20121206 presentatie jitty van doodewaerd cookies, privacy, profileren

Cookies, profileren & privacyJitty van Doodewaerd – Compliance

DDMA

Hoe meer we weten hoe minder we storen.

Privacy| profileren

• Profileren is zo oud als de weg naar Rome, maar weer actueel

• Nationale en internationale overheden stellen nieuwe regels om techniek te

reguleren (cookies) en principes te updaten

I. Cookies• Wat zijn cookies: inhoud• Regelgeving cookies• Voldoen aan de wet

II. Privacyverordening• Situatie nu• zorgpunten

Cookies

Cookies| 1st of 3rd party

Er bestaan directe en indirecte cookies, ook wel first of third party cookies genoemd

1st Party (= direct)

• Bezochte site plaatst cookie

• www.nu.nl plaatst een cookie als een bezoeker de site bezoekt. 1st party cookies

hebben verschillende doeleinden:

* onthouden loginnaam en items in winkelmandje

* vergroten gebruikservaring (door monitoren paginabezoeken)

* vormgeving onthouden

* Online Behavioral Advertising binnen een eigen site: leessuggesties van Amazon of

aangepaste plaatjes van Center Parks

http://www.nu.nl/

Wat zijn cookies? | 1st party OBA Center Parcs

Mijn Centerparcs -

leden krijgen op de

centerparcs website

verschillende banners

te zien die inspelen

op hun leeftijd.

Zij worden herkend

door middel van een

cookie

Wat zijn cookies? | 1st party OBA Wehkamp

Wat zijn cookies? | 1st of 3rd party

3rd Party (= indirect)

• Online Behavioral Advertising maakt veel gebruik van 3rd party cookies

• Een advertentienetwerk plaatst via een site van derden een cookie op de pc van

een gebruiker. Dit cookie kan door het netwerk worden uitgelezen op de

verschillende websites die zich in het advertentienetwerk bevinden.

MAW:

Een 3rd party cookie ‘volgt’ een gebruiker langere tijd over verschillende

websites en is zo in staat een profiel op te bouwen, waardoor zij een gebruiker

kan segmenteren op specifieke interesses op een gemeenplaats als bijvoorbeeld

marktplaats.nl

Op apart design een vuurkorf bekeken

Even later op Geenstijl

Nog even later op nu.nl

II. Regelgeving cookies

Regelgeving cookies: inhoud

• Regels tot mei 2011

• EU Richtlijn

• NL implementatie

Besluit Universele Dienstverlening en Eindgebruikersbelangen (BUDE)

Artikel 4.1

1. Voor toegang of opslag via een elektronisch communicatienetwerk tot

gegevens die zijn opgeslagen in de randapparatuur van een internetgebruiker,

dient de internetgebruiker voorafgaand:

a. op een duidelijke en nauwkeurige wijze te worden geïnformeerd

over de doeleinden en

b. op voldoende kenbare wijze gelegenheid te worden geboden de

desbetreffende handeling te weigeren

= opt-out

Regelgeving cookies| BUDE (heden – mei 2011)

Europese E-Privacy Richtlijn

Art. 5.3 van deze Richtlijn behandelt cookies en stelt dat:

- het opslaan van informatie op randapparatuur van een gebruiker en

- toegang tot informatie op randapparatuur van een gebruiker

alleen mag als

- de gebruiker hierover helder geïnformeerd is

- en toestemming heeft gegeven

= opt-in

Regelgeving cookies| EU Richtlijn

Overweging 66

In het voorwoord van de richtlijn (recital 66) staat dat een gebruiker zijn

toestemming kan uitdrukken door browsersettings. Het probleem is

dat dit voorwoord geen juridische status heeft. Dit betekent dat lidstaten

het naar eigen inzicht kunnen interpreteren.


