De Europese ePrivacy-wetgeving wordt vandaag de dag gereguleerd door de ePrivacy Richtlijn. Deze richtlijn is op het niveau van de lidstaten in de nationale wetgeving geïmplementeerd. In Nederland is de ePrivacy Richtlijn geïmplementeerd in de Telecommunicatiewet. De Europese Commissie heeft echter recent een tekstvoorstel gepresenteerd voor een Europese verordening, die de wetgeving op het gebied van elektronische communicatie (verder) moet gaan harmoniseren (de “ePrivacy Verordening“).
Doel en achtergrond van de ePrivacy Verordening
De ePrivacy Verordening is een onderdeel van het streven naar de zogenaamde ‘Digital Single Market’. Binnen de Europese Unie wordt toegewerkt naar een interne markt, waarbinnen personen, diensten, goederen en kapitaal zich vrij kunnen bewegen. De Digital Single Market is het aspect van die interne markt dat zich richt op elektronische communicatie, e-commerce en digitale marketing.
Het doel van de ePrivacy Verordening is om de ePrivacy-wetgeving in overeenstemming te brengen met de privacywetgeving uit de Algemene Verordening Gegevensbescherming. Laatstgenoemde verordening trad op 25 mei 2016 in werking en zal op 25 mei 2018 van kracht worden in de hele Europese Unie. De ePrivacy Verordening zal aansluiten bij de in de Algemene Verordening Gegevensbescherming gebruikte terminologie én de op grond daarvan op te leggen sancties (boetes). Frans Timmermans, vicepresident van de Europese Commissie, omschreef de ePrivacy Verordening als “de voltooiing van het Europese kader voor gegevensbescherming”. Het streven is dat de ePrivacy Verordening op hetzelfde moment van kracht wordt als de Algemene Verordening Gegevensbescherming.
Wat regelt de ePrivacy Verordening?
De ePrivacy Verordening regelt onder meer de volgende onderwerpen:
- Toepassingsgebied: De ePrivacy Richtlijn was alleen gericht op de traditionele telecombedrijven. Sindsdien zijn er echter nieuwe spelers op de markt gekomen. De ePrivacy Verordening strekt zich daarom ook uitdrukkelijk uit naar aanbieders van meer recente communicatiemiddelen zoals WhatsApp, Facebook Messenger en Gmail.
- Toestemming is key: Zonder toestemming van de gebruiker is het, in beginsel, niet meer toegestaan om sms-berichten, e-mails of gesproken berichten af te luisteren, te tappen of te scannen. De vereisten die aan toestemming worden gesteld, worden bovendien strenger. De uitzonderingssituaties waarin toestemming niet nodig is, worden in de ePrivacy Verordening geconcretiseerd.
- Vertrouwelijkheid van inhoud én metadata: De ePrivacy Verordening beschermt niet alleen de inhoud van elektronische communicatie, maar ook de zogenoemde metadata: informatie over de duur, afzenders/geadresseerden en tijdstip van de communicatie. Een uitzondering is gemaakt voor informatie die wordt verzameld voor facturatiedoeleinden.
- Jouw apparaat, jouw informatie: Op telefoons en computers staat tegenwoordig een schat aan informatie opgeslagen. Zonder toestemming van de gebruiker mogen bedrijven zich hier echter geen toegang tot verschaffen. Het toestemmingsvereiste geldt niet voor zogenoemde ‘niet-invasieve’ cookies, zoals cookies die het mogelijk maken om de inhoud van een digitaal winkelwagentje te behouden.
- Spam ja/nee: De ePrivacy Verordening verbiedt ongevraagde elektronische communicatie in de vorm van e-mails of sms-berichten. Lidstaten krijgen de ruimte om te bepalen hoe ze ongevraagde telefoontjes willen reguleren: ofwel door consumenten zelf te laten kiezen door middel van een bel-me-niet-register, danwel door het alsnog geheel te verbieden.
De handhaving van de ePrivacy Verordening zal in handen worden gelegd van de nationale autoriteiten persoonsgegevens; in Nederland is dat de Autoriteit Persoonsgegevens. Daarmee krijgt de Autoriteit Persoonsgegevens er, naast de handhaving van de meldplicht datalekken, nog een grote verantwoordelijkheid bij.
Gevolgen voor burgers en bedrijven
In haar persbericht van 10 januari 2017 legt de Europese Commissie veel nadruk op de mogelijkheden die de ePrivacy Verordening moet bieden aan bedrijven. Deze zijn met name gelegen in het feit dat zodra eenmaal toestemming is verkregen om bepaalde (meta)data te gebruiken, deze voor meerdere doeleinden mag worden gebruikt. Ook de vorm waarin de nieuwe wetgeving gegoten is, moet het voor ondernemingen makkelijker maken om de privacywetgeving na te leven. De nationale wetgeving op dit gebied van alle lidstaten wordt immers vervangen door één set regels die in de hele Europese Unie gaat gelden. Dit bevordert niet alleen de rechtseenheid, maar ook de rechtszekerheid op dit gebied.
Hoe verder?
Het voorstel van de Europese Commissie moet nu langs het Europees Parlement en de Raad van de Europese Unie. Bovendien zullen ook andere instituten in de Europese Unie zich naar alle waarschijnlijkheid over het voorstel uitlaten. In juli 2016 publiceerde de Artikel 29-werkgroep (“WP29”) een opinie met betrekking tot een herziening van de ePrivacy Richtlijn. In die opinie deed de WP29 onder meer aanbevelingen met betrekking tot de principes ‘privacy by default’ en ‘privacy by design’: het uitgangspunt dat de standaardinstellingen van apparaten een hoog privacy-niveau bieden. Deze aanbevelingen zijn vooralsnog niet in het huidige tekstvoorstel van de ePrivacy Verordening overgenomen. Het zal interessant zijn om te zien hoe de WP29 over de concept ePrivacy Verordening oordeelt.
Ovidius houdt u op de hoogte van de verdere ontwikkelingen via de pagina Privacy Update.
Bronnen: Richtlijn 2002/58/EG; Concept tekst ePrivacy Verordening; Opinie van de WP29 d.d. juli 2016; Persbericht van de Europese Commissie d.d. 10 januari 2017.