Wat betekent de nieuwe eprivacy-verordening voor decentrale overheden?

oktober 2020

Bij ons waterschap is het bewustzijn over het goed omgaan met privacy en gegevensbescherming inmiddels goed gewaarborgd in de organisatie. Wij hebben gehoord dat er binnenkort nieuwe Europese regels omtrent cookies komen. Wat is precies de impact hiervan op decentrale overheden? En wanneer worden deze nieuwe regels van toepassing?

Antwoord in het kort

De Europese ePrivacy-verordening versterkt de regels voor het gebruik van persoonsgegevens binnen elektronische communicatie. Daaronder vallen ook de regels omtrent cookies. Het is nog niet zeker wanneer het Commissievoorstel voor de ePrivacy-verordening wordt aangenomen, omdat de lidstaten nog onderhandelen over een aantal artikelen. Tot nu toe lijkt het erop dat de impact van de veranderde regels voor decentrale overheden die via hun overheidswebsites informatie via cookies verzamelen beperkt is.

Gegevensbescherming in europa

Het voorstel voor de ePrivacy-verordening is het sluitstuk van de inspanningen van de Europese Commissie om het kader voor gegevensbescherming in Europa te voltooien. De verordening bevat regels om de privacy bij online communicatie beter te waarborgen. Het uitgangspunt daarbij is dat de inhoud van deze berichten alleen toegankelijk is voor de partijen die direct bij de communicatie betrokken zijn.

Eerder al werd wetgeving zoals de Algemene verordening gegevensbescherming (AVG), de richtlijn omtrent gegevensbescherming bij opsporing en vervolging, en de verordening omtrent de omgang met persoonsgegevens door de EU-instellingen zelf aangenomen. De ePrivacy-verordening vervangt de momenteel geldende richtlijn 2002/58/EG betreffende privacy en elektronische communicatie. De regels van deze nieuwe richtlijnen en verordeningen zijn beter afgestemd op gegevensuitwisseling binnen de huidige technologische ontwikkelingen en moeten bijdragen aan meer vertrouwen en veiligheid op de Europese digitale interne markt.

Elektronische communicatie

De regels van de ePrivacy verordening gelden onder andere bij online marketing, e-mail en social-media gebruik, het ophalen van gegevens door middel van het plaatsen van cookies en openbare WiFi-netwerken. Volgens de richtlijn wordt onder elektronische communicatie verstaan: ‘informatie die wordt uitgewisseld of overgebracht tussen een eindig aantal partijen door middel van een openbare elektronische communicatiedienst’. De regels zijn belangrijk voor zowel aanbieders van elektronische communicatiediensten, zoals providers en online platforms, maar ook voor de gebruikers van de diensten. Decentrale overheden komen onder andere met de regels in aanraking wanneer zij via cookies gegevens van bezoekers ophalen op hun overheidswebsites of via social-media kanalen.

Cookie wetgeving

Een cookie is een tekstbestandje dat een website op een apparaat (computer, laptop of smartphone) zet wanneer een website bezocht wordt. Daarmee kan informatie opgehaald worden die deel uitmaakt van de persoonlijke levenssfeer van de gebruiker. Bijvoorbeeld over het type apparaat dat de gebruiker heeft, de locatie van de gebruiker of het tijdstip en duur van websitebezoek.

De nationale cookiewetgeving is gebaseerd op de huidige Europese e-privacyrichtlijn. In Nederland staat dit in de Telecommunicatiewet (artikel 11.7a). Volgens dit artikel is het decentrale overheden in beginsel alleen toegestaan om cookies te plaatsen wanneer de bezoekers daarover zijn ingelicht en zij toestemming hebben gegeven. Hier bestaan twee uitzonderingen op:

Noodzakelijke cookies zorgen ervoor dat bepaalde instellingen vastgehouden worden tijdens een websitebezoek. Daarnaast is het toegestaan om cookies te plaatsen om een dienst te kunnen verbeteren. Dan moet wel gewaarborgd zijn dat dit geen of slechts geringe gevolgen heeft voor de privacy van de betrokkenen. Een voorbeeld hiervan wordt gegeven in deze handleiding van de Autoriteit Persoonsgegevens (AP). De AP geeft aan hoe het verzamelen van analytische cookies via Google Analytics, zo ingesteld kan worden dat dit beperkte gevolgen voor de privacy van bezoekers heeft. Het belang van de organisatie bij het verbeteren van de dienst weegt dan zwaarder dan de inbreuk op de privacy van de bezoeker. Op deze manier hoeft een decentrale overheid geen toestemming te vragen voor het plaatsen van deze cookies op haar website.

Zie voor meer informatie over de verschillende soorten cookies deze pagina van de Informatiebeveiligingsdienst voor Gemeenten (IBD).

Veranderingen verordening

Doordat de e-privacyregels vervat worden in een verordening in plaats van een richtlijn, versterkt de uniforme toepassing van de regels. Verordeningen worden namelijk niet omgezet in nationale regelgeving, maar zijn rechtstreeks toepasselijk. Zo worden alle consumenten en bedrijven op dezelfde manier beschermd en gelden in de hele Europese Unie dezelfde regels omtrent e-privacy, net zoals bij de AVG.

Inhoudelijk gezien wijzigen de regels onder andere op de volgende punten:

Discussiepunten

Oorspronkelijk zou de ePrivacy-verordening samen met de regels van de AVG van toepassing worden. De lidstaten zijn het echter nog niet eens over een aantal bepalingen. In november 2020 heeft de Raad van de EU een nieuwe conceptverordening gepubliceerd waarin de lidstaten verschillende wijzigingen voorstellen.

Wanneer van toepassing?

De Europese Commissie heeft in januari 2017 haar voorstel gepubliceerd, waarna het Europees Parlement in oktober 2017 haar standpunt over de tekst heeft bepaald. Het standpunt, inclusief aanpassingsvoorstellingen op het voorstel is daarop naar de Raad van Ministers gestuurd.

Zodra de Raad een gezamenlijk standpunt bereikt, wordt de zogeheten ‘triloog’ begonnen. Dan onderhandelt een vertegenwoordiging van de Raad met een vertegenwoordiger van het Parlement en de Commissie over de definitieve tekst van de verordening. Zoals bij Europese wetgeving gebruikelijk is, krijgen de lidstaten daarna nog een bepaalde periode de tijd voor de nieuwe regels van toepassing worden. In het huidige voorstel is dat een periode van 2 jaar.

Het Europese wetsproces van de ePrivacy-verordening is te volgen via deze link. Hier zijn ook de verslagleggingen van de vergaderingen van de Raad te vinden.

Door:

Juliëtte Fredriksz en Monika Beck

Meer informatie

Nieuwe cookiewetgeving?, kenniscentrum Europa decentraal
Privacy: de Algemene verordening gegevensbescherming, Europa decentraal
Digital Single Market, Europese Commissie
Progress Report Mei 2020, Raad van de Europese Unie
Cookies op gemeentewebsites, Informatiebeveiligingsdienst voor Gemeenten