20121206 presentatie jitty van doodewaerd cookies, privacy, profileren

of 63 /63
Cookies, profileren & privacy Jitty van Doodewaerd – Compliance DDMA

Embed Size (px)

description

 

Transcript of 20121206 presentatie jitty van doodewaerd cookies, privacy, profileren

Page 1: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Cookies, profileren & privacyJitty van Doodewaerd – Compliance

DDMA

Page 2: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren
Page 3: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren
Page 4: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren
Page 5: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren
Page 6: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren
Page 7: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Hoe meer we weten hoe minder we storen.

Page 8: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Privacy| profileren

• Profileren is zo oud als de weg naar Rome, maar weer actueel

• Nationale en internationale overheden stellen nieuwe regels om techniek te

reguleren (cookies) en principes te updaten

Page 9: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

I. Cookies• Wat zijn cookies: inhoud• Regelgeving cookies• Voldoen aan de wet

II. Privacyverordening• Situatie nu• zorgpunten

Page 10: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Cookies

Page 11: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Cookies| 1st of 3rd party

Er bestaan directe en indirecte cookies, ook wel first of third party cookies genoemd

1st Party (= direct)

• Bezochte site plaatst cookie

• www.nu.nl plaatst een cookie als een bezoeker de site bezoekt. 1st party cookies

hebben verschillende doeleinden:

* onthouden loginnaam en items in winkelmandje

* vergroten gebruikservaring (door monitoren paginabezoeken)

* vormgeving onthouden

* Online Behavioral Advertising binnen een eigen site: leessuggesties van Amazon of

aangepaste plaatjes van Center Parks

Page 12: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Wat zijn cookies? | 1st party OBA Center Parcs

Mijn Centerparcs -

leden krijgen op de

centerparcs website

verschillende banners

te zien die inspelen

op hun leeftijd.

Zij worden herkend

door middel van een

cookie

Page 13: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Wat zijn cookies? | 1st party OBA Wehkamp

Page 14: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Wat zijn cookies? | 1st of 3rd party

3rd Party (= indirect)

• Online Behavioral Advertising maakt veel gebruik van 3rd party cookies

• Een advertentienetwerk plaatst via een site van derden een cookie op de pc van

een gebruiker. Dit cookie kan door het netwerk worden uitgelezen op de

verschillende websites die zich in het advertentienetwerk bevinden.

MAW:

Een 3rd party cookie ‘volgt’ een gebruiker langere tijd over verschillende

websites en is zo in staat een profiel op te bouwen, waardoor zij een gebruiker

kan segmenteren op specifieke interesses op een gemeenplaats als bijvoorbeeld

marktplaats.nl

Page 15: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Op apart design een vuurkorf bekeken

Page 16: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Even later op Geenstijl

Page 17: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Nog even later op nu.nl

Page 18: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

II. Regelgeving cookies

Regelgeving cookies: inhoud

• Regels tot mei 2011

• EU Richtlijn

• NL implementatie

Page 19: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Besluit Universele Dienstverlening en Eindgebruikersbelangen (BUDE)

Artikel 4.1

1. Voor toegang of opslag via een elektronisch communicatienetwerk tot

gegevens die zijn opgeslagen in de randapparatuur van een internetgebruiker,

dient de internetgebruiker voorafgaand:

a. op een duidelijke en nauwkeurige wijze te worden geïnformeerd

over de doeleinden en

b. op voldoende kenbare wijze gelegenheid te worden geboden de

desbetreffende handeling te weigeren

= opt-out

Regelgeving cookies| BUDE (heden – mei 2011)

Page 20: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Europese E-Privacy Richtlijn

Art. 5.3 van deze Richtlijn behandelt cookies en stelt dat:

- het opslaan van informatie op randapparatuur van een gebruiker en

- toegang tot informatie op randapparatuur van een gebruiker

alleen mag als

- de gebruiker hierover helder geïnformeerd is

- en toestemming heeft gegeven

= opt-in

Regelgeving cookies| EU Richtlijn

Page 21: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Overweging 66

In het voorwoord van de richtlijn (recital 66) staat dat een gebruiker zijn

toestemming kan uitdrukken door browsersettings. Het probleem is

dat dit voorwoord geen juridische status heeft. Dit betekent dat lidstaten

het naar eigen inzicht kunnen interpreteren.

