De meeste bedrijven in Europa zijn nog druk bezig met de gevolgen van de Algemene Verordening Gegevensbescherming. Maar ondertussen staat de volgende privacywet voor de deur: de e-Privacyverordening.
Door: Raymond Snijders
Alle aandacht rondom privacy gaat nog steeds uit naar de Algemene Verordening Gegevensbescherming (AVG) die in mei 2018 van kracht werd. De Autoriteit Persoonsgegevens (AP) is namelijk pas sinds kort begonnen met actief handhaven nu de ‘gewenningsperiode’ wel een beetje voorbij is. Bedrijven en instanties worden gecontroleerd en de AP neemt duizenden meldingen van burgers in behandeling.
Nieuwe richtlijn
Maar er is nog een strenge privacywet waar niet alleen bedrijven maar ook burgers mee te maken hebben. De huidige Europese e-Privacyrichtlijn uit 2002 regelt de bescherming van privacy en persoonsgegevens in de telecomsector. In Nederland is deze richtlijn verwerkt in de Telecommunicatiewet en er zijn (strenge) regels over onder andere het verwerken van zoek- en klikgedrag via cookies.
Het was de bedoeling om de aangescherpte e-Privacyrichtlijn tegelijk met de AVG te laten ingaan. Dat ging niet door omdat de discussies in het Europees Parlement niet op tijd waren afgerond. Inmiddels is er een conceptversie die dit jaar waarschijnlijk goedgekeurd gaat worden. De definitieve teksten volgen in 2020, waarna de nieuwe verordening van start kan gaan.
Verordening
Het is goed om te beseffen dat de oude e-Privacyrichtlijn wordt omgezet in een e-Privacyverordening. Een Europese verordening wordt rechtstreeks geldend recht in alle Europese lidstaten zonder dat deze verwerkt hoeft te worden in lokale wet- en regelgeving, zoals dat met een richtlijn wel moet gebeuren. Er is dus geen traject van (maximaal) twee jaar nodig om tot inwerkingtreding van de nieuwe privacyregels te komen, zoals dat met de AVG en de huidige e-Privacyrichtlijn wel het geval was.
Wat staat erin?
De e-Privacyverordening (ePV) heet voluit: ‘Verordening van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie)’. Simpel gezegd komt het neer op strenge(re) regels voor de verwerking van persoonsgegevens voor elektronische communicatiediensten. Denk daarbij aan internet maar ook alle diensten van Facebook en Google.
Regelt de AVG alles rondom het verwerken van persoonsgegevens als algemene wet (lex generalis), de ePV gaat dat specifieker invullen voor alle online diensten (lex specialis). Mocht er een overlap zijn, dan is de ePV bepalend. Daarom zal de impact zo mogelijk nog groter zijn dan de invoering van de AVG.
Vooral cookies
De ePV bevat nieuwe regels over onder andere de minimumeisen van ‘privacy by design’, hoe apparaten van gebruikers herkend mogen worden en wat er commercieel (niet) mag met verzamelde persoonsgegevens. Maar bovenal moet het de problemen rondom cookies en cookiewalls gaan oplossen. Een enorme uitdaging. Zo blijkt uit door de EU uitgevoerde evaluaties dat burgers niet willen nadenken over toestemming geven voor elke website die ze bezoeken – ze drukken klakkeloos op de knoppen in cookiewalls. Ondertussen leunen bedrijven steeds zwaarder op cookies om nieuwe functionaliteiten en webdiensten mogelijk te maken.
Hoe moeten websites bijvoorbeeld zorgen voor toestemming van alle bezoekers en gebruikers, op een manier die ervoor zorgt dat mensen een afgewogen keuze maken? Op die vraag geeft de ePV helaas geen antwoord. Hoe dan ook, de invoering van de e-Privacyverordening gaat een forse impact hebben op alle bedrijven, marketeers en burgers.
Raymond Snijders is senior informatiebemiddelaar bij Hogeschool Windesheim
Deze bijdrage komt uit IP nr. 2 / 2019. Het gehele nummer kun je hier lezen.