Dossier ePrivacy Verordening (ePV): ontwikkelingen & huidige stand van zaken

Eerder blogden we er al over: ‘Wordt 2019 het jaar van de ePrivacy Verordening (ePV)?’ Een definitieve ePV lijkt op dit moment echter nog steeds niet in zicht, mede door de Europese Parlementsverkiezingen die in mei van dit jaar op de planning staan. Deze verkiezingen kunnen er namelijk voor zorgen dat de onderhandelingen opnieuw geopend zullen worden. Welke ontwikkelingen hebben er de afgelopen jaren gespeeld rondom deze ePV en waarom is deze verordening op dit moment nog steeds niet definitief? Wij praten u in dit dossier bij over de totstandkoming van de ePV en de laatste ontwikkelingen die nu spelen. 


Laatste update 'Dossier ePrivacy Verordening (ePV)': 10 februari 2022


Jaar 2021

  • 4 november 2021: De Raad van de Europese Unie en het Europees Parlement hebben overeenstemming bereikt over een aantal wijzigingen in drie hoofdstukken van de ePV (III, V, VI). De Raad en het Parlement verschillen echter nog van mening over een aantal belangrijke kwesties:
    • Ze zijn het niet eens over de definitie van ‘ongewenste oproepen’.
    • Ze zijn het niet eens over de reikwijdte van het verbod op het verzenden van direct-marketingberichten zonder toestemming van de ontvanger: de Raad wil dit verbod alleen toepassen op communicatie die aan ‘natuurlijke personen’ wordt toegezonden, terwijl het Parlement wil dat het verbod ook geldt voor het verzenden van berichten aan rechtspersonen (bv. bedrijven).
    • Het Parlement wil ook de traditionele definitie van direct marketing (die automatische oproepapparaten, faxberichten en e-mails, met inbegrip van sms-berichten, omvat) uitbreiden tot diverse andere soorten reclame, zoals ‘pop-upvensters of op e-mail lijkende reclame’ (bv. push-notificaties). De Raad onderschrijft dit momenteel niet.
  • 14 juli 2021: het Europees Parlement heeft nieuwe tekst goedgekeurd die aanbieders in staat stelt particuliere onlineberichten te scannen op seksueel misbruik van kinderen, inclusief een meldplicht. Bedrijven kunnen hiermee goedgekeurde technologieën toepassen om grooming op te sporen.
  • 20 mei 2021: eerste triloog-onderhandeling onder het Portugese voorzitterschap.
  • 9 maart 2021: De EDPB heeft een verklaring over de ePV gepubliceerd. De EDPB merkte op dat de verordening de AVG moet aanvullen en niet de facto wijzigen. De EDPB een standpunt ingenomen over de bewaring en verwerking van elektronische-communicatiegegevens met het oog op rechtshandhaving en nationale veiligheid, de vertrouwelijkheid van elektronische communicatie, de vereisten inzake toestemming voor cookies, de toekomstige rol van toezichthoudende autoriteiten en het samenwerkingsmechanisme. In het bijzonder:
    • Uitte de EDPB zijn bezorgdheid over het feit dat sommige van de uitzonderingen ruime vormen van verwerking mogelijk kunnen maken en het recht van de gebruiker op vertrouwelijkheid kunnen ondermijnen;
    • Werd onderstreept dat in de ePV aandacht moet worden besteed aan de rol van anonimisering;
    • Benadrukte de EDPB dat de nieuwe ePV het toestemmingsvereiste voor cookies en soortgelijke technologieën moet handhaven, en moet zorgen voor doeltreffende manieren om toestemming te verkrijgen voor websites en mobiele apps, onder meer om toestemmingsmoeheid aan te pakken;
    • Werd steun geuit voor een algemeen verbod op de verdere verwerking van door middel van cookies en soortgelijke technologieën verzamelde elektronische-communicatiegegevens en metagegevens, gevolgd door uitzonderingen en het gebruik van toestemming voor die verdere verwerking.
  • 10 februari 2021: binnen de Raad is er overeenstemming over de tekst van de nieuwe verordening. Hierdoor kon het Portugese voorzitterschap de besprekingen met het Europees Parlement beginnen over de definitieve tekst.
  • 5 januari 2021: het Portugese voorzitterschap van de Europese Raad begint 2021 met de publicatie van een nieuwe conceptversie van de ePV. Het doel was ditmaal om de tekst te vereenvoudigen, verder in lijn te brengen met de AVG en de lex specialis-rol te verduidelijken t.o.v. de AVG. Enkele inhoudelijke aanpassingen:
    • De territoriale scope is in lijn gebracht met de AVG. Dat betekent dat ook niet-Europese organisaties aan de ePV zullen moeten voldoen.
    • Metadata en cookiedata mogen (weer) gebruikt worden voor doeleinden die ‘verenigbaar zijn met het oorspronkelijke doel’.
    • ‘Uitvoering van de overeenkomst’ is in lijn gebracht met de AVG.

