21.05.19
bijgewerkt op 05.12.23
Mario Steinberg
0 commentaren
Inhoudsopgave
E-privacy wetswijziging in EU

E-Privacy Verordening: wat staat je te wachten?

Hoewel de "Verordening betreffende privacy en elektronische communicatie" (ePrivacy Verordening) naar verwachting pas later in 2020 wordt aangenomen, werpt deze nu al zijn schaduw vooruit. In dit artikel wil ik je een overzicht geven van wat de ePrivacy Verordening inhoudt, hoe de huidige juridische situatie voor het gebruik van trackingtools eruit ziet en hoe dit zou kunnen veranderen onder de EPVO. Aan het eind zal ik kort uitleggen waarom ik denk dat de nieuwe verordening belangrijk is. Maar geen paniek: Net zoals, in tegenstelling tot alle voorspellingen, de wereld niet zal veranderen met de inwerkingtreding van de AVG op 25 mei 2018, is dat ook niet te verwachten voor de geldigheid van de ePrivacy Verordening.

I. De ePrivacy-verordening

1 Wat is de ePrivacy-verordening?

De ePrivacy Verordening (EPR) is een ontwerpverordening die momenteel op Europees niveau wordt besproken door de Europese Commissie en die bedoeld is om de ePrivacy Richtlijn(Richtlijn 2002/58/EG, laatstelijk gewijzigd door Richtlijn 2009/136/EG; ePrivacy Richtlijn), die sinds 2002 van kracht is, te vervangen en aan te passen aan de huidige stand van de techniek (zo vallen zogenaamde over-the-top diensten, d.w.z. IP-gebaseerde communicatiediensten, momenteel niet onder de ePrivacy Richtlijn).

Als Europese verordening is de GDPR direct en onmiddellijk van toepassing in de hele Europese Unie. In tegenstelling tot de ePrivacy-richtlijn is deze niet afhankelijk van de omzetting in nationale wetgeving door de afzonderlijke lidstaten. Overigens heeft deze omzetting van de ePrivacy-richtlijn in nationale wetgeving nooit plaatsgevonden in Duitsland voor zover het gaat om het gegevensbeschermingsgedeelte dat relevant is voor websitebeheerders.

2. Wat is het doel van de ePrivacy-verordening?

De ePrivacy Verordening is gericht op het beschermen van de vertrouwelijkheid van communicatie en de vertrouwelijkheid en integriteit van de eindapparaten van gebruikers.

Eenvoudig gezegd: gebruikers moeten bij het bezoeken van een website of een e-mail- of messenger-dienst worden beschermd tegen bespionering zonder dat zij daarvan op de hoogte zijn

In tegenstelling tot AVG worden niet alleen natuurlijke personen (personen) beschermd, maar ook rechtspersonen (bedrijven en verenigingen). De ePrivacy-verordening specificeert en vult AVG aan met betrekking tot elektronische communicatiegegevens, die persoonsgegevens zijn.

3. Wat regelt de ePrivacy Verordening?

De ePrivacy Verordening reguleert niet alleen communicatie via (traditionele) spraaktelefonie, tekstberichten (SMS) en e-mail, maar ook communicatie via VoIP-telefonie, messenger-diensten en webgebaseerde e-maildiensten. De verordening is ook van toepassing op machine-naar-machine communicatie, die steeds belangrijker wordt (trefwoord "Internet of Things").

Het EPVO besteedt bijzondere aandacht aan de manier waarop informatie wordt opgeslagen of verzonden, opgevraagd of verwerkt door eindapparaten van gebruikers (bijv. pc's en smartphones). De reden hiervoor is dat gevoelige persoonlijke gegevens vrijwel altijd op deze eindapparaten worden opgeslagen (bijv. e-mails en berichten, afbeeldingen, contact- en locatiegegevens). Gebruikers van eindapparaten moeten daarom worden beschermd tegen trackingtools die worden gebruikt om hun activiteiten heimelijk en zonder hun medeweten te volgen (bijv. cookies, browser fingerprinting en soortgelijke technologieën om gebruikersgedrag te volgen).

