De e-privacyverordening (ePV) is een Europese verordening die grote impact heeft op bedrijven. In deze blog lees je de zes belangrijkste dingen die de e-privacy verordening heeft veranderd.
Waar de AVG zich meer richt op het gebruik, verwerken en opslaan van persoonsgegevens, richt de e-Privacy Verordening (ePV) zich meer op de regels rondom e-mail, cookies en telemarketing.
Bureau Brandeis heeft een stuk geschreven waarin de belangrijkste veranderingen rondom de e-Privacy Verordening op een rijtje zijn gezet:
De verordening bevat regels voor alle online diensten die elektronische communicatie mogelijk maken.
Dit betekent dat ook “Over the Top” (“OTT”) diensten als WhatsApp, Facebook Messenger, Gmail, Skype, Viber en iMessage eronder vallen. Ook deze dienstverleners moeten de privacy van de communicatie van burgers waarborgen en mogen deze niet onderscheppen, monitoren of afluisteren. De regel geldt ook voor machine-to-machine communications, oftewel de communicatie tussen apparaten.
Op die manier wordt de Internet of Things onder het bereik van de Verordening gebracht. Uitzonderingen blijven mogelijk, bijvoorbeeld in het belang van de openbare veiligheid. Het onderscheppen van communicatie door geheime diensten en opsporingsdiensten is dus niet uitgesloten.
De e-Privacy Verordening zorgt niet alleen voor bescherming van inhoudelijke berichten en communicatie, maar ook voor bescherming van zogenaamde “metadata”, ook wel verkeersgegevens. Dit zijn gegevens over communicatie, zoals tijdstippen, afzenders of locaties.
Met metadata kan je tegenwoordig veel te weten komen over het privéleven van anderen. Voor de verwerking van zowel inhoudelijke gegevens als metadata moet onder de Verordening toestemming worden gevraagd. Ontbreekt die toestemming, dan moeten de gegevens worden geanonimiseerd of verwijderd, tenzij de gegevens nog nodig zijn voor bijvoorbeeld factureringsdoeleinden.
De cookieregels, die erop neerkomen dat voor het plaatsen of uitlezen van cookies voorafgaande en geïnformeerde toestemming (informed consent) nodig is, zijn versimpeld. Je kan toestemming geven via de browserinstellingen, waardoor je geen last meer hebt van cookie banners. Consumenten moeten de mogelijkheid hebben om te kiezen tussen strengere of minder strenge privacy instellingen. Deze keuze is vervolgens bindend voor derde partijen/websites.
Bovendien is geen toestemming meer nodig voor privacy-vriendelijke cookies die bedoeld zijn om de internet-ervaring van consumenten te verbeteren, zoals analytische cookies die het aantal bezoekers bijhouden.
Een vergelijkbare uitzondering geldt al in Nederland. Voor tracking cookies, die het (online) gedrag van consumenten volgen, is wel geïnformeerde toestemming vereist.
Aanbieders van software voor elektronische communicatie zijn verplicht eindgebruikers keuzes te laten maken over privacy-instellingen. In elk geval moet de software gebruikers in staat stellen om op het moment van installatie third party cookies te weigeren.
Anders dan in een eerder uitgelekt concept, bevat de e-Privacy Verordening geen privacy by default-verplichting voor hard- en softwareleveranciers. Privacy by default betekent dat zij apparaten moeten programmeren op de meest privacy vriendelijke manier.
Het spamverbod is uitgebreid.
Voorafgaande toestemming van de gebruiker (een opt-in) is nodig voor alle vormen van commerciële communicatie, ongeacht de gebruikte technologie. Een uitzondering blijft mogelijk bij bestaande klantrelaties, als altijd een opt-out wordt aangeboden.
De Verordening wordt gehandhaafd door de nationale autoriteiten voor gegevensbescherming. In Nederland is dat de Autoriteit Persoonsgegevens. De toezichthouders mag boetes opleggen.