De e-Privacy Verordening komt er aan – wat kan je verwachten?
In mei 2018 is de AVG in werking getreden. Half ondernemend Nederland stond op zijn kop vanwege de nieuwe regels waar zij aan moesten voldoen. Hoewel veel bedrijven nog niet aan de AVG voldoen, wordt het al wel tijd om te kijken naar de tweede privacyverordening die eraan komt: de e-Privacy Verordening (ePV).
We hebben toch al de AVG? Waarom is een tweede verordening dan nodig? Wat houdt de e-Privacy Verordening eigenlijk in? Privacy Zeker zocht het voor je uit!
Uitbreiding AVG
De e-Privacy Verordening wordt een uitbreiding van de AVG. De ePV richt zich specifiek op het beschermen van persoonsgegevens via elektronische communicatie tussen twee partijen. De AVG doet dit niet voldoende. Er was al een richtlijn die dit regelde. Nederland heeft deze uitgewerkt in de Telecommunicatiewet. Lidstaten hadden veel vrijheid om zelf invulling te geven aan de regels uit deze richtlijn. De Europese Unie wilde hier één lijn in trekken. Om deze reden hebben zij de richtlijn omgezet in de toekomstige verordening. De richtlijn en de Telecommunicatiewet komen hiermee te vervallen.
Het uitgangspunt van de e-Privacy Verordening is dat alle elektronische communicatie geheim is. Hiervoor zijn een aantal aanpassingen gemaakt ten opzichte van de richtlijn. Deze aanpassingen gaan vooral over vertrouwelijkheid van (meta)data, het plaatsen van cookies, device fingerprinting en direct marketing. Daarnaast wordt het materiële toepassingsgebied uitgebreid en verandert de toezichthoudende autoriteit.
Toestemming
Toestemming van de burgers en bedrijven gaat een grote rol spelen. Het begrip toestemming wordt gelukkig op dezelfde manier ingevuld als in de AVG. Hierdoor verandert daar eigenlijk niets aan en wordt de privacy van burgers en bedrijven het best beschermd. De AVG is er vooral voor de bescherming van de privacy van burgers. Een verschil met de e-Privacy Verordening is dat deze geldt voor bescherming van elektronische communicatie van zowel burgers als bedrijven. De privacy van burgers moet beschermd worden, maar van bedrijven ook bedrijfsgeheimen.
Hieronder volgen een aantal veranderingen op het moment dat de e-Privacy Verordening in werking treedt:
Vertrouwelijkheid van (meta)data
De nieuwe verordening vergroot de mogelijkheden voor bedrijven om metadata van elektronische communicatie te verwerken. Metadata is eigenlijk data over data. Metadata gaat niet over de inhoud van een bericht, maar geeft bijvoorbeeld aan hoe groot het is, van wie het is, naar wie het is, wanneer het wordt verstuurd enz. Het scannen van de inhoud van een bericht dat is verzonden via elektronische-communicatiemiddelen, voordat het is ontvangen, wordt ook makkelijker. Vanwege gevoeligheid van de gegevens die te herleiden zijn uit metadata en inhoudelijke gegevens, is toestemming hiervoor een harde eis.
Plaatsen cookies
Veel websites plaatsen cookies bij de eindgebruikers. De nieuwe verordening zorgt ervoor dat hier altijd expliciete en vrije toestemming voor gegeven moet worden. Op dit moment is het nog vaak zo dat in de standaardinstellingen van een webbrowser staat dat cookies worden geaccepteerd. Dit mag niet meer. Cookiewalls worden hiermee ook verboden. Cookiewalls zijn een blokkade op de website. Als eindgebruiker krijg je eerst de cookiewall te zien waar je de cookies moet accepteren, voordat je op de website kunt. Het weigeren van cookies is bij een cookiewall geen optie. Een eindgebruiker moet vrij zijn om geen toestemming te geven. Om deze reden mag een website niet meer op deze manier toestemming vragen.
Device fingerprinting is iets dat gebeurt via cookies. Device fingerprinting houdt in dat op afstand gegevens uit de soft- en hardware van eindgebruikers wordt verzameld, zonder dat de eindgebruiker daar zelf weet van heeft. Dit wordt verboden. Het mag alleen nog op het moment dat de eindgebruiker daar toestemming voor heeft gegeven.
Direct marketing (spamverbod)
De nieuwe verordening roept meer regels in het leven omtrent direct marketing. Op dit moment is in de Telecommunicatiewet opgenomen dat automatische oproep- en communicatiesystemen zonder menselijke tussenkomst zonder toestemming niet mag. Direct marketing via de telefoon mag dus nog wel. Hier is sprake van een menselijke tussenkomst. De e-Privacy Verordening regelt dat iedere vorm van direct marketing niet mag, zonder toestemming van de eindgebruiker. Ook als je een potentiële klant via de telefoon wil benaderen, moet je hier toestemming voor hebben. Bedrijven mogen bestaande klanten wel benaderen voor soortgelijke producten.
Materieel toepassingsgebied
Nieuwe media vallen ook onder de e-Privacy Verordening. Met nieuwe media wordt bijvoorbeeld zoals Skype, Whatsapp, Slack en Twitter bedoeld. Dit was nog niet zo onder de richtlijn. De nieuwe verordening heeft mede als doel om mee te groeien met technische ontwikkelingen. Webbrowsers krijgen hierin ook een belangrijke rol. Zij worden als een soort van tussenpersoon aangemerkt in de e-Privacy Verordening.
Toezichthoudende autoriteit
Op dit moment is de Autoriteit Consument & Markt de toezichthouder op naleving van de Telecommunicatiewet. De nieuwe verordening regelt dat de Autoriteit Persoonsgegevens deze taak op zich gaat nemen. De reden hiervoor is ook weer harmonisatie. Europa wil graag dat de AVG en de ePV voldoende met elkaar samenhangen. De inzet van dezelfde autoriteit moet hieraan bijdragen.
Conclusie
Er verandert dus weer van alles binnen het privacyrecht. Het is nog niet bekend wanneer de nieuwe verordening precies in werking treedt. De nieuwe verordening heeft grote invloed op veel bedrijven. Denk hierbij aan alle bedrijven die cookies op hun website plaatsen. En hoeveel zijn er een hele hoop.
Voetnoot: Dit artikel is gebaseerd op een conceptversie van de e-Privacy Verordening (link). Dit betekent dat er nog allerlei regels aangepast, toegevoegd en geschrapt kunnen worden.