Recent werd een nieuwe EU-richtlijn van kracht die beheerders van websites belangrijke regels oplegt in verband met de bescherming van de privacy van bezoekers. Deze regels hebben onder meer impact op het gebruik van “cookies”, onmisbaar voor veel websites, in het kader van bijvoorbeeld web analytics en SEO.
Advocate Kirsten Van Gossum, gespecialiseerd in IT- en Privacy-recht, zal op vrijdag 12 oktober de nieuwe cookie-wetgeving op een overzichtelijke en toegankelijke manier doorlichten. De nieuwe EU-richtlijn staat tijdens dit event centraal en er worden ook bruikbare oplossingen aangereikt over hoe u cookies in de toekomst kan gebruiken.
2. Programma
13:30 - 14:00
Aankomst en inschrijving
14:00 - 14:30
Welkom en Introductie
Luc Meertens, CEO dotProjects/CrossLang
14:30 - 16:00
Lezing: “De nieuwe cookie-wetgeving
doorgelicht”
Kirsten Van Gossum, Advocate, balie
Brussel
Introductie cookie-module in Drupal 7
Frank De Graeve, project manager
dotProjects
16:00 - 18:00
Aansluitende receptie
3. Overzicht
Wat zijn cookies?
Waarom een nieuw regelgevend kader?
Toepasselijke regelgeving
De Wet Elektronische Communicatie
De Wet Verwerking Persoonsgegevens
Enkele scenario’s/ guidelines – in de praktijk
3
4. Cookies!
Definitie “cookies”
kleine tekstbestanden geplaatst op de harde
schijf van de Internetgebruiker
Bewaring van kopie op betrokken website
Soorten cookies
Sessie-cookies >< permanente cookies (‘client
persistent information’)
First party cookies >< third party cookies
photo credit: www.zwedenweb.com 4
5. Cookies!
Definitie “cookies”
kleine tekstbestanden geplaatst op de harde
schijf van de Internetgebruiker
Bewaring van kopie op betrokken website
Soorten cookies
Sessie-cookies >< permanente cookies (‘client
persistent information’)
First party cookies >< third party cookies
photo credit: www.zwedenweb.com 4
6. Why all the fuss?
photo credit: http://www.belgiancowboys.be/online/2173 5
7. Why all the fuss?
photo credit: http://www.belgiancowboys.be/online/2173 5
8. Why all the fuss?
Cookies – onzichtbare en automatische verwerking
van gegevens
✓ Belang browserinstellingen: “Do not track” per
default als actief blijkt geen oplossing te zijn.
Problematiek rond Online Behavioural Advertising
(‘OBA’): online reclame op basis van surfgedrag:
✓ Adverteerder
✓ Aanbieder van een advertentienetwerk
(cybermarketingbedrijf)
✓ Uitgevers (eigenaar van website)
6
9. Toepasselijke
regelgeving
Wet Elektronische Communicatie (WEC)
✓ Nieuwe cookie-wetgeving recentelijk via
W’ 10.07.2012 geïmplementeerd in de WEC
Wet Verwerking Persoonsgegevens (WVP)
✓ Persoonsgegevens
=> Wetgeving afgeleid van Europese
Richtlijnen
7
10. De nieuwe cookie-
regels
De opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de
eindapparatuur van een abonnee of een gebruiker is slechts toegestaan op voorwaarde dat:
1° de betrokken abonnee of gebruiker, overeenkomstig de voorwaarden bepaald in de wet van 8
december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van
persoonsgegevens, duidelijke en precieze informatie krijgt over de doeleinden van de verwerking en zijn
rechten op basis van de wet van 8 december 1992;
2° de abonnee of eindgebruiker zijn toestemming heeft gegeven na ingelicht te zijn
overeenkomstig de bepalingen in 1°.
Het eerste lid is niet van toepassing voor de technische opslag van informatie of de toegang tot
informatie opgeslagen in de eindapparatuur van een abonnee of een eindgebruiker met als
uitsluitend doel de verzending van een communicatie via een elektronische-communicatienetwerk
uit te voeren of een uitdrukkelijk door de abonnee of eindgebruiker gevraagde dienst te leveren
wanneer dit hiervoor strikt noodzakelijk is.
De toestemming in de zin van het eerste lid of de toepassing van het tweede lid, stelt de
verantwoordelijke voor de verwerking niet vrij van de verplichtingen van de wet van 8 december 1992 tot
bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens die
niet opgelegd worden in dit artikel.
De verantwoordelijke voor de verwerking biedt de abonnees of eindgebruikers gratis de
mogelijkheid om op eenvoudige wijze de gegeven toestemming in te trekken. (artikel 29 WEC)
8
11. De nieuwe cookie-
regels
Algemene regel: van een opt-out naar een opt-in
regime voor het plaatsen en lezen van cookies
✓ In concreto: toestemming van de gebruiker is vereist
= actieve acceptatie
✓ 4 voorwaarden:
voorafgaandelijk
geïnformeerd
vrij
specifiek (Article 29 WP)
9
12. Opt-in als algemene
regel
Praktisch probleem:
toestemming voor het plaatsen >< lezen van een cookie
✓ Overweging 25 van de ePrivacy Richtlijn:
gecombineerde toestemming = mogelijk
MAAR: bijkomende maatregelen
✓ Tijdslimiet aan toestemming
✓ Mogelijkheid om toestemming (eenvoudig) in te
trekken
✓ Instellen van zichtbare instrumenten waarop te zien is
waar het “volgen” plaatsvindt
10
13. Toepassing opt-in
regime
Drie keuzemogelijkheden voor de gebruiker (vb. OBA):
✓ Aanvaarden van opt-in cookie
✓ Weigeren van opt-in cookie
✓ Geen keuze
Drie scenario’s voor de advertentieaanbieder:
✓ Plaatsen en lezen van cookies is mogelijk
✓ Plaatsen van een REFUSE cookie
✓ Bij een nieuw contact wordt de gebruiker opnieuw
voor de keuze gesteld
11
14. Twee uitzonderingen
op het opt-in regime
Cookies die strikt noodzakelijk zijn voor de technische opslag
van informatie of de toegang tot informatie opgeslagen in de
eindapparatuur van een abonnee of een eindgebruiker met als
uitsluitend doel de verzending van een communicatie via een
elektronische-communicatienetwerk uit te voeren:
=> Cookies die noodzakelijk zijn om de website te laten
werken
Cookies die strikt noodzakelijk zijn om een uitdrukkelijk door
de abonnee of eindgebruiker gevraagde dienst te leveren:
=>
Cookies die noodzakelijk zijn om een bestelde
dienst
of product via een eCommerce site te kunnen leveren.
12
15. Voorbeelden opt-
out regime
Cookies die noodzakelijk zijn om de website te laten werken:
✓ Om de communicatie-eindpunten te identificeren, om transmissie
errors te detecteren, om data uit te wisselen in de bedoelde volgorde,
…
✓ NIET om de transmissie van de communicatie te vergemakkelijken/
versnellen/ …!
✓ Vb.: een sessie-cookie voor de taalkeuze
Cookies die noodzakelijk zijn om een dienst of product besteld door
een gebruiker via een eCommerce site kunnen leveren:
✓ Op vraag van de gebruiker
✓ Indien de cookie is uitgeschakeld, kan de opgevraagde dienst niet
worden geleverd
✓ Vb.: online winkelmandjes
13
16. Opdeling cookies
mogelijk?
Algemene vaststellingen:
✓ Permanente cookies:
opt-in >< sessie-cookies: opt-out?
User-input cookies bij een online winkelmandje
User interface customization cookies (taalkeuze)
✓ “Third party” cookies:
opt-in >< “first party” cookies: opt-out?
