E-privacyverordening: wat komt er eigenlijk op je af?

8 Min.
E-privacy-regulering: Dit komt jouw kant op.
Laatst bijgewerkt op

Hoewel de "Verordening betreffende privacy en elektronische communicatie" (e-Privacy-verordening) naar verwachting pas later in 2020 zal worden aangenomen, werpt zij nu al haar schaduw vooruit. In dit artikel wil ik u een overzicht geven van waar de e-privacy-regelgeving over gaat, wat de huidige juridische situatie voor het gebruik van tracking tools is en hoe deze onder de EPVO zou kunnen veranderen. Aan het eind zal ik kort uitleggen waarom de nieuwe verordening naar mijn mening belangrijk is. Maar raak niet in paniek: Net zoals, in tegenstelling tot alle voorspellingen, de wereld wordt behandeld met AVG Op 25.5.2018 is dit ook niet te verwachten voor de geldigheid van de e-privacy-regelgeving.

I. De e-Privacy Verordening

1. Wat is de e-privacy-regelgeving?

De E-Privacy Verordening (EPVO) is een verordening die momenteel op Europees niveau wordt besproken. Ontwerp-verordening van de Europese Commissiedie in de plaats komt van de e-privacyrichtlijn die sinds 2002 van kracht is (Richtlijn 2002/58/EGzoals laatstelijk gewijzigd bij Richtlijn 2009/136/EGE-Privacy-richtlijn) en aan te passen aan de huidige stand van de techniek (zo vallen de zogenaamde over-the-top diensten, d.w.z. IP-gebaseerde communicatiediensten, momenteel niet onder de E-Privacy-richtlijn).

Als Europese verordening zal de EPVO rechtstreeks en onmiddellijk van toepassing zijn in de hele Europese Unie. In tegenstelling tot de e-Privacy-richtlijn zal deze niet afhankelijk zijn van de implementatie in de nationale wetgeving door de afzonderlijke lidstaten. Deze omzetting van de e-privacyrichtlijn in nationaal recht heeft in Duitsland overigens nooit plaatsgevonden voor zover het gaat om het gedeelte van de gegevensbescherming dat relevant is voor website-exploitanten.

2. Wat is het doel van de e-privacy-regelgeving?

De e-privacy-regelgeving heeft tot doel de vertrouwelijkheid van de communicatie en de vertrouwelijkheid en integriteit van de eindapparatuur van de gebruikers te beschermen.

Eenvoudig gezegd moeten gebruikers worden beschermd tegen bespionering zonder dat zij daarvan op de hoogte zijn wanneer zij een website bezoeken of een e-mail- of koeriersdienst gebruiken.

In tegenstelling tot de AVG, worden niet alleen natuurlijke personen (personen) maar ook rechtspersonen (bedrijven en verenigingen) beschermd. De verordening inzake e-privacy verduidelijkt en vult de bepalingen AVGinzake elektronische communicatiegegevens, die persoonsgegevens zijn, aan.

3. Wat regelt de e-privacy-regelgeving?

De E-Privacy Ordinance regelt niet alleen de communicatie via (klassieke) spraaktelefonie, tekstberichten (SMS) en e-mail, maar ook de communicatie via VoIP-telefonie, messenger-diensten en webgebaseerde e-maildiensten. Het geldt ook voor de steeds belangrijker wordende machine-to-machinecommunicatie (trefwoord "Internet van de dingen").

EPVO besteedt bijzondere aandacht aan de manier waarop informatie wordt opgeslagen of verzonden, opgevraagd of verwerkt door de eindapparatuur van de gebruikers (bv. pc's en smartphones). Dit komt omdat gevoelige persoonlijke gegevens (bijv. e-mails en berichten, foto's, contact- en locatiegegevens) vrijwel altijd op deze eindapparaten worden opgeslagen. Daarom moeten eindgebruikers worden beschermd tegen het gebruik van traceerhulpmiddelen om hun activiteiten zonder hun medeweten in het geheim te volgen (bijvoorbeeld cookies, browser-fingerprinting en soortgelijke technologieën om het gedrag van de gebruiker te volgen).

4. wanneer wordt de e-privacy-verordening van kracht?

Oorspronkelijk was het de bedoeling dat de e-Privacy-verordening tegelijk met de AVGverordening in werking zou treden. Zo had de Europese Commissie begin januari 2017 al een ontwerp van de EPVO gepubliceerd. Aangezien het Europees Parlement en de Raad van de Europese Unie echter ook bij het wetgevingsproces betrokken moeten worden, zijn veel van de bepalingen van de ePrivacy-verordening nog steeds onderwerp van politieke discussie. Vanwege de complexiteit van de wetgevingsprocedure wordt niet verwacht dat de e-Privacy-Verordening vóór eind 2019 in werking zal treden. Bovendien zal er waarschijnlijk een overgangsperiode zijn die vergelijkbaar is met die van de AVGhuidige verordening, totdat de E-Privacy-verordening daadwerkelijk in werking treedt.

E-mail-postbussen RAIDBOXES

II. juridische situatie voor het gebruik van traceringsinstrumenten

1. Wat zijn tracking tools?

Tracking tools worden gebruikt om het gedrag van internetgebruikers te traceren: Hoe vaak wordt een website bezocht door een specifieke gebruiker of een messenger service gebruikt (als het gedrag van een specifieke gebruiker wordt "geanalyseerd", is het niet langer een puur analytische en statistische tool, maar een tracking tool)? Welke inhoud hebben de verzonden berichten? Welke artikelen worden gezocht en besteld in een webshop? Op welke social media accounts bent u ingelogd? Wordt een gelinkt artikel aangeklikt en gekocht (affiliate marketing)?

Gegevens worden niet alleen verzameld bij het bezoeken van de website of bij het gebruik van de dienst, maar vaak ook nog lang daarna. Dit komt omdat de cookies, het tellen van de pixels, enz. die op het eindapparaat zijn ingesteld, meestal niet worden verwijderd wanneer de dienst wordt beëindigd. Ze blijven vaak enkele maanden op het eindapparaat van de gebruiker zitten en blijven gegevens versturen zonder dat de gebruiker zich daarvan bewust is.

In veel gevallen worden de op deze manier verzamelde gegevens niet alleen door de dienstverlener zelf verzameld en verwerkt, maar vaak ook doorgegeven aan derden.

Het gevolg is dat een groot aantal gebruikersprofielen wordt aangemaakt zonder dat de gebruiker zich daarvan bewust is.

2. Waar is het gebruik van traceringsinstrumenten momenteel geregeld?

Voorafgaande opmerking: Dit deel is noodzakelijkerwijs enigszins juridisch geformuleerd. Als u niet geïnteresseerd bent in deze subtiliteiten, kunt u ook verder lezen op 3.

In Duitsland zijn de eisen voor elektronische informatie- en communicatiediensten gedefinieerd in Duitse Telemediawet (TMG) geregeld. De Telemediawet is in 2007 in werking getreden en is voor het laatst gewijzigd in september 2017. De e-privacyrichtlijn, die in 2009 is gewijzigd en in artikel 5, lid 3, de opslag van en de toegang tot informatie die is opgeslagen in de eindapparatuur van de gebruiker regelt, is echter niet formeel in Duits recht omgezet. De reden hiervoor is dat de Bondsregering dit op grond van de reeds in artikel 15, lid 3, TMG opgenomen bepalingen niet nodig achtte. Ook de voorschriften inzake gegevensbescherming van de Telemediawet (artikel 4; artikel 11 e.v. van de Duitse Telemediawet), die de verplichtingen van de dienstverleners regelen, zijn hieraan niet AVGaangepast.

Bijgevolg is de collisieregel van artikel 95AVG, die de verhouding tussen de e-privacyrichtlijn AVGen de richtlijn regelt, niet van toepassing. Aangezien ook de directe toepassing van de ePrivacy-richtlijn uit den boze is (Europese richtlijnen zijn, in tegenstelling tot Europese verordeningen, niet direct en onmiddellijk van toepassing), is de Primaat van de toepassing van de AVG.

Dit betekent dat sinds de inwerkingtreding van de AVGTelemediawet, d.w.z. sinds 25 mei 2018, de rechtsgrondslag voor de verwerking van persoonsgegevens door dienstverleners uitsluitend artikel 6, lid 1AVG, is; de overeenkomstige bepalingen van de Telemediawet zijn niet langer van toepassing.

Dit zal waarschijnlijk niet veranderen totdat de e-privacy-regelgeving van kracht wordt: Bij de huidige stand van zaken hebben de bepalingen van de EPVO AVGvoorrang op de overeenkomstige bepalingen van de verordening, op voorwaarde dat zij hetzelfde doel nastreven.

