Home / Nieuws & Blogs / De E-Privacyrichtlijn gaat veranderen (2): de Cookieregels en toestemming

De E-Privacyrichtlijn gaat veranderen (2): de Cookieregels en toestemming

2 december 2016

In mijn vorige blogpost schreef ik dat de E-Privacyrichtlijn 2002/58/EG (hierna: EPR) wordt herzien en dat de Werkgroep een advies heeft gegeven aan de Europese Commissie over de herziening. Hieronder bespreek ik het advies van de artikel 29-werkgroep om artikel 5 van de EPR, ook wel bekend als de cookiewet, en de daarbij horende toestemmingsvereiste te herzien.

Dit artikel is in Nederland geïmplementeerd in artikel 11.7a van de Telecommunicatiewet. Een herziening van de EPR betekent een herziening van de Telecommunicatiewet en voor jouw organisatie wellicht een herziening van intern beleid.

Cookieregels

Artikel 5 lid EPR bevat een algemene zorgplicht voor de aanbieders van elektronische diensten en netwerken om het communicatiegeheim en de daarbij behorende gegevensverwerking te waarborgen en te respecteren. Om dit te bewerkstelligen schrijft artikel 5 lid 3 voor dat er om toestemming moet worden gevraagd als ‘informatie op eindapparatuur (smartphone, laptop etc.) wordt opgeslagen’ en als ‘informatie wordt opgevraagd die reeds is opgeslagen in de eindapparatuur’. Vaak wordt gedacht dat het plaatsen en opvragen van informatie uit eindapparatuur alleen wordt gedaan met behulp van cookies, maar dit artikel is van toepassing op alle volgtechnieken waarbij gegevens van de gebruiker worden opgeslagen en uitgevraagd.

Technologieneutrale formulering

De bewoording van het huidige artikel 5 lid 3 EPR in combinatie met de toename van nieuwe volgtechnieken zorgt volgens de Werkgroep voor steeds meer onduidelijkheid. Want, al staat de informatie niet op een smartphone, maar kan de informatie wel via een smartphone worden opgevraagd, dan zou nog steeds om toestemming moeten worden gevraagd, aldus de Werkgroep.

De Werkgroep pleit voor een herformulering van artikel 5 lid 3. Een eventueel nieuwe artikel 5 lid 3 moet volgens de Werkgroep technologie neutraal geformuleerd worden, zodat het toestemmingsvereiste ook voor nieuwe en toekomstige volgtechnieken zal gelden, zoals ‘passive tracking’. De bekendste vorm van passieve tracking is wifitracking. Met deze techniek wordt bijvoorbeeld je MAC-adres vrijgegeven als je smartphone connectie maakt met een wifinetwerk in een winkel.

Toestemming vragen voor alle vormen van verwerking van persoonsgegevens

De vraag of je aan iemand toestemming moet vragen voor het plaatsen en uitlezen van informatie moet volgens de Werkgroep - door het hanteren van een techniekneutrale formulering - niet meer afhangen hoe je dat doet en via welk apparaat, maar of je dat doet en zo ja, welke impact dit heeft op de privacy. Daarbij wil de Werkgroep dat er om toestemming wordt gevraagd als de impact hoog is en hoeft er geen toestemming te worden gevraagd als de impact laag is zoals bij analytische cookies die strikt voor statische doeleinden worden geplaatst.

De Werkgroep gaat helaas niet specifiek in op verschillende passieve volgtechnieken. Op dit moment zijn de regels van de Telecommunicatiewet bijvoorbeeld niet van toepassing op serverloganalyse. Dat is het analyseren van gegevens die door de gebruiker - bij een initieel get/http-request - naar de server worden gestuurd. Verwacht wordt dat de Europese Commissie bij de herziening hierover uitsluitsel zal geven.

Toestemming voor locatie- en verkeersgegevens

Wat betreft het gebruik van cookies en andere volgtechnieken hecht de Werkgroep veel waarde aan de voorafgaand gegeven toestemming. Zoveel waarde dat de Werkgroep het toestemmingsvereiste ook wil koppelen aan het verwerken van locatie- en verkeersgegevens wanneer deze gegevens niet gekwalificeerd kunnen worden als persoonsgegevens. Want, zo stelt de Werkgroep, ook op basis van locatie- en verkeersgegevens kan er een gedetailleerd profiel gemaakt worden van een internetgebruiker.

Denk aan App ontwikkelaars die locatie- en verkeersgegevens opslaan en uitlezen. Met deze visie sluit de Werkgroep aan bij de uitspraak in 2014 van het Europese Hof van Justitie (EHvJ) (overweging 27, 28 en 29) waarin in het EHvJ heeft verklaard dat de EPR die opslag van verkeersgegevens verplicht stelt ongeldig is, omdat dit een inbreuk vormt op het fundamentele recht op respect voor de persoonlijke levenssfeer en op bescherming van persoonsgegevens.