First party analytics
Social plug-in cookies (content sharing >< tracking)
14
17. Opdeling cookies
mogelijk?
Algemene regel: de doelstelling (en de
implementatie) van een cookie is bepalend
(>< soort cookie)
Wat bij “multipurpose” cookies?
✓ Voor elke doelstelling een andere cookie…
15
18. Cookies als
persoonsgegeven
Verwijzingen naar WVP in nieuwe cookie-wetgeving
Wanneer zijn cookies persoonsgegevens?
✓ Geïdentificeerd persoon
✓ Identificeerbare persoon: direct of indirect
Via identificatienummer
Via één of meer specifiek kenmerkende elementen
Cookies met een unieke identificatiecode/ clicktrails
✓ Mening Art. 29 WP: zie o.m. advies 4/2007 en 1/2008
16
20. In de praktijk!
Nood aan de ontwikkeling van een “cookie
policy” (naast de bestaande T&C’s, privacy policy
en algemene online verkoopvoorwaarden);
Bij “opt-in”: cookie policy = apart document
✓ Gebruiksvriendelijk/ eenvoudig toegankelijk/
interactief
✓ Direct geplaatst op het scherm/ goed zichtbaar
✓ Gemakkelijk te begrijpen
✓ Niet verstopt in de T&C’s of Privacy Policy
18
21. Cookie Policy Pyramide
Persoonsgegevens?
Extra info nodig Guideline 3
JA NEE
Geen extra info nodig
Opt-in Opt-out Opt-in/Opt-out?
Guideline 2
Basisinfo Opt-in en Opt-out Cookies, algemeen
Guideline 1
Privacy Policy Algemene Voorwaarden Verkoopsvoorwaarden
19
22. In de praktijk!
Hoe een ‘opt-in’ cookie policy implementeren?
✓ Een pop-up venster
✓ Een statische informatiebanner (http://www.ico.gov.uk/)
✓ Splashscreens (vb. websites van brouwerijen)
✓ Browserinstellingen
✓ Hoe een ‘opt-out’ cookie policy implementeren?
✓ Nog geen duidelijk standpunt van de bevoegde
autoriteiten
✓ Indicaties: eveneens een apart document
20
24. Cookie Policy Pyramide
Extra info nodig
Geen extra info nodig
Basisinfo Opt-in en Opt-out Cookies, algemeen
Guideline 1
21
25. Inhoud van een cookie
policy: enkele guidelines (1)
Door wie?
Gebruikelijke informatie bij een “opt-in” en “opt-out”
cookie policy
✓ Cookies: wanneer, voor welk doel, welke informatie?
✓ De domeinnaam die de cookies plaatst en leest
✓ De levensduur van de cookies
✓ Het feit of de cookies al dan niet noodzakelijk zijn om
de betrokken website te bezoeken
✓ De mogelijkheid en opties om cookies te weigeren en
de gevolgen ervan
22
26. Cookie Policy Pyramide
Extra info nodig
Geen extra info nodig
Basisinfo Opt-in en Opt-out Cookies, algemeen
Guideline 1
23
27. Cookie Policy Pyramide
Extra info nodig
Geen extra info nodig
Opt-out Opt-in/Opt-out?
Guideline 2
Basisinfo Opt-in en Opt-out Cookies, algemeen
Guideline 1
23
28. Cookie Policy Pyramide
Extra info nodig
Geen extra info nodig
Opt-in Opt-out Opt-in/Opt-out?
Guideline 2
Basisinfo Opt-in en Opt-out Cookies, algemeen
Guideline 1
23
29. Inhoud van een cookie
policy: enkele guidelines (2)
Bijkomende informatie bij een “opt-in” cookie policy
✓ De verantwoordelijke voor het plaatsen/ lezen van de
cookies
✓ De specifieke doelstellingen en wijzen van het
plaatsen/ lezen van de cookies (mogelijkheid van de
koppeling van gegevens - profilering)
✓ Tijdslimiet aan toestemming
✓ Mogelijkheid om toestemming (eenvoudig) in te
trekken
✓ Instellen van zichtbare instrumenten waarop te zien is
waar het “volgen” plaatsvindt
24
30. Cookie Policy Pyramide
Extra info nodig
Geen extra info nodig
Opt-in Opt-out Opt-in/Opt-out?
Guideline 2
Basisinfo Opt-in en Opt-out Cookies, algemeen
Guideline 1
Privacy Policy Algemene Voorwaarden Verkoopsvoorwaarden
25
31. Cookie Policy Pyramide
Persoonsgegevens?
Extra info nodig Guideline 3
NEE
Geen extra info nodig
Opt-in Opt-out Opt-in/Opt-out?
Guideline 2
Basisinfo Opt-in en Opt-out Cookies, algemeen
Guideline 1
Privacy Policy Algemene Voorwaarden Verkoopsvoorwaarden
25
32. Cookie Policy Pyramide
Persoonsgegevens?
Extra info nodig Guideline 3
JA NEE
Geen extra info nodig
Opt-in Opt-out Opt-in/Opt-out?
Guideline 2
Basisinfo Opt-in en Opt-out Cookies, algemeen
Guideline 1
Privacy Policy Algemene Voorwaarden Verkoopsvoorwaarden
25
33. Inhoud van een cookie
policy: enkele guidelines (3)
Bijkomende informatie bij de verwerking van ‘cookies’
als persoonsgegevens
✓ Elektronische contactgegevens van de
verantwoordelijke
✓ Recht op verzet bij gebruik van gegevens voor
direct marketing
✓ Ontvangers van de gegevens
✓ Recht op toegang en verbetering
Afhankelijk van context: nog eens bijkomende
informatie… (vbn.)
26
34. Too much
information…?
Gebruiker wordt overstelpt met een veelheid aan
informatie
Oplossing: multi-layered notice/ informed consent
✓ Basisinformatie
✓ Wettelijk verplichte informatie
✓ Informatie voor de geïnteresseerde gebruiker
Duidelijke kruisverwijzingen en belang van een goede
afstemming tussen alle “juridische” documenten
Evenwichtsoefening!
27
35. Cookie Policy Pyramide
Persoonsgegevens?
Extra info nodig Guideline 3
JA NEE
Geen extra info nodig
Opt-in Opt-out Opt-in/Opt-out?
Guideline 2
Basisinfo Opt-in en Opt-out Cookies, algemeen
Guideline 1
28
36. Cookie Policy Pyramide
Persoonsgegevens?
Extra info nodig Guideline 3
JA NEE
Geen extra info nodig
Opt-in Opt-out Opt-in/Opt-out?
Guideline 2
Basisinfo Opt-in en Opt-out Cookies, algemeen
Guideline 1
Privacy Policy Algemene Voorwaarden Verkoopsvoorwaarden
28
38. Bedankt voor uw aandacht!
Frank De Graeve
frank.degraeve@dotprojects.be
Kirsten Van Gossum
kirsten.vangossum@dewolf-law.be
26
39. Voornaamste bronnen
Adviezen:
Advies 2/2010 van de Art. 29 WP over online reclame op basis van surfgedrag
(‘behavioural advertising’), 22 juni 2010
Advies 16/2011 over de Best Practice Recommendation on Online Behavioural
Advertising van EASA/IAB, 8 december 2011
Advies nr. 10/2012 van de Belgische Privacycommissie betreffende het
wetsontwerp houdende diverse bepalingen inzake elektronische communicatie,
21 maart 2012
Opinion 04/2012 of the Art. 29 WP on Cookie Consent Exemption, 7 June 2012
Relevante websites:
www.privacycommission.be
http://ec.europa.eu/justice/data-protection/article-29/index_en.htm
31