De ePrivacy Verordening – Na vier jaar onderhandelen eindelijk overeenstemming bereikt

Na vier jaar onderhandelen hebben de vertegenwoordigers van de EU-lidstaten op 10 februari 2021 eindelijk overeenstemming bereikt over het onderhandelingsmandaat voor een nieuwe ePrivacy Verordening. Onder het Portugese voorzitterschap werd de door de EU-lidstaten een goedgekeurde conceptversie ingediend. Met het bereiken van deze overeenstemming start de laatste onderhandelingsfase, ook wel ‘triloog’ genoemd, over de definitieve tekst van de ePrivacy Verordening met het Europees Parlement en de Europese Commissie. Maar het kan nog even duren voordat de definitieve tekst van de ePrivacy Verordening wordt aangenomen.  

De ePrivacy Verordening   

Op 10 januari 2017 publiceerde de Europese Commissie een eerste ontwerp van de ePrivacy Verordening , voluit ‘Verordening van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van de Richtlijn 2002/58/ EG (ePrivacy Richtlijn). In de nieuwe ePrivacy Verordening wordt het toepassingsgebied uitgebreid met IoT-diensten (Internet of Things) en OTT-diensten (Over-the-Top communicatiediensten). Daarnaast omvat de ePrivacy Verordening ook regels met betrekking tot cookies, direct marketing en het gebruik van metadata door elektronische communicatiediensten.

Herkomst van de ePrivacy Verordening

Herziening van de ePrivacy Richtlijn was aangekondigd om een hoog niveau van bescherming van de persoonlijke levenssfeer voor gebruikers van elektronische communicatiediensten en een gelijk speelveld voor alle marktdeelnemers te garanderen. Dit was nodig omdat zij beter zou zijn afgestemd op de doelstellingen van de strategie voor de digitale eengemaakte markt alsook in samenhang met de Algemene Verordening Gegevensbescherming (AVG), die op 25 mei 2018 in werking is getreden. Aanvankelijk was het de bedoeling dat de ePrivacy Verordening gelijktijdig met de AVG in werking te laten treden. Dit is niet gelukt vanwege onenigheid over de definitieve uitwerking daarvan. Het eerste ontwerp van de ePrivacy Verordening heeft in de afgelopen jaren negen verschillende voorzitterschappen van de Raad van de Europese Unie doorkruist, die elk een bijdrage hebben geleverd aan de tekst van de ePrivacy Verordening.

Wisselwerking met de AVG

De AVG en straks de ePrivacy Verordening zijn onderdeel van een breder pakket van de bescherming van natuurlijke personen betreffende de verwerking van persoonsgegevens in de Europese Unie, maar hebben een ander toepassingsgebied. Daar waar de AVG elke vorm van verwerking van persoonsgegevens beslaat en alleen van toepassing is op natuurlijke personen, is de ePrivacy Verordening van toepassing op de verwerking van alle elektronische communicatiegegevens en op eindgebruikers die rechtspersonen[1] zijn. Elektronische communicatiegegevens kunnen informatie omtrent betreffende rechtspersonen weergeven, zoals bedrijfsgeheimen of andere gevoelige gegevens met een economische waarde.

In tegenstelling tot de AVG is de ePrivacy Verordening een ‘Lex Specialis’. De ePrivacy Verordening heeft dus voorrang op de algemene wet (Lex Generalis). Alle onderwerpen in verband met de verwerking van persoonsgegevens die niet uitdrukkelijk in de ePrivacy Verordening worden behandeld vallen onder de AVG. Afstemming op de AVG heeft ertoe geleid dat bepalingen over boeteclausules en toestemmingsvereisten worden gelijkgetrokken met de AVG.

Enkele belangrijke verwachte wijzigingen in de ePrivacy Verordening:     

Over-the-top-communicatiediensten (OTT-diensten): OTT-diensten zijn diensten die via breedband en over het open netwerk worden aangeboden. Zij vormen de tegenpool van de managed services van de traditionele operators, die over een eigen netwerk worden aangeboden. Het gaat om zowel spraak- en chat- als videodiensten en om zowel de vaste als de mobiele markt.[2] Voorbeelden hiervan zijn: Facebook, datingwebsites, Gmail en WhatsApp.

