van ICT recht

Subscribe to feed van ICT recht
Deskundig, praktisch en concreet juridisch advies tegen een passend tarief.
Bijgewerkt: 2 uur 53 min geleden

Consumentenbescherming bij online veilingen

6 uur 52 min geleden

De veiling is een populaire manier om goederen aan de man of vrouw te brengen en bestaat al sinds de klassieke oudheid. Met de komst van het internet heeft de veiling zich eveneens verplaatst naar de onlinewereld. Populaire online veilingplatforms zoals vakantieveilingen.nl, catawiki.nl en onlineveilingmeester.nl verkopen via deze manier miljoenen producten aan consumenten.

Deze veilingsites zijn onder andere zo populair omdat het voor consumenten vrij eenvoudig is om mee te bieden. Doordat dergelijke online veilingplatforms zich richten op consumenten moeten zij rekening houden met de regelgeving rondom consumentenbescherming. In dit artikel bespreek ik wat in dit kader de belangrijkste aandachtspunten zijn voor online veilingplatforms.

Verschil openbare veiling en online veiling

Een veiling is een verkoopmethode waarbij producten per opbod of afslag worden verkocht. De hoogste
bieder heeft de veiling ‘gewonnen’ en is daardoor verplicht het geveilde af te nemen. De producten die
worden geveild, worden aangeboden door handelaren aan consumenten. Bij openbare veilingen wordt aan de consument de mogelijkheid geboden om lijfelijk bij de veiling aanwezig te zijn.

Dit is meteen het verschil tussen een online veiling: bij een online veiling vindt de volledig biedprocedure op afstand plaats. Het feit dat er speciale ‘kijkdagen’ worden georganiseerd waarbij de aangeboden producten kunnen worden bekeken, maakt een veiling dus nog niet een ‘openbare veiling’.

Aanwezigheid notaris of deurwaarder bij online veiling

De aanwezigheid van een notaris of deurwaarder bij een veiling is in de meeste gevallen verplicht. Zij
houden toezicht op het verloop van de veiling. Een veiling zonder de aanwezigheid van een notaris of
deurwaarder is strafbaar gesteld als economisch delict. Naar mijn mening is het moeilijk, zo niet onmogelijk voor online veilingen om te voldoen aan deze eis.

Bij de meeste online veilingen worden er namelijk meerdere producten of diensten tegelijkertijd geveild. Bovendien zijn sommige online veilingen 24/7 actief. Voor een notaris of deurwaarder is het onmogelijk om toezicht te houden op elk geveild product.1 Ik ben dan ook van mening dat de wetgeving moet worden aangepast, zodat er rekening wordt gehouden met de situatie rondom online veilingen.

Online veilingplatform is tussenpersoon

De producten die ter veiling worden aangeboden, zijn ingebracht door handelaren. De taak van het online veilingplatform is om de producten of diensten op de website te presenteren zodat hierop kan worden geboden. De consument krijgt dus te maken met twee partijen, namelijk met de verkopende handelaar en met het online veilingplatform. Volgens de wet kan de consument beide partijen aanspreken wanneer er bijvoorbeeld problemen zijn met de levering van het gekochte product.

Terhandstelling van algemene voorwaarden

Doordat de consument te maken krijgt met twee professionele partijen die waarschijnlijk hun eigen algemene voorwaarden hebben, moeten de voorwaarden van het online veilingplatform en die van de verkopende handelaar afzonderlijk aan de consument (elektronisch) ter hand worden gesteld.

Deze algemene voorwaarden moeten voor of tijdens het aangaan van de overeenkomst aan de consument worden gepresenteerd zodat hij deze kan opslaan en later terug kan lezen. Mocht dit niet zijn gebeurd, dan kan de consument deze voorwaarden vernietigen. De vernietiging kan hij mondeling of schriftelijk doorgeven aan de partij die zijn voorwaarden niet voor of tijdens het sluiten van de overeenkomst heeft voorgelegd.

Informatieplicht online veiling

Het veilingplatform moet voldoen aan de eisen die worden gesteld aan een ‘koop op afstand’, omdat bij online veilingen de volledige procedure op afstand plaatsvindt. Dit betekent dat het platform een informatieplicht heeft om bepaalde informatie te verstrekken aan de consument voordat door hem een (winnend) bod wordt uitgebracht.

Onder deze informatie valt informatie over de hoedanigheid van het platform en de verkopende handelaar. De wet noemt specifiek de identiteit, het vestigingsadres, de contactgegevens, het
KvK-nummer en het BTW-identificatienummer. Daarnaast moet er duidelijke informatie worden verstrekt over het ter veiling aangeboden product, de veilingkosten, de betalingswijze, de wijze van levering en de van toepassing zijnde consumentenrechten.

Bedenktijd consument bij online veiling

Wanneer de veiling alleen online plaatsvindt en er dus geen mogelijkheid wordt geboden om lijfelijk bij de veiling aanwezig te zijn, is er sprake van een koop op afstand. De consument heeft in dit geval veertien dagen bedenktijd vanaf het moment dat hij het met de bieding gewonnen product heeft ontvangen.

Bij een dienst begint deze termijn te lopen vanaf het moment dat de consument de bieding heeft gewonnen. Binnen deze termijn kan de consument de koop ontbinden zonder dat hij hiervoor een reden hoeft op te geven. Dit recht moet duidelijk op het online veilingplatform worden weergegeven. Wanneer deze informatie ontbreekt, wordt de bedenktermijn verlengd met maximaal twaalf maanden tot het moment dat de consument over dit recht is geïnformeerd.

Uitzonderingen bedenktijd online veilingen

De wet noemt echter enkele situaties waarin de consument geen bedenktijd heeft:

  • Dit is bijvoorbeeld het geval bij de verhuur van vakantieaccommodaties of auto’s.
  • Ook toegangskaarten voor bijvoorbeeld concerten, musicals, museums, dierentuinen en pretparken vallen onder deze uitzondering.

De gedachte hierachter is dat voor het verstrekken van deze diensten capaciteit wordt gereserveerd en dat de verkopende handelaar bij een herroeping geen vervangende consument kan vinden. In het geval van een online veiling zal deze uitzondering alleen gelden voor een specifiek omschreven dienst gedurende een expliciet aangeboden periode.

Te denken valt aan een hotelovernachting op 1 februari 2017 in het ‘Grand Hotel Amrâth Kurhaus te Den Haag- Scheveningen’ of een toegangskaartje voor de musical ‘Soldaat van Oranje’ op kerstavond. De ter veiling aangeboden hotelovernachting bij een van de Fletcher hotels te reserveren voor een bepaalde periode of toegangskaartjes voor de dierentuin te gebruiken in het jaar 2017 vallen niet onder deze uitzondering.

  • Een andere uitzondering waarvoor de bedenktijd niet geldt, zijn op maat gemaakte producten. Hieronder vallen fotoproducten, zoals een canvasdoek waarop een persoonlijke foto is afgedrukt. Een waardebon voor een dergelijk product valt dan weer niet onder de uitzondering.
  • Bovendien kan de consument de overeenkomst niet herroepen wanneer het via de online veiling verkregen product snel kan bederven of een beperkte houdbaarheid heeft zoals levensmiddelen. Ook producten waarvan de verpakking is geopend en daarom niet meer door een andere consument kunnen worden gebruikt in verband met de hygiëne (make-up of bodylotion) vallen onder de uitzondering.
  • Verder geldt er geen bedenktijd voor cd’s, dvd’s/bluray’s of cd-rom’s waar geen krimpfolie meer om zit en losse kranten/tijdschriften/magazines (niet zijnde abonnementen). Tot slot geldt de uitzondering niet voor producten die zijn verwerkt tot een ander product waarbij de verwerking niet meer is terug te draaien.

Dit artikel is eerder gepubliceerd in nr.1 2017 van ons magazine ICTRecht in de praktijk. Kijk in de online versie voor alle wetsverwijzingen.

Het bericht Consumentenbescherming bij online veilingen verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Wanneer is er sprake van een ‘overeenkomst buiten de verkoopruimte’?

wo, 06/21/2017 - 16:00

Zoals iedereen inmiddels wel weet geniet de consument extra bescherming wanneer hij online iets koopt. Zo heeft hij een bedenktermijn van 14 dagen om van de koop af te zien. Maar wat veel minder mensen weten is dat dezelfde regels ook gelden voor overeenkomsten gesloten buiten de verkoopruimte. Wanneer is daarvan sprake en hoe moet je dan voldoen aan de informatieverplichtingen?

Wat is verkopen ‘buiten de verkoopruimte’?

Simpel gezegd gaat het om overeenkomsten die niet online worden gesloten én niet in de fysieke winkel; vandaar ‘buiten verkoopruimte’. Volgens de richtlijn is de gedachte achter deze bescherming dat de consument op die plaats door de handelaar verrast of onder druk gezet kan worden.

De wet maakt een onderscheid tussen drie verschillende situaties die als ‘overeenkomst buiten verkoopruimte’ worden aangemerkt:

  • Een excursie die door de handelaar is georganiseerd met als doel of effect de promotie en verkoop van producten of diensten aan de consument. Denk hierbij aan dagtochtjes, busreisjes of aan verkoopdemonstraties die in een horecagelegenheid worden gehouden.
  • Aanspreken op straat en onmiddellijk daarna de overeenkomst sluiten in de verkoopruimte of online. Voorbeeld hiervan is het op straat benaderen en aanspreken van een consument om hem te bewegen in de winkel een stofzuiger te kopen. Of het werven van bijv. krantenabonnees op straat waarbij direct op een tablet geabonneerd kan worden. Het enkele uitdelen van flyers met daarop reclame voor een product, valt hier echter buiten.
  • De klassieke deurverkoop of straatverkoop (oude colportage). Het is hierbij van belang dat bij het contact verplichtingen ontstaan voor partijen. Als het contact (bijvoorbeeld het opstellen van een offerte) plaatsvond bij de consument thuis maar de overeenkomst pas later wordt gesloten, en de consument dus de tijd heeft gehad om na te denken, dan valt dit er niet onder.

In bovenstaande situaties is er dus sprake van een ‘overeenkomst buiten verkoopruimte’. Dat betekent dat de ondernemer verplicht is te voldoen aan de informatieverplichtingen (bedrijfsgegevens, garantie, levering, betaling) en de consument 14 dagen herroepingsrecht heeft. En ook hier geldt, als niet juist of onvolledig wordt geïnformeerd over het herroepingsrecht, dan wordt deze termijn verlengd met 12 maanden.

Als de producten bij de consument thuis zijn afgeleverd of het product niet met de reguliere post verzonden kan worden, dan zal de ondernemer de producten op eigen kosten bij de consument moeten afhalen. Verder moet de verkoper de overeenkomst bevestigen en kan de consument pas na het verstrijken van de bedenktermijn verplicht worden om te betalen (tenzij de ondernemer op verzoek van de consument is begonnen met het verrichten van diensten).

Hoe kan een verkoper buiten de verkoopruimte aan informatieplichten voldoen?

De informatie moet in duidelijke en begrijpelijke taal verstrekt worden. In principe moet dit op papier, tenzij de consument heeft ingestemd met verstrekking op een andere duurzame gegevensdrager (zoals per e-mail). Hetzelfde geldt voor het bevestigen van de overeenkomst en het eventueel afzien van het herroepingsrecht (bijvoorbeeld voor het leveren van digitale content). Ook deze bevestiging kan per e-mail, mits de consument hiermee heeft ingestemd.

Zorg er dus voor dat de consument op de offerte instemt met verstrekking van de informatie per e-mail en afziet van zijn herroepingsrecht. Let er uiteraard wel op dat de algemene voorwaarden op de achterkant worden afgedrukt, en dat er op de voorkant naar wordt verwezen.

Dus, worden er in uw bedrijf overeenkomsten gesloten buiten een verkoopruimte, wees je dan bewust van bovenstaande verplichtingen en risico’s. Het is aan te raden om de consument te laten instemmen met verstrekking via e-mail. Dat is niet alleen makkelijker, maar bewijstechnisch ook beter. Bewijs namelijk maar eens dat je wel een los A4tje hebt gegeven bij het sluiten van de overeenkomst.

 

Heeft u juridische documenten nodig? Met de generatoren van ICTRecht op JuriDox.nl kunt u snel en tegen een gunstig tarief zelf uw juridische documenten opstellen. U vindt al uw arbeidsrecht, ICT, privacy of andere documenten voor uw onderneming bij JuriDox.

> Probeer het zelf!

 

Het bericht Wanneer is er sprake van een ‘overeenkomst buiten de verkoopruimte’? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Voor- en nadelen van een interne of externe functionaris gegevensbescherming

di, 06/20/2017 - 15:26

Door de toenemende aandacht voor privacy, stellen steeds meer organisaties een Functionaris Gegevensbescherming (FG) aan. Eerder schreven we al over de Artikel 29-werkgroep richtlijnen voor een FG. Onder de Algemene Verordening Gegevensbescherming (AVG ook GDPR genoemd) wordt dit voor bepaalde organisaties ook verplicht. Maar stel je die functionaris intern of extern aan?

Het is een relatief nieuwe functieomschrijving, die nog een aantal vragen oproept. Ook wanneer al is vastgesteld dat het verplicht of wenselijk is om iemand de taak toe te bedelen en toe te zien op de omgang met persoonsgegevens. Want benoem je iemand binnen je eigen organisatie tot FG (ook wel ‘Privacy Officer’ of ‘Data Protection Officer’ genoemd)? Of leg je deze taken neer bij een extern persoon? Aan beide opties zitten voor- en nadelen, die in dit artikel zullen worden uitgelegd.

De voor- en nadelen van een interne Functionaris Gegevensbescherming

Misschien is er iemand binnen de organisatie voor wie de juiste omgang met persoonsgegevens al op een logische manier binnen het takenpakket past. Bijvoorbeeld een jurist die kennis van privacywetgeving heeft, of deze privacykennis op wil doen. Een dergelijk persoon kan deze taken dan relatief gemakkelijk oppakken binnen zijn/haar huidige functie.

