De ePV is meer dan het volgende ‘cookie monster’


16 apr 2019
Albert Holl

 

Binnen afzienbare tijd gaat de ePrivacy Verordening (ePV) in de hele EU van kracht. ‘Hebben we met de AVG nog niet genoeg aan ons hoofd?’ en ‘Hoe zit het dan met de ePrivacy Richtlijn waar we al jaren mee te maken hebben?’ zijn vragen die we de laatste tijd terecht voorbij zien komen. De antwoorden laten zich helaas niet met een simpel ‘ja’ of ‘nee’ beantwoorden. We praten u daarom graag even bij. 
 

Harmonisatie en modernisering

Met de ePV gaat de momenteel geldende Europese ePrivacy Richtlijn (EPR) vervangen worden en daarmee ook de Telecommunicatiewet in Nederland welke hierop is gebaseerd. Om te beginnen hebben verordeningen, in tegenstelling tot richtlijnen, rechtstreeks werking in alle landen van de EU. Daar zijn dus geen nationale wetten voor nodig. De invoering van de ePV betekent dus automatisch een harmonisatie van de situatie in de verschillende EU-landen. Hoewel de AVG ruwweg dezelfde doelstellingen heeft als de ePV, bleek er behoefte aan specifieke wetgeving voor de digitale uitwisseling van persoonsgegevens. Grofweg gezegd heeft de ePV vooral betrekking op bedrijven die actief zijn in onlinecommunicatie en direct marketing die gebruik maken van elektronische volgsystemen, of tracking technologie. De nieuwe verordening heeft derhalve ook betrekking op relatief nieuwe spelers als WhatsApp, Facebook, Messenger, Skype, Gmail, iMessage en Viber. Daarmee zijn deze zogenoemde ‘over-the-top players’ voortaan aan dezelfde regels onderworpen als netwerkbeheerders.

 

‘Niet-opdringerige cookies’ 

In tegenstelling tot de AVG, gaat de ePV verder dan alleen persoonsgegevens en omvat bijvoorbeeld ook metadata. Net als bij zijn voorganger is er in de nieuwe verordening een hoofdrol weggelegd voor het gebruik van cookies. De meesten van ons gaan automatisch akkoord met het gebruik ervan, zonder de voorwaarden te lezen. Om enerzijds ons te beschermen tegen onze eigen gemakzucht en anderzijds zaken hanteerbaar te houden voor online marketeers, maakt de ePV onderscheid tussen opdringerige (‘intrusive’) en niet-opdringerige (non-intrusive) cookies. Organisaties hebben straks geen expliciete toestemming meer nodig voor bepaalde cookies, zoals functionele cookies. Deze worden namelijk puur gebruikt om de werking van websites te verbeteren. Een zegen voor velen aangezien we dan af zijn van de vele ‘cookie walls’. Ook analytische cookies kunnen zonder toestemming gebruikt blijven worden, zolang de gegevens binnen de betreffende organisatie blijven en de identiteit van personen niet uit deze gegevens kan worden herleid. Voor het gebruik van zogenoemde volg- of tracking cookies en social media cookies zal echter expliciete toestemming nodig blijven.
 

Volg-mij-niet houding

Als het aan de EU ligt, wordt ‘volg mij niet’ overigens de standaard voor alle browsers. Opvallend genoeg is uit onderzoek gebleken dat mensen die er geen probleem mee hebben om online gevolgd te worden, in bepaalde gevallen betere aanbiedingen kregen bij bedrijven dan mensen die nadrukkelijk anoniem willen blijven. 
 

Voorrang boven de AVG

We zullen er dan ook niet van opkijken als bedrijven steeds vaker beloningen gaan geven om bezoekers over te halen om tracking cookies te accepteren. Het is verder belangrijk om te weten, hoewel de AVG en de ePV beide verordeningen zijn, dat de ePV de AVG kan overrulen in gevallen van twijfel of tegenstrijdigheden. Dit komt omdat de AVG een lex generalis (een 'algemene wet') is en de ePV een lex specialis (een 'bijzondere wet') is. Dit heeft tot consequentie dat bijzondere wetten (zoals de ePV) te allen tijde voorrang hebben op algemene wetten (de AVG). De vraag voor straks is dan ook, hoe zal de afstemming verlopen tussen de beide autoriteiten: Autoriteit Persoonsgegevens voor de AVG en de Autoriteit Consument en Markt voor de nieuwe ePV? Het moet dan wel specifiek gaan om de elektronische uitwisseling van data. Het is hierbij opvallend dat de interpretatie van de term ‘data subject’, dus degene op wie de gegevens betrekking hebben, omvangrijker is dan in de AVG. Het kan in de ePV ook betrekking hebben op rechtspersonen en zelfs ‘dingen’, met een knipoog naar Internet of Things (IoT). Dat werpt meteen een bijzonder licht op kunstmatige intelligentie, een andere tak van sport binnen USoft. Maar dat even terzijde.   
 

Lobbywerk 

We verwachten dat de ePV op z’n vroegst begin 2020 in werking treedt. De kans is groot dat er tegen die tijd, onder druk van lobbywerk door bedrijven als Facebook en Google, nog wat extra aanpassingen zijn doorgevoerd. Onlangs bleek nog uit onderzoek dat alleen al in Nederland meer dan duizend websites bij het negeren van cookie walls toch tracking cookies plaatsen. Nieuwe wetgeving en een betere handhaving lijkt dus onvermijdelijk. 


Geef uw reactie


Verzenden