Feweb on tour 2013 over privacy en cookies

317 views
218 views

Published on

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
317
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
2
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Feweb on tour 2013 over privacy en cookies

  1. 1. One last time: The truth about cookies Bart Van den Brande Willem De Vos Advocaten Sirius Legal advocaten www.siriuslegal.be bart@siriuslegal.be @BartVdBrande Feweb On Tour 2013
  2. 2. One last time: the truth about cookies Alweer over cookies?
  3. 3. One last time: the truth about cookies Alweer over cookies? Tools als Kméléo: Remarketing/OBA tools Gebruiken geen cookies Lezen browser history net voor page landing Tonen dan advertenties gebaseerd op die browsr history Claimen geen persoonsgegevens te gebruiken Claimen te ontsnappen aan cookiewet
  4. 4. Wat background Wat zijn cookies? “A cookie is a small amount of data generated by a website and saved on your computer by your web browser. Its purpose is to remember information about you, similar to a preference file created by a software application.” (Wikipedia) Waarom ligt de overheid wakker van cookies? In één woord: privacy…
  5. 5. Wat background Waarom ligt de overheid wakker van cookies? In één woord: privacy…
  6. 6. Wat background Wat zijn cookies? first party cookies vs. door website functional cookies door Google Analytics or ad brokers vs. log-in, registratie, taal permanent cookies blijven present third-party cookies non-functional cookies: statistics, remarketing, OBA vs. session cookies verwijderd na surfsessie
  7. 7. Wat background The legal small print EU e-privacy richtlijn 2002/58/EC Om te zetten in nationaal recht voor eind 2012 België: nieuw artikel 129 in Telecomwet sinds Oktober 2012
  8. 8. Wat background The legal small print “De opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of een gebruiker is slechts toegestaan op voorwaarde dat : 1° de betrokken abonnee of gebruiker, overeenkomstig de voorwaarden bepaald in de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, duidelijke en precieze informatie krijgt over de doeleinden van de verwerking en zijn rechten op basis van de wet van 8 december 1992; 2° de abonnee of eindgebruiker zijn toestemming heeft gegeven na ingelicht te zijn overeenkomstig de bepalingen in 1°. Het eerste lid is niet van toepassing voor de technische opslag van informatie of de toegang tot informatie opgeslagen in de eindapparatuur van een abonnee of een eindgebruiker met als uitsluitend doel de verzending van een communicatie via een elektronische- communicatienetwerk uit te voeren of een uitdrukkelijk door de abonnee of eindgebruiker gevraagde dienst te leveren wanneer dit hiervoor strikt noodzakelijk is. De toestemming in de zin van het eerste lid of de toepassing van het tweede lid, stelt de verantwoordelijke voor de verwerking niet vrij van de verplichtingen van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens die niet opgelegd worden in dit artikel. De verantwoordelijke voor de verwerking biedt de abonnees of eindgebruikers gratis de mogelijkheid om op eenvoudige wijze de gegeven toestemming in te trekken.“
  9. 9. Wat background The legal small print Altijd opt-in Behalve voor functionele cookies: Absoluut nodig om technische redenen Absoluut nodig voor communicatie
  10. 10. Wat background The legal small print Belgische wet bevat geen detail over Hoe waarschuwing gegeven moet worden Hoe opt-in bekomen moet worden Hoe opt-out mogelijkheid gegeven moet worden Wie is verantwoordelijk De wet is vaag, onduidelijk en laat ruimte voor interpretatie Ganse sector wacht op duidelijkheid door privacycommissie of BIPT/IBPT
  11. 11. Wat background The legal small print Maar EU standpunt is wel duidelijk (richtlijn + verklaringen commissarissen Kroes en Reding) “Working Party 29” standpunt is duidelijk (Belgische privacycommissie is lid van WP29) Regeling in buurlanden is wel duidelijk
  12. 12. Wat betekent dit voor u? Synthese van EU, Belgische wet, adviezen: Opt-in moet Vrij zijn (i.e. mogelijkheid bestaan om website te bezoeken zonder opt-in) Expliciet zijn (vereist actieve daad van bezoeker) Geïnformeerd zijn (vereist voorafgaande informatie aan bezoeker) Voorafgaandelijk aan het plaatsen van cookies zijn Intrekbaar zijn