Voordelen van een interne Functionaris Gegevensbescherming:
  • Een concern kan gezamenlijk één FG instellen, mits er vanuit elke vestiging gemakkelijk contact kan worden opgenomen met deze functionaris.
  • Wanneer de functie perfect past bij het kennisniveau en het takenpakket van een interne medewerker en daarnaast de interne ambities, ontwikkelingen en privacygevoelige zaken passen bij de beschikbaarheid van deze persoon, dan kan dit goedkoper zijn dan extern inhuren.
  • De organisatie is bovendien al bekend met deze persoon. Het is dan zeer gemakkelijk om snel te schakelen wanneer er een privacyvraag speelt. Zo kan snel duidelijkheid worden gekregen en doorgegaan worden met het ontwikkelen van producten of diensten, rekening houdend met het privacyadvies.
Nadelen van een interne Functionaris Gegevensbescherming:
  • Voor veel bedrijven die geen multinational zijn, is de functie van FG niet fulltime. De betreffende taken zullen dan dus bovenop de werkzaamheden van een bestaande medewerker komen. Het kan dan enige opstarttijd vergen voordat de taken op een juiste manier zijn opgepakt.
  • Vaak zal een vorm van training nodig zijn om iemand zijn taken als FG naar behoren te kunnen laten uitoefenen. Wanneer een FG op grond van de AVG verplicht is, zijn er ook eisen aan zijn kennis gesteld. Hij moet immers een juridisch juiste beoordeling kunnen maken van de bedrijfsactiviteiten onder de privacywetgeving.
  • Een ander vereiste uit de AVG is dat een FG onafhankelijk moet zijn. Dat is lastiger wanneer het een interne medewerker is die al een geschiedenis binnen het bedrijf heeft. Het kan dan minder gemakkelijk voor diegene zijn om zich onbevooroordeeld uit te spreken over de privacygevolgen van een project. Hij is immers meer onderdeel van de organisatiestructuur en -geschiedenis.
De voor- en nadelen van een externe Functionaris Gegevensbescherming Voordelen van een externe Functionaris Gegevensbescherming:
  • Wanneer een FG extern wordt aangesteld, heeft dit als voordeel dat hij meteen de juiste expertise heeft. Er zijn dan ook geen opleidingskosten om de juiste kennis in de organisatie te krijgen.
  • De externe FG is geen werknemer van de organisatie voor wie hij de privacyzaken regelt, wat kosten en administratieve lasten kan besparen.
  • Een externe FG biedt flexibiliteit. Er wordt alleen betaald voor de werkzaamheden die worden uitgevoerd. De kosten ervan verschillen per organisatie, en naar gelang de wensen van de organisatie. Soms zijn er vele privacy-uitdagingen tegelijk, en dan neemt de hoeveelheid vragen weer af.
  • De volledige focus van de externe FG ligt bij privacy. Hij heeft de zorg voor een goede omgang met persoonsgegevens dus niet zomaar ‘erbij gekregen’ als taak naast andere werkzaamheden. Dit vergemakkelijkt ook het onafhankelijk opereren van het bestuur. De AVG heeft deze onafhankelijkheid immers hoog in het vaandel staan.
  • Het is ook op deze manier mogelijk om met meerdere organisaties in een branche vergelijkbare privacy-aanpassingen en ‘best practices’ te maken en kosten hiervan te delen.
  • Een externe FG wordt meestal gevoed door een organisatie en netwerk van mede-experts en kan daardoor snel vat krijgen op wetswijzigingen.
Nadelen van een externe Functionaris Gegevensbescherming:
  • De externe FG kent nog niet alle ins en outs van gebruikte tools en software binnen een organisatie en de mogelijke (privacy)risico’s. Hij kan deze echter wel inventariseren, waardoor binnen relatief korte tijd een inzicht in de privacygevoelige activiteiten van een bedrijf kan worden verkregen.
  • De externe FG is misschien minder bekend met een specifieke branche. Dit kan ook juist een voordeel zijn omdat er dan met frisse ogen naar werkwijzen, processen en tools en software wordt gekeken.
Intern of extern aanstellen Functionaris Gegevensbescherming hangt sterk af van soort organisatie

Wanneer een Functionaris Gegevensbescherming wordt aangesteld, kan dit zowel een persoon van binnen de organisatie zijn, als een extern persoon. Wat de meest geschikte keuze is, hangt af van de activiteiten, de beschikbare kennis en mankracht binnen een organisatie, het budget en de wensen van een organisatie. Het is dus belangrijk om de voor- en nadelen van de verschillende opties zorgvuldig af te wegen.

Functionaris Gegevensbescherming opleiden of inhuren?

ICTRecht biedt een tweedaagse juridische opleiding voor Functionarissen Gegevensbescherming (met of zonder juridische achtergrond). Mocht er meteen behoefte zijn aan een deskundige Functionaris Gegevensbescherming dan heeft ICTRecht hiervoor specialisten beschikbaar die uw organisatie op afstand of gedetacheerd kunnen ondersteunen.

 

Fotocredit: Webnerd.eu – Flickr cc0

 

 

Het bericht Voor- en nadelen van een interne of externe functionaris gegevensbescherming verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Is customer service al klaar voor de nieuwe privacywet AVG/GDPR?

ma, 06/19/2017 - 07:00

In contactcenters wordt een hoop gepraat met klanten. Veel van de conversaties (gesprekken, chatsessies, e-mails) worden opgeslagen. Dat geldt ook voor data over transacties: wat consumenten kopen, hoe ze diensten gebruiken, wat ze betalen en steeds vaker ook: waar ze zich bevinden, wat ze zeggen en wat ze leuk vinden.

Vanaf 25 mei 2018 moet ook uw organisatie voldoen aan de nieuwe Europese privacywet, de Algemene Verordening Gegevensbescherming (AVG, ook bekend als GDPR). Wat gaat er veranderen en wat is met name relevant voor customerservice-afdelingen en contactcenters?

Persoonsgegevens: begrip wordt opgerekt

In de nieuwe wet verandert het begrip ‘persoonsgegevens’. Naast bestanden met namen, adressen en dergelijke vallen nu ook gegevens als IP-adressen, MAC- adressen, cookies en dergelijke definitief onder de wet. In klantcontact worden adres- en contactgegevens zoals NAW, telefoonnummers en e-mailadressen opgeslagen. Bij klantcontact draait het ook om de cookies die middels een website (bijvoorbeeld via de chatfunctie), of een systeem worden opgeslagen.

De privacyverklaring wordt nog belangrijker

De privacyverklaring die u hanteert moet in eenvoudige taal precies en volledig uitleggen wat u doet met persoonsgegevens. Ook moet u mensen wijzen op hun rechten, zoals dat men gegevens mag aanpassen, inzien of zelfs laten vernietigen. Bouwt u interesseprofielen op, dan moeten die op verzoek kunnen worden verwijderd. Een klant kan bij u aankloppen om letterlijk zijn/haar opgeslagen klantgegevens te mogen inzien. Daarom is het belangrijk dat de organisatie weet welke gegevens men daadwerkelijk over iemand verwerkt.

Op het moment dat een klant niet meer geïnteresseerd is in de diensten van een aanbieder, kan de klant vragen om verwijdering van de gegevens. Omdat een webshop wettelijk verplicht is bepaalde gegevens voor een termijn van zeven jaar te bewaren voor de Belastingdienst, slaat het recht van de klant niet direct op alle gegevens. De webshop zal op dat moment dan alleen de niet noodzakelijke gegevens moeten verwijderen.

Hoe de klant zo’n verwijderingsverzoek moet doen, dient in de privacyverklaring te zijn beschreven. Bijvoorbeeld door een e-mailadres of telefoonnummer te vermelden waarbij een klant met dergelijke verzoeken terechtkan. Indien de gegevens van de klant digitaal zijn verzameld, moeten verzoeken ook digitaal ingediend kunnen worden. Het volstaat dan niet om aan te geven dat ze een brief moeten sturen Het kan handig zijn om een apart e-mailadres hiervoor aan te maken zoals privacy@… en een apart contactpersoon hiervoor aan te wijzen. Zo weet je als organisatie zeker dat de communicatie naar de klant consistent zal zijn.

De plicht om datalekken te melden wordt uitgebreid

Volgens de huidige privacywet hoeft u alleen datalekken bij te houden wanneer u ze ook moet melden aan de toezichthouder. Volgens de nieuwe AVG moeten alle datalekken bijgehouden worden, en zal een contactcenter een datalek ook aan zijn opdrachtgever melden (iets wat op dit moment al van toepassing is).

Hierover moet de opdrachtgever afspraken maken met de contactcenters. Dit kan gedaan worden in een bewerkersovereenkomst (onder de AVG verwerkersovereenkomst genoemd). Het maken van goede afspraken is erg belangrijk zodat de opdrachtgever de termijn waarbinnen een datalek moet worden gemeld aan de toezichthouder (72 uur) kan halen, en er afgesproken wordt wie de toezichthouder en/of de slachtoffers benadert.

Een of twee registers voor het verwerken van gegevens?

Alle verwerkingen van persoonsgegevens moeten geregistreerd worden. In dit register moet onder andere staan welke persoonsgegevens er verwerkt worden, voor welke doeleinden, en hoe deze gegevens beveiligd worden. Het gaat bijvoorbeeld ook om klantnummers of personeelsnummers op een brief. Als een facilitair contactcenter gegevens voor eigen doeleinden verwerkt, bijvoorbeeld het analyseren van gesprekken of berichten om de effectiviteit van de geboden service aan de klanten te kunnen meten en verbeteren, is het contactcenter als ‘verwerkingsverantwoordelijke’ aan te merken.

Maar als een facilitair contactcenter gegevens verwerkt volgens een opdracht van een opdrachtgever, is het klantcontactcentrum aan te merken als ‘verwerker’. Aangezien het voor de hand ligt dat facilitairen op beide fronten actief zijn, zijn er in dit geval twee registers nodig: een voor de situaties waarin een organisatie verantwoordelijke is, en een voor de situaties waarin zij bewerker is.

Waar slaat een facilitair contactcenter gegevens van uw klanten op?

Er moeten verwerkersovereenkomsten tussen het facilitair contactcenter en de opdrachtgever worden gesloten over de omgang met persoonsgegevens. Als je als organisatie het klantcontact uitbesteedt aan een facilitair contactcenter, en dit facilitair contactcenter slaat op haar beurt deze gegevens op bij een ander bedrijf, dan moet het facilitaire contactcenter hiervoor eerst toestemming van jouw organisatie krijgen. Het zou bijvoorbeeld kunnen gaan om een facilitair contactcenter dat gegevens opslaat bij een cloudprovider zoals Salesforce of Amazon.

Heeft u al een privacy officer?

Een privacy officer, ofwel functionaris voor de gegevensbescherming (FG), is een onafhankelijk persoon binnen de organisatie die adviseert en rapporteert over naleving van de AVG. Deze is verplicht wanneer u op grote schaal gevoelige persoonsgegevens zoals gezondheidsgegevens verwerkt, of als u structureel mensen observeert (fysiek of digitaal).

Een privacy officer kan iemand zijn die intern aangesteld wordt, maar mag ook iemand zijn die extern aangesteld wordt, het mag zelfs een virtuele privacy officer zijn. Een privacy officer is niet meteen noodzakelijk als er teams op afstand worden aangestuurd (denk aan work from home); in dit geval is de werkwijze niet als ‘structureel observeren’ te zien omdat dit niet de hoofdtaak van het betreffende bedrijf is. Een privacy officer is in dit voorbeeld dus niet verplicht.

Weggooien als het kan

De strekking van de nieuwe privacywet is dat u het minimale aan persoonsgegevens onder u heeft. U moet dus actief informatie ‘weggooien’ wanneer deze niet meer relevant is – en u moet beleid hebben dat bepaalt wanneer iets wel of niet relevant is, en hoe het weggooien dan veilig wordt gerealiseerd.

Wanneer een contactcenter kan onderbouwen dat historische data cruciaal zijn voor de dienstverlening, dan kunnen deze data gebruikt worden. Historische data van iemand die bijvoorbeeld al jaren geen klant meer is, is echter niet meer noodzakelijk en mag dus niet gebruikt worden.

Wanneer gesprekken worden opgenomen, dient dit voordat het opnemen begint te worden gemeld. De opnames mogen niet worden gebruikt voor andere doeleinden dan waarvoor ze zijn verzameld. Let op: weggooien betekent niet altijd dat de gegevens ook écht weg zijn. Draag er zorg voor dat gegevens definitief worden verwijderd, en niet nog ergens blijven rondzweven in de organisatie.

Export van persoonlijke informatie moet kunnen

Heeft u online diensten waarin klanten persoonsgegevens kunnen opslaan? Dan moeten zij in staat zijn al hun informatie te kunnen exporteren in een standaardformaat, zodat zij die naar een andere organisatie kunnen overdragen. Dit noemt men ook wel het recht op dataportabiliteit. Denk aan downloaden van foto’s, socialmediaberichten of forumbijdragen. Het gaat hierbij om alle persoonsgegevens die verwerkt worden van klanten, dus ook bijvoorbeeld in forumprofielen, mijn-pagina’s of gebruikersportals. De klanten hebben het recht de gegevens over te laten dragen naar een andere organisatie, wanneer dit technisch mogelijk is.

Voorbereiden is verstandig

De AVG bevat bepalingen over privacy by design, over adequate beveiliging, over het opnieuw en uitvoerig publiceren van het privacybeleid (wie mag wat doen met welke persoonsgegevens) en over het in staat zijn goed te handelen bij verzoeken om gegevens van klanten te wissen of wijzigen. De vraag is of uw organisatie op tijd klaar is om verzoeken over persoonsgegevens binnen een maand (de voorgeschreven termijn) en kosteloos af te handelen. Hoe ga je dit proces inrichten?

