“Persoonsgegevens”, kunt u het woord nog verdragen? Zo niet, dan hebbeb we ook nog een oude term voor u: ‘Cookie-muren’. En een nieuwe: ‘Metadata’. Dat de Algemene Verordening Gegevensbescherming (verder: AVG) eraan komt in mei 2018 weten de meeste mensen wel, maar een onderbelicht broertje is de ePrivacyverordening (verder: EPV). Wat betekent de EPV voor u?
De doelstelling van de Europese Commissie is om ook de EPV vanaf 25 mei 2018 in te voeren. Op 27 oktober 2017 heeft het Europees Parlement zijn goedkeuring gegeven aan de concepttekst. Nu is het aan de Raad van de Europese Unie om een (eind)oordeel te geven. De (aankomende) EPV is een ‘lex specialis’ van de AVG. Daar waar de AVG regelt hoe dient te worden omgegaan met persoonsgegevens, geeft de EPV voor de gehele EU invulling aan de omgang met “metadata” en elektronische communicatie. Momenteel geldt er nog een e-Privacy Richtlijn die betrekking heeft op twee lagen van telecommunicatie, de kabels en de telecommunicatiediensten (zoals Tele2, KPN en Ziggo), maar met de komst van de EPV wordt het toepassingsgebied uitgebreid naar ‘Over the Top-diensten’ (verder: OTT). Dat zijn spraak, chat- en videodiensten die worden aangeboden via internet, zoals Skype, Whatsapp, Netflix, Facetime en TV-apps, zoals die van de Telegraaf of Ziggo. De EPV geeft invulling in welke situaties dergelijke gegevens verwerkt mogen worden en bepaalt dat dergelijke gegevens vertrouwelijk zijn en als zodanig behandeld moeten worden.
De verordening zorgt dat mensen hun privacy makkelijker kunnen beheren. Het introduceert voor dergelijke dienstaanbieders onder andere het gebruik van technologie neutrale definities, verduidelijking en vereenvoudiging van de toestemmingsregel voor het gebruik van cookies en privacyinstellingen. Zo zal de regelgeving een einde maken aan de cookie-muren, doordat aanbieders van browsers verplicht worden om u via de browser in staat te stellen om keuzes te maken over of u ‘tracking cookies’ wilt toestaan (en dus gevolgd wilt worden) of niet. Ook zal u bij het installeren van de bij OTT-diensten behorende software (whatsapp, Netflix etcetera), een keuzemogelijkheid geboden moeten worden om privacyinstellingen te bevestigen of te veranderen.
Verder worden er regels geïntroduceerd voor de omgang met ‘metadata’. Bij ‘metadata’ kan gedacht worden aan gegevens die worden verwerkt met het oog op de uitwisseling van elektronische communicatie, zoals de bron en de bestemming van de communicatie, de locatie van de gebruikte apparatuur, de datum, het tijdstip en de duur daarvan. Als u bijvoorbeeld Skype of Whatsapp gebruikt in de trein naar Amsterdam, kan het zijn dat middels uw locatiegegevens wordt bijgehouden waar u dat aan het doen bent, welk apparaat u gebruikt, en met wie u communiceert.
De EPV kan ook gevolgen hebben voor gemeenten. Mensen worden soms door gemeenten via het wifisignaal van hun mobiele apparaat gevolgd om bijvoorbeeld loopstromen in kaart te brengen. Dat wordt ook wel wifi-tracking genoemd. Onder de AVG is deze manier van volgen alleen toegestaan als mensen toestemming geven of als deze gegevens worden geanonimiseerd. De EPV (zoals voorgesteld) geeft nu de indruk dat organisaties gegevens van mobiele apparaten mogen verzamelen om de locaties van mensen te volgen, zonder de toestemming van de betrokkenen. Om de EPV op dit vlak op één lijn te brengen met de AVG, zal het voorstel op dit vlak mogelijk nog worden aangepast. Gemeenten mogen overigens ook aan wifi-tracking doen als dit noodzakelijk is om hun publiekrechtelijke taak uit te voeren, maar dan alleen in die periodes en gebieden waarin het echt nodig is. Op andere momenten en plaatsen zou de meetapparatuur uit moeten staan, aldus de Autoriteit Persoonsgegevens. Als gemeente is het zaak om in de gaten te houden of wifi-tracking wordt ingezet, of men voldoende duidelijk wordt geïnformeerd hierover, wat de grondslag daarvoor is en of wifi-tracking conform de regelgeving van de AVG en EPV plaatsvindt. Nu de EPV op het gebied van wifi-tracking mogelijk nog een wijziging zal ondergaan, is het als gemeente zaak om in de gaten te houden wat het uiteindelijke wetsvoorstel zal zijn. De Autoriteit Persoonsgegevens kan namelijk te zijner tijd uit eigen beweging een onderzoek instellen naar de verwerking van persoonsgegevens door middel van (wifi-) tracking systemen, eventueel gevolgd door handhavende maatregelen.
Het verschil tussen de AVG en de EPV is dat daar waar de AVG gaat over persoonsgegevens, de EPV de inhoud van communicatie, “metadata” en de omgang daarmee door OTT-diensten beschermt. Of de EPV op 25 mei 2018 van kracht zal zijn is nog de vraag. Zoals gezegd moet het voorstel eerst nog langs de Raad van de Europese Unie. Tot die tijd zijn we nog opgezadeld met de “cookie-muren” en zult u zelf op zoek moeten gaan naar uw privacyinstellingen om het verzamelen van “metadata” te beperken. Daarna hebt u in aanvulling op de AVG, meer beschikkingsmacht gekregen over welke gegevens u met derden over uzelf wilt delen.
In het kader van de AVG dient elke organisatie een Functionaris voor de Gegevensbescherming aan te stellen. Pro Facto en Bout bieden de mogelijkheid om dit extern te beleggen. Een medewerker van Pro Facto of Bout wordt dan aangesteld als uw externe FG. Voor een vast bedrag per maand heeft u dan tijdens kantooruren op elk gewenst moment een deskundig jurist klaarstaan om privacyvraagstukken te beantwoorden, medewerkers te scholen en te adviseren, toezicht te houden en als intermediair richting de AP op te treden. Zie over de AVG ook HIER.
Wilt u doorpraten over dit onderwerp en meer weten over wat wij voor u kunnen betekenen?
Neem dan contact op met:
mr. Henk W. Bethlehem (Bout)
050-3140840