Post on 08-Feb-2015
description
Cookies, profileren & privacyJitty van Doodewaerd – Compliance
DDMA
Hoe meer we weten hoe minder we storen.
Privacy| profileren
• Profileren is zo oud als de weg naar Rome, maar weer actueel
• Nationale en internationale overheden stellen nieuwe regels om techniek te
reguleren (cookies) en principes te updaten
I. Cookies• Wat zijn cookies: inhoud• Regelgeving cookies• Voldoen aan de wet
II. Privacyverordening• Situatie nu• zorgpunten
Cookies
Cookies| 1st of 3rd party
Er bestaan directe en indirecte cookies, ook wel first of third party cookies genoemd
1st Party (= direct)
• Bezochte site plaatst cookie
• www.nu.nl plaatst een cookie als een bezoeker de site bezoekt. 1st party cookies
hebben verschillende doeleinden:
* onthouden loginnaam en items in winkelmandje
* vergroten gebruikservaring (door monitoren paginabezoeken)
* vormgeving onthouden
* Online Behavioral Advertising binnen een eigen site: leessuggesties van Amazon of
aangepaste plaatjes van Center Parks
Wat zijn cookies? | 1st party OBA Center Parcs
Mijn Centerparcs -
leden krijgen op de
centerparcs website
verschillende banners
te zien die inspelen
op hun leeftijd.
Zij worden herkend
door middel van een
cookie
Wat zijn cookies? | 1st party OBA Wehkamp
Wat zijn cookies? | 1st of 3rd party
3rd Party (= indirect)
• Online Behavioral Advertising maakt veel gebruik van 3rd party cookies
• Een advertentienetwerk plaatst via een site van derden een cookie op de pc van
een gebruiker. Dit cookie kan door het netwerk worden uitgelezen op de
verschillende websites die zich in het advertentienetwerk bevinden.
MAW:
Een 3rd party cookie ‘volgt’ een gebruiker langere tijd over verschillende
websites en is zo in staat een profiel op te bouwen, waardoor zij een gebruiker
kan segmenteren op specifieke interesses op een gemeenplaats als bijvoorbeeld
marktplaats.nl
Op apart design een vuurkorf bekeken
Even later op Geenstijl
Nog even later op nu.nl
II. Regelgeving cookies
Regelgeving cookies: inhoud
• Regels tot mei 2011
• EU Richtlijn
• NL implementatie
Besluit Universele Dienstverlening en Eindgebruikersbelangen (BUDE)
Artikel 4.1
1. Voor toegang of opslag via een elektronisch communicatienetwerk tot
gegevens die zijn opgeslagen in de randapparatuur van een internetgebruiker,
dient de internetgebruiker voorafgaand:
a. op een duidelijke en nauwkeurige wijze te worden geïnformeerd
over de doeleinden en
b. op voldoende kenbare wijze gelegenheid te worden geboden de
desbetreffende handeling te weigeren
= opt-out
Regelgeving cookies| BUDE (heden – mei 2011)
Europese E-Privacy Richtlijn
Art. 5.3 van deze Richtlijn behandelt cookies en stelt dat:
- het opslaan van informatie op randapparatuur van een gebruiker en
- toegang tot informatie op randapparatuur van een gebruiker
alleen mag als
- de gebruiker hierover helder geïnformeerd is
- en toestemming heeft gegeven
= opt-in
Regelgeving cookies| EU Richtlijn
Overweging 66
In het voorwoord van de richtlijn (recital 66) staat dat een gebruiker zijn
toestemming kan uitdrukken door browsersettings. Het probleem is
dat dit voorwoord geen juridische status heeft. Dit betekent dat lidstaten
het naar eigen inzicht kunnen interpreteren.
Regelgeving cookies| EU Richtlijn
Uitzondering
Toestemming niet nodig voor cookies die:
1. communicatie over een elektronisch communicatienetwerk mogelijk
maken
2. Noodzakelijk zijn voor diensten van de informatiemaatschappij
Dus geen toestemming nodig voor winkelmandjes, onthouden van
inloggegevens, laden plaatjes
WEL voor reclame en google analytics, ad words (re-marketing)
Regelgeving cookies| EU Richtlijn
De Nederlandse wettekst wijkt in principe niet af van de Europese en zegt dat
partijen die cookies plaatsen de webbezoeker:
• duidelijk en volledig moeten informeren dat zij cookies plaatsen én
• de gebruiker hiervoor toestemming moeten vragen.
Regelgeving cookies| Nederlandse Implementatie
Probleem 1: toestemming kan volgens de
Nederlandse regering niet uitgedrukt
worden door de huidige
beveiligingsinstellingen van de browser.
Amendement Van Bemmel
Het amendement van Van Bemmel stelt dat als cookies de webbezoeker tracken
over tijd en verschillende sites, de privacywetgeving van toepassing is, ook al
kan je een cookie niet herleiden tot een persoon. Als een partij vervolgens NIET
kan bewijzen dat hij GEEN persoonsgegevens verwerkt, moet hij aan de Wbp
voldoen.
Regelgeving cookies| Nederlandse Implementatie
Probleem 2: de privacywetgeving is niet
altijd even geschikt voor cookies (recht
op inzage en correctie)
Probleem 3: de omgekeerde bewijslast
(alleen bij cookies met
persoonsgegevens)
De wettekst (informeren en toestemming vragen)
• Geldt sinds 5 juni 2012
Het amendement Van Bemmel (omkering bewijslast)
• Treedt 1 januari 2013 in werking
Regelgeving cookies| EU Richtlijn
Zonder Europese standaard voor het
vragen van toestemming ligt halfgare
compliance op de loer
De wettekst (informeren en toestemming vragen)
Wat betekent dit concreet?
Geen eenduidige uitleg:
Regelgeving cookies| compliance
Maxime Verhagen
tijdens de
behandeling van het
Wetsvoorstel in de
Eerste Kamer
Regelgeving cookies| compliance
(….) “Over die informatieplicht bestaat dus totaal
geen onduidelijkheid. Het is volstrekt helder wat
degene die de cookie plaatst moet doen. Dat zal
dus ook door de OPTA worden gehandhaafd.”
Toestemming
“De OPTA heeft aangegeven bij dit praktische
aspect van de cookiebepaling, de vraag hoe die
toestemmingsvereiste vorm moet krijgen, enige
terughoudendheid in de handhaving te
betrachten.”
“ De OPTA heeft ook aangegeven rekening te
houden met de ontwikkelingen in Brussel”
Regelgeving cookies| compliance
OPTA geeft aan:
• Vanaf het eerste moment te handhaven op de
informatieplicht en de toestemmingsvereiste
• Informeren en het verkrijgen van toestemming kan niet
geschieden door middel van een (vage) verwijzing naar
bijvoorbeeld algemene voorwaarden, privacy en/of
permission statements.
• OPTA zal optreden indien er informatie wordt geplaatst,
waarbij op geen enkele wijze om voorafgaande toestemming
wordt gevraagd
Regelgeving cookies| compliance
Brief aan overheidssites over voldoen aan cookiebepaling
Publicatiedatum06-09-2012
SoortCorrespondentie
Beslisdatum03-09-2012
BriefkenmerkOPTA/ACNB/2012/202315
OPTA heeft 121 overheidsinstanties per brief geïnformeerd over de nieuwe cookiebepaling.
OPTA heeft zich in eerste instantie op deze specifieke groep gericht, omdat zij een
voorbeeldfunctie vervullen. Het gaat hierbij overigens niet alleen om websites van de overheid
zelf, maar ook om sites die door burgers hiermee geassocieerd worden.
