Verklaring van het Europees Comité voor gegevensbescherming (EDPB)
over de herziening van de ePrivacy Verordening en de gevolgen daarvan
voor de bescherming van personen in verband met de privacy en de
vertrouwelijkheid van hun communicatieDe gegevensbeschermingsautoriteiten van de Europese Unie, verenigd in het Europees Comité
voor gegevensbescherming, beschouwen de herziening van de huidige ePrivacy Richtlijn
(2002/58/EG, gewijzigd bij 2009/136/EG) als een belangrijke, noodzakelijke en dringende stap.
Het gebruik van op IP gebaseerde communicatiediensten heeft sinds 2009 een hoge vlucht
genomen. Vooralsnog vallen deze zogeheten "over-the-top"-diensten echter niet onder de
bestaande richtlijn. Om ervoor te zorgen dat de vertrouwelijkheid van de communicatie van de
eindgebruiker bij het gebruik van deze nieuwe diensten wordt beschermd en om een gelijk
speelveld tot stand te brengen voor aanbieders van elektronische-communicatiediensten en
functioneel gelijkwaardige diensten, roepen wij de Europese Commissie, het Parlement en de Raad
op om samen te werken opdat de nieuwe ePrivacy Verordening snel kan worden vastgesteld en de
huidige richtlijn zo spoedig mogelijk kan vervangen na de inwerkingtreding van de Algemene
Verordening Gegevensbescherming (AVG)in mei van dit jaar.
Gezien de ontwikkelingen in de besprekingen over het voorstel heeft het EDPB ten behoeve van
de medewetgevers besloten om een aantal specifieke punten die in de wijzigingsvoorstellen van de
medewetgever aan bod komen, verder toe te lichten en van advies te voorzien.
1. De vertrouwelijkheid van elektronische communicatie vereist specifieke bescherming die
verder gaat dan de AVG
Vertrouwelijkheid van communicatie (het moderne equivalent van het traditionele briefgeheim) is
een grondrecht dat wordt beschermd krachtens artikel 7 van het Handvest van de grondrechten van
de Europese Unie en waaraan de ePrivacy Richtlijn reeds uitvoering geeft. Dit recht op
vertrouwelijkheid moet gelden voor alle vormen van elektronische communicatie, ongeacht de
wijze waarop de betrokken gegevens – in rust of in doorvoer – van de verzender naar de ontvanger
worden verstuurd, en moet tevens de integriteit van de eindapparatuur van elke gebruiker
beschermen.
Elektronische communicatie ondersteunt de uitoefening van een groot aantal grondrechten, zoals
de vrijheid van gedachte, geweten, godsdienst, meningsuiting, informatie, vergadering en
vereniging, en vormt daardoor de hoeksteen van tal van essentiële activiteiten van onze moderne
samenleving. Versterking van de vertrouwelijkheid en de neutraliteit van de betrokken
berichtendiensten is dan ook een noodzaak.
Gezien het belang en het wijdverbreide gebruik van elektronische communicatie in ons digitale
leven is het zeer waarschijnlijk dat deze communicatie – hetzij expliciet, hetzij vanwege de
accumulatie en combinatie van inhoud of metadata – bijzondere categorieën van persoonsgegevens
bevat of aan het licht brengt, aan de hand waarvan zeer nauwkeurige conclusies over het privéleven
van de betrokken personen kunnen worden getrokken, hetgeen een groot risico voor hun rechten
en vrijheden inhoudt. Deze communicatie moet dan ook dienovereenkomstig worden behandeld.
In dat licht staan wij volledig achter de aanpak van de voorgestelde Verordening, die gebaseerd is
op ruime verbodsbepalingen, beperkte uitzonderingen en het gebruik van toestemming. Dit
betekent dat de ePrivacy Verordening elke mogelijkheid moet uitsluiten om inhoud en metadata
van elektronische communicatie te verwerken op basis van open gronden, zoals "gerechtvaardigde
belangen", die verder gaan dan wat nodig is voor de levering van een elektronische- communicatiedienst. Voorts moet de ePrivacy Verordening elke mogelijkheid uitsluiten om
metagegevens van elektronische communicatie te verwerken met het oog op de uitvoering van een
overeenkomst, hetgeen betekent dat er geen uitzondering mag worden gemaakt op basis van het
algemene doel een overeenkomst uit te voeren. In de Verordening wordt bepaald welke verwerking
(onder meer voor factureringsdoeleinden) in dit verband precies is toegestaan.
Het EDPB wenst te benadrukken dat metagegevens van elektronische communicatie nog steeds
zonder toestemming mogen worden verwerkt mits de gegevens eerst daadwerkelijk zijn
geanonimiseerd . Het EDPB moedigt aanbieders van elektronische-communicatiediensten aan
deze mogelijkheid te benutten om innovatieve diensten te creëren die de privacy eerbiedigen.
2. De ePrivacy Richtlijn is al van kracht
Het recht op bescherming van de vertrouwelijkheid van communicatie bestaat nu al. Met de
ePrivacy Richtlijn van 2002 (gewijzigd in 2009) is reeds een algemeen verbod op de verwerking
van inhoud en metagegevens van elektronische communicatie ingevoerd. Dergelijke handelingen
zijn alleen mogelijk:
- na voorafgaande toestemming van de gebruiker, of
- in de uitzonderingsgevallen die in de ePrivacy Richtlijn zijn vastgelegd (verzending van
een elektronische communicatie, facturering).
Transmissiediensten die worden gebruikt voor het verlenen van diensten tussen machines vallen
ook binnen het toepassingsgebied van de huidige richtlijn. De betrokken bepalingen worden
gehandhaafd in de voorgestelde Verordening.
Ook het recht op bescherming van eindapparatuur bestaat al. Het gebruik van de opslagcapaciteit
van de eindapparatuur van de gebruiker is technologieneutraal. Dit betekent dat niet alleen voor het
gebruik van cookies, maar van elke traceertechnologie toestemming van de gebruiker vereist is of
een in de ePrivacy Richtlijn opgenomen uitzondering van toepassing moet zijn.
Voorts zijn in het door de medewetgever gewijzigde Verordeningsvoorstel op voorstel van WP29 nieuwe uitzonderingen opgenomen, zoals beveiligingsupdates en meting van de omvang van het publiek. Deze uitzonderingen hebben betrekking op specifieke vormen van verwerking met zeer
beperkte risico's voor de persoonlijke levenssfeer van de gebruikers.
3. De voorgestelde Verordening heeft tot doel te zorgen voor de uniforme toepassing ervan
in alle lidstaten en op alle soorten verwerkingsverantwoordelijken
De huidige ePrivacy Richtlijn geldt niet voor elektronische-communicatiediensten die worden
geleverd door aanbieders die werken via het internet, ondanks het feit dat zij een dienst aanbieden
die functioneel gelijkwaardig is.
Deze aanbieders zullen wel binnen het toepassingsgebied van de voorgestelde Verordening vallen.
Het EDPB benadrukt dat de uitbreiding van het toepassingsgebied van de Verordening tot
functioneel gelijkwaardige diensten, waaronder “over-the-top” diensten, een essentieel onderdeel
van de hervorming uitmaakt. Om een gelijk speelveld voor alle aanbieders te waarborgen, is het
zaak te voorkomen dat wijzigingen in de ontwerpverordening worden aangebracht die deze
doelstelling ondermijnen (zoals voorstellen om de bescherming te beperken tot
communicatiegegevens "in doorvoer").
De voorgestelde Verordening is van toepassing zodra gegevens over het gedrag van de gebruiker
worden verzameld, ongeacht of hij een account voor een dienst heeft aangemaakt. Deze aanpak
biedt de gebruikers van die diensten de bescherming die ze verdienen, maar faciliteert ook de
eerlijke concurrentie tussen verwerkingsverantwoordelijken. Er zij op gewezen dat met de
toestemming die krachtens de ePrivacy Verordening moet worden verkregen, hetzelfde wordt
bedoeld als in de AVG. Met name de eis dat de toestemming vrijelijk moet worden verleend,
zal voorkomen dat aanbieders van diensten "cookie walls" voor hun gebruikers gaan
opwerpen. De eis dat de toestemming specifiek moet zijn, zal een gelijk speelveld voor de
aanbieders creëren, ongeacht of de gebruiker is ingelogd.
Bovendien zijn er specifieke sancties voor inbreuken tegen de ePrivacy Verordening vastgelegd en
is het territoriale toepassingsgebied uitgebreid. Dankzij de combinatie van deze factoren – beide
een afspiegeling van de bepalingen van de AVG – krijgen de gegevensbeschermingsautoriteiten
doeltreffende instrumenten in handen om de toepassing van de Verordening te handhaven ten
aanzien van alle elektronische-communicatiemiddelen die door EU-gebruikers worden gebruikt.
4. De nieuwe Verordening moet het geven van toestemming voor cookies en soortgelijke
technologieën afdwingen en moet aanbieders van diensten technische instrumenten ter
beschikking stellen waarmee zij die toestemming kunnen verkrijgen
Zoals voorgesteld door de Europese Commissie, is artikel 10 van de voorgestelde Verordening
ontworpen om gebruikers de controle te geven over het gebruik van de opslagcapaciteit van hun
eindapparatuur. Het Parlement heeft artikel 10 verder ontwikkeld door privacy by default (privacy
door standaardinstellingen) te eisen voor software en te voorzien in een technische oplossing
waarmee websites geldige toestemming kunnen verkrijgen.
Het EDPB staat volledig achter de versterking van dit artikel en vindt dat het expliciet van
toepassing moet zijn op besturingssystemen van smartphones, tablets of andere "useragents", om
ervoor te zorgen dat de communicatieapplicaties rekening kunnen houden met de keuzes van wie
de applicaties gebruikt, ongeacht de technische middelen die hierbij een rol spelen.
Bovendien moeten de privacy-instellingen het de gebruiker gemakkelijker maken om op een vlotte,
bindende en ten aanzien van alle partijen afdwingbare manier zijn toestemming te geven of in te
trekken, en moet de gebruikers bij de installatie de duidelijke keuze worden aangeboden om al dan
niet hun toestemming te geven. Daarnaast moet het voor websites en mobiele applicaties mogelijk
zijn om via de privacy-instellingen toestemming te krijgen overeenkomstig de AVG.
5. Conclusies
Hieronder volgt het advies van het EDPB.
- De ePrivacy Verordening mag het niveau van bescherming dat wordt geboden door de
huidige ePrivacy Richtlijn, niet verlagen.
- De ePrivacy Verordening moet voorzien in technologieneutrale bescherming voor alle
soorten elektronische communicatie, inclusief communicatie via “over-the-top” diensten.
- De toestemming van de gebruiker moet op een technisch haalbare en afdwingbare manier
systematisch worden verkregen voordat de elektronische-communicatiegegevens worden
verwerkt of voordat gebruik wordt gemaakt van de opslag- of verwerkingscapaciteit van
de eindapparatuur van de gebruiker. Voor de verwerking van deze gegevens mogen geen
uitzonderingen worden toegestaan op basis van "gerechtvaardigde belangen" van de
verwerkingsverantwoordelijke of met het oog op het algemene doel uitvoering te geven aan
een overeenkomst.
- In artikel 10 moet een doeltreffende manier worden vastgesteld om toestemming te
verkrijgen voor websites en mobiele applicaties. Meer in het algemeen moet de privacy van
de gebruiker via de standaardinstellingen worden beschermd en moet hem relevante en
transparante informatie worden aangeboden op basis waarvan hij een instelling kan kiezen.
De Verordening moet in dit verband technologieneutraal zijn om een consistente toepassing
ervan in alle gebruikssituaties te waarborgen.
- Elke ad-hocuitzondering die de wetgevers overwegen toe te voegen aan de uitzonderingen
in de ontwerpteksten van de Commissie en het Parlement, moet met de grootste
zorgvuldigheid worden onderzocht. Met name ruim opgezette uitzonderingen voor
gevallen waarin een "overheidsinstantie" om verwerking van gegevens verzoekt, moeten
zorgvuldig worden onderzocht, en het voorstel mag niet toestaan dat de locatie van de
gebruiker willekeurig wordt gemonitord of dat diens metagegevens worden verwerkt.
- Om ervoor te zorgen dat toestemming vrijelijk wordt verleend overeenkomstig de AVG,
mag de toegang tot diensten en functies niet afhankelijk worden gesteld van de
toestemming van een gebruiker voor de verwerking van persoonsgegevens of de
verwerking van informatie met betrekking tot of verwerkt door de eindapparatuur van
eindgebruikers – wat betekent dat cookie walls uitdrukkelijk verboden moeten worden.
- Het gebruik van daadwerkelijk geanonimiseerde elektronische-communicatiegegevens
moet worden aangemoedigd.
- De bovengenoemde ontwikkelingen zullen de privacy van de eindgebruikers in elke
relevante context beschermen en concurrentieverstoringen voorkomen.
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_statement_on_eprivacy_en.pdf
