Nog langere privacyrechtelijke tentakels: de e-Privacy Verordening

Zijn de voorbereidingen op de Europese Privacy Verordening nog in volle gang, is daar alweer het volgende ‘privacyrechtelijke paradepaardje’ van de Europese Commissie: de e-Privacy Verordening. Deze verordening met langere beschermende tentakels bevat aanvullende regels op de Europese Privacy Verordening en zal een deel van de Telecommunicatiewet gaan vervangen.

De Europese Commissie streeft ernaar deze verordening gelijktijdig met de Europese Privacy Verordening per 25 mei 2018 in werking te laten treden, maar steeds meer ingewijden verwachten (gedeeltelijk) uitstel.

Ruime toepasselijkheid e-Privacy Verordening

Voor wie geldt de e-Privacy Verordening? Deze verordening is van toepassing op alle aanbieders van telecommunicatiediensten en andere online diensten die elektronische communicatiegegevens of informatie over de apparatuur van gebruikers binnen de Europese Unie verwerken. Dit betekent allereerst dat de traditionele aanbieders van telecommunicatiediensten, zoals Ziggo of KPN, zich dienen te houden aan de e-Privacy Verordening. Tot zover niets nieuws onder de zon. Wel nieuw is dat de tentakels van de e-Privacy Verordening zich ook uitspreiden over de aanbieders van online diensten die elektronische communicatie mogelijk maken, de zogeheten ‘over-the-top-diensten’. Denk bijvoorbeeld aan diensten als Facebook Messenger, WhatsApp, Gmail en Skype.

Bescherming inhoud en metadata

De e-Privacy Verordening beschermt de vertrouwelijkheid van de inhoud van elektronische communicatiegegevens. Echter, ‘the internet of things’ brengt met zich mee dat elektronische apparaten, zoals smartphones, steeds vaker onderling gegevens uitwisselen. Bijvoorbeeld gegevens die betrekking hebben op de identiteit en de locatie van de gebruiker. De e-Privacy Verordening springt daarom in dat gat en spreidt haar beschermende tentakels ook uit over de zogenoemde metadata. Metadata betreft de informatie over communicatie tussen verschillende elektronische apparaten, zoals locatiegegevens, datum, tijdstip en duur van die communicatie.

Vertrouwelijkheid elektronische communicatiegegevens

Elektronische communicatiegegevens zijn vertrouwelijk. Het verwerken van elektronische communicatiegegevens kan in de meeste gevallen niet zonder toestemming van de betrokken gebruiker. Zonder toestemming dienen deze gegevens te worden geanonimiseerd of verwijderd. Het gebruik van bijvoorbeeld programma’s die ongemerkt de surfgewoonten van gebruikers volgen, zijn daarom niet zomaar toegestaan.

Wel is voorzien in enkele uitzonderingen op het hiervoor genoemde vertrouwelijkheidsbeginsel. Voorbeelden van uitzonderingen zijn de noodzaak om de transmissie van communicatie tot stand te brengen of het controleren van e-mails op malware. Aanbieders van elektronische communicatiediensten worden daarin niet beperkt.

Privacy-instellingen en cookies

Nieuw is dat aanbieders van elektronische communicatiediensten bij installatie van software de gebruiker moeten informeren over de verschillende opties in de privacy-instellingen. De software zal de gebruiker de mogelijkheid moeten bieden tijdens het installatieproces een keuze te kunnen maken in de privacy-instellingen. De gebruiker moet hierbij kunnen kiezen tussen strengere en minder strengere privacy-instellingen.

De tentakels van de e-Privacy Verordening reiken zich ook uit tot software die op het moment van inwerkingtreding van deze verordening al is geïnstalleerd. Voor deze software geldt dat de gebruiker bij de eerste update van de software de privacy-instellingen moet kunnen kiezen en anders uiterlijk op 25 augustus 2018.

Daarnaast zal de gebruiker de mogelijkheid moeten krijgen om middels de privacy-instellingen te verhinderen dat derden informatie in hun elektronische apparatuur opslaan of de daarop opgeslagen informatie verwerken, zoals dat bijvoorbeeld met cookies gebeurt. De toestemming voor het gebruik van cookies dient via de privacy-instellingen te worden gevraagd. De keuze die de gebruiker middels de privacy-instellingen maakt, bindt ook derde partijen en websites van anderen. Voor aanbieders van websites worden daarmee cookiewalls overbodig. Ongewijzigd blijft dat er geen toestemming vereist is voor cookies die bedoeld zijn om de internetervaring van de gebruiker te verbeteren en die privacy-vriendelijk zijn, zoals analytische en technische cookies, hoewel het toepassingsgebied van sommige van deze uitzonderingen wat beperkter lijken dan onder de huidige regels.

Direct marketing en spam

Commerciële communicatie wordt ook gevangen door de tentakels van de e-Privacy Verordening. Onder de e-Privacy Verordening geldt dat commerciële communicatie, zoals advertenties en nieuwsbrieven, alleen is toegestaan na daartoe voorafgaand toestemming van de gebruiker te hebben verkregen (een opt-in). De vorm of gebruikte technologie voor commerciële communicatie doet niet ter zake.

Geen voorafgaande toestemming is vereist indien elektronische contactgegevens zijn verkregen in het kader van de verkoop van een product of een dienst en deze gegevens vervolgens worden gebruikt voor communicatie die betrekking heeft op soortgelijke producten of diensten. Wel zal te allen tijde een mogelijkheid tot opt-out geboden moeten worden. Bovendien is verplicht de gebruiker te informeren over de wijze waarop hij zijn toestemming kan intrekken.

Toezicht, rechtsmiddelen en sancties

De Autoriteit Persoonsgegevens zal in Nederland toezicht houden op naleving van de e-Privacy Verordening. De bevoegdheden van de Autoriteit Persoonsgegevens sluiten aan bij de bevoegdheden die zij heeft op grond van de Europese Privacy Verordening. Te denken valt aan de boetebevoegdheden tot maximaal € 20.000.000,-- of 4% van de totale wereldwijde jaaromzet per overtreding van de e-Privacy Verordening. Daarnaast kan de betrokken gebruiker de aanbieder van een elektronische communicatiedienst in rechte aanspreken, een schadevergoeding eisen of een klacht indienen bij de Autoriteit Persoonsgegevens.

Afronding

De Europese privacywaakhonden zijn positief gestemd over de e-Privacy Verordening. Desondanks hebben zij – evenals de artikel 29 werkgroep (dit is een advies -en overlegorgaan van Europese privacytoezichthouders) – toch enkele zorgen geuit over een aantal bepalingen die privacy zouden kunnen ondermijnen. Zo is bijvoorbeeld commentaar op de nogal liberaal bevonden voorgestelde regels over het verwerken van locatiegegevens in het kader van WiFi-tracking. Deze organisaties roepen de Europese Commissie daarom op om de e-Privacy Verordening zodanig aan te passen dat hun zorgen worden weggenomen. Vooralsnog is onduidelijk wat de Europese Commissie met deze oproep gaat doen. Het is daarom nog maar de vraag of het gaat lukken om de e-Privacy Verordening op 25 mei 2018 in werking te laten treden.

Toch doet u er goed aan om bij de voorbereidingen op de Europese Privacy Verordening ook gelijk rekening te houden met de op komst zijnde e-Privacy Verordening. Immers, buiten kijf staat dat de tentakels van de e-Privacy Verordening op een aantal punten een hoger niveau van privacybescherming vereisen dan de huidige wet- en regelgeving.