Wat is de impact van de ePrivacy Verordening (ePV)?

Zoals inmiddels bekend bij iedereen is de Algemene Verordening Gegevensbescherming (AVG) sinds 25 mei 2018 in werking getreden. Het lag in de bedoeling om de ePrivacy Verordening (ePV) tegelijkertijd te introduceren. Dit is echter niet gebeurd. In dit artikel vind u een korte uitleg waarom niet, wanneer dan wel en wat de Verordening nu eigenlijk voor organisaties betekent.

Beïnvloeding van het wetgevingsproces?

De inhoud van deze Verordening richt zich voor een groot gedeelte op organisaties die online communiceren, gebruik maken van tracking cookies en direct marketing activiteiten ondernemen. Dit verklaart ook meteen waarom het voorstel voor de wetstekst op de datum van 25 mei niet klaar was.

De lobbyisten van grote commerciële bedrijven en in mindere mate lobbyisten van non- gouvernementele organisaties draaien namelijk overuren om het wetgevingsproces te beïnvloeden. In het kort: de Europese Raad van Ministers, waar het voorstel ligt, moet een afweging maken tussen de standpunten van beide kanten.

Enerzijds wordt er gezegd dat de Verordening in de weg staat van innovatie en anderzijds biedt dezelfde Verordening bescherming van de communicatie van de (Europese) burger. Hier kan niemand tegen zijn. Een zware afweging dus waarbij er een zware lobby gevoerd wordt.

Verwacht wordt dat de Verordening, die een rechtstreekse juridische werking heeft, met vertraging in Europa en in Nederland, eind 2020 gaat gelden.

Wat betekent deze regelgeving voor organisaties in Nederland?

Allereerst bestaat er de AVG, Europees bekend als de GDPR, deze wetgeving beslaat iedere vorm van persoonsgegevens-verwerking. In de Verordening, de ePV, wordt gekeken naar de verwerking van persoonsgegevens voor elektronische communicatiediensten. Waar in de huidige regelgeving, de ePrivacy Richtlijn, voornamelijk gekeken wordt naar aanbieders van communicatie zoals internet- en telecom, wordt in de ePV de groep vergroot naar aanbieders van online communicatiediensten.

De online communicatieaanbieders, OTT-spelers, hoeven zich nu nog niet te houden aan de regels die voor internet service providers wel gelden, in de ePV moeten ook zij zich gaan houden aan deze regels. Dit geldt dat ook voor bedrijven zoals WhatsApp, Facebook en Skype dezelfde regels gaan gelden.

Niet alleen de Europese Commissie maar ook het Nederlandse Ministerie van Economische Zaken en Klimaat is in de afgelopen jaren een drijvende kracht geweest achter het realiseren van het level playing field voor alle spelers op de communicatiemarkt.

Welke onderdelen uit de wet zijn nieuw?

Een aantal onderdelen uit de wet zullen niet nieuw zijn: het Spamverbod geldt in Nederland al sinds 2004 en het toestemmingsvereiste voor trackingcookies is al verplicht sinds 2012.

Wat wel nieuw is ten opzichte van de AVG is dat het erop lijkt dat de ePrivacy Verordening de spelregels voor de marketingkanalen zal gaan bepalen; denk aan telemarketing, waarvoor in basis een opt-in constructie zal gaan gelden. Het in Nederland gehanteerde Bel-Me-Niet-Register vormt hiervoor al een goede basis.

Ook voor het plaatsen van cookies zal de wijze van toestemming verlenen mogelijk veranderen; de Europese Commissie is er een sterk voorstander van om de aanbieders van internet browsers te verplichten om mee te werken in het proces van toestemming, zodat er in één keer toestemming vanuit de browser verleend kan worden.

Gaat er voor organisaties veel veranderen?

Het lijkt er nu sterk op dat als er al voldaan wordt aan de AVG, er weinig extra maatregelen zullen moeten worden genomen. Op 1 november jl. is er een Algemeen Overleg in de Kamer geweest over de regeldruk die de verordening met zich mee kan brengen.

De staatssecretaris Keijzer gaf daar aan dat het te laat is om aan het eind van het wetgevingstraject met een MKB-toets te komen en heeft aangeboden om met de voorzitter van MKB-Nederland in gesprek te gaan en ‘goed met hen door te praten over bestaande klanten en wat het effect is van telemarketing, het internet of things en over-the-toptelecommunicatiebedrijven’ (citaat uit verslag AO Regeldruk commissie EZK, d.d. 01-11-2018). Of er uit dit gesprek iets verrassends gaat komen? Het lijkt, gezien het feit dat het de MKB-toets al te laat zou zijn om nog iets te kunnen veranderen, van niet. De tijd zal het echter leren.

Er bestaan nog wel een aantal openstaande discussiepunten waar in de loop van de tijd antwoorden op geformuleerd moeten worden zoals: Is de ePV een verbijzondering van de AVG? Wie gaat toezicht houden en handhaven? Komt er een einde aan de huidige versnippering in toezicht en melding tussen de Autoriteit Consument en Markt en de Autoriteit Persoonsgegevens?

Bewustzijn van het verwerken van persoonsgegevens

De introductie van de AVG heeft gezorgd voor bewustzijn als het gaat om verwerken van persoonsgegevens. De komende jaren zal dit bewustzijn nog verder verscherpt worden door deze discussie over het Verordeningsvoorstel dat eigenlijk gaat over big data, innovatie en privacy.

ON2IT zal op de introductie van de nieuwe Verordening nauwgezet volgen en u op de hoogte houden van de precieze reikwijdte en nieuwe verplichtingen.