dutch: social media & privacy for companies

!SOCIAL MEDIA & PRIVACY

VOOR BEDRIJVEN !

We starten het webinar om 11.00 uur. Geniet tot die tijd van de muziek en introduceer jezelf in de chat. !

!!

Stel je vragen direct in de chat of op Twitter #komfowebinar!!

Social Media & Privacy voor bedrijven!

SPREKERS!

Theo Reichgelt!Country Manager!2DiALOG!

Wietje de Muinck Keizer!Advokaat!Doorn en Keizer!

Vera Verkooijen!Partner Relations & Events!Komfo!

Go Global Scale Local

Privacy and employment law matters!

Praktisch en strategisch maatwerk voor arbeidsrecht en privacyrecht met een internationale component

Connecting people!


AGENDA!!1.  Overzicht privacywetgeving (Doorn en Keizer)!

2.  Wet bescherming persoonsgegevens (Doorn en Keizer)!

3.  Vrijstellingsbesluit (Doorn en Keizer)!

4.  Wet- en regelgeving in de praktijk (2DiALOG)!

5.  Internationale doorgifte (Doorn en Keizer)!

6.  Privacy compliance (Doorn en Keizer)!

7.  Cases Facebook en Google (2DiALOG)!

8.  Privacy Verordening (Doorn en Keizer)!


1. OVERZICHT PRIVACYWETGEVING!Bronnen Privacyrecht

Europees niveau Na4onaal niveau

Grondrecht privacy Ar$kel 8 Europees Verdrag voor de Rechten van de Mens (EVRM) Ar$kelen 7 (respect for private and family life) en 8 (protec$on of personal data) van het Handvest van de grondrechten van de Europese Unie

Ar$kel 10 Grondwet (Gw)

Wet-‐en regelgeving Europese richtlijnen 95/46/EG (Privacy richtlijn) en 2002/58/EG (privacy en elektronische iommunica$e)

Wet bescherming persoonsgegevens (Wbp) en Vrijstellingsbesluit (Vb) Telecommunca$ewet

Beleid, adviezen en richtlijnen, handhaving

Ar$kel 29 Werkgroep hQp://ec.europa.eu/jus$ce/data-‐protec$on/ar$cle-‐29/documenta$on/opinion-‐recommenda$on/index_en.htm

College Bescherming Persoonsgegevens (CBP) www.cbpweb.nl Func$onaris voor de gegevensbescherming Minister van Veiligheid en Jus$$e Autoriteit Consument en Markt Ministerie van Economische Zaken

Rechtspraak Europees Hof voor de Rechten van de Mens (EHRM) Hof van Jus$$e van de Europese Unie (HvJEU)

Na$onale Rechter

Wijzigingen? Voorstel Algemene verordening gegevensbescherming 2012/0011, COD (Privacy verordening)

Aangekondigde wetswijziging: o.a. naamswijziging CBP naar Autoriteit persoonsgegevens + melding data lekken


OVERZICHT PRIVACYWETGEVING!Voorbeelden HvJEU 13 mei 2014

Google Spain vs Mario Costeja González Recht om vergeten te worden door online zoekmachine?

Ar4kel 29 Werkgroep (Ar4cle 29 Working Party)

-‐  Guidelines on the implementa$on of the court judgment Google Spain vs Mario Costeja González, C-‐131/12

-‐  Opinion 9/2014 on the applica$on of Direc$ve 2002/58/EC to device fingerprin$ng

-‐  Working Document 02/2013 providing guidance on obtaining consent for cookies

-‐  Opinion 02/2013 on apps on smart devices -‐  Opinion 05/2012 on Cloud Compu$ng -‐  Opinion 02/2012 on facial recogni$on in online and mobile

services -‐  Opinion 2/2010 on online behavioural adver$sing -‐  Opinion 5/2009 on online social networking


OVERZICHT PRIVACYWETGEVING!Voorbeelden

CBP (College Bescherming Persoonsgegevens)

-‐  Wetgevingsadvies aanpassing cookiebepaling (2013) m.b.t. per 11 maart jl. ingevoerde gewijzigde cookiewetgeving

