In november 2019 schreef onze collega Laura Poolman al een update over de ePrivacyverordening.(1) Een van de redenen van haar schrijven was dat de Europese Raad het voornemen aankondigde om het voorstel voor de ePrivacyverordening voor het einde van het jaar 2019 met de Europese Commissie en het Europees Parlement te bespreken. Inmiddels zijn we weer een tijdje verder en heeft u waarschijnlijk gemerkt dat de ePrivacyverordening er in 2019 niet is gekomen en er nog steeds niet is. Recentelijk (op 29 mei 2020) publiceerde de voorzitter van de Europese Raad een progress report over ontwikkelingen rondom de ePrivacyverordening.(2) Het doel van dit artikel is om (wederom) een korte stand van zaken te geven aan de hand van dit rapport en te bekijken of men binnenkort witte rook verwacht in het ePrivacy-dossier.
coauteur: T.S.P. Hannema
Het voorstel van de ePrivacyverordening werd in 2017 door de Europese Commissie ingediend. Het doel van deze Verordening is – kortgezegd – om ervoor te zorgen dat ook gegevensbescherming rond elektronische communicatie in de EU gewaarborgd is, regelgeving geharmoniseerd wordt en dat de ePrivacy regelgeving aansluit op de thans geldende Algemene verordening gegevensbescherming (AVG).
Het voorstel maakte deel uit van een bredere Europese strategie om het digitale wetgevingslandschap te moderniseren: de Digital Single Market-strategie. Waar andere hiertoe behorende voorstellen al zijn aangenomen (Richtlijn Netwerk- en Informatieveiligheid) of in werking zijn getreden (de hierboven al genoemde AVG) ligt de ePrivacyverordening na ruim drie jaar nog altijd op de tekentafel. In het progress report wordt daarbij genoemd dat ook de COVID-19 pandemie de boel de afgelopen weken aanmerkelijk heeft vertraagd.
Een reeks besprekingen tussen onder meer de Europese (TTE-)Raad, de TELE-werkgroep en het Comité van Permanente Vertegenwoordigers (COREPER) legde al eerder bloot dat standpunten en prioriteiten van lidstaten aanzienlijk van elkaar verschilden. Het Finse voorzitterschap heeft eind 2019 nog hard gewerkt om een compromis te vinden, maar ook dat mocht niet baten. Het daaropvolgende Kroatische voorzitterschap stelde in dat licht dat er een aantal herzieningen noodzakelijk waren,(3) waaronder het vereenvoudigen van enkele kernbepalingen en deze beter af te laten stemmen op de AVG.
De belangrijkste voorgestelde verandering heeft betrekking op de grondslag van het gerechtvaardigd belang en is verwerkt in artikel 6b en 8 van de concept-Verordening. Het voorgestelde artikel 6b biedt de mogelijkheid metadata van elektronische communicatie te verwerken op grond van het gerechtvaardigd belang. Artikel 8 biedt de mogelijkheid om – met dezelfde grondslag - via een elektronisch communicatienetwerk toegang te verkrijgen tot informatie in de randapparatuur van een gebruiker of deze op te slaan (met andere woorden: cookies te plaatsen).
Hierbij zijn enkele aanvullende waarborgen voorgesteld: zo mag verzamelde metadata of informatie alleen geanonimiseerd met derden worden gedeeld, moeten eindgebruikers worden geïnformeerd over gegevensverwerking, mogen zij hiertegen bezwaar maken en moet steeds een DPIA worden uitgevoerd. Het gerechtvaardigd belang mag bovendien niet als grondslag dienen als de verwerking niet opweegt tegen de fundamentele rechten en vrijheden van eindgebruikers. Dat is bijvoorbeeld het geval als bijzondere categorieën van persoonsgegevens worden verwerkt. Een interessant gegeven is dat in artikel 6b sub e van het concept uitdrukkelijk aandacht wordt besteed aan de (kwetsbare) positie van kinderen.
De voorgestelde wijzigingen – waaronder die van het ‘gerechtvaardigd belang-criterium’ in artikel 6b en 8 van de concept-Verordening – hebben tot gemengde reacties geleid. Allereerst is er een aantal lidstaten dat tegenstander is van het gerechtvaardigd belang-criterium in dit verband. Deze groep geeft voorkeur aan een limitatieve opsomming van verwerkingsgronden. Ten tweede is er een groep die aangeeft voorstander te zijn van het (verder) in lijn brengen van de Verordening met de AVG maar zich tegelijkertijd zorgen maakt om de balans tussen de belangen en rechten van eindgebruikers en providers. Ten slotte is er een aantal landen dat streeft naar een ePrivacyverordening waarvan de bepalingen (nog) meer in overeenstemming zijn met de AVG. Saillant detail is dat Duitsland, die het voorzitterschap van de Europese Raad vanaf 1 juli 2020 overneemt,(3) tot deze laatste groep behoort. Het is niet ondenkbaar dat zij het voorzitterschap zal gebruiken om die richting op te sturen.
(1) https://www.privacy-web.nl/artikelen/wordt-2019-alsnog-het-jaar-van-de-eprivacyverordening
(2) https://www.dataguidance.com/sites/default/files/st08204.en20.pdf
(3) https://data.consilium.europa.eu/doc/document/ST-6543-2020-INIT/en/pdf
(4) www.consilium.europa.eu/en/council-eu/presidency-council-eu/
Meer artikelen van Kennedy Van der Laan
