijze benadering te kiezen. De eerste stap is om vast te stellen of persoonsgegevens zijn blootgesteld aan het risico op verlies of onrechtmatige verwerking. Deze beoordeling moet objectief gebeuren. In praktijk is het prudent om aan te nemen dat dit risico in beginsel bestaat als een derde zonder medeweten van de verantwoordelijke toegang heeft gehad tot de gegevens. Dat is bijvoorbeeld het geval bij een geslaagde hack van een gedeelte van het IT-systeem waar persoonsgegevens zijn 14

De regels voor integere bedrijfsvoering in de Wet op het financieel toezicht bevatten al een beveiligings- en meldplicht.

26


opgeslagen. Ook bij verlies van een niet of onvoldoende beveiligde USB-stick, smartphone of laptop met persoonsgegevens is die aanname gerechtvaardigd. Ten tweede moet worden bepaald of het risico op verlies of onrechtmatige verwerking aanmerkelijk is. Daarbij moet worden gekeken naar de aard en de omvang van het datalek. In de regel zal het risico gering zijn als het gaat om het verlies van een enkel apparaat met Als wachtwoorden of financiële een beperkte hoeveelheid niet-gevoelige gegevens zijn gelekt kunnen de persoonsgegevens (bijvoorbeeld een smartphone met een lijst met contacten). nadelige gevolgen voor de privacy Het risico zou echter aanmerkelijk kunnen van de betrokkene groot zijn. zijn als een abonneebestand op een website is gehackt. De derde stap is na te gaan wat de nadelige gevolgen voor de privacy voor de betrokken personen zijn. Daarbij gaat het primair om de aard van de persoonsgegevens. Een voorbeeld is de in de inleiding genoemde hack van patiëntgegevens van een ziekenhuis. Ook als wachtwoorden of financiële gegevens betrokken zijn, kunnen de nadelige gevolgen voor de privacy van de betrokkene groot zijn. Het wetsvoorstel meldplicht datalekken bevat een boete van maximaal EUR 200.000 voor schendingen van de meldplicht. In tegenstelling tot de Telecommunicatiewet wordt een datalek an sich niet bestraft. In het licht van de huidige Wbp is EUR 200.000 overigens een aanzienlijke boete; de hoogste boete die nu in de Wbp is opgenomen is EUR 19.500.15 Europese privacyverordening Artikelen 31 en 32 concept Verordening bevat eveneens een meldplicht voor datalekken. Evenals in de Telecommunicatiewet moeten alle inbreuken waarbij persoonsgegevens betrokken zijn worden gemeld aan de toezichthouder en dienen betrokken personen te worden geïnformeerd als negatieve gevolgen voor de privacy waarschijnlijk zijn. De concept Verordening bevat een afzonderlijke verplichting voor de bewerker om een inbreuk op de beveiligingsmaatregelen aan de verantwoordelijke te melden. Inbreuken moeten worden gemeld zonder onnodige vertraging en zo mogelijk niet later dan 24 uur nadat de verantwoordelijke ervan kennis heeft gekregen. Een melding die later is gedaan, dient te worden vergezeld van een motivering. De boete voor opzettelijk of nalatig niet, niet tijdig of niet volledig melden valt in de hoogste categorie (tot EUR 1.000.000 of, bij een onderneming, 2% van haar jaarlijkse wereldwijde omzet). Artikel 75 lid 2 Wbp.

15

27


Wetgevend traject Op dit moment is moeilijk te voorspellen wanneer een algemene meldplicht voor datalekken van kracht wordt voor ondernemingen en wat daarvan de precieze inhoud zal zijn. Het wetsvoorstel meldplicht datalekken is in 2012 ingediend bij de Raad van State en het wetgevend traject duurt daarna doorgaans al gauw 24 maanden (dus tot eind 2014). Tegen die tijd zal ook de concept Verordening een groot deel van het wetgevend traject hebben afgelegd. Mocht de Nederlandse wet eerder gereed zijn dan zal de regering moeten beslissen of het zinvol is deze alvast in werking te laten treden, of dat het verstandiger is om inwerkingtreding van de Verordening af te wachten. Vaststaat in elk geval dat er een algemene meldplicht voor datalekken komt. Gezien het feit dat de meldplicht onder de concept Verordening dezelfde is als die onder artikel 11.3a Telecommunicatiewet lijkt het voor ondernemers in andere sectoren raadzaam om zich daarnaar te richten.

28

In elk geval staat vast dat er een algemene meldplicht voor datalekken komt.


Tips & Tricks • Inventariseer waar in de onderneming welke gegevens worden verwerkt, met de nadruk op gevoelige gegevens. • Inventariseer de mogelijke risico’s van verlies van gegevens. • Voer een praktisch maar strikt beleid ten aanzien van de opslag van persoonsgegevens door werknemers op draagbare apparatuur, zoals laptops, iPads, smartphones en USB-sticks. • Zorg voor afdoende beveiliging van draagbare apparatuur die voor opslag van persoonsgegevens wordt gebruikt (inclusief de mogelijkheid bij verlies van apparatuur de gegevens op afstand te vernietigen). • Indien de onderneming werknemers toestaat eigen apparatuur voor haar werkzaamheden te gebruiken, voer dan een strikt beleid ten aanzien van persoonsgegevens die daarop mogen worden opgeslagen en hun beveiliging. • Inventariseer risico’s in de ICT-infrastructuur (met name website en databases) en bij decentrale opslag van persoonsgegevens (randapparatuur; dossierkasten). • Stel een actieplan op dat moet worden uitgevoerd ingeval van een datalek (zie hierna voor een voorbeeld). • Zorg voor training van de betrokken werknemers in de uitvoering van het actieplan. • Stel een communicatieplan op voor het naar buiten brengen van de melding.

29


Actieplan Datalek 1. Zorg voor een vast team voor de behandeling van datalekken (IT’ers, privacyverantwoordelijke, juristen, communicatiedeskundigen). Laat het team regelmatig het Actieplan oefenen. 2. Het datalek wordt gemeld aan de contactpersoon voor datalekken. Dit zal doorgaans de privacyverantwoordelijke binnen de onderneming zijn (privacy officer, compliance officer, functionaris voor de gegevensbescherming, bedrijfsjurist). 3. De contactpersoon licht onmiddellijk het team datalekken in. 4. De contactpersoon licht onmiddellijk de verantwoordelijke bestuurder in. 5. Het team datalekken start een onderzoek naar het incident, waarbij in ieder geval het volgende wordt onderzocht: a. Welke inbreuk op de beveiligingsmaatregelen heeft plaatsgevonden (hack, verlies gegevens etc.) en wanneer? b. Welk onderdeel van het IT-systeem is betrokken (website, database etc.) en/of welke apparatuur en waar is deze verloren/gestolen? c. Welke gegevens zijn mogelijk betrokken? d. Wat zijn de (verwachte) consequenties van het incident? 6. De IT’ers in het team identificeren maatregelen om de beveiliging te herstellen en voeren deze uit. 7. De contactpersoon en de juristen in het team stellen vast of het incident moet worden gemeld op grond van de wet en of sprake is van een strafbaar feit. Daarbij moet worden vastgesteld: a. Is er sprake van een inbreuk op beveiligingsmaatregelen? Zo niet, dan is er geen meldplicht. b. Zo ja, zijn de verwerkte persoonsgegevens blootgesteld aan een aanmerkelijk risico van verlies of onrechtmatige verwerking? c. Zo ja, leidt het verlies of de onrechtmatige verwerking redelijkerwijs tot nadelige gevolgen voor de persoonsgegevens en persoonlijke levenssfeer van de betrokkenen? 8. Indien er geen meldplicht is stellen contactpersoon en juristen vast of het desondanks wenselijk is het incident te melden. Daarbij moeten worden betrokken de aard en de omvang van de inbreuk, de mate waarin gevoelige gegevens zijn betrokken en de mogelijke nadelige consequenties voor de betrokken personen.

30


9. Als het incident moet worden gemeld of melding wenselijk is, stelt de contactpersoon, in overleg met de communicatiedeskundige en, waar nodig, de IT’ers en de juristen in het team, de melding op. 10. Als zich een strafbaar feit heeft voorgedaan, bijvoorbeeld een hack of diefstal van gegevens, moet worden overwogen aangifte bij de politie te doen. 11. Indien nodig: de communicatiedeskundige stelt een persbericht op en voert het communicatieplan uit. 12. De contactpersoon onderhoudt contacten met de toezichthouder over de melding en verstrekt op verzoek nadere informatie. 13. Na afronding van het incident wordt de uitvoering van het Actieplan en het incident zelf onder leiding van de contactpersoon geëvalueerd. Op basis van de evaluatie worden eventuele verbeteringen in het Actieplan en preventieve maatregelen vastgesteld.

31


De klokkenluidersregeling en privacy Een klokkenluider is een werknemer die misstanden in zijn bedrijf of organisatie naar buiten brengt. - Van Dale Woordenboek Nederlands. Inleiding Het belang van een adequate klokkenluidersregeling voor het intern melden van het vermoeden van een misstand binnen een onderneming of organisatie kan niet gemakkelijk worden onderschat. Het belangrijkste doel van de regeling is dat op deze wijze de leiding van de onderneming op de hoogte komt van gevaarlijke Het belang van een klokkenluidersregeling of illegale activiteiten die mag niet worden onderschat. risico’s opleveren voor de onderneming, werknemers, de omgeving of de maatschappij. De klokkenluidersregeling biedt dus de mogelijkheid om tijdig maatregelen te nemen om een eind te maken aan een misstand voordat een van deze risico’s zich verwezenlijkt. Onmiskenbaar versterkt een klokkenluidersregeling ook de corporate governance binnen een onderneming en kan het bijdragen aan maatschappelijk verantwoord ondernemen.1 Tenslotte heeft een klokkenluidersregeling in beginsel tot gevolg dat misstanden eerder binnen de onderneming worden gemeld dan dat zij naar buiten worden gebracht.2 Uit de European fraud survey 2011 van Ernst & Young blijkt daarnaast dat twee derde van de ondervraagden

1

het eens is met de stelling dat bedrijven met een sterkte reputatie op het gebied van ethisch gedrag commerciële voordelen genieten. European fraud survey 2011 van Ernst & Young, te vinden op http://www.ey.com/GL/en/Services/Assurance/Fraud-Investigation-Dispute-Services/European-fraudsurvey-2011-recovery-regulation-and-integrity. Dit kan onder meer worden afgeleid uit in opdracht van het Ministerie van Sociale Zaken en

2

Werkgelegenheid opgestelde rapport Evaluatie zelfregulering klokkenluidersprocedures van 15 mei 2006 (te vinden op: http://docs.szw.nl/pdf/129/2006/129_2006_3_9270.pdf): 1) Werknemers die in een bedrijf werken met een klokkenluidersprocedure zijn in sterkere mate geneigd de misstand binnen het bedrijf te melden (88%) dan werknemers die in een bedrijf werken zonder procedure (56%); 2) Van de werknemers die in een bedrijf werken zonder klokkenluidersprocedure is 11% geneigd misstanden alleen extern te melden. Is er wel een klokkenluidersprocedure dan hebben werknemers die neiging niet; 3) In ondernemingen met een klokkenluidersprocedure bestaat een sterkere neiging tot het intern melden van een misstand. Het zijn echter vaak andere factoren (bedrijfscultuur, de ervaringen van collega’s en de angst voor de gevolgen van het melden van een misstand) die bepalen of een misstand daadwerkelijk wordt gemeld. 32


Zo kan ook de reputatieschade voor de onderneming worden voorkomen. Wettelijk kader In Nederland bestaan in de publieke sector verschillende klokkenluidersregelingen voor ambtenaren die vermoedens hebben van misstanden binnen hun eigen organisatie.3 Nederland heeft echter geen specifieke wetgeving voor klokkenluidersregelingen in de private sector. Op grond van de regelgeving gelden wel bepaalde eisen voor dergelijke regelingen, onder meer uit hoofde van de Corporate Governance Code4 en de Wet bescherming persoonsgegevens (Wbp).5 Op grond van de Amerikaanse Sarbanes-Oxley Act uit 2002 (SOX)6 zijn bedrijven met een notering aan de Amerikaanse beurs in beginsel gehouden om een klokkenluidersregeling in het leven te roepen voor boekhoudkundige en auditkwesties.7 Dat geldt dus ook voor Nederlandse vennootschappen met een Amerikaanse notering, en voor Nederlandse dochters van in de VS aan de beurs genoteerde ondernemingen. Daarnaast is het op grond van de SOX verboden om maatregelen te nemen tegen een werknemer die heeft meegewerkt aan een klokkenluidersonderzoek.8 Nederlandse Corporate Governance Code In beginsel is op Nederlandse beursgenoteerde vennootschappen de Corporate Governance Code van toepassing. Volgens artikel II.1.7 van de Code dienen deze vennootschappen over een klokkenluidersregeling te beschikken:

Zie bijvoorbeeld de ‘Regeling procedure en bescherming bij melding van vermoedens van

3

een misstand van de provincies, opgenomen in de Uitvoeringsregelingen van de Collectieve Arbeidsvoorwaardenregeling Provincies, versie 1 april 2012’. Te vinden op http://www.ipo.nl/sites/default/ files/documents/uitvoeringsregelingen_cap_2012.pdf. Code Frijns, besluit van 10 december 2009, Stb. 545. De volledige tekst van de Code is te vinden op

4

http://commissiecorporategovernance.nl/corporate-governance-code. Stb. 2001, 302.

5

Te vinden op http://www.sec.gov/about/laws/soa2002.pdf.

6

Sec. 301 (4) SOX: ‘Each audit committee shall establish procedures for

7

(A) the receipt, retention, and treatment of complaints received by the issuer regarding accounting, internal accounting controls, or auditing matters; and (B) the confidential, anonymous submission by employees of the issuer of concerns regarding questionable accounting or auditing matters.’ Sec. 806 SOX.

8

33


‘Het bestuur draagt er zorg voor dat werknemers zonder gevaar voor hun rechtspositie de mogelijkheid hebben aan de voorzitter van het bestuur of aan een door hem aangewezen functionaris te rapporteren over vermeende onregelmatigheden binnen de vennootschap van algemene, operationele en financiële aard. Vermeende onregelmatigheden die het functioneren van bestuurders betreffen worden gerapporteerd aan de voorzitter van de raad van commissarissen. Deze klokkenluidersregeling wordt op de website van de vennootschap geplaatst.’ 9

De best practice bepalingen in de Code Een klokkenluidersregeling moet creëren een zekere normstelling voor het gedrag van onder meer bestuurders en aan wettelijke eisen voldoen. commissarissen. Beursvennootschappen dienen de Code na te leven conform het beginsel van ‘pas toe of leg uit’. Dit betekent dat vennootschappen van de bepalingen van de Code kunnen afwijken, welke afwijkingen gerechtvaardigd kunnen zijn. Op grond van artikel 2:391 lid 5 BW, geldt de wettelijke verplichting voor de vennootschap om in haar jaarverslag aan te geven op welke manier zij de bepalingen uit de Code heeft nageleefd en dient zij bij afwijkingen gemotiveerd uiteen te zetten waarom een bepaling niet is toegepast.10 Privacy In 2006 heeft het College Bescherming Persoonsgegevens (CBP) een opinie afgegeven over het gebruik van een klokkenluidersregeling, of een ‘kliklijn’ zoals het CBP het noemt, in een multinational.11 Het CBP en de Artikel 29 Werkgroep, het adviesorgaan van de Europese Commissie op privacygebied waarin de toezichthouders van de 27 EU-lidstaten zijn vertegenwoordigd,12 hebben grotendeels dezelfde benadering, maar op grond van de Wbp geldt een aantal extra eisen.

9

Zie noot 4. Deze Code is per 1 januari 2009 de vervanging van de Code Tabaksblat, besluit van 27 december 2004, Stb. 747, waarin een soortgelijke bepaling is opgenomen. Zie ook het Besluit van 23 december 2004 tot vaststelling van nadere voorschriften omtrent de inhoud van

10

het jaarverslag, welk besluit nadien een aantal maal gewijzigd is. 11

College Bescherming Persoonsgegevens, Advies vergunningaanvraag ex. art. 77 lid 2 Wbp, 16 januari 2006, z2004-1233. Artikel 29 Werkgroep, Advies 1/2006 over de toepassing van de EU-gegevensbeschermingsregels op

12

interne klokkenluidersregelingen in de sfeer van boekhouding, interne boekhoudcontrole, auditing en bestrijding van omkoping en van bancaire en financiële criminaliteit, WP117, 1 februari 2006. Te vinden op http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2006/wp117_nl.pdf.

