Wij schreven eerder al over het langslepende dossier dat de ePrivacy Verordening heet. Na bijna vier jaar lijkt er eindelijk weer beweging in het vastgeroeste wetgevingsproces te komen. Op 10 februari 2021 publiceerde de Raad van de Europese Unie (“de Raad”) namelijk een nieuw wetsvoorstel, waarmee het startsein werd gegeven voor de onderhandelingen tussen de Raad, het Europees Parlement en de Europese Commissie. Hoog tijd voor een update dus.
Hoe zat het ook alweer?
Laten we even teruggaan naar het begin. De ePrivacy Verordening wordt in het leven geroepen om de verouderde ePrivacyrichtlijn, welke in Nederland is geïmplementeerd in de Telecommunicatiewet, te vervangen. Als broertje van de Algemene verordening gegevensbescherming (AVG) zal de ePrivacy Verordening zich richten op de bescherming van de persoonlijke levenssfeer op het gebied van elektronische (online) communicatie. Het eerste wetsontwerp van de Europese Commissie voor de Verordening dateert van 10 januari 2017. Vrij snel daarna nam het Europees Parlement een resolutie aan waarmee zij flink wat wijzigingen aan het voorstel aanbracht. Eenmaal bij de Raad konden de vertegenwoordigers van de lidstaten het – mede onder invloed van sterke lobbycampagnes door grote bedrijven – jarenlang niet eens worden over de in te nemen standpunten. Daarbovenop zorgden de Europese verkiezingen in 2019 en de COVID-pandemie in 2020 voor extra vertraging. Onder de nieuwe voorzitter Portugal kwam de Raad dit jaar dan eindelijk met een aangepast voorstel.
Wat verandert er?
In vergelijking met de Telecommunicatiewet komt het nieuwe (let op: niet definitieve!) wetsvoorstel met onder andere de volgende wijzigingen:
Versoepeling cookieverbod
De Telecommunicatiewet kent een cookieverbod waarop beperkte wettelijke uitzonderingen van toepassing zijn. In het wetsvoorstel worden deze uitzonderingen enigszins opgerekt. Zo mogen ook derde partijen analytische cookies plaatsen en hoeft niet te worden voldaan aan het vereiste van ‘privacyvriendelijkheid’. Daarnaast laat het voorstel toe dat informatie over eindapparatuur, verzameld door cookies, ook voor ándere, maar wel verenigbare doeleinden wordt verwerkt dan waarvoor deze was vergaard (“verdere verwerking”). Tot slot biedt het voorstel gebruikers de mogelijkheid om vooraf toestemming te geven voor het plaatsen van cookies door middel van whitelisting, oftewel het samenstellen van lijsten van goedgekeurde websites en websitediensten via de browserinstellingen.
Verbod op cookiewalls?
Tegelijkertijd lijkt het Raadsvoorstel juist iets strenger dan de Telecommunicatiewet ten aanzien van ‘cookiewalls’: meldingen waarbij de toegang tot (een deel van) een website afhankelijk wordt gemaakt van toestemming voor het plaatsen van trackingcookies. Hoewel de Autoriteit Persoonsgegevens cookiewalls in zijn algemeenheid afwijst, is het cookiewallverbod in de Telecommunicatiewet beperkt tot publieke (overheids-)diensten. Het Europese voorstel lijkt dit verbod breder te trekken, al blinkt de tekst niet uit in helderheid. Zo wordt overwogen dat cookiewalls toelaatbaar zijn wanneer de dienstverlener een cookievrij alternatief aanbiedt dat de gebruiker toegang geeft tot een equivalente dienst. Hierbij kan worden gedacht aan het betalen van een geldbedrag voor vergelijkbare content. Verder schrijft de Raad dat cookiewalls niet geoorloofd zijn wanneer geen redelijke alternatieven voorhanden zijn, bijvoorbeeld bij dominante marktpartijen, of wanneer sprake is van een duidelijke machtsongelijkheid tussen de gebruiker en de dienstverlener, zoals in het geval van publieke diensten geleverd door overheidsinstanties.
Terugkeer bewaarplicht verkeersgegevens?
In een viertal uitspraken uit 2014-2020 heeft het Hof van Justitie van de Europese Unie geoordeeld dat een algemene en ongedifferentieerde bewaarplicht van metadata in strijd is met het Europese recht. Er klinkt echter kritiek, onder andere van de Duitse privacytoezichthouder, dat het Raadsvoorstel de deur naar algemene gegevensbewaring juist weer openzet. De EDPB heeft benadrukt dat het creëren van een wettelijke grondslag voor ongerichte dataretentie, zonder de juiste waarborgen, niet is toegestaan. Wat de precieze bedoeling is van de Raad en wat de eventuele gevolgen voor Nederland zijn is nog onduidelijk, maar dat dit onderwerp debat zal opleveren staat vast.
Direct marketing
Tot slot laat het voorstel ten aanzien van direct marketing relatief veel zaken aan de lidstaten over. Mogelijke wijzigingen op dit gebied zullen dus veelal afhangen van de Nederlandse wetgever. Volgens het Raadsvoorstel mogen lidstaten zelf bepalen of zij het bellen met een herkenbaar prefix (bijvoorbeeld 088-) verplicht stellen, een maximale termijn invoeren waarin klantgegevens voor direct marketing mogen worden gebruikt, en een opt-out systeem voor telemarketing aanleggen. Voor wat betreft dit laatste heeft de Eerste Kamer recent een nieuwe wet aangenomen waarbij het opt-out systeem in de vorm van het Bel-me-niet Register wordt omgezet naar een opt-in systeem waarbij personen in beginsel met telemarketing moeten instemmen.
Vooruitblik
De rest van 2021 zal in het teken staan van de onderhandelingen tussen de Europese Commissie, het Europees Parlement en de Raad om tot een definitieve tekst van de Verordening te komen. Het is geenszins zeker dat bovengenoemde bepalingen uit het Raadsvoorstel stand zullen houden; daarvoor wijkt het te sterk af van het voorstel van het Europees Parlement, dat een strengere privacykoers vaart. Ook de EDPB heeft veel op het ontwerp aan te merken. De verwachting is dat een definitieve wettekst pas in 2022 op tafel zal liggen. Laten we desondanks hopen dat de drie instanties de vaart erin zetten zodat de ePrivacy Verordening vóór 2024 – na een overgangsperiode van twee jaar – van kracht wordt.
Deze blog is geschreven in samenwerking met stagiaire Arlette Meiring.