Regelgeving cookies| EU Richtlijn

Page 22: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Uitzondering

Toestemming niet nodig voor cookies die:

1. communicatie over een elektronisch communicatienetwerk mogelijk

maken

2. Noodzakelijk zijn voor diensten van de informatiemaatschappij

Dus geen toestemming nodig voor winkelmandjes, onthouden van

inloggegevens, laden plaatjes

WEL voor reclame en google analytics, ad words (re-marketing)

Regelgeving cookies| EU Richtlijn

Page 23: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

De Nederlandse wettekst wijkt in principe niet af van de Europese en zegt dat

partijen die cookies plaatsen de webbezoeker:

• duidelijk en volledig moeten informeren dat zij cookies plaatsen én

• de gebruiker hiervoor toestemming moeten vragen.

Regelgeving cookies| Nederlandse Implementatie

Probleem 1: toestemming kan volgens de

Nederlandse regering niet uitgedrukt

worden door de huidige

beveiligingsinstellingen van de browser.

Page 24: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Amendement Van Bemmel

Het amendement van Van Bemmel stelt dat als cookies de webbezoeker tracken

over tijd en verschillende sites, de privacywetgeving van toepassing is, ook al

kan je een cookie niet herleiden tot een persoon. Als een partij vervolgens NIET

kan bewijzen dat hij GEEN persoonsgegevens verwerkt, moet hij aan de Wbp

voldoen.

Regelgeving cookies| Nederlandse Implementatie

Probleem 2: de privacywetgeving is niet

altijd even geschikt voor cookies (recht

op inzage en correctie)

Probleem 3: de omgekeerde bewijslast

(alleen bij cookies met

persoonsgegevens)

Page 25: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

De wettekst (informeren en toestemming vragen)

• Geldt sinds 5 juni 2012

Het amendement Van Bemmel (omkering bewijslast)

• Treedt 1 januari 2013 in werking

Regelgeving cookies| EU Richtlijn

Zonder Europese standaard voor het

vragen van toestemming ligt halfgare

compliance op de loer

Page 26: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

De wettekst (informeren en toestemming vragen)

Wat betekent dit concreet?

Geen eenduidige uitleg:

Regelgeving cookies| compliance

Page 27: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Maxime Verhagen

tijdens de

behandeling van het

Wetsvoorstel in de

Eerste Kamer

Regelgeving cookies| compliance

(….) “Over die informatieplicht bestaat dus totaal

geen onduidelijkheid. Het is volstrekt helder wat

degene die de cookie plaatst moet doen. Dat zal

dus ook door de OPTA worden gehandhaafd.”

Toestemming

“De OPTA heeft aangegeven bij dit praktische

aspect van de cookiebepaling, de vraag hoe die

toestemmingsvereiste vorm moet krijgen, enige

terughoudendheid in de handhaving te

betrachten.”

“ De OPTA heeft ook aangegeven rekening te

houden met de ontwikkelingen in Brussel”

Page 28: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Regelgeving cookies| compliance

OPTA geeft aan:

• Vanaf het eerste moment te handhaven op de

informatieplicht en de toestemmingsvereiste

• Informeren en het verkrijgen van toestemming kan niet

geschieden door middel van een (vage) verwijzing naar

bijvoorbeeld algemene voorwaarden, privacy en/of

permission statements.

• OPTA zal optreden indien er informatie wordt geplaatst,

waarbij op geen enkele wijze om voorafgaande toestemming

wordt gevraagd

Page 29: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Regelgeving cookies| compliance

Brief aan overheidssites over voldoen aan cookiebepaling

Publicatiedatum06-09-2012

SoortCorrespondentie

Beslisdatum03-09-2012

BriefkenmerkOPTA/ACNB/2012/202315

OPTA heeft 121 overheidsinstanties per brief geïnformeerd over de nieuwe cookiebepaling.

OPTA heeft zich in eerste instantie op deze specifieke groep gericht, omdat zij een

voorbeeldfunctie vervullen. Het gaat hierbij overigens niet alleen om websites van de overheid

zelf, maar ook om sites die door burgers hiermee geassocieerd worden.

OPTA heeft 96 websites erop gewezen dat zij cookies plaatsen zonder te infomeren en/of

toestemming te vragen. Zij moeten OPTA vóór 24 september laten weten hoe zij aan de wet

gaan voldoen. Tien sites plaatsen alleen functionele cookies en vijftien sites helemaal geen. Om

ervoor te zorgen dat deze sites ook in de toekomst blijven voldoen aan de cookiebepaling, zijn zij

per brief geïnformeerd over de nieuwe regels.

Page 30: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Regelgeving cookies| compliance

Aanbeveling:

A. Voldoe aan de informatieplicht, want kan met terugwerkende kracht door OPTA

worden gehandhaafd.

1. Pas je privacy statement aan

2. Zorg voor een duidelijke melding op de website waarmee een consument kan zien dat je cookies

plaatst

B. Vraag zo snel mogelijk toestemming, zeker voor het plaatsen van tracking cookies.

Hier handhaven OPTA (terughoudend??) en CBP.

C. Zorg voor documentatie waarmee je vanaf 1 januari 2013 juridisch kan aantonen

dat je organisatie WEL/GEEN persoonsgegevens verwerkt met tracking cookies

Page 31: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Regelgeving cookies| privacy statement

Pas je privacy statement aan.

Vertel:

1. welke cookies geplaatst worden

2. voor welk doel (bezoekersaantallen registreren, plaatjes laden, OBA)

3. welke informatie met een cookie wordt vastgelegd

4. of de informatie verstrekt wordt aan derden

Page 32: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren
Page 33: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Regelgeving cookies| informeren

Informeren op de site: hoe?

• Alleen een privacy- of cookiestatement volstaat niet, want de informatie moet

DUIDELIJK verstrekt worden

• Hoe dan wel??

Page 34: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren
Page 35: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Regelgeving cookies| toestemming

Toestemming: hoe?

• Mag eenmalig en collectief gegeven worden, de manier om dit te realiseren is

ironisch genoeg door een “toestemmingscookie” te droppen op de pc van een

gebruiker

Let op: Het staat een website vrij een webbezoeker te weigeren als hij geen cookies

accepteert!

Page 36: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Regelgeving cookies| toestemming

Conversie cookies?

Ja

Page 37: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Regelgeving cookies| toestemming

Tracking pixel?

Ja – bij e-mail conversie in je e-mail opt-in verwerken

Page 38: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Regelgeving cookies| toestemming

Re-targeting cookies?

Ja

Page 39: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Regelgeving cookies| toestemming

Audience Targetting?

Verantwoordelijkheid toestemming ligt bij Google. Je kunt wel mede-verantwoordelijk

worden gehouden als adverteerder.

Page 40: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren
Page 41: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren
Page 42: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren
Page 43: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Regelgeving cookies| toestemming

Toestemming: problemen

• Wie geeft toestemming?

• Hoe kan toestemming worden overgedragen?

• Als ik op telegraaf.nl wel cookie x accepteer en vervolgens op nu.nl niet, hoe moet

dit dan ?

Page 44: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Privacyverordening

Verwacht: 2015/2016

Page 45: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Wat zegt de Privacywet?

Verwerken van persoonsgegevens voor marketing mag als:

• Je een gerechtvaardigd belang voor de verwerking of toestemming hebt (reclame = gerechtvaardigd belang) (8a/8f Wbp)

• Je de betrokkene en de overheid hebt geïnformeerd op over de specifieke doeleinden van de verwerking. Reclame en/of derdenverstrekking

• Je de betrokkene in iedere uiting wijst op het recht van verzet. (41 Wbp)

Marketing| Data Protection Directive

Page 46: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

• Bij sms, email en fax heb je altijd voorafgaande toestemming nodig (opt-in).

• Voor direct mail en telemarketing heb je GEEN toestemming nodig

Hoe zit het bij Social Media? Facebook, Twitter, OBA??

• Worden persoonsgegevens verwerkt? (WBP van toepassing)

• Is er sprake van het verzenden elektronische berichten? (Telecomwet van Toepassing)

Wat impliceert dit?

• Pull communicatie (gerechtvaardigd belang) en push communicatie (toestemming)

Privacy &social| opt-in of opt-out

Page 47: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

• Bij sms, email en fax heb je altijd voorafgaande toestemming nodig (opt-in).

• Voor direct mail en telemarketing heb je GEEN toestemming nodig

Hoe zit het bij Social Media? Facebook, Twitter, OBA??

• Worden persoonsgegevens verwerkt? (WBP van toepassing)

• Is er sprake van het verzenden elektronische berichten? (Telecomwet van Toepassing)

Wat impliceert dit? Gerechtvaardigd belang bij pull-communicatie (volgen/frienden en toestemming bij push communicatie.

en altijd informeren en RVV bieden.

Niet zo!

Page 48: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Wel zo!

Page 49: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Wat betekent de verordening voor marketing?

Page 50: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

• DDMA is voorstander van het instrument van een verordening

o Level playing field (i.t.t. cookies en e-mail)

• DDMA is blij dat de verordening direct marketing erkent als gerechtvaardigd

belang van een ondernemer

o Offline marketing blijft opt-out (informeren + RVV)

o Nieuwe markttoetreders (geen lock-in)

o Voor online een opt-in op basis van de E-privacy Richtlijn

Verordening| positieve aspecten

Page 51: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

(1) 'data subject' means an identified natural person or a natural person who can be

identified, directly or indirectly, by means reasonably likely to be used by the

controller or by any other natural or legal person, in particular by reference to an

identification number, location data, online identifier or to one or more factors

specific to the physical, physiological, genetic, mental, economic, cultural or social

identity of that person;

(2) 'personal data' means any information relating to a data subject;

I.t.t. gegevens herleidbaar tot een individu

Verordening| persoonsgegeven

Page 52: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Definitie van persoonsgegeven

• Context: data die voor mij herleidbaar is, hoeft dit te zijn voor een andere afdeling

binnen mijn organisatie of voor een derde aan wie ik de gegevens verstrek.

B.v. postcodesegmentatie: Techniek waarbij doelgroepen gesegmenteerd

worden aan de hand van socio-economische- en demografische kenmerken

die min of meer uniform zijn voor adressen met dezelfde postcode of in

hetzelfde gebied. Folderen in wijken met gezinnen/ tuinen etc.

B.v. gebruik geanonimiseerde data voor R&D

Verordening| persoonsgegeven

Page 53: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Profileren

Article 20 Measures based on profiling

1.

Every natural person shall have the right not to be subject to a measure

which produces legal effects concerning this natural person or significantly affects

this natural person, and which is based solely on automated processing intended to

evaluate certain personal aspects relating to this natural person or to analyse or

predict in particular the natural person's performance at work, economic situation,

location, health, personal preferences, reliability or behaviour.

= opt-out

Verordening| profileren

Page 54: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Prijsdifferentiatie/ loyalty. Trouwe klant krijgt voordeel.

Kan dit straks nog, de niet-klant wordt benadeeld?

Verordening| profileren

WANBETALERSBedrijven controleren de kredietwaardigheid van

iemand die een abonnement wil (creditscore).

En wil je iemand in de schuldsanering reclame sturen

voor een lening?

Postcodesegmentatie

Page 55: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Definitie van toestemming

(8) 'the data subject's consent' means any freely given specific, informed and explicit

indication of his or her wishes by which the data subject, either by a statement or

by a clear affirmative action, signifies agreement to personal data relating to them

being processed;

Verordening| toestemming

Page 56: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Relatie met de E-Privacy Richtlijn?

In het geval van cookies:

- Is collectieve en eenmalige toestemming specifiek?

- Is het implied consent model dat een aantal lidstaten nu hanteren ‘explicit’

Verordening| toestemming

Page 57: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren
Page 58: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

Reikwijdte:

This Regulation applies to the processing of personal data of data subjects

residing in the Union by a controller not established in the Union, where the

processing activities are related to:

(a) the offering of goods or services to such data subjects in the Union; or

(b) the monitoring of their behaviour.

Verordening| reikwijdte

Page 59: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren
Page 60: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren
Page 61: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren
Page 62: 20121206 presentatie jitty van doodewaerd   cookies, privacy, profileren

• Onder Europese regels zouden FB, Twitter en Google de gegevens van hun klanten niet aan derden mogen verstrekken of ter beschikking mogen stellen aan derden voor bijvoorbeeld OBA

Twijfel of de verordening dir kan stoppen. Zo niet dan wordt het concurrentieverschil tussen EU en VS bedrijven alleen maar groter.

Verordening| reikwijdte