ePrivacyverordering en de AVG

De Europese ePrivacyrichtlijn wordt herzien en er bestaan zorgen dat dit net zoveel tumult met zich mee zou kunnen gaan brengen als de Algemene Verordening Gegevensbescherming (AVG). Haar opvolger, de ePrivacyverordening (EPV), zal namelijk een veel breder bereik gaan hebben en de bescherming van (persoons)gegevens bij het gebruik van elektronische communicatie vergroten, wat voor veel organisaties betekent dat de huidige werkwijze zal moeten veranderen. De bedoeling was dat de EPV samen met de AVG van toepassing zou worden. Dit heeft echter op zich laten wachten en het zal nog even duren voordat de EPV in werking treedt; de verkiezingen voor een nieuw Europees Parlement hebben ook weer voor vertraging gezorgd. Er kan nog het een en ander wijzigen, maar de basis staat. Het is daarom verstandig om je nu vast te verdiepen in deze wet: waar moet bij de invoering rekening mee gehouden worden, wat moet vóór de invoering eventueel al geregeld zijn en waarom de ePrivacyverordening niet de AVG is en zijn eigen implicaties heeft. Dan ben je met de invoering namelijk ready to go!

Waarom een nieuwe regeling?
De huidige ePrivacyrichtlijn trad in werking op 31 juli 2002 en complementeerde de Data Protection richtlijn uit 1995 (inmiddels vervangen door de AVG). De ePrivacyrichtlijn is van toepassing op elektronische communicaties die plaatsvinden in publieke netwerken en tegen betaling worden aangeboden. Hierbij kun je denken aan telefonie of e-mail. Omdat in het elektronisch communicatieverkeer ook sprake kan sprake zijn van het verwerken van persoonsgegevens – bij het voeren van een telefoongesprek kan bijvoorbeeld de locatie, het tijdstip en de reis van de beller worden vastgesteld – stelt de ePrivacyrichtlijn strenge eisen aan aanbieders van deze communicatiediensten om de persoonsgegevens van gebruikers binnen dit communicatieverkeer te beschermen. In Nederland is de richtlijn geïmplementeerd door middel van de Telecommunicatiewet.

De ePrivacyrichtlijn is in 2009 voor het laatst gewijzigd en behoeft de nodige actualisatie om de grote veranderingen tijdens de afgelopen 10 jaren in de wereld van telecommunicatie bij te benen. Vergeleken met 10 jaar geleden, zijn platforms als Facebook, WhatsApp en Google tegenwoordig niet meer uit ons leven weg te denken. Het handhaven en versterken van de fundamentele rechten die men heeft op een online platform, is nu dus belangrijker dan ooit geworden. De bestaande ePrivacyrichtlijn biedt deze noodzakelijke bescherming echter niet; het is achterhaald en er is niet voldoende ingespeeld op de huidige telecommunicatiemogelijkheden. Hoewel de AVG enkele kaders biedt voor de bescherming van persoonsgegevens, zijn deze te beperkt (hierover later meer). Het is daarom hoog tijd om de ePrivacyrichtlijn in lijn te brengen met de huidige tijdsgeest én de AVG!

Om dit te bewerkstelligen wordt de ePrivacyrichtlijn vervangen door de ePrivacyverordening en daarmee komt in beginsel ook de Telecommunicatiewet te vervallen. Er is gekozen voor een verordening om te zorgen voor een gelijk niveau van bescherming van elektronische communicatie (en dus ook persoonsgegevens) binnen de hele Europese Unie (EU) en daarnaast om bij te dragen aan efficiëntie voor grensoverschrijdende ondernemingen. Dit komt deels overeen met de beredenering waarom de Data Protection richtlijn omgezet is in een verordening in de vorm van de AVG. Verder dragen de EPV en AVG allebei bij aan het doel om het vertrouwen in en de veiligheid van digitale diensten te vergroten. De EPV heeft als uitwerking daarop het specifieke doel van privacybescherming voor gebruikers van elektronische communicatie en realisatie van vrij verkeer van communicatiegegevens, -uitrusting en -diensten.

Nog meer veranderingen na alle wijzigingen door de AVG?
Ja, de ePrivacyverordening brengt dus nog meer veranderingen op het gebied van gegevensbescherming met zich mee. De AVG betreft namelijk een zogenaamde lex generalis en dat betekent dat het algemene kaders schetst over verwerking van persoonsgegevens in de EU; het betreft dus ‘algemene wetgeving’. De EPV betreft echter lex specialis en dus ‘bijzondere wetgeving’. Specifieke bescherming wat betreft elektronische communicatie is nodig aangezien de AVG erg algemeen is en daarmee breed bruikbaar, terwijl bijzondere wetgeving nodig is om de algemene wetgeving voor specifieke onderwerpen verder in te vullen. Wat hierbij vooral relevant is, is dat bijzondere wetgeving voorrang heeft op algemene wetgeving. Wanneer iets niet in bijzondere wetgeving is geregeld, geldt de algemene wetgeving. Is iets echter in bijzondere wetgeving geregeld, dan dient dit te worden gevolgd. Voor de EPV en de AVG betekent dit dus dat de EPV een aanvulling is op de bepalingen uit de AVG en de EPV bij eventuele tegenstrijdigheden betreffende de bescherming van persoonsgegevens bij elektronische communicatie voorrang heeft.

De AVG heeft op dit moment voorrang boven de huidige specifieke ePrivacyrichtlijn en de Telecommunicatiewet, omdat de AVG een verordening is en deze voorrang heeft boven richtlijnen en nationale wetgeving. De komst van de AVG biedt al wat aanvullende bescherming die nog niet in ePrivacyrichtlijnen de Telecommunicatiewet is geboden. Bijv. bij het verbod op cookie walls, waar nu veel over wordt gesproken, neemt de Autoriteit Persoonsgegevens (AP) aan dat dit ook al geldt onder de AVG, als zonder het geven van toestemming toegang tot een service of website niet mogelijk is. Verder mogen persoonsgegevens onder de AVG enkel worden verwerkt als deze noodzakelijk zijn voor het doel. Als die verwerking met geanonimiseerde gegevens mogelijk is, moet daarvoor worden gekozen. Ook de bescherming van metagegevens (gegevens over de telecommunicatie, zoals IP-adres, bezoektijden website en wanneer en voor hoe lang een telefoongesprek tussen welke personen is gevoerd) is al onder de AVG geregeld.

Op het moment dat de ePrivacyverordening van toepassing wordt, kan deze dus aanvullende/specifieke zaken regelen en daarmee voor elektronische communicatiediensten nieuwe – en voor sommige aanbieders die voorheen niet onder de Telecommunicatiewet vielen – ingrijpende veranderingen teweegbrengen, die er met de invoering van de AVG nog niet waren.

Hierbij kan in ieder geval aan het volgende worden gedacht:

• Aanbieders van online elektronische communicatiediensten (Over-The-Top diensten), zoals WhatsApp en Skype, vallen momenteel niet onder de ePrivacyrichtlijn (enkele al wel onder de Telecommunicatiewet) maar moeten wel gaan voldoen aan de regels uit de EPV. Op communicatie tussen apparaten (Internet of Things) is de AVG al van toepassing, maar ook daarvoor zal de EPV aanvullende regels stellen.
• De EPV vereist niet alleen bescherming van persoonsgegevens van natuurlijke personen, maar ook bescherming van bedrijfsgeheimen van rechtspersonen. Verder moet alle elektronische communicatie vertrouwelijk behandeld gaan worden. Dit geldt dus ook voor communicatie die geen persoonsgegevens bevat. De reikwijdte van de bescherming door EPV is dus breder dan die van de AVG.
• 6 en Art. 8 van de EPV geven aan wanneer elektronische communicatiegegevens (zowel metagegevens als inhoudelijke gegevens) en gegevens die verband houden met eindapparatuur mogen worden verwerkt (en de vertrouwelijkheid daarvan dus mag worden doorbroken). Deze bevoegdheden zijn anders en beperkter dan de grondslagen uit art. 6 AVG. Zo is er voor een belangenafweging in het kader van gerechtvaardigd belang geen ruimte onder de EPV en ontbreekt de algemene grond van noodzakelijkheid om een overeenkomst uit te kunnen voeren. Ook verdwijnen bevoegdheden die wel onder de Telecommunicatiewet bestaan en niet elders geregeld zijn. Zo moet bijv. onder de EPV voor alle vormen van direct marketing (behoudens bij bestaande klanten voor het aanbieden van soortgelijke producten of diensten) altijd toestemming van de betrokkene worden gevraagd, terwijl dat onder de Telecommunicatiewet niet altijd een vereiste is (bv. bij telefonische marketing zonder automatische oproepapparaten, al ligt er wel een wetsvoorstel om dit ook in de Telecommunicatiewet nog te gaan veranderen).
• Tot slot is de verplichting van privacy by default uit de AVG verder uitgewerkt in art. 10 EPV. De standaardinstellingen van software voor elektronische communicatie moeten op grond hiervan zo min mogelijk inbreuk maken op privacy. Hierdoor kan een betrokkene door middel van de browserinstellingen dan ook gelijk aangeven of deze toestemming geeft voor cookies (dit moet het afscheid worden van de continue pop-ups).

We can help!
Voor wat betreft verwerking van persoonsgegevens binnen elektronische communicatie is de ePrivacyverordening een verbijzondering van de AVG. Daarnaast heeft de EPV een breder toepassingsbereik dan de AVG, waardoor wellicht extra maatregelen nodig zijn. Om de AVG goed na te kunnen leven, is ook juiste implementatie van de ePrivacyverordening noodzakelijk. Onze Privacy Consultants kunnen uw organisatie hierbij op weg helpen. Wij sparren graag met u over dit onderwerp en nodigen u uit om contact met ons op te nemen via info@cuccibu.nl of +31(0)85 303 2984!