Wat is het verschil tussen de AVG en de e-Privacy Verordening?

Waar de AVG zich meer richt op het gebruik, verwerking en opslag van persoonsgegevens, richt de e-Privacy Verordening zich meer op de regels omtrent e-mail, cookies en telemarketing.

Bureau Brandeis heeft enige tijd geleden een stuk geschreven waarin de belangrijkste wijzigingen omtrent de e-Privacy Verordening op een rij zijn gezet:

Uitbreiding naar online diensten

De nieuwe verordening bevat regels voor alle online diensten die elektronische communicatie mogelijk maken. Dit betekent dat ook “Over the Top” (“OTT”) diensten als WhatsApp, Facebook Messenger, Gmail, Skype, Viber en iMessage eronder zullen vallen. Ook deze dienstverleners moeten de vertrouwelijkheid van de communicatie van burgers waarborgen en mogen deze niet onderscheppen, monitoren of afluisteren. De nieuwe regels zullen bovendien ook gelden voor machine-to-machine communications, ofwel de communicatie tussen apparaten. Op die manier wordt de Internet of Things onder het bereik van de Verordening gebracht. Uitzonderingen op de verplichting tot vertrouwelijkheid blijven mogelijk, bijvoorbeeld in het belang van de openbare veiligheid. Het onderscheppen van communicatie door geheime diensten en opsporingsdiensten is dus niet uitgesloten.

Bescherming van inhoud én metadata

De e-Privacy Verordening voorziet niet alleen in bescherming van inhoudelijke berichten en communicatie, maar ook in bescherming van zogenaamde “metadata”, ook wel verkeersgegevens. Dit zijn gegevens over communicatie, zoals het tijdstip, afzender, of locatie. Uit metadata kunnen tegenwoordig, mede gelet op de technologische ontwikkelingen en mogelijkheden, zeer precieze conclusies worden getrokken over het privéleven van de personen van wie de gegevens zijn bewaard. Voor de verwerking van zowel inhoudelijke gegevens als metadata moet onder de Verordening toestemming worden gevraagd. Ontbreekt die toestemming, dan moeten de gegevens in beginsel worden geanonimiseerd of verwijderd, tenzij de gegevens nog nodig zijn voor bijvoorbeeld factureringsdoeleinden.

Cookies

De bestaande cookieregels, die erop neerkomen dat voor het plaatsen of uitlezen van cookies voorafgaande en geïnformeerde toestemming (informed consent) nodig is, worden versimpeld. Toestemming kan voortaan worden geregeld via de browserinstellingen, waardoor consumenten minder worden geconfronteerd met cookie banners. Consumenten moeten de mogelijkheid hebben om te kiezen tussen strengere of minder strenge privacy instellingen. De door de gebruikers gemaakte keuzes zijn vervolgens bindend voor derde partijen/websites. Bovendien is voortaan geen toestemming meer nodig voor privacy-vriendelijke cookies die bedoeld zijn om de internet-ervaring van consumenten te verbeteren, zoals analytische cookies die het aantal bezoekers bijhouden. Een vergelijkbare uitzondering geldt al in Nederland. Voor tracking cookies, die het (online) gedrag van consumenten volgen, is wel geïnformeerde toestemming vereist.

Privacy instellingen software

De aanbieders van software voor elektronische communicatie zijn verplicht eindgebruikers in staat te stellen om keuzes te maken ten aanzien van privacy-instellingen. In ieder geval moet de software gebruikers in staat stellen om op het moment van installatie third party cookies te weigeren.

Anders dan in een eerder uitgelekt concept, bevat de concept e-Privacy Verordening geen privacy by default-verplichting voor hard- en softwareleveranciers. Privacy by default betekent dat zij apparaten moeten programmeren op de meest privacy vriendelijke manier.

Spam

Het spamverbod wordt uitgebreid. Voorafgaande toestemming van de gebruiker (een opt-in) is vereist voor alle vormen van commerciële communicatie, ongeacht de gebruikte technologie. Een uitzondering blijft mogelijk in het geval van een bestaande klantrelatie, mits altijd een opt-out wordt geboden.

Ook voor telemarketing is onder het voorstel in beginsel een opt-in vereist, al mogen de lidstaten ervoor kiezen om een bel-me-niet register te implementeren (zoals in Nederland al het geval is). Onder het voorstel mogen callcenters hun nummer verder niet meer verbergen, of moeten ze een speciale prefix gebruiken zodat het voor consumenten duidelijk is dat het om telemarketing gaat.

Handhaving door privacy-autoriteiten

De Verordening zal worden gehandhaafd door de nationale autoriteiten voor gegevensbescherming. In Nederland is dat de Autoriteit Persoonsgegevens. De toezichthouders krijgen de bevoegdheid om fikse boetes op te leggen.

Het wetsvoorstel nog wel langs het Europees Parlement en de Raad. Dus het is nog even afwachten hoe de definitieve Verordening uiteindelijk eruit komt te zien