van ICT recht

Subscribe to feed van ICT recht
Deskundig, praktisch en concreet juridisch advies tegen een passend tarief.
Bijgewerkt: 2 uur 57 min geleden

Europese privacytoezichthouders spreken zich uit over privacy en monitoring op het werk

wo, 07/19/2017 - 09:30

De Article 29 Working Party (WP29), een advies- en overlegorgaan van Europese privacytoezichthouders, heeft recent een opinie opgesteld waarin de privacywet AVG wordt uitgelegd in het licht van gegevensverwerkingen op het werk. In onze factsheet Privacy en monitoring op de werkvloer vatten we de regels kort samen. Aan het eind vindt u een aantal handige voorbeelden.

In de factsheet vindt u de opinie van de Artikel 29-werkgroep over:
  • 1 | Wat is een werknemer?
  • 2 | Wat voor persoonsgegevens verwerkt een werkgever?
  • 3 | Waarom is extra aandacht voor privacy op de werkvloer belangrijk?
  • 4 | Wat is een proportionaliteitstoets of PIA?
  • 5 | Welke verwerkingen mogen niet of bijna nooit?
  • 6 | Welke plichten heeft een werkgever om privacy in de werksfeer te waarborgen?
  • 7 | Wat moet een werkgever doen om persoonsgegevens te beveiligen?
  • 8 | Waar moet de werkgever actief duidelijke informatie over geven?
  • 9 | Wat mag een werkgever met gegevens die door monitoring zijn verkregen?
  • 10 | Voorbeelden van wat wel en niet mag in de praktijk
  • 10.1 | Social media en het aantrekken van nieuw personeel
  • 10.2 | Social media controleren van oud-personeel
  • 10.3 | Cameratoezicht in kantoorruimten
  • 10.4 | Controle van gebruik van ICT-voorzieningen en in- en uitgaande communicatie
  • 10.5 | Tracking van het vervoersmiddel waarmee de werknemer zich voortbeweegt

Bekijk en download onze factsheet Privacy en monitoring op de werkvloer

 

Meer weten over privacywetgeving?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.

Het bericht Europese privacytoezichthouders spreken zich uit over privacy en monitoring op het werk verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Kan ik mijn Data Protection Officer (DPO) ontslaan onder de AVG?

di, 07/18/2017 - 07:00

Er is ontslagbescherming voor de Data Protection Officer in de nieuwe privacywet. Wil dat zeggen dat iemand die zeker wil zijn van zijn baan dan maar DPO moet worden? Dat een werkgever de DPO na aanstelling niet meer kan ontslaan?

De Algemene Verordening Gegevensbescherming (AVG) regelt dat een DPO (Data Protection Officer, of in het Nederlands: Functionaris voor de Gegevensbescherming (FG)) “niet ontslagen of gestraft wordt voor de uitvoering van zijn taken”.

Ontslagbescherming wordt ook in het Nederlands Burgerlijk Wetboek geregeld. Een zieke of zwangere werknemer mag bijvoorbeeld niet zomaar worden ontslagen. Ook leden van een personeelsvertegenwoordiging, ondernemingsraad of van verschillende andere onderhandelingsgroepen zijn tegen ontslag beschermd.

Wat betreft de DPO regelt de Nederlandse wet dat ‘een werkgever de arbeidsovereenkomst van een werknemer niet mag opzeggen, wanneer die als Functionaris voor de Gegevensbescherming werkzaam is’.

Data Protection Officer niet ontslaan

In principe mag een werknemer die als DPO binnen een bedrijf is aangesteld volgens de huidige Nederlandse wet niet worden ontslagen. Dit verbod is een tijdens verbod. Dit verbod wil zeggen dat de werknemer niet mag worden ontslagen tijdens zijn functie als Functionaris voor de Gegevensbescherming. Het doel hiervan is dat de functionaris volledig onafhankelijk kan handelen en een mening kan vormen.

Het ontslagverbod geldt voor contracten voor onbepaalde tijd en voor tussentijds ontslag bij contracten voor bepaalde tijd. Een arbeidscontract voor bepaalde tijd eindigt overigens wel gewoon van rechtswege per de afgesproken datum, mits aan de aanzegplicht is voldaan.

Ontheffing uit de aanstelling kan trouwens wel, als de functionaris niet (meer) voldoet aan de wettelijke eisen die aan de functionaris worden gesteld.

Uitzonderingen op het opzegverbod Data Protection Officer

Op het opzegverbod zijn uitzonderingen gemaakt:

  • Ontslag door werkgever is wel mogelijk als de DPO zelf schriftelijk instemt met de opzegging, tijdens de proeftijd en als sprake is van een dringende reden (ontslag op staande voet).
  • Verder geldt het opzegverbod niet als sprake is van faillissement of als de Functionaris voor de Gegevensbescherming de AOW-gerechtigde leeftijd heeft bereikt.
  • Als een deel van de onderneming wordt beëindigd, dan mag de Data Protection Officer onder bepaalde voorwaarden door werkgever worden ontslagen.
Data Protection Officer ontslaan via de kantonrechter

Soms kan de kantonrechter bij een redelijke grond voor ontslag, ondanks het bestaan van een tijdens opzegverbod, de arbeidsovereenkomst toch ontbinden. Dat is zo, als het ontbindingsverzoek geen verband houdt met de omstandigheid waar het opzegverbod op ziet. Denk hierbij aan disfunctioneren, verwijtbaar handelen of een verstoorde arbeidsverhouding die niets te maken heeft met de manier waarop de FG zijn taak uitoefent.

Is bijvoorbeeld sprake van een verstoorde arbeidsverhouding tussen de werkgever en de FG, dan kun je de kantonrechter verzoeken de arbeidsovereenkomst te laten ontbinden. De kantonrechter beoordeelt dan of de verstoorde verhouding voldoende grond biedt voor ontslag, en of de verstoorde arbeidsverhouding geen verband houdt met de functie als Functionaris voor de Gegevensbescherming.

Opzegverbod Data Protection Officer onder de AVG

De AVG, die per 25 mei 2018 in werking treedt, formuleert het opzegverbod net even anders. De DPO mag niet worden ontslagen ‘voor het uitvoeren van zijn taken’. Het doel hiervan is ook weer dat de functionaris voor de gegevensbescherming volledig onafhankelijk kan werken. Dit sluit aan op het verbod op het geven van instructies met betrekking tot de uitvoering van de taken.

Dit AVG opzegverbod is een wegens opzegverbod. De werkgever mag een DPO niet ontslaan wegens het uitvoeren/de uitvoering van zijn taken. De Memorie van Toelichting bij de Nederlandse wet stelt over wegens opzegverboden:

‘Indien er een opzegverbod van toepassing is wegens een bepaalde omstandigheid…kan de rechter de arbeidsovereenkomst uiteraard niet ontbinden.’

De Nederlandse wet ondervangt het wegens verbod momenteel al in het tijdens verbod. Nu mag de FG namelijk überhaupt niet worden ontslagen tenzij een uitzondering van toepassing is. Het uitvoeren van de taken valt niet onder een van de uitzonderingen. Praktisch gezien verandert er dus waarschijnlijk niets. De daadwerkelijke uitkomst zal uit toekomstige rechtspraak moeten blijken.

Kun je dus je Data Protection Officer ontslaan onder de AVG?

Ja dat kan, als je er maar een goede reden voor hebt, die de onafhankelijkheid van de Functionaris voor de Gegevensbescherming niet in de weg staat en die reden niets te maken heeft met de uitvoering van zijn taken. Taken van een FG kunnen zijn het houden van toezicht, gegevensverwerkingen inventariseren, vragen en klachten afhandelen die betrekking hebben op privacy, adviseren over privacyvraagstukken en het opstellen of aanpassen van gedragscodes.

Beter voorkomen, dan genezen

Overweeg je om een Functionaris voor de Gegevensbescherming aan te nemen? Beoordeel dan van tevoren of die persoon voldoet aan de wettelijke eisen en zorg vooraf voor een plan om de FG bekwaam te houden. Ben je er niet zeker over? Overweeg dan het inhuren van een FG, bijvoorbeeld van ICTRecht.

Het bericht Kan ik mijn Data Protection Officer (DPO) ontslaan onder de AVG? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Checklist: de geheimhoudingsovereenkomst (NDA)

vr, 07/14/2017 - 10:03

Een non-disclosure agreement (NDA) of geheimhoudingsovereenkomst is een overeenkomst waarbij twee partijen afspreken bepaalde informatie geheim te houden. Strikt gesproken is dit geen ICT-specifieke contractsoort, maar de NDA is buitengewoon populair in de ICT. Zo populair zelfs dat het document wel eens de Silicon Valley Handshake genoemd wordt, omdat in de hightechsector het tekenen van een NDA de eerste handeling is na de kennismaking. Waar moet je nu rekening houden bij het reviewen of opstellen van een NDA?

Doelomschrijving van de NDA

De kern van een NDA is de omschrijving van het doel. Waarom gaan partijen informatie delen? Dit is cruciaal, want alle bepalingen omtrent geheimhouding en wat geheim moet blijven, worden namelijk opgehangen aan dit doel. Bekende standaardomschrijvingen zijn “zakelijke onderhandelingen omtrent een licentiecontract” of “het onderzoeken van de mogelijkheden van een nadere samenwerking”, maar het heeft sterk de voorkeur om specifieker te zijn. Welk contract? Wat voor samenwerking?

Het doel komt op diverse plaatsen terug, met name waar wordt bepaald dat de informatie alleen mag worden gebruikt voor het doel of dat deze alleen mag worden gedeeld met mensen die een need to know hebben voor het doel. Daarom is dringend aan te bevelen dit op één plek te definiëren.

Wanneer het doel mede het onderhandelen over een overeenkomst betreft, kan een situatie ontstaan waarin één partij de onderhandelingen wil afbreken en de andere voortzetting verlangt. De jurisprudentie van de Hoge Raad (met name het CBB/JPO arrest) biedt aanknopingspunten voor een afgedwongen voortzetting en/of schade vergoeding te betalen door de afbrekende partij. Om dit
te vermijden, is het belangrijk de tekst zo te redigeren dat hooguit gestreefd wordt naar een dergelijke overeenkomst. Liever dus “onderhandelen over een mogelijke licentieovereenkomst” dan “een licentieovereenkomst onderhandelen”.

Eenzijdig of tweezijdig opstellen van de NDA?

Een NDA kan eenzijdig of tweezijdig zijn. In een eenzijdige NDA is er één partij die verstrekt, en één partij die ontvangt. In die situatie zullen de meeste bepalingen sterk in het voordeel van de verstrekker zijn, omdat het immers “zijn” informatie is. Voor ontvangers is zo’n eenzijdige NDA dan ook moeilijk te aanvaarden. Bovendien kan het snel voorkomen dat de ontvanger bij nader inzien toch enige vertrouwelijke informatie wil delen, wat dan weer een aparte NDA vereist.

Een tweezijdige NDA benoemt beide partijen tot verstrekker en ontvanger. Hiermee ontstaat vrijwel meteen een gebalanceerde situatie voor wat betreft zaken als definities van wat vertrouwelijk is, welke beveiligingsmaatregelen moeten worden genomen en met wie informatie mag worden gedeeld. Wij raden dan ook eigenlijk altijd aan deze vorm te gebruiken, tenzij er zwaarwegende redenen zijn om slechts één verstrekkende partij op te voeren.

 

ICT-contracten de baas?

ICTRecht Academy verzorgt basis- en verdiepingscursussen ICT-contracten waarin op een praktische wijze aandachtspunten en valkuilen worden besproken van NDA’s, algemene voorwaarden, mantelovereenkomsten en licenties. Voor juridisch publiek (PO) of algemeen publiek.

 

Definitie van vertrouwelijkheid: welke informatie moet geheim blijven in de NDA?

De spil van een NDA is de informatie die vertrouwelijk is. Deze moet dus expliciet worden gedefinieerd, zodat achteraf kan worden getoetst of bepaalde informatie onder de NDA valt. Er zijn grofweg drie manieren om dit te doen:

  1. Beperkt. Alleen informatie die is gemarkeerd als zodanig, is vertrouwelijk.
  2. Breed. Alles is vertrouwelijk, tenzij de ontvanger via een uitzonderingsclausule (zie hieronder) het tegendeel kan bewijzen.
  3. Gebalanceerd. Hierbij wordt naast markering ook de omstandigheden meegenomen. Zo ontstaat een situatie die meer gebalanceerd is.

Veel vertrouwelijke informatie wordt mondeling uitgewisseld. Dergelijke informatie zal zelden expliciet als vertrouwelijk worden aangemerkt bij uitwisseling, en ‘markeren’ kan natuurlijk al helemaal niet. Vandaar dat er in geheimhoudingsovereenkomsten in dat geval wordt afgesproken dat deze binnen een zekere periode (gewoonlijk 30 dagen) schriftelijk bevestigd moet worden als vertrouwelijk. Onze ervaring is echter dat dit in de praktijk zelden gebeurt.

Uitzonderingen van geheimhouding

Het zou onredelijk zijn als de ontvangende partij informatie geheim moet houden die de facto niet meer
geheim is. Vandaar dat een plicht tot vertrouwelijkheid altijd moet worden uitgebreid met een uitzondering voor situaties waaruit blijkt dat redelijkerwijs geen sprake meer is van geheimhouding. De standaardlijst:

  • a) [De informatie is] beschikbaar uit openbare bronnen, zoals kranten, octrooidatabanken of informatieve websites,
  • b) reeds voor de datum van verstrekking door de verstrekkende partij in het bezit was van de ontvangende partij,
  • c) verkrijgbaar is bij een derde zonder dat deze derde enige geheimhoudingsbepaling jegens de verstrekkende partij zou schenden door de verstrekking aan de ontvangende partij,
  • d) onafhankelijk en zonder gebruikmaking van informatie van de verstrekkende partij is ontwikkeld door de ontvangende partij, of
  • e) zonder bijzondere inspanning af te leiden is uit vrij op de markt beschikbare producten, waarbij het decompileren van software in ieder geval als “bijzondere inspanning” gezien wordt.

