De lidstaten zijn het eens geworden over een onderhandelingsmandaat voor nieuwe regels voor de bescherming van de privacy en de vertrouwelijkheid bij het gebruik van elektronische-communicatiediensten. De nieuwe e-privacy-regels zullen bepalen wanneer dienstverleners elektronische-communicatiegegevens mogen verwerken of toegang krijgen tot gegevens op apparatuur van eindgebruikers. Nu er een akkoord is, kan het Portugese voorzitterschap met het Europees Parlement gaan onderhandelen over de definitieve tekst.
"Robuuste privacyregels zijn cruciaal om vertrouwen te scheppen in een digitale wereld en het ook te behouden. Ons standpunt kwam moeizaam tot stand maar we hebben binnen de Raad wel een goed evenwicht gevonden tussen beschermen van het privéleven en inzetten op nieuwe technologieën en innovatie. Het Portugese voorzitterschap is heel blij dat het met het Europees Parlement over dit belangrijke voorstel kan gaan onderhandelen."
- Pedro Nuno Santos, minister van Infrastructuur en Huisvesting van Portugal en voorzitter van de Raad
De bestaande e-privacyrichtlijn van 2002 is aan herziening toe. Zo moeten er bepalingen worden toegevoegd over nieuwe technologische en markttechnische ontwikkelingen, zoals het ingeburgerde gebruik van Voice over IP, webmail en berichtendiensten en de opkomst van nieuwe technieken om het onlinegedrag van gebruikers bij te houden.
De richtlijn zal worden vervangen door een verordening. Het wordt een zogenaamde lex specialis bij de algemene verordening gegevensbescherming (GDPR), die deze wetgeving zal aanvullen en concreter zal maken. Zo zullen heel wat e-privacybepalingen voor zowel natuurlijke als rechtspersonen gelden, wat in de GDPR niet zo is.
Het Raadsvoorstel dat nu op tafel ligt gaat over de inhoud van elektronische communicatie die via algemeen beschikbare diensten en netwerken wordt verzonden, en over de metagegevens bij die communicatie. Metagegevens zijn informatie over bijvoorbeeld de locatie, het tijdstip en de ontvanger. Deze worden potentieel even gevoelig geacht als de inhoud.
Om de privacyrechten volledig te beschermen en een betrouwbaar en veilig internet der dingen te bevorderen, zullen de regels ook gelden voor gegevens die via een openbaar netwerk van machine naar machine worden verzonden.
De regels zullen gelden wanneer de eindgebruiker zich in de EU bevindt. Dat is ook het geval wanneer de verwerking buiten de EU plaatsvindt, of de dienstverlener zich buiten de EU bevindt of is gevestigd.
Een basisprincipe is dat elektronische-communicatiegegevensvertrouwelijk zijn. Elke vorm van interventie, zoals het beluisteren, controleren of verwerken van gegevens door iemand anders dan de eindgebruiker is verboden, tenzij de e-privacyverordening dat specifiek toestaat.
Zo mogen communicatiegegevens zonder toestemming van de gebruiker worden verwerkt om de integriteit van de communicatiediensten te waarborgen, of om te controleren op malware of virussen. Het mag ook als er strafbare feiten zijn gepleegd of de openbare veiligheid wordt bedreigd, en de dienstverlener er dus op grond van het EU-recht of het nationale recht toe is verplicht.
Metagegevens mogen worden verwerkt voor facturering of voor het opsporen of beëindigen van frauduleus gebruik. Ze kunnen met toestemming van de gebruiker ook worden benut om verkeersbewegingen zichtbaar te maken, en zo overheden en vervoersexploitanten te helpen nieuwe infrastructuur te ontwikkelen waar deze het hardst nodig is. Metagegevens mogen ook worden verwerkt om de vitale belangen van gebruikers te beschermen, onder meer om epidemieën en de verspreiding daarvan in kaart te brengen, of in humanitaire noodsituaties, zoals natuurrampen en door de mens veroorzaakte rampen.
In bepaalde gevallen mogen aanbieders van elektronische-communicatienetwerken en -diensten deze gegevens verwerken voor een ander doel dan waarvoor ze zijn verzameld, ook wanneer dit niet berust op de toestemming van de eindgebruiker of op wetgeving van de Unie of van de lidstaten. Dit verwerken voor een ander doel moet wel verenigbaar zijn met het doel waarvoor de gegevens aanvankelijk zijn verzameld, en er gelden sterke en specifieke garanties.
Op de eindapparatuur van de gebruiker - het gaat daarbij om zowel de hardware als de software - kan zeer persoonlijke informatie, zoals foto's en contactlijsten staan. Daardoor zijn het gebruik van verwerkings- en opslagmogelijkheden en het verzamelen van informatie uit het apparaat alleen toegestaan met toestemming van de gebruiker of voor andere, in de verordening vastgelegde, specifieke, transparante doeleinden.
De eindgebruiker moet echt de keuze krijgen om cookies of andere identificatoren al dan niet te aanvaarden. Cookies worden vaak gebruikt als voorwaarde om toegang te krijgen tot een dienst op een website, bijvoorbeeld als alternatief voor een betaalmuur. Op zich is dit toegestaan, maar dan moet de gebruiker van dezelfde aanbieder ook een andere mogelijkheid krijgen tot gelijkwaardige toegang zonder cookies.
Om te vermijden dat eindgebruikers het moe worden om voortdurend toestemming te geven, kunnen ze via hun browser bepaalde soorten cookies van een of meer aanbieders op een witte lijst plaatsen. Softwareaanbieders zullen worden aangemoedigd om het voor gebruikers gemakkelijk te maken dit soort lijsten aan te maken, te wijzigen of weer te schrappen.
De tekst bevat ook regels over lijnidentificatie, openbare telefoongidsen en ongevraagde en direct marketing.
De verordening zou 20 dagen na de bekendmaking ervan in het Publicatieblad in werking treden, en zou 2 jaar daarna van toepassing worden.
Dit mandaat werd in het Comité van permanente vertegenwoordigers van de Raad (Coreper) goedgekeurd.
De Commissie diende haar voorstel in januari 2017 in.
De Raad en het Europees Parlement zullen over de precieze inhoud van de uiteindelijke tekst onderhandelen.
