Blog Marketing compliance

Populair artikel analytics_cookies_position_paper_GBA
13.01.2021 Bart Van den Brande

Digitale sector unisono in overleg met de Gegevensbeschermingsautoriteit (GBA): Analytics cookies zonder voorafgaande opt-in zijn een noodzaak  

Sirius Legal overlegde samen met de quasi volledige digitale sector in België op 7 januari unisono met de Gegevensbeschermingsautoriteit over het gebruik van analytics cookies.  

ACC, BAM, Cube, Feweb, SafeShops.be, UBA en UMA legden vorige week collectief hun bezorgdheid voor aan de GBA over de wijze waarop vandaag in online omgevingen voorafgaande expliciete toestemming gevraagd moet worden voor het plaatsen van analytics cookies. De vakverenigingen, die samen het brede spectrum van de Belgische online wereld vertegenwoordigen, deden dat op basis van een uitgebreid onderbouwde position paper die tot stand kwam dankzij advocatenkantoor Sirius Legal.  

 

Bezorgdheid over expliciete toestemming analytics cookies

Grote bezorgdheid in de ganse sector is immers het feit dat de verplichting om middels een cookiebanner het akkoord van websitebezoekers te vragen zeer grote economische schade toebrengt aan de sector.  Heel wat surfers op internet, sommige statistieken spreken zelfs van meer dan 80%, klikken de vaak vervelend geachte cookie pop-ups immers gewoon weg of geven geen toestemming, waardoor webshops en online marketeers broodnodige data over het aantal bezoeken aan hun website of over de efficiëntie van hun website mislopen en de inhoud ervan dus niet kunnen verbeteren. Dit zorgt voor bijzonder veel frustratie omdat in de ons omringende landen het gebruik van zulke analytics cookies wél mogelijk is zonder voorafgaande toestemming van de websitebezoeker, wat een ernstig concurrentienadeel creëert voor Belgische online ondernemers.  

De ganse sector is bijzonder begaan met online privacy en verwelkomt de transparantie die verplichte cookie opt-ins met zich mee brengen als het gaat om gegevensverzameling voor  marketingdoeleinden. Hij heeft echter op de grote urgentie aangedrongen bij de GBA, en zal dit in een volgende fase doen bij de bevoegde minister, om voor België een gelijkaardige uitzondering te voorzien als deze die in Frankrijk, Nederland en Duitsland al bestaat voor strikt analytische doeleinden. Performante websites, die aangepast zijn aan de vragen en verwachtingen van de consument zijn in de eerste plaats ook in het voordeel van precies die consument. Goede analytics data laten immers toe om betere diensten en producten, onder betere voorwaarden en met betere  prijzen aan te bieden aan precies die consument.  

 

Position paper en relevante artikels

Het volledige standpunt van de sector is uitgewerkt in een position paper die je hieronder kan downloaden. Deze paper geeft een zeer goede schets van de actuele problematiek en reflecteert het standpunt van de volledige digitale sector. 

We schreven bij Sirius Legal al eerder een aantal artikels over deze problematiek en zijn bijzonder verheugd dat onze position paper door heel de digitale sector zo enthousiast onderschreven wordt. Sirius Legal zal samen met BAM en de andere associaties de nodige stappen nemen om te komen tot een voorstel van tekst en onderhandelingen met het kabinet van de Minister Mathieu Michel. Wij houden je daarvan zeker op de hoogte!

 

Vragen over cookies of over deze position paper?

Contacteer ons gerust via bart@siriuslegal.be of boek hier rechtstreeks een overlegmoment in.

20.10.2020 Bart Van den Brande

De GBA valt het IAB Europe TCF aan: een bom onder online marketing in Europa?

Eerder deze week raakte een (nochtans intern en vertrouwelijk) document publiek, waarin de Belgische Gegevensbeschermingsautoriteit in het kader van een onderzoek na een klacht het Transparency and Consent Framework van IAB Europe toch wel bijzonder kritisch doorlicht.

De GBA is daarbij van oordeel dat het TCF, dat nochtans dé standaard is in de online marketingwereld voor het verzamelen en delen van online profielgegevens met het oog op het aanbieden van gepersonaliseerde online advertenties,  op verschillende punten fundamenteel in strijd zou zijn met GDPR. 

Het gaat om een eerste verslag, niet om een finale beslissing, maar dit zou wel eens bijzonder verstrekkende gevolgen hebben voor de hele online marketingwereld en de manier waarop gepersonaliseerde advertenties worden getoond aan websitebezoekers.  

Een potentiële bom onder de online marketingwereld met andere woorden…

 

Wat is het IAB TCF?

Het zogenaamde Transparency & Consent Framework van IAB Europe, kortweg TCF, is een standaard die binnen de online advertentiesector wordt gebruikt om toestemming te bekomen voor het plaatsen van cookies en andere trackers die het voor adverteerders mogelijk maken om websitebezoekers gerichte, gepersonaliseerde advertenties te tonen over verschillende websites heen op basis van hun surfgedrag,  online voorkeuren of profielinformatie. 

TCF is ook de motor achter Real Time Bidding of RTB, waarmee adverteerders in “real time”, via geautomatiseerde veilingplatformen en in een fractie van enkele milliseconden kunnen bieden op een bepaalde advertentieruimte, op een bepaalde website die net op dat ogenblik bezocht wordt door iemand die binnen de doelgroep van de adverteerder valt.    

 

Waarom is dit een probleem?

Op zich is gepersonaliseerde reclame een goede zaak.  Relevantie is immers erg belangrijk in online marketing.  Je wil als adverteerder de juiste boodschap op het juiste ogenblik aan de juiste persoon kunnen afleveren.  Alleen dan weet je immers zeker dat je boodschap aankomt.  Mensen worden overspoeld met reclameboodschappen en enkel dat wat hen écht persoonlijk aanbelangt, nemen ze op.  Dat is beter voor de adverteerder, die minder geld over de balk gooit met overbodige advertenties, én voor de websitebezoeker, die niet gestoord wordt met irrelevante content.

Alleen zit er een serieuze juridische angel aan die relevantie.  Relevantie creëren vereist immers kennis van je audience en die kennis bouw je op met zo gedetailleerd mogelijke profielinformatie.  

Die profielinformatie valt niet uit de lucht, natuurlijk.  Daar komt enerzijds GDPR en anderzijds cookieregelgeving (ePrivacy) in beeld.  Beiden vereisen absolute transparantie én een gepaste rechtsgrond die je toelaat om data te verzamelen en met derden te delen.  In het geval van cookies is die rechtsgrond altijd de voorafgaande toestemming.  In het geval van GDPR kan dat theoretisch gezien ook zonder toestemming, op basis van het gerechtvaardigd belang.  De Belgische Gegevensbeschermingsautoriteit was echter begin dit jaar zeer streng in haar analyse van het gerechtvaardigd belang in het kader van direct marketing (waar naar haar analyse online marketing ook onder valt).  Het gevolg daarvan is dat ook onder GDPR de facto een vrije, voorafgaande en geïnformeerde toestemming vereist is om persoonsgegevens te verzamelen met het oog op online marketingdoeleinden zoals RTB…

Het probleem voor een hele reeks van privacyactivisten (maar liefst 22 organisaties uit 16 landen legden klacht neer bij de GBA) zit hem in de vaststelling (menen zij) dat die toestemming binnen het TCF framework absoluut niet correct bekomen wordt.   Zij hebben daarom collectief een klacht ingediend bij de Belgische Gegevensbeschermingsautoriteit.  De reden om de klacht in België neer te leggen terwijl het om een Europees platform gaat, is eenvoudig: IAB Europe heeft haar kantoren in Brussel.

 

Wat zegt de GBA?

De GBA volgt in een eerste -weliswaar tussentijds- rapport de klagers.  Zij bevestigt dat ook volgens haar de huidige manier van gegevensverwerking binnen het TCF framework niet in overeenstemming is met GDPR.

Het grootste bezwaar van de GBA is wellicht dat IAB volgens haar zelf verantwoordelijk is voor de verwerking van gegevens die via haar TCF framework verzameld en verwerkt worden door reclameregies en adverteerders.  IAB Europe bepaalt immers volgens de GBA (mee) het doel en de middelen voor de verwerking en dat maakt van haar onder GDPR een verantwoordelijke.  Dat betekent meteen ook dat IAB Europe een hele reeks verplichtingen heeft inzake transparantie, het bekomen van toestemming, privacy by design, etc.. die GDPR oplegt aan verantwoordelijken voor de verwerking.

Persoonlijk hebben we toch vragen bij deze insteek vanwege de GBA.  IAB stelt immers slechts een tool ter beschikking.  Zij bepaalt niet zelf welke data er verzameld wordt en al evenmin bepaalt zij zelf voor welke doeleinden die data verwerkt worden door de betrokken ontvangers.  Een en ander lijkt toch minstens voor kritiek vatbaar…

Moeilijker te weerleggen is de vaststelling dat bij het verzamelen van profielgegevens van websitebezoekers via het TCF framework potentieel ook “gevoelige gegevens” (of “bijzonder beschermde gegevens”, zoals de GDPR ze eigenlijk noemt) te verzamelen.  Het gaat dan bijvoorbeeld over medische gegevens, gegevens over seksuele voorkeur, politieke voorkeur, etc… Die gegevens mogen onder GDPR alleen verwerkt worden als je daarvoor de afzonderlijke expliciete toestemming hebt gekregen van de betrokkene, wat bij online verzameling via cookies of trackers meestal niet het geval is.  Een en ander is, als de eerste conclusies van de GBA niet weerlegd kunnen worden door IAB Europe, een fundamentele breuklijn tussen TCF en GDPR, eentje die zeer moeilijk te lijmen valt ook, rekening houdende met de ontelbare regies en adverteerders die inmiddels zulke gevoelige gegevens in handen hebben gekregen via TCF en die ze ook dagelijks inzetten in RTB campagnes. 

Even zorgwekkend voor de toekomst van TCF is het feit dat TCF actief het gebruik aanmoedigt van het gerechtvaardigd belang als rechtsgrond voor de verwerking van persoonsgegevens in het kader van online profilering en personalisatie. Maar de Belgische Gegevensbeschermingsautoriteit gaf afgelopen januari al aan in haar Direct Marketing Aanbeveling dat het gerechtvaardigd belang slechts in zeer uitzonderlijke gevallen kan dienen als rechtsgrond voor (direct) marketingdoeleinden.  Consequent afzonderlijk toestemming vragen voor elke verzameling en doorgifte van persoonsgegevens is echter quasi onmogelijk.  Het aantal partijen dat tussenkomt in met name het Real Time Bidding proces is zo groot dat zulks moeilijk praktisch haalbaar lijkt. 

Daarbovenop heeft de GBA nog ernstige bedenkingen bij de veiligheid van het ganse TCF systeem, in die zin dat er te weinig garanties ingebouwd zijn in het framework zelf om de rechten van de betrokkene te garanderen.  Ook dit raakt aan één van de hoekstenen van GDPR, wat het tot een ernstige bedreiging voor het TCF maakt.

 

Breder kader: het einde van third party cookies

Een en ander komt overigens niet uit de lucht gevallen.  Wie onze website, onze publicaties en onze presentaties het afgelopen jaar in de gaten heeft gehouden weet dat er een aardverschuiving aan de gang is in de online marketingwereld en met name in de context van het gebruik van cookies en andere trackers om gegevens van websitebezoekers te verzamelen.  

Die aardverschuiving kreeg vorig jaar brede aandacht toen eerst het Europees Hof van Justitie en daarna ook de Belgische Gegevensbeschermingsautoriteit zwaar uithaalden naar websites die cookies plaatsen op het device van bezoekers zonder voorafgaande vrije en geïnformeerde toestemming van diezelfde websitebezoeker.  Maar onderliggend was er al een hele tijd een en ander aan het borrelen.  Apple had al eerder aangekondigd dat het via zijn ITP 2.1 protocol alle third party cookies (die met name persoonsgegevens verzamelen voor marketingdoeleinden) zou gaan blokkeren.  Mozzila Firefox volgde al snel en ging nog een stapje verder door ook fingerprinting door derde partijen te gaan blokkeren. Toen vervolgens ook Google aankondigde dat in Chrome vanaf 2022 third party cookies geblokkeerd zullen worden, was het duidelijk dat de online marketingwereld voor één van de grootste technische, praktische en juridische uitdagingen uit haar bestaan staat en waarin zij zal moeten leren overleven in een context van cookieless advertising…  

We hebben hierover al meer dan eens gesproken het voorbije jaar, onder meer in Obsessed van Marc Bresseel en Renout Van Hove en in een uitgebreid Cookie Cahier dat eerstdaags verschijnt bij Uitgeverij Politeia.  Deze week is het ook precies het onderwerp van ons legal webinar bij BAM, de Belgian Association for Marketing.

 

Wat betekent dit concreet?

Op langere termijn zal de ganse sector moeten shiften naar een andere manier van adverteren, naar meer contextuele campagnes, naar het inzetten op meer eigen profieldata (waarbij overigens dezelfde vragen naar GDPR compliance én naar het gebruik van met name analytics cookies telkens opnieuw naar boven zullen blijven komen).

Op kortere termijn verandert er voorlopig niet veel.  Het uitgelekte rapport is slechts een tussentijds rapport.  IAB Europe zal zich nog kunnen verweren (tegen ten laatste 7 december 2020) en er zijn zeker wel een hele reeks bruikbare argumenten denkbaar om het uiteindelijke standpunt van de GBA wat af te zwakken.  De uiteindelijke uitspraak wordt pas in de loop van 2021 verwacht.

Dit is echter een teken aan de wand voor al wie persoonsgegevens verzamelt en verwerkt online, zowel binnen als buiten TCF.  Ruim 80% van de websites in België is nog steeds niet cookie compliant en ruim 66% van de Belgische ondernemingen is nog niet GDPR compliant.  We zien in onze praktijk dagelijks voorbeelden van marketingdepartementen bij grote nationale en internationale bedrijven die de basics van een GDPR compliant marketingbeleid niet in de vingers hebben. De risico’s die dit met zich meebrengt worden uitvergroot door de exponentiële groei aan marketing automation tools, customer data platforms en andere adtech speeltjes die de markt overspoelen met beloftes van eindeloze mogelijkheden, maar die heel vaak niet voldoen aan de basisregels van onze privacywetgeving.

Wees dus voorzichtig.  Laat tijdig een GDPR compliance audit uitvoeren op je marketing activiteiten, denk aan Data Protection Impact Assessments voor je aan de slag gaat met nieuwe tools en software en denk ook op tijd aan een uitgebreide cookie scan op je website(s).

 

Vragen over GDPR compliance voor marketing departementen?

Neem gerust vrijblijvend contact op met Bart Van den Brande.  Bellen of mailen kan op 0486 901 931 of op bart@siriuslegal.be of je kan ook hier rechtstreeks een vrijblijvend kennismakingsgepsrek via Google Meet inboeken. 

19.10.2020 Bart Van den Brande

Nieuwe Cookie Richtlijnen in Frankrijk (ook relevant voor België)

De Franse gegevensbeschermingsautoriteit (de “CNIL”) publiceerde op 1 oktober 2020 nieuwe richtlijnen rond het gebruik van cookies op websites ter vervanging van haar oude richtlijnen uit 2019.  Dit is ook voor België van belang omdat de CNIL, samen met de Britse ICO en de Spaanse AEPD de enige gegevensbeschermingsautoriteit is die tot op heden zulke duidelijke en volledige richtlijnen rond het gebruik van cookies en andere tracking technologie publiek gemaakt heeft.

 

Nog even over cookies in het algemeen

We zijn bij Sirius Legal het voorbije jaar erg intensief bezig met cookieregelgeving.  Het Planet 49 arrest en de boete voor Jubel vorig jaar hebben heel wat reacties losgeweekt en in de voorbije maanden hebben we een hele reeks opleidingen, webinars en infosessies gegeven rond het gebruik van cookies op websites.  Gelijktijdig hebben we samen met onze partner Grava.be een Cookiescan uitgewerkt, die bedrijven kan helpen om zich zowel technisch als juridisch in regel te stellen.  Binnenkort wordt bovendien een handig handboek over cookies van onze hand gepubliceerd bij uitgeverij Politeia en achter de schermen lobbyen we samen met enkele bevriende vakverenigingen voor een meer soepele interpretatie van de regels.

Eén van onze grootste frustraties van het afgelopen jaar is de afwezigheid van duidelijke en praktisch toepasbare instructies vanuit de overheid over wat nu precies wél en niet aanvaardbaar is als het over het gebruik van cookies of andere trackers op websites gaat.

Dit nieuwe advies van de CNIL is wat dat betreft zeer welgekomen.  Het geeft ons en andere gespecialiseerde professionals een extra houvast om onze cliënten beter en preciezer te adviseren.

 

Wat zeggen die cookie richtlijnen van de CNIL nu precies?

De CNIL richtlijnen vormen best een lijvig document.  We vatten hier even samen wat je er kan terugvinden: 

  • De bevestiging dat toestemming voor het plaatsen van cookies niet stilzwijgend kan gebeuren.  Wie geen expliciete toestemming heeft gegeven, heeft géén toestemming gegeven.
  • De bevestiging (volgend op het Facebook Share Button arrest uit 2019) dat de website zelf en de derde-aanbieder die cookies plaatst via die website (bvb bij het gebruik van share of like buttons) gezamenlijke verantwoordelijken voor de verwerking zijn.  Dat betekent eenvoudig gezegd dat websites altijd mee verantwoordelijk zijn voor wat derden zoals Facebook, LinkedIn, ShareThis of AddThis doen via cookies op hun website.
  • Het verbod op cookiewalls wordt enigszins afgezwakt, in die zin dat de Franse Raad van State oordeelde dat een algeheel verbod op cookiewalls niet mogelijk is en dat geval per geval bekeken moet worden of de websitebezoeker vrij is om al dan niet toestemming te geven of te weigeren (de facto laat een cookiewall die vrijheid nooit en dus zijn ze bij een individueel onderzoek geval per geval altijd illegaal, alleen mag dat niet als algemene regel in Frans recht opgenomen worden…)
  • Cookie consent kan niet gegeven worden samen met de aanvaarding van algemene voorwaarden.  Beide toestemmingen moeten los van elkaar staan en een aparte opt-in is vereist.
  • Toestemming is vereist per categorie en per doeleinde of althans de bezoeker moet de keuze hebben om zijn of haar toestemming op die manier te geven (een globale “accepteer alles” knop kan wel, zolang ook “manage my choices” aangeboden wordt)
  • De cookie richtlijnen herhalen de aanbeveling van de AVG om eenvoudige en begrijpelijke taal te gebruiken om individuen te informeren over de aard en de doeleinden van cookies en om juridisch of (marketing)technisch jargon te vermijden.
  • Om het voorgaande mogelijk te maken, nodigt de CNIL belanghebbenden uit om samen te komen om gestandaardiseerde interfaces te ontwerpen die op dezelfde manier en met dezelfde bewoordingen werken.
  • De minimale info die een gebruiker moet krijgen om geïnformeerd zijn of haar toestemming te kunnen geven is de volgende:
    • De identiteit van de gegevensbeheerder (s);
    • Het doel van cookies;
    • Hoe je cookies accepteert of weigert;
    • De gevolgen van hun weigering of aanvaarding; en
    • Het recht om de gegeven toestemming op elk moment in te trekken.
  • Zogenaamde “continued browsing” (“door onze website te bezoeken, gaat u akkoord…”) vormt géén geldige toestemming en de CNIL gaat zelfs een stapje verder door te zeggen dat het verder bezoeken van de website zonder actieve keuze, gezien moet worden als een actieve weigering door de bezoeker voor het plaatsen van cookies
  • De CNIL geeft ook nog mee dat browser settings op zich geen bewijs kunnen zijn van opt-in.  De techniek laat vandaag immers niet toe aan websitebezoekers om in de settings van Chrome, Edge of Firefox voldoende geïndividualiseerd te kiezen welke cookies zij wel of niet willen aanvaarden.
  • Advertentienetwerken die cookies plaatsen op websites zijn in vele gevallen zelf verantwoordelijken voor de verwerking van persoonsgegevens onder GDPR, vaak samen met de website-eigenaar.  
  • Hoe lang blijft consent geldig?  Vroeger hanteerde de CNIL in het algemeen 13 maanden.  In dit advies nuanceert zij en zegt zij dat dit afhangt van de aard van de website of applicatie en van het specifieke publiek dat de website of de applicatie gebruikt of bezoekt.  Consent moet dus regelmatig vernieuwd worden.
  • De toestemming moet in ieder geval ook op elk moment, kosteloos, kunnen worden ingetrokken, net zo gemakkelijk als deze aanvankelijk werd gegeven. Hiertoe raadt de CNIL aan om een ​​link te gebruiken naar een mechanisme voor het verzamelen van toestemming met een beschrijving zoals “manage my choices”.

 

En wat met analytics?

Wie ons het voorbije jaar gevolgd heeft, weet dat we érg bezorgd zijn over de impact van de cookiewetgeving op het gebruik van analytics cookies.  Die laatste vereisen immers ook voorafgaande toestemming en we weten uit statistieken dat die opt-in moeilijk te pakken te krijgen is, wat zorgt voor een grote drop in analytics data voor wie de wet correct naleeft.

De CNIL nam eerder al een veel genuanceerder standpunt in dan de Belgische GBA ten aanzien van analytics cookies en dit wordt bevestigd in deze richtlijnen. De CNIL geeft immers ook een opsomming van cookies waarvoor geen toestemming vereist is: 

  • Cookies die dienen om de cookiekeuze van bezoekers te bewaren;
  • Authentication cookies;
  • Shopping cart cookies;
  • Personalisatiecookies voor gebruikersinterface (bijvoorbeeld voor de taalkeuze of presentatie van een dienst), wanneer dergelijke personalisatie een intrinsiek en verwacht onderdeel van de dienst vormt;
  • Load balancing cookies; 
  • Paywall-cookies;
  • Met betrekking tot analytics cookies heeft de CNIL gespecificeerd dat ze “niet systematisch de voorafgaande toestemming van de gebruiker vereisen”, zolang ze alleen worden gebruikt om het publiek van een website of een applicatie te meten en op voorwaarde dat deze Cookies:
    • niet toestaan ​​dat gebruikers door verschillende websites of applicaties browsen (cross device tracking); 
    • alleen worden gebruikt om anonieme statistische gegevens te produceren en op voorwaarde dat de verzamelde persoonlijke gegevens niet kunnen worden gecontroleerd of aan derden kunnen worden doorgegeven.

 

Vragen over cookies of GDPR of wil je beroep doen op onze Cookiescan dienst?

Bel of mail gerust met Bart Van den Brande op +32 486 901 931 of op bart@siriuslegal.be of boek hier rechtstreeks een vrijblijvende Google Meet kennismaking in in de agenda van Bart.

01.10.2020 Bart Van den Brande

Binnenkort strengere regels voor targeted advertising?

De marketingwereld ligt al een hele tijd onder vuur.  GDPR was twee jaar geleden een eerste aardverschuiving.  Intussen is er ook een aanzienlijke verstrenging (of althans verstrengde handhaving) van de cookiewetgeving en bovendien loert het einde van het gebruik van third party cookies om de hoek omwille van Apple’s ITP 2.1, ATP in Google Chrome en third party blocking in Firefox.  

De European Data Protection Board (EDPB) deed hier op 15 september nog een schepje bovenop met een ontwerpadvies inzake targeted advertising op social media.   Het gaat om een ontwerp waarop sectorspelers nog tot 19 oktober 2020 hun eventuele opmerkingen kunnen maken aan de EDPB, dus reden genoeg om als marketing professional onderstaande even door te lezen en je eventuele bezorgdheden (via ons eventueel) te bundelen…

 

Targeted advertising?

Bij targeted advertising, of ook wel gepersonaliseerd adverteren of audience targeting, wordt reclame zo precies mogelijk gericht aan de juiste doelgroep, vaak via social media advertenties. Door advertentiebudget te besteden aan een publiek dat bestaat uit potentieel geïnteresseerde klanten behaalt een advertentiecampagne een hoger rendement.

Deze targeting is meestal gebaseerd op iemands interesses, bezochte internetpagina’s, recente aankopen, … (behavioral targeting) of op de inhoud van de pagina die wordt bekeken, plaats en uur van de dag, het weer, specifieke evenementen of gebeurtenissen (contextual targeting) of louter op het feit dat een bezoeker al eerder op de site of een specifieke pagina van de adverteerder is geweest (retargeting).  

Targeting via social media advertenties koppelt bovenstaande info aan de profielinfo die bvb Facebook of Google over je bezitten om een gepast publiek of ‘audience’ voor je advertentie samen te stellen en gericht te adverteren (locatie, geslacht, leeftijd en sociale klasse, …). 

 

Bezorgdheid bij de overheid

De EDPB publiceerde op 15 september (met wat vertraging, want de beslissing dateert van 2 september) een ontwerpadvies nr.08 / 2020 over het gebruik van targeted advertizing op social media.

De EDPB ziet aanzienlijke privacyrisico’s voor de gebruiker bij targeting, vooral ook door het feit dat er verschillende partijen bij betrokken zijn (minstens de adverteerder en het platform) én het feit dat zeer uitgebreide profielen worden opgebouwd en gebruikt in deze context.

Die profielinfo is opgebouwd uit drie soorten gegevens: 

  • data die de betrokkene zelf deelt met Facebook, Google en andere (social) media 
  • behavioral data die “gemeten” wordt terwijl de gebruiker online is (op basis van cookies, fingerprints, server side tracking, …) 
  • analytische profieldata die de adverteerder of het social mediaplatform afleiden uit de twee voorgaande

 

Joint controllers

Voor de EDPB zit het specifieke risico voor de betrokkene in de eerste plaats in transparantie en in de correcte juridische grondslag die aan elk van de betrokken partijen toelaat om deze gegevens te verwerken en al dan niet uit te wisselen.

De EDPB ziet in haar ontwerp de adverteerder en sociale media vaak als gezamenlijke verwerkingsverantwoordelijken, minstens voor een deel van het proces.  Ze bepalen immers samen “het doel en de middelen van de verwerking”, zoals GDPR dat omschrijft. Vanzelfsprekend is Google of Facebook alleen verantwoordelijke in het kader van de voorafgaande opbouw van profielen, maar zodra er sprake is van het gebruik van die profielen voor een specifieke campagne, ontstaat er gedeelde verantwoordelijkheid met de adverteerder.  

Dit is érg belangrijk omdat gedeelde verantwoordelijkheid ook gedeelde aansprakelijkheid voor (elkaars) fouten (denk aan data breaches door gebrekkige security) betekent…

 

Noodzakelijke toestemming

Om gegevens te verwerken, heb je een gepaste rechtsgrond nodig.  In principe zijn er zes rechtsgronden die evenwaardig naast elkaar bestaan onder GDPR, maar de EDPB is van oordeel dat in het kader van profiling en targeted advertizing de meest geschikte rechtsgrond quasi noodzakelijk de (voorafgaande, vrije en geïnformeerde) toestemming van de betrokkene is, of, minder evident,  het gerechtvaardigd belang. 

Het ontwerpadvies stelt dat er duidelijk situaties zijn waarin de voorafgaande toestemming écht noodzakelijk is.  Dat geldt bijvoorbeeld voor cross domain tracking, cross device tracking, delen van locatiegegevens of data brokerage.  Dat zijn stuk voor stuk activiteiten die zéér frequent voorkomen, ook buiten targeted advertising, en waarbij de vaststelling in de praktijk is dat deze zéér zelden op basis van voorafgaande toestemming plaatsvinden.  Heel wat bedrijven begeven zich hier dus, althans naar het standpunt van de EDPB, in de illegaliteit…  

Vanzelfsprekend verwijst de EDPB ook naar de cookieregelgeving, waar sowieso altijd voorafgaande toestemming nodig is (en dat geldt natuurlijk ook voor fingerprinting, pixels, server side tracking en bijvoorbeeld het gebruik van social-plug-ins, …).

 

Transparantie is noodzaak!

De EDPB benadrukt vervolgens het belang van transparantie ten aanzien van de betrokkene en het recht op toegang en verzet van die betrokkene

Gebruikers moeten wéten dat hun persoonsgegevens worden verwerkt, hoe dat gebeurt, met welk doel en met wie hun gegevens gedeeld worden.  Dat moet kort en transparant gebeuren, in begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke taal. 

De EDPB bevestigt overigens wat Sirius legal al langer in opleidingen en webinars aanhaalt en wat we ook consequent meegeven aan onze eigen cliënten: het volstaat absoluut niet om in je privacy policy te melden dat “uw gegevens worden gebruikt voor marketingdoeleinden.  Adverteerders en social mediaplatformen hebben de gezamenlijke verantwoordelijkheid, als joint controllers om transparantie te garanderen elk aan hun kant (bij de adverteerder én op het platform) bijvoorbeeld via een link in of naast de advertentie met als titel “Waarom zie ik deze advertentie?“. 

 

Data Protection Impact Assessments (DPIA)

De EDPB wijst vervolgens, -terecht- op de noodzaak om in bepaalde gevallen een voorafgaande DPIA uit te voeren.  Zulke DPIA is verplicht in een aantal gevallen, bijvoorbeeld wanneer verschillende datasets aan elkaar gekoppeld worden, wanneer data op grote schaal verwerkt wordt, wanneer gevoelige data verwerkt wordt (dat is bijvoorbeeld het geval als in profielinfo op basis van algoritmes ingeschat wordt op welke politieke partij iemand waarschijnlijk zal stemmen of welke seksuele voorkeur iemand waarschijnlijk heeft…) of wanneer er een aanzienlijke impact is te verwachten op de privacy (“de rechten en vrijheden”) van de betrokkene.  Precies deze situatie doet zich voor bij targeted advertizing en zowel adverteerder als platform moeten, elk aan hun kant zorgen voor een voorafgaande DPIA…

Een van onze volgende webinars bij Sirius Legal gaat overigens precies over DPIA’s: op 11 december leggen we uit wanneer een DPIA nodig is, hoe je die best uitvoert en waarop je moet letten.  We geven meteen ook enkele best practices mee en zorgen voor voorbeelden van bij onszelf en van oa de Franse CNIL.  Inschrijven kan zeer binnenkort op onze webinar page.

 

Feedback kan nog tot 19 oktober

De openbare raadpleging loopt nog tot 19 oktober 2020. Alle belanghebbenden (ook individuele bedrijven) kunnen tot dan hun commentaar kenbaar maken aan de EDPB.  De finale guidelines volgen dan wellicht tegen het eind van het jaar.  

 

Ben je zelf actief in targeted advertising?  Lees dan de gehele tekst goed door en aarzel niet om ons je bedenkingen over te maken.  Wij kunnen ze eventueel verpakken in een juridisch sluitende argumentatie en nog tijdig overmaken aan de EDPB…

 

Vragen over GDPR of omgaan met data?

Contacteer ons gerust voor een vrijblijvende kennismaking. Je kan meteen een afspraak boeken in de agenda van Bart op deze link

01.07.2020 Valeska De Pauw

Een foto posten op sociale media? Niet zonder geldige rechtsgrond!

Wanneer je foto’s op sociale media post, dan moet je rekening houden met de regels van de GDPR. En dat geldt ook voor grootouders die foto’s van hun kleinkinderen delen op Facebook, zo oordeelde een Nederlandse rechter in een recente kort geding zaak

 

Wat is er precies gebeurd? 

Een trotse oma postte enkele foto’s van haar drie minderjarige kleinkinderen op haar Facebookpagina en Pinterest-profiel. De moeder wilde echter de privacy van haar kinderen beschermen en vroeg verschillende keren aan de oma om de foto’s van de sociale media platformen te halen. Omdat de oma dit bleef weigeren, stapte de moeder naar de rechtbank. 

 

GDPR is van toepassing… 

Een foto waarop een herkenbaar persoon staat, is een persoonsgegeven. Het gebruik ervan valt dan ook onder de GDPR wetgeving. Wel is er een uitzondering wanneer je de foto gebruikt voor zuiver persoonlijke of huishoudelijke doeleinden, zoals het aanleggen van een familiealbum. Valt het posten van foto’s van je kleinkinderen op sociale media dan niet onder deze uitzondering? 

De rechter beantwoordde deze vraag negatief en wel om de volgende redenen:

  • heel wat Facebook-profielen zijn ingesteld zodat ook onbekenden de foto’s kunnen zien,
  • de foto’s zijn mogelijk ook te vinden via zoekmachines als Google, en
  • het is niet uitgesloten dat de foto’s ook door anderen opgeslagen en verspreid worden.

Het komt er dus op neer dat je de foto buiten je familie- en vriendenkring verspreidt wanneer je deze op sociale media post. De rechter sluit in zijn beslissing echter niet uit dat het posten van een foto op een puur persoonlijke Facebookpagina wel onder de uitzondering kan vallen. De toepasselijkheid van de uitzondering zal altijd afhangen van de concrete omstandigheden.

… en dus heb je een geldige rechtsgrond nodig

Aangezien GDPR van toepassing is op het posten van foto’s op sociale media, heb je een geldige rechtsgrond nodig om dit te doen. Dat kan toestemming zijn, maar ook andere gronden zoals het gerechtvaardigd belang.

Wanneer toestemming de toepasselijke rechtsgrond is, dan moet je rekening houden met de leeftijd van de afgebeelde persoon. Zo heb je toestemming nodig van de wettelijke vertegenwoordiger(s) wanneer de afgebeelde persoon minderjarig is. In de Nederlandse zaak waren de kleinkinderen allen minderjarig, waardoor de oma dus eerst toestemming had moeten vragen aan de moeder. 

In haar verdediging probeerde de oma zich nog te beroepen op haar “emotionele belang” als gerechtvaardigd belang om foto’s op sociale media te mogen plaatsen, maar de rechter aanvaardde dit niet. Hiermee bevestigt de rechter onze vaststelling dat het voor individuen moeilijk is om zich te beroepen op het gerechtvaardigd belang als rechtsgrond.  

Wat echter met scholen, jeugdbewegingen, enz.? Moeten zij ook altijd toestemming vragen aan de ouders vooraleer zij foto’s posten op sociale media? Neen. In deze gevallen is het namelijk iets eenvoudiger om een gerechtvaardigd belang aan te tonen. Denk maar aan het informeren van ouders over de activiteiten (zoals schoolfeesten, kampen, …), het aantrekken van nieuwe leerlingen en leden, enz. Je zal telkens een afweging moeten maken tussen jouw belang en de belangen van de afgebeelde persoon. Daarbij geldt dat hoe jonger de persoon is, hoe zwaarder zijn of haar belang op privacy zal wegen in jouw beoordeling. Toont de foto intieme details (zoals kinderen in hun zwemkledij), dan mag je er vrij zeker van zijn dat je je niet kunt beroepen op het gerechtvaardigd belang als rechtsgrond.

Op deze vragen bestaat jammer genoeg geen eenduidig antwoord. Niettemin is het voor organisaties niet noodzakelijk gemakkelijker om een gerechtvaardigd belang aan te tonen. Alles hangt af van de reden waarom je de foto’s publiceert, de gerechtvaardigde verwachtingen van de afgebeelde personen en de transparantie die je daarover op voorhand kunt creëren. Ook de leeftijd van de afgebeelde personen speelt een belangrijke rol: hoe jonger deze personen zijn, hoe zwaarder hun belang op privacy en gerechtvaardigde verwachtingen moeten wegen in jouw beoordeling. Toont de foto intieme details (zoals kinderen in hun zwemkledij), dan mag je er zeker van zijn dat je je niet kunt beroepen op het gerechtvaardigd belang. Ook als je foto’s wilt publiceren voor de promotie van je school of jeugdbeweging, moet je je ervan bewust zijn dat dit niet binnen de gerechtvaardigde verwachtingen van de afgebeelde persoon valt en je dus voorafgaand toestemming moet vragen. Wat met andere doeleinden, zoals het informeren van ouders? Hoewel een gerechtvaardigd belang hier niet uitgesloten is, blijft het moeilijk aan te tonen en moet je goed documenteren waarin jouw gerechtvaardigd belang precies bestaat. Wij raden organisaties dan ook aan om waar mogelijk altijd toestemming te vragen voor het publiceren van foto’s, zeker wanneer op deze foto’s minderjarigen afgebeeld worden.

 

De belangrijkste take aways 

  • Zorg dat je een geldige rechtsgrond hebt vooraleer je foto’s van anderen op sociale media post
  • In de meeste gevallen zal je toestemming moeten vragen aan de afgebeelde persoon of aan de wettelijke vertegenwoordiger als het gaat om minderjarigen
  • Organisaties zoals scholen en jeugdbewegingen hoeven niet altijd toestemming te vragen, maar moeten wél altijd hun belangen afwegen tegen de belangen van de afgebeelde personen.

 

Wil je er zeker van zijn dat je de GDPR regels naleeft en over een geldige rechtsgrond beschikt?

Contacteer ons vrijblijvend via bart@siriuslegal.be of valeska@siriuslegal.be.

22.06.2020 Bart Van den Brande

Cookie update: Duitse Bundesgericht neemt eindbeslissing in Planet49 zaak

Het Duitse Bundesgerichtshof bevestigde op 28 mei dat de regels uiteengezet in het Planet49 arrest van het Europees Hof van Justitie ook op Duitse websites van toepassing zijn.  Voorafgaande vrije toestemming voor het plaatsen van cookies en een verbod op vooraf aangevinkte keuzevakjes zijn vanaf nu ook in Duitsland noodzakelijk.

 

Het Planet49 arrest even samengevat

Op 1 oktober 2019 heeft het Hof van Justitie van de Europese Unie in de Planet49-zaak een belangrijk arrest geveld met betrekking tot cookies en toestemming krachtens de AVG. 

Het Duitse bedrijf Planet49 GmbH had een online reclameloterij georganiseerd. Internetgebruikers die aan dit spel wilden deelnemen, moesten hun postcode invoeren, waarna zij op een website terechtkwamen waar zij hun naam en adres moesten opgeven. 

Onder de invoervelden voor het adres stonden twee mededelingen met daarbij aanvinkvakjes. Het eerste aanvinkvakje, waarmee de bezoeker toestemming gaf voor het ontvangen van commerciële communicatie, was niet standaard aangevinkt. Het tweede aanvinkvakje was echter wél vooraf aangevinkt. Het ging om de toestemming voor het plaatsen van cookies.

Dit had tot gevolg dat deelnemen aan de wedstrijd enkel mogelijk was als de deelnemer zijn of haar toestemming verleende om zijn of haar persoonsgegevens te delen met “sponsors en partners”.

Volgens een Duitse consumentenbeschermingsorganisatie voldeden deze toestemmingsverklaringen van Planet49 niet aan de minimale vereisten van het Duitse recht.

De zaak kwam uiteindelijk terecht bij het Bundesgerichtshof, die de zaak doorverwees naar het Hof van Justitie met een prejudiciële vraag over de correcte interpretatie van de ePrivacyrichtlijn, de oude Gegevensbeschermingsrichtlijn en de AVG. 

Het Hof oordeelde dat vooraf aangevinkte keuzevakjes en impliciete toestemmingen met zekerheid geen geldige toestemming vormen onder artikel 5 van de ePrivacyrichtlijn. Een toestemming moet ook “geïnformeerd” zijn en moet “specifiek” zijn in die zin dat toestemming voor één type cookies (bijvoorbeeld analytische cookies die het bezoekersgedrag op een website meten) niet automatisch kan worden beschouwd als toestemming voor andere types van cookies (zoals tracking cookies die informatie delen met derde partijen). Dezelfde regels gelden bovendien ongeacht de vraag of met bepaalde cookies al dan niet persoonsgegevens verzameld worden of kunnen worden.

Op basis van deze beslissing, gecombineerd met een reeks recente recente aanbevelingen van diverse Europese gegevensbeschermingsautoriteiten en opgelegde boetes in onder meer Spanje en België, moeten bedrijven zich ervan bewust zijn dat de vereisten voor cookietoestemming de afgelopen maanden aanzienlijk zijn geëvolueerd of althans veel strikter gelezen worden.

 

Beslissing van het Bundesgerichtsof

Het Duitse Bundesgerichtshof, dat de initiële prejudiciële vraag had gesteld aan het Europees Hof,  heeft nu in een arrest van 28 mei 2020 Cookie Consent II, I ZR 7/16 (persbericht) op basis van het Europese arrest beslist dat websites ook in Duitsland de Europese cookieregels moeten volgen en voorafgaande toestemming moeten bekomen voor het plaatsen van cookies.

Hierover was verwarring ontstaan omdat Duitsland destijds de ePrivacy richtlijn, waarin de cookieregels zijn opgenomen, niet correct had omgezet in Duits recht. Artikel 15 van de Duitse telemediawet (Telemediengesetz; TMG) staat toe dat websitebeheerders pseudonieme gebruikersprofielen maken voor reclame, marktonderzoek en gebruiksdoeleinden, terwijl dat volgens de ePrivacy richtlijn enkel kan mits voorafgaande toestemming. De TMG vereist echter geen opt-in, maar alleen dat de gebruiker wordt geïnformeerd en toestemming krijgt om bezwaar te maken (“opt-out”).

Het Bundesgerichtshof legt de Duitse wet nu naast de ePrivacy richtlijn en besluit, op basis van het Planet 49 arrest van het Europees Hof, dat de Duitse wet aan het Europees recht moet voldoen en dus dat ook in Duitsland websites geen vooraf aangevinkte selectievakjes mogen gebruiken om toestemming te verkrijgen. Bovendien zijn de vereisten van toepassing ongeacht of de informatie in de cookie persoonlijke gegevens zijn die onder de AVG vallen (Verordening (EU) 2016/679).

