Webinar cookiewet update

Online seminar:
Cookiewet update
ALEXANDER SINGEWALD 30
aan deze presentatie kunnen geen rechten worden ontleend

JAN.

Webinar Cookiewet ALEXANDER SINGEWALD

Alexander J.J.T. Singewald
CEO Singewald Consultants Group BV
Website: www.privacy.nl
Adres:
Weteringstraat 5
1431 BB Aalsmeer
Postadres:
Postbus 295
1430 AG Aalsmeer
Telefoon:0297 369 767
Telefax: 0297 369 545
E-mail: singewald@privacy.nl
KvK: 34117959
Twitter: twitter.comscglaw

Nevenfuncties:

Curriculum vitae: voorzitter van de Geschillencommissie Promotionele Producten;
Nederlands recht specialisatie strafrecht secretaris Beroepscommissie Onderzoek en Statistiek;
(1984-1989)
voorzitter van de Plantronics Telesales Team Trophy;
Beleidsmedewerker/onderzoeker
Registratiekamer (1989-1992) Voorzitter Commissie Regelgeving DDMA
Adjunct directeur DMSA (1992-1998) Bestuurslid FEDMA;
CEO Singewald Consultants Group BV Lid Legal Affairs Committee FEDMA
(1998-) Legal Counsel ESOMAR;
DM Man van het Jaar 2004
Houder Certificate of Gratitude, Yonsei University Zuid Korea, 2012
Lid van Consultative Committee, Universal Postal Union


Inhoud
• Wetgeving
– Per 5 juni 2012
– Per 1 januari 2013
• Parlementaire behandeling
– Inzicht in uitvoering
• Standpunt Toezichthouders / Politiek

– Ontwikkelingen
• Do-not-track
• To do


LET OP!
• Toestemming voor het plaatsen of uitlezen
van een cookie ziet toe op de technische
handeling (Telecommunicatiewet)
• Daarnaast kan er sprake zijn dat voor het
verwerken van persoonsgegevens nog

toestemming nodig is (Wet bescherming
persoonsgegevens)


Wat is een cookie?
• ……..elektronische communicatienetwerken
toegang wenst te verkrijgen tot gegevens die zijn
opgeslagen in de randapparatuur van een
gebruiker dan wel gegevens wenst op te slaan in
de randapparatuur van de gebruiker: …….

• Alles wat op de randapparatuur van abonnee of
gebruiker wordt vastgelegd of uitgelezen (‘cookies

etc’) valt onder deze regel

– Let op uitzonderingen
• Noodzakelijk voor communicatie
• Noodzakelijk leveren gevraagde dienst


Inwerking getreden
• 5 juni 2012
• Omgekeerde bewijslast
persoonsgegevens per 1 januari 2013
voor tracking cookies


Webinar Cookiewet

De cookie bepaling
ALEXANDER SINGEWALD

Nieuw cookie artikel
11.7a Telecommunicatiewet
• Artikel 11.7a
1. Onverminderd de Wet bescherming persoonsgegevens dient
een ieder die door middel van elektronische
communicatienetwerken toegang wenst te verkrijgen tot
gegevens die zijn opgeslagen in de randapparatuur van een
gebruiker dan wel gegevens wenst op te slaan in de
randapparatuur van de gebruiker:
– a. de gebruiker duidelijke en volledige informatie te verstrekken
overeenkomstig de Wet bescherming persoonsgegevens, en in ieder
geval omtrent de doeleinden waarvoor men toegang wenst te
verkrijgen tot de desbetreffende gegevens dan wel waarvoor men
gegevens wenst op te slaan, en

– b. van de gebruiker toestemming te hebben verkregen voor de
desbetreffende handeling.
Per 1 januari 2013

Een handeling als bedoeld in de aanhef, die tot doel heeft
gegevens over het gebruik van verschillende diensten van de
informatiemaatschappij door de gebruiker of de abonnee te
verzamelen, combineren of analyseren voor commerciële,
charitatieve of ideële doeleinden, wordt vermoed een verwerking
van persoonsgegevens te zijn, als bedoeld in artikel 1, onderdeel
b, van de Wet bescherming persoonsgegevens.


