Vorige week, op 10 januari 2017, publiceerde de Europese Commissie het langverwachte voorstel voor een herziening van de bestaande e-Privacyrichtlijn. Anders dan eerder verwacht, stelt de Commissie niet een aangepaste Richtlijn voor, maar een Verordening, die rechtstreeks zal doorwerken in alle lidstaten van de EU.

De bestaande e-Privacyrichtlijn uit 2002 regelt de bescherming van het recht op privacy, waaronder persoonsgegevens, in de sector elektronische communicatie. De richtlijn geldt voor traditionele telecomproviders, zoals internetaanbieders. De richtlijn bevat regels over – onder meer – de vertrouwelijkheid van communicatie en cookies.

De bestaande richtlijn uit 2002 is toe aan vernieuwing. Niet alleen wordt tegenwoordig gebruik gemaakt van veel nieuwe diensten en technologieën (die niet onder het bereik van de oude e-Privacy richtlijnvallen), in mei 2016 is ook de nieuwe Privacy Verordening gepubliceerd. De e-Privacy regels moeten worden aangepast om aan te sluiten bij deze Verordening, die in mei 2018 van kracht wordt. De nieuwe e-Privacy Verordening is een aanvulling op de Privacy Verordening.

Wat gaat er allemaal veranderen als de nieuwe e-Privacy Verordening wordt aangenomen? bureau Brandeis zet de belangrijkste wijzigingen voor je op een rij.

Uitbreiding naar online diensten

De nieuwe verordening bevat regels voor alle online diensten die elektronische communicatie mogelijk maken. Dit betekent dat ook “Over the Top” (“OTT”) diensten als WhatsApp, Facebook Messenger, Gmail, Skype, Viber en iMessage eronder zullen vallen. Ook deze dienstverleners moeten de vertrouwelijkheid van de communicatie van burgers waarborgen en mogen deze niet onderscheppen, monitoren of afluisteren. De nieuwe regels zullen bovendien ook gelden voor machine-to-machine communications, ofwel de communicatie tussen apparaten. Op die manier wordt de Internet of Things onder het bereik van de Verordening gebracht. Uitzonderingen op de verplichting tot vertrouwelijkheid blijven mogelijk, bijvoorbeeld in het belang van de openbare veiligheid. Het onderscheppen van communicatie door geheime diensten en opsporingsdiensten is dus niet uitgesloten.

Bescherming van inhoud én metadata

De e-Privacy Verordening voorziet niet alleen in bescherming van inhoudelijke berichten en communicatie, maar ook in bescherming van zogenaamde “metadata”, ook wel verkeersgegevens. Dit zijn gegevens over communicatie, zoals het tijdstip, afzender, of locatie. Uit metadata kunnen tegenwoordig, mede gelet op de technologische ontwikkelingen en mogelijkheden, zeer precieze conclusies worden getrokken over het privéleven van de personen van wie de gegevens zijn bewaard. Voor de verwerking van zowel inhoudelijke gegevens als metadata moet onder de Verordening toestemming worden gevraagd. Ontbreekt die toestemming, dan moeten de gegevens in beginsel worden geanonimiseerd of verwijderd, tenzij de gegevens nog nodig zijn voor bijvoorbeeld factureringsdoeleinden.

Cookies

De bestaande cookieregels, die erop neerkomen dat voor het plaatsen of uitlezen van cookies voorafgaande en geïnformeerde toestemming (informed consent) nodig is, worden versimpeld. Toestemming kan voortaan worden geregeld via de browserinstellingen, waardoor consumenten minder worden geconfronteerd met cookie banners. Consumenten moeten de mogelijkheid hebben om te kiezen tussen strengere of minder strenge privacy instellingen. De door de gebruikers gemaakte keuzes zijn vervolgens bindend voor derde partijen/websites. Bovendien is voortaan geen toestemming meer nodig voor privacy-vriendelijke cookies die bedoeld zijn om de internet-ervaring van consumenten te verbeteren, zoals analytische cookies die het aantal bezoekers bijhouden. Een vergelijkbare uitzondering geldt al in Nederland. Voor tracking cookies, die het (online) gedrag van consumenten volgen, is wel geïnformeerde toestemming vereist.

Privacy instellingen software

De aanbieders van software voor elektronische communicatie zijn verplicht eindgebruikers in staat te stellen om keuzes te maken ten aanzien van privacy-instellingen. In ieder geval moet de software gebruikers in staat stellen om op het moment van installatie third party cookies te weigeren.

Anders dan in een eerder uitgelekt concept, bevat de concept e-Privacy Verordening geen privacy by default-verplichting voor hard- en softwareleveranciers. Privacy by default betekent dat zij apparaten moeten programmeren op de meest privacy vriendelijke manier.

Spam

Het spamverbod wordt uitgebreid. Voorafgaande toestemming van de gebruiker (een opt-in) is vereist voor alle vormen van commerciële communicatie, ongeacht de gebruikte technologie. Een uitzondering blijft mogelijk in het geval van een bestaande klantrelatie, mits altijd een opt-out wordt geboden.

Ook voor telemarketing is onder het voorstel in beginsel een opt-in vereist, al mogen de lidstaten ervoor kiezen om een bel-me-niet register te implementeren (zoals in Nederland al het geval is). Onder het voorstel mogen callcenters hun nummer verder niet meer verbergen, of moeten ze een speciale prefix gebruiken zodat het voor consumenten duidelijk is dat het om telemarketing gaat.

Handhaving door privacy-autoriteiten

De Verordening zal worden gehandhaafd door de nationale autoriteiten voor gegevensbescherming. In Nederland is dat de Autoriteit Persoonsgegevens. De toezichthouders krijgen de bevoegdheid om fikse boetes op te leggen.

Het vervolg…

Het voorstel van de Europese Commissie moet nu nog langs het Europees Parlement en de Raad. Er kan dus nog veel veranderen. Het streven is dat de Verordening in werking treedt op 25 mei 2018, gelijktijdig met de Privacy Verordening.

We houden jullie op de hoogte.