Het voorstel voor een ePrivacy Verordening - de vertrouwelijkheid van communicatie

1. Inleiding

Het stof rond de GDPR (de Engelse benaming die veelal gebruikt wordt voor de Algemene Verordening Gegevensbescherming) is nauwelijks gaan liggen of er zit een nieuwe Europese wet aan te komen, nl. de Verordening met betrekking tot de eerbiediging van het privéleven en de bescherming van de persoonsgegevens in elektronische communicaties, ook genaamd de ePrivacy Verordening, voorlopig nog slechts een voorstel (COM (2017) 10 final, 2017/003 (COD)).

Het objectief van het voorstel van ePrivacy Verordening is om het vertrouwen van de burgers in het aanbod van digitale (online) diensten te vergroten, om de regels rond cookies te vereenvoudigen en om de marketing van bedrijven transparanter te maken.

Dit voorstel van ePrivacy Verordening zal de ePrivacy Richtlijn 2002/58/EC (ook Cookie Richtlijn genoemd) vervangen en de bedoeling is om de verschillende nationale ePrivacy wetgevingen te harmoniseren en in lijn te brengen met de Algemene Verordening Gegevensbescherming (of GDPR). 

Er is gekozen voor een verordening en niet voor een richtlijn.

Het voordeel van een verordening is, dat het een Europese wet is die in alle landen tegelijkertijd en zonder aanpassingen van kracht is. Een richtlijn moet daarentegen door de nationale wetgevers omgezet worden in nationale wet en dat leidt vaak tot grote verschillen in interpretatie van de tekst van de richtlijn tussen de 28 lidstaten en dus tot lastig navigeren voor bedrijven die in de verschillende lidstaten actief zijn.

Dit voorstel van verordening wil de vertrouwelijkheid van alle elektronische communicatie garanderen, waarbij alle communicatie wordt geviseerd, zowel de traditionele (reeds geregeld onder de oude ePrivacy Richtlijn) als de nieuwe elektronische communicatiemiddelen (Skype, WhatsApp, Facebook Messenger, Gmail, iMessage, in-platform messages, bv. Facebook en Twitter), dus ongeacht de gebruikte technologie. 

Deze verordening wil ook de bepalingen omtrent cookies vereenvoudigen door meer keuze te geven aan de gebruikers. 

Ook de vertrouwelijkheid van metagegevens wordt door de nieuwe verordening gegarandeerd. Metagegevens zijn bijvoorbeeld gegevens die je locatie vrijgeven, de datum en de tijd waarop je communiceerde en het type van telefoon (android of apple) dat je gebruikte. De verordening zal ook van toepassing zijn op machine-tot-machine communicatie als de informatie of metagegevens die door de machines wordt uitgewisseld betrekking heeft op persoonsgegevens. Deze metagegevens worden beschouwd als gevoelige persoonsgegevens en moeten onder de ePrivacy Verordening altijd ofwel worden verwijderd ofwel worden geanonimiseerd als de gebruikers hun toestemming voor het gebruik ervan niet hebben gegeven, tenzij deze data nodig is voor de facturatie, en dan ook mogen ze enkel voor het doeleinde van facturatie worden gebruikt. 

2. Toepassingsgebied

De ontwerp tekst van de ePrivacy Verordening is van toepassing op de verwerking van elektronische communicatiegegevens in verband met het aanbieden en het gebruiken van elektronische communicatiediensten en op de informatie met betrekking tot de eindapparatuur van eindgebruikers.   

"Elektronische communicatiegegevens" zijn de inhoud uitgewisseld door middel van elektronische communicatiediensten, zoals tekst, spraak, video, beeld, geluid, alsook de metagegevens van elektronische communicatie

"Elektronische communicatiegegevens" zijn de inhoud uitgewisseld door middel van elektronische communicatiediensten, zoals tekst, spraak, video, beeld, geluid, alsook de metagegevens van elektronische communicatie. Dat zijn gegevens die verwerkt worden in een elektronisch communicatienetwerk met het oog op de transmissie, de distributie of de uitwisseling van de elektronische communicatie inhoud; met inbegrip van gegevens die worden gebruikt voor de opsporing en identificatie van de bron en de bestemming, van de communicatie, gegevens betreffende de locatie van de apparatuur die bij het aanbieden van de elektronische-communicatiediensten worden gegenereerd, en de datum, het tijdstip, de duur en het soort communicatie. 

Elektronische communicatiegegevens kunnen ook informatie betreffende rechtspersonen weergeven, zoals bedrijfsgeheimen of andere gevoelige gegevens met een economische waarde.   

Derhalve gelden de bepalingen van de ePrivacy Verordening zowel voor natuurlijke personen als voor rechtspersonen. 

"Elektronische communicatiediensten" zijn niet allen diensten voor toegang tot internet en diensten die geheel of gedeeltelijk bestaan in het overbrengen van signalen, maar ook persoonlijke communicatiediensten, die al dan niet gebruik maken van nummers, zoals voice over IP, berichtendiensten en webmail. 

Apparaten praten vandaag de dag ook met elkaar via elektronische communicatienetwerken (internet of things). De uitwisseling van communicatie van machine tot machine vormt ook een elektronische communicatiedienst en valt mede onder de ePrivacy Verordening.

Ook hotspots (internettoegang via een draadloos netwerk) vallen onder het toepassingsgebied van de verordening voor zover deze dienst wordt verleend aan een onbepaalde groep van eindgebruikers. Gaat het om een gesloten intra-netwerk, bijvoorbeeld voor een bedrijf, dan is de verordening niet van toepassing.

3. Belangrijke verwachte wijzigingen

Het voorstel van Privacy Verordening is in lijn gebracht met de GDPR waardoor een groot aantal van de definities en begrippen ervan moeten worden gelezen en geïnterpreteerd in de lijn van de GDPR Verordening, o.a. het begrip toestemming zou in principe dezelfde strenge inhoud krijgen als onder de GDPR. 

Zoals met de GDPR heeft dit voorstel een breed territoriaal toepassingsgebied en zal het worden toegepast op alle communicatiegegevens die verwerkt worden in relatie tot dienstverleningen van buiten de EU aan gebruikers in de EU. Sancties zullen net als die onder de GDPR, kunnen oplopen tot een 20 miljoen euro boete of 4% van de wereldwijde jaarlijkse omzet.  Deze verantwoordelijkheid is van toepassing zowel op hardware als of software fabrikanten alsook op service providers.

Dit nieuw voorstel van verordening stelt voor dat wanneer cookies enkel gebruikt worden  voor "configuratie", dus technische doeleinden (bv. je digitaal winkelmandje onthouden), de toestemming van de gebruiker voor het plaatsten van cookies niet meer moet worden gevraagd. Maar als het de bedoeling is om te gaan traceren met de cookies dan kan het niet meer ongevraagd. Daarvoor moet voorafgaandelijk toestemming worden gegeven - door gebruik te maken van passende technische instellingen van een softwaretoepassing die toegang tot het internet mogelijk maakt (bv. door een default setting in je browser, waarbij je uitdrukkelijk opt-in moet doen voor cookies). Cookies worden gebruikt om gebruikers te volgen tijdens hun gebruik van het Internet en over de websites heen. Bedrijven die toegang hebben tot die informatie gebruiken die dan voor profiling, adverteren en andere commerciële doeleinden. Dit constant volgen houdt grote privacy risico's in en maakt dat de gebruiker de controle over zijn persoonlijke data volledig uit handen geeft.

De wetgever wil ook af van de "tracking-walls". "Tracking-walls" betekent dat voor de gebruikers die geen toestemming geven om via cookies te worden getraceerd over verdere websites, de toegang tot de websites waartoe ze toegang zoeken zal worden ontzegd. Dat is wat "tracking-walls" doen, je wordt verplicht om toestemming te geven dat je wordt getraceerd door derde partij cookies, terwijl deze cookies meestal niet nodig zijn voor de dienstverlening. De wetgever vond het cruciaal dat gebruikers in staat zijn de dienst te gebruiken zonder te worden getraceerd, en zeker niet door derde partijen en in situaties waar de gebruiker afhankelijk is van de dienst, bij gebrek aan alternatief bijvoorbeeld.

Bijgevolg zal een dienstverlener de dienst niet meer kunnen weigeren omdat de gebruiker zijn of haar toestemming niet heeft gegeven (ro 18 van het voorstel van ePrivacy Verordening): "De toestemming voor de verwerking van gegevens van internet- of spraakcommunicatiediensten is niet geldig indien de betrokkene geen echte vrije keuze heeft of niet in staat is zijn toestemming te weigeren of in te trekken zonder nadelige gevolgen." "Toestemming" onder de GDPR is maar geldig als ze vrij is gegeven. Dit betekent dat toestemming niet vrij zal zijn als de verstrekking van de dienst afhankelijk wordt gemaakt van het geven van toestemming door het individu.

Wat als gebruikers nu geen toestemming geven voor het traceren via cookies? Het Europese Parlement heeft al aangegeven niet te willen dat er een keuze komt tussen de gratis content die vandaag wordt gegeven in ruil voor persoonsgegevens en diezelfde content waarvoor je ook zult kunnen betalen maar die dan trackingsvrij wordt aangeboden. Als toestemming niet noodzakelijk is voor de vervulling van de dienst dan moet je de dienst toch nog geven als de consument weigert om zijn toestemming te geven. 

Persoonsgegevens zijn geen handelswaar.

Het huidige voorstel ePrivacy Verordening laat ondernemingen achter met vele vragen en onzekerheden en vooral hoe bedrijven op een rendabele en voor consumenten nog steeds aantrekkelijke manier zich in regel kunnen stellen met deze nieuwe wetgeving. Dit zal een uitdaging zijn voor veel ondernemingen en vooral voor de op "behavioral advertising" gesteunde business modellen, namelijk business modellen waarmee online gedrag van de bezoekers van een website wordt gemonitord en verzameld om advertenties en websitecontent beter af te stemmen.

Direct marketing wordt onderworpen aan voorafgaandelijk opt-in en vervolgens een gemakkelijk opt-out systeem.De betrokkenen moeten hun toestemming hebben gegeven. Daarvoor moet een systeem worden uitgewerkt dat hopelijk niet opnieuw leidt tot de vervelende pop-up vensters die om toestemming vragen. De "privacy by default"-regel veronderstelt dat alle systemen (browsers bijvoorbeeld) standaard op "do not track" staan en er dus niet wordt getraceerd of direct marketing gestuurd wordt, dan slechts met toestemming. En de toestemming zal een toestemming moeten zijn zoals voorzien onder de GDPR.

Houd er rekening mee dat de toestemmingseis van de GDPR vanaf 26 mei 2018 in principe ook van toepassing zal zijn op de bestaande ePrivacy wetgeving.