Gegevensbescherming bij elektronische communicatie
Volgens de Europese Commissie is er nieuwe regelgeving nodig om gegevensbescherming rond elektronische communicatie in Europa te waarborgen. Het uitgangspunt daarbij is dat de inhoud van berichten alleen toegankelijk is voor de partijen die direct bij de communicatie betrokken zijn. Hierdoor krijgen gebruikers meer controle over hun digitale persoonsgegevens.
De ePrivacy Verordening is een aanvulling op de Algemene verordening gegevensbescherming (AVG) die de bescherming van persoonsgegevens in de Europese Unie reguleert. De wetgeving rond de ePrivacy Verordening richt zich specifiek op de bescherming van persoonsgegevens rond elektronische communicatie. Onder elektronische communicatie wordt verstaan: ‘informatie die wordt uitgewisseld of overgebracht tussen een eindig aantal partijen door middel van een openbare elektronische communicatiedienst’. Denk hierbij aan bijvoorbeeld het versturen van een e-mailadres of telefoonnummer via sociale mediakanalen. Alhoewel de ePrivacy Verordening zich richt op elektronische communicatie, is het toepassingsbereik van de verordening groot. Het geldt onder andere bij online marketing, e-mail en sociale media kanalen, het ophalen van gegevens door middel van het plaatsen van cookies en openbare WiFi-netwerken.
De verordening moet bijdragen aan meer vertrouwen en veiligheid binnen de digitale interne markt en balans creëren tussen de gebruikers en aanbieders van elektronische communicatiediensten. De nieuwe regels van de verordening zijn dus belangrijk voor zowel aanbieders van elektronische communicatiediensten, zoals providers en online platforms, maar ook voor de gebruikers van de diensten. De gebruikers kunnen onder meer decentrale overheden zijn.
Europese wetgevingsproces
De ePrivacy Verordening moet de momenteel geldende Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie gaan vervangen. Er is om twee redenen behoefte aan een nieuwe verordening. Ten eerste is het door de nieuwe technologische ontwikkelingen belangrijk om passende regelgeving te realiseren. Ten tweede is het van belang dat de nieuwe regels beter worden afgestemd op de geldende wetgeving.
Het Europese wetsproces van de verordening is in 2017 van start gegaan en nog steeds in volle gang. Lidstaten konden het maar niet eens worden over cruciale punten in de regelgeving, waaronder de bepalingen omtrent cookies. Op 10 februari 2021 heeft de Europese Raad haar standpunt over de ePrivacy-conceptverordening bepaald. De belangrijkste punten in de conceptverordening zijn:
- De regels zijn van toepassing op gebruikers die zich in de EU bevinden, ook als de verwerking van gegevens buiten de EU plaatsvindt. Deze verbreding van de reikwijdte zorgt voor een betere samenhang met de AVG;
- Het algemene uitgangspunt van de verordening is dat elektronische communicatiedata vertrouwelijk is. Dit betekent dat afluisteren, monitoren en verwerken van data verboden is. Hierop zijn wel uitzonderingen van toepassing, zoals bij het verzekeren van de betrouwbaarheid van de communicatie service, het checken op virussen of in verband met strafrechtelijk onderzoek;
- Het gebruik van cookies en metadata is toegestaan, indien de doeleinden verenigbaar zijn met het oorspronkelijke doel. Metadata zijn gegevens die data beschrijven, zoals de plaats en het tijdstip, maar ook de auteur en het aantal pagina’s van een document.
De conceptverordening bevat nog een aantal punten die onduidelijk zijn, zoals de regels omtrent metadata en het toestemmingsvereiste omtrent de toegang tot content. Dit komt onder andere door de vele aanpassingen die door de jaren heen zijn gedaan.
Nu de Raad een gezamenlijk standpunt heeft bereikt, is in mei 2021 de zogeheten ‘triloog’ begonnen. Hierbij onderhandelt een vertegenwoordiging van de Raad met een vertegenwoordiger van het Parlement en de Commissie over de definitieve tekst van de verordening. Zoals bij Europese wetgeving gebruikelijk is, krijgen de lidstaten daarna nog een bepaalde periode de tijd voor de nieuwe regels van toepassing worden. In het huidige voorstel is dat een periode van 2 jaar. Het Europese wetsproces van de ePrivacy Verordening is te volgen via deze link.
Decentrale relevantie
Decentrale overheden komen in aanraking met de verordening als zij cookiegegevens ophalen van bezoekers op hun websites of via sociale media kanalen. Een cookie is een tekstbestandje dat een website op een apparaat (computer, laptop of smartphone) zet wanneer een website bezocht wordt. Daarmee kan informatie opgehaald worden die deel uitmaakt van de persoonlijke levenssfeer van de gebruiker, bijvoorbeeld over de locatie van de gebruiker of het tijdstip en duur van het websitebezoek. Voor cookies die persoonsgegevens verwerken, geldt ook de AVG.
De verordening zal het makkelijker maken om cookie instellingen bij te houden in de privacy instellingen. Hiermee hoeft een gebruiker niet telkens toestemming te geven bij een bezoek aan dezelfde overheidswebsite en geeft automatisch toestemming.