EDPS: ‘Slimmere, duidelijkere en sterkere ePrivacy richtlijn’

De Europese Data Protection Supervisor (EDPS) publiceerde op 22 juli 2016 zijn opinie over de herziening van de ePrivacy Richtlijn. De herziening van de ePrivacy Richtlijn is een van de belangrijkste initiatieven van de Digital Single Market strategie van de Europese Commissie (EC). De adviezen van de EDPS kunnen ingrijpende veranderingen teweegbrengen in de privacyvraagstukken waarmee bedrijven in de elektronische communicatiesector mee te maken krijgen. Als onafhankelijke toezichthouder en raadgever is het advies van de EDPS niet bindend, maar het is de vraag of de Europese Commissie de opinie van de EDPS opzij durft te schuiven.

De EDPS stelt onder meer voor om de huidige ePrivacy Richtlijn uit te breiden op het gebied van consumentenbescherming. Gebruikers van instant messaging apps en Voice over Internet Protocol (VoIP) diensten moeten op dezelfde vertrouwelijkheid van communicatie kunnen rekenen als gebruikers van ‘reguliere’ telefoondiensten. Voor andere vormen van communicatie, zoals in-app messaging, vraagt de EDPS de Europese Commissie om nader onderzoek te doen of dit ook onder de richtlijn moet vallen. Daarnaast zou eenzelfde bescherming van communicatie ook voor het gebruik van openbare netwerken moeten gelden. Aanbieders van openbare netwerken, zoals de koffiewinkel om de hoek, en spelontwikkelaars kunnen hierdoor geconfronteerd worden met nieuwe compliance vraagstukken.

Verder bepleit de EDPS om de vertrouwelijkheid van communicatie uit te breiden naar alle vormen van content- en metadata. Volgens de toezichthouder kunnen gebruikers van deze data op basis van weinig datapunten profielen opstellen en deze aan individuele personen koppelen. Bijna elke applicatie, telefoon of website verzamelt tegenwoordig metadata. Volgens de EDPS moeten gebruikers nooit zonder hun toestemming gevolgd kunnen worden.

De in Nederland inmiddels beruchte cookiewet zal, als het aan de EDPS ligt, in de toekomst moeten worden herzien. Zo mag het gebruik van data niet meer aan voorwaarden gebonden zijn. De toegang tot websites mag dus niet ontzegd worden als er geen niet noodzakelijke cookies geplaatst mogen worden. Daarnaast adviseert de toezichthouder om het gebruik van internetverkeer- en locatiedata te onderwerpen aan dezelfde toestemmingsvoorwaarden als nu bij cookies het geval is.

Voor communicatienetwerken, -diensten en -software, waarover geen persoonlijke gegevens gecommuniceerd worden, stelt de EDPS voor om een minimum standaard te introduceren voor privacy en veiligheid. De bestaande standaarden voor privacy en veiligheid moeten volgens de EDPS veel breder dan nu van toepassing zijn. Zo moeten ook Internet of Things toepassingen alsmede netwerkcomponenten, zoals simkaarten, hieronder vallen. Ook aanbieders van slimme tandenborstels en parkeersensoren zouden dezelfde verantwoordelijkheden moeten krijgen voor gegevens als een telecomaanbieder.

Daarnaast benadrukt de EDPS het belang van encryptie van communicatie. De toezichthouder stelt dat reverse engineering, monitoring of ontcijfering van versleutelde communicatie verboden moet worden. Ook adviseert hij om het gebruik van encryptie aan te moedigen en, waar nodig, verplicht te stellen.

Tot slot adviseert de EDPS om de nieuwe ePrivacy maatregelen te implementeren als een verordening en niet als een richtlijn. Dit zou beteken dat er maar beperkt speling is voor de implementatie door nationale overheden. Het is dus belangrijk om belangen vroeg in het proces in te brengen. Hoewel de consultatie over dit onderwerp inmiddels gesloten is, zijn er nog voldoende momenten. De Europese Commissie, het Parlement en de Raad zijn nog aan zet. Via de Raad hebben nationale overheden een rol in de totstandkoming van de nieuwe regels.

Ook voor aanbieders die niet onder de ePrivacy Richtlijn vallen maar wel persoonsgegevens verwerken zijn overigens veranderingen op komst, zie hiervoor ons blog over de Algemene Verordening Gegevensbescherming, de opvolger van Richtlijn 95/46/EG omtrent de bescherming van persoonsgegevens. De adviezen van de EDPS stellen bedrijven die gebruik maken van data voor grote uitdagingen. Zo kunnen nieuwssites, de NS en je hardloop-app een scherpe toename verwachten in de verantwoordelijkheden die ze dragen voor hun producten. Voor de aanbieders die al hieronder vallen geldt over het algemeen dat er er veranderingen op komst zijn in de manier waarop zij met data mogen en moeten omgaan. Voor meer informatie over de herziening van de ePrivacy Richtlijn en wat dit voor jouw bedrijf gaat betekenen, neem contact op met Bart Pegge.