Uitzondering

Toestemming niet nodig voor cookies die:

1. communicatie over een elektronisch communicatienetwerk mogelijk

maken

2. Noodzakelijk zijn voor diensten van de informatiemaatschappij

Dus geen toestemming nodig voor winkelmandjes, onthouden van

inloggegevens, laden plaatjes

WEL voor reclame en google analytics, ad words (re-marketing)


De Nederlandse wettekst wijkt in principe niet af van de Europese en zegt dat

partijen die cookies plaatsen de webbezoeker:

• duidelijk en volledig moeten informeren dat zij cookies plaatsen én

• de gebruiker hiervoor toestemming moeten vragen.

Regelgeving cookies| Nederlandse Implementatie

Probleem 1: toestemming kan volgens de

Nederlandse regering niet uitgedrukt

worden door de huidige

beveiligingsinstellingen van de browser.

Amendement Van Bemmel

Het amendement van Van Bemmel stelt dat als cookies de webbezoeker tracken

over tijd en verschillende sites, de privacywetgeving van toepassing is, ook al

kan je een cookie niet herleiden tot een persoon. Als een partij vervolgens NIET

kan bewijzen dat hij GEEN persoonsgegevens verwerkt, moet hij aan de Wbp

voldoen.

Regelgeving cookies| Nederlandse Implementatie

Probleem 2: de privacywetgeving is niet

altijd even geschikt voor cookies (recht

op inzage en correctie)

Probleem 3: de omgekeerde bewijslast

(alleen bij cookies met

persoonsgegevens)

De wettekst (informeren en toestemming vragen)

• Geldt sinds 5 juni 2012

Het amendement Van Bemmel (omkering bewijslast)

• Treedt 1 januari 2013 in werking


Zonder Europese standaard voor het

vragen van toestemming ligt halfgare

compliance op de loer

De wettekst (informeren en toestemming vragen)

Wat betekent dit concreet?

Geen eenduidige uitleg:

Regelgeving cookies| compliance

Maxime Verhagen

tijdens de

behandeling van het

Wetsvoorstel in de

Eerste Kamer


(….) “Over die informatieplicht bestaat dus totaal

geen onduidelijkheid. Het is volstrekt helder wat

degene die de cookie plaatst moet doen. Dat zal

dus ook door de OPTA worden gehandhaafd.”

Toestemming

“De OPTA heeft aangegeven bij dit praktische

aspect van de cookiebepaling, de vraag hoe die

toestemmingsvereiste vorm moet krijgen, enige

terughoudendheid in de handhaving te

betrachten.”

“ De OPTA heeft ook aangegeven rekening te

houden met de ontwikkelingen in Brussel”


OPTA geeft aan:

• Vanaf het eerste moment te handhaven op de

informatieplicht en de toestemmingsvereiste

• Informeren en het verkrijgen van toestemming kan niet

geschieden door middel van een (vage) verwijzing naar

bijvoorbeeld algemene voorwaarden, privacy en/of

permission statements.

• OPTA zal optreden indien er informatie wordt geplaatst,

waarbij op geen enkele wijze om voorafgaande toestemming

wordt gevraagd


Brief aan overheidssites over voldoen aan cookiebepaling

Publicatiedatum06-09-2012

SoortCorrespondentie

Beslisdatum03-09-2012

BriefkenmerkOPTA/ACNB/2012/202315

OPTA heeft 121 overheidsinstanties per brief geïnformeerd over de nieuwe cookiebepaling.

OPTA heeft zich in eerste instantie op deze specifieke groep gericht, omdat zij een

voorbeeldfunctie vervullen. Het gaat hierbij overigens niet alleen om websites van de overheid

zelf, maar ook om sites die door burgers hiermee geassocieerd worden.

OPTA heeft 96 websites erop gewezen dat zij cookies plaatsen zonder te infomeren en/of

toestemming te vragen. Zij moeten OPTA vóór 24 september laten weten hoe zij aan de wet

gaan voldoen. Tien sites plaatsen alleen functionele cookies en vijftien sites helemaal geen. Om

ervoor te zorgen dat deze sites ook in de toekomst blijven voldoen aan de cookiebepaling, zijn zij

per brief geïnformeerd over de nieuwe regels.


