Bezig met laden...

          X

          Bijna nieuw: de ePrivacy Verordening (ePV)

          Verschillen tussen AVG en ePV

          privacywet, Europa, AVG, epv, cookie, data, bescherming, site, toestem

          Sinds 25 mei 2018 is er de Algemene Verordening Gegevensbescherming (AVG) die onze persoonsgegevens moet beschermen. Het was ooit de bedoeling op diezelfde dag de nieuwe ePrivacy Verordening (ePV) in werking te laten treden. Dat is nog niet gebeurd en gaat voor de Europese verkiezingen er ook niet meer van komen. De vraag is hoe de AV en ePV zich tot elkaar verhouden.

          Elektronisch briefgeheim
          Voor de gewone papieren post is het briefgeheim wettelijk vastgelegd. Voor e-mail is dat niet heet geval, maar de ePrivacy Verordening beoogt dat wel te gaan regelen. Alle elektronische communicatie moet als vertrouwelijk behandeld gaan worden. Er mag niet meer meegeluisterd worden met telefoontjes, e-mails mogen niet meer gescand en gelezen worden, zoals Google dat deed in Gmail, en ook metadata van communicatie mogen niet meer zomaar uitgelezen worden. Facebook mag dan ook geen WhatsApp-berichten gaan uitlezen.

          Communicatie mag dus niet meer onderschept worden. Volgens het voorstel van de ePV is er ook al sprake van onderschepping als derde partijen bijhouden hoe websites worden bezocht, hoe lang mensen websites bezoeken en welke interacties daar plaatsvinden. Dat mag in elk geval niet zonder toestemming van die websitebezoeker.

          Profielen bouwen
          De ePV probeert bovendien te waarborgen dat er niet zonder toestemming van gebruikers profielen van hen worden gebouwd met metadata die verkregen wordt. Metadata mag alleen ingezet worden voor het doel waarvoor het oorspronkelijk is verkregen. Dit kennen we ook uit de AVG: persoonsgegevens mogen alleen gebruikt worden op basis van de oorspronkelijke grondslag en voor het doel waarvoor het oorspronkelijk is verkregen. Dit kunnen wel meerdere doelen zijn, maar er mag niet achteraf van doel of grondslag gewisseld worden. Dat wordt in de ePV overgenomen.

          Met toestemming mag alles. Dat geldt ook weer bij de ePV. Geven mensen bewust en vrij toestemming om wel die metadata te gebruiken voor het bouwen van profielen, dan is gebruik toegestaan. 
          Geanonimiseerde gegevens mogen uiteraard weer wel gebruikt worden.

          Cookiewall
          Voor het plaatsen van cookies die niet noodzakelijk zijn, zoals trackingcookies en advertentiecookies, is ook toestemming nodig. Die toestemming moet geïnformeerd, vrij en expliciet gegeven worden. Een nieuwe klik op de website is dus niet genoeg. Daarom maken veel sitesgebruik van een cookiewall. Dit is volgens de ePV toegestaan, vooral als er alternatieve websites bestaan waar dezelfde soort informatie te vinden is. Het mag vooral niet bij websites van bijvoorbeeld de overheid of andere services, waarbij er geen of weinig andere keuze bestaat dan het gebruik van deze specifieke website.

          Het aangeven van cookievoorkeuren kan wel, zolang de website maar volledig te gebruiken is, als de websitebezoeker de voorkeuren zo instelt dat feitelijk geen enkele cookie geplaatst mag worden, behalve de functionele cookies. Voorbeelden van functionele cookies zijn sessiecookies voor het invullen van formulieren, authentificatiecookies om een identiteit te kunnen verifiëren en cookies die onthouden wat een klant in een online winkelwagentje heeft geplaatst.

          Analytics-cookies waarmee de effectiviteit van een website wordt gemeten, of telt hoeveel mensen een advertentie hebben gezien, zijn ook toegestaan, zolang met die cookies of andere identificatoren zoals pixels, niet wordt gemeten welke persoon de website bezoekt of wat de aard van die persoon is.

          Toestemming via standaardinstellingen
          De ePV erkent dat mensen 'overstelpt worden met verzoeken om toestemming'. Transparante en gebruiksvriendelijke instellingen kunnen dit probleem verhelpen. Ze willen daarom meer verantwoordelijkheid leggen bij browsers en andere apps om daar in het algemeen in te kunnen stellen of je geen cookies, juist alle cookies of bijvoorbeeld alleen first party cookies wilt accepteren. De gekozen instelling is vervolgens bindend voor alle partijen.

