Nieuwe telecompakket en cookiewet

Nieuwe telecompakket en cookiewet Privacy bijeenkomst ECP-EPN 8 september 2011 Milica Antic [email protected] @milica_antic

2009 nieuw telecompakket Richtlijn 2009/136/EG van 25-11-2009:  Wijziging e-Privacyrichtlijn (2002/58/EG)  Wijziging Richtlijn Universele diensten en eindgebruikersbelangen (2002/22/EG)  Wijziging Verordening inzake samenwerking toezichthouders consumentenbescherming (EG nr. 2006/2004), ook wel BEREC.

2009 nieuw telecompakket  Betere positie consument: – Toegang – Keuze – transparantie

 Strengere beveiligingseisen: m.n. meldplicht datalekken voor aanbieders openbare telecom netwerken (m.n. access providers, geen banken, webshops, hosting providers)  OPTA, meldpunt, nog niet duidelijk welke vorm  Cookies

Nieuwe cookiewet 1) Wat is er op 22 juni door de 2e Kamer aangenomen? 2) Is dat anders dan de Europese Richtlijn? 3) Wat betekent toestemming? 4) Wanneer is de Wet bescherming persoonsgegevens van toepassing? 5) Voor welke technologieën geldt de wet? 6) Wat zijn de uitzonderingen?

Nieuwe cookiewet 7) Hoe moet informatie worden gegeven? 8) Hoe moet toestemming worden verkregen? 9) Voor wie geldt de wet? 10) Wat nou als je in het buitenland bent gevestigd? 11) Hoe hebben de andere Europese lidstaten de Richtlijn geïmplementeerd? 12) Wat vindt de Europese Commissie?

Nieuwe cookiewet 13) Zijn browsersettings voldoende? 14) Kunnen er nog wel ads worden geserveerd? 15) Hoe zit het met de zelfregulering? 16) Wanneer gaat de wet in? 17) Wie gaat handhaven? 18) Wat zijn de sancties? 19) Is de Nederlandse wet in strijd met het Europese recht? 20) Wat kunnen we er nog aan doen?

Gewijzigd art. 5(3) e-Privacyrichtlijn  Gaat om plaatsen of lezen van een cookie op eindapparatuur (dus ook mobiele telefoon)  mag alleen als - vooraf toestemming (opt-in?) - vooraf duidelijk geïnformeerd  2 uitzonderingen

Richtlijn: 2 brede uitzonderingen Geen informatie en toestemming nodig als 

Cookie nodig voor uitvoering communicatie (inloggen bank)



Cookie strikt noodzakelijk voor expliciet gevraagde dienst (winkelwagentje) (taalvoorkeuren?)

Technologie Plaatsen en uitlezen cookies:  ‘opslaan van gegevens op randapparatuur eindgebruiker’  ‘toegang verkrijgen tot gegevens in randapparatuur eindgebruiker Overig: ‘op andere wijze’ via elektronisch communicatienetwerk  gegevens opslaan  toegang verkrijgen

Toestemming Vrij Specifiek Geïnformeerd ‘Recht om vergeten te worden’ Verzamelen, maar ook – Third parties? – Targeting?  Ondubbelzinnig? Expliciet? Browser?     

Voorstel Telecomwet art. 11.7a  Aangenomen door 2e Kamer op 22 juni  Conform richtlijn (vooraf informatie + toestemming)  Maar amendement PVV en D66

Amendement  “Onverminderd de Wet bescherming persoonsgegevens”  In geval cookie “die tot doel heeft gegevens over het gebruik van verchillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren voor commerciële, charitatieve of ideeële doeleinden”  vermoeden verwerking persoonsgegevens

Wbp van toepassing

Wbp zwaar regime  Meldingsplicht CBP  Informatieplicht  Inzage- + correctierecht

 Beveiliging  Bewerkersovereenkomst  Verbod verwerking bijzondere persoonsgegevens

Toelichting amendement  Doel: gebruiker volledige controle

 M.n. in geval third party cookies voor behavioral targeting dient gebruiker ‘expliciete’ keuze te maken  Gebruiker moet ‘ondubbelzinnige toestemming’ geven

 Toestemming maar eenmalig geven  Kan ‘collectief’ worden verkregen, aan branche zelf om dit ‘slim te organiseren’

 Gebruiksvriendelijk?

Betekenis  Geen onderscheid first en third party cookies (Google Analytics)  Weerlegbaar vermoeden  Toestemming nog steeds onduidelijk: – MvT ander standpunt – Toelichting amendement klopt niet met wet  Praktisch: toestemming voor plaatsen is ook toestemming om uit te lezen

 Hoe zit het nu met ‘collectief’? Zelfregulering?

Verantwoordelijke  Degene die de cookie plaatst  MvT: advertiser  Werkelijk: vaak ad network provider  Artikel 29 Werkgroep: ad network provider, maar publisher gedeeltelijk verantwoordelijk  Lex protectionis: doel gebruikers in NL te beschermen dus van toepassing op iedereen die cookies plaatst op randapparatuur Nederlanders, ongeacht waar deze partij is gevestigd

Toezichthouders

Beleid?

Sancties OPTA  Art. 4.1 BUDE: € 1.000.000 boete (2007, DollarRevenue, spyware) CBP  Dwangsommen (€ 100.000 SIOD)  Dit jaar wetsvoorstel versterking positie CBP (boetebevoegdheid)

En nu? 1e Kamer (13 september 2011) Verhagen (brief 23 juni 2011) Kroes (speech 22 juni 2011) Beleid OPTA Zelfregulering Samenwerking advertisers, publishers, ad network providers (contracten)  Proefproces tegen de Staat?      

Vragen?

Milica Antic [email protected] @milica_antic