Wanneer moet een gegevensverwerking worden gemeld?

Op 6 november is het bericht naar buiten gekomen dat in het vervolg geen melding meer gedaan hoeft te worden aan de Autoriteit Persoonsgegevens (AP) voor verwerkingen van persoonsgegevens. Met de komst van de Algemene Verordening Gegevensbescherming (AVG) zal deze meldplicht vanaf 25 mei 2018 komen te vervallen. De AP heeft bovendien aangegeven dat zij vanaf nu deze meldplicht niet meer zal handhaven.

> LEES MEER OVER GEGEVENSVERWERKINGEN MELDEN

21 december: masterclass ICT-contracten onderhandelen

Voor doorgewinterde ICT-juristen. U ontvangt een rodedraadcasus met twee complexe ICT-contracten ter voorbereiding. Tijdens de masterclass onderhandelt u met uw mede-cursisten om deze contracten te sluiten. U leert van de tips & tricks van ICTRecht partners, wat u kunt eisen als inkoper of leverancier én welke standpunten en compromissen mogelijk zijn.

Kosten € 349,- ex. btw. |

U ontvangt het handboek en 3PO NOvA.

> MEER INFORMATIE EN AANMELDEN

30 november 2017

Medische apps en de nieuwe verordening over medische hulpmiddelen

Medische apps kunnen medische hulpmiddelen zijn. Het is belangrijk om vast te stellen of dit het geval is omdat er strenge regels gelden voor het op de markt brengen van deze apps. De reden daarvoor is dat hulpmiddelen, ingezet bij het leveren van zorg of het maken van een diagnose, bij slecht functioneren behoorlijke schade kunnen veroorzaken.

> LEES MEER

29 november 2017

Credit scoring: in strijd met de privacywet?

Profilering op basis van data is inmiddels geen geheim meer. Bedrijven sluiten graag zoveel mogelijk risico’s uit. Gegevens over de geschiedenis van betalingen bieden bedrijven deze mogelijkheid. Deze zogenoemde profilering kan (onterecht) grote gevolgen hebben. De vraag is of bedrijven profielen mogen maken op basis van persoonsgegevens die van derden afkomstig zijn of is dit strijdig met de wet?

> LEES MEER

27 november 2017

Bellen voor een verkoopgesprek, wanneer wel en wanneer niet?

Ongevraagd telefonisch contact opnemen om iemand iets te verkopen, dat kan toch gewoon? De ACM heeft nog eens duidelijk gemaakt dat bedrijven die dit soort gesprekken (laten) voeren, zich aan de telemarketingregels moeten houden. Voor élke persoon waarmee contact opgenomen wordt, moet worden nagegaan of ongevraagd bellen mogelijk is.

> LEES MEER

15 november 2017

Coinrecht #11 – Niet alleen geld

Technologieën als blockchain en bittorrent dragen bij aan de verschuiving van centralisatie naar decentralisatie. Dergelijke onderwerpen worden meestal behandeld in relatie tot (crypto)geld, maar de financiële sector is slechts één van de sectoren die hierdoor geraakt wordt. Hoewel adoptie nog pril is, komen er grote veranderingen voor e-commerce zoals het project OpenBazaar voor gebruiksvriendelijke shopping.

> LEES MEER

8 november 2017

Wie of wat is een consument?

Consumenten worden extra beschermd bij het doen van aankopen. Voor verkopers gelden ten aanzien van consumenten extra (informatie)verplichtingen. Wat betekent dat nou eigenlijk, consument? Als je klant een eigen bedrijf heeft, is die dan per definitie geen consument? En als een werknemer spullen bestelt voor het bedrijf waarvoor hij werkt, maar zelf niet de eigenaar is, is die werknemer dan consument? En hoe voorkom je consumentenaankopen?

> LEES MEER

3 november 2017

Nieuwe betaalwet PSD2 en haar gevolgen: handig of te verreikend?

Het aanbieden van financiële diensten is aan het veranderen. Waar het voorheen voorbehouden was aan de meer traditionele spelers zoals banken, verzekeraars en hypotheekverstrekkers, is er een grote opkomst van Fintech-bedrijven. En om dit in goede banen te leiden is er nieuwe wetgeving PSD2 op komst die ook een grote privacy-impact heeft.

> LEES MEER

CURSUSPROGRAMMA

Woensdag 13 december
Verdieping ICT-contracten 6PO

Donderdag 21 december
Masterclass ICT-contracten onderhandelen 3PO

Donderdag 11 januari
Basiscursus privacywetgeving Wbp, AVG / GDPR voor algemeen publiek

Donderdag 25 januari
Verdiepingscursus privacywetgeving Wbp, AVG / GDPR 6PO

Dinsdag 13 februari
Verdiepingscursus privacywetgeving Wbp, AVG / GDPR voor algemeen publiek

LEZERSVRAAG

Mijn bedrijf verzorgt hosted e-mail- en calendaringdiensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan?

Ook op het werk heb je privacy, en een werkgever mag dus niet zomaar in je mailbox kijken. Daar moet een goede reden voor zijn, en er moet rekening worden gehouden met je privacy. Een werkgever moet dus in een reglement uitwerken wanneer er zonder toestemming in een mailbox mag worden gekeken en wat het protocol dan is. Bijvoorbeeld, de manager en HR-directeur kijken samen en men negeert het mapje “Persoonlijk”. Of, we zoeken alleen op trefwoorden gelijk aan namen van zakelijke relaties.

Dat iemand uit dienst is, zou ik een goede reden vinden om een collega de mailbox in beheer te geven. Ik zou wel aanraden dat die mailbox even opgeschoond wordt, en ik hoorde laatst de slimme suggestie dat je de werknemer op zijn laatste dag vraagt of hij dat zelf heeft gedaan (en zo niet, doe het nu gelijk even).

Bij geschillen ligt het wat ingewikkelder, want daar is dan niet echt een objectieve reden – men gaat gewoonlijk dan juist op zóek naar redenen, om ontslag te forceren door aan te tonen dat er geheimen naar buiten zijn gesmokkeld of met relaties concurrerend contact is onderhouden bijvoorbeeld. Nu zijn dat natuurlijk op zich redenen, maar je mag pas gaan zoeken als je al een vermoeden hebt dat die redenen er zijn. Een snuffeltocht (fishing expedition) is niet toegestaan.

Een complicatie hier is dat de vraag nu wordt neergelegd bij een externe leverancier van ICT-diensten. Het doet denken aan die recente discussie over login-logs, waarbij dit ook aan een externe leverancier werd gevraagd. Het antwoord is hetzelfde:

De clouddienstverlener zou natuurlijk kunnen zeggen, het is niet mijn taak hierop te letten, want ik ben slechts bewerker / verwerker in opdracht. Dat klopt natuurlijk, maar een verwerker heeft onder de AVG wel degelijk een zorgplicht om na te gaan of hij wel binnen de wet handelt. Hoewel de verwerkingsverantwoordelijke de doelen en middelen van de verwerking bepaalt en daarbij instructies geeft ontslaat dit de verwerker niet van de plicht het te melden wanneer naar zijn mening de instructie in strijd is met de AVG of andere wetgeving over persoonsgegevens. Hij mag dus weigeren de gegevens te geven als het verzoek duidelijk niet door de beugel kan.

Bij mailboxen geldt dus precies hetzelfde. Ook de hosted e-mailprovider heeft een zorgplicht onder de AVG en moet dus zelf nagaan of het verzoek in orde is. Dat kan natuurlijk niet voor de volle 100% nagegaan worden, maar iets meer dan “tsja het is de klant, en hij betaalt dus hij bepaalt” moet er wel zijn. Een protocol hierover toevoegen aan je opdrachtovereenkomst of verwerkersovereenkomst lijkt me dan ook een heel goed idee.

Arnoud

U ontvangt deze nieuwsbrief van juridisch adviesbureau ICTRecht B.V. omdat u zich daarvoor heeft ingeschreven. Ontvangt u te veel nieuwsbrieven of zijn ze niet meer relevant voor u?
Update uw nieuwsbriefvoorkeuren of schrijf u volledig uit

ICTRecht B.V. Jollemanhof 12 1019 GW, Amsterdam, Nederland
ICTRecht Noord-Nederland B.V., Helperpark 288E, 9723 ZA, Groningen, Nederland
KvK-inschrijving 34216164 - Btw-nummer NL8223.30.040.B01