Post on 21-Dec-2014
description
One last time:The truth about cookies
Bart Van den Brande
Willem De Vos
AdvocatenSirius Legal advocaten
www.siriuslegal.be
bart@siriuslegal.be
@BartVdBrande
Feweb On Tour 2013
One last time: the truth about cookiesAlweer over cookies?
One last time: the truth about cookiesAlweer over cookies?
Tools als Kméléo:
Remarketing/OBA tools
Gebruiken geen cookies
Lezen browser history net voor page landing
Tonen dan advertenties gebaseerd op die browsr history
Claimen geen persoonsgegevens te gebruiken
Claimen te ontsnappen aan cookiewet
Wat background
Wat zijn cookies?
“A cookie is a small amount of data generated by a website and saved on your computer by your web browser.
Its purpose is to remember information about you, similar to a preference file created by a software application.” (Wikipedia)
Waarom ligt de overheid wakker van cookies?
In één woord: privacy…
Wat background
Waarom ligt de overheid wakker van cookies?
In één woord: privacy…
Wat background
Wat zijn cookies?
first party cookies vs. third-party cookies door website door Google Analytics or ad brokers
functional cookies vs. non-functional cookies: log-in, registratie, taal statistics, remarketing, OBA
permanent cookies vs. session cookies blijven present verwijderd na surfsessie
Wat background
The legal small print
EU e-privacy richtlijn 2002/58/EC
Om te zetten in nationaal recht voor eind 2012
België: nieuw artikel 129 in Telecomwet sinds Oktober 2012
Wat backgroundThe legal small print
“De opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of een gebruiker is slechts toegestaan op voorwaarde dat :
1° de betrokken abonnee of gebruiker, overeenkomstig de voorwaarden bepaald in de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, duidelijke en precieze informatie krijgt over de doeleinden van de verwerking en zijn rechten op basis van de wet van 8 december 1992;
2° de abonnee of eindgebruiker zijn toestemming heeft gegeven na ingelicht te zijn overeenkomstig de bepalingen in 1°.
Het eerste lid is niet van toepassing voor de technische opslag van informatie of de toegang tot informatie opgeslagen in de eindapparatuur van een abonnee of een eindgebruiker met als uitsluitend doel de verzending van een communicatie via een elektronische- communicatienetwerk uit te voeren of een uitdrukkelijk door de abonnee of eindgebruiker gevraagde dienst te leveren wanneer dit hiervoor strikt noodzakelijk is. De toestemming in de zin van het eerste lid of de toepassing van het tweede lid, stelt de verantwoordelijke voor de verwerking niet vrij van de verplichtingen van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens die niet opgelegd worden in dit artikel.
De verantwoordelijke voor de verwerking biedt de abonnees of eindgebruikers gratis de mogelijkheid om op eenvoudige wijze de gegeven toestemming in te trekken.“
Wat backgroundThe legal small print
Altijd opt-in
Behalve voor functionele cookies:
Absoluut nodig om technische redenen
Absoluut nodig voor communicatie
Wat background
The legal small print
Belgische wet bevat geen detail over
Hoe waarschuwing gegeven moet worden
Hoe opt-in bekomen moet worden
Hoe opt-out mogelijkheid gegeven moet worden
Wie is verantwoordelijk
De wet is vaag, onduidelijk en laat ruimte voor interpretatie
Ganse sector wacht op duidelijkheid door privacycommissie of BIPT/IBPT
Wat background
The legal small print
Maar
EU standpunt is wel duidelijk (richtlijn + verklaringen commissarissen Kroes en Reding)
“Working Party 29” standpunt is duidelijk (Belgische privacycommissie is lid van WP29)
Regeling in buurlanden is wel duidelijk
Wat betekent dit voor u?
Synthese van EU, Belgische wet, adviezen:
Opt-in moet
Vrij zijn (i.e. mogelijkheid bestaan om website te bezoeken zonder opt-in)
Expliciet zijn (vereist actieve daad van bezoeker)
Geïnformeerd zijn (vereist voorafgaande informatie aan bezoeker)
Voorafgaandelijk aan het plaatsen van cookies zijn
Intrekbaar zijn
Wat betekent dit voor u?
