In mijn vorige blogpost schreef ik dat de E-Privacyrichtlijn 2002/58/EG (hierna: EPR) wordt herzien en dat de Werkgroep een advies heeft gegeven aan de Europese Commissie over de herziening. Hieronder bespreek ik het advies van de artikel 29-werkgroep om artikel 5 van de EPR, ook wel bekend als de cookiewet, en de daarbij horende toestemmingsvereiste te herzien.
Dit artikel is in Nederland geïmplementeerd in artikel 11.7a van de Telecommunicatiewet. Een herziening van de EPR betekent een herziening van de Telecommunicatiewet en voor jouw organisatie wellicht een herziening van intern beleid.
Artikel 5 lid EPR bevat een algemene zorgplicht voor de aanbieders van elektronische diensten en netwerken om het communicatiegeheim en de daarbij behorende gegevensverwerking te waarborgen en te respecteren. Om dit te bewerkstelligen schrijft artikel 5 lid 3 voor dat er om toestemming moet worden gevraagd als ‘informatie op eindapparatuur (smartphone, laptop etc.) wordt opgeslagen’ en als ‘informatie wordt opgevraagd die reeds is opgeslagen in de eindapparatuur’. Vaak wordt gedacht dat het plaatsen en opvragen van informatie uit eindapparatuur alleen wordt gedaan met behulp van cookies, maar dit artikel is van toepassing op alle volgtechnieken waarbij gegevens van de gebruiker worden opgeslagen en uitgevraagd.
De bewoording van het huidige artikel 5 lid 3 EPR in combinatie met de toename van nieuwe volgtechnieken zorgt volgens de Werkgroep voor steeds meer onduidelijkheid. Want, al staat de informatie niet op een smartphone, maar kan de informatie wel via een smartphone worden opgevraagd, dan zou nog steeds om toestemming moeten worden gevraagd, aldus de Werkgroep.
De Werkgroep pleit voor een herformulering van artikel 5 lid 3. Een eventueel nieuwe artikel 5 lid 3 moet volgens de Werkgroep technologie neutraal geformuleerd worden, zodat het toestemmingsvereiste ook voor nieuwe en toekomstige volgtechnieken zal gelden, zoals ‘passive tracking’. De bekendste vorm van passieve tracking is wifitracking. Met deze techniek wordt bijvoorbeeld je MAC-adres vrijgegeven als je smartphone connectie maakt met een wifinetwerk in een winkel.
De vraag of je aan iemand toestemming moet vragen voor het plaatsen en uitlezen van informatie moet volgens de Werkgroep - door het hanteren van een techniekneutrale formulering - niet meer afhangen hoe je dat doet en via welk apparaat, maar of je dat doet en zo ja, welke impact dit heeft op de privacy. Daarbij wil de Werkgroep dat er om toestemming wordt gevraagd als de impact hoog is en hoeft er geen toestemming te worden gevraagd als de impact laag is zoals bij analytische cookies die strikt voor statische doeleinden worden geplaatst.
De Werkgroep gaat helaas niet specifiek in op verschillende passieve volgtechnieken. Op dit moment zijn de regels van de Telecommunicatiewet bijvoorbeeld niet van toepassing op serverloganalyse. Dat is het analyseren van gegevens die door de gebruiker - bij een initieel get/http-request - naar de server worden gestuurd. Verwacht wordt dat de Europese Commissie bij de herziening hierover uitsluitsel zal geven.
Wat betreft het gebruik van cookies en andere volgtechnieken hecht de Werkgroep veel waarde aan de voorafgaand gegeven toestemming. Zoveel waarde dat de Werkgroep het toestemmingsvereiste ook wil koppelen aan het verwerken van locatie- en verkeersgegevens wanneer deze gegevens niet gekwalificeerd kunnen worden als persoonsgegevens. Want, zo stelt de Werkgroep, ook op basis van locatie- en verkeersgegevens kan er een gedetailleerd profiel gemaakt worden van een internetgebruiker.
Denk aan App ontwikkelaars die locatie- en verkeersgegevens opslaan en uitlezen. Met deze visie sluit de Werkgroep aan bij de uitspraak in 2014 van het Europese Hof van Justitie (EHvJ) (overweging 27, 28 en 29) waarin in het EHvJ heeft verklaard dat de EPR die opslag van verkeersgegevens verplicht stelt ongeldig is, omdat dit een inbreuk vormt op het fundamentele recht op respect voor de persoonlijke levenssfeer en op bescherming van persoonsgegevens.
Op de vraag wanneer sprake is van een geldige toestemming en wanneer niet, sluit de Werkgroep zich aan bij de regels van de AVG zodat er geen inconsistentie kan ontstaan tussen de EPR en de AVG (lees over deze wisselwerking meer in deel I). Volgens de AVG wordt er onder geldige toestemming verstaan:
“Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt” (artikel 4 lid 11 AVG).
Als het aan de Werkgroep ligt komt er ook een verbod op het gebruik van de cookiewall. Door een website achter een cookiewall te plaatsen ontstaat er een ‘take it or leave it’ benadering. Internetgebruikers die de cookies niet willen accepteren krijgen geen toegang tot de inhoud van de website. Een van de criteria voor het geven van toestemming is dat de toestemming vrij gegeven kan worden. De Werkgroep stelt dat: ‘als de gevolgen van de toestemming de vrije wil van de gebruiker ondermijnen, de toestemming niet vrij gegeven kan worden’. Er is in die situatie geen sprake van een geldige grondslag voor het verwerken van gegevens, aldus de Werkgroep.
Toestemming is niet vrij verleend wanneer de internetgebruiker geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen. Daarom stelt de Werkgroep dat in ieder geval de onderstaande diensten/sites niet achter een cookiewall mogen verdwijnen en beschikbaar moeten blijven ook als er geen toestemming wordt verleend:
Hoe en of de Europese Commissie het bovenstaande advies gaat implementeren is nog niet bekend. Neemt de Europese Commissie het advies over, dan is het duidelijk dat er strengere regels en meer bescherming voor internetgebruikers komen. Dat betekent automatisch meer beperkingen voor marketeers, online advertising en het gebruik van cookies. Nu maar hopen dat de Europese Commissie met een duidelijk wetsvoorstel komt! Ik hou je op de hoogte.
In de volgende blogpost beschrijf ik het advies van de Werkgroep over het verbeteren van de beveiliging van een openbare elektronische communicatiedienst en netwerk, en het advies om de plicht om datalekken te melden te verwijderen uit de EPR.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.