• 2. De in het eerste lid, onder a en b, genoemde vereisten zijn ook van toepassing in
het geval op een andere wijze dan door middel van een elektronisch
communicatienetwerk wordt bewerkstelligd dat via een elektronisch
communicatienetwerk gegevens worden opgeslagen of toegang wordt verleend tot op
het randapparaat opgeslagen gegevens.

• 3. Het bepaalde in het eerste en tweede lid is niet van toepassing,
voor zover het de technische opslag of toegang tot gegevens betreft
met als uitsluitend doel:
– a. de communicatie over een elektronisch communicatienetwerk uit te
voeren, of

– b. de door de abonnee of gebruiker gevraagde dienst van de
informatiemaatschappij te leveren en de opslag of toegang tot
gegevens daarvoor strikt noodzakelijk is.

• 4. Bij algemene maatregel van bestuur kunnen in overeenstemming met Onze
Minister van Justitie nadere regels worden gegeven met betrekking tot de in het
eerste lid, onder a en b, genoemde vereisten. Het College bescherming
persoonsgegevens wordt om advies gevraagd over een ontwerp van bedoelde
algemene maatregel van bestuur.


Voorbeelden van uitzonderingen
nr benaming Beschrijving/doel
1 User input cookies Cookies zijn nodig om in een sessie bijvoorbeeld bij vragen en antwoorden
gestart door de gebruiker bij te houden of het bijhouden van een
boodschappen mandje
2 Authentication cookies Cookies om een gebruiker te identificeren als deze is ingelogd op een
eigen account. Er dient dan wel sprake te zijn van een sessiecookie,
die dus na het einde van de sessie wordt verwijderd.
3 User centric security Cookies die worden gebruikt om extra beveiligingmaatregelen
cookies (bescherming om misbruik te voorkomen) te kunnen nemen voor een
dienst die de gebruiker afneemt
4 Multimedia players Deze cookies worden gebruikt om technische gegevens op te slaan om
session cookies video of audio af te kunnen spelen, wanneer de gebruiker daarom
vraagt. Deze cookies zijn alleen gedurende de sessie actief.
5 Load balancing session Deze cookies worden gebruikt om de communicatie van de juiste server te
cookies laten plaats vinden en mogen ook alleen voor dat doel worden
gebruikt
6 User interface Deze cookies worden gebruikt om de preferenties van een gebruiker met
customization betrekking tot de dienstverlening te onthouden los van cookies of
cookies gegevens. Voorbeelden zijn geselecteerde taal instelling, of het
weergeven van het aantal resultaten op een zoek website
7 Social plug-in content Zolang deze cookies worden geplaatst wanneer iemand is ingelogd in een
sharing cookies omgeving, dan is er sprake van een gevraagde dienst. In alle andere
(let op verschil in gevallen van Social plug-in content sharing cookies is er geen sprake
ingelogd of van een uitzondering en zal toestemming dienen te worden gevraagd.
uitgelogd)


Webinar Cookiewet

Vragen?
ALEXANDER SINGEWALD


• Artikel 11.7a
1. Onverminderd de Wet bescherming persoonsgegevens dient
een ieder die door middel van elektronische
communicatienetwerken toegang wenst te verkrijgen tot
gegevens die zijn opgeslagen in de randapparatuur van een
gebruiker dan wel gegevens wenst op te slaan in de
randapparatuur van de gebruiker:
– a. de gebruiker duidelijke en volledige informatie te verstrekken
overeenkomstig de Wet bescherming persoonsgegevens, en in ieder
geval omtrent de doeleinden waarvoor men toegang wenst te
verkrijgen tot de desbetreffende gegevens dan wel waarvoor men
gegevens wenst op te slaan, en

– b. van de gebruiker toestemming te hebben verkregen voor de
desbetreffende handeling.
Per 1 januari 2013

Een handeling als bedoeld in de aanhef, die tot doel heeft
gegevens over het gebruik van verschillende diensten van de
informatiemaatschappij door de gebruiker of de abonnee te
verzamelen, combineren of analyseren voor commerciële,
charitatieve of ideële doeleinden, wordt vermoed een verwerking
van persoonsgegevens te zijn, als bedoeld in artikel 1, onderdeel
b, van de Wet bescherming persoonsgegevens.


Ondubbelzinnige toestemming Wbp bij tracking cookies?


Verwerken persoonsgegevens
• Artikel 8 Wet bescherming
persoonsgegevens
– Toestemming
– Contract of pre-contractuele fase
– Vitaal belang

– Uitvoering wettelijke verplichting
– Vervulling publiekrechtelijke taak
– Gerechtvaardigd belang


Toestemming?
Artikel 1 onder i Wet bescherming
persoonsgegevens:
– Toestemming van de betrokkene: elke vrije,
specifieke en op informatie berustende
wilsuiting waarmee de betrokkene aanvaardt

dat hem betreffende persoonsgegevens
worden verwerkt;

Bescherming persoonsgegevens
15


Gevraagde dienst of toestemming?
• Gevraagde dienst:
– Geen toestemming vragen, waarom moeilijke
bewijspositie (vrije, specifieke en op
informatie berustende wilsuiting)


Hoe toestemming vragen?


Toepasbaar?
• Ondubbelzinnige toestemming betekent dat er geen twijfel over mag
bestaan dat de betrokkene zijn toestemming heeft gegeven en voor
welke specifieke verwerkingen. De toestemming hoeft niet
schriftelijk te worden gegeven; ook een handeling van de
betrokkene kan gericht zijn op het geven van toestemming. Bij een
dergelijke stilzwijgende of impliciete toestemming mag er echter
geen twijfel bestaan over de reikwijdte daarvan. Bij twijfel moet de
verantwoordelijke nagaan of hij er terecht vanuit gaat dat de
betrokkene met de verwerking heeft ingestemd. Toestemming kan

altijd worden ingetrokken. Een dergelijke intrekking heeft geen
terugwerkende kracht.

(september 2000)

20


Cookies voor onderzoek en
statistiek?


Onderzoek en statistiek
• Gedragscode onderzoek en statistiek
volgen:

– Maar voor cookie plaatsen (technische handeling) nog steeds
toestemming, tenzij uitzondering
http://www.moaweb.nl/Gedragscodes/gedragscode-voor-onderzoek-en-statistiek


Onderzoek en statistiek
• Enkele
belangrijke
bepalingen uit
Gedragscode
voor onderzoek
en statistiek


Handhaving & buitenland


Toekomst: browsersettings?


Handhaving door OPTA


Bewijzen

https://www.spamklacht.nl/ik-
verzend-elektronische-
berichten/


Webinar Cookiewet

Analytics cookies
ALEXANDER SINGEWALD


Device fingerprinting


Handelingen Eerste Kamer
8 mei 2012, 28-9-35
• De cookiebepaling bevat twee elementen: de informatieplicht
en het toestemmingsvereiste. De informatieplicht houdt in dat
wanneer iemand een cookie plaatst of leest op de computer
van een gebruiker, hij die gebruiker moet informeren over het
feit dat het voornemen bestaat om een cookie te plaatsen of
te lezen. Daarnaast moet degene die die cookie plaatst, de
gebruiker van de computer informeren over het doel van de
cookie. Als het daarbij gaat om het volgen van surfgedrag, zal
moeten worden aangegeven welke informatie wordt
verzameld en wat er met die informatie wordt gedaan. Daarbij
moet ook worden aangegeven met wie die verzamelde

gegevens worden gedeeld. Verder moet ook informatie
worden verstrekt over de periode waarbinnen die cookie
gebruikt wordt. Over die informatieplicht bestaat dus totaal
geen onduidelijkheid. Het is volstrekt helder wat degene die
de cookie plaatst moet doen. Dat zal dus ook door de OPTA
worden gehandhaafd.


Handelingen Eerste Kamer
8 mei 2012, 28-9-35
• Met betrekking tot het toestemmingsvereiste is duidelijk dat er toestemming
van de gebruiker van de computer nodig is voordat de cookie wordt
geplaatst. Het gaat hier- bij om het zogenoemde opt-insysteem. Minder
duidelijk is hoe die toestemming in de praktijk gegeven kan worden.
Uiteraard kan toestemming worden verkregen door de eerste keer dat via
een website cookies worden geplaatst, door middel van een pop-upscherm
toestemming te vragen. In Europees verband wordt gekeken naar meer
gebruiksvriendelijke toepassingen, onder andere door browsers geschikt te
maken voor het geven van toestemming. De OPTA heeft aangegeven bij dit
praktische aspect van de cookiebepaling, de vraag hoe die
toestemmingsvereiste vorm moet krijgen, enige terughoudendheid in de

handhaving te betrachten. De OPTA stelt open te staan voor een meer
gebruiksvriendelijke wijze van het verkrijgen van toestemming. Ook zal de
OPTA rekening houden met Europese ontwikkelingen op dit gebied. Verder
zal de OPTA bij het beoordelen of op een juiste wijze toestemming is
verkregen, toetsen of de toestemming is vrijgege- ven, voldoende specifiek
is en gebaseerd is op voldoende informatie. Overigens zal de OPTA, als
zelfstandig bestuursorgaan, zelf bepalen waar zij de prioriteiten in de
handhaving legt.


OPTA

nieuwe versie 30 juli 2012


OPTA, ronde tafel 29 juni 2012


Webinar Cookiewet

Verwarring!
ALEXANDER SINGEWALD


Analytics I
• 'However, the Working Party considers that first party analytics
cookies are not likely to create a privacy risk when they are
strictly limited to first party aggregated statistical purposes and
when they are used by websites that already provide clear
information about these cookies in their privacy policy as well as
adequate privacy safeguards. Such safeguards are expected to
include a user friendly mechanism to opt-out from any data
collection and comprehensive anonymization mechanisms that are
applied to other collected identifiable information such as IP
addresses.

• In this regard, should article 5.3 of the Directive 2002/58/EC be
re-visited in the future, the European legislator might
appropriately add a third exemption criterion to consent for
cookies that are strictly limited to first party anonymized and
aggregated statistical purposes.
• First party analytics should be clearly distinguished from third party
analytics, which use a common third party cookie to collect
navigation information related to users across distinct websites, and
which pose a substantially greater risk to privacy.'


Analytics II
• 'This analysis also shows that first party
analytics cookies are not exempt from
consent but pose limited privacy risks,
provided reasonable safeguards are in
place, including adequate information, the

ability to opt-out easily and comprehensive
anonymisation mechanisms.'


Analytics III
• Rosa Barcelo from DG Infso on 28th June
2012 during a Greens/EFA European
Parliament hearing on ‘Data Protection for
the Digital Age’:
– DG Infso have discussed adapting the

ePrivacy Directive in light of the more rigid
consent requirements outlined in the
proposed Regulation. This review would take
place after a possible adoption of the
Regulation.


Kamervragen over NPO

www.rijksoverheid.nl/ministeries/ocw/documenten-en-publicaties/kamerstukken/2012/12/07/antwoord-op-kamervragen-van-de-
sp-over-de-noodzaak-om-cookies-te-accepteren-voor-bezoekers-van-websites-van-de-publieke-omroep.html


Reactie Minister Kamp


To do
• Inventariseer welke ‘cookies etc’ er worden geplaatst en/of uitgelezen op de
randapparatuur?

• Bepaal of de ‘cookies etc’ vallen onder de uitzonderingen:
– Uitsluitend doel voor communicatie
– Uitsluitend doel voor gevraagde dienstverlening
– (voldoen functionele cookies ook aan eisen, sessie cookie alleen voor een sessie)

• Geen uitzondering van toepassing, bepaal dan of de ‘cookies etc’ noodzakelijk zijn?

– Zo niet, stop gebruik van deze ‘cookies etc’

• Geen uitzondering van toepassing, bepaal dan een methode om toestemming te
vragen?
– Cookie informatie opnemen in privacystatement
– Op welke wijze toestemming op de startpagina website vragen?
– Kan het CMS systeem de vraag naar toestemming ‘verwerken’


Webinar Cookiewet

Do-not-track
ALEXANDER SINGEWALD


Do-not-track
• Verschillen in uitleg do-not-track

– Europa: do-not-track=do-not-collect
– VS: do-not-track=do-collect-but-do-not-use
• Verschillende definities

• Do-not-track op basis cookie technologie? dan toegang

tot gegevens of opslag van gegevens met toestemming

• Schermt do-not-track ook ‘cookies’ af die met
toestemming zijn geplaatst of onder uitzondering vallen?


Vragen? Join the conversation

opleidingen@lectric.nl @LECTRIC

T 073 68 11 000 LECTRIC

LECTRIC

LECTRICTV

LECTRICopleidingen

Webinar cookiewet update

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Andere mochten auch

Andere mochten auch (20)

Mehr von LECTRIC

Mehr von LECTRIC (20)

Webinar cookiewet update