4 Wanneer komt de ePrivacy-verordening?

Het was oorspronkelijk de bedoeling dat de ePrivacy Verordening tegelijk met AVG in werking zou treden. De Europese Commissie had begin januari 2017 al haar ontwerp voor de e-privacyverordening gepubliceerd. Maar omdat ook het Europees Parlement en de Raad van de Europese Unie bij het wetgevingsproces betrokken moeten worden, zijn tal van bepalingen van de ePrivacy-verordening momenteel nog onderwerp van politieke discussie. Vanwege de complexiteit van het wetgevingsproces is het onwaarschijnlijk dat de ePrivacy Verordening in 2019 van kracht wordt. Daarnaast zal er waarschijnlijk een overgangsperiode zijn, vergelijkbaar met die van AVG , totdat de ePrivacy Verordening daadwerkelijk in werking treedt.

II Juridische situatie voor het gebruik van trackinginstrumenten

1. Wat zijn trackingtools?

Tracking tools worden gebruikt om het gedrag van internetgebruikers te traceren: hoe vaak wordt een website bezocht door een specifieke gebruiker of een messengerdienst gebruikt (wordt het gedrag van een specifieke gebruiker "geanalyseerd", dan is het niet langer een puur analytische en statistische tool, maar een tracking tool)? Welke inhoud hebben de verzonden berichten? Welke artikelen worden gezocht en besteld in een webshop? Op welke social media accounts ben je ingelogd? Wordt een gelinkt artikel aangeklikt en gekocht (affiliate marketing)?

Daarbij worden de gegevens niet alleen verzameld bij het bezoeken van de website of bij het gebruik van de dienst, maar vaak ook nog lang daarna. Dit komt omdat de op het apparaat ingestelde cookies, het webbaken, enz. meestal niet worden verwijderd als de dienst wordt beëindigd. Ze blijven vaak enkele maanden op het eindapparaat van de gebruiker zitten en blijven gegevens versturen zonder dat de gebruiker zich daarvan bewust is.

In veel gevallen worden de op deze wijze verzamelde gegevens niet alleen door de dienstverlener zelf verzameld en verwerkt, maar vaak ook aan derden doorgegeven.

Als gevolg daarvan wordt een groot aantal gebruikersprofielen aangemaakt zonder dat de gebruiker zich daarvan bewust is.

2. Waar is het gebruik van trackingtools momenteel geregeld?

Voorafgaande opmerking: dit deel is noodzakelijkerwijs enigszins juridisch geformuleerd. Als je niet geïnteresseerd bent in deze details, kun je ook verder lezen met deel 3.

In Duitsland zijn de eisen voor elektronische informatie- en communicatiediensten geregeld in de Telemediawet (TMG). De Telemediawet werd van kracht in 2007 en werd voor het laatst gewijzigd in september 2017. De ePrivacy-richtlijn, die in 2009 werd gewijzigd en in artikel 5 lid 3 de opslag van en toegang tot informatie op het eindapparaat van de gebruiker regelt, is echter niet formeel omgezet in Duits recht. De reden hiervoor is dat de Bondsregering dit niet nodig achtte vanwege de regelingen die al in § 15 (3) TMG zijn opgenomen. De gegevensbeschermingsbepalingen van de Telemediawet (§ 4; § 11 e.v. TMG), die de verplichtingen van dienstverleners regelen, werden ook niet aangepast aan AVG .

Het gevolg hiervan is dat de conflictregel van art. 95 AVG, die de verhouding regelt tussen AVG en de ePrivacy Richtlijn, niet van toepassing is. Omdat een directe toepassing van de ePrivacy Richtlijn ook uitgesloten is (in tegenstelling tot Europese verordeningen zijn Europese richtlijnen niet direct en onmiddellijk van toepassing), blijft AVG voorrang houden.

Dit betekent dat sinds de inwerkingtreding van de AVG, dus sinds 25 mei 2018, de rechtsgrondslag voor de verwerking van persoonsgegevens door dienstverleners uitsluitend artikel 6, lid 1 van de AVG is; de overeenkomstige bepalingen van de Telemediawet zijn niet langer meer van toepassing.

Dit zal waarschijnlijk pas veranderen wanneer de e-privacyverordening van kracht wordt: bij de huidige stand van zaken hebben de bepalingen van de ePV voorrang op de overeenkomstige bepalingen van de AVG, op voorwaarde dat zij hetzelfde doel nastreven.

