21.05.19
bijgewerkt 21.10.20
Mario Steinberg
0 commentaren
E-privacyverordening: wat staat je te wachten?

E-privacyverordening: wat komt er eigenlijk op je af?

Hoewel de verordening betreffende privacy en elektronische communicatie (e-privacy-verordening) naar verwachting pas later in 2020 zal worden vastgesteld, werpt zij nu al haar schaduw vooruit. In dit artikel wil ik u een overzicht geven van wat de E-Privacy Verordening inhoudt, wat de huidige juridische situatie is voor het gebruik van tracking tools, en hoe dit zou kunnen veranderen onder het EPVO. Aan het eind zal ik kort uiteenzetten waarom ik denk dat de nieuwe verordening belangrijk is. Maar geen paniek: Net zoals de wereld, tegen alle voorspellingen in, zal veranderen met het van kracht worden van de AVG 25.05.2018 niet is afgelopen, valt niet hetzelfde te verwachten voor de geldigheid van de e-privacyverordening.

I. De E-Privacy Verordening

1. Wat is de E-Privacy Verordening?

De E-Privacy Verordening (EPVO) is een ontwerp-verordening die momenteel op Europees niveau wordt besproken door de Europese Commissie. ontwerp-verordening van de Europese Commissiedie de e-privacyrichtlijn vervangt (Richtlijn 2002/58/EGlaatstelijk gewijzigd bij Richtlijn 2009/136/EG(E-privacyrichtlijn), die sinds 2002 van kracht is, en om deze aan te passen aan de huidige stand van de technologie (zo vallen zogenoemde over-the-top-diensten, d.w.z. op IP gebaseerde communicatiediensten, momenteel niet onder de E-privacyrichtlijn).

Als Europese verordening zal de ePV onmiddelijk en direct in de hele Europese Unie gelden. In tegenstelling tot de e-privacyrichtlijn zal deze niet afhankelijk zijn van de implementatie in de nationale wetgeving door de afzonderlijke lidstaten. Deze omzetting van de e-privacyrichtlijn in nationaal recht heeft in Duitsland overigens nooit plaatsgevonden voor zover het gaat om het gedeelte van de gegevensbescherming dat relevant is voor websitebeheerders.

2. Wat is het doel van de e-privacyverordening?

Met de e-privacyverordening moeten de vertrouwelijkheid van de communicatie en de vertrouwelijkheid en integriteit van de eindapparatuur van de gebruikers beschermd worden.

Eenvoudig gezegd: gebruikers moeten bij het bezoeken van een website of een e-mail- of messenger-dienst worden beschermd tegen bespionering zonder dat zij daarvan op de hoogte zijn

In tegenstelling tot de AVG worden niet alleen natuurlijke personen (mensen) maar ook rechtspersonen (bedrijven en verenigingen) beschermd. De verordening inzake e-privacy verduidelijkt en vult de AVG inzake elektronische communicatiegegevens, die persoonsgegevens zijn, aan.

3. Wat regelt de E-Privacy Verordening?

De e-privacyverordening regelt niet alleen de communicatie via (klassieke) spraaktelefonie, tekstberichten (SMS) en e-mail, maar ook de communicatie via VoIP-telefonie, messenger-diensten en webgebaseerde e-maildiensten. Zij geldt ook voor de steeds belangrijker wordende machine-to-machinecommunicatie (trefwoord "Internet der dingen").

De ePV besteedt bijzondere aandacht aan de manier waarop informatie wordt opgeslagen of verzonden, opgevraagd of verwerkt door de eindapparatuur van de gebruikers (bijv. pc's en smartphones). Want op deze eindapparaten zijn praktisch altijd gevoelige persoonlijke gegevens opgeslagen (bijv. e-mails en berichten, foto's, contact- en locatiegegevens). Daarom moeten eindgebruikers worden beschermd tegen het gebruik van tracking tools om hun activiteiten zonder hun medeweten in het geheim te volgen (bijvoorbeeld cookies, browser-fingerprinting en soortgelijke technologieën om het gedrag van de gebruiker te volgen).

4. Wanneer wordt de e-privacyverordening van kracht?

Oorspronkelijk was het de bedoeling dat de e-privacyverordening tegelijk met de AVG in werking zou treden. Zo had de Europese Commissie begin januari 2017 al een ontwerp van de ePV gepubliceerd. Aangezien het Europees Parlement en de Raad van de Europese Unie echter ook bij het wetgevingsproces betrokken moeten worden, zijn veel van de bepalingen van de e-privacyverordening momenteel nog steeds onderwerp van politieke discussie. Vanwege de complexiteit van de wetgevingsprocedure wordt niet verwacht dat de e-privacyverordening vóór eind 2019 in werking zal treden. Bovendien zal er waarschijnlijk net als bij de AVG nog een overgangsperiode zijn totdat de e-privacyverordening daadwerkelijk in werking treedt.

II. Rechtspositie voor het gebruik van tracking tools

1. Wat zijn volginstrumenten?

Tracking tools worden gebruikt om het gedrag van internetgebruikers te traceren: hoe vaak wordt een website bezocht door een specifieke gebruiker of een messengerdienst gebruikt (wordt het gedrag van een specifieke gebruiker "geanalyseerd", dan is het niet langer een puur analytische en statistische tool, maar een tracking tool)? Welke inhoud hebben de verzonden berichten? Welke artikelen worden gezocht en besteld in een webshop? Op welke social media accounts ben je ingelogd? Wordt een gelinkt artikel aangeklikt en gekocht (affiliate marketing)?

Daarbij worden de gegevens niet alleen verzameld bij het bezoeken van de website of bij het gebruik van de dienst, maar vaak ook nog lang daarna. Dit komt omdat de op het apparaat ingestelde cookies, het webbaken, enz. meestal niet worden verwijderd als de dienst wordt beëindigd. Ze blijven vaak enkele maanden op het eindapparaat van de gebruiker zitten en blijven gegevens versturen zonder dat de gebruiker zich daarvan bewust is.

In veel gevallen worden de op deze wijze verzamelde gegevens niet alleen door de dienstverlener zelf verzameld en verwerkt, maar vaak ook aan derden doorgegeven.

Als gevolg daarvan wordt een groot aantal gebruikersprofielen aangemaakt zonder dat de gebruiker zich daarvan bewust is.

2. Waar is het gebruik van opsporingsinstrumenten momenteel geregeld?

Voorafgaande opmerking: dit deel is noodzakelijkerwijs enigszins juridisch geformuleerd. Als je niet geïnteresseerd bent in deze details, kun je ook verder lezen met deel 3.

In Duitsland zijn de eisen voor elektronische informatie- en communicatiediensten vastgelegd in de Telemediawet (TMG) geregeld. De Telemediawet is in 2007 in werking getreden en voor het laatst gewijzigd in september 2017. De in 2009 gewijzigde e-privacyrichtlijn, die in artikel 5, lid 3, de opslag van en de toegang tot in de eindapparatuur van de gebruiker opgeslagen informatie regelt, is echter niet formeel omgezet in Duits recht. De achtergrond hiervan is dat de Bondsregering dit niet nodig achtte vanwege de reeds in artikel 15, lid 3, TMG opgenomen voorschriften. De bepalingen inzake gegevensbescherming van de Telemediawet (§ 4; § 11 e.v. TMG), die de verplichtingen van de dienstverleners regelen, zijn evenmin aangepast aan AVG .

Het gevolg hiervan is dat de collisieregel van artikel 95 AVG, die de verhouding tussen AVG en de e-privacyrichtlijn regelt, niet van toepassing is. Aangezien een rechtstreekse toepassing van de ePrivacy-richtlijn ook uitgesloten is (in tegenstelling tot Europese verordeningen zijn Europese richtlijnen niet rechtstreeks en onmiddellijk van toepassing), is de voorrang van de toepassing van de AVG.

Dit betekent dat sinds de inwerkingtreding van de AVG, dus sinds 25 mei 2018, de rechtsgrondslag voor de verwerking van persoonsgegevens door dienstverleners uitsluitend artikel 6, lid 1 van de AVG is; de overeenkomstige bepalingen van de Telemediawet zijn niet langer meer van toepassing.

Dit zal waarschijnlijk pas veranderen wanneer de e-privacyverordening van kracht wordt: bij de huidige stand van zaken hebben de bepalingen van de ePV voorrang op de overeenkomstige bepalingen van de AVG, op voorwaarde dat zij hetzelfde doel nastreven.