3. Wat is de huidige juridische situatie met betrekking tot het gebruik van tracking tools?

De huidige rechtsgrondslag voor het gebruik van traceringsinstrumenten is artikel 6, lid 1 AVG. Dit betekent dat tracking-tools normaal gesproken alleen mogen worden gebruikt als ofwel

  • de verwerking met het oog op de instandhouding van rechtmatige belangen de voor de verwerking verantwoordelijke of een derde, behalve wanneer deze belangen of fundamentele rechten en vrijheden van de betrokkene, die de bescherming van persoonsgegevens vereisen, terzijde worden geschoven, met name wanneer de betrokkene een kind is (artikel 6, lid 1, eerste alinea, onder fAVG))

of

  • de betrokkene geeft zijn Toestemming de verwerking van persoonsgegevens die op hem betrekking hebben voor een of meer specifieke doeleinden (artikel 6, lid 1, eerste alinea, onder aAVG)).

>> Details over de legitieme belangen van de dienstverlener

Waar een dienstverlener overheersende legitieme belangen voor het gebruik van tracking tools is geen toestemming van de gebruiker vereist.

Op een website zou dan bijvoorbeeld een selectievakje overbodig zijn. De exploitant van de website hoeft alleen maar te informeren over de tracking tools die in het privacybeleid worden gebruikt.

De legitieme belangen van de dienstverlener kunnen reëel, economisch en niet-materieel zijn.

Vaak zal het natuurlijk commerciële belangen handel. Deze kunnen bijvoorbeeld bestaan uit het opslaan van het winkelmandje van de klant in een online shop of het integreren van webfonts, kaartdiensten en sociale mediaPlugins op een website. Maar ook webanalyse en statistische instrumenten over websitebezoekers of het gebruik van reclametrackers moeten als legitieme belangen worden beschouwd.

Indien de desbetreffende gegevensverwerking noodzakelijk is om deze legitieme belangen te waarborgen, moeten deze worden afgewogen tegen de belangen of fundamentele rechten en vrijheden van de gebruiker. Deze omvatten bescherming tegen economische nadelen, het recht op eerbiediging van het privéleven en communicatie overeenkomstig artikel 7 van het Verdrag betreffende de werking van de Europese Unie. Handvest van de grondrechten van de Europese Unie (CRCh)het basisrecht op gegevensbescherming volgens art. 8 GRCh en het recht op zelfbeschikking over informatie.

Bij de afweging van de respectievelijke belangen zijn met name de effecten van de beoogde gegevensverwerking en de gevoeligheid voor misbruik van de gegevens van belang. Andere factoren waarmee rekening moet worden gehouden, zijn onder meer welke redelijke verwachtingen de gebruiker van de dienst heeft en of hij redelijkerwijs kan voorzien dat de voorgenomen gegevensverwerking mogelijk zal plaatsvinden.

Of de legitieme belangen van de dienstverlener (of een derde partij) of de belangen van de gebruiker zwaarder wegen dan de legitieme belangen van de gebruiker is soms moeilijk te bepalen in individuele gevallen.

Er zij op gewezen dat de dienstverlener moet aantonen dat zijn legitieme belangen prevaleren. Als dit bewijs niet succesvol is in het geval van een geschil, was de gegevensverzameling illegaal en moet de dienstverlener een boete verwachten.

De belangenafweging moet daarom een zaak van de toezichthoudende autoriteiten zijn. traceerbaar zijn en goed gedocumenteerd zal zijn.

FREE DEV Programma RAIDBOXES

>> Details van de toestemming van de gebruiker

Als de dienstverlener de integratie van een tracking tool niet kan baseren op een legitiem belang, is de toestemming van de gebruiker verplicht.

De voorwaarden voor effectieve toestemming zijn AVGgeregeld in artikel 7. Deze zijn:

  • Begrijpelijke vorm;
  • duidelijke en eenvoudige taal;
  • Onderscheiding van andere situaties;
  • voorafgaande kennisgeving van het herroepingsrecht op elk moment;
  • de naleving van het verbod op koppelverkoop (d.w.z. dat een dienst niet afhankelijk mag worden gesteld van het verlenen van toestemming voor de verwerking van persoonsgegevens die geen verband houden met de dienst).

Toestemming kan ook impliciet worden gegeven, d.w.z. door afdoende maatregelen. Er is echter altijd uitdrukkelijke toestemming nodig wanneer bijzondere categorieën van persoonsgegevens worden verwerkt (zie artikel 9, lid 2, onder aAVG)).

