20121206 presentatie jitty van doodewaerd cookies, privacy, profileren

739 views
655 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
739
On SlideShare
0
From Embeds
0
Number of Embeds
172
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

20121206 presentatie jitty van doodewaerd cookies, privacy, profileren

  1. 1. Cookies, profileren & privacyJitty van Doodewaerd – Compliance DDMA
  2. 2. Hoe meer we weten hoe minder we storen.
  3. 3. Privacy| profileren• Profileren is zo oud als de weg naar Rome, maar weer actueel• Nationale en internationale overheden stellen nieuwe regels om techniek te reguleren (cookies) en principes te updaten
  4. 4. I. Cookies• Wat zijn cookies: inhoud• Regelgeving cookies• Voldoen aan de wet II. Privacyverordening • Situatie nu • zorgpunten
  5. 5. Cookies
  6. 6. Cookies| 1st of 3rd partyEr bestaan directe en indirecte cookies, ook wel first of third party cookies genoemd1st Party (= direct)• Bezochte site plaatst cookie• www.nu.nl plaatst een cookie als een bezoeker de site bezoekt. 1st party cookies hebben verschillende doeleinden: * onthouden loginnaam en items in winkelmandje * vergroten gebruikservaring (door monitoren paginabezoeken) * vormgeving onthouden * Online Behavioral Advertising binnen een eigen site: leessuggesties van Amazon of aangepaste plaatjes van Center Parks
  7. 7. Wat zijn cookies? | 1st party OBA Center Parcs Mijn Centerparcs - leden krijgen op de centerparcs website verschillende banners te zien die inspelen op hun leeftijd. Zij worden herkend door middel van een cookie
  8. 8. Wat zijn cookies? | 1st party OBA Wehkamp
  9. 9. Wat zijn cookies? | 1st of 3rd party3rd Party (= indirect)• Online Behavioral Advertising maakt veel gebruik van 3rd party cookies• Een advertentienetwerk plaatst via een site van derden een cookie op de pc van een gebruiker. Dit cookie kan door het netwerk worden uitgelezen op de verschillende websites die zich in het advertentienetwerk bevinden.MAW: Een 3rd party cookie ‘volgt’ een gebruiker langere tijd over verschillende websites en is zo in staat een profiel op te bouwen, waardoor zij een gebruiker kan segmenteren op specifieke interesses op een gemeenplaats als bijvoorbeeld marktplaats.nl
  10. 10. Op apart design een vuurkorf bekeken
  11. 11. Even later op Geenstijl
  12. 12. Nog even later op nu.nl
  13. 13. Regelgeving cookies: inhoud II. Regelgeving cookies • Regels tot mei 2011 • EU Richtlijn • NL implementatie
  14. 14. Regelgeving cookies| BUDE (heden – mei 2011) Besluit Universele Dienstverlening en Eindgebruikersbelangen (BUDE) Artikel 4.1 1. Voor toegang of opslag via een elektronisch communicatienetwerk tot gegevens die zijn opgeslagen in de randapparatuur van een internetgebruiker, dient de internetgebruiker voorafgaand: a. op een duidelijke en nauwkeurige wijze te worden geïnformeerd over de doeleinden en b. op voldoende kenbare wijze gelegenheid te worden geboden de desbetreffende handeling te weigeren = opt-out
  15. 15. Regelgeving cookies| EU RichtlijnEuropese E-Privacy RichtlijnArt. 5.3 van deze Richtlijn behandelt cookies en stelt dat: - het opslaan van informatie op randapparatuur van een gebruiker en - toegang tot informatie op randapparatuur van een gebruiker alleen mag als - de gebruiker hierover helder geïnformeerd is - en toestemming heeft gegeven = opt-in
  16. 16. Regelgeving cookies| EU Richtlijn Overweging 66 In het voorwoord van de richtlijn (recital 66) staat dat een gebruiker zijn toestemming kan uitdrukken door browsersettings. Het probleem is dat dit voorwoord geen juridische status heeft. Dit betekent dat lidstaten het naar eigen inzicht kunnen interpreteren.