Websites in Duitsland zijn met andere woorden onderworpen aan dezelfde cookieregels als hun collega’s in andere lidstaten van de Europese Unie en zullen vanaf nu ook expliciet toestemming moeten vragen voor het gebruik van alle niet-noodzakelijke cookies.

 

Strenge controles in Duitsland

Wie een website in Duitsland uitbaat of zelfs vanuit een derde land een website specifiek gericht op Duitsland uitbaat, moet overigens zéér voorzichtig zijn.  De controles op het naleven van de cookieregels, maar ook de consumentenwetgeving en GDPR, zijn er duidelijk anders opgezet dan bij ons.  Het systeem is zo dat élke concurrent die meent een inbreuk vast te stellen bij een concurrent, een ingebrekestelling kan verzenden rechtstreeks aan die concurrent en daarin een schadevergoeding/boete kan opeisen, inclusief vergoeding van advocatenkosten!  De tussenkomst van de overheid is daarin helemaal niet nodig en concurrenten houden elkaar zéér scherp in de gaten.  Wie de regels niet volgt, riskeert elke dag tegen een (opportunistische) claim van een concurrent aan te lopen.  

 

Vragen over GDPR, cookies of e-commerce in de EU?

Neem gerust vrijblijvend contact op met Bart Van den Brande op bart@siriuslegal.be of op +32 486 901 931

23.04.2020 Bart Van den Brande

Geen e-commerce zonder analytics data

Zonder analytics geen e-commerce.  Wie zijn klant niet kent en begrijpt kan onmogelijk zijn producten zo optimaal mogelijk aan de man brengen.  Waar je in een klassieke brick and mortar omgeving nog heel wat inzichten over je klanten kan verzamelen door winkelgedrag te observeren, klantenkaarten op te volgen en voorraden te monitoren, kan datzelfde online enkel met een goede analytics account.

Dat lijkt een evidentie, maar jammer genoeg ziet de overheid dat zo niet.  Analytics accounts werken op basis van cookies en het standpunt van de Belgische Gegevensbeschermingsauthoriteit inzake het gebruik van cookies -en met name analytics cookies- is de voorbije maanden duidelijk bijgesteld.  Daar waar vroeger oogluikend aanvaard werd dat websites analytics cookies plaatsten zonder expliciete toestemming, wordt nu al enkele maanden lang via verschillende communicatiekanalen duidelijk gemaakt dat het plaatsen van analytics cookies altijd de voorafgaande opt-in vereist van websitebezoekers.     

 

Zonder analytics data vaar je een blinde e-commerce koers

Heel wat ondernemers vonden de voorbije weken met vertraging de weg naar e-commerce.  De Covid-19 crisis deed onder meer restauranthouders overschakelen naar take-away of delivery, heel wat kleine zelfstandigen starten alsnog met een eigen webshop of starten met verkopen via één van de vele nieuwe online platformen die lokale ondernemers en lokale producten willen ondersteunen in deze moeilijke tijden.  

Eén ding leren deze nieuwe digitale handelaars al snel: zonder bezoekers op je webshop, verkoop je niets.  Je moet dus vindbaar zijn voor je klant én je moet ervoor zorgen dat je webshop zo is opgezet dat hij optimaal converteert.   Het is daarom cruciaal om de traffic naar je webshop en het gedrag van bezoekers op je pagina’s zo precies mogelijk te kunnen meten.  

Met Analytics kan je precies zien hoe bezoekers op je website terechtkomen: via een Google search, één van je Adwords campagnes, via links op andere sites of via je nieuwsbrief. Bovendien laat je analytics account toe om de reacties en het gedrag van bezoekers op je website zelf te monitoren en om op basis daarvan te gaan bijsturen: zit je SEO goed, geef je niet te veel uit aan die SEA campagne die toch niet converteert, heeft die prijsaanpassing van vorige week het verhoopte succes, werkt die nieuwe lay-out van een bepaalde pagina, …?

Zonder een goed opgezette analytics account vaar je blind.  Je weet niet waar bezoekers vandaan komen, welke pagina’s en producten ze bezoeken, hoe lang ze op je website blijven rondhangen, je weet niet welke advertenties werken en welke het slecht doen, je weet niet welke producten goed of slecht voorgesteld worden of geprijsd staan, …  Met andere woorden, zonder goede analytics is e-commerce puur giswerk.

 

Maar analytics vereist cookies

Die analytics account – ongeacht of het om Google Analytics of een andere tool gaat – werkt op basis van cookies, kleine tekstbestanden die bij een eerste bezoek aan een website op je device geplaatst worden en die vanaf dan je surfgedrag in kaart brengen.  

Daar precies begint het probleem.  Om zo’n analytics cookies te mogen plaatsen, heb je immers de voorafgaande toestemming van de bezoeker aan je website nodig.  Bij een eerste bezoek aan je website moet je een pop-up of overlay tonen waarin je expliciet meldt aan de bezoeker dat je cookies wil plaatsen en waarvoor die dienen en waarin je toestemming vraagt om dit te doen.  

Geen aangevinkte toestemming betekent geen cookies en dat is een groot probleem in een e-commerce context.  Geen analytics cookies betekent immers ook geen data op basis waarvan je je sales en marketing kan organiseren, geen inzicht in de herkomst van je bezoekers, geen inzicht in het succes van je SEO, je pagina lay-out of je pricing strategie, …

Als webshop dreig je bovendien achter te blijven met stuurloze advertising campagnes: geen cookies betekent ook een drastische verkleining van de audiences voor retargeting campagnes, voor verhoogde biedingen in Google Search, voor cross device campagnes e.d. Performance campagnes worden dus ook voor 30 tot 60% “stuurloos”, en kunnen dus ook niet meer geoptimaliseerd worden. Dat is niet alleen een ramp voor de e-commerce sector, maar voor elke adverteerder en diens media of marketing agency. De echte ROI van online investeringen is niet meer meetbaar en extrapolaties dreigen volledig fout te zijn omdat de overblijvende data niet meer representatief genoeg is. 

 

Dan vragen we toch gewoon toestemming?

Geen probleem, hoor ik je denken.  Dan vragen we toch gewoon een opt-in bij het eerste bezoek aan onze website?  Dat kan natuurlijk.  Alleen wijzen diverse onderzoeken én eigen a/b testen bij enkele van onze cliënten uit dat, afhankelijk van de precieze omstandigheden tussen 30% en 60% van je websitebezoekers geen actieve opt-in geeft als je daarom vraagt.  Dat betekent dat je als webshop tussen 30% en 60% van je data verliest door plichtsgetrouw de wet na te leven…

 

Dura lex, sed lex…?

Bovenstaande is een ramp voor webshops natuurlijk, maar de regels zijn duidelijk.  De Gegevensbeschermingsautoriteit heeft die regels de voorbije maanden herhaaldelijk onder de aandacht gebracht.  Recent pas publiceerde zij een cookie informatiepagina op haar website waarin nogmaals expliciet herhaald werd dat voor analytics cookies altijd een voorafgaande opt-in nodig is.  Enkel voor strikt noodzakelijke cookies heb je niet zo’n opt-in nodig.  Strikt noodzakelijk betekent hier dat je website niet werkt (vanuit het oogpunt van bezoekers) zonder die betreffende cookie. 

Hetzelfde standpunt nam de GBA overigens ook al in in de veelbesproken Jubel-zaak, waarin een boete van 15.000 euro werd opgelegd omdat -naast enkele andere inbreuken- analytics cookies geplaatst werden zonder opt-in.  Een en ander werd bevestigd in diverse publieke optredens van leden van de GBA de voorbije maanden, bijvoorbeeld op een LaFeweb event in Gembloux eerder dit jaar.

Het standpunt van de GBA inzake analytics cookies is moeilijk te begrijpen.  Wij zijn altijd de eerste om de bescherming van de privacy toe te juichen, maar in dit geval dreigt een correcte toepassing van de wet zeer grote financiële schade toe te brengen aan een ganse sector en dat kan vanzelfsprekend niet de bedoeling zijn.  Bovendien blijken de overheden in onze buurlanden aanzienlijk meer genuanceerd om te gaan met dit probleem en kan in Frankrijk, Nederland of Duitsland een en ander wél zonder opt-in onder een aantal voorwaarden.  Daarmee wordt dubbel schade toegebracht aan de Belgische e-commerce.  Belgische websites lijden zo immers een aanzienlijk concurrentienadeel ten aanzien van webshops uit onze buurlanden, die wél over gedetailleerde bezoekersdata kunnen beschikken zonder daarvoor de wet te moeten overtreden.

