De ePrivacy Verordening: dé wetgeving voor alle elektronische communicatie in Europa. Deze Verordening moest tegelijk met de AVG van kracht worden. Bijna drie jaar later is het voorstel nog altijd niet definitief. Afgelopen week kwam de European Data Protection Board (EDPB) met verbeterpunten. Waarom is het voorstel nog altijd niet goed genoeg?
Wat is de ePrivacy Verordening?
Allereerst even uw geheugen opfrissen. We hebben al veel over de ePrivacy Verordening gehoord, maar wat houdt het ook alweer precies in?
De ePrivacy Verordening is de vervanger van de Europese ePrivacy Richtlijn. In Nederland is deze Richtlijn vertaald naar de Telecommunicatiewet.
De huidige richtlijn kan door alle landen zelf vertaald worden binnen hun eigen wetgeving. De nieuwe ePrivacy Verordening geldt direct als wet voor alle Europese landen. Net als bij de AVG dus.
Waar de oude regels vooral toezien op telecombedrijven, gaat de nieuwe wetgeving ook gelden voor online communicatiediensten. Het gaat dan om onder meer e-mail, online marketing, internet of things en social media. Denk aan WhatsApp, Facebook Messenger, Skype en Gmail.
Wat is het doel van de ePrivacy Verordening?
Het uiteindelijke doel van de ePrivacy Verordening is het beschermen van de persoonsgegevens van Europese burgers. Net als bij de AVG, maar dan specifiek gericht op elektronische (online) communicatie. De Verordening moet zowel bescherming bieden aan de inhoud van elektronische berichten als aan de metadata ervan, zoals locatiegegevens en tijdstip van verzending.
Belangrijk speerpunt van de Verordening is dat Europese burgers meer controle krijgen. Zo moeten ze toestemming kunnen geven voor het gebruik van cookies en het ontvangen van direct marketing.
De EDPB onderstreept dat de nieuwe wet het niveau van bescherming van persoonsgegevens voor Europeanen niet mag verlagen. Ook moet de Verordening volledig in lijn zijn met de AVG.
Verbeterpunten van de EDPB
Het voorstel is de afgelopen jaren op diverse punten gewijzigd. Tegelijkertijd lobbyen grote bedrijven als Google, Netflix en Amazon tegen de nieuwe Verordening. Logisch, want voor deze spelers hebben de nieuwe regels een grote impact.
Vorige week heeft de EDPB gereageerd op het voorstel. Binnen de EDPB hebben de EU-privacytoezichthouders zich verzameld. Voor Nederland is dit de Autoriteit Persoonsgegevens. Ee toezichthouders zien nog verbeterpunten en stellen dat het beter moet.
Wat moet er dan precies beter?
Verbied cookiewalls
De ePrivacy Verordening zou cookiewalls moeten verbieden, net zoals de AVG dat doet. Cookiewalls voorkomen namelijk dat een gebruiker kan kiezen of hij wel of geen tracking cookies wil. Cookiewalls moeten dus uitdrukkelijk verboden worden.
Toestemming en gerechtvaardigd belang
Gegevens uit vertrouwelijke elektronische communicatie, zoals WhatsApp-berichten, sms’jes en e-mails mogen zonder toestemming alleen gebruikt worden voor noodzakelijke doelen.
Wat is een noodzakelijk doel?
Bijvoorbeeld zorgen dat een bericht bij de ontvanger terechtkomt en het tot stand brengen van een veilige verbinding.
Opvallend daarbij is de volgende wens van de gezamenlijke toezichthouders:
“De ePrivacy Verordening moet elke mogelijkheid uitsluiten om inhoud en metadata van elektronische communicatie te verwerken op basis van open gronden, zoals ‘gerechtvaardigde belangen’, die verder gaan dan wat nodig is voor de levering van een elektronische- communicatiedienst.”
Dit statement sluit verwerking van gegevens op basis van ‘gerechtvaardigde belangen’ helemaal uit. Voor bijvoorbeeld direct marketing en cookies is dan altijd toestemming van de gebruiker vereist.
Anders dan bij de AVG, waarbij bedrijven zich onder voorwaarden wel kunnen beroepen op de grondslag gerechtvaardigd belang bij een commercieel belang. Zuiver commerciële belangen kunnen daar ook toe gerekend worden, zo bleek recentelijk uit een uitspraak van de rechtbank.
Eenduidig toezicht
Een ander belangrijk verbeterpunt betreft het toezicht op gebruik van persoonsgegevens binnen de ePrivacy Verordening. Deze zou volledig bij dezelfde toezichthouders moeten liggen als het toezicht op de AVG. In het huidige voorstel voor de ePrivacy Verordening is dat toezicht in sommige gevallen verspreid over verschillende toezichthouders.
Wanneer is de Verordening nu echt definitief?
De hoop is eind dit jaar of begin volgend jaar. De vraag is echter of dat ook echt gaat lukken. We moeten in ieder geval nog wachten op de uitkomst van de onderhandelingen tussen de Europese Commissie, het Europees Parlement en ministers uit de EU-lidstaten.
Intussen lobbyen de grote spelers gewoon door.
Blijf op de hoogte
Op de hoogte blijven van de ontwikkelingen op het gebied van ICT Recht? Meldt u zich dan nu aan voor de maandelijkse nieuwsbrief van Legalz.