  17. 17. Regelgeving cookies| EU RichtlijnUitzonderingToestemming niet nodig voor cookies die:1. communicatie over een elektronisch communicatienetwerk mogelijk maken2. Noodzakelijk zijn voor diensten van de informatiemaatschappijDus geen toestemming nodig voor winkelmandjes, onthouden vaninloggegevens, laden plaatjesWEL voor reclame en google analytics, ad words (re-marketing)
  18. 18. Regelgeving cookies| Nederlandse ImplementatieDe Nederlandse wettekst wijkt in principe niet af van de Europese en zegt datpartijen die cookies plaatsen de webbezoeker:• duidelijk en volledig moeten informeren dat zij cookies plaatsen én• de gebruiker hiervoor toestemming moeten vragen. Probleem 1: toestemming kan volgens de Nederlandse regering niet uitgedrukt worden door de huidige beveiligingsinstellingen van de browser.
  19. 19. Regelgeving cookies| Nederlandse ImplementatieAmendement Van BemmelHet amendement van Van Bemmel stelt dat als cookies de webbezoeker trackenover tijd en verschillende sites, de privacywetgeving van toepassing is, ook alkan je een cookie niet herleiden tot een persoon. Als een partij vervolgens NIETkan bewijzen dat hij GEEN persoonsgegevens verwerkt, moet hij aan de Wbpvoldoen. Probleem 2: de privacywetgeving is niet altijd even geschikt voor cookies (recht op inzage en correctie) Probleem 3: de omgekeerde bewijslast (alleen bij cookies met persoonsgegevens)
  20. 20. Regelgeving cookies| EU RichtlijnDe wettekst (informeren en toestemming vragen)• Geldt sinds 5 juni 2012Het amendement Van Bemmel (omkering bewijslast)• Treedt 1 januari 2013 in werking Zonder Europese standaard voor het vragen van toestemming ligt halfgare compliance op de loer
  21. 21. Regelgeving cookies| complianceDe wettekst (informeren en toestemming vragen)Wat betekent dit concreet?Geen eenduidige uitleg:
  22. 22. Regelgeving cookies| compliance (….) “Over die informatieplicht bestaat dus totaal geen onduidelijkheid. Het is volstrekt helder wat degene die de cookie plaatst moet doen. Dat zal dus ook door de OPTA worden gehandhaafd.”Maxime Verhagen Toestemmingtijdens de “De OPTA heeft aangegeven bij dit praktischebehandeling van het aspect van de cookiebepaling, de vraag hoe die toestemmingsvereiste vorm moet krijgen, enigeWetsvoorstel in de terughoudendheid in de handhaving teEerste Kamer betrachten.” “ De OPTA heeft ook aangegeven rekening te houden met de ontwikkelingen in Brussel”
  23. 23. Regelgeving cookies| complianceOPTA geeft aan:• Vanaf het eerste moment te handhaven op de informatieplicht en de toestemmingsvereiste• Informeren en het verkrijgen van toestemming kan niet geschieden door middel van een (vage) verwijzing naar bijvoorbeeld algemene voorwaarden, privacy en/of permission statements.• OPTA zal optreden indien er informatie wordt geplaatst, waarbij op geen enkele wijze om voorafgaande toestemming wordt gevraagd
  24. 24. Regelgeving cookies| complianceBrief aan overheidssites over voldoen aan cookiebepalingPublicatiedatum06-09-2012SoortCorrespondentieBeslisdatum03-09-2012BriefkenmerkOPTA/ACNB/2012/202315OPTA heeft 121 overheidsinstanties per brief geïnformeerd over de nieuwe cookiebepaling.OPTA heeft zich in eerste instantie op deze specifieke groep gericht, omdat zij eenvoorbeeldfunctie vervullen. Het gaat hierbij overigens niet alleen om websites van de overheidzelf, maar ook om sites die door burgers hiermee geassocieerd worden.OPTA heeft 96 websites erop gewezen dat zij cookies plaatsen zonder te infomeren en/oftoestemming te vragen. Zij moeten OPTA vóór 24 september laten weten hoe zij aan de wetgaan voldoen. Tien sites plaatsen alleen functionele cookies en vijftien sites helemaal geen. Omervoor te zorgen dat deze sites ook in de toekomst blijven voldoen aan de cookiebepaling, zijnzij per brief geïnformeerd over de nieuwe regels.
  25. 25. Regelgeving cookies| complianceAanbeveling:A. Voldoe aan de informatieplicht, want kan met terugwerkende kracht door OPTA worden gehandhaafd. 1. Pas je privacy statement aan 2. Zorg voor een duidelijke melding op de website waarmee een consument kan zien dat je cookies plaatstB. Vraag zo snel mogelijk toestemming, zeker voor het plaatsen van tracking cookies. Hier handhaven OPTA (terughoudend??) en CBP.C. Zorg voor documentatie waarmee je vanaf 1 januari 2013 juridisch kan aantonen dat je organisatie WEL/GEEN persoonsgegevens verwerkt met tracking cookies
  26. 26. Regelgeving cookies| privacy statementPas je privacy statement aan.Vertel:1. welke cookies geplaatst worden2. voor welk doel (bezoekersaantallen registreren, plaatjes laden, OBA)3. welke informatie met een cookie wordt vastgelegd4. of de informatie verstrekt wordt aan derden
  27. 27. Regelgeving cookies| informerenInformeren op de site: hoe?• Alleen een privacy- of cookiestatement volstaat niet, want de informatie moet DUIDELIJK verstrekt worden• Hoe dan wel??
  28. 28. Regelgeving cookies| toestemmingToestemming: hoe?• Mag eenmalig en collectief gegeven worden, de manier om dit te realiseren is ironisch genoeg door een “toestemmingscookie” te droppen op de pc van een gebruikerLet op: Het staat een website vrij een webbezoeker te weigeren als hij geen cookiesaccepteert!
  29. 29. Regelgeving cookies| toestemmingConversie cookies?Ja
  30. 30. Regelgeving cookies| toestemmingTracking pixel?Ja – bij e-mail conversie in je e-mail opt-in verwerken
  31. 31. Regelgeving cookies| toestemmingRe-targeting cookies?Ja
  32. 32. Regelgeving cookies| toestemmingAudience Targetting?Verantwoordelijkheid toestemming ligt bij Google. Je kunt wel mede-verantwoordelijkworden gehouden als adverteerder.
  33. 33. Regelgeving cookies| toestemmingToestemming: problemen• Wie geeft toestemming?• Hoe kan toestemming worden overgedragen?• Als ik op telegraaf.nl wel cookie x accepteer en vervolgens op nu.nl niet, hoe moet dit dan ?
  34. 34. PrivacyverordeningVerwacht: 2015/2016
  35. 35. Marketing| Data Protection DirectiveWat zegt de Privacywet?Verwerken van persoonsgegevens voor marketing mag als:• Je een gerechtvaardigd belang voor de verwerking of toestemming hebt (reclame = gerechtvaardigd belang) (8a/8f Wbp)• Je de betrokkene en de overheid hebt geïnformeerd op over de specifieke doeleinden van de verwerking. Reclame en/of derdenverstrekking• Je de betrokkene in iedere uiting wijst op het recht van verzet. (41 Wbp)
  36. 36. Privacy &social| opt-in of opt-out• Bij sms, email en fax heb je altijd voorafgaande toestemming nodig (opt-in).• Voor direct mail en telemarketing heb je GEEN toestemming nodigHoe zit het bij Social Media? Facebook, Twitter, OBA??• Worden persoonsgegevens verwerkt? (WBP van toepassing)• Is er sprake van het verzenden elektronische berichten? (Telecomwet van Toepassing)Wat impliceert dit?• Pull communicatie (gerechtvaardigd belang) en push communicatie (toestemming)
  37. 37. Niet zo!• Bij sms, email en fax heb je altijd voorafgaande toestemming nodig (opt-in).• Voor direct mail en telemarketing heb je GEEN toestemming nodigHoe zit het bij Social Media? Facebook, Twitter, OBA??• Worden persoonsgegevens verwerkt? (WBP van toepassing)• Is er sprake van het verzenden elektronische berichten? (Telecomwet van Toepassing)Wat impliceert dit? Gerechtvaardigd belang bij pull-communicatie (volgen/friendenen toestemming bij push communicatie.en altijd informeren en RVV bieden.
  38. 38. Wel zo!
  39. 39. Wat betekent de verordening voor marketing?
  40. 40. Verordening| positieve aspecten• DDMA is voorstander van het instrument van een verordening o Level playing field (i.t.t. cookies en e-mail)• DDMA is blij dat de verordening direct marketing erkent als gerechtvaardigd belang van een ondernemer o Offline marketing blijft opt-out (informeren + RVV) o Nieuwe markttoetreders (geen lock-in) o Voor online een opt-in op basis van de E-privacy Richtlijn
  41. 41. Verordening| persoonsgegeven(1) data subject means an identified natural person or a natural person who can be identified, directly or indirectly, by means reasonably likely to be used by the controller or by any other natural or legal person, in particular by reference to an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person;(2) personal data means any information relating to a data subject;I.t.t. gegevens herleidbaar tot een individu
  42. 42. Verordening| persoonsgegevenDefinitie van persoonsgegeven• Context: data die voor mij herleidbaar is, hoeft dit te zijn voor een andere afdeling binnen mijn organisatie of voor een derde aan wie ik de gegevens verstrek. B.v. postcodesegmentatie: Techniek waarbij doelgroepen gesegmenteerd worden aan de hand van socio-economische- en demografische kenmerken die min of meer uniform zijn voor adressen met dezelfde postcode of in hetzelfde gebied. Folderen in wijken met gezinnen/ tuinen etc. B.v. gebruik geanonimiseerde data voor R&D
  43. 43. Verordening| profilerenProfilerenArticle 20 Measures based on profiling1.Every natural person shall have the right not to be subject to a measurewhich produces legal effects concerning this natural person or significantly affectsthis natural person, and which is based solely on automated processing intended toevaluate certain personal aspects relating to this natural person or to analyse orpredict in particular the natural persons performance at work, economic situation,location, health, personal preferences, reliability or behaviour.= opt-out
  44. 44. Verordening| profileren Prijsdifferentiatie/ loyalty. Trouwe klant krijgt voordeel. Kan dit straks nog, de niet-klant wordt benadeeld? Bedrijven controleren de kredietwaardigheid van WANBETALERS iemand die een abonnement wil (creditscore). En wil je iemand in de schuldsanering reclame sturen voor een lening? Postcodesegmentatie
  45. 45. Verordening| toestemmingDefinitie van toestemming(8) the data subjects consent means any freely given specific, informed and explicitindication of his or her wishes by which the data subject, either by a statement orby a clear affirmative action, signifies agreement to personal data relating to thembeing processed;
  46. 46. Verordening| toestemmingRelatie met de E-Privacy Richtlijn?In het geval van cookies:- Is collectieve en eenmalige toestemming specifiek?- Is het implied consent model dat een aantal lidstaten nu hanteren ‘explicit’
  47. 47. Verordening| reikwijdteReikwijdte:This Regulation applies to the processing of personal data of data subjectsresiding in the Union by a controller not established in the Union, where theprocessing activities are related to:(a) the offering of goods or services to such data subjects in the Union; or(b) the monitoring of their behaviour.
  48. 48. Verordening| reikwijdte• Onder Europese regels zouden FB, Twitter en Google de gegevens van hun klanten niet aan derden mogen verstrekken of ter beschikking mogen stellen aan derden voor bijvoorbeeld OBATwijfel of de verordening dir kan stoppen. Zo niet dan wordt hetconcurrentieverschil tussen EU en VS bedrijven alleen maar groter.
  49. 49. Vragen?Jitty van Doodewaerdjittyvandoodewaerd@ddma.nl

×