08 feb E-privacyverordening op veel niveau’s nog onduidelijk
Het is nog lang niet duidelijk hoe de e-privacyverordening er straks uit komt te zien, en het lijkt onwaarschijnlijk dat de deadline van mei 2018 wordt gehaald. Maar dat betekent niet dat bedrijven rustig aan kunnen doen, zegt Wilfred Steenbruggen, privacyadvocaat bij Bird&Bird. De e-privacyverordening komt eraan, en bedrijven doen er goed aan zich daarop voor te bereiden.
‘E-privacy’ is een Europees opgelegde verordening die nieuwe regels moet brengen die specifiek gericht zijn op de behscherming van privacy en persoonsgegevens in de elektronische communicatiesector.
Dat is iets anders dan de AVG, die algemene privacyregels bevat en die vanaf 25 mei dit jaar van kracht wordt, en hoewel de AVG en de e-privacyverordening veel op elkaar lijken (en elkaar aanvullen) zijn het twee duidelijk verschillende zaken.
Boetes
Bedrijven die de regels overtreden lopen straks dezelfde risico’s als met de AVG: een boete van maximaal 20 miljoen euro, of 4% van de jaaromzet – en natuurlijk de eventuele reputatieschade… Bij het bepalen van de boete wordt gekeken naar dezelfde regels en proporties als de AVG.
Lees ook: ‘Boetes niet het enige risico van niet AVG-compliant zijn’.
Oude richtlijn
De nieuwe verordening is hard nodig, want de bestaande richtlijn stamt uit 2002. Inmiddels is er zoveel veranderd in het digitale landschap dat die niet meer relevant is. “De huidige richtlijn en regels zijn technologieafhankelijk”, vertelt Steenbruggen.
“Er is inmiddels zoveel veranderd op technologisch gebied dat de regels tekort schieten, met name voor zogenaamde ‘over the top’-diensten die niet gebonden zijn aan de traditionele communicatie-infrastructur, maar via het internet lopen.” Het gaat dan bijvoorbeeld over webmail, of berichten via apps of diensten zoals Instagram of Skype. De huidige regels zijn daarvoor niet geschreven.
Over the top
“De e-privacyverordening moet zorgen dat ook gebruikers van ‘over the top’ communicatiediensten ervan uit kunnen gaan dat de vertrouwelijkheid van hun communicatie en hun privacy is gewaarborgd. Dat is hard nodig, omdat juist via deze diensten meer en meer data wordt verzameld en gebruikt. Daarnaast zorgt de verordening ervoor dat dezelfde regels gelden voor ‘over the top’ diensten en voor traditionele communicatiediensten, zodat de verschillende aanbieders onder gelijke condities kunnen concurreren.”
Vraagtekens
Zo op het eerste gezicht lijkt het alsof de e-privacyverordening in kannen en kruiken is, maar toch zijn er nog veel vraagtekens die volgens Steenbruggen moeten worden ingevuld. Neem bijvoorbeeld de mate waarop toestemming moet worden gevraagd aan consumenten voor de verwerking van persoonsgegevens.
“Toestemming is altijd ingewikkeld, ook onder de e-privacyverordening. In principe wordt daarbij verwezen naar de AVG om uit te leggen hoe dat zit, maar het is maar de vraag of die regels onder de e-privacyverordening niet anders moeten worden uitgelegd. Het is mogelijk dat die regels in sommige gevallen strikter zullen worden toegepast dan onder de AVG, en in andere gevallen juist minder. We zullen moeten wachten hoe dat in de praktijk vorm gaat krijgen.” Cookies zijn volgens Steenbruggen een bekend voorbeeld van toestemming. “Cookiewalls zijn iedereen al jaren een doorn in het oog. Met de e-privacyverordening wordt het mogelijk gemaakt om cookietoestemming via browserinstellingen te kunnen regelen.”
Vaag Europees toezicht
Hoe het toezicht op de verordening op Europees niveau vorm gaat krijgen is ook nog vaag. Steenbruggen: “De Commissie en het Europees Parlement willen bijvoorbeeld dat e-privacy door dezelfde partij wordt gehandhaafd als de AVG; in Nederland dus de Autoriteit Persoonsgegevens. Maar Nederland heeft zelf al aangegeven dat het die taak liever laat liggen bij de ACM, die nu zeer actief toezicht houdt op de naleving van de cookie- en spamregels en regelmatig hoge boetes oplegt. Daarover wordt op dit moment nog volop gediscussieerd.”
Ruimte voor eigen aanpak
Ondanks het feit dat de regels Europees moeten gelden, laat e-privacy volgens Steenbruggen ook nog ruimte voor een eigen nationale aanpak. “Wat betreft telemarketing mogen lidstaten bijvoorbeeld zelf bepalen of zij dat op basis van opt-in of opt-out willen.” Een groot verschil is wel dat de huidige opt-in voor onder meer emailberichten met de e-privacyverordening wordt doorgetrokken naar over-the-top-diensten zoals berichten die bijvoorbeeld via diensten zoals Instagram, Facebook of LinkedIn worden verstuurd.
Ruimte voor eigen aanpak
Ondanks het feit dat de regels Europees moeten gelden, laat e-privacy volgens Steenbruggen ook nog ruimte voor een eigen nationale aanpak. “Wat betreft telemarketing mogen lidstaten bijvoorbeeld zelf bepalen of zij dat op basis van opt-in of opt-out willen.” Een groot verschil is wel dat de huidige opt-in voor onder meer emailberichten met de e-privacyverordening wordt doorgetrokken naar over-the-top-diensten zoals berichten die bijvoorbeeld via diensten zoals Instagram, Facebook of LinkedIn worden verstuurd.
Daar komt volgens Steenbruggen nog bij dat de verschillende Europese landen hun eigen culturen hebben en verschillend om zullen gaan met de regels. “Daardoor ontstaat uiteindelijk toch weer een lappendeken van verschillende toepassingen van die regels.”
Lees ook: ‘Vele regels AVG voor multinationals als Heineken vaak nog lastig’.
Discussie
Er zijn dus nog genoeg zaken die moeten worden geregeld voor de verordening definitief ingaat. In principe zou dat, net als de AVG, al in mei van dit jaar moeten gebeuren, maar Steenbruggen durft te voorspellen dat die deadline krap gaat worden. “De partijen die daar op Europees niveau over gaan zijn het op veel punten nog niet met elkaar eens. Het is dus goed mogelijk dat de regels nog op verschillende punten worden aangepast. In elk geval zal de discussie nog wat tijd nodig hebben. Maar de e-privacyverordening komt eraan en de grote lijnen zijn inmiddels wel bekend. Het is goed voor bedrijven om zich al zoveel mogelijk voor te bereiden, ook omdat ze nu toch al bezig zijn met de implementatie op de AVG.”
Bron: https://iir.nl/blog/e-privacyverordening-op-niveaus-nog-onduidelijk/
Sorry, het is niet mogelijk om te reageren.