"*" geeft verplichte velden aan

Ik wil me abonneren op de nieuwsbrief om op de hoogte te blijven van nieuwe blogartikelen, ebooks, features en nieuws over WordPress. Ik kan mijn toestemming te allen tijde intrekken. Bekijk ons Privacybeleid.
Dit veld dient ter validatie en mag niet worden gewijzigd.

3. Wat is de huidige juridische situatie voor het gebruik van trackingtools?

De huidige rechtsgrondslag voor het gebruik van tracking tools is artikel 6, lid 1 AVG. Dit betekent dat tracking tools normaal gesproken alleen mogen worden gebruikt als ofwel

  • de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de voor de verwerking verantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, prevaleren, met name wanneer de betrokkene een kind is (artikel 6, lid 1, eerste alinea, onder f) AVG)

of

  • de betrokkene toestemming heeft gegeven voor de verwerking van hem of haar betreffende persoonsgegevens voor een of meer specifieke doeleinden (artikel 6, lid 1, eerste alinea, onder a) AVG).

>> Nadere gegevens over de legitieme belangen van de dienstverlener

Als een dienstverlener doorslaggevende legitieme belangen heeft bij het gebruik van trackingtools, is toestemming van de gebruiker niet vereist.

Op een website zou dan bijvoorbeeld een selectievakje overbodig zijn. De websitebeheerder hoeft alleen maar te informeren over de tracking tools die in het privacybeleid worden gebruikt.

De legitieme belangen van de dienstverlener kunnen rechtmatig, economisch en niet-materieel zijn.

Vaak gaat het natuurlijk om commerciële belangen. Deze kunnen bijvoorbeeld bestaan uit het opslaan van het winkelmandje van de klant in een online winkel of het integreren van webfonts, kaartdiensten en social media plugins op een website. Webanalyse en statistieken over websitebezoekers of het gebruik van advertentietrackers worden echter ook als legitieme belangen beschouwd.

Als de betreffende gegevensverwerking noodzakelijk is om deze legitieme belangen te waarborgen, moeten deze worden afgewogen tegen de belangen of fundamentele rechten en vrijheden van de gebruiker. Deze omvatten bescherming tegen economische nadelen, het recht op respect voor het privéleven en communicatie in overeenstemming met art. 7 van het Handvest van de grondrechten van de Europese Unie (CFR), het fundamentele recht op gegevensbescherming in overeenstemming met art. 8 CFR en het recht op informatieve zelfbeschikking.

Bij het afwegen van de respectieve belangen zijn vooral de effecten van de beoogde gegevensverwerking en de gevoeligheid voor misbruik van belang. Daarnaast moet ook rekening worden gehouden met de redelijke verwachtingen die de gebruiker heeft van de dienst en of de gebruiker redelijkerwijs kan voorzien dat de beoogde gegevensverwerking kan plaatsvinden.

Of de legitieme belangen van de dienstverlener (resp. een derde partij) of de belangen van de gebruiker zwaarder wegen dan de legitieme belangen van de gebruiker is in individuele gevallen soms moeilijk te bepalen.

Er moet op in acht genomen worden dat de dienstverlener moet aantonen dat zijn legitieme belangen prevaleren. Als dit bewijs niet succesvol is in het geval van een geschil, was de gegevensverzameling illegaal en moet de dienstverlener een boete verwachten.

De belangenafweging moet daarom begrijpelijk zijn voor toezichthouders en goed gedocumenteerd.

>> Details over de toestemming van de gebruiker

Als de dienstverlener de integratie van een trackinginstrument niet kan baseren op een legitiem belang, is de toestemming van de gebruiker verplicht.

De voorwaarden voor effectieve toestemming zijn in artikel 7. AVG geregeld. Deze zijn:

  • Begrijpelijke vorm;
  • duidelijke en eenvoudige taal;
  • te onderscheiden van andere situaties;
  • voorafgaande informatie op het herroepingsrecht te allen tijde;
  • wat het verbod op koppelverkoop betreft (d.w.z. dat een dienst niet afhankelijk mag worden gesteld van het verlenen van toestemming voor de verwerking van persoonsgegevens die geen verband houden met de dienst).

Toestemming kan ook impliciet worden gegeven, dus door concludent (logisch, stilzwijgend) handelen. Er is echter altijd uitdrukkelijke toestemming nodig wanneer bijzondere categorieën van persoonsgegevens worden verwerkt (zie artikel 9, lid 2, onder a AVG).

Ook moet worden opgemerkt dat de toestemming te allen tijde kan worden ingetrokken. Daarom moet de gegevensverwerking worden stopgezet vanaf het moment dat de betrokkene zijn of haar toestemming heeft ingetrokken.

Momenteel wordt toestemming voor het plaatsen van cookies en soortgelijke technologieën op websites meestal verkregen door middel van een zogenaamde "checkbox", waarbij de gebruiker actief een vakje moet aanvinken (opt-in).

Tenzij er alleen technisch noodzakelijke cookies worden geplaatst, is een beknopte melding in een zogenaamde "cookiebanner", die vervolgens alleen wordt bevestigd door op een "OK"-knop te klikken, niet voldoende.

In ieder geval moeten de gebruikers in de privacyverklaring worden geïnformeerd over de gebruikte tracking tools.

4. Wat is de waarschijnlijke juridische situatie voor het gebruik van trackingtools?

De ontwerp ePrivacy Verordening die de Europese Commissie begin januari 2017 publiceerde, is momenteel nog onderwerp van politieke discussie. Er zijn onder andere adviezen van het Europees Comité voor gegevensbescherming en de Europese Toezichthouder voor gegevensbescherming, amendementen van het Europees Parlement en discussienota's van de Raad van de Europese Unie.

Het is dan ook open welke exacte formulering de e-privacyverordening zal hebben.

Gezien de aanhoudende "gegevensschandalen" van de afgelopen tijd zetten met name gegevensbeschermers zich ervoor in dat de ePV niet achter het huidige beschermingsniveau van de e-privacyverordening en de AVG terugblijft.

In een paper gepubliceerd op Mai 2018 betoogde het Europees Comité voor gegevensbescherming dat de vertrouwelijkheid van elektronische communicatie speciale bescherming vereist die verder moet gaan dan AVG . Daarom zouden de legitieme belangen van de dienstverlener in de toekomst niet langer een rechtsgrondslag mogen zijn voor de verwerking van inhoud en metadata van elektronische communicatie.

Als dit standpunt overheerst, mogen trackingtools alleen worden gebruikt met voorafgaande toestemming van de gebruiker (bijv. door middel van een selectievakje).

III Waarom de ePrivacy-verordening een goede zaak is

In tegenstelling tot alle onheilsprofetieën is de ePV een verstandige en langverwachte verordening. Het volledig monitoren van ons gebruikersgedrag, dat nu technisch mogelijk is, mag immers niet zomaar worden geaccepteerd.

Het is daarom een goede zaak dat websitebeheerder en dienstverleners vooraf duidelijke en transparante informatie moeten verstrekken over welke gegevens worden verzameld bij een bezoek aan een website of het gebruik van een dienst en aan wie deze informatie wordt doorgegeven en voor welke doeleinden. Alleen op deze manier kunnen websitebezoekers en gebruikers beslissen of een bezoek aan de site of het gebruik van de dienst voor hen echt de moeite waard is om hun gegevens bekend te maken.

Als websitebeheerder hoef je nu echter niet je kop in het zand te steken. Als onmiddellijke maatregel kun je het beste controleren of je alle diensten die op je website zijn geïntegreerd kunt baseren op een legitiem belang of toestemming van de gebruiker. Zo niet, dan moet je de ontbrekende toestemming van de gebruiker verkrijgen. Daarnaast moet je vooral je trackingactiviteiten transparant presenteren in je privacybeleid.

Zodra de definitieve tekst van de ePrivacy Verordening bekend is, moet je met name controleren of en zo ja, vanaf wanneer je aanvullende toestemming nodig hebt. Het is de moeite waard om op de hoogte te blijven van de ePrivacy Verordening, zodat je deze en alle andere vereisten in alle rust kunt implementeren.

Aanbevolen afbeelding: Scott Webb [Pexels].

Vond je het artikel leuk?

Met jouw beoordeling help je ons om onze inhoud nog verder te verbeteren.

Mario Steinberg

Mario Steinberg is advocaat en specialist bestuursrecht bij het handelsrechtkantoor LIEB.Rechtsanwälte. Het zwaartepunt van zijn werkzaamheden ligt bij gegevensbeschermingsrecht, IT-beveiligingsrecht en IT-recht.

Laat een reactie achter

Je e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *.