Op 8 september reageerde de Raad van Ministers van de EU (de Raad) op het voorstel voor de ePrivacy Verordening door de Europese Commissie van 10 januari 2017. Europees Parlementslid en Rapporteur Marju Lauristin publiceerde enkele weken daarvoor 135 amendementen. Het Europees Parlement heeft in totaal meer dan 1000 amendementen ingediend. In deze blog bespreken wij twee grote discussiepunten die uit deze stukken blijken: scope & toestemming.
De huidige ePrivacy Richtlijn stelt strenge eisen aan verwerking van communicatie(gegevens) door traditionele telecombedrijven, zoals KPN en Vodafone. Zogenaamde Over-The-Top-diensten (OTT-diensten) zoals Whatsapp en Skype vallen buiten deze richtlijn, maar profiteren wel volop van de netwerken van telecomproviders. De Europese Commissie meent dat deze situatie leidt tot een ongelijk speelveld en wil daarom de reikwijdte van de spelregels verruimen. Het voorstel richt zich zodoende op alle diensten die gebruikmaken van communicatienetwerken. Verschillende partijen waarschuwen voor deze brede definitie, omdat de verordening zo niet alleen diensten die communicatie tussen individuen faciliteren raakt, maar tevens organisaties die communicatienetwerken gebruiken voor andere activiteiten treft. Denk aan monitoring van transacties door banken; netwerkmonitoring tegen cyberaanvallen; en communicatie tussen apparaten (Internet of Things). De Raad probeert met haar gepubliceerde tekst door middel van compromissen gemeenschappelijke gronden tussen de lidstaten te vinden. Zij gooit bijvoorbeeld de mogelijkheid op om de reikwijdte in te perken door bijvoorbeeld machinale communicatie er slechts onder te laten vallen indien deze betrekking heeft op een individu.
Een controversieel onderdeel betreft het moeten verkrijgen van toestemming voor het verwerken van elektronische communicatie. De Algemene Verordening Gegevensbescherming (AVG) biedt zes grondslagen voor de verwerkingen van persoonsgegevens, zoals toestemming, de uitvoering van een overeenkomst, een wettelijke verplichting of het gerechtvaardigd belang van de organisatie. Op een aantal uitzonderingen na, gebiedt de ePrivacy Verordening organisaties toestemming te vragen voor de gegevensverwerkingen. De Raad brengt de discussie weer tot leven om dienstaanbieders meer wettelijke grondslagen te bieden om gegevens te verwerken, zoals het gerechtvaardigd belang. In dat geval moet de organisatie een belangenafweging maken tussen haar eigen gerechtvaardigd belang en het belang van het individu.
Rapporteur Lauristin is wél voorstander van toestemming als enige verwerkingsgrondslag. Zij lijkt dit zelfs te versterken door te stellen dat gegevens niet verder mogen worden verwerkt (voor een secundair doel) op basis van de verkregen toestemming. De dienstaanbieder moet volgens haar dan nogmaals toestemming vragen voor het verwerken van de gegevens voor het secundaire doel. Verscheidene dienstaanbieders menen dat een dergelijke bepaling innovatie van data gedreven diensten remt. Deze diensten willen namelijk innovatie aanwakkeren door op basis van analyses van de reeds verkregen gegevens nieuwe diensten te ontwikkelen of bestaande te verbeteren.
Considerati volgt de ontwikkelingen op het gebied van het voorstel voor de ePrivacy Verordening op de voet. Wilt u meer informatie over de mogelijke gevolgen voor uw organisatie? Neem dan contact met ons op.