34


Grondslag Op grond van artikel 8 Wbp moet er een grondslag bestaan voor de verwerking van persoonsgegevens in het kader van een klokkenluidersregeling. Deze grondslag kan worden gevonden in de naleving van een wettelijke plicht (artikel 8 onder c) en in een gerechtvaardigd belang van de onderneming dat de regeling noodzakelijk maakt, welk belang zwaarder weegt dan de privacy van de betrokken werknemers (artikel 8 onder f). Van de eerstgenoemde grondslag is geen sprake in het geval van een buitenlandse wettelijke plicht, zoals de verplichtingen op grond van de Amerikaanse Sarbanes-Oxley Act. Het moet gaan om een wettelijke verplichting die krachtens algemeen verbindend voorschrift wordt opgelegd. De gevolgen voor een verantwoordelijke als deze niet voldoet aan een buitenlandse wettelijke verplichting (zoals boetes e.d.) dienen wel te worden meegewogen bij een beroep op de grondslag ‘gerechtvaardigd belang’. Het CBP is van mening dat Een organisatie mag het gebruik van concerns in beginsel een gerechtvaardigd belang hebben anonieme meldingen niet aanmoedigen. bij het gebruik van een kliklijn. Dit dient echter te worden afgewogen tegen fundamentele rechten en vrijheden van de betrokkenen, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer. Die afweging zal doorgaans ten gunste van een klokkenluidersregeling uitvallen als deze is bedoeld voor substantiële misstanden. Dit veronderstelt een zekere mate van ernst van de gemelde feiten of situaties. De ernst hangt af van de omstandigheden van het geval. Het aan de orde stellen van een misstand moet daarnaast proportioneel zijn: de aard en de ernst van de misstand beïnvloeden de wijze waarop de melding kan worden gedaan. De werknemer moet volgens het CBP een op redelijke gronden gebaseerd vermoeden hebben dat een dergelijke misstand dreigt of bestaat. Het CBP benadrukt dat een klokkenluidersregeling een aanvullende functie heeft en niet de plaats moet innemen van de normale afwikkelingsmogelijkheden voor incidenten binnen de onderneming. Volgens het CBP is doorgifte van gegevens aan een moederbedrijf alleen dan gerechtvaardigd indien het substantiële misstanden betreft die het niveau van het dochterbedrijf overstijgen.

35


Bijzondere persoonsgegevens Indien de melding strafrechtelijke gegevens (min of meer gegronde verdenkingen van een strafbaar feit) of andere bijzondere persoonsgegevens13 (betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging) bevat, moet de onderneming rekening houden met het strakke regime dat van toepassing is op de verwerking van bijzondere persoonsgegevens. In meldingen in het kader van een klokkenluidersregeling zal het met name strafrechtelijke gegevens betreffen. De onderneming mag deze gegevens in beginsel verwerken wanneer door zijn personeel strafbare feiten zijn of dreigen te worden gepleegd. Anoniem melden Een organisatie mag het gebruik van anonieme meldingen niet aanmoedigen en dient een systeem in het leven te roepen waarbij het uitgangspunt is dat de identiteit van de melder wordt vastgesteld. Het mogelijk maken van confidentiële meldingen waarbij de melder zijn identiteit slechts kenbaar maakt aan een vertrouwenspersoon of op andere wijze zijn identiteit confidentieel wordt gehouden, verdient naar het oordeel van het CBP de voorkeur. Naleven informatieplicht De informatieplicht ziet op het informeren van de betrokkene dat hem betreffende gegevens worden verwerkt, maar tevens op heldere en transparante communicatie naar de medewerkers over het bestaan en de werking van het systeem. Hierbij verdient de reikwijdte van het systeem (welke misstanden moeten worden gemeld?) bijzondere aandacht. Bovendien moet gecommuniceerd worden dat misbruik van het systeem kan leiden tot de toepassing van disciplinaire maatregelen. Dit geldt niet voor meldingen Heldere en transparante communicatie die een melder met de juiste naar de medewerkers over het bestaan intenties heeft gedaan en uiteindelijk ongegrond zijn en de werking van het systeem. gebleken. De in een melding genoemde personen dienen op de hoogte te worden gebracht dat hen betreffende gegevens worden verwerkt in het systeem, niet later dan op het moment van vastlegging van de gegevens. De betrokkene wordt op deze manier in staat gesteld zijn rechten14 uit te oefenen, zoals het recht op inzage. Dit kan echter een eventueel strafrechtelijk onderzoek belemmeren. Op grond van artikel 43 Wbp is het mogelijk de mededeling aan 13

Art. 16 t/m 23 Wbp.

14

36

Art. 35 tot 41 Wbp.


de betrokkene uit te stellen zolang dit met het oog op het veiligstellen van bewijsmateriaal noodzakelijk is. Deze uitzonderingsmogelijkheid dient volgens het CBP restrictief geïnterpreteerd te worden en toepassing van de uitzondering dient van geval tot geval beargumenteerd te worden. Het inzagerecht mag niet worden gebruikt om achter de identiteit van de melder of andere betrokkenen te komen. Nauwkeurige, juiste en ter zake dienende informatie Het CBP wijst erop dat de melding objectief moet zijn, direct gerelateerd aan de reikwijdte van de regeling en de informatie mag uitsluitend gebruikt worden om de vermoedelijke gedragingen te beoordelen. Uit de bewoordingen van het rapport over de melding moet duidelijk blijken dat het gaat om een vermoeden. Afhandelen van meldingen Volgens het CBP dient het afhandelen van de meldingen te geschieden door een specifiek daartoe aangewezen (onderdeel van de) organisatie. Het verdient daarbij de voorkeur een organisatie buiten de eigen organisatie aan te wijzen voor de eerste afhandeling. De toegang tot de meldingen en bijbehorende gegevens dient beperkt te zijn. De medewerkers die toegang hebben, dienen gebonden te zijn aan een geheimhoudingsplicht. Hierbij kan de doorgifte van persoonsgegevens naar een derde land aan de orde zijn. Deze doorgifte moet voldoen aan de eisen die de Wbp daaraan stelt. Zie hierover het hoofdstuk e-Discovery en privacy: het eeuwige dilemma. Klachtafhandeling Er dient een standaardprocedure te zijn voor het afhandelen van klachten over de kliklijn. In het bijzonder dient hierbij aandacht te worden besteed aan het afhandelen van klachten waarbij de rechten van betrokkenen15 in het geding zijn. Bewaartermijn De verwerking van gegevens in het kader van een melding, die ongegrond is, dient onmiddellijk te worden gestaakt en de gegevens dienen te worden verwijderd. Gegevens die gerelateerd zijn aan een ingesteld onderzoek mogen niet langer dan twee maanden na afronding van het onderzoek worden bewaard, tenzij disciplinaire maatregelen worden getroffen tegen de melder (valselijke melding) of de persoon over wie werd gemeld (gegronde melding). Positie werknemer Op grond van de Wet op de ondernemingsraden (WOR)16 dient de ondernemingsraad in te Art. 35 e.v. Wbp.

15

16

37

Art. 27 lid 1 onder j WOR.


stemmen met de vaststelling van een klokkenluidersregeling. Voor de werknemer is het vaak onduidelijk wat zijn positie is bij een vermoeden van een misstand in de onderneming. Uit de jurisprudentie over zaken naar aanleiding van klokkenluiden blijkt bovendien dat de werknemer er vaak slecht vanaf komt.17 In het Nederlandse arbeidsrecht worden zaken tegen klokkenluiders doorgaans gebaseerd op artikel 7:611 BW, waarin is bepaald dat de werkgever en de werknemer zijn verplicht zich als een goed werkgever en een goed werknemer te De ondernemingsraad gedragen. De rechter beoordeelt of de handelingen moet instemmen met een van een klokkenluider de maatregelen van de onderneming (bijvoorbeeld ontslag op staande voet) klokkenluidersregeling. rechtvaardigen. Wetsvoorstel SP Op 14 mei 2012 heeft onder meer de SP een wetsvoorstel ingediend voor de ‘Wet Huis voor klokkenluiders’. Deze wet heeft tot doel ‘de voorwaarden voor het melden van maatschappelijke misstanden te verbeteren, door onderzoek naar misstanden mogelijk te maken en melders van misstanden beter te beschermen. De wet voorziet in de oprichting van een “Huis voor klokkenluiders”, dat onderzoek doet naar maatschappelijke misstanden en aanbevelingen doet om problemen op te lossen. Dit Huis zal de verzoeker desgewenst ook adviseren en begeleiden. De wet voorziet daarnaast in een Fonds voor klokkenluiders, dat verzoekers zo nodig financieel ondersteunt. Het Huis voor klokkenluiders wordt onderdeel van de Nationale ombudsman, maar staat open voor meldingen uit zowel de publieke als de private sector. Bij de uitvoering van haar taken kan het Huis zich laten bijstaan door bestaande organisaties en ervaringsdeskundigen. Het Huis brengt jaarlijks verslag uit van haar werkzaamheden. Daarin wordt aangegeven welke onderzoeken zijn gedaan wat met de aanbevelingen is gebeurd.’ 18 Het is nog niet bekend op welk tijdstip de Wet Huis voor klokkenluiders in werking treedt. De Raad van State heeft reeds advies uitgebracht. Het tijdstip zal bij koninklijk besluit worden bepaald. Inrichting procedure Door het ontbreken van wettelijke regels moet een onderneming de klokkenluidersregeling naar eigen inzicht inrichten. Daarbij is de ‘Verklaring inzake het omgaan met vermoedens Voor een overzicht van de jurisprudentie zie: E.S. de Bock, ‘For whom the bell tolls, Whistle-blowers

17

in the Netherlands’ (2011). Te vinden op http://www.houthoff.com/uploads/tx_hhpublications/ Forwhomthebelltolls.pdf. Zie ook HR 26 oktober 2012, LJN: BW9244. 18

38

Kamerstukken II 2012/13, 33 258, nr. 7, p. 1 en 2.


van misstanden in ondernemingen’ met de daarbij horende voorbeeldprocedure van de Stichting van de Arbeid (STAR) uit 200319 een goed uitgangspunt. De STAR merkt op dat voor de werknemers duidelijk zal moeten zijn waar zij een melding kunnen doen en hoe de procedure in elkaar zit (wat wordt met een melding gedaan, hoe wordt de werknemer geïnformeerd over de voortgang van de procedure).20 Er dient duidelijk te worden aangegeven dat de procedure voor het melden van misstanden niet is bedoeld voor klachten van werknemers over hen persoonlijk betreffende aangelegenheden in verband met de arbeid. Daarvoor bestaan Informeer betrokkenen als klachtenregelingen. Evenmin heeft de procedure betrekking op gewetensbezwaren van werknemers in het kader van de regeling in verband met het verrichten van normale hun persoonsgegevens ondernemingsactiviteiten. In beginsel is zij ook niet bedoeld om kritiek te spuien op de door de worden verwerkt. werkgever gemaakte beleidskeuzes. Adviespunt Klokkenluiders Per 1 oktober 2012 heeft de overheid het Adviespunt Klokkenluiders ingesteld.21 Dit is een onafhankelijke instantie die (potentiële) klokkenluiders adviseert en ondersteunt. Het Adviespunt richt zich op misstanden binnen de overheid en het bedrijfsleven waarbij het maatschappelijk belang in het geding is. Bij onvoldoende resultaat na een interne melding, kan het Adviespunt adviseren over een extern meldpunt. Het Adviespunt doet geen onderzoek naar de misstanden. Het Adviespunt geeft ook voorlichting over klokkenluiden en signaleert ontwikkelingen en patronen die voor het klokkenluidersbeleid van overheid en bedrijfsleven van belang zijn.22

Verklaring inzake het omgaan met vermoedens van misstanden in ondernemingen, Stichting van

19

de Arbeid, 24 juni 2003, Publicatienr. 6/03. Te vinden op http://www.ser.nl/~/media/Files/Internet/ persberichten/2004/stvda_nota_20030624.ashx. 20

Verklaring (zie noot 19), pag. 2.

Ingesteld op grond van het Besluit van 27 september 2011 tot instelling van de Commissie advies- en

21

verwijspunt klokkenluiden (Tijdelijk besluit Commissie advies- en verwijspunt klokkenluiden) en nota van toelichting, Stb. 2011, 427. Zie ook http://www.adviespuntklokkenluiders.nl.

22

39


Tips & Tricks Klokkenluidersregeling • Stel de regeling op in overleg met OR of MR (indien aanwezig). • Bepaal voor welke gevallen de regeling is bedoeld. • Stimuleer het vertrouwelijk melden; rem anoniem melden af. • De volgende elementen dienen onder meer in de regeling te worden opgenomen (zie ook de voorbeeldprocedure van de Stichting van de Arbeid): - aanwijzing van een of meer functionarissen aan wie melding dient te worden gedaan; - wijze waarop vervolgens met de interne melding wordt omgegaan; - terugkoppeling naar degene die de melding heeft gedaan; - de situaties waarin en de wijze waarop de melder extern mag melden; - rechtsbescherming van de zorgvuldig handelende melder. • Informeer werknemers over het bestaan en de werking van de regeling. • Informeer betrokkenen als in het kader van de regeling gegevens over hen worden verwerkt.

40


41


Document retention: dataopslag en bewaartermijnen Document retention is het bewaren van bedrijfs- en persoonsgegevens op grond van ondernemingsbeleid en wettelijke verplichtingen. Inleiding Elke onderneming of andere instelling heeft te maken met een groeiende hoeveelheid data die door haar en haar werknemers worden gecreëerd en verzameld. De exponentiële groei van het gebruik van elektronische data heeft ertoe geleid dat de opslag daarvan voor veel ondernemingen een substantiële kostenpost vormt. Vandaar dat de Kostenbesparing door beperking van noodzaak bestaat om dataopslag te beperken en te bekijken of gegevens dataopslag, zonder afbreuk te doen na een bepaalde periode kunnen aan de wettelijke verplichtingen en de worden verwijderd. Daarbij moet rekening worden gehouden met een juridische positie van de onderneming. aantal juridische aspecten. Voor bepaalde bedrijfsgegevens bestaat er een wettelijke minimale bewaartermijn en voor persoonsgegevens bestaat een wettelijke maximale bewaartermijn. Voorts moet, ter bescherming van de belangen van de onderneming, bij het besluit om gegevens te verwijderen zoveel mogelijk rekening worden gehouden met wettelijke verjaringstermijnen voor onder meer overeenkomsten en schadeclaims. De onderneming moet in een voorkomend geval immers kunnen beschikken over alle informatie die nodig is om zich in een geschil daarover te verweren. Ten slotte moet worden bedacht dat het verwijderen van gegevens haaks kan staan op de verplichting om in het kader van een Amerikaanse discovery order of een onderzoek van een toezichthouder om alle relevante informatie te verschaffen (zie hierover het hoofdstuk e-Discovery en privacy: het eeuwige dilemma?). Het is dan ook raadzaam een duidelijk beleid voor het bewaren en verwijderen van data vast te stellen, zodat kostenbesparing door beperking van dataopslag kan plaatsvinden zonder afbreuk te doen aan de wettelijke verplichtingen en de juridische positie van de onderneming. Algemene bewaarplicht voor bedrijfsgegevens Een rechtspersoon is verplicht1 om op zodanige wijze een administratie te voeren en de daartoe Artikel 2:10 lid 1 Burgerlijk Wetboek (BW). Artikel 3:15i BW bevat een soortgelijke verplichting voor

1

zelfstandigen en beroepsbeoefenaren.

