NGB Extra Cookies en behavioural targeting
Amsterdam 12 september 2013 Lokke Moerel & Alex van der Wolk
1
11/09/2013
NGB Extra - cookies & behavioural targeting
Quiz – Waar of niet waar? Cookies voor Google analytics zonder toestemming is nu toegestaan
2
12-9-2013
NGB Extra - cookies & behavioural targeting
Quiz – Waar of niet waar?
Bezoekers die cookies weigeren mag je van je website weren
3
12-9-2013
NGB Extra - cookies & behavioural targeting
Quiz – Waar of niet waar?
Een button met “accept all cookies” is een geldige opt-in
4
12-9-2013
NGB Extra - cookies & behavioural targeting
Quiz – Waar of niet waar?
Als een tracking cookie is geaccepteerd mag je ook profileren
5
12-9-2013
NGB Extra - cookies & behavioural targeting
Het speelveld • Een e-Privacy Richtlijn die een opt-in voorschrijft voor cookies (met hele beperkte uitzondering voor cookies die noodzakelijk zijn om de website of de dienst te leveren) • Terwijl er hele reeks soorten cookies zijn - Voor analytics doeleinden (website statistics) - Om website te tunen op click gedrag bezoeker (welke content eerst?) • Waar geen consument om maalt… - Tracking cookies voor behavioural targeting: banners op site die je bezoekt en ook op andere sites die je daarna bezoekt • Waar consumenten wel degelijk van balen 6
12-9-2013
NGB Extra - cookies & behavioural targeting
Het speelveld • Gevolg is laksheid Lidstaten bij implementatie in nationale wetgeving: - In Duitsland is richtlijn nog steeds niet geïmplementeerd - Iedere Lidstaat zijn eigen interpretatie: variërend van opt-out, toestaan impliciete toestemming, browserinstelling tot expliciete toestemming • Gevolg is dat bedrijven als ze al opt-in vragen: voor alle cookies tegelijk - Consument klikt (net zoals bij algemene voorwaarden, de financiële bijsluiter, etc.) blind op OK • Gevolg is dat hoewel de toezichthouder blaft, die voorlopig niet echt bijt…
7
12-9-2013
NGB Extra - cookies & behavioural targeting
Opta is nu ACM
8
12-9-2013
NGB Extra - cookies & behavioural targeting
Het speelveld • De Minister heeft al een nieuw amendement heeft afgekondigd om toch: - analytics cookies toe te staan van de website zelf (maar nog steeds niet van Google) - Impliciete toestemming toe te staan (wat is die dan: browserinstelling, negeren cookie warning?) - Toestemming moet blijken uit gedrag van de gebruiker, maar hoeft niet altijd expliciet (maar kan niet worden afgeleid uit het uitblijven van actie)
9
12-9-2013
NGB Extra - cookies & behavioural targeting
Het speelveld • Cookiewetgeving schendt alle basisregels van “goede wetgeving” - Techniek-onafhankelijk formuleren: gaat om doel, niet of je cookie daarvoor gebruikt (er zijn vele technische alternatieven) - Less is more: • Als je de consument teveel rechten geeft en er teveel informatieplichten zijn, kan consument die niet verwerken en werkt het contraproductief • Onderzoek op gebied van behavioural economics - Consumenten handelen “voorspelbaar irrationeel” • Irrationeel: niet in eigen belang (accepteren cookies die ze niet prettig vinden) • Voorspelbaar: iedereen doet het toch • Effectiever was geweest: do not track button (hetgeen in feite opt-out is) 10
12-9-2013
NGB Extra - cookies & behavioural targeting
Wat nu? • Opt-in gaat voorlopig niet weg • CBP handhaaft op profilering (TPV onderzoek) en neemt cookies in slipstream mee • Prioriteit in opvolging ligt bij tracking cookies en third party analytics cookies (al was het maar omdat het Google betreft) • Kan gebruiksvriendelijk worden ingericht (zie voorbeelden hierna)
11
12-9-2013
NGB Extra - cookies & behavioural targeting
De “nieuwe” cookie regels… • Nog een keer: wat zijn cookies? - Cookies = een tekst bestand dat opgeslagen is op de apparatuur van de gebruiker, bijvoorbeeld bij het bezoeken van een website - Cookies sturen informatie terug naar degene die hem geplaatst heeft
12
12-9-2013
NGB Extra - cookies & behavioural targeting
Art. 5 sub 3 e-Privacy Richtlijn: van opt-out naar opt-in
13
Oud
Nieuw
• […] dat de betrokken gebruiker voorzien wordt van duidelijke en volledige informatie onder andere over de doeleinden van de verwerking, overeenkomstig Richtlijn 95/46/EG, en het recht krijgt aangeboden door de voor de verwerking verantwoordelijke om een dergelijke verwerking te weigeren.
