Bij ons waterschap is het bewustzijn over het goed omgaan met privacy en gegevensbescherming inmiddels goed gewaarborgd in de organisatie. Wij hebben gehoord dat er binnenkort nieuwe Europese regels omtrent cookies komen. Wat is precies de impact hiervan op decentrale overheden? En wanneer worden deze nieuwe regels van toepassing?
Antwoord in het kort
De Europese ePrivacy Verordening versterkt de regels voor het gebruik van persoonsgegevens binnen elektronische communicatie. Daaronder vallen ook de regels omtrent cookies. Het is nog niet zeker wanneer het Commissievoorstel voor de ePrivacy Verordening wordt aangenomen, omdat de lidstaten nog onderhandelen over een aantal artikelen. Tot nu toe lijkt het erop dat de impact van de veranderde regels voor decentrale overheden die via hun overheidswebsites informatie via cookies verzamelen beperkt is.
Gegevensbescherming in Europa
Het voorstel voor de ePrivacy Verordening is het sluitstuk van de inspanningen van de Europese Commissie om het kader voor gegevensbescherming in Europa te voltooien. De verordening bevat regels om de privacy bij online communicatie beter te waarborgen. Het uitgangspunt daarbij is dat de inhoud van deze berichten alleen toegankelijk is voor de partijen die direct bij de communicatie betrokken zijn.
Eerder al werd wetgeving zoals de Algemene verordening gegevensbescherming (AVG), de richtlijn omtrent gegevensbescherming bij opsporing en vervolging, en de verordening omtrent de omgang met persoonsgegevens door de EU-instellingen zelf aangenomen. De ePrivacy Verordening vervangt de momenteel geldende richtlijn 2002/58/EG betreffende privacy en elektronische communicatie. De regels van deze nieuwe richtlijnen en verordeningen zijn beter afgestemd op gegevensuitwisseling binnen de huidige technologische ontwikkelingen en moeten bijdragen aan meer vertrouwen en veiligheid op de Europese digitale interne markt.
Elektronische communicatie
De regels van de ePrivacy Verordening gelden onder andere bij online marketing, e-mail en social-media gebruik, het ophalen van gegevens door middel van het plaatsen van cookies en openbare WiFi-netwerken. Volgens de richtlijn wordt onder elektronische communicatie verstaan: ‘informatie die wordt uitgewisseld of overgebracht tussen een eindig aantal partijen door middel van een openbare elektronische communicatiedienst’. De regels zijn belangrijk voor zowel aanbieders van elektronische communicatiediensten, zoals providers en online platforms, maar ook voor de gebruikers van de diensten. Decentrale overheden komen onder andere met de regels in aanraking wanneer zij via cookies gegevens van bezoekers ophalen op hun overheidswebsites of via social-media kanalen.
Cookie wetgeving
Een cookie is een tekstbestandje dat een website op een apparaat (computer, laptop of smartphone) zet wanneer een website bezocht wordt. Daarmee kan informatie opgehaald worden die deel uitmaakt van de persoonlijke levenssfeer van de gebruiker. Bijvoorbeeld over het type apparaat dat de gebruiker heeft, de locatie van de gebruiker of het tijdstip en duur van websitebezoek.
De nationale cookiewetgeving is gebaseerd op de huidige Europese e-privacyrichtlijn. In Nederland staat dit in de Telecommunicatiewet (artikel 11.7a). Volgens dit artikel is het decentrale overheden in beginsel alleen toegestaan om cookies te plaatsen wanneer de bezoekers daarover zijn ingelicht en zij toestemming hebben gegeven. Hier bestaan twee uitzonderingen op:
- als het plaatsen van de cookies noodzakelijk is om de dienst te kunnen leveren, of
- als de cookies gebruikt worden om informatie te krijgen over de kwaliteit of effectiviteit van de dienst.
Noodzakelijke cookies zorgen ervoor dat bepaalde instellingen vastgehouden worden tijdens een websitebezoek. Daarnaast is het toegestaan om cookies te plaatsen om een dienst te kunnen verbeteren. Dan moet wel gewaarborgd zijn dat dit geen of slechts geringe gevolgen heeft voor de privacy van de betrokkenen. Een voorbeeld hiervan wordt gegeven in deze handleiding van de Autoriteit Persoonsgegevens (AP). De AP geeft aan hoe het verzamelen van analytische cookies via Google Analytics, zo ingesteld kan worden dat dit beperkte gevolgen voor de privacy van bezoekers heeft. Het belang van de organisatie bij het verbeteren van de dienst weegt dan zwaarder dan de inbreuk op de privacy van de bezoeker. Op deze manier hoeft een decentrale overheid geen toestemming te vragen voor het plaatsen van deze cookies op haar website.
Zie voor meer informatie over de verschillende soorten cookies deze pagina van de Informatiebeveiligingsdienst voor Gemeenten (IBD).
Veranderingen verordening
Doordat de e-privacyregels vervat worden in een verordening in plaats van een richtlijn, versterkt de uniforme toepassing van de regels. Verordeningen worden namelijk niet omgezet in nationale regelgeving, maar zijn rechtstreeks toepasselijk. Zo worden alle consumenten en bedrijven op dezelfde manier beschermd en gelden in de hele Europese Unie dezelfde regels omtrent e-privacy, net zoals bij de AVG.
Inhoudelijk gezien wijzigen de regels onder andere op de volgende punten:
- De cookieregels moeten door de nieuwe regels makkelijker worden. De mogelijkheid om cookies die een beperkte inbreuk op de privacy van betrokkenen maken zonder vereiste toestemming te plaatsen, blijft bestaan. Voor het plaatsen van tracking-cookies en marketing-cookies is nog wel toestemming vereist. Momenteel wordt dit nog heel streng toegepast, wat leidt tot een veelvoud aan (verschillende soorten) cookie-meldingen waar gebruikers tegenaan lopen.Om deze administratieve handelingen te vereenvoudigen, worden aanbieders van webbrowsers en mobiele operators aangemoedigd om een ‘tracking consent option’ toe te voegen. Er wordt dan een bepaling toegevoegd waardoor iedereen slechts eenmalig zijn privacy-instellingen hoeft door te geven.
- Ook nieuw is dat de regels omtrent e-privacy straks gelden voor bedrijven zoals Facebook, Gmail of Whatsapp en bij nieuwe technologieën zoals het Internet-der-dingen. Momenteel geldt de huidige e-privacyrichtlijn alleen voor telecombedrijven. De regels worden nu zo geformuleerd dat zij ook van toepassing zullen zijn op nieuwe elektronische communicatiediensten in de toekomst.
- De verordening wordt daarnaast afgestemd op de regels van de AVG. De bepalingen over het vragen van toestemming, het melden van datalekken en het opleggen van administratieve boetes door de toezichthoudende autoriteiten worden gelijk getrokken.
Discussiepunten
Oorspronkelijk zou de ePrivacy-verordening samen met de regels van de AVG van toepassing worden. De lidstaten zijn het echter nog niet eens over een aantal bepalingen. In november 2020 heeft de Raad van de EU een nieuwe conceptverordening gepubliceerd waarin de lidstaten verschillende wijzigingen voorstellen.
- Een belangrijk discussiepunt betreft het opnemen van de grondslag ‘gerechtvaardigd belang’ voor de verwerking van gegevens. Deze grondslag staat verwerking van metadata en gegevens die zijn verzameld via cookies op basis van een gerechtvaardigd belang toe, tenzij fundamentele rechten en vrijheden van de betrokkene zwaarder wegen. In het conceptvoorstel is deze grondslag echter niet opgenomen, aangezien sommige lidstaten deze te breed vinden. Ook zijn deze lidstaten van mening dat er te weinig waarborgen ter bescherming van de gegevens worden geboden bij toepassing van deze grondslag. Het huidige conceptvoorstel bevat daarom een limitatieve lijst met toegestane grondslagen voor verwerking en plaatsing van cookies.
- Een ander gevoelig punt is de discussie over het opnemen van bepalingen die gegevensverwerking toestaan om strafbare feiten zoals kindermisbruik en terrorisme tegen te gaan. In de huidige conceptverordening zijn dergelijke bepalingen niet opgenomen.
- De lidstaten discussiëren ook nog over de wijzigingen om de kernprincipes van de verordening te stroomlijnen met die in de AVG. Sommige lidstaten waarschuwen dat, om het evenwicht tussen de twee documenten te bewaren, het gelijktrekken niet te ver moet gaan. Andere lidstaten willen de verordening op sommige punten juist nog verder afstemmen met de AVG.
- Naar aanleiding van het wijzigingsvoorstel uit juli 2020 is in de conceptverordening een bepaling opgenomen over toestaan van verwerking van metadata wanneer dit noodzakelijk is voor bescherming van vitale belangen van een natuurlijk persoon. De lidstaten hebben deze wijziging in het licht van de coronacrisis beoordeeld en hebben daarom gekozen voor een bredere reikwijdte. Dit is gedaan door te focussen op de belangen van natuurlijke personen in plaats van enkel eindgebruikers. Vitale belangen worden in de conceptverordening beschreven als onder andere het monitoren en voorkomen van verdere verspreiding van epidemieën of humanitaire noodsituaties, zoals natuurrampen. De AVG bevat een soortgelijke verwerkingsgrondslag.
Wanneer van toepassing?
De Europese Commissie heeft in januari 2017 haar voorstel gepubliceerd, waarna het Europees Parlement in oktober 2017 haar standpunt over de tekst heeft bepaald. Het standpunt, inclusief aanpassingsvoorstellingen op het voorstel is daarop naar de Raad van Ministers gestuurd.
Zodra de Raad een gezamenlijk standpunt bereikt, wordt de zogeheten ‘triloog’ begonnen. Dan onderhandelt een vertegenwoordiging van de Raad met een vertegenwoordiger van het Parlement en de Commissie over de definitieve tekst van de verordening. Zoals bij Europese wetgeving gebruikelijk is, krijgen de lidstaten daarna nog een bepaalde periode de tijd voor de nieuwe regels van toepassing worden. In het huidige voorstel is dat een periode van 2 jaar.
Het Europese wetsproces van de ePrivacy Verordening is te volgen via deze link. Hier zijn ook de verslagleggingen van de vergaderingen van de Raad te vinden.
Meer informatie
Digitale Overheid, Kenniscentrum Europa Decentraal
ePrivacy Verordening, Kenniscentrum Europa Decentraal
Digital Single Market, Europese Commissie
Progress Report Mei 2020, Raad van de Europese Unie
Cookies op gemeentewebsites, Informatiebeveiligingsdienst voor Gemeenten
