van ICT recht

Subscribe to feed van ICT recht
Deskundig, praktisch en concreet juridisch advies tegen een passend tarief.
Bijgewerkt: 1 uur 50 min geleden

Online discriminatie van consumenten in de EU verleden tijd?

vr, 12/15/2017 - 06:00

Internationalisering is een proces waar we tegenwoordig niet meer omheen kunnen. Vervaging van de landgrenzen zorgt soms voor problemen. Goederen of diensten kopen in een andere lidstaat is bijvoorbeeld voor de consument niet altijd even gemakkelijk. Op basis van de verblijfplaats van klanten komt het voor dat handelaren de markt beïnvloeden en op die manier direct en indirect de klant discrimineren door geoblocking.

Voorstel geoblocking verordening

Het Europees Parlement, de Europese Raad en de Europese Commissie willen iets aan deze discriminatie doen. Op 21 november 2017 hebben deze drie Europese wetgevingsinstanties daarom goedkeuring verleend voor de tekst van het voorstel voor een geoblocking verordening. Geoblocking zorgt ervoor dat veel Europeanen bepaalde diensten in andere Europese landen niet kunnen gebruiken.

Deze verordening heeft als doel discriminatie op grond van de geografische locatie van de consument bij online aankopen te voorkomen. De weigering van een betaling voor de aanschaf van een product, bijvoorbeeld vanwege een IP-adres uit een andere lidstaat, moet daarmee verleden tijd worden. Consumenten moeten zonder problemen de goedkoopste of bijvoorbeeld de beste optie kunnen uitzoeken. Ook wanneer deze optie zich bevindt op een site van een andere lidstaat, zoals België. De consument mag dan niet vanwege een Nederlands IP-adres geweigerd worden op een Belgische site.

Het voorstel verbiedt handelaren dus om de toegang tot websites en andere elektronische interfaces te blokkeren en de klanten door te leiden van de versie voor het ene land naar die voor een ander land. Op die manier moet het voorstel een aanvulling bieden op de uniforme markt. Daarbij is het erop gericht de juiste voorwaarden te scheppen voor betere toegang tot diensten voor consumenten en ondernemingen in de Unie.

Uniforme digitale markt (Digital Single Market)

Het aanbod voor de consument moet sterk worden vergroot door de inwerkingtreding van de verordening, die naar verwachting eind 2018 plaatsvindt. De klant moet het recht hebben om commerciële transacties aan te gaan onder dezelfde voorwaarden als een lokale klant. Er moet sprake zijn van volledige en gelijke toegang, ongeacht hun nationaliteit, verblijfplaats of plaats van vestiging. Als de klant deze mogelijkheid niet geboden wordt, kunnen de lidstaten sancties opleggen.

Elke lidstaat wijst namelijk een of meer instanties aan die verantwoordelijk zijn voor handhaving van de verordening. Onder de verordening blijft het wel mogelijk dat handelaren activiteiten richten op verschillende lidstaten of op een bepaalde groep klanten met doelgerichte aanbiedingen en uiteenlopende voorwaarden. Handelaren moeten waar nodig maatregelen nemen om ervoor te zorgen dat dit discriminatieverbod wordt nageleefd wanneer de betrokken klanten anders zouden worden uitgesloten van een volledige en gelijke toegang. Verder worden in het persbericht drie specifieke situaties omschreven waar het geoblockingverbod op van toepassing is:

  • “Verkoop van goederenzonder fysieke levering. Een voorbeeld: een Belgische klant wil een koelkast kopen en vindt de gunstigste prijs op een Duitse website. De klant krijgt het recht om het product te bestellen en het op te halen op de locatie van de handelaar of er zelf voor te zorgen dat het bij hem thuis wordt bezorgd.
  • Verkoop van elektronisch geleverde diensten. Een voorbeeld: een Bulgaarse consument wil bij een Spaans bedrijf hostingdiensten voor haar website kopen. Ze krijgt toegang tot die diensten en kan deze registreren en kopen, en hoeft daarvoor vergeleken met een Spaanse consument geen extra vergoedingen te betalen.
  • Verkoop van diensten die op een specifieke fysieke locatie worden verleend. Een voorbeeld: een Italiaans gezin kan een reis naar een attractiepark in Frankrijk rechtstreeks kopen en wordt daarbij niet doorgestuurd naar een Italiaanse website.”
Uitzondering beschermde werken

Het internet heeft de weg voor verschillende diensten vrijgemaakt. Tegenwoordig wordt er veel gebruik gemaakt van clouddiensten, gegevensopslagdiensten, webhosting en het opzetten van firewalls. Deze diensten zijn uitgezonderd van het verbod op de toegangsvoorwaarden, zoals opgenomen in de verordening geoblocking. Hierbij moet specifiek dus gedacht worden aan diensten die als hoofdkenmerk hebben het aanbieden van toegang tot en gebruik van auteursrechtelijke beschermd werken of ander beschermd materiaal. Voorbeelden hiervan zijn Netflix en bijvoorbeeld Google Drive.

Het is, indien het voorstel in werking treedt, nog steeds mogelijk dat dit soort diensten toegangsvoorwaarden stellen die verband houden met nationaliteit, verblijfplaats of de plaats van vestiging van de klanten. Ondanks de verordening kan een Nederlandse klant in Duitsland nog steeds aanlopen tegen verschillende toegangsvoorwaarden. Denk hierbij aan een ander aanbod aan films en series van Netflix wanneer de klant zich in een ander land begeeft.

Veranderingen voor de consument

Consumenten moeten zonder belemmeringen aankopen bij andere lidstaten kunnen doen. Als een webshop de betreffende consument, uit bijvoorbeeld Nederland, toch door wil sturen naar een Nederlandse webshop zal de webshop de consument hier toestemming voor moeten vragen.

Het is wel mogelijk dat de consument nog steeds tegen belemmeringen aanloopt. Zoals een specifiek betaalmiddel. De keuze voor een betaalmethode is vrij, zolang dit niet afhankelijk is van factoren die verband houden met de verblijfplaats van klanten. Het enkel aanbieden van een methode waarbij een specifieke lidstatelijke debet- of creditcard benodigd is moet dus verdwijnen. Als een webshop kiest voor een betaalmethode met de mogelijkheid tot betaling met een creditcard van het merk Visa. Dan moet betaling vanuit alle lidstaten met een Visa-creditcard mogelijk zijn.

Discriminatie verleden tijd

De verordening is weer een stap in de goede richting voor een uniforme digitale markt (Single Digital Market). Het stelt consumenten in staat om een transparante keuze te kunnen maken. Consumenten kunnen na de inwerkingtreding van de verordening prijzen vergelijken en ook daadwerkelijk gebruikmaken van de mogelijkheden die een uniforme markt geeft. De uitzondering op beschermde werken zorgt er wel voor dat deze diensten buiten de uniforme markt vallen.

Uiteindelijk is het doel dat ook deze diensten onder de verordening worden gebracht, zo geeft de Europese Commissie aan (overweging 32 van de verordening). Het is dus nog even afwachten, maar naar verwachting kunnen we volgend jaar onze kerstcadeaus zonder belemmeringen in alle lidstaten kopen. En misschien zelfs nog een paar euro besparen door de mogelijkheid van prijsvergelijking.

Dit artikel is geschreven in samenwerking met Iris de Groot.

Zeker weten dat u voldoet aan alle relevante webwinkel regelgeving?

Webwinkels hebben te maken met speciale juridische eisen. Zo schrijft de wet voor dat u zich moet identificeren, dat uw algemene voorwaarden op een specifieke manier moeten worden aangeboden en dat u in een privacyverklaring moet toelichten wat u doet met persoonlijke informatie. Zeker weten dat alles op orde is?

> Vraag een webshop scan aan of maak zélf juridische webwinkel documenten met onze generatoren op JuriDox

Het bericht Online discriminatie van consumenten in de EU verleden tijd? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Coinrecht #12 – Cryptogeld & blockchain jaaroverzicht 2017

do, 12/14/2017 - 06:00

Het jaar 2017 zal de boeken in gaan als het jaar waarin cryptogeld zijn eerste stappen zette richting mainstream acceptatie. Nog niet eerder is deze revolutionaire technologie zó vaak in het nieuws geweest, in de krant bediscussieerd, gekocht, verkocht, opgehemeld en afgeschoten. Het is een ontzettend spannend en interessant spektakel om te volgen. Voordat we aan 2018 beginnen is het daarom goed om even terug te kijken naar de ontwikkelingen in 2017.

Als u nog niet eerder van cryptogeld, Bitcoin of blockchain heeft gehoord, dan zijn hier en daar links en verwijzingen ingevoegd om u op weg te helpen. Inmiddels mogen we wel stellen dat deze technologieën onze levens op een ingrijpende manier gaan veranderen. Kennis en inzicht zijn het wapen om hier niet door overrompeld te worden.

Deze blog is als volgt opgedeeld. Volg de links om naar dat onderwerp te springen:

Coinrecht

Vanuit een persoonlijk interesse ben ik in maart begonnen met deze blogserie over cryptogeld, Bitcoin en blockchain. Volgens ICTRecht nomenclatuur heeft de serie de naam Coinrecht gekregen. In maart wisten we nog niet wat een enorme vlucht het ecosysteem zou nemen en hoe deze niche zich zou ontwikkelen. Achteraf gezien was het een zeer opportuun moment om te beginnen.

De serie begint met een algemene introductie van cryptogeld. Vervolgens hebben we gekeken naar de blockchain en de belangrijkste aspecten daarvan. Een van de projecten die blockchain mogelijk maakt is het platform Ethereum en de introductie van smart contracts. Daarna werden de onderwerpen vooral gestuurd door recente ontwikkelingen. Enkele belangrijke zullen hieronder aan de beurt komen.

Koers van cryptogeld

In deze serie probeer ik niet te veel nadruk te leggen op de prijs (of koers) van cryptogeld, maar inmiddels is dit een indicator die niet genegeerd kan en mag worden. Tevens is het een van de aspecten die het meeste tot de verbeelding spreekt, omdat het mogelijk is om in cryptogeld te investeren. Naarmate de prijs omhooggaat, en dat gaat met flinke sprongen, is het mogelijk om hier een aanzienlijke waardevermeerdering mee te behalen.

Kijk bijvoorbeeld even naar onderstaande grafiek van de beurswaarde (market cap) van alle soorten cryptogeld in dollars. Hoewel er vraagtekens geplaatst kunnen worden bij de waarde van de ‘market cap’ indicator in het geval van cryptogeld, is het toch een overtuigende grafiek. Een belangrijke drijvende kracht hierachter is cryptomunt Bitcoin die het afgelopen jaar de grens van tienduizend dollar (en euro) heeft doorbroken. Voor de beeldvorming: ten tijde van de eerste blog was de waarde van een Bitcoin 970 euro. Inmiddels is dit 14606 euro.

Ontwikkelingen ICTRecht

Sinds het starten van de blogserie zijn we in contact gekomen met zeer interessante en verschillende marktpartijen die, met een geheel eigen visie, willen gaan ondernemen op het terrein van cryptogeld. Met name de variatie in de verschillende producten en diensten stemt enorm positief voor de toekomst. Zowel bij de mensen die we hebben ontmoet als nieuwe klanten als op evenementen waarbij we aanwezig waren, heerst een enorm optimisme. Mede hierom zijn we enorm nieuwsgierig naar wat 2018 gaat brengen.

ICO’s

We hebben een enorme toename gezien in het gebruik van Initial Coin Offerings. Volg de link voor een uitgebreidere beschrijving. Wereldwijd is er het afgelopen jaar ongeveer vier miljard dollar opgehaald. Hoe deze nieuwe tokens gekwalificeerd gaan worden binnen het financiële recht is nog onduidelijk. Omdat deze wetgeving niet alleen een nationale aangelegenheiden is, is het goed om naar internationale signalen te kijken. Zowel China als de VS hebben aangekondigd hier tegen op te gaan treden en hebben inmiddels de daad bij het woord gevoegd.

De kans is volgens mij groot dat 2018 een belangrijk jaar gaat worden voor wetgeving. Uiteindelijk hebben ICO tokens erg veel gemeen met effecten zoals ze in de Wft gedefinieerd zijn. Dit zal ook een belangrijke fase in de ontwikkeling van ICO’s inluiden. De hoop is dat wetgevers er niet met gestrekt been in gaan.

De kans bestaat namelijk dat er een ongemakkelijk moment zal komen waarop geconcludeerd moet worden dat handhaving, vanwege het decentrale karakter van deze ontwikkelingen, blijvend te kort kan gaan schieten. Richting (potentiële) investeerders blijft het van belang om te wijzen op de risico’s. Zeker ten tijde van een euforische markt is het goed om altijd verantwoord te handelen. De AFM wijst hier in ieder geval regelmatig op.

Forks

Waar Bitcoin eerder nog een onbeweegbare boom was, zijn er inmiddels vertakkingen ontstaan. Om Bitcoin ingrijpend te wijzigen is een consensus van 95% nodig. Daarom is het erg moeilijk om iedereen op één lijn te krijgen wanneer men een andere koers wil gaan varen. Verschillende partijen die ieder een andere toekomstvisie voor Bitcoin hebben, zijn nu een eigen weg ingeslagen. Inmiddels hebben we twee forks meegemaakt (BCash en BGold). De verwachting is dat dit in de toekomst nog vaker gaat gebeuren. Uiteindelijk kan het zelfs een geschikte manier zijn om de levensvatbaarheid van nieuwe ideeën en technologieën te testen om zo Bitcoin als geheel wendbaar en resistent te houden.

Futures

Een belangrijke stap richting mainstream adoptie is de introductie van futures geweest. Deze ontwikkeling geeft Bitcoin een grote impuls van legitimiteit. Met name omdat traditionele financiele instellingen zich hebben gerealiseerd dat ze niet meer om Bitcoin heen kunnen. Na de introductie van twee platformen in 2017 zal zelfs de NASDAQ begin 2018 beginnen met Bitcoin futures. Wat de impact hiervan zal zijn is natuurlijk onduidelijk. Wel krijgt Bitcoin hiermee een nieuw niveau van acceptatie.

Wetgeving

We hebben eerder stilgestaan bij verschillende signalen op het gebied van wetgeving en jurisprudentie. Hoewel er geen tekort is aan kanttekeningen, waarschuwingen en bangmakerij, is er nog steeds geen substantiële regelgeving die expliciet van toepassing is op cryptogeld. Veel advies over cryptogeld bestaat dan ook uit het anticiperen op wetgeving die nog gemaakt gaat worden of bestaande wetgeving die op cryptogeld van toepassing verklaard kan gaan worden.

Dit betekent niet dat er geen belangrijke ontwikkelingen in de pijplijn zitten. Inmiddels wordt er wel rekening gehouden met custodian wallet aanbieders in de vierde anti-witwasrichtlijn, heeft de minister van Financiën al aangegeven dat ICO’s onder de Wft kunnen gaan vallen en heeft ook de Europese Effectenmarkttoezichthouder (ESMA) ICO’s geagendeerd. Natuurlijk hebben ook internationale ontwikkelingen een grote invloed op de opinie van Nederlandse en Europese wetgevers.

