DSGVO: Hoe dure waarschuwingen te vermijden – volledig automatisch
De Europese basisverordening inzake gegevensbescherming is al van kracht. Maar als deze vanaf 25 mei 2018 wordt ingevoerd, zullen veel bedrijven er niet op voorbereid zijn. Inbreuken kunnen bestraft worden met maximaal 4% van de omzet en met boetes tot 20 miljoen euro. Zorgwekkend is dat de regels nog geruime tijd in beweging zullen blijven. Gosign biedt een DSGVO-schild aan dat dit operationele risico aanzienlijk vermindert door mee te gaan met de jurisprudentie. En dit alles automatisch.
Waarover gaat het toch? De hervorming van de gegevensbescherming heeft tot doel gebruikers van onlinediensten meer transparantie te bieden over de manier waarop hun persoonsgegevens worden gebruikt.
De eisen die u als websitebeheerder hier aan moet stellen kunnen bijna onduidelijk worden.
Er wordt een fundamenteel onderscheid gemaakt tussen
- Persoonlijke gegevens
- Gepseudonimiseerde gegevens
- Geanonimiseerde gegevens
Gegevens zijn alleen anoniem als het in de praktijk vrijwel onmogelijk is de gegevens aan een persoon toe te wijzen. Dat is bijvoorbeeld het geval bij stemmingen voor de Bondsdagverkiezingen. In het geval van gepseudonimiseerde gegevens worden de gegevens over de betrokken persoon zodanig gescheiden dat ze alleen met veel moeite – bijvoorbeeld met behulp van een sleutel – aan elkaar kunnen worden toegewezen. Al het andere zijn persoonlijke gegevens. Naar alle waarschijnlijkheid verzamelt uw bedrijf dergelijke gegevens van bezoekers van uw website.
Het gaat hier niet alleen om bezoekersstatistieken, die persoonlijker kunnen zijn dan u wilt. Ook tools van derden die klanten gebruiken om hun contactaanvragen naar u toe te sturen, waarmee sollicitanten hun cv’s uploaden, en nog anderen die een nieuwsbriefabonnement toestaan, sturen ze allemaal gevoelige persoonlijke informatie – vaak naar derden. Wist u dat sommige van uw leveranciers van stockfoto’s gepersonaliseerde berichten naar huis sturen? Verduidelijkt uw privacybeleid dit? Wat gebeurt er als u uw website bijwerkt en een of meer van deze providers vervangt – gaat u dan uw privacybeleid herschrijven?
Stel dat uw bedrijf persoonlijke gegevens verzamelt
Doorslaggevend is nu dat uw oude privacyverklaring uw bezoekers in de zin van het DSGVO bij lange na niet voldoende informeert. Onze ervaringen en waarnemingen tot nu toe schetsen een tamelijk triest beeld van hoe DSGVO-ready de meeste bedrijven tot nu toe zijn.
Want de verantwoordelijke autoriteiten zullen de bedrijven niet gênant om betaling vragen. Het is een uitdrukkelijke doelstelling van de nieuwe regelgeving om misbruik bij inbreuken uiterst onaantrekkelijk en pijnlijk te maken. Daarom zijn er aanzienlijk zwaardere sancties gepland dan voorheen.
Deskundigen beschouwen klachten van consumentenorganisaties ook als een acuut gevaar. Zij beschikken nu over zeer doeltreffende instrumenten om hun belangen af te dwingen.
De nieuwe reglementering inzake de bescherming van de persoonlijke levenssfeer bepaalt nu dat u uw gebruikers volledig en volledig informeert over wat er met hun gegevens gebeurt en over hun rechten op hun gegevens.
In een kort overzicht zijn dit de volgende rechten:
- Uw bezoekers hebben het recht om geïnformeerd te worden over het gebruik van hun gegevens
- U heeft het recht bezwaar te maken tegen dit gebruik.
- U heeft recht op correctie en vergetelheid
- U hebt het recht om uw gegevens volledig over te dragen aan een andere dienst
Alleen al het eerste punt vergt een aanzienlijk grotere inspanning van elk bedrijf dat diensten op het internet aanbiedt of gewoon aanwezig is dan voorheen in § 13 van de Duitse Telemediawet was bepaald. Er moet onder andere worden verduidelijkt op welke rechtsgrondslag u deze gegevens verzamelt en dat u een rechtmatig belang hebt bij het verzamelen van deze gegevens.
Als u nog geen functionaris voor gegevensbescherming in uw bedrijf hebt, dan moet u dit ook veranderen en hem aanstellen – dit maakt ook deel uit van de informatieplicht.
“Maar we verzamelen geen gegevens – toch niet echt”.
Dergelijke excuses zijn absoluut niet welkom. Omdat elke gebruiker van digitale diensten (de wet verwijst naar de “betrokkene”) het recht heeft om zijn gegevens op de juiste wijze te laten verzamelen en bewaren. Ook de functionaris voor gegevensbescherming is hiervoor verantwoordelijk. Hij moet een zogenaamd procedureel register bijhouden, waarin autoriteiten en betrokkenen te allen tijde en zonder veel gedoe op gestructureerde wijze worden geïnformeerd over welke gegevens worden gebruikt en hoe, en dat deze gegevens worden gecontroleerd en veilig worden verwerkt. Een dergelijke gestructureerde aanpak moet er ook voor zorgen dat aan elke betrokkene desgevraagd onmiddellijk een verzameling van zijn gegevens kan worden verstrekt.
Elk paginabezoek zorgt voor een enorme datastroom naar derden
Het is voor de meeste gebruikers, maar ook voor veel bedrijven, niet duidelijk wat een cascade van datastromen interactie met een website teweeg kan brengen. In de meeste gevallen rapporteert de analysesoftware van Google elke pagina-bezoeker pseudoniem (als de pagina-exploitant hiermee rekening heeft gehouden). Als de site lettertypen van Google gebruikt, levert Google deze ook aan het IP-adres van de bezoeker en maakt deze bekend, zelfs als Google Analytics niet aan het werk is. Zo leert Google de bezoeker nog steeds kennen, ook als dat niet zo is.
Als de lettertypen afkomstig zijn van een andere provider, kent deze nu ook de bezoeker. Hetzelfde geldt voor diverse technische kaders of andere geïntegreerde diensten zoals formulieren, nieuwsbrieven of betaaldiensten die dynamisch in de browser van de bezoeker worden geladen.
Dit geldt des te meer voor de adviesknoppen van diverse sociale media zoals Facebook. Ze identificeren en volgen elke gebruiker die tegelijkertijd is ingelogd (meestal het geval) met naam tijdens het bekijken van pagina’s die hebben willen en aanbevelingsknoppen op de pagina zonder extra bescherming.
Daarnaast worden trackingtechnologieën van honderden advertentienetwerken gebruikt op media- en winkelportalen. Ze dienen om het aanbod van deze pagina’s te monetariseren, zelfs als het niet op hen onmiddellijk te koop.
Bedrijven beschikken niet over de nodige deskundigheid voor de effectbeoordeling van het DSGVO.
Het is geen wonder dat het bedrijven aan personeel ontbreekt om alle noodzakelijke voorschriften uit te voeren en na te leven. Nooit eerder waren de gebruikte technologieën zo complex en dynamisch met elkaar verbonden. Het is echter juist deze wildgroei die de achtergrond vormt om de leek er beter over te informeren.
Slechts enkele deskundigen zijn in staat de werking van de gebruikte technologieën ver genoeg door te dringen en ze tegelijkertijd in overeenstemming te brengen met een rechtsgeldige verklarende tekst.
Daarom worden overal dezelfde standaardteksten gebruikt, die vandaag de dag in veel gevallen al achterhaald zijn. Bijgevolg gaat het om feiten die feitelijk onjuist of onvolledig zijn. In de meeste gevallen zijn ze niet zo volledig geformuleerd als de nieuwe EU-gegevensbeschermingswetgeving vereist.
Zelfs het gelukkige feit dat uw bedrijf een advocaat in dienst heeft, garandeert niet dat u echt veilig bent. Vaak zijn ze niet eens op de hoogte als er iets nieuws is geïnstalleerd. In andere gevallen heeft uw advocaat wel ervaring met fundamentele gegevensbeschermingsvraagstukken, maar is hij geen technicus.
Veel advocaten weten niet altijd tot in detail wat de gebruikte technologieën doen, waar ze hun gegevens verspreiden en waar ze sporen achterlaten. Lees de privacyverklaringen van advocatenkantoren en vraag uzelf af hoeveel zij voor uw bedrijf kunnen betekenen bij de veeleisende implementatie van de EU DSGVO.
Gegevensbeschermingsjuristen zijn volgeboekt
Veel bedrijven die in het verleden nog geen plannen voor de implementatie van het DSGVO hebben gemaakt, staan er nu zonder advies of advies. Het aantal advocatenkantoren in Duitsland dat gespecialiseerd is in IT- en gegevensbeschermingsrecht is beheersbaar. De beste van hen hebben niet meer bestellingen voor enige tijd.
