Herziening Telecommunicatiewet: netneutraliteit, datalekken en cookies

 in IT-recht

Op 8 mei 2012 is de Eerste Kamer akkoord gaan met het wetsvoorstel tot herziening van de Telecommunicatiewet. Kort gezegd houdt dit in dat Nederland het tweede land ter wereld is dat netneutraliteit in de wet verankerd heeft, er een meldplicht geldt voor datalekken bij aanbieders van elektronische netwerken en dat voor het plaatsen van (bepaalde) cookies voorafgaande toestemming is vereist.

Netneutraliteit

Het nieuwe artikel 7.4 van de Telecommunicatiewet verbiedt het telecommunicatie- en internetaanbieders om elektronisch verkeer af te knijpen of te vertragen. Dit is in de toekomst nog slechts toegestaan in enkele uitzonderlijke gevallen. Deze uitzonderingen zien vooral op het goed laten functioneren van de diensten, en dan moet de genomen maatregel wel gelden voor al het elektronisch verkeer. Alleen een website als YouTube afknijpen omdat deze nu eenmaal veel bandbreedte opslokt, is niet toegestaan. Doordat het beginsel van netneutraliteit nu wettelijk is vastgelegd, is het simpelweg verboden om diensten zoals WhatsApp, Viber en Skype te blokkeren of te vertragen. Een ontwikkeling die innovatie ten goede zal komen.

Een ander onderdeel van netneutraliteit is het verbod om zonder toestemming elektronisch verkeer af te tappen. De omstreden ‘deep packet inspection’, waarvan KPN gebruik maakte om het verkeer op hun netwerk te analyseren, is hiermee verleden tijd. De privacy van de gebruikers van een elektronisch netwerk wordt hierdoor verder geborgd.

Meldplicht datalekken

Sinds, onder andere, de ‘KPN-Hack’ en het ‘dossier DigiNotar’, is iedereen ermee bekend dat ook deze bedrijven het slachtoffer kunnen worden van computercriminaliteit. Daarbij is bekend wat de gevolgen zijn van een hack of datalek bij een groot bedrijf of provider. Door de systemen van een dergelijk bedrijf te kraken, kunnen criminelen ineens in het bezit komen van een enorme hoeveelheid data en persoonsgegevens. De Telecommunicatiewet legt in het nieuwe artikel 11.3a aan aanbieders van internettoegang en telefoonnetwerken de verplichting op om doorbraken van hun beveiliging welke nadelig zijn voor de beveiliging van persoonsgegevens direct te melden. Een hack of lek onder de radar houden is er dus niet meer bij.

Cookies

Omstreden is de zogenaamde cookie regelgeving in de Telecomunnicatiewet. Ook ik zet mijn vraagtekens bij de werkbaarheid van deze regelgeving. De cookie regelgeving komt er op neer dat er toestemming moet worden gevraagd voor het plaatsen van cookies, tenzij deze alleen bedoeld zijn voor het juist laten functioneren van een website. Denk hierbij bijvoorbeeld aan het automatisch ingelogd blijven na bezoek aan Twitter of Facebook. Cookies die worden gebruikt voor niet noodzakelijke onderdelen, zoals voor het tonen van gepersonaliseerde advertenties, mogen voortaan alleen nog worden geplaatst nadat hiervoor toestemming is verleend.

Met andere woorden: als er met of door de cookie persoonsgegevens worden verwerkt, is toestemming vereist. Hierbij komt dat de wet aanneemt dat cookies die tot doel hebbe “gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren voor commerciële, charitatieve of ideële doeleinden” te verzamelen altijd persoonsgegevens verwerken. De bewijslast wordt dus omgekeerd: het is aan degene die een cookie gebruikt om aan te tonen dat deze geen persoonsgegevens verwerkt, wat met het oprekken van het begrip persoonsgegeven een behoorlijke opgave is.

Hoe toestemming te verkrijgen is en blijft vooralsnog ook lastig. Browsers kunnen worden ingesteld om cookies wel of niet te accepteren maar maken geen onderscheid in het soort cookies dat geplaatst wordt. Wat dat betreft is het dus alles of niets. Momenteel wordt gewerkt aan een Europese do not track standaard maar deze is nog verre van uitgewerkt. Of de regelingen nu die door de e-marketing sector zelf zijn opgesteld afdoende zijn, is ook nog onduidelijk. Wat de omkering van de bewijslast (die juist vanwege deze onduidelijkheden pas geldt per januari 2013) hieraan bijdraagt is niet duidelijk.

Aangezien de OPTA heeft aangekondigd dat handhaving van de cookieregels een speerpunt wordt, is het wenselijk dat er snel een duidelijk beleid omtrent het verlenen en verkrijgen van toestemming voor het plaatsen van cookies wordt ontwikkeld.

Lees de wijzigingen in de wet hier.

 

Recente berichten
  • 2 november 2018

    Wat is eigenlijk allemaal een datalek?

    Bob Cordemeyer
    Wat is eigenlijk allemaal een datalek? Dat triggerde mij recent weer in het antwoord van de minister voor rechtsbescherming Sander Dekker, op 31 oktober 2018, op vragen van de Tweede Kamer. Hij antwoordde onder meer dat “Facebook alleen persoonsgegevens mag verwerken voor advertentiedoeleinden als de gebruiker daar helder en volledig over is geïnformeerd en daar
    Lees verder
  • 31 oktober 2018

    Journalistieke vrijheid versus bijzondere persoonsgegevens seksueel gedrag art 9 AVG

    Bob Cordemeyer
    Het televisieprogramma Undercover had aan de hand van de ervaringen van een betrokkene met een sekswerkster, waarbij een slachtoffer was opgelicht, een heimelijke opname gemaakt van de sekswerkster en een telefoongesprek van die betrokkene opgenomen met de sekswerkster. De sekswerkster zou te zien zijn in het programma, waarbij zij deels onherkenbaar was gemaakt.
    Lees verder
  • 31 oktober 2018

    Het is zover: de Autoriteit Persoonsgegevens dwingt UWV met sanctie gegevens beter te beveiligen

    Bob Cordemeyer
    Uit een persbericht van 30 oktober 2018 van de Autoriteit Persoonsgegevens (hierna: de AP) blijkt dat de AP het UWV een last onder dwangsom van 150.000 euro per maand met een maximum van 900.000 euro heeft opgelegd omdat het beveiligingsniveau van het werkgeversportaal niet voldoet.
    Lees verder

Plaats een reactie

Top