• […] alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig Richtlijn 95/46/EG, onder meer over de doeleinden van de verwerking.
12-9-2013
NGB Extra - cookies & behavioural targeting 13
• Veel weerstand en een afwachtende houding in de markt, maar: - De cookie regels kwamen niet als een verrassing - De cookie regels are here to stay… - Het feit dat andere bedrijven de cookie regels niet implementeren is geen argument.
14
12-9-2013
NGB Extra - cookies & behavioural targeting 14
Naast ACM handhaaft ook het College Bescherming Persoonsgegevens… • Rechtsvermoeden dat cookies ook persoonsgegevens zijn (komt later op terug) • Cbp: Het W3C “Do not track initiative” leidt nog niet tot naleving van de EU cookie wetgeving”. • Opt-in is vereist. Handhaving is de volgende stap.
15
12-9-2013
NGB Extra - cookies & behavioural targeting
Werkingssfeer artikel 5 e-Privacy Directive • Technologie neutraal: geldt voor alle technologie die gebruikt wordt om toegang te verkrijgen tot, of het opslaan van, informatie die in de apparatuur van het individu staat opgeslagen. - ook JavaScript, spyware, malware, etc. • Geldt voor alle “informatie” - dus niet alleen cookies die worden geplaatst - En ook niet alleen persoonsgegevens die worden verkregen
16
12-9-2013
NGB Extra - cookies & behavioural targeting
Werkingssfeer artikel 5 e-Privacy Directive • e-Privacy Richtlijn heeft andere toepasbaarheid dan de Privacy Richtlijn, geldt voor “Een ieder die (i) toegang wenst te verkrijgen tot, dan wel (ii) gegevens wenst op te slaan in de randapparatuur van een gebruiker” - Niet relevant of gegevens verwerkt worden in de context van activiteiten binnen de EU. - Het maakt niet uit waar website/app providers en adverteerders zijn gelokaliseerd. - Essentieel is waar de gebruiker is gelokaliseerd. - .com/.eu/.org domeinen triggeren potentieel alle wetten van de EU Lidstaten. 17
12-9-2013
NGB Extra - cookies & behavioural targeting
Werkingssfeer artikel 5 e-Privacy Directive • De e-Privacy Richtlijn heeft prioriteit boven de Privacy Richtlijn (lex specialis). • De Privacy Richtlijn geldt nog steeds voor alle gevallen die niet in de e-Privacy Richtlijn voorzien worden (zie considerans 10 e-Privacy Richtlijn). - De Artikel 29 Werkgroep overweegt dat in de meeste gevallen cookies tevens als persoonsgegevens worden beschouwd (Werkgroep Opinie 1/2008 over zoekmachines). - De Privacy Richtlijn blijft toepasbaar op het verwerken van door cookies verzamelde persoonsgegevens: strengere eis van expliciete toestemming geldt (Werkgroep Opinie over ‘behavioural advertising’). 18
12-9-2013
NGB Extra - cookies & behavioural targeting
Opt-in? Or is it business as usual? • Overweging 66 e-Privacy Directive: “Wanneer dit technisch mogelijk en doeltreffend is, kan, overeenkomstig de desbetreffende bepalingen van Richtlijn 95/46/EG, de toestemming van de gebruiker met verwerking worden uitgedrukt door gebruik te maken van de desbetreffende instellingen van een browser of een andere toepassing.”