42


behorende documenten en gegevensdragers op zodanige wijze te bewaren, dat de rechten en verplichtingen van de rechtspersoon altijd kunnen worden gekend. Daarnaast dienen uit de administratie altijd de voor heffing van belasting relevante gegevens duidelijk te blijken.2 Deze relevante documenten en gegevensdragers dienen ten minste voor een periode van zeven jaar te worden bewaard.3 De wet regelt slechts in beperkte gevallen expliciet welke documenten dienen te worden bewaard (zoals bijvoorbeeld de balans en verlies- en winstrekening van een rechtspersoon4). Voor het overige is echter niet in detail geregeld welke documenten er nog meer vallen onder de bewaarplicht. Het type documenten dat dient te worden bewaard kan verschillen per type organisatie, maar dit zal in ieder geval overeenkomsten, vergunningen, personeelsadministratie, boekhoudgegevens inclusief vorderingen en schulden en bijbehorende relevante correspondentie omvatten. Voor bepaalde bedrijfssectoren kunnen specifieke wettelijke bewaarplichten gelden. Zo geldt in de financiële sector de verplichting om alle gegevens die in het kader van een cliëntonderzoek (customer due diligence) zijn verkregen tot vijf jaar na het beëindigen van de zakelijke relatie te bewaren5 en de verplichting om meldingen over ongebruikelijke transacties ten minste vijf jaar na melding te bewaren.6 Maximale bewaartermijnen voor persoonsgegevens Voor zover de bewaarde documenten en data persoonsgegevens bevatten is de Wet bescherming persoonsgegevens (Wbp)7 van toepassing. De Wbp bevat geen concrete minimale of maximale bewaartermijn, maar Persoonsgegevens mogen niet langer bepaalt dat persoonsgegevens niet langer bewaard mogen worden dan worden bewaard dan noodzakelijk is noodzakelijk is voor de doeleinden voor de doeleinden waarvoor zij zijn waarvoor zij zijn verzameld of 8 worden gebruikt. In de op 25 verzameld of worden gebruikt. januari 2012 gepubliceerde concept2

Artikel 52 lid 1 Algemene Wet inzake Rijksbelasting (AWR).

3

Artikel 2:10 lid 4 BW, artikel 52 lid 4 AWR.

4

Artikel 2:10 lid 2 BW.

5

Artikel 33 Wet ter Voorkoming van Witwassen en Financieren van Terrorisme (WWFT) en artikel 14

6

Artikel 34 WWFT.

7

Stb. 2001, 302.

8

Artikel 10 Wbp.

Besluit prudentiële regels Wet financieel toezicht (Wft).

43


privacyverordening9 wordt de maximale bewaartermijn verkort. De opslagperiode van persoonsgegevens dient op grond van de concept Verordening te worden beperkt tot ‘een strikt minimum’.10 Concrete termijnen worden genoemd in het Vrijstellingsbesluit Wbp (VB Wbp),11 als voorwaarde voor vrijstelling van wettelijke meldingsplicht voor de verwerking van diverse soorten persoonsgegevens. Wordt deze maximale bewaartermijn overschreden dan moet de verwerking alsnog worden gemeld. Hoewel deze maximale bewaartermijnen zijn gekoppeld aan de vrijstelling, kunnen zij worden gezien als een indicatie van de maximale termijn dat de wetgever het bewaren van de betreffende persoonsgegevens noodzakelijk acht.12 Onderstaande tabel bevat enkele voorbeelden van deze indicatieve maximale bewaartermijn met betrekking tot een aantal typen persoonsgegevens: Soort Persoonsgegevens

Bewaartermijn

Bron

Personeelsgegevens

2 jaar na einde dienstverband

7 lid 5 VB Wb

Debiteuren / Crediteuren

2 jaar na voldoen vordering

12 lid 6 VB Wbp

Abonnementen

2 jaar na einde abonnement

11 lid 5 VB Wbp

Sollicitanten

4 weken na einde sollicitatieprocedure, tenzij met toestemming een jaar bewaard

5 lid 6 VB Wbp

Wijze van bewaren De manier waarop een onderneming invulling geeft aan haar bewaarverplichtingen kan grotendeels door haarzelf worden bepaald. Het is mogelijk om de te bewaren documenten en data in digitale vorm te bewaren, zolang deze maar gedurende de volledige bewaartijd beschikbaar zijn, en binnen redelijke tijd weer leesbaar kunnen worden gemaakt. Voor enkele typen documenten bestaat wel de verplichting om deze (ook) in papieren vorm te bewaren, bijvoorbeeld voor de op papier gestelde balans en verlies en winstrekening.13 Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van

9

natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), 25/1/2012, COM(2012) 11 final. Te vinden op http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_nl.pdf. Concept Verordening, overweging 30.

10 11

Stb. 2001, 250. Zie ook het door het College Bescherming Persoonsgegevens gepubliceerde Informatieblad

12

‘Bewaartermijnen van persoonsgegevens in uw handen’ d.d. juli 2012. Te vinden op http://www.cbpweb. nl/Pages/inf_va_bewaartermijnen.aspx. 13

44

Artikel 2:10 lid 4 BW.


De Wbp vereist dat er door de verantwoordelijke passende technische en organisatorische maatregelen worden getroffen om de persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.14 In de concept Verordening wordt deze verplichting nader uitgewerkt en aangescherpt. Artikel 23 van de concept Verordening bepaalt dat de verantwoordelijke zowel bij de vaststelling van de middelen voor de verwerking als bij de verwerking zelf zodanige passende technische en organisatorische maatregelen en procedures ten uitvoer legt dat de verwerking aan de voorwaarden van de concept Verordening voldoet en de bescherming van de rechten van de betrokkene gewaarborgd is. Voorts moeten technische maatregelen worden genomen om te zorgen dat het verzamelen of bewaren van gegevens zich beperkt tot de hoeveelheid en de periode waarvoor dat gelet op de doeleinden strikt noodzakelijk is. Denkbaar is dat een Document retention policy wordt ingezet als een van de middelen voor de invulling van de verplichting om passende technische en organisatorische maatregelen en procedures ten uitvoer te leggen. Ingeval van inbreuk op de veiligheidsmaatregelen door een overtreding van de concept Verordening zal bij het opleggen van een boete rekening worden gehouden met de mate waarin de maatregelen die artikel 23 vereist ten uitvoer zijn gelegd.15 Het ontbreken van een intern beleid of passende maatregelen ter naleving van de concept Verordening, waaronder maatregelen op grond van artikel 23, kan leiden tot een boete van 2% van de jaarlijkse wereldwijde omzet van een onderneming indien sprake is van opzet of nalatigheid.16 Bewaarplichten in de praktijk – Document retention policy In een onderneming of instelling worden vaak veel meer documenten en data bewaard dan strikt noodzakelijk is en voor een langere termijn dan wettelijk verplicht is. Ook worden in de praktijk vaak dezelfde documenten gelijktijdig op verschillende plaatsen opgeslagen, hetgeen leidt tot onnodig beslag op de opslagcapaciteit van een onderneming. Dat zal met name het geval zijn als binnen een onderneming geen duidelijke richtlijnen bestaan over wat wel Een Document retention policy en niet dient te worden bewaard en er geen fysieke of digitale beperking bestaat voor de verschaft duidelijkheid over hoeveelheid data die wordt bewaard. Het het bewaren en vernietigen instellen van een maximum omvang van een mailbox en/of digitale archiefcapaciteit kan van documenten. hierbij behulpzaam zijn.

14

Artikel 13 Wbp.

Artikel 79 lid 2 concept Verordening.

15

16

45

Artikel 79 lid 6 onder e concept Verordening.


Met behulp van een Document retention policy kan een onderneming duidelijkheid verschaffen over het bewaren en vernietigen van documenten. In een Document retention policy wordt per soort document bepaald hoelang het moet worden bewaard, in elke vorm, op welke (fysieke of digitale) locatie en wie daarvoor verantwoordelijk is. Het opstellen van een dergelijk document dwingt de onderneming om actief na te denken over de wijze waarop zij wil omgaan met het bewaren en archiveren van documenten. Ter beperking van de kosten zal een keuze moeten worden gemaakt welke documenten noodzakelijk en relevant zijn om te bewaren en hoelang. Daarbij zal onder meer rekening moeten worden gehouden met: 1. de wettelijke bewaartermijnen; 2. de kosten van opslag van data; 3. de noodzaak over bepaalde gegevens te beschikken met het oog op de bewijspositie in procedures; 4. de verplichting gegevens over te leggen in discovery- en onderzoeksprocedures. Bewijspositie Voorafgaand aan het tekenen van een overeenkomst wordt vaak uitgebreid per e-mail gecorrespondeerd tussen de contractspartijen, waarbij in sommige gevallen een groot aantal conceptovereenkomsten worden uitgewisseld. Indien een overeenkomst eenmaal is gefinaliseerd en getekend dan wordt de relevantie van de voorbereidende documentatie minder. Toch kan zich een situatie voordoen waarin het nuttig is hierover te beschikken, bijvoorbeeld in geval van een geschil over de interpretatie van de overeenkomst (op basis van het Haviltex-criterium en latere jurisprudentie).17 Is de overeenkomst afgelopen en is aan alle verplichtingen uit de overeenkomst voldaan, dan zal de voorbereidende documentatie doorgaans niet meer nodig zijn. De beslissing om deze correspondentie wel of niet te bewaren zal dus een risicoafweging zijn. Indien een onderneming betrokken is of dreigt te worden in een civiele procedure in de Verenigde Staten of tegen haar een onderzoek wordt ingesteld op grond van toezichtwetgeving of buitenlandse wetgeving zoals de Amerikaanse Foreign Corrupt Practices Act (FCPA)18 en de Engelse Bribery Act 2010,19 is de onderneming verplicht alle relevante informatie onder haar controle ter beschikking te stellen aan de wederpartij respectievelijk de toezichthouder (zie hierover uitvoerig het hoofdstuk e-Discovery en privacy: het eeuwige dilemma?). Indien de onderneming informatie heeft vernietigd, waarvan het bestaan vaststaat of later wordt aangetoond, zal dat enkele feit bij civiele procedures in de meeste gevallen leiden tot het HR 13 maart 1981, NJ 1981, 635 (Ermes/Haviltex). Zie ook HR 19 januari 2007, NJ 2007, 575 (Meijer/Pontmeyer).

17

18

Zie http://www.justice.gov/criminal/fraud/fcpa/.

Zie http://www.legislation.gov.uk/ukpga/2010/23.

19

46


verliezen van de zaak en toekennen van een hoge schadevergoeding. Ingeval van toezicht- en strafrechtelijke procedures heeft dit hoge boetes tot gevolg en restrictieve maatregelen voor de onderneming. Zijn de relevante gegevens echter vernietigd ter uitvoering van een op objectieve criteria gebaseerde Document retention policy, die consequent wordt toegepast, dan kan dat een valide verweer opleveren. Invoeren van een Document retention policy Het succes van een Document retention policy staat of valt met een goede communicatie over de bedoeling en uitvoering hiervan, en de acceptatie daarvan door de onderneming. Het is van groot belang om bij de werknemers Het succes van een Document retention policy ‘awareness’ te staat of valt met een goede communicatie en de creëren van het belang van de acceptatie en uitvoering door de onderneming. Document retention policy en een consequente uitvoering daarvan, zowel vanuit het oogpunt van risicobeheersing (bewaren van de juiste documenten) als kostenbeheersing (het niet onnodig bewaren van documenten). Het kan daarbij behulpzaam zijn om werknemers inzicht te geven in de kosten van onnodige data-opslag. Het uitvoeren van een Document retention policy behelst niet alleen de beslissing om documenten en data te bewaren, maar omvat na verloop van tijd ook de beslissing tot verwijdering van bepaalde documenten. Voor documenten waarvoor een maximale wettelijke bewaartermijn geldt, zoals documenten die persoonsgegevens bevatten, is verwijdering noodzakelijk. Voor documenten waarvan de minimale wettelijke bewaartermijn van het BW en de belastingwetgeving is verstreken dient te worden besloten of deze worden verwijderd. Met het oog op een discovery procedure en een (strafrechtelijk) onderzoek moet aangetoond kunnen worden dat de Document retention policy steeds consequent is uitgevoerd.

47


Tips & Tricks • Maak een overzicht van de verschillende soorten informatie die binnen de onderneming worden bewaard. • Stel vast welke minimum of maximum bewaartermijnen gelden voor deze informatie. • Stel met instemming van de OR of MR een Document retention policy vast, waarin per type informatie en soort document wordt bepaald: - hoelang het wordt bewaard; - in welke vorm; - op welke (fysieke of digitale) locatie; en - wie daarvoor verantwoordelijk is. • Communiceer de Document retention policy binnen de onderneming aan bestaande werknemers en aan nieuwe werknemers. • Zorg voor (periodieke) voorlichting en training om ‘awareness’ te bewerkstelligen. • Verspreid een korte handleiding met de uitgangspunten die bij opschonen van dossiers en mailboxen moet worden gehanteerd. • Stel een maximum aan de omvang van de e-mailbox en/of de bewaartermijn van e-mails, om het tijdig weggooien van niet-relevante e-mails en data te bevorderen. • Zorg ervoor dat werknemers digitale documenten en andere data enkel bewaren op apparatuur van de onderneming, en niet op privéapparatuur. • Als de onderneming BYOD (Bring Your Own Device) toestaat: zie erop toe dat de Document retention policy ook op deze apparatuur wordt uitgevoerd. • Zorg dat vertrekkende werknemers hun e-mailbox opschonen en waar nodig toegang geven aan collega’s. • Maak kosten van dataopslag inzichtelijk voor werknemers en wijs hen op het belang bij het opschonen de handleiding te gebruiken. • Zorg voor regelmatige opschoning van de bewaarde documenten; de noodzaak of wenselijkheid om een document te bewaren kan na verloop van tijd afnemen. Denk daarbij ook aan back-ups. • Evalueer de Document retention policy regelmatig met een panel van gebruikers en met de IT-afdeling.

48


49


Cookies en toestemming Cookies zijn kleine tekstbestanden die op een computer worden geplaatst en worden uitgelezen door de browser bij het openen van een internetpagina. - DDMA 2012 Inleiding Met de herziening van de e-Privacyrichtlijn1 in 2009 zijn de wettelijke vereisten voor het plaatsen van cookies aangescherpt. De aanscherping omvat onder meer een wijziging van artikel 5 lid 3 van de oude e-Privacyrichtlijn2 uit 2002, die betrekking heeft op het plaatsen van informatie op eindapparatuur (zoals een computer of een smartphone), en het uitlezen van informatie die daarop is opgeslagen. Hoewel het begrip ‘informatie’ ruimer is, ziet deze bepaling hoofdzakelijk op het plaatsen en uitlezen van cookies. Op basis van de oude e-Privacyrichtlijn was het voldoende dat de mogelijkheid werd geboden cookies te weigeren (opt-out). Cookies werden echter veelal zonder medeweten van de gebruiker geplaatst, terwijl de gebruiker geen informatie ontving over de gegevens die werden verzameld. De Europese wetgever was van mening dat onder die omstandigheden de opt-outregeling niet werkte. Als de gebruiker niet weet dat en welke gegevens worden verzameld, zal hij dat ook niet kunnen weigeren. Als gevolg van technologische ontwikkelingen werd het echter mogelijk steeds grotere hoeveelheden informatie te verzamelen en te analyseren en op basis daarvan individuele gebruikersprofielen vast te Het vereiste van toestemming en het stellen. In de jaren na 2002 ontstond op grond daarvan een markt voor verstrekken van informatie geldt in behavioral advertising, het aanbieden beginsel voor alle typen cookies. van op het profiel van gebruikers afgestemde advertenties. Onder de herziene e-Privacyrichtlijn is het plaatsen en uitlezen van cookies alleen nog toegestaan als de betreffende abonnee of gebruiker daarvoor toestemming heeft gegeven op basis van duidelijke en volledige informatie. Deze omschrijving is ontleend aan de

Richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009, Pb L 337,

1

blz. 11 – 36, 18/12/2009, te vinden op http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337: 0011:0036:nl:PDF. Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie, Pb. L 201 van 31/07/2002, blz. 37 –

2

47, te vinden op http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:0037:NL:PDF.

50


Privacyrichtlijn.3 Het vereiste van toestemming en het verstrekken van informatie geldt in beginsel voor alle typen cookies. Uitgezonderd van het toestemmingsvereiste zijn cookies die noodzakelijk zijn voor de goede werking van een website.4 De Artikel 29 Werkgroep, het adviesorgaan van de Europese Commissie op privacygebied waarin de toezichthouders van De Artikel 29 Werkgroep de 27 EU-lidstaten zijn vertegenwoordigd, heeft heeft een zevental cookies in een opinie over ‘Cookie Consent Exemptions’ een zevental cookies geïdentificeerd die onder geïdentificeerd waarvoor de uitzondering vallen, waaronder sessiongeen toestemming nodig is. ID-cookies, load-balancing-sessioncookies en authenticatiecookies.5 Als de met een cookie verzamelde gegevens gekwalificeerd kunnen worden als persoonsgegevens (tot een individueel persoon herleidbare informatie) dan zijn naast de e-Privacyrichtlijn ook de andere bepalingen van de Privacyrichtlijn van toepassing.

3

Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PbL 281 van 23/11/1995, blz. 31 - 50, te vinden op http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML.

4

De uitzondering betreft ‘enige vorm van technische opslag met als uitsluitend doel de uitvoering van de verzending van de communicatie over een elektronisch communicatienetwerk of, indien strikt noodzakelijk, om ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij deze dienst levert.’

5

Artikel 29 Werkgroep, Opinion 04/2012 on Cookie Consent Exemption, WP194, van 7 juni 2012. Te vinden op http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/ files/2012/wp194_en.pdf. Daarin worden de volgende cookies genoemd, voor het plaatsen en uitlezen waarvan geen toestemming nodig is: 1) User input cookies (session-id), for the duration of a session or persistent cookies limited to a few hours in some cases. 2) Authentication cookies, used for authenticated services, for the duration of a session. 3) User centric security cookies, used to detect authentication abuses, for a limited persistent duration. 4) Multimedia content player session cookies, such as flash player cookies, for the duration of a session. 5) Load balancing session cookies, for the duration of a session. 6) UI customization persistent cookies, for the duration of a session (or slightly more). 7) Third party social plug-in content sharing cookies, for logged in members of a social network.

51


Soorten cookies Met het oog op het bepalen van de reikwijdte van artikel 5 lid 3 van de herziene e-Privacyrichtlijn wordt doorgaans onderscheid gemaakt tussen verschillende categorieën cookies: (i) technische cookies, (ii) analytische en statistische cookies en (iii) trackingcookies. Technische cookies zijn de cookies die noodzakelijk zijn voor het faciliteren van het gebruik van een website. Een voorbeeld is een cookie die de door de gebruiker gekozen taal onthoudt of die bijhoudt welke producten een gebruiker van een website in zijn mandje heeft geplaatst alvorens af te rekenen. Een ander voorbeeld zijn beveiligingscookies die bij online bankieren worden gebruikt om de beveiligde verbinding met de klant te ondersteunen. Al deze cookies bewaren alleen informatie tijdens of ten behoeve van de sessie van een gebruiker. Analytische en statistische cookies zijn cookies die bijvoorbeeld het aantal unieke bezoekers van een website tellen of informatie verzamelen over het surfgedrag op een website. Er is discussie over de vraag of deze cookies vallen onder de uitzondering van cookies die noodzakelijk zijn om het gebruik van de website te faciliteren. Recent heeft minister Kamp van Justitie zich op het standpunt gesteld dat het toestemmingsvereiste niet geldt voor ‘first party analytische cookies’, waarmee de websitehouder uitsluitend gegevens over het gebruik van de eigen website verzamelt ten behoeve van het verbeteren van de werking van die website.6 In het algemeen wordt ervan uitgegaan dat de De minister heeft aan de toestemming moet zijn verleend voordat een OPTA gevraagd de nadere cookie mag worden geplaatst of uitgelezen. voorwaarden hiervoor uit te werken, waaronder in ieder geval dat met de cookies uitsluitend geanonimiseerde gegevens mogen worden verzameld die niet met derden worden gedeeld. De Franse privacytoezichthouder CNIL7 is van mening dat cookies die uitsluitend tijdens een gebruikssessie statistische informatie verzamelen over het gedrag op de website zijn uitgezonderd van het toestemmingsvereiste.8 Trackingcookies zijn cookies die gegevens verzamelen over het gedrag van een gebruiker op de websites die hij bezoekt. Dergelijke cookies worden doorgaans – met toestemming Brief d.d. 20 december 2012 van minister Kamp aan de Tweede Kamer. Te vinden op http://rijksoverheid.nl/

6

documenten-en-publicaties/kamerstukken/2012/12/20/kamerbrief-olver-analytische-cookies-en-artikel-117a-van-de-telecommunicatiewet.html. Commission nationale de l’informatique et des libertés. Zie http://www.cnil.fr/english/.

7

CNIL, What the Telecoms Package changes for cookies. Te vinden op http://www.cnil.fr/english/news-and-

8

events/news/article/what-the-telecoms-package-changes-for-cookies/.

52


of in opdracht van de websitehouder – geplaatst door een advertentienetwerk. Het advertentienetwerk verzamelt op die manier grote hoeveelheden gegevens, waarmee profielen van de gebruikers worden opgesteld. Deze profielen worden vervolgens ‘verkocht’ aan adverteerders, in die zin dat zij tegen betaling opdracht geven aan het advertentienetwerk om een bepaalde advertentie te tonen aan gebruikers met het gekochte profiel. Een deel van deze inkomsten draagt het advertentienetwerk af aan de websitehouder die hem toestemming of opdracht heeft gegeven om de cookie te plaatsen. Advertentienetwerken bewaren de profielgegevens veelal langere tijd (enkele jaren). Implementatie in Nederland Het gewijzigde artikel 5 lid 3 Richtlijn is in Nederland geïmplementeerd in artikel 11.7a Telecommunicatiewet (Tw),9 dat op 5 juni 2012 in werking is getreden.10 Het begrip toestemming in artikel 11.7a Tw heeft dezelfde betekenis11 als in artikel 1, onder i, van de Wet bescherming persoonsgegevens (Wbp).12 Daarin is toestemming omschreven als: ‘elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt’. In het algemeen wordt ervan uitgegaan dat de toestemming moet zijn verleend voordat een cookie mag worden geplaatst of uitgelezen. Ondubbelzinnige toestemming? Sindsdien is in verschillende media en fora de mening verkondigd dat artikel 11.7a Tw voor trackingcookies in beginsel ondubbelzinnige toestemming vereist.13 Dat is echter niet het geval. Toepasselijkheid van de Wbp betekent wel dat er een rechtvaardigingsgrond voor verwerking moet zijn, maar dat kan ook een andere dan toestemming zijn.

Stb. 1998, 610.

9

Wet van 10 mei 2012 tot wijziging van de Telecommunicatiewet ter implementatie van de herziene

10

telecommunicatierichtlijnen, Stb. 2012, 235. 11

Artikel 11.1 onderdeel g. Tw bepaalt dat in hoofdstuk 11 wordt verstaan onder toestemming van een gebruiker of abonnee: ‘toestemming van een betrokkene als bedoeld in artikel 1, onder i, van de Wbp, met dien verstande dat de toestemming mede betrekking kan hebben op gegevens van abonnees die geen natuurlijke personen zijn’. Stb. 2001, 302.

12 13

Waaronder de Rijksoverheid: ‘de wet gaat er dan vanuit dat wie een cookie plaatst om surfgedrag te volgen, dat doet om persoonsgegevens te verwerken. Dit betekent dat voor cookies die surfgedrag volgen in de regel ondubbelzinnige toestemming vereist is’. Zie http://www.rijksoverheid.nl/onderwerpen/ict/veiligonline-en-e-privacy/internetbezoek-volgen-met-cookies. Op de site Cookierecht staat vermeld: ‘tracking cookies vallen onder de privacywet en vereisen expliciete en ondubbelzinnige toestemming voordat ze mogen worden geplaatst’. Zie https://cookierecht.nl/diensten/juridisch-advies/achtergrond-cookiewet/.

53


Artikel 8 Wbp bevat Bij de kamerbehandeling is op het laatste immers een zevental rechtvaardigingsgronden moment het wettelijk vermoeden toegevoegd voor de verwerking dat het gebruik van trackingcookies een van persoonsgegevens en ondubbelzinnige verwerking van persoonsgegevens is. toestemming (onderdeel a) is er daar één van. Zoals in de Memorie van Toelichting bij dit artikel is benadrukt is deze grond echter niet exclusief en kunnen ook op andere in artikel 8 genoemde gronden gegevens worden verwerkt.14 Persoonsgegevens mogen ook op grond van een van de andere in het artikel vermelde gronden worden verwerkt. Mede gezien de bezwaren die kleven aan het vragen van toestemming van de betrokkene – deze kan te allen tijde worden ingetrokken en is in situaties met ongelijke verhoudingen (zoals werkgever-werknemer) niet bruikbaar – wordt in Nederland in de meeste gevallen artikel 8 onderdeel f Wbp als rechtvaardigingsgrond gebruikt. Daarin is bepaald dat persoonsgegevens mogen worden verwerkt als deze verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij (kort gezegd) het privacybelang van de betrokkene prevaleert. De verantwoordelijke moet dus een afweging maken tussen deze belangen. Daarbij moet hij alle relevante factoren betrekken, zoals de mate van gevoeligheid van de gegevens, de hoeveelheid gegevens en de maatregelen die zijn genomen om rekening te houden met de belangen van de betrokkene. Het gerechtvaardigd belang van de verantwoordelijke en van het advertentienetwerk is gelegen in de inkomsten die met de verzamelde gegevens kunnen worden gegenereerd. Zonder trackingcookies is dat niet mogelijk. Daar staat tegenover dat de inbreuk op de privacy van de betrokkene tamelijk gering is. Bovendien kan hij met een simpele browserinstelling geplaatste cookies verwijderen. Impliciete toestemming Het belang van deze interpretatie is dat daarmee de mogelijkheid wordt geopend om – ook bij de huidige tekst van artikel 11.7a, eerste lid, Tw – impliciete toestemming voldoende te achten, mits de gebruiker duidelijke en volledige informatie heeft ontvangen over de te plaatsen cookies. Een dergelijke interpretatie is ook in lijn met de opvattingen van buitenlandse

14

54

Kamerstukken II, 1997-1998, 25892, nr. 3, p. 80.


toezichthouders.15 Het ICO,16 de Engelse toezichthouder, neemt nadrukkelijk het standpunt in dat toestemming – ook voor het plaatsen van trackingcookies - impliciet kan worden gegeven.17 Het ICO gaat ervan uit dat het voldoende is dat een banner of een balk op de website is geplaatst waar een hyperlink naar informatie over de cookies wordt aangeboden en de gebruiker erop wordt gewezen dat, als hij verdergaat met het gebruik van de website, hij wordt geacht de cookies te hebben geaccepteerd.18 Het is vooralsnog geen Het wettelijk vermoeden betekent niet dat uitgemaakte zaak dat een dergelijke impliciete voor trackingcookies ondubbelzinnige toestemming ook in Frankrijk toestemming is vereist. en Nederland als voldoende wordt aanvaard. De Franse privacytoezichthouder CNIL benadrukt wel dat de wijze waarop toestemming moet worden gegeven kan verschillen al naargelang de indringendheid van een cookie en erkent daarmee ook de mogelijkheid van impliciete toestemming.19 De OPTA biedt op haar website een publicatie aan met als titel ‘Veelgestelde vragen over de nieuwe cookieregels’, waarin niet wordt ingegaan op de vraag of op grond van artikel 11.7a Tw impliciete toestemming mogelijk is, maar dit ook

Brief d.d. 20 december 2012 van minister Kamp aan de Tweede Kamer. Te vinden op http://www.

15

rijksoverheid.nl/bestanden/documenten-en-publicaties/kamerstukken/2012/12/20/kamerbrief-olveranalytische-cookies-en-artikel-11-7a-van-de-telecommunicatiewet/analytische-cookies-en-artikel-11-7avan-de-telecommunicatiewet.pdf. 16

Information Commissioner’s Office. Te vinden op http://www.ico.gov.uk/.

ICO, Guidance on the rules on use of cookies and similar technologies (mei 2012). Te vinden op http://www.

17

ico.gov.uk/for_organisations/privacy_and_electronic_communications/the_guide/cookies.aspx. 18

ICO, Guidance on the rules on use of cookies and similar technologies, p. 20: ‘Some users might not [click on either “I agree” or “No thanks”] and go straight through to another part of the site. If they do, you might decide that you could set a cookie and infer consent from the fact that the user has seen a clear notice and actively indicated that they are comfortable with cookies by clicking through and using the site. This is an option that relies on the user being aware that the consequence of using the site is the setting of cookies. If you choose this option you might want the reassurance of a notice appearing elsewhere on the site which reminds users that you are setting cookies.’

CNIL is van mening: ‘The word “agreement” thus clearly refers to consent as defined in article 2(h) of Directive

19

95/46/EC, that is to say to “any freely given specific and informed indication of his wishes by which the data subject signifies his agreement to personal data relating to him being processed.’ Zie: What the Telecoms Package changes for cookies (december 2011). Te vinden op http://www.cnil.fr/english/news-and-events/news/ article/what-the-telecoms-package-changes-for-cookies/.

55


niet met zoveel woorden wordt uitgesloten.20 Ook de Artikel 29 Werkgroep sluit in haar recente opinie over ‘Consent’ impliciete toestemming niet uit: ’The notion of “indication” is wide, but it seems to imply a need for action. (…) The requirement that the data subject must “signify” his consent seems to indicate that simple inaction is insufficient and that some sort of action is required to constitute consent, although different kinds of actions, to be assessed “in context”, are possible.’ 21 In het beschreven voorbeeld van het ICO zou het doorklikken naar een volgende pagina, nadat de informatiebalk over cookies is getoond, kunnen worden aangemerkt als een ‘indication signifying consent’. In de Memorie van Toelichting bij de wijziging van artikel 11.7a Tw is onderkend dat toestemming ook kan worden gegeven door middel van een browserinstelling.22 Daarbij is aangetekend dat de op dat moment (2010) beschikbare browsers, die standaard alle cookies aanvaarden en moeten worden gewijzigd om cookies te weigeren, niet voldoen aan het toestemmingsvereiste van artikel 5 lid 3 e-Privacyrichtlijn. Dat vereist immers een wilsuiting van de betrokkene dat hij de betreffende cookies wil aanvaarden, die per cookie kan verschillen. Ook de Artikel 29 Werkgroep heeft zich hierover kritisch uitgelaten en er voorts op gewezen dat de door de gebruiker gemaakte keuze kan worden omzeild (door flashcookies, die na verwijdering zichzelf ‘herplaatsen’) en dat bij de huidige browserinstellingen eenmalig toestemming wordt gegeven voor alle toekomstige cookies, zonder dat daarbij het doel van deze cookies van geval tot geval kan worden afgewogen.23 Overigens wordt al enige jaren door het bedrijfsleven gewerkt aan een aanpassing van de meest gebruikte browsers, zodat daarmee wel kan worden voldaan aan het toestemmingsvereiste van de Telecommunicatiewet. Vooralsnog moet ervan uit worden gegaan dat de bestaande browsers daarvoor niet geschikt zijn.

20

Veelgestelde vragen over de nieuwe cookiebepaling - update 2 augustus 2012. Te vinden op http://www.opta.nl/nl/actueel/alle-publicaties/publicatie/?id=3636.

Artikel 29 Werkgroep, Opinion 15/2011 on the definition of consent, WP187, van 13 juli 2012, p. 12. Te vinden

21

op http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/ files/2011/wp187_en.pdf. Kamerstukken II, 2010-2011, 32549, nr. 3, p. 80.

22 23

Artikel 29 Werkgroep, Opinion 2/2010 on online behavioural advertising, WP171, van 22 juni 2010, p. 14. Te vinden op http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp171_en.pdf.

56


Informatie Zoals aangegeven moet de toestemming worden verleend op basis van duidelijke en volledige informatie over de cookies. Voor zover daarmee persoonsgegevens worden verwerkt geldt eenzelfde verplichting op grond van artikel 33 en 34 Wbp. Ook de toezichthouders benadrukken het belang van voldoende informatie die voorafgaand aan de betrokkenen wordt verstrekt en die eenvoudig te vinden is.24 Welke informatie moet worden verschaft is onderwerp van discussie. Worden door de cookie persoonsgegevens verwerkt dan zijn de bepalingen van artikel 33 en 34 Wbp van toepassing. Die vereisen dat de identiteit van de verantwoordelijke en de doeleinden van de Browsers die standaard alle verwerking worden meegedeeld, alsmede cookies aanvaarden voldoen niet informatie die nodig is om tegenover de aan het toestemmingsvereiste. betrokkene ‘een behoorlijke en zorgvuldige verwerking’ te waarborgen. De Nederlandse afdeling van het Interactive Advertising Bureau (IAB) heeft voor de te verstrekken informatie een drietrapsbenadering ontwikkeld in overleg met het bedrijfsleven en de OPTA.25 De eerste stap bestaat uit een pop-upbalk die verschijnt zodra een bezoeker op een website komt. Daarin wordt vermeld dat de website gebruikmaakt van cookies en wordt een link aangeboden naar nadere informatie. Wie op deze link klikt ontvangt een korte uitleg over de op de website gebruikte cookies. Deze uitleg is algemeen van aard en maakt geen 24

ICO, Guidance on the rules on use of cookies and similar technologies: ‘The provider must ensure that clear and relevant information is readily available to users explaining what is likely to happen while the user is accessing the site and what choices the user has in terms of controlling what happens. (…) the text should be sufficiently full and intelligible to allow individuals to clearly understand the potential consequences of allowing the cookies should they wish to do so (…). Making sure users will see clear information about cookies is important for compliance with the information requirements of the Regulations, to ensure that consent is valid and more broadly to increase levels of user awareness.’ CNIL, What the Telecoms Package changes for cookies: ‘The validity of consent is linked to the quality of the provided information. It must be written in simple terms that are comprehensible to the general public, while being precise.’ OPTA, Veelgestelde vragen over de nieuwe cookiebepaling – update (2 augustus 2012): ’Partijen die cookies plaatsen en lezen moeten duidelijke informatie geven over het feit dat zij cookies gebruiken en met welk doel.’ 1AB, Industriebrede Informatieteksten. Praktische handvatten zodat ook uw organisatie kan voldoen aan

25

de wettelijke informatieplicht conform de Cookiebepaling in de Telecommunicatiewet (art. 11.7a Tw). Te vinden op http://www.iab.nl/wp-content/uploads/downloads/2012/11/Guide-IndustriebredeCookie-informatieteksten.pdf.

57


onderscheid naar type cookies. Vervolgens kan de gebruiker opnieuw doorklikken waarop een pagina verschijnt die gedetailleerde uitleg geeft over de op de website gebruikte cookies. Daarin staan de categorieën van cookies vermeld, ingedeeld naar de informatie die zij verzamelen en de doeleinden waarvoor dat gebeurt. Daaronder volgt een lijst met alle op de website gebruikte cookies en per cookie door wie deze wordt geplaatst, tot welke informatiecategorie de cookie behoort en hoelang de informatie wordt bewaard. Aannemelijk is dat daarmee aan het informatievereiste is voldaan, zij het dat uit de informatie niet valt af te leiden aan welke categorieën van personen de informatie wordt verstrekt. Cookies onder de concept-privacyverordening Het regime voor cookies onder de e-Privacyrichtlijn wordt verder aangescherpt in de op 25 januari 2012 gepubliceerde concept-privacyverordening.26 In artikel 20 van de concept Verordening is opgenomen dat voor profilering de toestemming van de betrokkene is vereist. Op grond hiervan is de toestemming niet langer gekoppeld aan de verwerking van persoonsgegevens, maar is vereist voor iedere geautomatiseerde verwerking van gegevens die bestemd is om bepaalde aspecten van de persoonlijkheid van een individuele persoon te evalueren of om met name zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid op gedrag te analyseren of te voorspellen. Dat betekent dat in beginsel voor alle trackingcookies en analytische cookies toestemming zal zijn vereist. Onder toestemming wordt verstaan elke vrije, specifiek op informatie berustende en uitdrukkelijke wilsuiting waarmee de betrokkene door middel van hetzij een verklaring hetzij een ondubbelzinnige actieve handeling aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. Ten opzichte van de huidige definitie van artikel 1 onder i Wbp (zie hierboven) valt op dat er sprake moet zijn van een uitdrukkelijke wilsuiting, die blijkt uit een verklaring of een ondubbelzinnige Als deze tekst wordt aangenomen zal actieve handeling. Als deze tekst impliciete toestemming vermoedelijk wordt aangenomen zal impliciete toestemming vermoedelijk niet meer niet meer zijn toegestaan zijn toegestaan.

Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming

26

van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), 25/1/2012, COM(2012) 11 final. Te vinden op http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_nl.pdf.

58


Tips & Tricks (grote lijnen) 1. Bepaal welke cookies worden gebruikt. 2. Onderscheid technische, analytische en trackingcookies. 3. Plaats een balk, banner, pop-up e.d. op de website met: a. een korte mededeling dat cookies worden gebruikt; b. een button of hokje waar toestemming kan worden gegeven; en c. een hyperlink naar nadere informatie over cookies. 4. Onder de hyperlink: informatie over de gebruikte cookies en mogelijkheid om iedere cookie te accepteren. 5. Indien geen toestemming wordt gegeven geen cookie plaatsen. 6. Vermeld op balk etc. (zie 3) dat wanneer de gebruiker verdergaat met gebruik van de website hij daarmee toestemming geeft om alle cookies te gebruiken.27

OPTA moet zich nog uitspreken of impliciete toestemming, zoals hier voorgesteld, is toegestaan.

27

59


Privacy in de cloud: er zit onweer in de lucht Cloud computing is het opslaan, verwerken en gebruiken van de data van een onderneming op de servers van een cloudprovider in plaats van op servers in de kelder van het hoofdkantoor. De cloudprovider kan daarnaast gebruik van software en andere hardware aanbieden, waartoe de onderneming met logincodes online toegang heeft. De onderneming betaalt per opslageenheid, gebruiker en/of gebruiksduur. De term ‘cloud computing’ is in 2006 vrijwel gelijktijdig gelanceerd door Amazon en Google. Zij hadden over de hele wereld servers staan waarvan de capaciteit een groot deel van de dag niet volledig werd benut. Om het rendement van de servers te verhogen boden zij de restcapaciteit aan derden aan om hun data en software te plaatsen. Om maximaal rendement te behalen werden de data steeds op de server gezet waar op dat moment ruimte was. Deze ‘location shift’ is bepalend geworden voor het beeld dat van cloud computing bestaat. Voor veel ondernemingen is het belangrijk op ieder moment de controle over hun data te kunnen uitoefenen. Financiële instellingen en andere ondernemingen die onder toezicht staan van DNB dienen op grond van de Wet financieel toezicht en het Besluit prudentiele regels Wft steeds de controle over hun gegevens te hebben en te zorgen dat de cloudprovider voldoet aan de toezichtwetgeving.1 Een voortdurende, door de cloudprovider bepaalde ‘location shift’ van data bemoeilijkt die controle. Ook moet DNB op ieder moment toegang tot de gegevens kunnen krijgen. Ook dat verdraagt zich slecht met het voortdurend van locatie veranderen van de data. Bovendien is daarvoor de medewerking van de cloudprovider nodig. Tenslotte is de locatie van de data – en vooral de verandering van locatie – een belangrijk gegeven om te voldoen aan de wettelijke privacyregels. Om in deze behoeften te voorzien zijn modellen van cloud computing ontstaan waarbij de onderneming in meerdere of mindere mate bepaalt op welke locaties de data worden DNB heeft aangegeven cloud gehouden. Zijn de servers uitsluitend voor één computing te beschouwen als onderneming bestemd dan is sprake van een private cloud. Dat verschilt niet of nauwelijks van een vorm van uitbesteding. outsourcing van de hosting van dataverwerking. Zie de artikelen 27 t/m 32a van het Besluit prudentiële regels, dat artikel 3:18 van de Wet financiëel toezicht

1

uitvoert.

60


DNB heeft dan ook aangegeven cloud computing te beschouwen als een vorm van uitbesteding.2 DNB moet vooraf worden geinformeerd over het voornemen om over te gaan op cloud computing en aan haar moet een risicoanalyse ter beschikking worden gesteld.3 Voor- en nadelen Voor ondernemingen kan cloud computing veel voordelen hebben. De cloud biedt flexibiliteit: als er serverruimte of andere software of hardware nodig is, hoeft deze niet te worden gekocht, maar kan in beginsel à la minute worden gehuurd. Daarmee kan niet alleen worden bespaard op aanschaf- en energiekosten, maar ook op kantoorruimte en, in voorkomende gevallen, op IT-staf. Servers zijn niet langer kapitaallasten, maar worden operationele kosten. De Europese Commissie heeft in een recente studie berekend dat een Europese markt voor cloud computing aan besparingen en productiviteitsverbetering in 2020 in totaal EUR 160 miljard per jaar kan opleveren. Het onderzoek waar dat op is gebaseerd heeft uitgewezen dat ondernemingen gemiddeld 10 tot 20% op hun IT-kosten besparen door cloud computing.4 Cloud computing is dan ook eerder een economisch dan een technologisch fenomeen. Het belangrijkste nadeel van cloud computing is dat de onderneming voor haar bedrijfsvoering in sterke mate afhankelijk wordt van de cloudprovider. Dat geldt des te meer als ook de IT-staf grotendeels verdwijnt. Die afhankelijkheid roept vragen op over de risico’s en hoe controle en regie zoveel mogelijk kunnen worden behouden. Vragen die ook op het bord van de bedrijfsjurist liggen zijn: • Hoe wordt gewaarborgd dat data en software altijd toegankelijk en beschikbaar zijn? • Hoe kan afdoende beveiliging worden afgedwongen en gecontroleerd? • Hoe wordt gezorgd dat bij beëindiging van de overeenkomst een naadloze overgang naar de nieuwe provider plaatsvindt en geen data achterblijven? Het antwoord op die vragen is relatief simpel, maar kan in de praktijk lastig zijn. Het simpele antwoord is: zoek een provider die de nodige garanties biedt t.a.v. toegang, beschikbaarheid, controle en beveiliging. Maak een exitplan waarin is geregeld wat er bij

Circulaire Cloud Computing van De Nederlandsche Bank d.d. 6 december 2011. Te vinden op

2

http://www.toezicht.dnb.nl/binaries/Cloud%20computing_tcm50-224828.pdf. zie J.M.A. Berkvens, Clou(d)(t)sourcing binnen de financiele sector, Tijdschrift voor Financieel Recht 2012/12,

3

p. 444 e.v. Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Uptake,

4

D4 – Final Report, IDC, July 13th 2012. Te vinden op http://ec.europa.eu/information_society/activities/ cloudcomputing/docs/quantitative_estimates.pdf.

61


beëindiging van de relatie moet gebeuren en hoe data worden overgedragen. En leg alles contractueel goed vast. Het lastige is dat veel cloudproviders werken met standaardcontracten die niet of nauwelijks onderhandelbaar zijn. Voor de meest voordelige clouddiensten worden geen garanties geboden en is aansprakelijkheid vrijwel geheel uitgesloten. Bij duurdere cloud-computingmodellen, die de onderneming meer zekerheid geven over de kwaliteit van de geleverde diensten en de accountability van de provider, zijn garanties en toegangsrechten vaak wel onderhandelbaar. Ook is het vaak mogelijk af te spreken dat de gegevens binnen de EU blijven, of zelfs binnen Nederland. En de cloudprovider is misschien zelfs bereid een boeteclausule en een normale aansprakelijkheid te accepteren. Privacy Het ‘in de cloud’ gaan roept ook de vraag op hoe een onderneming kan voldoen aan de toepasselijke wetgeving als de data zich in een ander land bevinden. In 2012 heeft vooral de Europese privacywetgeving de nodige aandacht gekregen. Volgens de Europese Commissie in haar recente publicatie ‘Unleashing Volgens de Europese Commissie vormen the potential of cloud computing in Europe’ is uit onderzoek zorgen over privacy de belangrijkste gebleken dat zorgen over privacy barrière voor ondernemingen die cloud de belangrijkste barrière vormen voor ondernemingen die cloud computing overwegen. computing overwegen.5 De Artikel 29 Werkgroep, het adviesorgaan van de Europese Commissie op privacygebied waarin de toezichthouders van de 27 EU-lidstaten zijn vertegenwoordigd, heeft in haar advies over cloud computing en privacy aangegeven dat gebrek aan controle over de gegevens en onvoldoende informatie over de gegevensverwerkingen de belangrijkste obstakels zijn.6 De European Data Protection Supervisor, privacytoezichthouder voor de Europese instellingen, maar tevens onafhankelijk adviseur van de Commissie en het Europees Parlement, heeft naar Unleashing the potential of cloud computing in Europe – What is it and what does it mean for me?

5

European Commission 27 september 2012. Te vinden op http://ec.europa.eu/information_society/activities/ cloudcomputing/docs/com/com_cloud.pdf. Artikel 29 Werkgroep, Opinion 05/2012 on Cloud Computing, WP 196, 1 juli 2012. Te vinden op http://

6

ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/ wp196_en.pdf.

62


aanleiding van beide documenten in een recente opinie zijn visie op de privacyaspecten van het gebruik van cloud computing gegeven.7 De belangrijkste ontwikkeling voor cloudproviders en hun klanten is ongetwijfeld de op 25 januari 2012 gepubliceerde concept-privacyverordening,8 ter vervanging van de uit 1995 stammende Privacyrichtlijn.9 Het zal naar verwachting nog een aantal jaren duren voor deze verordening van kracht wordt, maar de verordening werpt haar donkere schaduwen vooruit. Het meest opvallend zijn de sterk uitgebreide De sanctiemogelijkheden van het CBP worden bevoegdheden van sterk uitgebreid als de conceptverordening in toezichthouders in de lidstaten (art. 53 van de de huidige vorm wordt aangenomen. concept Verordening). In Nederland is dat het College Bescherming Persoonsgegevens (CBP). Op basis van de huidige privacywetgeving heeft het CBP beperkte onderzoeks- en sanctiebevoegdheden. Die worden sterk uitgebreid als de verordening in de huidige vorm wordt aangenomen. Het CBP kan dan een verbod op verwerking van bepaalde gegevens opleggen en krijgt vérgaande onderzoeksbevoegdheden. Die zijn geënt op de bevoegdheden van mededingingsautoriteiten zoals de NMa. Gedacht kan worden aan de uit mededingingszaken bekende dawn raids, onaangekondigde bezoeken van de toezichthouder aan kantoren van de onderzochte onderneming, waar men in het kader van opsporing van strafbare feiten toegang verlangt tot de aanwezige IT-infrastructuur en alle relevante data kopiëert. Boetes Met het oog op verbetering van de handhaving van de privacyregels krijgen het CBP en zijn Europese collega’s de mogelijkheid hoge boetes op te leggen bij overtreding van de verordening. De maximale boete is 2% van de jaarlijkse wereldwijde omzet (artikel 79 lid 6 Te vinden op http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/Consultation/

7

Opinions/2012/12-11-16_Cloud_Computing_EN.pdf. Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van

8

natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), 25/01/2012, COM(2012) 11 final. Te vinden op http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_nl.pdf. Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de

9

bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Pb EG Nr. L 281 van 23/11/1995 p. 0031 – 0050.

63


van de concept Verordening). In het kader van cloud computing is vooral van belang dat er een boete staat op ongeoorloofde doorgifte van gegevens naar een land buiten de EEA (artikel 40 tot 44). Dat kan in de cloud, zonder adequate afspraken en maatregelen, al snel gebeuren. In beginsel bepaalt de cloudprovider immers op welke locatie de gegevens worden opgeslagen. Deze boetebepalingen onderstrepen dat een onderneming die overweegt in de cloud te gaan, zich ervan moet vergewissen (en contractueel zeker stellen) dat de cloudprovider voldoet aan de privacyregels en dat zij daarop toezicht kan houden middels onaangekondigde audits. Dat geldt temeer omdat op grond van artikel 26 van de concept Verordening de onderneming, als verantwoordelijke, aansprakelijk is voor overtredingen van de privacyregels door de cloudprovider. Contractuele afspraken De Franse privacytoezichthouder CNIL10 heeft recent een aantal aanbevelingen11 gepubliceerd voor ondernemingen die van plan zijn cloud computing te gebruiken. Vooraf moet intern een risicoanalyse worden uitgevoerd. Daarnaast moet worden bepaald of ook gevoelige gegevens in de cloud gaan, want daarvoor gelden extra eisen. Verder moet worden vastgesteld: • aan welke juridische en technische voorwaarden de verwerkingen moeten voldoen; • wat de grootste risico’s zijn; en • welke maatregelen nodig zijn om deze zoveel mogelijk te beperken. Vastgesteld moet worden – net als bij uitbesteding - of de onderneming voldoende IT-kennis in huis houdt om niet volledig afhankelijk te worden van de cloudprovider en hoe aan het eind van de overeenkomst data (en eventueel het IT-personeel) terugkomen bij de klant. De analyse moet ook zien op de maatregelen die de cloudprovider neemt om de vertrouwelijkheid te waarborgen van concurrentiegevoelige informatie, zoals ongepubliceerde omzet- en winstcijfers en gegevens over overnames en mededingingskwesties. Ten slotte moet worden beoordeeld of de cloudprovider de onderneming in staat stelt te voldoen aan specifieke branchevoorwaarden, zoals de beveiliging- en toezichteisen van DNB Commission nationale de l’informatique et des libertés. Zie http://www.cnil.fr/english/.

10 11

Recommendations for companies planning to use Cloud computing services, 25 juni 2012. Te vinden op http://www.cnil.fr/fileadmin/documents/en/Recommendations_for_companies_planning_ to_use_Cloud_computing_services.pdf.

64


voor financiële instellingen. De betrokkenheid van juristen bij deze analyses en het contractueel vastleggen van de waarborgen is onontbeerlijk.

De betrokkenheid van juristen bij de analyse van de risico’s van cloud computing en het contractueel vastleggen van waarborgen is onontbeerlijk.

Buitenlandse wetgeving Daarbij moet nog één ander juridisch risico onder ogen worden gezien. In de VS en sommige andere landen heeft de overheid wettelijke bevoegdheden om een provider te vragen toegang te geven tot de gegevens op zijn server. In dit verband wordt vaak de USA Patriot Act12 genoemd. Die breidt de bestaande bevoegdheden van de FBI en andere onderzoeksinstanties uit om ter bestrijding van terrorisme of buitenlandse spionage gegevens over burgers op te vragen, ook van cloudproviders. Vergelijkbare bevoegdheden kunnen worden ontleend aan de Foreign Intelligence Surveillance Act, aangepast in 2008 , waarvan President Obama eind 2012 de looptijd met vijf jaar heeft verlengd. Op grond daarvan kunnen bijvoorbeeld cloud providers zonder rechterlijk bevel worden verplicht informatie over bepaalde buiten de Verenigde Staten woonachtige personen te verstrekken.13 Beide wetten zijn primair gericht op het bestrijden van internationaal terrorisme, sabotage en contraspionage maar bevatten vrijwel geen waarborgen voor de onderneming of persoon op wie de verstrekte informatie betrekking heeft. Hoewel het aantal keren dat bevoegdheden onder de USA Patriot Act en de FISA zijn gebruikt beperkt lijkt, bestaat er in Europa, vooral vanwege de mogelijkheid dat zonder medeweten informatie wordt gedeeld met de onderzoeksinstanties, veel weerstand tegen het gebruik van Amerikaanse cloudproviders. Ter relativering: in ieder Europees land heeft de overheid vergelijkbare bevoegdheden. In 2011 hebben Nederlandse opsporingsdiensten 2,3 miljoen keer verkeersgegevens opgevraagd bij telecomproviders.14 Dat is exclusief de bevragingen van de Algemene Inlichtingen- en Uniting (and) Strengthening America (by) Providing Appropriate Tools Required (to) Intercept (and)

12

Obstruct Terrorism Act of 2001. Te vinden op http://frwebgate.access.gpo.gov/cgi-bin/getdoc. cgi?dbname=107_cong_public_laws&docid=f:publ056.107.pdf en http://www.justice.gov/archive/ll/ highlights.htm. 13

50 USC § 1801 e.v.; Foreign Intelligence Surveillance Act of 1978 Amendments Act of 2008 (FISAAA), HR 6304.

14

CIOT-bevragingen. Proces en rechtmatigheid; Min. van J&V, november 2012. Te vinden op http://www.rijksoverheid.nl/documenten-en-publicaties/rapporten/2012/12/20/ciot-bevragingenproces-en-rechtmatigheid.html.

65


Veiligheidsdienst en de Militaire Inlichtingen- en Veiligheidsdienst. Maar de Amerikaanse wetgeving gaat verder dan wat wij in Europa gewend zijn: • Gegevens kunnen worden opgevraagd van in de VS gevestigde cloudproviders, maar ook van hun buitenlandse groepsvennootschappen en zelfs van cloudproviders die structureel zakendoen in de VS, zonder daar een vestiging te hebben. • Er vindt geen rechterlijke toetsing vooraf plaats; ook is geen toestemming van het OM nodig. • De cloudprovider mag de betrokken klant niet inlichten. • Informatie mag met andere overheidsinstanties worden gedeeld. De gegevens die bij de cloudprovider kunnen worden opgevraagd zijn in beginsel beperkt tot abonneegegevens, facturen en verkeersgegevens, met inbegrip van de gebruikte e-mailadressen. De inhoud van e-mails mag niet worden opgevraagd. Maar in praktijk trekken Amerikaanse onderzoeksinstanties zich daar niet altijd wat van aan. En het is een feit dat de onderneming geen greep heeft op het gebruik van bevoegdheden onder de USA Patriot Act. Daar komt bij dat doorgifte op bevel van een Amerikaanse onderzoeksinstantie niet is uitgezonderd van de voorwaarden voor doorgifte van de concept Verordening. Overweging 90 bepaalt simpelweg: ‘Transfers should only be allowed where the conditions for transfer to third countries are met’. Een overdracht onder de USA Patriot Act, waarvan de verantwoordelijke niet op de hoogte is, valt niet onder de uitzonderingen van artikel 42 (model clauses), artikel 43 (Binding Corporate Rules) of artikel 44 van de concept Verordening, die er immers alle van uitgaan dat de verantwoordelijke bij de overdracht is betrokken. Naar de letter genomen Een ongeautoriseerde doorgifte door de zou een ongeautoriseerde doorgifte door de cloudprovider kan de onderneming komen cloudprovider de te staan op een boete van maximaal 2% van onderneming kunnen komen te staan op een de jaarlijkse concernomzet. boete van maximaal 2% van de jaarlijkse concernomzet. In de praktijk zal dat niet snel gebeuren, omdat het immers niet de verantwoordelijke is die in strijd met de verordening persoonsgegevens doorgeeft of daartoe instructies geeft. Nu bekend is dat het risico bestaat dat Amerikaanse onderzoeksinstanties buiten medeweten van een onderneming via de cloudprovider bedrijfsinformatie opvragen is de vraag of een onderneming zich volledig kan disculperen als dat risico zich verwezenlijkt. Artikel 26 van de concept Verordening vereist immers dat de verantwoordelijke die door een derde, zoals een cloudprovider, persoonsgegevens laat verwerken bij de keuze van een bewerker een

66


overeenkomst sluit die, kort gezegd, garandeert dat de bewerker zich aan de Europese privacyregels houdt. Een cloudprovider die onder de USA Patriot Act valt – en dat zijn er vele – kan een dergelijke garantie niet geven. Als een Amerikaanse onderzoeksinstantie gegevens opvraagt zal hij die moeten geven – of een strafvervolging en grote boetes riskeren. Dat laatste ligt niet erg voor de hand. Daarmee kan de USA Patriot Act een krachtige disincentive zijn voor een onderneming om een in de VS gevestigde cloudprovider in te schakelen. Daarbij moet wel worden bedacht dat ook cloudproviders met een dochtervennootschap in de VS en cloudproviders die gebruik maken van een in de VS gevestigde cloudprovider ook onder de USA Patriot Act (kunnen) vallen. Daarmee blijft de mogelijkheid van opvraging door Amerikaanse opsporingsinstanties voor Nederlandse ondernemingen een belangrijk punt bij de keuze van een cloudprovider.

67


Tips & Tricks selectie cloudprovider • Welke gegevens en/of welke software gaan in de cloud? • Wat zijn de grootste risico’s? • Welke maatregelen zijn nodig om deze zoveel mogelijk te beperken? • Zijn er wettelijke of contractuele beperkingen op het gebruik van de cloud? • Waar is de cloudprovider gevestigd en hebben opsporingsinstanties aldaar de bevoegdheid gegevens van de cloudprovider op te vragen? • Aan welke juridische en technische voorwaarden moeten de verwerkingen door de cloudprovider voldoen? • Blijft er voldoende IT-kennis in huis om niet volledig afhankelijk te worden van de cloudprovider? • Zijn er voldoende garanties voor beschikbaarheid en 24/7 toegang? • Heeft de cloudprovider afdoende beveiligingsmaatregelen genomen om ongeautoriseerde toegang en datalekken tegen te gaan? • Kan er op ieder moment een audit worden uitgevoerd om na te gaan of de cloud-provider aan de afspraken voldoet? • Zijn de wettelijke auditrechten van de toezichthouder gewaarborgd? • Worden de verwerkingen van persoonsgegevens goed vastgelegd t.b.v. de onderneming (welke gegevens worden verwerkt, waar en met welk doel, hoelang en wie heeft toegang tot de gegevens)? • Is voor de verwerking van gezondheidsgegevens van werknemers en andere gevoelige gegevens (whistleblowing procedures) toestemming verkregen van werknemers en OR? • Is de cloudprovider verplicht: - te voldoen aan verzoeken van betrokkenen om informatie, correctie of afscherming van hun gegevens? - datalekken te melden en mee te werken aan het onderzoek en de te nemen maatregelen? - mee te werken aan privacy-impactassessments van verwerkingen die bijzondere privacyrisico’s meebrengen? • Is er een goede exitregeling, zodat de overstap naar een nieuwe provider naadloos kan plaatsvinden?

68


69


E-discovery en privacy: het eeuwige dilemma? E -Discovery is het verschaffen van elektronisch opgeslagen gegevens aan de wederpartij en de rechter in een civiele procedure en aan de toezichthouder in het kader van een onderzoek. Inleiding Nederlandse ondernemingen raken in toenemende mate betrokken bij Amerikaanse civiele procedures en overheidsonderzoeken. In het kader daarvan vindt dan discovery plaats, een onderzoek van de relevante informatie. Omdat het grootste deel van die informatie tegenwoordig elektronisch is opgeslagen, wordt doorgaans gesproken van e-Discovery. Een Nederlandse onderneming kan niet alleen in een discoveryprocedure worden betrokken als zij zelf partij is, maar ook als de procedure of het onderzoek een groepsvennootschap betreft. Omgekeerd kan een Nederlandse onderneming die als eiser of gedaagde is betrokken in een procedure in Nederland onder bepaalde voorwaarden gebruik maken van de discoveryprocedure in de Verenigde Staten om bepaalde documenten van de wederpartij te verkrijgen. Het Nederlands burgerlijk procesrecht, staat daaraan niet in de weg en een dergelijke procedure is in beginsel evenmin in strijd met een forumkeuze en de eisen van een goede procesorde.1 Voor civiele procedures Uiteindelijk bepaalt de rechter in een bepaalt Rule 26 van de Amerikaanse Federal Rules discovery order de omvang en beperkingen of Civil Procedure2 (FRCP) van de te overleggen informatie. dat de onderneming in het kader van discovery verplicht is alle documenten, elektronisch opgeslagen informatie en materialen die zij in haar bezit of onder haar controle heeft en die haar vordering of verweer betreffen ter beschikking te stellen van de wederpartij en van de rechter. Daaronder vallen e-mails, adviezen en memoranda, maar bijvoorbeeld ook de communicatiegegevens van telefoons van de betrokken personen. De grens ligt bij informatie die niet redelijkerwijs toegankelijk is vanwege de onevenredige inspanning of kosten die daarmee gemoeid zijn. In beginsel zijn geprivilegieerde informatie Rb Rotterdam 8 augustus 2012, JBPR 2012 afl. 5, m. nt. R.B. van Hees en P.J. van der Korst.

1

Federal Rules of Civil Procedure, with forms, December 1, 2010. Publication of the Judiciary Committee,

2

House of Representatives. Te vinden op http://www.uscourts.gov/uscourts/RulesAndPolicies/rules/2010%20 Rules/Civil%20Procedure.pdf en http://www.law.cornell.edu/rules/frcp/.

70


(adviezen van en correspondentie met de advocaat) en bedrijfsgeheimen uitgesloten van discovery. Partijen zijn verplicht om gezamenlijk een discoveryplan voor te leggen aan de rechter, waarin de te overleggen informatie en de vorm waarin deze informatie moet worden overgelegd is vastgelegd. De overleggende partij zal de hoeveelheid te overleggen informatie trachten te beperken, terwijl de wederpartij graag zoveel mogelijk informatie wil ontvangen. Uiteindelijk bepaalt de rechter in een discovery order de omvang en beperkingen van de te overleggen informatie. Indien een partij bepaalde informatie niet overlegt zal de rechter daaruit de gevolgtrekkingen maken die hem geraden voorkomen. In de praktijk betekent dat veelal dat wordt aangenomen dat de niet overgelegde informatie bewijs bevat van de stellingen van de wederpartij. Dit kan ertoe leiden dat diens vorderingen worden toegewezen. Daarnaast kan de rechter drievoudige schadevergoeding (treble damages) toekennen, met name als de indruk bestaat dat de informatie bewust niet is overgelegd of vernietigd. Op grond van Rule 37 FRCP legt de rechter geen sanctie op als het verloren gaan van informatie het gevolg is van de routinematige en bonafide werking van een elektronisch informatiesysteem. Mede om die reden kan het van groot belang zijn dat een onderneming beschikt over een goede en consequent uitgevoerde document retention policy (zie het hoofdstuk Document retention: dataopslag en bewaartermijnen). Vergelijkbare verplichtingen bestaan in geval van een onderzoek door een Amerikaanse toezichthouder onder de Foreign Corrupt Practices Act (FCPA)3, de Code of Federal Regulations,4 de Foreign Asset Control Regulations,5 de Sherman Antitrust Act6 en de Sarbanes-Oxley Act7 (SOX). Vaak zal de onderneming zelf (bijvoorbeeld in het kader van een klokkenluidersregeling of een accountantsonderzoek) als eerste op de hoogte zijn van de overtreding. Zij is verplicht dat te melden aan de bevoegde toezichthouder en daaraan de relevante informatie ter beschikking te stellen. 3

U.S. Code (USC), Title 15 § 78dd1. Te vinden op http://www.law.cornell.edu/uscode/text/15.

4

Een aantal wetten dat de export van militaire goederen en goederen die voor militaire doeleinden kunnen

5

Code of Federal Regulations, Title 31 - Money and Finance: Treasury; Subtitle B—Regulations relating

worden gebruikt verbiedt. to money and finance; Chapter V – Office of Foreign Asset Control, department of the Treasury. Bevat exportbeperkingen en sancties voor handel en financiële transacties met bepaalde landen. Te vinden op http://www.treasury.gov/resource-center/sanctions/Pages/CFR-links.aspx. 6

Amerikaanse Mededingingswet, 15 USC §1-7. Te vinden op http://www.law.cornell.edu/uscode/text/15.

7

Bevat onder meer regels voor controle op de verspreiding van koersgevoelige informatie en regels voor de interne controle en financiële verslaglegging (SOX). Geldt voor in de Verenigde Staten aan de beurs genoteerde ondernemingen (met inbegrip van buitenlandse groepsvennootschappen).

