AVG en e-Privacy Verordening: one step further

Vandaag is het al weer meer dan een maand geleden dat de AVG van toepassing is geworden. Het is voor veel bedrijven en organisaties een ware “race-tegen-de-klok” geweest om voor 25 mei het privacybeleid op orde te krijgen. Velen lopen door onwetendheid of desinteresse achter de feiten aan en leven de AVG dus (nog) niet na. Naar verluidt zal de toezichthouder (Autoriteit Persoonsgegevens of: AP) zich om haar moverende redenen en onder druk van de Tweede Kamer vooreerst terughoudend opstellen voor wat betreft het uitdelen van boetes.

Hoewel de “AVG-orkaan” nog niet eens is gaan liggen, krijgt Europa al wel weer te maken met de volgende “voorjaarsstorm’”: de ePrivacy Verordening. Deze nieuwe Europese wet is sinds begin 2017 bij de Europese Commissie in voorbereiding en stelt nadere regels vast omtrent cookies, e-mails en telemarketing en richt zich met name op bedrijven die online communiceren. Trackingtechnieken en direct marketing zijn belangrijke aandachtspunten. In dat opzicht kan de AVG worden gezien als de algemene privacywet en de ePrivacy Verordening als een specifieke wet met betrekking tot elektronische communicatiegegevens. Ondanks de ambitie om deze verordening ook per 25 mei 2018 in te laten gaan, is men daar niet in geslaagd. Verwacht wordt dat deze pas over enige maanden het wetgevingsproces zal hebben doorlopen. Het Europees Parlement en de Raad moeten het voorstel nog behandelen en goedkeuren. Vast staat dat deze verordening komt, de vraag is alleen: wanneer?

Wat is nu eigenlijk de e-Privacy Verordening?

Kort gezegd is de ePrivacy Verordening de opvolger van de e-Privacy Richtlijn. Richtlijnen moeten door de lidstaten van de Europese Unie worden omgezet (geïmplementeerd) in nationale wetgeving. Deze Richtlijn (bij ons beter bekend als de “Cookiewet”) is in Nederland geïmplementeerd in de Telecommunicatiewet. De ePrivacy Verordening zal de huidige Telecommunicatiewet deels gaan vervangen – waar het gaat om privacy-aspecten – en gaat bovendien veel verder dan het regelen van enkel cookies. Omdat een verordening, anders dan een richtlijn, directe en rechtstreekse werking heeft in de gehele EU, heeft het hetzelfde karakter als een wet. Er zijn geen verschillen meer tussen individuele lidstaten en ook particulieren kunnen zich rechtstreeks op de verordening beroepen. Dat is gunstig voor de rechtszekerheid en zorgt voor internationaal opererende bedrijven voor een lastenverlichting.

De ePrivacy Verordening ziet op gegevensbescherming in brede zin: content, metadata, “Over-The-Top-apps” en gebruikersdata van diensten zoals Skype, Snapchat, WhatsApp, Facebook en Netflix. Deze komen allemaal onder de verordening te vallen. De grootste impact zal de verordening naar verwachting hebben op Digital Advertising. Het gevolg van de Verordening is dat alleen scherp toegespitste advertenties mogen worden ingezet ingeval consumenten hiertoe expliciete toestemming hebben gegeven. Google en Facebook mogen persoonlijke data enkel met expliciete toestemming van hun gebruikers verwerken en alleen als het doel waarvoor de data wordt gebruikt duidelijk is omschreven. Adverteerders hebben expliciete toestemming nodig voor het verzamelen van persoonlijke data in tools als bijvoorbeeld web-analytics en deze te delen met advertentieplatforms als Google en Facebook. Steeds hebben consumenten de mogelijkheid om hun toestemming in te trekken en te verzoeken hun gegevens te laten verwijderen. In de huidige versie van de Verordening is het plan geopperd om de cookiewall te vervangen door het rechtstreeks vragen van toestemming via de browser (opt-in of opt-out).

Wat te doen als ondernemer?

Omdat consumenten niet gauw toestemming zullen geven gebruik te laten maken van hun onlinegedrag om hierna te worden bestookt met irrelevante advertenties, is het zaak dat de consument kan worden overtuigd dat voor hen toegevoegde waarde wordt geboden dan wel dat juist die technieken worden gebruikt waarvoor geen toestemming van de gebruiker nodig is. Te denken valt hierbij aan contextuele targeting, advertenties die voor iedereen op een bepaalde pagina identiek is. Bijvoorbeeld Google AdWords keyword targeting en domain targeting. Omdat de cookiebanner niet zal verdwijnen is het zaak om de consument in de banner ervan te overtuigen dat zij toestemming zullen geven de genoemde cookies te accepteren. Dat laatste zal naar mijn overtuiging cruciaal worden om op doeltreffende wijze marketing te kunnen bedrijven.

Omdat de ePrivacy Verordening als verlengde wordt gezien van de AVG geldt ook hiervoor dat zorgvuldig zal moeten worden omgegaan met de gegevens van deze groep betrokkenen. Veel vaker dan voorheen is specifieke toestemming nodig van de consument om te werken met persoonlijke en naar individuele personen herleidbare data. Ook is vereist dat organisaties kunnen bewijzen dat deze toestemming is verkregen. Aan verwijderverzoeken moet ook adequaat worden voldaan. Dit vergt dus meer zorg zijdens de adverteerders.

Al met al zal de impact voor de adverteerdersmarkt groot zijn. Alle reden om de ontwikkelingen met betrekking tot de ePrivacy Verordening nauwgezet te volgen en binnen uw organisatie de juiste voorzorgsmaatregelen te treffen om een snelle overgang te vergemakkelijken. Wij van NORD houden u op de hoogte.

ePrivacyverordening (EPV)
Geplaatst op 10 juli 2018 door Harry Smeltekop