Deloitte blog: Europese Privacy Wetgeving, Verdieping en Praktische Tips

9 minuten leestijd (1856 woorden)

Een verslag van de IAB privacy ontbijtsessie op 12 september 2017
Met een levendige discussie sloten wij alweer de laatste ontbijtsessie af. Deze keer bespraken wij de belangrijkste wijzigingen van de AVG en de e-Privacy Verordening. Voor organisaties gaat er een hoop veranderen. Het maken van de vertaalslag van de theoretische verordeningen naar een praktische invulling binnen de organisatie vormt voor veel organisaties een van de grootste uitdagingen. Met de ontbijtsessie en deze blog hopen wij organisaties een klein duwtje in de goede richting te kunnen geven.

 AVG – Enkele aandachtspunten
Een belangrijk startpunt tijdens de dag was het begrip persoonsgegevens. Steeds moet in het achterhoofd gehouden worden dat de AVG enkel van toepassing is wanneer het gaat om persoonsgegevens. Dat wil zeggen gegevens die direct of indirect tot een persoon te herleiden zijn. Veel mensen weten wel dat NAW-gegevens en een e-mailadres persoonsgegevens zijn. Maar dat bijvoorbeeld een IP-adres of een device ID ook persoonsgegevens zijn, is al een stuk minder bekend. Daarnaast wordt er een onderscheid gemaakt tussen ‘normale’ persoonsgegevens en bijzondere persoonsgegevens. Bij de laatste categorie kan gedacht worden aan een foto waaruit iemands geloofsovertuiging blijkt of het registreren van de reden van ziekteverzuim. Organisaties moeten het verzamelen van dergelijke gegevens vermijden, tenzij ze zich kunnen beroepen op een uitzonderingsgrond. Een derde complicerende factor is dat de AVG ook van toepassing is wanneer gegevens indirect herleidbaar zijn tot een persoon. Een gegeven lijkt dan op het eerste gezicht geen persoonsgegeven, maar is in combinatie met andere gegevens of in een bepaalde context toch te herleiden tot een persoon en dus toch een persoonsgegeven. Om die reden is de scope van de AVG ruim te noemen.

Daarnaast wordt wel eens aangenomen dat gepseudonimiseerde of geanonimiseerde gegevens geen persoonsgegevens meer zijn. Prettig, want dan is de AVG niet meer van toepassing. Helaas klopt dit niet. Ten eerste is de AVG is expliciet wél van toepassing op gepseudonimiseerde data. Deze data is - simpel gesteld – versleuteld, maar de sleutel bestaat nog. De AVG beschouwt pseudonimisering als een geschikte vorm van beveiliging. Anonimiseren dan, helpt dat? Ja en nee. Is een dataset werkelijk geanonimiseerd dan is de AVG inderdaad niet meer van toepassing. Maar de lat ligt hoog. De data is versleuteld, de sleutel is weggegooid, en alle gegevens waarmee de data herleid kan worden naar een bepaald persoon is verdwenen. Dat laatste criterium wordt bijna nooit gehaald. Vaak moet een dataset, om bruikbaar of interessant te blijven, combinaties van data bevatten. Vaak blijkt die combinatie toch te herleiden tot betrokkenen. De sprekers geven de tip om kritisch te zijn als beweerd wordt dat data wordt geanonimiseerd. Let er ook op dat anonimiseren in de VS minder strikt wordt geïnterpreteerd.

Verwerkingsverantwoordelijke, Verwerker en Betrokkene
In het raamwerk van de AVG is er steeds sprake van een verwerkingsverantwoordelijke, een verwerker en een betrokkene. De verantwoordelijke bepaalt wat er met de persoonsgegevens gebeurt en op welke wijze deze worden verwerkt. De verwerker (vroeger: bewerker) verwerkt de gegevens enkel en alleen in opdracht van de verwerkingsverantwoordelijke. De betrokkene is degene wiens persoonsgegevens worden verwerkt.

Tijdens de ontbijtsessie bleken er veel vragen te zijn over verwerkersovereenkomsten. Bijvoorbeeld wanneer je nu een overeenkomst moet afsluiten en wanneer je verantwoordelijke bent of verwerker. Het afsluiten van een verwerkersovereenkomst is noodzakelijk wanneer een partij voor jou gegevens verwerkt. De verwerker heeft op basis van de verwerkersovereenkomst de ruimte om de verwerkingen te doen. Maar wanneer een verwerker buiten die opdracht treedt wordt hij automatisch verantwoordelijke voor die verwerking. Dan zijn alle verplichtingen die uit de AVG voortvloeien direct van toepassing. De verwerker heeft dan bijvoorbeeld zelf een rechtmatige grondslag nodig om de gegevens te verwerken. Dit kan problematisch zijn, vooral als het gaat om een gevoelige gegevensverwerking. Daarnaast kan er aansprakelijkheid ontstaan jegens de oorspronkelijke verantwoordelijke.

Functionaris voor Gegevensbescherming
Deelnemers vroegen of zij een Functionaris voor Gegevensbescherming (FG) nodig hebben. Het aanstellen van een FG is niet nodig voor alle organisaties. Een overheidsorganisatie, een organisatie die op grote schaal persoonsgegevens verwerkt en een organisatie die hoofdzakelijk is belast met verwerking van bijzondere categorieën van gegevens zijn daartoe verplicht. Hier is ruimte voor interpretatie, want wanneer verwerk je persoonsgegevens op grote schaal, en wanneer ben je “hoofdzakelijk belast” met verwerking van persoonsgegevens? Wat betreft dat laatste: denk bijvoorbeeld aan een ziekenhuis. Het verwerken van bijzondere persoonsgegevens is daar een kernactiviteit. Zou je je als advertising en marketingorganisaties veel bezighouden met de verwerking van bijvoorbeeld locatiegegevens, dan zou het aanstellen van een FG verplicht kunnen zijn. Een FG kan overigens ook een externe persoon zijn.

 
e-Privacy Verordening
Voor wie geldt deze?
Naast de AVG zal ook de ePrivacy Verordening voor veel verandering zorgen. Het concept zit op dit moment in de EU-wetgevingsmolen. De ambitie is dat deze ePrivacy Verordening tegelijk met de AVG van kracht wordt in mei 2018. De vraag is of dit realistisch is.

In de richtlijn zijn onder andere regels opgenomen ter waarborging van de vertrouwelijkheid van communicatie (ook wel: het verbod op interferentie) en het gebruik van cookies. De huidige e-Privacyrichtlijn regelt de bescherming van het recht op privacy en is toegespitst op traditionele telecomproviders, zoals internetaanbieders. De ePrivacy Verordening zal naast de traditionele aanbieder ook gericht zijn op “over the top”-diensten (OTT’s) zoals Whatsapp, Facebook Messenger, Gmail, Skype, Snapchat en Netflix. Dat betekent dat ook deze dienstverleners de vertrouwelijkheid van communicatie van burgers moeten waarborgen en deze niet mogen verstoren, onderscheppen, monitoren of aftappen. Dit geldt ook voor communicatie van machine tot machine – derhalve zal Internet of Things (IoT) communicatie er straks ook onder vallen. De reden voor het bredere bereik van de ePrivacy Verordening is dat consumenten en bedrijven in hun communicatie steeds meer afhankelijk worden van nieuwe internetdiensten. Bellen en brieven sturen is nu internetbellen en mailen via Voice over IP, instant messaging en webmaildiensten.

Behalve de inhoud van communicatie wordt ook de zogenaamde ‘metadata’ beschermd door de Verordening. Dit zijn bijvoorbeeld locatiegegevens, tijdstippen en duur van communicatie en afzenders. Deze gegevens bieden met behulp van de huidige techniek een bijna even zo groot inzicht in iemands privéleven als de inhoud van het gesprek zelf.

Cookies
Tijdens de ontbijtsessie kwamen de cookieregels ook ter sprake. De ePrivacy Verordening gaat de inzet hiervan niet per se eenvoudiger maken.

Cookies mogen gebruikt worden wanneer 1) dit noodzakelijk is voor de overdracht, 2) dit noodzakelijk is voor het aanbieden van de gevraagde dienst, 3) dit noodzakelijk is voor het meten van webstatistieken (first party cookies) of 4) wanneer daarvoor toestemming is gegeven. Een geldige toestemming moet aan strenge eisen voldoen. De toestemming moet namelijk in begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal worden gepresenteerd. Daarnaast moet de betrokkene de toestemming te allen tijde in kunnen trekken en de toestemming moet vrijelijk gegeven zijn. Bovendien moet de verwerkingsverantwoordelijke aan kunnen tonen dat hij toestemming heeft verkregen. Als consumenten of gebruikers niet uitdrukkelijk toestemming geven om data op te slaan, dan moeten bedrijven volgens het voorstel gegevens anonimiseren of verwijderen (tenzij de gegevens nodig zijn om kosten in rekening te brengen).

Voor cookies die noodzakelijk zijn voor het goed laten werken van een website of dienst en cookies die webstatistieken bijhouden (first party cookies) is dus geen toestemming vereist. Dit is nu in Nederland ook al het geval. Maar dan de tracking cookies. Voor de plaatsing van deze third party cookies is toestemming nodig. Dezelfde toestemmingsvereisten als in de AVG gelden: vrije, specifieke en geïnformeerde toestemming. En de AVG bevat een “koppelingsverbod” (“no bundling”). Dit houdt in dat je niet in één moeite door toestemming mag vragen voor bijvoorbeeld de toegang tot de site en dienstverlening die niet direct noodzakelijk is om die toegang te verschaffen. De vraag is of de plaatsing van tracking cookies (= advertentie-inkomsten) noodzakelijk is voor het in de lucht houden van de betreffende website. In de komende maanden wordt deze discussie verder gevoerd.

Ook voor bedrijven die gebruik maken van device fingerprinting zal straks de toestemmingsvraag van belang worden. Device fingerprinting is het verzamelen van gegevens die worden uitgezonden door een apparaat (bijvoorbeeld telefoon of laptop) bij het gebruik van internet via een internetbrowser. Dit zijn gegevens zoals het besturingssysteem, ingestelde lettertypen, IP-adres en schermgrootte, waarmee een apparaat en daarmee mogelijk de gebruiker herkend kan worden. Deze gegevens mogen straks enkel worden verzameld wanneer dit noodzakelijk is voor het verbinden met de website én de bezoeker duidelijk geïnformeerd wordt over het verzamelen én de mogelijkheid bestaat tot opt-out. Dit zal voor dienstaanbieders die gebruik maken van device fingerprinting een extra uitdaging vormen.

Boetes
Bekend zijn de hoge boetes die op grond van de AVG opgelegd kunnen worden. Onder de ePrivacy Verordening zullen dezelfde boetes nu door de Autoriteit Persoonsgegevens opgelegd kunnen worden, voorheen was alleen de ACM de toezichthouder voor de ePrivacy richtlijn. Het voorstel is om de boete op het onjuist gebruik van cookies en het inzetten van andere marketingkanalen te stellen op maximaal 10 miljoen euro, of 2% van de totale jaarlijkse wereldwijde omzet. Er is inmiddels al een amendement ingediend op het concept om de boete te verhogen naar 20 miljoen euro of 4% van de totale jaarlijkse wereldwijde omzet. Het is de vraag of dit voorstel de definitieve tekst gaat halen.

Tot slot
Voor veel bedrijven is er een hoop te doen om de AVG en ePrivacy Verordening te implementeren in hun organisatie en in te passen in de bestaande business modellen. Ook de aanpassingen in de cookieregelgeving kunnen weer aanzet geven tot een golf van onrust over het wel of niet mogen hanteren van een cookiewall.

Wij hebben genoten van jullie actieve deelname en vragen en willen jullie bedanken voor jullie bijdrage! Uiteraard zullen wij de ontwikkelingen op dit gebied nauwgezet blijven volgen.

 
Marloes Dankert, Nicole Vreeman en Michiel van Schaijck

 
Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee (“DTTL”), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as “Deloitte Global”) does not provide services to clients. Please see www.deloitte.nl/about for a more detailed description of DTTL and its member firms.

Deloitte provides audit, consulting, financial advisory, risk management, tax and related services to public and private clients spanning multiple industries. Deloitte serves four out of five Fortune Global 500® companies through a globally connected network of member firms in more than 150 countries bringing world-class capabilities, insights, and high-quality service to address clients’ most complex business challenges. To learn more about how Deloitte’s approximately 225,000 professionals make an impact that matters, please connect with us on Facebook, LinkedIn, or Twitter.

This communication contains general information only, and none of Deloitte Touche Tohmatsu Limited, its member firms, or their related entities (collectively, the “Deloitte Network”) is, by means of this communication, rendering professional advice or services. Before making any decision or taking any action that may affect your finances or your business, you should consult a qualified professional adviser. No entity in the Deloitte Network shall be responsible for any loss whatsoever sustained by any person who relies on this communication.

© 2017 Deloitte The Netherlands