Waarschuwingen

De wereld van cryptogeld is niet alleen rozengeur en maneschijn. Hoeveel positieve impact en potentie het ook heeft, het is altijd verstandig om ook rekening te houden met de minder leuke en mogelijke negatieve kanten.

Betaal belasting

Benjamin Franklin zei: ” […] nothing can be said to be certain, except death and taxes”. Dit geldt natuurlijk ook voor cryptogeld. Hoewel het momenteel een onmogelijke taak lijkt voor de belastingdienst om effectief inkomen/rendement uit cryptogeld te belasten, betekent dit niet dat het zo blijft. De ruim honderdduizend  beleggers in cryptogeld (zowel natuurlijke als rechtspersonen) zullen inmiddels gezamenlijk een leuke winst hebben verzameld. Om in de toekomst niet voor een vervelende verassing te komen staan, is het goed om het belang van belastingen niet te verwaarlozen. In de Verenigde Staten bijvoorbeeld is de belastingdienst (IRS) al actief op zoek naar burgers met vermogen in cryptogeld.

Anticipeer op aankomende wetgeving

Momenteel is nog veel onduidelijk is op het gebied van wetgeving en iedere ondernemer in het crypto-ecosysteem bevindt zich nog in een grijs gebied. Hoewel wetgeving natuurlijk niet overhaast moet worden geschreven en doorgevoerd, heeft het uitblijven daarvan ook vervelende gevolgen. Veel ondernemers lopen bijvoorbeeld tegen onredelijke beperkingen aan binnen een systeem dat niet zo happig is op concurrentie. Wij horen uit de praktijk dat ondernemers, die iets met cryptogeld en/of blockchain willen gaan doen, soms geen bankrekening kunnen krijgen. Deze werden geweigerd zodra een bank lucht kreeg van de materie.

Vooruitblik blockchain & cryptogeld

Een vooruitblik naar 2018 bevat heel veel spannende ontwikkelingen, zowel op technisch als op juridisch gebied.

Technische ontwikkelingen in cryptogeld

Een van de krachtigste aspecten van het crypto-ecosysteem zijn de mensen die er bij betrokken zijn: de community. We staan aan de vooravond van een nieuwe vorm van digitaal geld, en dit wakkert een diepe motivatie aan in de allerbeste programmeurs, ondernemers en andere supporters. Het schip groeit en de koers wordt steeds moeilijker te beïnvloeden.

We zien nu al technieken die in de komende jaren belangrijke veranderingen teweeg gaan brengen. Een goed voorbeeld hiervan is het Lightning Network. Het project bouwt een peer-to-peer laag bovenop Bitcoin die het mogelijk maakt om in milliseconden en tegen zeer lage transactiekosten Bitcoinbetalingen uit te voeren. Dit netwerk zal uiteindelijk zelfs in staat zijn om transacties te doen tussen verschillende blockchains (atomic swaps). Kortom, het tempo van ontwikkeling is razendsnel en we zien inmiddels concrete voorbeelden van transacties die we voorheen als onmogelijk hadden afgedaan.

Juridische ontwikkelingen in cryptogeld

Het is onvermijdelijk dat er wetgeving komt. Het huidige laissez-faire model kan niet permanent standhouden. We kunnen alleen maar hopen dat de wetgevers niet worden gedreven door angst en controle, maar door voortschrijdend inzicht en een goed begrip van de mogelijkheden. Cryptogeld zal met de tijd hopelijk een status krijgen zoals die van het internet. Waar de weerstand tegen het internet in de jonge jaren sterk was, hebben we inmiddels Europese wetgeving die voorschrijft dat iedere burger toegang moet hebben tot het wereldwijde netneutrale web.

Tot slot

Als u twintig minuten de tijd heeft, doe uzelf dan een heel groot plezier en ga even rustig zitten voor deze presentatie van Andreas Antonopoulos:

Welkom bij de financiële revolutie (de waarde van één Bitcoin (BTC) is op dit moment 14606 euro).

Het bericht Coinrecht #12 – Cryptogeld & blockchain jaaroverzicht 2017 verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Archiefwet versus het Recht om vergeten te worden

do, 12/07/2017 - 06:00

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. De AVG vervangt de Privacyrichtlijn en daarmee ook de Wet bescherming persoonsgegevens. In de AVG zijn regels opgenomen voor het verwerken van persoonsgegevens. ‘Persoonsgegevens’ omvatten alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de betrokkene). Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan
worden geïdentificeerd. Hieronder vallen dus geen gegevens over een overledene of een rechtspersoon.

Als verwerkingsverantwoordelijke moeten overheidsorganisaties de rechten eerbiedigen die de AVG biedt aan de betrokkenen. Met name het ‘recht op gegevenswissing’ dat wordt toegekend aan de betrokkene, en de wettelijke plicht voor overheden om bepaalde gegevens juist blijvend te archiveren, botsen in dit kader met elkaar. Heeft de archiefwet voorrang op de AVG?

Archivering door de overheid

Overheden zijn op grond van de Archiefwet verplicht om diverse digitale documenten te archiveren. Die verplichting strekt zich ook uit over overheidwebsites, emails, en berichten op social media zoals Twitter en Facebook. Het overgrote deel van de overheidsorganisaties hebben echter naast een digitaal archief ook nog meters, dan wel kilometers aan fysiek (papieren) archief opgeslagen in hun kelders en zolders.

Op dit moment ligt er bij overheden een fysiek archief van in totaal 175 kilometer dat is opgebouwd in de periode van 1975 tot aan 2005. – Nationaal Archief

Met de archiefbescheiden die in deze kelders en zolders zijn te vinden, moet volgens de Archiefwet ‘iets’ gebeuren: óf het moet worden bewaard, óf het moet worden vernietigd. Het controleren van alle bescheiden is een arbeidsintensieve klus, waardoor het geregeld voorkomt dat overheden achterlopen met het op peil houden van dit fysieke archief. Daarbij komt dat in de beginjaren 2000 vaak hybride archieven zijn opgebouwd. Sommige dossiers zijn zowel fysiek als digitaal opgeslagen, andere dossiers alleen fysiek of digitaal. Dit maakt de situatie er niet eenvoudiger op.

Momenteel zijn de medewerkers van het Nationaal Archief druk bezig om de huidige fysieke collectie te digitaliseren. Het is de bedoeling dat binnen 15 jaren zo’n 10% van alle bestaande bescheiden op basis van open data online zijn te raadplegen in het e-Depot. Daarnaast wordt de collectie jaarlijks aangevuld met nieuwe bescheiden en wordt er op dit moment een archief opgebouwd waarmee de collectie over twintig jaren wordt aangevuld.

Degene die is belast met de zorg voor de archiefbescheiden (zorgdrager) is verplicht tot het ontwerpen van selectielijsten waarin bescheiden worden opgenomen die voor vernietiging of permanente bewaring in aanmerking komen. Deze lijst wordt bekendgemaakt in de Staatscourant (artikel 5 Archiefwet). De zorgdrager moet bij het ontwerpen en het vaststellen van de selectielijsten o.a. rekening houden met de taak van het overheidsorgaan waarvoor hij de selectielijst vaststelt, wat de verhouding is tussen de overheidsorganen onderling, de waarde die de archiefbescheiden hebben gelet op het cultureel erfgoed en het belang hiervan voor overheidsorganen, rechtzoekenden en historici (artikel 2 Archiefbesluit 1995). De selectielijsten zijn te vinden op de website www.nationaalarchief.nl.

Volgens de recent vastgestelde selectielijsten voor gemeentes moet online content blijvend bewaard worden. Overheidsorganisaties zijn daarbij verplicht hun archiefstukken in goede, geordende en toegankelijke staat te brengen en te bewaren. De archiefstukken die niet voor vernietiging in aanmerking komen en ouder zijn dan twintig jaren moeten worden overgebracht naar het Nationaal Archief of naar een van de Regionale Historische Centra (artikel 12 Archiefwet).

Het recht op gegevenswissing en het algemeen belang Zodra er persoonsgegevens in de te archiveren bestanden zijn opgenomen is daarop de AVG van toepassing. De verwerking ten behoeve van archivering wordt volgens de AVG als verenigbaar beschouwd met de oorspronkelijke verwerking. Deze is dus altijd toegestaan, ook als het archiveringsdoel oorspronkelijk niet was gemeld aan de betrokkenen. Bovendien hoeft de archivaris de betrokkene niet te informeren over de verwerking aangezien dat onevenredig veel inspanning zou kosten. Er zijn voor de archiveringstaak nog meer uitzonderingen in de AVG opgenomen.

Zo mogen persoonsgegevens in beginsel niet langer worden bewaard dan nodig is, maar ten behoeve van archivering in het algemeen belang is een langere opslag echter wel toegestaan. Nu zou de betrokkene zich echter kunnen beroepen op het zogeheten recht op gegevenswissing. Dit recht is opgenomen in artikel 17 van de AVG. De overheid zou in dat geval verplicht zijn om zonder onredelijke vertraging de persoonsgegevens te wissen. Bij archieven is dit onwenselijk omdat dit de integriteit van het archief zou aanpassen.

Het Europees Parlement en de Raad hebben dit probleem al in een vroeg stadium onderkend. Om deze reden is het recht op gegevenswissing buiten toepassing verklaard wanneer dit recht archivering met het oog op het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden onmogelijk dreigt te maken of deze ernstig in het gedrang dreigt te brengen (artikel 17 sub d AVG).

Deze uitzondering geldt alleen wanneer bij de archivering passende waarborgen zijn genomen om de betrokkene te beschermen (artikel 89 AVG). Overheidsorganisaties zijn hierdoor verplicht om ten aanzien van archivering de technische en organisatorische maatregelen te treffen om het beginsel van dataminimalisatie te garanderen. Waar mogelijk zou dit kunnen door de gegevens in het archief te pseudonimiseren. Tot slot zijn het recht op inzage, rectificatie, dataportabiliteit en bezwaar niet van toepassing wanneer gegevens in het Nationaal Archief of in de Regionale Historische Centra worden bewaard. Wanneer de betrokkene van mening is dat het Nationaal Archief of een van de Regionale Historische Centra onjuiste gegevens bewaart, dan krijgt hij volgens de nog door het Parlement te behandelen Uitvoeringswet het recht om zijn eigen lezing aan de desbetreffende archiefbescheiden toe te voegen (voorgesteld in artikel 43 lid 3 Uitvoeringswet).

Fotocredit: Nationaal Archief – Vera de Kok CC BY-SA 3.0

Dit artikel is geschreven in samenwerking met Jessica Hof en eerder verschenen in ICTRecht in de praktijk nr. 4 2017

Meer weten over privacy, of digitalisering en aanbesteden bij de overheid?

ICTRecht organiseert trainingen over privacyaanbesteden van ICT en digitalisering binnen de overheid. Deze trainingen verzorgt ICTRecht Academy al jaren met succes, zowel voor juridische professionals (PO gecertificeerd) als voor algemeen publiek. Een inhouse training kan voor uw organisatie volledig op maat ontwikkeld worden waarbij voorbeelden uit uw eigen praktijk in het lesprogramma worden verwerkt.

Het bericht Archiefwet versus het Recht om vergeten te worden verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Medische apps en de nieuwe verordening over medische hulpmiddelen

do, 11/30/2017 - 06:30

Medische apps kunnen medische hulpmiddelen zijn. Het is belangrijk om vast te stellen of dit het geval is omdat er strenge regels gelden voor het op de markt brengen van deze apps. De reden daarvoor is dat hulpmiddelen, ingezet bij het leveren van zorg of het maken van een diagnose, bij slecht functioneren behoorlijke schade kunnen veroorzaken. Een goed voorbeeld is een app voor apothekers waar de Zwitserse toezichthouder in 2014 melding over maakte. Er zat een programmeerfout in de medische app waardoor de dosis van een bepaald antibioticum mogelijk fout werd berekend. Als er een verkeerde dosis of, wat hier niet het geval was, verkeerde medicatie wordt voorgeschreven door een programmeerfout, kan dit ernstige gevolgen hebben voor de patiënt.

De eerste regelgeving over medische hulpmiddelen stamt uit 1993. Toen is gekozen voor een aantal richtlijnen (die in Nederland vertaald zijn naar de Wet op de medische hulpmiddelen). Met als doel de patiëntveiligheid te vergroten en de interne markt in Europa soepel te laten functioneren, is er nu gekozen voor een tweetal verordeningen met vanzelfsprekend directe werking: een verordening specifiek voor medische hulpmiddelen voor in-vitrodiagnostiek, hier buiten beschouwing gelaten, en de Verordening (EU) 2017/745 van het Europees Parlement en de Raad van 5 april 2017 betreffende medische hulpmiddelen (…), hierna de Verordening.

De nieuwe verordeningen zijn 25 mei 2017 in werking getreden. Medische apps en andere stand alone software kunnen medische hulpmiddelen zijn en onder de Verordening vallen. Hierbij geldt een overgangstermijn van drie jaar, 25 mei 2020 moeten de medische hulpmiddelen aan de Verordening voldoen.

Software

Medische hulpmiddelen zijn alle producten die gebruikt worden in de zorg bij het voorkomen, de diagnose, de behandeling en de ondersteuning van een ziekte of een beperking. Sinds 2007 is er geen twijfel meer of een medische app een medisch hulpmiddel kan zijn. Stand alone software, dus niet meer enkel de software die onderdeel uitmaakt van een medisch hulpmiddel, is toen expliciet opgenomen in de definitie van medisch hulpmiddel.

Dit is met de Verordening niet veranderd, stand alone software wordt nog steeds expliciet genoemd. In 2016 zijn er richtsnoeren gepubliceerd over hoe de richtlijnen geïnterpreteerd moeten worden in het kader van stand alone software. Daarin staat bijvoorbeeld dat applicaties bedoeld voor gebruik in de zorg, waarmee enkel patiëntgegevens worden opgeslagen en gearchiveerd, geen medische hulpmiddelen zijn.

Of de uitleg zoals opgenomen in de richtsnoeren ook nog zal gelden na de inwerkingtreding, is nog niet duidelijk. De Europese Commissie zegt hierover op haar website dat alle “guidance and implementing measusres” komende jaren herzien zullen worden aan de hand van de nieuwe verordeningen. Dit vormt een uitdaging om nu al te kunnen voorsorteren op deze regels. De beoordeling, zal, gezien de tekst van de verordening, in de kern niet enorm afwijken.

Om te beoordelen of software een medisch hulpmiddel is, moet allereerst gekeken worden naar de intentie van de fabrikant. De fabrikant is degene die het hulpmiddel onder zijn naam of merk verhandelt. Stand alone software die wordt ontwikkeld specifiek voor gebruik bij een mens met een medisch doeleinde, is een medisch hulpmiddel.

Met een medisch doeleinde wordt onder andere bedoeld diagnose, preventie, monitoring en behandeling in het kader van de zorg. Het kan dan gaan om een mobiele app, een SaaS-applicatie of software die bij de gebruiker op locatie draait. Excel is een goed voorbeeld van een softwareprogramma dat veel gebruikt wordt in de zorg. Het is echter niet geschreven met de intentie om gebruikt te worden voor een bepaald medisch doeleinde en is dus geen medisch hulpmiddel.

Wat is dan wel een goed voorbeeld van medische hulpmiddelsoftware?

Bijvoorbeeld een eHealth-applicatie die voor de zorg is ontwikkeld en waarmee iemand zelf zijn suikerziekte kan monitoren, waarin de bloedsuikerwaarden worden verwerkt in een mooie grafiek en er alarmbellen gaan rinkelen als de waarden daar noodzaak toe geven. Deze applicatie is echt geschreven voor de behandeling van patiënten.

De oude versus de nieuwe regelgeving voor medische hulpmiddelen

Het grootste verschil voor stand alone software tussen de nieuwe en de oude regels is dat er een nieuwe classificatieregel is opgenomen in bijlage VIII bij de Verordening. Regel 11 gaat in op binnen welke klasse stand alone software moet worden ingedeeld. Er zijn vier klassen beschreven: I, IIa, IIb en III.

Afhankelijk van in welke klasse de software wordt ingedeeld, gelden bepaalde eisen om het medisch hulpmiddel op de markt te mogen brengen. Denk hier aan de eisen voor het verkrijgen van de CE-markering. Een CE-markering geeft aan dat een product veilig is en wordt in alle lidstaten gebruikt om dit aan te geven.

Hoe hoger de klasse, hoe strenger de regels. Bijvoorbeeld zodra de software in klasse 2a of hoger valt, kan de fabrikant, niet langer zelf een EU-conformiteitsverklaring opstellen die nodig is voor de CE-markering. Een aangemelde instantie (“Notified Body”) moet dit dan doen.

Regel 11 stelt dat software voor het verstrekken van informatie die gebruikt wordt bij het nemen van beslissingen voor diagnostische of therapeutische doeleinden in de zorg, afhankelijk van de risico’s van die beslissingen, in een bepaalde klasse ingedeeld moeten worden. Dit kan dan klasse IIa of hoger zijn. Dit zal aangepast moeten worden in de eerdergenoemde richtsnoeren. Hierin wordt nu namelijk ook ingegaan op de classificatie.

Wie is aansprakelijkheid voor voldoen aan nieuwe regels?

De fabrikant is er allereerst verantwoordelijk voor dat zijn medisch hulpmiddel op 25 mei 2020 voldoet aan de nieuwe regels (na verloop van tijd zullen eerder verkregen CE-markeringen ook vervallen). Denk bijvoorbeeld aan een start-up in de zorg die nu bezig is met de ontwikkeling van een nieuwe eHealth app. De nieuwe ondernemer is verantwoordelijk voor het voldoen aan deze regels, voordat hij of zij het hulpmiddel gaat verhandelen.

Naast de fabrikant hebben ook de importeur en de distributeur een eigen verantwoordelijkheid. De importeur brengt de hulpmiddelen op de Europese markt. De distributeur is volgens de Verordening iemand die het medisch hulpmiddel op de markt aanbiedt verderop in de toeleveringsketen aan de patiënt.

De zorginstelling kan deel uitmaken van de leveringsketen en kan op grond daarvan eigen verplichtingen hebben op grond van de Verordening. Daarnaast geldt uiteraard dat een hulpverlener op basis van het goed hulpverlenerschap ook zijn verantwoordelijkheid moet nemen. Gelukkig wordt de hulpverlener hier in de toekomst bij geholpen. Er komt een algemeen toegankelijke database, onder de naam EUDAMED, waarin alle medische hulpmiddelen moeten worden opgenomen. In de toekomst gaat waarschijnlijk gelden dat als een hulpmiddel daar niet in is opgenomen, de zorgverlener er geen gebruik van gaat maken.

Plan van aanpak ontwikkelaars medische apps & hulpmiddelen

Komende drie jaar is het van belang dat alle partijen in de keten, maar in eerste instantie de fabrikanten een en ander op orde gaan brengen. De drie jaren zijn nog krap daar de Notified Bodies het nu al heel druk hebben met alle aanvragen voor het opstellen van conformiteitsverklaringen en omdat het verplicht is om voorafgaand klinisch onderzoek te doen naar de veiligheid van de medische hulpmiddelen. Dergelijk onderzoek kost tijd.

Het is dus belangrijk om een plan van aanpak te formuleren. Voor de fabrikant van een medische app zijn daarbij in ieder geval de volgende stappen essentieel: (1) stel vast of de stand alone software een medisch hulpmiddel is, (2) beoordeel in welke klasse het medisch hulpmiddel moet worden ingedeeld, (3) zoek een Notified Body en ten slotte (4) start met het klinisch onderzoek.

Dit artikel is geschreven in samenwerking met Itte Overing en eerder gepubliceerd in ons magazine ICTRecht in de praktijk nr. 4 2017.

Advies nodig over ICT en Recht in de gezondheidszorg?

De wet- en regelgeving rond ICT in de zorg is complex en onduidelijk voor zorgaanbieders en hun ICT-leveranciers. Als zorgaanbieder maakt u gebruik van een veelheid aan ICT-toepassingen. Sommige intern en sommige “in the cloud”. De voorwaarden van die toepassingen kunnen de nodige verrassingen voor u bevatten. Minstens zo belangrijk is dat uw algemene voorwaarden zijn toegesneden op de zorg. In diensten voor zorginstellingen zijn deze voorwaarden cruciaal.

> Lees meer over Gezondheidszorg, ICT en Recht

Het bericht Medische apps en de nieuwe verordening over medische hulpmiddelen verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Credit scoring: in strijd met de privacywet?

wo, 11/29/2017 - 09:34

Profilering op basis van data is inmiddels geen geheim meer. Bedrijven sluiten graag zoveel mogelijk risico’s uit. Gegevens over de geschiedenis van betalingen bieden bedrijven deze mogelijkheid. Deze zogenoemde profilering kan grote gevolgen hebben. Het komt namelijk weleens voor dat iemand op een zwarte lijst komt te staan enkel en alleen omdat diegene in een arme wijk woont. De vraag is of bedrijven profielen mogen maken op basis van persoonsgegevens die van derden afkomstig zijn of is dit strijdig met de wet?

Het is niks nieuws dat bedrijven zwarte lijsten aan leggen. Dat gebeurt al twintig jaar. Inmiddels bevatten deze lijsten veel meer informatie dan die van het Bureau Krediet Registratie (BKR) en zijn ze te koop voor eenieder die ervoor wil betalen. Deze bedrijven die een schuldenregistratie bijhouden zouden je niet alleen bestempelen als slechte betaler wanneer je schulden hebt, maar ook wanneer je in een arme wijk woont of iemand op jouw adres schulden heeft gemaakt. Een lijst die dus zwaarwegende gevolgen kan hebben.

Wat is credit scoring

Data analysering, correlaties opsporen en groepsprofielen creëren wordt veel gebruikt bij het testen van de kredietwaardigheid van klanten. Een dergelijke test wordt ook wel een ‘credit score’ genoemd. Wanneer iemand een rekening te laat betaald en daardoor bij een incassobureau staat geregistreerd kan dit resulteren in een lage credit score. Deze registratie bij een incassobureau kan bijvoorbeeld voor een bank een reden zijn om een lening af te wijzen.

Het is alleen wel de vraag in hoeverre voorspellingen correct zijn. Het kan namelijk voorkomen dat er foute voorspellingen worden verricht of dat er onjuiste correlaties worden gemaakt. Automatische profilering is dus niet zonder risico’s voor de betrokkenen (degene wiens gegevens worden gebruikt voor de credit scoring). Het gebrek aan transparantie van geautomatiseerde besluitvorming is daarbij vaak een punt van kritiek.

Stap 1. Verwerking van persoonsgegevens

De verantwoordelijke verwerkt in eerste instantie de persoonsgegevens. Een voorbeeld hiervan is als een klant iets besteld bij een webshop. Deze betreffende webshop is de verantwoordelijke en zal de klant moeten informeren over de verwerking van alle persoonsgegevens. Als een webshop dus een bepaalde schuldenregistratie bijhoudt van klanten, zal de webshop de klant hierover moeten informeren in de privacyverklaring. Daarbij zal de webshop de klant ook informatie moeten verstrekken over een eventuele doorverkoop van de persoonsgegevens en over een profilering die gaat plaatsvinden op grond van de gegevens.

Stap 2. Doorverkoop van persoonsgegevens aan informatiebureaus

Vervolgens kan het zo zijn dat het bedrijf, bijvoorbeeld de webshop, de betreffende persoonsgegevens van klanten wil doorverkopen aan informatiebureaus. Over deze doorverkoop van de persoonsgegevens moet de klant al bij het verstrekken van zijn persoonsgegevens geïnformeerd zijn. Dit moet de webshop dus opnemen in de privacyverklaring. Aan wie de informatie wordt verkocht mag bij naam worden genoemd, maar vermelding van categorie kan ook voldoende zijn. Het moet in ieder geval duidelijk zijn om welke partij(en) het gaat.

Stap 3. Profilering op basis van persoonsgegevens

De informatiebureaus zullen de persoonsgegevens met een doel gekocht hebben van het bedrijf die in eerste instantie de gegevens heeft verzameld. Dit doel kan zijn om de gegevens te analysering en er profielen van te vormen. Vervolgens kan deze profilering worden gebruikt voor de credit scoring. Over de profilering moet de betrokkene ook op de hoogte worden gesteld.

De webshop (van het voorbeeld bij stap 1) moet de klant erop wijzen wat de verwachte gevolgen zijn van profilering en de klant moet weten wat het belang is van de profilering. Hierbij kan gedacht worden aan informatie zoals: ‘Op basis van uw postcode en uw eerder aankoopgedrag wordt geautomatiseerd bepaald of u in aanmerking komt voor achterafbetaling in onze webwinkel’. Als de profilering plaatsvindt door een ander dan de verantwoordelijke waaraan de betrokkene de gegevens heeft verstrekt, bijvoorbeeld het informatiebureau, dan moet voor deze verwerking expliciet toestemming worden gevraagd (= opt-in).

Stap 4. Credit scoring gebruiken bij het nemen van besluiten

De profilering die volledig geautomatiseerd plaatsvindt en vervolgens een voorspelling doet over de kredietwaardigheid van de betrokkene, kan zwaarwegende gevolgen hebben. Als een dergelijke credit scoring wordt gebruikt voor het nemen van een geautomatiseerd besluit, dan heeft de betrokkene, met uitzondering van drie grondslagen, in dat geval het recht om niet onderworpen te worden aan het besluit. Een voorbeeld hiervan is als iemand een overeenkomst wil aangaan, maar vervolgens het sluiten van de overeenkomst hem wordt geweigerd vanwege een lage credit score.

Er zijn drie grondslagen waarop geautomatiseerde besluitvorming wel is toegestaan, namelijk:

  1. Het is noodzakelijk ter uitvoering van een overeenkomst

Hierbij kan gedacht worden aan een hypotheekverstrekking of de verstrekking van een lening waarbij geautomatiseerde besluitvorming op basis van profilering noodzakelijk is. Het betalingsgedrag van een klant bij een webshop of wat de postcode van de betrokkene is zal waarschijnlijk niet noodzakelijk zijn voor het sluiten van een dergelijke overeenkomst. Voor de schuldenregistratie hebben we immers Stichting Bureau Krediet Registratie.

  1. Het is toegestaan bij en Unierechtelijke of lidstaatrechtelijke bepaling

Dit is een uitzondering op grond waarvan profilering wel is toegestaan bijvoorbeeld wanneer dit is vereist voor een strafproces en te achterhalen of iemand fraude heeft gepleegd.

  1. Het berust op de uitdrukkelijke toestemming van de betrokkene

Deze toestemming moet uitdrukkelijk zien op de geautomatiseerde besluitvorming. Er is echter nooit direct contact tussen de derde, die de betreffende data koopt (zie stap 2) en de betrokkene. De betrokkene verstrekt de gegevens immers aan de verantwoordelijke, die deze gegevens vervolgens weer doorverkoopt. De klant zal dan dus bij het plaatsen van de bestelling via een opt-in toestemming moeten geven dat zijn gegevens door bedrijf X gebruikt gaan worden voor credit scoring.

De Algemene Verordening Gegevensbescherming (AVG)

Op grond van de Algemene Verordening Gegevensbescherming (AVG) hebben betrokkenen vanaf mei 2018 het recht om invloed uit te oefenen op een hem betreffende geautomatiseerde besluitvorming. Zo heeft de betrokkene recht op:

  • menselijke tussenkomst;
  • de mogelijkheid om het besluit aan te vechten; en
  • het naar voren brengen van zijn zienswijze.

De gevaren van profilering vinden voornamelijk hun oorzaak in de complexiteit van de gebruikte algoritmes. De aanpassingen, zoals nu voorgesteld in de AVG, zorgen er nog niet voor dat het onderliggende proces (de wijze van totstandkoming van de profilering) verbeterd.

Om op basis van profilering geautomatiseerde besluiten te nemen wordt wel moeilijker gemaakt door de AVG. Er zijn immers nog maar drie grondslagen waarop dit mogelijk is en daarnaast moet de betrokkene goed worden ingelicht over de gevolgen. Ondanks deze rechten kan er nog steeds op grond van de verstrekte gegevens een onjuiste profilering plaatsvinden. De oorzaak van deze onjuiste profilering hoeft dus niet per se te liggen in de onjuistheid of onrechtmatigheid van de verstrekte gegevens.

Mag profilering en credit scoring nou onder de AVG?

In theorie is het mogelijk dat profilering en credit scoring op grond van de privacywetgeving is toegestaan. Maar het is sterk de vraag of dat in de praktijk gaat gebeuren. Veelal is namelijk vereist dat de betrokkene uitdrukkelijke toestemming geeft voor de verkoop en voor de verwerking van zijn gegevens. Als deze toestemming is gegeven zonder dat de betrokkene goed is ingelicht over de gevolgen, zal de toestemming onvoldoende waarborgen bieden en mag een bedrijf zich niet op deze toestemming baseren.

Per mei 2018 zijn de eisen dus strenger voor de verwerking van persoonsgegevens. Of dit voldoende waarborgen biedt is nog maar de vraag. De totstandkoming van de profilering wordt daar namelijk niet mee verbeterd. Daarmee blijft het risico bestaan iemand onterecht niet in aanmerking komt voor bijvoorbeeld een verstrekking van een krediet.

Fotocredit: Credit Score – Nick Youngson – CC BY-SA 3.0

 

Dit artikel is geschreven door Iris de Groot i.s.m. Raoul van de Laak en gepubliceerd bij Internetkassa.

Zeker weten dat u voldoet aan alle relevante webwinkel regelgeving?

Webwinkels hebben te maken met speciale juridische eisen. Zo schrijft de wet voor dat u zich moet identificeren, dat uw algemene voorwaarden op een specifieke manier moeten worden aangeboden en dat u in een privacyverklaring moet toelichten wat u doet met persoonlijke informatie.

> Vraag een webshop scan aan of maak zélf juridische webwinkel documenten met onze generatoren op JuriDox

Het bericht Credit scoring: in strijd met de privacywet? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Bellen voor een verkoopgesprek, wanneer wel en wanneer niet?

ma, 11/27/2017 - 13:25

Ongevraagd telefonisch contact opnemen om iemand iets te verkopen, dat kan toch gewoon? De ACM heeft nog eens duidelijk gemaakt dat bedrijven die dit soort gesprekken (laten) voeren, zich aan de telemarketingregels moeten houden. Voor élke persoon waarmee contact opgenomen wordt, moet worden nagegaan of ongevraagd bellen mogelijk is.

Waarschuwing telefonisch verkopers

Kort geleden heeft de Autoriteit Consument en Markt (de ACM) een brief over telemarketing gestuurd naar verschillende bedrijven die veel klachten veroorzaakten. In deze brief riep de ACM op tot interne controle op telemarketingactiviteiten. De ACM vroeg de bedrijven via de brief om te omschrijven op welke manier zij de telemarketingregels naleven bij telefonische verkoop. De ACM nam dit initiatief naar aanleiding van klachten van consumenten.

In de brief legt de ACM duidelijk uit wanneer een bedrijf een (ex-)klant, die een consument of kleine ondernemer is, mag bellen voor commerciële doeleinden. Denk hierbij aan een telefoontje met het doel om iets te verkopen, of iemand te vragen mee te doen aan een actie.

Telemarketingregels

In de brief van de ACM stond ter ondersteuning een vereenvoudigde opsomming van de telemarketingregels, namelijk:

  • Consumenten en kleine bedrijven die geen (ex-)klant zijn, mag je alleen bellen als ze niet in het Bel-me-niet Register staan. Dit geldt ongeacht waar het telefoonnummer vandaan komt.
  • Staat een consument of klein bedrijf, die geen (ex-)klant is, in het Bel-me-niet Register, dan mag je deze persoon tóch bellen als hij daar zelf en op eigen initiatief om vraagt.
  • Het invullen van een prijsvraag of enquête kan niet worden gezien als op eigen initiatief vragen om gebeld te worden.
  • U moet consumenten in de gelegenheid stellen om bij uw bedrijf aan te geven dat zij niet meer door je bedrijf gebeld willen worden, de opt-out. Dit moet zelfs in elk commercieel telefoongesprek door uw verkopers zelf worden aangeboden. De telefonisch verkoper kan dit doen door simpelweg te vragen ‘mogen wij u nogmaals bellen om u een aanbieding te doen? De verkoper moet het antwoord vervolgens direct verwerken, waarna de consumenten bij ‘nee’, niet meer gebeld mogen worden.
  • Eigen (ex-)klanten mag je bellen voor commerciële doeleinden, tenzij zij hebben aangegeven dit niet op prijs te stellen. Een consument is (ex-)klant als hij iets bij jou heeft gekocht en daarvoor een prijs heeft betaald. Heb je een gratis gadget weggegeven? Dan is deze persoon geen (ex-)klant.
  • Laat je een callcenter bellen? Ook dan ben je verantwoordelijk voor het naleven van de telemarketingregels. Controleer de handelswijze van deze callcenters goed!
Bewaartermijn voor klantgegevens

Klantgegevens mogen niet langer bewaard worden dan noodzakelijk. Niet langer dan noodzakelijk is een moeilijk in te vullen begrip. Mag je de gegevens van ex-klanten 10 jaar bewaren en dus 10 jaar lang bellen om iets te verkopen? Of is dat langer dan noodzakelijk? De ACM geeft aan dat hierbij moet worden uitgegaan van de redelijke verwachting die de (ex-)klant heeft. De bewaartermijn moet vooraf zijn vastgesteld en deze moet je ook communiceren in je privacyverklaring. Een redelijke termijn zou bijvoorbeeld 2 jaar kunnen zijn. Na 2 jaar moet je dan de klantgegevens verwijderen en mag je de klant niet meer bellen voor een verkoopgesprek.

Handhaving

Implementeert het aangesproken bedrijf deze regels niet of niet juist? Dan kan de ACM overgaan tot het opleggen van een boete. Maar let op: ook zonder voorafgaande waarschuwing kan de ACM overgaan tot het opleggen van een boete.

Meer weten over telemarketing B2B? Lees hierover deze blogpost.

Het bericht Bellen voor een verkoopgesprek, wanneer wel en wanneer niet? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Coinrecht #11 – Niet alleen geld

wo, 11/15/2017 - 11:54

Verschillende technologieën als blockchain en bittorrent dragen bij aan de verschuiving van centralisatie naar decentralisatie. Dergelijke onderwerpen worden meestal behandeld in relatie tot (crypto)geld. Toch is financiële decentralisatie slechts een van de sectoren die hierdoor geraakt wordt. Hoewel de adoptie nog pril is, liggen er ook grote veranderingen op de loer voor e-commerce. In deze blog kijken we naar een project dat verschillende decentrale technologieën en innovaties samenvoegt tot een gebruiksvriendelijke shopping ervaring met enkele belangrijke karakteristieken. Dit open source platform past erg goed bij eerder besproken onderwerpen als zelfregulering, decentralisatie, Bitcoin en blockchain. We hebben het over OpenBazaar.

Update: Bitcoin forks

Na de Bitcoin Cash fork op 1 augustus van dit jaar, heeft er inmiddels weer een plaatsgevonden. Tot voor kort zat er zelfs een derde aan te komen, genaamd Segwit2x. Wederom waren groepen binnen het Bitcoin ecosysteem het oneens over de de route die Bitcoin moet volgen. De laatste fork, die half november zou plaatsvinden, is door de initiatiefnemers afgelast. De fork was bedoeld om de grootte van de blocks in de Bitcoin blockchain te vergroten.

Update: AFM waarschuwt (weer) voor ICO’s

In een eerdere blog hebben we stil gestaan bij de toenemende populariteit van ICO’s. Af en toe waarschuwt de AFM over de potentiële risico’s van dergelijke investeringen, zo ook deze week. En terecht ook. De huidige stand van ICO’s wordt vooral gekenmerkt door geldzucht. Toch is dit een noodzakelijke fase van de verdere ontwikkeling van dit nieuwe fenomeen. Door geld te verliezen wordt men slimmer, kritischer en is men beter in staat om de zin en de onzin van elkaar te scheiden. In slechts een jaar zien we het niveau van professionaliteit al stijgen, zowel bij de investeerders als bij de ondernemers. In een dergelijk systeem zal zelfregulering en reputatie misschien nog wel meer kunnen bereiken dan de toepassing van nieuwe (of oude) regelgeving.

Update: Japan accepteert Bitcoin als betaalmiddel

Verschillende landen worstelen met cryptogeld en weten niet goed hoe er mee om te gaan. Japan lijkt hier geen last van te hebben en erkent Bitcoin als betaalmiddel. Daarmee wordt het mogelijk om voor goederen en diensten te betalen met Bitcoin. Daarnaast wordt een juridisch kader neergezet voor de verschillende dienstverleners die de financiële en technische infrastructuur faciliteren. Dit is geweldig nieuws. Hopelijk kan de manier waarop landen omgaan met cryptogeld zich vertalen naar een internationale economische voorsprong dat helpt om andere landen over de streep te trekken.

OpenBazaar

We zijn allemaal bekend met webshops als Bol, Coolblue en Amazon. Deze online grootmachten binnen de e-commerce sector hebben over de jaren een aanzienlijke impact gehad op fysieke retailers. In een enorm tempo is  ‘shoppen’ aan het verplaatsten van de analoge naar de digitale wereld. Ligt het dan ook in de rede dat ook déze partijen met de tijd verdrongen gaan worden door de nieuwe generatie e-commerce? Die kans lijkt mij vrij groot, maar hoe zal deze nieuwe golf er uit zien?

Wanneer we uitzoomen tot maatschappelijke en economische verschuivingen, lijken we aan de vooravond te staan van een nieuwe grote verandering: de verschuiving van centraal naar decentraal. Individuen krijgen steeds meer macht en kunnen steeds meer, zonder de hulp van derde partijen. Dit is iets dat in deze blogserie vaak naar boven komt. Meestal gaat het over Bitcoin en de mogelijkheden om de financiële industrie (weg) te automatiseren. Soortgelijke ontwikkelingen zien we ook in andere sectoren. OpenBazaar richt zich op e-commerce en het creëren van een decentrale marktplaats waar iedereen, zonder toestemming of interventie, een winkel kan openen.

Create a store. Sell whatever you’d like. Reach a new audience. Get paid in Bitcoin.

– OpenBazaar

De manier waarop OpenBazaar werkt heeft een aantal interessante kenmerken. In de eerste plaats neemt het belang van (consumenten)wetgeving af.  Net als bij bittorrent is de daadwerkelijke content van een webshop niet op één specifieke plek gehost. Zodoende is het erg lastig om bedrijven en individuen te dwingen tot naleving van wetgeving. Dit is iets waar de entertainmentindustrie al mee worstelt sinds Napster. Natuurlijk moet er wel een systeem van feedback en controle zijn. Door het ontbreken van een centrale autoriteit, wordt hier gebruik gemaakt van reputatie en zelfregulering. Een goede reputatie is in veel gevallen van groter belang dan wetgeving. Daardoor is het mogelijk om via OpenBazaar zaken te doen met iemand waarvan je de daadwerkelijke identiteit niet kent. Dit concept van reputatie kennen we al van bijvoorbeeld eBay. Nu, met de opkomst van platformen als OpenBazaar, kunnen we met de tijd mogelijk overstappen naar een decentrale variant zonder centrale autoriteit.

Naast de afnemende noodzaak van een centrale autoriteit, worden ook andere faciliterende partijen overbodig. Alle betalingen binnen OpenBazaar vinden namelijk 1-op-1 plaats via Bitcoin. Om conflicten op te lossen heeft het platform een ingebouwd escrow en EDR systeem om de deelnemende partijen te beschermen. Daarmee zijn banken en betaaldienstverleners niet meer nodig om tussen twee personen een transactie tot stand te brengen. Of dit systeem zal blijven werken wanneer de hoeveelheid transacties toeneemt, is nog onduidelijk.

Uiteindelijk is grootschalige adoptie van deze nieuwe platformen nog ver weg. Toch is het goed om te signaleren dat decentralisatie niet alleen de financiële sector gaat raken, maar zich uit kan strekken over veel meer vormen van dienstverlening. Wanneer we fantaseren over alle mogelijke toekomstige scenario’s, moeten we decentralisatie, Bitcoin en blockchain zien in historische context. Het zal namelijk niet de eerste of laatste keer zijn dat hele sectoren ontregeld worden door een technologische ontwikkeling die in eerste instantie niet serieus genomen werd.

Welkom bij de financiële revolutie (de waarde van één Bitcoin (BTC) is op dit moment 5955 euro).

> Lees hier de serie coinrecht over cryptocurrency en blockchain

Het bericht Coinrecht #11 – Niet alleen geld verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Wanneer moet een gegevensverwerking worden gemeld?

wo, 11/08/2017 - 14:49

Op 6 november is het bericht naar buiten gekomen dat in het vervolg geen melding meer gedaan hoeft te worden aan de Autoriteit Persoonsgegevens (AP) voor verwerkingen van persoonsgegevens. Met de komst van de Algemene Verordening Gegevensbescherming (AVG) zal deze meldplicht vanaf 25 mei 2018 komen te vervallen. De AP heeft bovendien aangegeven dat zij vanaf nu deze meldplicht niet meer zal handhaven.

Verlichting administratieve lasten

De versoepeling in de wetgeving brengt met zich mee dat organisaties niet meer in alle gevallen gehouden zijn om een melding te maken aan de AP. Deze constante stroom aan meldingen droeg namelijk niet per definitie bij aan een betere bescherming van persoonsgegevens. Dit levert zowel een administratieve als financiële lastenverlichting op voor organisaties, maar ook voor de AP zelf. Het blijft voor organisaties tot 25 mei 2018, wanneer de nieuwe AVG definitief van toepassing wordt, mogelijk om melding aan de AP te doen van een gegevensverwerking.

Verplichte melding bij risicovolle verwerking

Wanneer een verwerking gepaard zal gaan met een verhoogd risico voor de rechten en vrijheden van natuurlijke personen, zal de organisatie verplicht blijven om een melding te maken bij de AP. Van een verhoogd risico kan sprake zijn wanneer een aanzienlijke hoeveelheid personen nadelige gevolgen kan ondervinden of wanneer het gaat om gegevens van gevoelige aard. Hierbij kan worden gedacht aan een gemeente die de persoonsgegevens van haar inwoners zal gaan gebruiken in een nieuw administratiesysteem. Na de melding zal de AP vervolgens zelf een onderzoek opstarten en kijken of deze voldoet aan de eisen van de Wet bescherming persoonsgegevens (Wbp). Pas na goedkeuring van de AP mag de verwerking vervolgens worden uitgevoerd.

Vanaf mei 2018 zijn organisaties voortaan zelf verplicht om een Data Protection Impact Assessment (DPIA) te laten uitvoeren. Hierbij zal dan moeten worden geëvalueerd wat de oorsprong, aard, het specifieke karakter en de ernst van de risico’s zijn. Aan de hand van de resultaten zullen vervolgens maatregelen moeten worden genomen om een juiste verwerking van de persoonsgegevens te kunnen garanderen. Mogelijke maatregelen kunnen zijn dat er door de organisatie minder gegevens opgevraagd mogen worden of dat de organisatie de kwaliteit van zijn beveiligingssoftware zal moeten verbeteren.

Wanneer een DPIA uitwijst dat een verwerking gepaard gaat met mogelijk grote risico’s die redelijkerwijs niet kunnen worden beperkt door de organisatie, moet vóór de specifieke verwerking contact op worden genomen met de AP. Dit zou bijvoorbeeld kunnen voorkomen wanneer het voor een organisatie financieel niet haalbaar is om aan de veiligheidsvereisten van de verwerking van persoonsgegevens te voldoen.

Bijhouden register    

De AGV legt nu meer verantwoordelijkheid bij de organisatie zelf door de DPIA in risicovolle gevallen te verplichten. Dit dwingt de organisatie tot het nemen van meer initiatief op het gebied van privacybescherming. Om dit op termijn te kunnen controleren, moet er door organisaties een register worden bijgehouden van verwerkingsactiviteiten die hebben plaatsgevonden. Dit register zal vervolgens desgevraagd overhandigd moeten kunnen worden aan de AP.

In het register moeten alle verwerkingsactiviteiten worden opgenomen die onder de verantwoordelijkheid van de organisatie plaatsvinden. Hieronder vallen dus ook verwerkingen die namens een andere organisatie worden uitgevoerd. In de registers zal onder meer moeten worden opgenomen met wie de persoonsgegevens zullen worden gedeeld, eventuele beveiligingsmaatregelen en de termijnen waarbinnen de persoonsgegevens bewaard mogen worden.

Meer weten over privacywetgeving?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen, dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.

Daarnaast is het ook mogelijk om per e-mail of telefonisch contact met ons op te nemen wanneer u rondloopt met een vraag over de gesteldheid van privacy binnen uw organisatie.

Het bericht Wanneer moet een gegevensverwerking worden gemeld? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Wie of wat is een consument?

wo, 11/08/2017 - 11:50

Consumenten worden extra beschermd bij het doen van aankopen. Voor verkopers gelden ten aanzien van consumenten extra (informatie)verplichtingen. Wat betekent dat nou eigenlijk, consument? Als je klant een eigen bedrijf heeft, is die dan per definitie geen consument? En als een werknemer spullen bestelt voor het bedrijf waarvoor hij werkt, maar zelf niet de eigenaar is, is die werknemer dan consument?

Definitie

De wet zegt dat iemand die handelt voor doeleinden die buiten zijn bedrijfs- of beroepsactiviteit vallen, een consument is. Anders gezegd: een consument is iemand die niet handelt in uitoefening van een beroep of bedrijf.

Het woordenboek spreekt echter over een ‘afnemer’ of een ‘koper’. Deze definitie is wat mij betreft onjuist. Dit zou namelijk betekenen dat elke natuurlijke of rechtspersoon die iets verbruikt, een afnemer is en dat daarmee gezegd is dat die natuurlijke of rechtspersoon een consument is. Dat is niet zo. Als consument neem je iets af, dat is waar. Maar iemand die iets afneemt, is niet per definitie consument.

Wat betekent dit in de praktijk?

Een kapper die een schaar, cadeaupapier en plakband bestelt voor cadeautjes is een consument. De kapper koopt de producten voor persoonlijk gebruik, die niets te maken hebben met de uitoefening van het beroep. Heeft de kapper een eigen kapperszaak? Dan maakt het de hoedanigheid niet anders.

Een kapper die een schaar bestelt die bestemd is voor het haren-knipwerk, handelt in uitoefening van het beroep of het bedrijf. Heeft de kapper een eigen kapperszaak en wordt een dochter of zoon gratis geknipt met precies die schaar? Dan is er ook geen sprake van een aankoop voor persoonlijk gebruik in een privé situatie. De kapper is geen consument, de schaar is immers gekocht voor bedrijfsdoeleinden.

Wil die kapper een beroep doen op de extra bescherming die consumenten genieten? Dan zal de kapper zelf moeten aantonen dat hij niet handelde in uitoefening van beroep of bedrijf en dat de kapper als consument kan worden aangemerkt. Voor die beoordeling zal worden gekeken naar alle omstandigheden van het geval en wordt bijvoorbeeld beoordeeld wat voor soort schaar gekocht is en waar deze voor gebruikt kan worden. Daarnaast kan het ook van belang zijn dat tegelijkertijd cadeaupapier of juist shampoo werd aangeschaft.

Gemengde doeleinden

En wat als de klant iets koopt wat voor een klein deel bedrijfsmatig en voor een groot deel privé kan worden gebruikt? Denk hierbij aan iemand met een kantoor aan huis, die koffie bestelt voor eigen gebruik, maar de koffie ook aanbiedt aan klanten. Dan handelt de koper deels in uitvoering van zijn beroep of bedrijf, maar deels ook niet. Hier zegt de Europese Richtlijn meer over:

Onder de definitie van consument dienen natuurlijke personen te vallen die buiten hun handels-, bedrijfs-, am­bachts- of beroepsactiviteit handelen. Bij gemengde over­eenkomsten, waar een overeenkomst wordt gesloten voor doeleinden die deels binnen en deels buiten de handels­ activiteit van de persoon liggen en het handelsoogmerk zo beperkt is dat het binnen de globale context van de overeenkomst niet overheerst, dient die persoon echter ook als consument te worden aangemerkt.

Met andere woorden: koopt je klant deels in uitoefening van het beroep of bedrijf, maar voor het overgrote deel voor privédoeleinden? Dan is de koper gewoon volledig consument. Grote kans dus dat je levert aan consumenten en dat je aan consumentenwetgeving moet voldoen.

Reflexwerking

In sommige gevallen kunnen (kleine) bedrijven toch aanspraak maken op consumentenbescherming. Er is dan sprake van reflexwerking. Deze reflexwerking gaat op voor bijvoorbeeld eenmanszaken, stichtingen of verenigingen, die zich in een situatie bevinden die sterk vergelijkbaar is met de situatie van de consument. Een BV valt hier buiten en kan geen beroep doen op de reflexwerking. De aankoop moet daarnaast buiten de expertise van het bedrijf liggen. Het kan gaan om een dienstverlening die niets te maken heeft met wat de eenmanszaak zelf doet, zodat hier reflexwerking mag worden aangenomen, zoals de back-up dienst voor de fysiotherapeut.

Consumenten-aankopen voorkomen

Zorg er in ieder geval voor dat uit de context blijkt dat het aanbod gericht is op bedrijven en dat niet aan consumenten wordt geleverd. Vermeld bijvoorbeeld alle prijzen duidelijk exclusief btw. Door het opgeven van een KvK-nummer, btw-nummer en/of bedrijfsnaam verplicht te stellen bij het aan gaan van de overeenkomst, sluit je de mogelijkheid zo veel mogelijk uit dat consumenten kunnen kopen en voorkom je dat je aan alle consumentenwetgeving moet voldoen.

Het bericht Wie of wat is een consument? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Elektronisch factureren van overheidsopdrachten komt eraan

ma, 11/06/2017 - 06:00

De Nederlandse overheid is druk bezig met het digitaliseren van al haar processen. Het is haar bedoeling om dit jaar volledig digitaal te zijn via het portal mijn.overheid.nl. Deze digitalisering heeft al plaatsgevonden binnen de Belastingdienst. Sinds dit jaar is de burger namelijk verplicht om zijn/haar belastingaangifte rondom de inkomstenbelasting digitaal in te dienen via mijn.belastingdienst.nl.

Daarnaast werkt de overheid aan het opzetten van een Digitaal Stelsel Omgevingswet. Bij de inwerkingtreding van de Omgevingswet in 2021 zal alle digitale informatie over de fysieke leefomgeving te vinden zijn via dit nieuwe Omgevingsloket. Tot slot blijkt de digitaliseringsslag van de overheid uit het ‘Wetsvoorstel modernisering elektronisch bestuurlijk verkeer’ waarover ik heb geschreven in mijn blogpost ‘Nieuwe regels voor communicatie met de overheid?’.

Deze digitale tendens is ook terug te vinden binnen de aanbestedingspraktijk: het aankondigen van overheidsopdrachten, het beschikbaar stellen van aanbestedingsdocumenten en de communicatie met de overheid gedurende het gehele traject is allemaal digitaal mogelijk via www.tenderned.nl. Het enige wat nog ontbreekt, is het elektronisch kunnen verzenden van de factuur aan het einde van het traject. Hier brengt de ‘Richtlijn inzake elektronische facturering bij overheidsopdrachten’ verandering in. Deze Richtlijn ligt op dit moment bij de Tweede Kamer ter implementatie.

Voor wie geldt de Richtlijn e-facturering?

De regels uit de Richtlijn inzake elektronische facturering zijn van toepassing op alle aanbestedende diensten. Onder aanbestedende diensten vallen ‘de staats-, regionale en lokale overheidsinstanties, publiekrechtelijke instellingen of samenwerkingsverbanden bestaande uit één of meer van deze overheidsinstanties of één of meer van deze publiekrechtelijke instellingen’. Dit betekent dat de Richtlijn geldt voor gemeenten, waterschappen, provincies en de centrale overheid. Daarbij moeten publiekrechtelijk instellingen ook voldoen aan deze regels. Voorbeelden van publiekrechtelijke instellingen zijn het Centraal Bureau voor de Statistiek, De Nederlandse Bank N.V. en Staatsbosbeheer.

Welke eisen stelt de Richtlijn e-facturering aan elektronische facturen?

De Richtlijn inzake elektronische facturering is in het leven geroepen om grensoverschrijdende handelsbelemmeringen weg te nemen. Als alle lidstaten namelijk verschillende juridische voorschriften en technische eisen stellen aan e-facturen is het voor bedrijven lastiger om zaken te doen met overheden. Daarbij moet worden opgemerkt dat een e-factuur iets anders is dan een factuur in pdf-formaat. Een elektronische factuur is volgens de Richtlijn ‘een factuur die is opgesteld, verzonden en ontvangen in een gestructureerde elektronische vorm die automatische en elektronische verwerking ervan mogelijk maakt’.

In welke gestructureerde elektronische vorm e-facturen moeten voldoen, is uitgezocht door de relevante Europese normalisatie-instelling. De normalisatie-instelling heeft in ieder geval meegekregen dat de elektronische facturen technologie-neutraal moeten zijn en dat er rekening moet worden gehouden met de normen die derde landen hanteren.

Bij het bepalen van de vorm heeft zij ook de Algemene Verordening Gegevensbescherming in acht moeten nemen, omdat facturen geregeld persoonsgegevens bevatten. Uiteindelijk is besloten dat de e-facturen moeten bestaan uit de volgende twee syntaxen (het formaat van e-facturen):

  1. UN/CEFACT Cross Industry Invoice XML-bericht, zoals omschreven in XML-Schemas 16B (SCRDM — CII);
  2. UBL-factuur- en kredietnotaberichten, zoals omschreven in ISO/IEC 19845:2015.
Vanaf wanneer geldt de Richtlijn e-facturering?

Uiterlijk op 27 november a.s. moet de Richtlijn inzake elektronische facturering bij overheidsopdrachten zijn geïmplementeerd in het Nederlandse recht. Het moment waarop overheidsorganisaties moeten voldoen aan de regels van deze Richtlijn is afhankelijk van het moment dat deze is bekendgemaakt in het Publicatieblad van de Europese Unie. Uit de Richtlijn volgt namelijk dat overheden 18 maanden na bekendmaking van de Richtlijn hun organisatie zo moeten hebben ingericht dat zij e-facturen kunnen ontvangen.

De bekendmaking van het ‘Uitvoeringsbesluit betreffende de bekendmaking van de referentie van de Europese norm voor elektronische facturering en de lijst van syntaxen‘ heeft vorige maand plaatsgevonden (17 oktober 2017). Dit betekent dat overheden per 17 april 2019 moeten zijn overgegaan op e-facturering.

Meer weten over digitalisering of aanbesteden bij de overheid?

ICTRecht Academy organiseert trainingen over aanbesteden van ICT en digitalisering binnen de overheid. Wij verzorgen al jaren met succes juridische trainingen, zowel voor juridische professionals (PO gecertificeerd) als voor algemeen publiek. Een in-house training kan voor uw organisatie volledig op maat ontwikkeld worden waarbij voorbeelden uit uw eigen praktijk in het lesprogramma worden verwerkt.

Het bericht Elektronisch factureren van overheidsopdrachten komt eraan verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Nieuwe betaalwet PSD2 en haar gevolgen: handig of te verreikend?

vr, 11/03/2017 - 14:00

Het aanbieden van financiële diensten is aan het veranderen. Waar het voorheen voorbehouden was aan de meer traditionele spelers zoals banken, verzekeraars en hypotheekverstrekkers, is er een grote opkomst van zogeheten Fintech-bedrijven (een afkorting voor Financial Technology). En om dit in goede banen te leiden is er nieuwe wetgeving PSD2 op komst die ook een grote privacy-impact heeft.

Implementatiewet herziene richtlijn betaaldiensten: PSD2

Fintech-bedrijven zijn er met name op gericht om het aanbieden van financiële diensten te automatiseren. Om deze organisaties meer ruimte te bieden bij het ontwikkelen en inzetten van innovatieve betaaldiensten, is er een nieuwe wet in ontwikkeling die ziet op de implementatie van de Europese richtlijn, die ook wel de PSD2-wet wordt genoemd. PSD staat voor Payment Services Directive en met deze PSD2-wet hoopt de Europese Unie één juridisch kader te scheppen voor het complete betalingsverkeer binnen de EU.

Nu het wetsvoorstel dat deze richtlijn in Nederland moet gaan implementeren onlangs naar de Tweede Kamer is gestuurd, wordt duidelijker wat de mogelijke gevolgen zijn van deze wet. Hoewel iedereen het er over eens lijkt te zijn dat het hebben van een efficiënt, stabiel en veilig grensoverschrijdend betalingsverkeer binnen de EU iets positiefs is, zijn er nog een aantal zaken onduidelijk, met eventuele nadelige consequenties voor de consument.

Toestemming voor gebruik bankgegevens

De voornaamste zorg bij de PSD2-wet zit hem in de ontwikkeling dat banken andere financiële dienstverleners toegang kunnen gaan geven tot de bankgegevens van hun klanten. Banken kunnen deze toegang verlenen nadat er toestemming is gegeven door de betreffende consument om de poorten te openen voor deze specifieke dienstverlener. Het is dan ook niet zo dat nadat je eenmaal toestemming gegeven hebt, banken jouw betaalgegevens lukraak kunnen gaan verstrekken aan alle financiële dienstverleners die hier interesse hebben en in het bezit zijn van de benodigde vergunning, verleend door De Nederlandsche Bank (DNB).

Toch is er nog veel onduidelijkheid over het geven van deze toestemming. Want hoewel de toestemming, ook volgens de in mei inwerking tredende AVG (Algemene Verordening Gegevensbescherming), voldoende duidelijk en expliciet moet zijn, is het maar de vraag wat hier uiteindelijk van terecht komt.

Het laten verdwijnen van de toestemmingsvraag in een grote lap tekst met voorwaarden, kan er namelijk voor zorgen dat de iets minder oplettende consument ja zegt tegen diensten waar hij of zij eigenlijk niet op zit te wachten of de gevolgen niet van kent. Hoewel dit de toestemmingsvraag onder de AVG ongeldig maakt, is het maar de vraag in hoeverre de Autoriteit Persoonsgegevens de kans geboden wordt om strikt toezicht te houden op deze zaken (iets waar ik later in deze blogpost dieper op zal gaan). Daarbij is het waarschijnlijk dat partijen die willen instappen in de betaaldienstverlening de grenzen van deze toestemmingsvraag op zullen zoeken.

Weigering van toestemming daadwerkelijk zonder nadelige gevolgen?

Bovendien staat met de automatisering van het betalingsverkeer en de toegang tot de betaalgegevens van consumenten ook een andere randvoorwaarde voor het geven van toestemming op de tocht, namelijk dat deze toestemming vrij door de consument gegeven moet zijn. Dit houdt in dat hoewel je er op vooruit mag gaan wanneer je toestemming geeft, het weigeren van het geven van toestemming er dus niet voor mag zorgen dat je hier nadelige gevolgen van ondervindt.

