Is er een verschil tussen de Europese e-privacyrichtlijn en de Europese Algemene verordening gegevensbescherming?

november 2016

Er bestaan verschillende Europese regels met betrekking tot privacy waar ook decentrale overheden rekening mee moeten houden. Is er een groot verschil tussen de Europese e-privacyrichtlijn en de Europese Algemene Verordening Gegevensbescherming? Wanneer moet de e-privacyrichtlijn toegepast worden? Kunt u al meer zeggen over de nieuwe e-privacyrichtlijn?

Antwoord in het kort:

Ja, er is een verschil tussen de huidige, maar ook de komende Europese e-privacyrichtlijn en de EuropeseAlgemene verordening gegevensbescherming (AVG). Hoewel deze twee verschillende regelingen tezamen het juridische kader vormen dat onder meer de digitale privacy voor burgers van de Europese Unie moet verzekeren, hebben ze beiden een ander toepassingsgebied. De richtlijn bescherming persoonsgegevens en de AVG beslaan alle vormen van verwerking van persoonsgegevens, terwijl de e-privacyrichtlijn zich specifiek richt op de verwerking van persoonsgegevens voor elektronische communicatiediensten.

E-privacy richtlijn

De e-privacyrichtlijn (2002/58/EG) regelt voornamelijk de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer (privacy) in de sector elektronische communicatie. De richtlijn tracht een hoge mate van privacy te garanderen bij de communicatie via openbare netwerken, ongeacht welke technologie ook gebruikt wordt. De richtlijn is oorspronkelijk in 2002 aangenomen, met de doelstelling om de richtlijn bescherming persoonsgegevens (95/46/EG) aan te vullen. De e-privacyrichtlijn is in 2009 gewijzigd door richtlijn 2009/136/EG.

Wat is elektronische communicatie?

Bij elektronische communicatie kan gedacht worden aan online marketing via e-mail of door middel van cookies, maar ook aan telemarketing en netneutraliteit. Volgens de richtlijn wordt onder communicatie verstaan: ‘informatie die wordt uitgewisseld of overgebracht tussen een eindig aantal partijen door middel van een openbare elektronische communicatiedienst’. Tegenwoordig heeft ook elke decentrale overheid een website, waar cookies worden verzameld. De e-privacyrichtlijn stelt regels voor het gebruik en toepassen van dergelijke cookies.

Wat zijn cookies?

Een cookie is een tekstbestandje dat een website op de harde schijf van de computer zet op het moment dat een website bezocht wordt. Zulke programmatuur kan informatie bewaren dat deel uit maakt van de persoonlijke levenssfeer van de gebruiker. De e-privacyrichtlijn geeft regels voor het gebruik en toepassen van cookies.

Cookie-wetgeving

Doordat ook elke decentrale overheid een website heeft en cookies verzamelt, is deze wet- en regelgeving ook van toepassing op decentrale overheden. De nationale cookiewetgeving is gebaseerd op de e-privacyrichtlijn. In Nederland is hiertoe ook de Telecommunicatiewet (artikel 11.7a) gewijzigd. Overweging 24 van de richtlijn stelt dat cookies een legitiem en nuttig hulpmiddel kunnen zijn om de doeltreffendheid van het ontwerp van websites en van reclames te onderzoeken en/of om de identiteit te bepalen. De richtlijn stelt enkele kaders voor cookiewetgeving, die in de nationale wet geïmplementeerd moesten worden.

Ook decentrale overheden moeten zich dus aan deze cookiewetgeving houden. Echter, de Europese Commissie is bezig met het herzien van de e-privacywetgeving. Van 12 april tot 5 juli 2016 heeft de Commissie een consultatie voor de e-privacyrichtlijn opengesteld. De meerderheid van de respondenten op de consultatie vond dat websites toegang van gebruikers niet mogen weigeren, wanneer gebruikers bijv. cookies weigeren.

Waarom nieuwe wetgeving?

In de Digitale Interne Markt Strategie uit 2015 heeft de Commissie een hernieuwing van de e-privacy richtlijn aangekondigd. Voornamelijk omdat er in de afgelopen jaren belangrijke wijzigingen op het gebied van elektronische communicatie hebben plaatsgevonden, die een herziening van de richtlijn rechtvaardigen. Denk hierbij aan de grote hoeveelheden communicatiediensten die op het internet zijn gebaseerd. Daarnaast is op 25 mei 2016 ook de Algemene verordening gegevensbescherming (AVG) in werking getreden. De Commissie wil daarom de bestaande regels over e-privacy herzien en aanpassen aan de AVG, en tegelijkertijd de regelgeving aanpassen aan de (digitale) uitdagingen van het huidige juridische tijdperk.
De Europese Commissie heeft van april tot juli 2016 een publieke consultatie gehouden over de e-privacyrichtlijn. Hierop zijn 421 reacties binnen gekomen. Uit de consultatie is gebleken dat wordt onderschreven dat veel speciale privacy regels in de sector van elektronische communicatie nodig zijn. Met name om vertrouwelijkheid te kunnen garanderen. Het bleek dat de respondenten de reikwijdte van de e-privacyrichtlijn te gering vonden en de regels te vaag, waardoor deze ook verschillend werden geïmplementeerd in de nationale wet- en regelgeving van de diverse lidstaten. U kunt hier de inbreng van Nederland vinden. De resultaten zullen worden meegenomen in het ontwerp en de uitvoering van het EU-beleid en in de voorbereiding van de REFIT evaluatie en herziening van de e-privacy-richtlijn.

REFIT Scoreboard

In het REFIT scoreboard heeft de Commissie ook een voorstel omtrent e-Privacy gedaan. Het REFIT-scorebord geeft de huidige stand van zaken bij de implementatie van de 231 lopende initiatieven voor vereenvoudiging en lastenverlichting die door de Commissie genomen zijn in het Regulatory Fitness and Performance Programme. Met betrekking tot de e-Privacy stelt de het REFIT Platform voor om de regelgeving aan te passen aan de AVG, de regelgeving te vereenvoudigen door het intrekken van verouderde en overbodige bepalingen en verbreding van het toepassingsgebied van de e-Privacyrichtlijn door het begrip communicatiediensten te verbreden.

Algemene verordening gegevensbescherming

De Algemene verordening gegevensbescherming (AVG) is, na een lange onderhandelingsprocedure tussen de Raad, het Europees Parlement en de Europese Commissie op 25 mei 2016 in werking getreden. Echter, decentrale overheden hebben nog anderhalf jaar de tijd om aan de verplichtingen uit de AVG te voldoen. De AVG is van toepassing met ingang van 25 mei 2018 (zie ook art. 99 AVG). Lees hier meer over de totstandkoming van de AVG .

Via de Nederlandse Wet bescherming persoonsgegevens (Wbp) is de Europese richtlijn bescherming persoonsgegevens (95/46/EG) uit 1995 geïmplementeerd. De AVG stelt dat deze richtlijn per 25 mei 2018 ingetrokken wordt. De Europese Unie heeft nu, in plaats van vaststelling van een aangepaste richtlijn gekozen voor het instrument van een Europese Verordening om de gegevensbescherming te reguleren. Verordeningen werken rechtstreeks door. Dit betekent dat de bepalingen uit de verordening zonder verdere tussenkomst van een nationale wetgever in de lidstaten moeten worden toegepast.

Conclusie

De AVG en de e-privacyrichtlijn vormen momenteel het juridische kader omtrent de privacyregelgeving vanuit de Europese Unie. De AVG, en ook de richtlijn bescherming persoonsgegevens, stellen kaders omtrent alle verwerkingen van persoonsgegevens. De e-privacyrichtlijn regelt specifiek de verwerking van persoonsgegevens bij elektronische communicatiemiddelen. Bijvoorbeeld bij het toepassen en gebruiken van cookies op websites.

Door:

Femke Salverda, Europa decentraal

Meer informatie:

Privacy: De Algemene verordening gegevensbescherming, Europa decentraal
REFIT: Nieuw scoreboard gepubliceerd, Europa decentraal
Digital privacy, Europese Commissie
Algemene verordening gegevensbescherming
Richtlijn bescherming persoonsgegevens
e-privacyrichtlijn

MEER WETEN OVER DIT ONDERWERP?

Werkt u voor een decentrale overheid of het Rijk en hebt u een vraag over dit onderwerp? Neem dan contact op met de helpdesk van Europa decentraal:

STEL UW VRAAG

X