Jaar 2020

  • 19 november 2020: De European Data Protection Boarad (EDPB) publiceert een statement waarin zorgen worden geuit over het toezicht op de ePrivacy Verordening.
    • De EDPB vindt dat het toezicht op de naleving van de ePV aan dezelfde nationale autoriteit moet worden overgelaten die toeziet op de naleving van de AVG.
    • Ook dient de ePV de AVG aan te vullen door sterke waarborgen te bieden voor vertrouwelijkheid en bescherming van alle manieren van elektronische communicatie.
  • 4 november 2020: Onder Duits voorzitterschap van de Raad van de Europese unie een nieuwe publicatie van conceptvoorstel met enkele wijzigingen/discussiepunten.
    • De mogelijkheid om van metadata van elektronische communicatie te verwerken op grond van het gerechtvaardigd belang is geschrapt.
    • Toegevoegd is dat metadata van elektronische communicatie verwerkt mag worden voor statistische doeleinden of wetenschappelijk onderzoek.
    • Ook is gerechtvaardigd belang als grondslag voor het plaatsen van cookies weer weggehaald uit artikel 8.
    • Uitzonderingen die gegevensverwerking toestaan om kindermisbruik en terrorisme tegen te gaan is niet meer opgenomen in het conceptvoorstel.
    • De bepaling dat dezelfde autoriteit die toezicht houdt op naleving van de AVG ook toezicht dient te houden op de ePV is geschrapt. Lidstaten mogen een of meer onafhankelijke autoriteit(en) aanwijzen, zolang zij voldoen aan de voorwaarden van artikel 51 tot 54 AVG. · 6 juli 2020: Wijzigingsvoorstel in het licht van de Covid-19 pandemie, over het toestaan van verwerking van metadata wanneer dit noodzakelijk is voor bescherming van vitale belangen van een natuurlijk persoon. De Raad van de Europese Unie vraagt input van de lidstaten.
  • 1 juli 2020: Duitsland neemt het voorzitterschap van de Raad van de Europese Unie van Kroatië over.
  • 29 mei 2020: De voorzitter van de Raad van de Europese Unie heeft een voortgangsverslag gepubliceerd over de ePV. De Covid-19 pandemie zorgt voor vertraging.
  • 6 maart 2020: Onder Kroatisch voorzitterschap van de Raad van de Europese Unie wordt een herzien concept van de ePV gepubliceerd met enkele wijzigingen.
    • De mogelijkheid om op grond van het gerechtvaardigd belang metadata van elektronische communicatie te verwerken. Met dezelfde grondslag, het gerechtvaardigd belang, is het mogelijk cookies plaatsen. Is deze grondslag van toepassing dan zijn wel enkele aanvullende waarborgen noodzakelijk

Jaar 2019

  • 22 november 2019: het is de lidstaten in de Raad niet gelukt om het eens te worden over het nieuwe voorstel. Via de Permanent Representatives Committee of the Council of the European Union (COREPER) hebben de lidstaten de nieuwe versie van de ePV weggestemd. Er zijn nu twee mogelijkheden: de Europese Commissie trekt het voorstel in, of de Raad komt met een aangepaste tekst, waar alle lidstaten zich wel in kunnen vinden.
  • 8 november 2019: de Raad publiceert een update. Het Finse voorzitterschap streeft ernaar om het voorstel in 2019 nog naar de triloog te loodsen, maar dit zal lastig worden. Een aantal landen wil eerst de nieuwe Europese Commissie zien. De aanstelling van de nieuwe Commissie heeft namelijk vertraging opgelopen. Inhoudelijk blijft de cookiewall een discussiepunt, net als toestemming voor verschillende marketingberichten.
  • Oktober 2019: er wordt een nieuwe Europese Commissie gekozen.
  • 26 juli 2019: de Finse overheid doet een aangepast voorstel, met enkele aanpassingen op het gebied van elektronische communicatie, data en metadata en ‘verdere verwerking’ (art. 6 t/m 6c). Dit voorstel zal besproken worden op de volgende vergadering van de Raad op 9 september 2019.
  • 7 juni 2019: de Telecomraad houdt een voortgangsrapportage over de ePV, de laatste onder het Roemeense voorzitterschap. Belangrijke discussiepunten zijn uitzonderingen op het communicatiegeheim ten behoeve van de bestrijding van kinderporno, het bestrijden en voorkomen van terrorisme, en dataretentie. De bespreking is nog niet besluitvormend of concluderend.
  • 23-26 mei 2019: de Europese verkiezingen hebben plaatsgevonden. Aangezien het voorstel voor de ePV nog niet definitief was vóór de verkiezingen, zal het nieuwe parlement als medewetgever hier verder mee aan de slag gaan.
  • 21 maart 2019: de Advocaat-Generaal (AG) bij het Hof van Justitie van de Europese Unie publiceert zijn opinie bij de Planet49-zaak. De AG is van mening dat vooraf aangevinkte vakjes voor het gebruik van cookies geen rechtsgeldige toestemming opleveren. Het uitvinken van een vakje kan niet als ‘vrijelijk gegeven’ en ‘geïnformeerde’ toestemming gezien worden.
  • 13 maart 2019: er worden verdere concessies gedaan aan het tekstvoorstel.
  • 12 maart 2019: de European Data Protection Board (voorheen de Artikel 29-Werkgroep) publiceert een opinie over de wisselwerking tussen de ePrivacy Richtlijn en de AVG, met specifieke aandacht voor de taken en bevoegdheden van de gegevensbeschermingsautoriteiten.
  • 7 maart 2019: de Autoriteit Persoonsgegevens breekt de cookiewall af als strijdig met de AVG. De ePV acht cookiewalls inmiddels onder omstandigheden toelaatbaar. De AP wordt (waarschijnlijk) de nieuwe toezichthouder onder de ePV.
  • 28 februari 2019: FEDMA (de Europese direct marketing vereniging) en tien andere organisaties verzoeken de Roemeense voorzitter om een nieuwe effectbeoordeling van het ePrivacy-voorstel, waarin de laatste technologische ontwikkelingen en praktische implementatie beter worden overwogen.
  • 4 februari 2019: de tekst van de ePV is geüpdatet met enkele uitzonderingen in het kader van kinderbescherming en nationale veiligheid en defensie.
  • Januari-juni 2019: Roemenië neemt het voorzitterschap van de Europese Raad van Oostenrijk over. Of 2019 het jaar van de ePrivacy Verordening gaat worden, is nog niet duidelijk.

Jaar 2018

  • 30 november 2018: de Autoriteit Persoonsgegevens (AP): ‘Bedrijven mogen mensen alleen bij hoge uitzondering met wifi-tracking volgen’. De AP publiceert hierover nadere uitleg. De ePV gaat het gebruik van wifi-tracking verder inkaderen.
  • Oktober 2018: de belangenstrijd rond de ePV wordt verder gevoerd. Artikel 6 (toegestane verwerkingen) en artikel 10 (bescherming van de eindapparatuur van eindgebruikers - lees: cookies) worden verder aangepast. Staatssecretaris van Economische Zaken Mona Keijzer kondigt aan om van telemarketing ook een opt-insysteem te maken. Tot de ePV in werking treedt, krijgt de telemarketingsector ondertussen de tijd om zelf irritatie onder klanten te verlagen door middel van zelfregulering.
  • 20 september 2018: aanpassingen volgen elkaar in rap tempo op. Bij deze versie wordt onder meer toegevoegd dat eindgebruikers uiterlijk elke 12 maanden herinnerd worden aan hun recht om toestemming in te trekken (tenzij de betrokkene heeft aangegeven dergelijke herinneringen niet te willen ontvangen). Er is een nieuw lid aan artikel 6 toegevoegd, op grond waarvan metadata voor ‘verenigbare doelen’ gebruikt mag worden.
  • Juli 2018: onder het Oostenrijkse voorzitterschap van de Raad van de Europese Unie wordt een herzien concept gepubliceerd met belangrijke wijzigingen. Het gebruik van cookies (en vergelijkbare technieken) is verboden, tenzij:
    • Dat noodzakelijk is voor de overdracht van elektronische communicatie;
    • De eindgebruiker toestemming heeft gegeven;
    • Dat noodzakelijk is om een door de eindgebruiker gevraagde “dienst voor de informatiemaatschappij” aan te bieden;
    • Dat noodzakelijk is om bezoekersaantallen te meten (met beperkingen);
    • Dat noodzakelijk is voor beveiliging, fraudepreventie of tijdsbeperkte detectie van technische fouten;
    • Dat noodzakelijk is voor een software update (afhankelijk van extra vereisten);
    • Dat noodzakelijk is om apparatuur van eindgebruikers te lokaliseren in het kader van een noodoproep.

Waar er voorheen nog Lidstaten twijfelden over hoe ‘toestemming’ moest worden geïnterpreteerd, is het vanaf nu duidelijk dat het gaat om een ondubbelzinnige uiting van de eindgebruiker. Het voorstel geeft ook een optie om een soort algemene toestemming (niet) te geven via de browser.

  • Juli-december 2018: Oostenrijk is voorzitter van de Raad van de Europese Unie.
  • Mei 2018: de Algemene Verordening Gegevensbescherming (AVG) is van kracht. Omdat het begrip ‘toestemming’ in de Telecommunicatiewet is gekoppeld aan de privacywet, dient dit vanaf nu te voldoen aan de eisen die de AVG stelt.