          Zo’n instelling staat gelijk aan het toestemming geven om cookies te plaatsen. Die toestemming moet voldoen aan toestemming zoals de AVG daarom vraagt. Dat betekent dat juist de browsers en apps moeten informeren over cookies en de mogelijke instellingen, maar zonder daarbij mensen er subtiel toe te bewegen juist veel cookies te accepteren.

          Cookiebanners 
          Die cookiebanners die veel websites nu gebruiken om toestemming te krijgen om bijvoorbeeld advertentie- en trackingcookies te mogen plaatsen, zullen dus blijven bestaan. Veel mensen zullen er, naar verwachting, voor kiezen om weinig cookies toe te staan. Dan blijft het vragen om toestemming om extra cookies te mogen plaatsen toch nodig.

          Belangrijk:
          • Cookies mogen niet geplaatst worden voor er toestemming is gegeven
          • Gebruikers moeten goed geïnformeerd worden over de cookies
          • De toestemming moet actief zijn. De voorkeuren mogen niet vooraf al aangevinkt zijn!
          Wifi-tracking
          Bekijken waar mensen zijn en hoe ze zich bewegen door ze te volgen op basis van unieke nummers, zoals MAC-adressen, IMEI nummers of een wifi-signaal, mag wel voor statistische doeleinden, zolang het maar beperkt is in tijd en plaats.

          Tellen hoeveel mensen ergens binnen zijn of hoeveel mensen in de rij staan mag dus wel, zonder dat er toestemming van die personen nodig is. Gegevens moeten wel zo snel mogelijk geanonimiseerd worden, wanneer ze voor het doel, zoals tellen, niet meer nodig zijn. Er moet vooraf wel melding worden gemaakt van deze tracking. Het gebied van de tracking, het doel en de verantwoordelijke persoon (of bedrijf) moeten vermeld worden. Dit mag met gestandaardiseerde iconen. (NB. Als deze gegevens nog verder gebruikt worden, komt de AVG weer in beeld en dus ook de verplichting om een privacyverklaring te hebben en ook die informatie aan de personen te geven.)

          Verwerkersovereenkomsten
          Data die verzameld wordt, mag alleen geanonimiseerd met derden worden gedeeld. Soms zijn derden, zoals online software en diensten, nodig om de gegevens überhaupt te kunnen verzamelen en te analyseren. Zij zien dan natuurlijk de werkelijke gegevens en niet de geanonimiseerde versie daarvan. Dat mag wel, zegt de ePV, maar dan moet er wel een verwerkersovereenkomst zijn, zoals bedoeld in de AVG.

          Futureproof
          Tot het moment dat de ePV van kracht wordt geldt de 'oude' ePrivacy Richtlijn, die in Nederland is omgezet naar de Telecommunicatiewet. Die verwijst naar artikelen in de Wet bescherming persoonsgegevens die vervangen is door de AVG. De ePrivacy Verordening is daarom in elk geval nodig om duidelijkheid te verschaffen. Ook is de huidige regelgeving nog niet geent op de (internet)technologie. Dat toestemming voor cookies en soortgelijke technieken via de standaardinstellingen van browsers en apps kan verlopen is ook een vooruitgang.

          Verder gaat met de ePV hetzelfde gelden als met de AVG: met toestemming mag alles. Het is echter wel lastig (lees: niet heel gebruikersvriendelijk) om toestemming te verkrijgen. Voor commerciële doeleinden gebruikmaken van gegevens die verkregen worden via cookies en vergelijkbare technieken, zal ook met deze verordening niet gemakkelijk zijn.


          Redactie TQL (FW  - Charlotte Meindersma)

          Illus.(cc): ansi

           

          Ebooks


          Gratis toegang


          Heeft u al een account? Log dan hier in.

          Inloggen in "Mijn TQL"




          Heeft u nog geen account? Klik hier om een account aan te maken


           

          Nieuwsbrief Artikelen



          Op de hoogte blijven van de nieuwste onderwerpen en update's van TQL?
          Schrijf u dan hier in voor de nieuwsbrief. 
          Eerder verschenen artikelen vindt u onder Nieuws
          Op zoek naar een passende opleiding?
          Kies uit ruim 25.000 opleidingen, trainingen en cursussen.  

          TQL Tweets