Hoog tijd dus dat de sector van zich laat horen in dit verband en gelukkig zijn enkele sectorfederaties in de e-commerce en online marketingsector inmiddels wakker geschoten om het probleem samen aan te kaarten bij de Belgische overheid en te lobbyen voor een meer soepele interpretatie zoals die ook in onze buurlanden bestaat, mét respect voor de privacy van de consument, maar evenzeer mét oog voor de commerciële belangen van de e-commerce sector.

 

En intussen?

In afwachting kan je maar beter voorzichtig zijn.  Zorg voor een correcte cookie opt-in, niet enkel voor analytics, maar voor alle cookies op je website.  Wie daarover meer info wil, kan een kijkje nemen op www.cookie-scan.be of mag natuurlijk ook gewoon contact opnemen met Sirius Legal op info@siriuslegal.be 

26.11.2019 Bart Van den Brande

Webshops hebben geen toestemming nodig om contact- en verzendgegevens te verwerken onder GDPR

Als webshop heb je persoonsgegevens van je klanten nodig.  Wie schoenen online verkoopt heeft een verzendadres nodig. Schoenen wandelen immers, ondanks alle dure technologie, nog steeds niet op eigen houtje tot bij de klant. 

Een hardnekkig misverstand sinds de intrede van GDPR nu anderhalf jaar geleden is dat je aan je klant altijd toestemming zou moeten vragen om zijn contactgegevens en bijvoorbeeld ook het verzendadres te verzamelen en bij te houden.  Niets is minder waar en je kan omgekeerd zelfs in de problemen komen precies omdat je om toestemming gevraagd hebt om gegevens te verwerken terwijl je dat niet had moeten doen. Lees daarover meer in één van onze vorige artikels op de Sirius Legal blog.  Het is allemaal wat verwarrend voor heel wat online handelaars, dus we proberen een en ander nog eens op een rijtje te zetten naar aanleiding van een recent advies van de European Data Protection Board van afgelopen 8 oktober 2019.

Contact_verzendgegevens_GDPR

Toestemming is niet de enige grondslag om gegevens te verwerken onder GDPR

Verwerken van persoonsgegevens mag alleen als je daar een gegronde reden of “rechtsgrond” voor hebt.  Over één van die grondslagen, met name toestemming of opt-in, is al veel gezegd en geschreven. Wat echter vaak uit het oog verloren wordt, is dat GDPR nog 5 andere grondslagen voorziet die toelaten om gegevens te verwerken.  Drie daarvan zijn relevant voor webshops: 

  • Soms moet je gegevens verwerken omdat de wet je daartoe verplicht.  Boekhoudwetgeving verplicht je immers om facturen gedurende tien jaar te bewaren.
  • Soms heb je ook een “gerechtvaardigd belang” om gegevens te verwerken zonder toestemming.  Dat kan bijvoorbeeld het geval zijn bij prospectie van nieuwe klanten. We komen binnenkort in een volgende bijdrage terug op het gerechtvaardigd belang, overigens.
  • Ofwel, en daarover willen we het vandaag even hebben, verzamel je data zonder daarvoor toestemming te vragen omdat die data nu eenmaal noodzakelijk zijn om een overeenkomst uit te voeren.

Zorgvuldig kiezen welke grondslag je nu eigenlijk nodig hebt is dus belangrijk. De keuze voor de juiste grondslag onder GDPR is echter niet eenvoudig.  Elke keuze heeft immers implicaties en je kan in principe ook niet zomaar vrij kiezen. We verwezen in de inleiding al naar één van onze vorige bijdragen waarin beschreven wordt hoe enkele organisaties boetes opgelopen hebben omdat ze op het verkeerde moment of op de verkeerde manier om toestemming gevraagd hebben.  Bovendien kan je niet zomaar springen van de ene rechtsgrond naar de andere: als je om toestemming vraagt en je krijgt ze niet, kan je niet zomaar beslissen om toch maar de betreffende gegevens te verwerken op grond van een gerechtvaardigd belang, bijvoorbeeld.  Reden dus om voorzichtig te zijn en weloverwogen keuzes te maken

 

Specifiek voor webshops

Specifiek voor webshops is het nuttig om even stil te staan bij een rechtsgrond die al te weinig gekend is en gebruikt wordt, namelijk de verwerking van persoonsgegevens zonder toestemming omdat die gegevens “noodzakelijk zijn voor de uitvoering van een overeenkomst”.

Gegevens die je echt nodig hebt om een contract te kunnen uitvoeren, mag je immers sowieso verzamelen en verwerken, ook zonder expliciete opt-in op je website.  Het volstaat bijvoorbeeld dat klanten hun verzendadres invullen op je website om die gegevens te mogen bewaren en gebruiken, ook zonder opt-in vakje dat moet aangekruist worden.  Opt-in vakjes en toestemmingen vertragen en bemoeilijken immers het bestelproces en verminderen bijgevolg de conversie op je webshop en dat vermijd je natuurlijk graag als het even kan.

 

Niet altijd inzetbaar

Je kan echter niet zomaar alle data die je over je klanten wil verzamelen via je website en alle gebruik dat je van die data wil maken onder “uitvoering van een overeenkomst” stoppen.

De verwerking moet immer absoluut noodzakelijk te zijn voor de uitvoering van een overeenkomst tussen jouw webshop en je klant.  Absoluut noodzakelijk zijn bijvoorbeeld facturatiegegevens en verzendadressen. Zonder die gegevens kan je immers geen bestelling afronden.

Je mag die gegevens vervolgens enkel gebruiken voor het uitvoeren van de overeenkomst.  Als een klant je zijn verzendadres meegeeft, mag je dat adres bijvoorbeeld uitsluitend gebruiken voor de levering en niet om nadien reclame naar dat adres te sturen.  Reclame verzenden is immers niet “noodzakelijk” voor de uitvoering van de bestelling en daarvoor heb je wél een bijkomende toestemming nodig.    

Soms worden gegevens in een aankoopproces ook verwerkt omdat ze eenvoudigweg ‘handig’ zijn om weten. Handig is echter vanzelfsprekend niet hetzelfde als noodzakelijk. Als een webshop bijvoorbeeld ook analytische data of heatmapping data wil verwerken om beter in te schatten hoe een klant surft op de website, is daarvoor wel degelijk toestemming nodig. Zonder die analytische of heatmapping data, kan de bestelling immers ook worden afgehandeld en die data zijn dus niet “noodzakelijk”. 

 

Europese richtlijnen

De Europese privacytoezichthouders hebben vorige maand uitgebreide richtlijnen gepubliceerd die bovenstaande expliciet bevestigen. Alleen absoluut noodzakelijke gegevens kunnen onder uitvoering van de overeenkomst vallen en dan mogen ze enkel gebruikt worden voor het uitvoeren van de overeenkomst. Wie meer gegevens wil of wie ze wil gebruiken voor andere doeleinden, heeft alsnog toestemming nodig.

 

Let op met verplichte accounts

Let overigens op met het verplicht aanmaken van accounts op je website alvorens klanten een bestelling kunnen plaatsen.  Het aanmaken van zo’n account vereist immers een toestemming of opt-in en onder GDPR moet toestemming “vrij” gegeven zijn, wat betekent dat klanten ook moeten kunnen bestellen als ze géén toestemming geven om een account aan te maken.  In dat laatste geval is je rechtsgrond om hun gegevens te verwerken de “uitvoering van de overeenkomst” zoals hierboven beschreven, met alle daaraan verbonden consequenties: Je kan de gegevens enkel gebruiken voor het afhandelen van de bestelling en in se moeten ze daarna gewist worden.  Je kan gegevens van dat soort klanten dus moeilijk recupereren voor latere marketingdoeleinden. 

 

Vragen over e-commerce, online marketing of GDPR?

Neem zeker even vrijblijvend contact op met Bart Van den Brande op bart@siriuslegal.be of op 0486 901 931  

06.10.2019 Bart Van den Brande

“Geen cookies zonder toestemming”, zegt het Europees Hof voor Justitie

Het Europees Hof voor Justitie bevestigde in een arrest van 1 oktober 2019 dat voor het plaatsen van cookies in beginsel altijd de voorafgaande vrije en geïnformeerde toestemming van de betrokkene vereist is en dat die toestemming niet kan blijken uit een vooraf aangevinkte checkbox.

