(c) by Tim Lewis under Creative Commons License.
- De ePV in het kort. Het is een nieuwe, specifieke verplichtingen naast de AVG, met strengere regels voor cookies en direct marketing en hogere boetes voor niet-naleven.
e-Privacyverordening (ePV)
Wat is de e-Privacyverordening?
De Europese Commissie heeft in 2017 een voorstel gedaan voor een e-Privacyverordening (“ePV”), ter vervanging van de ‘cookie-richtlijn’ uit 2002. Ten eerste beoogt het voorstel de bescherming van de persoonlijke levenssfeervan gebruikers van elektronische communicatiediensten te verbeteren, door strengere regels te introduceren. Ten tweede beoogt het voorstel een gelijk speelveldvoor marktdeelnemers te garanderen, door dezelfde regels voor aanbieders van diensten te laten gelden.
Directe werking en ruimere toepassing
De Europese Commissie kiest voor een verordening in plaats van een richtlijn. Dat betekent dat de ePV, net zoals de AVG, direct van toepassingzal zijn in alle Europese lidstaten. Daarnaast zal de ePV ook gelden voor niet-Europese bedrijven die actief zijn op de Europese markt (extraterritorialiteit).
Het toepassingsgebied van de ePV wordt ook uitgebreid tot allerlei moderne communicatiediensten. Hierbij kan worden geacht aan diensten als Facebook, Twitter, WhatsApp en Instagram, maar ook smartphones en Interet of Things (IoT). De ePV zal dus niet beperkt blijven tot traditionele telecommunicatie providers.
Hoe zit het met de AVG?
De ePV en de AVG zullen naast elkaar van toepassing zijn. U moet dus voldoen aan beide wetten. Het verschil is dat de ePV fungeert als lex specialis ten opzichte van de AVG. Dat betekent dat de bepalingen van de ePV voorrang hebben boven die van de AVG, mochten deze in conflict met elkaar zijn. De ePV zal dus met name zorgen voor preciseringen en verscherpingenvoor bepaalde onderwerpen, met name op het gebied van cookies en direct marketing. Met betrekking tot direct marketing lijkt het erop dat de ePV strengere eisen zal stellen dan die de AVG momenteel vereist. Denk hierbij bv. ook aan metadata dat als “big data” verwerkt wordt.
Wat zijn de voorgestelde veranderingen?
Cookies: cookiewalls en browser-settings
De huidige regels met betrekking tot het plaatsen van cookies zullen worden gehandhaafd, maar het is nog onzeker in hoeverre de regels zullen worden aangescherpt.
Het voorstel van de Commissie bevatte een duidelijk verbod op cookiewalls. Een cookiewall is een banner die de gebruiker van een website dwingt om in te stemmen met het plaatsen van cookies, indien hij weigert kan hij de website niet gebruiken. Het Europees Parlement is ook voor een verbod op cookiewalls, terwijl de Raad cookiewalls onder omstandigheden wel wilt toestaan. Onduidelijk is nog hoe dit verschil van mening zal worden opgelost.
De Autoriteit Persoonsgegevens oordeelt is dat cookiewalls onder de AVG niet zijn toegestaan, zie hun nieuwsbericht https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/websites-moeten-toegankelijk-blijven-bij-weigeren-tracking-cookies. De AP geeft in het nieuwsbericht aan dat het bedrijven oproept om hun websites aan te passen, en dat het anders zal overgaan tot handhaving. Deze uitleg is met uiterst kritische reacties ontvangen door vele privacyjuristen, maar het is raadzaam om goed in de gaten te houden welke stappen de AP op dit terrein zal nemen, om grote boetes te voorkomen. De AP heeft aangekondigd zich eerst te richten op grote aanbieders van nieuwsberichten.
Het voorstel van de Commissie bevatte ook een verplichting voor browsers om “general settings” voor het plaatsen van cookies te realiseren, zodat gebruikers niet meer bij iedere website hun toestemming hoeven te geven. Hier is kritisch op gereageerd, ook omdat het nog zeer twijfelachtig is of dit technisch haalbaar zou zijn en of de browserdevelopers niet een te grote verantwoordelijkheid wordt gegeven.
Direct marketing
Voor alle vormen van direct marketing zal in beginsel het toestemmingsvereiste van de AVG van toepassing zijn (opt-in), tenzij sprake is van een eerdere klant en deze de mogelijkheid heeft om bezwaar te maken tegen direct marketing (soft opt-in). Bij elke verzending van direct marketingberichten moet de eindgebruiker worden geïnformeerd over de commerciële aard van de communicatie. Hierover is het laatste woord nog niet gezegd, want het gerechtvaardigd belang biedt een opening om zonder opt-in toch aan direct marketing te kunnen doen: “De verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.” (47 AVG).
Indien sprake is van opt-in zal de gebruiker dus om toestemming gevraagd dienen te worden in overeenstemming met artikel 7 AVG. Wanneer sprake is van een soft opt-in situatie, dient de legitimate interest toets van artikel 6(1)(f) AVG te worden toegepast. Voor beide vormen van opt-in geldt dat de gebruiker ten allen tijden het recht heeft zijn toestemming in te trekken dan wel bezwaar te maken tegen de direct marketing berichten.
Zie hiervoor verder: https://www.law.kuleuven.be/citip/blog/email-me-not-direct-marketing-gdpr-and-eprivacy-regulation/.
Hogere boetes
Voor overtredingen van de ePV wordt een zelfstandige boetebevoegdheid gecreëerd. Voor de hoogte van de bestuurlijke boetes wordt aansluiting gezocht bij de AVG. Zo zal een geldboete van 20 miljoen euro of 4% van de totale wereldwijde jaaromzet maximaal kunnen worden opgelegd door de bevoegde autoriteiten.
Wanneer zal de ePV in werking treden?
Naar alle verwachtingen zal het wetgevingsproces in 2019 na de Europese verkiezingen worden afgerond, hoewel er nog grote onenigheid bestaat over het voorstel. De Europese Commissie heeft al toegezegd een implementatieperiode van 2 jaar te garanderen voor bedrijven. De ePV zal dus waarschijnlijk pas eind 2021 – begin 2022 daadwerkelijk van kracht worden.