OPTA heeft 96 websites erop gewezen dat zij cookies plaatsen zonder te infomeren en/of
toestemming te vragen. Zij moeten OPTA vóór 24 september laten weten hoe zij aan de wet
gaan voldoen. Tien sites plaatsen alleen functionele cookies en vijftien sites helemaal geen. Om
ervoor te zorgen dat deze sites ook in de toekomst blijven voldoen aan de cookiebepaling, zijn zij
per brief geïnformeerd over de nieuwe regels.
Regelgeving cookies| compliance
Aanbeveling:
A. Voldoe aan de informatieplicht, want kan met terugwerkende kracht door OPTA
worden gehandhaafd.
1. Pas je privacy statement aan
2. Zorg voor een duidelijke melding op de website waarmee een consument kan zien dat je cookies
plaatst
B. Vraag zo snel mogelijk toestemming, zeker voor het plaatsen van tracking cookies.
Hier handhaven OPTA (terughoudend??) en CBP.
C. Zorg voor documentatie waarmee je vanaf 1 januari 2013 juridisch kan aantonen
dat je organisatie WEL/GEEN persoonsgegevens verwerkt met tracking cookies
Regelgeving cookies| privacy statement
Pas je privacy statement aan.
Vertel:
1. welke cookies geplaatst worden
2. voor welk doel (bezoekersaantallen registreren, plaatjes laden, OBA)
3. welke informatie met een cookie wordt vastgelegd
4. of de informatie verstrekt wordt aan derden
Regelgeving cookies| informeren
Informeren op de site: hoe?
• Alleen een privacy- of cookiestatement volstaat niet, want de informatie moet
DUIDELIJK verstrekt worden
• Hoe dan wel??
Regelgeving cookies| toestemming
Toestemming: hoe?
• Mag eenmalig en collectief gegeven worden, de manier om dit te realiseren is
ironisch genoeg door een “toestemmingscookie” te droppen op de pc van een
gebruiker
Let op: Het staat een website vrij een webbezoeker te weigeren als hij geen cookies
accepteert!
Regelgeving cookies| toestemming
Conversie cookies?
Ja
Regelgeving cookies| toestemming
Tracking pixel?
Ja – bij e-mail conversie in je e-mail opt-in verwerken
Regelgeving cookies| toestemming
Re-targeting cookies?
Ja
Regelgeving cookies| toestemming
Audience Targetting?
Verantwoordelijkheid toestemming ligt bij Google. Je kunt wel mede-verantwoordelijk
worden gehouden als adverteerder.
Regelgeving cookies| toestemming
Toestemming: problemen
• Wie geeft toestemming?
• Hoe kan toestemming worden overgedragen?
• Als ik op telegraaf.nl wel cookie x accepteer en vervolgens op nu.nl niet, hoe moet
dit dan ?
Privacyverordening
Verwacht: 2015/2016
Wat zegt de Privacywet?
Verwerken van persoonsgegevens voor marketing mag als:
• Je een gerechtvaardigd belang voor de verwerking of toestemming hebt (reclame = gerechtvaardigd belang) (8a/8f Wbp)
• Je de betrokkene en de overheid hebt geïnformeerd op over de specifieke doeleinden van de verwerking. Reclame en/of derdenverstrekking
• Je de betrokkene in iedere uiting wijst op het recht van verzet. (41 Wbp)
Marketing| Data Protection Directive
• Bij sms, email en fax heb je altijd voorafgaande toestemming nodig (opt-in).
• Voor direct mail en telemarketing heb je GEEN toestemming nodig
Hoe zit het bij Social Media? Facebook, Twitter, OBA??
• Worden persoonsgegevens verwerkt? (WBP van toepassing)
• Is er sprake van het verzenden elektronische berichten? (Telecomwet van Toepassing)
Wat impliceert dit?
• Pull communicatie (gerechtvaardigd belang) en push communicatie (toestemming)
Privacy &social| opt-in of opt-out
• Bij sms, email en fax heb je altijd voorafgaande toestemming nodig (opt-in).
• Voor direct mail en telemarketing heb je GEEN toestemming nodig
Hoe zit het bij Social Media? Facebook, Twitter, OBA??
• Worden persoonsgegevens verwerkt? (WBP van toepassing)
• Is er sprake van het verzenden elektronische berichten? (Telecomwet van Toepassing)
Wat impliceert dit? Gerechtvaardigd belang bij pull-communicatie (volgen/frienden en toestemming bij push communicatie.
en altijd informeren en RVV bieden.
Niet zo!
Wel zo!
Wat betekent de verordening voor marketing?
• DDMA is voorstander van het instrument van een verordening
o Level playing field (i.t.t. cookies en e-mail)
• DDMA is blij dat de verordening direct marketing erkent als gerechtvaardigd
belang van een ondernemer
o Offline marketing blijft opt-out (informeren + RVV)
o Nieuwe markttoetreders (geen lock-in)
o Voor online een opt-in op basis van de E-privacy Richtlijn
Verordening| positieve aspecten
(1) 'data subject' means an identified natural person or a natural person who can be
identified, directly or indirectly, by means reasonably likely to be used by the
controller or by any other natural or legal person, in particular by reference to an
identification number, location data, online identifier or to one or more factors
specific to the physical, physiological, genetic, mental, economic, cultural or social
identity of that person;
(2) 'personal data' means any information relating to a data subject;
I.t.t. gegevens herleidbaar tot een individu
Verordening| persoonsgegeven
Definitie van persoonsgegeven
• Context: data die voor mij herleidbaar is, hoeft dit te zijn voor een andere afdeling
binnen mijn organisatie of voor een derde aan wie ik de gegevens verstrek.
B.v. postcodesegmentatie: Techniek waarbij doelgroepen gesegmenteerd
worden aan de hand van socio-economische- en demografische kenmerken
die min of meer uniform zijn voor adressen met dezelfde postcode of in
hetzelfde gebied. Folderen in wijken met gezinnen/ tuinen etc.
B.v. gebruik geanonimiseerde data voor R&D
Verordening| persoonsgegeven
Profileren
Article 20 Measures based on profiling
1.
Every natural person shall have the right not to be subject to a measure
which produces legal effects concerning this natural person or significantly affects
this natural person, and which is based solely on automated processing intended to
evaluate certain personal aspects relating to this natural person or to analyse or
predict in particular the natural person's performance at work, economic situation,
location, health, personal preferences, reliability or behaviour.
= opt-out
Verordening| profileren
Prijsdifferentiatie/ loyalty. Trouwe klant krijgt voordeel.
Kan dit straks nog, de niet-klant wordt benadeeld?
Verordening| profileren
WANBETALERSBedrijven controleren de kredietwaardigheid van
iemand die een abonnement wil (creditscore).
En wil je iemand in de schuldsanering reclame sturen
voor een lening?
Postcodesegmentatie
Definitie van toestemming
(8) 'the data subject's consent' means any freely given specific, informed and explicit
indication of his or her wishes by which the data subject, either by a statement or
by a clear affirmative action, signifies agreement to personal data relating to them
being processed;
Verordening| toestemming
Relatie met de E-Privacy Richtlijn?
In het geval van cookies:
- Is collectieve en eenmalige toestemming specifiek?
- Is het implied consent model dat een aantal lidstaten nu hanteren ‘explicit’
Verordening| toestemming
Reikwijdte:
This Regulation applies to the processing of personal data of data subjects
residing in the Union by a controller not established in the Union, where the
processing activities are related to:
(a) the offering of goods or services to such data subjects in the Union; or
(b) the monitoring of their behaviour.
Verordening| reikwijdte
• Onder Europese regels zouden FB, Twitter en Google de gegevens van hun klanten niet aan derden mogen verstrekken of ter beschikking mogen stellen aan derden voor bijvoorbeeld OBA
Twijfel of de verordening dir kan stoppen. Zo niet dan wordt het concurrentieverschil tussen EU en VS bedrijven alleen maar groter.
Verordening| reikwijdte