Zal je net zien. Zijn we net bekomen van de storm aan cookieregels, wordt de E-privacyrichtlijn 2002/58/EG (EPR) herzien. In de EPR staan onder andere de regels over het verbod op het versturen van spam, beschermen van het communicatiegeheim, beschermen van verwerken van persoonsgegevens en dus ook de beter bekende cookieregels.
Aanleiding voor de herziening van de EPR is de snelle ontwikkeling in de digitale wereld en de nieuwe Algemene verordening gegevensbescherming (AVG) die sinds 24 mei 2016 in werking is getreden. Waar de regels van de AVG gelden voor de algemene bescherming van persoonsgegevens zoomen de regels uit de EPR specifiek in op de sector elektronische communicatie, ook wel bekend als de telecommunicatie en gelden er vaak aanvullende dan wel strengere regels.
In Nederland is de EPR geïmplementeerd in de Telecommunicatiewet. Door een herziening van de EPR wordt zodoende ook de Telecommunicatiewet weer aangepast. Om geen ruimte voor onduidelijkheid te laten ontstaan moet de EPR goed op de regels van de AVG aansluiten en is het tijd voor een update.
De Artikel 29-Werkgroep (een samenwerkingsverband tussen Europese privacytoezichthouders en hierna: de Werkgroep) heeft op 19 juli 2016 advies gegeven aan de Europese Commissie over de herziening. Een advies van Werkgroep 29 is niet bindend, maar wordt vaak wel in grote lijnen overgenomen door de Europese Commissie.
Wij gaan de adviezen voor je uitlichten die volgens ons om jouw aandacht vragen. Vandaag het eerste advies om de reikwijdte van de EPR te vergroten.
De regels over de telecommunicatie zijn onder te verdelen in 3 lagen. De 1ste laag is het fysieke netwerk (de kabels). Over deze kabels worden de signalen van de 2e laag geleverd, de telecommunicatiedienst (telefonie). En dan heb je nog de 3e laag die bestaat uit de communicatiedienst die zich bezighoudt met de inhoud (inhoud van telefoongesprek).
De EPR houdt zich vooral bezig met de eerste 2 lagen en is vaak niet van toepassing op de 3e laag:
“Deze richtlijn is van toepassing op de verwerking van persoonsgegevens in verband met de levering van openbare elektronische communicatiediensten over openbare communicatienetwerken in de Gemeenschap.” (Artikel 3 lid 1 EPR)
Voorbeelden van de bovenstaande diensten zijn de traditionele internetproviders (Ziggo en Xs4all) en de aanbieders van mobiele telefoniedienst (KPN, Vodafone). Door technische ontwikkelingen is er een nieuw soort dienst ontstaan. Dit zijn de zogeheten Over-The-Top-diensten (hierna: OTT-diensten). Deze diensten worden ‘over’ de 3e laag aangeboden. Hiermee worden met name de diensten bedoeld die over het internet worden aangeboden zoals Skype, Facetime, WhatsApp en ook Digitale televisie en Netflix. Het zijn inhoud gerelateerde internetdiensten, ook wel diensten van de informatiemaatschappij genoemd. En op deze OTT-diensten zijn de regels van de EPR niet van toepassing.
Dat betekent bijvoorbeeld dat OTT-diensten vanuit de EPR geen passende technische en organisatorische maatregelen hoeven te nemen om de risico’s voor de veiligheid en de integriteit van hun netwerken en diensten te beheersen terwijl KPN dat wel moet doen. Dit zorgt niet voor een gelijk speelveld voor partijen die eigenlijk dezelfde dienst aanbieden. Deze scheiding, zo zegt de Werkgroep, zorgt daarbij ook voor een bedreiging van het communicatiegeheim. Waarom zou de communicatie via de vaste telefoon wel privé moeten blijven en een gesprek via Skype niet?
De Werkgroep stelt daarom voor om de regels van de EPR van toepassing te verklaren op alle partijen die een functioneel gelijkwaardige dienst aanbieden. Daaronder vallen volgens de Werkgroep ook de diensten die mogelijk kunnen concurreren met traditionele diensten. Een officiële definitie van een OTT-dienst ontbreekt nog en wordt aan de Europese Commissie gevraagd.
Daarnaast maakt de EPR in artikel 3 lid 1 een onderscheid tussen ‘openbare elektronische netwerken’ en netwerken die dat niet zijn. Indien je een openbaar netwerk aanbiedt, moet je bijvoorbeeld de dienst aanmelden bij de Autoriteit Consument en Markt en moet je onder andere de communicatie van afnemers goed beveiligen. Over de vraag wanneer een dienst precies openbaar is, is nog steeds veel discussie mogelijk.
De Werkgroep geeft aan dat bij de herziening ook de Wifi-diensten die worden aangeboden in hotels, winkels, treinen, wachtruimtes, universiteiten en hotspots onder de definitie van openbare elektronische netwerken zouden moeten vallen. Ook als je een niet openbaar netwerk gebruikt wil je als gebruiker dat de inhoud van je e-mails niet worden meegelezen en je communicatie goed beschermd is tegen hackers.
De Werkgroep adviseert de Europese Commissie om te zorgen voor een duidelijke definitie van een openbaar elektronisch netwerk, met daarbij voorbeelden en een uitgebreide uitleg. De Werkgroep geeft een voorzet en adviseert om artikel 3 lid 1 te wijzigen in:
“Deze richtlijn is van toepassing op de verwerking van persoonsgegevens in verband met de levering van openbare elektronische communicatiediensten over openbare communicatienetwerken of over openbare private communicatienetwerken in de Gemeenschap”.
Indien de regels en definities gaan veranderen dan kan het zijn dat de regels van de EPR ook op jouw dienst of netwerk van toepassing wordt verklaard. Wanneer je bijvoorbeeld een openbare elektronische dienst of netwerk aanbiedt moet je je aanmelden bij de Autoriteit Consument en Markt. Daarnaast moet je bijvoorbeeld ook rekening houden met de cookieregels. Het tweede advies van de Werkgroep gaat over die aanpassing van de cookieregels en het toestemmingsvereiste. Daarover lees je meer in deel II van deze blogreeks.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.