5. De Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van
persoonsgegevens
Op basis van Richtlijn 95/46/EG - Boek XII WER
Andere tijden…
Geen online marketing
Geen “profiling”
Geen “cookies”
Geen “tracking”
Geen “location based markeing”
Geen “trigger based marketing”
Geen e-commerce
Geen social media
Minder dan 1% van de EU-bevolking gebruikte internet in 1995…
Privacy
De basics van het privacyrecht
6. “Recht op privacy” >< verwerking van gegevens
Definitie van persoonsgegevens is zeer breed
Elk gegeven dat kan toelaten om een individu te identificeren
EHJ 16 mei 2016: Ook dynamisch IP adres
Ook browser history is persoonsgegevens, ook aankoopgedrag, voorkeuren, …
Plaatst verhaal big data in gevoelig daglicht
Privacy
De basics van het privacyrecht
7. Straight and simple:
Voorafgaande “Opt-in” vereist voor elke verwerking (uitzonderingen)
“Vrije en geïnformeerde” Opt-in
Overdracht van gegevens aan een 3de? = bijkomende Opt-in
Uitzondering: “gerechtvaardigde reden voor verwerking” of wettelijke noodzaak of “vitaal belang”
Cfr. Analytics tools, apps, cookies, database enrichment door mailings
en acties, …: altijd opt-in vereist
Cfr. Kg. Brussel, 9 november 2015, Privacycommissie vs. Facebook (plaatsen van tracking
cookies via social plug-in zonder voorafgaande opt-in)
Privacy
De basics van het privacyrecht
8. Zowat alle info die we delen op social media zijn persoonsgegevens in de zin van de
privacywetgeving
Let op, ook comments en meningen die achter gelaten worden in het kader van bvb Facebook
wedstrijden, reacties op bedrijfspagina’s of product pages zijn in de meeste gevallen
persoonsgegevens
Bovendien: auteursrecht (in sommige gevallen)
Privacy
Opgelet voor social media
9. Let op
Los van privacywet heeft elk social media platform eigen Terms of Use voor
Company pages
Wedstrijden
Reclame
Privacy
Opgelet voor social media
10. Rechten van de betrokkene
Recht om zich te verzetten tegen de verwerking van gegevens
Recht op toegang en verbetering
Recht om zich te verzetten tegen toekomstige verwerking
Recht op informatie (via de privacy policy)
Recht om zich te verzetten tegen “geautomatiseerde beslissingname”
Privacy
De Basics van het privacyrecht
11. Recht van verzet
“wegens zwaarwegende en gerechtvaardigde redenen die verband houden met zijn bijzondere situatie” (uitgezonder
verwerking onder art. 5 b en c noodzakelijke verwerking)
Bij DM: altijd en zonder motivatie
Onvolledige, niet ter zake doende of onjuiste data: altijd en zonder motivatie
Gratis
Binnen de maand
Privacy
De Basics van het privacyrecht
12. Recht op toegang en verbetering
Max Schrems v. Facebook
X v. het Waals Gewest (Cass. 14 februari 2013)
Model klachtbrieven op www.privacycommission.be/nl
Privacy
De Basics van het privacyrecht
13. Privacy
De Basics van het privacyrecht
Recht op informatie (“Privacy policy”)
“uiterlijk op het moment dat de gegevens verkregen worden”
Of als verkregen bij derde: “op het moment van de registratie van de gegevens of uiterlijk
op het moment van de eerste mededeling van de gegevens” (aan een derde)
Identiteit verantwoordelijke voor de verwerking
Doeleinden verwerking
Bestaan van recht op verzet m.o.o. DM
Derde-ontvangers van gegevens
Bestaan van recht op toegang en verbetering
Andere informatie i.f.v. de specifieke aard van de verwerking (als opgelegd bij KB)
14. Privacy
De Basics van het privacyrecht
Verbod op profiling
(of althans op automatische beslissingsname gebaseerd op profiling)
“Een besluit waaraan voor en persoon rechtsgevolgen verbonden zijn of dat hem in
aanmerkelijke mate treft, mag niet louter worden genomen op grond van een
geautomatiseerde gegevensverwerking die bestemd is om bepaalde apsecten van zijn
persoonlijkheid te evalueren”
Behalve indien opgelegd door wet.
