leestijd: circa 7 minuten.

22/03/2018

De ePrivacy-verordening: het kleine broertje van de GDPR?

Na enkele maanden waarin menig jurist, advocaat en ondernemer de tel kwijt raakte door de ontelbare blogs en artikelen, voordrachten en seminaries over de GDPR, is het verhaal over de wijzigingen in het Europese privacylandschap nog niet ten einde. Naast die felbesproken GDPR is er namelijk ook nog de ePrivacy-verordening. Deze zal voornamelijk marketeers bekend in de oren klinken. Wij geven graag wat extra uitleg vooraleer dit “kleine broertje” van de GDPR in werking treedt. Dat gebeurt – je raadt het al – op 25 mei 2018, die reeds fel omcirkelde datum in je agenda.

e-Privacy, zoals in “e(lektronische)-privacy”

De ePrivacy-wetgeving beschermt privacyrechten op vlak van elektronische communicatie. Opgelet: deze bepalingen zetten de GDPR geenszins buiten spel, maar vormen er (als lex specialis) een aanvulling op en zijn bijgevolg een specifieke, sectorale regeling voor wat digitale communicatie en privacy op het Internet aangaat. Dit terwijl de GDPR privacyregels oplegt over de sectorale grenzen heen en dus een algemene werking heeft (wel of niet ‘op het Internet’ is daarbij irrelevant).

Wegens het toenemende gebruik en dus belang van online communicatie, kon een aanpassing van de bestaande regels daterende van 2002 niet langer achterwege blijven. De Europese wetgever heeft, net als met de GDPR, ook hier één doel voor ogen: meer vertrouwen en veiligheid van (persoons)gegevens van de Europese burgers. Dit aan de hand van strengere regels voor overheden, bedrijven en zelfs EU-instellingen en -organen.

Wat er veranderen zal?

1. Van richtlijn naar verordening

De Europese wetgever trekt met de e-Privacy-verordening – net zoals bij de GDPR – de kaart van de uniformiteit. In tegenstelling tot een richtlijn laat een verordening de lidstaten geen ruimte voor eigen interpretatie en invulling. De ePrivacy-verordening treedt op 25 mei 2018 rechtstreeks in werking, zonder dat daar enige lidstatelijke tussenkomst voor nodig is.

Dit brengt met zich mee dat alle consumenten en bedrijven in alle lidstaten van de Europese Unie een gelijke bescherming zullen genieten. Ook zullen bedrijven die internationaal actief zijn niet langer geconfronteerd worden met de verschillen in regelgeving tussen verschillende lidstaten.

Net zoals bij de GDPR zijn het de nationale gegevensbeschermingsinstanties die zullen toezien op de handhaving van de (nieuwe) bepalingen. Deze instanties krijgen hierbij de bevoegdheid om hoge boetes op te leggen. In België komt deze bevoegdheid toe aan de Privacycommissie.

2. Ruimere draagwijdte maakt nieuwe spelers onderhevig aan strengere regels

Er heerst op vandaag een sterk spanningsveld tussen de vele, verschillende types ondernemingen die online actief zijn. Dit is niet langer houdbaar. Enerzijds zijn er de traditionele telecomproviders en website-eigenaars die geconfronteerd worden met strenge regelgeving. Anderzijds zijn er een hoop nieuwere spelers met een gelijkaardige dienstverlening. Zij wisten voorlopig te ontsnappen aan het toepassingsgebied van de ePrivacy-richtlijn. Denk wat die laatste categorie betreft aan WhatsApp, Facebook Messenger, Skype, Viber, iMessage, maar ook bijvoorbeeld Gmail en Hotmail.

Deze zogenaamde Over-The-Top-services (OTT) en andere nieuwe spelers worden vanaf mei 2018 onderworpen aan de ePrivacy-verordening. Ze ontglippen vanaf dan niet langer de mazen van het net. Op die manier wil de Europese Commissie de vertrouwelijkheid van online communicatie verzekeren. Hieronder valt ook de Machine-to-Machine-communicatie (communicatie tussen apparaten), wat dan weer hogere privacygaranties zal vergen van IoT-software-ontwikkelaars.

3. Naast de inhoud wordt ook de metadata van communicatie beschermd

Waar tot op heden enkel de inhoud van digitale communicatie beschermd wordt (bijv. de inhoud van je sms- of e-mailbericht), zal met de inwerkingtreding van de verordening ook metadata bescherming genieten. Dit is de data die betrekking heeft op de context van de communicatie. Wie verstuurde de sms of e-mail? Wanneer? Waar? Hoe lang duurde de oproep?

Ook deze metadata kan heel kostbaar zijn voor een onderneming, maar heeft een zekere gevoeligheidsgraad daar de contextuele informatie heel wat kan prijsgeven over de betrokkene. Het is daarom ook logisch dat zo’n bedrijf eerst uitdrukkelijke toestemming moet verkrijgen vooraleer het deze metadata mag verwerken. Geeft de consument die toestemming niet, dan dient het bedrijf deze data te anonimiseren of te verwijderen. Eén uitzondering: ‘technische noodzakelijkheid’. Zo zal jouw provider nooit jouw toestemming moeten vragen om aan de hand van metadata jouw rekening correct op te stellen (en – helaas – ook niet om ze op te sturen).

4. Meer dienstmogelijkheden voor ondernemers (bij verkregen toestemming)

Zoals gezegd moet de onderneming in de toekomst jouw toestemming vragen om inhoud én metadata te verwerken. Wanneer de toestemming daarvoor ook wordt verkregen, wordt het mogelijk voor dat bedrijf om extra diensten aan te bieden. Denk aan heat maps op basis van data omtrent de locatie van consumenten (een vorm van metadata). Zo zouden taxibedrijven hiervan gebruik kunnen maken om hun dienstverlening en commercieel plan te finetunen, terwijl overheden en vervoersbedrijven hiermee rekening kunnen houden bij het ontwikkelen van nieuwe infrastructuurprojecten.

5. Bescherming tegen spam

Onder de verordening geldt het principe dat elektronische communicatie waarvoor de consument geen voorafgaande toestemming gaf verboden is. Deze bepaling richt zich zowel op sms- en e-mailberichten als op telefonische reclame. Wat betreft telefonische reclame geldt echter geen absoluut verbod. Lidstaten zijn vrij die beslissing over te laten aan de betrokkene. Wanneer de lidstaat hiervan gebruik maakt en telefonische reclame in beginsel toelaat, moeten consumenten in ieder geval kunnen ontkomen aan deze vorm van ‘spam’ via registratie in een bel-me-niet-register. In de lijn hiervan worden ook callcenters verplicht hun nummer kenbaar te maken bij een oproep, ofwel een kengetal te gebruiken zodat de marketingdoeleinden duidelijk zijn.

Wanneer er reeds een klantrelatie bestaat tussen de onderneming en een consument, mag de onderneming de betrokken consument – onder bepaalde voorwaarden – wél contacteren via elektronische communicatietechnieken. De consument is in dat geval echter steeds vrij deze communicatie naar de toekomst toe te verbieden wanneer hij/zij dit niet langer wenst.

6. Last but not least: Nieuwe cookieregeling = einde van direct marketing?

Gebruik je een app of bezoek je een website dan moet je als gebruiker momenteel steeds opnieuw het specifieke cookiebeleid goedkeuren. De Europese wetgever ziet deze wederkerende nood tot toestemming in de toekomst graag gecentraliseerd bij wijze van een eenmalige, genuanceerde privacy-instelling (opgenomen in de browserinstellingen) die geldt voor alle websites en applicaties. Hiermee zal dus een einde komen aan de vele cookie banners die je bij haast ieder websitebezoek te zien krijgt. Volgens de wetgever wordt het voor de gebruiker zo heel wat eenvoudiger om gegevensverzameling aan de hand van (permanente) cookies te weigeren of te accepteren. Louter functionele cookies, bedoeld om de website beter te laten werken, behoeven in de toekomst geen toestemming meer.

Permanente cookies weigeren of accepteren wordt bijgevolg heel wat eenvoudiger. Het spreekt voor zich dat niet iedereen dit voorstel toejuicht. De Unie van Belgische Adverteerders (UBA) ligt er zelfs wakker van en vroeg daarom aan minister van Digitale Agenda Alexander De Croo in een open brief te pleiten vanuit het standpunt van de ondernemer. De visie van de UBA luidt als volgt: “De sector zelf is het best geplaatst om toestemming aan hun eigen gebruikers te vragen op de meest efficiënte manier, binnen de GDPR-parameters, en niét browsers en internationale softwareproviders (Google, Microsoft, Apple) via een standaard in de browser ingebouwd gatekeeping mechanisme”.

De UBA gaat er dus voornamelijk van uit dat consumenten in de toekomst met één muisklik permanente cookies zullen weigeren. Het gaat dan om tracking cookies (dewelke gepersonaliseerde advertenties mogelijk maken door je surfgedrag te volgen) en cookies voor statistische doeleinden. Een eerdere standaard weigering door de gebruiker van alle cookies via diens browserinstellingen betekent echter niet dat websites en/of applicaties niet alsnog de toestemming van de gebruiker mogen vragen aan de hand van een cookie banner zoals we die nu kennen.

Aangezien de consument nu ook een nuance zal kunnen aanbrengen in de browserinstellingen (het is niet langer alles of niets, maar ook daar weer wat meer gepersonaliseerd), is het weinig waarschijnlijk dat plots alle consumenten voor een radicale weigering zullen opteren. Door een genuanceerde keuze door de gebruiker bij de cookieregeling zal direct marketing mogelijks zelfs aan kwaliteit inwinnen (daar de kwantiteit ervan zal dalen). Zo zullen gepersonaliseerde advertenties in de toekomst voornamelijk een écht geïnteresseerd publiek bereiken. Dat een algemene toestemming daarnaast ook meteen zal gelden voor alle websites en applicaties kan zelfs in het voordeel spelen van bepaalde direct marketeers, wiens cookies mogelijks eerder niét aanvaard zouden worden indien er individueel om werd gevraagd.

Besluit

De Commissie-voorstellen in de aanloop naar deze hervorming richting ePrivacy-verordening werden niet altijd even hartelijk onthaald. Ondernemers gaan ervan uit dat een grotere bescherming van persoonsgegevens op het Internet gepaard gaat met een beperking van hun recht om deze gegevens te verwerken. Zo wordt in de toekomst niet alleen de inhoud van je digitale communicatie beschermd, maar ook de daarmee verbonden metadata. Ook ben je als betrokkene in de toekomst quasi-immuun voor ongewenste en dus vervelende spamberichten.

De e-Privacyverordening biedt ondernemingen de mogelijkheid tot een bredere dienstverlening op basis van inhoud en metadata. Dit uiteraard slechts voor zover de gebruiker zijn toestemming daartoe geeft. Net om die reden staan de ondernemingen angstig tegenover de eenvoudigere cookieregels. Zij vrezen dat gebruikers en consumenten eerder zullen neigen naar het afschermen van hun data dan naar het delen ervan. Toch dient dit genuanceerd te worden: niet elke gebruiker of consument zal globaal met de cookieregeling instemmen, maar evenmin zullen alle gebruikers of consumenten zomaar overgaan tot een resolute weigering. Wie gepersonaliseerde advertenties wenst te ontvangen, zal deze zeker nog steeds ontvangen. Zij die dit niet wensen, kan je nog steeds individueel proberen overhalen zoals dat op heden gebeurt. De concrete consequenties van de e-Privacyverordening zullen blijken na inwerkingtreding. De vrees dat dit het einde zal betekenen van direct marketing lijkt ons alleszins ongegrond.

Of Europa tegen mei, naast de GDPR, ook klaar zal zijn voor de ePrivacy-verordening valt echter nog af te wachten. Laat ons het “kleine broertje” van de GDPR alleszins niet onderschatten. Afspraak met de privacy op 25 mei 2018.

Edit: Deze wet is uitgesteld en gaat dus niet in op 25 mei.

Geschreven door Charlotte De Thaye.