In de week van 15 oktober week werd het ontwerp van “ePrivacyverordening” door de LIBE-commissie goedgekeurd. Na de hervorming van de wetgeving omtrent gegevensbescherming, komt nu een nieuwe bescherming van de privacy op het internet een stap dichter bij.
Het ontwerp moet eerst nog goedgekeurd worden door de Europese Raad. De tekst is dus nog niet definitief aangenomen. Maar we gaan wel al kijken wat er precies wordt bepaald. Een voorlopige, niet officiële tekst kunt u hier raadplegen.
Privacy online
De ePrivacyverordening moet het huidige kader van de ePrivacyrichtlijn 2002/58/EG vervangen en beoogt de bescherming van het privéleven van het individu bij gebruik van elektronische communicatie en het internet. Het kader moet een aanvulling vormen op de regels van de Algemene Verordening Gegevensbescherming 2016/679 (ook wel gekend als GDPR) die op 25 mei 2018 in werking zullen treden.
De inwerkingtreding van de ePrivacyverordening stond overigens ook gepland voor 25 mei 2018. Maar deze datum staat thans geschrapt in het huidige ontwerp.
De regels zijn van toepassing op alle verwerking van data in het kader van elektronische communicatie, op verwerking door eindapparatuur, op software die communicatie mogelijk maakt, op publiek toegankelijke contactlijsten en op direct marketing. Territoriaal zijn de regels van toepassing op aanbiedingen gericht aan EU burgers, op diensten geleverd vanuit de EU en op verwerking van data op eindapparatuur dat zich in de EU bevindt.
Vertrouwelijkheid van communicatie
De vertrouwelijkheid van communicatie is een basisprincipe dat in de ePrivacyverordening wordt vooropgesteld. Tussenkomst in deze communicatie zonder toestemming van de betrokkenen is bijgevolg verboden. Eveneens verboden is het decrypteren van gecrypteerde berichten.
Aanbieders van communicatiediensten mogen wel in beperkte mate tussenkomen voor zover het technisch noodzakelijk is om de dienst te kunnen leveren. Ook de toestemming van betrokkenen is een grond tot tussenkomst.
Wel analytische cookies, geen cookie walls
Het plaatsen en/of uitlezen van informatie op eindapparatuur wordt beschouwd als een aanzienlijke aanslag op het privéleven van het individu. Cookies, tracking en fingerprinting vallen hier ook onder. Deze technieken zijn enkel toegelaten indien het technisch noodzakelijk is voor het leveren van de diensten of mits de specifieke toestemming van de betrokkene.
Voor analytische cookies wordt een uitzondering gemaakt. Zelfs wanneer het “third party cookies” zijn, kan er een uitzondering gemaakt worden. Het verwerken van dergelijke analytische gegevens moet dan wel voldoen aan bepaalde voorwaarden ter vrijwaring van het privéleven en de betrokkene moet steeds een “opt-out” kunnen geven.
Er worden ook uitzonderingen voorzien voor updates die de beveiliging en integriteit van de eindappartuur moeten verbeteren. En ook op de werkvloer is een uitzondering voorzien.
Een belangrijk principe dat wordt ingevoerd met deze ePrivacyverordening is het verbod op “cookie walls”. Een bezoeker mag de toegang tot de website niet ontzegd worden om de enkele reden dat deze het gebruik van cookies heeft geweigerd.
Privacy by default
De nieuwe Verordening legt ook op dat alle software die op de markt wordt gebracht en elektronische communicatie mogelijk maakt, moet voorzien in fabrieksinstellingen die de privacy van de gebruiker beschermen. Deze instellingen moeten verhinderen dat informatie kan worden verzonden naar of weggeschreven op de eindapparatuur van de gebruiker. Maar ook het uitlezen van informatie die reeds op de apparatuur aanwezig is, moet verhinderd worden. Daarmee gaat men te leen bij de GDPR die het principe van “privacy by default” ook reeds kende.
Anti-Spam
Ook nu worden maatregelen genomen tegen ongewenste direct marketing. Het gebruik van elektronische communicatie voor direct marketing is enkel toegestaan na toestemming van de betrokkene. De regeling geldt enkel voor natuurlijke personen. Maar de lidstaten moeten waarborgen voorzien waardoor ook de rechtmatige belangen van rechtspersonen gevrijwaard blijven in het kader van ongewenste communicatie.
Wel wordt een uitzondering voorzien voor emailing naar bestaande klanten. Wanneer geïnformeerd wordt over de eigen producten of diensten, valt deze mailing niet onder de strikte regelgeving. De contactgegevens moeten dan wel legitiem bekomen zijn. En de betrokkenen moeten steeds over een opt-out-mogelijkheid beschikken.
Voor de commercial calls wordt verwezen naar de “Do Not Call Me”-regeling.
Handhaving
Betrokkenen krijgen gelijkaardige actiemogelijkheden bij inbreuken op de ePrivacyverordening als deze omschreven in de GDPR. Daarnaast krijgen betrokkenen ook in dit kader de mogelijkheid om eventuele schade vergoed te zien.
Ook de maximum straffen van de GDPR duiken hier opnieuw op. Geldboetes tot 2% van de globale jaaromzet (of 10 miljoen euro) kunnen bijvoorbeeld worden opgelegd bij overtredingen op de regels omtrent anti-spammaatregelen. Geldboetes tot 4% van de globale jaaromzet (of 20 miljoen euro) kunnen bijvoorbeeld dan weer worden opgelegd bij inbreuken op het vertrouwelijk karakter van de communicatie of het plaatsen of uitlezen van cookies.
Binnen de LIBE-commissie werden reeds niet minder dan 800 amendementen ingediend. En het wetgevend proces is nog niet ten einde. Het valt af te wachten of er door de Europese Raad nog bijkomende, drastische wijzigingen zullen worden doorgevoerd en of alle drie Europese instituten zich nadien op één lijn kunnen zetten