Ondanks dat het jaar 2019 nog maar enkele weken te gaan heeft, is door de Europese Raad het voornemen aangekondigd om het voorstel voor de ePrivacyverordening vóór het einde van het jaar met de Europese Commissie en het Europees Parlement in triloog te bespreken. Wordt 2019 dan alsnog het jaar van de ePrivacyverordening? Een korte update over de laatste ontwikkelingen in relatie tot de ePrivacyverordening én over het (veranderde) toestemmingsregime voor het gebruik van cookies.
Na het van kracht worden van de Algemene verordening gegevensbescherming (AVG) in 2018, is het nu tijd voor de ePrivacyverordening (ePV) om ervoor te zorgen dat ook de gegevensbescherming rond elektronische communicatie gewaarborgd is en dat de ePrivacy regelgeving aansluit op de AVG. Hoewel het oorspronkelijke plan was om de AVG en ePV tegelijkertijd van kracht te laten worden, is dit – mede door de verkiezingen van de Europese Commissie in 2019 – niet gelukt.
Na verscheidende keren te hebben gesleuteld aan het voorstel, is op 15 november 2019 de laatste versie van de ePV gepubliceerd. Als het aan de Europese Raad ligt, wordt dit voorstel nog vóór het einde van dit jaar in triloog besproken zodat er eindelijk spijkers met koppen kunnen worden geslagen en het voorstel kan worden aangenomen. Wat kunnen we op basis van de laatste versie van het voorstel verwachten?
Een onderwerp waar men het maar niet over eens lijkt te worden zijn de regels omtrent cookies. Zolang er nog geen ePV is, zijn we in de EU gebonden aan de ePrivacyrichtlijn (2002/58/EG). Wanneer het gaat over het gebruik van cookies en soortgelijke technologieën is artikel 5 lid 3 van de ePrivacyrichtlijn van toepassing. Dit artikel is in Nederland geïmplementeerd in artikel 11.7a van de Telecommunicatiewet (Tw). Als het specifiek aankomt op de regulering van het gebruik van cookies, zijn er in het laatste ePV voorstel een aantal dingen veranderd ten opzichte van artikel 11.7a Tw.
Artikel 11.7a Tw schrijft voor dat er ‘alleen informatie op randapparatuur van abonnees of gebruikers wordt opgeslagen of daarvan af wordt gehaald, als de desbetreffende abonnee of gebruiker daar toestemming voor geeft en daarover volledig en duidelijk is geïnformeerd.’. De kern van deze regeling is dus dat het plaatsen van cookies is toegestaan als voldaan wordt aan de informatieplicht en aan het toestemmingsvereiste (informed consent). De toestemming moet daarbij voldoen aan de voorwaarden uit artikel 4 lid 11 AVG. In lid 3 van artikel 11.7a Tw zijn een aantal uitzonderingen opgenomen voor het plaatsen van functionele en zuiver analytische cookies: informed consent is in dat geval juridisch gezien niet nodig. In de praktijk, echter, wordt op aanraden van de Autoriteit Consument & Markt (ACM) veelal toch melding gemaakt van deze cookies.
In tegenstelling tot de ePrivacyrichtlijn gaat het ePV ervan uit dat het gebruik van cookies verboden is, behoudens een zevental uitzonderingen. De hoofdregel is dus geformuleerd als een verbod (‘geen cookies, tenzij’). Een opvallend verschil is dat de informatieplicht, die in het huidige stelsel één van de kernelementen is, niet expliciet in het voorstel wordt genoemd. Wat de gedachte van de Europese Commissie is geweest bij het niet opnemen van de informatieplicht is onduidelijk. Het lijkt verre van waarschijnlijk dat alle cookiemeldingen na de invoering van de ePV weer van websites gehaald mogen worden.
Het tweede kernelement uit de Tw, het toestemmingsvereiste, komt wel terug in artikel 8 lid 1 van het voorstel. Toestemming wordt namelijk genoemd als één van de zeven uitzonderingen op het cookieverbod. Voor de inkleuring van toestemming wordt aangesloten op de vereisten uit de AVG.
Ook voor de discussie over de toelaatbaarheid van cookiewalls is het toestemmingsregime in het ePV-voorstel interessant. In de verschillende conceptversies van de ePV zijn uiteenlopende regels voor cookiewalls opgenomen. Zo bevatte het oorspronkelijke voorstel van de Europese Commissie van 10 januari 2017 geen specifieke regels voor cookiewalls. Op 26 oktober 2017 stemde het Europees Parlement echter in met een geamendeerde versie van de ePV waarin een absoluut cookiewall-verbod was opgenomen.
Het lijkt er nu op dat de Europese Raad in het laatste voorstel een coulanter standpunt inneemt ten opzichte van cookiewalls dan het Europees Parlement. Te lezen is dat het gebruik van cookiewalls normaal gesproken niet opgevat hoeft te worden als het ontnemen van een keuze aan de gebruiker. Met andere woorden: toestemming kan in bepaalde situaties vrijelijk worden gegeven. Dit is bijvoorbeeld het geval als de websitebezoeker de optie krijgt een equivalent van de website te gebruiken wanneer hij geen cookies wil accepteren. Hierbij valt te denken aan de situatie waarbij zowel de mogelijkheid tot betaalde toegang tot een website zonder cookies en een onbetaalde toegang tot de website met cookies wordt aangeboden. Een radicaal ander uitgangspunt dus dan momenteel wordt ingenomen door de Autoriteit Persoonsgegevens (AP).
Het valt nog te bezien of het ePV-voorstel inderdaad voor het einde van 2019 zijn gang naar de triloog maakt en of deze versie de onderhandelingen daar overleeft. Een ding is zeker: over de voorwaarden voor het plaatsen van cookies en het verkrijgen van toestemming van betrokkenen is het laatste woord nog niet gesproken.
Dit artikel is ook te vinden in het dossier ePrivacy
Meer artikelen van Kennedy Van der Laan
