In 2017 heeft de Europese Commissie een voorstel gepubliceerd voor een ePrivacy-verordening (ePV). Met het tot stand komen van deze verordening wordt beoogd de huidige e-privacyrichtlijn te moderniseren en te actualiseren zodat een geharmoniseerd wettelijk kader voor gegevensbescherming in Europa wordt gerealiseerd.[1] Op dit moment, bijna drie jaar na het gepubliceerde voorstel, is de definitieve tekst van de verordening nog steeds niet vastgesteld. Ook is het nog niet duidelijk wanneer de ePrivacy-verordening definitief in werking gaat treden. In mei 2019 waren de Europese Parlementsverkiezingen, waardoor de ontwikkelingen enige tijd hebben stilgelegen. De verordening ligt op dit moment bij de Raad van de Europese Unie (de regeringen van de 28 lidstaten). De laatste ontwikkelingen kunnen hier worden gevolgd. De ePV zal als lex specialis (specifieke wet) voorrang hebben op de Algemene Verordening Gegevensbescherming.
Nieuwe voorwaarden
De ePV is gericht op elektronische communicatiediensten, zoals sociale media en e-maildiensten (denk aan WhatsApp, Facebook en Gmail). De verordening stelt onder andere regels met betrekking tot profiling, cookies en wifi-tracking. De regels zoals ze in het huidige voorstel zijn gepresenteerd, worden hierna kort toegelicht.
1. Profiling
Voor het opstellen van gebruikersprofielen door middel van metadata is toestemming noodzakelijk. Daarnaast mogen deze metagegevens alleen worden gebruik voor het doel of de doelen waarvoor zij zijn verkregen (doelbinding). Bovenstaande geldt niet voor anonieme gegevens.
2.Cookies
Voor het plaatsen van marketing cookies dient toestemming gevraagd te worden (door middel van opt-in). Dit geldt niet voor analytische cookies (waarbij geen persoonsgegevens worden verzameld) en noodzakelijke cookies.
Cookiewalls zijn op grond van de ePV in sommige gevallen mogelijk, bijvoorbeeld wanneer er genoeg alternatieven voor de betreffende website zijn te vinden.
De toestemming voor marketing cookies kan tevens via standaardinstellingen (bijvoorbeeld via browsers of apps) worden gegeven. De verwachting is dat de meeste mensen het plaatsen van marketing cookies zullen weigeren, waardoor de cookiebanners naar alle waarschijnlijkheid blijven bestaan. De websites zullen dan namelijk alsnog toestemming vragen voor het plaatsen van de extra marketing cookies.
3.Wifi-tracking
Het bepalen van de locatie van mensen door middel van wifi is uitsluitend (zonder toestemming) mogelijk voor statische doeleinden en dient beperkt te zijn naar tijd en plaats. Tevens dienen de gegevens zo spoedig mogelijk geanonimiseerd te worden en is er een informatieplicht (zoals bij cameratoezicht het geval is).[2]
Toestemming wel de juiste grondslag?
De ePV is vooral gericht op het geven van toestemming als grondslag voor de verwerking van persoonsgegevens. Er is geen andere grondslag mogelijk, zoals bij de AVG wel het geval is. Het gevaar dat hierin schuilt, is dat mensen geen betekenis meer toekennen aan het geven van toestemming. Een goed voorbeeld daarvan is het geven van toestemming voor cookies. Doordat iedere website nu vraagt om toestemming door middel van een cookiebanner, zullen burgers sneller geneigd zijn om achteloos toestemming te geven. Het toestemmingsvereiste verliest hierdoor zijn waarde.
Geschreven door Tom Klatter en Judith Zwetsloot, IT-juristen bij Privacy1.
Wil je meer informatie over de ontwikkelingen omtrent de ePV? Neem dan contact op met de IT-juristen van Privacy1.
[1] https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:52017XX0720(01)&from=EN
[2] https://www.frankwatching.com/archive/2019/02/04/wat-gaat-de-eprivacy-verordening-epv-veranderen/