Wat gaat de ePrivacy Verordening (ePV) veranderen?
Sinds 25 mei 2018 hebben we de nieuwe Algemene Verordening Gegevensbescherming (AVG) die onze persoonsgegevens moet beschermen. Het was ooit de bedoeling op diezelfde dag de nieuwe ePrivacy Verordening (ePV) in werking te laten treden. Dat is niet gelukt en gaat voor de Europese verkiezingen er ook niet meer van komen. Er wordt nog steeds gesproken over de inhoud en we hopen dat het in 2019 allemaal nog gaat gebeuren. Maar wat gaat er dan eigenlijk veranderen?
Elektronisch briefgeheim
Voor onze gewone post, je weet wel, dat op papier als het in een gesloten envelop zit, daar hebben we het briefgeheim voor. Voor e-mail hebben we dat niet, maar het voorstel is om dat met de ePrivacy Verordening wel te gaan regelen.
Alle elektronische communicatie moet als vertrouwelijk behandeld gaan worden. Er mag niet meer meegeluisterd worden met telefoontjes, e-mails mogen niet meer gescand en gelezen worden, zoals Google dat deed in Gmail, en ook metadata van communicatie mogen niet meer zomaar uitgelezen worden. Facebook mag dan ook geen WhatsApp-berichten gaan uitlezen.
Communicatie mag dus niet meer onderschept worden. Volgens het voorstel van de ePV is er ook al sprake van onderschepping als derde partijen bijhouden hoe websites worden bezocht, hoe lang mensen websites bezoeken en welke interacties daar plaatsvinden. Dat mag in elk geval niet zonder toestemming van die websitebezoeker.
Profielen bouwen
De ePV probeert bovendien te waarborgen dat er niet zonder toestemming van gebruikers profielen van hen worden gebouwd met metadata die verkregen wordt.
Metadata mag alleen ingezet worden voor het doel waarvoor het oorspronkelijk is verkregen. Dit kennen we ook uit de AVG: persoonsgegevens mogen alleen gebruikt worden op basis van de oorspronkelijke grondslag en voor het doel waarvoor het oorspronkelijk is verkregen. Dit kunnen wel meerdere doelen zijn, maar er mag niet achteraf van doel of grondslag gewisseld worden. Dat wordt in de ePV overgenomen.
Met toestemming mag alles. Dat geldt ook weer bij de ePV. Geven mensen bewust en vrij toestemming om wel die metadata te gebruiken voor het bouwen van profielen, dan is er niets aan de hand. Het probleem is er meer in gelegen dat veel bedrijven het vervelend vinden om toestemming te moeten vragen. Het is immers een drempel en het maakt mensen veel te bewust van wat ze weggeven, als ze al over die drempel heenkomen.
Geanonimiseerde gegevens mogen uiteraard weer wel gebruikt worden.
De cookiewall
Voor het plaatsen van cookies die niet noodzakelijk zijn, zoals trackingcookies en advertentiecookies, is toestemming nodig. Die toestemming moet geïnformeerd, vrij en expliciet gegeven worden. Een nieuwe klik op de website is dus niet genoeg.
Dit zorgt ervoor dat veel websites gebruikmaken van een cookiewall: accepteer de cookies of je komt er niet in.
Dat mag, in sommige gevallen, staat in het voorstel voor de ePV. Vooral als er alternatieve websites bestaan waar dezelfde soort informatie te vinden is. Het mag vooral niet bij websites van bijvoorbeeld de overheid of andere services, waarbij er geen of weinig andere keuze bestaat dan het gebruik van deze specifieke website. Een cookiewall voor de NPO, voor websites van de gemeente en van semi-overheid zijn dus niet toegestaan.
Het aangeven van cookievoorkeuren kan natuurlijk wel, zolang de website maar volledig te gebruiken is, als de websitebezoeker de voorkeuren zo instelt dat feitelijk geen enkele cookie geplaatst mag worden, behalve de functionele cookies.
Welke cookies zijn zonder meer toegestaan?
Voorbeelden van functionele cookies die genoemd worden zijn sessiecookies voor het invullen van formulieren, authentificatiecookies om een identiteit te kunnen verifiëren en cookies die onthouden wat je in een online winkelwagentje hebt geplaatst.
Analyticscookies waarmee je de effectiviteit van een website meet, of telt hoeveel mensen een advertentie hebben gezien, zijn ook toegestaan, zolang met die cookies of andere identificatoren zoals pixels, niet wordt gemeten welke persoon de website bezoekt of wat de aard van die persoon is.
Toestemming via standaardinstellingen
De ePV erkent dat mensen ‘overstelpt [worden] met verzoeken om toestemming’. Transparante en gebruiksvriendelijke instellingen kunnen dit probleem verhelpen. Ze willen daarom meer verantwoordelijkheid leggen bij browsers en andere apps om daar in het algemeen in te kunnen stellen of je geen cookies, juist alle cookies of bijvoorbeeld alleen first party cookies wil accepteren. De gekozen instelling is vervolgens bindend voor alle partijen.