En voor wie straks de fout in gaat…

De maximale boete per overtreding van de huidige privacywet is nu 900.000 euro. Dit verandert met de komst van de AVG naar maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet. Bovendien komt er komt een Europees Comité dat toeziet op de juiste toepassing van de AVG. In plaats van een boete te betalen kunt u natuurlijk ook investeren in customer service.

Dit artikel is eerder gepubliceerd bij klantcontact.

 

ICTRecht Academy Onze juridische trainingen geven u en uw organisatie een goede voorbereiding op (naderende) privacywetgeving. Wij verzorgen praktische (PO-)trainingen voor advocaten, juristen en algemeen publiek.

> Bekijk onze privacytrainingen

 

Het bericht Is customer service al klaar voor de nieuwe privacywet AVG/GDPR? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Opsporingsinstanties en het opvragen van persoonsgegevens bij bedrijven – deel 1

vr, 06/16/2017 - 15:15

Er wordt veel gediscussieerd over wat overheidsinstanties al dan niet mogen met de persoonsgegevens van burgers wanneer zij onderzoek doen naar terrorisme en andere strafbare feiten. Technologiebedrijven en internet- en telecomproviders verwerken een zeer grote diversiteit aan persoonsgegevens en spelen bij de opsporing dus mogelijk een belangrijke rol. Wanneer kunnen gegevens van klanten opgevraagd worden bij zo’n bedrijf? Enkele recente ontwikkelingen vragen om een nadere uitleg.

Straks gemakkelijker data opvragen bij techbedrijven in andere EU-landen?

Onduidelijkheid ontstaat grotendeels door de snelheid waarmee nieuwe regels elkaar opvolgen. Op EU-niveau is er kort geleden een begin gemaakt met het versterken van bevoegdheden voor overheidsinstanties om persoonsgegevens te eisen bij bedrijven. De Eurocommissaris voor Justitie, Vera Jourova, heeft een plan gepresenteerd dat het gemakkelijker moet maken om bij bedrijven in andere lidstaten aan te kloppen om bewijs te verzamelen in strafzaken, zo meldt Tweakers. Internet- en telecomproviders zullen hier waarschijnlijk onder vallen, maar ook techbedrijven als Facebook en Google kunnen ermee te maken krijgen.

Opvragen van gegevens door overheidsinstanties in drie mogelijke vormen:

Hoe gaat het opvragen van persoonsgegevens bij deze bedrijven in zijn werk? Het idee van Jourova is momenteel nog zeer beperkt uitgewerkt, maar er zijn alvast drie mogelijke opties bekendgemaakt:

  • Optie 1: een opsporingsinstantie kan direct om gegevens vragen bij een internetprovider in een andere lidstaat, zonder een formeel verzoek.
  • Optie 2: verplicht bijvoorbeeld een internetprovider gegevens te delen bij een verzoek uit een andere lidstaat.
  • Bij optie 3: opsporingsinstanties kunnen direct gegevens kopiëren uit de cloud in een andere lidstaat, zonder tussenkomst van een provider of goedkeuring van autoriteiten van die lidstaat. Dan zijn wel extra privacywaarborgen nodig. Ook kan dit volgens Jourova alleen worden toegepast bij zware criminaliteit en terrorisme. Zie ook wat Reuters meldt over deze ideeën.

Hoeveel het voorstel zal ingrijpen op privacy, hangt natuurlijk grotendeels af van de gegevens die verwerkt worden. Mogelijk gaat het niet alleen om metadata en locatiegegevens, maar ook om de inhoud van communicatie tussen burgers en bedrijven. Er zal daarom zeer duidelijk vastgesteld moeten worden in welke gevallen het bekijken van gegevens (ook metadata en locatiegegevens zijn persoonsgegevens) als noodzakelijk wordt gezien, en waarom.

Inbreuk op privacy moet in verhouding staan tot doel

Een inbreuk op de privacy moet namelijk in verhouding staan tot het doel dat de overheid wil bereiken – het opsporen en voorkomen van strafbare feiten. Om de inhoud van communicatie te kunnen bekijken, zijn er stevige gronden en privacywaarborgen nodig. De betreffende informatie is immers mogelijk zeer gevoelig.

Van belang is dat zeer precies gedefinieerd wordt in welke gevallen een bepaalde bevoegdheid gebruikt kan worden. Zo is ook voor bedrijven helder wanneer zij gegevens van klanten af zullen moeten staan. De precieze plichten van bedrijven zullen dus ook nog nader uitgewerkt moeten worden.

Het is nog lastig te zeggen wat de uiteindelijke vorm van deze wet zal worden. Er kunnen immers nog vele aanpassingen worden gedaan. Vooral belangrijk is dat duidelijk wordt omschreven welke waarborgen er zullen worden toegepast voor de privacy. In welke gevallen kunnen de gegevens worden opgevraagd, en hoeveel gegevens? De uiteindelijke impact van dit voorstel voor burgers en bedrijven zal daarvan afhangen.

Deze vraagstukken spelen niet alleen bij techbedrijven. In een latere blogpost gaan wij in op het verzamelen van gegevens van vliegtuigpassagiers door overheidsinstanties.

 

ICTRecht Academy Onze juridische trainingen geven u en uw organisatie een goede voorbereiding op huidige (en naderende) privacywetgeving. U leert over de Wbp, datalekken en de AVG / GDPR. Meer weten?

> Bekijk onze privacytrainingen

 

Het bericht Opsporingsinstanties en het opvragen van persoonsgegevens bij bedrijven – deel 1 verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Nieuwe wet tegen onredelijke betalingstermijnen

wo, 06/14/2017 - 07:05

Op dit moment gelden er voor bedrijven onderling (B2B) nog geen strenge regels over betalingstermijnen. Als gevolg daarvan dwingen grote ondernemingen (met een sterke onderhandelingspositie) vaak lange betalingstermijnen af bij kleinere toeleveranciers. Vanaf 1 juli 2017 wordt een nieuwe wet tegen onredelijk lange betalingstermijnen van kracht die het MKB moet beschermen.

Huidige situatie met betalingstermijnen

Al in 2011 werd er een Europese richtlijn aangenomen om onredelijk lange betalingstermijnen in B2B-relaties tegen te gaan. Deze Europese richtlijn werd in 2013 geïmplementeerd in de Nederlandse wet. Sindsdien geldt als uitgangspunt een betalingstermijn van 30 dagen, maar bedrijven mogen contractueel van deze wettelijke hoofdregel afwijken. De wet biedt in ieder geval ruimte om de betalingstermijn te verruimen tot 60 dagen. Als dat niet ‘kennelijk onbillijk’ is voor de toeleverancier, mag er ook een betalingstermijn van meer dan 60 dagen worden afgesproken.

Omdat er op dit moment contractueel nog vrij veel ruimte is, hebben grote ondernemingen de mogelijkheid om bij kleinere toeleveranciers een lange betalingstermijn af te dwingen. Vanwege de zwakkere onderhandelingspositie van de toeleverancier, worden betalingstermijnen van soms wel 120 dagen of meer overeengekomen.

Veranderingen voor betalingstermijnen per 1 juli 2017

Om het MKB te beschermen tegen onredelijk lange betalingstermijnen, worden de teugels in Nederland vanaf 1 juli 2017 verder aangetrokken. De Nederlandse wet wordt dan strenger dan de Europese richtlijn voorschrijft.

Onder de nieuwe wet mogen grote ondernemingen met MKB-leveranciers géén betalingstermijn afspreken van meer dan 60 dagen. Wordt er toch een langere termijn overeengekomen, dan is deze afspraak ‘nietig’. In dat geval geldt van rechtswege (automatisch) de wettelijke betalingstermijn van 30 dagen.

Wettelijke rente voor handelstransacties

Betaalt de schuldenaar niet binnen 30 dagen, dan is hij wettelijke handelsrente verschuldigd over de termijn die de 30 dagen overschrijdt. De wettelijke rente wordt jaarlijks vastgesteld en staat op dit moment op 8 procent. De vordering op handelsrente is overigens 5 jaar lang afdwingbaar. De leverancier kan dus ook handelsrente vorderen nadat de factuur is betaald of de handelsrelatie is geëindigd.

 

ICTRecht Academy Met onze trainingen leert u de valkuilen van ICT-contracten kennen, ze op te stellen en er over te onderhandelen. We behandelen o.a. NDA’s, SLA’s, software- en cloudlicenties.

 

> Lees verder

 

Het bericht Nieuwe wet tegen onredelijke betalingstermijnen verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Waar moet je op letten bij het aanbieden van gratis WiFi?

di, 06/13/2017 - 07:34

De smartphone en tablet zijn niet meer weg te denken uit het straatbeeld. En hoewel het overgrote deel van de smartphonebezitters beschikt over een grote databundel, is de aanwezigheid van een gratis WiFi-netwerk altijd welkom. Of je nu een drankje neemt op een terras of gaat dineren in een restaurant, op de menukaart prijkt steeds vaker de naam en/of het wachtwoord van het WiFi-netwerk. Maar wat nu als de klant onder de neus van de nietsvermoedende eigenaar op illegaal films download?

Valt dit onder de verantwoordelijkheid van de eigenaar van het netwerk? De kans is groot dat het IP-adres naar de eigenaar wijst en dat is voor de auteursrechthebbende vaak genoeg om een boze brief te sturen. Hoe kan een ondernemer nu het gedrag van de gebruikers van zijn WiFi-netwerk controleren en in overeenstemming laten zijn met bepaalde gedragsregels?

Aansprakelijkheid van aanbieders van internet (WiFi)

De belangrijkste vraag voor veel aanbieders van internet is wanneer ze aansprakelijk zijn voor illegale handelingen via de door hen geleverde internetverbinding. Deze aansprakelijkheid kan in veel gevallen beperkt zijn en is wettelijk geregeld.

Om niet aansprakelijk te zijn voor het doorgeven van informatie middels het verschaffen van toegang tot een internetverbinding, is het van belang dat de aanbieder van het netwerk niet het initiatief neemt tot het doorgeven van informatie, de aanbieder niet degene is die bepaalt aan wie de informatie wordt doorgegeven en de aanbieder de informatie niet heeft geselecteerd of gewijzigd.

Kort gezegd, wie slechts passief toegang tot het internet biedt is niet aansprakelijk voor het handelen van de gebruikers van het netwerk. Deze aansprakelijkheid ziet echter alleen toe op de doorgegeven informatie door gebruikers van het netwerk.

Gaat de aanbieder van het netwerk het internetverkeer echter actief monitoren en controleren, dan is geen sprake meer van het passief toegang verschaffen. In dat geval kan de aanbieder van het netwerk wel aansprakelijk gesteld worden voor het handelen van de gebruiker.

Controle vs. Privacy

Bij het aanbieden van internet aan klanten of bezoekers is de verleiding groot om al het internetverkeer te monitoren en te controleren. Het internetverkeer is namelijk op een eenvoudige manier te loggen en de aanbieder van het netwerk kan daardoor precies zien welke sites de gebruikers van het netwerk hebben bezocht.

Je raadt het al, dit heeft gevolgen voor de privacy van de gebruiker. Bij het monitoren en controleren van
internetverkeer van de gebruikers worden namelijk persoonsgegevens verwerkt en daarop is de Wet
bescherming persoonsgegevens (Wbp) van toepassing. In de eerste plaats mogen persoonsgegevens alleen worden verwerkt onder welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Het zomaar volgen of monitoren van gebruikers is dus verboden onder de Wbp. Daarnaast dient er een rechtsgeldige grondslag te zijn voor de gegevensverwerking. De Wbp noemt een limitatief aantal grondslagen, waarvan enkele grondslagen hier kort zullen worden benoemd.

Het verkrijgen van toestemming kan gerealiseerd worden door de gebruiker te laten registreren (let op, hierbij worden eveneens persoonsgegevens verwerkt!) en daarbij de gebruiker om toestemming te vragen voor het monitoren en controleren van zijn internetverkeer. Maar hiermee ben je er nog niet. De toestemming moet vrij, specifiek en geïnformeerd zijn. Dit houdt in dat het voor de gebruiker helder moet zijn waarvoor hij toestemming geeft. Dit dient duidelijk uit de toestemmingsvraag naar voren te komen.

Een toestemmingsvraag zou bijvoorbeeld kunnen zijn: “Ja, ik geef toestemming voor het monitoren en controleren van het internetverkeer bij een vermoeden van misbruik van het netwerk ter controle van de gebruiksregels”.

Het is lastig om een voldoende specifieke toestemmingsvraag te formuleren voor het monitoren en controleren van het internetverkeer. Degene die toestemming geeft moet immers weten voor welke verwerking, gegevens en doel hij de toestemming geeft. Zorg er daarnaast voor dat de toestemming wordt vastgelegd. De bewijslast ligt namelijk bij de aanbieder van het netwerk. Overigens moet de bezoeker wel de mogelijkheid hebben om de toestemming te weigeren.

De aanbieder van het WiFi-netwerk mag vervolgens de toegang tot het netwerk weigeren. Een andere grondslag voor de gegevensverwerking is de noodzakelijkheid voor de uitvoering van de overeenkomst.
Is er sprake van een overeenkomst als je als bezoeker inlogt op een gratis WiFi-netwerk? Het beschikbaar stellen van een WiFi-netwerk is te zien als een aanbod, waarna het inloggen op het betreffende netwerk als aanvaarding van het aanbod kan worden beschouwd.

Hier is dus wel degelijk sprake van een overeenkomst. Het monitoren en controleren van het internetverkeer dient wel noodzakelijk te zijn voor de uitvoering van de overeenkomst. Dit is het geval indien het leveren van een veilig en betrouwbaar netwerk onderdeel is van de overeenkomst.

Tot slot is monitoren en controleren van het WiFi-netwerk mogelijk, indien de gegevensverwerking noodzakelijk is ter rechtvaardiging van het algemeen belang van de verantwoordelijke. Het Europees Hof heeft geconcludeerd dat het opslaan van persoonsgegevens mogelijk is als dit de goede werking van de website in stand houdt, bijvoorbeeld ter bescherming tegen cyberaanvallen.

Ook bij het beschermen van het WiFi-netwerk is een dergelijk gerechtvaardigd belang te beargumenteren. Naast de grondslag gelden er nog meer vereisten zoals de informatieplicht. De gebruiker dient middels een privacyverklaring vooraf geïnformeerd te worden over de gegevensverwerking.

In alle gevallen van monitoring en controle van het internetverkeer zal rekening moeten worden gehouden met de beginselen van proportionaliteit en subsidiariteit. Zo moet het loggen van het internetverkeer zoveel mogelijk anoniem te gebeuren. Pas als er specifieke klachten of aanwijzingen zijn kan de controle tot een specifieke gebruiker gericht worden.

Tot slot moet goed gekeken worden of er geen andere, minder ingrijpende, methodes beschikbaar zijn voor het bereiken van dit doel.

Geautomatiseerd filteren en blokkeren internetverkeer als alternatief

Op het geautomatiseerd filteren en/of blokkeren van bepaalde websites of diensten zijn de strenge bepalingen van de Wbp niet van toepassing. In dit geval wordt het internetverkeer niet gemonitord of gecontroleerd door de aanbieder, maar zorgt het systeem voor de blokkade van websites en diensten. Hiermee wordt overigens geen afbreuk gedaan aan de passieve houding van de aanbieder van het netwerk. Bij het automatisch filteren en blokkeren is de aanbieder niet aansprakelijk voor het doorgeven van de informatie naar websites die wel zijn toegestaan.

Gebruiksvoorwaarden aanbieden internet (WiFi)

Het kan zijn dat de gebruikers schade lijden door het gebruik van het netwerk van de aanbieder. Middels het hanteren van gebruiksvoorwaarden heeft de aanbieder de mogelijkheid om zijn aansprakelijkheid te beperken. Houdt wel rekening met de strenge consumentenwetgeving. Het beperken van je aansprakelijkheid staat op de zogenaamde ‘grijze lijst’ en wordt vermoed onredelijk bezwarend te zijn. Echter, bij het aanbieden van een gratis WiFi-netwerk is de beperking van aansprakelijkheid wel te rechtvaardigen. Wie iets gratis afneemt, mag immers niet te veel verwachten.

Met gebruiksvoorwaarden kunnen daarnaast grenzen worden gesteld aan het gebruik van het netwerk, zoals het hanteren van een data- of tijdslimiet. Naast de inhoud van de gebruiksvoorwaarden is ook
de manier waarop ze worden aangeboden van belang. In de praktijk gaat dit namelijk vaak mis.

Niet alleen dienen de gebruiksvoorwaarden van toepassing verklaard te worden op het gebruik van het
netwerk, ook aan de wijze waarop ze worden aangeboden zijn voorwaarden verbonden. Het van toepassing verklaren kan bijvoorbeeld door de gebruiker vóórdat hij gebruik kan maken van het netwerk duidelijk te maken dat de gebruiksvoorwaarden van toepassing zijn.

Daarnaast dienen de gebruiksvoorwaarden ook op de juiste manier overhandigd te worden. In de eerste plaats moeten de gebruiksvoorwaarden overhandigd worden vóórdat de gebruiker toegang krijgt tot het netwerk. Daarnaast moeten de gebruiksvoorwaarden door de gebruiker op te slaan of uit te printen zijn. Vaak worden de voorwaarden middels een scrollvenster overhandigd, wat het bijzonder onhandig maakt om de voorwaarden op te slaan. Het is dus beter om de voorwaarden in PDF-formaat aan te bieden.

Verplichte registratie bij aanbieden internet

De risico’s bij het aanbieden van internet aan klanten is iets wat al langer in de belangstelling staat. Het is dan ook niet gek dat de Europese rechter zich recentelijk over dit onderwerp heeft uitgesproken. De bedrijfsleider McFadden stelde in zijn winkel gratis en anoniem toegang tot internet ter beschikking. Via zijn netwerk werd op illegale wijze muziek gedeeld met een derde. De bedrijfsleider werd vervolgens veroordeeld door de nationale rechter tot het betalen van een schadevergoeding.

Het Europees Hof concludeert dat de aanbieder van het netwerk slechts een doorgeefluik is. Hij oefent geen invloed uit en neemt geen initiatief bij de doorgifte van de informatie. De auteursrechthebbende van het muziekwerk kan dus geen vordering tot schadevergoeding instellen tegen McFadden. Het vervolg van het arrest heeft echter wel een interessante wending. Hoewel McFadden als aanbieder van het netwerk slechts als doorgeefluik fungeert, is het wel mogelijk dat de rechthebbende van het muziekwerk bij de nationale rechter een verzoek tot beëindiging of voorkoming van de inbreuk indient.

Het Hof oordeelt vervolgens dat het bevel tot het beveiligen van het netwerk met een wachtwoord een
goede mogelijkheid is om voor evenwicht te zorgen tussen enerzijds de intellectuele eigendomsrechten van de rechthebbenden en anderzijds het recht op vrijheid van ondernemerschap voor de aanbieder van het netwerk.

Ook het vereiste dat gebruikers van het netwerk zich moeten identificeren, leidt tot een afschrikwekkend effect. Het Hof geeft hiermee aan dat het beveiligen van het netwerk en het registreren van de gebruikers door de rechthebbende van een werk geëist kan worden.

Volgens het Hof hebben aanbieders van internet wel degelijk een bepaalde verantwoordelijkheid voor het handelen van de gebruikers. Of hiermee een trend wordt gezet dat alle aanbieders voortaan het netwerk met een wachtwoord moeten beveiligen en daarbij de gebruikers dienen te registreren, moet nog blijken.

Aanbieder van een openbaar telecommunicatienetwerk?

In 2010 ontstond er ophef toen de toenmalige OPTA, nu de Autoriteit Consument & Markt (ACM) geheten, besloot om te onderzoeken of hotels als aanbieder van een openbaar telecommunicatienetwerk zijn te bestempelen, als zij internet aanbieden aan haar gasten. Voor het aanbieden van toegang tot internet is het in de eerste plaats van belang of dit ‘in het openbaar’ gebeurt. In dat geval zijn namelijk de strenge vereisten uit de Telecommunicatiewet van toepassing, zoals het aftapbaar maken van het netwerk en het registreren als aanbieder van een openbaar telecommunicatienetwerk.

Na alle ophef heeft de toezichthouder besloten dat bedrijven en instellingen die internet aanbieden aan
hun klanten en bezoekers niet als aanbieders van een openbaar telecommunicatienetwerk zijn aan te merken. De toegang is immers beperkt tot een duidelijk afgebakende groep gebruikers. De netneutraliteitsregels zijn evenmin van toepassing op deze aanbieders. Hierdoor kunnen bedrijven en instellingen bepaalde toegang tot diensten beperken of blokkeren. Het gebruik van bijvoorbeeld Netflix kan dus beperkt worden!

Aanbieders van WiFi netwerken moeten dus goed controleren hoe zij op dit moment omgaan met
monitoring en controle. Wanneer dit niet goed geregeld is, kan dat vergaande gevolgen hebben voor de eigen aansprakelijkheid in geval van claims van derden. Hanteer dus of gebruiksvoorwaarden of zorg dat je alleen passief het WiFi-netwerk aanbiedt.

Dit artikel is eerder verschenen in nr. 1 2017 van ons magazine ICTRecht in de praktijk.

 

Maak eenvoudig zelf juridische documenten Met de juridische generatoren van ICTRecht op JuriDox.nl kunt u snel en tegen een gunstig tarief zelf uw (gebruiks)voorwaarden en andere juridische documenten opstellen.

 

> Probeer het zelf!

 

Het bericht Waar moet je op letten bij het aanbieden van gratis WiFi? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Coinrecht #6 – Het huidige sentiment (vervolg)

zo, 06/11/2017 - 10:00

Tot mijn spijt is het alweer een maand geleden sinds de laatste blogpost online is gegaan. Dit betekent gelukkig niet dat de wereld van cryptogeld stilgestaan heeft, in tegendeel! In de laatste maand is Bitcoin bijna duizend Euro (54%) in waarde gestegen. In de laatste blog stonden we stil bij het sentiment rond Bitcoin en cryptogeld in het algemeen. Zowel de overheid als de belastingdienst lijken nog geen duidelijk standpunt in te durven nemen. Dit in tegenstelling tot Japan dat Bitcoin inmiddels erkent als wettig betaalmiddel en Rusland dat hetzelfde overweegt voor 2018.

Deze week kijken we naar een paar signalen uit de rechtspraak om een beter beeld te krijgen van het huidige sentiment rondom Bitcoin en cryptogeld.

Is Bitcoin ‘geld’ in de zin van Afdeling 6.1.11 BW?

In twee uitspraken laten de rechtbank Overijssel en het gerechtshof Arnhem-Leeuwarden zich onder andere uit over de vraag of Bitcoin ‘geld’ is in de zin van art. 6:125 BW.

In zijn beoordeling stelt de rechtbank in de eerste plaats dat Bitcoin geen giraal geld is ex. art. 6:114 BW omdat er geen sprake is van een giro-instelling. Dat is begrijpelijk aangezien iedere Bitcoin gebruiker verantwoordelijk is voor zijn eigen Bitcoin wallet. Dit is een van de mooie vernieuwingen van cryptogeld. De absolute beschikking ligt bij de houder van de privésleutel en niet bij een derde partij.

Vervolgens beoordeelt de rechtbank of Bitcoin gezien kan worden als ‘gangbaar geld’ ex. art. 6:112 BW. Of hier sprake van is, zal in de eerste plaats afhangen van de vraag of het een ‘wettig betaalmiddel’ is. Het antwoord op deze vraag hebben we in Coinrecht #5 al voorbij zien komen bij schrijven van de minister van financiën Dijsselbloem. Hij liet de Tweede Kamer weten dat Bitcoin niet onder de definitie van (elektronisch) geld valt in de zin van de Wet financieel toezicht en dat de Bitcoin niet als wettig betaalmiddel wordt gezien. Er is aldus de Rechtbank dus ook geen sprake van gangbaar geld.

Conclusie: bovenstaande punten zijn voor de Rechtbank Overijssel voldoende om te concluderen dat Bitcoin geen geld is in de zin van Afdeling 6.1.11 BW, maar gezien moet worden als ruilmiddel.

De rechtbank haalt ook nog een interessante omschrijving van Bitcoin door Europese Centrale Bank aan. Ze omschrijven het als:

a virtual currency scheme based on a peer-to-peer network. It does not have a central authority in charge of money supply, nor a central clearing house, nor are financial institutions involved in the transactions, since users perform all these tasks themselves. Bitcoins can be spent on both virtual and real goods and services. Its exchange rate with respect to other currencies is determined by supply and demand and several exchange platforms exist.

Het gerechtshof gaat in hoger beroep helaas niet inhoudelijk op bovenstaande in en doet dit grief af door te stellen dat het hof bovendien aansluiting bij deze artikelen niet in de rede vindt liggen, is er geen reden om te onderzoeken of bitcoins als geld in de zin van artikel 6:112 BW en/of artikel 6:114 BW dienen te worden beschouwd.

Een leuk detail bij deze zaak is dat het onderliggende geschil ging over een stukgelopen verkoop van 2750 Bitcoins voor €8,05 per stuk. Die zijn inmiddels ruim 300 keer meer waard geworden!

De overige rechtspraak die op dit moment voorhanden is gaat vooral over strafzaken tegen criminelen die Bitcoin gebruiken voor witwassen en (het bevorderen van) drugshandel. Het is onvermijdelijk dat er meer en grotere zaken gaan komen. Gecombineerd met steeds sneller stijgende maatschappelijke interesse hoop ik dat zowel de rechtspraak als de wetgever bepaalde aannames zal herzien. Gelukkig zien wij al  klanten die geen kansen willen laten liggen en moedig stappen zetten in een tijd waar de wetgever besluiteloos blijft.

Welkom bij de financiële revolutie (de waarde van één Bitcoin (BTC) is op dit moment 2550 euro).

> Meer over cryptocurrency en de blockchain

Het bericht Coinrecht #6 – Het huidige sentiment (vervolg) verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Gegevensbescherming in de zorg: deel 3, rechten van de patiënt

vr, 06/09/2017 - 17:06

Per 1 juli 2017 treden een nieuwe wet en een nieuw besluit in de zorg in werking. Namelijk de Wet cliëntenrechten bij elektronische verwerking van gegevens en het Besluit elektronische gegevensverwerking door zorgaanbieders. Deze nieuwe wet- en regelgeving gaat over het uitwisselen van patiëntgegevens en de beveiliging in de zorg. De regels zullen een behoorlijke impact hebben op ICT-oplossingen voor de zorg.

Blogserie over impact van nieuwe regels gegevensverwerking in de zorg

Dit is deel 3 uit de blogserie waarin we de impact van de nieuwe regels uitleggen. Hiervoor verschenen deel 1: nieuwe regels per 1 juli 2017, en deel 2: wat is een elektronisch uitwisselingssysteem? Je kunt de volgende blogs nog verwachten in deze serie:

  • Deel 4: eisen beveiliging uitwisselingssysteem
  • Deel 5: eisen beveiliging zorginformatiesysteem
Rechten van de patiënt

De volgende rechten van de patiënt met betrekking tot het uitwisselingssysteem worden in de nieuwe wet genoemd:

  • het geven van gespecificeerde toestemming voor het beschikbaar stellen van zijn gegevens via het uitwisselingssysteem, en registratie van die toestemming door de zorgaanbieder;
  • de elektronische inzage en afschrift van het medisch dossier of zijn gegevens;
  • elektronisch afschrift van de logging;
  • de informatieplicht van de zorgaanbieder naar de patiënt toe.
Gespecificeerde toestemming voor gebruik van patiëntgegevens

Een zorgaanbieder mag de patiëntgegevens alleen beschikbaar stellen via het uitwisselingssysteem als de patiënt hiertoe uitdrukkelijke toestemming heeft gegeven. Dit houdt in dat de patiënt zelf laat blijken dat hij ‘vrijelijk, specifiek, geïnformeerd en ondubbelzinnig’ instemt met het beschikbaar stellen van zijn gegevens. De patiënt kan schriftelijk (elektronisch valt hier ook onder), maar ook mondeling zijn instemming laten blijken.