Het is maar zeer de vraag hoe partijen als hypotheekverstrekkers in de toekomst om zullen gaan met de weigering van toegang tot betaalgegevens en financiële huishouding van consumenten. Het hebben van minder inzicht in de kredietwaardigheid van de consument kan namelijk een reden zijn om als hypotheekverstrekker voorzichtiger te zijn en een kleinere hypotheek aan de consument aan te bieden.

Nee is nee! Toch?

Daarnaast is het nog erg onduidelijk hoe om wordt gegaan met een daadwerkelijke weigering van consumenten. Want wat betekent de toestemming die wordt gegeven door bijvoorbeeld een zakenpartner of familielid aan wie ‘een weigerende consument’ regelmatig geld overmaakt? Worden de gegevens van de consument die geen toestemming heeft gegeven verwijderd uit een rekening- en betaaloverzicht, en hoe gaat dit dan precies in zijn werk?

Ook bestaan er bij de uitwerking van de PSD2-wet de inmiddels gebruikelijke zorgen over de inmenging van grote, machtige organisaties en bedrijven in de dan vrijer toegankelijke wereld van betalingsdienstverleners. Organisaties als Facebook en Amazon, die momenteel al veel persoonsgegevens verzamelen, zouden maar wat graag in bezit zijn van informatie over iemands huidige (en toekomstige) financiële situatie, om zo een nog beter beeld te krijgen van wie je bent, waar je interesses liggen en wat je kunt kopen.

De AVG vereist een grondslag voor de verwerking van persoonsgegevens vereist en is streng opgesteld ten aanzien van het gebruiken van persoonsgegevens voor meerdere doeleinden, maar het zou het niet de eerste keer zijn dat persoonsgegevens gebruikt worden voor doeleinden die vooraf niet expliciet aan de betrokkenen gemeld waren.

PSD2 en toezicht

Met het bovenstaande in het achterhoofd is het belang groot dat toezichthoudende partijen, zoals de Autoriteit Persoonsgegevens, de kans geboden wordt om ook daadwerkelijk toezicht uit te oefenen op organisaties die in willen stappen in deze tak van sport en ze handvatten te bieden voor de juiste manier van handelen.

Het is daarom des te schrijnender dat er momenteel geen duidelijke rolverdeling is opgenomen in de PSD2-wet over de hiërarchieverhouding ten aanzien van de AVG. Dit is te verklaren doordat de PSD2-wet gaat over de implementatie van een Europese Richtlijn die stamt uit een tijd waarin de AVG nog niet van kracht was.

Dit is echter wel problematisch te noemen. De opvolger van de Wbp, is namelijk een verordening en daarmee, in tegenstelling tot de Wbp, direct afdwingbaar in de Europese Unie en geldt daarmee als de leidende vorm van wetgeving.

Gezien in de PSD2-wet ook zaken geregeld worden over privacyonderwerpen is het van belang dat er aan de buitenwacht snel duidelijkheid wordt verschaft over welke regels voorrang genieten. Het kan namelijk niet zo zijn dat partijen uitgaan van een apart geregeld privacyregime dat geldt voor de onderwerpen die in de PSD2-wet worden geregeld, terwijl de AVG als verordening gezien zou moeten worden als leidend waarbij niet DNB, maar de Autoriteit Persoonsgegevens bevoegd is tot het houden van toezicht (DNB is namelijk de toezichthouder op de naleving van de PSD2-wet).

Dit maakt dat alleen consumenten, maar ook geïnteresseerde partijen die klaar staan om in te stappen in deze vorm van dienstverlening, gebaat zijn bij meer helderheid. Dit verhelpt mogelijk niet alleen de angsten die spelen bij consumenten betreffende het eventuele verlies van grip op hun betaalgegevens, maar kan er ook voor zorgen dat instappende partijen de kans krijgen om te voldoen aan de daadwerkelijk geldende eisen op het gebied van privacy.

Meer weten over privacywetgeving?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.

Het bericht Nieuwe betaalwet PSD2 en haar gevolgen: handig of te verreikend? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Consumentenbond: Cookies plaatsen? Toestemming vragen!

vr, 11/03/2017 - 10:04

Grote websites voldoen nog steeds niet aan de cookiewet. Dit blijkt uit een recent onderzoek van de Consumentenbond dat zij halverwege oktober heeft uitgevoerd. In de cookiescan werd het cookiebeleid van 104 populaire websites onder de loep genomen. Bijna tweederde van de onderzochte websites vroeg géén (of onjuiste) toestemming voor het plaatsen van cookies. Eerder waren twintig gezondheidswebsites al onderwerp van gesprek. In het rapport van vandaag worden grotere e-commerce partijen op de vingers getikt. Waar gaat het nu eigenlijk fout?

Hoofdregel: informeren en toestemming verkrijgen

Hoofdregel uit de cookiewet is dat u toestemming moet vragen om cookies te mogen plaatsen en uit te lezen. Deze toestemming kan alleen verkregen worden nadat je de bezoeker van de website goed hebt geïnformeerd. Informeren kan onder meer door in een cookiebanner te verwijzen naar een cookieverklaring. Let wel, de cookies mogen pas geplaatst worden nadat de bezoeker daar toestemming voor heeft gegeven. Zodra een bezoeker op de cookiebanner klikt om meer informatie te verkrijgen, geeft hij daarmee nog geen toestemming.

Toestemming moet in principe expliciet zijn: bijvoorbeeld een druk op de knop ‘Ja, ik geef toestemming’. Onder voorwaarden mag toestemming ook afgeleid worden uit andere specifieke handeling van de bezoeker. Bijvoorbeeld het doorklikken of doorsurfen op de website. Maar ook dan geldt dat de bezoeker wel eerst de mogelijkheid gehad moeten hebben om alle informatie over het gebruik van cookies in te zien. Daarnaast moet in de cookiebanner aangegeven worden uit welke specifieke handeling deze ‘impliciete toestemming’ afgeleid zal worden.

Geldt de Cookiewet alleen voor cookies?

Nee, de cookiewet en de daaruit voortvloeiende informatie- en toestemmingsverplichting geldt ook voor andere technieken waarbij gegevens worden geplaatst op iemands apparaat. Dus ook technieken als javascript, webbeacons, email pixels en browser-fingerprinting. Daarnaast maakt het niet uit op wat voor apparaat de techniek worden toegepast. De cookiewet geldt dus voor alle technieken en apparaten; van cookie tot beacon en mobiel tot smartwatch.

Moet er altijd toestemming gevraagd worden?

Nee, niet altijd. De informatie- en toestemmingseis geldt niet in de gevallen dat de techniek (i) noodzakelijk is voor de werking van de dienst of (ii) gebruikt wordt om informatie te verkrijgen over de kwaliteit of effectiviteit van de dienst onder de extra voorwaarde dat dit geen of zeer beperkte privacy-impact heeft. Het is dus afhankelijk van de aard en doel van de gebruikte techniek.

Verschillende soorten cookies

Cookies worden veelal onderverdeeld in drie categorieën: functionele-, analytische- en tracking cookies:

Functionele cookies. Voor het plaatsen en uitlezen van dit type cookie is het verkrijgen van voorafgaande toestemming niet vereist. Wij spreken juist van “functionele cookies” om aan te geven dat de cookie een functionele rol binnen een site of dienst moet spelen. Denk hierbij aan een winkelwagentje, een login onthouden of vastleggen dat een andere cookie wel of niet mag worden gezet (‘do-not-track-cookie’). Functionele cookies zijn cookies die de gebruiker slechts inzet omdat de site anders niet goed kan werken. Hanteer dus als criteria: is de cookie voor de werking noodzakelijk of niet?

Analytische cookies. Hierbij kan het gaan om cookies die geplaatst worden voor analyse van het gebruik van de website. In principe is hiervoor toestemming nodig. Slechts wanneer de plaatsing en het uitlezen van deze cookies geringe gevolgen voor de privacy heeft, hoeft de bezoeker hierover niet geïnformeerd te worden en geen toestemming voor te geven. Let op: voor het gebruik van Google Analytics is slechts in uitzonderlijke gevallen geen toestemming vereist.

Tracking cookies. Deze cookies kunnen worden ingezet om mensen te volgen en zo uitgebreide informatie over hun interesses op te bouwen. Verkrijgen van toestemming voor het gebruik van deze cookies is meestal vereist (vooral bij third-party cookies).

Andere technieken. Of er toestemming nodig is voor een bepaald cookie of andere technieken die niet in de bovenstaande categorieën te plaatsen zijn, is afhankelijk van de aard en functie van de techniek. En zal telkens per geval beoordeeld moet worden.

Advies nodig over cookiewetgeving?

Het is dus belangrijk om uw cookiebeleid goed op orde te hebben. Wilt u advies over het opstellen van een cookieverklaring, cookiebanner of analyse van de door u ingezette technieken, neem dan contact met ons op! Bekijk alvast voor meer informatie onze dienst “Cookiecare”.

 

Het bericht Consumentenbond: Cookies plaatsen? Toestemming vragen! verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Risico’s van het niet voldoen aan regelgeving door webshops

do, 11/02/2017 - 15:00

Dat winkelen via het internet niet altijd goed gaat, is bekend. Consumenten worden bijvoorbeeld niet gewezen op hun rechten of kunnen deze rechten in de praktijk niet uitoefenen. Soms worden ze zelfs opgelicht door frauduleuze webshops. Om consumenten te beschermen moeten webshops onder andere voldoen aan de regels van de Wet Koop op Afstand. De Autoriteit Consument en Markt (ACM) houdt toezicht op de naleving van deze wetgeving.

Ook is deze week bekend geworden dat justitie zich gaat bezighouden met de strafrechtelijke kant, namelijk oplichting bij internetaankopen. Wat zijn de gevolgen van het toezicht door de ACM en justitie? Wordt er echt gehandhaafd of blijft het bij een waarschuwing?

Handhaving door de ACM

Voor webshophouders gelden op grond van de Wet Koop op Afstand verschillende informatieplichten. Je moet informeren over allerlei zaken zoals het herroepingsrecht, levering en betaling. Hierdoor wordt de consument op de hoogte gebracht van zijn rechten. Naast de plicht om (correct) te informeren, moet de webshop zich natuurlijk ook houden aan deze informatieplichten. Informeer je niet, onjuist, of wijk je in de praktijk af van je informatieplichten dan kan de ACM een waarschuwing geven of juridische middelen inzetten zoals boetes of dwangsommen opleggen.

Boetes voor overtreden consumentenwetgeving

De ACM houdt het niet alleen bij waarschuwingen, maar legt de boetes en dwangsommen ook daadwerkelijk op. De ACM is ook strenger gaan toezien op de naleving van de regels door webshops. Dit gaat gepaard met hoge boetes. Het boetemaximum is per 1 juli 2016 verhoogd van 450.000 naar maximaal 900.000 euro per overtreding, of 1% van de totale jaaromzet van de overtreder. Bij oneerlijke handelspraktijken kan de boete zelfs oplopen tot 10% van de totale jaaromzet van de overtreder.

Vooral in het najaar van 2016 en voorjaar van 2017 heeft de ACM meerdere webshops boetes opgelegd vanwege het niet voldoen aan de informatieplichten. De hoogte van de boetes varieerden van tienduizenden euro’s tot in de tonnen. Het zijn niet alleen grote webshops die beboet worden, ook de kleinere, minder bekende webshops krijgen boetes opgelegd.

Handhaving door justitie

Deze week is bekend gemaakt dat ook justitie zich gaat bezighouden met het aanpakken van webshops die verdacht worden van internetoplichting. Het Openbaar Ministerie werkt hiervoor samen met twaalf betaaldiensten om rekeningen van verdachte webshops te blokkeren. Het plan is dat de politie na drie aangiftes van internetoplichting de betaaldiensten zal inlichten en die kunnen op hun beurt de rekening van de desbetreffende webshop blokkeren.

Hierbij vind ik het wel belangrijk dat de politie eerst goed onderzoek doet naar de afkomst van de aangiftes om te voorkomen dat betrouwbare webshops het slachtoffer worden van onredelijke aantijgingen. Hoe de betrokkenheid van justitie in de praktijk zal uitpakken moeten we nog even afwachten, maar het is een positief gegeven op het gebied van consumentenbescherming.

Aan de slag

Natuurlijk kan de houder van een webshop of online platform zelf ook bijdragen aan een veilig en eerlijk koopklimaat. Zo is Marktplaats afgelopen week in het nieuws gekomen met betrekking tot de bescherming van de gebruikers van het platform. Marktplaats gaat de dienst ‘’Gelijk Oversteken’’ introduceren. De koper stort het geld op een derdenrekening. De verkoper krijgt het geld pas zodra de koper heeft aangegeven dat het artikel binnen is. Hierdoor vervallen de risico’s voor de koper en verkoper bij betaling en verzending van artikelen. De verwachting is dat door ‘’Gelijk Oversteken’’ het vertrouwen in de dienst zal stijgen.

Kortom, wil je als webshophouder boetes voorkomen? Zorg er dan voor dat je voldoet aan je informatieplichten en verstrek voldoende en juiste informatie over jouw producten of dienstverlening. Zo bevorder je ook nog eens tevreden consumenten.

Zeker weten dat u voldoet aan alle relevante webwinkelregelgeving?

Webwinkels hebben te maken met speciale juridische eisen. Zo schrijft de wet voor dat u zich moet identificeren, dat uw algemene voorwaarden op een specifieke manier moeten worden aangeboden en dat u in een privacyverklaring moet toelichten wat u doet met persoonlijke informatie.

> Vraag een webshopscan aan of maak zélf uw juridische documenten met onze generatoren

 

 

 

 

 

 

 

 

Het bericht Risico’s van het niet voldoen aan regelgeving door webshops verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

ACM lanceert een ‘is die incasso wel terecht’-tool

wo, 11/01/2017 - 16:31

Afgelopen tijd zijn er verschillende misstanden in de incassopraktijk aangepakt. Zo werd een incassobureau door de rechtbank op de vingers getikt voor misleiding en dwong de ACM telecomproviders hun buitengerechtelijke incassopraktijk aan te passen. Vandaag lanceerde de ACM een tool die schuldhulpverleners moet bijstaan in het optreden tegen oneerlijke incassopraktijken. De tool is hier te vinden en is niet alleen interessant voor schuldhulpverleners, maar ook voor partijen die zelfstandig zich willen verweren.

Wat kan je met deze incassochecker?

Als we kijken naar de landingspagina zien we verschillende interessante hulpmiddelen.

  1. Incassobrief Checker
    Deze checker is opgesteld in de vorm van een vragenlijst aan de hand waarvan je kunt gaan bepalen of de ontvangen incassobrief wel overeenstemt met de wet. Denk hierbij aan het controleren of de gevorderde rente niet hoger is dan toegestaan, of de betreffende vordering inmiddels niet al is verjaard of in het geheel onterecht is.
  2. Overzicht incassotraject (van begin tot eind)
    Hier wordt een volledig incassotraject in 11 stappen toegelicht – vanaf het moment van aankoop tot aan het gerechtelijk vonnis.
  3. Rekenhulp incassokosten
    Met de rekenhulp kun je bepalen of de gevorderde incassokosten wel wettelijk toegestaan zijn. Je vult als eerste het bedrag van de hoofdsom in: het bedrag wat je oorspronkelijk moest betalen. Als er ook rente over het openstaande bedrag wordt gevorderd kan je tevens nagaan of de berekening daarvan wel klopt. Een interessante vervolgvraag is of de ondernemer wel de ‘verplichte 14-dagen brief’ heeft gestuurd voordat hij deze bijkomende kosten ging rekenen. De ondernemer mag dit namelijk alleen nadat hij de mogelijkheid heeft geboden om het openstaande bedrag zonder bijkomende kosten te voldoen.
  4. Voorbeeld ‘foute’ incassobrief
    Op deze pagina vind je een voorbeeld van een foute incassobrief. Verschillende delen zijn genummerd en voorzien van een toelichting waarin wordt uitgelegd waarom dat betreffende gedeelte niet door de beugel kan.
  5. Voorbeeldbrieven om bezwaar te maken tegen incasso
    Met deze negen voorbeeldbrieven kunnen schuldhulpverleners onderbouwd bezwaar aantekenen tegen onterechte incasso’s of oneerlijke incassopraktijken.
  6. Handleiding toepasselijke wet- en regelgeving
    In september heeft de ACM een uitgebreide handleiding opgesteld voor schuldhulpverleners. In de 50 pagina tellende handleiding wordt ingegaan op de toepasselijke wet en regelgeving omtrent incasso(kosten).
  7. Meldknop Oneerlijke Incassopraktijken
    Er is een meldknop oneerlijke incassopraktijken toegevoegd aan de Tool. Voorheen kon een dergelijke melding ook al gedaan worden via het Tip Ons formulier, maar hiermee wordt dit explicieter onder de aandacht gebracht.

Het bericht ACM lanceert een ‘is die incasso wel terecht’-tool verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

De positie en plichten van de verwerker onder de AVG

di, 10/31/2017 - 06:00

Wij ontvangen regelmatig vragen over de aankomende Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 onze huidige Wet bescherming persoonsgegevens vervangt. Een van die vragen is of de positie van de bewerker gelijk blijft als de AVG van toepassing wordt.

Een bewerker is de partij die voor de verantwoordelijke (in de AVG ‘verwerkingsverantwoordelijke’ genoemd) persoonsgegevens verwerkt, bijvoorbeeld een partij die een website host of een leverancier van een CRM-programma in de cloud. De definitie van ‘bewerker’ (onder de AVG ‘verwerker’ genoemd) is nagenoeg gelijk gebleven, maar er zijn wel een aantal belangrijke verschillen voor de bewerker in de AVG ten opzichte van de huidige privacywetgeving. De bewerker krijgt namelijk verschillende zelfstandige verplichtingen, waarvoor hij ook beboet kan worden bij overtreding. De belangrijkste verplichtingen leggen we hieronder kort uit.

Verwerkersovereenkomst

Op dit moment is het de plicht van de verantwoordelijke om een bewerkersovereenkomst te sluiten met een bewerker. Na 25 mei wordt dit een gedeelde verantwoordelijkheid. Zowel de verantwoordelijke als de verwerker kunnen dan worden aangesproken op het niet afsluiten van een bewerkersovereenkomst (onder de AVG: ‘verwerkersovereenkomst’). De verwerkersovereenkomst moet onder meer afspraken bevatten aangaande vertrouwelijkheid, beveiligingsmaatregelen, datalekken, eventuele sub-bewerkers (zie verderop in dit artikel), audits en de rechten van betrokkenen.

Beveiligingsmaatregelen

In de huidige privacywetgeving rust op de verantwoordelijke de verplichting om de bewerker voldoende waarborgen te laten treffen ten aanzien van de technische en organisatorische beveiliging. De beveiligingsmaatregelen worden in de AVG iets concreter gemaakt, en het wordt ook een verplichting van de verwerker om deze maatregelen te nemen. De verwerker is zelf aansprakelijk voor alle schade die voortvloeit uit het niet op orde hebben van zijn beveiliging.

Passende technische en organisatorische maatregelen die beide partijen moeten nemen zijn onder andere:

  • het versleutelen van gegevens
  • het kwalitatief goed inregelen van de diensten en systemen waarmee de verwerking plaatsvindt
  • het waarborgen dat gegevens niet permanent verloren gaan bij een incident
  • en het testen en evalueren van de beveiliging
Sub-verwerkers

Een verwerker mag niet zonder voorafgaande toestemming van de verantwoordelijke een andere verwerker (sub-verwerker) in dienst nemen. Wanneer een verantwoordelijke hier toestemming voor heeft gegeven, moet de sub-verwerker dezelfde verplichtingen opgelegd krijgen als de verwerker opgelegd heeft gekregen van de verantwoordelijke. Als de sub-verwerker zijn verplichtingen niet nakomt, blijft de (eerste) verwerker ten aanzien van de verantwoordelijke volledig aansprakelijk.

Datalekken

Een verwerker is verplicht een datalek te melden bij de verantwoordelijke. Dat is een bewerker nu ook al op grond van zijn zorgplicht, maar de AVG omschrijft het ook concreet. De verwerker moet de verantwoordelijke zonder onredelijke vertraging op de hoogte te stellen van een datalek, zodat deze op zijn beurt bínnen 72 uur een melding kan doen aan de Autoriteit Persoonsgegevens.

Verwerkingsregister

Een verwerker is onder de AVG ook verplicht een verwerkingsregister bij te houden indien hij structureel gegevens verwerkt, wanneer de verwerking risico’s inhoudt voor betrokkenen of als er bijzondere of strafrechtelijke gegevens worden verwerkt. Aangezien een verwerker vaak structureel gegevens verwerkt voor een verantwoordelijke, is zij meestal verplicht om een register bij te houden.

Dit register moet de naam en contactgegevens van de verwerker bevatten, de categorieën van verwerkingen, eventuele doorgifte aan derde landen, en een algemene beschrijving van de technische en organisatorische maatregelen. Het register moet schriftelijk worden vastgelegd. Een overzicht in Excel voldoet aan de schriftelijkheidsvereiste. Ons zusterbedrijf PrivacyBlox heeft een tool ontwikkeld waarmee op gemakkelijke wijze het register met gegevensverwerkingen kan worden bijgehouden. Neem voor meer informatie contact op met ons!

Functionaris voor de gegevensbescherming (FG)

De (in sommige gevallen) verplichting om een FG aan te wijzen, bijvoorbeeld bij het op grote schaal verwerken van gezondheidsgegevens, geldt zowel voor de verantwoordelijke als de verwerker. Als de verantwoordelijke voldoet aan de verplichting om een FG aan te wijzen, betekent dat niet automatisch dat de verwerker ook een FG moet aanwijzen. De Artikel 29-werkgroep raadt aan dat een FG van een verwerker ook toeziet op de activiteiten waarvoor die organisatie zelf verantwoordelijk is.

Aansprakelijkheid van een verwerker / bewerker

Een verwerker is slechts aansprakelijk voor de schade die door een verwerking is veroorzaakt wanneer bij die verwerking niet is voldaan aan de specifieke tot verwerkers gerichte verplichtingen van de AVG. Hierbij kun je denken aan het zonder toestemming inschakelen van een sub-verwerker of het niet op orde hebben van de beveiliging. Daarnaast is een verwerker ook aansprakelijk wanneer hij in strijd heeft gehandeld met de instructies die de verantwoordelijke heeft gegeven.

Daarbij kan de Autoriteit Persoonsgegevens ook aan de verwerker een boete opleggen. De verantwoordelijke blijft aansprakelijk naar de betrokkene, maar de verwerker kan ook direct worden aangesproken door de betrokkene voor de gehele schade. Uiteraard kunnen partijen onderling verhaalsregelingen afspreken.

Voor meer informatie over de positie van de verwerker of andere privacy-gerelateerde vragen, neem contact op met onze specialisten.

Meer weten over privacywetgeving?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.

Het bericht De positie en plichten van de verwerker onder de AVG verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

30 november – Cursus ‘Omgang met Datalekken’

ma, 10/30/2017 - 14:06

Nog maar één maand tot de cursus Omgang met Datalekken. Vanaf 1 januari 2016 is het wettelijk verplicht om datalekken te melden. Wie data laat lekken of persoonsgegevens verwerkt zonder zich netjes aan de wet te houden, maakt kans op een boete. Deze boetes kunnen per overtreding oplopen tot €820.000 of 10% van de jaaromzet. Met de komst van de nieuwe privacywet, de Algemene verordening gegevensbescherming zullen er éxtra regels voor dataveiligheid en de registratie van datalekken bijkomen, en zal de maximale boete stijgen naar 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Hoe u zich kunt voorbereiden op datalekken, en wat te doen als er eenmaal een datalek heeft plaatsgevonden? In één middag leert u wat een datalek is, welke partijen betrokken zijn bij datalekken en hoe uw organisatie kan voldoen aan de Meldplicht Datalekken.

Kosten: €225,- ex. btw

> MEER INFORMATIE EN AANMELDEN

PROGRAMMA 13.30 – 14.15 Wat is een datalek? 14.15 – 15.00 Welke partijen zijn betrokken bij datalekken? 15.00 – 15.15 Pauze 15.15 – 16.00 Het calamiteitenplan; 16.00 -16.45 De preventieve werking van een bewerkersovereenkomst Ervaringen van cursisten: “Goed duidelijk verhaal. Deskundigheid kun je goed merken.”

“Goed! Al jaren onder de indruk van de hoeveelheid kennis die jullie publiekelijk delen.”

“Erg nuttig” – Boy Baukema – Ibuildings.nl

 

 

Het bericht 30 november – Cursus ‘Omgang met Datalekken’ verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Toestemming voor het verwerken van persoonsgegevens onder de nieuwe privacywet

vr, 10/27/2017 - 08:54

Vrijwel iedereen kent ze, de toestemmingsvragen die met enige regelmaat op je laptop- of telefoonscherm verschijnen. De bedoeling hiervan is dat de gebruiker instemt met het verwerken van persoonsgegevens door de eigenaar van de website of app, en mogelijk ook door anderen. Deze toestemming verkrijgen, is vaak wettelijk verplicht. Zeer positief dus, wanneer u als bedrijf een dergelijke toestemmingsvraag gebruikt.

Echter, zeker met de komst van nieuwe privacywetgeving (de Algemene Verordening Gegevensbescherming) vanaf 25 mei 2018, is het goed om de manier waarop toestemming wordt gevraagd te herzien. Toestemming is namelijk pas toestemming, wanneer deze aan de volgende voorwaarden voldoet:

  • de toestemming moet specifiek zijn;
  • de toestemming moet op informatie berusten;
  • de toestemming moet in vrijheid gegeven zijn;
  • de toestemming moet een actieve handeling zijn.

Dit klinkt heel logisch, maar biedt nog geen handvatten voor hoe je in de praktijk toestemming kunt krijgen. En laat dat nu één van de belangrijkste onderdelen van de Europese privacywetgeving zijn: het niet of niet juist verkrijgen van toestemming, kan straks worden bestraft met boetes tot 20 miljoen euro of 4% van de jaaromzet. Dat is iets wat iedereen wil voorkomen.

De International Association of Privacy Professionals heeft daarom een gids gemaakt met praktische voorbeelden van hoe je op een juridisch juiste wijze toestemming krijgt (én hoe dat juist niet moet!). Het document richt zich op de ‘gebruikerservaring’, de ‘user interface’ van een app of website.

Afgeraden wordt bij toestemming vragen voor het verwerken van persoonsgegevens:
  • dat er op een (kleine, niet opvallende) button met een vraagteken geklikt moet worden om meer informatie te krijgen over wat er met de persoonsgegevens gebeurt.
  • alleen melden: “Als je de cookies niet accepteert, werken sommige onderdelen van de website minder goed”. Maak in plaats daarvan duidelijk om welke onderdelen het dan precies gaat.
  • om woorden te gebruiken als ‘bijvoorbeeld’, ‘onder andere’. Maak in plaats daarvan duidelijk welke partijen krijgen de gegevens nog meer krijgen, en voor welke doelen.
  • een keuze te ‘promoten’ door deze vetgedrukt, groter, of in een andere kleur weer te geven, of door aan te geven dat iets een standaardoptie is, dat de meerderheid ergens voor kiest, of dat het bedrijf het aanraadt.
Aangeraden wordt bij toestemming vragen voor het verwerken van persoonsgegevens:
  • om direct in de toestemmingsvraag een korte uitleg te geven: wie krijgen welke gegevens, voor welke doelen? En uiteraard een link op te nemen naar de privacyverklaring (let op: toestemming kan niet worden verkregen via een privacyverklaring alleen, dit is slechts een informatiedocument).
  • om duidelijk aan te geven wat het gevolg is als je geen toestemming geeft. Bijvoorbeeld: wanneer u uw locatiegegevens uitschakelt, is het niet mogelijk om real-time uw route uit te stippelen (voor een navigatie-app).
  • om alle doelen waarvoor, en alle partijen waardoor de gegevens worden gebruikt, te benoemen.
  • om alle opties op dezelfde wijze weer te geven, zodat de gebruiker zelf een keuze maakt.

De IAPP brengt nog een aantal andere (psychologische) inzichten over het geven van toestemming naar voren. Wanneer je twee keuzes onder elkaar toont, worden beide opties als gelijkwaardig gezien. Wanneer er twee keuzes naast elkaar worden getoond, wordt de rechter optie als ‘standaard’ gezien. Het ‘grijs/wazig’ weergeven van een knop ‘volgende’ maakt mensen zich er meer van bewust dat ze een keuze maken. Als er geen daadwerkelijke keuze is (je móét toestemming geven om een dienst te kunnen gebruiken), dan is het van belang om na te gaan of toestemming wel de juiste grondslag is. Wellicht kunt u de gegevens dan alleen verwerken op grond van een overeenkomst, of een gerechtvaardigd belang dat opweegt tegen de privacyinbreuk.

Let daarnaast op het volgende. Kinderen onder de 16 jaar kunnen zelf geen rechtsgeldige toestemming geven voor het verwerken van persoonsgegevens; u moet dan nagaan of er toestemming van een ouder of wettelijk vertegenwoordiger van het kind is. Toestemming moet te allen tijde kunnen worden ingetrokken, op een gemakkelijke manier, bijvoorbeeld door het klikken op een afmeldlink. Toestemming moet ook kunnen worden bewezen. Houd dus logs bij: wie heeft toestemming gegeven en waarvoor precies?

Het document van de IAPP is geen officiële uitleg door een wetgever, toezichthouder of rechter, maar wel nuttig bij het praktisch vormgeven van toestemmingsvragen.

Meer weten over privacywetgeving en het verwerken van persoonsgegevens?

Heeft u een vraag over (bijvoorbeeld toestemming voor) het verwerken van persoonsgegevens? Volg één van onze privacytrainingen of neem contact op met de privacyjuristen van ICTRecht. Bel 020 663 1941, of stuur een e-mail naar info@ictrecht.nl.

Het bericht Toestemming voor het verwerken van persoonsgegevens onder de nieuwe privacywet verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

App developers: aandacht voor privacy opent deuren – deel 1

do, 10/26/2017 - 07:00

Alle bombarie over de aankomende Algemene Verordening Gegevensbescherming (AVG) doet mogelijk vermoeden dat privacyregelgeving nieuw is en organisaties vanaf mei 2018 pas echt rekening moeten houden met privacy. We leven in Nederland echter al jaren met privacywetgeving: de Wet bescherming persoonsgegevens (Wbp). Wetgeving waaraan ook app developers moeten voldoen.

Met de grensoverschrijdende AVG is er een veel uitgebreider pakket van regels uit de koker van de Europese Unie komen rollen, dat tevens op sommige punten strenger is dan haar Nederlandse voorganger. Dit zorgt logischerwijs, vooralsnog, voor beduidend meer aandacht voor het thema privacy.

Privacyovertredingen bij de ontwikkeling van apps

Toch gaat er nog veel mis bij de waarborging van de privacy van gebruikers van mobiele apps. Zo verschenen er over de afgelopen maanden meerdere berichten in het nieuws over de schendingen op het gebied van privacy begaan door (lang niet alleen meer) semi-taxidienst: Uber. Uber leek te testen waar de grens lag met betrekking tot de privacy van gebruikers. Zo maakte Uber het zichzelf mogelijk om ook na afloop van een rit de locatie van een gebruiker te blijven volgen, hadden individuele ‘Uberwerknemers’ ongelimiteerde toegang tot de gebruikersdata van het bedrijf, en was het voor Uber, als klap op de vuurpijl, mogelijk om een schermopname te maken bij gebruikers, zelfs als de app op dat moment niet in gebruik was.

Privacy is big business…

Hoewel er lange tijd een tendens leek te bestaan waarbij privacyregelgeving ‘onbelangrijk’ was en het vergaren van informatie over gebruikers om de winstmarge te kunnen vergroten het grote doel leek voor developers, lijkt dit te veranderen. Niet in het minst omdat winstmaximalisatie steeds verder afhankelijk begint te worden van het compliant zijn aan privacyregelgeving.

Los van het feit dat onder de AVG de boetes voor het overtreden van de opgenomen bepalingen exponentieel zijn toegenomen ten opzichte van het boetestelsel onder de Wbp, lijken developers ook steun van grote investeerders en ‘app store poortwachters’ als Google (Google Play Store) en Apple (App Store) te verliezen wanneer de naleving van privacywetgeving geen prioriteit geniet.

Een goed voorbeeld hiervan is opnieuw Uber dat door de bovengenoemde schendingen én de bijkomende imagoschade een van zijn grootste investeerders, Google, ertoe heeft bewogen om vol in te zetten op de voornaamste concurrent in net-niet-taxiland: Lyft. Hoewel Lyft in Nederland nauwelijks bekend is, zou dit weleens kunnen veranderen met de kapitaalinjectie van Google van maar liefst een miljard dollar.

… Ook voor ‘kleinere’ developers

Ondanks dat dit een ‘ver van mijn bed show’ lijkt voor kleinere app developers, schreven we begin dit jaar al over het Partijen als Google pogen app developers in het gareel te krijgen met het oog op de AVG en de strengere eisen die deze wetgeving met zich meebrengt op het vlak van de privacy van de gebruikers.

Non-compliancy kan ervoor zorgen dat je app niet meer welkom is in de Google Play Store. Het is daarom aan te raden om er alles aan te doen om je app te ontwerpen met de AVG in gedachte en privacy in te bouwen in de apps, tijdens de ontwerpfase. Dit wordt ook wel privacy by design genoemd.

Te nemen maatregelen kunnen hierbij zijn, het enkel opvragen van noodzakelijke gegevens en het inbouwen van de mogelijkheid om gegevens definitief te kunnen wissen. Dit is niet alleen van belang om uitsluiting uit de Google Play Store te voorkomen, maar ook om potentieel beter zichtbaar te worden binnen deze omgeving.

Wanneer apps waarin privacyregelgeving aan de laars wordt gelapt de deur worden gewezen, komen de apps en developers mét aandacht voor de privacy van de gebruikers vanzelf bovendrijven. Iets wat niet alleen kan zorgen voor meer zichtbaarheid van je apps in de verschillende app stores, maar ook voor meer inkomsten. Daarnaast bieden de verschillende app stores ongelooflijk veel keus. Het op orde hebben van je regels omtrent privacy kan hierdoor een onderscheidende factor worden en ervoor zorgen dat een potentiële gebruiker voor jouw app kiest.

In het tweede deel van deze blogreeks zal ik daarom dieper ingaan op specifieke regels in de AVG die met name van belang zijn voor app developers, zoals het hierboven genoemde privacy by design/by default en de informatieplicht. Ook zal er aandacht zijn voor de kansen die deze regelgeving developers biedt.

Meer weten over privacywetgeving?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.

Het bericht App developers: aandacht voor privacy opent deuren – deel 1 verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

“Vertrouwen in de toekomst”; welke arbeidsrechtelijke gevolgen heeft het regeerakkoord voor ondernemers?

wo, 10/25/2017 - 07:00

Na maanden overleg is het dan eindelijk zover. Het regeerakkoord is door de partijen VVD, CDA, D66 en ChristenUnie op 10 oktober gepresenteerd. Een van de plannen in het regeerakkoord is het hervormen van de arbeidsmarkt. Volgens de partijen ligt de sleutel naar een eerlijkere arbeidsmarkt in “vast werk minder vast maken en flexwerk minder flex”. Welke gevolgen heeft deze hervorming voor u als (ICT-)ondernemer?

Tijdelijke contracten

Allereerst worden de tijdelijke contracten aangepakt. Momenteel geldt dat er maximaal 3 arbeidsovereenkomsten voor bepaalde tijd verleend mogen worden binnen een periode van 2 jaar. Wanneer er een vierde arbeidsovereenkomst wordt overeengekomen of de periode van 2 jaar wordt overschreden dan ontstaat er een arbeidsovereenkomst voor onbepaalde tijd.

In het regeerakkoord wordt aangegeven dat dit gaat veranderen. De termijn van 2 jaar wordt opgeschroefd naar 3 jaar. In feite gaan we daarmee weer terug naar de regeling van voor de Wet werk en zekerheid (Wwz). De achterliggende gedachte achter deze wijziging is om de verschillen tussen de arbeidsovereenkomsten voor bepaalde tijd en onbepaalde tijd kleiner te maken.

De regel is dat er tussen een derde en vierde arbeidsovereenkomst voor bepaalde tijd 6 maanden moet zitten om een arbeidsovereenkomst van onbepaalde tijd te voorkomen. Deze tussenpoos  van 6 maanden tijd blijft ook onder de nieuwe regering van toepassing. Er moet echter ruimte zijn om per sector hiervan af te wijken. De tussenpozen kunnen verkort worden als het werk daarom vraagt. Momenteel geldt deze regeling al voor seizoenswerk, maar dit wordt verruimd naar ander tijdelijk terugkerend werk dat ten hoogste 9 maanden kan worden verricht.

Proeftijden worden verlengd

Op dit moment geldt voor een contract van onbepaalde tijd een proeftijd van 2 maanden. Bij contracten voor bepaalde tijd met een duur van 2 jaar of meer, is de proeftijd eveneens 2 maanden. Dit gaat veranderen.

Werkgevers mogen straks een langere proeftijd aangaan bij een contract voor onbepaalde tijd. Wanneer de werkgever direct een contract voor onbepaalde tijd aanbiedt, mag de werkgever een proeftijd van 5 maanden opnemen. Voor een arbeidscontract van bepaalde tijd met een duur van 2 jaar of meer wordt de proeftijd verlengd naar 3 maanden. Voor de overige gevallen blijft de proeftijd zoals die nu geldt. Het doel van de verlenging van de proeftijd is het voor werkgevers aantrekkelijker maken van contracten voor onbepaalde tijd.

Aanpassen regelgeving inhuren zzp’ers

Momenteel is de Wet Deregulering Beoordeling Arbeidsrelaties (wet DBA) van toepassing. Deze wet is in het leven geroepen nadat de VAR-verklaring was afgeschaft. De Wet DBA heeft tot veel onzekerheid geleidt bij ZZP’ers en (ICT-)ondernemers die vaak freelancers inhuren. Vanwege de onduidelijkheid heeft de Belastingdienst al aangegeven de handhaving uit te stellen tot 1 januari 2018.

In het regeerakkoord is het plan opgenomen om de Wet DBA te vervangen voor een compleet nieuwe wet. Het doel van deze nieuwe wet is dat er voor echte zelfstandigen zekerheid moet worden geboden, dat geen sprake is van een dienstbetrekking en dat schijnzelfstandigheid tegen wordt gegaan:

  • In de nieuw te vormen wet wordt bepaald dat altijd sprake is van een arbeidsovereenkomst wanneer gewerkt wordt met een laag tarief die gecombineerd wordt met een lange duur van de overeenkomst of wanneer er reguliere bedrijfsactiviteiten worden verricht. Dit lage tarief zal vermoedelijk liggen op een bedrag van €15 en €18 per uur. Als lange duur wordt aangemerkt een periode van 3 maanden of meer.
  • Hiertegenover staat een ‘opt-out’ voor zelfstandige ondernemers als er een hoog tarief wordt gehanteerd, in combinatie met een korte duur van de overeenkomst, dan wel het niet verrichten van reguliere bedrijfsactiviteiten. Een hoog tarief is wanneer er met een bedrag van €75,- of meer wordt gerekend. Een korte duur wordt gezien als, niet langer dan één jaar. Wanneer van beide sprake is dan hoeft er geen loonbelasting en de bijkomende premies te worden afgedragen.
  • Als je tussen het lage tarief en het hoge tarief zit als zzp’er dan moet er een opdrachtgeversverklaring worden afgegeven. Deze verklaring moet opdrachtgevers van te voren duidelijkheid verschaffen over de inhuur van zelfstandige ondernemers. Met deze verklaring krijgt de opdrachtgever een vrijwaring voor het afdragen van loonbelasting en premies werknemersverzekeringen. De verklaring kan in de toekomst worden verkregen via een webmodule, zoals nu ook in het Verenigd Koninkrijk van toepassing is. In deze webmodule zal ook de gezagsverhouding verduidelijkt worden.
Meer weten over ICT & arbeidsrecht?

Hier vindt u alle informatie op het gebied van ICT en arbeid. Aarzel niet om contact met ons op te nemen indien u vragen heeft. Wij bieden uitkomst in al uw ict-arbeidsrechtelijke problemen. Ons advies bestaat uit praktische oplossingen, toegesneden op uw organisatie.

Het bericht “Vertrouwen in de toekomst”; welke arbeidsrechtelijke gevolgen heeft het regeerakkoord voor ondernemers? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Mag je een aanbod zomaar intrekken?

do, 10/19/2017 - 13:41

Verkopers die een product of dienst aanbieden met de bijbehorende prijs, doen daarmee een aanbod. Op het moment dat de klant de aankoop bevestigt door de bestelling te plaatsen wordt er een overeenkomst gesloten. De verkoper en de klant zitten dan aan die overeenkomst vast. Dat betekent dat de verkoper zijn aanbod niet zomaar weer kan intrekken. Bij elektronisch gesloten overeenkomsten is de verkoper echter verplicht de aanvaarding van de koper nog te bevestigen.

Heeft een webshop de mogelijkheid om het geplaatste aanbod in te trekken of te wijzigen, nadat de klant het aanbod heeft aanvaard? Een goed voorbeeld hiervan is de ophef die kortgeleden ontstond bij supporters van Feyenoord, toen Cheaptickets.nl de reeds gekochte vluchten opeens annuleerde. Cheaptickets.nl gaf aan dat er sprake was van een technische fout en dat zij de bestelling mochten annuleren omdat de aanvaarding nog niet was bevestigd.

Wanneer is een overeenkomst geldig?

Een geldige overeenkomst komt tot stand doordat de ene partij een aanbod doet en de andere partij deze aanvaardt. De overeenkomst is dan bindend voor beide partijen. Om juridisch te kunnen spreken van een aanbod moeten alle ‘essentiële elementen’ van de overeenkomst duidelijk zijn. Essentiële elementen bij vliegtickets zijn bijvoorbeeld de datum, de prijs en de bestemming. Ontbreken een of meer van deze essentiële elementen, dan is er geen sprake van een geldig aanbod, maar slechts van een uitnodiging tot het doen van een aanbod.

Elektronisch gesloten overeenkomsten vereisen extra handeling

Voor elektronisch gesloten overeenkomsten, bijvoorbeeld het doen van een bestelling via een webshop, is voor de totstandkoming van de overeenkomst nog een extra handeling vereist. Als de klant online een bestelling heeft geplaatst (= aanvaarding van het aanbod), dan moet de verkoper deze aanvaarding bevestigen. Zolang de verkoper dit niet heeft gedaan, mag de klant de overeenkomst ontbinden. En bevestigt de verkoper niet zo snel mogelijk, dan geldt dit als een ‘verwerping van de aanvaarding’, zodat in het geheel geen overeenkomst tot stand komt. Aangezien Cheaptickets.nl de bestelling niet had bevestigd, was er geen overeenkomst tot stand gekomen.

Zou Cheaptickets.nl de bestelling wel bevestigd hebben, dan waren ze hieraan gebonden. Dat geldt ook als de tickets per ongeluk voor de verkeerde prijs werden aangeboden. Enige uitzondering is als de klant echt had moeten begrijpen dat het om een vergissing ging. Maar omdat er vaak gestunt wordt met de prijzen van vliegtickets (€30 voor een korte vlucht is niet uitzonderlijk), denk ik niet dat daar snel sprake van is.

Het opzettelijk niet bevestigen van de bestelling, om daarmee onder de overeenkomst uit te komen, zou wel een oneerlijke handelspraktijk kunnen zijn. Dat betekent namelijk dat je niet eerlijk bent over welke overeenkomsten gesloten kunnen worden, en dat mag niet.

Zeker weten dat u voldoet aan alle relevante e-commerce-regelgeving?

Webwinkels en e-commerce-partijen hebben te maken met speciale juridische eisen. Zo schrijft de wet voor dat u zich moet identificeren, dat uw algemene voorwaarden op een specifieke manier moeten worden aangeboden en dat u in een privacyverklaring moet toelichten wat u doet met persoonlijke informatie.

> Aanvragen van webshop scan of maak zélf juridische webwinkel documenten met onze generatoren op JuriDox

Het bericht Mag je een aanbod zomaar intrekken? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Pagina's