De huidige ePrivacy Richtlijn is van toepassing op de verwerking van de persoonsgegevens in verband met de levering van elektronische communicatiediensten over openbare communicatienetwerken, dit zijn de zogenoemde ‘traditionele’ telecomaanbieders. Uitbreiding van het toepassingsgebied is bedoeld om te zorgen voor een doeltreffende wettelijke bescherming van de eerbiediging van het privéleven en de communicatie waar de hierboven aangegeven OTT-diensten ook in acht worden genomen.

Internet of Things (IoT): Aangesloten apparaten en machines gaan steeds meer met elkaar communiceren. IoT gaat over de communicatie tussen apparaten en bestaat uit objecten uit ons dagelijks leven en een IT-infrastructuur die deze objecten via het internet met elkaar verbindt. De IoT-diensten verzamelen ook persoonsgegevens, denk bijvoorbeeld aan gegevens van de gebruikers en metadata.

Met het oog op een volledige bescherming van het recht op privacy en vertrouwelijkheid van communicatie is de ePrivacy Verordening ook van toepassing op de gegevens die via apparaten worden verstuurd. Enkele voorbeelden hiervan zijn het identificeren van pakketten en tracking van zendingen op het internet, verzamelen van informatie over rijgedrag, het bedienen van netwerk en keukenapparatuur met apps en monitoren van gezondheid door middel van apps en fitnesspolsbandjes.[3]

Metagegevens: Elektronische communicatiegegevens omvat ‘’inhoud en metagegevens van elektronische communicatie’’. Metagegevens met betrekking tot elektronische communicatie kan zeer gevoelige en persoonlijke informatie weergeven, waarmee conclusies kunnen worden getrokken over het privéleven van personen die bij de elektronische communicatie betrokken zijn. Deze metagegevens omvatten bijvoorbeeld opgeroepen nummers, bezochte websites, geografische locatie, het tijdstip, de datum en de duur, etc.

In het voorstel zijn een aantal gronden opgenomen voor het verwerken van metagegevens zonder toestemming van de gebruiker; bijvoorbeeld voor netwerkbeheer en informatiebeveiliging, of als het noodzakelijk is voor de uitvoering van een dienst (facturering en het opsporen en beëindigen van fraudeleus gebruik) en om de vitale belangen van de gebruikers te beschermen (verspreiding van epidemieën in kaart te brengen en humanitaire noodsituaties).

Cookiemuren: Cookies zijn kleine bestanden die een aanbieder van een website plaatst op de apparatuur van een websitebezoeker, bijvoorbeeld op een computer, tablet of telefoon. Met cookies kan informatie worden verzameld en opgeslagen over een websitebezoek of een gebruiker. Voor het gebruik van cookies gelden wettelijke regels, opgenomen in de Telecommunicatiewet. De AVG is ook van toepassing op tracking-cookies, in combinatie met overige gegevens die van een websitebezoeker worden verzameld.

In het voorstel van de ePrivacy Verordening is opgenomen dat het gebruik van cookiemuren is toegestaan, mits aan de eindgebruikers een gelijkwaardige optie wordt aangeboden waarbij de aanvaarding van cookies niet verplicht wordt gesteld. Softwareaanbieders worden aangemoedigd om instellingen in hun software op te nemen waarmee eindgebruikers op een vriendelijke en transparante manier kunnen beheren, wijzigen en intrekken door eenvoudig de zogenoemde ‘white-lists’ van cookies op te stellen.

Hoe nu verder?  

Alhoewel de ePrivacy Verordening nog niet officieel in werking is getreden kunnen organisaties zich alvast voorbereiden op de komst van deze Verordening. Indien u meer inzicht wil krijgen in de verwerking van elektronische communicatiegegevens, de mogelijke risico’s en de te treffen maatregelen naar aanleiding van de verwachte wijzigingen kan Capgemini u helpen met het uitvoeren van een assessment. Kijk op onze website voor meer informatie over onze diensten Data Protection Assessments, Marketing Compliance en onze overige diensten en services.

De komende periode zullen we de laatste fase van de onderhandelingen voortdurend blijven volgen. Houd onze blogs in de gaten voor actuele ePrivacy ontwikkelingen. Voor meer informatie over de ePrivacy Verordening en voor vragen over dit artikel kunt u vrijblijvend contact opnemen met Samantha Anroedh, samantha.anroedh@capgemini.com.

[1] Zoals NV’s, BV’s, stichtingen en verenigingen.

[2] Overzicht markt voor over-the-top diensten Nederland

[3] https://www.eprivacy.eu/consulting/internet-of-things/