feweb on tour 2013 over privacy en cookies

One last time:The truth about cookies

Bart Van den Brande

Willem De Vos

AdvocatenSirius Legal advocaten

www.siriuslegal.be

[email protected]

@BartVdBrande

Feweb On Tour 2013

One last time: the truth about cookiesAlweer over cookies?

One last time: the truth about cookiesAlweer over cookies?

Tools als Kméléo:

Remarketing/OBA tools

Gebruiken geen cookies

Lezen browser history net voor page landing

Tonen dan advertenties gebaseerd op die browsr history

Claimen geen persoonsgegevens te gebruiken

Claimen te ontsnappen aan cookiewet

Wat background

Wat zijn cookies?

“A cookie is a small amount of data generated by a website and saved on your computer by your web browser.

Its purpose is to remember information about you, similar to a preference file created by a software application.” (Wikipedia)

Waarom ligt de overheid wakker van cookies?

In één woord: privacy…

Wat background

Waarom ligt de overheid wakker van cookies?

In één woord: privacy…

Wat background

Wat zijn cookies?

first party cookies vs. third-party cookies door website door Google Analytics or ad brokers

functional cookies vs. non-functional cookies: log-in, registratie, taal statistics, remarketing, OBA

permanent cookies vs. session cookies blijven present verwijderd na surfsessie

Wat background

The legal small print

EU e-privacy richtlijn 2002/58/EC

Om te zetten in nationaal recht voor eind 2012

België: nieuw artikel 129 in Telecomwet sinds Oktober 2012

Wat backgroundThe legal small print

“De opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of een gebruiker is slechts toegestaan op voorwaarde dat :

1° de betrokken abonnee of gebruiker, overeenkomstig de voorwaarden bepaald in de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, duidelijke en precieze informatie krijgt over de doeleinden van de verwerking en zijn rechten op basis van de wet van 8 december 1992;

2° de abonnee of eindgebruiker zijn toestemming heeft gegeven na ingelicht te zijn overeenkomstig de bepalingen in 1°.

Het eerste lid is niet van toepassing voor de technische opslag van informatie of de toegang tot informatie opgeslagen in de eindapparatuur van een abonnee of een eindgebruiker met als uitsluitend doel de verzending van een communicatie via een elektronische- communicatienetwerk uit te voeren of een uitdrukkelijk door de abonnee of eindgebruiker gevraagde dienst te leveren wanneer dit hiervoor strikt noodzakelijk is. De toestemming in de zin van het eerste lid of de toepassing van het tweede lid, stelt de verantwoordelijke voor de verwerking niet vrij van de verplichtingen van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens die niet opgelegd worden in dit artikel.

De verantwoordelijke voor de verwerking biedt de abonnees of eindgebruikers gratis de mogelijkheid om op eenvoudige wijze de gegeven toestemming in te trekken.“

Wat backgroundThe legal small print

Altijd opt-in

Behalve voor functionele cookies:

Absoluut nodig om technische redenen

Absoluut nodig voor communicatie

Wat background


Belgische wet bevat geen detail over

Hoe waarschuwing gegeven moet worden

Hoe opt-in bekomen moet worden

Hoe opt-out mogelijkheid gegeven moet worden

Wie is verantwoordelijk

De wet is vaag, onduidelijk en laat ruimte voor interpretatie

Ganse sector wacht op duidelijkheid door privacycommissie of BIPT/IBPT

Wat background


Maar

EU standpunt is wel duidelijk (richtlijn + verklaringen commissarissen Kroes en Reding)

“Working Party 29” standpunt is duidelijk (Belgische privacycommissie is lid van WP29)

Regeling in buurlanden is wel duidelijk

Wat betekent dit voor u?

Synthese van EU, Belgische wet, adviezen:

Opt-in moet

Vrij zijn (i.e. mogelijkheid bestaan om website te bezoeken zonder opt-in)

Expliciet zijn (vereist actieve daad van bezoeker)

Geïnformeerd zijn (vereist voorafgaande informatie aan bezoeker)

Voorafgaandelijk aan het plaatsen van cookies zijn

Intrekbaar zijn



Dus praktisch

Informatie over gebruik van cookies, type cookies, doel of werking van cookies in privacy policy

Duidelijke warning bij eerste visit + link naar informatie in privacy policy

Duidelijke vrije keuze om al of niet opt-in te geven (kan ook gelaagd)

Duidelijke info in privacy policy over opt-out of wissen van cookies

Wat betekent dit voor u?Synthese van EU, Belgische wet, adviezen:

User-input cookie (bvb: mandje) als

sessie

Authentification cookie als sessie

Safety Cookie

Flash cookie als sessie

!!! Social media

Reclame door derden

First & third party analytics

Tracking cookie



Pop-up?

Splash screen?

Waarschuwing in banner of footer?

“Impliciete opt-in”?

Alles kan in se, zolang er een actieve beslissing genomen is door de bezoeker en zolang zijn keuze vrij is zonder mogelijkheid om website te bezoeken te beperken (Dit lijkt volgende uit te sluiten “by visiting this website you accept…”)


Oh, ook nog:

Als cookies gebruikt worden om persoonsgegevens te verzamelen of verwerken, is een bijkomende afzonderlijke opt-in onder de privacywet vereist…

Dit betekent

Aangifte bij privacycommissie

Recht om data in te kijken, te verbeteren, wissen

Informatieplicht in privacy policy

Geen transfer van data uit EU, tenzij onder zeer strikte voorwaarden

Waarschuwing: ook IP address, browser history, enz zijn persoonsgegevens…


Impact van cookiewet

Niet erg efficiënt

Storend voor surfer

Verlies aan traffic en/of data voor websites

Bedrijven trachten te ontsnappen aan cookieverplichtingen

Alternatieve oplossingen worden gezocht

Browser fingerprinting (Kméléo en andere)

Web beacons


Browser fingerprinting

Gebruikt geen cookies

Leest browser history net voor page landing

toont advertisements op basis van die browser history

Beweert geen persoonsgegevens te verzamelen of verwerken

Beweert te ontsnappen aan cookiewet



Artikel 129 Telecomwet is echter duidelijk:“De opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of een gebruiker…”

Net als de Working Party 29’s advies 1/2008 (doc 00737/NL WP 148), dat bevestigt dat: “browser history data should be considered personal data under privacy law”



Dus zelfs als geen cookie geplaatst wordt, maar op ongeacht welke wijze data verzameld worden vanop de computer van een bezoeker is steeds voorafgaande toestemming nodig.

Dit geldt ook voor browser fingerprinting, web beacons, plugins, …


En als ik de wet niet naleef?


Internationale context

Zoveel wetgevingen als er lidstaten zijn…

Probleem: als je je specifiek richt op bepaalde lidstaat is de kans groot dat lokaal recht van toepassing is (e.g. lokale website, lokale taal, lokale content, …)

Consequentie lijkt dat je moet voldoen aan strengste wet



Working Party 29 advies van afgelopen Oktober 2013:

Basis voor pan-Europese cookie requirements

Voorzichtig: dit is slechts een advies



Working Party 29 advies van afgelopen Oktober 2013:

Opt-in voor cookies los van andere opt-ins (voor privacy of direct marketing)Opt-in moet voorafgaan aan het plaatsen van cookieOpt-in vereist actieve daad (die kan bestaan uit het verdere bezoek van de website)Opt-in moet vrij zijn en is idealerwijze “gelaagd” Website moet ook toegankelijk blijven zonder opt-in (maar wat dan met “by visiting you accept…”? Lijkt onmogelijk geworden)

Expliciete waarschuwing van WP29 voor tracking cookies: als persoonsgegevens verzameld worden, is een afzonderlijke voorafgaande opt-in vereist

One last time:The truth about cookies

Bart Van den Brande

Willem De Vos

AdvocatenSirius Legal advocaten

www.siriuslegal.be

[email protected]

@BartVdBrande

Feweb On Tour 2013