28
NOV
2017

Vacature aannemingsrecht

Questa Advocaten is op zoek naar één fulltime advocaat stagiair/medewerker (m/v) om haar afdeling aannemingsrecht te Antwerpen te versterken.

Interesse? Klik hier voor meer informatie!

08
SEP
2017

Christophe Minnart vervoegt Questa Advocaten als partner

Christophe Minnart (39), gespecialiseerd in vennootschapsrecht en M&A, heeft de corporate M&A-praktijk van Questa Advocaten vervoegd als partner. Voorheen werkte hij achtereenvolgens in de corporate departementen van Stibbe en Liedekerke Wolters Waelbroeck Kirkpatrick en heeft hij in 2013 het Brusselse advocatenkantoor crosslaw mee opgericht.

Christophe Minnart is een Belgisch advocaat wiens praktijk zich voornamelijk richt op fusies en overnames, joint ventures, corporate governance, reorganisaties, vennootschapsrechtelijke adviesverlening, complexe vennootschaps- en commerciële contracten en geschillenbeslechting.

Hij adviseert KMO’s alsook grote internationale en/of genoteerde ondernemingen actief in diverse sectoren.

Naast zijn advocatenpraktijk, is Christophe gastdocent aan de KU Leuven en is hij verbonden aan het Instituut voor Verbintenissenrecht. Hij is eveneens benoemd als plaatsvervangend rechter.

Questa Advocaten is een semi full-servicekantoor in het ondernemingsrecht dat hoofdzakelijk actief is binnen het vennootschaps- en het handelsrecht, insolventierecht, ICT, vastgoedrecht en sociaal recht.

Christophe Minnart licht zijn overstap toe: Ik ben bijzonder verheugd om het dynamische team van Questa Advocaten te vervoegen. Questa Advocaten is een kantoor waarmee ik dezelfde visie en waarden deel: een aantrekkelijke combinatie van pragmatische en no-nonsens dienstverlening, hechte relaties met het cliënteel, een ondernemende ingesteldheid en een uiterst hoogstaand kwaliteitsniveau aan een betaalbaar tarief.

Dirk Beeckman, medeoprichter en partner bij Questa Advocaten becommentarieert: Wij zijn zeer opgetogen dat Christophe ons kantoor vervoegt. Zijn praktische ingesteldheid past naadloos in Questa’s cultuur en zijn indrukwekkende ervaring in complexe dossiers en zijn uitstekende reputatie op het terrein zijn strategische kwaliteiten om onze snelgroeiende corporate en M&A-praktijk te leiden en verder uit te breiden.

12
MEI
2017

EU-privacywetgeving: is je bedrijf er klaar voor?

Op 17 mei 2017 zullen Dirk Beeckman en Kelly Matthyssens spreken op een gratis seminarie over de Algemene Verordening Gegevensbescherming, in samenwerking met Vectr. Consulting en Evolane.

In 2018 gaat de nieuwe Europese privacywetgeving van kracht. Ondermeer bedrijfsprocessen, systemen en software dienen hierop afgestemd te worden. Centraal hierin staat de bescherming van persoonlijke data. Om dit in de praktijk te realiseren, is het aangewezen het Security by Design en Privacy by Design principe te hanteren.

Wat zijn de belangrijkste punten uit de nieuwe wetgeving? Wat betekent dat voor mijn organisatie? En hoe implementeer ik dat nu eigenlijk? Kom het antwoord ontdekken tijdens ons seminarie op 17 mei, waar we samen de vertaalslag maken tussen GDPR en IT-implementatie.

Sprekers:
Dirk Beeckman en Kelly Matthyssens, Questa Advocaten.
Kristof Haeck, securityspecialist bij Evolane, zoomt in op de uitdagingen waarvoor bedrijven staan om een optimale en veilige online-ervaring te creëren.
Tom Michiels en Ignaz Wanders, data-architecten van Vectr. Consulting. Zij maken de vertaling van het juridische kader naar concrete use cases.Ze doen dit aan de hand van een project implementatie bij een direct-marketing bedrijf, waarbij Privacy by Design wordt ingebouwd.

Praktisch:
Waar? Congres- en Erfgoedcentrum Lamot, Van Beethovenstraat 8-10, 2800 Mechelen.
Wanneer? 17 mei 2017, vanaf 17:00 ontvangst. Om 18:00 stipt starten de presentaties. Afronden doen we na een netwerkdronk rond 21:00.

Inschrijven kan nog via de volgende link: Inschrijven.

