E-commerce in een wijzigende juridische context - E shop expo 2012
Feweb on tour 2013 over privacy en cookies
1. One last time:
The truth about cookies
Bart Van den Brande
Willem De Vos
Advocaten
Sirius Legal advocaten
www.siriuslegal.be
bart@siriuslegal.be
@BartVdBrande
Feweb On Tour
2013
3. One last time:
the truth about cookies
Alweer over cookies?
Tools als Kméléo:
Remarketing/OBA tools
Gebruiken geen cookies
Lezen browser history net voor page landing
Tonen dan advertenties gebaseerd op die browsr history
Claimen geen persoonsgegevens te gebruiken
Claimen te ontsnappen aan cookiewet
4. Wat background
Wat zijn cookies?
“A cookie is a small amount of data generated by a website and saved on your
computer by your web browser.
Its purpose is to remember information about you, similar to a preference file created
by a software application.” (Wikipedia)
Waarom ligt de overheid wakker van cookies?
In één woord: privacy…
6. Wat background
Wat zijn cookies?
first party cookies
vs.
door website
functional cookies
door Google Analytics or ad brokers
vs.
log-in, registratie, taal
permanent cookies
blijven present
third-party cookies
non-functional cookies:
statistics, remarketing, OBA
vs.
session cookies
verwijderd na surfsessie
7. Wat background
The legal small print
EU e-privacy richtlijn 2002/58/EC
Om te zetten in nationaal recht voor eind 2012
België: nieuw artikel 129 in Telecomwet sinds Oktober 2012
8. Wat background
The legal small print
“De opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de
eindapparatuur van een abonnee of een gebruiker is slechts toegestaan op voorwaarde dat :
1° de betrokken abonnee of gebruiker, overeenkomstig de voorwaarden bepaald in de wet van 8 december 1992 tot
bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, duidelijke en
precieze informatie krijgt over de doeleinden van de verwerking en zijn rechten op basis van de wet van 8 december
1992;
2° de abonnee of eindgebruiker zijn toestemming heeft gegeven na ingelicht te zijn overeenkomstig de bepalingen
in 1°.
Het eerste lid is niet van toepassing voor de technische opslag van informatie of de toegang tot informatie
opgeslagen in de eindapparatuur van een abonnee of een eindgebruiker met als uitsluitend doel de verzending van een
communicatie via een elektronische- communicatienetwerk uit te voeren of een uitdrukkelijk door de abonnee
of eindgebruiker gevraagde dienst te leveren wanneer dit hiervoor strikt noodzakelijk is. De
toestemming in de zin van het eerste lid of de toepassing van het tweede lid, stelt de verantwoordelijke voor de verwerking
niet vrij van de verplichtingen van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten
opzichte van de verwerking van persoonsgegevens die niet opgelegd worden in dit artikel.
De verantwoordelijke voor de verwerking biedt de abonnees of eindgebruikers gratis de mogelijkheid om op eenvoudige
wijze de gegeven toestemming in te trekken.“
9. Wat background
The legal small print
Altijd opt-in
Behalve voor functionele cookies:
Absoluut nodig om technische redenen
Absoluut nodig voor communicatie
10. Wat background
The legal small print
Belgische wet bevat geen detail over
Hoe waarschuwing gegeven moet worden
Hoe opt-in bekomen moet worden
Hoe opt-out mogelijkheid gegeven moet worden
Wie is verantwoordelijk
De wet is vaag, onduidelijk en laat ruimte voor interpretatie
Ganse sector wacht op duidelijkheid door privacycommissie of BIPT/IBPT
11. Wat background
The legal small print
Maar
EU standpunt is wel duidelijk (richtlijn + verklaringen commissarissen Kroes en Reding)
“Working Party 29” standpunt is duidelijk (Belgische privacycommissie is lid van WP29)
Regeling in buurlanden is wel duidelijk
12. Wat betekent dit voor u?
Synthese van EU, Belgische wet, adviezen:
Opt-in moet
Vrij zijn (i.e. mogelijkheid bestaan om website te bezoeken zonder opt-in)
Expliciet zijn (vereist actieve daad van bezoeker)
Geïnformeerd zijn (vereist voorafgaande informatie aan bezoeker)
Voorafgaandelijk aan het plaatsen van cookies zijn
Intrekbaar zijn
13. Wat betekent dit voor u?
Synthese van EU, Belgische wet, adviezen:
Dus praktisch
Informatie over gebruik van cookies, type cookies, doel of werking van cookies in
privacy policy
Duidelijke warning bij eerste visit + link naar informatie in privacy policy
Duidelijke vrije keuze om al of niet opt-in te geven (kan ook gelaagd)
Duidelijke info in privacy policy over opt-out of wissen van cookies
14. Wat betekent dit voor u?
Synthese van EU, Belgische wet, adviezen:
User-input cookie
(bvb: mandje) als
sessie
Flash cookie als
sessie
Safety Cookie
Authentification
cookie als sessie
!!! Social media
First & third party
analytics
Tracking cookie
Reclame door
derden
15. Wat betekent dit voor u?
Synthese van EU, Belgische wet, adviezen:
Pop-up?
Splash screen?
Waarschuwing in banner of footer?
“Impliciete opt-in”?
Alles kan in se, zolang er een actieve beslissing genomen is door de bezoeker en zolang zijn
keuze vrij is zonder mogelijkheid om website te bezoeken te beperken (Dit lijkt volgende uit
te sluiten “by visiting this website you accept…”)
19. Wat betekent dit voor u?
Oh, ook nog:
Als cookies gebruikt worden om persoonsgegevens te verzamelen of verwerken, is een
bijkomende afzonderlijke opt-in onder de privacywet vereist…
Dit betekent
Aangifte bij privacycommissie
Recht om data in te kijken, te verbeteren, wissen
Informatieplicht in privacy policy
Geen transfer van data uit EU, tenzij onder zeer strikte voorwaarden
Waarschuwing: ook IP address, browser history, enz zijn persoonsgegevens…
20. Wat betekent dit voor u?
Impact van cookiewet
Niet erg efficiënt
Storend voor surfer
Verlies aan traffic en/of data voor websites
Bedrijven trachten te ontsnappen aan cookieverplichtingen
Alternatieve oplossingen worden gezocht
Browser fingerprinting (Kméléo en andere)
Web beacons
21. Wat betekent dit voor u?
Browser fingerprinting
Gebruikt geen cookies
Leest browser history net voor page landing
toont advertisements op basis van die browser history
Beweert geen persoonsgegevens te verzamelen of verwerken
Beweert te ontsnappen aan cookiewet
22. Wat betekent dit voor u?
Browser fingerprinting
Artikel 129 Telecomwet is echter duidelijk:
“De opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de
eindapparatuur van een abonnee of een gebruiker…”
Net als de Working Party 29’s advies 1/2008 (doc 00737/NL WP 148), dat bevestigt dat:
“browser history data should be considered personal data under privacy law”
23. Wat betekent dit voor u?
Browser fingerprinting
Dus zelfs als geen cookie geplaatst wordt, maar op ongeacht welke wijze data
verzameld worden vanop de computer van een bezoeker is steeds voorafgaande
toestemming nodig.
Dit geldt ook voor browser fingerprinting, web beacons, plugins, …
25. Wat betekent dit voor u?
Internationale context
Zoveel wetgevingen als er lidstaten zijn…
Probleem: als je je specifiek richt op bepaalde lidstaat is de kans groot dat lokaal recht
van toepassing is (e.g. lokale website, lokale taal, lokale content, …)
Consequentie lijkt dat je moet voldoen aan strengste wet
26. Wat betekent dit voor u?
Internationale context
Working Party 29 advies van afgelopen Oktober 2013:
Basis voor pan-Europese cookie requirements
Voorzichtig: dit is slechts een advies
27. Wat betekent dit voor u?
Internationale context
Working Party 29 advies van afgelopen Oktober 2013:
Opt-in voor cookies los van andere opt-ins (voor privacy of direct marketing)
Opt-in moet voorafgaan aan het plaatsen van cookie
Opt-in vereist actieve daad (die kan bestaan uit het verdere bezoek van de website)
Opt-in moet vrij zijn en is idealerwijze “gelaagd”
Website moet ook toegankelijk blijven zonder opt-in (maar wat dan met “by visiting
you accept…”? Lijkt onmogelijk geworden)
Expliciete waarschuwing van WP29 voor tracking cookies: als persoonsgegevens
verzameld worden, is een afzonderlijke voorafgaande opt-in vereist
28. One last time:
The truth about cookies
Bart Van den Brande
Willem De Vos
Advocaten
Sirius Legal advocaten
www.siriuslegal.be
bart@siriuslegal.be
@BartVdBrande
Feweb On Tour
2013