Privacy Law Security Overeenkomst toezichthouder toestemming Les opzet

Privacy, Law & Security Overeenkomst toezichthouder, toestemming

Les opzet n n n Bespreken huiswerkcasus Hoorcollege Overeenkomst toezichthouder, toestemming Casus Overeenkomst toezichthouder, toestemming

Opdracht datalek n n n Datalek opdracht vragen (5 min) Peer review door mede-studenten (30 min) Conclusies (10 min)

Beginselen van contractrecht n n n 1. Contractsvrijheid Wel/niet contracteren Bepaling inhoud n Beperkingen: Mededingingsrecht, monopoliepositie n Bescherming zwakkere partij n b. v. handelingsonbekwame, consument, huurder, werknemer n De wet (nietig) n

Mag dit?

Beginselen van contractrecht n n 2. Consensualisme: vormvrijheid art. 3: 37 lid 1 “Tenzij anders is bepaald, kunnen verklaringen in iedere vorm geschieden, en kunnen zij in een of meer gedragingen besloten liggen. ” Dus geen formalisme: contract is gebonden aan bepaalde vorm Dus ook MONDELING/Website/Whatsapp

Beginselen van contractrecht n n n 3. Pacta sunt servanda art. 6: 248 “Een overeenkomst heeft … de door partijen overeengekomen rechtsgevolgen. ” Oftewel: een overeenkomst is verbindend tussen de partijen die het hebben gesloten.

Vraag n Grenzen van het redelijke. n Verzin een situatie waarin je een contract NIET hoeft uit te voeren

Hoe ontstaat een contract? n n Contract komt tot stand door: Aanbod & aanvaarding n n n aanbod: voorstel om een overeenkomst tot stand te brengen aanvaarding: het aanbod accepteren/ ja zeggen Aanbod en Aanvaarding zijn Rechthandeling: - handeling (doen of nalaten, Art. 3: 33 en 3: 35 BW) n n - gericht op een rechtsgevolg (“je wilt dat er iets gebeurt”) - wil tot rechtsgevolg is geopenbaard in verklaring

Wils- vertrouwensleer n n Wat als de wil en verklaring van de partij niet overeenkomen? (“je zegt iets anders dan je bedoelt” Er is sprake van gerechtvaardigd vertrouwen indien: n n - wederpartij er redelijkerwijs op mocht vertrouwen dat verklaring overeenkomt met de wil - de verklarende partij aan dit vertrouwen heeft bijgedragen (‘toedoen verklarende partij’)

Vernietigings gronden n Wilsgebreken n n Handelingsonbekwaamheid n n n Dwaling (onbedoeld verkeerde informatie) Bedrog (art. 3: 44) Bedreiging (art 3: 44) Misbruik van omstandigheden (art. 3: 44) Minderjarigheid (tenzij “gebruikelijke actie”) Curatele Bij vernietigingsgrond heb je de bevoegdheid om te vernietigen: het kan wel, maar het is niet verplicht

Algemene voorwaarden n “Algemene voorwaarden: een of meer bedingen die zijn opgesteld teneinde in een aantal overeenkomsten te worden opgenomen, met uitzondering van bedingen die de kern van de prestaties aangeven, voor zover deze laatstgenoemde bedingen duidelijk en begrijpelijk zijn geformuleerd “ Grijze lijst: in principe onredelijk Zwarte lijst: altijd onredelijk

De Koopovereenkomst n n n Wederkerige overeenkomst: persoon 1 moet iets geven, persoon 2 moet betalen Confomiteit bij koop : “De afgeleverde zaak moet aan de overeenkomst beantwoorden. […] De koper mag verwachten dat de zaak de eigenschappen bezit die voor een normaal gebruik daarvan nodig zijn en waarvan hij de aanwezigheid niet behoefde te betwijfelen (art. 7: 17)

De Koopovereenkomst n Als non-conform (“voldoet niet”) n n Aflevering / herstel / vervanging. KOPER mag kiezen welke vd 3! Koper draait niet op voor de kosten van lid 1 Geen vervanging/herstel als het niet van verkoper gevergd kan worden Bij consumenten: n Als afwijking binnen 6 maanden openbaart wordt vermoed dat het al zo was bij aflevering

Casus OTTO n n n OTTO adverteert met televisie voor 99 euro. (ipv 699 Euro) Vele klanten bestellen de TV. Vraag: moeten ze leveren?

Casus OTTO n n OTTO adverteert met televisie voor 99 euro. (ipv 699 Euro) Vele klanten bestellen de TV. Vraag: moeten ze leveren? Antwoord: Nee: n n n Geen overeenstemming tussen Wil en Verklaring. Men had kunnen weten dat het een fout was Als fout minder duidelijk is: wel plicht tot leveren!

Een praktijkgeval…. www. pepper. com

…. Goede trouw? www. pepper. com

De Bevestiging: gelukt!? www. vikingdirect. nl

Mag dit? www. outlook. com

Verwerkingsovereenkomst

Verwerkingsovereenkomst n Maakt de organisatie gebruik van de diensten van een verwerker (nu nog ‘bewerker’ genoemd)? Dan zijn de organistie en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst (zie artikel 28, lid 3 van de AVG).

Verwerkingsovereenkomst n Algemene beschrijving n n Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke. Instructies verwerking n De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.

Verwerkingsovereenkomst n n Geheimhoudingsplicht n Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht. Beveiliging n De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.

Verwerkingsovereenkomst n Subverwerkers n n De verwerker schakelt geen subverwerker(s) in zonder voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting de organiastie heeft. In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.

Verwerkingsovereenkomst n Privacyrechten n n De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit). Andere verplichtingen n De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.

Verwerkingsovereenkomst n Gegevens verwijderen n n Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren. Audits n De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen

Leidende toezichthouder n n Onestopshop organisaties die grensoverschrijdende gegevensverwerkingen uitvoeren, hoeven maar met één privacytoezichthouder zaken te doen. Dit wordt de ‘leidende toezichthouder’ genoemd (lead supervisory authority).

Grensoverschrijdend n n Onder grensoverschrijdende gegevensverwerkingen wordt verstaan dat een organisatie gegevens verwerkt in verschillende EU-lidstaten óf dat de verwerkingen in meerdere lidstaten impact hebben. De hoofdregel is dat de toezichthouder van de EU-lidstaat waar de hoofdvestiging van een organisatie is gevestigd, de leidende toezichthouder is.

Samenwerking n De leidende toezichthouder stemt zijn optreden af met privacytoezichthouders in de andere EU-landen waar de gegevensverwerking impact heeft. De leidende toezichthouder coördineert de activiteiten, betrekt de andere toezichthouders bij de zaak en legt conceptbeslissingen aan hen voor.

Plichten van de verwerker

Toestemming/ verantwoordingsplicht n n Een organisatie moet kunnen aantonen dat zij geldige toestemming van mensen heeft gekregen om hun persoonsgegevens te verwerken. En dat het voor mensen net zo makkelijk moet zijn om hun toestemming in te trekken als om die te geven.

Lange rij plichten (1) n n n Bijhouden van verwerkingsregister Afsluiten van een verwerkersovereenkomst (gezamenlijke verantwoordelijkheid met verwerkingsverantwoordelijke) Na afloop van de dienstverlening alle persoonsgegevens verwijderen of aan de verwerkingsverantwoordelijke retourneren Geen subverwerkers inschakelen zonder voorafgaande toestemming van de verwerkingsverantwoordelijke Overeenkomsten met verwerkers sluiten, met daarin dezelfde verplichtingen als in de verwerkersovereenkomst met de verwerkingsverantwoordelijke

Lange rij plichten (2) n n n Voor zover mogelijk, technische en organisatorische maatregelen treffen om de verwerkingsverantwoordelijke bij te staan bij het nakomen van de rechten van betrokkenen Voor zover mogelijk, de verwerkingsverantwoordelijke bij te staan bij het voldoen aan de verplichtingen omtrent beveiliging, meldplicht datalekken en PIA Meewerken aan audits en controle van de verwerkingsverantwoordelijke Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien een instructie een inbreuk op de AVG oplevert De verwerkingsverantwoordelijke ‘zonder vertraging’ te informeren van een inbreuk in verband met persoonsgegevens

Boetes n n Maximaal € 820. 000, - of 10% van de jaarlijkse wereldwijde omzet Verplichtingen zijn ingedeeld in drie categorieën, een hogere categorie betekent een hogere boete Hoogste categorie: n Verwerking bijzondere persoonsgegevens n Verwerking BSN Bestuurdersaansprakelijkheid: n een boete opleggen aan een onderneming, of aan de persoon die feitelijk leiding heeft gegeven aan de verboden gedraging. Dit kan de bestuurder zijn (bestuurdersaansprakelijkheid) maar ook een ander persoon binnen de organisatie

Bewerkersovereenkomst, Leidende toezichthouder n n Analyseer of de organisatie gegevensverwerking heeft uitbesteed aan een bewerker/verwerker. Controleer bij minimaal één overeenkomt of deze nog toereikend is en of deze voldoet aan de eisen die de AVG aan een verwerkersovereenkomst stelt. Bepaal onder welke toezichthouder de organisatie valt. Dit is vooral bij organisaties met een impact binnen meerdere EU landen het geval.