Sommige modelteksten voor NDA’s nemen nog een clausule op in de lijst met uitzonderingen op vertrouwelijkheid, namelijk “wanneer informatie krachtens vonnis of bevoegd gegeven bevel moet worden afgegeven.”

Dit is onjuist: het feit dat een autoriteit afgifte gelast, heft de vertrouwelijkheid van de informatie niet op (zoals de aanhef van de lijst vermeldt). Het biedt alleen een grondslag om de informatie te verstrekken voor een ander doel dan afgesproken. Daarom moet dit in een apart artikel geregeld zijn.

Het kan voorkomen dat een partij door een autoriteit, zoals de Autoriteit Consument en Markt of de Nederlandse Mededingingsautoriteit, of in het kader van een gerechtelijke procedure wordt verplicht informatie te verschaffen. Dit kan vertrouwelijke informatie van een andere partij zijn. Gebruikelijk is af te spreken dat dit toegestaan is echter met de verplichting de verstrekkende partij te waarschuwen, zodat deze stappen kan nemen om de verstrekking tegen te gaan.

Randbepalingen van een NDA Garanties

Het is gebruikelijk om in geheimhoudingsovereenkomsten expliciet vast te leggen dat de verstrekte informatie zonder enige garanties omtrent juistheid, volledigheid of wat dan ook komt. Dit is logisch nu het bij een NDA gaat om het faciliteren van het ‘snuffelen’ aan elkaars informatie of technologie, en men in een snuffelfase moeilijk al garanties van de wederpartij kan verlangen.

Licenties

Wanneer informatie digitaal wordt verstrekt, is formeel een gebruiksrecht nodig onder auteursrechten en andere intellectuele eigendomsrechten van de verstrekker. Hoewel dit eigenlijk direct al volgt uit de strekking van de overeenkomst, kan het goed zijn dit toch nog even expliciet te benoemen. Met name nuttig is het expliciet benoemen van verboden gebruik.

Soms wordt daarbij vermeld dat géén licentie wordt verstrekt. Dit is echter onjuist, aangezien men de
informatie zonder gebruiksrecht in het geheel niet kan gebruiken. Mogelijk dat werd bedoeld “geen exploitatierecht”, maar dat moet dan wel expliciet op die manier worden opgeschreven.

Delen met derden

Er moet worden afgesproken of en wanneer vertrouwelijke informatie met derden mag worden gedeeld. Gebruikelijk is de kring te beperken tot werknemers en hulppersonen die een need to know hebben en gebonden zijn aan vertrouwelijkheid. Men kan de hulppersonen eventueel beperken tot professionele adviseurs zoals advocaten en accountants. Volgens de wet is de ontvangende partij in situaties als deze aansprakelijk voor fouten van deze hulppersonen (art. 6:171 BW). Echter, voor de duidelijkheid en om de ontvanger enige schrik aan te jagen, is het toch verstandig hierover een expliciete clausule op te nemen.

Beveiliging

Beveiliging van vertrouwelijke informatie spreekt voor zich, maar hoe dit vast te leggen? Een gebruikelijk compromis is aan te sluiten bij hetgeen de ontvanger zelf ook al hanteert voor bescherming van bedrijfsgeheimen. Enigszins flauw maar zeer gebruikelijk is de toevoeging “doch ten minste op een redelijk niveau” om het verweer te pareren dat de ontvanger zijn eigen informatie óók op een flutniveau beschermt en derhalve geen beveiligingseis heeft geschonden.

Vernietiging

Na afloop van de NDA (zie ook hieronder) moet de vertrouwelijke informatie worden vernietigd. Wat oudere modellen spreken vaak van “retourneren of vernietigen”. Veel informatie zal digitaal beschikbaar zijn. ‘Retourneren’ is dan geen zinnige optie. Bovendien wordt ook met papieren originelen zelden in de praktijk daadwerkelijk een en ander geretourneerd. Pragmatisch is dan ook deze plicht te beperken tot vernietigen, en het retourneren te beperken tot kostbare prototypes en dergelijke.

Residuals

Een NDA kan honderd keer bepalen dat informatie moet worden gewist, bepaalde fragmenten zullen blijven ‘hangen’ in de hoofden van de betrokken medewerkers. De van Microsoft afkomstige zogeheten residuals-clausule poogt te regelen dat dit geen probleem is. Hij bepaalt kort gezegd dat onopzettelijke herinneringen vrij gebruikt mogen worden. Uiteraard is het niet de bedoeling dat mensen opzettelijk zaken uit hun hoofd gaan leren en daarna aanspraak maken op de status van residu-informatie. Of het inzetten van een persoon met eidetisch geheugen wel of niet valt onder ‘onopzettelijk’, is vooralsnog een open vraag.

Geen onderhandelplicht

Een NDA is vaak het voortraject voor onderhandelingen met als doel tot een nadere overeenkomst te sluiten, zoals een licentieovereenkomst of een koop van producten. Gebruikelijk is dan om in de NDA vast te leggen dat hiermee geen plicht ontstaat om daadwerkelijk zo’n overeenkomst te sluiten. Hiermee wordt dus de mogelijkheid beknot de wederpartij te verplichten onderhandelingen voort te zetten, ook als daar onder de jurisprudentie van de Hoge Raad (met
name het CBB/JSO arrest) aanleiding toe zou zijn.

Duur en opzegging van een NDA

Een NDA heeft twee termijnen die relevant zijn voor de duur. Allereerst is er de termijn gedurende welke vertrouwelijke informatie kan worden uitgewisseld. Informatie ná deze periode is per definitie niet gedekt onder de NDA. Daarnaast is er de termijn gedurende welke reeds verstrekte informatie vertrouwelijk moet worden behandeld, ook na beëindiging van de NDA zelf. Het is essentieel deze termijnen apart te benoemen, zodat een opzegging van de NDA geconstrueerd wordt als de beëindiging van de eerste periode en niet ook de tweede.

De keuze voor de twee termijnen is vrij onderhandelbaar, maar gebruikelijk is de eerste termijn zes maanden tot een jaar te laten zijn en de tweede termijn drie tot vijf jaar. Een eeuwigdurende tweede termijn is onredelijk, maar komt vaak voor.

Voortraject van een NDA

Wanneer in een voortraject tot een contract reeds een NDA afgesloten is, kan men in plaats van een geheimhoudingsclausule op te stellen ook verwijzen naar deze NDA. Dit vereist enige aandacht waar het de duur en de opzegging van de NDA betreft. Het verdient aanbeveling expliciet vast te leggen dat de scope van de NDA wordt uitgebreid met het onderwerp van de overeenkomst.

Vaak zal de scope van een NDA beperkt zijn tot bijvoorbeeld commercieel onderhandelen of een snuffeltraject aan de technologie. Het is dan geen gegeven dat de licentievoorwaarden, prijzen en dergelijke uit de latere overeenkomst onder deze scope te rekenen zijn. De NDA moet voorts niet (meer) opzegbaar zijn maar zijn duur dient verbonden te zijn aan de latere overeenkomst.

Checklist Non-Disclosure Agreement (NDA) / Geheimhoudingsovereenkomst
  • Benoemt de NDA naast de partijen zelf ook hun moeder-, dochter- en zusterbedrijven als bevoegd de informatie te ontvangen? Zo ja, wie is verantwoordelijk voor verlies?
  • Is het doel kernachtig en op één plaats omschreven met een definitie die elders
    terugkomt?
  • Is de NDA één- of tweezijdig en is dat te rechtvaardigen vanuit het standpunt van
    de wederpartij?
  • Is duidelijk welke gebruiksrechten worden verleend aan de ontvangende partij?
  • Is duidelijk of informatie gemarkeerd moet worden (brede, beperkte of
    gebalanceerde keuze voor vertrouwelijkheid)?
  • Is verstrekking aan overheid of rechtbanken apart geregeld van de lijst met uitzonderingen op vertrouwelijkheid?
  • Is duidelijk welk niveau van beveiliging moet worden gehanteerd?
  • Hoe lang duurt de periode van verstrekking (eerste termijn) en hoe lang duurt de periode van geheimhouding (tweede termijn)?
  • Wordt bij latere overeenkomsten teruggegrepen op de NDA, en zo ja is dan expliciet bepaald dat de NDA van kracht blijft gedurende de looptijd van de latere overeenkomst?

Wilt u eenvoudig zelf een geheimhoudingsovereenkomst (NDA) opstellen? Dat kan voor € 45,00 ex. btw met onze generator op JuriDox.nl. Heeft u verder nog vragen of wilt u ondersteuning bij contractsonderhandelingen? Wij staan voor u klaar.

Dit artikel is eerder gepubliceerd in ons magazine ICTRecht in de praktijk nr. 2 2016.

 

ICT-contracten: de basis, verdieping en masterclass

ICTRecht Academy verzorgt basis- en verdiepingscursussen en een masterclass ICT-contracten waarin op een praktische manier aandachtspunten en valkuilen worden besproken van o.a. NDA’s, algemene voorwaarden, mantelovereenkomsten en licenties. U leert documenten te reviewen, op te stellen en er over te onderhandelen. De cursussen zijn voor juridisch publiek (PO) en algemeen publiek.

Het bericht Checklist: de geheimhoudingsovereenkomst (NDA) verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Online gokken, waar blijft die nieuwe wet?

do, 07/13/2017 - 07:00

Hoewel het in Nederland op grond van de Wet op de kansspelen verboden is om zonder vergunning online kansspelen aan te bieden, is het toch vrij gemakkelijk om aan een online kansspel zoals poker deel te nemen. Aanbieders van online kansspelen zijn gemakkelijk via internet te vinden. Casino 777, Unibet en Bwin zijn enkele voorbeelden van aanbieders die haar diensten zelfs in de Nederlandse taal aanbieden.

Het is dan ook een illusie om te denken dat de Nederlandse kansspelwetgeving makkelijk te handhaven is. Om deelnemers aan kansspelen zoveel mogelijk te beschermen wordt al jaren gepleit voor het reguleren van online kansspelen, wat heeft geresulteerd in een wetsvoorstel. Hoe zit het met de voortgang van die wet en wat kunnen we verwachten?

Modernisering van Wet op kansspelen is zaak van lange adem

Het was toenmalig staatssecretaris Fred Teeven die in 2011 al aankondigde dat de huidige kansspelwetgeving gemoderniseerd zou worden, zodat onder meer kansspelen via internet gereguleerd konden worden. Het is inmiddels alweer bijna drie jaar geleden dat het wetsvoorstel kansspelen op afstand naar de Tweede Kamer werd gestuurd.

Na een lange behandeling stemde de Tweede Kamer op 7 juli 2016 in met het wetsvoorstel. De enige horde die nog genomen moet worden is de behandeling en goedkeuring in de Eerste Kamer. Het is niet duidelijk wanneer de behandeling van het wetsvoorstel in de Eerste Kamer voltooid zal zijn, maar naar verwachting zal dit niet voor eind 2017 zijn.

Belangrijke eisen en wijzigingen wetsvoorstel kansspelwetgeving

Het nieuwe wetsvoorstel brengt een aantal ingrijpende veranderingen met zich mee ten aanzien van kansspelen op afstand. De belangrijkste wijzigingen zullen hieronder kort worden uitgewerkt.

Vergunningsplicht

De nieuwe wet maakt de weg vrij voor het aanbieden van online kansspelen, echter alleen als de aanbieder daarvoor een vergunning heeft gekregen van de Kansspelautoriteit. Naast de kosten die de aanbieder moet maken om aan de voorwaarden uit de wet te moeten voldoen, zijn er ook kosten verbonden aan de vergunningsaanvraag zelf. De vergoeding voor de aanvraag van de vergunning zal naar verwachting EUR 40.000,- bedragen. Met een vergunning kan de aanbieder in principe vijf jaar online kansspelen aanbieden.

Verplichte bijdrage aan verslavingsfonds

Met de komst van de nieuwe wet wordt een apart fonds opgericht ter bestrijding van kansspelverslaving bij kansspelen op afstand. Vergunninghouders van kansspelen op afstand zijn verplicht om financieel bij te dragen aan dit verslavingsfonds. Deze bijdrage is nu vastgesteld op 0,5% van het bruto spelresultaat. Het bruto spelresultaat is het verschil tussen de inleg van deelnemers en het uitgekeerde prijzengeld.

Zorgplicht vergunninghouders

Op de vergunninghouders rust daarnaast een uitgebreide zorgplicht om kansspelverslaving zoveel mogelijk te voorkomen. Zo moet de speler door de vergunninghouder voldoende geïnformeerd worden over de (risico’s van) kansspelen, zodat de speler een weloverwogen keuze kan maken om deel te nemen aan het spel. Verder dient de vergunninghouder voorzieningen te treffen om de speler zoveel mogelijk inzicht te geven in het eigen speelgedrag.

Ook moet de vergunninghouder maatregelen te nemen, zoals het opleggen van entreebeperkingen en uitsluitingen, indien het gedrag van de speler daartoe aanleiding geeft. Het personeel van de vergunninghouder dient daarom kennis te hebben van verslavingspreventie.

Tot slot is de vergunninghouder verplicht de op haar rustende zorgplicht uit te werken in een preventiebeleid. Dit beleid is niet alleen bestemd om spelers te informeren, maar ook de toezichthouder kan ernaar vragen.

Kansspelbelasting

Het wetsvoorstel neemt ook veranderingen met zich mee over de te betalen kansspelbelasting. Zo wordt er een onderscheid gemaakt in de tarieven van kansspelbelasting bij legale en illegale kansspelen op afstand.

Met de komst van deze nieuwe wet zullen vergunninghouders 20% belasting betalen over het bruto spelresultaat. Dit in tegenstelling tot de traditionele, landgebonden kansspelen, die 29% belasting zullen blijven betalen. Dit percentage gaat ook gelden voor illegale online kansspelen. Spelers die spelen bij een aanbieder die geen vergunning heeft betalen dus 29% kansspelbelasting.

Centraal register uitsluiting kansspelen

In het wetsvoorstel wordt daarnaast een centraal register uitsluiting kansspelen geïntroduceerd, dat zal worden beheerd door de Kansspelautoriteit. In dit register kunnen risico- en probleemspelers, vrijwillig of onvrijwillig, worden ingeschreven zodat zij worden beschermd tegen kansspelverslaving. Een speler die staat ingeschreven in het register zal gedurende zes maanden niet kunnen deelnemen aan bepaalde kansspelen. Overigens ziet dit register niet alleen op online kansspelen, maar ook op bijvoorbeeld casino’s en speelhallen.

Toezicht en handhaving

Met de regulering van de online kansspelen is ook een belangrijke rol weggelegd voor de Kansspelautoriteit wat betreft toezicht en handhaving. Het wetvoorstel introduceert dan ook enkele nieuwe bevoegdheden voor de Kansspelautoriteit:

  • Zo krijgt de Kansspelautoriteit het recht om anoniem deel te kunnen nemen aan online kansspelen, om zo de geldstromen te volgen en de identiteit van de aanbieder te kunnen achterhalen.
  • Verder krijgt de Kansspelautoriteit de mogelijkheid om partijen, die de kansspelen op afstand bevorderen zoals hostingproviders, betaaldienstverleners en adverteerders, een bindende aanwijzing te geven om de dienstverlening te staken.
  • Tot slot krijgt de Kansspelautoriteit enkele aanvullende bestuursrechtelijke handhavingsinstrumenten, zoals het binnentreden en doorzoeken van woningen tegen de wil van de bewoner, het definitief in beslag nemen van goederen en het verzegelen van ruimten en voorwerpen.

Uit bovenstaande voorwaarden blijkt dat er veel waarborgen in het wetsvoorstel zijn ingebouwd om ervoor te zorgen dat aanbod verantwoord, betrouwbaar en controleerbaar is en dat kansspelverslaving en criminaliteit binnen deze sector zoveel mogelijk wordt beperkt.

Het feit blijft dat op dit moment honderdduizenden Nederlanders online kansspelen spelen via buitenlandse aanbieders. Deze spelers worden niet beschermd door het Nederlandse kansspelbeleid. De noodzaak van deze wet is duidelijk, alleen blijft het (nog steeds) de vraag wanneer hij in werking zal treden.

Fotocredit: Santeri Viinamäki [CC BY-SA 4.0], via Wikimedia Commons

Het bericht Online gokken, waar blijft die nieuwe wet? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Nieuwe meldplicht cybersecurity voor essentiële diensten en digitaledienstverleners

wo, 07/12/2017 - 07:01

Recente aanvallen met ransomeware hebben grote schade aan het bedrijfsleven en de overheid toegebracht. Betrouwbare en veilige netwerk- en informatiesystemen zijn van essentieel belang voor zowel de Nederlandse als de Europese economie. Het is daarom van groot belang dat deze essentiële diensten goed beschermd worden tegen aanvallen van buitenaf.

Om tot een Europees uniform beschermingsniveau te komen voor vitale netwerk- en informatiesystemen, en om incidenten adequaat het hoofd te bieden, is de Europese Commissie met de Richtlijn Netwerk- en Informatiebeveiliging (NIB-richtlijn) gekomen. In deze blogpost wordt kort ingegaan op de gevolgen van de NIB-richtlijn en de Nederlandse uitwerking daarvan, de Cybersecuritywet.

Wat zijn essentiële diensten en digitaledienstverleners

Vanuit de richtlijn wordt er onderscheid gemaakt in twee verschillende actoren die onder de richtlijn vallen: digitaledienstverleners en aanbieders van essentiële diensten. De laatste actor is in de Cybersecuritywet vertaald naar aanbieders van vitale diensten.

In de bijlage bij de richtlijn wordt nader ingegaan op het begrip aanbieders van essentiële diensten. Het gaat hier om entiteiten die een dienst verlenen die van essentieel belang is voor maatschappelijke en economische activiteiten, en die afhankelijk zijn netwerk- en informatiesystemen en waar een incident aanzienlijke verstorende effecten zou kunnen hebben.

Voorbeelden van essentiële diensten en digitaledienstverleners
  • Nutsbedrijven, banken, ziekenhuizen en bedrijven die zich bezighouden met de digitale infrastructuur.
  • De richtlijn is specifieker als het gaat om de vraag welke bedrijven vallen onder digitaledienstverleners, hier geeft de richtlijn een volledige opsomming: onlinemarktplaatsen, onlinezoekmachines en aanbieders van cloudcomputerdiensten.
Beveiligingsverplichting richtlijn & Cybersecuritywet

Aanbieders van essentiële diensten en digitaledienstverleners moeten passende en evenredige technische en organisatorische maatregelen nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. Bedrijven zijn verplicht om maatregelen te nemen die zorgen voor een niveau van beveiliging dat is afgestemd op de risico’s die zich voordoen.

Zowel de richtlijn als de als de Nederlandse uitwerking daarvan – de Cybersecuritywet – geven geen verdere technische toelichting op deze verplichting, deze kunnen wel door middel van een AMVB opgelegd worden. Toezicht door de overheid is mogelijk door middel van een audit.

Meldplicht Cybersecuritywet

Aanbieders van essentiële diensten en digitaledienstverleners moeten security-incidenten met aanzienlijke gevolgen melden aan de bevoegde nationale autoriteiten. De Cybersecuritywet geeft enkele parameters om te bepalen of er sprake is van een incident met een zienlijke gevolgen:

  • het aantal gebruikers dat door de verstoring van de essentiële dienst wordt getroffen;
  • de duur van het incident;
  • de omvang van het geografische gebied dat door het incident is getroffen.

Voor digitaledienstverleners is de Minister van Economische Zaken als bevoegde autoriteit aangewezen. Voor de aanbieders van essentiële diensten is de bevoegde autoriteit afhankelijk van de sector waar waarbinnen de aanbieder valt.

De verplichting om te melden heeft verschillende redenen ten grondslag. De autoriteiten kunnen op deze manier het publiek communiceren over (lopende) incidenten. Door middel van publieke bewustwording kunnen incidenten beheerst worden is de gedachte. Een andere reden is dat de nationale autoriteiten informatie over incidenten kunnen delen met de autoriteiten van de andere lidstaten binnen de EU. Zo kan er Europees breed adequaat opgetreden worden tegen incidenten.

Sancties bij niet voldoen aan meldingsplicht

De NIB-richtlijn verplicht lidstaten sancties in hun nationale wetgeving op te nemen. Deze sancties moeten “doeltreffende, evenwichtig en afschrikwekkend” zijn. Onder de Cybersecuritywet, wat momenteel nog een wetsvoorstel is, kunnen boetes variërend tot € 1 miljoen en € 5 miljoen worden opgelegd. Daarnaast kan de bevoegde autoriteit een last onder bestuursdwang opleggen.

Samenloop met andere meldplichten

De huidige Nederlandse meldplicht datalekken en de meldplicht die voortvloeit uit de Algemene Verordening Gegevensbescherming zijn de afgelopen tijd veelvuldig in het nieuws geweest. Met de meldplicht onder de Cybersecuritywet wordt een nieuwe meldplicht in het leven geroepen.

Afhankelijk van het type incident kan het goed zijn dat zowel een melding bij de Autoriteit Persoonsgegevens verplicht is en parallel een melding gemaakt moet worden bij de bevoegde autoriteit onder de Cybersecuritywet. Het huidige voorstel voor de Cybersecuritywet bevat, anders dan de meldplicht datalekken, geen termijnen waarbinnen een dergelijke melding moet worden gedaan.

Gezien de impact van de Cybersecuritywet is het zaak u tijdig te laten informeren. Mocht u vragen of behoefte aan advies hebben, neem dan gerust contact op met een van onze juridisch adviseurs. Tot 16 juli 2017 is het daarnaast mogelijk om via de internetconsultatie op alle onderdelen van de Cybersecuritywet een reactie te geven.

Dit blogbericht is geschreven in samenwerking met Gosse Bijlenga.

Het bericht Nieuwe meldplicht cybersecurity voor essentiële diensten en digitaledienstverleners verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Medische websites overtreden de wet

di, 07/11/2017 - 12:00

De Consumentenbond heeft door middel van een steekproef van twintig medische websites geconcludeerd dat deze websites zich niet aan de wet houden. Het gaat om het plaatsen van tracking cookies zonder toestemming en het ontbreken van een privacyverklaring.

Wanneer gegevens worden verwerkt over iemands gezondheid (medische persoonsgegevens) is de privacywetgeving van toepassing. Bij het plaatsen van cookies komt ook nog eens de Telecommunicatiewet (Cookiewet) om de hoek kijken. Verkoopt u daarnaast producten of diensten via uw website aan consumenten? Dan is er ook nog consumentenwetgeving die van belang is. Bovendien moet u volgens de wet altijd weergeven wie u bent. Vermeld daarom altijd duidelijk uw bedrijfs- en contactgegevens.

Het plaatsen van cookies

In het onderzoek van de Consumentenbond gaat het om websites waarop gezondheidsinformatie is te vinden. In de meeste gevallen worden op deze websites tracking cookies geplaatst zonder toestemming. Dat is niet toegestaan. Tracking cookies vallen onder de privacywetgeving, waarvoor expliciete en ondubbelzinnige toestemming moet worden gevraagd. Alleen voor technisch noodzakelijke cookies hoeft geen toestemming gevraagd te worden. Meer informatie over cookies.

Privacyverklaring

Bovendien moeten websites waarop persoonsgegevens worden verwerkt een privacyverklaring aanbieden. Hierin moet staan welke persoonsgegevens worden verzameld, voor welk doel, wat de bewaartermijnen zijn, en welke rechten iemand heeft met betrekking tot zijn persoonsgegevens. Bij dat laatste moet je denken aan het recht op inzage, correctie of verwijdering.

Andere medische gegevens

Ook het maken van een afspraak via een website met een bepaalde hulpverlener is een verwerking van medische gegevens. Het maken van een afspraak bij een huisarts hoeft dit nog niet te zijn: dit is vrij algemeen en zegt (nog) niks over de gezondheidstoestand van iemand. Het maken van een afspraak bij een specialist, zoals een gynaecoloog of een trauma-psycholoog, is al veel specifieker.

De persoonsgegevens die in deze context worden verzameld, worden daarom ook aangemerkt als medische persoonsgegevens. Ook het stellen van een medische vraag via een website (bijvoorbeeld aan een arts, of via een forum) is een verwerking van medische persoonsgegevens.

Voor de verwerking van deze gegevens heb je een wettelijke grondslag nodig, zoals de uitvoering van een overeenkomst of uitdrukkelijke toestemming.

Verkoop van producten of diensten

Verkoopt u producten en/of diensten via uw website aan consumenten? Dan moet u zich naast de privacy- en cookiewetgeving ook houden aan strenge consumentenwetgeving. Denk hierbij aan een juist bestelproces, het aanbieden van de algemene voorwaarden op de juiste manier en de informatieplichten. De consument moet bijvoorbeeld goed geïnformeerd worden over het herroepingsrecht, garanties, klachten en, wanneer het gaat om de verkoop van producten, de achterafbetaling.

Uw (medische) website

Benieuwd waar uw website aan moet voldoen wanneer u (medische) persoonsgegevens verwerkt? Binnenkort zullen wij in een nieuwe blog uitleggen waar u precies rekening mee moet houden. Wilt u een volledige (medische) websitescan laten uitvoeren? Neem dan contact met ons op.

Meer weten over privacywetgeving?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.

Het bericht Medische websites overtreden de wet verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Mag je met opt-out toestemming vragen voor het delen van klantgegevens?

di, 07/11/2017 - 07:28

Is stilzwijgende toestemming mogelijk wanneer het gaat om het delen van iemands persoonsgegevens? Het antwoord is nee, zowel onder de huidige wetgeving als onder de Algemene Verordening Gegevensbescherming (AVG). Hieronder leggen we uit hoe je wel data mag delen met bijvoorbeeld samenwerkingspartners.

Goede samenwerking is essentieel voor iedere organisatie, en een onderdeel daarvan kan het uitwisselen van klantdata zijn. In de meeste gevallen is daar echter toestemming voor nodig van de betrokkene, ook wanneer het voordeel of gemak biedt voor de klant.

Wat te denken van een onderwijsinstelling, die aan bedrijven de namen, telefoonnummers en e-mailadressen doorgeeft van studenten die binnenkort afstuderen en staan te springen om een interessante baan? Dit is vaak een win-win-situatie: de werkgever komt in contact met enthousiaste starters, de studenten kunnen kennismaken met potentiële werkgevers, en de opleider komt mogelijk gunstiger naar voren in lijstjes met baankansen.

Toestemming voor het delen van persoonsgegevens

Maar mag je nu zomaar de gegevens van ál je studenten doorgeven aan een werkgever die hierin geïnteresseerd is? De privacywetgeving stelt hier grenzen aan. Wanneer je van de betreffende studenten toestemming hebt gekregen voor het doorgeven van de gegevens, is er niets aan de hand. Je moet hen dan wel voldoende specifieke informatie hebben gegeven: wie krijgt welke gegevens, en wat mogen zij ermee? De toestemming krijg je dan bijvoorbeeld specifiek voor dat bedrijf A je e-mailadres of telefoonnummer krijgt, om je te benaderen voor functie B.

Mag je toestemming vragen met een opt-out?

Wat nu als je een zogenaamde ‘opt-out’ biedt? Bijvoorbeeld: “we geven je e-mailadres door aan bedrijf A zodat zij jou kunnen benaderen voor functie B; mocht je hier geen prijs op stellen, dan horen wij dit graag deze week nog.” Volgt er vervolgens geen reactie, dan is er géén geldige toestemming gegeven volgens de privacywetgeving. In de AVG is dit ook expliciet vastgelegd: toestemming moet een actieve handeling zijn.

Zwijgen, of stilzitten (denk aan een congreszaal waar camera’s draaien, en mensen wel of niet weglopen) is geen toestemming. Evenmin het digitale equivalent ervan, zoals het niet reageren op een e-mail of het niet uitschakelen van een vooraf aangevinkt vakje in een webformulier (voor het versturen van reclame aan bestaande klanten bestaat een uitzondering).

Gegevens delen in het kader van een overeenkomst

Zijn er dan helemaal geen manieren om in het kader van een samenwerkingsverband persoonsgegevens te delen, zonder dat hiervoor toestemming nodig is? Er zijn mogelijkheden, maar daarvoor is wel een andere grondslag nodig onder de privacywet, zoals een overeenkomst met de betrokkene.

Het kan bijvoorbeeld zo zijn dat een onderdeel van de opleiding een stage is, waarbij de onderwijsinstelling bemiddelt tussen bedrijven en stagiaires. Of een onderwijsinstelling bemiddelt tussen afstudeerders en mogelijke werkgevers. Dit moet dan wel onderdeel zijn van de overeenkomst die de student met de onderwijsinstelling heeft, of er moet een aparte overeenkomst zijn afgesloten waarbij de student deze diensten afneemt. Hiermee mag de opleider (de daarvoor noodzakelijke) gegevens (in dit geval contactgegevens) van de student delen.

Toestemming is ook niet nodig wanneer beide organisaties een gerechtvaardigd belang hebben bij het delen van de gegevens, maar dit moet wel worden afgewogen tegen het privacybelang van de betrokkene. Privacy zal in veel gevallen zwaarder wegen.

Toestemming geven moet een actieve handeling zijn

Het delen van gegevens van bijvoorbeeld klanten, levert in veel gevallen belangrijke voordelen op voor alle partijen en lijkt vaak niet nadelig voor de betrokkenen. Toch zijn er vele redenen waarom iemand het niet zou kunnen waarderen dat zijn gegevens worden doorgegeven. Bijvoorbeeld het ontvangen van (commerciële) e-mails of telefoontjes waar iemand niet op zit te wachten.

Er kan niet van worden uitgegaan dat iemand die geen bezwaar maakt, toestemming geeft. Toestemming geven is onder de privacywetgeving namelijk een actieve handeling. Dus alleen data delen wanneer hiervoor akkoord is gegeven, is vaak raadzaam.

 

Meer weten over de Wbp en de aankomende AVG / GDPR?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.

Het bericht Mag je met opt-out toestemming vragen voor het delen van klantgegevens? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

ICTRecht is een erkende PE-instelling voor accountants

di, 07/11/2017 - 07:01

Naast de accreditatie door de Orde van Advocaten, is ICTRecht nu ook geaccrediteerd door de Nederlandse Beroepsorganisatie van Accountants. Hierdoor zijn wij nu een erkende PE-instelling en kunnen accountants bij ons PE-uren krijgen voor het volgen van onze trainingen.

Vanaf september a.s. bieden wij verschillende PE-trainingen geschikt voor algemeen publiek en accountants. Deze accountants krijgen na deelname een certificaat krijgen met PE-uren.

Kijk nù op ictrecht.nl/trainingen voor het meest recente aanbod!

Het bericht ICTRecht is een erkende PE-instelling voor accountants verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Bedrijfsgerichte koude acquisitie, mag dat?

ma, 07/10/2017 - 11:00

Is koude acquisitie gericht op bedrijven onder de huidige of komende (privacy)wetgeving verboden? Al eerder hebben we in onze blogposts de verschillende onderwerpen onder de Algemene Verordening Gegevensbescherming belicht. Veel bedrijven zijn bezig met het treffen van maatregelen om volledig te kunnen voldoen aan de nieuwe privacyregels.

Elk proces binnen een bedrijf zal onder andere op privacy getoetst worden. Ook de processen van de Sales afdeling, waar mogelijk koude acquisitie plaatsvindt, kan voorbij komen. Deze blog helpt je dan bij het beoordelen of koude acquisitie is toegestaan.

Het legaal uitvoeren van koude acquisitie is een lastige kwestie. Voor het beoordelen of koude acquisitie mag, zijn twee wetten van belang. De huidige (Wbp) en toekomstige (AVG) privacywetgeving, omdat soms ook (openbare) bedrijfsgegevens, als deze te herleiden zijn naar een bepaald persoon, als persoonsgegevens kunnen worden aangemerkt. Het betreft namelijk gegevens waarmee je een bepaald persoon binnen een bedrijf kunt bereiken. Daarnaast is de Telecommunicatiewet van belang, omdat koude acquisitie het ongevraagd versturen van commerciële berichten betreft.

Verwerken van persoonsgegevens

Openbare bedrijfsgegevens zijn gegevens die door een bedrijf zelf of namens een bedrijf bekend gemaakt zijn aan het publiek, bijvoorbeeld via hun website of de gegevens die zijn opgenomen in het KvK handelsregister. Ook deze gegevens kunnen soms worden aangemerkt als persoonsgegeven en vallen daarom onder de privacywet. Op grond van de privacywetgeving mag je niet zomaar persoonsgegevens verwerken.

Voor het verwerken van persoonsgegevens en dus soms ook voor het verwerken van openbare bedrijfsgegevens is een wettelijke grond vereist, zoals toestemming. Doordat bedrijfsgegevens openbaar zijn, lijkt gebruik (verwerking) daarvan gewoon toegestaan. De wet eist echter dat toestemming uitdrukkelijk en ondubbelzinnig is en vervolgens dat persoonsgegevens alleen mogen worden verwerkt voor het doel waarvoor ze verkregen zijn. Gegevens die door een bedrijf zelf openbaar gemaakt zijn, zijn openbaar gemaakt met een bepaald doel. De omschrijving bij de gegevens kan hier iets over zeggen, maar het kan ook blijken uit de context.

Voorbeeld: Op een klantenservicepagina van een bepaald bedrijf worden contactgegevens weergegeven en daarbij staat beschreven dat je contact op kunt nemen met Joost. Of: ‘met de manager van de Serviceafdeling’. Het verwerken van deze gegevens mag, maar wel alleen met het doel waarvoor de gegevens openbaar zijn gemaakt. In dit geval mag je de contactgegevens van Joost verwerken (bijvoorbeeld opslaan in je leverancierslijst) met het doel om deze later te gebruiken voor het verkrijgen van de benodigde (klanten)service.

De Sales en Marketingafdeling kan op een moment besluiten om de bedrijven op die leverancierslijst staan te bellen om aan deze leveranciers hun eigen product te verkopen (een ander doel dan het verkrijgen van service). De Salesmedewerker vraagt naar de manager van de Serviceafdeling (of Joost), die is immers geregistreerd als contactpersoon. De salesmedewerker gebruikt de openbare bedrijfsgegevens die te herleiden zijn naar een persoon dan voor een ander doel dan het doel waarvoor deze (persoons)gegevens openbaar werden gemaakt. Dit betekent dat de salesmedewerker in strijd met de wet handelt.

Versturen van commerciële berichten

De andere wet, de Telecommunicatiewet, stelt regels aan het overbrengen van ongevraagde commerciële berichten, zoals nieuwsbrieven en aanbiedingen. In principe mag je deze berichten alleen verzenden na voorafgaande uitdrukkelijke toestemming. Voor bedrijven geldt echter een minder strenge eis.

Als namelijk contactgegevens bekend gemaakt zijn voor het doel om commerciële berichten te ontvangen (denk aan acquisitie@bedrijf.nl), dan mogen deze gegevens zonder voorafgaande toestemming gebruikt worden voor het verzenden van commerciële berichten.

Een ‘daarvoor bedoeld e-mailadres’ is niet info@bedrijf.nl (bedoeld voor het leggen van contact in het algemeen) of inkoop@bedrijf.nl, tenzij erbij vermeld stond dat acquisitie naar dat adres mag worden verstuurd. Mag je mailen naar jan@bedrijf.nl? Dat mag, als dat e-mailadres voor dat doel beschikbaar is gesteld. Je mag Jan trouwens wel benaderen als hij namens het bedrijf eerder vergelijkbare aankopen bij het verkopende bedrijf heeft gedaan.

Telemarketing

De Telecommunicatiewet stelt ook regels ten aanzien van het ongevraagd telefonisch benaderen van potentiële klanten, met als doel goederen of diensten aan te bieden of te verkopen of denkbeelden te promoten. Telemarketing ten aanzien van consumenten en eenmanszaken is toegestaan, tenzij de ontvanger hier bezwaar tegen heeft gemaakt (‘Bel-mij-niet’-register). Dit geldt niet ten aanzien van de BV, NV of stichting. Deze rechtspersonen mag je gewoon telefonisch benaderen, zolang je maar niet vraagt naar een specifieke persoon. Wat wel kan: een bedrijf bellen en vragen naar iemand die over marketing gaat.

Koude acquisitie gericht op bedrijven is niet verboden.

Het hiervoor gebruiken van openbare bedrijfsgegevens is vaak wel verboden. Let er dus op dat:

  • Bij het telefonisch benaderen van een bedrijf, je het algemene telefoonnummer gebruikt en niet vraagt naar een specifieke persoon, als je geen toestemming hebt gekregen van die persoon om hem of haar te benaderen;
  • Bij het elektronisch (bijv. per e-mail) benaderen van een bedrijf je enkel gebruik maakt van een e-mailadres dat beschikbaar gesteld is voor acquisitie;
  • Bij het verkrijgen van persoonlijke contactgegevens je expliciet toestemming verkrijgt om deze (op een later tijdstip) te gebruiken voor acquisitie.

Toch bellen of mailen zonder toestemming, of contactgegevens gebruiken voor een ander doel dan waarvoor ze verkregen waren? De maximale boete per overtreding van de privacywetgeving zal met de komst van de AVG maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet zijn. Een Europees Comité zal toezien op de juiste toepassing van de AVG. Het ACM ziet daarnaast toe op naleving van de Telecommunicatiewet. Zij kunnen voor overtreding van de Telecommunicatiewet een boete opleggen tot 900,000 euro, of als dat meer is, ten hoogte van 1% van de omzet van de onderneming.

Meer weten over de Wbp en de aankomende AVG / GDPR?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis vereist. Bij afname van beide cursussen krijgt u het handboek De Algemene Verordening Gegevensbescherming gratis.

Het bericht Bedrijfsgerichte koude acquisitie, mag dat? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Gegevensbescherming in de zorg deel 5: eisen beveiliging zorginformatiesysteem

vr, 07/07/2017 - 07:00

Per 1 juli 2017 treden een nieuwe wet en een nieuw besluit in werking. Namelijk de Wet cliëntenrechten bij elektronische verwerking van gegevens en het Besluit elektronische gegevensverwerking door zorgaanbieders. Deze nieuwe wet- en regelgeving gaat over het uitwisselen van patiëntgegevens en de beveiliging in de zorg. De regels zullen een behoorlijke impact hebben op ICT-oplossingen voor de zorg.

Update 3 juli: het Besluit is nog niet in werking getreden. Er zouden nog te veel Kamervragen lopen. Mogelijk wordt de inhoud van het Besluit nog aangepast.

Blogserie over impact van nieuwe regels gegevensverwerking in de zorg

Dit is deel 5 en tevens het laatste deel uit de blogserie waarin we de impact van de nieuwe regels uitleggen. Deze blogposts zijn reeds verschenen:

Zorginformatiesysteem

In het Besluit wordt uitgelegd wat met “passende technische en organisatorische maatregelen” wordt bedoeld in de zorg. Meer specifiek wordt er ingegaan op welke eisen er gelden ten aanzien van de beveiliging van een zorginformatiesysteem (en een elektronisch uitwisselingssysteem). Een zorginformatiesysteem is een elektronisch systeem van een zorgaanbieder voor het verwerken van persoonsgegevens in een patiëntdossier. Het is uitdrukkelijk geen uitwisselingssysteem.

Het Besluit stelt met name het voldoen aan normen verplicht:

  • NEN 7510: Informatiebeveiliging in de zorg
  • NEN 7512: Vertrouwensbasis voor gegevensuitwisseling
  • NEN 7513: Logging van toegang tot het patiëntdossier

Op grond van het Besluit geldt voor het zorginformatiesysteem dat de zorgaanbieder bij het gebruik van het systeem moet voldoen aan de normen NEN 7510 en NEN 7512. Verder moet de zorgaanbieder ervoor zorgen dat de logging van het systeem, voldoet aan NEN 7513.

Concreet zal dit betekenen dat de leverancier van het zorginformatiesysteem moet faciliteren. De ICT-leverancier moet immers de logging maar ook bijvoorbeeld de methode voor identificatie, authenticatie en autorisatie in het systeem implementeren. Het beheer van de instellingen van de maatregelen liggen wel weer bij de zorgaanbieder.

De Algemene Verordening Gegevensbescherming

Dit sluit ook aan bij wat in de Algemene Verordening Gegevensbescherming staat beschreven over beveiliging. Per 25 mei 2018 gaat namelijk gelden dat het nemen van passende maatregelen de verantwoordelijkheid wordt van de verwerkingsverantwoordelijke en de verwerker! Dat laatste is nieuw en kan een behoorlijke impact hebben.

Ik interpreteer dit zo dat de ICT-dienstverlener ook een eigen verantwoordelijkheid krijgt om ervoor te zorgen dat de zorgaanbieder bij haar gebruik kan voldoen aan de genoemde normen.

ICTRecht Academy

Meer weten over gegevensbescherming, privacy en ICT in de zorg? Kom naar onze cursus Gezondheidsrecht & ICT en u krijgt in één dag overzicht op deze complexe onderwerpen.

Het bericht Gegevensbescherming in de zorg deel 5: eisen beveiliging zorginformatiesysteem verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Promotionele kansspelen: let op de voorwaarden!

do, 07/06/2017 - 07:00

In Nederland is het verboden om zonder vergunning kansspelen aan te bieden. Voor online kansspelen geldt zelfs een algeheel verbod; er is geen vergunning voor aan te vragen. Hier is echter wel een uitzondering op, namelijk het aanbieden van promotionele kansspelen. Door de enorme populariteit van sociale media zie je promotionele kansspelen steeds vaker voorbijkomen. Denk bijvoorbeeld aan de vele “Like&Win-acties” via Facebook.

Door een (reclame)bericht te ‘liken’ op het platform, maak je kans op een bepaalde prijs. Maar niet alleen via sociale media worden producten, diensten en organisaties door middel van een kansspel gepromoot, ook via webshops, televisie en in de winkel zelf kom je dergelijke promotionele kansspelen tegen. Voor het aanbieden van promotionele kansspelen gelden strenge voorwaarden. Het niet naleven van deze voorwaarden kan de organisator een boete opleveren. Hieronder worden kort de belangrijkste voorwaarden die gelden voor promotionele kansspelen uitgewerkt.

Belangrijkste voorwaarden voor promotionele kansspelen

Een promotioneel kansspel is een spel waarbij een product, dienst of organisatie wordt gepromoot, waarbij de deelnemer de kans wordt gegeven om mee te dingen naar prijzen of premies. De aanwijzing van de winnaars vindt plaats door enige kansbepaling, waarop de deelnemer in het algemeen geen overwegende invloed kan uitoefenen. Vooral over deze laatste zin bestaat veel discussie.

Zo wordt een pokerspel als kansspel aangemerkt, omdat een pokeraar voor een groot deel afhankelijk is van de kaarten die hij krijgt toegedeeld. Aan de andere kant wordt een kennisquiz in veel gevallen niet als kansspel aangemerkt, omdat de deelnemer kan winnen dankzij zijn vaardigheden en kennis.

Gedragscode promotionele kansspelen

Een promotioneel kansspel is in principe niet toegestaan, tenzij wordt voldaan aan de voorwaarden uit de gedragscode promotionele kansspelen, die door de Kansspelautoriteit in 2014 is gepubliceerd. Hieronder worden kort de belangrijkste voorwaarden benoemd.

Tijd en hoeveelheid

Een aanbieder van een promotioneel kansspel mag maximaal éénmaal per jaar per product, dienst of organisatie een promotioneel kansspel aanbieden. Dit houdt dus in dat er meerdere situaties mogelijk zijn. ICTRecht kan bijvoorbeeld een “Like&Win-actie” opzetten waarbij de organisatie ICTRecht wordt gepromoot, maar tegelijkertijd mag er ook een dergelijke actie georganiseerd worden ter promotie van het nieuwe boek over de Algemene Verordening Gegevensbescherming of ter promotie van het detacheren van een Functionaris Gegevensbescherming.

Verder mag het promotionele kansspel maximaal twintig trekkingen omvatten en moet het spel tijdelijk van aard zijn. Dit houdt bijvoorbeeld in dat ICTRecht ter promotie van het nieuwe boek maximaal twintig keer een trekking mag organiseren, waarbij één of meerdere winnaars worden geselecteerd.

Kosten van een promotioneel kansspel

Daarnaast moet deelname aan het promotionele kansspel gratis zijn. De aanbieder mag dus geen inleg van de deelnemer verlangen. Wel mag de aanbieder de communicatiekosten ter hoogte van maximaal EUR 0,45 (inclusief btw) in rekening brengen, mits dit vooraf kenbaar is gemaakt.

Prijzen en premies

De totale waarde van het prijzenpakket mag maximaal EUR 100.000,- (exclusief kansspelbelasting) bedragen per promotioneel kansspel. Ook is het van belang dat de deelnemer vooraf duidelijk wordt gemaakt wat de totale waarde van het prijzenpakket is, hoeveel prijzen per promotioneel kansspel gewonnen kunnen worden, welke prijzen er kunnen worden gewonnen en hoe de winnaars op onpartijdige wijze worden aangewezen.

Werving en promotie

Ook de wijze van werving en promotie van het promotionele kansspel is aan voorwaarden onderworpen. De belangrijkste voorwaarde is dat de werving en promotie niet misleidend mogen zijn. Zo mag bijvoorbeeld niet worden vermeld dat de deelnemer reeds winnaar is van de prijs, terwijl hij in werkelijkheid slechts kans op de prijs maakt. Ook is het niet de bedoeling om de ‘everbody wins’ methode toe te passen, waarbij iedere deelnemer als winnaar wordt bestempeld, terwijl er slechts een prijs van minieme waarde wordt toegekend.

Minderjarigen

Voor deelnemers onder de 18 jaar geldt voor de aanbieder een bijzondere zorgplicht bij het aanbieden van een promotioneel kansspel. Zo dienen de aangeboden prijzen aan te sluiten op het verwachtingspatroon en bevattingsvermogen van een minderjarige. Zo is het niet gepast om een auto als prijs aan te bieden als prijs aan iemand die minderjarig is.

Een ander belangrijk punt is dat de aanbieder geen persoonsgegevens mag verzamelen van minderjarigen, zonder verifieerbare toestemming van zijn of haar ouder, tenzij dit noodzakelijk is om de contactgegevens van de ouder te verkrijgen.

Tot slot moet de aanbieder als voorwaarde stellen dat de minderjarige toestemming moet hebben van diens ouder om aan het promotionele kansspel deel te mogen nemen. Zeker bij de eerder genoemde “Like&Win-acties” via Facebook is de kans groot dat ook minderjarige deelnemers toegang hebben tot de actie.

Algemene spelvoorwaarden

Tot slot is de aanbieder verplicht om specifieke algemene spelvoorwaarden op te stellen en deze aan de (potentiële) deelnemers ter beschikking te stellen. Wat hier precies in moet staan en hoe de voorwaarden ter hand gesteld moeten worden, zal in een latere blog worden uitgewerkt.

Klein promotioneel kansspel

De gedragscode promotionele kansspelen maakt onderscheid tussen ‘grote’ en ‘kleine’ promotionele kansspelen. De voorwaarden die gelden voor kleine promotionele kansspelen wijken op bepaalde punten af van de eerder genoemde voorwaarden.

  • Bij een klein promotioneel kansspel mag totale waarde van het prijzenpakket maximaal EUR 4.500,- (exclusief kansspelbelasting) bedragen per promotioneel kansspel.
  • Ook bij een klein promotioneel kansspel mogen de communicatiekosten die worden gerekend niet hoger zijn dan EUR 0,45 (inclusief btw).
  • Voor een klein promotioneel kansspel geldt niet de beperking dat deze maar éénmaal per jaar per product, dienst of organisatie aangeboden mag worden. Wel blijft de eis dat het promotionele kansspel tijdelijk van aard moet zijn, staan. Let er dus op dat verschillende promotionele kansspelen voor hetzelfde product wel verschillend van karakter moeten zijn.
  • Voor een klein promotioneel kansspel geldt geen verplichting om algemene spelvoorwaarden op te stellen. Wel raadt de Kansspelautoriteit aan om dit te doen, zodat er duidelijkheid wordt geschept voor zowel aanbieder als deelnemer.

Wanneer niet wordt voldaan aan de voorwaarden uit de gedragscode levert dat een overtreding op van de Wet op de kansspelen. De Kansspelautoriteit is belast met het toezicht op de naleving van deze wet- en regelgeving. De Kansspelautoriteit heeft, naast het geven van een waarschuwing, ook de mogelijkheid tot het opleggen van een bestuurlijke boete, een last onder bestuursdwang of een dwangsom. Daarnaast moet ook rekening worden gehouden met reputatieschade in het geval een onderzoek door de Kansspelautoriteit wordt gepubliceerd op de website.

Het bericht Promotionele kansspelen: let op de voorwaarden! verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Coinrecht #7 – Blockchain Fear Of Missing Out (FOMO)

wo, 07/05/2017 - 12:00

Niet elke blockchain is gelijk geschapen. Inmiddels zijn er legio incarnaties die allemaal in meer of mindere mate afwijken van waar blockchain daadwerkelijk voor staat. Deze verschijningen zijn niet meer de revolutionaire techniek die de capaciteit heeft de wereld te veranderen. Het zijn slappe aftreksels hiervan die worden ingezet voor institutioneel gewin in plaats van collectief gewin. Het is de gevestigde orde die uit FOMO het volgende buzzword bij de haren pakt.

Onlangs zagen we op een blockchain evenement deze ‘implementatie‘ van blockchain en smart contracts. Als dit u enthousiast maakt over de mogelijkheden van blockchain, dan wordt het tijd om zelf op onderzoek uit te gaan, want de ware essentie gaat veel dieper.

De ware essentie van internet en blockchain

Deze aanpak is niks nieuws. Nog steeds proberen bedrijven het concept van het internet toe te passen zonder aan te sluiten bij de beginselen die het zo krachtig maken. Het internet is open, decentraal en niet afhankelijk van een enkele schakel. En toch werken we met afgeschermde wikipagina’s, intranetten en vergaande maatregelen om kennis van de wereld af te schermen. Gelukkig zien we overigens ook een stroming van ondernemers die de nadruk leggen op openheid, delen en samenwerken. Open source begint steeds meer het uitgangspunt te worden, en dat is een geweldig teken.

Natuurlijk is het fijn als banken nieuwe technieken gebruiken om transacties goedkoper te maken. Maar noem het niet blockchain, zeg dan dat er een upgrade is uitgevoerd op de bestaande databases. Mijn verwachting is dat banken en overheden de ware essentie van blockchain en Bitcoin alleen zullen accepteren na een lang en zinloos gevecht.

De ingebakken verdedigingsmechanismen zullen in werking treden. Het zal afgeschilderd worden als verstorend en als een verlengstuk van de criminaliteit, voor zover dit niet al gebeurt. Niet lang geleden vreesden telco’s sms-inkomsten mis te lopen door de opkomst van het internet. Inmiddels draaien alle telecommunicatiediensten op het internet, van sms tot spraak.

De opkomst van het internet was in het begin langzaam en makkelijk te negeren. Uiteindelijk heeft het alle aspecten van de samenleving tot in de kern veranderd en kan zelfs oma e-mailen en online bankieren. Zo zal het ook gaan met blockchain, Bitcoin en eventueel alternatief cryptogeld. De enige vragen zijn nog: wanneer gebeurt en hoe zal het in de praktijk uitpakken.

Wij worden allemaal beter van Bitcoin en blockchain

Niet alleen zal Bitcoin, en daarmee blockchain, winnen, wij zullen allemaal winnen. “Wij” duidt hier niet op wij: Nederlands, of wij: rijke westerlingen, maar op wij: wereldburgers. Miljarden mensen die nu nog niet toegang hebben tot een bankrekening, zullen met een simpele telefoon transacties kunnen doen met de andere kant van de wereld.

Deze blockchaintransacties worden altijd, direct en zonder censuur uitgevoerd. Het maakt niet uit of het zes uur geweest is en de bank dicht is, of het weekend is en betalingen pas de volgende maandag worden verwerkt of een transactie niet doorgaat omdat er een rood vlaggetje naast je naam staat.

Bitcoin ≠ criminaliteit

Vergeet de scepsis en de verwoede vereenzelviging van Bitcoin met criminaliteit. Criminelen gebruiken euro’s evengoed voor criminele activiteiten, dit is onderdeel van het leven. Net als de euro zal ook een klein deel van Bitcoin gebruikt worden voor schimmige zaken. Laten we ons vooral concentreren op de 99% van de mensen die het zullen gebruiken voor goed.

Bitcoin en blockchain brengen democratie en autonomie

In plaats van ons ertegen te verzetten, laten we leren over de voordelen die Bitcoin en blockchain kunnen brengen. En nog belangrijker: luister vooral niet naar gevestigde partijen voor een realistisch beeld van de toekomst. Bitcoin en blockchain brengen de democratie en autonomie weer terug naar de mens. Pas dit idee alvast op uzelf toe en leer uit eigen onderzoek over de werking en de mogelijkheden.

Voor wie de sprong in het diepe wil wagen, click eens wat rond in de video’s van Andreas Antonopoulos. Zijn presentaties puilen uit van inhoudelijke kennis, nerdy humor en historisch besef.

Welkom bij de financiële revolutie (de waarde van één Bitcoin (BTC) is op dit moment 2237 euro).

Het bericht Coinrecht #7 – Blockchain Fear Of Missing Out (FOMO) verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

ACM waarschuwt online ticketverkopers

di, 07/04/2017 - 16:00

“De Autoriteit Consument & Markt (ACM) draagt online ticketverkopers op zich aan de regels te houden voor het duidelijk vermelden van prijzen. Nu is het vaak zo dat er tijdens het boekingsproces nog allerlei verplichte kosten bijkomen voor de consument. Dit mag niet.” aldus de waarschuwing van de ACM.

De wet stelt als eis dat alle vaste en onvermijdbare kosten direct in de basisprijs worden opgenomen. Kosten die daarentegen variabel en onvermijdbaar zijn hoeven niet direct in de prijs te worden opgenomen, maar moeten wel bij of naast het aanbod staan vermeld (bijvoorbeeld onder een ‘i’-tje).

Als men per kaartje een fee rekent, moet dit dus in de kostprijs voor het kaartje opgenomen zijn (deze kosten zijn vast en onvermijdbaar). Indien men daarentegen een fee per boeking rekent (ongeacht het aantal kaartjes) hoeft deze boekingsfee niet in de kostprijs per kaartje te worden opgenomen. Deze fee moet wel zoals gezegd direct bij het eerste aanbod staan vermeld (deze kosten zijn variabel en onvermijdbaar).

Voorbeeld: een kaartje kost €25,- en voor de boeking die kan bestaan uit meerdere kaartjes wordt €5,- extra kosten gerekend. Men kan dan niet stellen dat een kaartje €30,- kost. Als ik er immers twee koop, kosten ze €27,50 per stuk. Vandaar dat deze kosten niet direct in de kostprijs van het kaartje, maar ernaast mogen worden vermeld.

Als er extra keuzemogelijkheden zijn, mag de aanbieder deze wel later in het boekingsproces vermelden. Deze mogen echter niet vooraf zijn aangevinkt!

Streven naar een helder aanbod

Dat de ACM het thema ‘duidelijke tarieven en voorwaarden’ hoog op haar agenda staan is meer dan duidelijk. Online reisaanbieders zijn het afgelopen jaar al aangepakt door de ACM. Grote namen als KLM en Corendon kregen daarbij een tik op de vingers en Corendon ontving zelfs een boete van totaal € 350.000,-. Ook de autobranche is eerder verzocht door de ACM om te werken met volledige prijzen in advertenties.

Vijf tips voor een transparant boekingsproces:
  1. Voor de weergegeven prijs moet gekocht kunnen worden
  2. Vermeld vaste onvermijdbare kosten direct in het aanbod!
  3. Vermeld variabele onvermijdbare kosten direct naast het aanbod!
  4. Optionele elementen; duidelijk en transparant vermelden aan het begin van elk boekingsproces
  5. Optionele elementen zeker niet vooraf aanvinken!

Voor meer uitleg over hoe de reisbranche boetes zou kunnen voorkomen volg de link.

Let dus op dat je onvermijdbare kosten per boeking, zoals administratiekosten, servicekosten of printkosten, duidelijk vermeld in het begin van het boekingsproces. Kosten die optioneel zijn, zoals een cadeauverpakking voor het concertkaartje mag je dus later in het proces vermelden. Én dat je voor 1 oktober het bestelproces op jouw website hebt aangepast voordat de ACM weer langskomt.

Het bericht ACM waarschuwt online ticketverkopers verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Gegevensbescherming in de zorg deel 4: eisen beveiliging uitwisselingssysteem

di, 07/04/2017 - 07:00

Per 1 juli 2017 treden een nieuwe wet en een nieuw besluit in werking in de zorg. Namelijk de Wet cliëntenrechten bij elektronische verwerking van gegevens en het Besluit elektronische gegevensverwerking door zorgaanbieders. Deze nieuwe wet- en regelgeving gaat over het uitwisselen van patiëntgegevens en de beveiliging in de zorg. De regels zullen een behoorlijke impact hebben op ICT-oplossingen voor de zorg.

Update 3 juli: het Besluit is nog niet in werking getreden. Er zouden nog te veel Kamervragen lopen. Mogelijk wordt de inhoud van het Besluit nog aangepast.

Blogserie over impact van nieuwe regels gegevensverwerking in de zorg

Dit is deel 4 uit de blogserie waarin we de impact van de nieuwe regels uitleggen. Deze blogposts zijn al verschenen:

Het volgende deel kunt u nog verwachten:

  • Deel 5: eisen beveiliging zorginformatiesysteem
Het Besluit elektronische gegevensverwerking door zorgaanbieders

In het Besluit wordt uitgelegd wat met “passende technische en organisatorische maatregelen” wordt bedoeld voor gegevensbescherming in de zorg. Meer specifiek wordt er ingegaan op welke eisen er gelden ten aanzien van de beveiliging van een elektronisch uitwisselingssysteem (en een zorginformatiesysteem).

NEN-normen in de zorg

Het Besluit stelt met name het voldoen aan bepaalde normen verplicht:

  • NEN 7510: informatiebeveiliging in de zorg
  • NEN 7512: vertrouwensbasis voor gegevensuitwisseling
  • NEN 7513: logging van toegang tot het patiëntdossier

NEN 7521 is nog in ontwikkeling. Deze norm gaat over uniforme en veilige gegevensuitwisseling tussen zorgverleners en zorginstellingenrond de behandeling van een patiënt. Zodra deze af is zal er besloten worden of ook hieraan moet worden voldaan.

Vier partijen bij het beveiligen van uitwisselingssystemen in de zorg

In het Besluit wordt onderscheid gemaakt tussen vier partijen:

  • De zorgaanbieder, hier de zorginstelling of solistisch werkende zorgverlener.
  • De verantwoordelijke voor het uitwisselingssysteem, een goed voorbeeld is VZVZ in het kader van het LSP.
  • De partij die het uitwisselingssysteem beheert en in stand houdt, de ICT-dienstverlener.
  • De zorgserviceprovider, dit is de partij die het netwerk levert tussen het zorginformatiesysteem en het uitwisselingssysteem.

Voor ieder van deze partijen zijn verplichtingen opgenomen in het kader van de beveiliging van een uitwisselingssysteem.

De zorgaanbieder en de verantwoordelijke voor het uitwisselingssysteem moeten bij het gebruik van het uitwisselingssysteem voldoen aan de normen NEN 7510 en NEN 7512. Ook moeten zij ervoor zorgen dat de logging van het systeem, voldoet aan NEN 7513.

De ICT-dienstverlener moet een audit laten uitvoeren voor NEN 7510 en NEN 7512 door een onafhankelijke derde. De scope van de audit wordt ook bepaald. Zowel de rechtspersoon (vaak een bv) als het systeem moeten ge-audit worden. Het audit-rapport mag niet ouder zijn dan 5 jaar.

Verder wordt het verplicht om te koppelen met een uitwisselingssysteem middels een netwerkverbinding van een zorgserviceprovider. De verantwoordelijke stelt criteria op waaraan de zorgserviceprovider en de door hem geleverde netwerkverbinding moeten voldoen. De verantwoordelijke stelt de criteria overeenkomstig NEN 7512 op met als doel het veilig uitwisselen van gegevens.

Functionaris Gegevensbescherming

Naast de normen, wordt er in het kader van de beveiliging ook gesproken over de Functionaris Gegevensbescherming. De Autoriteit Persoonsgegevens noemt dit “een interne toezichthouder op de verwerking van persoonsgegevens”.

Op grond van het Besluit moet door de verantwoordelijke voor het uitwisselingssysteem en de zorgaanbieder een functionaris gegevensbescherming worden aangesteld. Hiermee wordt vooruitgelopen op de Algemene Verordening Gegevensbescherming, volg de link en lees er meer over in onze factsheet.

Op grond van de AVG moet eenieder die stelselmatig op grote schaal medische gegevens verwerkt, een Functionaris Gegevensbescherming aanstellen (intern of extern).

ICTRecht Academy

Meer weten over gegevensbescherming, privacy en ICT in de zorg? Kom naar onze cursus Gezondheidsrecht & ICT en u krijgt in één dag overzicht op deze complexe onderwerpen.

Het bericht Gegevensbescherming in de zorg deel 4: eisen beveiliging uitwisselingssysteem verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Checklist: de mantelovereenkomst

ma, 07/03/2017 - 07:00

Wanneer een organisatie groeit, ontstaat vaak de behoefte juridische documenten beter te regelen. Zeker wanneer men vaker zaken doet met dezelfde klanten, kan de introductie van een mantelovereenkomst zeer wenselijk zijn. De mantelovereenkomst of raamovereenkomst is een overeenkomst die het mogelijk
maakt meerdere overeenkomsten aan te gaan zonder steeds op de juridische randvoorwaarden in te hoeven gaan.

Qua opzet is een mantelovereenkomst sterk vergelijkbaar met algemene voorwaarden. Het verschil met algemene voorwaarden is dat een mantelovereenkomst gewoonlijk van begin tot eind uit onderhandeld wordt met het oog op een langdurige samenwerking.

Inkoopopdrachten

De kern van de mantelovereenkomst is het eenvoudig kunnen aanvragen van specifieke diensten. Dit kan uiteenlopen van softwareontwikkeling tot consultancy, training of het beschikbaar stellen van webdiensten. Omdat de mantelovereenkomst in beginsel alle juridische kaders gesteld heeft, kan een offerte voor een dienst bestaan uit enkel de te leveren prestaties en de prijs. Dit scheelt veel tijd in onderhandelen. De mantelovereenkomst is daarom ook wel te zien als een anders opgeschreven set algemene voorwaarden.

De mantel moet voor opdrachten in ieder geval bepalen hoe deze worden gesloten, welke duur zij hebben en welke prijs of prijzen daarvoor gelden. Overige zaken – zoals wie eigenaar wordt van resultaten, aansprakelijkheid of de opleverprocedure – kunnen per opdracht worden geregeld maar bij voorkeur wordt dit in de mantelovereenkomst opgenomen.

Rangorde van documenten bij een mantelovereenkomst

Hoe de nadere opdrachten (ook wel inkoopopdrachten, Statements of Work of purchase orders) worden gesloten, is een kernaspect van een mantelovereenkomst. Vaak kent de mantelovereenkomst diverse bijlagen die algemene punten nader uitwerken, zoals een Service Level Agreement of een bewerkersovereenkomst.

De rangorde van deze bijlagen is dan ook altijd een belangrijk aandachtspunt. Het is mogelijk dat een opdracht afwijkt van de algemene regels. Zo zou een mantelovereenkomst kunnen bepalen dat geen reiskosten worden vergoed, terwijl men bij een specifieke training in het buitenland juist wél reis- en
verblijfskosten wil vergoeden. Of men kan bij een opdracht besluiten tot een snelle betaling vooraf, of
juist betaling achteraf op nacalculatie, in afwijking van de mantelovereenkomst.

De meest voor de hand liggende rangorde is die waarbij de opdrachten prevaleren boven de raamovereenkomst. Zo kunnen eenvoudig nadere opdracht-specifieke afspraken worden gemaakt. Een nadeel van deze aanpak is echter wel dat er onbedoeld kan worden afgeweken van zorgvuldig uit onderhandelde afspraken uit de mantelovereenkomst. Om die reden wordt wel gewerkt met een omgekeerde rangorde: de raamovereenkomst prevaleert boven opdrachten.

Dit heeft als nadeel dat de raamafspraken weinig flexibel worden. Een tussenvorm kan zijn dat men bepaalt dat de raamovereenkomst prevaleert tenzij een opdracht expliciet andersluidend is (“In afwijking van artikel 7.5 van de Raamovereenkomst is de betalingstermijn 45 dagen”).

Algemene voorwaarden en de mantelovereenkomst

Een mantelovereenkomst lijkt in beginsel veel op algemene voorwaarden. Beiden zijn opgezet voor gebruik bij meerdere overeenkomsten en regelen dus in abstracto allerlei algemene onderwerpen. De opdracht-specifieke zaken komen dan in een ander document terug: de offerte bij algemene voorwaarden, de opdracht of purchase order bij een mantelovereenkomst.

Verschil is dat algemene voorwaarden in beginsel bedoeld zijn voor losse opdrachten aan meerdere opdrachtgevers, terwijl een mantelovereenkomst in beginsel aangegaan wordt met één opdrachtgever. Uiteraard kan daarbij gewerkt worden met een standaardtekst, maar de mantelovereenkomst wordt gewoonlijk uit onderhandeld terwijl dat bij algemene voorwaarden minder gebruikelijk is.

Het komt voor dat algemene voorwaarden van een de partijen – of van beiden – worden opgenomen bij de mantel. Dit raden wij af, aangezien het al snel tot buitengewoon veel onduidelijkheid kan leiden welke
bepaling van toepassing is. Daarnaast wordt de omvang van het document sterk vergroot. Bij voorkeur worden alle algemene bepalingen in de mantelovereenkomst zelf opgenomen. Natuurlijk kan men bepalen dat de mantelovereenkomst prevaleert bij conflicten tussen mantel en algemene voorwaarden, maar waarom daar ruimte voor discussie laten?

Duur en opzegging van een mantelovereenkomst

Een mantelovereenkomst wordt gewoonlijk aangegaan voor onbepaalde tijd, omdat immers nog niet bekend is welke nadere opdracht(en) langs zullen komen. Opzegging van de mantelovereenkomst kan normaal per direct, mits alle lopende opdrachten afgerond zijn. Opzeggen terwijl een opdracht nog loopt, is onwenselijk. Men moet dan immers eigenlijk ook alle lopende opdrachten stopzetten. Dit zou alleen in zeer specifieke uitzonderingssituaties moeten zijn toegestaan.

De mantelovereenkomst moet ook regelen hoe specifieke opdrachten worden aangegaan en opgezegd. Gebruikelijk is een standaardtermijn af te spreken en expliciet toe te laten dat de opdracht zelf hiervan kan afwijken. Tussentijds opzeggen van een opdracht is meestal iets om in de opdracht zelf te regelen, maar men kan natuurlijk een standaardregeling opnemen die op alle opdrachten van toepassing is.

Men kan ook onderscheid maken naar soorten opdrachten. Gebruikelijk is de duurovereenkomst (zoals
voor hosting van websites of applicaties of het verlenen van softwarelicenties) te onderscheiden van meer korte termijnovereenkomsten (zoals ontwikkeling van software of het verzorgen van trainingen). De laatste categorie is dan in beginsel niet tussentijds opzegbaar behalve bij wanprestatie, terwijl de duurovereenkomst periodiek opzegbaar is.

Bewerkersovereenkomst als deel van mantelovereenkomst

Een bewerkersovereenkomst is de overeenkomst waarbij een partij (de bewerker) in opdracht van een ander (de verantwoordelijke) persoonsgegevens verwerkt. De bewerkersovereenkomst is een verplichte overeenkomst wanneer een partij persoonsgegevens door een ander wil laten verwerken (art. 14 Wbp). Omdat de bewerkersovereenkomst naar zijn aard generieke bepalingen bevat, ligt het voor de hand deze als deel van de mantelovereenkomst op te voeren.

Formeel gezien moet de bewerkersovereenkomst een apart document zijn, hetgeen bij een mantelovereenkomst inhoudt dat deze als bijlage moet worden opgenomen. De rangorde van de bewerkersovereenkomst is dan van belang. Vaak wordt deze laag ingestoken omdat de bewerkersovereenkomst als sluitstuk wordt gezien. Dit is echter onjuist, omdat de bewerkersovereenkomst dwingend rechtelijke bepalingen omtrent privacy uitwerkt. Eigenlijk zou de bewerkersovereenkomst dus moeten prevaleren boven alle andere documenten. Dit staat in de praktijk weer erg gek. Praktisch aan te bevelen is te zorgen dat de andere documenten geen aspecten van persoonsgegevens regelen, zodat geen conflict in de rangorde kan ontstaan.

Service Level Agreement

In een Service Level Agreement (SLA) legt een leverancier vast welke kwaliteit van dienstverlening hij levert. Doel van een SLA is in principe te zorgen voor objectieve maatstaven om vast te stellen of de leverancier wanpresteert of niet. Dit zijn in principe resultaatsverplichtingen, waardoor harde(re) verplichtingen voor een leverancier ontstaan. Vaak is het niet halen van de vastgelegde kwaliteit gekoppeld aan een contractuele boete bij wijze van prikkel tot nakoming.

Omdat ook de SLA naar zijn aard generieke bepalingen bevat, ligt het voor de hand deze als deel van de mantelovereenkomst op te voeren net als de bewerkersovereenkomst. Op die manier zal de SLA een aanvullend raamwerk bieden voor de maatstaven van alle te sluiten opdrachten. Eventueel kan dan in een specifieke opdracht de SLA buiten toepassing worden verklaard, of juist een hoger niveau van dienstverlening worden opgenomen.

Wanneer diensten echter erg verschillend zijn, bijvoorbeeld enerzijds ontwikkeling van software en anderzijds het hosten van internetdiensten, zou het meer voor de hand liggen de SLA per opdracht op te nemen.

Checklist mantelovereenkomst

De belangrijkste aandachtspunten in een mantelovereenkomst op een rijtje:

  • Totstandkoming van opdrachten (purchase orders)
  • Rangorde van documenten
    Algemene voorwaarden leverende partij – nodig of niet?
    Inkoopvoorwaarden wederpartij – nodig of niet?
    Bewerkersovereenkomst
  • Duur en opzegging van de mantel
  • Gevolgen voor lopende opdrachten bij opzegging mantel
  • Duur en opzegging van opdrachten
  • Aanpassing van opdrachten
  • Uitvoering van opdrachten algemeen
  • Intellectueel eigendom
  • Aansprakelijkheid en overmacht
  • Bijlagen
    Service Level Agreement
    Bewerkersovereenkomst

Dit artikel is eerder gepubliceerd in ons magazine ICTRecht in de praktijk nr. 3 2016

 

ICTRecht Academy (ICT-)contracten meester worden? Volg onze basis-, verdiepingscursus of masterclass ICT-contracten onderhandelen. U leert de valkuilen van contracten kennen, ze op te stellen en er over te onderhandelen. We behandelen o.a. NDA’s, SLA’s, software- en cloudlicenties. Deze trainingen worden zowel voor advocaten/juridisch publiek als algemeen publiek gegeven.

> Bekijk het trainingsprogramma

 

Het bericht Checklist: de mantelovereenkomst verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

ICT-dienstverleners in de zorg en zorgaanbieders opgelet: per 1 juli 2017 geldt de nieuwe Wet Cliëntenrechten!

wo, 06/28/2017 - 12:30

Gisteren is officieel bekendgemaakt dat de Wet cliëntenrechten bij elektronische verwerking van gegevens ingaat per 1 juli 2017. Bepaalde onderdelen van de wet gaan pas over drie jaar in. Waar moet u vanaf aanstaande zaterdag (!) rekening mee houden?

Wat geldt per 1 juli voor verwerking van persoonsgegevens in de zorg?
  • Uitdrukkelijke toestemming van de patiënt: voor het beschikbaar stellen van zijn gegevens via een elektronisch uitwisselingssysteem.
  • De informatieplicht: de patiënt moet duidelijk geïnformeerd worden over de werking van het systeem en over zijn rechten bij elektronische gegevensuitwisseling. Ook moet de patiënt geïnformeerd worden als de werking van het systeem wezenlijk wijzigt, of als nieuwe zorgaanbieders worden aangesloten op het systeem. Zijn gegeven toestemming moet hij vervolgens kunnen intrekken.
  • Zorgverzekeraars, bedrijfsartsen, verzekeringsartsen en keuringsartsen uitgesloten: deze partijen mogen geen toegang tot het uitwisselingssysteem. Mocht de zorgaanbieder een vermoeden hebben dat deze partijen de wet hierin overtreden, moet hij dit melden aan de Nederlandse Zorgautoriteit (NZa). De NZa kan vervolgens een boete opleggen aan deze partijen, tot 500.000 euro of 10% van de jaaromzet.
Wat geldt over drie jaar voor van verwerking persoonsgegevens in de zorg?
  • De eis van gespecificeerde toestemming.
  • De registratie van de gespecificeerde toestemming.
  • Het recht op elektronische inzage en afschrift.
  • Het recht op een elektronisch afschrift van de logging.

Meer over deze rechten en plichten van patiënten en zorgaanbieders, is via de link te vinden.

Bovenstaande plichten gelden voornamelijk voor zorgaanbieders. Echter zullen ICT-dienstverleners in de zorg hier rekening mee moeten houden. Zorgaanbieders zullen de maatregelen die nodig zijn om aan de wet te kunnen voldoen, geïmplementeerd willen zien in de diensten die zij afnemen.

Wij schrijven momenteel een blogserie over deze nieuwe wet. In deze blogserie schrijven wij ook over een nieuw besluit, namelijk het Besluit elektronische gegevensverwerking door zorgaanbieders. Dit besluit zou ook per 1 juli in werking treden, echter heeft dit vertraging opgelopen in de Kamer. Gisteren heeft minister Schippers laten weten dat ze het besluit verder in procedure zal brengen. Wij houden jullie hiervan op de hoogte!

In onze blogserie gegevensbescherming in de zorg beschrijven we de impact van de nieuwe regels:

In het najaar geven we weer een training ICT & Gezondheidsrecht waar dit onder andere aan bod komt. Wij verzorgen ook op maat in-house juridische trainingen.

Het bericht ICT-dienstverleners in de zorg en zorgaanbieders opgelet: per 1 juli 2017 geldt de nieuwe Wet Cliëntenrechten! verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Wat kan ik deponeren als merk?

wo, 06/28/2017 - 07:00

In de afgelopen twee jaren is het Europese merkenrecht flink veranderd. De Merkenrichtlijn is op 13 januari 2016 in werking getreden en de Merkenverordening op 23 maart 2016. Een belangrijke verandering die de Richtlijn en Verordening met zich meebrengen, is dat een merk niet meer hoeft te bestaan uit ‘tekens die voor grafische voorstelling vatbaar’ zijn.

Deze wijziging zal per 1 oktober 2017 worden doorgevoerd. In deze blogpost leggen we uit aan welke eisen een merk moet voldoen en wat het vervallen van de eis van ‘grafische voorstelling’ betekent voor de praktijk.

Oude situatie van dingen die als merk te deponeren zijn

Over de vraag wat als merk kan worden gedeponeerd en wanneer het merk bestaat uit ‘tekens die voor grafische voorstelling vatbaar zijn’ heeft het Hof van Justitie van de Europese Gemeenschappen (Hof) zich de afgelopen jaren meerdere malen moeten buigen. In zijn algemeenheid heeft het Hof geoordeeld dat een teken voor grafische voorstelling vatbaar is, wanneer deze

  • Duidelijk;
  • Nauwkeurig;
  • Als zodanig volledig;
  • Gemakkelijk toegankelijk;
  • Begrijpelijk;
  • Duurzaam; en
  • Objectief is.

Zo is in 2002 aan het Hof de vraag voorgelegd of een geur als merk kan worden geregistreerd door het deponeren van een geurmonster, de omschrijving van de geur in woorden en de scheikundige formule hiervan. Volgens het Hof voldoet een geurmonster niet aan de eis van ‘grafische voorstelling’. Bovendien is een omschrijving van een geur in woorden onvoldoende duidelijk, nauwkeurig en objectief. Tot slot stelt het Hof dat de scheikundige formule van een geur slechts door een enkeling is te begrijpen.

Hierna is in 2003 en 2004 aan het Hof de vraag gesteld of het mogelijk is om een abstracte en contourloze kleur(encombinatie) als merk te registreren door benoeming van de kleur, het deponeren van de kleurstaal en de bijbehorende internationaal erkende kleurcode. Het Hof heeft geoordeeld dat dit inderdaad mogelijk is, onder de voorwaarde dat ‘wordt aangetoond dat deze kleur(encombinaties), in de context waarin zij worden gebruikt, daadwerkelijk als een teken overkomen en de inschrijvingsaanvraag een systematische schikking bevat die de betrokken kleuren op van te voren bepaalde en duurzame wijze met elkaar in verbinding brengt’.

Tot slot heeft het Hof zich in 2003 uitgesproken over de registratie van een klank als merk. Uit deze zaak volgt dat is voldaan aan de eis van ‘grafische voorstelling’ wanneer het bijbehorende notenschrift/bladmuziek wordt gedeponeerd die de klank weergeeft. Daarbij is opgemerkt dat een omschrijving van de klank in woorden daarentegen niet mogelijk is.

Nieuwe situatie van dingen die als merk te deponeren zijn

Per 1 oktober 2017 zal het vereiste van de grafische voorstelling worden geschrapt uit de wet. Volgens de nieuwe regelgeving mag het teken in de toekomst ‘in elke passende vorm worden weergegeven met algemeen beschikbare technologie’. Wel blijft vereist dat het teken duidelijk, nauwkeurig, op zichzelf staand, gemakkelijk toegankelijk, begrijpelijk, duurzaam en objectief is.

Klank-, smaak-, tast- en geurmerken worden mogelijk

Deze wijziging door de Merkenrichtlijn en de Merkenverordening maakt het mogelijk dat ook klank-, smaak-, tast- en geurmerken kunnen worden ingeschreven. Bij klankmerken zal in plaats van de notenbalk/bladmuziek het mp3-bestand (ook) kunnen worden gedeponeerd. Op welke wijze dit in de praktijk zal geschieden met smaak-, tast en geurmerken is momenteel nog erg onduidelijk. Het zal afhankelijk zijn van de mogelijkheden die technologie ons (eventueel in de toekomst) biedt.

Wanneer de technologie het mogelijk maakt om bijvoorbeeld geurmerken te registreren – zonder dat het geurmonster zijn geur verliest door verloop van tijd – zal dit voor veel bedrijven een uitkomst zijn. Te denken valt aan het vastleggen van de alom bekende geur van Chanel n°5.

 

Fotocredit: CC BY 2.0 – Kevin Reese – Flickr

Het bericht Wat kan ik deponeren als merk? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Opsporingsinstanties en het opvragen van persoonsgegevens bij bedrijven – deel 2

di, 06/27/2017 - 07:00

In het eerste deel is het voorstel van de Europese Commissie besproken dat overheidsinstanties meer bevoegdheden geeft om bij techbedrijven in andere lidstaten aan te kloppen om bewijs te verzamelen in strafzaken. In deel twee gaan we in op de bevoegdheid van opsporingsinstanties om persoonsgegevens op te vragen in de verschillende transportsectoren.

In België is onlangs een wet goedgekeurd op grond waarvan luchtvaartmaatschappijen alle passagiersgegevens naar de overheid moeten doorsturen. Deze gegevens zullen als gevolg van een Europese richtlijn worden gedeeld met alle lidstaten. Doorgifte van de gegevens gebeurt ten behoeve van de strijd tegen terrorisme en zware criminaliteit. Het verzamelen en delen van deze data is echter een gevoelige kwestie omdat het de privacy raakt. Wat gebeurt er met deze data? En wat betekent dit voor de privacy van de burger?

Europees-Passenger Name Record

Op 24 mei 2016 is de Europese richtlijn betreffende het invoeren van een Europees-PNR in werking getreden. Op grond van deze richtlijn zullen passagiersdata binnen de EU op centraal niveau worden verzameld en geanalyseerd. Het gaat hier om zowel Advanced Passenger Information (‘API’: o.a. naam, nationaliteit, geboortedatum) als om Passenger Name Records (‘PNR-gegevens’).

PNR-gegevens zijn de reserveringsgegevens zoals reisgezelschap, betaalwijze, bagage informatie en speciale verzoeken van reizigers. Luchtvaartmaatschappijen moeten op grond van de richtlijn passagiersgegevens van vluchten die van of naar de EU gaan doorsturen naar een Passagierseenheid (‘PIA’) van de lidstaat waar de vlucht zal aankomen en/of vertrekken.

Daarnaast staat het lidstaten vrij om deze verplichting uit te breiden naar luchtvaartmaatschappijen die vluchten binnen de EU uitvoeren. De PIA analyseert de gegevens. Als daar relevante informatie uitkomt wordt het gedeeld met de PIA’s van alle lidstaten. Bevoegde opsporingsinstanties kunnen vervolgens deze informatie opvragen.

De passagiersgegevens kunnen voor drie doelstellingen worden verwerkt:
  • om een bijdrage te leveren in het ontwikkelen van criteria voor risicobeoordelingen;
  • voor het controleren van passagiers vóór aankomst op basis van vooraf bepaalde risicocriteria of om specifieke personen op te sporen;
  • voor het faciliteren van een onderzoek, vervolging en het in kaart brengen van criminelen en hun netwerk nadat een misdaad heeft plaatsgevonden.

De overheid mag de gegevens maximaal vijf jaar bewaren. Na zes maanden worden je naam, adres en betaalinformatie echter al verwijderd om de data te anonimiseren. Lidstaten hebben tot 25 mei 2018 om de richtlijn om te zetten in nationale wetgeving.

Regels in de PNR-richtlijn voor bijzondere persoonsgegevens

In de Europese richtlijn is besloten dat bijzondere persoonsgegevens niet bewaard mogen worden. Dit zijn gegevens die zo gevoelig zijn dat de verwerking ervan iemands privacy ernstig kan beïnvloeden. Onder PNR-gegevens vallen ook algemene opmerkingen die de klant bij boeking heeft doorgegeven aan de vliegtuigmaatschappij. Hierdoor kan er informatie in voor komen zoals maaltijdvoorkeuren of extra hulp wegens een handicap. Dit kan iets zeggen over respectievelijk iemands godsdienst of gezondheid en vallen daarom onder de categorie bijzondere persoonsgegevens. Als een PIA zulke gegevens ontvangt, moeten deze gelijk worden gewist.

Belgische implementatie PNR-richtlijn

België heeft de richtlijn eind vorig jaar geïmplementeerd in een algemene wet. Deze wet voorziet in de verplichting voor vervoerders en reisoperatoren in internationale transportsectoren (luchtvaart-, trein- bus-, en scheepvaartverkeer) om passagiersgegevens door te sturen naar de overheid. Per sector moet een aparte regeling worden uitgewerkt, welke ter goedkeuring aan de Privacycommissie moet worden voorgelegd.

Onlangs heeft de Belgische overheid toestemming gekregen voor het voorstel voor de luchtvaartsector. Er zullen twee momenten komen waarop de passagiersgegevens door luchtvaartmaatschappijen naar de overheid worden doorgespeeld: 48 uur voor elke geplande vlucht en nogmaals op het moment dat iedereen al in het vliegtuig zit.

De Belgische algemene wet gaat verder dan de PNR-richtlijn

In de wet zijn de doeleinden voor verwerking niet beperkt tot terrorisme en zware vormen van criminaliteit, maar is het eveneens mogelijk ter verbetering van de grenscontroles en de strijd tegen illegale immigratie. Bovendien is het toepassingsgebied groter. De aan de vervoerders opgelegde verplichting geldt voor alle transportsectoren.

Opsporingsinstanties krijgen steeds meer bevoegdheden in de strijd tegen terrorisme en andere vormen van criminaliteit. Veel opsporingsdiensten gebruikten al passagiersgegevens voor bestrijding van grensoverschrijdende criminaliteit. Met de richtlijn komt er echter voor het eerst een centrale aanpak op Europees niveau voor de luchtvaartsector. Het is nog onduidelijk of dit ook van de grond gaat komen in de andere transportsectoren. De regeling raakt de privacy van de burger.

Opsporingsinstanties in alle lidstaten van de EU zullen toegang krijgen tot de passagiersgegevens. Na een halfjaar worden de gegevens echter wel gedepersonaliseerd waardoor ze niet meer te herleiden zijn tot een natuurlijk persoon.

 

ICTRecht Academy Onze trainingen geven u een goede juridische voorbereiding om bijvoorbeeld taken als Functionaris Gegevensbescherming uit te kunnen voeren en uw organisatie of uw klanten voor te bereiden op (naderende) privacywetgeving.

> Bekijk ons trainingsprogramma

 

Het bericht Opsporingsinstanties en het opvragen van persoonsgegevens bij bedrijven – deel 2 verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Procedures voor het verkrijgen van .nl domeinnamen met jouw merknaam

ma, 06/26/2017 - 07:00

De situatie is als volgt: de domeinnaam waar jouw merknaam in verwerkt zit, is geregistreerd door een andere partij. Welke juridische wegen kan je bewandelen om (uiteindelijk) houder te worden van de deze domeinnaam? In deze blogpost ga ik kort in op de twee verschillende procedures voor het verkrijgen van de domeinnaam. Namelijk de gang naar de civiele rechter en de geschillenregeling voor .nl domeinnamen.

Wat is een domeinnaam?

Een domeinnaam is een unieke naam op het internet, eigenlijk vergelijkbaar met een adres. Door middel van de registratie van een domeinnaam kun je een website vinden op het internet of krijg je beschikking tot een bepaald mailadres.

Een bepaalde domeinnaam kan maar door één persoon/houder geregistreerd worden. Dit zorgt vaak voor problemen. Zo kan het voor komen dat verschillende merkhouders dezelfde domeinnaam willen hebben. In dat geval geldt als hoofdregel; wie het eerst komt, wie het eerst maalt.

Een goed voorbeeld is het merk Ajax. Het merk van de voetbalclub, brandblussers en schoonmaakmiddelen kunnen prima naast elkaar bestaan omdat zij niet in elkaars vaarwater opereren. Helaas voor de merkhouders van de brandblussers en schoonmaakmiddelen kunnen zij geen gebruik maken van de domeinnaam www.ajax.nl, omdat de merkhouder van de voetbalclub deze eerder heeft geregistreerd.

Daarnaast zijn er ook domeinnaamkapers op de markt, die een domeinnaam met een merk erin registeren met het het voornaamste doel om deze voor een hogere prijs dan de registratieprijs door te verkopen. Dit soort gevallen kunnen zorgen voor geschillen tussen de huidige houder en de merkhouders.

Domeingeschil procedure civiele rechter

Indien er een geschil ontstaat omtrent een .nl domeinnaam, kan je als partij op twee manier een procedure starten. Een daarvan is de gang naar de civiele rechter. Deze procedure kost doorgaans veel geld en tijd. Dit kan extra duur uitpakken indien ook de veroordeling in de proceskosten voor jouw rekening komt, in het geval je de procedure verliest.

Daarnaast is van tevoren onzeker wat de uitspraak van de rechter zal zijn. Hij kan namelijk beslissen dat de domeinnaam niet overgedragen dient te worden, maar alleen de inbreukmakende handeling gestaakt dient te worden.

Geschillenregeling voor domeinnamen (WIPO)

Gelukkig is er ook een alternatieve procedure mogelijk, namelijk de arbitrageprocedure van de World Intellectual Property Organization (hierna: “WIPO”). Wanneer het gaat om een .nl domeinnaamgeschil en dit middels een WIPO procedure wordt uitgevochten, moet men de Geschillenregeling voor .nl domeinnamen van de SIDN volgen. In dit document staat omschreven aan welke eisen moet worden voldaan om uiteindelijk tot een uitspraak of een oplossing via mediation te komen.

Deze procedure is (doorgaans) goedkoper, makkelijker en sneller dan de de procedure voor de civiele rechter. Daarnaast kan deze procedure volledig digitaal verlopen. Een nadeel (kan zijn) dat deze procedure verloopt volgens vaste kaders vanuit de WIPO. In plaats van dat een rechter een uitspraak doet, beslist in deze procedure een erkende specialist/geschillenbeslechter.

Voordat er een uitspraak volgt in deze procedure, wordt er een mediator kosteloos ingezet om het geschil op te lossen tussen beide partijen. Wanneer mediation geen uitkomst biedt, doet de geschillenbeslechter een bindende uitspraak. De uitspraak kan maar twee uitkomsten krijgen, namelijk: je wordt wel of geen houder van de domeinnaam.

ICTRecht heeft jarenlange ervaring bij zowel het opeisen als verdedigen van domeinnamen op basis van merkrechten, handelsnaamrechten of andere gronden. Laat je dus deskundig adviseren als je een procedure wilt beginnen, of geconfronteerd wordt met een claim op jouw domeinnaam.

> Bekijk meer domeinnaam adviezen

 

Juridische documenten nodig? Met de generatoren van ICTRecht op JuriDox.nl kunt u snel en tegen een gunstig tarief zelf uw juridische documenten opstellen. U vindt al uw arbeidsrecht, ICT, privacy en andere documenten voor uw onderneming bij JuriDox.

> Probeer het zelf!

Het bericht Procedures voor het verkrijgen van .nl domeinnamen met jouw merknaam verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Consumentenbescherming bij online veilingen

do, 06/22/2017 - 07:00

De veiling is een populaire manier om goederen aan de man of vrouw te brengen en bestaat al sinds de klassieke oudheid. Met de komst van het internet heeft de veiling zich eveneens verplaatst naar de onlinewereld. Populaire online veilingplatforms zoals vakantieveilingen.nl, catawiki.nl en onlineveilingmeester.nl verkopen via deze manier miljoenen producten aan consumenten.

Deze veilingsites zijn onder andere zo populair omdat het voor consumenten vrij eenvoudig is om mee te bieden. Doordat dergelijke online veilingplatforms zich richten op consumenten moeten zij rekening houden met de regelgeving rondom consumentenbescherming. In dit artikel bespreek ik wat in dit kader de belangrijkste aandachtspunten zijn voor online veilingplatforms.

Verschil openbare veiling en online veiling

Een veiling is een verkoopmethode waarbij producten per opbod of afslag worden verkocht. De hoogste
bieder heeft de veiling ‘gewonnen’ en is daardoor verplicht het geveilde af te nemen. De producten die
worden geveild, worden aangeboden door handelaren aan consumenten. Bij openbare veilingen wordt aan de consument de mogelijkheid geboden om lijfelijk bij de veiling aanwezig te zijn.

Dit is meteen het verschil tussen een online veiling: bij een online veiling vindt de volledig biedprocedure op afstand plaats. Het feit dat er speciale ‘kijkdagen’ worden georganiseerd waarbij de aangeboden producten kunnen worden bekeken, maakt een veiling dus nog niet een ‘openbare veiling’.

Aanwezigheid notaris of deurwaarder bij online veiling

De aanwezigheid van een notaris of deurwaarder bij een veiling is in de meeste gevallen verplicht. Zij
houden toezicht op het verloop van de veiling. Een veiling zonder de aanwezigheid van een notaris of
deurwaarder is strafbaar gesteld als economisch delict. Naar mijn mening is het moeilijk, zo niet onmogelijk voor online veilingen om te voldoen aan deze eis.

Bij de meeste online veilingen worden er namelijk meerdere producten of diensten tegelijkertijd geveild. Bovendien zijn sommige online veilingen 24/7 actief. Voor een notaris of deurwaarder is het onmogelijk om toezicht te houden op elk geveild product.1 Ik ben dan ook van mening dat de wetgeving moet worden aangepast, zodat er rekening wordt gehouden met de situatie rondom online veilingen.

Online veilingplatform is tussenpersoon

De producten die ter veiling worden aangeboden, zijn ingebracht door handelaren. De taak van het online veilingplatform is om de producten of diensten op de website te presenteren zodat hierop kan worden geboden. De consument krijgt dus te maken met twee partijen, namelijk met de verkopende handelaar en met het online veilingplatform. Volgens de wet kan de consument beide partijen aanspreken wanneer er bijvoorbeeld problemen zijn met de levering van het gekochte product.

Terhandstelling van algemene voorwaarden

Doordat de consument te maken krijgt met twee professionele partijen die waarschijnlijk hun eigen algemene voorwaarden hebben, moeten de voorwaarden van het online veilingplatform en die van de verkopende handelaar afzonderlijk aan de consument (elektronisch) ter hand worden gesteld.

Deze algemene voorwaarden moeten voor of tijdens het aangaan van de overeenkomst aan de consument worden gepresenteerd zodat hij deze kan opslaan en later terug kan lezen. Mocht dit niet zijn gebeurd, dan kan de consument deze voorwaarden vernietigen. De vernietiging kan hij mondeling of schriftelijk doorgeven aan de partij die zijn voorwaarden niet voor of tijdens het sluiten van de overeenkomst heeft voorgelegd.

Informatieplicht online veiling

Het veilingplatform moet voldoen aan de eisen die worden gesteld aan een ‘koop op afstand’, omdat bij online veilingen de volledige procedure op afstand plaatsvindt. Dit betekent dat het platform een informatieplicht heeft om bepaalde informatie te verstrekken aan de consument voordat door hem een (winnend) bod wordt uitgebracht.

Onder deze informatie valt informatie over de hoedanigheid van het platform en de verkopende handelaar. De wet noemt specifiek de identiteit, het vestigingsadres, de contactgegevens, het
KvK-nummer en het BTW-identificatienummer. Daarnaast moet er duidelijke informatie worden verstrekt over het ter veiling aangeboden product, de veilingkosten, de betalingswijze, de wijze van levering en de van toepassing zijnde consumentenrechten.

Bedenktijd consument bij online veiling

Wanneer de veiling alleen online plaatsvindt en er dus geen mogelijkheid wordt geboden om lijfelijk bij de veiling aanwezig te zijn, is er sprake van een koop op afstand. De consument heeft in dit geval veertien dagen bedenktijd vanaf het moment dat hij het met de bieding gewonnen product heeft ontvangen.

Bij een dienst begint deze termijn te lopen vanaf het moment dat de consument de bieding heeft gewonnen. Binnen deze termijn kan de consument de koop ontbinden zonder dat hij hiervoor een reden hoeft op te geven. Dit recht moet duidelijk op het online veilingplatform worden weergegeven. Wanneer deze informatie ontbreekt, wordt de bedenktermijn verlengd met maximaal twaalf maanden tot het moment dat de consument over dit recht is geïnformeerd.

Uitzonderingen bedenktijd online veilingen

De wet noemt echter enkele situaties waarin de consument geen bedenktijd heeft:

  • Dit is bijvoorbeeld het geval bij de verhuur van vakantieaccommodaties of auto’s.
  • Ook toegangskaarten voor bijvoorbeeld concerten, musicals, museums, dierentuinen en pretparken vallen onder deze uitzondering.

De gedachte hierachter is dat voor het verstrekken van deze diensten capaciteit wordt gereserveerd en dat de verkopende handelaar bij een herroeping geen vervangende consument kan vinden. In het geval van een online veiling zal deze uitzondering alleen gelden voor een specifiek omschreven dienst gedurende een expliciet aangeboden periode.

Te denken valt aan een hotelovernachting op 1 februari 2017 in het ‘Grand Hotel Amrâth Kurhaus te Den Haag- Scheveningen’ of een toegangskaartje voor de musical ‘Soldaat van Oranje’ op kerstavond. De ter veiling aangeboden hotelovernachting bij een van de Fletcher hotels te reserveren voor een bepaalde periode of toegangskaartjes voor de dierentuin te gebruiken in het jaar 2017 vallen niet onder deze uitzondering.

  • Een andere uitzondering waarvoor de bedenktijd niet geldt, zijn op maat gemaakte producten. Hieronder vallen fotoproducten, zoals een canvasdoek waarop een persoonlijke foto is afgedrukt. Een waardebon voor een dergelijk product valt dan weer niet onder de uitzondering.
  • Bovendien kan de consument de overeenkomst niet herroepen wanneer het via de online veiling verkregen product snel kan bederven of een beperkte houdbaarheid heeft zoals levensmiddelen. Ook producten waarvan de verpakking is geopend en daarom niet meer door een andere consument kunnen worden gebruikt in verband met de hygiëne (make-up of bodylotion) vallen onder de uitzondering.
  • Verder geldt er geen bedenktijd voor cd’s, dvd’s/bluray’s of cd-rom’s waar geen krimpfolie meer om zit en losse kranten/tijdschriften/magazines (niet zijnde abonnementen). Tot slot geldt de uitzondering niet voor producten die zijn verwerkt tot een ander product waarbij de verwerking niet meer is terug te draaien.

Dit artikel is eerder gepubliceerd in nr.1 2017 van ons magazine ICTRecht in de praktijk. Kijk in de online versie voor alle wetsverwijzingen.

Het bericht Consumentenbescherming bij online veilingen verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Pagina's