Vorige week, op 10 januari 2017, publiceerde de Europese Commissie het langverwachte voorstel voor een herziening van de bestaande e-Privacyrichtlijn. Anders dan eerder verwacht, stelt de Commissie niet een aangepaste Richtlijn voor, maar een Verordening, die rechtstreeks zal doorwerken in alle lidstaten van de EU.

De bestaande e-Privacyrichtlijn uit 2002 regelt de bescherming van het recht op privacy, waaronder persoonsgegevens, in de sector elektronische communicatie. De richtlijn geldt voor traditionele telecomproviders, zoals internetaanbieders. De richtlijn bevat regels over – onder meer – de vertrouwelijkheid van communicatie en cookies.

De bestaande richtlijn uit 2002 is toe aan vernieuwing. Niet alleen wordt tegenwoordig gebruik gemaakt van veel nieuwe diensten en technologieën (die niet onder het bereik van de oude e-Privacy richtlijnvallen), in mei 2016 is ook de nieuwe Privacy Verordening gepubliceerd. De e-Privacy regels moeten worden aangepast om aan te sluiten bij deze Verordening, die in mei 2018 van kracht wordt. De nieuwe e-Privacy Verordening is een aanvulling op de Privacy Verordening.

Wat gaat er allemaal veranderen als de nieuwe e-Privacy Verordening wordt aangenomen? bureau Brandeis zet de belangrijkste wijzigingen voor je op een rij.

Uitbreiding naar online diensten

De nieuwe verordening bevat regels voor alle online diensten die elektronische communicatie mogelijk maken. Dit betekent dat ook “Over the Top” (“OTT”) diensten als WhatsApp, Facebook Messenger, Gmail, Skype, Viber en iMessage eronder zullen vallen. Ook deze dienstverleners moeten de vertrouwelijkheid van de communicatie van burgers waarborgen en mogen deze niet onderscheppen, monitoren of afluisteren. De nieuwe regels zullen bovendien ook gelden voor machine-to-machine communications, ofwel de communicatie tussen apparaten. Op die manier wordt de Internet of Things onder het bereik van de Verordening gebracht. Uitzonderingen op de verplichting tot vertrouwelijkheid blijven mogelijk, bijvoorbeeld in het belang van de openbare veiligheid. Het onderscheppen van communicatie door geheime diensten en opsporingsdiensten is dus niet uitgesloten.

Bescherming van inhoud én metadata

De e-Privacy Verordening voorziet niet alleen in bescherming van inhoudelijke berichten en communicatie, maar ook in bescherming van zogenaamde “metadata”, ook wel verkeersgegevens. Dit zijn gegevens over communicatie, zoals het tijdstip, afzender, of locatie. Uit metadata kunnen tegenwoordig, mede gelet op de technologische ontwikkelingen en mogelijkheden, zeer precieze conclusies worden getrokken over het privéleven van de personen van wie de gegevens zijn bewaard. Voor de verwerking van zowel inhoudelijke gegevens als metadata moet onder de Verordening toestemming worden gevraagd. Ontbreekt die toestemming, dan moeten de gegevens in beginsel worden geanonimiseerd of verwijderd, tenzij de gegevens nog nodig zijn voor bijvoorbeeld factureringsdoeleinden.

Cookies

De bestaande cookieregels, die erop neerkomen dat voor het plaatsen of uitlezen van cookies voorafgaande en geïnformeerde toestemming (informed consent) nodig is, worden versimpeld. Toestemming kan voortaan worden geregeld via de browserinstellingen, waardoor consumenten minder worden geconfronteerd met cookie banners. Consumenten moeten de mogelijkheid hebben om te kiezen tussen strengere of minder strenge privacy instellingen. De door de gebruikers gemaakte keuzes zijn vervolgens bindend voor derde partijen/websites. Bovendien is voortaan geen toestemming meer nodig voor privacy-vriendelijke cookies die bedoeld zijn om de internet-ervaring van consumenten te verbeteren, zoals analytische cookies die het aantal bezoekers bijhouden. Een vergelijkbare uitzondering geldt al in Nederland. Voor tracking cookies, die het (online) gedrag van consumenten volgen, is wel geïnformeerde toestemming vereist.

Privacy instellingen software

De aanbieders van software voor elektronische communicatie zijn verplicht eindgebruikers in staat te stellen om keuzes te maken ten aanzien van privacy-instellingen. In ieder geval moet de software gebruikers in staat stellen om op het moment van installatie third party cookies te weigeren.

Anders dan in een eerder uitgelekt concept, bevat de concept e-Privacy Verordening geen privacy by default-verplichting voor hard- en softwareleveranciers. Privacy by default betekent dat zij apparaten moeten programmeren op de meest privacy vriendelijke manier.

Spam

Het spamverbod wordt uitgebreid. Voorafgaande toestemming van de gebruiker (een opt-in) is vereist voor alle vormen van commerciële communicatie, ongeacht de gebruikte technologie. Een uitzondering blijft mogelijk in het geval van een bestaande klantrelatie, mits altijd een opt-out wordt geboden.

Ook voor telemarketing is onder het voorstel in beginsel een opt-in vereist, al mogen de lidstaten ervoor kiezen om een bel-me-niet register te implementeren (zoals in Nederland al het geval is). Onder het voorstel mogen callcenters hun nummer verder niet meer verbergen, of moeten ze een speciale prefix gebruiken zodat het voor consumenten duidelijk is dat het om telemarketing gaat.

Handhaving door privacy-autoriteiten

De Verordening zal worden gehandhaafd door de nationale autoriteiten voor gegevensbescherming. In Nederland is dat de Autoriteit Persoonsgegevens. De toezichthouders krijgen de bevoegdheid om fikse boetes op te leggen.

Het vervolg…

Het voorstel van de Europese Commissie moet nu nog langs het Europees Parlement en de Raad. Er kan dus nog veel veranderen. Het streven is dat de Verordening in werking treedt op 25 mei 2018, gelijktijdig met de Privacy Verordening.

We houden jullie op de hoogte.

Op 14 april 2016 heeft het Europees Parlement de nieuwe Privacy Verordening goedgekeurd. De Verordening vervangt de verouderde Privacy Richtlijn van 1995 en versterkt de rechten van individuen in de online samenleving. De Verordening moet een einde maken aan de verschillende regels in EU lidstaten met betrekking tot de bescherming van persoonsgegevens en ‘harmonisatie’ – het toverwoord van de Europese Unie – versterken.

Sinds 2012 is de Europese Commissie voornemens om de privacy en gegevensbeschermingsregels op de schop te gooien. Nu, in 2016, is het definitieve ontwerp van de Privacy Verordening eindelijk rond en goedgekeurd door het Europees Parlement. Onderdeel van de hervorming is ook de nieuwe Richtlijn gegevensbescherming voor politie en justitie. Zoals gezegd speelt de nieuwe Verordening in op digitale en technologische ontwikkelingen. Een aantal veranderingen zijn hieronder uiteengezet.

Versterking van rechten van betrokkenen

De Verordening legt een recht op dataportabiliteit en een duidelijker recht om vergeten te worden vast. Dataportabiliteit (art. 20 Verordening) houdt in dat het gemakkelijker wordt om persoonsgegevens over te dragen van de ene dienstverlener naar de andere. Op deze manier kunnen individuen meer controle uitoefenen over hun data. Op grond van dit recht kan een individu bijvoorbeeld een social media netwerk als Facebook verplichten om alle persoonsgegevens betreffende dit individu over te dragen aan een andere partij.

Daarnaast wordt het recht om vergeten te worden (het ‘recht op gegevenswissing’, art. 17 Verodening) verduidelijkt en versterkt. Dit recht vloeit voort uit de spraakmakende Google Spain zaak van het Europese Hof van Justitie en heeft tot gevolg dat zoekmachines zoals Google bepaalde zoekresultaten over individuen moeten verwijderen “in gevallen waarin de privacyrechten van de persoon zwaarder wegen dan de belangen van de weergave van die resultaten.” Google weegt de privacy rechten van de betrokkene af “tegen het publieke belang om op de hoogte te zijn van deze informatie en het recht om deze informatie te distribueren.” In de nieuwe Verordening wordt dit recht versterkt. Als burgers willen dat hun gegevens niet meer worden verwerkt en er geen legitieme reden is om die gegevens te bewaren, worden deze verwijderd.

Verplichting om datalekken te melden

Bij ernstige inbreuken op de gegevensbescherming, zoals bijvoorbeeld een datalek, dienen nationale toezichthoudende instanties en betrokkenen zo snel mogelijk op de hoogte gesteld te worden om passende maatregelen te treffen (art. 33 en 34 Verordening). In Nederlands is sinds 1 januari 2016 al een meldplicht voor datalekken van kracht, waarbij inbreuken op beveiligingsmaatregelen voor persoonsgegevens gemeld moeten worden bij de Autoriteit Persoonsgegevens.

Meer bevoegdheden van nationale toezichthouders

Ook krijgen de nationale toezichthouders zoals de Autoriteit Persoonsgegevens meer bevoegdheden. Een van de uitbreidingen is het opleggen van hoge boetes voor overtredingen. Geldboetes van maximaal  €20.000.000,- of 4% van de totale wereldwijde omzet van de onderneming kunnen door toezichthouders worden opgelegd aan overtreders (art. 83 Verordening).

‘One-stop-shop’ toezicht

Verder introduceert de Privacy Verordening een ‘one-stop-shop’ systeem voor gegevensbescherming in de gehele Europese Unie. Dit systeem houdt in dat multinationals voortaan met één leading autoriteit te maken hebben, namelijk de toezichthouder van de lidstaat waar het bedrijf zijn hoofdkantoor heeft. Deze leading autoriteit coördineert de handhaving door de overige nationale toezichthouders.

En nu verder

Binnenkort wordt de Verordening gepubliceerd in het EU publicatieblad. In 2018 treden de nieuwe bepalingen in werking. Lidstaten hebben twee jaar de tijd om de nieuwe privacy regels toe te passen en de nieuwe Richtlijn met betrekking tot politiële en justitiële samenwerking te implementeren. Een aantal nieuwe regels is in Nederland al van kracht, zoals het meldplicht datalekken. Wij zijn benieuwd hoe de andere bepalingen uit de Privacy Verordening zullen worden toegepast.