De ePrivacyverordening: een update

19-10-2020

In juni publiceerden wij onze laatste blog over de vorderingen van de ePrivacyverordening. We bespraken toen de belangrijkste wijziging die had plaatsgevonden: het gerechtvaardigd belang was toegevoegd als grondslag op basis waarvan metadata van elektronische communicatie en persoonsgegevens via cookies verwerkt konden worden. We sloten het stuk af met het aangekondigde Duitse presidentschap van de Europese Raad.

Onder dat Duitse presidentschap is op 24 september een nieuwe conceptversie van de ePrivacyverordening gepubliceerd.(1) In deze blog bespreken we de belangrijkste wijzigingen in die conceptversie.

Voorafgaand aan de nieuwe conceptversie

Op 1 juli heeft Duitsland het presidentschap van de Europese Raad overgenomen. Duitsland heeft het ePrivacy-dossier duidelijk hoog op de agenda staan. Dat is niet onverwacht. Het land staat er immers om bekend veel waarde te hechten aan gegevensbescherming. Duitsland was bijvoorbeeld indertijd de allereerste lidstaat die de AVG in haar nationale wetgeving geïmplementeerd had.

In juli heeft Duitsland in een discussienota haar plannen uiteengezet en aangegeven waar input van de lidstaten nodig is.(2) Volgens Duitsland geven de onderwerpen met betrekking tot het verwerken van metadata en het gebruik van cookies nog steeds de meeste hoofdpijn. Als startpunt ging Duitsland uit van het laatste voorstel van het Kroatisch presidentschap,(3) dat we in een vorige blog bespraken.(4)

Belangrijkste wijzigingen

De eerste belangrijke wijziging in het nieuwe voorstel is dat het gerechtvaardigd belang als grondslag voor het plaatsen van cookies weer is weggehaald uit artikel 8. Dit is ongunstig voor bedrijven in de digitale advertentiemarkt die uitkeken naar deze nieuwe grondslag, gezien de aanscherping van de regels over het verkrijgen van toestemming. Ook is het verwerken van metadata van elektronische communicatie in het nieuwe voorstel niet meer mogelijk op grond van het gerechtvaardigd belang. Wel is er een mogelijkheid toegevoegd om metadata te verwerken voor statistische of wetenschappelijke doeleinden.

Daarnaast is het standpunt over cookiewalls (weer) gewijzigd. In het vorige voorstel werd bepaald dat door middel van cookiewalls in bepaalde situaties vrijelijk toestemming kon worden gegeven, namelijk indien de optie werd gegeven om een gelijksoortige website te bezoeken van dezelfde provider zonder cookies te accepteren. In het nieuwe voorstel is nu uitdrukkelijk bepaald dat dit ook het geval is wanneer gelijksoortige websites zonder cookiewall worden aangeboden door andere providers. Dit staat haaks op het huidige cookiewall-verbod dat de Autoriteit Persoonsgegevens hanteert.

Verder is de bepaling uit het vorige voorstel dat de autoriteit die toezicht houdt op de AVG ook toezicht dient te houden op de ePrivacyverordening in het nieuwe voorstel geschrapt. Op grond van het vorige voorstel kon men aldus concluderen dat de Autoriteit Persoonsgegevens naast de AVG, ook toezicht zou gaan houden op de naleving van de ePrivacyverordening. Deze bepaling is nu geschrapt, al lijkt men daarmee niet een radicale wijziging te beogen ten opzichte van het vorige voorstel. Het nieuwe voorstel bepaalt namelijk dat iedere lidstaat zorg moet dragen voor een of meerdere autoriteiten die voldoen aan de vereisten van artikel 51 tot en met 54 van de AVG. Met betrekking tot artikel 12 tot en met 16 van de ePrivacyverordening (waar ook het artikel over direct marketing onder valt) wordt echter wel expliciet bepaald dat lidstaten het toezicht over mogen laten aan een andere autoriteit met passende expertise. Op grond van het nieuwe voorstel is dus niet uitgesloten dat de Autoriteit Consument en Markt een gedeelte van het toezicht blijft behouden.

Wat nu?

Voor nu is het weer afwachten hoe een en ander zich gaat ontwikkelen. Het Duitse presidentschap heeft de ambitie om eind 2020 of begin 2021 overeenstemming over het voorstel bereikt te hebben in de Europese Raad. Gezien het trage tempo van de onderhandelingen tot nu toe is het echter de vraag of het deze ambitie inderdaad waar zal maken.

Voetnoten

(1) http://downloads2.dodsmonitoring.com/downloads/EU_Monitoring/2020-09-24_Projet_e-privacy_Allemagne.pdf
(2) https://data.consilium.europa.eu/doc/document/ST-9243-2020-INIT/en/pdf
(3) https://data.consilium.europa.eu/doc/document/ST-6543-2020-INIT/en/pdf
(4) https://www.privacy-web.nl/artikelen/de-eprivacyverordening-een-stand-van-zaken


Meer artikelen van Kennedy Van der Laan

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer