Ondernemers zijn nog aan het bijkomen van de AVG maar moeten rekening gaan houden met de volgende Europese wet die eraan zit te komen op het gebied van privacy: De e-privacy verordening (EPV). De EPV zal na inwerkingtreding in de plaats komen van de e-privacy richtlijn en zal, omdat het een verordening betreft, rechtstreeks van toepassing zijn. De EPV is een Europees wetsvoorstel dat de Nederlandse Telecommunicatiewet (waaronder de Cookiewet) gaat vervangen en ziet op de verwerking van persoonsgegevens voor elektronische communicatiediensten. De EPV zal een lex specialis zijn van de AVG. Dit betekent dat de EPV ‘voorrang’ heeft op de AVG, in het geval er een overlap is van beide wetten. Is er in de EPV iets niet geregeld, dan val je terug op de AVG. Hoewel het oorspronkelijk de bedoeling was de EPV op 25 mei 2018 in werking te laten treden (een bekende datum voor ondernemers, hoop ik!), is dit niet gelukt en zal deze wet naar verwachting pas midden 2019 in werking treden.
In deze blog lees je de zes belangrijkste dingen die er gaan veranderen onder de e-privacy verordening.
De regels over cookies worden aangepast
Cookiewalls, cookiebanners, toestemming geven of juist cookies verwijderen… Door de jaren heen is het fenomeen ‘cookies’ uitgegroeid tot een ongrijpbaar fenomeen dat internetgebruikers vooral bijzonder irritant lijken te vinden. De Europese wetgever wil hierin verandering brengen met de EPV, door de Europese cookieregels simpeler te maken. Zo wil men de toestemming centraliseren in internetbrowsers, waarbij gebruikers zelf hun privacy-instellingen kunnen kiezen. Een internetgebruiker kan dan bijvoorbeeld eenmalig aangeven in zijn chrome browser dat hij cookies van derden afwijst en hoeft dit niet keer op keer opnieuw te doen via cookiebanners, enzovoorts. Hoe dit in de praktijk vorm gaat krijgen, is nog maar zeer de vraag. Bij Spaans&Spaans zijn we er nog niet van overtuigd dat het toestemming geven voor cookies via de browserinstelling cookiebanners en dergelijken in de ban zal doen. Overigens sluit de EPV verder aan bij de AVG wat betreft de ‘toestemming’ voor cookies.
Verruiming van het toepassingsgebied
Door de snelle technologische vooruitgang van de afgelopen jaren, ziet de huidige richtlijn niet op moderne manieren van elektronische communicatie, zoals Whatsapp, Skype en Facebook Messenger. Onder de EVP zullen zogenaamde ‘Over the top’ (OTTS) communicatiediensten ook vallen onder het toepassingsgebied van de Europese wet, zodat de Europese burger nu ook voor deze moderne (en veelgebruikte) vorm van communicatiediensten beschermd wordt. Bovendien zal machine-to-machine communicatie ook onder de verordening gaan vallen. Dat betekent dat alle OTT’S en ontwikkelaars van ‘Internet of Things’ rekening moeten houden met deze wet.
Het spamverbod wordt uitgebreid
Onder de EPV zal alle elektronische communicatie verboden worden waarvoor een gebruiker geen toestemming heeft gegeven. Spam (ongevraagde communicatie) zonder een opt-in mag dus niet meer. Zoals we in één van onze vorige blogs uitgebreid hebben besproken, mag je op dit moment bestaande klanten onder voorwaarden een commerciële uiting sturen. In ieder geval dient deze commerciële uiting een aanbieding van jouw eigen, soortgelijke producten te zijn. De opstellers van de EPV geven aan dat het redelijk is om e-mailcontactgegevens toe te staan bij direct marketing-berichten aan bestaande klanten. De direct marketing-uitzondering voor bestaande klanten blijft dus gehandhaafd onder de EPV. Ook is er een uitzondering ingebakerd voor telemarketeers: het Nederlandse bel-me-niet-register mag blijven bestaan. Wel mogen telemarketeers onder het voorstel niet meer met een onbekend nummer bellen, of dienen ze gebruik te maken van een specifieke code of kengetal zodat het duidelijk is dat men gebeld wordt door een telemarketeer.
Metadata wordt ook beschermd!
De inhoud van elektronische berichten werd al beschermd onder de huidige richtlijn, maar metadata zal onder de EPV ook beschermd worden. Metadata zijn bijvoorbeeld gegevens over bezochte websites, de geografische locatie, het tijdstip, de datum en de duur wanneer een persoon een oproep doet, enz. en kunnen daarom ook zeer gevoelige en persoonlijke informatie weergeven. Deze verandering heeft grote implicaties voor bedrijven maar betekent voor burgers een belangrijke stap richting een betere bescherming van hun privacy en privéleven.
Software
Als de ontwikkelde software binnen het bereik van de verordening valt, dient het voor de gebruiker van de software mogelijk te zijn de privacy-instellingen zelf te kiezen. De software ontwikkelaar dient dus de gebruiker de mogelijkheid aan te bieden om zelf een keuze te maken met betrekking tot zijn privacy-instellingen.
Forse verhoging boetes
Het houdt niet op bij de hoge boetes die de Autoriteit Persoonsgegevens kan opleggen bij schending van de AVG. Onder de EPV neemt de boetebevoegdheid van de toezichthouder namelijk ook flink toe. Overtreding van de EPV kan in sommige gevallen leiden tot een administratieve geldboete van maximaal 20 miljoen euro of, in het geval van een onderneming, tot 4% van de wereldwijde jaaromzet.