  13. 13. Wat betekent dit voor u? Synthese van EU, Belgische wet, adviezen: Dus praktisch Informatie over gebruik van cookies, type cookies, doel of werking van cookies in privacy policy Duidelijke warning bij eerste visit + link naar informatie in privacy policy Duidelijke vrije keuze om al of niet opt-in te geven (kan ook gelaagd) Duidelijke info in privacy policy over opt-out of wissen van cookies
  14. 14. Wat betekent dit voor u? Synthese van EU, Belgische wet, adviezen: User-input cookie (bvb: mandje) als sessie Flash cookie als sessie Safety Cookie Authentification cookie als sessie !!! Social media First & third party analytics Tracking cookie Reclame door derden
  15. 15. Wat betekent dit voor u? Synthese van EU, Belgische wet, adviezen: Pop-up? Splash screen? Waarschuwing in banner of footer? “Impliciete opt-in”? Alles kan in se, zolang er een actieve beslissing genomen is door de bezoeker en zolang zijn keuze vrij is zonder mogelijkheid om website te bezoeken te beperken (Dit lijkt volgende uit te sluiten “by visiting this website you accept…”)
  16. 16. Wat betekent dit voor u?
  17. 17. Wat betekent dit voor u?
  18. 18. Wat betekent dit voor u?
  19. 19. Wat betekent dit voor u? Oh, ook nog: Als cookies gebruikt worden om persoonsgegevens te verzamelen of verwerken, is een bijkomende afzonderlijke opt-in onder de privacywet vereist… Dit betekent Aangifte bij privacycommissie Recht om data in te kijken, te verbeteren, wissen Informatieplicht in privacy policy Geen transfer van data uit EU, tenzij onder zeer strikte voorwaarden Waarschuwing: ook IP address, browser history, enz zijn persoonsgegevens…
  20. 20. Wat betekent dit voor u? Impact van cookiewet Niet erg efficiënt Storend voor surfer Verlies aan traffic en/of data voor websites Bedrijven trachten te ontsnappen aan cookieverplichtingen Alternatieve oplossingen worden gezocht Browser fingerprinting (Kméléo en andere) Web beacons
  21. 21. Wat betekent dit voor u? Browser fingerprinting Gebruikt geen cookies Leest browser history net voor page landing toont advertisements op basis van die browser history Beweert geen persoonsgegevens te verzamelen of verwerken Beweert te ontsnappen aan cookiewet
  22. 22. Wat betekent dit voor u? Browser fingerprinting Artikel 129 Telecomwet is echter duidelijk: “De opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of een gebruiker…” Net als de Working Party 29’s advies 1/2008 (doc 00737/NL WP 148), dat bevestigt dat: “browser history data should be considered personal data under privacy law”
  23. 23. Wat betekent dit voor u? Browser fingerprinting Dus zelfs als geen cookie geplaatst wordt, maar op ongeacht welke wijze data verzameld worden vanop de computer van een bezoeker is steeds voorafgaande toestemming nodig. Dit geldt ook voor browser fingerprinting, web beacons, plugins, …
  24. 24. Wat betekent dit voor u? En als ik de wet niet naleef?
  25. 25. Wat betekent dit voor u? Internationale context Zoveel wetgevingen als er lidstaten zijn… Probleem: als je je specifiek richt op bepaalde lidstaat is de kans groot dat lokaal recht van toepassing is (e.g. lokale website, lokale taal, lokale content, …) Consequentie lijkt dat je moet voldoen aan strengste wet
  26. 26. Wat betekent dit voor u? Internationale context Working Party 29 advies van afgelopen Oktober 2013: Basis voor pan-Europese cookie requirements Voorzichtig: dit is slechts een advies
  27. 27. Wat betekent dit voor u? Internationale context Working Party 29 advies van afgelopen Oktober 2013: Opt-in voor cookies los van andere opt-ins (voor privacy of direct marketing) Opt-in moet voorafgaan aan het plaatsen van cookie Opt-in vereist actieve daad (die kan bestaan uit het verdere bezoek van de website) Opt-in moet vrij zijn en is idealerwijze “gelaagd” Website moet ook toegankelijk blijven zonder opt-in (maar wat dan met “by visiting you accept…”? Lijkt onmogelijk geworden) Expliciete waarschuwing van WP29 voor tracking cookies: als persoonsgegevens verzameld worden, is een afzonderlijke voorafgaande opt-in vereist
  28. 28. One last time: The truth about cookies Bart Van den Brande Willem De Vos Advocaten Sirius Legal advocaten www.siriuslegal.be bart@siriuslegal.be @BartVdBrande Feweb On Tour 2013

×