De ePrivacyrichtlijn vormt op dit moment samen met de Algemene Verordening Gegevensbescherming (AVG) het juridische kader dat de digitale privacy voor burgers uit de Europese Unie moet verzekeren.
Daar waar de AVG zich richt op de bescherming en verwerking van persoonsgegevens, richt ePrivacy zich specifiek op de verwerking van persoonsgegevens voor elektronische communicatiemiddelen. Denk hierbij aan de regelgeving omtrent het gebruik en beheer van cookies, of aan de regelgeving wat betreft telemarketing.
De ePrivacyrichtlijn is in Nederland geïmplementeerd in de Telecommunicatiewet (Tw). Er wordt echter op Europees niveau gewerkt aan een herziening – de ePrivacyverordening.
Onenigheid binnen wetgevende organen van de Europese Unie heeft de invoering van de ePrivacyverordening vertraagd, dit zou oorspronkelijk namelijk parallel geschieden aan de invoering AVG, in mei 2018. Onder druk van een actieve lobby zijn de afgelopen jaren op regelmatige intervallen conceptversies van de verordening gepubliceerd. Op 10 februari 2021 is een belangrijke stap gezet richting het aannemen van de verordening: de Raad van de Europese Unie bereikte overeenstemming over een concepttekst en heeft die aan het Europese Parlement voorgelegd.(1)
In het parlement wordt nu verder aan ePrivacyverordening gewerkt, de tekst ligt nog zeker niet vast. Dit blijkt ook al uit een statement van de European Data Protection Board (EDPB), het samenwerkingsorgaan van Europese gegevensbeschermingsautoriteiten, waarin wordt aangestuurd op een aantal wijzigingen.(2) Het uitonderhandelen van de finale tekst zal naar alle waarschijnlijkheid ook een tijdrovend proces zijn. Vaststelling van de ePrivacyverordening zal dus mogelijk ook niet in 2021 plaatsvinden.
Herziening van de ePrivacyrichtlijn
De ePrivacyrichtlijn is ingesteld als aanvulling op en specificatie van de voorganger van de AVG, de Privacyrichtlijn.(3) Omdat de Privacyrichtlijn in 2016 werd vervangen door de AVG was ook een herziening van de ePrivacyrichtlijn noodzakelijk. De AVG benadrukt dit in overweging 173.
Op 10 januari 2017 deed de Europese Commissie een eerste voorstel voor de ePrivacyverordening.(4) Er worden fundamentele discussies gevoerd over de invulling van de ePrivacyverordening binnen de Raad, wat de uiteindelijke inhoud van de ePrivacyverordening zal zijn is dus vooralsnog onzeker.
Inhoud van de ePrivacyverordening
De ePrivacyverordening zal, net als de ePrivacyrichtlijn, zowel een aanvulling op als een specificatie van de AVG zijn. Hierbij is van belang dat de specificerende regel niet een lager beschermingsniveau voor natuurlijke personen mag behelzen dan de algemene regel van de AVG.
In het voorstel wordt de reikwijdte van de ePrivacyverordening uitgebreid naar over-the-top diensten. Denk hierbij aan online-diensten waarbij elektronische communicatie wordt aangeboden, zoals Whatsapp. De ePrivacyverordening zal ook een volgende stap betekenen in de ontwikkeling van de cookieregels. Met de inwerkingtreding van de AVG zijn de regels omtrent toestemming strenger geworden.
Hoe nu een slag gemaakt wordt met de cookieregels in de ePrivacyverordening vormt één van de discussiepunten. Wordt er bijvoorbeeld een expliciet verbod op cookiewalls opgenomen? Mogen cookies alleen worden geplaatst op grond van toestemming of zullen er ook andere grondslagen ter beschikking worden gesteld? En moeten cookies van derde partijen bij standaardinstellingen geweigerd kunnen worden? Deze punten zijn nog niet uitgekristalliseerd.
Tevens harmoniseert de ePrivacyverordening het toezicht op het privacyrecht. Volgens het voorstel wordt de toezichthouder van de AVG óók de toezichthouder van de ePrivacyverordening. Hiermee wordt gepoogd een betere samenhang met de AVG te garanderen. In Nederland is het toezicht op de ePrivacyrichtlijn en de AVG nu nog gescheiden. De Autoriteit Consument en Markt (ACM) ziet toe op de ePrivacyrichtlijn, de Autoriteit Persoonsgegevens (AP) op de AVG. Voor het Nederlandse privacyrecht zou dit betekenen dat de AP de enige toezichthoudende autoriteit wordt.
Voetnoten
(1) https://www.consilium.europa.eu/en/press/press-releases/2021/02/10/confidentiality-of-electronic-communications-council-agrees-its-position-on-eprivacy-rules/?utm_
(2) https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_032021_eprivacy_regulation_en.pdf
(3) https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32002L0058&from=EN, overweging 12
(4) https://eur-lex.europa.eu/legal-content/NL/TXT/?uri=CELEX%3A52017PC0010
Rechter Oostenrijk: Cookiebanner moet weigerbutton in eerste laag hebben
Nieuws-persberichtFTC kritisch over socialmedia- en streamingbedrijven: op grote schaal surveillance gebruikers
Nieuws-persberichtArchivering chatberichten bewindspersonen nog niet op gewenst niveau
Nieuws-persberichtKU Leuven: ‘Dating-apps lekken gevoelige data’
Nieuws-persberichtKU Leuven: ‘Dating-apps lekken gevoelige data’
Nieuws-persberichtRechter Oostenrijk: Cookiebanner moet weigerbutton in eerste laag hebben
Nieuws-persberichtArchivering chatberichten bewindspersonen nog niet op gewenst niveau
Nieuws-persberichtFTC kritisch over socialmedia- en streamingbedrijven: op grote schaal surveillance gebruikers
Nieuws-persberichtVan opt-out naar opt-in: door wijziging telecommunicatiewet gaat het telemarketingsysteem op de schop
ArtikelEDPB publiceert statement over de e-Privacyverordening
NieuwsNa vier jaar akkoord over wetsvoorstel ePrivacyverordening
Achtergrond artikelenDe ePrivacyverordening: (wederom) een stand van zaken
Artikel