Wat is het verschil tussen de GDPR en de e-Privacyverordening?

e-privacyverordening

27 oktober 2017, leestijd 12 minuten.

Het levert nogal wat verwarring op, de nieuwe EU-privacywetgeving. Zie jij door de bomen het bos niet meer? Wij proberen het je iets gemakkelijker te maken. Hieronder zullen wij daarom het voorstel van de Europese Commissie voor een e-Privacyverordening eens onder de loep nemen.

De e-Privacyverordening is iets anders dan de AVG/GDPR
Naast de Algemene Verordening Gegevensbescherming (ook wel AVG, of GDPR, klik hier voor een blogpost daarover), heeft de Europese Commissie een voorstel voor een Verordening betreffende privacy en elektronische communicatie gepubliceerd (Verder: de e-Privacyverordening). Het is de bedoeling van de Europese Commissie dat ook deze e-Privacyverordening per 25 mei 2018 van toepassing is. Het voorstel moet echter nog worden goedgekeurd door het Europees Parlement en de Raad van Ministers.

Even voor de duidelijkheid, het gaat dus om twee verschillende Verordeningen. Maar wat is nu het verschil?

Enerzijds heb je de AVG. Deze Verordening bevat algemene regels met betrekking tot het opslaan, gebruiken en verwerken van persoonsgegevens. Het gaat daarbij kort gezegd om de verzameling van data/gegevens van individuen, waardoor een individu identificeerbaar is.

Anderzijds is er het voorstel voor de e-Privacyverordening, die regels bevat die zien op de sector elektronische communicatie. Deze regels gaan dus over onder andere e-mail, cookies en telemarketing. Iedere dag communiceert immers een groot aantal personen met elkaar via smartphones, laptops, etcetera. Veel mensen ontvangen naast deze persoonlijke communicatie ook berichten van bedrijven, bijvoorbeeld via e-mail, maar steeds vaker ook via nieuwere communicatiemiddelen, zoals bijvoorbeeld Whatsapp. Het voorstel voor de e-Privacyverordening gaat zodoende ook over data, maar dan vooral met betrekking tot deze elektronische communicatie. Naast persoonsgegevens, worden gegevens die geen persoonsgegeven zijn en gegevens van rechtspersonen, waar nodig, beschermd onder de e-Privacyverordening. Zo vult de e-Privacyverordening de AVG dus aan.

Maar voor de sector elektronische communicatie was er toch al een hoofdstuk in de Telecommunicatiewet? Dat klopt. Wanneer de e-Privacyverordening in werking treedt, dan zullen dan ook een aantal van de bepalingen in de huidige Telecommunicatiewet vervallen.

Waarom komt de commissie met dit voorstel inzake e-Privacy?
Dit voorstel voor een e-Privacyverordening is één van de pogingen van de Europese Commissie om de snelle ontwikkelingen in de technologische sector bij te benen. Elektronische communicatie vindt nu namelijk op andere manieren plaats dan vroeger, denk bijvoorbeeld aan het communiceren via Whatsapp en Skype versus het gebruik van sms en telefoon. De wetgeving is nu echter nog enkel gericht op deze laatste categorie technologieën.

Ook op andere vlakken moet deze verordening vernieuwend zijn. Zo wordt de huidige internetgebruiker bijvoorbeeld geconfronteerd met een grote hoeveelheid aan cookie-acceptatieverzoeken. De verordening moet dit gebruiksvriendelijker maken. Daarnaast is nu sprake van een verordening in plaats van een richtlijn. Dit houdt in dat de regelgeving direct doorwerkt in de nationale wetgeving van alle lidstaten. Lidstaten hoeven de wetgeving – zoals wel het geval is bij een richtlijn – niet eerst om te zetten naar nationaal recht, waardoor wetgeving alsnog verschillend geïnterpreteerd kan worden. Door de verordening wordt voortaan aan alle personen en ondernemingen in de EU eenzelfde beschermingsniveau geboden.

De belangrijkste veranderingen op een rijtje
De belangrijkste veranderingen die het voorstel voor de e-Privacyverordening met zich meebrengt hebben wij hieronder voor je op een rijtje gezet:

  •  De reikwijdte wordt ruimer. Zo zullen VoIP (internettelefonie) en Instantmessaging ook onder deze wetgeving vallen. Het betreft dus niet alleen traditionele diensten zoals e-mail en sms. Hiermee komen bijvoorbeeld Whatsapp, Twitter, iMessage en Skype ook onder de reikwijdte van deze wetgeving.
  • De regels over cookies veranderen. Op basis van de Verordening mogen gegevens op het apparaat worden opgeslagen, of gegevens uit het apparaat worden verzameld, op basis van toestemming van de eindgebruiker. Deze toestemming moet in lijn zijn met de vereisten uit de AVG. Het moet zodoende om specifieke en ondubbelzinnige toestemming gaan en de toestemming moet op ieder moment kunnen worden ingetrokken. Voor sommige cookies is geen toestemming vereist.
  • Er wordt een opt-out-regime geïntroduceerd. Dit regime geldt bijvoorbeeld voor gegevens als een IP-adres of MAC-adres, die relevant zijn om een aansluiting op andere apparatuur of op een netwerkuitrusting mogelijk te maken. Deze gegevens mogen worden verzameld, mits de eindgebruiker daarover is geïnformeerd en daartegen geen bezwaar heeft.
  • Direct marketing is toegestaan. Voor bestaande klanten is hiervoor geen toestemming vereist, maar voor nieuwe klanten geldt een opt-in-vereiste.
  • Wijziging op het gebied van privacy-instellingen van software. De privacy-instellingen moeten de optie bieden om te voorkomen dat derden informatie opslaan op een apparaat of gegevens verzamelen van een apparaat.
  • Het verzamelen van gegevens via device fingerprinting is toegestaan onder bepaalde voorwaarden. Namelijk wanneer dit nodig is om een verbinding met de website mogelijk te maken en als de bezoeker van de website duidelijk wordt geïnformeerd over de gegevensverzameling en daarbij ook een opt-out mogelijkheid heeft.
  • Er komen nieuwe boetebevoegdheden. In het voorstel komen mogelijkheden naar voren voor boetes die (net als in de AVG) kunnen oplopen tot maximaal €20 miljoen, of 4% van de wereldwijde omzet van een onderneming. In Nederland is de Autoriteit Persoonsgegevens de instantie die deze boetes kan opleggen.

Twee van bovenstaande veranderingen die in het voorstel naar voren komen zullen wij hieronder wat uitgebreider toelichten, namelijk de veranderingen ten aanzien van cookies en direct marketing.


Cookies
Cookies mogen alleen worden geplaatst als daarvoor toestemming is gekregen. Analytische en functionele cookies zijn van dit toestemmingsvereiste uitgezonderd. Het gaat dan om:

  • Cookies die technisch noodzakelijk zijn voor de communicatie;
  • Cookies die noodzakelijk zijn voor het leveren van de door de gebruiker gevraagde dienst; of
  • Cookies die noodzakelijk zijn om informatie te verkrijgen over de kwaliteit of effectiviteit van de dienst.

Wanneer toestemming vereist is, dan moet deze toestemming voldoen aan de eisen uit de AVG. Dit betekent dat het moet gaan om specifieke, ondubbelzinnige, vrijwillige toestemming van de betrokkene. Een pop-up waarin slechts staat dat cookies worden verzameld is dus niet voldoende. De manier waarop toestemming wordt verkregen moet daarnaast gebruiksvriendelijk zijn. Zo biedt het voorstel de mogelijkheid om toestemming te vragen/geven via software-instellingen. Gebruikers moeten bovendien een mogelijkheid hebben om hun cookies weer in te trekken en moeten over deze mogelijkheid ook regelmatig worden geïnformeerd. Zogenaamde ‘cookiemuren’ – zonder het accepteren van cookies, geen toegang tot website – worden bovendien verboden.

Direct marketing
Direct marketing via elektronische communicatiediensten (ongeacht de technologie) is toegestaan richting gebruikers die toestemming hebben gegeven. Ook direct marketing via de telefoon moet voldoen aan dit toestemmingsvereiste. De mogelijkheid bestaat voor lidstaten om van dit laatste vereiste af te wijken in nationale wetgeving, door middel van bijvoorbeeld een bel-me-niet-register. Of het in Nederland reeds bestaande bel-me-niet-register zal blijven bestaan hangt dus af van de implementatie van de Europese wetgeving door de Nederlandse wetgever.

Met bestaande klanten mag overigens zonder toestemming contact op worden genomen in het kader van producten of diensten die vergelijkbaar zijn met producten of diensten waarvoor zij eerder klant waren.

Conclusie
Indien het voorstel van de Europese Commissie doorgaat, dan komen daar best wat veranderingen bij kijken. Bovendien geeft de e-Privacyverordening een grote set tanden aan de handhavende instanties. Voldoe je niet aan de wetgeving, dan heeft de Autoriteit Persoonsgegevens de mogelijkheid om fikse boetes op te leggen.

Wil jij weten of de werkwijze van jouw onderneming aan deze wetgeving voldoet? Of heb je vragen naar aanleiding van deze blogpost? Neem dan vrijblijvend contact met ons op via contact@dejuristen.legal

Deze blog werd geschreven door student-stagiair Yves Witteman