71


Strijd met privacyverplichtingen Als de te overleggen documenten persoonsgegevens bevatten kan een onderneming in conflict komen met haar verplichtingen onder de Wet bescherming persoonsgegevens (Wbp).8 Volgens de wettelijke definitie van persoonsgegevens vallen daaronder alle gegevens die herleidbaar zijn tot een individuele natuurlijke persoon. Dat zijn niet alleen NAW-gegevens, maar ook e-mailadressen, telefoonnummers en kentekenplaten. Volgens de Artikel 29 Werkgroep, het adviesorgaan van de Europese Commissie op privacygebied waarin de toezichthouders van de 27 EU-lidstaten zijn vertegenwoordigd, vallen bijvoorbeeld ook de IP-adressen die automatisch worden toegewezen aan een computer die is verbonden met Als de te overleggen documenten internet- en verkeersgegevens persoonsgegevens bevatten, kan een van mobiele telefoons onder dit 9 begrip. Ook als de identiteit van onderneming in conflict komen met een natuurlijk persoon kan worden haar verplichtingen onder de Wbp. vastgesteld op grond van de context van de informatie of een combinatie van gegevens is sprake van persoonsgegevens.10 De Wbp is van toepassing op iedere verwerking van persoonsgegevens, waaronder niet alleen het verzamelen valt, maar onder meer ook opslaan, bewerking en verder verspreiden van deze gegevens. Het is niet relevant of de gegevens ook daadwerkelijk privéaangelegenheden betreffen. Ook zakelijke e-mailadressen zijn persoonsgegevens, zodat in beginsel iedere e-mail persoonsgegevens bevat. Dat geldt ook voor adviezen (de namen van de personen tot wie zij zijn gericht) en verslagen van bijeenkomsten (de namen van de aanwezigen). Logbestanden met gegevens die betrekking hebben op het gebruik van een bepaalde computer bevatten ook persoonsgegevens, omdat zij via het administratienummer van die computer herleidbaar zijn tot een werklocatie en daarmee ook tot een individuele gebruiker. Bij vrijwel alle documenten die bij een hedendaagse discovery moeten worden overgelegd, is er dan ook sprake van persoonsgegevens waarvan de verwerking moet voldoen aan de Wbp. De Wbp bevat een aantal bepalingen die het voldoen aan het discoveryverzoek kunnen bemoeilijken of vertragen waardoor een onderneming mogelijk niet op tijd (volledig) kan voldoen aan een discoveryverzoek. Omdat de gevolgen daarvan in een Amerikaanse procedure Wet bescherming persoonsgegevens, Stb. 2001, 302.

8

Artikel 29 Werkgroep, advies 4/2007 over het begrip persoonsgegeven (WP 136), vastgesteld op 20 juni

9

2007. Te vinden op: http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_nl.pdf. Zie over deze ‘indirect identificerende gegevens’ de Memorie van Toelichting bij het Wbp-wetsontwerp,

10

Kamerstukken II 1997-1998, 25892, nr. 3, p.48.

72


zeer ernstig zijn, terwijl de sancties op grond van de Wbp in vergelijking daarmee gering zijn, kan de neiging ontstaan om de Wbp te negeren.11 Dat is echter niet nodig, omdat met een goede voorbereiding e-Discovery zodanig kan worden georganiseerd dat ook aan de bepaling van de Wbp kan worden voldaan. In de nabije toekomst, zodra de op 25 januari 2012 gepubliceerde concept-privacyverordening12 in werking is getreden, zullen de boetes op overtreding van de Europese privacyregels drastisch worden verhoogd. Op grond van artikel 79 van de concept Verordening kan overtreding van een aantal van de hierna te bespreken bepalingen worden bestraft met een boete van ten hoogste 2% van de wereldwijde jaaromzet van de overtredende onderneming. Rechtmatige grondslag Voor verwerking van persoonsgegevens is een rechtmatige grondslag nodig. Artikel 8 Wbp noemt daarvoor als eerste de toestemming van de betrokkene, maar dat zal in het kader van e-Discovery – gezien de hoeveelheid betrokken personen – onpraktisch en vaak onmogelijk zijn. Voorts heeft de Artikel 29 Werkgroep in een opinie over pre-trial discovery uit 2009 aangegeven dat het vragen van toestemming van werknemers door de werkgever geen optie is, omdat die toestemming – gezien de ondergeschiktheid Met een goede voorbereiding kan van de werknemer – niet e-Discovery zodanig worden georganiseerd wordt beschouwd als zijnde vrijgegeven.13 Artikel 7, lid 4, dat ook aan de bepalingen van de Wbp van de concept Verordening wordt voldaan. sluit die mogelijkheid zelfs uitdrukkelijk uit, omdat tussen de posities van de werkgever en de werknemer een ‘aanzienlijke onevenwichtigheid’ bestaat. Daarmee kan toestemming geen rechtvaardigingsgrond voor verwerking zijn. Ook de rechtvaardigingsgrond dat de verwerking van persoonsgegevens nodig is om te voldoen aan een verplichting van de verantwoordelijke (de betrokken onderneming) kan volgens de 11

Artikel 75, eerste lid, Wbp bepaalt dat bij overtreding van onder meer de verplichting om een verwerking van persoonsgegevens te melden bij het CBP een boete kan worden opgelegd van de derde categorie (€ 8.700). Als dit met opzet gebeurt is de maximale boete € 19.500 (lid 2). Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van

12

natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), 25/1/2012, COM(2012) 11 final. Te vinden op http://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_nl.pdf. 13

Artikel 29 Werkgroep, Working Document 1/2009 on Pre-trial discovery for crossborder civil litigation, WP158, van 11 februari 2009, p. 8. Te vinden op http://ec.europa.eu/justice/policies/privacy/docs/ wpdocs/2009/wp158_en.pdf.

73


Artikel 29 Werkgroep niet worden gebruikt, omdat deze rechtvaardigingsgrond uitsluitend ziet op wetgeving en rechterlijke maatregelen van lidstaten.14 Een discoveryverzoek in het kader van een Amerikaanse procedure valt dus niet onder deze rechtvaardigingsgrond. De Artikel 29 Werkgroep is van mening dat het voldoen aan een discoveryverzoek wel kan worden gebaseerd op de rechtvaardigingsgrond van artikel 8 onder f Wbp, omdat dit noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de verantwoordelijke. Wel moet volgens de Werkgroep in ieder individueel geval (document) worden afgewogen of dat belang zwaarder weegt dan het fundamentele recht van de betrokkene op bescherming van zijn persoonlijke levenssfeer.15 In de concept Verordening is opgenomen dat de Commissie nadere regels kan vaststellen voor sectoren en situaties op het gebied van gegevensverwerking om nadere invulling te geven aan deze grondslag.16 In reactie hierop heeft de rapporteur van het Europees Parlement in zijn in januari 2013 gepubliceerde conceptrapport (het Albrecht-rapport) voorgesteld deze grondslag aanzienlijk te beperken.17 Als de verantwoordelijke, na afweging van de betrokken belangen, besluit dat zijn rechtmatig belang zwaarder weegt dan het privacybelang van de betrokkene, moet hij deze daarvan op de hoogte stellen en zijn besluit motiveren. In het Albrecht-rapport is aangegeven dat het rechtmatig belang van de onderneming niet zwaarder weegt als door de verwerking een ernstig risico op schade voor de betrokkene ontstaat, of een groot aantal personen toegang heeft tot zijn persoonsgegevens.18 Proportionaliteit Een belangrijk uitgangspunt van de Wbp is het proportionaliteitsbeginsel. De kern daarvan is dat niet meer persoonsgegevens worden verwerkt dan noodzakelijk is voor het beoogde doel. Dat vereist een bewuste filtering van de (persoonsgegevens in) de documenten die in het kader van e-Discovery worden overgelegd. Privé e-mails en -documenten zullen moeten worden verwijderd en waar nodig en mogelijk zullen persoonsgegevens in de te overleggen documenten moeten worden weggelakt. Persoonsgegevens mogen alleen worden verzameld voor een bepaald en uitdrukkelijk 14

Artikel 29 Werkgroep, WP158, p. 9.

Artikel 29 Werkgroep, WP158, p. 9.

15

16

Artikel 6, eerste lid, onder f concept Verordening.

Draft report on the proposal for a regulation of the European Parliament and of the Council on the

17

protection of individual with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)). Te vinden op http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/pr/922/922387/922387en.pdf. 18

74

Albrecht rapport p. 71-73 (Amendments 100-102).


omschreven doel (artikel 7 Wbp) en in Het is essentieel dat de selectie van beginsel niet worden verwerkt voor een doel dat daarmee onverenigbaar documenten wordt gedaan door is (artikel 9 Wbp). Dat kan in het kader onafhankelijke en deskundige van een discoveryverzoek op het eerste gezicht complicaties opleveren. De partijen die beschikken over de betreffende persoonsgegevens van vereiste kennis en ervaring. werknemers worden immers verwerkt in het kader van hun werkzaamheden voor de onderneming en niet met het oog op terbeschikkingstelling aan derden in het kader van discovery. Verdedigbaar is echter dat deze doeleinden wel verenigbaar zijn, omdat het leveren van een e-mailbox of elektronisch dossier (met daarin de bovenvermelde persoonsgegevens) ter voldoening aan een discoveryverzoek, evenals het verstrekken van de oorspronkelijke e-mails en documenten, het doel van de onderneming dient. Praktijk De praktische uitvoering van het onderzoek dat nodig is in het kader van e-Discovery moet, onder leiding van de general counsel of compliance officer, bij voorkeur worden gedaan door een team waarvan de Amerikaanse en Nederlandse advocaat van de onderneming deel uitmaken. In verband met werknemergerelateerde aspecten kan het ook zinvol zijn een HR-manager in het team op te nemen. Het is essentieel dat de selectie van documenten wordt gedaan door onafhankelijke en deskundige partijen die beschikken over de vereiste kennis en ervaring, zodat fouten (die ernstige gevolgen kunnen hebben in de Amerikaanse procedure) worden voorkomen. Hierbij kan een gespecialiseerde e-Discoveryprovider, die beschikt over software om elektronische bestanden zeer snel en deskundig op relevante informatie te doorzoeken, van grote waarde zijn. Het feitelijke onderzoek van gegevensbestanden en, met name, het lokaliseren van de relevante e-mails en documenten geschiedt dan door deze e-Discoveryprovider. Met behulp van een uitgebreide thesaurus aan trefwoorden is hij tevens in staat een scheiding te maken tussen documenten die privacygevoelige informatie bevatten (zoals privé e-mails van een werknemer) en louter zakelijke documenten. Dat is nodig om te zorgen dat bij de verwerking van persoonsgegevens – en vooral de overdracht daarvan naar de VS – wordt voldaan aan de Wbp. Bij privé e-mails en andere documenten die privacygevoelige informatie bevatten kan het nodig zijn om per document te bekijken of het daadwerkelijk om privédocumenten gaat, of dat deze (tevens) voor de zaak relevante informatie bevatten. Aan het proportionaliteitsbeginsel kan voorts worden voldaan door de in het kader van het discoveryverzoek te verstrekken gegevens, na verwijdering van niet relevante privé e-mails en persoonlijke documenten, vooraf te filteren

75


op relevantie voor de procedure. Vervolgens moet worden vastgesteld welke persoonsgegevens noodzakelijk zijn en welke informatie in geredigeerde vorm (bijvoorbeeld met weggelakte persoonsgegevens) kan worden verstrekt. In verband met het proportionaliteitsbeginsel zou dit filteren en redigeren bij voorkeur in Nederland moeten plaatsvinden, althans voorafgaand aan de overdracht van de gegevens naar de Verenigde Staten, waaraan aanvullende eisen worden gesteld (zie hierna). Overdracht van persoonsgegevens naar de VS De Wbp bevat strikte regels voor het overdragen van persoonsgegevens naar derde landen die niet een zelfde niveau van bescherming van persoonsgegevens hebben als de EU.19 Landen met een adequaat beschermingsniveau zijn door de Europese Commissie aangewezen.20 In beginsel is overdracht naar de VS toegestaan als de ontvanger zich akkoord heeft verklaard met het Safe Harbor regime21. Daarbij aanvaardt deze onderneming de verplichting om uitvoering te geven aan de zeven Safe Harbor Privacy Principles, waaronder de verplichting om de betrokkene te informeren wanneer gegevens van hem worden verzameld en verwerkt, het recht van de betrokkene om te weigeren informatie te laten delen met derden en de verplichting om, bij overdracht van gegevens aan derden, deze beginselen ook aan de derde ontvanger voor te leggen. Als blijkt dat een ondernemer zich niet aan deze beginselen houdt, dan kan de Federal Trade Commission een boete van ten hoogste 12.000 dollar per dag opleggen. In het kader van een discovery of onderzoeksprocedure zal het Safe Harbor regime echter vaak niet adequaat zijn. Op grond van de Federal Rules of Civil Procedure22 (of, In het kader van een discoverybij een onderzoek, de FCPA23 of andere of onderzoeksprocedure zal het relevante wetgeving) is de betrokken onderneming immers verplicht om alle Safe Harbor regime vaak niet relevante gegevens ter beschikking te adequaat zijn voor de overdracht stellen aan de wederpartij, de rechter respectievelijk de onderzoeksinstantie. Die van persoonsgegevens naar de VS. zijn doorgaans niet ‘Safe Harbor certified’. Gezien de grote hoeveelheid gegevens die bij e-Discovery aan de orde kunnen komen is in Artikel 77 Wbp.

19

20

Andorra, Argentinië, Australië, Canada, Zwitserland, Israël, Faeröer eilanden, Uruguay, Jersey, Guernsey en Isle of Man (stand per 01/02/2013).

US-European Safe Harbor framework. Te vinden op http://export.gov/safeharbor.

21

Zie noot 2.

22 23

76

Zie noot 3.


Zubulake v. UBS Warburg een test ontwikkeld voor het vaststellen van de omvang van de te overleggen documentatie24. Europese ondernemingen hebben zich voor de Amerikaanse gerechten regelmatig beroepen op nationale wetgeving, met inbegrip van privacywetgeving, in een poging overlegging van documenten te beperken of te voorkomen. Amerikaanse rechters hebben echter weinig ontzag getoond voor dergelijke ‘blocking statutes’, of het nu om wetgeving inzake bankgeheim, bedrijfsgeheimen of privacy gaat. Blocking statutes worden gezien als maatregelen die hoofdzakelijk ten doel hebben het overleggen van documenten op grond van een bevel van een buitenlandse rechter of toezichtsinstantie te verbieden of beperken, om Europese ondernemingen in staat te stellen aan de strenge exhibitieplicht van de Amerikaanse discovery te ontkomen. Op grond van Société Nationale Industrielle Aerospatiale25 past de rechter een test toe, waarbij onder meer gewicht wordt toegekend aan de feitelijke handhaving van het Blocking statute. Loopt de onderneming naar het oordeel van de rechter door overtreding geen serieus risico van vervolging dan wordt het beroep verworpen26. Het belang van waarheidsvinding, dat in procedures in de VS vooropstaat, en het belang van de wederpartij wegen dan ook meestal zwaarder. Ook het verweer dat de procedures van het Haagse Bewijsverdrag27 moeten worden gevolgd, waarbij ook de VS partij is, wordt doorgaans niet geaccepteerd28. Op grond van dit verdrag waarbij de VS en Nederland partij zijn, zou bewijsvergaring door Nederlandse rechters moeten plaatsvinden op grond van Nederlands bewijsrecht. Nederland heeft echter (evenals Spanje, 24

Z ubulake v. UBS Warburg, 216 F.R.D. 280 (S.D.N.Y. 2003). Deze test bestaat uit de volgende factoren: 1. The extent to which the request is specifically tailored to discover relevant information; 2. The availability of such information from other sources; 3. The total cost of production, compared to the amount in controversy; 4. The total cost of production, compared to the resources available to each party; 5. The relative ability of each party to control costs and its incentive to do so; 6. The importance of the issues at stake in the litigation; and 7. The relative benefits to the parties of obtaining the information. Société Nationale Industrielle Aerospatiale v. U.S. , District Court for the Southern District Of Iowa, 482 U.S.

25

522 (1987). Bodner v. Paribas, 202 F.R.D. 370, 375 (E.D.N.Y. 2001); Strauss v. Crédit Lyonnais S.A., 242 F.R.D. 199 (E.D.N.V.

26

May 25, 2007); Gucci America, Inc. v. Curveal Fashion, 2010 WL 808639 (S.D.N.Y. Mar. 8, 2010; Air Cargo Shipping Services Antitrust Litigation, 2010 WL 2976220 (E.D.N.Y. July 23, 2010). Verdrag inzake de verkrijging van bewijs in het buitenland in burgerlijke en handelszaken, ’s-Gravenhage,

27

18 maart 1970 (Trb. 1979, 38). Société Nationale Industrielle Aerospatiale v. U.S., zie noot 25.

28

77


Duitsland en Frankrijk) een voorbehoud gemaakt voor – kort gezegd – het voldoen aan discovery requests. De alternatieve route van het Haags Bewijsverdrag is dus niet begaanbaar in geval van discovery in een Amerikaanse procedure onder de FRCP. De Amerikaanse rechter is alleen bereid gebleken rekening te houden met Europese privacywetgeving door documenten die zeer privacygevoelig zijn uit te sluiten.29 Ook in het licht hiervan is het De Amerikaanse rechter blijkt alleen voor Nederlandse ondernemingen die in het kader van een discovery of rekening te houden met Europese een onderzoek documentatie moeten overleggen belangrijk te zorgen dat dit privacywetgeving voor documenten zoveel mogelijk in overeenstemming die zeer privacygevoelig zijn. met de privacywetgeving gebeurt. De overdracht van persoonsgegevens naar de Verenigde Staten kan ook gerechtvaardigd zijn als wordt voldaan aan een van de in artikel 77, eerste lid, Wbp genoemde gronden. Op grond van onderdeel d is dat mogelijk als doorgifte noodzakelijk is voor de vaststelling, de uitvoering of de verdediging in rechte van enig recht. De Nederlandse onderneming moet dan ook nog met de ontvanger in de Verenigde Staten (doorgaans haar Amerikaanse advocaat) een modelcontract afsluiten, zoals voorgeschreven door de Europese Commissie.30 Dat bevat geen verplichting voor de Amerikaanse advocaat om ook met degenen die van hem documenten ontvangen (de rechter, de wederpartij, deskundigen) een modelcontract af te sluiten.

Zie bijvoorbeeld In Re Vitamins Antitrust Litigation, 2001 US Dist. Lexis 8904.

29

30

Modelcontract tussen twee verantwoordelijken: Beschikking van de Commissie van 15 juni 2001 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen krachtens Richtlĳn 95/46/EG (2001/497/EG). Te vinden op http://eur-lex.europa.eu/LexUriServ/LexUriServ. do?uri=CELEX:32001D0497:NL:HTML, zoals gewijzigd bij Beschikking van de Commissie van 27 december 2004 tot wijziging van Beschikking 2001/497/EG betreffende de invoering van alternatieve modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen (2004/EG/915). Te vinden op http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2004:385:0074:0084:nl:P DF. Modelcontract tussen verantwoordelijke en bewerker: Besluit van de Commissie van 05/02/2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens Richtlijn 95/46/EG van het Europees Parlement en de Raad, Pb L 39, 12 februari 2010, p. 5.

78


Andere verplichtingen onder de Wbp Op grond van artikel 33 Wbp moeten personen van wie gegevens worden verzameld vooraf worden geïnformeerd over onder meer het doel daarvan.31 Artikel 43 Wbp bevat een aantal gronden op basis waarvan de verantwoordelijke kan afzien van het informeren van de betrokkenen (bij e-Discovery met name werknemers en zakenrelaties), onder meer als dit noodzakelijk is ter bescherming van de rechten en vrijheden van anderen, waaronder ook de verantwoordelijke valt (onderdeel e). Verdedigbaar is dat, teneinde de e-Discovery binnen het gestelde tijdskader te kunnen uitvoeren, de betrokkenen pas achteraf op de hoogte worden gesteld. In het kader van onderzoek door toezichthoudende instanties zal doorgaans Verdedigbaar is dat, teneinde de in het belang van het onderzoek geen e-Discovery binnen het gestelde mededeling aan derden mogen worden gedaan. In dat geval kan onderdeel d een tijdskader te kunnen uitvoeren, grond bieden om informeren uit te stellen, de betrokkenen pas achteraf op omdat dit nodig is in het kader van het toezicht op de naleving van bepaalde de hoogte worden gesteld. wettelijke voorschriften. Een andere verplichting onder de Wbp is dat iedere verwerking van persoonsgegevens wordt gemeld bij het College Bescherming Persoonsgegevens (CBP) (artikel 27). Dit is een administratieve procedure, op de naleving waarvan het CBP alleen steekproefsgewijs toezicht houdt. Uitzonderingen op de meldingsplicht zijn vastgelegd in het Vrijstellingsbesluit Wbp.32 Mogelijk valt het verwerken van persoonsgegevens in het kader van discovery of onderzoek onder de uitzondering voor advocaten die in het kader van procedure gegevens mogen verwerken ‘met het oog op de behandeling van de zaak of de beslechting van het geschil’ (artikel 15 lid 3 onder e Vrijstellingsbesluit Wbp). Zo niet, dan zal moeten worden gemeld. Concept Verordening Op grond van artikel 42 van de concept Verordening zal in de toekomst doorgifte naar derde landen binnen een groep van ondernemingen mogelijk zijn op grond van Binding Corporate 31

In praktijk komt het wel voor dat in de arbeidsovereenkomst of een voor alle werknemers geldend arbeidsreglement wordt opgenomen dat de werknemer ermee instemt dat persoonsgegevens van werknemers ook kunnen worden verwerkt met het oog op een gerechtelijke procedure in Nederland of daarbuiten. Onder de huidige regels is twijfelachtig of die toestemming, gezien de afhankelijke positie van de werknemer, als ‘vrij gegeven’ kan worden beschouwd). In het licht van de beperking van het begrip ‘toestemming’ onder de concept Verordening zal toestemming in elk geval niet meer als grondslag kunnen dienen zodra deze in werking is getreden.

32

79

Stb. 2001, 250.


Rules. In het kader van een discoveryprocedure of -onderzoek kan dat niet worden gebruikt. Wel mogen op basis van modelcontractbepalingen, zoals die door de Commissie reeds in het kader van de Richtlijn zijn vastgesteld, gegevens naar de Verenigde Staten worden overgedragen. Daarnaast kan op grond van artikel 44, eerste lid, onder e, doorgifte plaatsvinden die noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte. In het Albrecht-rapport wordt echter voorgesteld een nieuw artikel 43a in de concept Verordening in te voeren, dat aan de overdracht van gegevens in het kader van discovery en onderzoek een aantal beperkingen verbindt. Op grond van dat artikel zou overdracht alleen mogelijk zijn op basis van een verdrag tussen de Europese Unie of een lidstaat en het betreffende derde land, zoals het Haags Bewijsverdrag. Worden persoonsgegevens overgedragen, dan moet voorafgaande toestemming voor de overdracht worden verkregen van de toezichthouder in het land van waaruit de overdracht plaatsvindt (artikel 43a lid 2). Daarnaast moet de verantwoordelijke of de bewerker de betrokkene in dat geval op de hoogte stellen van het verzoek en van de door de toezichthouder verleende goedkeuring. De in het Albrechtrapport voorgestelde wijzigingen zijn uiteraard nog voorwerp van discussie, evenals de concept Verordening zelf. Onder de concept Verordening wordt overtreding van bepalingen die zien op overdracht naar derde landen veel zwaarder bestraft dan onder de Richtlijn. Op grond van artikel 79 lid 6 van de concept Verordening kan hiervoor een boete van ten hoogste 2% van de jaarlijkse wereldwijde omzet van de onderneming worden opgelegd.

80


Tips & Tricks Voorbereiding • Stel een e-Discoveryteam samen (Legal, IT-expert, HR-vertegenwoordiger) en een documentcontrolteam (juristen, paralegals). • Sluit vooraf een raamovereenkomst met een provider van e-Discoverysoftware en -diensten. • Stel de bij e-Discovery en onderzoek te volgen procedures vast. Bij e-Discovery en onderzoek • Zodra duidelijk is dat een discoveryverzoek zal worden ingediend moet Legal de betrokken werknemers identificeren (de ‘custodians’). • Stel met behulp van de gespecialiseerde provider de e-mailboxen en dossiers van de custodians veilig en sla deze op een aparte server op met strikte toegangsprotocollen. • De provider dient met gespecialiseerde software privé e-mail te scheiden van zakelijke e-mail (op basis van een specifieke thesaurus). • Handmatige controle van privé e-mail door het documentcontrolteam op relevantie voor de procedure. • Selectie door de provider van de overige voor de zaak relevante documenten. • Afzondering van geprivilegieerde informatie (correspondentie tussen advocaat en cliënt). • Overgebleven documenten worden handmatig door het documentcontrolteam gecontroleerd; bedrijfsvertrouwelijke en privacygevoelige informatie wordt weggelakt (blackened). • Met de ontvanger in de Verenigde Staten wordt een overeenkomst voor de overdracht opgesteld die is gebaseerd op de modelcontractbepalingen van de Europese Commissie. • Melding van de verwerking aan het CBP. • Informatie aan de betrokken werknemers en derden (mag onder omstandigheden achteraf).

81


Bijlage Bronnenoverzicht Nederlandse en Europese wetgeving en -voorstellen 1. Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, Pb EG Nr. L 281 van 23/11/1995 blz. 0031 – 0050 (Privacy richtlijn). Bevat de Europese privacyregels, die in alle lidstaten zijn geïmplementeerd 2. Richtlijn 2009/136/EG Van het Europese Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische communicatienetwerken en -diensten, Richtlĳn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlĳke levenssfeer in de sector elektronische communicatie, zie http://eur-lex.europa.eu/LexUriServ/ LexUriServ.do?uri=OJ:L:2009:337:0011:0036:nl:PDF (e-Privacy richtlijn) Vereist onder meer toestemming voor het plaatsen van cookies op computers, smartphones, iPads e.d., en het uitlezen van in de cookie opgeslagen informatie 3. Beschikking van de Commissie van 27 december 2004 tot wijziging van Beschikking 2001/497/EG betreffende de invoering van alternatieve modelcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen Bevat model contractsbepalingen die moeten worden gehanteerd bij overdracht van persoonsgegevens naar landen zonder een adequaat beschermingsniveau 4. Wet bescherming persoonsgegevens, Stb. 2001, 302 (Wbp) Implementeert de Privacyrichtlijn in Nederland 5. Wet van 10 mei 2012 tot wijziging van de Telecommunicatiewet ter implementatie van de herziene telecommunicatie richtlijnen, Stb. 2012, 235. Dient onder meer ter implementatie van de regels voor cookies onder de e-Privacy richtlijn. Bevat ook anti-spam regels en de verplichting voor leveranciers van elektronische communicatienetdiensten om datalekken te melden 6. Besluit van 27 september 2011 tot instelling van de Commissie advies- en verwijspunt klokkenluiden (Tijdelijk besluit Commissie advies- en verwijspunt klokkenluiden) en nota van toelichting, Stb. 2011, 427. Besluit waarbij de overheid een onafhankelijke instantie heeft ingesteld die (potentiële) klokkenluiders adviseert en ondersteunt

82


7. Nederlandse corporate governance code, Staatscourant 18499 d.d. 3 december 2009, vastgesteld bij Besluit van 10 december 2009, Stb. 545. De door de regering op basis van de adviezen van de Commissie Frijns vastgestelde corporate governance code voor het bedrijfsleven 8. Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), 25/1/2012, COM(2012) 11 final. Te vinden op http://ec.europa.eu/justice/ data-protection/document/review2012/com_2012_11_nl.pdf. (de concept-Verordening) Vervangt de Privacy richtlijn en de 27 implementatiewetten door één EU-breed regime. Wordt naar verwachting in 2014 of 2015 van kracht. 9. Draft report on the proposal for a regulation of the European Parliament and of the Council on the protection of individual with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)), zie http://www.europarl.europa.eu/meetdocs/2009_2014/documents/ libe/pr/922/922387/922387en.pdf (Albrecht rapport) Bevat wijzigingsvoorstellen op de concept-Verordening) van een aantal commissies van het Europees parlement, onder leiding van parlementslid Albrecht. 10. Voorstel van wet van de leden Van Raak, Heijnen, Schouw, Van Gent, Ortega-Martijn en Ouwehand, houdende de oprichting van een Huis voor klokkenluiders (Wet Huis voor klokkenluiders), met memorie van toelichting, Kamerstukken II 2012/13, 33 258 1 t/m3. Advies Raad van State 9 november 2012 te vinden op http://www.raadvanstate.nl/adviezen/zoeken_ in_adviezen/zoekresultaat/?advicepub_id=10599 Initiatief wetsvoorstel ter verbetering van de bescherming en ondersteuning van klokkenluiders, onder meer door melding aan en onderzoek door Nationale ombudsman en oprichting ondersteuningfonds 11. Concept voorstel tot wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de verruiming van de mogelijkheid van het gebruik van camerabeelden van strafbare feiten ten behoeve van de ondersteuning van de rechtshandhaving en de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (Wijziging Wbp inzake gebruik camerabeelden en meldplicht datalekken). Te vinden op http://www.internetconsultatie.nl/camerabeelden Concept wetsvoorstel voor aanpassing van de Wbp, waarbij onder meer een algemene meldplicht voor datalekken wordt ingevoerd. De consultatiefase is afgerond; het wachten is op indiening van het wetsvoorstel bij de Tweede Kamer.

83


84


De publicatie ‘Privacy’ is geschreven door het privacy team van Houthoff Buruma. Het privacy team van Houthoff Buruma heeft jarenlange ervaring in het adviseren en begeleiden van cliënten bij de aanpassing van ondernemingsbeleid aan de Europese en Nederlandse privacy regelgeving. Het team voert regelmatig privacy audits uit bij cliënten in het kader van compliance en toezicht opdrachten. Veel ervaring is opgedaan met advisering over het gebruik van klantgegevens voor marketingactiviteiten, onder andere in de e-business, automotive, verzekerings en retail sectoren. Speciale expertise bestaat op het gebied van patiëntgegevens en elektronische patiëntendossiers. Het team adviseert regelmatig over de privacy aspecten van e-Discovery verzoeken en bij onderzoeken van Nederlandse en buitenlandse toezichthouders. Lopende projecten betreffen aanpassing van privacy beleid aan de nieuwe cookie regelgeving, privacy aspecten van centrale HR en loopbaan databases, document retention policies, klokkenluidersregelingen, de melding van datalekken, internet en email gedragscodes voor werknemers en de overdracht van gegevens naar de Verenigde Staten en andere landen buiten de EEA in het kader van al deze activiteiten. De teamleden zijn betrokken bij de advisering over privacy aspecten bij vele transacties waarin Houthoff Buruma voor de koper of de verkoper optreedt. Het privacyteam van Houthoff Buruma bestaat uit: Wolter Wefers Bettink partner bij Houthoff Buruma en gespecialiseerd in IP en IT litigation, privacy en e-business T +31 20 605 6167 | [email protected] Thomas de Weerd partner bij Houthoff Buruma en gespecialiseerd in IT, outsourcing, privacy en e-business T +31 20 605 6985 | [email protected] Annemarie Bloemen senior medewerker bij Houthoff Buruma en gespecialiseerd in privacy en e-business T +31 20 605 6554 | [email protected] Franciska Voorberg medewerker bij Houthoff Buruma en gespecialiseerd in e-business en privacy T +31 20 605 6956 | [email protected]

85


86


Houthoff Buruma VESTIGINGEN Amsterdam P.O. Box 75505 1070 AM Amsterdam Gustav Mahlerplein 50 1082 MA Amsterdam The Netherlands T +31 (0)20 605 60 00

Rotterdam P.O. Box 1507 3000 BM Rotterdam Weena 355 3013 AL Rotterdam The Netherlands T +31 (0)10 217 20 00

London 33 Sun Street London EC2M 2PY United Kingdom T +44 (0)20 7422 5050

New York 120 West 45th Street, 19th floor New York, NY 10036 USA T +1 212 403 6701

Brussels Keizerslaan 5 1000 Brussels Belgium T +32 (0)2 507 98 00

www.houthoff.com

Copyright © 2013 Houthoff Buruma Voorbehoud: Het is toegestaan om korte passages uit deze uitgave te citeren in andere publicaties, op voorwaarde dat duidelijk aan bronvermelding wordt gedaan. Aanbevolen citeerwijze: “Privacy: Tips & Tricks voor de Ondernemingspraktijk, Houthoff Buruma”. Voor het overige mag niets uit deze uitgave worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of enige andere manier, zonder de voorafgaande schriftelijke toestemming van Houthoff Buruma. Deze uitgave is bedoeld ter informatie en niet als juridisch advies. Hoewel aan de totstandkoming van deze uitgave de uiterste zorg is besteed, aanvaardt Houthoff Buruma geen aansprakelijkheid voor eventuele fouten en onvolkomenheden, noch voor de gevolgen daarvan.

IPhone App Store.

87

Blackberr y App World.


88


www.houthoff.com

privacy TipS EN TricKS voor DE ONDErNEMiNGSpraKTiJK 2013 in-house counsel practical GuiDE

Recommend Documents