Wanneer is er sprake van geldige toestemming?

Op de vraag wanneer sprake is van een geldige toestemming en wanneer niet, sluit de Werkgroep zich aan bij de regels van de AVG zodat er geen inconsistentie kan ontstaan tussen de EPR en de AVG (lees over deze wisselwerking meer in deel I). Volgens de AVG wordt er onder geldige toestemming verstaan:

“Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt” (artikel 4 lid 11 AVG).

Verbod op een cookiewall, geen geldige toestemming

Als het aan de Werkgroep ligt komt er ook een verbod op het gebruik van de cookiewall. Door een website achter een cookiewall te plaatsen ontstaat er een ‘take it or leave it’ benadering. Internetgebruikers die de cookies niet willen accepteren krijgen geen toegang tot de inhoud van de website. Een van de criteria voor het geven van toestemming is dat de toestemming vrij gegeven kan worden. De Werkgroep stelt dat: ‘als de gevolgen van de toestemming de vrije wil van de gebruiker ondermijnen, de toestemming niet vrij gegeven kan worden’. Er is in die situatie geen sprake van een geldige grondslag voor het verwerken van gegevens, aldus de Werkgroep.

Voor wie gaat het verbod op een cookiewall gelden?

Toestemming is niet vrij verleend wanneer de internetgebruiker geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen. Daarom stelt de Werkgroep dat in ieder geval de onderstaande diensten/sites niet achter een cookiewall mogen verdwijnen en beschikbaar moeten blijven ook als er geen toestemming wordt verleend:

  1. Bij het volgen van internetgebruikers op websites en apps die informatie openbaren over bijzondere gegevens (bv. gegevens over gezondheid, politieke voorkeur en lidmaatschap bij een vakbond). Zelfs als die websites of apps geen gegevens over de internetgebruiker bevatten. Redenatie van de Werkgroep: wordt een internetgebruikers gevolgd die informatie opzoekt over bv. gezondheidsklachten dan ontstaat het risico dat deze gebruiker verkeerd geprofileerd wordt en terecht komt in verkeerde algoritmes waardoor er onterecht een groter risico ontstaat van een inbreuk op het privacyrecht.
  2. Bij het volgen van internetgebruikers door onbekende derde partijen voor onbekende doeleinden. Dit is volgens de Werkgroep het geval wanneer een website of app zijn advertentieruimte veilt en onbekende derde partijen de internetgebruikers kunnen volgen.
  3. Bij alle situaties en diensten die in overweging 43 van de AVG staan beschreven. Dit slaat met name op situaties waarin er sprake is van een ongelijke verhouding. Bijvoorbeeld alle diensten en websites die door overheidsinstanties worden aangeboden aangezien het gebruik van deze diensten vaak verplicht is en toestemming niet ‘vrij’ gegeven kan worden als een dienst zonder die toestemming niet werkt.
  4. Wanneer geen afzonderlijke toestemming kan worden gegeven voor verschillende categorieën persoonsgegevensverwerkingen ondanks het feit dat dit in het individuele geval passend is. Denk hierbij aan een webshop die apart toestemming moet vragen voor het verwerken van adresgegevens voor het toezenden van je pakketje en apart toestemming moet vragen voor het verwerken van je e-mailadres voor het toezenden van een nieuwsbrief. Indien dit niet apart van elkaar wordt gevraagd, dan is de toestemming ongeldig.

Wat betekent dit voor de toekomst?

Hoe en of de Europese Commissie het bovenstaande advies gaat implementeren is nog niet bekend. Neemt de Europese Commissie het advies over, dan is het duidelijk dat er strengere regels en meer bescherming voor internetgebruikers komen. Dat betekent automatisch meer beperkingen voor marketeers, online advertising en het gebruik van cookies. Nu maar hopen dat de Europese Commissie met een duidelijk wetsvoorstel komt! Ik hou je op de hoogte.

In de volgende blogpost beschrijf ik het advies van de Werkgroep over het verbeteren van de beveiliging van een openbare elektronische communicatiedienst en netwerk, en het advies om de plicht om datalekken te melden te verwijderen uit de EPR.

 

ICTRecht Academy

Onze trainingen geven u een goede juridische voorbereiding om bijvoorbeeld taken als privacy officer uit te kunnen voeren en uw organisatie voor te bereiden op (naderende) privacywetgeving.

 

> Lees verder

 

Anne ten Velden, oud-medewerker ICTRecht
Lees meer
Wilt u meer weten over Privacy
ICTRecht B.V.

E contact@ictrecht.nl
T +31 (0)20 663 1941
Meer informatie

Juridisch advies
Professionals inhuren
Academy
Legal Tech
Security / Informatiebeveiliging
Documenten
Ons team
Vacatures

 

 
Nieuwsbrief

Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

Inschrijven nieuwsbrief

Social media
SM 22-Linkedin SM 22_Twitter SM 22_Instagram