Nu de Algemene Verordening Gegevensbescherming (AVG) alweer een tijdje geleden in werking is getreden en het stof is neergedaald, wordt het tijd om de introductie van de volgende grote privacyregelgeving te belichten. De AVG was namelijk niet de enige verordening die op de planning van de Europese Commissie stond; ook de ePrivacy Verordening (EPV) komt eraan. De EPV zal, na inwerkingtreding, de momenteel geldende Europese ePrivacy Richtlijn (EPR) vervangen en daarmee ook de Nederlandse Telecommunicatiewet die hierop is gebaseerd. Vaak belichten we inhoudelijke wijzigingen van nieuwe regelgeving in onze blogs, maar in deze blog gaan we jullie meenemen in de belangenstrijd die met de EPV gepaard gaat.
Het plan om de EPV – naast de AVG – ook op 25 mei 2018 van kracht te laten gaan, faalde wegens onenigheid over de concepttekst ervan. Momenteel ligt het Voorstel voor de EPV nog bij het Europees Parlement en de Raad, maar de voorgestelde wijzigingen volgen elkaar snel op waardoor het lijkt alsof we richting de ‘finale versie’ gaan. Wij verwachten dan ook dat de EPV waarschijnlijk ergens medio 2019 van kracht zal zijn. Uit recente versies van de tekst van de EPV kan in ieder geval een aantal belangrijke vernieuwingen worden opgemaakt.
De EPV zal gaan gelden als een soort lex specialis op de AVG. Waar de AVG namelijk iedere vorm van persoonsgegevensverwerking beslaat, richt de EPV zich uitsluitend op de verwerking van persoonsgegevens voor elektronische communicatiediensten. De EPV beslaat wel een grotere groep aanbieders van communicatiediensten, dan de momenteel geldende EPR. De voorgestelde bepalingen van de EPV zullen namelijk eveneens gelden voor nieuwe spelers die online communicatiediensten aanbieden, zoals WhatsApp, Facebook Messenger, Skype, Gmail, iMessage of Viber.
De diensten van dergelijke aanbieders vielen grotendeels al onder onze Telecommunicatiewet, maar door de nieuwe regelgeving zullen alle Europese burgers en bedrijven profiteren van dezelfde mate van bescherming door de gehele EU. Daarnaast zal niet alleen de inhoud van elektronische berichten beschermd worden, maar ook de metadata ervan, zoals bijvoorbeeld plaats en tijdstip van verzenden.
Naast het beschermen van online communicatie gaat de EPV ook in op cookieregels en het spamverbod. In eerdere blogs is al gesproken over de gevolgen van de EPV voor onder meer het plaatsen van cookies en de vereiste toestemming hiervoor. De bepalingen die zien op het bestrijden van spam houden in dat consumenten geen elektronische communicatie (direct marketing) mogen ontvangen waarvoor ze geen toestemming hebben gegeven (via ofwel opt-out of opt-in). Niet alleen dergelijke communicatie via e-mail of sms behoeft toestemming van de consument, het gaat hierbij ook om telefonische reclame.
De precieze uitwerking van de Europese regels mag op bepaalde gebieden door de lidstaten worden bepaald, waardoor de keuze van een consument om bijvoorbeeld telefonische reclame te weigeren afhankelijk kan worden gesteld van inschrijving in een bel-me-niet-register. Ook is het aan de lidstaten om 'business-to-business'-communicatie te reguleren. Gezien Nederland eerder al gekozen heeft om ondernemingen tegen spam te beschermen, verwachten wij hier geen verandering. Direct marketing door Nederlandse ondernemingen lijkt hieronder dan ook niet meer te gaan lijden dan op dit moment reeds gebeurt.
De invoering van de EPV komt op een goed moment. Het is door de Europese Unie onderzocht dat 92% van de Europeanen het belangrijk vindt dat hun e-mails en online berichten vertrouwelijk blijven. Daarnaast piekeren steeds meer consumenten over de mate waarin apps hun privacy schenden. Bestaande regelgeving geldt slechts voor traditionele communicatiebedrijven, maar als gevolg van de EPV mogen mobiele apps of internetservices waarmee consumenten (online) communiceren de communicatie niet zomaar meer onderscheppen, opnemen, beluisteren of aftappen: een hele geruststelling voor de bezorgde consument.
Ook voor bedrijven zou de EPV goed nieuws kunnen zijn. Het toezicht op regels omtrent (online) communicatie is momenteel versnipperd: een deel is belegd bij de Autoriteit Persoonsgegevens (AP) en een deel bij de Autoriteit Consument en Markt (ACM). Straks wordt het toezicht waarschijnlijk primair bij de AP neergelegd, waardoor meer duidelijkheid ontstaat bij wie je moet aankloppen voor advies en bij wie je moet zijn voor (het melden van) eventuele overtredingen. Een andere geruststelling voor bedrijven is dat wanneer zij al goed bezig zijn met het toepassen van de regels neergelegd in de AVG en de EPR, de EPV naar onze mening weinig extra zorgen zal brengen.
Gegevensbescherming blijft echter een heet hangijzer. Zelfs nu de AVG in werking is getreden en bedrijven hebben moeten accepteren dat zij compliant moeten zijn. Dezelfde groep tegenstanders van de AVG lobbyt nu namelijk tegen de invoering van de EPV, gebruikmakend van onder meer filmpjes met worst-case scenario’s. De bezorgde ondernemingen, waaronder grote namen als Amazon, Google en Netflix, vrezen dat de invoering van de EPV digitale innovatie zal tegengaan en dat het daarmee het einde van data-gestuurde online diensten betekent. De impact op marketing en advertising kan namelijk fors zijn als cookiemuren worden verboden en privacy by design echt verplicht wordt gesteld, zoals de ‘Article 29 Working Party’ graag ziet, getuige haar Opinie omtrent de EPV.
De angst van deze ondernemingen is daarnaast gebaseerd op een onderzoek waarin beweerd wordt dat Europese uitgevers voor hun advertentie-inkomsten een groot deel afhankelijk zijn van data-tracking. Nader onderzoek naar de resultaten van het onderzoek wees echter uit dat het rapport ook Google en Facebook, twee bedrijven die feitelijk geen uitgevers zijn maar wel enorme inkomsten hebben op dit gebied, had betrokken in de studie waardoor er een vertekend beeld ontstond van de werkelijke situatie.
Het debat omtrent de tekst van de EPV kan worden herleid tot een controversiële kwestie: of datagedreven digitale diensten meer een zegen voor de consument zijn, of een soort van toezicht die de democratie en onze privacy kan bedreigen. Of de hedendaagse ‘data-driven society’ daadwerkelijk door de invoering van deze regelgeving, zoals tegenstanders stellen, zal worden ontwricht, is nog maar zeer de vraag. Onze verwachting is dat de tekst van de EPV aan zal sluiten bij de bepalingen uit de AVG. Daarnaast zal het toepassingsgebied van beide verordeningen overlappen waardoor veel bedrijven weinig extra maatregelen zullen hoeven nemen dan ze reeds moesten op basis van de nationale interpretaties van de EPR en de AVG. Voor de precieze reikwijdte, het toepassingsgebied en de mogelijke crisissituaties als gevolg van de EPV zullen we echter nog even moeten wachten tot de uiteindelijke tekst wordt gepubliceerd.
Deze blog is geschreven door stagiair Jochem Goes, in samenwerking met Michelle Wijnant.
Onze privacy juristen helpen u graag op weg. Neem contact met ons op, of lees hier meer over ons privacy advies.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.