Een steeds groter deel van het leven vindt online plaats. Dat digitale leven laat steeds meer sporen na. Cookies, tracking en zelfs 'digitale vingerafdrukken' volgen online gedrag op de voet. Steeds vaker worden hier nieuwe technieken bij toegepast en niet ‘enkel’ cookies voor gebruikt. Maar, wat zijn de regels rondom deze dataverzameling?
De verantwoordelijkheid voor het bieden van uitleg over de ePrivacy-richtlijn, waarin regels omtrent online dataverzameling zijn vastgelegd, ligt bij de European Data Protection Board (EDPB). In de “Guidelines 2/2023 on the Technical Scope of Article 5 (3) of the ePrivacy Directive” biedt de EDPB een interpretatiekader voor artikel 5 (3), ook wel bekend als “de cookiebepaling”. In deze blog zullen we dieper ingaan op de richtsnoeren die door de EDPB zijn opgesteld.
Art. 5 (3) ePrivacy-richtlijn
In Nederland is de ePrivacy-richtlijn geïmplementeerd in de Telecommunicatiewet, deze bestaat naast de Algemene verordening gegevensbescherming (AVG). De ePrivacy-richtlijn reguleert onder andere cookiegebruik, e-mailmarketing en andere aspecten van online privacy.
Art. 5 (3) van de ePrivacy-richtlijn bepaalt dat het opslaan van informatie, of het verkrijgen van toegang tot informatie die is opgeslagen op de eindapparatuur van gebruikers, slechts mogelijk is met voorafgaande toestemming. Onder eindapparatuur vallen elektronische apparatuur die verbinding kunnen maken met een openbaar netwerk, zoals een smartphone of een computer. Het gebruik van cookies op een website kan een vorm van online-tracking zijn en valt dus onder art. 5 (3).
De Richtsnoeren
De EDPB heeft door middel van richtsnoeren verduidelijking gegeven over de reikwijdte van art. 5 (3). In deze verduidelijking wordt voornamelijk ingegaan op een aantal onderdelen van de wettelijke bepaling, namelijk:
1. Definitie van “Informatie”
Informatie omvat álle soorten gegevens, niet enkel persoonsgegevens. Het maakt hierbij niet uit door wie en hoe deze zijn opgeslagen. De ePrivacy-richtlijn verschilt daarmee van de AVG, die zich uitsluitend op persoonsgegevens richt. De ePrivacy-richtlijn beschermt de persoonlijke ruimte van het individu in bredere zin.
2. Definitie van “eindapparatuur”
Eindapparatuur bestaat uit elk apparaat dat kan verbinden met een openbaar communicatienetwerk. Het apparaat hoeft niet in directe verbinding te staan, maar slechts de mogelijkheid hebben om met een openbaar communicatienetwerk te kunnen verbinden om onder de definitie van eindapparatuur te vallen. Denk hierbij bijvoorbeeld aan smartphones en laptops, maar ook interactieve TVs en slimme voertuigen (‘connected cars’). Daarnaast reikt deze bescherming ook tot eindapparatuur van rechtspersonen en niet alleen natuurlijke personen.
3. Definitie “Opslag en toegang van/tot informatie”
Volgens de richtsnoeren zijn de ‘opslag’ en ‘toegang tot informatie’ twee op zichzelf staande handelingen. Hierdoor hoeven deze handelingen dus niet tegelijkertijd plaats te vinden en ook niet door dezelfde entiteit te worden uitgevoerd. Dit betekent dat beide acties vallen onder de cookiebepaling.
Voorbeelden die onder art 5 (3) van de ePrivacy-richtlijn vallen
De richtsnoeren maken duidelijk dat ook andere, ‘nieuwere’ verwerkingsmethoden dan cookies onder art. 5 (3) en het hierbij behorende toestemmingsvereiste vallen. In de richtsnoeren wordt op een aantal gevallen specifiek ingegaan:
1. URL- en Pixeltracking
URL- en Pixeltracking omvat het volgen door een minuscuul kleine afbeelding die gekoppeld zit aan een e-mail of URL-link. Wanneer de e-mail of website wordt geopend wordt de pixel vanaf een externe server gedownload en stuurt hiervan een bericht naar de hostserver. Op deze manier wordt data verzameld over gebruikersgedrag.
2. Lokale Verwerking
Lokale verwerking heeft betrekking op technologieën die de informatie direct op het apparaat verwerken, maar de informatie daarna delen met een externe server. Zoals bijvoorbeeld een mobiele app die toegang krijgt tot de GPS-locatie van de gebruiker.
3. Tracking via IP-Adressen
Ook tracking-methoden die slechts gebruik maken van het IP-adres van de gebruiker, vallen voor een groot gedeelte onder de bepaling van art. 5 (3). Dit omdat de locatie of het gedrag van de gebruiker aan de hand van deze informatie kan worden gevolgd.
4. Intermittent and mediated IoT reporting
Internet of Things apparaten, zoals bijvoorbeeld gezondheidsmonitoren en slimme thermostaten, verwerken ook gegevens die uiteindelijk naar externe servers worden verzonden.
5. Unique or persistent identifier
Identificateurs die gebruikers volgen zonder gebruik van cookies, zoals bij abonnementsdiensten, zijn eveneens gereguleerd.
Kritiek op de Richtlijnen
In een reactie geeft de IAB (de bracheorganisatie voor digitale advertenties en interactieve marketing) aan dat zij het niet eens zijn met de richtsnoeren van het EDPB omdat deze hun doel voorbijschieten. De ePrivacy-richtlijn is namelijk in elke lidstaat op een andere manier geïmplementeerd, wat heeft geleid tot verschillende opvattingen over rechtsinterpretatie en handhaving.
Daarnaast wordt in de richtsnoeren een dusdanig brede interpretatie van “het verkrijgen van toegang” gehanteerd dat zelfs enkele basisprocessen van het internetverkeer onder de bepaling van art. 5 (3) van de ePrivacy-richtlijn zouden kunnen vallen. Een goed voorbeeld hiervan is het TCP/IP systeem dat inherent is aan de netwerkcommunicatie tussen computers. Deze verruiming zorgt voor een technisch bijna onwerkbare vorm van functioneren van internetsystemen.
Zelfs contextuele advertenties, doorgaans gezien als privacy-vriendelijker dan gerichte reclames, kunnen onder de richtsnoeren vallen. De EDPB heeft namelijk nog niet bepaald of de technische levering van niet-gerichte advertenties essentieel zijn voor diensten die gebruikers expliciet opvragen. Doordat de regelgeving zich meestal beperkt tot wat strikt nodig is voor contentlevering, zouden de nieuwe richtsnoeren mogelijk dezelfde toestemmingsvereisten voor contextuele advertenties vereisen als voor gerichte advertenties. Dit zou uiteindelijk de levering van gratis diensten kunnen bemoeilijken.
Conclusie
Door de steeds verder gaande complexiteit van trackingmethoden wordt het lastiger om te bepalen welke trackingmethoden vallen onder de bescherming van art. 5 (3). Door het opstellen van richtsnoeren tracht de EDPB invulling te geven aan de norm van art. 5 (3) van de ePrivacy-richtlijn. In de praktijk zitten er nog veel haken en ogen aan de ruime opvatting van de EDPB. Op deze manier wordt de balans die bestaat tussen privacybescherming en bedrijfsvoering mogelijk onnodig verstoord.
Heb je vragen of wil je meer weten over dit onderwerp? Neem gerust contact met ons op.
