Safety first voor de online ondernemer

Wie zich vandaag op de digitale markt begeeft, moet rekening houden met heel wat wetgeving, zoals onder meer een strenge consumentenbescherming met de nodige informatieverplichtingen en verplichte verkoopprocessen, een correct cookiebeleid, betere bescherming voor online verkopers op online platforms en een doorgedreven bescherming van de persoonsgegevens van je klanten. Al jaren worden door Europa initiatieven genomen om vanuit verschillende invalshoeken de digitale Europese markt op te bouwen met betrouwbare spelers.

Na 2 jaar kunnen we stellen dat de GDPR hier een belangrijke rol gespeeld heeft, deels dankzij de toch wel strenge handhaving. De gegevensbeschermingsautoriteiten controleren en bestraffen effectief ondernemingen die geen conforme toepassing maken van de GDPR. Eén van de basisverplichtingen onder die GDPR is dat je passende organisatorische en technische maatregelen neemt ter bescherming van je data.

Sinds medio 2019 is er op vlak van veiligheid nog andere belangrijke wetgeving gekomen die (een jaar te laat) de Europese Richtlijn uit 2016 moest omzetten met betrekking tot te nemen maatregelen voor een hoog gemeenschappelijk niveau van beveiliging van netwerk- en informatiesystemen in de Unie. Deze nieuwe regelgeving (verder NIS) gaat verder dan enkel de bescherming van persoonsgegevens en heeft naast de bescherming van een reeks vitale sectoren van de maatschappij (Energie, Vervoer, Financiën, Gezondheidszorg, …) ook expliciet de digitale dienstverleners opgenomen.

Digitale dienstverlener

Digitale dienstverleners krijgen dus bijkomende veiligheidsverplichtingen opgelegd omdat de wetgever van oordeel is dat heel veel burgers/consumenten gebruik maken en dus afhankelijk zijn van hun dienstverlening. De eerste vraag die je als ondernemer moet stellen is dan uiteraard of je wel onder het toepassingsgebied van deze extra maatregelen valt.

Je biedt een digitale dienst aan wanneer deze dienst gewoonlijk tegen vergoeding, langs elektronische weg, op afstand en op individueel verzoek van een afnemer van diensten wordt verricht. In de NIS worden drie soorten digitale diensten geviseerd: cloudcompeterdiensten, onlinemarktplaatsen en onlinezoekmachines.

Bij een cloudcomputerdienst bied je een digitale dienst aan die de toegang mogelijk maakt tot een schaalbare en elastische pool van deelbare computercapaciteit. Dit betreft een zeer ruime omschrijving waar momenteel kan gedacht worden aan de drie belangrijkste modellen, namelijk IaaS, PaaS en Saas-modellen.

Spreekt de NIS over een onlinemarktplaats, dan heeft zij het over twee mogelijke diensten. Enerzijds kan dit een digitale dienst zijn die consumenten en/of ondernemingen mogelijk maakt online verkoop- of dienstenovereenkomsten met ondernemingen te sluiten op de website van een onderneming van de onlinemarktplaats zelf. De overeenkomst wordt op de marktplaats zelf gesloten en mag niet louter functioneren als doorverwijzer naar de website van de onderneming zelf. Anderzijds kan het gaan om een digitale dienst op de website van een onderneming die gebruikmaakt van door de onlinemarktplaats aangeboden informaticadiensten. Tot deze diensten kunnen onder meer de verwerking van transacties, de verzameling van gegevens of de profilering van gebruikers behoren. Het gaat dan bijvoorbeeld over online stores voor applicaties die de distributie van applicaties en software verzorgen, wanneer ze ontwikkelaars van applicaties in staat stellen hun diensten aan consumenten of andere bedrijven te verkopen of beschikbaar te stellen.

Tot slot wordt met een onlinezoekmachine een digitale dienst bedoeld die het gebruikers mogelijk maakt zoekacties uit te voeren op in principe alle websites of websites in een bepaalde taal op basis van een zoekvraag over om het even welk onderwerp in de vorm van een trefwoord, een zin of andere input met als resultaat hyperlinks naar informatie over de opgevraagde inhoud. Het gaat dan niet over de loutere zoekfunctie om binnen een zelfde website informatie op te zoeken.

Omvang en vestiging van je onderneming

De NIS viseert niet de kleinere dienstverleners. Zo moet je cumulatief meer dan 50 werknemers tewerkstellen én een jaaromzet van meer dan 10 miljoen euro hebben. Let hierbij wel op dat bij het bepalen van de omvang van je onderneming het geen belang heeft of je uitsluitend digitale diensten in de zin van de NIS-wetgeving dan wel ook andere diensten verstrekt.

De Belgische wetgeving is van toepassing van zodra je je hoofdkantoor in België hebt. Is je maatschappelijke zetel gevestigd in België, dan geldt het vermoeden dat ook je hoofdkantoor in België is gevestigd. Digitale dienstverleners die niet in de EU gevestigd maar wel diensten verlenen in België vallen onder deze wetgeving indien hun vertegenwoordiger in België gevestigd is.

Welke maatregelen moet ik dan nemen?

Als digitale dienstverlener ben je in de eerste plaats verplicht om de risico’s voor de beveiliging van je netwerk- en informatiesystemen te identificeren. Vervolgens is het vereist om passende en evenredige technische en organisatorische maatregelen te nemen om die risico’s te beheersen. Leidraden zijn terug te vinden bij o.a. ENISA en de websites van de bevoegde autoriteiten. Je kan ook kiezen voor een certificeringsprocedure (vb. ISO-normering).

Daarnaast moet je melding maken van alle incidenten die aanzienlijke gevolgen (kunnen) hebben voor de aangeboden digitale diensten. Dit is een open norm, waarbij je verschillende criteria kan gebruiken. We denken daarbij aan de tijdspanne dat de dienst niet naar behoren werkt, het aantal gebruikers dat getroffen wordt, de aard van de impact (vb. risico voor de openbare veiligheid), begroting materiële schade, …

Word je als digitale dienstverlener geconfronteerd met zo’n incident, dan ben je verplicht om dit onverwijld en tegelijkertijd te melden aan het Centrum voor Cybersecurity België, het Crisiscentrum van de FOD Binnenlandse Zaken, de FOD Economie

Deze melding is eenvoudig te doen door melding via het formulier op het NIS-meldingsplatform, te consulteren via https://nis-incident.be. Om toegang te krijgen moet je een account aanvragen via nis-dsp@economie.fgov.be.

Naast deze melding dient ook de gebruiker van de digitale dienst onverwijld in kennis gesteld te worden van het incident.

Vertrouwelijkheid en bescherming persoonsgegevens

De toegang tot alle informatie over deze incidenten dient beperkt te worden tot de personen die deze informatie nodig hebben voor de uitoefening van hun functie of opdracht onder deze NIS-wet. Personeelsleden en onderaannemers van de digitale dienstverlener zijn gehouden tot het beroepsgeheim en de toegang tot de informatie over het incident moet beperkt blijven tot die personen die ze nodig hebben voor de uitoefening van hun opdracht onder de NIS-wet.

Ter aanvulling van je dataregister geeft de wet reeds welke persoonsgegevens verwerkt zouden kunnen worden, welke verwerkingen er kunnen gebeuren voor welke doeleinden en op basis van welke rechtsgrond dit kan gebeuren. Vanzelfsprekend geldt ook hier het principe van dataminimalisatie.

De rechten onder de GDPR van je klanten worden beperkt voor het onderdeel van de incidentmelding voor zover dit noodzakelijk en nadelig zou zijn voor de controle, het (straf)onderzoek de voorbereidende werkzaamheden of in het geval de veiligheid van personen in gevaar kan gebracht worden.

Hou er tot slot rekening mee dat je als digitale dienstverlener ook verplicht bent om een data protection officer aan te stellen.

Besluit

Wie vandaag digitale diensten online aanbiedt, moet steeds de nodige aandacht hebben voor eventuele bijkomende veiligheids- en meldingsverplichtingen. Hou er rekening mee dat ook deze verplichtingen effectief gecontroleerd worden en dat je verplicht bent om mee te werken. De wetgever heeft hiervoor vergelijkbare sancties voorzien als onder de GDPR, zodat dit minstens evenveel aandacht verdient. Safety first dus voor de online ondernemer.

Vragen? Bel of mail gerust vrijblijvend op bart@siriuslegal.be of op +32 486 901 931.

Geef als eerste een reactie

Geef een reactie

Uw e-mailadres wordt niet gepubliceerd.


*