19
12-9-2013
NGB Extra - cookies & behavioural targeting
Working Party 29: browser settings zijn onvoldoende • Overweging 66: toestemming volgens Privacy Richtlijn “Vrij gegeven, specifiek en op informatie berustend” • De meeste browsers accepteren standaard alle cookies… - Standaard instellingen kunnen niet gezien worden als toestemming • Toestemming moet verkregen worden voordat cookies worden geplaatst. • Op informatie berustende toestemming kan alleen verkregen worden als informatie vooraf aan de gebruiker is gegeven. - Wat als de standaard instelling is om cookies te weigeren en de gebruiker (actief) de instelling wijzigt in standaard cookies accepteren van derde partijen? “Consent in bulk for any future processing without knowing the circumstances surrounding the processing cannot be valid consent.” 20
12-9-2013
NGB Extra - cookies & behavioural targeting
UK ICO “At present, most browser settings are not sophisticated enough to allow you to assume that the user has given their consent to allow your website to set a cookie. Also, not everyone who visits your site will do so using a browser. They may, for example, have used an application on their mobile device. So, for now we are advising organisations which use cookies or other means of storing information on a user’s equipment that they have to gain consent some other way.”
21
12-9-2013
NGB Extra - cookies & behavioural targeting
Biedt Internet Explorer 10 een oplossing? • Microsoft lanceerde IE10 samen met Windows 8. • Standaard instellingen IE10: tracking cookies worden uitgezet. • In overeenstemming met de wet? - IE10 zal nog niet in overeenstemming met EU/NL cookie regels zijn. - EU regels vereisen een meer genuanceerd opt-in systeem (betere informatie/niet alleen tracking cookies). - Niet alleen tracking cookies vereisen een opt-in toestemming! 22
12-9-2013
NGB Extra - cookies & behavioural targeting
Update: wat doen de EU lidstaten tot nu toe? Expliciete toestemming
-Cyprus - Frankrijk (volgens autoriteit) - Griekenland - Letland - Lithouwen - Luxemburg (volgens autoriteit)
Impliciete opt-in
- Denemarken(volgens autoriteit)
- Hongarije (volgens autoriteit)
- Ierland (volgens autoriteit) - Bulgarije - Spanje - UK (depending on website,
- Nederland - Portugal - Slowakije (volgens
relation with the user and type
autoriteit)
- Zweden (depending on
of cookies circumstances)
23
12-9-2013
- België NGB Extra - cookies & behavioural targeting - Slovenië
Browser settings
- Finland - Roemenië - Czech Republic (volgens autoriteit)
- Italië - Polen
Nog geen (duidelijke) implementatie /interpretatie - Duitsland - Estland - Malta
Nederlandse Cookie Regels
24
12-9-2013
NGB Extra - cookies & behavioural targeting
Art. 11.7a Telecommunicatiewet • Wet volgt de aangepaste e-Privacy Richtlijn. Iedereen die gebruik maakt van cookies moet: -
de gebruiker duidelijke en volledige informatie verstrekken overeenkomstig de Wet bescherming persoonsgegevens[…]
-
van de gebruiker toestemming te hebben verkregen voor de desbetreffende handeling..
• NB: dit betreft alleen toestemming voor cookies. Regels met betrekking tot telefoons, sms en email blijven onveranderd. 25
12-9-2013
NGB Extra - cookies & behavioural targeting 25
11.7a Telecommunicatiewet • Op toestemming en informatie vereiste gelden uitzonderingen als cookies: - nodig zijn om de communicatie over een elektronisch communicatienetwerk uit te voeren - strikt noodzakelijk zijn om de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren
26
12-9-2013
NGB Extra - cookies & behavioural targeting
Verschuiving bewijslast met betrekking tot tracking cookies • Alleen in Nederlandse regelgeving: - Juridische veronderstelling dat tracking/tracing cookies persoonsgegevens verwerken. - Resultaat 1: verschuiving van de bewijslast, de verantwoordelijke moet het tegendeel bewijzen. - Resultaat 2: Wbp aanvullend van toepassing op gebruik van cookies • In werking getreden op 1 Januari 2013. 27
12-9-2013
NGB Extra - cookies & behavioural targeting
Uitzondering 1: uitvoeren van communicatie • Het enkele doel: uitvoeren van communicatie over een elektronisch communicatienetwerk, dus : • Wanneer cookies zijn uitgeschakeld is uitvoering onmogelijk. • Dit betekent niet: “ondersteunen”, “sneller maken” of “reguleren van” communicatie. • Deze vrijstelling is niet vaak van toepassing.
28
12-9-2013
NGB Extra - cookies & behavioural targeting
Uitzondering 2: noodzakelijk om diensten te leveren • Strikt noodzakelijk om door de gebruiker of abonnee gevraagde diensten te leveren • Twee stappen: 1) 2)
De gebruiker moet de levering van de dienst aanvragen en Als cookies uitgeschakeld zouden zijn, zou de dienst niet werken
• Vooral deze vrijstelling is relevant voor bedrijven.
29
12-9-2013
NGB Extra - cookies & behavioural targeting
Uitzonderingen • De Nederlandse wet maakt geen onderscheid tussen: - Sessie cookies vs. permanente/persistente cookies - First party cookies vs. third party cookies - Analytics vs. tracking/tracing cookies • Maar: dit kan wel behulpzaam zijn bij bepalen of uitzondering van toepassing is
30
12-9-2013
NGB Extra - cookies & behavioural targeting
Voorbeelden van uitgezonderde cookies • Load balancing cookies - Technologie die “web server requests” verdeelt over verschillende servers. - Sessie cookie. • User-input cookies - Houden gebruiker’s input bij op een website (e.g. formulier invullen, winkelmandje). - Sessie/first party cookie. • Authenticatie sessie cookies - Identificeert een ingelogde gebruiker (e.g. internet bankieren). - Sessie cookie, geen: persistente cookies (Opt-in: “onthoud mij (gebruikt cookies)” option). 31
12-9-2013
NGB Extra - cookies & behavioural targeting
Voorbeelden van uitgezonderde cookies • (UI) Customisation cookies - Cookie gebruikt om een gebruiker’s voorkeuren op web pagina’s te onthouden (e.g. language). - Sessie cookie, geen: permanent cookie (opt-in “gebruikt cookies”). • User centric security cookies - Security settings die uitdrukkelijk door gebruikers wordt gevraagd (e.g. bijhouden of maximum pogingen om in te loggen is gedaan). - Ook persistente cookie.
32
12-9-2013
NGB Extra - cookies & behavioural targeting
Voorbeelden van uitgezonderde cookies • Multimedia speler sessie cookies - Uitleg: technicsche data is nodig om video of audio weer te geven (image quality, speed/buffering parameters). - Sessie cookies. • Social plug-in content sharing cookies - Uitleg: social media plug-ins zoals de (sharing functionaliteit van “like buttons”; Facebook Like button uitgezonderd). - Uitzondering als: sessie cookie / ingelogde gebruikers.
33
12-9-2013
NGB Extra - cookies & behavioural targeting
Cookies die niet zijn uitgezonderd • In elk geval: - Social plug-in tracking cookies • Uitleg: social plug-ins die gebruikers tracken (zoals de Facebook Like button). • Reden: niet strikt noodzakelijk om de functionaliteit te leveren (doeleinde is tracking).
- Third party advertising cookies • Uitleg: niet alleen voor adverteren, maar ook voor marktonderzoek, debugging, verbetering van diensten. • ICO: ook first party advertising cookies zijn niet uitgezonderd.