Synthese van EU, Belgische wet, adviezen:
Dus praktisch
Informatie over gebruik van cookies, type cookies, doel of werking van cookies in privacy policy
Duidelijke warning bij eerste visit + link naar informatie in privacy policy
Duidelijke vrije keuze om al of niet opt-in te geven (kan ook gelaagd)
Duidelijke info in privacy policy over opt-out of wissen van cookies
Wat betekent dit voor u?Synthese van EU, Belgische wet, adviezen:
User-input cookie (bvb: mandje) als
sessie
Authentification cookie als sessie
Safety Cookie
Flash cookie als sessie
!!! Social media
Reclame door derden
First & third party analytics
Tracking cookie
Wat betekent dit voor u?
Synthese van EU, Belgische wet, adviezen:
Pop-up?
Splash screen?
Waarschuwing in banner of footer?
“Impliciete opt-in”?
Alles kan in se, zolang er een actieve beslissing genomen is door de bezoeker en zolang zijn keuze vrij is zonder mogelijkheid om website te bezoeken te beperken (Dit lijkt volgende uit te sluiten “by visiting this website you accept…”)
Wat betekent dit voor u?
Wat betekent dit voor u?
Wat betekent dit voor u?
Wat betekent dit voor u?
Oh, ook nog:
Als cookies gebruikt worden om persoonsgegevens te verzamelen of verwerken, is een bijkomende afzonderlijke opt-in onder de privacywet vereist…
Dit betekent
Aangifte bij privacycommissie
Recht om data in te kijken, te verbeteren, wissen
Informatieplicht in privacy policy
Geen transfer van data uit EU, tenzij onder zeer strikte voorwaarden
Waarschuwing: ook IP address, browser history, enz zijn persoonsgegevens…
Wat betekent dit voor u?
Impact van cookiewet
Niet erg efficiënt
Storend voor surfer
Verlies aan traffic en/of data voor websites
Bedrijven trachten te ontsnappen aan cookieverplichtingen
Alternatieve oplossingen worden gezocht
Browser fingerprinting (Kméléo en andere)
Web beacons
Wat betekent dit voor u?
Browser fingerprinting
Gebruikt geen cookies
Leest browser history net voor page landing
toont advertisements op basis van die browser history
Beweert geen persoonsgegevens te verzamelen of verwerken
Beweert te ontsnappen aan cookiewet
Wat betekent dit voor u?
Browser fingerprinting
Artikel 129 Telecomwet is echter duidelijk:“De opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of een gebruiker…”
Net als de Working Party 29’s advies 1/2008 (doc 00737/NL WP 148), dat bevestigt dat: “browser history data should be considered personal data under privacy law”
Wat betekent dit voor u?
Browser fingerprinting
Dus zelfs als geen cookie geplaatst wordt, maar op ongeacht welke wijze data verzameld worden vanop de computer van een bezoeker is steeds voorafgaande toestemming nodig.
Dit geldt ook voor browser fingerprinting, web beacons, plugins, …
Wat betekent dit voor u?
En als ik de wet niet naleef?
Wat betekent dit voor u?
Internationale context
Zoveel wetgevingen als er lidstaten zijn…
Probleem: als je je specifiek richt op bepaalde lidstaat is de kans groot dat lokaal recht van toepassing is (e.g. lokale website, lokale taal, lokale content, …)
Consequentie lijkt dat je moet voldoen aan strengste wet
Wat betekent dit voor u?
Internationale context
Working Party 29 advies van afgelopen Oktober 2013:
Basis voor pan-Europese cookie requirements
Voorzichtig: dit is slechts een advies
Wat betekent dit voor u?
Internationale context
Working Party 29 advies van afgelopen Oktober 2013:
Opt-in voor cookies los van andere opt-ins (voor privacy of direct marketing)Opt-in moet voorafgaan aan het plaatsen van cookieOpt-in vereist actieve daad (die kan bestaan uit het verdere bezoek van de website)Opt-in moet vrij zijn en is idealerwijze “gelaagd” Website moet ook toegankelijk blijven zonder opt-in (maar wat dan met “by visiting you accept…”? Lijkt onmogelijk geworden)
Expliciete waarschuwing van WP29 voor tracking cookies: als persoonsgegevens verzameld worden, is een afzonderlijke voorafgaande opt-in vereist
One last time:The truth about cookies
Bart Van den Brande
Willem De Vos
AdvocatenSirius Legal advocaten
www.siriuslegal.be
bart@siriuslegal.be
@BartVdBrande
Feweb On Tour 2013