Verslag van Webinar Capita Selecta GDPR

Par Bernd Fiten, Advocaat lid van de Nederlandstalige Orde van Advocaten bij de Balie te Brussel

De Europese incubator van de Brusselse Balie (INCUEBRUX) was verheugd om vorig jaar sprekers zoals Hans Graux, Peter Berghmans, Peter Vergote en Lynn Pype te ontvangen op het GDPR webinar (capita selecta) over beveiliging en de aansprakelijkheid van online tussenpersonen. De inleiding van het webinar werd verzorgd door Emmanuel Verraes (ter vervanging van stafhouder Bart De Moor). Hieronder leest u een kort verslag.

In het internettijdperk zijn persoonsgegevens van onschatbare waarde. Daarom moeten organisaties die persoonsgegevens verwerken ervoor zorgen dat deze gegevens afdoende beveiligd zijn. De AVG bepaalt onder andere dat organisaties gepaste technische en organisatorische beveiligingsmaatregelen (TOMs) moeten nemen. Indien organisaties er niet in slagen om gepaste beveiligingsmaatregelen te nemen, dan plegen zij mogelijks een inbreuk op de AVG en kunnen zij een hoge boete oplopen. Een voorbeeld hiervan is de boete van 20,4 miljoen EUR opgelegd aan hotelketen Marriott International Inc. voor het lekken van de gegevens van 339 miljoen klanten.

Het zal u dan ook niet verbazen dat “beveiliging” het eerste onderwerp van dit webinar was. Het ging onder meer om de vraag op welke manier persoonsgegevens gepast kunnen worden beveiligd. Voor wat betreft het mogelijk beveiligingsrisico bij het verwerken van bepaalde persoonsgegevens in de cloud verwees Hans Graux, voorzitter van de Vlaamse Toezichtcommissie (VTC), naar de matrix die door de VTC werd opgesteld. Deze matrix is een nuttig instrument voor Vlaamse overheidsinstanties, maar ook voor andere organisaties, die willen beoordelen in welke mate het veilig is om bepaalde persoonsgegevens in de cloud op te slaan. Tijdens het webinar gaf Hans Graux ook duiding bij de reactie van de VTC van 20 oktober 2020 in verband met advies en waarschuwing VTC nr. 2020/05 van 8 september 2020 over informatieveiligheid en GDPR-conformiteit bij publieke cloud hosting. U kunt de geschreven reactie van de VTC hier raadplegen.

Als tweede onderdeel van het onderwerp “beveiliging” kwam Peter Berghmans, beveiligingsexpert en medeoprichter van DPI, een cyber security incident op de Universiteit Maastricht toelichten. Het ging om een cyberaanval waarbij de computerbestanden van de universiteit door cybercriminelen werden versleuteld. Uit de toelichting door Peter Berghmans bleek dat de cybercriminelen reeds maanden voor de cyberaanval toegang hadden tot de IT-systemen. Zo konden zij hun aanval grondig voorbereiden en backups uitschakelen. Peter Berghmans lichtte enkele lessen toe die uit deze zaak kunnen worden geleerd, waaronder het belang van monitoring, logging, updates en multi-factor authentication.

Het tweede onderwerp van dit webinar was “private rechtshandhaving”, meer bepaald het samenspel tussen de AVG en de private rechtshandhaving van intellectuele rechten op het internet. Sinds de AVG lijkt het complexer om een websitebeheerder te identificeren als die zijn identiteit verhult. Deze gegevens zijn immers niet meer publiekelijk te raadplegen op de website van DNS Belgium (via Whois). Peter Vergote, legal manager bij DNS Belgium, wees er echter op dat DNS Belgium verschillende procedures heeft om tegemoet te komen aan een legitiem verzoek om informatie over een bepaalde websitebeheerder te bekomen (bv. om deze websitebeheerder te kunnen dagvaarden voor een inbreuk op intellectuele rechten). Een gemotiveerd verzoek kan worden ingediend via de formulieren die DNS Belgium op haar website ter beschikking stelt.

In sommige gevallen zal de websitebeheerder echter zijn contactinformatie niet verhullen. Dat is meestal het geval bij de zogenaamde platformen. De vraag die zich dan stelt is of deze platformen aansprakelijk kunnen worden gesteld indien de inhoud die door hun gebruikers online worden geplaatst bepaalde intellectuele rechten schenden. Als tweede onderdeel van het onderwerp “private rechtshandhaving” lichtte Lynn Pype, advocate bij Timelex, toe dat er een zogenaamde safe harbour-regeling (uit de Europese eCommerce richtlijn) bestaat voor dergelijke platformen. Dit betekent dat het platform niet aansprakelijk kan worden gesteld voor de inhoud van hun gebruikers indien er aan bepaalde voorwaarden is voldaan, namelijk indien (1) het platform geen kennis heeft over de onwettige informatie, (2) hij prompt handelt door de informatie te verwijderen indien hij er wel kennis van krijgt en (3) hij dit meldt aan de Procureur des Konings.

Meer informatie over de Europese incubator van de Brusselse Balie (INCUEBRUX) en de toekomstige webinars kunt u raadplegen op de website van de incubator.