Europese consultatie e-privacy verordening – voor wie is dat interessant?

logo_met_ivirAfgelopen maand werd de ePD consultatie (e-privacy verordening) gestart . Europa wil van ons, burgers en bedrijven, weten hoe we hier tegenaan kijken. De huidige versie is voor het laatst in 2009 aangepast en is nu toe aan een herziening. De consultatie is een van de middelen die er voor moet zorgen dat die update ook tot de gewenste effecten leidt.

Over de inhoud van de consultatie stelden we een aantal vragen aan Dr. Frederik Zuiderveen Borgesius, onderzoeker bij het IViR Instituut voor Informatierecht en het Personalised Communication project van de Universiteit van Amsterdam.

Wat vind je van de consultatie vragen, verwachtte je deze of zitten er tussen waar je van opkeek?
Frederik: “De meeste vragen verwachtte ik wel, maar er zijn ook opvallende punten. Ik noem er twee. Ten eerste is opvallend dat de Europese Commissie lijkt te overwegen om cookiemuren te verbieden. De Commissie vraagt of mensen het eens zijn met de volgde stelling: “Information service providers should not have the right to prevent access to their non-subscription based services in case users refuse the storing of identifiers in their terminal equipment (i.e., identifiers not necessary for the functioning of the service)” (vraag 21).
Ten tweede overweegt de Commissie om een verordening aan te nemen, als opvolger van de e-Privacyrichtlijn. Een verordening heeft, anders dan een richtlijn, directe werking. Een verordening hoeft dus niet in nationaal recht geïmplementeerd te worden. Een verordening zou dus moeten leiden tot een meer geharmoniseerd regime in Europa.”

Bij de OTT (over the top) providers worden o.a. VOIP en IM genoemd. Er staat ook dat er level playing field moet zijn. Moeten we dit zien als aanzet om tot meer kwaliteitseisen voor dergelijke  diensten te komen omdat op dit moment de privacy van gebruikers van die diensten niet geregeld is?
“De wet probeert de privacy van gebruikers van OTT-diensten al wel te beschermen. De Wet bescherming persoonsgegevens is bijvoorbeeld van toepassing als OTT-providers persoonsgegevens verwerken. Ook de nieuwe Verordening Persoonsgegevens (General Data Protection Regulation, of GDPR) zal van van toepassing zijn als OTT-providers persoonsgegevens verwerken. De Verordening geldt vanaf 2018.
Maar de e-Privacyrichtlijn (in Nederland geïmplementeerd in de Telecommunicatiewet) bevat veel regels die wél van toepassing zijn op aanbieders van een openbare elektronische communicatiediensten, zoals internet access providers en telefoonmaatschappijen, maar niet op OTT-providers. Dat heeft onlogische gevolgen.
Bijvoorbeeld: als Google of Facebook locatiegegevens uit je telefoon halen, moeten die bedrijven aan de Wet bescherming persoonsgegevens voldoen. Maar als, bijvoorbeeld, Vodafone beschikt over je locatiegegevens, dan gelden de strengere regels uit de e-Privacyrichtlijn, omdat Vodafone een aanbieder van een openbare elektronische communicatiedienst is. Het ligt voor de hand om ook bedrijven als Google en Facebook te onderwerpen aan het strengere regime voor locatiegegevens.“

Er is een onderscheid tussen openbare netwerken en netwerken die dat niet zijn. De ePD geldt alleen voor de eerste categorie. WiFi hotspots op een luchthaven worden als voorbeeld genoemd van de tweede soort. Denk jij dat die scheiding blijft?
“De scheiding is onhandig. Er is veel discussie over de vraag of een bepaald netwerk openbaar is of niet. De Artikel 29-werkgroep (een samenwerkingsverband van Europese privacytoezichthouders) en de European Data Protection Supervisor hebben hier ook op gewezen. Voor bepaalde regels lijkt het logisch om die ook van toepassing te laten zijn op niet-openbare netwerken. Bijvoorbeeld, aanbieders van niet-openbare netwerken zouden ook het communicatiegeheim moeten respecteren. Als je een niet-openbaar WiFi-netwerk gebruikt, wil je niet dat de aanbieder van dat netwerk bijvoorbeeld je e-mails leest.“

De opt-in opt-out verschilt per lidstaat, dat maakt internationaal handelen soms lastiger. Verwacht jij dat de herziene ePD hier iets gaat wijzigen?
“De opt-in/opt-out discussie wordt bijvoorbeeld veel gevoerd in de context van cookies. Sinds 2009 volgt uit artikel 5.3 van de e-Privacyrichtlijn, kort gezegd, dat bepaalde cookies slechts geplaatst mogen worden als de betrokkene toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie. Er is veel discussie over hoe toestemming voor plaatsing van cookies verkregen moet worden. Vooral in het Verenigd Koninkrijk en Ierland wordt wel gezegd dat een opt-out-systeem voldoet om toestemming te verkrijgen voor tracking cookies: wie zwijgt stemt toe.
Voor de definitie van toestemming verwijst de e-Privacyrichtlijn nu naar de algemene Richtlijn Bescherming Persoonsgegevens. Ik vermoed dat een nieuw e-privacy-regime zal verwijzen naar de definitie van toestemming in de nieuwe Verordening Persoonsgegevens (General Data Protection Regulation, of GDPR). De eisen voor geldige toestemming in die Verordening zijn streng. De Verordening accepteert alleen opt-in systemen voor geldige toestemming. Kortom, ik denk dat er op dit gebied niet zoveel zal wijzigen.“

De consultatie telt 31 vragen, vul jij die zelf ook in?
“Ik ben zeker van plan de consultatie in te vullen.”

Dat de consultatie niet over iets abstracts gaat, maar over wezenlijke zaken is hiermee wel duidelijk aangetoond. De vraag voor wie dit interessante materie is ook: in ieder geval voor iedereen die OTT-diensten aanbiedt dan wel faciliteert. Omdat je de 31 vragen gewoon kunt downloaden is het voor iedereen makkelijk te bepalen of het zijn/haar business raakt en of invullen verstandig is.

Voor wie meer wil weten over het onderwerp : Joris van Hoboken en Frederik Zuiderveen Borgesius hebben een stuk over de e-privacy-herziening gepubliceerd: ‘Scoping Electronic Communication Privacy Rules: Data, Services and Values’, 6 (2015) JIPITEC 198 (link)

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.