De gevolgen: Voor veel bedrijven wordt het steeds moeilijker om een afspraak te maken met een gespecialiseerde advocaat. Vervolgens kan de gedetailleerde voorbereiding van de status quo en de bijbehorende vereisten een tijdrovend proces zijn dat veel tijd in beslag neemt – vooral als de documentatie van processen die relevant zijn voor de wetgeving inzake gegevensbescherming in het verleden onvolledig of niet beschikbaar was.
In de volgende stap moet u de organisatorische en procesgerelateerde maatregelen definiëren, zodat u in de toekomst kunt werken met naleving van de wettelijke voorschriften en gegevensbescherming. Dit alles neemt tijd in beslag. Alleen dan heeft uw bedrijf de nodige organisatie- en personeelsstructuren geïmplementeerd, waaronder een verantwoordelijke functionaris voor gegevensbescherming, een lijst van procedures en een zinvolle en begrijpelijke verklaring over gegevensbescherming in de zin van het DSGVO.
Met ons DSGVO schild kunnen wij u bij al deze processen helpen. Het helpt gestandaardiseerde processen en analyses te versnellen, delen ervan en andere te automatiseren. De snelheid en de rechtszekerheid die bij de tenuitvoerlegging van de basisgegevensbeschermingsverordening zijn verkregen, zijn aanzienlijk – aanzienlijke operationele risico’s zijn geëlimineerd.
De wetgeving inzake gegevensbescherming van het DSGVO blijft van kracht
Samen met onze gespecialiseerde advocaten zijn wij ervan overtuigd dat de jurisprudentie ook in de toekomst in de praktijk zal worden toegepast. Er is nu een nieuw wettelijk kader dat eerst moet worden getest en getest door alle bedrijven in de beginfase.
Zoals in het verleden zal de situatie verschillend worden beoordeeld en beoordeeld. Er zullen precedenten ontstaan, er zullen modelprocessen worden gevoerd, consumentenbeschermers zullen druk uitoefenen, brancheorganisaties zullen hiertegen argumenteren – als gevolg daarvan zullen veel legitieme belangen tegen elkaar moeten worden afgewogen en met elkaar in overeenstemming moeten worden gebracht.
Intussen verschijnen er nieuwe technologieën op de markt die geleidelijk in de plaats komen van andere en die opnieuw veranderingen teweegbrengen in de manier waarop met gebruikersgegevens wordt omgegaan.
Het DSGVO eist privacy by design en privacy by default. Na verloop van tijd kan dit zeer positieve effecten hebben voor alle gebruikers als veel van de technische oplossingen die vandaag worden gebruikt op websites evolueren in deze richting.
Deze twee termen verplichten alle aanbieders van digitale diensten en hun ontwikkelaars om hun toepassingen voor data-economie van meet af aan bij te schaven. Privacy betekent daarentegen standaard dat in elk digitaal aanbod geen persoonlijke gegevens worden verzameld zonder de bewuste en geïnformeerde toestemming van de gebruiker.
Het loutere feit dat deze twee onderwerpen zijnschuldvorderingen van het DSGVO en niet uit een beschrijving van zijn toestand blijkt dat het in veel gevallen nog niet ten uitvoer is gelegd, maar met onmiddellijke ingang ten uitvoer moet worden gelegd. Dit betekent dat veel technologische oplossingen er in de toekomst anders uit zullen zien dan nu. En met hun nieuwe functionaliteit stellen de toekomstige eisen aan de gegevensbeschermingsverklaringen van degenen die er gebruik van maken, bijvoorbeeld elke beheerder van een website.
eindresultaat
De nieuwe basisregelgeving van de EU inzake gegevensbescherming vereist een voortdurende discussie over dit onderwerp – zelfs na de succesvolle tenuitvoerlegging van alle noodzakelijke maatregelen.
Omdat de gebruikte technologieën en de levende jurisdictie bewegen en veranderen, moeten gegevensbeschermingsprocedures en verklaringen ook – een uitgebreid en foutgevoelig proces.
Ook als u de voorschriften van het DSGVO gewetensvol en met de beste bedoelingen wilt uitvoeren, zijn er nog talloze valkuilen waar u op kunt trappen. Aangenomen mag worden dat vanaf 25 mei 2018 zogenaamde waarschuwingsadvocaten alle denkbare weglatingen en leemten zullen opvullen om zichzelf te verrijken. Omdat de bedragen waarover het hier gaat de laatste tijd zijn terugbetaald. Wat deze advocaten niet kunnen, wordt gecontroleerd door de bevoegde officiële instanties en consumentenorganisaties. Dit is een test.
De bijbehorende boetes vormen een gevaar voor elk bedrijf.
Gelukkig kun je jezelf beschermen.
Automatiseer het DSGVO-proces!