1. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
advocaten & notarissen

2. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Webwinkel vakdagen
21 januari 2015
Webwinkels &
privacy

3. Lezing Webwinkel Vakdagen d.d. 21 januari 2015

4. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Programma vanmiddag
 Korte introductie op Wbp
 Karakter Wbp
 Rollen in Wbp
 Bijzondere persoonsgegevens
 Exportverbod
 Transparantie
 Kern van de cookiewet
 Praktische aandachtspunten
 Korte blik in de toekomst

5. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Introductie op Wbp

6. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Karakter Wbp
 Basisprincipes
 Verscherpt regime
voor bijzondere
persoonsgegevens
 Procedurevoorschriften
 Melding bij CBP
 Exportvergunning bij Justitie
 Regels over FG
•Zorgvuldigheid
•Grondslagvereiste
•Doelbinding
•Gegevenskwaliteit
•Beveiliging & bewaring
•Transparantie

7. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Toepassingsbereik
 Web is van toepassing op alle digitale
verwerkingen van persoonsgegevens
 Dus in online omgeving
steeds relevant
 Gebruik klantgegevens
voor bestellingen;
 Gebruik trackers voor reclame en/of
websiteoptimalisatie;
 Gebruik check credit ratings;
 Etc.
= ieder werkwoord
= gegevens
herleidbaar tot
natuurlijk persoon

8. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Verschillende rollen
 Wbp onderscheidt twee rollen: verantwoordelijke en
bewerker
 Verantwoordelijke: degene die doel en middelen
vaststelt
 Bewerker: externe die in opdracht van
verantwoordelijke verwerkt
 Wbp vol van toepassing op verantwoordelijke, slechts
beperkt van toepassing op bewerker.
Webwinkel =
verantwoordelijke
Bijv. webhoster

9. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Uitbesteding verwerking
 Verantwoordelijke die bewerker inschakelt is wettelijk
verplicht die samenwerking schriftelijk vast te leggen
(“bewerkersovereenkomst”)
 In bewerkersovereenkomst minimaal vereiste elementen:
 Scope / opdrachtafbakening;
 Beveiliging;
 Geheimhouding
 Cbp gaat echter nog veel verder
Specificatie dienstverlening, verwerkte persoonsgegevens en
personen die toegang hebben tot persoonsgegevens
De betrouwbaarheidseisen die op de verwerking van
toepassing zijn.
Transparantie over de beveiliging: rapportage & audit.
Transparantie over opgetreden beveiligingsincidenten.
Afspraken over het al dan niet toestaan van verwerking door
subbewerkers, met daarbij de eventuele beperkingen.
Afspraken over welke persoonsgegevens in welke landen
worden verwerkt.
Voorwaarden voor heronderhandeling of beëindiging van de
overeenkomst.

10. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Bijzondere persoonsgegevens
 Extra streng regime voor gegevens betreffende
 godsdienst of levensovertuiging
 ras
 politieke gezindheid
 gezondheid
 seksuele leven
 lidmaatschap van een vakvereniging / vakbond
 strafrechtelijke gegevens en gegevens over “straatverboden”
 Verwerken verboden, tenzij uitzondering of toestemming

11. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Beveiligingsverplichting
 Artikel 13 Wbp: passende technische en
organisatorische maatregelen
 CBP 19-02-2013: publicatie Richtsnoeren
beveiliging van persoonsgegevens
 Beveiligingsbeleid conform standaarden, zoals
NEN/ISO 2700X
 Incorporeren van beleid in dagelijkse praktijk
organisatie
 Controleren, evalueren en waar nodig bijstellen
van bestaande werkwijze

12. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Exportverbod
 Gegevensverkeer naar landen buiten EER en “veilige landen”
niet toegestaan, behoudens:
 Toestemming
 Modelcontract
 Vergunning minister
 Relevant bij uitbesteding of gebruikmaking van online
diensten

13. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Transparantie
 Voorafgaand aan verwerking informeren over:
 Identiteit
 Doeleinden
 Andere relevante informatie
 Online vaak gedaan middels privacy statements
 Zorg voor leesbaarheid en vindbaarheid

14. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Privacycheck
 De Dirkzwager
privacycheck
 Nagenoeg volledige Wbp
in opgenomen
 Alleen ja/nee vragen
 Snelle toets of u voldoet aan
privacyrecht
 Ook geschikt als inspiratiebron
 www.dirkzwagerieit.nl/privacycheck

15. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Cookiewet

16. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Cookiewet
 Bezoeker voorafgaand aan plaatsen cookie:
 toestemming vragen
 informeren over doeleinden cookie
 Niet vereist bij functionele cookies
 Let op: CBP strenger dan ACM over wat functioneel is, met
name als derde partijen betrokken zijn
 CBP bijv. erg kritisch over diensten als Google Analytics en
Comscore, zeker in standaardinstellingen

17. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Praktische aandachtspunten

18. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Indicatieve checklist (1/3)
 Staat er een privacy- en cookiestatement op de website?
 Is dat statement ook volledig?
 Wordt voor alle niet-functionele cookies toestemming
gevraagd?
 Worden die cookies pas na verkregen toestemming
geplaatst?

19. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Indicatieve checklist (2/3)
 Is geborgd dat gegevens niet voor een ander doel dan
genoemd in privacystatement gebruikt worden?
 Is geborgd dat gegevens niet te lang worden bewaard?
 Is het personeel onderworpen aan geheimhouding?
 Is een melding gedaan bij het CBP?

20. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Indicatieve checklist (3/3)
 Is de eigen beveiliging op orde?
 Ook bij de ingeschakelde bewerkers?
 Zijn er bewerkersovereenkomsten met alle bewerkers?
 En zijn er afspraken inzake privacy met andere partijen
waarmee samengewerkt wordt?

21. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Korte blik in de toekomst….

22. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Nieuwe privacyverordening (EU)
 Van nationale privacywetten in alle landen EU
naar overkoepelende privacyverordening
 Door Europees Parlement aangenomen. Nu
Raad van Ministers aan zet.
 Tijdens behandeling meer dan 3.500 (!) amendementen ingediend.
 Voor uw onderneming relevant:
 nog meer nadruk op accountability;
 export-verbod lijkt te blijven bestaan;
 veel meer nadruk op beveiliging, met
onder meer meldplicht datalekken;
 introductie (stevige!) sancties.

23. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
NL meldplicht datalekken & boete CBP
 In Nederland brede meldplicht datalekken op komst:
 Informeren CBP & betrokkene bij datalek, tenzij kleine privacy-
impact;
 Bijhouden administratie van datalekken;
 Maximale boete € 810.000,--
 Boetebevoegdheid CBP op komst:
 CBP kan nu alleen last onder dwangsom opleggen bij
overtreding beginselen Wbp;
 Straks ook boetes tot € 810.000,-- na voorafgaande last

24. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
VRAGEN?

25. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Contactgegevens
Mark Jansen
(026) 353 83 67
m.jansen@dirkzwager.nl
Weblog: www.dirkzwagerieit.nl
Privacycheck: www.dirkzwagerieit.nl/privacycheck
Twitter: @ieitrecht
App: www.kennisboek.nl
Nieuwsbrief: www.dirkzwager.nl/profiel
I E I T
(intellectuele eigendom & IT-
recht)

26. Lezing Webwinkel Vakdagen d.d. 21 januari 2015
Advocatuur Arnhem
Postbus 3045
6802 DA Arnhem
Kantoor Velperpoort
Velperweg 1
6824 BZ Arnhem
T +31 (0)26 353 83 00
F +31 (0)26 351 07 93
Notariaat Arnhem
Postbus 111
6800 AC Arnhem
Kantoor Velperpoort
Velperweg 1
6824 BZ Arnhem
T +31 (0)26 365 55 55
F +31 (0)26 365 55 00
Advocatuur Nijmegen
Postbus 55
6500 AB Nijmegen
Kantoor Stella Maris
Van Schaeck Mathonsingel 4
6512 AN Nijmegen
T +31 (0)24 381 31 31
F +31 (0)24 322 20 74
Notariaat Nijmegen
Postbus 1104
6501 BC Nijmegen
Kantoor Stella Maris
Van Schaeck Mathonsingel 4
6512 AN Nijmegen
T +31 (0)24 381 27 27
F +31 (0)24 324 07 26