15. Plichten verwerken
Informeren
Opt-in bekomen
Database beveiligen
Aanmelden bij privacycommissie
Geen doorgifte aan derden zonder aparte opt-in
Geen export database buiten EU, tenzij onder strenge voorwaarden
Verwijderen, verbeteren, toegang verschaffen, …
Privacy
De Basics van het privacyrecht
16. Boetes tot 500.000 euro
De grote vissen ontsnappen tot op heden al te vaak
Weinig boetes, weinig controle
Privacy
De Basics van het privacyrecht
17. In praktijk bijzonder veel inbreuken
Data collection zonder opt-in (data crawling, cookies, uitwisseling derden, big data, …)
Databases niet aangemeld
Doorgifte aan derden zonder toestemming
Niet verwijderen data
…
Privacy
De Basics van het privacyrecht
19. Aanleiding tot GDPR/AVGB (zie o.m. toelichting en overwegingen bij GDPR)
Privacywet / Richtlijn is niet meer aangepast aan technologie & innovatieve
ontwikkelingen
Facebook en Twitter bestonden niet in 1995
Internet of Things
Big data & profiling op grote schaal
Trigger based, location based, …
Veelheid aan devices, opkomst van apps
Cloud toepassingen
Drones
Privacy is steeds meer een “betaalmiddel” voor free services (cfr. Voorstel
Richtlijn aangaande contracten voor de levering van digitale inhoud 2015/0287
van eind mei 2016)
Privacy
Privacyverordening vanaf 1 mei 2018
20. Concrete aanleidingen
Location based / Server based principe is niet meer realistisch in Cloud omgeving en
global economy
28 lidstaten, 28 regelgevingen, 28 “privacycommissies”, 28 boetesystemen, 28
interpretaties
Belemmert eengemaakte markt
Concreet voor België: gebrek aan slagkracht bij Privacycommissie: kan geen boetes
opleggen (cfr. Wetsontwerp Tommelein 2015) , beperkte mankracht, te weinig goede
profielen om technologische evolutie bij te houden, de facto “straffeloosheid”, …
Forum shopping (alle grote internet service providers zitten in Ierland…)
Niet in EU gevestigde bedrijven ontsnappen (LinkedIn, Alibaba, etc…)
Privacy
Privacyverordening vanaf 1 mei 2018
21. DG Justice in handen van Viviane Reding vanaf 2010
25 januari 2012 GDPR/AVGB aangekondigd
Eerste ontwerptekst EP op 21 oktober 2013
Politieke impasse gedurende lange tijd (blokkering Frankrijk/Duitsland)
Zware lobby (cfr. “affaire Michel”)
Impact van civil rights (via LIBE committee) groot
Afgezwakt in laatste instantie door DM sector
Akkoord in Europese Raad op 15 juni 2015
Vanaf dan tot eind 2015 3X overleg tussen EP, EC en Raad
Uiteindelijk akkoord in december 2015
Goedgekeurd in april 2015
Inwerkingtreding 1 mei 2018
Privacy
Privacyverordening vanaf 1 mei 2018
22. Privacy
Voor alle diensten aangeboden in EU (ook gratis)
Personal data = ook online identifiers, “pseudonymous data”
Expliciete opt-in of “gerechtvaardigde redenen voor verwerking”
Informatieplicht (icons)
Recht om profiling te weigeren
Right to be forgotten
Data breach plichten
“Data protection by design”
“Data protection officer”
Instemming van ouders voor minderjarigen
Sancties: tot 4% van jaarlijkse omzet of 20 mio euro
Privacy
Privacyverordening vanaf 1 mei 2018
23. Informatieplichten en toestemming
Wettigheid van verwerking (“op welke gronden mag ik data verwerken?”)
Voorafgaande opt-in blijft de basisregel (+ vanaf nu bewijs vereist!)
“Verwerking is noodzakelijk om contract uit te voeren”
“Gerechtvaardigde redenen”
DM “may be considered” een rechtvaardige reden, maar “Personal data should be
processed only if the purpose of the processing could not reasonably be fulfilled by other
means”
Dus: als bestaande klantenrelatie: OK, anderniets niet zomaar automatisch OK
Privacy
Privacyverordening vanaf 1 mei 2018
24. PrivacyPrivacy
Privacyverordening vanaf 1 mei 2018
“Voorwaarden voor toestemming”
Verantwoordelijke moet kunnen bewijzen dat hij toestemming heeft (was al impliciet
zo)
Verzoek om toestemming moet in begrijpelijke, duidelijke en eenvoudige taal
gevraagd en onderscheiden van andere gevraagde akkoorden
Betrokkene kan toestemming op elk ogenblik intrekken (geen terugwerkende kracht)
Toestemming moet vrij gegeven zijn: géén toestemming verplichten voor verwerking
die niet noodzakelijk is voor leveren van dienst/uitvoeren van overeenkomst
Klassiek voorbeeld: verplichte opt-in om korting te krijgen of om aan wedstrijd deel te
nemen
(is in aantal lidstaten nu al verboden)
25. PrivacyPrivacy
Privacyverordening vanaf 1 mei 2018
Te verstrekken informatie als persoonsgegevens niet van betrokkene bekomen worden
ID en contactgegevens verantwoordelijke (en vertegenwoordiger in de EU als die er is)
Doeleinden verwerking en rechtsgrond
Categorieën van persoonsgegevens
Derde-ontvangers van gegevens
Waarborgen voor doorgifte buiten de EU
Duurtijd bewaring of criteria voor bepalen duurtijd
Bron van de gegevens
Recht voor betrokkene op inzage en verbetering of verwijdering/beperking, recht om
bezwaar te maken en recht op overdraagbaarheid (“data portability”)
Recht voor betrokkene om te allen tijde toestemming in te trekken (niet retroactief)
Recht voor de betrokkene om klacht in te dienen
Is toestemming wettelijke of contractuele plicht en wat zijn gevolgen bij weigering
Het bestaan van geautomatiseerde besluitvorming (profiling) en onderliggende logica
26. PrivacyPrivacy
Privacyverordening vanaf 1 mei 2018
Te verstrekken informatie als persoonsgegevens niet van betrokkene bekomen
worden
“Binnen een redelijke termijn maar uiterlijk binnen één maand na de verkrijging van de
persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de
persoonsgegevens worden verwerkt”
Als de persoonsgegevens gebruikt worden voor communicatie met de betrokkene:
uiterlijk bij de eerste communicatie
Als de persoonsgegevens doorgegeven worden aan een derde: uiterlijk op het
ogenblik dat ze voor het eerst aan die derde worden verstrekt
(Relevant voor data brokers, gehuurde of gekochte mailinglijsten, doorgifte aan
commerciële partners, mailing op database van een partner, etc…)
27. Informatieplichten en toestemming
Verwerking van gegevens van een minderjarige (-13 jaar, -16 jaar)
Altijd expliciete toestemming van ouders vereist!
“redelijke inspanningen” om leeftijd te checken en toestemming te bekomen
eID?, Facebook login?, credit card data?, live chat, …?
Privacy
Privacyverordening vanaf 1 mei 2018
28. Informatieplichten en toestemming
Verplichting om betrokken te verwittigen als zijn gegevens verzameld of doorgegeven
zijn zonder zijn voorafgaande toestemming
Binnen 30 dagen of bij eerste contact
= Data bekomen van data brokers, partner organisaties, online verzameld…
Privacy
Privacyverordening vanaf 1 mei 2018
29. Informatieplichten en toestemming
Verplichting vervalt als
Betrokkene al op de hoogte is
of
Informatieplicht disproportionele inspanning vereist
(= open door voor creativiteit…)
Privacy
Privacyverordening vanaf 1 mei 2018
30. PrivacyPrivacy
Privacyverordening vanaf 1 mei 2018
Verbod op profiling
Recht om niet onderworpen te worden aan een op geautomatiseerde besluitvorming
en/of profilering gebaseerd besluit
Lid 1 geldt niet
Als besluit noodzakelijk is voor totstandkoming of uitvoering van een overeenkomst
(Opent deur tot contractweigering obv financieel profiel / credit scoring / credit rating)
Of
Als dit volgt uit de wet of uit het akkoord van de betrokkene
= Recht om menselijke tussenkomst te eisen bij beslissingsname (cfr. alinea 3)
Vraag is of post factum menselijke tussenkomst de facto iets zou veranderen aan
onderliggende beslissing op basis van automatisch procedé…
31. PrivacyPrivacy
Privacyverordening vanaf 1 mei 2018
Verbod op profiling
Profilering: “elke vorm van geautomatiseerde verwerking van persoonsgegevens
waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een
natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn
beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren,
interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te
voorspellen;”
Véél ruimer dan oude definitie. Vroeger enkel als volledig geautomatiseerd en als er
gevolgen voor de persoon aan verbonden waren.
32. PrivacyPrivacy
Privacyverordening vanaf 1 mei 2018
Verbod op profiling
Profiling is overal…
Trigger based marketing = profiling
Location based marketing kan profiling zijn
Opbouwen klantenprofiel in marketing = profiling
Remarketing kan profiling zijn
Credit rating / credit scoring = profiling
Heel wat data verzameld door FB of Google zijn potentieel profiling
33. PrivacyPrivacy
Privacyverordening vanaf 1 mei 2018
Verbod op profiling
“Vanwege met zijn specifieke situatie verband houdende redenen”
Bezwaar maken tegen verwerking op grond van “gerechtvaardigde belangen”, “met
inbegrip van profilering” op basis van die rechtvaardigingsgrond
Verantwoordelijk moet stoppen met verwerking tenzij hij een belang aantoont dat
zwaarder doorweegt dan rechten van de betrokkene (eens te meer oordeelt de
verantwoordelijke in eerste instantie zelf hierover)
In geval van DM, kan de betrokkene altijd bezwaar maken, ongeachte “specifieke
situatie” en ongeacht belang van de verantwoordelijke
Informatieplicht voor de verantwoordelijke aangaande dit recht wordt in dit artikel
nogmaals herhaald in lid 4
34. Informatieplichten en toestemming
Recht om zich te verzetten tegen decision taking
Recht
Niet onderworpen te worden aan automatische beslissingen (of profiling) – Excepties
(bvb contracten)
Die juridische gevolgen of andere significante gevolgen hebben
Die enkel gebaseerd zijn op automated processing of data
Die bedoeld zijn om persoonlijke kenmerken te analyseren
Voorbeelden
Prestaties op het werk, kredietwaardigheid en betrouwbaarheid
Geldt ook voor DM “beslissingen” (bvb send offer of niet)
Privacy
Privacyverordening vanaf 1 mei 2018
35. PrivacyPrivacy
Privacyverordening vanaf 1 mei 2018
Recht op verwijdering (“right to be forgotten”)
“Zonder onredelijke vertraging” verwijdering bekomen als:
Persoonsgegevens niet langer nodig voor genoemde doeleinden
Toestemming is ingetrokken en er is geen andere rechtsgrond
Betrokkene maakt bezwaar tegen geautomatiseerde besluitvorming (art. 21)
Persoonsgegevens zijn onrechtmatig bekomen
Persoonsgegevens betreffen -16 jarige (of -13) en er is geen toestemming van ouders
Plicht om “rekening houdende met de beschikbare technologie en de uitvoeringskosten
redelijke maatregelen [nemen]” derde-verwerkingsverantwoordelijken op de hoogte te
stellen dat de betrokkene heeft gevraagd om data te wissen.
Bovenstaande geldt niet als verdere verwerking nodig is voor uitoefening van recht op
vrije meningsuiting pers of op wettelijke basis of in algemeen belang.
36. PrivacyPrivacy
Privacyverordening vanaf 1 mei 2018
“Pseudonieme data”
Als data niet gekoppeld is aan identiteit, heeft betrokkene geen rechten van inzage,
correctie, etc…
Vergemakkelijkt bvb analytics. Tot op heden in meeste lidstaten beschouwd als
verwerking
Van persoonsgegevens en dus toestemming of gerechtvaardigd belang vereist.
