10 januari 2017 publiceerde de Europese Commissie het voorstel voor een herziening van de bestaande e-Privacyrichtlijn (Richtlijn 2002/58/EG). Met de invoering van de Algemene Verordening Persoonsgegevens (Verordening (EU) 2016/679), die 25 mei 2018 in werking treedt, wordt hiermee een belangrijke stap gezet voor de hervorming en uniformiteit van de regelgeving voor gegevensbescherming. Het streven van de Europese Commissie was om de e-Privacy Verordening in werking te laten treden gelijktijdig met de AVG op 25 mei 2018, de verwachting is nu pas eind mei 2019.

De huidige e-Privacyrichtlijn regelt op het gebied van elektronische communicatie onder andere de bescherming van persoonsgegevens en persoonlijke levenssfeer (privacy) en de vertrouwelijkheid van de communicatie, terwijl het gelijktijdig het vrije verkeer van elektronische communicatiegegevens garandeert. Deze richtlijn is echter al geruime tijd aan vernieuwing toe. Sinds de laatste herziening van de richtlijn in 2009 hebben zich belangrijke technologische ontwikkelingen, zoals de Internet of Things (IOT), voorgedaan en is het aantal diensten, zoals Snapchat en Netflix, aanzienlijk toegenomen. Doordat er in de huidige richtlijn niet/beperkt was voorzien in dit soort nieuwe technologie (ook wel Over-The-Topcommunicatiediensten (OTT’s) genoemd), was er een leemte ontstaan in de regelgeving met betrekking tot bescherming van communicatie tussen gebruikers.

Het voorstel voor de e-Privacy Verordening is een lex specialis bij de AVG. In het geval er een onderwerp niet uitdrukkelijk is geregeld in dit voorstel, val je terug op de AVG. Het doel van de nieuwe Verordening is betere bescherming van privacy bij elektronische communicatie bewerkstelligen en tevens nieuwe kansen aan bedrijven bieden.

Uitbreiding toepassingsgebied

Het toepassingsgebied wordt uitgebreid zodat OTT’s, zoals Facebook Messenger, WhatsApp en Gmail, onder de Verordening vallen en moeten voldoen aan de vertrouwelijkheid van communicatie. Tot op heden hoeven de aanbieders van OTT’s niet aan dezelfde eisen te voldoen als de traditionele aanbieders van elektronische communicatie, zoals telecomproviders. Dit heeft geleid tot het ontstaan van een ongelijk speelveld tussen marktpartijen en een gebrek aan bescherming van privacy. Een deel van de OTT’s voldoet reeds geheel of gedeeltelijk aan de regels, maar men vindt het onverstandig gezien de snelheid waarmee technologische ontwikkelingen zich voordoen en de stijging in het aanbod van internetdiensten de bescherming van grondrechten aan zelfregulering over te laten.

Daarnaast valt (IOT) eindapparatuur nu onder het toepassingsgebied. Hiermee zullen de regels met betrekking tot bescherming van de privacy eveneens gelden voor de communicatie tussen apparatuur en de opslag van gevoelige gegevens door apparatuur.

Van richtlijn naar verordening

De regels worden vastgelegd in een verordening. Dit betekent dat de regels direct toepasselijk zijn in de lidstaten en er geen implementatie nodig is. Het voordeel hiervan is dat er overal dezelfde regels gelden, zodat consumenten dezelfde bescherming genieten en bedrijven gemakkelijker kunnen deelnemen aan het vrije verkeer dat de Verordening garandeert. De huidige richtlijn is in Nederland geïmplementeerd in de Telecommunicatiewet. Hoewel de nationale regels in lidstaten op hoofdlijnen overeenkomen, bestaan er verschillen. Hier brengt de Verordening straks hopelijk verandering in.

Metadata

Naast de inhoud van elektronische berichten, valt ook metadata onder de bescherming van de vertrouwelijkheid van gegevens. ‘Metadata’ is eigenlijk data over data, oftewel gegevens over de elektronische berichten. De IOT brengt met zich mee dat elektronische apparaten steeds vaker onderling gegevens uitwisselen. Ook metadata kan gevoelige informatie bevatten over personen van wie gegevens worden bewaard, zoals gegevens over de locatie of identiteit van de afzender. Vandaar dat onder de Verordening voor de verwerking van zowel inhoudelijke data als metadata toestemming moet worden gevraagd aan de persoon van wie gegevens worden verwerkt. In het geval toestemming ontbreekt, dienen de gegevens te worden verwijderd of geanonimiseerd. Twee uitzonderingen hierop zijn de gevallen dat de gegevens nodig zijn voor facturatie en als e-mails worden gecontroleerd op malware.
Doordat metadata onder de Verordening valt, biedt dit tevens nieuwe mogelijkheden voor bedrijven. Indien de persoon van wie gegevens worden verwerkt toestemming heeft gegeven, geeft dit de mogelijkheid aan bedrijven om metadata te gebruiken voor productie-/marketingdoeleinden. Zo kunnen bedrijven de locaties van consumenten in kaart brengen en op basis daarvan hun distributiegebied bepalen.

Aanpassing cookieregels

De bestaande cookieregels worden vergemakkelijkt. Tot op heden is voor het plaatsen of uitlezen van cookies geïnformeerde toestemming van de internetgebruiker nodig. Echter, wanneer de cookies worden gebruikt om persoonsgegevens over de gebruiker te verzamelen, is uitdrukkelijke toestemming vereist. Deze dient onder de AVG granulair te zijn gegeven (dubbele opt-in/-out). Een gebruiker dient specifiek toestemming te geven voor afzonderlijke cookies en de mogelijkheid te hebben die weer in te trekken. Onder de AVG kan dus niet meer worden volstaan met toestemming voor alle cookies. Daarnaast dient de toestemming voor cookies ook aangetoond te kunnen worden door de plaatzer.
De e-Privacy Verordening gaat dit wel op een praktische manier regelen met een systeem van werken waarbij granulair toestemming kan worden gegeven via browserinstellingen of andere middelen. De consument kan in dit geval zelf kiezen in welke mate hij/zij zijn/haar privacy waarborgt. Deze keuzes zijn tevens bindend voor derde partijen. Daarnaast is het niet meer nodig om toestemming te vragen voor functionele cookies die noodzakelijk zijn om een website of applicatie goed te laten functioneren. Analytische cookies die bijvoorbeeld nodig zijn voor het gebruik van Google Analytics en/of het testen van websites worden onder voorwaarden toegestaan zonder uitdrukkelijk toestemming. Voor tracking cookies is nog wel toestemming vereist.

Software

Bij installatie van software dienen aanbieders van elektronische communicatiediensten de gebruiker te informeren over de opties ten aanzien van privacy instellingen. Op deze manier wordt de gebruiker de mogelijkheid geboden al tijdens het installatieproces een keuze te maken in de privacy instellingen. Deze regel geldt eveneens voor software die op het moment van inwerkingtreding al is geïnstalleerd. Ook hier geldt dat voor het plaatsen of uitlezen van cookies toestemming via privacy instellingen dient te worden gevraagd. De keuze die door de gebruiker wordt gemaakt, bindt tevens derde partijen.

Bescherming tegen spam

De bescherming tegen spam wordt uitgebreid. De Verordening bevat een verbod op alle elektronische commerciële communicatie, zoals advertenties en nieuwsbrieven, waarvoor voorafgaand geen toestemming is gegeven (opt-in). Hierbij maakt het niet uit welke technologie wordt gebruikt. Er geldt een uitzondering in het geval het gaat om een bestaande klantrelatie. Dan hoeft er dus niet telkens opnieuw toestemming te worden gevraagd, mits de mogelijkheid om uit te schrijven aanwezig blijft. Deze regel geldt ook voor telefonische reclame, ook al geldt hier niet automatisch een verbod voor. Elke lidstaat kan namelijk beslissen deze keuze ofwel bij de consument te leggen, bijvoorbeeld door middel van een bel-me-niet register zoals in Nederland, ofwel middels een verbod. In beginsel mag in Nederland iemand dus wel ongevraagd worden gebeld maar niet gemaild, tenzij diegene is opgenomen in het bel-me-niet register. Je kan dus wel iemand ongevraagd bellen en toestemming vragen of je hem mag mailen.

Hoe nu verder?

Dit waren de vijf belangrijkste wijzigingen die de Verordening meebrengt ten opzichte van de Richtlijn.
Ten aanzien van de procedurele aspecten geldt dat de regels in de Verordening worden gehandhaafd door de nationale instanties voor gegevensbescherming. In Nederland zijn dit de Autoriteit Consument & Markt en de Autoriteit Persoonsgegevens. Net zoals onder de AVG zijn de toezichthouders bevoegd hoge boetes op te leggen bij schending. Zoals gezegd verwacht men dat de Verordening pas in 2019 wordt ingevoerd. De Verordening is ook qua inhoud nog niet zeker gezien de vele wijzigingen die nog worden en zijn voorgesteld. Per 25 mei 2018 zal door het van kracht worden van de AVG de specifieke vereiste toestemming voor cookies feitelijk al gaan gelden. Een cookie banner die algemene toestemming vraagt voor alle cookies mag dan niet meer. Er zijn al veel websites die met granulaire toestemmingsformulieren werken hetgeen een goed idee is uiteraard. Het zou mooi zijn als men dit vanaf 25 mei 2018 zelf zou kunnen doen via browserinstellingen, maar dat lijkt er zoals het er nu naar uitziet niet van te gaan komen.

Wordt vervolgd.

Bob Cordemeyer en Namita Peters