De totstandkoming van de ePrivacy Verordening (ePV) is de laatste tijd weer volop in ontwikkeling. Het heeft ongeveer vier jaar geduurd, maar onder het Portugese EU-voorzitterschap is het nu dan eindelijk toch gelukt om overeenstemming te bereiken over een nieuwe conceptversie. Met deze overeenstemming kan de onderhandeling worden gestart met de Europese Commissie en het Europees Parlement. Dit is de laatste fase voordat de verordening, die een grote impact zal hebben op de marketingindustrie en de aanbieders van online communicatiediensten, kan worden aangenomen.
Het voorstel van de ePV werd op 10 januari 2017 door de Europese Commissie ingediend. Hierna volgden moeizame onderhandelingen tussen de Europese Raad en het Europees Parlement over de precieze wettekst. Oorspronkelijk was het de bedoeling om de ePV gelijktijdig met de Algemene Verordening Gegevensbescherming (AVG) in werking te laten treden. Dit bleek uiteindelijk niet haalbaar.
Waarom een nieuwe wet?
De ePV vervangt de momenteel geldende e-privacyrichtlijn, die in Nederland is richtlijn omgezet in de Telecommunicatiewet (Tw). Steeds verdere digitalisering van onze samenleving vereist dat wet- en regelgeving wordt aangepast aan de huidige technologische ontwikkelen. De huidige e-privacyrichtlijn stamt uit 2002 en is door de steeds verdere digitalisering van onze samenleving en de veranderende communicatietoepassingen sterk verouderd. De e-privacyrichtlijn is daarom nodig aan herziening toe.
Het invoeren van de ePV is onderdeel van de zogenaamde Digital Single Market-strategie van de EU. Deze strategie focust zich op het realiseren van een open digitale markt met betere toegang tot online diensten, gelijke voorwaarden voor alle digitale netwerken en een maximale groei voor de digitale economie binnen Europa. Het moderniseren van Europese wetten is een belangrijk onderdeel van deze strategie.
In de ePV zullen er ten opzichte van de e-privacyrichtlijn bepalingen worden toegevoegd om beter aan te sluiten bij nieuwe technologische en markttechnische ontwikkelingen. De verordening zal bijvoorbeeld regels bevatten voor het gebruik van Voice over IP, webmail en nieuwe technieken om het onlinegedrag van gebruikers te monitoren (zoals cookies).
De bestaande e-privacyrichtlijn geldt alleen voor traditionele telecombedrijven. De regels uit de ePV zullen ook van toepassing zijn op online communicatiediensten als Facebook Messenger, Whatsapp, Skype en Gmail. Dit zijn communicatieplatformen die zijn aan te merken als zogenaamde “Over The Top” diensten. Deze diensten vallen op dit moment buiten het toepassingsbereik van de Tw.
Wat is het verschil tussen de AVG en de ePV?
Zowel de AVG als de ePV zijn Europese regelingen die betrekking hebben op de bescherming van persoonsgegevens. Alleen het toepassingsbereik van beide verordeningen verschilt. De AVG gaat over alle vormen van gegevensverwerkingen, terwijl de ePV zich enkel richt op de verwerking van persoonsgegevens voor elektronische communicatiediensten. De ePV is daardoor aan te merken als een “lex specialis” ten opzichte van de AVG. Dit betekent dat de ePV als bijzondere wetgeving voorrang heeft op algemene wetgeving als de AVG. Als een onderwerp niet in de ePV geregeld wordt, valt men terug op de AVG. De ePV is net als de AVG een verordening en daardoor rechtstreeks van toepassing in de gehele Europese Unie.
Wat zijn de belangrijkste veranderingen?
De vertrouwelijkheid van elektronische communicatiegegevens is het uitgangspunt van de ePV. Met dit uitgangspunt wil de Europese Raad elke vorm van interventie verbieden. Van interventie is in dit geval bijvoorbeeld sprake bij het beluisteren, controleren of verwerken van gebruikersgegevens door iemand anders dan de eindgebruiker zelf.
De ePV bevat een aantal uitzonderingen op de hierboven genoemde hoofdregel. Zo mogen communicatiegegevens zonder toestemming van de eindgebruiker verwerkt worden om de integriteit van communicatiediensten te waarborgen of om te controleren op malware en virussen. Dit is ook het geval als er strafbare feiten zijn gepleegd of als de openbare veiligheid in gevaar is.
Territoriale reikwijdte
Veel van de nieuwe regels zullen voor zowel natuurlijke als rechtspersonen gaan gelden. Daarnaast zullen de regels gelden wanneer de eindgebruiker zich in de Europese Unie bevindt. Dit betekent dat de regels uit de ePV ook zullen gelden wanneer de verwerking van de gegevens buiten de EU plaatsvindt of wanneer de desbetreffende communicatiedienst niet Europees is. Het gaat dan bijvoorbeeld om eindgebruikers binnen de EU waaraan telecommunicatiediensten worden geleverd of waaraan direct marketing wordt verzonden.
Metagegevens
Onder bepaalde omstandigheden mogen metagegevens zonder toestemming van de eindgebruiker verwerkt worden. Dit is bijvoorbeeld het geval bij facturering of het opsporen of beëindigen van frauduleus gebruik. Daarnaast mogen metagegevens ook worden verwerkt om de vitale belangen van gebruikers te beschermen, onder meer om epidemieën en de verspreiding daarvan in kaart te brengen. Metagegevens gaan bijvoorbeeld over de locatie waarvandaan berichten worden verstuurd, aan wie berichten worden verstuurd en hoe vaak dit gebeurt. Deze gegevens kunnen dus gevoelige informatie bevatten.
Cookies
Uit het meest recente voorstel van de ePV blijkt dat het gebruik van cookiewalls in sommige gevallen is toegestaan. Het is niet langer noodzakelijk dat een websitebezoeker de mogelijkheid krijgt om toegang tot gelijke content te krijgen zonder dat de bezoeker cookies accepteert. In de praktijk betekent dit dat het gebruik van cookiewalls is toegestaan, mits er genoeg alternatieve aanbieders beschikbaar zijn die vergelijkbare content aanbieden. Andersom zijn cookiewalls niet toegestaan als de websitebezoeker over geen of weinig alternatieven beschikt. Dit is bijvoorbeeld het geval bij informatie die wordt gepubliceerd op overheidswebsites. In dat geval mogen geen cookiewalls geplaatst worden. [1]
De Europese Commissie en de Raad willen het daarnaast mogelijk maken dat gebruikers via hun browserinstellingen toestemming kunnen verlenen voor het plaatsen van bepaalde cookies. Gebruikers moeten bepaalde cookies in de toekomst op een “witte lijst” kunnen plaatsen. Aanbieders van software spelen hierbij een belangrijke rol doordat zij deze optie in de toekomst aan gebruikers moeten kunnen bieden.
Direct marketing
Voor direct marketing (ongevraagde communicatie) blijft het uitgangspunt dat toestemming van de ontvanger nodig is. Op deze hoofdregel bestaat een aantal uitzonderingen. Zo is direct marketing zonder voorafgaande toestemming van de ontvanger mogelijk als de contactgegevens zijn verkregen in het kader van de aankoop van een product of dienst en de marketing betrekking heeft op eigen soortgelijke producten of diensten. De ontvanger moet hierbij de gelegenheid krijgen om zich kosteloos en op een gemakkelijke manier tegen het gebruik van zijn of haar contactgegevens voor direct marketing te verzetten.
Hoe verder?
Zodra er overeenstemming is bereikt over de definitieve tekst, zal er een zogenaamde overgangsperiode gaan gelden. Gedurende deze periode van twee jaar hebben bedrijven de tijd om aan de nieuwe ePV te voldoen.
[1] https://www.consilium.europa.eu/en/press/press-releases/2021/02/10/confidentiality-of-electronic-communications-council-agrees-its-position-on-eprivacy-rules/
Hoe ga je als Privacy Professional om met het toenemende belang van én veranderingen in Europese regelgeving omtrent gegensbescherming? Wij bieden als officieel trainingspartner van de International Association of Privacy Professionals nog éénmaal de CIPP/E (Certified Information Privacy Professional Europe) aan, waarmee je kan laten zien dat je voldoende kennis en expertise hebt op dit vlak, en weet hoe je dit toe moet passen in de organisatie. Schrijf je direct in!
PRIVACY1’S SUCCES STORY
Onze trainingen worden gegeven door een IAPP erkende trainingspartner met FIP (Fellow of Information Privacy) accreditatie. Maar liefst 95% van de deelnemers slaagt de eerste keer.