37. En nog veel meer…
“Privacy by design”
“privacy by default” (cfr. recent Telenet “personalized advertising…”)
…
Privacy
Privacyverordening vanaf 1 mei 2018
38. PrivacyPrivacy
Privacyverordening vanaf 1 mei 2018
Recht op overdraagbaarheid van gegevens
Betrokkene heeft recht om door hem verstrekte gegevens op te vragen bij
verantwoordelijke en deze overhandigd te krijgen “in een gestructureerde, gangbare en
machinaal leesbare vorm” en deze gegevens dan aan een nieuwe dienstverlener over
te dragen
(Enkel als verwerking gebaseerd was op opt-in of “gerechtvaardigde reden”)
Als dit technisch mogelijk is, mag betrokkene rechtstreekse overzending van de ene
verantwoordelijke naar de andere vragen
39. Interne business processen
Werken met onderaannemers die data verwerken
Verplichting om enkel te werken met “veilige” onderaannemers (garanties vragen)
Verplichting om geschreven contracten te hebben
Lijst van verplichte clausules in zulke contracten
= Noodzaak tot audit of mapping van onderaannemers / service contracten
Privacy
Privacyverordening vanaf 1 mei 2018
40. Interne business processen
Logboek van verwerkingsactiviteiten
Verplichting om een “logboek van verwerkingsactiviteiten” bij te houden
Daarin ID verwerker, verwerkte data, categorieën, transfers, time limits,
veiligheidsmaatregels
In geschreven vorm op de zetel van de vennootschap
Privacy
Privacyverordening vanaf 1 mei 2018
41. Interne business processen
Data security maatregels
“Processor shall implement appropriate technical and organizational measures,
to ensure an appropriate level of security”
Pseudonymisatie waar mogelijk, confidentialiteit, security, back ups, security
testing protocols, …
= Noodzaak tot audit / mapping van data binnen bedrijf
Privacy
Privacyverordening vanaf 1 mei 2018
42. Interne business processen
Data Protection Impact Assessment
Als mogelijks grote impact op privcyrechten
Verplichting om voorafgaande impact assessment te houden
Advies van DPO veriest als er een DPO is
Moet als basis dienen voor security beleid
Privacycommissie moet nog specifiëren wanneer DPIA vereist is
Als DPIA hoog risico toont: voorafgaand advies van Privacycommissie vragen
Privacy
Privacyverordening vanaf 1 mei 2018
43. Interne business processen
Data breach notification
Verplichting om Privacycommission te verwittigen van elke data breach
Asap of ten laatste binnen 72 uur
Aard van de breach, mogelijke gevolgen, genomen maatregelen, etc… (=
verplichting om data breach te documenteren)
= plicht om data breach procedure in place te hebben
Als er mogelijke ernstige gevolgen zijn voor privacy van data subjects: plicht om
hen in person te verwittigen!
Privacy
Privacyverordening vanaf 1 mei 2018
44. Privacy
Privacyverordening vanaf 1 mei 2018
Interne business processen
Data Protection Officer
Als kernactiviteit bestaat uit verwerken van persoonsgegevens
Of data monitoring op grote schaal vereist
Of bestaat uit data monitoring op grote schaal
Voorwaarden en vereisten nog to be implemented
Informeren & adviseren, monitoren van compliance, SPOC voor authoriteiten
45. Be prepared…
Follow up van discussies (bvb via onze website www.siriuslegal.be)
Start audit om data use in uw organisatie in kaart te brengen
Start review van vendor contracten (m.o.o. data security verplichtingen)
Start voorbereidingen voor een full update van policies, contracten, bedrijfsprocessen
Data breach notification procedure voorbereiden
Benoem (tijdelijke) Data Protection Officer
Bereid impact assessment en/of risk analyses policy voor
Bereid compliance statements voor jaarverslagen voor
Train staff
“Sit back, relax and watch your competitors fail…”
Privacy
Privacyverordening vanaf 1 mei 2018
46. Be prepared…
Wie niet tijdig voorbereid is, mag problemen verwachten
Belangrijkste artikels (cfr. profiling = high risk processing)
Boetes tot 20 mio euro
Boetes tot 4% van wereldwijde omzet
Hervorming van Privacycommissie zal leiden tot effectieve controles
+ schadevergoeding voor betrokkenen
Privacy
Privacyverordening vanaf 1 mei 2018
47. Intussen bij de buren
France - Loi pour une République numérique (boetestot 3 mio, right to be
forgotten voor minderjarigen op hun 18e verjaardag, politionele bevoergdheden
voor CNIL…)
Nederland – data breach notification plicht bestaat al sinds begin 2016
Deutschland – data breach notification plicht al ingevoerd
UK – ICO president zegt dat GDPR van toepassing zal zijn op UK companies
zolang Brexit geen feit is en dat GDPPR ook daarna van toepassing “zou
moeten blijven” om commerciële redenen
Privacy
Privacyverordening vanaf 1 mei 2018
49. Wet van 8 december 1992 (WVP), nu art. 110 e.v. WER
Ontvangen van e-mails of andere directe berichten met reclame
Expliciete en vrije opt-in (art. 110 WER). In principe los van privacy opt-in
Uitzonderingen:
(i) bestaande klanten voor gelijkaardige producten , (ii) info@..., sales@...
Mogelijkheid opt-out op elk ogenblik (art. 110 WER)
+ Privacywet
Privacy
Nog even de headlines over spam
51. Privacy
Nog even de headlines over spam
Spamregels gelden voor alle elektronische communicatie
+ voor fax!
Dus ook voor direct messaging, mail- of communicatietools
Quid Facebook ad “vermomd” als post? Spam?
52. Privacy
Nog even de headlines over spam
No go:
- Verplichte opt-in om aan wedstrijd deel te nemen/voordeel te krijgen/te registreren
- Phishing naar opt-in
- Stilzwijgende opt-in als geen opt-out
- Automatisch toevoegen aan database
- Opt-out bemoeilijken of onmogelijk maken
- Mailen op database van derde (tenzij mail van bij derde vertrekt)
Let op met gekochte/gehuurde databases: altijd contractuele garantie eisen
54. Do-not-call-me
Art. VI.111 e.v. WER - In werking sinds 11/07/2015
Omgekeerd principe van anti-spam:
Bellen is in se toegestaan TENZIJ betrokkene verzocht heeft om op lijst te komen (opt-out vs. opt-in)
Principe is eenvoudig: wie verzocht heeft om niet meer gebeld te worden, mag niet meer gebeld
worden voor DM
Opt-out is in se algemeen (niet per bedrijf). Individuele (her-) opt-in blijft wel mogelijk
55. Do-not-call-me
Vzw DNCM beheert lijst (onder toezicht en beheer van BDMA)
Akkoord met 9 grootste operatoren
Database is toegankelijk tegen betaling
Adverteerder MOET voorafgaand aan telefonische actie zijn database ontdubbelen met DNCM
56. Do-not-call-me
“telefonische oproep voor DM doeleinden”?
Definitie “reclame” in WER is zeer breed. Elke communicatie die rechtstreeks of onrechtstreeks bedrijf
of product promoot.
Niet inbegrepen: onafhankelijke of neutrale surveys en informatieve telefoongesprekken (bvb afspraak
voor levering)
DNCM geldt voor prospects EN BESTAANDE KLANTEN!
DNCM geldt voor B2C EN B2B!
57. Do-not-call-me
Opname op lijst moet binnen 5 dagen na verzoek
Initieel was termijn nog korter voorzien
Cfr.:
Privacywet geeft 30 dagen tijd om database aan te passen
Robinsonlijst geeft 3 maanden tijd om database aan te passen
Opname op lijst blijft 2 jaar geldig…
+/- 250.000 telefoonnummers op de lijst
58. Do-not-call-me
Opname op lijst DNCM
≠ verbod verdere verwerking persoonsgegevens
≠ verbod om sms te zenden
≠ verbod op e-mail te zenden
≠ verbod op papieren DM
59. Do-not-call-me
Opname op lijst DNCM
Mogelijk moet door operator geboden worden
Gratis
Intrekbaar
Bewijslast ligt bij operator
62. Do-not-call-me
Problemen met Do Not Call Me
Technisch moeilijk voor KMO – plicht om licentie op lijst te nemen
Licenties zijn duur (1.600 euro/jaar KMO tot 7.500 big users)
Zeer hoge boetes
Onbekend bij bedrijven – zeer weinig licenties – onbekend
5 dagen is zéééér kort…
64. Robinsonlijst
“Ik wil geen papieren DM meer ontvangen
Geen wettelijke basis
Sectorinitiatief van BDMA en in se enkel bindend voor haar leden
Registratie door burger op: http://www.robinsonlist.be/
Opname op lijst binnen 3 maanden
65. Robinsonlijst
Door in te schrijven in de Robinson Mail-lijst ontvangt men geen DM op naam meer over producten of
diensten van bedrijven
Maar ook geen promoties en kortingsbonnen meer van geen enkel bedrijf via de post
Geldt voor ALLE bedrijven samen (net per bedrijf)
Bedrijven waar men klant is mogen WEL blijven contacteren (cfr. Do Not Call Me)
67. Wat background
Wat zijn cookies?