- First (en natuurlijk third) party analytics cookies, maar…
34
12-9-2013
NGB Extra - cookies & behavioural targeting
Recente ontwikkelingen Nederland – beoogde wijziging 11.7a Tw • De Minister heeft wetsvoorstel ingediend (mei 2013) - Uitbreiding van uitzondering: • Cookies die inzicht geven in de kwaliteit of de effectiviteit van een geleverde dienst van de informatiemaatschappij • Als: geen of geringe gevolgen voor de privacy van de abonnee of gebruiker - Voorbeelden die de Minister noemt: • Analytics cookies - NB Google Analytics niet uitgezonderd (heeft wel gevolgen voor privacy gebruiker – zie hierna) • Affiliate cookies • A/B testing cookies - Tracking cookies: altijd toestemming vereist 35
12-9-2013
NGB Extra - cookies & behavioural targeting
Recente ontwikkelingen Nederland - beoogde wijziging 11.7a Tw • Brief Minister aan de Tweede Kamer (5 juli 2013): Toelichting dat het begrip ‘toestemming’ niet verandert - Blijft een “vrije, specifieke en op informatie berustende wilsuiting” - Toestemming kan niet worden afgeleid uit het uitblijven van actie - Toestemming moet blijken uit gedrag van de gebruiker, maar hoeft niet altijd expliciet - Lijkt mogelijkheid van impliciete toestemming te openen - Vraag blijft: wanneer mag dat uit gedrag van gebruiker worden afgeleid? - Hoogstens: als gebruiker herhaaldelijk op gebruik cookies wordt gewezen en toch gebruik blijft maken van website (maar dan ook pas daarna cookies plaatsen!) 36
12-9-2013
NGB Extra - cookies & behavioural targeting
Recente ontwikkelingen Nederland - beoogde wijziging 11.7a Tw Volgende stappen • De reacties van de internetconsultatie worden verwerkt • ACM en CBP brengen advies uit • Raad van State wordt om advies gevraagd • Naar verwachting wordt wetsontwerp in het najaar ingediend
37
12-9-2013
NGB Extra - cookies & behavioural targeting
Recente ontwikkelingen Nederland – cookie walls • Cookie walls: - Minister heeft opinie van het Cbp over cookie walls gevolgd: - Verboden wanneer het een essentiële voorziening betreft. • Uitzendinggemist.nl wordt als een essentiële voorziening beschouwd (door de overheid gefinancierd, etc.). - Als geen essentiële voorziening: sterk ontmoedigd, maar niet verboden.
38
12-9-2013
NGB Extra - cookies & behavioural targeting
Recente ontwikkelingen Nederland – FAQ ACM • Nieuwe ACM FAQ (www.acm.nl). - De website eigenaar is verantwoordelijk voor third party cookies. • Niet genoemd, maar wel relevant: De Facebook Like button. • Was een reden voor Duitse DPA om websites aan te sporen de Like button weg te halen. - Toestemming moet kunnen worden aangetoond. • + hoe verkregen. • + hoe gebruiker geïnformeerd is. • + wanneer verkregen. Impliceert dat wordt bijgehouden in een database; niet voldoende om alleen de procedure aan te tonen. - Toestemming registraties bewaard voor (minimaal?) 5 jaar (verjaringstermijn voor handhaving) 39
12-9-2013
NGB Extra - cookies & behavioural targeting
Recente ontwikkelingen Nederland – FAQ ACM • ACM FAQ (vervolg) • Als cookies verwijderd zijn door de gebruiker neem aan dat toestemming is ingetrokken. • Vereist nieuwe toestemming •
“No-follow” cookies mogen zonder toestemming geplaatst worden - Gebruiker moet keuze hebben gehad tussen toestaan en weigeren - Gebruiker moet geïnformeerd worden dat een no-follow cookie geplaatst wordt - De no-follow cookie mag slechts dat specifieke doel hebben
• •
Toestemming is geldig voor de duur van de cookies Het is belangrijk accurate en complete informatie te verstrekken
• Volgens ACM geldt dit voor alle websites, ongeacht domein, taal of doelgroep 40
12-9-2013
NGB Extra - cookies & behavioural targeting
Recente ontwikkelingen Nederland – handhaving Cbp • Onderzoeksrapport CBP juli 2013 (TP Vision) - Ging om Smart TV’s (TV’s verbonden met internet) - Mede door gebruik van cookies werd kijkgedrag van gebruikers bijgehouden • CBP • TP Vision plaatst verschillende cookies, w.o. cookies die kijkgedrag bijhouden • Kijkgedrag betreft persoonsgegevens (zelfs gevoelige gegevens omdat veel zegt over personen)
41
12-9-2013
NGB Extra - cookies & behavioural targeting
Recente ontwikkelingen Nederland – handhaving Cbp • CBP • Omdat de cookies (ook) persoonsgegevens zijn: - Bevoegdheid Cbp - Grondslag op basis van Wbp vereist - Informatieplicht • NB Google Analytics cookies hebben meer dan geringe invloed op privacy - Gegevens niet (altijd) geaggregeerd aan Google wordt verstuurd - Google sluit geen bewerkersovereenkomst
42
12-9-2013
NGB Extra - cookies & behavioural targeting
Zijstap - Behavioural targeting • De juiste advertentie • Op het juiste moment • Aan de juiste website bezoeker • Hoe kan dit bereikt worden?
43
12-9-2013
NGB Extra - cookies & behavioural targeting 43
Internet and data verwerking: behavioural targeting Wat betekent het gebruik van cookies / JavaScript in de praktijk? • De data van het online gedrag wordt verzameld en gebruikt om de effectiviteit van adverteren te verhogen. • Belangrijkste varianten: - onsite behavioural targeting - contextual targeting - network behavioural targeting
44
12-9-2013
NGB Extra - cookies & behavioural targeting
Onsite behavioural targeting
45
12-9-2013
NGB Extra - cookies & behavioural targeting
“Contextual targeting” • Adverteren gebaseerd op de content van de website
46
12-9-2013
NGB Extra - cookies & behavioural targeting 46
Network behavioral targeting
47
12-9-2013
NGB Extra - cookies & behavioural targeting
Netwerk BT: grote impact vanwege de omvang • Binnen een netwerk worden surfpatronen van tientallen milljoenen internetgebruikers opgeslagen. • Netwerken kunnen tienduizenden websites beslaan. • 48 adverterende netwerken hebben zich verenigd in het Network Advertising Initiative.
48
12-9-2013
NGB Extra - cookies & behavioural targeting 48
Netwerk behavioural targeting
49
12-9-2013
NGB Extra - cookies & behavioural targeting
Privacy aspecten van behavioural targeting • Gedetailleerd, privacygevoelig profiel van individuen: 50
Wie ben ik? Wat moet ik doen? Wat koop ik? Wat lees ik? Welke gezondheidsproblemen heb ik? Wat eet ik? Welke problemen heb ik? Waar stem ik op? Etc.
12-9-2013
NGB Extra - cookies & behavioural targeting 50
Privacy aspecten van behavioural targeting "The searches of AOL user No. 672368, for example, morphed over several weeks from "you're pregnant he doesn't want the baby" to "foods to eat when pregnant" to "abortion clinics charlotte nc" to "can christians be forgiven for abortion."
51
12-9-2013
NGB Extra - cookies & behavioural targeting 51
Behavioural targeting • Opt-in voor third party cookies (o.g.v. art. 11.7a Tw) • Opt-in voor online marketing (o.g.v. 11.5 Tw, als verkeersgegevens zijn) • Opt-in voor profiling (o.g.v. art. 8 Wbp) - Cbp: ondubbelzinnige toestemmming is enige grondslag als gedetailleerd beeld van gebruiker wordt geschetst
52
12-9-2013
NGB Extra - cookies & behavioural targeting
Internationale ontwikkelingen • UK heeft impliciete toestemming geïntroduceerd als gebruiker bekend is met cookies en site blijft bezoeken • België, Italië en Polen hebben cookie wetgeving geïmplementeerd. - België: impliciete toestemming; Italië, Polen: browser instellingen. - Poolse implementatie is 22 Maart 2013 in werking getreden. • Duitsland: nog steeds geen implementatie van de e-Privacy Richtlijn. - Maar, zelf regulerend kader aangenomen door de Data Protection Council for Online Advertising (“DDOW”) – haakt aan bij IAB (gebruik van iconen, links naar cookie management pagina, etc.). • USA: “Cookie” regel geïntroduceerd inzake kinderen van 13 jaar en jonger • Voor websites gericht op kinderen, of bewust verzamelen van informatie van kinderen • 1 juli 2013 in werking getreden 53
12-9-2013
NGB Extra - cookies & behavioural targeting
Een praktische handleiding
54
12-9-2013
NGB Extra - cookies & behavioural targeting
Plan van aanpak: cookiebeleid Stel intern cookie beleid op
Zorg dat alle cookies in kaart gebracht zijn
Stel vast welke cookies uitgezonderd zijn
Leg beslissingen en overwegingen vast in het interne cookie beleid
Zorg dat voor alle (categorieën niet-uitgezonderde cookies in externe cookie beleid worden beschreven
Stel vast hoe toestemming verkregen gaat worden voor de niet-uitgezonderde cookies (in samensrpaak met marketing/IT)
55
12-9-2013
NGB Extra - cookies & behavioural targeting
Voorbeeld van een interne cookie policy Cookie
Naam
Doel van cookie
Bewaartermijn
Meer informatie
Overwegingen
[Verzamelnaa
[Naam van cookie
[Omschrijving doel van
[Noodzakelijke duur
[Link naar externe
[Verantwoording:
m cookies]
file(s)]
cookie]
van opslag/lezen
webpagina met meer
strikt
cookie]
info]
noodzakelijk/nietstrikt noodzakelijk]
[Voorbeeld:
[Voorbeeld:
[Voorbeeld:
[Voorbeeld: Deze
[Voorbeeld:
[Voorbeeld: Google
Google
_utma
Deze third party cookies
cookies worden
Click hier voor
Analytics zijn niet
Analytics]
_utmb
van Google gebruiken wij
opgeslagen en
meer informatie
strikt noodzakelijk
_utmc
om informatie te
gelezen voor de duur
over Google
voor het leveren van
_utmz]
verzamelen over het
van [XXX] maanden.]
Analytics]
de functionaliteiten
gebruik van onze website.
van de website.
Wij gebruiken deze
Conclusie:
informatie om rapporten op
informeren en
te stellen en de website te
opnemen in extern
verbeteren. Deze cookie
privacy- en
verzamelt anonieme
cookiebeleid]
informatie, zoals welke pagina het meest wordt bezocht of hoe vaak op een bepaalde link wordt geklikt.]
[Invoegen meer]
56
12-9-2013
NGB Extra - cookies & behavioural targeting
Wat en hoe te informeren? • Welke informatie: -
Het feit dat er cookies geplaatst worden. Wie de cookies plaatst. Wie de cookies uitleest of toegang heeft tot de data die verzameld is door de cookies. Het doel van alle cookies. De bewaartermijn van alle cookies.
• Het niveau van informatie hangt van de doelgroep af (hoe lager het technische kennisniveau van je doelgroep is, hoe meer informatie je moet verstrekken). • Slechts via een online privacy en cookie policy informeren is niet voldoende. • Het verstrekken van gelaagde informatie: - Een korte kennisgeving met het toestemmingsverzoek. - Uitgebreidere informatie in de privacy en cookie policy. - Makkelijk toegankelijk via een link op iedere webpagina. 57
12-9-2013
NGB Extra - cookies & behavioural targeting
Hoe toestemming te verkrijgen? • Toestemming = expliciete toestemming. • Tips met betrekking tot opt-ins: - Niet via browser instellingen (op dit moment) - Opt-in moet gecategoriseerd (granular) zijn (per categorie cookies / per website). - Alleen toestemming voor alle cookies/websites in aanvulling op gecategoriseerde (granular) opt-in - Opt-ins moeten beperkt worden tot 1 jaar, daarna: hernieuwing - Een opt-out moet eenvoudig zijn • De verantwoordelijke moet de opt-in kunnen aantonen • Let op cookie walls! - Niet voor essentiële websites - Voor overig: sterk afgeraden door ACM 58
12-9-2013
NGB Extra - cookies & behavioural targeting
In overeenstemming met de wet of niet?
59
12-9-2013
NGB Extra - cookies & behavioural targeting
60
12-9-2013
NGB Extra - cookies & behavioural targeting Privacy By Default
11-9-2013
60
In overeenstemming met de wet of niet?
61
12-9-2013
NGB Extra - cookies & behavioural targeting
Cookies policy
62
12-9-2013
NGB Extra - cookies & behavioural targeting
In overeenstemming met de wet?
- Is opt-out (cookies zijn al geplaatst). - Er moet een aparte aanvink box zijn, toestemming mag niet in de privacy policy zijn opgenomen. - Geen informatie over hoe lang de cookies bewaard worden.
- Maar: zelfs als toegestaan: - Transparant en staat het de klant toe een keuze te maken?
63
12-9-2013
NGB Extra - cookies & behavioural targeting
In overeenstemming met de wet of niet?
64
12-9-2013
NGB Extra - cookies & behavioural targeting
65
12-9-2013
NGB Extra - cookies & behavioural targeting
In overeenstemming met de wet of niet?
66
12-9-2013
NGB Extra - cookies & behavioural targeting
67
12-9-2013
NGB Extra - cookies & behavioural targeting
Cookie control oplossing
68
12-9-2013
NGB Extra - cookies & behavioural targeting
WerkenBijDeBrauw (granular)
69
12-9-2013
NGB Extra - cookies & behavioural targeting
Cookie verklaring
70
12-9-2013
NGB Extra - cookies & behavioural targeting
Handhaving • De Autoriteit Consument en Markt (ACM) handhaaft de cookie regels. • Het College Bescherming Persoonsgegevens (CBP) ziet toe op overeenstemming met de wet voor zover er persoonsgegevens verwerkt worden. • Beide autoriteiten handelen gebaseerd op klachten van burgers (of wanneer bepaalde schendingen in de media komen). • Procedure: - Dawn raids (aangekondigd of niet) / aanvragen of bevelen van informatie. - Rapporten van bevindingen / verhoren. - Besluit, administratief beroep, beroep bij de rechtbank (in eerste en tweede instantie). 71
12-9-2013
NGB Extra - cookies & behavioural targeting
Sancties • ACM: - Bestuurlijke boete van (momenteel) EUR 450.000. • Voorstel van Minister (aug. 2013) om op te trekken naar EUR 900.000 - Geldt ook voor cookies - Hangt van de volgende formule af: • Boete basis x aard van de overtreding + verzwarende of verzachtende omstandigheden. • CBP: - Voor zover persoonsgegevens verwerkt worden. - Bestuurlijke boete voor nalaten van het doen van een melding aan het Cbp van maximaal EUR 4.500. • ACM/CBP: Verbod op straffe van een dwangsom. 72
12-9-2013
NGB Extra - cookies & behavioural targeting
In het vooruitzicht
73
12-9-2013
NGB Extra - cookies & behavioural targeting 73
Alternatief 1: toestemming per functionaliteit en instelling • Vraag om toestemming van de gebruiker op het moment dat het vereist is. - Bijvoorbeeld: klik hier als u ons wilt onthouden (gebruikt cookie) -
74
12-9-2013
Taal voorkeur login naam eerdere winkelmandje gepersonaliseerde begroeting tips wat andere gebruikers leuk vinden
NGB Extra - cookies & behavioural targeting
Oplossing 2: White listing • Geen banner of pop-up • Consument krijgt de controle • Installatie of plug-in • Hoge drempel?
75
12-9-2013
NGB Extra - cookies & behavioural targeting 75
Oplossing 3: profile management • Geen pop-ups, geen irritatie. • Transparant. • Consument managet eigen profiel (zelfs na opt-in). • Simpele opt-out.
76
12-9-2013
NGB Extra - cookies & behavioural targeting 76