De e-Privacy Verordening: Uitstel is nog geen afstel?

In het kader van de Digital Single Market Strategy (hierna: ‘DSM-strategy’) van de Europese Commissie is de afgelopen jaren veel Europese wetgeving aangenomen. De DSM-strategy heeft onder meer tot doel één digitale markt te creëren binnen de Europese Unie (hierna: ‘de EU’), de digitale economie te laten groeien, betere toegang te garanderen tot online diensten en producten en ten slotte de juiste condities voor succesvolle internetbedrijven te creëren.

Een veelbesproken onderdeel van de DSM-strategy van het afgelopen jaar is de Algemene Verordening Gegevensbescherming (hierna: ‘AVG’) die op 25 mei 2018 van kracht is geworden. Een andere belangrijke (concept) verordening is de e-Privacy Verordening.

In dit artikel wordt een overzicht gegeven van de belangrijkste artikelen uit de e-Privacy Verordening. In het bijzonder zal aandacht worden besteed aan de regels omtrent cookies en vergelijkbare technieken, het versturen van direct marketing en de verdere verwerking van metadata.

e-Privacy Verordening

De huidige e-Privacy Richtlijn die in Nederland grotendeels is omgezet in de Telecommunicatiewet stamt uit 2002. Door technologische ontwikkelingen van de afgelopen jaren zijn communicatietechnieken echter ingrijpend veranderd. De e-Privacy Verordening beoogt de regels voor traditionele telecombedrijven te moderniseren en het toepassingsbereik uit te breiden naar nieuwere communicatiediensten zoals Skype, Whatsapp en Facebook.

De e-Privacy Verordening is een lex specialis van de AVG. Dit betekent dat de specifieke regels van de e-Privacy Verordening in principe voorgaan op die van de AVG. Veel begrippen uit de e-Privacy Verordening worden hetzelfde uitgelegd als in de AVG, bijvoorbeeld het begrip toestemming.

De stand van zaken

Al op 10 januari 2017 heeft de Europese Commissie (hierna: de ‘Commissie’) een voorstel gedaan om de e-Privacy Richtlijn te vervangen door de e-Privacy Verordening. In tegenstelling tot een richtlijn heeft een verordening directe werking in de EU en hoeft dus niet te worden omgezet in nationaal recht.

Het Europees Parlement (hierna: het ‘Parlement’) heeft op 26 oktober 2017 een geamendeerde versie van het voorstel van de Commissie aangenomen. Het Parlement voegde bijvoorbeeld een absoluut verbod op cookiewalls toe. Nu moet de Raad van Ministers van de EU (hierna: de ‘Raad’) nog tot overeenstemming over de tekst komen.

Aanvankelijk was het plan om de verordening gelijktijdig met de AVG van kracht te laten worden op 25 mei 2018. Dat is niet gelukt en het lijkt er op dat de verordening ook nog wel even op zich zal laten wachten. Nadat de Raad een definitief standpunt heeft ingenomen  zullen de triloog onderhandelingen tussen de Raad de Commissie en het Parlement plaatsvinden.

Het gebruik van cookies en vergelijkbare technieken

In tegenstelling tot de huidige praktijk onder artikel 11.7a Telecommunicatiewet verbiedt de concept e-Privacy Verordening in beginsel het gebruik van cookies en vergelijkbare technieken. Op dit verbod worden een aantal uitzonderingsgronden gemaakt. De Raad heeft deze uitzonderingen uitgebreid, zodat het laatste concept van de Verordening een relatief soepel regime bevat. Het plaatsen van cookies is toegestaan:

  • indien daarvoor toestemming van de eindgebruiker wordt verkregen;
  • indien dit noodzakelijk is om de overdracht van elektronische communicatie over het netwerk te verrichten;
  • indien dit noodzakelijk is om de door de eindgebruiker gevraagde dienst uit te voeren
  • om de omvang van het publiek op een website te meten;
  • in het kader van beveiliging, fraudepreventie en het opsporen van technische storingen;
  • voor een update van beveiligingssoftware;
  • om eindapparatuur de lokaliseren indien een eindgebruiker een noodoproep via een nationaal of Europees alarmnummer doet.

Het begrip toestemming wordt – zoals eerder opgemerkt in dit artikel – op dezelfde wijze uitgelegd in de AVG. Het standpunt van de Raad is bovendien dat toestemming ook kan worden gegeven via browserinstellingen. Het Parlement stelde zich echter op het standpunt dat het geven van toestemming op deze wijze niet mogelijk is.

Ten slotte is het gebruik van een cookiewall volgens de Raad niet per definitie disproportioneel en is dit bijvoorbeeld toegestaan als een eindgebruiker de keuze heeft tussen een website waarbij geen cookies worden geplaatst en een website waarbij wel cookies worden geplaatst. Ook hier loopt het standpunt van de Raad dus uiteen met die van het Parlement.

Direct marketing

De regels over direct marketing lijken tot nog toe niet erg te verschillen van het bestaande regime in Nederland. De verordening bepaalt dat direct marketing via elektronische communicatie is toegestaan indien daarvoor toestemming van de eindgebruiker is verkregen. Uitzondering op dit uitgangspunt is dat bedrijven onder bepaalde voorwaarden eindgebruikers waarvan zij de contactgegevens hebben vergaard in de context van een product of dienst, wel direct marketing mogen sturen zonder toestemming.

Het huidige criterium waarbij direct marketing enkel is toegestaan in het kader van een verkoop, lijkt in de concept e-Privacy Verordening iets te worden gerelativeerd. In de praktijk zal dit bijvoorbeeld betekenen dat wanneer contactgegevens worden verkregen in het kader van gratis dienstverlening of het opvragen van een offerte, deze contactgegevens ook mogen worden gebruikt voor direct marketing.

De Raad introduceert daarnaast een bevoegdheid voor de lidstaten om een termijn vast te stellen hoe lang direct marketing mag worden gestuurd na het moment dat bijvoorbeeld de offerte is opgevraagd.

De verzender moet de eindgebruiker bij het verzenden van de direct marketing altijd attenderen op zijn contactgegevens en op de commerciële aard van het bericht. Ook moet de eindgebruiker worden geïnformeerd over de mogelijkheid om zich tegen de toekomstige ontvangst van direct marketing te verzetten of zijn toestemming daarvoor in te trekken. Dit moet bovendien kosteloos en op elk gewenst tijdstip mogelijk zijn.

Verdere verwerking van metadata

De concept verordening stelt een limitatief aantal gronden vast op basis waarvan elektronische-communicatiegegevens (zowel de inhoud als de metadata) door elektronische communicatiediensten mogen worden verwerkt. Metadata zijn gegevens over communicatieproces, bijvoorbeeld vanaf welke locatie berichten worden verstuurd, aan wie berichten worden verstuurd, hoe vaak berichten worden verstuurd enzovoort.

Lid twee geeft aanvullende en door de Raad verder uitgebreide gronden op basis waarvan metadata verwerkt mogen worden.

Verdere verwerking van metadata is toegestaan zolang die verdere verwerking in overeenstemming is met het doel waarvoor de metadata oorspronkelijk zijn verzameld. Om vast te stellen of de doelen van verwerking met elkaar in overeenstemming zijn, moet onder meer worden gekeken naar:

  • de link tussen de doeleinden waarvoor de metadata zijn verzameld en de doeleinden van de beoogde verwerking;
  • de context waarin de metadata zijn verzameld;
  • de aard van de metadata (met name of het gaat om gevoelige of bijzondere persoonsgegevens in de zin van artikel 9 en 10 AVG danwel of die uit de metadata af te leiden zijn);
  • de potentiële risico’s voor de eindgebruikers en;
  • het bestaan van passende waarborgen.

Mocht de verdere verwerking deze toets doorstaan, dan mag verdere verwerking bovendien alleen plaatsvinden indien:

  • de verwerking niet op basis van anonieme informatie kan plaatsvinden en de metadata direct worden gewist of geanonimiseerd zodra deze niet meer nodig zijn voor het doel;
  • de verwerking beperkt is tot gepseudonimiseerde metadata en;
  • deze niet gebruikt worden om de aard of karakteristieken van een eindgebruiker vast te stellen of een profiel van een eindgebruiker te maken.

Daarnaast mogen de gegevens niet met derde partijen worden gedeeld en moet voorafgaand aan de verdere verwerking een data protection impact assessment  in de zin van de AVG worden uitgevoerd. Ten slotte moeten de eindgebruikers (degenen om wiens metadata het gaat) over de verdere verwerking worden geïnformeerd. Indien de eindgebruiker bezwaar heeft tegen de verdere verwerking dan mag geen verdere verwerking plaatsvinden.

Hoe verder?

Hoewel stappen in de goede richting worden gemaakt, heeft de Raad nog geen definitief standpunt over de e-Privacy Verordening ingenomen. De verwachting is dat het daarop volgende triloog ook nog enige tijd in beslag nemen nu de standpunten van het Parlement en de Raad ten aanzien van verschillende aspecten van de verordening nog ver uiteen liggen.

Zal het Parlement instemmen met de huidige wijzigingen ten opzichte van het voorstel van de Commissie van de Raad waarbij de uitzonderingen op het cookieverbod worden uitgebreid en toestemming op algemene wijze in browserinstellingen kan worden geregeld?

This site is registered on Toolset.com as a development site.