e-Privacy Verordening

e-Privacy verordening: stand van zaken

De AVG vierde onlangs haar eerste verjaardag, maar er komen alweer nieuwe Europese privacyregels aan. Het is de bedoeling dat later dit jaar de e-Privacy Verordening wordt aangenomen, met regels over de beveiliging en de vertrouwelijkheid van communicatie en data, over spam en over cookies.

Op 11 april jl. besprak ik de achtergrond bij de huidige e-privacyregels zoals die nu nog zijn opgenomen in de Nederlandse Telecommunicatiewet en ging ik alvast in op de toekomstige e-Privacy verordening.

Vrijheid van meningsuiting

Aan de orde kwam onder meer dat de huidige e-privacyregels oorspronkelijk uit de hoek van de vrijheid van meningsuiting komen. Cicero vermeldde soms al in zijn brieven dat hij niet alles vertelde, omdat hij geen betrouwbare koerier kon sturen. Op het moment dat iemand er niet zeker van is dat hetgeen hij schrijft geheim blijft, voelt diegene zich niet vrij zijn mening te uiten. Vandaar dat er aan het briefgeheim een groot belang wordt toegekend. Dit briefgeheim kwam in 1848 in onze Grondwet. Begin jaren 90, na de doorbraak van de staatsmonopolies op het gebied van telecom, waren er ook regels voor de private sector nodig.

Eerste e-privacy regels: 1997

De eerste e-privacyrichtlijn kwam in 1997 na 9 jaar onderhandelen tot stand en is in Nederland geïmplementeerd in de Telecommunicatiewet. De Europese Commissie heeft een aantal jaar geleden onderzoek gedaan en geconstateerd dat anno 2019 de huidige regels niet meer voldoen, omdat ze niet gelden voor over-the-top-communicatiediensten (OTT’s), de huidige cookieregels niet voldoen en omdat de oude e-Privacy richtlijn richtlijn op verschillende wijze is geïmplementeerd in diverse lidstaten. Net als de AVG worden de nieuwe regels in een verordening en niet langer in een richtlijn neergelegd.

e-privacyregels nodig naast de AVG?

Maar voldoet de AVG dan niet; is het nodig dat er weer nieuwe Europese privacy regels komen? Ja, dat is nodig. De AVG bevat bijvoorbeeld geen regels over de vertrouwelijkheid van communicatie en geeft ook geen regels ten aanzien van data die geen persoonsgegevens bevatten. Ook regels over spam en het telefonisch benaderen van personen vinden we niet terug in de AVG.

Het is dit moment helaas nog niet volledig duidelijk wat de inhoud zal zijn van de nieuwe e‑privacy verordening, omdat er nog geen definitieve versie is. Het voorstel van de Europese Commissie dateert al uit januari 2017 en in oktober 2018 nam het Europees Parlement een standpunt in, maar de Europese Raad heeft nog geen definitief standpunt ingenomen.

Spam

Voor wat betreft de regels over spam verandert er waarschijnlijk niet al te veel. De hoofdregel in de huidige telecomwet houdt in dat er toestemming nodig is voor de verzending van:

• elektronische berichten (SMS, e-mail, fax)
• met een commercieel, ideëel of charitatief karakter
  • tenzij er toestemming is gegeven
  • tenzij er een bestaande klantrelatie bestaat
    • waarbij het moet gaan om gelijksoortige producten en diensten en er ook altijd een opt out mogelijkheid moet worden geboden.

Cookies: wat is “vrije” toestemming?

Voor wat betreft de regels over cookies is het zaak dat er snel duidelijkheid komt over wat er nu precies wel en niet is toegestaan. Met name de vraag op welke wijze er toestemming moet en mag worden gegevens voor cookies is op dit moment een groot vraagteken. In de Telecomwet staat nu “bijvoorbeeld opgenomen dat de toegang tot een website van een publieke instelling, de NPO bijvoorbeeld, niet afhankelijk mag zijn van toestemming; zij mogen dus geen cookiemuur hanteren. De Autoriteit Persoonsgegevens heeft in maart 2019 echter als beleid gepresenteerd dat een cookiemuur nooit is toegestaan als het gaat om tracking cookies, omdat dat dat geen vrije toestemming kan zijn. Er wordt dan namelijk geen werkelijke keuze geboden volgens de AP, omdat de keuze alleen maar is: er is geen toegang óf je accepteert cookies. De ACM, de toezichthouder die primair toezicht houdt op de Telecomwet, hanteert echter een soepeler beleid.

Daarnaast heeft de advocaat-generaal bij het Europese Hof van Justitie van de EU – de adviseur van het Hof – recentelijk het Hof geadviseerd te oordelen dat vooraf aangevinkte vakjes bij cookies geen actieve handeling vormen en dus géén “AVG-proof” toestemming opleveren. Wanneer het Hof van Justitie dit oordeel overneemt moeten alle vakjes dus standaard staan uitgevinkt, waarbij gebruikers die actief moeten aanvinken om toestemming te geven voor het plaatsen van de cookies.

De Europese Raad heeft in het proces naar de ontwikkeling van de nieuwe e-Privacy verordening aangegeven een voorstander te zijn van het vergroten van keuzevrijheid bij consumenten, bijvoorbeeld door ook een betaalvariant van een website aan te bieden op het moment dat er geen cookies worden geaccepteerd.

Al deze verschillende opvattingen leiden tot onduidelijkheid over de huidige regels, zodat iedereen met smart wacht op nieuwe en duidelijke regels. Holla Advocaten houdt u op de hoogte!

Holla Advocaten: privacy scan en het Holla Privacy Seal

Holla advocaten kan uw onderneming begeleiden bij het voldoen aan de e-Privacy regels en aan de AVG door het uitvoeren van een privacy scan. U ontvangt dan een rapport van bevindingen met concrete aanbevelingen van maatregelen die geïmplementeerd kunnen worden om aan de regels te voldoen. Holla advocaten verzorgt daarnaast trainingen voor uw medewerkers om de kennis en awareness te vergroten. Wij kunnen ook een helpdesk voor u beschikbaar houden voor ad hoc vragen. Daarnaast mag u na een afgerond traject het Holla Privacy Seal voeren, om zo aandacht voor privacy binnen uw organisatie als unique selling point te promoten. Wilt u hier meer over weten? Neem dan contact op met Kim de Bonth.