Aanbeveling:

A. Voldoe aan de informatieplicht, want kan met terugwerkende kracht door OPTA

worden gehandhaafd.

1. Pas je privacy statement aan

2. Zorg voor een duidelijke melding op de website waarmee een consument kan zien dat je cookies

plaatst

B. Vraag zo snel mogelijk toestemming, zeker voor het plaatsen van tracking cookies.

Hier handhaven OPTA (terughoudend??) en CBP.

C. Zorg voor documentatie waarmee je vanaf 1 januari 2013 juridisch kan aantonen

dat je organisatie WEL/GEEN persoonsgegevens verwerkt met tracking cookies

Regelgeving cookies| privacy statement

Pas je privacy statement aan.

Vertel:

1. welke cookies geplaatst worden

2. voor welk doel (bezoekersaantallen registreren, plaatjes laden, OBA)

3. welke informatie met een cookie wordt vastgelegd

4. of de informatie verstrekt wordt aan derden

Regelgeving cookies| informeren

Informeren op de site: hoe?

• Alleen een privacy- of cookiestatement volstaat niet, want de informatie moet

DUIDELIJK verstrekt worden

• Hoe dan wel??

Regelgeving cookies| toestemming

Toestemming: hoe?

• Mag eenmalig en collectief gegeven worden, de manier om dit te realiseren is

ironisch genoeg door een “toestemmingscookie” te droppen op de pc van een

gebruiker

Let op: Het staat een website vrij een webbezoeker te weigeren als hij geen cookies

accepteert!


Conversie cookies?

Ja


Tracking pixel?

Ja – bij e-mail conversie in je e-mail opt-in verwerken


Re-targeting cookies?

Ja


Audience Targetting?

Verantwoordelijkheid toestemming ligt bij Google. Je kunt wel mede-verantwoordelijk

worden gehouden als adverteerder.


Toestemming: problemen

• Wie geeft toestemming?

• Hoe kan toestemming worden overgedragen?

• Als ik op telegraaf.nl wel cookie x accepteer en vervolgens op nu.nl niet, hoe moet

dit dan ?

Privacyverordening

Verwacht: 2015/2016

Wat zegt de Privacywet?

Verwerken van persoonsgegevens voor marketing mag als:

• Je een gerechtvaardigd belang voor de verwerking of toestemming hebt (reclame = gerechtvaardigd belang) (8a/8f Wbp)

• Je de betrokkene en de overheid hebt geïnformeerd op over de specifieke doeleinden van de verwerking. Reclame en/of derdenverstrekking

• Je de betrokkene in iedere uiting wijst op het recht van verzet. (41 Wbp)

Marketing| Data Protection Directive

• Bij sms, email en fax heb je altijd voorafgaande toestemming nodig (opt-in).

• Voor direct mail en telemarketing heb je GEEN toestemming nodig

Hoe zit het bij Social Media? Facebook, Twitter, OBA??

• Worden persoonsgegevens verwerkt? (WBP van toepassing)

• Is er sprake van het verzenden elektronische berichten? (Telecomwet van Toepassing)

Wat impliceert dit?

• Pull communicatie (gerechtvaardigd belang) en push communicatie (toestemming)

Privacy &social| opt-in of opt-out

• Bij sms, email en fax heb je altijd voorafgaande toestemming nodig (opt-in).

• Voor direct mail en telemarketing heb je GEEN toestemming nodig

Hoe zit het bij Social Media? Facebook, Twitter, OBA??

• Worden persoonsgegevens verwerkt? (WBP van toepassing)

• Is er sprake van het verzenden elektronische berichten? (Telecomwet van Toepassing)

Wat impliceert dit? Gerechtvaardigd belang bij pull-communicatie (volgen/frienden en toestemming bij push communicatie.

en altijd informeren en RVV bieden.

Niet zo!

Wel zo!

Wat betekent de verordening voor marketing?

• DDMA is voorstander van het instrument van een verordening

o Level playing field (i.t.t. cookies en e-mail)

• DDMA is blij dat de verordening direct marketing erkent als gerechtvaardigd

belang van een ondernemer

o Offline marketing blijft opt-out (informeren + RVV)

o Nieuwe markttoetreders (geen lock-in)

o Voor online een opt-in op basis van de E-privacy Richtlijn

Verordening| positieve aspecten

(1) 'data subject' means an identified natural person or a natural person who can be

identified, directly or indirectly, by means reasonably likely to be used by the

controller or by any other natural or legal person, in particular by reference to an

identification number, location data, online identifier or to one or more factors

specific to the physical, physiological, genetic, mental, economic, cultural or social

identity of that person;

(2) 'personal data' means any information relating to a data subject;

I.t.t. gegevens herleidbaar tot een individu

Verordening| persoonsgegeven

Definitie van persoonsgegeven

• Context: data die voor mij herleidbaar is, hoeft dit te zijn voor een andere afdeling

binnen mijn organisatie of voor een derde aan wie ik de gegevens verstrek.

B.v. postcodesegmentatie: Techniek waarbij doelgroepen gesegmenteerd

worden aan de hand van socio-economische- en demografische kenmerken

die min of meer uniform zijn voor adressen met dezelfde postcode of in

hetzelfde gebied. Folderen in wijken met gezinnen/ tuinen etc.

B.v. gebruik geanonimiseerde data voor R&D

Verordening| persoonsgegeven

Profileren

Article 20 Measures based on profiling

1.

Every natural person shall have the right not to be subject to a measure

which produces legal effects concerning this natural person or significantly affects

this natural person, and which is based solely on automated processing intended to

evaluate certain personal aspects relating to this natural person or to analyse or

predict in particular the natural person's performance at work, economic situation,

location, health, personal preferences, reliability or behaviour.

= opt-out

Verordening| profileren

Prijsdifferentiatie/ loyalty. Trouwe klant krijgt voordeel.

Kan dit straks nog, de niet-klant wordt benadeeld?

Verordening| profileren

WANBETALERSBedrijven controleren de kredietwaardigheid van

iemand die een abonnement wil (creditscore).

En wil je iemand in de schuldsanering reclame sturen

voor een lening?

Postcodesegmentatie

Definitie van toestemming

(8) 'the data subject's consent' means any freely given specific, informed and explicit

indication of his or her wishes by which the data subject, either by a statement or

by a clear affirmative action, signifies agreement to personal data relating to them

being processed;

Verordening| toestemming

Relatie met de E-Privacy Richtlijn?

In het geval van cookies:

- Is collectieve en eenmalige toestemming specifiek?

- Is het implied consent model dat een aantal lidstaten nu hanteren ‘explicit’

Verordening| toestemming

Reikwijdte:

This Regulation applies to the processing of personal data of data subjects

residing in the Union by a controller not established in the Union, where the

processing activities are related to:

(a) the offering of goods or services to such data subjects in the Union; or

(b) the monitoring of their behaviour.

Verordening| reikwijdte

• Onder Europese regels zouden FB, Twitter en Google de gegevens van hun klanten niet aan derden mogen verstrekken of ter beschikking mogen stellen aan derden voor bijvoorbeeld OBA

Twijfel of de verordening dir kan stoppen. Zo niet dan wordt het concurrentieverschil tussen EU en VS bedrijven alleen maar groter.

Verordening| reikwijdte

Vragen?

Jitty van [email protected]

mailto:[email protected]

20121206 presentatie jitty van doodewaerd cookies, privacy, profileren

Documents

Transcript of 20121206 presentatie jitty van doodewaerd cookies, privacy, profileren