Data privacy voor marketeers kluwer

Data privacy voor marketeers

Bart Van den Brande

24 november 2016

Media & advertisement lawCopyright - trademarks - datebases - software - knowhowTravel & consumer protectionTax & tax planningIT, Internet & e-commercePrivacy & cookiesGambling & gaming

[email protected]@BartVdBrandeLinkedIn.com/in/bartvdb

Huidig privacyrecht

Toekomstig privacyrecht (GDPR/AVGB)

Direct mailing en anti-spam

Robinsonlijst

Bel-me-niet-meer

Cookiewetgeving

Data privacy voor marketeers

PrivacyDe basics van het privacyrecht

De Wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevensOp basis van Richtlijn 95/46/EG - Boek XII WER

Andere tijden…

Geen online marketingGeen “profiling”Geen “cookies”Geen “tracking”Geen “location based markeing”Geen “trigger based marketing”Geen e-commerceGeen social mediaMinder dan 1% van de EU-bevolking gebruikte internet in 1995…


“Recht op privacy” >< verwerking van gegevens

Definitie van persoonsgegevens is zeer breed

Elk gegeven dat kan toelaten om een individu te identificeren

EHJ 16 mei 2016: Ook dynamisch IP adres

Ook browser history is persoonsgegevens, ook aankoopgedrag, voorkeuren, …

Plaatst verhaal big data in gevoelig daglicht


Straight and simple:

Voorafgaande “Opt-in” vereist voor elke verwerking (uitzonderingen)

“Vrije en geïnformeerde” Opt-in

Overdracht van gegevens aan een 3de? = bijkomende Opt-in

Uitzondering: “gerechtvaardigde reden voor verwerking” of wettelijke noodzaak of “vitaal belang”

Cfr. Analytics tools, apps, cookies, database enrichment door mailings en acties, …: altijd opt-in vereist

Cfr. Kg. Brussel, 9 november 2015, Privacycommissie vs. Facebook (plaatsen van tracking cookies via social plug-in zonder voorafgaande opt-in)


Zowat alle info die we delen op social media zijn persoonsgegevens in de zin van de privacywetgeving

Let op, ook comments en meningen die achter gelaten worden in het kader van bvb Facebook wedstrijden, reacties op bedrijfspagina’s of product pages zijn in de meeste gevallen persoonsgegevens

Bovendien: auteursrecht (in sommige gevallen)

PrivacyOpgelet voor social media

Let op

Los van privacywet heeft elk social media platform eigen Terms of Use voor

Company pagesWedstrijdenReclame

PrivacyOpgelet voor social media

Rechten van de betrokkene

Recht om zich te verzetten tegen de verwerking van gegevensRecht op toegang en verbeteringRecht om zich te verzetten tegen toekomstige verwerkingRecht op informatie (via de privacy policy)Recht om zich te verzetten tegen “geautomatiseerde beslissingname”

PrivacyDe Basics van het privacyrecht

Recht van verzet

“wegens zwaarwegende en gerechtvaardigde redenen die verband houden met zijn bijzondere situatie” (uitgezonder verwerking onder art. 5 b en c noodzakelijke verwerking)

Bij DM: altijd en zonder motivatie

Onvolledige, niet ter zake doende of onjuiste data: altijd en zonder motivatie

GratisBinnen de maand


Recht op toegang en verbetering

Max Schrems v. FacebookX v. het Waals Gewest (Cass. 14 februari 2013)Model klachtbrieven op www.privacycommission.be/nl



Recht op informatie (“Privacy policy”)

“uiterlijk op het moment dat de gegevens verkregen worden”

Of als verkregen bij derde: “op het moment van de registratie van de gegevens of uiterlijk op het moment van de eerste mededeling van de gegevens” (aan een derde)

Identiteit verantwoordelijke voor de verwerkingDoeleinden verwerkingBestaan van recht op verzet m.o.o. DMDerde-ontvangers van gegevensBestaan van recht op toegang en verbeteringAndere informatie i.f.v. de specifieke aard van de verwerking (als opgelegd bij KB)


Verbod op profiling

(of althans op automatische beslissingsname gebaseerd op profiling)

“Een besluit waaraan voor en persoon rechtsgevolgen verbonden zijn of dat hem in aanmerkelijke mate treft, mag niet louter worden genomen op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde apsecten van zijn persoonlijkheid te evalueren”

Behalve indien opgelegd door wet.