-‐  Richtsnoeren: bijv. beveiliging van persoonsgegevens (2013) en publica$e van persoonsgegevens op internet (2007)

-‐  Gedragscodes -‐  Zienswijzen: bijv. cloud compu$ng (2012) -‐  Register zwarte lijsten

Sog rules

ENISA (European Union Agency for Network and Informa$on Security www.enisa.europa.eu

-‐  Privacy and Data Protec$on by Design -‐ from policy to engineering (2015)

-‐  Online as soon as it happens (2011)

Europees adviesorgaan

NVP (Nederlandse Vereniging voor Personeelsmanagement & Organisa$eontwikkeling) www.nvp-‐plaza.nl

-‐  Sollicita$ecode Sog rules

DDMA (Dutch Dialogue Marke$ng Associa$on) hQps://ddma.nl

-‐  DDMA Code Privacy -‐  DDMA Code Social Media -‐  DDMA Code E-‐mail

Sog rules


2. WET BESCHERMING PERSOONSGEGEVENS!

Belangrijke defini4es Uitleg Voorbeelden

Persoonsgegevens (ar4kel 1 sub a Wbp)

“Elk gegeven betreffende een geïden$ficeerde of iden$ficeerbare natuurlijke persoon”

Wel: naw-‐gegevens, video-‐opname, ziekteverzuim Niet: geaggregeerde gegevens over ziekteverzuim binnen onderneming

Bijzondere persoonsgegevens (ar4kel 16 Wbp)

“Godsdienst of levensovertuiging Ras Poli$eke gezindheid Gezondheid Seksuele leven Lidmaatschap van een vereniging Strafrechtelijk verleden”

Foto’s, voor ras bijv. gegevens omtrent huidskleur, apomst en na$onale of etnische afstamming, voor gezondheid bijv. alle gegevens die de geestelijke of lichamelijke gezondheid persoon betreffen en voor strafrechtelijke gegevens veroordelingen en gegronde verdenkingen.

Betrokkene (ar4kel 1 sub f Wbp)

“degene op wie een persoonsgegeven betrekking heeg”

Consument, klant, abonnee, werknemer

Gebruiker (art. 1.1 sub n Telecommunica4ewet)

“natuurlijk persoon of rechtspersoon die gebruik maakt van of verzoekt om een openbare elektronische communica$edienst”

Consument, klant, abonnee (ook bedrijven)


Belangrijke defini4es Uitleg Voorbeelden

Verwerking (ar4kel 1 sub b Wbp)

“elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in elk geval verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken d.m.v. doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede afschermen, uitwissen of vernie$gen van gegevens”

Kortom: alle handelingen met persoonsgegevens vanaf het verzamelen tot en met het vernie$gen.

Verantwoordelijke (ar4kel 1 sub d Wbp)

“de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”

Kortom: degene die bepaalt dat er persoonsgegevens verwerkt worden en de manier waarop.

Bewerker (ar4kel 1 sub e Wbp)

“degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen”

Salarisadministra$ekantoor

WET BESCHERMING PERSOONSGEGEVENS!


Reikwijdte en normen Wbp

Uitleg Voorbeelden

Reikwijdte -‐  geheel of gedeeltelijk geautoma$seerde verwerkingen; en

-‐  niet geautoma$seerde verwerkingen die in een bestand zijn opgenomen of daartoe bestemd zijn

Persoonlijke aantekening van HR manager $jdens een func$oneringsgesprek valt niet onder de reikwijdte Wbp, tenzij deze krabbel in het personeels-‐dossier van werknemer verdwijnt.

Materiële normen

-‐  Basisnorm (art. 6 Wbp) -‐  Doelbinding (art. 7 Wbp) -‐  Grondslagen (art. 8 Wbp) -‐  Verenigbaar gebruik (art. 9 Wbp) -‐  Bewaartermijn (art. 10 Wbp) -‐  Kwaliteitseisen (art. 11 Wbp)

Art.7 Wbp: welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden!