09
MEI
2017

Nieuwe insolventieverordening 2015/848: enkele wijzigingen

Geschreven door Evelyn Waumans, semesterstagiaire bij het team corporate en IP/ICT recht.

De Insolventieverordening 1346/2000 werd per 20 mei 2015 herzien en de nieuwe Insolventieverordening 2015/848 zal van toepassing zijn op insolventieprocedures die op of na 26 juni 2017 geopend worden. Verordening 2015 bevat een aantal verfijningen.

Ten eerste werd het toepassingsgebied van de Verordening uitgebreid naar procedures waar de schuldenaar zelf de boedel bestuurt (debtor in possession’) en procedures in een situatie waar slechts een risico op insolventie bestaat, mits die procedure tot doel heeft de insolventie of een staking van de bedrijfsactiviteiten te voorkomen (art. 1). Ook de regels betreffende bevoegdheid werden aangepakt en opgekuist, in het bijzonder werd een definitie opgenomen van het veelbesproken COMI-begrip en werden enkele verdachte periodes ingevoerd (art. 3). Vervolgens zorgt Vo 2015 voor een nauwere coördinatie tussen de hoofd- en de territoriale procedures. Bovendien zorgt Vo 2015 voor een sterk verbeterde publiciteit op Europees niveau van verschillende juridische acties die betrekking hebben op insolventie. Tot slot stemt Vo 2015 zich af op de economische werkelijkheid, door een reeks nieuwe bepalingen te voorzien die de coördinatie van insolventieprocedures van groepsvennootschappen moet verbeteren (art. 56 t.e.m. 77). Mede hierdoor is Vo 2015 en haar preambule heel wat omvangrijker dan Vo 2000.

De rechtszekerheid wordt bevorderd met Vo 2015 door het invoegen van een definitie van het COMI-begrip in artikel 3.1: “Het centrum van de voornaamste belangen is de plaats waar de schuldenaar gewoonlijk het beheer over zijn belangen voert en die als zodanig voor derden herkenbaar is”. Deze bepaling werd overgenomen uit overweging 13 van Vo 2000 en sluit ook aan bij de rechtspraak van het Hof van Justitie. Van een echte grote wijziging in Vo 2015 betreffende het COMI-begrip is aldus geen sprake. Bij het lokaliseren van het COMI, komt het erop aan om voorrang toe te kennen aan de criteria die zichtbaar zijn voor derden en die het voorwerp uitmaken van publiciteit of tenminste voldoende transparant zijn zodat de schuldeisers er kennis van konden hebben.

Ten einde oneigenlijke of op fraudeleuze gronden gebaseerde forum shopping te voorkomen voert Vo 2015 enkele maatregelen in (overweging 29 Vo 2015). Het COMI-begrip wordt bijgestaan door de vermoedens vervat in artikel 3.1 Vo 2015. Het weerlegbaar vermoeden van de statutaire zetel voor vennootschappen en rechtspersonen blijft behouden. Voor natuurlijke personen die als zelfstandige een bedrijfs- of beroepsactiviteit uitoefenen, voert Vo 2015 ook een vermoeden in: voor hen wordt, zolang het tegendeel niet is bewezen, het COMI vermoed de plaats van diens hoofdvestiging te zijn. In het geval van andere natuurlijke personen wordt, zolang het tegendeel niet is bewezen, het centrum van de voornaamste belangen vermoed diens gebruikelijke verblijfplaats te zijn.

Overweging 30 van Vo 2015 stelt dat het vermoeden van de statutaire zetel weerlegbaar is indien uit een integrale beoordeling van alle relevante factoren blijkt dat het werkelijke centrum van bestuur en toezicht van de vennootschap en van het beheer over haar belangen zich in een andere lidstaat bevindt.

De Europese wetgever is zich duidelijk bewust van het fenomeen van forum shopping en de nood aan waarborgen om dit fenomeen te voorkomen. Daarom wordt in Vo 2015 forum shopping ontmoedigd door het invoeren van verdachte periodes (‘look back periods’), waarin het vermoeden van de statutaire zetel, hoofdvestiging of gebruikelijke verblijfplaats niet zal gelden voor het bepalen van de internationale bevoegdheid. Voor vennootschappen en rechtspersonen wordt een periode van 3 maanden voorzien: indien de statutaire zetel in de drie maanden voorafgaand aan het aanvragen van de insolventieprocedure naar een andere lidstaat is overgebracht, zal het vermoeden niet gelden. Voor natuurlijke personen die als zelfstandige een bedrijfs- of beroepsactiviteit uitoefenen bedraagt de verdachte periode eveneens 3 maanden. Voor elke andere natuurlijke persoon bedraagt de verdachte periode 6 maanden. Of deze verdachte periodes veel effect zullen hebben in de praktijk, zal de toekomst moeten uitwijzen.

Een belangrijke wijziging betreft de ambtshalve toetsing van bevoegdheid door de geadieerde rechter. Vo 2015 stelt dat de rechter, vooraleer een insolventieprocedure te openen, ambtshalve moet onderzoeken of het COMI van de schuldenaar of de vestiging zich daadwerkelijk binnen zijn rechtsgebied bevindt (art. 4). In de beslissing tot opening van de insolventieprocedure moet de rechter aangeven op welke gronden zijn bevoegdheid gebaseerd is, en meer bepaald of de bevoegdheid gegrond is op artikel 3, lid 1 (hoofdprocedure) of artikel 3, lid 2 (territoriale procedure). Bovendien kan de geadieerde rechter, indien hij twijfelt over het COMI, aan de schuldenaar aanvullend bewijs vragen. Om ervoor te zorgen dat deze maatregel niet louter resulteert in een ‘box ticking’ door de nationale rechtbanken, voert Vo 2015 een rechtsmiddel in voor de schuldenaar of schuldeiser die het niet eens is met de openingsbeslissing. Deze kunnen de beslissing tot opening van de hoofdprocedure voor de rechter aanvechten o.g.v. de internationale bevoegdheid (art. 5). Het blijft natuurlijk afwachten of deze maatregelen uiteenlopende nationale uitspraken kunnen voorkomen in de toekomst.

De wijzigingen, zoals hierboven besproken, betreffen dus voornamelijk een codificatie van bestaande regels en interpretaties van het COMI-begrip door het Hof van Justitie. De discussie over het COMI-concept lijkt dan ook zeker nog niet ten einde. De toekomst zal uitwijzen hoe er in de praktijk wordt omgegaan met de nieuwe bepalingen.

14
APR
2017

Voorstel nieuwe e-Privacy Verordening

Geschreven door Lynn Vleugels, semesterstagiaire bij het team corporate en IP/ICT recht.

In het kader van de Digital Single Market strategie wordt de Europese regelgeving inzake digitale diensten grondig herzien (e-commerce, telecom, online platformen,…). Ook op het vlak van privacy en gegevensbescherming wordt het wetgevend kader hervormd. Als aanvulling op de Algemene Verordening Gegevensbescherming (GDPR) en de nieuwe NIS- richtlijn, die beide 25 mei 2018 van toepassing worden, is er nu ook een voorstel gepubliceerd voor hervorming van de e-Privacy Richtlijn.

Het voorstel beoogt strengere privacyregels, in lijn met de strikte GDPR, voor alle elektronische communicatiediensten die gericht zijn aan eindgebruikers in de EU. Net zoals met de GDPR wordt de huidige richtlijn veranderd in een verordening, die de regels rechtstreeks toepasselijk maakt, in de hele EU.

Allereerst wordt in het voorstel het toepassingsgebied verruimd. Daar waar de huidige richtlijn zich louter tot de traditionele telecombedrijven richt, zou de verordening ook van toepassing zijn op marktspelers die communicatiediensten via het internet aanbieden, de “over-the-top” diensten (OTT) zoals Whatsapp, Skype, Facebook Messenger en e-maildiensten. Daarnaast zou de verordening ook toepassing vinden wat betreft elektronische communicatie tussen apparaten, het Internet of Things (IoT).

Het voorstel bevat ook nieuwe regels voor de opslag en verwijdering van de elektronische berichten en de metadata ervan (afkomst, datum,…). Na ontvangst moeten de dienstverleners de inhoud verwijderen of anonimiseren, tenzij ze uitdrukkelijke toestemming hebben bekomen van de eindgebruiker om de gegevens op te slaan of te verwerken, mits dat noodzakelijk is om de dienst te verlenen. Ook de metadata moeten worden verwijderd of geanonimiseerd behoudens toestemming, of indien ze noodzakelijk zijn voor de betaling of het opsporen van misbruik van de dienst.

Daarnaast wijzigt het voorstel de regels inzake ‘cookies’. De voorwaarden om cookies te plaatsen zijn: een actieve toestemming van de eindgebruiker en het weergeven van een duidelijke en specifieke reden voor het gebruik ervan. Volgens de nieuwe regels is echter geen toestemming meer nodig om de website of communicatie vlot te laten verlopen of om het aantal bezoekers te tellen. Met het voorstel zou de controle op de privacy-instellingen in het algemeen, waaronder het al dan niet accepteren van cookies, makkelijker worden.

Ook voor SPAM (of: ongewenste communicatie voor reclamedoeleinden) biedt het voorstel betere waarborgen. Voor alle elektronische (ook telefonische) marketing is toestemming nodig. Het wordt vereist dat callcenters, mits een speciale prefix of nummer, duidelijk maken dat het om reclame gaat. Wat betreft B2B-relaties stelt het voorstel dat de lidstaten zelf bepalen hoe ze ondernemingen hierbij voldoende kunnen beschermen.

Een laatste belangrijke wijziging betreft het sanctiemechanisme. Overeenkomstig de GDPR, zouden boetes kunnen worden opgelegd die tot 20 miljoen euro of 4% van de vorige globale jaaromzet.

Het blijft echter koffiedik kijken of ook deze hervormde verordening op 25 mei 2018 in werking kan treden, samen met de GDPR en de NIS-richtlijn.

13
JAN
2017

Nieuwe regeling inzake netwerkbeveiliging en informatiesystemen

Geschreven door Stefanie Vinck, semesterstagiaire bij het team corporate en IP/ICT recht.

Op 6 juli 2016 heeft het Europees Parlement een richtlijn aangenomen over netwerkbeveiliging en informatiesystemen (‘NIS Directive’). Het voorstel voor deze richtlijn dateerde al van 2013. Het doel is om een hogere beveiliging van netwerk- en informatiebeveiliging te verkrijgen over de hele unie.

Na de inwerkingtreding in augustus krijgen de lidstaten nog de tijd tot 9 mei 2018 om deze richtlijn te implementeren in hun eigen wetgeving. Dit heeft als gevolg dat bedrijven moeten beginnen met nadenken of zij onder deze nieuwe regelgeving vallen. Indien het antwoord hierop positief zou zijn, moeten zij nadenken of zij hun veiligheidsprocedure zullen moeten herzien en aanpassen naar het recht van het land waar ze zich bevinden.

De richtlijn zelf verplicht de lidstaten om voorbereid te zijn door de juiste uitrusting te hebben. Bijvoorbeeld door het oprichten van een NIS-autoriteit, samenwerking te creëren met andere lidstaten, … Ze zullen ook verplicht worden om een Computer Security Incident Response Team (CSIRT) in te zetten zodat er snel gereageerd kan worden op veiligheidsincidenten en zodat er informatie gedeeld kan worden over risico’s. De veiligheidscultuur zal zich uitstrekken over verschillende sectoren die van vitaal belang zijn voor de economie, van transport en water tot de cloud.

De Europese Unie zal zelf ook blijven werken aan cybersecurity. Dit door haar eigen netwerk, namelijk ‘the European Union Agency for Network and Information Security’ (ENISA). Bovendien haalde de Europese Commissie haar intentie aan om de cybersecurity te stroomlijnen, opleidingen te coördineren en trainingen te voorzien.

Anderzijds voorziet de richtlijn ook in de oprichting van twee werkgroepen: enerzijds is er de samenwerkingsgroep die de uitwisseling van informatie tussen de lidstaten moet garanderen, anderzijds is er het CSIRT-team, dat hierboven reeds besproken werd.

Verder is nog vermeldenswaardig dat de lidstaten zelf bevoegd zijn om inbreuken op de richtlijnen te sanctioneren.

19
DEC
2016

Gezamenlijke koop van software en hardware

Geschreven door Robin Olivier Karpiel, zomerstagiair bij het team corporate en IP/ICT recht.

Arrest Hof van Justitie 7 september 2016 (c-310/15, Vincent Deroo – Blanquart t. Sony Europe Limited)

Huidige praktijk

Als een consument zich een nieuwe computer aanschaft, dan koopt hij niet enkel de computer zelf (hardware), maar ook de bijbehorende, voorgeïnstalleerde software. Deze gezamenlijke koop is op de dag van vandaag zeer gebruikelijk, aangezien de software in principe een kant en klaar gebruik waarborgt voor de consument. De voorgeïnstalleerde software krikt echter in grote mate de prijs van de aankoop op, meestal zonder dat de consument de keuze krijgt om geen software of slechts bepaalde softwareproducten te kopen. Uit deze praktijk volgen dan ook interessante prejudiciële vragen die hierna besproken zullen worden in het licht van het arrest van het Hof van Justitie van 7 september 2016.

Redenering van het Hof

Het Hof onderzoekt eerst of het kopen van een computer met voorgeïnstalleerde software, zonder mogelijkheid voor de consument om hetzelfde model computer zonder voorgeïnstalleerde software te kopen, een oneerlijke handelspraktijk vormt. Vervolgens buigt zij zich over het feit dat de kostprijs van elk afzonderlijk deel van software niet bekend is bij de consument.

Het Hof van Justitie stelt dat een belangrijk deel van consumenten een gezamenlijke koop met software verkiest boven een afzonderlijke koop. Daarnaast werd men in casu door de detailhandelaar naar behoren geïnformeerd over het bestaan van de voorgeïnstalleerde software en de kenmerken ervan.[1] Ten slotte had men de mogelijkheid om in te stemmen met de eindgebruikersovereenkomst, of men kon anderzijds de koop herroepen.

Het Hof vindt bijgevolg niet dat er sprake is van een wezenlijke storing van het economisch gedrag, waarbij een consument een transactie zou besluiten waartoe hij anders niet zou besluiten. Aangezien de consument ‘perfect’ geïnformeerd zou zijn en het hem vrij zou staan om een ander model te kiezen, al dan niet met software, stelt het Hof dat er hier in principe geen sprake zou zijn van een oneerlijke handelspraktijk.

De consument is wel op de hoogte van de totaalprijs en gebaseerd op bovenstaande redenering van het Hof, is het gezamenlijk aanbod van computer en software geen oneerlijke handelspraktijk. Het Hof lijkt hier te zeggen dat, aangezien het aanbod toch onafscheidelijk verbonden is, de afzonderlijke prijzen geen essentiële informatie[2] vormen voor de consument. Aangezien dit geen essentiële informatie is, belet dit de consument niet om een geïnformeerd besluit te nemen, waardoor dus geen sprake zou zijn van een misleidende handelspraktijk.

Kritische analyse

KEUZE VAN DE CONSUMENT

Bij aankoop van een computer hebben veel voorgeïnstalleerde softwareprogramma’s vandaag de dag maar een beperkte functie waardoor zij steeds dichter en dichter komen te staan bij advertenties. Zo is sommige voorgeïnstalleerde software onderworpen aan een proefperiode en zal men later een volledige versie moeten aankopen (trialware). Andere voorgeïnstalleerde programma’s dienen als een digitale doorverwijzing naar een site of een digitale winkel om zo via bijkomende betaling volledig gebruik van de software toe te staan (adware). Dergelijke ongewilde voorgeïnstalleerde software, ook wel bloatware genoemd, zet de consument meestal enkel aan om bijkomende uitgaven te doen. Bloatware heeft op zich een uiterst beperkt nut, maar wordt opgenomen in voorgeïnstalleerde pakketten aangezien zij een bron van inkomsten vormt.

Het Hof stelt dat consumenten voorgeïnstalleerde software verkiezen, maar maakt hierbij geen onderscheid tussen de OS[3], die voor vele consumenten een snel en eenvoudig gebruik waarborgt, en andere softwareprogramma’s die, ofwel enkel bijkomende functies vervullen, ofwel zoals hierboven uiteengezet onder bloatware vallen. Op deze wijze laat het Hof een quasi onbeperkte implementering van bloatware en andere nutteloze software toe, aangezien deze door de prejudiciële beslissing onlosmakelijk verbonden wordt met de rest van het aanbod.

Opvallend is dat het Hof hier geen ruimte laat voor de keuze van de consument. Hij krijgt immers enkel de keuze om de EULA te aanvaarden of om het apparaat terug te geven. Het lijkt echter consumentvriendelijker om de koper de keuze te geven om slechts bepaalde software aan te schaffen of zelfs geen. Het argument van het Hof dat een belangrijk deel van consumenten een direct bruikbare computer verkiest, gaat op in zoverre men het heeft over een OS. Het verklaart niet waarom een consument op vlak van andere programma’s geen beperkingen kan stellen.

Zelfs op vlak van een OS zou het in principe mogelijk moeten zijn om de software te weigeren. Het Hof gebruikt een omgekeerde redenering door eerst te zeggen dat het gezamenlijk aanbod geen oneerlijke handelspraktijk is, o.a. doordat de koper perfect geïnformeerd is over het aanbod en dat men daarom dus ook niet de aparte prijs van elk software-onderdeel moet kennen. Het is echter omdat de koper de exacte prijs niet kent van elk software-onderdeel, dat de consument niet voldoende geïnformeerd is en dat het gezamenlijk aanbod juist een oneerlijke handelspraktijk vormt. Indien consumenten op de hoogte zouden zijn van de bijkomende kosten van een OS, dan zouden zij op een geïnformeerde wijze kunnen deelnemen aan het handelsverkeer en eventueel ook besluiten om een goedkopere versie van de computer aan te schaffen, zonder OS of met een andere OS.

Het Hof lijkt vervolgens ook volledig het bestaan van open-source OS (Linux, GNU, …) te negeren. Hoewel open-source OS voor de gemiddelde consument minder toegankelijk is, houdt zij in de regel niet een aanzienlijke stijging van de totaalprijs in, zoals bij andere OS. Aangezien het Hof heeft besloten dat afzonderlijke prijzen van software-onderdelen geen essentiële informatie vormen, zal een consument zich niet op de hoogte kunnen stellen van het prijsverschil met open-source OS en zal hij deze hoogstwaarschijnlijk niet aanschaffen. Op deze wijze bevoordeelt de beslissing van het Hof onrechtstreeks populaire en duurdere OS en benadeelt zij open-source OS aangezien zij door hun prijsvriendelijke status vaak niet in voorgeïnstalleerde softwarepakketen zitten begrepen. Het Hof komt dus in dit opzicht met zijn prejudiciële beslissing tussen op concurrentieel vlak.

Het argument waarbij er gesteld wordt dat de consument steeds de mogelijkheid zou hebben om een ander model van computer te kopen indien hij niet akkoord zou zijn met de EULA is een pure fictie. Het Hof lijkt niet het besef te hebben dat bijna een absolute meerderheid van computerfabrikanten op dezelfde manier handelt als Sony in casu en dus gebruik maakt van duurdere OS die de prijs van het volledige product opdrijft.

Het moge dus duidelijk zijn dat deze rechtspraak op meerdere wijzen beperkend is ten aanzien van de keuze van consumenten.

Het Hof gaat met zijn recente beslissing in tegen eerdere Europese rechtspraak. De meest noemenswaardige uitspraak hieromtrent is misschien wel die van het Hof van Cassatie van Italië[4], door consumenten geprezen als het einde van de ‘Microsoft-Tax’. In deze zaak van 2014 werd beslist dat, met het oog op de keuzevrijheid van de consument en de concurrentie tussen bedrijven, software en hardware geen gezamenlijke koop vormen. Zo stelt het arrest dat men bij de aankoop van een computer twee aparte contracten sluit (een koop en een licentie) met elk apart een mogelijkheid tot terugbetaling.

Het Hof legt met dit arrest onnodige beperkingen op general purpose hardware zoals computers en besteed met haar beslissing weinig aandacht aan hun breed toepassingsgebied. In hoeverre dit arrest doorweegt voor andere apparatuur met voorgeïnstalleerde software is nog onduidelijk. Deze beperking inzake computers stelt voor consumenten van andere digitale apparatuur echter weinig positieve vooruitzichten.

 

[1] HvJ 23 april 2009, VTB-VAB NV vs Total Belgium NV, C‑261/07 en Galatea BVBA vs Sanoma Magazines Belgium, C‑299/07, punt 66.

[2] art 7, lid 4, Richtlijn 2005/29

[3] Operating System, bv. Microsoft Windows 7, Apple MacOS, Google Android, …

[4] http://www.italgiure.giustizia.it/xway/application/nif/clean/hc.dll?verbo=attach&db=snciv&id=./20140912/snciv@s30@a2014@n19161@tS.clean.pdf

15
SEP
2016

Hervormde dataretentie(wet)

Geschreven door Lynn Vleugels, zomerstagiaire bij het team corporate en IP/ICT recht.

In navolging van de Europese Dataretentierichtlijn die in 2014 vernietigd werd door het Europees Hof van Justitie, heeft het Grondwettelijk Hof ook de Belgische Dataretentiewet vernietigd op 11 juni 2015. Overeenkomstig deze wet moesten telecom- en internetoperatoren de communicatiegegevens waarover zij beschikken gedurende 12 maanden bewaren voor het onderzoeken, opsporen en vervolgen van strafbare feiten.

De reden van nietigverklaring ligt in het feit dat die bewaring in strijd werd bevonden met het gelijkheids- en non-discriminatie beginsel en het recht op privacy en eerbiediging van het privéleven. Beide hoven keurden de ruime en algemene bewaringsplicht af, omdat die werd toegepast zonder enig onderscheid betreffende welke gegevens bewaard moesten worden en van wie.

De Europese Commissaris (afdeling Binnenlandse Zaken) berichtte eerder dat er geen nieuwe richtlijn komt en het dus aan de lidstaten is om nieuwe, niet-strijdige, regelgeving op te stellen. De Belgische wetgever heeft in de nieuwe Dataretentiewet de bewaringsplicht behouden. Wel voorziet de wet in meer en betere waarborgen die de privacy moeten veiligstellen en het risico op misbruik beperken.

Een eerste belangrijke garantie is dat de beschikbaarheid van de persoonsgegevens afhankelijk is van het soort misdrijf. Hoe zwaarder de potentiële straf, hoe langer men toegang heeft tot de gegevens. De wet bepaalt duidelijk welke personen of overheden (gerechtelijke autoriteiten, politie, inlichtingendiensten,…) de gegevens mogen ontvangen en voor welke doeleinden. Daarnaast bevat de wet strengere toegangs- en beschermingsvoorwaarden zoals technologische bewaringsmaatregelen en organisatorische beveiliging van de gegevens.

De hervormde Dataretentiewet is op 28 juli 2016 in werking getreden en wijzigde hierbij de Wet op de Elektronische Communicatie, het Wetboek van Strafvordering en de Wet houdende regeling van de inlichtingen- en veiligheidsdienst.

Daarnaast ging op 13 augustus 2016 het koninklijk besluit van kracht dat niet langer een onbeperkte bewaring van gegevens door de Staatsveiligheid en de militaire inlichtingendienst toelaat. Na 50 jaar – of in sommige gevallen reeds sneller – moeten zij alle persoonsgegevens vernietigen. In uitzonderlijke gevallen kunnen ze echter langer worden bijgehouden, bijvoorbeeld indien noodzakelijk in het kader van een gerechtelijk onderzoek. In die gevallen zal wel elke vijf jaar een evaluatie plaatsvinden waarbij de diensten bepalen of de gegevens nog moeten bewaard worden. Zo niet, worden ze onmiddellijk vernietigd.

Met al deze tijds- en gebruiksbeperkingen probeert de wet tegemoet te komen aan de moeilijke balans tussen het recht op privacy en criminaliteitsbestrijding. De nieuwe waarborgen die zijn ingevoerd moeten de proportionaliteit van de inmening in de privacy verzekeren en zo helpen aan de digitale opsporing van misdrijven, die in deze 21e eeuw een sterk hulpmiddel kan bieden.

16
AUG
2016

Goedkeuring EU-U.S. Privacy Shield – vernietiging slechts een kwestie van tijd?

Op 12 juli 2016 keurde de Europese Commissie het EU-U.S. Privacy Shield goed, dat een veilig kader zou moeten vormen voor de overdracht van persoonsgegevens naar de Verenigde Staten. De regelgeving en uitvoering van het Privacy Shield zal jaarlijks worden geëvalueerd door de VS en de Europese Commissie, zodat het akkoord up to date blijft en effectief wordt uitgevoerd.

Het Privacy Shield vervangt de Safe-Harbor regeling, die werd opgeheven naar aanleiding van het Schrems-arrest van het Europese Hof van Justitie. Het Hof oordeelde op 6 oktober 2015 dat de regelgeving onvoldoende garantie bood op de bescherming van persoonsgegevens door Amerikaanse ondernemingen en verklaarde deze ongeldig. De vernietiging had tot gevolg dat heel wat bedrijven die in de EU verzamelde persoonsgegevens opsloegen in datacenters die zich fysiek in Amerika bevonden, of de gegevens lieten verwerken door Amerikaanse ondernemingen, plots niet meer aan de Europese privacyverplichtingen voldeden. Zij moesten daar in principe dan ook mee ophouden, dan wel een alternatieve regeling treffen om een adequaat beschermingsniveau te garanderen. Een snelle oplossing drong zich dan ook op.

Deze komt er, volgens de Europese Commissie met het EU-U.S. Privacy Shield. Kort gezegd zou het Privacy Shield Amerikaanse bedrijven striktere privacyverplichtingen opleggen m.b.t. bescherming van de persoonsgegevens van Europeanen, betere afdwinging van rechten garanderen, waarborgen en openheid vastleggen m.b.t. toegang tot persoonsgegevens door de Amerikaanse overheden en verhaal voor individuen vergemakkelijken.

Het Privacy Shield werkt met een systeem van zelf-certificering. Amerikaanse bedrijven die wensen deel te nemen dienen zich officieel te registreren voor de Privacy Shield list. Dit kan vanaf 1 augustus 2016. Een overdracht van persoonsgegevens naar gecertificeerde bedrijven is toegelaten zonder dat een afzonderlijke overeenkomt moet worden afgesloten op een adequaat beschermingsniveau te garanderen. Het is nog wel nodig een bewerkersovereenkomst af te sluiten, die de modaliteiten van de verwerking vastlegt tussen de verwerkingsverantwoordelijke en de verwerker. De bedrijven die deelnemen dienen zichzelf jaarlijks te evalueren en op de naleving van de Privacy Shield zal meer controle worden uitgevoerd. Ondernemingen die hun verplichtingen terzake niet of onvoldoende naleven zullen gesanctioneerd worden en kunnen zelfs uitgesloten worden

De V.S. zou verder ondermeer de automatische toegang tot Europese persoonsgegevens uit haar wetgeving moeten verwijderen. In de plaats daarvan zal de toegang tot zulke gegevens door de Amerikaanse overheden worden onderworpen aan strikte beperkingen, voorwaarden en controle. Toegang op grote schaal (mass surveillance) of op willekeurige wijze zou in de toekomst dan ook niet meer mogelijk mogen zijn. Ook zal meer openheid gecreëerd worden over het aantal verzoeken tot inzage van persoonsgegevens dat de Amerikaanse overheid uitbrengt en burgers met klachten kunnen zich richten tot een ombudsdienst.

Tot slot wordt voorzien in gemakkelijk toegankelijke en goedkopere geschillenbeslechtingsmechanismen voor de betrokkene. Ondernemingen zullen steeds binnen 45 dagen moeten reageren op klachten van individuen en er wordt zonder kosten voorzien in een vorm van alternatieve geschillenbeslechting. Het Privacy Shield voorziet ook in een samenwerkings- en handhavingsbeleid tussen het Amerikaanse ministerie van handel en de Federal Trade Commission, met de Europese privacy autoriteiten. Wanneer individuen zich richten tot hun gegevensbescherminsautoriteit, kan deze er zo op toe zien dat klachten worden onderzocht en behandeld. Als laatste toegangsmiddel wordt een arbitragecollege ingesteld dat bindende beslissingen zal kunnen nemen.

De kans is echter groot dat ook deze regeling zal worden aangevochten voor het Hof van Justitie. Tegenstanders oordelen dat het Privacy Shield onvoldoende waarborgen biedt, voornamelijk dan het systeem van zelfcertificering, en te vaag werd geformuleerd. Zo oordeelt ook de article 29 Working party, het overlegorgaan van de Europese privacytoezichthouders. Op 13 april 2016 stelde zij in haar verslag dat het Privacy Shield te vaag geformuleerd is en in het algemeen niet volstaat om de privacy van de Europese burger voldoende te beschermen.[1] In haar – niet bindende – beslissing verlangt de Working party ondermeer extra waarborgen m.b.t. automatische verwerkingen, verdere beperkingen op de toegang door de Amerikaanse overheden en effectieve en onafhankelijke verhaalsmogelijkheid voor de betrokkenen.

Desondanks werden niet alle punten van kritiek van de Working party verholpen. Zo kunnen Amerikaanse ondernemingen nog steeds persoonsgegevens gebruiken voor andere doeleinden dan waarvoor ze verzameld zijn. Echter moeten ze de betrokkene nu wel de mogelijkheid geven om dat te weigeren. De Ombudsman waartoe betrokkenen zich kunnen richten blijft onderdeel uitmaken van het department of state en dus weinig onafhankelijk, en ondanks een kleine wijziging t.a.v. de oorspronkelijk versie op dit punt, mogen persoonsgegevens onder het Privacy Shield bewaard worden zo lang ze relevant zijn. Dit in tegenstelling tot de Europese privacywetgeving, die verlangt dat de gegevens worden verwijderd van zodra het behoud ervan niet langer noodzakelijk is. Ook onder de definitieve versie van het Privacy Shield blijft het mogelijk voor de Amerikaanse autoriteiten om gegevens in bulk te verzamelen, voor zes doelen die zeer breed geïnterpreteerd kunnen worden. De Europese Commissie stelt echter dat het verzamelen van gegevens in bulk niet hetzelfde is als mass surveillance, en het Schrems arrest dus niet geschonden wordt door dit toe te staan. Het is dus maar de vraag of het Privacy Shield een toets door het Hof zou doorstaan.

Het EU-U.S. Privacy Shield trad in werking op 1 augustus 2016.

[1] Working Party Statement of 13 April 2016 on the opinion on the EU-U.S. Privacy Shield, http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2016/wp238_en.pdf.