Print:

ePrivacy verordening: geen reden voor paniek

Redactie IIR, Trainingen & Conferenties

LinkedIn profiel

Na de Algemene verordening gegevensbescherming (AVG) komt Europa binnenkort met een andere wet die belooft grote impact te hebben op dataverwerkingen: de ePrivacy Verordening (ePV). Sjoera Nas van Privacy Company vertelt wat we kunnen verwachten. “Als je goed bezig bent met de AVG dan kom je voor weinig verrassingen te staan.”

Sjoera Nas | IIR“Het kan nog wel tot medio 2020 duren voordat de ePrivacy Verordening (ePV) van kracht wordt. Maar het is handig om nu al te beseffen welke verplichtingen en regels er op ons afkomen”, zegt Sjoera Nas, senior privacy adviseur bij Privacy Company en tot voor kort senior inspecteur bij de Autoriteit Persoonsgegevens (AP). Nas verzorgt tijdens het Dataprotectie en Privacy Congres op 26 en 27 september 2018 een sessie over de ePV.

De onderhandelingen over de opvolger van de ePrivacy Richtlijn uit 2002 zijn in volle gang. De lidstaten, vertegenwoordigd in de Europese Raad van ministers, hopen dit najaar overeenstemming te bereiken over hun inzet. Daarna beginnen de onderhandelingen met het Europees Parlement en de Europese Commissie. Vervolgens zal het Europees Parlement over het voorstel stemmen. Nas: “Met een beetje mazzel is de tekst van de ePrivacy Verordening dan in mei 2019 vastgesteld – dus nog voor de verkiezingen voor het Europees Parlement. Waarschijnlijk komt er een overgangstermijn van een jaar, zodat de ePrivacy Verordening uiteindelijk in mei 2020 in werking treedt.”

Hete hangijzers

In de eerste ronde zijn er in het Europees Parlement al meer dan tweeduizend amendementen over de ePV ingediend. Ook de Europese dataprotectie-autoriteiten hebben zich in het debat gemengd. Vertegenwoordigers van de Europese lidstaten voeren sindsdien verhitte discussies. Welke standpunten nemen de lidstaten in? Welke gevolgen kan de wet hebben? Hoe denkt de Nederlandse wetgever erover? Het zijn vragen waarop Nas in haar workshop op 26 september het antwoord geeft.

Nas signaleert vijf hete hangijzers waarover de meningen op dit moment zeer verdeeld zijn. “Zijn cookie-muren op websites toegestaan? Mag je gegevens uit en over communicatie gebruiken voor onderzoeken,  of andere commerciële doeleinden? Onder welke voorwaarden mogen overheden en bedrijven gegevens van mobiele telefoons uitlezen om te kijken waar ze zijn (met wifitracking)?” Ook over minimumeisen voor privacy by design waaraan webbrowsers en smartphones moeten voldoen is nog veel discussie. Net als over de mogelijkheden voor lidstaten om wettelijke uitzonderingen op de bescherming van het communicatiegeheim te maken, bijvoorbeeld voor opsporingsinstanties.

Forse impact

Met de komst van de Algemene verordening gegevensbescherming (AVG) staat dataprotectie bij veel organisaties hoog op de agenda. Ook de impact van de ePV kan fors zijn, zegt Nas. “Als cookie-muren worden verboden en privacy by design echt wordt verplicht, dan heeft dat voor bijvoorbeeld de marketingindustrie enorme gevolgen. Bovendien raakt de ePV partijen zoals browsers, die onder de AVG geen verantwoordelijken zijn.”

Ook als het gaat om het toezicht op de regelnaleving belooft de ePV de nodige veranderingen mee te brengen. “Op dit moment is het toezicht op de ePrivacy Richtlijn versnipperd: een deel is belegd bij de AP en een deel bij de Autoriteit Consument en Markt (ACM). Straks wordt het toezicht waarschijnlijk primair bij de AP neergelegd. Die kan daardoor, ook op Europees niveau, efficiënter en gecoördineerder toezicht houden. Bovendien zijn er met de nieuwe verordening, net als bij de AVG, stevige boetes mogelijk.”

Geen reden voor paniek

Bij de implementatie van de AVG schrokken veel organisaties van de nieuwe verplichtingen op het vlak van dataprotectie. Nas verwacht dat deze schrikreactie ook bij de ePV zal optreden. “Maar mijn advies is: don’t panic. Als je goed bezig bent met de ePrivacy Richtlijn en de AVG dan kom je voor weinig verrassingen te staan. Het is natuurlijk een hele klus om AVG-compliant te worden en te blijven, maar er is geen reden om van de komst van de ePV extra zenuwachtig te worden.”

Nas noemt het voorbeeld van de data protection impact assessment (DPIA). “Als je de AVG goed naleeft dan voer je DPIA’s uit en dat strekt zich vanzelf uit naar verwerkingen die gaan over communicatie. De AVG is aan de orde zodra je persoonsgegevens verwerkt via een applicatie, Internet of Things-toepassing of ander communicatieplatform. Wat dat betreft is er een overlap tussen dataprotectie en de bescherming van communicatiegegevens onder de ePV.”

Onduidelijkheden

Een lastige kwestie waarover voorlopig nog wel onduidelijkheid zal blijven bestaan is de verhouding tussen de AVG en de ePV. “Moeten de regels uit de ePV voorrang krijgen boven de regels uit de AVG? Kan dat eigenlijk wel? De AVG noemt een aantal sectoren waarop haar regels niet van toepassing zijn, maar daar staat de telecombranche niet bij. Omdat in de telecomsector vaak persoonsgegevens worden verwerkt, zal voor veel dataprocessen daarom óók de AVG gelden. Hierover moeten de lidstaten een knoop doorhakken.” In ieder geval is volgens Nas wel duidelijk dat de naleving van de ePV net als bij de AVG een zaak van lange adem is. “Naleving is een flinke klus, want niemand is ooit honderd procent compliant: dat is een doorlopend proces. Of het nu gaat om de AVG of de ePV.”

Dataprotectie & Privacy Congres | IIR


Sjoera Nas is een van de sprekers tijdens het tweedaagse Dataprotectie & Privacy Congres op 26 en 27 september 2018 in Amsterdam. Bekijk het volledige programma en boek tickets op de website van IIR.

Verder lezen?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten