Privacy & Cookies
Sirius Fridays - 28 februari 2014

Andries Hofkens
Advocaat
Sirius Legal advocaten
www.siriuslegal.be
an...
Overzicht
• Privacy: hier en nu
• Privacy: toekomstig recht
• Cookies
• Fingerprinting
Persoonsgegevens & Privacy
Huidige situatie:
Europese privacy richtlijn van 1995 (95/46/EG)
Belgische wet van 1992 (enkele...
Persoonsgegevens & Privacy

“Persoonsgegevens”
• Brede definitie van begrip “persoonsgegevens”:
• alle informatie m.b.t. e...
Persoonsgegevens & Privacy
Persoonsgegevens & Privacy
Voorwaarden
• Voorafgaande, vrijwillige en geïnformeerde toestemming
• Verantwoordelijke voor d...
Persoonsgegevens & Privacy
Informatieplicht

• Transparantie: aangeven wat en met welk doel wordt verwerkt (enkel gegevens...
Persoonsgegevens & Privacy
Rechte van de betrokkene
• Recht op informatie: opnemen in Privacy Policy
• Recht om vragen te ...
Persoonsgegevens & Privacy
Doorgifte van data
• Naar EU lidstaat: vrij mogelijk als overzending ‘nodig’ is of ‘verenigbaar...
Toekomst
Nieuw EU voorstel
• Verordening ipv richtlijn: rechtstreeks van toepassing in alle EU lidstaten: 1 wet i.p.v. 28
...
Toekomst
Burgers: versterking individuele rechten
• Toestemming moet expliciet gegeven worden (kan niet verondersteld word...
Toekomst
Ondernemingen: vereenvoudiging (?)
• ‘Lead authority’:
• Ondernemingen: 1 nationale privacy commissie in EU land ...
Toekomst
Ondernemingen: vereenvoudiging (?)
• Territorialiteit: EU-recht voor EU-data, ook buiten EU! (cloud computing)
• ...
Toekomst
Praktische tips
• Up to date blijven met nieuwe ontwikkelingen

• Herzie je privacy policy, procedures bij inbreu...
Cookies
Wat zijn cookies?
Een cookie is een klein databestand dat door de server naar de

browser gestuurd wordt. De brows...
Cookies
Verschillende soorten cookies
First party cookies

vs.

Third-party cookies

Geplaatst en gecontroleerd door websi...
Cookies
• EU e-privacy richtlijn 2002/58/EC
• België: omgezet in Belgisch recht door artikel 129 Telecomwet (sinds oktober...
Cookies
Wettelijk 2 soorten cookies:
• Functionele ‘first party’ cookies (taal, winkelmandje, settings, session-id
cookies...
Cookies
Opt-in of toestemming moet:
• Vrijwillig zijn (mogelijkheid om website te bezoeken zonder opt-in)

• Expliciet zij...
Cookies
Praktisch gezien:
• Duidelijke informatie geven over gebruik van cookies, type van cookies,
doel van cookies, toeg...
Cookies
Cookies: vaak anonieme data (geen persoonsgegevens)
Als cookie ook persoonsgegevens verwerkt (bijv. IP-adressen of...
Cookies
Praktisch
Browser Fingerprinting
Wat met browser fingerprinting tools zoals “K’méléo”?
• remarketing/OBA tools

• gebruikt geen cook...
Browser Fingerprinting
Legal small print – art. 129 Telecomwet
“De opslag van informatie of het verkrijgen van toegang tot...
Upcoming SlideShare
Loading in...5
×

20140228 Sirius Friday seminarie Privacy & cookies

125

Published on

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
125
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

20140228 Sirius Friday seminarie Privacy & cookies

  1. 1. Privacy & Cookies Sirius Fridays - 28 februari 2014 Andries Hofkens Advocaat Sirius Legal advocaten www.siriuslegal.be andries@siriuslegal.be
  2. 2. Overzicht • Privacy: hier en nu • Privacy: toekomstig recht • Cookies • Fingerprinting
  3. 3. Persoonsgegevens & Privacy Huidige situatie: Europese privacy richtlijn van 1995 (95/46/EG) Belgische wet van 1992 (enkele malen aangepast, o.a. in 1998 en 2003) Niet bijzonder efficient: • regels verschillen van land tot land • weinig controle in bepaalde landen: o.a. Ierland • verouderde principes: vb. plaats van bedrijf of server niet steeds relevant voor cloud computing
  4. 4. Persoonsgegevens & Privacy “Persoonsgegevens” • Brede definitie van begrip “persoonsgegevens”: • alle informatie m.b.t. een geïdentificeerde of identificeerbare natuurlijke persoon • bijv. naam, adres, foto, telefoonnummer, IP-adres, emailadres, bankrekeningnummer, zoekgeschiedenis, enz. • ‘Gevoelige gegevens’: m.b.t. ras, politiek, godsdienst, gezondheid, seksuele voorkeur, strafrechtelijk verleden, enz. (uitzonderingen mogelijk) • Bijzondere regels voor bijv. kredieten, telecom, bewakingscamera’s, direct marketing, enz.
  5. 5. Persoonsgegevens & Privacy
  6. 6. Persoonsgegevens & Privacy Voorwaarden • Voorafgaande, vrijwillige en geïnformeerde toestemming • Verantwoordelijke voor de verwerking • Aangifte bij Privacycommissie
  7. 7. Persoonsgegevens & Privacy Informatieplicht • Transparantie: aangeven wat en met welk doel wordt verwerkt (enkel gegevens verwerken die relevant zijn voor het doel) • Naam en adres van de ‘verantwoordelijke voor verwerking’ meedelen • Ontvangers van gegevens (of categorieën van ontvangers) meedelen
  8. 8. Persoonsgegevens & Privacy Rechte van de betrokkene • Recht op informatie: opnemen in Privacy Policy • Recht om vragen te stellen • Recht op toegang tot persoonsgegevens: antwoord binnen 45 dagen (boete van 600 EUR tot 600 000 EUR) • Recht op verbetering: antwoord binnen 1 maand • Recht op verzet: indien ‘ernstige en gerechtvaardige redenen’; steeds en kosteloos i.g.v. direct marketing (o.a. reclame)
  9. 9. Persoonsgegevens & Privacy Doorgifte van data • Naar EU lidstaat: vrij mogelijk als overzending ‘nodig’ is of ‘verenigbaar’ is met het doel van de verwerking, kennisgeving (bijv. in privacy policy) • Buiten EU: enkel als gelijkwaardige bescherming als in de EU • Beschermingsniveau checken: o.a. lijst landen EU Commissie (o.a. VSA indien de ontvanger ‘safe harbour’ principes aanvaardt) • Modelovereenkomst m.b.t. bescherming privacy (kopie naar Privacycommissie sturen) • Bindende ondernemingsregels voor multinationals (moet goedgekeurd worden door Privacycommissie – vaak op Europees niveau) • Voldoen aan voorwaarden Belgische privacywet (nodig/verenigbaar met doel, kennisgeving)
  10. 10. Toekomst Nieuw EU voorstel • Verordening ipv richtlijn: rechtstreeks van toepassing in alle EU lidstaten: 1 wet i.p.v. 28 wetten • EU Commissie – EU Parlement – EU Raad • Eerste voorstel in januari 2012 (EU Commissie) • Ongeveer 4000 amendementen (o.a. meer dan 200 door Louis Michel) - lobbying… • LIBE commissie EU Parlement 21 oktober 2013 • EU top oktober 2013: uitstel naar 2015
  11. 11. Toekomst Burgers: versterking individuele rechten • Toestemming moet expliciet gegeven worden (kan niet verondersteld worden) • Gevoelige data: ook geslacht en (vermoede) misdrijven • Betere toegang tot persoonsgegevens via ‘dataoverdraagbaarheid’: persoonsgegevens overdragen naar nieuwe provider • Recht op uitwissing (‘right to erasure’): indien geen legitieme gronden om data bij te houden, moet data verwijderd worden (op aanvraag) • Verplichting om individuen en overheden in te lichten van inbreuken op privacy • “Privacy by design & by default”: privacy safeguards moeten standaard ingebouwd worden & privacy-friendly default settings (bijv. op sociale media)
  12. 12. Toekomst Ondernemingen: vereenvoudiging (?) • ‘Lead authority’: • Ondernemingen: 1 nationale privacy commissie in EU land waar voornaamste zetel (i.p.v. 28) • European Data Protection Board komt tussen indien consensus niet bereikt wordt • Burgers: kunnen steeds klacht indienen bij hun nationale privacy commissie • ‘Data protection officer’: verwerking van gegevens van +5000 betrokkenen – DPO moet toezien op naleving privacy regels binnen onderneming • ‘Privacy Impact Assessment’: jaarlijkse audit
  13. 13. Toekomst Ondernemingen: vereenvoudiging (?) • Territorialiteit: EU-recht voor EU-data, ook buiten EU! (cloud computing) • Boetes: tot 5% van jaarlijkse wereldwijde omzet of tot 100 milljoen EUR (voorstel van EU Commissie was 2% en 1 miljoen EUR) • Profiling en pseudonieme data • Melding datalekken • No-NSA clause
  14. 14. Toekomst Praktische tips • Up to date blijven met nieuwe ontwikkelingen • Herzie je privacy policy, procedures bij inbreuk op privacy, ... (o.a. gebruik van icoontjes) • Data protection by design and data protection by default • Anoniem maken / encryption van data om strenge regels te vermijden (profiling) • Zorg dat persoonsgegevens adequaat beschermd worden • “Data Protection Seal”
  15. 15. Cookies Wat zijn cookies? Een cookie is een klein databestand dat door de server naar de browser gestuurd wordt. De browser slaat die info op op je computer en stuurt ze terug naar de server bij een volgend bezoek.
  16. 16. Cookies Verschillende soorten cookies First party cookies vs. Third-party cookies Geplaatst en gecontroleerd door website zelf Geplaatst door bijv. Google Analytics Functionele cookies Niet-functionele cookies: vs. Cookies zijn‘strikt noodzakelijk’ om site te bezoeken Niet ‘strikt noodzakelijk’ Bijv. log-in, registratie, taal, enz. Bijv. statistische data, remarketing, enz. Permanente cookies blijvend vs. Sessie cookies gewist na surf sessie
  17. 17. Cookies • EU e-privacy richtlijn 2002/58/EC • België: omgezet in Belgisch recht door artikel 129 Telecomwet (sinds oktober 2012) • • Wet is vaag Geen verduidelijking door Privacycommissie of telecomregulator • Verschillende wetgeving in elke EU lidstaat • Verschillende interpretatie van de e-privacy richtlijn • Probleem: als je je richt tot publiek in andere lidstaat, kan privacy commissie van dat land bevoegd zijn (bijv. lokale domeinnaam, taal, content, …) • Eerste boetes voor cookies: Spanje - 14 januari 2014 - 3500 EUR
  18. 18. Cookies Wettelijk 2 soorten cookies: • Functionele ‘first party’ cookies (taal, winkelmandje, settings, session-id cookies): • Geen opt-in of toestemming nodig • Je moet bezoekers wel informeren (bijv. in privacy policy) • Adequate bescherming van data + anonimisatie van data vereist • Niet-functionele cookies cookies (incl. ‘third party’) (bijv. remarketing, Google Analytics, …): • Informeren voor je cookies plaatst • Opt-in of toestemming nodig voor je cookies plaatst • Mogelijkheid vermelden van opt-out in toekomst
  19. 19. Cookies Opt-in of toestemming moet: • Vrijwillig zijn (mogelijkheid om website te bezoeken zonder opt-in) • Expliciet zijn (actieve interventie van de bezoeker) • Geïnformeerd zijn (bezoeker heeft voldoende informatie, bijv. i.v.m. doel van cookie) • Voorafgaand zijn (voor cookie geïnstalleerd wordt) • Herroepbaar zijn (bijv. in privacy policy vermelden wat bezoeker moet doen om toestemming in te trekken)
  20. 20. Cookies Praktisch gezien: • Duidelijke informatie geven over gebruik van cookies, type van cookies, doel van cookies, toegang 3e partijen, herroepbaarheid, enz. (bijv. in privacy policy) • Duidelijke ‘warning’ met vraag om toestemming: enkel nodig bij eerste bezoek + link naar informatie (voor niet-functionele of third party cookies) • Bijv.: pop-up, splash screen, warning in banner of footer, browser settings: met actieve interventie van bezoeker (check-box klikken) • Vrije keuze van bezoeker om al dan niet cookie te aanvaarden: ‘notice’ dat door website te bezoeken je akkoord gaat met cookies is af te raden (controverse)
  21. 21. Cookies Cookies: vaak anonieme data (geen persoonsgegevens) Als cookie ook persoonsgegevens verwerkt (bijv. IP-adressen of zoekgeschiedenis verzamelen): • aparte opt-in of toestemming vereist • aangeven bij Privacycommissie • vermelden in privacy policy
  22. 22. Cookies Praktisch
  23. 23. Browser Fingerprinting Wat met browser fingerprinting tools zoals “K’méléo”? • remarketing/OBA tools • gebruikt geen cookies • leest browser geschiedenis uit vlak voor landing op website • toont reclame op basis van die geschiedenis • gebruikt geen persoonsgegevens Dus: geen cookie reglementering?
  24. 24. Browser Fingerprinting Legal small print – art. 129 Telecomwet “De opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of een gebruiker is slechts toegestaan op voorwaarde dat : 1° de betrokken abonnee of gebruiker, overeenkomstig de voorwaarden bepaald in de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, duidelijke en precieze informatie krijgt over de doeleinden van de verwerking en zijn rechten op basis van de wet van 8 december 1992; 2° de abonnee of eindgebruiker zijn toestemming heeft gegeven na ingelicht te zijn overeenkomstig de bepalingen in 1°. Het eerste lid is niet van toepassing voor de technische opslag van informatie of de toegang tot informatie opgeslagen in de eindapparatuur van een abonnee of een eindgebruiker met als uitsluitend doel de verzending van een communicatie via een elektronische- communicatienetwerk uit te voeren of een uitdrukkelijk door de abonnee of eindgebruiker gevraagde dienst te leveren wanneer dit hiervoor strikt noodzakelijk is. De toestemming in de zin van het eerste lid of de toepassing van het tweede lid, stelt de verantwoordelijke voor de verwerking niet vrij van de verplichtingen van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens die niet opgelegd worden in dit artikel. De verantwoordelijke voor de verwerking biedt de abonnees of eindgebruikers gratis de mogelijkheid om op eenvoudige wijze de gegeven toestemming in te trekken.“
  1. ¿Le ha llamado la atención una diapositiva en particular?

    Recortar diapositivas es una manera útil de recopilar información importante para consultarla más tarde.

×