de e-Privacyverordening: komt hij er dan toch?

Het afgelopen jaar schreven wij nog dat de e-Privacyverordening inmiddels een hoofdpijndossier voor de Europese Unie begon te worden en vroegen wij ons hardop af of de verordening er überhaupt nog zou komen. Dat laatste lijkt nu weer een stap dichterbij te zijn. De Europese Commissie (‘EC’) publiceerde namelijk op 5 januari jl. een aangepast tekstvoorstel en niet lang daarna, op 10 februari jl., werd er overeenstemming bereikt binnen het Comité van permanente vertegenwoordigers van de Raad van de Europese Unie (‘Raad’) over een tekstvoorstel. Hierna gaan wij in op een aantal interessante bepalingen uit deze recente voorstellen.

Wat is de e-Privacyverordening ook alweer?

De bedoeling is dat dat de e-Privacyverordening de bestaande e-Privacyrichtlijn van 2002 op termijn zal gaan vervangen. Die richtlijn bevat regels rondom de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer binnen de elektronische communicatiesector.

Herziening van de richtlijn is nodig om de e-Privacyregels beter aan te laten sluiten bij de digitale ontwikkelingen die zich de afgelopen jaren hebben voorgedaan.

Zo worden er onder meer bepalingen toegevoegd die betrekking hebben op nieuwe technologische en markt­technische ontwikkelingen, zoals Voice over IP diensten, webmail en andere berichten­diensten alsmede technieken om het online gedrag van gebruikers bij te houden, waaronder cookies. Ook zal er aansluiting worden gezocht bij de terminologie en regels zoals opgenomen in de Algemene verordening gegevensbescherming (‘AVG’).

Territoriale reikwijdte

De territoriale reikwijdte van de e-Privacyverordening wordt verruimd. De ePrivacyregels gaan niet alleen gelden voor partijen die zelf gevestigd zijn in de EU, maar ook voor partijen die buiten de EU zijn gevestigd op plaatsen waar het recht van een lidstaat op grond van internationaal publiekrecht van toepassing is.

Ook is de locatie van de eindgebruiker van belang voor de reikwijdte. Wanneer die zich in de EU bevindt, is de e-Privacyverordening in de regel van toepassing. Het gaat dan onder meer om eindgebruikers binnen de EU waaraan telecommunicatiediensten worden geleverd, of waarvan de inhoud van elektronische communicatie en van metadata over die elektronische communicatie wordt verwerkt, of waaraan direct marketing communicatie wordt verzonden, etcetera.

In voorgenoemde gevallen dienen partijen die buiten de EU zijn gevestigd (en waar het recht van een lidstaat niet al krachtens publiekrecht geldt), binnen een maand na aanvang van hun activiteiten, een vertegenwoordiger binnen de EU aan te wijzen. Dat hoeft niet wanneer de activiteiten die binnen de reikwijdte van de verordening vallen slechts incidenteel zijn en waarschijnlijk niet zullen resulteren in een risico voor de grondrechten van de eindgebruiker.

Cookies en vergelijkbare technieken

Zowel uit het tekstvoorstel van de EC als dat van de Raad kan worden afgeleid dat het gebruik van cookiewalls onder omstandigheden is toegestaan. Het wordt niet langer noodzakelijk geacht dat een internetgebruiker in staat is om bij dezelfde aanbieder toegang tot gelijke online content te krijgen zonder dat de gebruiker cookies accepteert. Dit zou volgens de EC in de praktijk een te grote last betekenen voor aanbieders van online content (zoals de pers), omdat dergelijke aanbieders dan verplicht zouden zijn om tegelijkertijd “gratis” content aan te bieden wanneer zij websites met “betaalde” content aanbieden.

In de praktijk heeft dit tot gevolg dat het gebruik van cookiewalls is toegestaan, zolang er maar genoeg alternatieve aanbieders zijn van vergelijkbare content.

Als de eindgebruiker slechts over weinig of geen alternatieven beschikt, en dus eigenlijk geen echte keuze heeft wat betreft de acceptie van cookies, dan is het gebruik van een cookiewall niet toegestaan. Denk bijvoorbeeld aan content die wordt gepubliceerd op overheidswebsites.

Om te vermijden dat eindgebruikers het zat worden om voortdurend toestemming voor cookies en vergelijkbare technieken te moeten geven, willen zowel de EC als de Raad het mogelijk maken om straks via je browserinstellingen toestemming te verlenen voor het gebruik van bepaalde soorten cookies. Deze cookies worden dan als het ware vooraf op een ‘witte lijst’ geplaatst. Software­aanbieders zullen worden aangemoedigd om het gemakkelijk te maken voor gebruikers om dit soort lijsten aan te maken en in te stellen.

Metadata

In de e-Privacyverordening zijn ook regels opgenomen voor het gebruik van metadata. Metadata zijn gegevens over het communicatieproces, bijvoorbeeld vanaf welke locatie berichten worden verstuurd, aan wie berichten worden verstuurd en hoe vaak berichten worden verstuurd. Metadata zijn potentieel even gevoelig als de inhoud van berichtgeving.

In beide voorstellen is het toegestaan om metadata onder bepaalde omstandigheden zonder toestemming van de eindgebruiker te verwerken, bijvoorbeeld wanneer dat nodig voor de uitvoering van de elektronische communicatiedienstverlening, facturering en berekeningen van interconnectiebetalingen, de opsporing of stopzetting van frauduleus of onrechtmatig gebruik van telecommunicatiediensten of de vitale belangen van natuurlijk personen.

In lijn met het doelbindingsbeginsel zoals opgenomen in de AVG, mogen gepseudonimiseerde metadata op basis van de recente voorstellen ook worden gebruikt voor andere doeleinden dan waarvoor zij oorspronkelijk zijn verzameld. Die verwerking moet dan wel verenigbaar zijn met het oorspronkelijke doel en er moet aan bepaalde aanvullende voorwaarden en waarborgen zijn voldaan. Medadata mogen echter niet verder worden verwerkt om de aard of de kenmerken van een eindgebruiker vast te stellen of om een profiel van een eindgebruiker op te stellen dat rechtsgevolgen heeft voor die eindgebruiker of dat hem op vergelijkbare wijze in aanzienlijke mate treft. Ook moeten de metadata worden gewist of geanonimiseerd, zodra ze niet langer nodig zijn om het betreffende doel te bereiken.

Direct marketing

De e-Privacyverordening bevat ook regels over ongevraagde communicatie en direct marketing. Op dit gebied lijken er voor Nederland op basis van de beoogde verordening weinig veranderingen op komst.

Uitgangspunt blijft dat voor elektronische direct marketing berichtgeving toestemming van de eindgebruiker nodig is, tenzij aan een aantal voorwaarden is voldaan.

Bijvoorbeeld dat het moet gaan om contactgegevens die zijn verkregen in het kader van de aankoop van een product of dienst, de direct marketing berichtgeving betrekking heeft op eigen soortgelijke producten of diensten en gebruikers duidelijk en onmiskenbaar in de gelegenheid zijn en worden gesteld om zich kosteloos en op een gemakkelijke manier tegen dergelijk gebruik van hun contactgegevens te verzetten.

In de recente voorstellen wordt de lidstaten wel een mogelijkheid geboden om een specifieke periode vast te stellen waarbinnen een natuurlijke of rechtspersoon de contactgegevens van de eindgebruiker na de verkoop van een product of dienst mag gebruiken voor direct-marketingdoeleinden. Ook worden lidstaten aangemoedigd om door middel van nationale wetgeving een specifieke code of kengetal in te voeren om aan te geven dat het om een direct-marketingoproep gaat wanneer personen gebeld worden, zodat eindgebruikers hun privacy op efficiëntere wijze kunnen beschermen.

Wat nu?  

Het wetgevingsproces kan nu door naar de volgende onderhandelingsfase, namelijk de triloog tussen de EC, de Raad en het Europees Parlement. Hoewel het nog niet duidelijk is hoeveel tijd deze fase in beslag zal gaan nemen, doen de aanloop en de huidige verschillen tussen de drie voorstellen vermoeden dat dit weleens enige tijd zal kunnen gaan duren.

Zodra er eenmaal overeenstemming is bereikt en de tekst definitief is vastgesteld zal er een overgangsperiode gaan gelden. Gedurende die periode kunnen organisaties hun bedrijfsvoering in overeenstemming met de regels van de ePrivacyverordening gaan brengen. De AVG kende een overgangsperiode van twee jaar. In het meest recente voorstel van de Raad is die termijn ook twee jaar. In het voorstel van de EC is echter een termijn van één jaar opgenomen.

This site is registered on Toolset.com as a development site.