Wat nieuw is, is dat de uitdrukkelijke toestemming gespecificeerd moet zijn. Dit houdt in dat de patiënt een keuze hoort te kunnen maken uit:

  • welke gegevens er worden opgenomen, en
  • welke zorgaanbieders de gegevens mogen raadplegen (welke zorgaanbieders of categorieën van zorgaanbieders).

De gespecificeerde toestemming en het tijdstip waarop de toestemming is gegeven, moeten worden geregistreerd door de zorgaanbieder. Meer informatie over gespecificeerde toestemming is via de link te vinden.

Informatieplicht bij gebruik patiëntgegevens

De zorgaanbieder moet de patiënt informeren over:

  • zijn rechten bij elektronische gegevensuitwisseling;
  • de manier waarop de hij zijn rechten kan uitoefenen, en
  • de werking van het uitwisselingssysteem.

Als nieuwe zorgaanbieders zich aansluiten op het uitwisselingssysteem moet de patiënt hierover geïnformeerd worden. Zijn toestemming moet hij vervolgens kunnen aanpassen of intrekken. Dit geldt ook wanneer de werking van het uitwisselingssysteem wezenlijk wordt gewijzigd.

Recht op elektronische inzage en afschrift

De patiënt moet op verzoek elektronisch inzage of een afschrift kunnen krijgen van zijn medische dossier, of van zijn gegevens. Daarnaast moet in het afschrift de logging worden opgenomen, als de patiënt daarom verzoekt. Het gaat dan om:

  • wie bepaalde gegevens beschikbaar heeft gesteld en op welke datum, en
  • wie bepaalde gegevens heeft ingezien of opgevraagd en op welke datum.

Er mogen geen kosten in rekening worden gebracht voor de inzage en de afschriften, wat afwijkt van de huidige privacywetgeving waarin gesteld wordt dat voor inzage en afschrift kosten gerekend mogen worden.

Bepaalde rechten gelden pas over drie jaar

Minister Schippers heeft aangegeven dat een aantal regels pas over drie jaar gelden, namelijk:

  • het geven van de gespecificeerde toestemming (zowel het kunnen specificeren als het registreren ervan);
  • het recht op elektronische inzage of afschrift van zowel het dossier als het afschrift van de logging.

Dit omdat de implementatie hiervan technisch nog niet uitvoerbaar zou zijn.

Wat geldt er dan wél per 1 juli?
  • Uitdrukkelijke toestemming van de patiënt voor het beschikbaar stellen van zijn gegevens via het uitwisselingssysteem. Dit vereiste geldt ook al op grond van de huidige privacywetgeving. Door deze toestemming bij te houden kan worden aangetoond dat de toestemming daadwerkelijk is verkregen.
  • De informatieplicht: de patiënt moet weten hoe het uitwisselingssysteem werkt, welke rechten hij heeft en hoe hij deze kan uitoefenen. Ook moet de patiënt van wijzigingen (van nieuwe zorgaanbieders die zich aansluiten op het uitwisselingssysteem en van substantiële wijzingen in het systeem) op de hoogte worden gebracht waarna hij zijn gegeven toestemming kan intrekken.

De beveiligingseisen (waaronder de logging) die gelden voor uitwisselingssystemen en interne informatiesystemen, zoals bepaald in het bijbehorende besluit, gelden ook per 1 juli. Hierover meer in delen 4 en 5 van deze blogserie.

 

Training ICT en gezondheidsrecht Wilt u meer weten over beveiliging en privacy van gegevens in de zorg? Hoe er volgens nieuwe wetgeving gewerkt moet worden in de cloud? En hoe persoonsgegevens uitgewisseld mogen worden?

 

> Kom naar de training ICT & Gezondheidsrecht

 

Het bericht Gegevensbescherming in de zorg: deel 3, rechten van de patiënt verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Mag je nu ook geen belkosten meer rekenen voor je zakelijke klanten?!

do, 06/08/2017 - 07:00

Per 1 juli mogen ondernemers geen kosten meer in rekening brengen bij klanten voor het gebruik van de telefonisch klantenservice. Over deze wijziging is de afgelopen tijd al veel geschreven, ook door ons. Toch is het van belang hier nog eens wat extra aandacht aan te geven. Met name vanwege het feit dat deze wijziging niet alleen gaat gelden ten aanzien van consumenten, maar ook voor zakelijke klanten.

Zoals je in ons vorige blogpost kan lezen, is de aanleiding voor de tarievenwijziging voor het gebruik van 090X-nummers gelegen in een uitspraak van het Hof van Justitie. In de consumentenrichtlijn is vastgelegd dat ondernemers ten hoogste het ‘basistarief’ in rekening mogen brengen voor consumenten die informatie willen over een gesloten overeenkomst. Het Hof heeft bepaald dat het basistarief niet meer mag zijn dan de gebruikelijke belkosten. Dit betekent dus het einde van het riedeltje ‘dit gesprek kost € 1,- naast de kosten van het gebruik van uw mobiele telefoon’.

De wettelijke regelingen voor 090X-nummers

De consumentenrichtlijn heeft voor wat betreft tarifering zijn neerslag gevonden in de Telecommunicatiewet en onderliggende regelgeving. In de Telecommunicatiewet is een bepaling opgenomen waaruit volgt dat de tarifering van 090X-nummers (invulling van het richtlijnbegrip ‘basistarief’) bij ministeriële regeling nader kan worden vastgesteld. Van deze mogelijkheid is gebruik gemaakt in de Regeling universele dienstverlening en eindgebruikersbelangen (hierna: RUDE). Voor service over een gesloten overeenkomst mag op basis van de RUDE-bepaling maximaal € 1,- per gesprek aan de eindgebruiker berekend worden.

Als gevolg van de recente uitspraak van het Hof wordt de RUDE aangepast: per 1 juli 2017 mag een nummergebruiker (de aanbieder van de klantenservice) voor het leveren van een klantenservice in het kader van een gesloten overeenkomsten bij de eindgebruikers maximaal € 0,- euro bovenop de gebruikelijke belkosten in rekening brengen. Maar dan rest de vraag: wat mogen we verstaan onder ‘eindgebruiker’?

De eindgebruiker is niet per se een consument

De Telecommunicatiewet definieert de eindgebruiker als een “natuurlijke persoon of rechtspersoon die van een openbare elektronische communicatiedienst gebruik maakt of wil gaan maken (…)”. De eindgebruik hoeft dus niet per se een consument te zijn.

Als we kijken naar de totstandkoming van de tariefbepaling uit de RUDE zien wij dat deze tarifering eerst alleen betrekking had op consumenten. Een paar jaar later is begrip ‘consument’ vervangen door de term ‘eindgebruiker’, met als toelichting dat een beperking tot consumenten het ongewenste effect zou kunnen hebben dat (klein)zakelijke gebruikers die af en toe gebruikmaken van consumentendiensten en -goederen, uitgesloten zijn van de benodigde bescherming. Dit soort kosten mag je dus ook niet meer in rekening brengen bij je zakelijke klanten.

Bestaande (zakelijke) klanten = geen bijkomende belkosten

Zoals het woord klantenservice uit de RUDE-bepaling al doet vermoeden, ziet de tariefbeperking alleen op informatie over een gesloten overeenkomst (bestaande klanten dus). De kosten van de klantenservice horen al in de prijs te zitten en mogen niet nog eens achteraf worden doorberekend. Bovendien betekent het voorgaande dat ondernemers nog wel de mogelijkheid hebben om een betaalnummer te gebruiken voor potentiële klanten. Het is echter erg lastig om dit in de praktijk te brengen, want zodra een bestaande klant via dat betaalnummer contact met je opneemt, overtreed je eigenlijk de wet.

 

Maak zelf uw juridische documenten op maat Met de juridische generatoren van ICTRecht op JuriDox.nl kunt u snel en tegen een gunstig tarief zelf uw juridische documenten opstellen. Mocht u daarna extra advies nodig hebben, dan staan wij voor u klaar!

 

> Probeer het zelf

 

Het bericht Mag je nu ook geen belkosten meer rekenen voor je zakelijke klanten?! verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Valkuilen van freelance. Waar moet ik op letten bij een inhuurovereenkomst?

di, 06/06/2017 - 16:46

Iedere groeiende ICT-onderneming krijgt vroeg of laat behoefte aan extra mankracht. Meestal is het dan tijd om nieuwe werknemers in dienst te nemen, maar soms zal het aantrekkelijker zijn om een ICT-professional op freelancebasis bij te schakelen. Een freelancer kan bijvoorbeeld interessant zijn als u voor een specifiek project specialistische kennis nodig heeft. Freelancers kunnen ook uitkomst bieden om tijdelijke onderbezetting of piekbelasting op te vangen. Bij de inzet van een freelancer moeten wel een aantal juridische hordes genomen worden. Welke aandachtspunten zijn er als u een freelancer inschakelt en hoe dekt u de juridische risico’s af?

Flexibiliteit is een voor- én nadeel van freelancers

Een freelancer wordt door de wet niet als werknemer, maar als opdrachtnemer aangemerkt. Vanuit ondernemersperspectief biedt dat belangrijke voordelen, want dat betekent dat u geen rekening hoeft te houden met het arbeidsrecht. Freelancers hebben bijvoorbeeld geen recht op een vast salaris en kunnen ook geen beroep doen op ontslagbescherming. U kunt dus per project bekijken of er extra handen nodig zijn en als het tijdelijk wat rustiger is, maakt u ook geen kosten. Daar staat tegenover dat een freelancer weinig verplichtingen heeft: hij bepaalt zijn eigen agenda en is niet verplicht een opdracht aan te nemen.

De wet biedt u veel ruimte om naar eigen goeddunken afspraken met freelancers te maken. Dat biedt flexibiliteit, maar maakt het tegelijkertijd noodzakelijk om een duidelijke inhuurovereenkomst te sluiten. Anders dan in het arbeidsrecht zijn er namelijk weinig wettelijke regels om op terug te vallen bij onenigheid. Een aantal onderwerpen verdienen daarbij extra aandacht.

De inhoud van de opdracht

Het is essentieel dat duidelijk is welke werkzaamheden de freelancer zal verrichten en tegen welke prijs. Dit spreekt voor zich, maar leidt in de praktijk nog regelmatig tot problemen. Zeker als u voor een project een vaste prijs afspreekt, is het van belang dat partijen weten wat zij over en weer van elkaar mogen verwachten. Laat u bijvoorbeeld een website bouwen, spreek dan duidelijk met de freelancer af welke functionaliteit de website uiteindelijk moet hebben. Als partijen hierover niet op één lijn zitten, kan dat achteraf discussie geven.

Ook als u een freelancer op basis van nacalculatie inschakelt, is het belangrijk om de werkzaamheden duidelijk af te kaderen. Wordt de opdracht niet voldoende omschreven, dan bestaat het risico dat de freelancer zijn tijd aan de verkeerde werkzaamheden besteedt. Houdt ook rekening met eventuele onkosten. Zijn deze wel of niet inbegrepen in het uurtarief? Het is vervelend om achteraf te moeten steggelen over een factuur.

Inhuurovereenkomst of arbeidsovereenkomst

Een essentieel punt in de inhuurovereenkomst is dat de freelancer écht zelfstandig moet zijn en dat hij niet als fictief werknemer kan worden gezien. Als achteraf blijkt dat er eigenlijk sprake is van een dienstbetrekking, kan dat zowel voor u als voor de freelancer aanzienlijke (fiscale) gevolgen hebben.

Op de eerste plaats kan de belastingdienst aan een naheffing opleggen voor niet-betaalde loonbelasting, eventueel vermeerderd met een boete. Ten tweede zullen sociale premies met terugwerkende kracht moeten worden betaald. Tot slot kan de freelancer zijn aftrekposten als ondernemer kwijtraken, waardoor hij bijvoorbeeld geen gebruik kan maken van zelfstandigenaftrek.

Een verkeerd ingestoken inhuurovereenkomst kan ook rechtstreekse gevolgen hebben voor de relatie tussen u en de freelancer. Als de gemaakte afspraken de facto een arbeidsovereenkomst opleveren, kan de freelancer zich namelijk alsnog beroepen op arbeidsrechtelijke bescherming (zoals ontslagbescherming). Uw relatie met de freelancer is dan mogelijk minder vrijblijvend dan vooraf de bedoeling was.

Van de VAR naar de Wet DBA

Om naheffingsaanslagen en boetes van de belastingdienst te voorkomen, werd in het verleden gebruik gemaakt van een Verklaring Arbeidsrelatie (VAR). De freelancer kon deze verklaring zelf aanvragen bij de belastingdienst. De belastingdienst beoordeelde dan op voorhand of de freelancer al dan niet als zelfstandige ondernemer kon worden gezien. Als de freelancer een bepaald type VAR aan zijn opdrachtgevers kon overleggen (er waren verschillende varianten voorhanden), mochten de opdrachtgevers erop vertrouwen dat belasting- en premieafdracht niet nodig was.

De VAR-constructie is veel bekritiseerd, onder andere omdat deze schijnzelfstandigheid in de hand zou werken. De VAR werd afgegeven voordat de freelancer daadwerkelijk voor een opdrachtgever aan de slag ging, waardoor in de praktijk nog maar moest blijken of de freelancer als zelfstandige of als werknemer optrad. Het kwam regelmatig voor dat de belastingdienst achteraf oordeelde dat de freelancer eigenlijk als werknemer moest worden aangemerkt. De freelancer moest dan alsnog loonbelasting afdragen, maar zijn opdrachtgever ging vrijuit.

Om aan schijnconstructies een einde te maken, heeft de wetgever in 2016 de Wet deregulering beoordeling arbeidsrelaties (Wet DBA) ingevoerd. Onder deze nieuwe wet is de VAR-constructie volledig geschrapt. Freelancers en opdrachtgevers zijn er voortaan samen voor verantwoordelijk dat ze de arbeidsrelatie op de juiste manier vormgeven.

Modelovereenkomsten

Wilt u naheffingsaanslagen onder de Wet DBA voorkomen, dan is het in ieder geval belangrijk dat de inhuurovereenkomst die u met een freelancer sluit niet als arbeidsovereenkomst kan worden uitgelegd. Daarbij zijn drie criteria van belang:

  1. Loon: u betaalt de freelancer voor de uitgevoerde werkzaamheden en de betaalde vergoeding is hoger dan de onkosten die de freelancer maakt.
  2. Persoonlijke arbeid: de freelancer moet de werkzaamheden zelf uitvoeren en mag deze slechts uitbesteden als hij dit vooraf met u heeft overlegd.
  3. Werkgeversgezag: u kunt dwingende aanwijzingen geven aan de freelancer over de manier waarop de werkzaamheden moeten worden uitgevoerd.

Slechts als aan al deze criteria is voldaan, moet de arbeidsrelatie worden aangemerkt als een dienstverband. Een goede inhuurovereenkomst moet dus één van deze criteria uitsluiten. Omdat de freelancer vrijwel altijd betaald zal krijgen voor de verrichte werkzaamheden, blijven er nog twee opties over: het uitsluiten van ‘persoonlijke arbeid’, of het uitsluiten van ‘werkgeversgezag’.

Om het voor u gemakkelijker te maken, heeft de belastingdienst modelovereenkomsten beschikbaar gemaakt. Daarin wordt telkens één van de genoemde criteria uitgesloten. De modellen zijn vooraf door de belastingdienst beoordeeld, zodat u zeker weet dat de inhuurovereenkomst achteraf niet als arbeidsovereenkomst wordt uitgelegd. De modelovereenkomsten zijn overigens niet compleet: sommige onderwerpen, zoals de inhoud en duur van de opdracht, zijn ter vrije invulling.

Modelovereenkomst niet altijd verstandig

Op het eerste oog lijkt het gebruik van een modelovereenkomst aantrekkelijk. Het gebruik van een model biedt zekerheid en is goedkoop: u kunt de documenten gratis downloaden via de website van de belastingdienst. Toch is het meestal af te raden om een modelovereenkomst te hanteren, omdat op de meeste modelovereenkomsten het nodige is aan te merken. Zo ontbreekt in veel modellen een sluitende aansprakelijkheidsregeling en is er in andere modellen überhaupt geen aansprakelijkheidsregeling opgenomen.

Een oplossing kan zijn om slechts een gedeelte van de modelovereenkomst te gebruiken. Het is namelijk helemaal niet verplicht om het model één op één door te zetten naar de freelancer. Veel bepalingen uit de modelovereenkomsten hebben niets te maken met ‘persoonlijke arbeid’ of ‘werkgeversgezag’ en zijn daarom facultatief. Het is dus heel goed mogelijk om een eigen inhuurovereenkomst te hanteren, waarin slechts de relevante bepalingen uit het model zijn overgenomen.

Als u werkt met een eigen inhuurovereenkomst, is het wel van belang om expliciet te verwijzen naar het model waarop de overeenkomst gebaseerd is. Ook is het belangrijk dat de overgenomen modelbepalingen passen in het geheel. De zelf opgestelde bepalingen mogen de modelbepalingen niet tegenspreken.

Situatie in de praktijk

Het is ook belangrijk dat de gesloten (model)overeenkomst aansluit bij de feitelijke situatie. Een rechter of de belastingdienst kijkt namelijk niet alleen naar de afspraken op papier, maar ook naar de situatie in de praktijk. Als u een inhuurovereenkomst afspreekt, maar de freelancer feitelijk als een werknemer handelt, kan de arbeidsrelatie nog steeds als een dienstbetrekking worden aangemerkt. Ga dus altijd na of er daadwerkelijk sprake is van freelance.

Intellectuele eigendom

Als u een freelancer inschakelt voor ontwikkelwerkzaamheden, is het belangrijk om duidelijke afspraken te maken over intellectuele eigendom. Software en ander programmeerwerk (zoals de broncode van een website) wordt immers beschermd door het auteursrecht. Op grond van de wet komt het auteursrecht in principe toe aan de programmeur. Is de programmeur een werknemer, dan geldt een wettelijke uitzonderingen en komt het auteursrecht meestal toe aan de werkgever. Bij freelancers geldt een dergelijke uitzondering echter niet. U moet dus expliciet met de freelancer afspreken dat de auteursrechten worden overgedragen.

Verwerken van persoonsgegevens

Worden er door u persoonsgegevens verwerkt, dan moet u ook rekening houden met de geldende privacywetgeving. Op grond van de wet mogen persoonsgegevens alleen aan de freelancer worden doorgegeven als er afspraken zijn gemaakt over bijvoorbeeld de beveiliging daarvan. Ook is het belangrijk om vast te leggen hoe er wordt gehandeld in het geval van een gegevenslek.

Afspraken over de uitwisseling van persoonsgegevens worden meestal vastgelegd in een bewerkersovereenkomst. Vanaf mei 2018 geldt echter nieuwe Europese privacywetgeving en is het niet meer nodig om hiervoor een aparte overeenkomst te sluiten. U kunt er dus ook voor kiezen om afspraken over de uitwisseling van persoonsgegevens op te nemen in de inhuurovereenkomst.

Hoe kun je nou verstandig samenwerken met een freelancer?

Kiest u voor een freelancer, dan is het belangrijk om duidelijke afspraken vast te leggen in een inhuurovereenkomst. Een essentieel punt is daarbij dat de overeenkomst écht als inhuur wordt ingestoken en niet als een arbeidsovereenkomst. Hoewel het verleidelijk kan zijn om een model van de belastingdienst te hanteren, is het verstandiger om een eigen standaard op te (laten) stellen. Zo houdt u zelf controle over belangrijke onderwerpen als aansprakelijkheid en weet u zeker dat intellectuele eigendom en privacy voldoende geregeld is.

Dit artikel is eerder verschenen in nr. 2 van ons magazine ICTRecht in de praktijk.

 

Juridische generatoren Met de juridische generatoren van ICTRecht op JuriDox.nl kunt u tevens snel en tegen een gunstig tarief zelf overdachtsaktes auteursrecht, arbeids- en inhuurovereenkomsten opstellen.

 

> Probeer het zelf!

 

Het bericht Valkuilen van freelance. Waar moet ik op letten bij een inhuurovereenkomst? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Gegevensbescherming in de zorg deel 2: wat is een elektronisch uitwisselingssysteem?

di, 06/06/2017 - 09:33

Per 1 juli 2017 treden een nieuwe wet en een nieuw besluit in de zorg in werking. Namelijk de Wet cliëntenrechten bij elektronische verwerking van gegevens en het Besluit elektronische gegevensverwerking door zorgaanbieders. Deze nieuwe wet- en regelgeving gaat over het uitwisselen van patiëntgegevens en de beveiliging in de zorg. De regels zullen een behoorlijke impact hebben op ICT-oplossingen voor de zorg.

Blogserie over impact van nieuwe regels gegevensverwerking in de zorg

Dit is deel 2 uit de blogserie waarin we de impact van de nieuwe regels uitleggen. Vorige week verscheen deel 1: nieuwe regels per 1 juli 2017. Je kunt de volgende blogposts nog verwachten in deze serie:

  • Deel 3: welke rechten heeft de patiënt?
  • Deel 4: eisen beveiliging uitwisselingssysteem
  • Deel 5: eisen beveiliging zorginformatiesysteem
Elektronisch uitwisselingssysteem: wat is dat?

Als twee of meer zorgaanbieders een systeem gebruiken om patiëntgegevens uit te wisselen met elkaar, is er sprake van een elektronisch uitwisselingssysteem. Maar wat wordt er dan precies verstaan onder ‘uitwisselen’ in deze wet?

Uitwisselen: raadpleegbaar maken

Het gaat erom dat de patiëntgegevens raadpleegbaar gemaakt kunnen worden voor toekomstige situaties. Hierdoor kan een andere zorgaanbieder, die met de patiënt te maken krijgt, de gegevens inzien zonder dat daarvoor nog een actieve handeling nodig is van de zorgaanbieder die de gegevens beschikbaar heeft gemaakt. Dit wordt ook wel pull-verkeer genoemd. Het kan gaan om een heel medisch dossier, maar ook om slechts een gedeelte ervan.

De wet ziet dus toe op pull-verkeer en niet op push-verkeer. Bij push-verkeer moet je denken aan het gericht sturen van een bericht door de ene zorgverlener naar de andere in het kader van de behandeling. Bijvoorbeeld een verwijzing of een overdracht. Hierbij kunnen noodzakelijke patiëntgegevens meegestuurd worden naar de nieuwe behandelaar. Voor dit soort push-verkeer wordt volgens de wet (de Wet op de geneeskundige behandelingsovereenkomst) uitgegaan van veronderstelde toestemming van de patiënt.

Intern informatiesysteem vs. uitwisselingssysteem

Een intern informatiesysteem, zoals een ZIS bij een ziekenhuis, is geen uitwisselingssysteem in de zin van deze wet. Een intern informatiesysteem wordt door een zorgaanbieder o.a. gebruikt om patiëntgegevens in op te nemen (denk aan opname van gegevens voor het medisch dossier van de patiënt).

Zorgverzekeraars uitgesloten

De wet heeft een aparte bepaling opgenomen waarin expliciet staat vermeld dat zorgverzekeraars geen toegang mogen krijgen tot de uitwisselingssystemen. Hetzelfde geldt voor bedrijfsartsen, verzekeringsartsen en keuringsartsen.

 

Training ICT en gezondheidsrecht Wilt u meer weten over beveiliging en privacy van gegevens in de zorg? Hoe er volgens nieuwe wetgeving gewerkt moet worden in de cloud? En hoe persoonsgegevens uitgewisseld mogen worden?

 

> Kom naar de training ICT & Gezondheidsrecht

 

Het bericht Gegevensbescherming in de zorg deel 2: wat is een elektronisch uitwisselingssysteem? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Gegevensbescherming in de zorg deel 1: nieuwe regels per 1 juli 2017!

vr, 06/02/2017 - 07:30

Per 1 juli 2017 treden een nieuwe wet en een nieuw besluit in werking. Namelijk de Wet cliëntenrechten bij elektronische verwerking van gegevens en het Besluit elektronische gegevensverwerking door zorgaanbieders. Deze nieuwe wet- en regelgeving gaat over het uitwisselen van patiëntgegevens en de beveiliging in de zorg. De regels zullen een behoorlijke impact hebben op ICT-oplossingen voor de zorg.

Blogserie over impact van nieuwe regels gegevensverwerking in de zorg

Dit is deel 1 uit de blogserie waarin we de impact van de nieuwe regels uitleggen. Je kunt de volgende blogs nog verwachten in deze serie:

  • Deel 2: wat is een uitwisselingssysteem?
  • Deel 3: welke rechten heeft de patiënt?
  • Deel 4: eisen beveiliging uitwisselingssysteem
  • Deel 5: eisen beveiliging zorginformatiesysteem
De Wet cliëntenrechten bij elektronische verwerking van gegevens

De wet legt uit wat er verstaan wordt onder een elektronisch uitwisselingssysteem en welke plichten de zorgaanbieders hebben bij het gebruik ervan. Daarnaast worden de rechten beschreven van de patiënten (“cliënten”) bij de uitwisseling van hun gegevens.

Het Besluit elektronische gegevensverwerking door zorgaanbieders

In het besluit wordt uitgelegd wat met “passende technische en organisatorische maatregelen” wordt bedoeld in de zorg. Meer specifiek wordt er ingegaan op welke eisen er zijn voor de beveiliging van een elektronisch zorginformatiesysteem en een elektronisch uitwisselingssysteem.

Over drie jaar gaan sommige regels pas gelden in de zorg

Minister Schippers heeft laten weten dat een aantal regels pas over drie jaar gelden, namelijk:

  • De eis van gespecificeerde toestemming
  • De registratie van de gespecificeerde toestemming
  • Het recht op elektronische inzage en afschrift
  • Het recht op een elektronisch afschrift van de logging

De reden is dat het een en ander technisch nog niet uitvoerbaar zou zijn.

De verplichting om toestemming te vragen voor het raadplegen van gegevens wil ze helemaal niet in werking laten treden. Er moet dan volgens minister Schippers onnodig herhaald toestemming worden gevraagd.

Meer weten? Kom naar de training ICT en gezondheidsrecht!

Het bericht Gegevensbescherming in de zorg deel 1: nieuwe regels per 1 juli 2017! verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Voorbereiden op de AVG met de factsheets van ICTRecht!

wo, 05/24/2017 - 13:37

Nog één jaar en dan is het zover. De Algemene Verordening Gegevensbescherming (AVG) vervangt op 25 mei 2018 onze bestaande privacywetgeving. Dat maakt dit een goed moment om stil te staan bij de veranderingen en de nodige voorbereidingen. Om hierbij van dienst te zijn heeft ICTRecht verschillende factsheets geschreven.

Weten wat er gaat veranderen? In onze factsheet: De Algemene Verordening Gegevensbescherming, wat verandert er echt? leggen wij kort en bondig uit welke veranderingen eraan komen en wat de gevolgen daarvan zijn. In één oogopslag weet u waar u aan toe bent.

Omdat de AVG verschillende nieuwe verplichtingen met zich mee brengt, hebben wij enkele daarvan voor u in detail uitgewerkt. In onze factsheet: ‘Het register van verwerkingen van persoonsgegevens’, beschrijven wij hoe er voldaan kan worden aan de nieuwe registerplicht. Dat klinkt als een papieren tijger, maar het aanleggen van het register biedt onmisbare handvatten om te voldoen aan andere verplichtingen uit de AVG.

Datalekken hebben ook in de AVG een plekje gekregen. In onze factsheet: ‘Het registreren van datalekken’, wordt uitgelegd wat u moet registreren, wat daarin gaat veranderen en hoe u dat kunt doen.

Geen nieuwe instrument, maar wel nieuw opgenomen in de AVG, is de Privacy Impact Assessment (PIA). Een instrument om privacyrisico’s in kaart te brengen en deze vervolgens ook weg te nemen. In onze factsheet ‘Privacy Impact Assessment’ leggen wij uit wanneer een PIA uitgevoerd moet worden en hoe.

Aan de hand van deze factsheets kunt u nagaan welke actie u eventueel nog dient te ondernemen om zo goed mogelijk op de nieuwe privacyregels voorbereid te zijn. Heeft u naar aanleiding hiervan advies nodig over een privacyvraagstuk? Neem dan contact op met de privacyjuristen van ICTRecht, Lisette Meij en Peter Kager via l.meij@ictrecht.nl en p.kager@ictrecht.nl of 020 663 1941.

 
 

ICTRecht Academy Onze trainingen geven u een goede juridische voorbereiding om bijvoorbeeld taken als privacy officer uit te kunnen voeren en uw organisatie voor te bereiden op (naderende) privacywetgeving.

 

> Bekijk onze privacytrainingen

 

The post Voorbereiden op de AVG met de factsheets van ICTRecht! appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Uitzonderingen herroepingsrecht: hoe zit het met etenswaren en gezondheidsbescherming?

wo, 05/24/2017 - 11:03

Nog steeds bestaat er onduidelijkheid over de toegestane uitzonderingen van het herroepingsrecht. Producten die binnen de bedenktermijn kunnen bederven mogen worden uitgezonderd in verband met de beperkte houdbaarheid. Producten die langer dan 14 dagen goed blijven vallen hier dus niet onder. Hiervoor is echter wel een andere mogelijkheid, namelijk uitzonderen in verband met gezondheidsbescherming als de verzegeling is verbroken.

Welke bederfelijke producten mogen worden uitgesloten van herroepingsrecht?

Producten die binnen de wettelijke bedenktermijn van 14 dagen kunnen bederven, mogen worden uitgesloten van het herroepingsrecht. Denk hierbij aan groente, vlees en bloemen. Voor deze producten geldt dat deze op voorhand uitgesloten kunnen worden. Verkoop je alleen deze producten, dan hoeft er dus alleen op de informatiepagina vermeld te worden dat deze producten niet geretourneerd kunnen worden. Aan alle informatieverplichtingen met betrekking tot het herroepingsrecht (termijn, modelformulier, terugbetalen etc), hoeft dus niet te worden voldaan.

Wat te doen met etenswaren die niet binnen de bedenktermijn bederven?

Verkoop je etenswaren die niet binnen de bedenktermijn kunnen bederven (eten in blik, wijn) dan wordt het wat lastiger. Uiteraard kan je retourzendingen proberen te voorkomen door het te gooien op de waardevermindering: “voor het beoordelen van het product is niet nodig om het te openen, doe je dit toch dan is het niet meer te verkopen en is de waardevermindering 100%”. Hiermee bestaat echter toch het risico dat je als ondernemer discussie krijgt over de vraag of iets wel of niet geretourneerd had mogen worden.

Gezondheidsbescherming biedt een mogelijkheid tot uitzonderen van herroepingsrecht

De Guidance (p. 47) van de Europese Commissie bij de richtlijn lijkt echter nog een mogelijkheid te geven. Hierin wordt namelijk aangegeven dat conserven (eten in blik) in verband met de gezondheidsbescherming kunnen worden uitgezonderd als de verzegeling is geopend. Na openen kan het eten namelijk wel bederven, en dat is niet goed voor de gezondheid. Voor deze uitzondering geldt wel dat aan de volledige informatieverplichtingen moet worden voldaan. Immers, als de verzegeling niet is verbroken, kan het gewoon geretourneerd worden.

Dit opent wel de deur naar het uitzonderen van veel meer producten. Wat mij betreft gaat hetzelfde argument op voor bijna alle etenswaren. De verpakking kan je zien als verzegeling. En die verzegeling is aangebracht omdat het anders kan bederven; dus risico voor de gezondheid. Mogelijk zelfs ook voor andere producten, zolang je kan aantonen dat na openen de gezondheid in het geding is. Toegegeven, de Guidance is niet juridisch bindend en moet slechts als leidraad worden opgevat. Maar toch, dit voorbeeld wordt niet voor niks genoemd. Het is wachten op een rechterlijke uitspraak die hier wat duidelijkheid in gaat brengen.

 

Juridische generatoren Met de juridische generatoren van ICTRecht op JuriDox.nl kunt u snel en tegen een gunstig tarief zelf uw webwinkeldocumenten opstellen.

 

> Genereer uw algemene en (gratis) herroepingsrechtvoorwaarden

 

The post Uitzonderingen herroepingsrecht: hoe zit het met etenswaren en gezondheidsbescherming? appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

13 juni – Informaticarecht voor ondernemers en online dienstverleners

di, 05/23/2017 - 07:42

Met het groeiende economisch belang van ICT en internet worden ook de juridische aspecten rondom webwinkels, intellectuele eigendom van software en content, privacyregels en beperking van aansprakelijkheid belangrijker. Deze training van ICTRecht Academy op 13 juni geeft antwoord op de vraag die iedereen in de online sector vroeg of laat tegenkomt: “mag dat eigenlijk wel?”.

In één dag leert u belangrijke juridische knelpunten herkennen en hiervoor een oplossing te vinden. U leert de regels van aansprakelijkheid, auteursrecht en portretrecht, e-commerce, het beschermen van ideeën en online privacy. Wij zien u graag 13 juni in de Mediacentrale te Groningen.

MEER INFORMATIE EN AANMELDEN

PROGRAMMA Ondernemers en medewerkers in de online sector moeten enig begrip van deze onderwerpen hebben om de juridische knelpunten te onderkennen en de invloed van het juridische kader op hun werkzaamheden te kunnen inschatten. Deze training geeft antwoord op de vraag die iedereen in de online sector vroeg of laat tegenkomt: “mag dat eigenlijk wel?”. 09:00 Ontvangst 09:30-12:30 Deel I.
Module 1: Inleiding auteursrecht
Module 2: Werkgeversauteursrecht en portretrecht
Module 3: Creative commons en open source licenties 12:30-13:00 Lunchpauze 13:00-17:00 Deel II:
Module 4: Online privacy
Module 5: Octrooi en databankenrecht
Module 6: Merken en domeinnamen
Module 7: eCommerce en digitaal zakendoen.
Module 8: aansprakelijkheid van distributeurs en hosters van informatie. 17:00-18:00 Borrel

 

The post 13 juni – Informaticarecht voor ondernemers en online dienstverleners appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Handelsnamen in domeinnamen, hoe zat dat ook alweer?

di, 05/16/2017 - 07:06

In mijn vorige blogpost beschreef ik wat de juridische aandachtspunten zijn bij het opnemen van andermans merk in een domeinnaam. In deze post ga ik het hebben over handelsnamen in domeinnamen. Want wat zijn de regels over het opnemen van een handelsnaam in uw domeinnaam? Wanneer is er sprake van handelsnaaminbreuk? En wanneer er sprake is van inbreuk, moet u de domeinnaam dan meteen overdragen?

Handelsnaam in uw domeinnaam

De naam van een bedrijf is een handelsnaam. Juridisch gezien is de naam van een bedrijf pas een handelsnaam indien het bedrijf met zijn handelsnaam naar buiten treedt. Het bedrijf kan bijvoorbeeld middels visitekaartjes, briefpapier en een website – die is gekoppeld aan een domeinnaam – naar buiten treden. Op zijn website vermeldt het bedrijf bijvoorbeeld groot zijn naam/logo in de header en op de contactpagina staat zijn bedrijfsnaam weergeven. Een handelsnaam kan hetzelfde zijn als de domeinnaam, maar dit is niet altijd het geval. Onze handelsnaam (ICTRecht) komt terug in onze domeinnaam. Maar er zijn genoeg bedrijven die hun handelsnaam niet hebben opgenomen in de domeinnaam, of zelfs een handelsnaam van een ander hanteren in hun domeinnaam. Dit laatste kan onrechtmatig zijn.

Inbreuk op het handelsnaamrecht

Kortgezegd mag uw concurrent geen handelsnaam voeren die hetzelfde is of verwarrend veel lijkt op uw handelsnaam wanneer u deze handelsnaam al eerder gebruikte. Dit geldt ook als de handelsnaam beschrijvend of niet origineel is.

Praktijkvoorbeeld handelsnaam en domeinnaam 1

Zoals in de eerste alinea omschreven kan een handelsnaam overeenkomen met de domeinnaam (ICTRecht), maar het kan ook zo zijn dat de domeinnaam en handelsnaam anders zijn. Stel dat er een ander bedrijf de domeinnaam www.ict-recht.nl gebruikt en met de website op deze domeinnaam naar buiten treedt onder de handelsnaam Hogeschool van Amsterdam. In dit geval zal er waarschijnlijk geen sprake van handelsnaaminbreuk. De handelsnaam Hogeschool van Amsterdam is niet hetzelfde of verwarrend ten opzichte van de handelsnaam ICTRecht en daarnaast is de Hogeschool van Amsterdam een opleider terwijl ICTRecht een juridisch adviesbureau is.

Gebruikt een ander bedrijf of concurrent toch een soortgelijke handelsnaam op een website in een soortgelijke branche en ontstaat daardoor een kans op verwarring, dan is er waarschijnlijk sprake van handelsnaaminbreuk. Indien er inderdaad sprake is van handelsnaaminbreuk kunt u de concurrent sommeren de domeinnaam over te dragen en/of het gebruik van de domeinnaam te staken. Deze laatste eis kwam recent aan bod in de zaak The Office Operators BV. – Bouwens.

Praktijkvoorbeeld handelsnaam en domeinnaam 2

The Office Operators is een bedrijf dat flexwerk- en vergaderplekken aanbiedt en is sinds 2010 houder van de domeinnaam www.theofficeoperators.nl. Het vrouwelijk personeel draagt rode jurken, dit is ook te zien op de gekoppelde website. De concurrent Bouwens& is sinds 2015 houder van de domeinnaam www.theofficehost.nl en treedt sinds 2016 op deze domeinnaam naar buiten als The Office Host (powered by Bouwens&).

Op de contactpagina van de website staat duidelijk Bouwens& als handelsnaam weergegeven. Bouwens& biedt receptie-, beveiligings- en chauffeursdiensten aan voor bedrijven en op hun website is op de homepage een vrouw afgebeeld in een rode jurk. The Office Operators vindt dat er sprake is van handelsnaaminbreuk en eist onder andere staking van het gebruik van de domeinnaam www.theofficehost.nl

Volgens de rechter is er op het eerste oog gelijkenis aanwezig tussen de handelsnamen in combinatie met de rode jurken. De zaak krijgt een spoedeisend belang en komt vervolgens voor de voorzieningenrechter in kort geding. Daar gaat de rechter in op de vraag of er door de aard en plaats van ondernemingen kans op verwarring is bij het publiek. De plaats van beide ondernemingen – beide werkzaam in Amsterdam – komt overeen. De aard van de ondernemingen komt echter niet overeen. Het publiek van partijen wordt vermoed deskundig te zijn en de concurrent vermeldt in iedere communicatie Bouwens&. Verwarringsgevaar is daarom niet aanwezig en de eis van The Office Operators wordt het afgewezen.

In deze zaak is er kortgezegd volgens de voorzieningenrechter geen sprake van handelsnaaminbreuk omdat beide bedrijven op de domeinnamen anders naar buiten treden en beide in een andere branche werkzaam zijn. Hierdoor is de voorzieningenrechter van mening dat er van verwarring geen sprake is.

Hoewel de voorzieningenrechter stelt dat niet is gebleken dat daadwerkelijk verwarring zich heeft voorgedaan, heb ik enigszins mijn twijfels bij deze stelling.

Voor een onoplettende bezoeker vind ik het niet direct duidelijk met wie ik te maken krijg bij een bezoek aan de websites. Op de website van Bouwens& staat in de header de naam “The Office Host” groter weergegeven dan de handelsnaam “Bouwens&” en hebben ze het op de homepage over “kantooromgeving”. Iets waar The Office Operators bezoekers van haar website ook heel goed mee van dienst kan zijn. Dan is er nog niets eens gesproken over de rode jurken.

De uitkomst van domeingeschillen zijn op voorhand niet altijd even goed voorspelbaar. Ga daarom dan ook niet direct over tot overdracht van de domeinnaam indien u een sommatiebrief ontvangt. Soms kan het aanpassen van uw website ook tot een oplossing leiden. Houd wel altijd in gedachten om problemen te voorkomen dat de Handelsnaamwet eist dat er verwarring kan ontstaan tussen twee handelsnamen. In de praktijk wordt inbreuk snel aangenomen indien de twee handelsnamen op elkaar lijken, mits de branches – waar de twee handelsnamen werkzaam in zijn – ook hetzelfde zijn.

 

Geschillen over domein, merk of handelsnaam Geschillen over domeinnamen en merken of handelsnamen komen regelmatig voor. Ook als de domeinnaam geheel te goeder trouw geregistreerd of gebruikt wordt.

 

> Lees verder

 

The post Handelsnamen in domeinnamen, hoe zat dat ook alweer? appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Kom 15 juni naar cursus ‘Gezondheidsrecht en ICT’

ma, 05/15/2017 - 07:34

Over precies één maand organiseert ICTRecht de cursus ‘Gezondheidsrecht en ICT’. Werkt u bij een zorginstelling en vraagt u zich af hoe u moet werken in de cloud en wat de regels zijn voor het uitwisselen van medische gegevens online? Tijdens de praktische ééndaagse training krijgt u antwoord over deze en andere juridische vraagstukken die spelen in de zorgsector.

