Nieuwe telecompakket en cookiewet Privacy bijeenkomst ECP-EPN 8 september 2011 Milica Antic
[email protected] @milica_antic
2009 nieuw telecompakket Richtlijn 2009/136/EG van 25-11-2009: Wijziging e-Privacyrichtlijn (2002/58/EG) Wijziging Richtlijn Universele diensten en eindgebruikersbelangen (2002/22/EG) Wijziging Verordening inzake samenwerking toezichthouders consumentenbescherming (EG nr. 2006/2004), ook wel BEREC.
2009 nieuw telecompakket Betere positie consument: – Toegang – Keuze – transparantie
Strengere beveiligingseisen: m.n. meldplicht datalekken voor aanbieders openbare telecom netwerken (m.n. access providers, geen banken, webshops, hosting providers) OPTA, meldpunt, nog niet duidelijk welke vorm Cookies
Nieuwe cookiewet 1) Wat is er op 22 juni door de 2e Kamer aangenomen? 2) Is dat anders dan de Europese Richtlijn? 3) Wat betekent toestemming? 4) Wanneer is de Wet bescherming persoonsgegevens van toepassing? 5) Voor welke technologieën geldt de wet? 6) Wat zijn de uitzonderingen?
Nieuwe cookiewet 7) Hoe moet informatie worden gegeven? 8) Hoe moet toestemming worden verkregen? 9) Voor wie geldt de wet? 10) Wat nou als je in het buitenland bent gevestigd? 11) Hoe hebben de andere Europese lidstaten de Richtlijn geïmplementeerd? 12) Wat vindt de Europese Commissie?
Nieuwe cookiewet 13) Zijn browsersettings voldoende? 14) Kunnen er nog wel ads worden geserveerd? 15) Hoe zit het met de zelfregulering? 16) Wanneer gaat de wet in? 17) Wie gaat handhaven? 18) Wat zijn de sancties? 19) Is de Nederlandse wet in strijd met het Europese recht? 20) Wat kunnen we er nog aan doen?
Gewijzigd art. 5(3) e-Privacyrichtlijn Gaat om plaatsen of lezen van een cookie op eindapparatuur (dus ook mobiele telefoon) mag alleen als - vooraf toestemming (opt-in?) - vooraf duidelijk geïnformeerd 2 uitzonderingen
Richtlijn: 2 brede uitzonderingen Geen informatie en toestemming nodig als
Cookie nodig voor uitvoering communicatie (inloggen bank)
Cookie strikt noodzakelijk voor expliciet gevraagde dienst (winkelwagentje) (taalvoorkeuren?)
Technologie Plaatsen en uitlezen cookies: ‘opslaan van gegevens op randapparatuur eindgebruiker’ ‘toegang verkrijgen tot gegevens in randapparatuur eindgebruiker Overig: ‘op andere wijze’ via elektronisch communicatienetwerk gegevens opslaan toegang verkrijgen
Toestemming Vrij Specifiek Geïnformeerd ‘Recht om vergeten te worden’ Verzamelen, maar ook – Third parties? – Targeting? Ondubbelzinnig? Expliciet? Browser?
Voorstel Telecomwet art. 11.7a Aangenomen door 2e Kamer op 22 juni Conform richtlijn (vooraf informatie + toestemming) Maar amendement PVV en D66
Amendement “Onverminderd de Wet bescherming persoonsgegevens” In geval cookie “die tot doel heeft gegevens over het gebruik van verchillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren voor commerciële, charitatieve of ideeële doeleinden” vermoeden verwerking persoonsgegevens
Wbp van toepassing
Wbp zwaar regime Meldingsplicht CBP Informatieplicht Inzage- + correctierecht
Beveiliging Bewerkersovereenkomst Verbod verwerking bijzondere persoonsgegevens
Toelichting amendement Doel: gebruiker volledige controle
M.n. in geval third party cookies voor behavioral targeting dient gebruiker ‘expliciete’ keuze te maken Gebruiker moet ‘ondubbelzinnige toestemming’ geven
Toestemming maar eenmalig geven Kan ‘collectief’ worden verkregen, aan branche zelf om dit ‘slim te organiseren’
Gebruiksvriendelijk?
Betekenis Geen onderscheid first en third party cookies (Google Analytics) Weerlegbaar vermoeden Toestemming nog steeds onduidelijk: – MvT ander standpunt – Toelichting amendement klopt niet met wet Praktisch: toestemming voor plaatsen is ook toestemming om uit te lezen
Hoe zit het nu met ‘collectief’? Zelfregulering?
Verantwoordelijke Degene die de cookie plaatst MvT: advertiser Werkelijk: vaak ad network provider Artikel 29 Werkgroep: ad network provider, maar publisher gedeeltelijk verantwoordelijk Lex protectionis: doel gebruikers in NL te beschermen dus van toepassing op iedereen die cookies plaatst op randapparatuur Nederlanders, ongeacht waar deze partij is gevestigd
Toezichthouders
Beleid?
Sancties OPTA Art. 4.1 BUDE: € 1.000.000 boete (2007, DollarRevenue, spyware) CBP Dwangsommen (€ 100.000 SIOD) Dit jaar wetsvoorstel versterking positie CBP (boetebevoegdheid)
En nu? 1e Kamer (13 september 2011) Verhagen (brief 23 juni 2011) Kroes (speech 22 juni 2011) Beleid OPTA Zelfregulering Samenwerking advertisers, publishers, ad network providers (contracten) Proefproces tegen de Staat?
Vragen?
Milica Antic
[email protected] @milica_antic