Europese privacytoezichthouders publiceren opinie ePrivacyverordening

De Europese privacytoezichthouders, verzameld in de zogeheten Artikel 29-werkgroep (WP29),verwelkomen het voorstel van de Europese Commissie voor een nieuwe ePrivacyverordening. Zij zijn positief over de keuze voor een verordening. Dit zorgt ervoor dat in de hele EU dezelfde regels gelden en biedt duidelijkheid aan zowel organisaties als toezichthouders. De toezichthouders verwelkomen de uitbreiding van de verordening naar Over-The-Top (OTT) providers en de principiële keuze voor brede verboden en smalle uitzonderingen. Zij hebben echter ook 4 zorgen benoemd in een opinie die de toezichthouders vorige week tijdens hun vergadering hebben aangenomen.

De privacytoezichthouders hebben belangrijke zorgen over 4 bepalingen in het voorstel die het niveau van bescherming van persoonsgegevens ondermijnen, zoals dat is geregeld in de Algemene Verordening Gegevensbescherming (AVG) die eerder al is aangenomen en vanaf 25 mei 2018 van toepassing is. De toezichthouders roepen de Europese wetgever op het voorstel voor de ePrivacyverordening op deze punten aan te passen.

Wifitracking

De privacytoezichthouders benadrukken dat de bepalingen in de ePrivacyverordening voor het volgen van mensen via hun mobiele apparaat in lijn moeten zijn met de AVG. Onder de AVG is deze manier van volgen alleen toegestaan als mensen toestemming geven of als de gegevens worden geanonimiseerd.

Om hier een beroep op te kunnen doen, moeten partijen aan de volgende 4 voorwaarden voldoen: (i) de gegevens worden alleen voor statistische doeleinden verzameld, (ii) het volgen moet beperkt wordt in tijd en ruimte tot die gegevens die strikt noodzakelijk zijn voor dit doeleinde (iii),  de gegevens worden verwijderd of direct geanonimiseerd en (iv) er zijn effectieve opt-out mogelijkheden.

De voorgestelde ePrivacyverordening geeft nu echter de indruk dat organisaties gegevens van mobiele apparaten mogen verzamelen om de locatie van mensen te volgen, bijvoorbeeld door wifi- of bluetoothtracking zonder de toestemming van betrokkenen. Organisaties die deze gegevens verzamelen zouden kunnen volstaan met het informeren van mensen en door hen erop te wijzen dat zij hun apparaat uit kunnen zetten als ze niet willen worden gevolgd.

De toezichthouders vragen de Europese Commissie te bevorderen dat er een technische standaard voor mobiele apparaten wordt ontwikkeld waarmee mensen automatisch kunnen aangeven niet op deze manier te willen worden gevolgd.

Analyse van inhoud en metadata

Zowel de inhoud van communicatie als de metadata (verkeers- en locatiegegevens) zijn gegevens van zeer gevoelige aard, en verdienen hetzelfde hoge beschermingsniveau. Het uitgangspunt in de ePrivacyverordening zou moeten zijn dat het verboden is om zowel metadata als de inhoud van berichten te verwerken zonder de toestemming van alle gebruikers (zenders én ontvangers).

Providers zouden wel diensten moeten kunnen aanbieden waar de gebruiker expliciet zelf om verzoekt, zoals zoekfunctionaliteiten in iemands eigen mail en diensten die tekst omzetten in gesproken taal. Er zou een huishoudelijke uitzondering opgenomen moeten worden in de Verordening voor het verwerken van inhoud en metadata voor dergelijk persoonlijk gebruik.

Cookiemuren

De ePrivacyverordening zou cookiemuren moeten verbieden als een manier om toestemming van gebruikers te krijgen. Het gaat dan om ‘take it or leave it’keuzes die gebruikers dwingen om toestemming te geven om gevolgd te worden als ze toegang willen krijgen tot een bepaalde dienst.

Privacy by default

Apparaten en software zouden privacyvriendelijke standaardinstellingen moeten bevatten. Ze moeten bij installatie heldere keuzemogelijkheden bieden om deze instellingen te bevestigen of te veranderen. De instellingsmogelijkheden moeten gedurende het gebruik makkelijk toegankelijk zijn.

In de AVG is een bewuste keuze gemaakt voor de introductie van de principes ‘privacy by design’ en ‘privacy by default’. Het voorstel voor de ePrivacyverordening ondermijnt deze principes als het gaat om communicatiegegevens en het verwerken van gegevens van apparaten.

Gebruikers zouden in de gelegenheid moeten worden gesteld om specifieke toestemming te geven via de instellingen van hun browser. De privacy voorkeuren van gebruikers moeten niet beperkt zijn tot derde partijen, en ook niet tot cookies. De privacytoezichthouders bevelen met klem aan om naleving van de Do Not Track standaard wettelijk te verplichten.