3. Wat is de huidige juridische situatie voor het gebruik van opsporingsinstrumenten?

De huidige rechtsgrondslag voor het gebruik van tracking tools is artikel 6, lid 1 AVG. Dit betekent dat tracking tools normaal gesproken alleen mogen worden gebruikt als ofwel

  • de verwerking is noodzakelijk ter bescherming van rechtmatige belangen van de voor de verwerking verantwoordelijke of van een derde, behalve wanneer deze belangen moeten wijken voor de belangen of de grondrechten en fundamentele vrijheden van de betrokkene die de bescherming van persoonsgegevens vereisen, met name wanneer de betrokkene een kind is (artikel 6, lid 1, eerste alinea, onder f) AVG)

of

  • de betrokkene geeft zijn of haar toestemming tot de verwerking van hem betreffende persoonsgegevens voor een of meer specifieke doeleinden (artikel 6, lid 1, eerste alinea, onder a) AVG).

>> Nadere gegevens over de legitieme belangen van de dienstverlener

Als een dienstverlener doorslaggevende legitieme belangen voor het gebruik van tracking tools is geen toestemming van de gebruiker nodig.

Op een website zou dan bijvoorbeeld een selectievakje overbodig zijn. De websitebeheerder hoeft alleen maar te informeren over de tracking tools die in het privacybeleid worden gebruikt.

De legitieme belangen van de dienstverlener kunnen rechtmatig, economisch en niet-materieel zijn.

Vaak, natuurlijk, zal het economische belangen betrokken zijn. Deze kunnen bijvoorbeeld bestaan uit het opslaan van het winkelwagentje van de klant in een online winkel of de integratie van webfonts, kaartdiensten en sociale mediaPlugins op een website. Maar ook webanalyse en statistische instrumenten over paginabezoekers of het gebruik van reclametrackers worden als rechtmatige belangen beschouwd.

Als de respectieve gegevensverwerking noodzakelijk is om deze legitieme belangen te waarborgen, moeten deze worden afgewogen tegen de belangen of fundamentele rechten en vrijheden van de gebruiker. Deze omvatten bescherming tegen economische nadelen, het recht op eerbiediging van het privé-leven en communicatie overeenkomstig artikel 7 van het Verdrag betreffende de Europese Unie. Handvest van de grondrechten van de Europese Unie (CFR)het fundamentele recht op gegevensbescherming krachtens artikel 8 van het CFR en het recht op informatieve zelfbeschikking.

Bij de afweging van de respectieve belangen zijn de gevolgen van de beoogde gegevensverwerking en de gevoeligheid voor misbruik van primordiaal belang. Bovendien moet onder meer rekening worden gehouden met, welke redelijke verwachtingen de gebruiker van de dienst heeft en of hij redelijkerwijs kan voorzien dat de beoogde gegevensverwerking kan plaatsvinden.

Of de legitieme belangen van de dienstverlener (resp. een derde partij) of de belangen van de gebruiker zwaarder wegen dan de legitieme belangen van de gebruiker is in individuele gevallen soms moeilijk te bepalen.

Er moet op in acht genomen worden dat de dienstverlener moet aantonen dat zijn legitieme belangen prevaleren. Als dit bewijs niet succesvol is in het geval van een geschil, was de gegevensverzameling illegaal en moet de dienstverlener een boete verwachten.

De afweging van belangen moet daarom begrijpelijk zijn voor toezichthouders begrijpelijk en goed gedocumenteerd goed gedocumenteerd zijn.

>> Details over de toestemming van de gebruiker

Als de dienstverlener de integratie van een trackinginstrument niet kan baseren op een legitiem belang, is de toestemming van de gebruiker verplicht.

De voorwaarden voor effectieve toestemming zijn in artikel 7. AVG geregeld. Deze zijn:

  • Begrijpelijke vorm;
  • duidelijke en eenvoudige taal;
  • te onderscheiden van andere situaties;
  • voorafgaande informatie op het herroepingsrecht te allen tijde;
  • wat het verbod op koppelverkoop betreft (d.w.z. dat een dienst niet afhankelijk mag worden gesteld van het verlenen van toestemming voor de verwerking van persoonsgegevens die geen verband houden met de dienst).

Toestemming kan ook impliciet worden gegeven, dus door concludent (logisch, stilzwijgend) handelen. Er is echter altijd uitdrukkelijke toestemming nodig wanneer bijzondere categorieën van persoonsgegevens worden verwerkt (zie artikel 9, lid 2, onder a AVG).

Ook moet worden opgemerkt dat de toestemming te allen tijde kan worden ingetrokken. Daarom moet de gegevensverwerking worden stopgezet vanaf het moment dat de betrokkene zijn of haar toestemming heeft ingetrokken.

Momenteel wordt toestemming voor het plaatsen van cookies en soortgelijke technologieën op websites meestal verkregen door middel van een zogenaamde "checkbox", waarbij de gebruiker actief een vakje moet aanvinken (opt-in).

Tenzij alleen technisch noodzakelijke cookies worden ingesteld, een korte mededeling in een zogenaamde "cookiebanner", die dan alleen wordt bevestigd door op een "OK"-knop te klikken, is niet voldoende.

In ieder geval moeten de gebruikers in de privacyverklaring worden geïnformeerd over de gebruikte tracking tools.

4. Wat is de waarschijnlijke juridische situatie voor het gebruik van opsporingsinstrumenten?

De ontwerp e-privacyverordening die de Europese Commissie begin januari 2017 heeft gepubliceerd ontwerp van de e-privacyverordening is momenteel nog onderwerp van politieke discussie. Er zijn meningen over, onder andere van de Europees Comité voor gegevensbescherming en de Europese Toezichthouder voor gegevensbeschermingamendementen van het Europees Parlement en discussienota's van de Raad van de Europese Unie.

Het is dan ook open welke exacte formulering de e-privacyverordening zal hebben.

Gezien de aanhoudende "gegevensschandalen" van de afgelopen tijd zetten met name gegevensbeschermers zich ervoor in dat de ePV niet achter het huidige beschermingsniveau van de e-privacyverordening en de AVG terugblijft.

Bijvoorbeeld, het Europees Comité voor gegevensbescherming in een paper gepubliceerd in mei 2018 heeft het Europees Comité voor gegevensbescherming betoogd dat de vertrouwelijkheid van elektronische communicatie een bijzondere bescherming vereist, die verder moet gaan dan AVG . Daarom mogen de rechtmatige belangen van de dienstenaanbieder in de toekomst niet langer een rechtsgrondslag zijn voor de verwerking van inhoud en metagegevens van elektronische communicatie.

Indien dit standpunt zou zegevieren, zouden tracking tools alleen mogen worden gebruikt met de voorafgaande toestemming van de gebruiker (bijv. door middel van een selectievakje).

III. waarom de e-privacyverordening een goede zaak is

In tegenstelling tot alle onheilsprofetieën is de ePV een verstandige en langverwachte verordening. Het volledig monitoren van ons gebruikersgedrag, dat nu technisch mogelijk is, mag immers niet zomaar worden geaccepteerd.

Het is daarom een goede zaak dat websitebeheerder en dienstverleners vooraf duidelijke en transparante informatie moeten verstrekken over welke gegevens worden verzameld bij een bezoek aan een website of het gebruik van een dienst en aan wie deze informatie wordt doorgegeven en voor welke doeleinden. Alleen op deze manier kunnen websitebezoekers en gebruikers beslissen of een bezoek aan de site of het gebruik van de dienst voor hen echt de moeite waard is om hun gegevens bekend te maken.

Maar als websitebeheerder hoeft u uw kop niet in het zand te steken. Als onmiddellijke maatregel moet u nagaan of u alle op uw website geïntegreerde diensten kunt baseren op een rechtmatig belang of toestemming van de gebruiker. Zo niet, dan moet u de ontbrekende toestemming van de gebruiker verkrijgen. Bovendien moet u vooral uw trackingactiviteiten op transparante wijze toelichten in het privacybeleid.

Zodra de definitieve tekst van de e-privacyverordening bekend is, moet u nagaan of, en zo ja vanaf wanneer, u aanvullende toestemmingen moet verkrijgen. Om ervoor te zorgen dat u dit en al het andere in alle rust kunt implementeren, is het de moeite waard om op de hoogte te blijven van de e-privacyverordening.

Afbeelding bijgedragen: Scott Webb [Pexels]

Vond je het artikel leuk?

Met jouw beoordeling help je ons om onze inhoud nog verder te verbeteren.

Mario Steinberg

Mario Steinberg is advocaat en specialist bestuursrecht bij het handelsrechtkantoor LIEB.Rechtsanwälte. Het zwaartepunt van zijn werkzaamheden ligt bij gegevensbeschermingsrecht, IT-beveiligingsrecht en IT-recht.

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *.