ePrivacy: het communicatiegeheim in de digitale omgeving

De inkt van de Algemene Verordening Gegevensbescherming (AVG) is nog niet droog en op alle vlakken wordt hard gewerkt aan een goede landing in mei 2018. Nu komt de Europese Commissie met een voorstel voor een verordening over elektronische privacy, die volgens velen het speelveld weer volledig op zijn kop zet. De nieuwe verordening breidt het communicatiegeheim uit tot de internet omgeving. Maar kan dat ook zomaar?

Een (te) ruim toepassingsbereik van de nieuwe regels?

Op 10 januari 2017 presenteerde de Europese Commissie een voorstel voor een verordening die de huidige ePrivacy-richtlijn moet vervangen. De kern van dit voorstel is het communicatiegeheim. Toegang tot de inhoud van gegevens en tot de locatie- en verkeersgegevens (metagegevens) is in principe alleen mogelijk als betrokkenen hun toestemming geven. Gerechtvaardigd belang wordt niet erkend als verwerkingsgrond.

Zo beschouwd biedt het voorstel niets nieuws. Communicatie is gevoelig en het meelezen van e-mails en het afluisteren van telefoongesprekken wordt aan strenge eisen gebonden. Dit geldt nu ook al voor de telecombedrijven. De Commissie beoogt het toepassingsbereik van deze regels uit te breiden naar internetbedrijven die vergelijkbare diensten aanbieden zoals Whatsapp, Skype en Viber, maar bijvoorbeeld ook gmail en hotmail. ePrivacy moet gelden voor wat in het jargon “Over-the-top-providers” worden genoemd.

Die uitbreiding leidt tot een fundamentele vraag: werkt het communicatiegeheim niet geheel anders in een online omgeving? Daar gebuiken bedrijven communicatiegegevens voor uiteenlopende doelen, zoals gerichte reclame, het verbeteren van diensten door machine learning en het bieden van ondersteunende diensten, zoals automatische vertaling of archivering? Kun je dit gebruik van gegevens – wat strikt geautomatiseerd gebeurt op basis van algoritmen – wel vergelijken met het afluisteren van telefoongesprekken of het openen van brieven?

Het voorstel lijkt de reikwijdte van de nieuwe wet bovendien veel ruimer te maken dan alleen het includeren van de Over-the-top-providers. Het gaat ook een veelheid aan internetdiensten omvatten, ook bijvoorbeeld op het gebied van het Internet der Dingen.

Er wordt ook wel gezegd dat het voorstel – wellicht onbedoeld – alle verkeer van persoonsgegevens omvat en de flexibiliteit die de AVG daarmee om zeep helpt. Als gegevens online nooit meer mogen worden verwerkt op de grondslag van ‘gerechtvaardigd belang’ en voor alles toestemming nodig is, kan dit innovatie tegengaan en bestaande verdienmodellen op internet onmogelijk maken.

De opvattingen lopen sterk uiteen

Er is dan ook veel verzet – vooral bij het bedrijfsleven – tegen de nieuwe ePrivacy regels. Dit verzet is deels van principiële aard: hebben we deze specifieke regels voor communicatiegegevens nodig en is de AVG niet juist bedoeld om allesomvattend te zijn? Maar het is ook deels pragmatisch van aard: alle energie is nodig om de AVG goed uit te voeren en het is vooral storend als organisaties gedurende het implementatieproces van de AVG zich alweer op een nieuw wettelijk regime moeten voorbereiden.

De artikel 29 werkgroep daarentegen ondersteunt de keuze voor specifieke regels in het ePrivacy voorstel. Het advies van de werkgroep van 4 april “strongly supports” de brede verbodsbepalingen, de nauw omschreven uitzonderingen en de nadruk op toestemming. Het vereiste van toestemming zou zelfs moeten worden versterkt en het gebruik van metagegevens zou alleen mogelijk moeten zijn als zowel de verzender als de ontvanger van een communicatie toestemming geeft. Het tracken van personen zou ook veel strakker moeten worden geregeld.

In Nederland stelt de Eerste Kamer in een brief van 14 maart vragen aan de Minister van Veiligheid en Justitie, waaruit onder andere de zorg blijkt dat het voorstel de verwerkingsmogelijkheden van communicatiegegevens niet beperkt doch juist verruimt.

Het wetgevingsproces begint nu echt

De rapporteur in het Europees Parlement, de Estse Sociaal Democraat Marju Lauristin, heeft publiekelijk laten weten grote vaart achter de behandeling van het voorstel te willen zetten. Dit zou het mogelijk maken dat de nieuwe ePrivacy regels gelijktijdig worden ingevoerd met de AVG, in mei 2018. Een eerste concrete stap in het proces in het Europees Parlement is een hoorzitting op 11 april 2017.

Binnen de Raad van Ministers, medewetgever in de EU, ligt het tempo op dit moment nog niet erg hoog. Het Maltese voorzitterschap heeft andere prioriteiten, maar vanaf 1 juli 2017 is Estland aan zet als voorzitter van de Raad, een land dat vooroploopt in digitale ontwikkelingen. De verwachting is dan ook dat het Estse voorzitterschap veel op het gebied van ePrivacy gaat doen.

De belangrijkste vraag is natuurlijk de richting van de onderhandelingen: wordt de reikwijdte alsnog ingeperkt? Wordt het toestemmingsvereiste versterkt of juist verzwakt?

Politieke keuzes zijn nodig, onder andere om te bepalen of het aanvaardbaar is dat persoonsgerichte reclame alleen met toestemming wordt getoond en misschien nog wel belangrijker: mogen persoonsgegevens zonder toestemming worden gebruikt om diensten te verbeteren?

De belangen zijn groot en de meningen lopen sterk uiteen. De uitkomst is nog ongewis en de komende maanden zijn daarom cruciaal.

Heeft u vragen of wilt u nadere informatie, schroom dan niet om contact met ons op te nemen.