In één dag leert u de ins en outs van privacy in de zorg, de juridische kanttekeningen van smarthealth en apps en verstandig werken met cloudsystemen. U leert over beveiliging, beschikbaarheid van ICT-diensten en privacy. Er is veel ruimte voor interactie en vragen uit het publiek. We zien u graag 15 juni!

MEER INFORMATIE EN AANMELDEN

PROGRAMMA 09:00 Ontvangst 09:30-11:00 De zorginstelling naar de cloud:
Beschikbaarheid van ICT-diensten | Privacy | Beveiliging 11:00-11:15 Pauze 11:15-12:45 Apps en webapps voor het (gemakkelijker) leveren van zorg:
Ontwikkelen | Apps en webapps online | Medisch hulpmiddel | privacy 12:45-13:30 Lunchpauze 13:30-15:00 Uitwisselingssystemen:
Regels voor het online uitwisselen van medische gegevens | Rechten van de patiënt 15:00-15:15 Pauze 15:15-16:30 Uitwisselingssystemen:
Koppelen van systemen met derden 16:30-17:00 Vragen en afsluiting Ervaringen ICTRecht Academy: “Praktisch; uitstekend geschikt voor mijn situatie. Ik kan er direct morgen, mee aan de slag!”

“Praktische insteek & interactief”

“Goede cursus met ter zake kundige docenten”

“Goede praktische training. Ruimte om op bepaalde onderwerpen de diepte in te gaan.”

The post Kom 15 juni naar cursus ‘Gezondheidsrecht en ICT’ appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Coinrecht #5 – Het huidige sentiment

ma, 05/15/2017 - 07:30

Voor geïnteresseerden is de vooruitgang en vernieuwing die plaatsvindt op het gebied van cryptogeld en blockchain duidelijk zichtbaar. Dit is niet het geval voor de gemiddelde burger. Deze zullen dergelijke ontwikkelingen waarschijnlijk pas serieus nemen als de gevestigde orde hier een duidelijke mening over heeft gegeven.

Denk bijvoorbeeld aan de belastingdienst, de regering, de rechterlijke macht en bestaande financiële instituties. In deze blogpost kijken we kort naar de beschikbare standpunten van deze partijen en of we een trend kunnen ontdekken die misschien een beter beeld schetst van de ontwikkelingen die er aan komen.

Nieuwe technologieën worden in eerste instantie vaak ontvangen met stevige weerstand. Als we terug kijken naar eerdere technologische ontwikkelingen als het internet kunnen we een trend herkennen. Eerst wordt het genegeerd, dan wordt het uitgelachen, dan wordt het bevochten en daarna wint het.

We lijken nu het punt te hebben bereikt waarop het internet gezien kan worden als volwassen technologie. Dit heeft meer dan 30 jaar geduurd. Omdat het internet een belangrijke basis vormt, zullen technieken die er op voortbouwen (zoals Bitcoin) sneller geadopteerd kunnen worden. Om enigszins te kunnen bepalen in welke fase van ontwikkeling Bitcoin en blockchain momenteel verkeren, denk ik dat we kunnen kijken naar uitingen van de gevestigde orde. Hieronder een greep uit deze uitingen:

Regering over Bitcoin

Een In 2013 gaf minister Dijsselbloem van financiën antwoord op kamervragen over Bitcoin.  In reactie op een vraag over de stormachtige waardeontwikkeling en het beperkte toezicht antwoordde de minister:

In het algemeen is de ervaring van centrale banken dat alternatieve, al dan niet virtuele munteenheden een onstabiel karakter hebben, hetgeen risico’s met zich brengt voor gebruikers. Naar mijn mening is van risico’s voor de financiële stabiliteit echter vooralsnog geen sprake, vanwege de beperkte omvang, de lage acceptatiegraad en de beperkte relatie van Bitcoin tot de reële economie.

In hetzelfde jaar gaf de minister aan:

De Bitcoin valt niet onder de definitie van (elektronisch) geld in de zin van de Wft onder meer omdat de Bitcoin geen vordering op de uitgever vertegenwoordigt.

Bijstelling van de formele wettelijke definitie van elektronisch geld acht ik vooralsnog niet wenselijk vanwege de beperkte omvang, de relatief lage acceptatiegraad en de beperkte relatie van de Bitcoin tot de reële economie.

Dit laatste punt is verstandig. Niet vanwege de lage acceptatiegraad of de beperkte relatie van de Bitcoin tot de reële economie, maar omdat Bitcoin niet gereguleerd kan worden. Het is een decentraal systeem dat onafhankelijk van centrale organisatie draait op het internet. Bitcoin reguleren is hetzelfde als het internet reguleren, dat werkt niet. Men kan wel achter individuele gebruikers aangaan, zoals dit nu op het internet ook gebeurt, maar dit laat het achterliggende systeem onverlet. Dit is waarschijnlijk de lastigste les die geleerd moet worden zodra de fase van verzet aanbreekt (als die niet al aangebroken is).

In 2016 werd gevraagd of de minister op de hoogte is van het feit dat Bitcoin (gerelateerde) bedrijven in Nederland geen bankrekening kunnen krijgen. Hij antwoordde:

In het geval van Bitcoin-exchangebedrijven is het begrijpelijk dat banken terughoudend zijn bij het verstrekken van rekeningen. Virtuele valuta’s, zoals Bitcoin, zijn immers door de Nederlandsche Bank (DNB) en de European Banking Authority (EBA) gekwalificeerd als producten met een zeer hoog risicoprofiel.

Wanneer we kijken naar deze kwalificatie door de DNB lezen we vooral over de mogelijkheden voor witwassen, een zeer hoog risico profiel en gebrek aan controle. Hier is geen aandacht voor enige positieve uitwerking van de technologie. Natuurlijk is de bescherming van consumenten belangrijk, maar in afwezigheid van concreet misbruik voelt het vooral als angstpolitiek en bescherming van de status quo. Dit betekent dat banken kunnen beslissen welke bedrijven wel of niet mogen deelnemen aan de markt. Of dit wenselijk is laat ik aan de lezer. Op de langere termijn zullen dergelijke maatregelen niet uitmaken, want Bitcoin en ander cryptogeld laten zich niet reguleren.

Belastingdienst over Bitcoin

Wie investeert in Bitcoin of de mogelijkheden van Bitcoin als betaalmiddel verkent, zal vroeg of laat te maken krijgen met de belastingdienst en belasting op onder andere inkomen en/of vermogen. Wie onlangs aangifte inkomstenbelasting heeft gedaan, is Bitcoin misschien al tegengekomen. De belastingdienst schaart het onder overige bezittingen:

Bitcoins en andere virtuele betaalmiddelen: Virtuele betaalmiddelen, zoals bitcoins, staan op uw computer opgeslagen. U kunt deze alleen gebruiken als betaalmiddel op internet. U geeft van deze middelen de waarde in het economisch verkeer aan op 1 januari van het jaar van aangifte.

Eigenlijk is dit een goede aanmoediging. Als de overheid er belasting over wil heffen is het concept in ieder geval bekend, heeft het waarde en probeert men het een plekje te geven. Wel zet ik vraagtekens bij de uitvoerbaarheid hiervan. De braafste jongetjes van de klas zullen waarschijnlijk eerlijk aangifte doen, maar in de praktijk is dit waarschijnlijk niet te handhaven. Maar dat zal de praktijk uitwijzen. Naarmate cryptogeld groeit, zal de belastingdienst hier zeker een graantje van mee willen pikken.

Bitcoin laat zich nog moeilijk in een hokje plaatsen

De minister van Financiën ziet het niet als (elektronisch) geld en is nog niet van plan de Wet op het financieel toezicht te wijzigen. De belastingdienst ziet dat Bitcoins waarde hebben en wil inkomen uit daaruit wel belasten. Waarschijnlijk is cryptogeld met een huidige marktkapitalisatie van 55 miljard dollar niet groot genoeg om wetswijzigingen teweeg te brengen. Dit kan in de komende jaren wel eens gaan veranderen.

Populariteit en investeringen lijken in een stroomversnelling te zijn geraakt en laten nog geen tekenen van stagnatie zien. Hopelijk gaan we te zijner tijd beschikken over een duidelijke kwalificatie van dit nieuwe fenomeen. Zo leren hopelijk meer en meer mensen over cryptogeld en kunnen zij zonder angst voor onrechtmatigheid of naheffingen naar eigen inzicht investeren.

In het vervolg op deze blog kijken we naar de standpunten van banken en verkennen we de tot dusver beschikbare jurisprudentie.

Lees ook de eerdere blogposts uit deze serie.

Welkom bij de financiële revolutie (de waarde van één Bitcoin (BTC) is op dit moment 1658 euro).

fotocredit: btckeychain – Flickr cc 2.0

The post Coinrecht #5 – Het huidige sentiment appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Informatiebeveiliging in de zorg: normontwerp NEN 7510:2017 gepubliceerd

vr, 05/12/2017 - 07:30

Zorginstellingen die privacygevoelige gegevens van hun patiënten verwerken, moeten volgens de wet adequate informatiebeveiligingsmaatregelen treffen. De patiënt moet ervan uit kunnen gaan dat zijn gegevens vertrouwelijk worden behandeld. Daarnaast is de zorginstelling uiteraard zelf afhankelijk van de juistheid en beschikbaarheid van de gegevens. NEN 7510 is de ontwikkelde standaard (norm) voor informatiebeveiliging in de zorgsector. Onlangs is deze norm herzien. Het normontwerp is momenteel in te zien en kan van commentaar worden voorzien.

‘Passende’ beveiligingsmaatregelen

Volgens de wet (artikel 13 Wet bescherming persoonsgegevens, hierna: Wbp) moeten er passende technische en organisatorische maatregelen worden genomen die een adequaat beveiligingsniveau voor de verwerking van persoonsgegevens garanderen. Dit is een vrij open regel die per situatie anders ingevuld moet worden. Een standaard webwinkel die een digitaal klantenbestand bijhoudt, hoeft niet zulke strenge maatregelen te nemen als het ziekenhuis dat patiëntgegevens verwerkt in zijn informatiesystemen. Meer uitleg over wat een ‘passend’ beveiligingsniveau is kunt u lezen in deze blogpost van mijn collega.

Naast de algemene privacywetgeving (momenteel de Wbp en per 25 mei 2018 de Algemene Verordening Gegevensbescherming), zijn er verschillende andere wetten die regels bevatten over de privacy van patiënten en de beveiliging van medische persoonsgegevens. Zo is er een specifieke wet over het verwerken van BSN in de zorg (de Wet gebruik BSN in de zorg).

ISO- en NEN-normen

Om te kunnen voldoen aan de betreffende wetsbepaling (artikel 13 Wbp) kan aansluiting worden gezocht bij ontwikkelde standaarden voor informatiebeveiliging. De normen schrijven een bepaald proces voor waardoor een bedrijf – en zijn werknemers – weet hoe hij met digitale (persoons)gegevens moet omgaan en welke maatregelen hij moet treffen. Er bestaan zowel internationale (ISO) als nationale (NEN) normen voor informatiebeveiliging. De ISO 27001 norm is bijvoorbeeld de internationale algemene norm voor informatiebeveiliging.

NEN 7510 is de norm die specifiek ziet op de zorgsector en beschrijft maatregelen die zorginstellingen moeten nemen om patiëntgegevens en hun systemen te beveiligen. De Autoriteit Persoonsgegevens beschouwt voor de zorgsector de NEN 7510 als “een gezaghebbende en sectorale uitwerking” van de ‘passende’ technische en organisatorische maatregelen, zoals beschreven in de wet.

De norm richt zich niet alleen tot zorginstellingen, maar ook tot andere organisaties die zijn betrokken bij de verwerking van medische gegevens. Naast NEN 7510 zijn ook de aanvullingen NEN 7512 en NEN 7513 van belang voor de zorgsector. NEN 7512 ziet op de gegevensuitwisseling tussen verschillende partijen, denk aan maatregelen over de identificatie en authenticatie van partijen die gegevens uitwisselen. NEN 7513 ziet op logging, zoals maatregelen over het controleren van de rechtmatigheid van toegang tot patiëntendossiers.

De normen zijn geen wetten, maar ‘best practices’. Het voldoen aan de norm betekent niet automatisch dat ook wordt voldaan aan de wet.

Nieuwe versie NEN 7510: normontwerp NEN 7510:2017

NEN, het Nederlandse normalisatie-instituut dat normen vastlegt en uitgeeft, is in 2016 begonnen met de revisie van NEN 7510. Dit naar aanleiding van de herziening van de brondocumenten van ISO 27001, 27002 en 27799 (waar NEN 7510 op is gebaseerd). Volgens NEN sluit de nieuwe norm beter aan bij internationale normen. Wel is de norm nog steeds specifiek gericht op de Nederlandse situatie.

Geef input aan de NEN7510:2017

Bent u betrokken bij of geïnteresseerd in de informatiebeveiliging in de zorgsector? Tot 1 juli 2017 kan het normontwerp worden voorzien van commentaar. NEN neemt dit commentaar mee bij het voltooien van het ontwerp. Naar verwachting zal de definitieve versie eind 2017 gepubliceerd worden.

Meer informatie kunt u hier vinden over de beveiliging van persoonsgegevens.

 

Training ICT en gezondheidsrecht Werkt u bij een zorginstelling en vraagt u zich af hoe u dient te werken in de cloud en wat de regels zijn voor het uitwisselen van medische gegevens online? Deze en meer van dit soort vraagstukken worden behandeld tijdens deze training.

 

> Lees verder

 

The post Informatiebeveiliging in de zorg: normontwerp NEN 7510:2017 gepubliceerd appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Pagina's