De e-Privacy Verordening

24/02/'21 - Bijna vier jaar en 14 versies later, is er sprake van ontwikkeling in de onderhandelingen rondom de ePrivacy Verordening (‘ePV’). Sinds de Europese Commissie (EC) in 2017 haar eerste voorstel deed om de huidige e-Privacy Richtlijn te vervangen door een verordening, hebben negen verschillende EU-voorzitterschappen tevergeefs geprobeerd consensus te bereiken over de inhoud van het ePV voorstel.

Onder leiding van het Portugese voorzitterschap, heeft de Raad van de Europese Unie begin februari echter aangekondigd overeenstemming te hebben bereikt over een nieuwe conceptversie. Met deze overeenstemming is er nu een mandaat voor de verdere onderhandelingen, oftewel ‘triloog’, met het Europees Parlement en de Europese Commissie.

Enerzijds zijn de wijzigingen in deze ‘Portugese’ versie van het voorstel gericht op het vereenvoudigen van de tekst en op het meer in lijn te brengen met de bepalingen uit de AVG. Anderzijds worden belangrijke ontwikkelingen ten opzichte van de e-Privacy Richtlijn uit eerdere versies opnieuw geïntroduceerd. In deze blog zetten wij de kernpunten uit het nieuwe voorstel op een rij.

Kernpunten in concept ePV

Hergebruik van gegevens voor een ander doel

In de nieuwe versie zijn bepalingen toegevoegd die de verdere verwerking van elektronische communicatiegegevens (inclusief metadata) mogelijk maken, mits de verdere verwerking verenigbaar is met het oorspronkelijke verzameldoel, zoals ook is opgenomen in de AVG. Er gelden echter bepaalde grenzen. Gegevens die verwerkt worden op basis van toestemming of in het algemeen belang, vallen niet onder deze uitzondering. Verder is het hergebruik van gegevens voor profileringsdoeleinden (waarbij individuele profielen worden gemaakt om de aard en eigenschappen van een individu te bepalen en/of te voorspellen) niet toegestaan. Gegevens mogen daarnaast niet met derden worden gedeeld, tenzij de gegevens vooraf geanonimiseerd zijn.

Cookiewalls 

Ondanks eerdere kritiek en richtsnoeren van de European Data Protection Board (EDPB), sluit het Portugese voorstel het gebruik van ‘cookie walls’ niet uit (een term die wordt gebruikt waarbij de toegang tot een website/dienst afhankelijk is van de aanvaarding van cookies). Zo zouden aanbieders van gratis diensten het accepteren van cookies als voorwaarde kunnen stellen voor het gebruik van hun dienst door eindgebruikers. Echter, de dienstaanbieders moeten hierbij wel een gelijkwaardige optie aanbieden waarbij de aanvaarding van cookies niet verplicht wordt gesteld (Overweging 20aaa).

Softwareaanbieders worden daarnaast aangemoedigd om in de browserinstellingen van eindgebruikers het eenvoudig te maken om ‘white-lists’ van cookies in te stellen en deze te wijzigen. Eindgebruikers moeten daarmee gemakkelijk hun verstrekte toestemming op elk moment kunnen aanpassen of intrekken (Overweging 20a).

Direct marketing

Het voorstel bevat uiteraard ook bepalingen met betrekking tot "gerichte" reclame richting één of meerdere specifieke eindgebruikers, indien dergelijke reclame via openbare elektronische-communicatiediensten wordt verzonden. Voor dergelijke reclame is, zoals in de huidige situatie reeds het geval, in beginsel voorafgaande toestemming vereist. Het voorstel bevat echter wel de "soft opt-in" regeling voor natuurlijke personen die reeds als klant worden aangemerkt in het kader van de verkoop van een product of dienst. Volgens het nieuwe voorstel mogen de verschillende lidstaten echter op basis van de "soft opt-in" regeling wel een tijdslimiet stellen aan het gebruik van contactgegevens na de verkoop van een product of dienst.

Metadata

Het Portugese voorstel bevat bepalingen om de verwerking van metadata zonder toestemming mogelijk te maken voor een beperkt aantal vooraf omschreven doeleinden. Voor de verwerking van metadata is volgens het nieuwe voorstel geen toestemming vereist wanneer de verwerking betrekking heeft op informatiebeveiliging, fraudepreventie, het leveren van de dienst (bijvoorbeeld facturering en toezicht op mogelijke misbruik van een dienst) of de bescherming van ‘vitale belangen’ (denk aan het monitoren op de verspreiding van epidemieën of andere humanitaire noodsituaties) (Artikel 6).

Aanvullende verplichtingen voor dienstverleners

De Portugese conceptversie introduceert nieuwe transparantie- en informatieverplichtingen, zoals het verplicht uitvoeren van een ‘Data Protection Impact Assessment’ (DPIA) voor gevallen waar eindgebruikers toestemming hebben verleend voor de verwerking van de inhoud van hun elektronische communicatie voor één of meer specifieke doeleinden (Artikel 6a, lid 2). Aanbieders van elektronische-communicatiediensten dienen vervolgens (i) interne procedures vast te stellen om te reageren op inzageverzoeken van eindgebruikers en (ii) op verzoek van de toezichthouder, informatie te verstrekken over deze procedures, het aantal ontvangen verzoeken (inclusief afhandeling) en de daarvoor aangevoerde juridische motivering (Artikel 11).

Kritische reacties

De toekomst zal uitwijzen of het huidige voorstel inderdaad zal leiden tot een nieuwe ePV. De eerste reacties zijn echter niet positief. De Duitse federale toezichthouder voor gegevensbescherming zei dat het wetsvoorstel een “zware klap voor de gegevensbescherming” is. Ook Sophie in t’Veld (lid van het Europees Parlement) is van mening dat het standpunt van de Raad “meer gaten dan Zwitserse kaas” heeft. Zeker is dat deze nieuwe fase in de onderhandelingen niet zonder slag of stoot zal verlopen.

Het Portugese voorstel bepaalt dat, na definitieve goedkeuring van de tekst, organisaties twee jaar de tijd zullen hebben om aan de nieuwe ePV te voldoen. Of, en zo ja, wanneer die periode zal beginnen is, met het oog op de vaak langdurige triloog onderhandelingen, vooralsnog lastig te voorspellen