Plichten verwerken

InformerenOpt-in bekomenDatabase beveiligenAanmelden bij privacycommissieGeen doorgifte aan derden zonder aparte opt-inGeen export database buiten EU, tenzij onder strenge voorwaardenVerwijderen, verbeteren, toegang verschaffen, …


Boetes tot 500.000 euroDe grote vissen ontsnappen tot op heden al te vaakWeinig boetes, weinig controle


In praktijk bijzonder veel inbreuken

Data collection zonder opt-in (data crawling, cookies, uitwisseling derden, big data, …)Databases niet aangemeldDoorgifte aan derden zonder toestemmingNiet verwijderen data…


PrivacyPrivacyverordening vanaf 1 mei 2018

Aanleiding tot GDPR/AVGB (zie o.m. toelichting en overwegingen bij GDPR)

Privacywet / Richtlijn is niet meer aangepast aan technologie & innovatieve ontwikkelingenFacebook en Twitter bestonden niet in 1995Internet of ThingsBig data & profiling op grote schaalTrigger based, location based, …Veelheid aan devices, opkomst van appsCloud toepassingenDronesPrivacy is steeds meer een “betaalmiddel” voor free services (cfr. Voorstel Richtlijn aangaande contracten voor de levering van digitale inhoud 2015/0287 van eind mei 2016)


Concrete aanleidingen

Location based / Server based principe is niet meer realistisch in Cloud omgeving en global economy28 lidstaten, 28 regelgevingen, 28 “privacycommissies”, 28 boetesystemen, 28 interpretatiesBelemmert eengemaakte markt

Concreet voor België: gebrek aan slagkracht bij Privacycommissie: kan geen boetes opleggen (cfr. Wetsontwerp Tommelein 2015) , beperkte mankracht, te weinig goede profielen om technologische evolutie bij te houden, de facto “straffeloosheid”, …

Forum shopping (alle grote internet service providers zitten in Ierland…)

Niet in EU gevestigde bedrijven ontsnappen (LinkedIn, Alibaba, etc…)


DG Justice in handen van Viviane Reding vanaf 201025 januari 2012 GDPR/AVGB aangekondigdEerste ontwerptekst EP op 21 oktober 2013Politieke impasse gedurende lange tijd (blokkering Frankrijk/Duitsland)Zware lobby (cfr. “affaire Michel”)Impact van civil rights (via LIBE committee) grootAfgezwakt in laatste instantie door DM sectorAkkoord in Europese Raad op 15 juni 2015Vanaf dan tot eind 2015 3X overleg tussen EP, EC en RaadUiteindelijk akkoord in december 2015Goedgekeurd in april 2015Inwerkingtreding 1 mei 2018


Privacy

Voor alle diensten aangeboden in EU (ook gratis)Personal data = ook online identifiers, “pseudonymous data”Expliciete opt-in of “gerechtvaardigde redenen voor verwerking”Informatieplicht (icons)Recht om profiling te weigerenRight to be forgottenData breach plichten“Data protection by design”“Data protection officer” Instemming van ouders voor minderjarigenSancties: tot 4% van jaarlijkse omzet of 20 mio euro


Informatieplichten en toestemming

Wettigheid van verwerking (“op welke gronden mag ik data verwerken?”)

Voorafgaande opt-in blijft de basisregel (+ vanaf nu bewijs vereist!)“Verwerking is noodzakelijk om contract uit te voeren”

“Gerechtvaardigde redenen”DM “may be considered” een rechtvaardige reden, maar “Personal data should be processed only if the purpose of the processing could not reasonably be fulfilled by other means”Dus: als bestaande klantenrelatie: OK, anderniets niet zomaar automatisch OK


PrivacyPrivacyPrivacyverordening vanaf 1 mei 2018

“Voorwaarden voor toestemming”

Verantwoordelijke moet kunnen bewijzen dat hij toestemming heeft (was al impliciet zo)Verzoek om toestemming moet in begrijpelijke, duidelijke en eenvoudige taal gevraagd en onderscheiden van andere gevraagde akkoordenBetrokkene kan toestemming op elk ogenblik intrekken (geen terugwerkende kracht)

Toestemming moet vrij gegeven zijn: géén toestemming verplichten voor verwerking die niet noodzakelijk is voor leveren van dienst/uitvoeren van overeenkomstKlassiek voorbeeld: verplichte opt-in om korting te krijgen of om aan wedstrijd deel te nemen(is in aantal lidstaten nu al verboden)

