De impact van de nieuwe ePrivacy Verordening

Het Europees Parlement werkt – in aanvulling op de AVG – aan een nieuwe ePrivacy-verordening (ePV) die voor een nog betere bescherming van natuurlijke personen online zorgt. De verordening gaat vooral om online advertising/marketing (o.a. telefoneren, cookies, datahandel). Punten uit die verordening:

  • aanbieders mogen straks niet meer simpelweg de toegang tot een site weigeren als je er niet mee akkoord gaat dat je wordt getrackt (cookies);
  • apparaten en software moeten standaard op privacy worden ingesteld (browsers, smartphones, apps);
  • de instelling of bepaalde informatie juist wel of niet mag worden gebruikt, is straks juridisch afdwingbaar;
  • adverteerders mogen je niet meer zomaar op het internet volgen;
  • alle digitale communicatie (zoals WhatsApp of Gmail) moet voortaan vertrouwelijk worden behandeld;
  • Wi-Fi-tracking blijft mogelijk, maar moet expliciet worden aangegeven (bijvoorbeeld met borden).

De Europese ePV wordt de vervanger van onze Telecommunicatiewet en biedt verdergaande bescherming voor de verwerking van je persoonsgegevens voor elektronische communicatiediensten. Die diensten zijn bijvoorbeeld je telefoonverkeer, e-mail en apps zoals WhatsApp, Skype, Telegram, Facebook Messenger, etc. De bescherming die deze wetgeving regelt, gaat over zowel de inhoud als de metadata van je berichten (alle informatie over je bericht, maar niet de inhoud, zoals tijdstip van verzenden, aan wie, hoe vaak en vanaf welke locatie je een bericht stuurt).

Datadrift aan banden

De ePV regelt ook het een en ander rondom spam (telemarketing per mail en telefonisch) en cookies/trackers. En dat laatste is razend interessant, want juist die trackers zorgen voor een enorme privacyschending door de dataprofielen die op basis van je gebruikersdata worden aangelegd. Als de ePV er echt doorkomt, heeft dat enorme gevolgen voor de marketingindustrie, waar bijvoorbeeld ook IoT-apparaten (Internet of Things) en OTT-diensten als Netflix en Snapchat onder gaan vallen. Maar het heeft ook enorme gevolgen voor jezelf; je krijgt een veel betere bescherming tegen het misbruik van de sporen die je online achterlaat.

Tracking-cookies

Als een website cookies wil plaatsen waarvoor geen uitzondering geldt volgens de huidige Telecommunicatiewet, moet jou om toestemming worden gevraagd voor het plaatsen ervan. Uitgezonderde cookies zijn essentiĆ«le/functionele en privacyvriendelijke analytische cookies. De niet-uitgezonderde cookies noem ik in dit artikel ‘niet-vereiste’.

De AVG voorziet er al in dat je actief toestemming moet geven voor niet-vereiste cookies (en dus ook dat je ‘nee’ moet kunnen zeggen). Dat gaat trouwens nog niet overal goed, want vaak kun je alleen maar op akkoord klikken terwijl je ze ook moet kunnen afwijzen. De ePV gaat nog weer iets verder en regelt bijvoorbeeld dat de toestemming tot het bezoeken van een website niet mag worden beperkt als je niet akkoord gaat met het plaatsen van bepaalde cookies.

Cookie-toestemming wijzigt

Nu de AVG is ingevoerd en de ePV eraan zit te komen, zie je een verschuiving in hoe cookies worden aangeboden. Steeds meer websites laten je actief kiezen om niet-vereiste cookies aan of uit te zetten.

  • tot 2012: geen melding over cookies
  • vanaf 2012: toestemming “gevraagd” – alleen de keuze ‘ja’, de zogenaamde “cookiemuur”.
  • sinds 2016: toestemming gevraagd, – vaker de keuze tussen ‘ja’ en ‘nee’ – bij ‘nee’ soms geen toegang tot een website
  • sinds mei 2018: steeds vaker toestemming met mogelijkheid tot uitschakelen van niet-vereiste cookies
  • vanaf ePV (medio 2019/2020): cookiemuur verboden – toestemming met keuze ‘ja’ en ‘nee’ – bij ‘nee’ mag de toegang tot de site niet meer worden beperkt – de niet-vereiste cookies moeten actief worden aangevinkt voor toestemming (ze mogen niet dan niet bij voorbaat aangevinkt zijn)

Over de ePV is nog veel discussie op allerlei inhoudelijke punten, maar de verwachting is dat de inhoud in mei 2019 wordt vastgesteld door het Europees Parlement. De verordening kan dan in 2020 van kracht worden.

Cookiemuur moet weg

Veel organisaties weten trouwens niet (of doen alsof) dat de AVG al regelt dat je voor het plaatsen van cookies meer moet doen dan alleen een knop ‘akkoord’ aanbieden. Als een site niet-vereiste cookies plaatst, moet de verantwoordelijke – naast de keuze ‘ja’ en ‘nee’ – zorgen voor informatie over:

  • welke partij(en) de cookies ontvangen/gebruiken;
  • welke categorie cookies worden geplaatst;
  • waar de cookies voor worden gebruik;
  • een cookieverklaring.

Creativiteit

Uiteraard wordt er tegen de ePV gelobbyd door bedrijven die geld verdienen aan het verzamelen/verkopen van gebruikersdata. Een argument dat ze gebruiken is dat de nieuwe regels digitale innovatie zouden tegengaan. Ik denk het omgekeerde: ze zullen nog veel creatiever moeten worden om hun geldstroom in stand te houden. šŸ˜‰ En ook dat is een ontwikkeling die we nauwlettend in de gaten moeten houden. Hoe zit het bijvoorbeeld met fusies van partijen in de industrie van third-party-tracking (paper, Engels)? Er blijft genoeg om ons zorgen over te maken.