Jaar 2017

  • Oktober 2017: het Europees Parlement bepaalt zijn positie ten opzichte van het voorstel.
  • 4 april 2017: de Artikel 29-Werkgroep publiceert Opinion 01/2017 over de voorgestelde ePV. De Werkgroep adviseert onder meer om privacy by default verplicht te stellen en om browsertoestemming een optie te maken.
  • Januari 2017: ePrivacy gaat op de schop. De Europese Commissie publiceert het voorstel voor de ePrivacy Verordening (ePV). Hierin zijn onder andere de volgende punten opgenomen:
    • Device fingerprinting wordt gereguleerd;
    • Het materiële toepassingsbereik wordt uitgebreid. De wet beperkt zich niet langer tot de klassieke telecomsector. De ePV ziet ook op zogenaamde over-the-top-diensten (zoals VoIP en webmails), machine-to-machine-communicatie en (semi-)openbare draadloze netwerken.
    • Het territoriale toepassingsbereik is gelijk aan de AVG. Dit betekent dat ook niet-Europese organisaties zich aan de wet moeten houden wanneer zij diensten in de Europese Unie aanbieden.
    • De toegestane verwerkingen worden aangepast. Een kleine greep uit de nieuwe bepalingen:
      • Wifi- en Bluetooth-tracking is alleen toegestaan met toestemming en informatievoorziening, behoudens enkele uitzonderingen die de inbreuk op de privacy beperken.
      • De opt-in en opt-outregeling voor e-mailmarketing blijven bestaan. Direct marketing via alle kanalen, zowel B2C als B2B wordt waarschijnlijk op opt-inbasis.
      • De cookiewall wordt in dit eerste voorstel verboden. Later worden hier tijdens de onderhandelingen concessies in gedaan. Ook browsertoestemming staat ter discussie. Tracking cookies blijven op opt-inbasis.
      • De ePV beschermt inhoud én metadata (tijdstip, afzender, locatie, etc.). Elke verwerking van metadata is verboden, tenzij toegestaan door de ePV. De Commissie ziet kansen voor organisaties om metadata te gebruiken met toestemming van de eindgebruiker.
    • De boetes worden hetzelfde als onder de AVG, namelijk:
      • € 20.000.000,- of 4% van de wereldwijde omzet; of
      • € 10.000.000,- of 2% van de wereldwijde omzet.
    • Ook de toezichthouder wordt hetzelfde: de Autoriteit Persoonsgegevens gaat toezicht houden op de naleving van de ePV.

Jaar 2016

  • Juli 2016: de Artikel 29-Werkgroep adviseert over herziening van de ePrivacy Richtlijn. Er dient onder meer een gelijk speelveld te zijn voor functioneel gelijkwaardige diensten, zoals bellen via de vaste telefoon en bellen via Skype. Semi-openbare netwerken horen ook onder het toepassingsbereik te vallen, cookies dienen alléén met uitdrukkelijke toestemming geplaatst te worden en er dient een minimaal beveiligingsniveau te worden gegarandeerd. Ook ziet de Werkgroep graag een verbod om alle vormen van ongewenste communicatie en alle vormen van spam te verbieden.
  • April 2016: de Europese Commissie start een openbare consultatie voor herziening van de ePrivacy Richtlijn.

Jaar 2015

  • Maart 2015: de Cookiewet wordt gewijzigd. Analytics cookies, A/B testing cookies en affiliate cookies vereisen geen toestemming van de websitebezoeker, mits de privacyinbreuk gering blijft. Het College Bescherming Persoonsgegevens (de voorganger van de Autoriteit Persoonsgegevens) publiceert een handreiking om Google Analytics privacyvriendelijk in te stellen. De ACM reageert: “We zullen bedrijven hierop aanspreken en zo nodig beboeten”.

Jaar 2012

  • Juni 2012: de Cookiewet is van kracht. De Cookiewet is eigenlijk geen aparte wet, maar een Europese toevoeging aan de Telecommunicatiewet. Vanaf nu mag je alleen (niet-noodzakelijke) cookies plaatsen met toestemming van de websitebezoeker. Ook dien je websitebezoekers vanaf nu te informeren over het gebruik en het doel van cookies.

Jaar 2009

  • Oktober 2009: het spamverbod wordt uitgebreid. Ook (geautomatiseerde) ongevraagde commerciële, charitatieve of ideële mailings aan bedrijven mogen alleen met toestemming van de ontvanger worden verzonden.

Jaar 2004

  • Juni 2004: de ePrivacy Richtlijn wordt in Nederland geïmplementeerd in de Telecommunicatiewet.

Jaar 2002

  • Juli 2002: de Europese ePrivacy Richtlijn wordt aangenomen. Elke Lidstaat dient de Richtlijn in een nationale wet om te zetten. Dat betekent dat er de nodige verschillen komen tussen de verschillende Lidstaten.

Houd dit dossier in de gaten voor nieuwe updates rondom de ePrivacy Verordening (ePV).

Terug naar overzicht