Privacy Archives

Juridische kwesties: Een e-Privacyverordening met impact

De meeste bedrijven in Europa zijn nog druk bezig met de gevolgen van de Algemene Verordening Gegevensbescherming. Maar ondertussen staat de volgende privacywet alweer voor de deur: de e-Privacyverordening.

Alle aandacht rondom privacy gaat nog steeds uit naar de Algemene Verordening Gegevensbescherming (AVG) die in mei 2018 van kracht werd. De Autoriteit Persoonsgegevens (AP) is namelijk pas sinds kort begonnen met actief handhaven nu de ‘gewenningsperiode’ wel een beetje voorbij is. Bedrijven en instanties worden gecontroleerd en de AP neemt duizenden meldingen van burgers in behandeling.

Nieuwe richtlijn

Maar er is nog een strenge privacywet waar niet alleen bedrijven maar ook burgers mee te maken hebben. De huidige Europese e-Privacyrichtlijn uit 2002 regelt de bescherming van privacy en persoonsgegevens in de telecomsector. In Nederland is deze richtlijn verwerkt in de Telecommunicatiewet en er zijn (strenge) regels over onder andere het verwerken van zoek- en klikgedrag via cookies.

Het was de bedoeling om de aangescherpte e-Privacyrichtlijn tegelijk met de AVG te laten ingaan. Dat ging niet door omdat de discussies in het Europees Parlement niet op tijd waren afgerond. Inmiddels is er een conceptversie die dit jaar waarschijnlijk goedgekeurd gaat worden. De definitieve teksten volgen in 2020, waarna de nieuwe verordening van start kan gaan.

Verordening

Het is goed om te beseffen dat de oude e-Privacyrichtlijn wordt omgezet in een e-Privacyverordening. Een Europese verordening wordt rechtstreeks geldend recht in alle Europese lidstaten zonder dat deze verwerkt hoeft te worden in lokale wet- en regelgeving, zoals dat met een richtlijn wel moet gebeuren. Er is dus geen traject van (maximaal) twee jaar nodig om tot inwerkingtreding van de nieuwe privacyregels te komen, zoals dat met de AVG en de huidige e-Privacyrichtlijn wel het geval was.

Wat staat erin?

De e-Privacyverordening (ePV) heet voluit: ‘Verordening van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie)’. Simpel gezegd komt het neer op strenge(re) regels voor de verwerking van persoonsgegevens voor elektronische communicatiediensten. Denk daarbij aan internet maar ook alle diensten van Facebook en Google.

Regelt de AVG alles rondom het verwerken van persoonsgegevens als algemene wet (lex generalis), de ePV gaat dat specifieker invullen voor alle online diensten (lex specialis). Mocht er een overlap zijn, dan is de ePV bepalend. Daarom zal de impact zo mogelijk nog groter zijn dan de invoering van de AVG.

Vooral cookies

De ePV bevat nieuwe regels over onder andere de minimumeisen van ‘privacy by design’, hoe apparaten van gebruikers herkend mogen worden en wat er commercieel (niet) mag met verzamelde persoonsgegevens. Maar bovenal moet het de problemen rondom cookies en cookiewalls gaan oplossen. Een enorme uitdaging. Zo blijkt uit door de EU uitgevoerde evaluaties dat burgers niet willen nadenken over toestemming geven voor elke website die ze bezoeken – ze drukken klakkeloos op de knoppen in cookiewalls. Ondertussen leunen bedrijven steeds zwaarder op cookies om nieuwe functionaliteiten en webdiensten mogelijk te maken.

Hoe moeten websites bijvoorbeeld zorgen voor toestemming van alle bezoekers en gebruikers, op een manier die ervoor zorgt dat mensen een afgewogen keuze maken? Op die vraag geeft de ePV helaas geen antwoord. Hoe dan ook, de invoering van de e-Privacyverordening gaat een forse impact hebben op alle bedrijven, marketeers en burgers. Het lijkt aannemelijk dat de invoering van de e-Privacyverordening een forse impact gaat hebben op alle bedrijven, marketeers en burgers.

