De Europese Commissie komt bij het begin van het nieuwe jaar naar buiten met een voorstel tot ePrivacyverordening. Met dit nieuwe voorstel beoogt de Europese Commissie het bestaande kader van de ePrivacyrichtlijn 2002/58/EG te hervormen en een aanvulling te bieden op de reeds goedgekeurde Algemene Verordening Gegevensbescherming. Daarmee wordt een nieuwe stap gezet in de uitvoering van haar “Digital Single Market“-programma.
Hoewel vorig jaar op de website Politico reeds een voorlopige versie van het voorstel verscheen – zie link – was het wachten tot vorige week vooraleer een officieel voorstel naar buiten kwam. De definitieve tekst van het voorstel vindt u hier.
Het algemene opzet van de nieuwe ePrivacyverordening bestaat in een afdoende bescherming van de privacy van gebruikers van elektronische communicatie en het waarborgen van een gelijk speelveld voor alle marktspelers. De nieuwe verordening moet tevens een antwoord bieden op de technologische en economische ontwikkelingen sinds de laatste revisie van de ePrivacyrichtlijn in 2009, onder meer de zogenaamde “Over The Top”-diensten.
We overlopen kort wat er precies zal veranderen:
1. Verordening
De nieuwe maatregel rond ePrivacy moet een aanvulling zijn op de Algemene Verordening Gegevenbescherming. Om de harmonisatie maximaal door te trekken, koos de Europese Commissie voor de verordening als instrument. Zulks impliceert dat de regels binnen Europa éénvormig van toepassing zullen zijn en er niet eerst naar nationaal recht omgezet moet worden.
2. Extraterritoriaal en “eindgebruiker”
Het toepassingsgebied van de verordening zou, analoog met de AVG, eveneens effect hebben buiten het grondgebied van de EU. De regels zouden van toepassing zijn op iedere elektronische communicatiedienst gericht aan eindgebruikers die zich in de Europese Unie bevinden.
Daarmee wordt ook een nieuw begrip geïntroduceerd. De term “eindgebruiker” wordt in de meest algemene bewoordingen gedefinieerd en schijnt geen rekening te houden met de definiëring “particulier” of “professioneel”, “B2B” of “B2C”.
3. Vertrouwelijkheid
Het vertrouwelijk karakter van de elektronische communicatie was in de ePrivacyrichtlijn reeds een basisbeginsel en wordt in het voorstel van verordening ook als dusdanig weerhouden. Er wordt letterlijk een verbod ingevoerd op telefoontap, afluisteren, scannen en andere vormen van interferentie op de communicatie, behoudens uitzonderingen. Gelet op de extraterritoriale werking zou dit dus een verbod op NSA-praktijken betekenen.
4. Cookies
Volgens het ontwerp van ePrivacyverordening zou de toestemming van de eindgebruiker de basisvereiste worden om cookies te plaatsen en uit te lezen op de eindapparatuur. Het gebruik van dergelijke cookies moet een duidelijke en specifieke reden hebben. De regels gelden ook voor andere vormen van uitlezen, zoals fingerprinting.
Uitzonderingen op de vereiste toestemming zouden mogelijk zijn, doch onder zeer beperkte omstandigheden en met een beperkte impact op de privacy van de eindgebruiker. Het plaatsen en uitlezen van dergelijke cookies moet bijvoorbeeld mogelijk zijn zonder toestemming waar zulks noodzakelijk en evenredig is bij het leveren van een dienst die door eindgebruiker werd gevraagd. Dit principe bestond reeds onder de huidige richtlijn.
Voorbeelden hiervan zijn de sessiecookies die helpen bij het invullen van een online formulier, maar ook cookies die het verkeer op de website monitoren.
De Europese Commissie beseft dat eindgebruikers tijdens het surfen worden overstelpt met de talloze cookiebanners en veelvuldige verzoeken tot toestemming. Om die reden wordt het belang van de browserinstellingen onderstreept. Gelet op de principes van “privacy by default” en “privacy by design” en gelet op het feit dat het verlenen van toestemming moeten volgen uit een actieve handeling van de eindgebruiker, zouden de ontwikkelaars van browsers ervoor moeten zorgen dat de instellingen standaard ingesteld staan op het weigeren van cookies. De eindgebruiker zou een breed scala aan opties moeten krijgen, gaande van “alle cookies weigeren” tot “alle cookies aanvaarden”. Browsers zouden ook specifieke opties moeten inbouwen om “third party cookies” al dan niet te aanvaarden.
5. Direct marketing
Op vlak van direct marketing wijzigt er voorlopig niet bijzonder veel. Direct marketing met behulp van elektronische communicatiemiddelen is enkel toegestaan indien de betrokken eindgebruiker daartoe zijn toestemming heeft verleend. Een voorafgaande opt-in is dus nog steeds noodzakelijk voor direct marketing.
Ook in dit voorstel wordt een uitzondering weerhouden voor communicatie met bestaande klanten met betrekking tot gelijkaardige producten of diensten. Eindgebruikers moeten dan wel afdoende geïnformeerd geweest zijn.
Er moet ook steeds de mogelijkheid geboden worden om zich te verzetten tegen het ontvangen de communicatie. Het recht op verzet moet kosteloos en moeitelooskunnen worden uitgeoefend. Het klassieke voorbeeld van de uitschrijflink onderaan de email wordt nog steeds aanbevolen.
Berichten die direct marketingboodschappen bevatten, moeten steeds herkenbaar zijn als direct marketing. Dit principe wordt overigens ook bepaald in de Belgische reclamewetgeving in Boek VII van het Wetboek Economisch Recht.
Het maakt anderzijds niet uit of de direct marketing commercieel van aard is, de regels gelden immers ook voor andere actoren zoals politieke partijen en non-profitorganisaties.
6. Telemarketing
De mogelijkheden voor telemarketing zouden ingeperkt worden door de eindgebruiker de mogelijkheid te bieden inkomende gesprekken van anonieme nummers of van specifieke nummers te blokkeren. Marketeers zouden ook gebruik moeten maken van prefixen en andere codes om duidelijk te maken aan de eindgebruiker dat de oproep marketing beoogt.
Deze maatregelen komen bovenop de reeds bestaande initiatieven zoals de “Bel Me Niet Meer”-lijst.
7. Boetes
Net zoals in de algemene Privacyverordening stelt de Europese Commissie in dit voorstel voor om de eindgebruiker de mogelijkheid te bieden om in rechte op te komen en vergoeding te eisen van eventueel geleden schade.
Belangrijk is ook dat het sanctiemechanisme uit de AVG werd overgenomen, zodat boetes kunnen worden uitgesproken tot 20 miljoen euro of 4% van de globale jaaromzet van het afgelopen jaar.
8. Inwerkingtreding
De inwerkingtreding van de ePrivacyverordening staat gepland voor 25 mei 2018. Dit is tevens de datum van inwerkingtreding van de Algemene Verordening Gegevensbescherming.
Of deze datum haalbaar is, valt af te wachten. De huidige tekst betreft louter een voorstel van de Europese Commissie en moet nog goedgekeurd worden in het Europees Parlement en op de Raad.