“A cookie is a small amount of data generated by a website and saved on your computer by your web
browser.
Its purpose is to remember information about you, similar to a preference file created by a software
application.” (Wikipedia)
Waarom ligt de overheid wakker van cookies?
In één woord: privacy…
69. Wat background
Wat zijn cookies?
first party cookies vs. third-party cookies
door website door Google Analytics or ad brokers
functional cookies vs. non-functional cookies:
log-in, registratie, taal statistics, remarketing, OBA
permanent cookies vs. session cookies
blijven present verwijderd na surfsessie
70. Wat background
The legal small print (art. 129 Telecomwet)
“De opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de
eindapparatuur van een abonnee of een gebruiker is slechts toegestaan op voorwaarde dat :
1° de betrokken abonnee of gebruiker, overeenkomstig de voorwaarden bepaald in de wet van 8 december 1992 tot
bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, duidelijke en
precieze informatie krijgt over de doeleinden van de verwerking en zijn rechten op basis van de wet van 8
december 1992;
2° de abonnee of eindgebruiker zijn toestemming heeft gegeven na ingelicht te zijn overeenkomstig de
bepalingen in 1°.
Het eerste lid is niet van toepassing voor de technische opslag van informatie of de toegang tot informatie
opgeslagen in de eindapparatuur van een abonnee of een eindgebruiker met als uitsluitend doel de verzending van
een communicatie via een elektronische- communicatienetwerk uit te voeren of een uitdrukkelijk door de
abonnee of eindgebruiker gevraagde dienst te leveren wanneer dit hiervoor strikt noodzakelijk is. De
toestemming in de zin van het eerste lid of de toepassing van het tweede lid, stelt de verantwoordelijke voor de
verwerking niet vrij van de verplichtingen van de wet van 8 december 1992 tot bescherming van de persoonlijke
levenssfeer ten opzichte van de verwerking van persoonsgegevens die niet opgelegd worden in dit artikel.
De verantwoordelijke voor de verwerking biedt de abonnees of eindgebruikers gratis de mogelijkheid om op
eenvoudige wijze de gegeven toestemming in te trekken.“
71. Wat background
The legal small print
Altijd opt-in
Behalve voor zuiver functionele cookies:
Absoluut nodig om technische redenen
Absoluut nodig voor communicatie
72. Wat background
The legal small print
Belgische wet bevat geen detail over:
Hoe waarschuwing gegeven moet worden
Hoe opt-in bekomen moet worden
Hoe opt-out mogelijkheid gegeven moet worden
Wie is verantwoordelijk
De wet is vaag, onduidelijk en laat ruimte voor interpretatie
Ganse sector wacht op duidelijkheid door privacycommissie of BIPT/IBPT
73. Wat background
The legal small print
Maar
EU standpunt is wel duidelijk (richtlijn + verklaringen commissarissen Kroes en Reding)
“Working Party 29” standpunt is duidelijk (Belgische privacycommissie is lid van WP29)
Regeling in buurlanden is wel duidelijk
74. Wat betekent dit voor u?
Synthese van EU, Belgische wet, adviezen:
Opt-in moet
Vrij zijn (i.e. mogelijkheid bestaan om website te bezoeken zonder opt-in)
Expliciet zijn (vereist actieve daad van bezoeker)
Geïnformeerd zijn (vereist voorafgaande informatie aan bezoeker)
Voorafgaandelijk aan het plaatsen van cookies zijn
Intrekbaar zijn
75. Wat betekent dit voor u?
Synthese van EU, Belgische wet, adviezen:
Dus praktisch
Informatie over gebruik van cookies, type cookies, doel of werking van cookies in privacy policy
Duidelijke warning bij eerste visit + link naar informatie in privacy policy
Duidelijke vrije keuze om al of niet opt-in te geven (kan ook gelaagd)
Duidelijke info in privacy policy over opt-out of wissen van cookies
76. Wat betekent dit voor u?
Synthese van EU, Belgische wet, adviezen:
User-input cookie
(bvb: mandje) als
sessie
Authentification
cookie als sessie
Safety Cookie
Flash cookie als
sessie
!!! Social media
Reclame door
derden
First & third
party analytics
Tracking cookie
77. Wat betekent dit voor u?
Synthese van EU, Belgische wet, adviezen:
Pop-up?
