Begin deze maand werd duidelijk dat de regelgeving rond cookies strenger zal worden toegepast. Het Europese Hof van Justitie besliste in het arrest van 1 oktober 2019 (C-673/17, Planet49 GmbH v. Bundesverband der Verbraucherzentralen und Verbraucherverbände — Verbraucherzentrale Bundesverband e. V.) dat toestemming niet rechtsgeldig is verleend wanneer het plaatsen van cookies wordt toegestaan door middel van een standaard aangevinkt selectievakje dat deze gebruiker moet uitvinken ingeval hij weigert zijn toestemming te geven

Duidelijke actieve handeling

Dit betekent dat een gebruiker een actieve handeling moet stellen om zijn instemming met het plaatsen van de cookies aan te duiden. Dit betekent ook dat consent by further browsing, namelijk het impliciet toestemmen met het gebruik van cookies door verder te surfen op de website, niet meer volstaat.

Toestemming zoals gedefinieerd in de GDPR moet ook steeds vrij en geïnformeerd zijn. Dit laatste betekent dat u de betrokkenen helder dient te informeren omtrent welke cookies worden gebruikt en waarom. Een link op een cookiebanner die je laat doorklikken naar een cookiepolicy, is op vandaag niet meer voldoende. Je moet aangeven hoelang de cookies actief blijven en of derden al dan niet toegang tot de cookies kunnen hebben.‘Vrije toestemming’ houdt in dat een bezoeker ook moet kunnen weigeren. Het is meteen duidelijk dat vele websites op vandaan niet mee in de regel zijn.

Cookies

Altijd toestemming?

Wel belangrijk om te weten dat er nog steeds uitzondering bestaan op de verplichting om toestemming te vereisen voor het plaatsen van cookies.

Met name voor het plaatsen van cookies:

  • met uitsluitend doel de verzending van een communicatie via een elektronische-communicatienetwerk uit te voeren, of
  • een uitdrukkelijk door de gebruiker gevraagde dienst te leveren wanneer dit hiervoor strikt noodzakelijk is.

Helaas valt o.m. het gebruik van cookies voor website analytics algemeen niet onder een van deze uitzonderingen.

Cookies en GDPR?

Het gebruik van cookies wordt in wezen niet geregeld door de GDPR, maar door de e-Privacy richtlijn, in België omgezet in de Telecomwet (zie artikel 129). Deze telecomwet vereist in bepaalde gevallen voorafgaande toestemming van de gebruiker voor het plaatsen van cookies. Het begrip toestemming moet evenwel worden uitgelegd zoals bepaald in de GDPR.

Maar, via cookies kan je wel persoonsgegevens verwerken (bv. door persoonsgegevens op te slaan in de cookie). In dat geval is de GDPR uiteraard wel weer van toepassing.

De Nederlandse overheid liet een DPIA (Data Protection Impact Assessment) uitvoeren op Microsoft Office ProPlus. Uit deze DPIA bleek dat Microsoft op grote schaal persoonsgegevens verwerkt over het gedrag van gebruikers. De verzameling van die persoonsgegevens gebeurt zonder dat de gebruiker hierover geïnformeerd wordt, zonder toestemming van de gebruiker, zelfs zonder dat de gebruiker dit kan uitschakelen of zelfs nog maar kan zien over welke gegevens het gaat.

Gegevens over gebruik Office

Microsoft slaat gegevens op van het gebruik van Word, Excel, Powerpoint en Outlook (zowel de online versies als de lokaal geïnstalleerde versies). Microsoft heeft een pilot lopende om de gegevens van die programma’s op te slaan in de Microsoft Cloud (via Sharepoint en OneDrive).

Microsoft verzamelt diagnostische gegevens over de handelingen van de gebruiker via ingebouwde telemetriesoftware. De verzamelde gegevens worden periodiek in een batch naar de servers van Microsoft in de US gestuurd. Bij online gebruik van diensten (bijvoorbeeld de online versie van Office 365) wordt het gebruik ook vastgelegd in de logbestanden van Microsoft zelf.

Het is echter niet duidelijk welke inhoud van bestanden met deze diagnostische gegevens worden opgeslagen. Zo blijkt dat deze diagnostische gegevens onder andere bevatten welke woorden voor en na een woord dat u wil vertalen komen. Microsoft heeft bijvoorbeeld ook aangegeven dat ze niet de inhoud van e-mails opslaat, maar de logbestanden van Microsoft geven wel de onderwerp-titels van e-mail weer. Voorlopig is het onmogelijk om als gebruiker te zien welke gegevens precies worden verzameld en doorgestuurd.

Onderhandelingen met de Nederlandse overheid

Gezien potentieel heel wat gegevens met een hoog risico op die manier door Microsoft worden verwerkt zonder toestemming of passende garanties is duidelijk dat er actie ondernomen moet worden. De Nederlandse overheid, die gebruik maakt van Microsoft en 300.000 gebruikers uitmaakt, is daarom in onderhandeling getreden met Microsoft om deze problemen te verhelpen.

Microsoft heeft naar aanleiding van de DPIA zero exhaust settings ontwikkeld, waardoor er zo geen telemetriegegevens meer zouden verzameld worden (als de zero exhaust settings aangezet worden). Deze initiatieven zijn wel een begin, maar er blijven nog een aantal problemen over, niet in het minst de reeds gedane verwerkingen van persoonsgegevens.

Wat te doen?

Theoretische technische maatregelen

Ervan uit gaand dat de optie ooit toegankelijk wordt, kan de office beheerder de zero exhaust settings toepassen voor alle gebruikers. Daarnaast kan hij de vrijwillige connected services uitschakelen (zoals de online spellingschecker en vertaalservice). Microsoft vraagt ook om gegevens te delen om Office te verbeteren, maar de beheerder kan uitschakelen dat gebruikers deze melding krijgen (en zo hun gegevens delen).

Het gebruik van de Microsoft Cloud, zoals Sharepoint en OneDrive is op zich problematisch. Het kan aangewezen zijn enkel lokaal geïnstalleerde versies van Office te gebruiken en niet de online versie van Office 365.

Tot slot kan men ook opteren voor alternatieve software. Hierbij moet men natuurlijk wel uitkijken dat deze software niet aan dezelfde gegevensrisico’s is blootgesteld als Office.

Haalbare organisatorische maatregelen

Bovenstaande technische maatregelen laten echter niet toe om het risico bij het gebruik van Office volledig uit te sluiten, noch zijn ze voor iedereen haalbaar. En zoals de Nederlandse overheid zelf in onderhandeling treden met Microsoft lijkt weinig realistisch.

Het is echter geen optie om geheel niks te ondernemen, gezien je dan in de problemen komt met je eigen GDPR-verplichtingen. Deze realiteit moet worden meegenomen in uw risicoanalyse en veiligheidsplan/beleid. Bij stilzitten van Microsoft kan bijvoorbeeld beleidsmatig worden uitgemaakt om op termijn te kijken naar alternatieven. Daarnaast kan men de Gegevensbeschermingsautoriteit raadplegen in het kader van de residuele risico’s die blijken uit de DPIA van de Nederlandse overheid.

 

De GDPR voorziet expliciet dat een Data Protection Officer  een externe consultant kan zijn. Dit heeft als voordeel dat hij met de nodige afstand en onafhankelijk kan opereren t.o.v. van het bedrijf.

Ontslag DPO

Bovendien vereist de GDPR dat de DPO geen instructies mag ontvangen van de onderneming in de uitvoeringen van zijn taken en worden ontslagen (of blootgesteld aan andere disciplinaire acties) vanwege de uitvoering van zijn taken als DPO. Dit heeft belangrijke implicaties indien men een werknemer aanstelt als DPO, o.a. dat het moeilijk te combineren zal zijn met de functie van een werknemer die per definitie onder het gezag van zijn werkgever staat.

Onafhankelijkheid DPO

Bovendien zullen in het geval van een interne DPO ook de nodige structuren dienen te worden aangepast om hem voldoende macht en onafhankelijkheid te geven. En moet de organisatie voorzien in training en opleiding van de DPO. Dit zal in veel meerdere mate het geval zijn bij een externe DPO die op dat vlak zal kunnen terugvallen op zijn eigen organisatie.

Een instantie als DPO

Bovendien kan de externe consultant ook een organisatie zijn, waardoor zij verschillende personen kunnen inzetten om met hun gedeelde expertise de functie van DPO in te vullen. In dat geval moet er wel worden voorzien in een heldere taakverdeling, met een centrale contactpersoon.

Vertrouwensfunctie DPO

Personen wiens gegevens worden verwerkt hebben meer vertrouwen in een externe DPO instantie buiten iemand die binnen het bedrijf zelf werkzaam is.

Continuïteit

De werkgever zal vaak investeringen moeten doen in opleidingen, softwarepakketten en organisatie om zijn interne DPO in staat te stellen zijn functie naar behoren uit te laten oefenen. Hierbij bestaat er een reëel risico op afwervingvan die persoon, zeker gezien deze nieuwe functie zeer gevraagd zal zijn.

Vlakke functie

De functie van DPO is een vlakke functie die er door een bepaalde medewerker zal moeten worden bijgenomen en is op zich dus een vlakke functie die de betrokkene weinig doorgroeimogelijkheden zal bieden.

De GDPR voorziet dat in bepaalde gevallen organisaties verplicht zijn een DPO aan te stellen. Wil je weten of je verplicht een DPO moet aanstellen? Gebruik onze DPO-checker tool. Maar ook indien het niet wettelijk verplicht is, kan het toch bijzonder nuttig zijn om een DPO aan te stellen.

De voordelen van een vrijwillig aangestelde DPO

  • Het is een duidelijk signaal dat je privacy en gegevensbescherming ernstig neemt en bevordert een positief imago;
  • Een DPO helpt u in ieder geval bij het tegemoetkomen aan de (nieuwe) verplichtingen uit de GDPR, zoals o.m.:
    • Helpen bij het implementeren van principes van Privacy by Design & Default;
    • Informatie verstrekking en advisering op vlak van de verplichtingen die voortvloeien uit de GDPR;
    • Toezien compliance (wettelijk en eigen beleid);
    • Uitvoeren en advies verstrekken m.b.t. tot gegevensbeschermingseffectbeoordelingen (in het Engels Privacy Impact Assessment of PIA);
    • Samenwerken met de toezichthoudende autoriteit (in België de Privacy Commissie);
  • Hij is het aanspreekpunt zowel intern als extern voor wat betreft databescherming, wat het vertrouwen bij alle betrokken partijen enkel vergroot.

Schaduw-DPO

Heb je intern al een DPO aangesteld, dan ondersteunen wij hem graag bij het uitvoeren van zijn taken. Zo kunnen wij op korte termijn hem up-to-date brengen met deze nieuwe wetgeving of op lange termijn ondersteuning bieden aangaande de juridische aspecten. Als bijkomend voordeel hebben wij als derde een objectieve kijk op de interne uitdagingen en kunnen nieuwe of andere oplossingen worden aangereikt.