Materiële normen Wbp

Uitleg Voorbeelden

Rechtma4ge grondslagen verwerking (art. 8 Wbp)

-‐  Ondubbelzinnige toestemming -‐  Noodzakelijk voor de uitvoering van een

(arbeids)overeenkomst/precontractuele maatregelen

-‐  Noodzakelijk voor het nakomen van weQelijke verplich$ng

-‐  Noodzakelijk voor vrijwaring vitaal belang betrokkene

-‐  Noodzakelijk voor de behar$ging van het gerechtvaardigd belang van het bedrijf of derde

Kwaliteitseisen verwerking (art. 11 Wbp)

-‐  Toereikend -‐  Ter zake dienend -‐  Niet bovenma$g -‐  Juist en nauwkeurig

Bewaartermijn (art. 10 Wbp)

“Persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden”

Intranet (2 jaar na einde dienstverband, ar$kel 38a Vrijstellingsbesluit) en informa$eblad CBP bewaartermijnen uit specifieke wetgeving



Bijzondere persoons-‐ gegevens

Uitleg Voorbeelden

Verbod (art. 16-‐23 Wbp)

Verwerking van bijzondere persoonsgegevens is verboden, tenzij: a. een uitzondering geldt o.g.v. ar$kel 17-‐22 Wbp; b. uitdrukkelijke toestemming van de betrokkene; c.de gegevens door de betrokkene duidelijk openbaar zijn gemaakt; d. noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; of e. noodzakelijk is ter verdediging van de vitale belangen van de betrokkene of van een derde en het vragen van diens uitdrukkelijke toestemming onmogelijk blijkt

Ras: slechts indien a. met het oog op de iden$fica$e van de betrokkene en slechts voor zover dit voor dit doel onvermijdelijk is; b. met het doel personen van een bepaalde etnische of culturele minderheidsgroep een bevoorrechte posi$e toe te kennen ten einde feitelijke nadelen verband houdende met de grond ras op te heffen of te verminderen en slechts onder voorwaarden.



Plichten en rechten Wbp

Uitleg Voorbeelden

Rechten betrokkene

-‐  Recht op inzage (art. 35 Wbp) -‐  Recht op correc$e (art. 36 Wbp) -‐  (Beperkt) Recht van verzet (art. 40 Wbp)

Plichten verantwoordelijke

-‐  Mededelingsplicht aan betrokkene: doel, iden$teit en nadere gegevens:

* gegevens verkregen bij betrokkene zelf (art. 33 Wbp): vóór verkrijging; * gegevens verkregen bij derden: bij vastlegging of 1e verstrekking aan derde -‐  Meldingsplicht verwerking (bij CBP of func$onaris

voor de gegevensbescherming, ar$kel 27-‐30 Wbp): > tenzij Vrijstellingsbesluit (art. 31-‐38 Vb) > voorafgaand onderzoek (art. 31 e.v. Wbp)

Uitzonderingen mededelingsplicht: -‐  al bekend; -‐  indien mededeling van de

informa$e aan de betrokkene onmogelijk blijkt of een onevenredige inspanning kost. In dat geval legt de verantwoordelijke de herkomst van de gegevens vast.

-‐  indien de vastlegging of de verstrekking bij of krachtens de wet is voorgeschreven.



Handhaving Wbp Uitleg Aandachtspunten

Toezichthouder -‐  CBP (art. 51 e.v. Wbp) -‐  Func$onaris voor de gegevensbescherming (art. 62 e.v. Wbp)

Wetswijziging: Autoriteit persoonsgegevens.

Sanc4es -‐  Last onder bestuursdwang (art. 65 Wbp) -‐  Bestuurlijke boeten* (art. 66 Wbp)

Wetswijziging: max. boete van € 4.500 naar min. € 20.250 tot max. € 810.000 of 10% jaaromzet.

Strafrechter Strafrechtelijke san$es (art. 75 Wbp): -‐ strijd met ar$kel 4, derde lid, 27, 28, 78, tweede lid, onder a, of 79, eerste lid Wbp (overtreding). -‐ opzet: strafverhogend (misdrijf).

