Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Dossier ePrivacy Verordening (ePV): ontwikkelingen & huidige stand van zaken

Eerder blogden we er al over: ‘Wordt 2019 het jaar van de ePrivacy Verordening (ePV)?’ Een definitieve ePV lijkt op dit moment echter nog steeds niet in zicht, mede door de Europese Parlementsverkiezingen die in mei van dit jaar op de planning staan. Deze verkiezingen kunnen er namelijk voor zorgen dat de onderhandelingen opnieuw geopend zullen worden. Welke ontwikkelingen hebben er de afgelopen jaren gespeeld rondom deze ePV en waarom is deze verordening op dit moment nog steeds niet definitief? Wij praten u in dit dossier bij over de totstandkoming van de ePV en de laatste ontwikkelingen die nu spelen. 


Laatste update ‘Dossier ePrivacy Verordening (ePV)’: 24 april 2019


Jaar 2019

  • Oktober 2019: er wordt een nieuwe Europese Commissie gekozen.
  • Mei 2019: verkiezingen voor het Europese Parlement. Het Parlement is medewetgever. Dat betekent dat wanneer er vóór de verkiezingen geen overeenstemming is over het voorstel, de onderhandelingen erna opnieuw worden geopend.
  • 21 maart 2019: de Advocaat-Generaal (AG) bij het Hof van Justitie van de Europese Unie publiceert zijn opinie bij de Planet49-zaak. De AG is van mening dat vooraf aangevinkte vakjes voor het gebruik van cookies geen rechtsgeldige toestemming opleveren. Het uitvinken van een vakje kan niet als ‘vrijelijk gegeven’ en ‘geïnformeerde’ toestemming gezien worden.
  • 13 maart 2019: er worden verdere concessies gedaan aan het tekstvoorstel.
  • 12 maart 2019: de European Data Protection Board (voorheen de Artikel 29-Werkgroep) publiceert een opinie over de wisselwerking tussen de ePrivacy Richtlijn en de AVG, met specifieke aandacht voor de taken en bevoegdheden van de gegevensbeschermingsautoriteiten.
  • 7 maart 2019: de Autoriteit Persoonsgegevens breekt de cookiewall af als strijdig met de AVG. De ePV acht cookiewalls inmiddels onder omstandigheden toelaatbaar. De AP wordt (waarschijnlijk) de nieuwe toezichthouder onder de ePV.
  • 28 februari 2019: FEDMA (de Europese direct marketing vereniging) en tien andere organisaties verzoeken de Roemeense voorzitter om een nieuwe effectbeoordeling van het ePrivacy-voorstel, waarin de laatste technologische ontwikkelingen en praktische implementatie beter worden overwogen.
  • 4 februari 2019: de tekst van de ePV is geüpdatet met enkele uitzonderingen in het kader van kinderbescherming en nationale veiligheid en defensie.
  • Januari-juni 2019: Roemenië neemt het voorzitterschap van de Europese Raad van Oostenrijk over. Of 2019 het jaar van de ePrivacy Verordening gaat worden, is nog niet duidelijk.

Jaar 2018

  • 30 november 2018: de Autoriteit Persoonsgegevens (AP): ‘Bedrijven mogen mensen alleen bij hoge uitzondering met wifi-tracking volgen’. De AP publiceert hierover nadere uitleg. De ePV gaat het gebruik van wifi-tracking verder inkaderen.
  • Oktober 2018: de belangenstrijd rond de ePV wordt verder gevoerd. Artikel 6 (toegestane verwerkingen) en artikel 10 (bescherming van de eindapparatuur van eindgebruikers – lees: cookies) worden verder aangepast. Staatssecretaris van Economische Zaken Mona Keijzer kondigt aan om van telemarketing ook een opt-insysteem te maken. Tot de ePV in werking treedt, krijgt de telemarketingsector ondertussen de tijd om zelf irritatie onder klanten te verlagen door middel van zelfregulering.
  • 20 september 2018: aanpassingen volgen elkaar in rap tempo op. Bij deze versie wordt onder meer toegevoegd dat eindgebruikers uiterlijk elke 12 maanden herinnerd worden aan hun recht om toestemming in te trekken (tenzij de betrokkene heeft aangegeven dergelijke herinneringen niet te willen ontvangen). Er is een nieuw lid aan artikel 6 toegevoegd, op grond waarvan metadata voor ‘verenigbare doelen’ gebruikt mag worden.
  • Juli 2018: onder het Oostenrijkse voorzitterschap van de Raad van de Europese Unie wordt een herzien concept gepubliceerd met belangrijke wijzigingen. Het gebruik van cookies (en vergelijkbare technieken) is verboden, tenzij:
    • Dat noodzakelijk is voor de overdracht van elektronische communicatie;
    • De eindgebruiker toestemming heeft gegeven;
    • Dat noodzakelijk is om een door de eindgebruiker gevraagde “dienst voor de informatiemaatschappij” aan te bieden;
    • Dat noodzakelijk is om bezoekersaantallen te meten (met beperkingen);
    • Dat noodzakelijk is voor beveiliging, fraudepreventie of tijdsbeperkte detectie van technische fouten;
    • Dat noodzakelijk is voor een software update (afhankelijk van extra vereisten);
    • Dat noodzakelijk is om apparatuur van eindgebruikers te lokaliseren in het kader van een noodoproep.

Waar er voorheen nog Lidstaten twijfelden over hoe ‘toestemming’ moest worden geïnterpreteerd, is het vanaf nu duidelijk dat het gaat om een ondubbelzinnige uiting van de eindgebruiker. Het voorstel geeft ook een optie om een soort algemene toestemming (niet) te geven via de browser.

  • Juli-december 2018: Oostenrijk is voorzitter van de Raad van de Europese Unie.
  • Mei 2018: de Algemene Verordening Gegevensbescherming (AVG) is van kracht. Omdat het begrip ‘toestemming’ in de Telecommunicatiewet is gekoppeld aan de privacywet, dient dit vanaf nu te voldoen aan de eisen die de AVG stelt.

Jaar 2017

  • Oktober 2017: het Europees Parlement bepaalt zijn positie ten opzichte van het voorstel.
  • 4 april 2017: de Artikel 29-Werkgroep publiceert Opinion 01/2017 over de voorgestelde ePV. De Werkgroep adviseert onder meer om privacy by default verplicht te stellen en om browsertoestemming een optie te maken.
  • Januari 2017: ePrivacy gaat op de schop. De Europese Commissie publiceert het voorstel voor de ePrivacy Verordening (ePV). Hierin zijn onder andere de volgende punten opgenomen:
    • Device fingerprinting wordt gereguleerd;
    • Het materiële toepassingsbereik wordt uitgebreid. De wet beperkt zich niet langer tot de klassieke telecomsector. De ePV ziet ook op zogenaamde over-the-top-diensten (zoals VoIP en webmails), machine-to-machine-communicatie en (semi-)openbare draadloze netwerken.
    • Het territoriale toepassingsbereik is gelijk aan de AVG. Dit betekent dat ook niet-Europese organisaties zich aan de wet moeten houden wanneer zij diensten in de Europese Unie aanbieden.
    • De toegestane verwerkingen worden aangepast. Een kleine greep uit de nieuwe bepalingen:
      • Wifi- en Bluetooth-tracking is alleen toegestaan met toestemming en informatievoorziening, behoudens enkele uitzonderingen die de inbreuk op de privacy beperken.
      • De opt-in en opt-outregeling voor e-mailmarketing blijven bestaan. Direct marketing via alle kanalen, zowel B2C als B2B wordt waarschijnlijk op opt-inbasis.
      • De cookiewall wordt in dit eerste voorstel verboden. Later worden hier tijdens de onderhandelingen concessies in gedaan. Ook browsertoestemming staat ter discussie. Tracking cookies blijven op opt-inbasis.
      • De ePV beschermt inhoud én metadata (tijdstip, afzender, locatie, etc.). Elke verwerking van metadata is verboden, tenzij toegestaan door de ePV. De Commissie ziet kansen voor organisaties om metadata te gebruiken met toestemming van de eindgebruiker.
    • De boetes worden hetzelfde als onder de AVG, namelijk:
      • € 20.000.000,- of 4% van de wereldwijde omzet; of
      • € 10.000.000,- of 2% van de wereldwijde omzet.
    • Ook de toezichthouder wordt hetzelfde: de Autoriteit Persoonsgegevens gaat toezicht houden op de naleving van de ePV.

Jaar 2016

  • Juli 2016: de Artikel 29-Werkgroep adviseert over herziening van de ePrivacy Richtlijn. Er dient onder meer een gelijk speelveld te zijn voor functioneel gelijkwaardige diensten, zoals bellen via de vaste telefoon en bellen via Skype. Semi-openbare netwerken horen ook onder het toepassingsbereik te vallen, cookies dienen alléén met uitdrukkelijke toestemming geplaatst te worden en er dient een minimaal beveiligingsniveau te worden gegarandeerd. Ook ziet de Werkgroep graag een verbod om alle vormen van ongewenste communicatie en alle vormen van spam te verbieden.
  • April 2016: de Europese Commissie start een openbare consultatie voor herziening van de ePrivacy Richtlijn.

Jaar 2015

  • Maart 2015: de Cookiewet wordt gewijzigd. Analytics cookies, A/B testing cookies en affiliate cookies vereisen geen toestemming van de websitebezoeker, mits de privacyinbreuk gering blijft. Het College Bescherming Persoonsgegevens (de voorganger van de Autoriteit Persoonsgegevens) publiceert een handreiking om Google Analytics privacyvriendelijk in te stellen. De ACM reageert: “We zullen bedrijven hierop aanspreken en zo nodig beboeten”.

Jaar 2012

  • Juni 2012: de Cookiewet is van kracht. De Cookiewet is eigenlijk geen aparte wet, maar een Europese toevoeging aan de Telecommunicatiewet. Vanaf nu mag je alleen (niet-noodzakelijke) cookies plaatsen met toestemming van de websitebezoeker. Ook dien je websitebezoekers vanaf nu te informeren over het gebruik en het doel van cookies.

Jaar 2009

  • Oktober 2009: het spamverbod wordt uitgebreid. Ook (geautomatiseerde) ongevraagde commerciële, charitatieve of ideële mailings aan bedrijven mogen alleen met toestemming van de ontvanger worden verzonden.

Jaar 2004

  • Juni 2004: de ePrivacy Richtlijn wordt in Nederland geïmplementeerd in de Telecommunicatiewet.

Jaar 2002

  • Juli 2002: de Europese ePrivacy Richtlijn wordt aangenomen. Elke Lidstaat dient de Richtlijn in een nationale wet om te zetten. Dat betekent dat er de nodige verschillen komen tussen de verschillende Lidstaten.

Houd dit dossier in de gaten voor nieuwe updates rondom de ePrivacy Verordening (ePV).

Laura Monhemius

Juridisch adviseur

Laura Monhemius werkt als juridisch adviseur bij ICTRecht en is Certified Information Privacy Professional/Europe (CIPP/E). Bij ICTRecht maakt Laura onderdeel uit van het privacyteam. Binnen deze functie houdt zij zich bezig met het beantwoorden van uiteenlopende privacy- en telecommunicatievraagstukken. Daarbij is zij gespecialiseerd in de specifieke juridische uitdagingen op het gebied van privacy en zorg. Ook houdt zij nauwlettend de ontwikkelingen op het gebied van de aankomende ePrivacy Verordening bij.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie