DDMA Cookievoorlichting Jeroen Terstegge 2010

714 views

Published on

Jeroen Terstegge, voorzitter van de VNO-NCW privacy commissie legt op uit wat de juridische implicaties zijn van een opt-in voor cookies

Published in: Business, Travel
0 Comments
0 Likes
Statistics
Notes
 • Be the first to comment

 • Be the first to like this

No Downloads
Views
Total views
714
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

DDMA Cookievoorlichting Jeroen Terstegge 2010

 1. 1. Nieuwe regels voor cookies in de Telecommunicatiewetgeving (EU/NL) Jeroen Terstegge PrivaSense PrivaSense Privacy and Trust in the Digital Society
 2. 2. Achtergrond <ul><li>Wijziging van Europese e-Privacy Richtlijn (2002/58) </li></ul><ul><ul><li>Wat ? </li></ul></ul><ul><ul><ul><li>Richtlijn 2009/136, 25 november 2009) </li></ul></ul></ul><ul><ul><ul><li>Onderdeel van het Telecompakket </li></ul></ul></ul><ul><ul><li>Waarom ? </li></ul></ul><ul><ul><ul><li>Betere consumentenbescherming </li></ul></ul></ul><ul><ul><ul><li>Bevorderen Interne markt </li></ul></ul></ul>PrivaSense
 3. 3. De nieuwe regels (1) <ul><li>Art. 5 lid 3 Richtlijn (nieuw) </li></ul><ul><ul><li>De lidstaten dragen ervoor zorg dat de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker , alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig Richtlijn 95/46/EG , onder meer over de doeleinden van de verwerking. </li></ul></ul><ul><ul><li>Zulks vormt geen beletsel voor enige vorm van technische opslag of toegang met als uitsluitend doel de uitvoering van de verzending van een communicatie over een elektronisch communicatienetwerk , of, indien strikt noodzakelijk, om ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij deze dienst levert .” </li></ul></ul>PrivaSense
 4. 4. De nieuwe regels (2) <ul><li>Artikel 11.3a (nieuw) </li></ul><ul><ul><li>1. Een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker, dient voorafgaand aan de daadwerkelijke toegang of opslag de gebruiker: a. op een duidelijke en nauwkeurige wijze te informeren omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan, en b. ondubbelzinnig toestemming te vragen en deze te verkrijgen voor de desbetreffende handeling. </li></ul></ul><ul><ul><li>2. De in het eerste lid, onder a en b, genoemde vereisten zijn ook van toepassing in het geval op een andere wijze dan door middel van een elektronisch communicatienetwerk wordt bewerkstelligd dat via een elektronisch communicatienetwerk gegevens worden opgeslagen of toegang wordt verleend tot op het randapparaat opgeslagen gegevens. </li></ul></ul><ul><ul><li>3. Het bepaalde in het eerste lid en tweede lid is niet van toepassing , voor zover het de technische opslag of toegang tot gegevens betreft met als uitsluitend doel: a. de verzending van communicatie over een elektronisch communicatienetwerk uit te voeren, of b. de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is. </li></ul></ul>PrivaSense
 5. 5. Wat wordt beschermd ? <ul><li>Twee categorieën bescherming: </li></ul><ul><ul><li>Het opslaan van gegevens op de eindapparatuur van de gebruiker </li></ul></ul><ul><ul><li>Het toegang krijgen tot gegevens op de eindapparatuur van de gebruiker </li></ul></ul><ul><li>Dit omvat onder meer: </li></ul><ul><ul><li>Het installeren van software op de apparatuur van de gebruikers </li></ul></ul><ul><ul><ul><li>Bijv. spyware, malware, virussen, etc. </li></ul></ul></ul><ul><ul><li>Het opslaan van gebruiksgegevens of profielen op de apparatuur </li></ul></ul><ul><ul><ul><li>Bijv. cookies, user-ID’s </li></ul></ul></ul><ul><ul><li>Het verzamelen van gegevens die zich op de apparatuur bevinden </li></ul></ul><ul><ul><ul><li>Bijv. cookies, device-ID’s </li></ul></ul></ul><ul><ul><ul><li>Maar ook: creditcardgegevens, bankgegevens, wachtwoorden, etc. </li></ul></ul></ul><ul><ul><li>Het monitoren van gebruik of gedrag aan de hand van informatie die op de apparatuur is/wordt opgeslagen </li></ul></ul><ul><ul><ul><li>Bijv. voorkeuren, interesses, etc. </li></ul></ul></ul>PrivaSense
 6. 6. Wie moet toestemming vragen ? <ul><li>Richtlijn 2009/136 </li></ul><ul><ul><li>Niet duidelijk </li></ul></ul><ul><li>Tw: </li></ul><ul><ul><li>“ een ieder” </li></ul></ul><ul><li>Ingeval van cookies, dus in principe NIET: </li></ul><ul><ul><li>De eigenaar van de website via welke de cookie wordt geplaatst </li></ul></ul><ul><li>Maar wel: </li></ul><ul><ul><li>De partij die de cookie feitelijk plaatst en gebruikt </li></ul></ul><ul><ul><ul><li>Bijv. Adverteerder, het Ad-network, etc. </li></ul></ul></ul>PrivaSense
 7. 7. Wie moet toestemming vragen ? <ul><li>Probleem: </li></ul><ul><ul><li>Niet altijd op voorhand volledig duidelijk welke partij precies verantwoordelijk is voor het vragen van toestemming voor het plaatsen van cookies </li></ul></ul><ul><li>Voorbeelden: </li></ul><ul><ul><li>Een website-eigenaar gebruikt een dienst die het bezoek op de website registreert en analyseert </li></ul></ul><ul><ul><ul><li>Webtrends, Google Analytics </li></ul></ul></ul><ul><ul><li>Een webpagina wordt gehost in een “cloud omgeving” met vaste parameters, waaronder het plaatsen van een cookie </li></ul></ul><ul><ul><ul><li>bijv. Hyves, Facebook, Wordpress, Blogspot, Flickr, </li></ul></ul></ul><ul><ul><li>Een website-eigenaar genereert inkomsten uit advertenties die op zijn website worden getoond. </li></ul></ul>PrivaSense
 8. 8. Wie moet toestemming vragen ? <ul><li>Onduidelijk is wat het “applicable law” is. </li></ul><ul><li>Twee benaderingen mogelijk: </li></ul><ul><ul><li>Country of Origin : </li></ul></ul><ul><ul><ul><li>Een NIET-NL partij toestemming vragen als hij een cookie plaatst op een NL-computer </li></ul></ul></ul><ul><ul><li>Country of Destination : </li></ul></ul><ul><ul><ul><li>Een NL-partij moet toestemming vragen als hij een cookie plaatst op een NIET-NL computer </li></ul></ul></ul><ul><li>NB. Dit is relevant voor: </li></ul><ul><ul><li>Wie toestemming moet vragen </li></ul></ul><ul><ul><li>Welke eisen aan toestemming van toepassing zijn </li></ul></ul><ul><ul><li>Welke toezichthouder bevoegd is </li></ul></ul>PrivaSense
 9. 9. Eisen aan toestemming <ul><li>Richtlijn 2002/136: </li></ul><ul><ul><li>Geen duidelijke eisen aan de toestemming </li></ul></ul><ul><ul><li>Maar: E-Privacy Richtlijn is lex specialis van Richtlijn Bescherming Persoonsgegevens 95/46: </li></ul></ul><ul><ul><ul><li>Art. 2 (h) R 95/46: Toestemming is “ elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt”. </li></ul></ul></ul><ul><li>Tw: </li></ul><ul><ul><li>Ondubbelzinnige toestemming </li></ul></ul><ul><ul><li>NB. Informatie over de doeleinden waarvoor men toegang tot de desbetreffende gegevens wenst te verkrijgen dan wel waarvoor men gegevens wenst op te slaan is voorwaarde voor geldigheid toestemming. </li></ul></ul>PrivaSense
 10. 10. Eisen aan toestemming <ul><li>Toestemming is een eenzijdige rechtshandeling. dus alle problemen rondom rechtshandelingen zijn ook van toepassing op de toestemming van art. 11.3a, lid 1 sub b Tw. </li></ul><ul><ul><li>Vernietigbaarheid wegens wilsgebrek </li></ul></ul><ul><ul><ul><li>dwaling, bedrog, bedreiging, misbruik van omstandigheden </li></ul></ul></ul><ul><ul><li>Vragen toestemming van in strijd zijn met openbare orde or goede zeden </li></ul></ul><ul><ul><li>Benadeling van betrokkene </li></ul></ul><ul><ul><li>NB. Sommige groepen kunnen zelf geen toestemming geven </li></ul></ul><ul><ul><ul><li>Kinderen </li></ul></ul></ul><ul><ul><ul><li>Onder-toezichtgestelden </li></ul></ul></ul>PrivaSense
 11. 11. Eisen aan toestemming <ul><li>Problemen met de vraag </li></ul><ul><ul><li>Bepaaldheid </li></ul></ul><ul><ul><li>Informatieplicht </li></ul></ul><ul><li>Problemen met de verklaring </li></ul><ul><ul><li>Taal </li></ul></ul><ul><ul><li>Toestemming via browser-instellingen is alleen mogelijk als browsermakers aan iedere gebruiker bij installatie vragen om zijn cookie-voorkeuren in te stellen </li></ul></ul><ul><li>Deze problemen leiden tot het ontbreken van de toestemming </li></ul>PrivaSense
 12. 12. Werking toestemming <ul><li>Toestemming is rechtsgrond voor het plaatsen of opvragen van cookies, maar </li></ul><ul><li>Toestemming kan worden ingetrokken, worden vernietigd, of ongeldig zijn (ontbreken) </li></ul><ul><ul><li>Intrekken toestemming werkt ex nunc </li></ul></ul><ul><ul><ul><li>Alle handelingen zijn ongeldig vanaf het moment van de intrekking </li></ul></ul></ul><ul><ul><li>Vernietiging toestemming werkt ex tunc </li></ul></ul><ul><ul><ul><li>Alle handelingen voorafgaande aan de vernietiging moeten worden teruggedraaid (bijv. vernietiging van profielen) </li></ul></ul></ul><ul><ul><li>Ongeldige toestemming maakt alle handelingen onrechtmatig. </li></ul></ul>PrivaSense
 13. 13. Ministeriële Regeling <ul><li>Art. 11.3 lid 4 </li></ul><ul><ul><li>Bij ministeriële regeling kunnen in overeenstemming met Onze Minister van Justitie nadere regels worden gegeven met betrekking tot de in het eerste lid, onder a en b, genoemde vereisten. </li></ul></ul><ul><li>Praktisch invulling aan toestemmingsvereiste </li></ul><ul><li>Echter, de Ministeriële Regeling kan naar mijn mening de algemene beginselen van het BW en de WBP niet zomaar terzijde schuiven ! </li></ul>PrivaSense
 14. 14. <ul><li>Vragen ? </li></ul><ul><li>PrivaSense </li></ul><ul><li>[email_address] </li></ul>

×