Ook moet worden opgemerkt dat de toestemming te allen tijde kan worden ingetrokken. Daarom moet de gegevensverwerking worden stopgezet vanaf het moment dat de betrokkene zijn of haar toestemming heeft ingetrokken.

Op dit moment wordt de toestemming voor het gebruik van cookies en soortgelijke technologieën op websites meestal verkregen door middel van een zogenaamde "checkbox", die de gebruiker actief moet aanvinken (opt-in).

Als er niet alleen technisch noodzakelijke cookies zijn ingesteld, wordt er een beknopte hint gegeven in een zogenaamde "Cookie Banner", die vervolgens alleen wordt bevestigd door te klikken op een "OK"-knop, onbevredigend.

In ieder geval moeten de gebruikers in het privacybeleid worden geïnformeerd over de gebruikte tracking tools.

4. Wat is de waarschijnlijke juridische situatie voor het gebruik van tracking tools?

De Europese Commissie heeft de Ontwerpverordening inzake e-privacy is op dit moment nog steeds onderwerp van politieke discussie. Zij heeft opmerkingen ontvangen van onder meer Europees Comité voor gegevensbescherming en de Europese Toezichthouder voor gegevensbeschermingamendementen van het Europees Parlement en discussienota's van de Raad van de Europese Unie.

Het is dan ook openlijk welke exacte formulering de e-privacy-regelgeving zal hebben.

Gezien de aanhoudende "gegevensschandalen" van de afgelopen tijd voeren met name gegevensbeschermers echter steeds meer campagne om ervoor te zorgen dat de EPVO niet onder het huidige beschermingsniveau van de ePrivacy-richtlijn en de AVGePrivacy-richtlijn komt te liggen.

Het Europees Comité voor gegevensbescherming heeft in een document van mei 2018 heeft het standpunt ingenomen dat het vertrouwelijk karakter van elektronische communicatie een bijzondere bescherming vereist, die verder moet gaan dan datAVG. Daarom mogen de rechtmatige belangen van de dienstverlener in de toekomst niet langer de rechtsgrondslag vormen voor de verwerking van inhoud en metagegevens van elektronische communicatie.

Als deze opvatting overheerst, mogen tracking tools alleen worden gebruikt met voorafgaande toestemming van de gebruiker (bijv. door middel van een selectievakje).

III. Waarom de e-privacy-regelgeving een goede zaak is

In tegenstelling tot alle onheilsprofetieën is de EPVO een verstandige en langverwachte regeling. Het volledig monitoren van ons gebruikersgedrag, dat nu technisch mogelijk is, mag immers niet zomaar worden geaccepteerd.

Het is daarom een goede zaak dat website-exploitanten en dienstverleners vooraf duidelijke en transparante informatie verstrekken over welke gegevens worden verzameld wanneer een website wordt bezocht of een dienst wordt gebruikt en aan wie deze wordt doorgegeven en voor welke doeleinden. Alleen op deze manier kunnen websitebezoekers en gebruikers beslissen of een bezoek aan de site of het gebruik van de dienst voor hen echt de moeite waard is om hun gegevens bekend te maken.

Toch hoef je als websitebeheerder je hoofd niet in het zand te steken. Als onmiddellijke maatregel kunt u het beste nagaan of u alle diensten op uw website kunt baseren op een legitiem belang of toestemming van de gebruikers. Zo niet, dan moet u de ontbrekende toestemmingen van de gebruikers verkrijgen. Bovendien moet u uw trackingactiviteiten vooral transparant presenteren in het privacybeleid.

Zodra de definitieve tekst van de e-privacyregeling bekend is, dient u eerst te controleren of en zo nodig vanaf het moment dat u extra toestemming moet krijgen. Om dit en al het andere wat nodig is in alle rust te kunnen implementeren, is het de moeite waard om de e-privacy-regeling bij te houden.

Afbeelding: Scott Webb [Pexels]

Mario Steinberg is advocaat en gespecialiseerd in administratief recht bij LIEB.Rechtsanwälte. Een van zijn belangrijkste expertisegebieden is het adviseren over het gegevensbeschermingsrecht en het IT-beveiligingsrecht. Hij is ook mede-oprichter van het consultantnetwerk. "het vormgeven van uw organisatie"die bedrijven adviseert op het gebied van business IT, compliance en juridische vormgeving.

Gerelateerde artikelen

Commentaar op dit artikel

Schrijf een commentaar

Uw e-mail adres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met * gemarkeerd.