-‐ Geldboete van de derde categorie -‐ Gevangenisstraf van ten hoogste zes maanden of geldboete van de vierde categorie

Civiele rechter Bv. strijd met weQelijke of contractuele verplich$ng of onrechtma$ge daad

Schadevergoeding



3. VRIJSTELLINGSBESLUIT

!Vrijstellingsbesluit Uitleg Voorbeelden

Omschrijving per categorie

-‐  de doeleinden van de vrijgestelde verwerkingen

-‐  de verwerkte gegevens of categorieën van gegevens

-‐  de categorieën van betrokkenen -‐  de ontvangers of categorieën van

ontvangers aan wie gegevens worden verstrekt

-‐  maximale bewaarperiode


VRIJSTELLINGSBESLUIT

!Vrijstellingsbesluit Uitleg Voorbeelden Vrijgestelde categorieën Paragraaf 2. Arbeid en pensioen

-‐ Sollicitanten -‐ Personeelsadministra$e Paragraaf 7. Archieven en onderzoek -‐ Wetenschappelijk onderzoek en sta$s$ek (art. 38 Vb) Paragraaf 8. Beheer en beveiliging -‐ Documentenbeheer (art. 31 Vb) -‐ Netwerksystemen (art. 32 Vb) -‐ Computersystemen (art. 33 Vb) -‐ Communica4eapparatuur (art. 34 Vb) -‐ Toegangscontrole (art. 35 Vb) -‐ Overig intern beheer (art. 36 Vb) -‐ Bezoekersregistra$e (art. 37 Vb) -‐ Videocameratoezicht (art. 38 Vb) -‐ Intranet (art. 38a Vb) -‐ Persoonlijke websites (art. 38b Vb)

o.m.: verwerkingen ten dienste van het interne beheer van de organisa$e van de verantwoordelijke, zoals verwerkingen met betrekking tot netwerk-‐ en computersystemen, communica$eapparatuur en toegangscontrole.


4. WET- EN REGELGEVING IN DE PRAKTIJK!

•  Reclamecode social media!•  www.reclamecode.nl!


WET-EN REGELGEVING IN DE PRAKTIJK!

à Publiceer de voorwaarden voor deelname aan social media campagnes!

à Houdt je aan de algemene voorwaarden van de kanalen!


5. INTERNATIONALE DOORGIFTE

!Interna4onale doorgiè Wbp

Uitleg Voorbeelden

Doorgiè binnen Europa

-‐  WBP: geen aparte bepalingen -‐  O.b.v. privacy richtlijn: gelijkwaardige

bescherming in de lidstaten -‐  Geen bijzondere vereisten, normale vereisten

van WBP

Verstrekking/bewaring personeelsgegevens dochter aan/door buitenlandse moeder

Doorgiè buiten Europa

-‐  Eigenlijk EER: Noorwegen, IJsland en Liechtenstein

-‐  WBP: specifieke bepalingen art. 76-‐78 -‐  Doorgige: is ter kennis brenging aan persoon

buiten rechtsmacht EU lidstaat -‐  Doorgige alleen mogelijk als: > land dat “passend beschermingsniveau” waarborgt (art. 76 lid 1 Wbp) > een uitzonderingsgeval van toepassing (art. 77 lid 1 WBP) > vergunning Minister van Jus$$e met voorschrigen (art. 77 lid 2 Wbp) > Binding Corporate Rules

Safe Harbor, www.export.gov/safeharbor Uitzonderingen (art. 77 lid 1 Wbp) m.n.: -‐  ondubbelzinnige toestemming -‐  overeenkomst -‐  modelcontracten


6. PRIVACY COMPLIANCE

!Handhaving privacywetgeving binnen onderneming

Uitleg Voorbeelden

Analyse bedrijfsprocessen

-‐  In kaart brengen verwerking persoonsgegevens

-‐  privacy’s risico’s en oplossingen -‐  (interna$onale) doorgige van

persoonsgegevens -‐  verdelen van taken en verantwoordelijke -‐  melding en onderzoek van incidenten

Kenbaarheid Vergroten kenbaarheid/bewustzijn regels (bijv. verschil regels per EU land) en compliance dmv training.

Beleidsvorming -‐  Invoering IT en social media code met richtlijnen/privacy statements (op en buiten werkplek, rich$ng klanten, etc.)

-‐  Handhaven, monitoren en evalua$e van beleid


7. CASE: FACEBOOK!

à Facebook’s data policy!–  http://www.facebook.com/policy!

à Download je Facebook data!

à Topic data!

à Privacy voorwaarden!


CASE: GOOGLE!

à Privacy voorwaarden google in strijd met de Nederlandse wet!


8. PRIVACY VERORDENING !Voorbeelden Uitleg Verordening -‐  Verordening werkt rechtstreeks en uniform

-‐  Geen lappendeken aan na$onale weQen ter bescherming van persoonsgegevens.

Toezichthouder -‐  1 interna$onale toezichthouder? -‐  Geen meldingsplicht, maar alle verwerkingen gedetailleerd documenteren en op

verzoek toezichthouder inzage geven. Ook moet verantwoordelijke compliance kunnen aantonen. Ten aanzien van nieuwe verwerkingen moet verantwoordelijke analyseren of deze een privacyeffectbeoordeling (of Privacy Impact Assessment) behoeven of zelfs aan voorafgaand onderzoek of voorafgaande goedkeuring door de toezichthouder moeten worden onderworpen.

-‐  Verplicht func$onaris voor de gegevensbescherming. Europese Commissie (EC): minstens 250 werknemers. Echter, Europees Parlement (EP) kiest ander criterium: aantal betrokkenen, gegevens van meer dan 5.000 personen verwerkt gedurende een achtereenvolgende periode van 12 maanden.

Verplich4ngen -‐  Meldplicht datalekken, verplich$ng inbreuk op beveiliging van persoonsgegevens, met vernie$ging, verlies, wijziging of ongeoorloofde verstrekking of toegang tot gevolg.


PRIVACY VERORDENING !Voorbeelden Uitleg

Rechten -‐  Informa$eplicht wordt uitgebreid. Betrokkenen moeten op een duidelijke, eenvoudig toegankelijke en begrijpelijke manier worden geïnformeerd over de gegevensverwerking en hun rechten (eerst simplis$sche iconen, vervolgens gedetailleerde informa$e, enz.).

-‐  Er moeten procedures zijn voor uitoefening rechten, zoals het inzage-‐ en correc$erecht, maar ook voor nieuwe rechten: het recht om ‘te worden vergeten’ en het recht om gegevens te laten wissen.

-‐  het recht toe om niet te worden onderworpen aan maatregelen gebaseerd op profilering. Profilering of gebruik voor secundaire doeleinden is niet toegestaan.

Interna4onale doorgi`e

-‐  EC: naar landen buiten de EU vereenvoudigen. -‐  EP: Snowden affaire met NSA prak$jken, wil juist einde aan Safe Harbor.

Sanc4es -‐  EC: hoogste boete bedraagt € 1 miljoen of 2% van de wereldwijde omzet van een onderneming.

-‐  EP: boete verhogen tot € 100 miljoen of tot 5% van de jaarlijkse wereldwijde omzet van een onderneming, azankelijk van welk bedrag hoger is.


KEY TAKE AWAYS!à Privacy law matters!!!à  Houd naast de toezichthouder nationale privacywetgeving ook

rekening met de internationale toezichthouder!!à Compliance begint intern met beleid en handhaving daarvan!!à Leer van de fouten van Facebook of Google!!à Houd de (internationale) ontwikkelingen omtrent de Privacy Verordening in de gaten!

!


VRAGEN?!

Theo Reichgelt! [email protected]!

@2dialognl!@theoreichgelt!

Wietje de Muinck [email protected]!

www.denklaw.nl!

Vera [email protected]!

@komfo!@salute_vera!

dutch: social media & privacy for companies

Law