 

Toestemming vragen voor het plaatsen van cookies of niet?

De “cookiewet” is inmiddels 7 jaar oud en sinds haar ontstaan heeft ze weinig meer dan frustratie en verwarring gezaaid.  

De basisregel is nochtans niet moeilijk: voorafgaand aan het plaatsen van een cookie op iemands device heb je toestemming nodig van de betrokkene.  Volgens de Europese Richtlijn die aan de basis ligt van de cookiewet (Richtlijn 2002/58) moet die toestemming “vrij, specifiek en geïnformeerd” zijn.  Het enige geval waarin je geen voorafgaande toestemming nodig hebt, is als je cookies gebruikt die strikt noodzakelijk zijn om je website behoorlijk te laten functioneren.  Dat geldt overigens niet enkel voor cookies, maar dezelfde regels gelden voor alle vergelijkbare technieken zoals bijvoorbeeld fingerprinting.

Een pop-up banner bij het eerste bezoek aan een website waarin de toestemming wordt gevraagd om cookies te mogen plaatsen is met andere woorden echt wel noodzakelijk.  Dat betekent meteen ook dat de bezoeker vrij moet zijn om die toestemming niet te te geven en tóch je website te bezoeken. 

Nochtans zien we de voorbije jaren alle mogelijke creatieve oplossingen om toch maar geen expliciete toestemming te moeten vragen, gaande van eenvoudigweg geen toestemming vragen, over vooraf aangevinkte opt-ins tot een systeem van opt-outs.  In het licht van bovenstaande mag het duidelijk zijn dat een en ander meestal erg problematisch is.

 

Cookiewetgeving en GDPR

Om het nog ingewikkelder te maken, staat de cookiewetgeving niet op een eiland.  

Wie door middel van cookies persoonsgegevens wil verwerken, moet gelijktijdig en naast de cookiewet ook rekening houden met GDPR en moet in de meeste gevallen, afzonderlijk en naast de cookie opt-in nog een tweede opt-in bekomen voor het effectief gebruik van de betrokken persoonsgegevens.  

Dit subtiele onderscheid wordt duidelijk niet altijd door iedereen in de online marketing en e-commerce wereld goed begrepen. Zeer weinig bedrijven lijken volledig te begrijpen hoe GDPR en cookiewetgeving elkaar moeten aanvullen en hoe en wanneer persoonlijke gegevens kunnen worden verzameld door het gebruik van cookies en vergelijkbare technologie.

 

Wat heeft het Europees Hof hier nu precies mee te maken?

Wel, het Europees Hof moest recent enkele zeer pertinente vragen beantwoorden:

  • Mag een cookie opt-in vooraf aangevinkt zijn?
  • Is het daarbij relevant of er al dan niet persoonsgegevens onder GDPR verwerkt worden via de betreffende cookie?

 

Waarom moet het Europees Hof zich hierover buigen?

Het Duitse bedrijf Planet49 organiseert online promotionele wedstrijden en trekkingen. Wie wil deelnemen hieraan moet op een actiesite van Planet49 zijn of haar naam en adres invullen. Het invulformulier dat hiervoor gebruikt wordt, bevat twee checkboxen en een knop “Ik doe mee”.

Door het aanvinken van de eerste checkbox geeft de deelnemer toestemming om zijn of haar gegevens door te geven aan commerciële partners van Planet49.  Uit een linkje bij de checkbox blijkt dat het om maar liefst 57 bedrijven gaat, die je als deelnemer één per één kan uitvinken als je dat wil. Deelname aan de loterij is alleen mogelijk als de deelnemer deze eerste checkbox effectief aanvinkt.  

De tweede checkbox dient voor het bekomen van toestemming voor het plaatsen van cookies bij het eerste bezoek aan de website van Planet49. Die cookies hebben als doel het surfgedrag van de deelnemers te monitoren en op basis daarvan geïndividualiseerde reclame te sturen van de 57 partners.  Deze checkbox is vooraf aangevinkt.

 

En wat is het verdict?

Wel, het Hof van Justitie oordeelde in zaak C‑673/17 dat een vooraf aangevinkt selectievakje -voor zover daarover twijfel zou kunnen bestaan- géén geldige toestemming vormt onder de cookiewetgeving.

Wat interessant is, is dat het Hof uitgebreid de vergelijking maakt tussen GDPR enerzijds en cookieregels anderzijds.  Op basis van die vergelijking besluit het Hof dat toestemming of consent eigenlijk precies hetzelfde betekent onder beide regelgevingen: de bezoeker aan een website moet vrij zijn om ja of neen te zeggen, moet daarvoor zelf een actieve daad stellen (vakje aankruisen), moet voldoende geïnformeerd zijn over wat er met zijn gegevens gaat gebeuren (en welke cookies daarvoor gebruikt worden en hoe lang die bewaard worden) én hij of zij mag niet benadeeld worden voor het feit dat hij of zij geen opt-in geeft.

Bovendien bevestigt het Hof dat voor de verwerking van data door middel van cookies altijd de actieve toestemming van de betrokkene nodig is, ongeacht of er al dan niet persoonsgegevens bij betrokken zijn.

 

Wat betekent dit concreet?

De gevolgen zijn duidelijk: het plaatsen van cookies vereist altijd een actieve voorafgaande toestemming, tenzij het om noodzakelijke technische cookies gaat.

Dat betekent meteen ook dat iedereen die tot op heden impliciet uitging van het akkoord van de bezoeker “door het verdere bezoek aan onze website” niet in regel is, dat alle op opt-out gebaseerde cookiebanners niet in regel zijn, dat alle cookiebanners die één algemene opt-in voorzien zonder onderscheid per verwerking ook niet in regel zijn, … 

Tot nu toe was de Belgische Gegevensbeschermingsautoriteit niet erg actief in het opleggen van boetes, noch onder GDPR, noch voor het gebruik van cookies.  Op het vlak van GDPR zien we daar de voorbije weken en maanden alvast verandering in komen en met dit arrest in het achterhoofd, zal dat naar alle waarschijnlijkheid ook op het vlak van de cookieregels het geval zijn in de nabije toekomst…

De realiteit vandaag is overigens dat het cookiemodel onder grote druk staat. Consumenten zijn niet langer bereid om onbeperkte monitoring van hun online gedrag te accepteren en het wordt steeds moeilijker om opt-ins te verkrijgen.  In de tussentijd werkt de EU aan een volledige herziening van cookieregelgeving in de vorm van de toekomstige “ePrivacy-verordening”.  

Wat de impact van die ePrivacy verordening én van bijvoorbeeld Apple’s recente ITP 2.1 is op retargeting en affiliate marketing of op de huidige praktijken bij nieuwe versus terugkerende bezoekers, tijd om te converteren, marketing automatisering, op levenscyclus gebaseerde prospect of leadgeneratie, gepersonaliseerde inhoud, attributiemodellen, … leest u overigens in onze bijdrage in het eerstdaags te verschijnen boek “Obsessed” van Marc Bresseel en Renout Van Hove van Duval Union en Growth Agent.

 

Herbekijk je cookiebeleid

Wat bedrijven in afwachting eigenlijk moeten doen is hun cookiebeleid grondig herbekijken.  Onze vaststelling in de praktijk is dat heel wat bedrijven zelfs geen zicht hebben op welke cookies ze precies gebruiken, welke data daarmee verzameld worden en met wie die gedeeld worden.

Nochtans is dat een noodzaak, zowel onder GDPR als onder de cookiewet.  Het antwoord op de volgende vragen is essentieel voor elk bedrijf én moet gecommuniceerd worden aan de bezoekers van je website:

  • Welke cookies gebruiken we?
  • Wie is de uitgever daarvan? 
  • Hoe lang worden die cookies bewaard?
  • Met wie wordt de verzamelde data gedeeld?
  • Gaat het om persoonsgegevens?
  • Is de verwerking in het geval van persoonsgegevens “GDPR compliant”?
  • Hoe en wanneer vragen we om consent?
  • Is die consent vrij en geïnformeerd?

Precies om deze oefening te doorlopen, samen met een volledige technische audit van de gebruikte cookies op uw huidige website heeft Sirius Legal, samen met digital performance marketing agency Grava een gezamenlijke cookie audit uitgewerkt, waarbij we je website zowel technisch als juridisch doorlichten én optimaliseren.

 

Vragen over cookies of over onze cookie audit?  

Contacteer gerust vrijblijvend Bart Van den Brande op bart@siriuslegal.be of op 0486 901 931

1 2 3