Naar inhoud

De Europese ePrivacy Verordening verdient de nodige aandacht

“Nu het stof rondom de invoering van de Algemene verordening gegevensbescherming is neergedaald, is het tijd voor de introductie van de volgende grote privacyregelgeving. Op dit moment is de herziening van de huidige Europese ePrivacy Richtlijn in volle gang. Wij denken dat de ePrivacy Verordening, zoals de nieuwe regelgeving is genoemd, pas in 2021 van toepassing wordt. Dat lijkt nog ver weg, maar bij de AVG is ook gebleken dat bedrijven niet vroeg genoeg met de voorbereidingen kunnen beginnen.”

Borgen vertrouwelijkheid communicatie gebruikers

Dat stelt Bram van Tiel, partner cybersecurity & privacy bij accountants- en adviesorganisatie PwC. “Het voornaamste doel van de ePrivacy Verordening is het borgen van de vertrouwelijkheid van de communicatie van gebruikers”, duidt hij. “De huidige ePrivacy Richtlijn stamt uit 2002 en is door de snelle technologische ontwikkelingen en de veranderende communicatietoepassingen sterk verouderd. Daardoor vallen veelgebruikte communicatietoepassingen, zoals WhatsApp en iMessage, nu buiten de reikwijdte van de huidige richtlijn.”

Eigenlijk was het de bedoeling dat de ePrivacy Verordening op 25 mei 2018 tegelijk met de AVG werd ingevoerd. Omdat er nog geen overeenkomst was over de precieze inhoud, is dat niet gelukt. Inmiddels zijn er wel verschillende voorstellen voor de verordening gepubliceerd en duidelijk is dat de herziening verstrekkende gevolgen heeft voor de elektronische communicatiesector en de online en offline tracking- en advertentiesector- tijd dus voor een overzicht van de belangrijkste veranderingen.

Het gaat niet alleen om de inhoud van de gegevens

De EPV reguleert de verzameling en verwerking van elektronische communicatiegegevens. Daarbij gaat het niet alleen om de inhoud van een communicatiesessie, bijvoorbeeld om wie wat zegt. Ook gegevens over de communicatiesessie, zogenoemde meta-gegevens, vallen onder de verordening vallen. Voorbeelden van meta-gegevens zijn het tijdstip, de locatie en de duur van een communicatiesessie.

Al deze elektronische communicatiegegevens mogen niet zomaar worden verwerkt, tenzij dit uitdrukkelijk is toegestaan door de EPV met rule-based processing. Het gaat dan onder meer over het tot stand brengen van een communicatiesessie, facturering en het bestrijden van fraude. Als de verwerking van gegevens voor andere doelen en toepassingen worden gebruikt, is toestemming van de betrokken uiteindelijke gebruikers vereist. Dat geldt zowel voor natuurlijke personen als rechtspersonen. De Autoriteit Persoonsgegevens is er daarom straks niet alleen om de communicatiegegevens van natuurlijke personen te beschermen, maar ook die van rechtspersonen.

E-privacy beperkt zich niet langer tot de klassieke telecomsector

Gezien de voorstellen is de EPV niet alleen van toepassing op aanbieders van klassieke telecommunicatiediensten zoals telefonie en internet, maar ook op aanbieders van web-e-mail-diensten en communicatie-apps via het internet. Ook valt de communicatie tussen apparaten onder de verordening vallen. Denk bijvoorbeeld aan machine-to-machine-toepassingen, zelfrijdende auto’s en wearables. Deze regels gelden ook voor aanbieders die buiten de Europese Unie zijn gevestigd, maar hun diensten wel aanbieden aan gebruikers binnen de EU.

Uitgebreide bepaling voor cookies en tracking

De EPV bevat ook een cookiebepaling. Deze bepaling regelt niet alleen wanneer cookies op slimme apparaten mogen worden geplaatst en uitgelezen, maar ook de voorwaarden voor het verzamelen van gegevens van slimme apparaten via technieken als device fingerprinting, WiFi en bluetoothtracking. Deze technieken mogen niet zomaar worden ingezet om gegevens over slimme apparaten van gebruikers te verzamelen. Slimme apparaten zijn niet alleen laptops en smartphones, maar bijvoorbeeld ook smart tv’s en slimme meters.

Je kunt nu alvast stappen ondernemen

De kans dat de EVP nog vóór de Europese verkiezingen van mei 2019 in werking treedt, is zeer klein. Dit betekent dat de verordening pas op haar vroegst in 2021 van toepassing wordt. Organisaties waarvoor de EPV relevant is, kunnen echter nu al beginnen met de voorbereiding. Daarvoor gelden een aantal tips:

  • Stel vast of de huidige ePrivacy Richtlijn al van toepassing is voor jouw organisatie en dienstverlening. Zo ja, breng dan in kaart voor welke communicatie.
  • Zorg ervoor dat de AVG en de ePrivacy Richtlijn al geïmplementeerd zijn. Dit scheelt enorm vanuit compliance-perspectief.
  • Zorg voor bewustzijn binnen jouw organisatie en maak voor medewerkers inzichtelijk op welke onderdelen van de organisatie of dienstverlening de EPV van toepassing is. Op deze manier kun je ook zichtbaar maken op welke onderdelen van jouw organisatie de EPV de meeste invloed heeft.
  • Formuleer en prioriteer mogelijke mitigerende maatregelen voor jouw organisatie of dienstverlening. Zo krijgt je vooraf inzicht hoe je de EPV kunt implementeren.
Bron: CustomerTalk
0
Logo CustomerTalk

Cookie-instellingen

CustomerTalk maakt gebruik van cookies voor een optimale gebruikerservaring.

Graag vragen wij je toestemming voor het plaatsen van deze cookies.

Accepteren Meer informatie