Splash screen?
Waarschuwing in banner of footer?
“Impliciete opt-in”?
Alles kan in se, zolang er een actieve beslissing genomen is door de bezoeker en zolang zijn keuze vrij
is zonder mogelijkheid om website te bezoeken te beperken (Dit lijkt volgende uit te sluiten “by visiting
this website you accept…”)
81. Wat betekent dit voor u?
Oh, ook nog:
Als cookies gebruikt worden om persoonsgegevens te verzamelen of verwerken, is een bijkomende
afzonderlijke opt-in onder de privacywet vereist…
Dit betekent
Aangifte bij privacycommissie
Recht om data in te kijken, te verbeteren, wissen
Informatieplicht in privacy policy
Geen transfer van data uit EU, tenzij onder zeer strikte voorwaarden
Waarschuwing en herhaling: ook IP address, browser history, enz zijn persoonsgegevens…
82. Wat betekent dit voor u?
Impact van cookiewet
Niet erg efficiënt
Storend voor surfer
Verlies aan traffic en/of data voor websites
Bedrijven trachten te ontsnappen aan cookieverplichtingen
Alternatieve oplossingen worden gezocht
Browser fingerprinting (Kméléo en andere)
Web beacons
84. Wat betekent dit voor u?
Internationale context
Zoveel wetgevingen als er lidstaten zijn…
Probleem: als je je specifiek richt op bepaalde lidstaat is de kans groot dat lokaal recht van toepassing
is (e.g. lokale website, lokale taal, lokale content, …)
Consequentie lijkt dat je moet voldoen aan strengste wet
85. Wat betekent dit voor u?
Internationale context
Working Party 29 advies van afgelopen Oktober 2013:
Basis voor pan-Europese cookie requirements
Voorzichtig: dit is slechts een advies
86. Wat betekent dit voor u?
Internationale context
Working Party 29 advies van oktober 2013:
Opt-in voor cookies los van andere opt-ins (voor privacy of direct marketing)
Opt-in moet voorafgaan aan het plaatsen van cookie
Opt-in vereist actieve daad (die kan bestaan uit het verdere bezoek van de website)
Opt-in moet vrij zijn en is idealerwijze “gelaagd”
Website moet ook toegankelijk blijven zonder opt-in (maar wat dan met “by visiting you accept…”?
Lijkt onmogelijk geworden)
Expliciete waarschuwing van WP29 voor tracking cookies: als persoonsgegevens verzameld worden,
is een afzonderlijke voorafgaande opt-in vereist
87. Wat betekent dit voor u?
Internationale context
Cookie wetgeving wordt dit jaar herzien op Europees niveau
In kader van e-privacy richtlijn
Kans reëel dat regels wegvallen vanwege achterhaald en overbodig
88. Meer weten over online topics?
Sirius Friday seminarie 16 december 2016
12u00 tot 14u00
Klauwendaal 28, 2800 Mechelen
Nieuwe wetgeving in e-commerce voor 2017
Nieuwe BTW-regels voor online cross border verkoop van goederen (en update
voor diensten)
Hoofdlijnen GDPR + praktische tips om uw bedrijf klaar te stomen
Stand van zaken inzake Digital Single Market (garantiebepalingen, levering van
diensten,
geo blocking, mediarichtlijn, enforcement, …)
Inschrijven: www. http://siriuslegaladvocaten.be/sirius-friday-seminaries/
Deelname 150 euro – “20161216 WoltersKluwer” = 75 euro
89. Data privacy voor marketeers
Media & advertisement law
IP law
Internet & e-commerce
Privacy & cookies
Gambling law
Travel & consumer protection
Commercial contracts
Corporate tax labour real estate
Cross border commerce
bart@siriuslegal.be
www.siriuslegal.be
@BartVdBrande
Linkedin.com/in/bartvdb