De aanloop naar de ePrivacy Verordening
Deze blog is tot stand gekomen in samenwerking met IIR.
Op 26 & 27 september organiseerde IIR het Dataprotectie en Privacy Congres. Tijdens dit congres sprak Sjoera over de ePrivacy Verordening (ePV). Het duurt nog tot eind 2020 voordat de ePV van kracht wordt, toch is er kennelijk al veel belangstelling voor de verplichtingen en regels die de opvolger van de ePrivacy Richtlijn uit 2002 met zich meebrengt. Sjoera was dan ook aangenaam verrast door de afgeladen zaal. In deze blog vertelt Sjoera wat je te wachten staat.
Waarom is er groeiende aandacht voor de ePV?
De ervaringen met de implementatie van de Algemene verordening gegevensbescherming (AVG) zijn volgens Sjoera een belangrijke reden voor de interesse in de ePV. Veel organisaties zijn door de AVG zich ervan bewust dat de invoering en naleving van een nieuwe wet op het gebied van gegevensverwerkingen behoorlijk tijdrovend en ingewikkeld kunnen zijn.
Ook het feit dat de ontwikkelingen rond de eVP nogal eens doen denken aan het plot van een intrigerende thriller zou de groeiende aandacht kunnen verklaren. Lobbyisten draaien overuren om het wetgevingsproces te beïnvloeden. Sjoera: “Alleen al Microsoft heeft permanent honderd lobbyisten in Brussel rondlopen. Daar kunnen de ngo’s (niet-gouvernementele organisaties) die kritisch staan tegenover de wet natuurlijk niet tegenop. Het wetsvoorstel ligt sinds een jaar bij de Raad van Ministers, en die zijn gevoelig voor argumenten dat de wet in de weg zou staan van innovatie.”
Als de lidstaten het begin volgend jaar onderling al eens worden, dan volgen daarna naar verwachting nog langdurige onderhandelingen met het Europees Parlement. Vanwege de verkiezingen voor het Europees Parlement in mei 2019 proberen parlementsleden de onderhandelingen namelijk zo lang mogelijk te rekken, denkt Sjoera. “Geen enkel parlementslid wil de geschiedenisboeken in gaan als voorstander van een wet die de bescherming van de communicatie van burgers niet serieus neemt.”
Wat is de verhouding tussen de AVG en de ePV
Met de komst van de AVG staat dataprotectie bij veel organisaties hoog op de agenda. Daardoor kijken ze ook beter naar de huidige regels over online privacy, zoals die zijn opgenomen in hoofdstuk 11 van de Telecomwet. Die regels over bijvoorbeeld direct marketing en cookies zijn al streng, legt Sjoera uit. “De regelgeving gaat uit van een algemeen verbod, met piepkleine muizengaatjes: alleen met toestemming of op basis van specifieke wettelijke uitzonderingen kan je wél iets doen. In die zin lijken de regels over online privacy wel op de regels voor de verwerking van bijzondere persoonsgegevens uit de AVG: het mag niet, tenzij….” Als het aan het Europees Parlement ligt, worden de regels onder de ePV nog verder aangescherpt. Er zijn bijvoorbeeld plannen om alle cookie-muren te verbieden en privacy by design verplicht te stellen.
Een ingewikkelde kwestie waarover voorlopig nog wel onduidelijkheid zal blijven bestaan, is de verhouding tussen de AVG en de ePV. “Is de ePV een lex specialis ten opzichte van de AVG? Verschuift het toezicht op de naleving van de ePV van de ACM naar de AP? Hoe verhoudt de toestemmingsvereiste uit de ePV zich tot toestemming als grondslag voor gegevensverwerkingen uit de AVG?”, vat Sjoera enkele actuele pijnpunten samen op.
Waar moet je rekening mee houden?
Het goede nieuws: we hebben nog wel even de tijd om aan de nieuwe regels van de ePV te wennen. Bovendien zal een aantal onderdelen uit de nieuwe wet niet als een volslagen verrassing komen, aldus Sjoera. “Het spamverbod geldt al sinds 2004 en het toestemmingsvereiste voor tracking cookies sinds 2012. Bovendien is het vragen van toestemming voor bijvoorbeeld het plaatsen van analytische en functionele cookies in veel gevallen helemaal niet nodig. Bovendien hóeven organisaties natuurlijk niet altijd tracking cookies te gebruiken. Als de AVG ons iets heeft geleerd, is het om goed na te gaan of verwerkingen van persoonsgegevens wel echt noodzakelijk zijn.”