Deze Juridische kwesties is ook gepubliceerd in IP 2 (2019).
#

Gastcollege auteursrecht en privacywetgeving voor marketingcommunicatie

Vanochtend gaf ik een gastcollege aan een groep 4e jaars studenten Commerciële Economie in het kader van een reeks workshops die ingaan op de actualiteit. Aangezien auteursrecht altijd actueel is en met de AVG (plus de komende ePrivacy verordening) ook privacywetgeving flinke aandacht krijgt, kwamen deze thema’s natuurlijk terug in mijn verhaal.

Hoewel het geven van gastcolleges niet meer nieuw voor me is – ik gaf afgelopen maandag voor het vijfde achtereenvolgende jaar een gastcollege over IE- en consumentenrecht bij Windesheim Flevoland – moest ik wel even goed nadenken toen ik gevraagd werd om één van de workshops te verzorgen in Zwolle voor 4e jaars studenten CE over auteursrecht en privacywetgeving. Twee grote onderwerpen die bij voorkeur dan beknopt voorbij zouden moeten komen en waar studenten vervolgens ook nog zelf mee aan de slag mee zouden moeten middels een opdracht.

Daar kwam ik voor mezelf ook niet goed uit en ik besloot het dan ook op mijn eigen manier te doen. Niet beknopt en met veel voorbeelden uit de actualiteit van rechtszaken rondom auteursrechtkwesties en meldingen/incidenten over privacyschendingen.

Dat bleek achteraf ook de goede keuze te zijn want ik bleek in een collegezaal te zitten met plek voor 30 studenten die ook helemaal gevuld was. Zonder plek om een opdracht uit te voeren zeg maar.

Met een verhaal over auteursrecht in het eerste uur en privacywetgeving in het tweede uur – en met deze keer een pauze ingebouwd om op adem te komen – heb ik hopelijk de studenten kunnen bijbrengen dat ze bij de meeste online activiteiten onvermijdelijk tegen zowel auteursrecht als privacyzaken gaan aanlopen. Waar op te letten bij andermans auteursrecht op tekst en beeld en vooral om nooit zo maar andermans materiaal te gaan photoshoppen en aan te passen :)

De AVG, de cookiewet en de komende e-Privacy verordening moest ik in hoog tempo behandelen maar dat bleek ook echt nog wel onbekende materie te zijn. Nu de Autoriteit Persoonsgegevens heeft aangegeven de komende maanden te gaan beginnen met het handhaven (en opleggen van boetes) zal het echter een stuk concreter worden wat het betekent als je je niet aan de eisen van de AVG houdt.

Het wordt iedere keer als ik een gastcollege geef gemakkelijker om te focussen op het vertellen van een verhaal in plaats van de slides als leidraad te gebruiken. Dat maakt het wel wat nuttelozer voor anderen om de Powerpoint hierboven als vervanging van mijn verhaal te gebruiken want de voorbeelden werk ik daar niet uit. Ik denk echter wel dat het leuker maakt om naar mijn verhaal te luisteren dan simpelweg de Powerpoint terug te lezen.

Ik zag er best wel een beetje tegenop vanmorgen maar wat ben ik weer blij dat ik het gedaan heb. En dat het weer goed ging ;-)

Rondvraag: goed voorbereid op weg naar de AVG?

In Nederland treedt op 25 mei a.s. de Algemene Verordening Gegevensbescherming (AVG) in werking en vervangt dan de huidige Wet bescherming persoonsgegevens (Wbp). IP is benieuwd hoe bibliotheken, archieven en erfgoedinstellingen zich hierop hebben voorbereid en maakte een rondgang langs betrokkenen.

De Algemene Verordening Gegevensbescherming (AVG) is de Nederlandse uitwerking van de Europese richtlijn – de General Data Protection Regulation (GDPR) – die burgers meer zeggenschap geeft over hun eigen persoonlijke data. Dat doet de huidige Wet bescherming persoonsgegevens ook al, maar de AVG versterkt de positie van personen wiens gegevens worden verwerkt aanzienlijk.

Dit betekent vooral dat organisaties die persoonsgegevens verwerken (veel) meer verplichtingen krijgen. De nadruk ligt, veel meer dan nu in de Wbp, op de verantwoordelijkheid van organisaties om te kunnen aantonen dat zij zich aan de wet houden. In essentie komt het erop neer dat iedereen die persoonsgegevens verwerkt dit inzichtelijk moet maken, daar afspraken over moet maken met alle betrokken partijen en dit duidelijk moet communiceren (en faciliteren) naar hun gebruikers toe.

Vragenrondje

Ook in bibliotheken, archieven en erfgoedinstellingen worden er volop persoonsgegevens verwerkt en dat roept dan ook meteen verschillende vragen op. Zijn ze zich wel voldoende bewust van de noodzaak om met de AVG aan de slag te gaan? Wat is er allemaal gebeurd de afgelopen maanden ter voorbereiding op 25 mei? Kunnen gebruikers of leden straks ook hun recht op inzage, wijziging en verwijdering van hun gegevens uitoefenen? Wat gaan mensen überhaupt merken van de nieuwe privacyregels?

IP stelde die vragen aan een aantal hogeschoolbibliotheken, universiteitsbibliotheken en openbare bibliotheken, maar ook aan diverse branche- en vakverenigingen voor de bibliotheek- en archiefsector. Uit de antwoorden blijkt dat, op zijn zachtst gezegd, de bibliotheken en archieven nog lang niet allemaal klaar zijn voor de nieuwe privacywet.

Bewustwordingsfase

Het is al twee jaar bekend dat de nieuwe privacyregels eraan komen. Het Europese Parlement stemde op 14 april 2016 in met de GDPR en benoemde 25 mei 2018 als de datum waarop de nieuwe wetgeving in alle lidstaten in werking zou gaan treden. De verstrekkende gevolgen voor bibliotheken, archieven en erfgoedinstellingen werden in 2016 echter nog niet onderkend.

Pas in 2017 begonnen de branche- en vakverenigingen met de eerste voorlichtingsbijeenkomsten, waarin duidelijk werd dat ook de bibliotheken aan zet waren. Met behulp van landelijke bijeenkomsten en cursussen, zoals de GO-cursus Bibliotheek en privacy, konden bibliotheken aan de slag met de eisen die er vanuit de nieuwe wetgeving aan ze gesteld zouden gaan worden.

Uit de rondgang blijkt evenwel dat een (groot) aantal bibliotheken en archieven één maand voordat de AVG in werking treedt nog steeds in deze bewustwordingsfase verkeert. De instellingen zijn nu pas aan het inventariseren in welke processen ze allemaal persoonsgegevens verwerken. Dit geldt voor diverse openbare bibliotheken, universiteits- en hogeschoolbibliotheken, maar ook voor de archieven.

De Koninklijke Vereniging van Archivarissen in Nederland (KVAN) en de Branchevereniging Archiefinstellingen Nederland (BRAIN) constateren dat er geen kant-en-klare antwoorden bestaan in de afwegingen tussen een maximale openbaarheid van hun collecties en het zorgvuldig omgaan met de vele persoonsgegevens. KVAN/BRAIN en het Nationaal Archief hebben daarom een leergang Privacy en Archieven geïnitieerd, die vooral draait om casussen uit de praktijk van instellingen. Door die casuïstiek te presenteren, publiceren en bespreken kunnen archiefprofessionals de komende jaren leren hoe zij Archiefwet en AVG kunnen combineren.

Onbekend is of erfgoedinstellingen het op een vergelijkbare manier denken aan te pakken. Er reageerde geen organisatie uit de erfgoedsector op de oproep, maar er is wel een handleiding Succesvol beheer van privacy-en informatievoorschriften in kleine musea verschenen. Deze handleiding, gepubliceerd door Erfgoedhuis Zuid-Holland, is specifiek bedoeld om de AVG in erfgoedinstellingen toe te kunnen passen.

Wie gaat ermee aan de slag?

Het blijkt wel verschil te maken of je als bibliotheek onderdeel bent van een grotere organisatie of dat je zélf verantwoordelijk bent voor het naleven van de wet- en regelgeving. Meerdere hogeschool- en universiteitsbibliotheken geven aan dat de onderwijs- en onderzoeksinstellingen waartoe ze behoren weliswaar privacyofficers en functionarissen voor de gegevensbescherming hebben, maar dat de processen van de bibliotheken nauwelijks of niet in beeld zijn binnen de organisatie. De focus ligt – begrijpelijk ook – op studenten- en personeelsadministraties, leeromgevingen en andere bedrijfskritische processen en systemen. De processen van de bibliotheken moeten kennelijk worden doorgelicht door de medewerkers zelf.

Er is te laat begonnen met de voorbereidingen. Het is wel aangekaart bij de security manager, maar wat de AVG voor de bibliotheek moet betekenen is niet duidelijk en de instelling geeft prioriteit aan de impact op de grote systemen. (Universiteitsbibliotheek Universiteit Utrecht)

Bij de bibliotheken die als zelfstandige organisatie zelf de verantwoordelijk dragen, ligt de focus vooral op de ‘hoofdlijnen’: het aanleggen van het in de AVG verplichte verwerkingsregister – waarin organisaties alle verwerkingen van persoonsgegevens dienen te registreren – en het benoemen van privacy- en security officers en Functionarissen voor de Gegevensbescherming naar wie verwezen kan worden. De Vereniging van Openbare Bibliotheken (VOB) constateert in een handreiking Algemene Verordening Gegevensbescherming dat bibliotheken en Provinciale Ondersteuningsinstellingen (POI’s) geen Functionaris voor de Gegevensbescherming nodig hebben, maar adviseert wel om de taken ervan te beleggen binnen de eigen organisatie. Voor inhoudelijke ondersteuning verwijst de VOB naar de POI’s, die overigens ook weer onderling sterk verschillen in wat ze als ondersteuning bieden.

Of dit ook betekent dat alle openbare bibliotheken met de AVG aan de slag zijn gegaan, is twijfelachtig. Gelukkig zijn er wel positieve berichten te melden.

Er wordt gewerkt aan bewustwording bij de medewerkers, het opstellen van een verwerkingsregister en het opstellen van verwerkersovereenkomsten met derden. Ook wordt het wachtwoordenbeleid aangescherpt en worden autorisaties om gegevens in te zien onder de loep genomen. Er worden aanpassingen gerealiseerd in onze IT-omgeving die “AVG-bestendig” zouden moeten zijn. (Bibliotheek Noordwest Veluwe)

Verwerkersovereenkomsten

Over één ding is iedereen het eens: er zijn verwerkersovereenkomsten nodig. Heel veel verwerkersovereenkomsten. Bibliotheken, archieven en erfgoedinstellingen hebben namelijk zonder uitzondering te maken met leveranciers van administratieve systemen en databanken waarin ook persoonsgegevens verwerkt worden.

Er moeten duidelijke afspraken gemaakt worden met al die leveranciers, aangezien de bibliotheken zelf aansprakelijk zijn als hun leveranciers niet correct omgaan met persoonsgegevens. In een verwerkersovereenkomst wordt dus vastgelegd dat de leverancier voldoet aan de eisen die in de AVG genoemd worden voor onder meer de opslag en verwijdering van persoonsgegevens. Bij een eventuele datalek is de leverancier dan ook mede-verantwoordelijk en aansprakelijk.

Maar het afsluiten van verwerkersovereenkomsten is nieuw voor zowel bibliotheken als juristen. Het blijkt nog helemaal niet zo eenvoudig te zijn om vast te stellen wanneer zo’n overeenkomst verplicht is. Laat staan welke afdeling binnen een organisatie die overeenkomsten met de leveranciers gaat afsluiten.

Er is geïnventariseerd bij welke contracten/licenties er een verwerkersovereenkomst afgesloten moet gaan worden. Wie dit uiteindelijk gaat doen is onduidelijk. De afdeling Inkoop? (Bibliotheek Avans Hogeschool)

Bij de ene bibliotheek wordt alleen gekeken naar de leverancier van het eigen bibliotheeksysteem, terwijl bij andere bibliotheken alle leveranciers van databanken ook op de lijst staan voor het afsluiten van een verwerkersovereenkomst. Welke criteria bepalend zijn, daar verschillen juristen en brancheverenigingen (sterk) van mening over. Het lijkt een veilige conclusie dat per 25 mei niet alle verwerkersovereenkomsten correct zullen zijn afgesloten.

Recht op inzage, wijziging of verwijdering

Iedereen heeft onder de Wbp recht op inzage in de eigen persoonsgegevens (en om die te kunnen aanpassen en verwijderen), maar in de AVG worden deze rechten versterkt. Het moet nu ook expliciet gefaciliteerd worden, zodat het een vanzelfsprekendheid wordt dat dit kan gebeuren in plaats van het als een uitzonderingssituatie te behandelen.

Voor bibliotheken, archieven en erfgoedinstellingen blijkt ook dit nog een hele kluif te zijn. De meeste instellingen komen niet verder dan een eenvoudige procedure op te stellen, waarbij gebruikers of leden een aanvraag kunnen indienen om hun gegevens in te zien of aan te passen. Met het voornemen erbij om deze procedure onder de aandacht te gaan brengen.

Betrokkenen mogen een verzoek doen tot inzage, wijziging of verwijdering van hun gegevens. Dit verzoek zal binnen 30 dagen en zonder kosten worden afgehandeld. (Bibliotheek Noordwest Veluwe)

Natuurlijk is een verzoek mogen doen iets anders dan het uitoefenen van je recht. Een enkele bibliotheek heeft in kaart gebracht welke persoonsgegevens minimaal vereist zijn voor de eigen werkprocessen, blijkt uit de rondgang. Maar niemand lijkt ervoor klaar te zijn dat een klant daadwerkelijk zijn persoonsgegevens kan wijzigen of verwijderen. Met het simpelweg afwijzen van zo’n verzoek kan in elk geval niet volstaan worden.

De klant centraal?

De reden dat de AVG ingevoerd wordt, is om burgers meer zeggenschap, meer transparantie te bieden als het gaat om hun eigen persoonsgegevens. Desondanks blijkt uit de rondgang van IP dat de voorbereidingen, daar waar ze al hebben plaatsgevonden, zich vooral toespitsen op de eigen bedrijfsprocessen en medewerkers. De gebruikers zijn nauwelijks in beeld.

Voor de biebgebruikers zal er niet zoveel verschil te merken zijn. (Arq-bibliotheek)

Slechts één bibliotheek – de Koninklijke Bibliotheek – belooft om via privacyverklaringen op de website vooraf duidelijk te maken aan gebruikers hoe ze als bibliotheek omgaat met de persoonsgegevens. En waar gebruikers terecht kunnen voor hun vragen en wensen over privacy en hun eigen gegevens.

Het begin is er

Voldoen aan zowel de letter als de geest van de nieuwe privacywet is geen sinecure. Er moet gekeken worden waar en hoe je als organisatie persoonsgegevens in je processen en dienstverlening gebruikt. Alle overtollige gegevens moeten vervolgens verwijderd worden uit de systemen. Alle verwerkingen die wel nodig zijn dienen geregistreerd te worden in een verwerkingsregister. Met alle andere partijen die de gegevens van jouw gebruikers verwerken moeten verwerkersovereenkomsten afgesloten worden. En dat dient tenslotte ook nog allemaal zichtbaar gemaakt en gecommuniceerd te worden met je gebruikers zodat ze weten hoe het met hun privacy is gesteld.

De deadline van 25 mei is in zicht. Hoewel er zeker veel stappen in de goede richting zijn gezet, maakt de rondgang duidelijk dat het echte werk om aan de AVG te voldoen nu pas begint. Het wachten is op de eerste kritische vragen van gebruikers en de mogelijkheid om ervaringen uit de praktijk met elkaar te delen. Het kon nog wel eens jaren gaan duren voordat de AVG onderdeel uitmaakt van het DNA van bibliotheken, archieven en erfgoedinstellingen.