Deloitte blog: ePrivacy 2/6

7 minuten leestijd (1402 woorden)

Een verslag van de eerste IAB ontbijtsessie over privacy van 2017

Het voorstel voor een e-Privacy Verordening
Van de zolderkamer boven de Bakkerswinkel naar het auditorium van De Persgroep: jullie interesse in het onderwerp privacy was boven verwachting groot! Op dinsdag 8 maart was aan ons de eer om de inhoud van de concept e-Privacy Verordening te presenteren. In deze blog doen we verslag van deze aftrap van een serie van privacy ontbijtsessies.

  1. Een e-Privacy verordening

Het onderwerp van de ontbijtsessie was het voorstel van de Europese Commissie voor een e-Privacy Verordening. Het is de bedoeling dat deze Verordening de huidige e-Privacy Richtlijn op korte termijn zal vervangen. De e-Privacy Richtlijn is bij de meesten beter bekend als de Cookiewet, maar behelst eigenlijk meer dan alleen regelgeving met betrekking tot cookies. De huidige Richtlijn regelt de bescherming van privacy bij elektronische communicatie en richt zich daarbij op de traditionele telecomproviders. Het voorstel dat er nu ligt behelst een aanzienlijke uitbreiding op het toepassingsgebied van de huidige Richtlijn. Maar, zoals gezegd, gaat het nog om een voorstel. Voordat de Verordening ook daadwerkelijk wetgeving wordt moet het eerst nog langs het Europees Parlement en de Raad van de Europese Unie.

 

  1. Van Richtlijn naar Verordening, wat is het verschil?

 
Momenteel hebben we een e-Privacy Richtlijn. Een richtlijn is gericht aan de lidstaten van de Europese Unie en verplicht hen hun nationale wetgeving zo aan te passen dat het doel van de richtlijn kan worden gerealiseerd. Een richtlijn dient dus door lidstaten zelf in landelijke wetgeving geïmplementeerd te worden. De huidige e-Privacy Richtlijn is in Nederland bijvoorbeeld voor het overgrote deel geïmplementeerd in de Telecommunicatiewet. Doordat landen een Richtlijn zelf omzetten in nationale wetgeving kunnen er verschillen ontstaan in de regels die gelden in de verschillende EU landen. Burgers/bedrijven kunnen geen direct beroep doen op een richtlijn, maar moeten wachten totdat deze is omgezet in lokale wetgeving en kunnen zich vervolgens op de lokale wet beroepen.

De Europese Commissie stelt nu een e-Privacy Verordening voor. Een verordeningen heeft rechtstreekse werking en heeft daarmee in alle lidstaten direct dezelfde kracht als landelijke wetgeving.  Doordat een verordening rechtstreeks werkt wordt er een gelijk speelveld gecreëerd tussen de verschillende EU landen, doordat de regels in deze landen hetzelfde zijn. Dit betekent een lastenverlichting voor bedrijven. Omdat de regels in alle landen gelijk zijn, hoeven zij geen rekening te houden met implementatieverschillen in de verschillende EU landen. Burgers/bedrijven kunnen zich direct op een verordening beroepen.

 

  1. Aanleiding voor een Verordening

 
Waarom een nieuwe Verordening? De huidige Richtlijn stamt uit 2002 en werd voor het laatst in 2009 herzien. Sindsdien is onze wereld enorm veranderd en is de huidige wetgeving ingehaald door nieuwe technologische ontwikkelingen. De huidige Richtlijn ziet bijvoorbeeld enkel op traditionele telecommunicatiediensten. Nieuwe online communicatiediensten zijn inmiddels echter niet meer weg te denken uit ons dagelijks leven. Denk daarbij aan ‘Over The Top’ diensten (OTT’s) zoals Skype, WhatsApp, Snapchat en Facebook.

Daarnaast sluit de huidige e-Privacy richtlijn niet goed aan op nieuwe algemene Europese privacy wetgeving - de Algemene verordening gegevensbescherming (AVG) - die vanaf mei 2018 onze huidige privacy regels zal gaan vervangen. Ook de cookieregels uit de huidige Richtlijn gaan op de schop omdat het huidige toestemmingsregime voor cookies als een te grote last wordt ervaren door zowel bedrijven als burgers.

 

  1. De belangrijkste vernieuwingen

 
Als het voorstel voor de Verordening in zijn huidige vorm wordt aangenomen, zullen op een aantal belangrijke punten flinke veranderingen plaats vinden in het huidige e-Privacy landschap. Tijdens de ontbijtsessie bespraken we met de zaal wat de belangrijkste wijzigingen zijn.

Voorgestelde verandering 1: Boetes
Er kan harder worden opgetreden tegen schendingen van de e-Privacy regels. De Verordening introduceert een boetebeding dat aansluit bij de AVG. Dit betekent dat boetes tot 4% van de totale wereldwijde jaaromzet of 20 miljoen euro kunnen worden opgelegd. Het overtreden van de cookiebepalingen kan leiden tot boetes tot 2% van de totale wereldwijde jaaromzet of 10 miljoen euro.

Voorgestelde verandering 2: Cookies
De cookieregels worden versimpeld. Naast tracking cookies worden ook andere trackingtechnieken onder het cookieregime geschaard. Voor functionele en analytische cookies, die het gebruiksgemak van de bezoekers dienen, geldt dat geen toestemming hoeft te worden gevraagd. Voor tracking moet geïnformeerde toestemming worden verkregen. Tot dusver niets nieuws, want vergelijkbare regels gelden in Nederland al. Wel nieuw is dat toestemming geven mogelijk moet zijn via de browserinstellingen. Ook nieuw is dat, hoewel privacy instellingen niet standaard de meest privacy vriendelijke hoeven te zijn (Privacy by Default), er wel de optie moet worden gegeven om het plaatsen en uitlezen van cookies onmogelijk te maken. Daarnaast moet de, voor tracking gegeven, toestemming altijd kunnen worden ingetrokken. Hier moet de consument regelmatig aan worden herinnerd.

Voorgestelde verandering 3: Uitbreiding van toepassingsgebied
De Verordening krijgt een breder toepassingsgebied dan de huidige Richtlijn. Niet alleen de traditionele telecomproviders moeten de vertrouwelijkheid van online communicatie waarborgen, ook aanbieders van nieuwe online communicatiediensten zoals Facebook, WhatsApp etc. moeten ervoor zorgen dat zowel de inhoud als informatie over deze communicatie (metadata) vertrouwelijk blijft. Tot slot is ook de communicatie tussen slimme apparaten, oftewel machine-to-machine communicatie, internet of things (IoT) voortaan vertrouwelijk.

Voorgestelde verandering 4: Commerciële communicatie en telemarketing
Ook voor commerciële communicatie wordt door de Commissie een aangescherpt regime voorgesteld. Voor alle vormen van commerciële communicatie is voorafgaande toestemming (opt-in) vereist. Uitzondering daarop is een bestaande klantrelatie, maar daarvoor moet wel een opt-out worden geboden.

Voor telemarketing geldt dat door lidstaten als alternatief op opt-in een bel-me-niet-register mag worden ingevoerd. In Nederland hebben we al een bel-me-niet-register, maar mogelijk veranderd dit in opt-in. Daarnaast mag telemarketing niet langer via een anoniem nummer. Consumenten moeten de adverteerder kunnen herkennen.

  1. Impact van de vernieuwingen

 Indien de e-Privacy Verordening er in deze voorgestelde vorm daadwerkelijk komt, zal dit impact hebben op vrijwel alle organisaties. Door het bredere toepassingsgebied zullen meer organisaties voor meer vormen van communicatie rekening moeten houden met de e-Privacy regels.

Door de uitbreiding van de regels naar OTT en IoT en metadata zullen er meer gevallen zijn waarin om toestemming van consumenten gevraagd moet worden om data te gebruiken. Bijvoorbeeld voor wat betreft tracking via de browser: zal indien de browserinstellingen zo ingesteld zijn dat tracking niet is toegestaan, de consument wellicht alsnog te maken krijgt met individuele toestemmingsverzoeken? Hoe zullen organisaties hier mee om gaan en zal dit leiden tot de beoogde versimpeling ten opzichte van de huidige wet?

De aangescherpte regels voor telemarketing hebben hier potentieel grote invloed op. Het is goed mogelijk dat conversie zal teruglopen indien het bel-me-niet-register wordt vervangen door opt-in en er gebeld moet worden met een herkenbaar nummer.

Door de hogere boetes die worden geïntroduceerd ontstaat er een groter financieel risico voor organisaties die zich niet aan de nieuwe regels houden. De boetes kunnen immers aardig in de cijfers lopen. Tijdens de ontbijtsessie werd dan ook de vraag gesteld of de toezichthouder direct hoge boetes op zal leggen bij overtredingen. Hoewel dit mogelijk is, is het aannemelijker dat er eerst waarschuwingen zullen worden gegeven. Maar naast eventuele boetes lopen organisaties ook het risico op imagoschade.

  1. Tot slot

Het voorstel voor een e-Privacy Verordening leverde tijdens de ontbijtsessie een levendige discussie met de zaal op. Niet verwonderlijk want deze Verordening heeft mogelijk grote invloed op IAB leden (en andere organisaties). Het is daarom goed om nogmaals te benadrukken dat het hier nog om een voorstel gaat, dat eerst goed gekeurd dient te worden door het Europees Parlement en de Raad van de Europese Unie. Mogelijk verandert er nog het één en ander aan de inhoud. De Commissie hanteert een ambitieuze tijdlijn voor het invoeren van de e-Privacy Verordening. Het streven is mei 2018. Het is nog maar de vraag of deze strakke deadline gehaald zal worden.

Wij zullen de ontwikkelingen omtrent de e-Privacy Verordening blijven volgen, en houden jullie via dit kanaal en toekomstige ontbijtsessies op de hoogte. We zien jullie graag in juni terug bij de volgende ontbijtsessie. Tot dan!Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee (“DTTL”), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as “Deloitte Global”) does not provide services to clients. Please see www.deloitte.nl/about for a more detailed description of DTTL and its member firms.

Schrijf je hier in voor de volgende sessies >> 
 
 
 
© 2017 Deloitte The Netherlands