PrivacyPrivacyPrivacyverordening vanaf 1 mei 2018Te verstrekken informatie als persoonsgegevens niet van betrokkene bekomen worden

ID en contactgegevens verantwoordelijke (en vertegenwoordiger in de EU als die er is)Doeleinden verwerking en rechtsgrondCategorieën van persoonsgegevensDerde-ontvangers van gegevensWaarborgen voor doorgifte buiten de EUDuurtijd bewaring of criteria voor bepalen duurtijdBron van de gegevensRecht voor betrokkene op inzage en verbetering of verwijdering/beperking, recht om bezwaar te maken en recht op overdraagbaarheid (“data portability”)Recht voor betrokkene om te allen tijde toestemming in te trekken (niet retroactief)Recht voor de betrokkene om klacht in te dienenIs toestemming wettelijke of contractuele plicht en wat zijn gevolgen bij weigering Het bestaan van geautomatiseerde besluitvorming (profiling) en onderliggende logica

PrivacyPrivacyPrivacyverordening vanaf 1 mei 2018Te verstrekken informatie als persoonsgegevens niet van betrokkene bekomen worden

“Binnen een redelijke termijn maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt”

Als de persoonsgegevens gebruikt worden voor communicatie met de betrokkene: uiterlijk bij de eerste communicatie

Als de persoonsgegevens doorgegeven worden aan een derde: uiterlijk op het ogenblik dat ze voor het eerst aan die derde worden verstrekt

(Relevant voor data brokers, gehuurde of gekochte mailinglijsten, doorgifte aan commerciële partners, mailing op database van een partner, etc…)


Verwerking van gegevens van een minderjarige (-13 jaar, -16 jaar)

Altijd expliciete toestemming van ouders vereist!

“redelijke inspanningen” om leeftijd te checken en toestemming te bekomen

eID?, Facebook login?, credit card data?, live chat, …?



Verplichting om betrokken te verwittigen als zijn gegevens verzameld of doorgegeven zijn zonder zijn voorafgaande toestemming

Binnen 30 dagen of bij eerste contact

= Data bekomen van data brokers, partner organisaties, online verzameld…



Verplichting vervalt als

Betrokkene al op de hoogte isofInformatieplicht disproportionele inspanning vereist (= open door voor creativiteit…)



Verbod op profiling

Recht om niet onderworpen te worden aan een op geautomatiseerde besluitvorming en/of profilering gebaseerd besluit

Lid 1 geldt niet Als besluit noodzakelijk is voor totstandkoming of uitvoering van een overeenkomst (Opent deur tot contractweigering obv financieel profiel / credit scoring / credit rating) Of Als dit volgt uit de wet of uit het akkoord van de betrokkene

= Recht om menselijke tussenkomst te eisen bij beslissingsname (cfr. alinea 3)Vraag is of post factum menselijke tussenkomst de facto iets zou veranderen aan onderliggende beslissing op basis van automatisch procedé…


Verbod op profiling

Profilering: “elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen;”

Véél ruimer dan oude definitie. Vroeger enkel als volledig geautomatiseerd en als er gevolgen voor de persoon aan verbonden waren.


Verbod op profiling

Profiling is overal…

Trigger based marketing = profilingLocation based marketing kan profiling zijnOpbouwen klantenprofiel in marketing = profilingRemarketing kan profiling zijnCredit rating / credit scoring = profilingHeel wat data verzameld door FB of Google zijn potentieel profiling

PrivacyPrivacyPrivacyverordening vanaf 1 mei 2018Verbod op profiling

“Vanwege met zijn specifieke situatie verband houdende redenen”Bezwaar maken tegen verwerking op grond van “gerechtvaardigde belangen”, “met inbegrip van profilering” op basis van die rechtvaardigingsgrond

Verantwoordelijk moet stoppen met verwerking tenzij hij een belang aantoont dat zwaarder doorweegt dan rechten van de betrokkene (eens te meer oordeelt de verantwoordelijke in eerste instantie zelf hierover)

In geval van DM, kan de betrokkene altijd bezwaar maken, ongeachte “specifieke situatie” en ongeacht belang van de verantwoordelijke

Informatieplicht voor de verantwoordelijke aangaande dit recht wordt in dit artikel nogmaals herhaald in lid 4


Recht om zich te verzetten tegen decision taking

RechtNiet onderworpen te worden aan automatische beslissingen (of profiling) – Excepties (bvb contracten)Die juridische gevolgen of andere significante gevolgen hebbenDie enkel gebaseerd zijn op automated processing of dataDie bedoeld zijn om persoonlijke kenmerken te analyseren

VoorbeeldenPrestaties op het werk, kredietwaardigheid en betrouwbaarheidGeldt ook voor DM “beslissingen” (bvb send offer of niet)


PrivacyPrivacyPrivacyverordening vanaf 1 mei 2018Recht op verwijdering (“right to be forgotten”)

“Zonder onredelijke vertraging” verwijdering bekomen als:

Persoonsgegevens niet langer nodig voor genoemde doeleindenToestemming is ingetrokken en er is geen andere rechtsgrondBetrokkene maakt bezwaar tegen geautomatiseerde besluitvorming (art. 21)Persoonsgegevens zijn onrechtmatig bekomenPersoonsgegevens betreffen -16 jarige (of -13) en er is geen toestemming van ouders

Plicht om “rekening houdende met de beschikbare technologie en de uitvoeringskosten redelijke maatregelen [nemen]” derde-verwerkingsverantwoordelijken op de hoogte te stellen dat de betrokkene heeft gevraagd om data te wissen.

Bovenstaande geldt niet als verdere verwerking nodig is voor uitoefening van recht op vrije meningsuiting pers of op wettelijke basis of in algemeen belang.


“Pseudonieme data”

Als data niet gekoppeld is aan identiteit, heeft betrokkene geen rechten van inzage, correctie, etc…

Vergemakkelijkt bvb analytics. Tot op heden in meeste lidstaten beschouwd als verwerkingVan persoonsgegevens en dus toestemming of gerechtvaardigd belang vereist.

En nog veel meer…

“Privacy by design”

“privacy by default” (cfr. recent Telenet “personalized advertising…”)

…



Recht op overdraagbaarheid van gegevens

Betrokkene heeft recht om door hem verstrekte gegevens op te vragen bij verantwoordelijke en deze overhandigd te krijgen “in een gestructureerde, gangbare en machinaal leesbare vorm” en deze gegevens dan aan een nieuwe dienstverlener over te dragen

(Enkel als verwerking gebaseerd was op opt-in of “gerechtvaardigde reden”)

Als dit technisch mogelijk is, mag betrokkene rechtstreekse overzending van de ene verantwoordelijke naar de andere vragen

Interne business processen

Werken met onderaannemers die data verwerken

Verplichting om enkel te werken met “veilige” onderaannemers (garanties vragen)Verplichting om geschreven contracten te hebbenLijst van verplichte clausules in zulke contracten

= Noodzaak tot audit of mapping van onderaannemers / service contracten



Logboek van verwerkingsactiviteiten

Verplichting om een “logboek van verwerkingsactiviteiten” bij te houdenDaarin ID verwerker, verwerkte data, categorieën, transfers, time limits, veiligheidsmaatregels In geschreven vorm op de zetel van de vennootschap



Data security maatregels

“Processor shall implement appropriate technical and organizational measures, to ensure an appropriate level of security”Pseudonymisatie waar mogelijk, confidentialiteit, security, back ups, security testing protocols, …

= Noodzaak tot audit / mapping van data binnen bedrijf



Data Protection Impact Assessment

Als mogelijks grote impact op privcyrechtenVerplichting om voorafgaande impact assessment te houdenAdvies van DPO veriest als er een DPO isMoet als basis dienen voor security beleidPrivacycommissie moet nog specifiëren wanneer DPIA vereist isAls DPIA hoog risico toont: voorafgaand advies van Privacycommissie vragen



Data breach notification

Verplichting om Privacycommission te verwittigen van elke data breachAsap of ten laatste binnen 72 uurAard van de breach, mogelijke gevolgen, genomen maatregelen, etc… (= verplichting om data breach te documenteren)= plicht om data breach procedure in place te hebben

Als er mogelijke ernstige gevolgen zijn voor privacy van data subjects: plicht om hen in person te verwittigen!




Data Protection Officer

Als kernactiviteit bestaat uit verwerken van persoonsgegevensOf data monitoring op grote schaal vereistOf bestaat uit data monitoring op grote schaal

Voorwaarden en vereisten nog to be implemented

Informeren & adviseren, monitoren van compliance, SPOC voor authoriteiten

Be prepared…

Follow up van discussies (bvb via onze website www.siriuslegal.be)Start audit om data use in uw organisatie in kaart te brengenStart review van vendor contracten (m.o.o. data security verplichtingen) Start voorbereidingen voor een full update van policies, contracten, bedrijfsprocessenData breach notification procedure voorbereidenBenoem (tijdelijke) Data Protection OfficerBereid impact assessment en/of risk analyses policy voorBereid compliance statements voor jaarverslagen voorTrain staff“Sit back, relax and watch your competitors fail…”


Be prepared…

Wie niet tijdig voorbereid is, mag problemen verwachten

Belangrijkste artikels (cfr. profiling = high risk processing)Boetes tot 20 mio euroBoetes tot 4% van wereldwijde omzet

Hervorming van Privacycommissie zal leiden tot effectieve controles

+ schadevergoeding voor betrokkenen


Intussen bij de buren

France - Loi pour une République numérique (boetestot 3 mio, right to be forgotten voor minderjarigen op hun 18e verjaardag, politionele bevoergdheden voor CNIL…)Nederland – data breach notification plicht bestaat al sinds begin 2016Deutschland – data breach notification plicht al ingevoerdUK – ICO president zegt dat GDPR van toepassing zal zijn op UK companies zolang Brexit geen feit is en dat GDPPR ook daarna van toepassing “zou moeten blijven” om commerciële redenen


Direct mailing en spam

Wet van 8 december 1992 (WVP), nu art. 110 e.v. WER

Ontvangen van e-mails of andere directe berichten met reclame

Expliciete en vrije opt-in (art. 110 WER). In principe los van privacy opt-in

Uitzonderingen: (i) bestaande klanten voor gelijkaardige producten , (ii) info@..., sales@...

Mogelijkheid opt-out op elk ogenblik (art. 110 WER)

+ Privacywet

PrivacyNog even de headlines over spam



Spamregels gelden voor alle elektronische communicatie

+ voor fax!

Dus ook voor direct messaging, mail- of communicatietools

Quid Facebook ad “vermomd” als post? Spam?


No go:

- Verplichte opt-in om aan wedstrijd deel te nemen/voordeel te krijgen/te registreren- Phishing naar opt-in- Stilzwijgende opt-in als geen opt-out- Automatisch toevoegen aan database- Opt-out bemoeilijken of onmogelijk maken- Mailen op database van derde (tenzij mail van bij derde vertrekt)

Let op met gekochte/gehuurde databases: altijd contractuele garantie eisen

Bel-me-niet-meer register

Do-not-call-meArt. VI.111 e.v. WER - In werking sinds 11/07/2015

Omgekeerd principe van anti-spam:

Bellen is in se toegestaan TENZIJ betrokkene verzocht heeft om op lijst te komen (opt-out vs. opt-in)

Principe is eenvoudig: wie verzocht heeft om niet meer gebeld te worden, mag niet meer gebeld worden voor DM

Opt-out is in se algemeen (niet per bedrijf). Individuele (her-) opt-in blijft wel mogelijk

Do-not-call-me

Vzw DNCM beheert lijst (onder toezicht en beheer van BDMA)

Akkoord met 9 grootste operatoren

Database is toegankelijk tegen betaling

Adverteerder MOET voorafgaand aan telefonische actie zijn database ontdubbelen met DNCM

Do-not-call-me

“telefonische oproep voor DM doeleinden”?

Definitie “reclame” in WER is zeer breed. Elke communicatie die rechtstreeks of onrechtstreeks bedrijf of product promoot.

Niet inbegrepen: onafhankelijke of neutrale surveys en informatieve telefoongesprekken (bvb afspraak voor levering)

DNCM geldt voor prospects EN BESTAANDE KLANTEN!

DNCM geldt voor B2C EN B2B!

Do-not-call-me

Opname op lijst moet binnen 5 dagen na verzoek

Initieel was termijn nog korter voorzien

Cfr.:

Privacywet geeft 30 dagen tijd om database aan te passenRobinsonlijst geeft 3 maanden tijd om database aan te passen

Opname op lijst blijft 2 jaar geldig…

+/- 250.000 telefoonnummers op de lijst

Do-not-call-me

Opname op lijst DNCM

≠ verbod verdere verwerking persoonsgegevens

≠ verbod om sms te zenden

≠ verbod op e-mail te zenden

≠ verbod op papieren DM

Do-not-call-me

Opname op lijst DNCM

Mogelijk moet door operator geboden worden

Gratis

Intrekbaar

Bewijslast ligt bij operator

Do-not-call-me

Alle info op:

https://www.bel-me-niet-meer.be/

Do-not-call-me

Sancties

Inbreuk = inbreuk op WER

Boetes tot 250.000 euro…

Do-not-call-me

Problemen met Do Not Call Me

Technisch moeilijk voor KMO – plicht om licentie op lijst te nemenLicenties zijn duur (1.600 euro/jaar KMO tot 7.500 big users)Zeer hoge boetesOnbekend bij bedrijven – zeer weinig licenties – onbekend5 dagen is zéééér kort…

Robinsonlijst

Robinsonlijst“Ik wil geen papieren DM meer ontvangen

Geen wettelijke basis

Sectorinitiatief van BDMA en in se enkel bindend voor haar leden

Registratie door burger op: http://www.robinsonlist.be/

Opname op lijst binnen 3 maanden

http://www.robinsonlist.be/

http://www.robinsonlist.be/

RobinsonlijstDoor in te schrijven in de Robinson Mail-lijst ontvangt men geen DM op naam meer over producten of diensten van bedrijven

Maar ook geen promoties en kortingsbonnen meer van geen enkel bedrijf via de post

Geldt voor ALLE bedrijven samen (net per bedrijf)

Bedrijven waar men klant is mogen WEL blijven contacteren (cfr. Do Not Call Me)

Cookies

Wat background

Wat zijn cookies?

“A cookie is a small amount of data generated by a website and saved on your computer by your web browser. Its purpose is to remember information about you, similar to a preference file created by a software application.” (Wikipedia)

Waarom ligt de overheid wakker van cookies?

In één woord: privacy…

Wat background

Waarom ligt de overheid wakker van cookies?

In één woord: privacy…

Wat background

Wat zijn cookies?

first party cookies vs. third-party cookies door website door Google Analytics or ad brokers

functional cookies vs. non-functional cookies: log-in, registratie, taal statistics, remarketing, OBA

permanent cookies vs. session cookies blijven present verwijderd na surfsessie

Wat backgroundThe legal small print (art. 129 Telecomwet)

“De opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of een gebruiker is slechts toegestaan op voorwaarde dat : 1° de betrokken abonnee of gebruiker, overeenkomstig de voorwaarden bepaald in de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, duidelijke en precieze informatie krijgt over de doeleinden van de verwerking en zijn rechten op basis van de wet van 8 december 1992;

2° de abonnee of eindgebruiker zijn toestemming heeft gegeven na ingelicht te zijn overeenkomstig de bepalingen in 1°.

Het eerste lid is niet van toepassing voor de technische opslag van informatie of de toegang tot informatie opgeslagen in de eindapparatuur van een abonnee of een eindgebruiker met als uitsluitend doel de verzending van een communicatie via een elektronische- communicatienetwerk uit te voeren of een uitdrukkelijk door de abonnee of eindgebruiker gevraagde dienst te leveren wanneer dit hiervoor strikt noodzakelijk is. De toestemming in de zin van het eerste lid of de toepassing van het tweede lid, stelt de verantwoordelijke voor de verwerking niet vrij van de verplichtingen van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens die niet opgelegd worden in dit artikel. De verantwoordelijke voor de verwerking biedt de abonnees of eindgebruikers gratis de mogelijkheid om op eenvoudige wijze de gegeven toestemming in te trekken.“

Wat backgroundThe legal small print

Altijd opt-in

Behalve voor zuiver functionele cookies:Absoluut nodig om technische redenenAbsoluut nodig voor communicatie

Wat background

The legal small print

Belgische wet bevat geen detail over:Hoe waarschuwing gegeven moet wordenHoe opt-in bekomen moet wordenHoe opt-out mogelijkheid gegeven moet wordenWie is verantwoordelijk

De wet is vaag, onduidelijk en laat ruimte voor interpretatieGanse sector wacht op duidelijkheid door privacycommissie of BIPT/IBPT

Wat background

The legal small print

MaarEU standpunt is wel duidelijk (richtlijn + verklaringen commissarissen Kroes en Reding)“Working Party 29” standpunt is duidelijk (Belgische privacycommissie is lid van WP29)Regeling in buurlanden is wel duidelijk

Wat betekent dit voor u?

Synthese van EU, Belgische wet, adviezen:

Opt-in moetVrij zijn (i.e. mogelijkheid bestaan om website te bezoeken zonder opt-in)Expliciet zijn (vereist actieve daad van bezoeker)Geïnformeerd zijn (vereist voorafgaande informatie aan bezoeker)Voorafgaandelijk aan het plaatsen van cookies zijnIntrekbaar zijn



Dus praktischInformatie over gebruik van cookies, type cookies, doel of werking van cookies in privacy policyDuidelijke warning bij eerste visit + link naar informatie in privacy policyDuidelijke vrije keuze om al of niet opt-in te geven (kan ook gelaagd)Duidelijke info in privacy policy over opt-out of wissen van cookies

Wat betekent dit voor u?Synthese van EU, Belgische wet, adviezen:

User-input cookie (bvb: mandje) als

sessie

Authentification cookie als sessie

Safety Cookie

Flash cookie als sessie

!!! Social media

Reclame door derden

First & third party analytics

Tracking cookie



Pop-up?Splash screen?Waarschuwing in banner of footer?“Impliciete opt-in”?

Alles kan in se, zolang er een actieve beslissing genomen is door de bezoeker en zolang zijn keuze vrij is zonder mogelijkheid om website te bezoeken te beperken (Dit lijkt volgende uit te sluiten “by visiting this website you accept…”)





Oh, ook nog:

Als cookies gebruikt worden om persoonsgegevens te verzamelen of verwerken, is een bijkomende afzonderlijke opt-in onder de privacywet vereist…

Dit betekentAangifte bij privacycommissieRecht om data in te kijken, te verbeteren, wissenInformatieplicht in privacy policyGeen transfer van data uit EU, tenzij onder zeer strikte voorwaarden

Waarschuwing en herhaling: ook IP address, browser history, enz zijn persoonsgegevens…


Impact van cookiewet

Niet erg efficiëntStorend voor surferVerlies aan traffic en/of data voor websites

Bedrijven trachten te ontsnappen aan cookieverplichtingenAlternatieve oplossingen worden gezocht Browser fingerprinting (Kméléo en andere)Web beacons


En als ik de wet niet naleef?


Internationale context

Zoveel wetgevingen als er lidstaten zijn…

Probleem: als je je specifiek richt op bepaalde lidstaat is de kans groot dat lokaal recht van toepassing is (e.g. lokale website, lokale taal, lokale content, …)

Consequentie lijkt dat je moet voldoen aan strengste wet



Working Party 29 advies van afgelopen Oktober 2013:Basis voor pan-Europese cookie requirementsVoorzichtig: dit is slechts een advies



Working Party 29 advies van oktober 2013:

Opt-in voor cookies los van andere opt-ins (voor privacy of direct marketing)Opt-in moet voorafgaan aan het plaatsen van cookieOpt-in vereist actieve daad (die kan bestaan uit het verdere bezoek van de website)Opt-in moet vrij zijn en is idealerwijze “gelaagd” Website moet ook toegankelijk blijven zonder opt-in (maar wat dan met “by visiting you accept…”? Lijkt onmogelijk geworden)

Expliciete waarschuwing van WP29 voor tracking cookies: als persoonsgegevens verzameld worden, is een afzonderlijke voorafgaande opt-in vereist



Cookie wetgeving wordt dit jaar herzien op Europees niveauIn kader van e-privacy richtlijnKans reëel dat regels wegvallen vanwege achterhaald en overbodig

Meer weten over online topics?

Sirius Friday seminarie 16 december 201612u00 tot 14u00Klauwendaal 28, 2800 Mechelen

Nieuwe wetgeving in e-commerce voor 2017

Nieuwe BTW-regels voor online cross border verkoop van goederen (en update voor diensten)Hoofdlijnen GDPR + praktische tips om uw bedrijf klaar te stomenStand van zaken inzake Digital Single Market (garantiebepalingen, levering van diensten, geo blocking, mediarichtlijn, enforcement, …)

Inschrijven: www. http://siriuslegaladvocaten.be/sirius-friday-seminaries/ Deelname 150 euro – “20161216 WoltersKluwer” = 75 euro

Data privacy voor marketeersMedia & advertisement lawIP lawInternet & e-commercePrivacy & cookiesGambling lawTravel & consumer protectionCommercial contractsCorporate tax labour real estateCross border commerce

[email protected]@BartVdBrandeLinkedin.com/in/bartvdb

Data privacy voor marketeers kluwer

Law