Zo’n instelling staat gelijk aan het toestemming geven om cookies te plaatsen. Die toestemming moet voldoen aan toestemming zoals de AVG daarom vraagt. Dat betekent dat juist de browsers en apps moeten informeren over cookies en de mogelijke instellingen, maar zonder daarbij mensen er subtiel toe te bewegen juist veel cookies te accepteren.
Cookiebanners blijven bestaan
Die cookiebanners die veel websites nu gebruiken om toestemming te krijgen om bijvoorbeeld advertentie- en trackingcookies te mogen plaatsen, zullen dus blijven bestaan.
Veel mensen zullen er naar verwachting voor kiezen om weinig cookies toe te staan. Dan blijft het vragen om toestemming om extra cookies te mogen plaatsen toch nodig.
Let wel op:
- Cookies mogen niet geplaatst worden voor er toestemming is gegeven
- Gebruikers moeten goed geïnformeerd worden over de cookies
- De toestemming moet actief zijn. De voorkeuren mogen niet vooraf al aangevinkt zijn!
Wifi-tracking
Bekijken waar mensen zijn en hoe ze zich bewegen door ze te volgen op basis van unieke nummers, zoals MAC-adressen, IMEI nummers of een wifi-signaal mag wel voor statistische doeleinden, zolang het maar beperkt is in tijd en plaats.
Tellen hoeveel mensen ergens binnen zijn of hoeveel mensen in de rij staan mag dus wel, zonder dat er toestemming van die personen nodig is. Gegevens moeten wel zo snel mogelijk geanonimiseerd worden, wanneer ze voor het doel, zoals dat tellen, niet meer nodig zijn.
Vooraf moet wel melding worden gemaakt van deze tracking. Vergelijk het met de bordjes die nodig zijn dat er bewakingscamera’s hangen. Het gebied van de tracking, het doel en de verantwoordelijke persoon (of bedrijf) moeten vermeld worden. Dit mag met gestandaardiseerde iconen.
Let wel op dat als de gegevens nog verder gebruikt worden, de AVG weer in beeld komt en dus ook de verplichting om een privacyverklaring te hebben en ook die informatie aan de personen te geven.
Verwerkersovereenkomsten
Data die verzameld wordt, mag alleen geanonimiseerd met derden worden gedeeld. Soms zijn derden, zoals online software en diensten, nodig om de gegevens überhaupt te kunnen verzamelen en te analyseren. Zij zien dan natuurlijk de werkelijke gegevens en niet de geanonimiseerde versie daarvan.
Dat mag wel, zegt de ePV, maar dan moet er wel een verwerkersovereenkomst zijn, zoals bedoeld in de AVG. Tsja, niet gek natuurlijk, want als er persoonsgegevens verwerkt worden door de een, voor de ander, bestond die verplichting toch al wel uit hoofde van de AVG. Daar hebben we eigenlijk de ePV niet voor nodig.
Gaan we erop vooruit?
Op dit moment werken we nog met de oude ePrivacy Richtlijn, die in Nederland is omgezet naar de Telecommunicatiewet. Daar zitten nog vele onduidelijke punten in en we hebben het probleem dat nu verwezen wordt naar artikelen in de Wet bescherming persoonsgegevens die vervangen is door de AVG. De ePrivacy Verordening is daarom in elk geval hard nodig om de regels weer goed gelijk te trekken, zodat er geen rare situaties meer kunnen ontstaan.
De bedoeling van de ePV is om de regels meer future proof te krijgen. Technieken worden nog minder genoemd en het gaat meer over de impact die het kan hebben op de privacy van betrokkenen. Dat is een prettige ontwikkeling.
Dat toestemming voor cookies en soortgelijke technieken via de standaardinstellingen van browsers en apps kan verlopen is ook een vooruitgang. Of het echt veel oplost is natuurlijk de vraag. De standaard zal ook zijn dat er geen cookies geaccepteerd worden (behalve de noodzakelijke uiteraard), en de groep die via standaardinstellingen meer cookies accepteert, zal relatief klein zijn. De toekomst moet uitwijzen hoe dit werkelijk zal lopen.
Eigenlijk gaat met de ePV hetzelfde gelden als met de AVG: met toestemming mag alles. Het is alleen lastig om toestemming te krijgen. In elk geval is het niet erg gebruiksvriendelijk. Voor commerciële doeleinden gebruikmaken van gegevens die verkregen worden via cookies en vergelijkbare technieken, zal ook met deze verordening niet makkelijk zijn.
Het voordeel is natuurlijk wel dat door de AVG veel bedrijven al aan de slag zijn geweest met privacy. Erg veel zal de ePV daarom niet veranderen in de dagelijkse werkzaamheden, als je niet de aanbieder van een browser of browserlike apps bent.