Werelddag van de Telecommunicatie: dit weten we over de ePrivacy verordening en cookies

Op 25 mei 2018 heeft de Algemene Verordening Gegevensbescherming (AVG) de Wet bescherming persoonsgegevens vervangen. De bedoeling was dat de ePrivacy verordening op diezelfde dag in werking zou treden. De tekst van het wetsvoorstel stond echter nog ter discussie en nu deze maand de verkiezingen voor het Europees Parlement plaatsvinden, terwijl er nog steeds geen overeenstemming is bereikt, is de toekomst van de ePrivacy verordening nog steeds onduidelijk. Wat weten we al wel over deze nieuwe wetgeving?

Waarom nieuwe wetgeving?

De ePrivacy verordening dient de huidige Telecommunicatiewet te gaan vervangen om meerdere redenen. Allereerst ziet de huidige wetgeving enkel op traditionele media. Destijds bestonden media als Facebook en Whatsapp nog niet. De nieuwe regelgeving zal ook op deze relatief nieuwe media gaan zien.

Daarnaast heeft de Europese Commissie deze verordening geïntroduceerd om de regels omtrent ePrivacy in Europa gelijk te trekken. Dit is ook het geval geweest met de AVG, waar we meteen het laatste punt mee te pakken hebben. De huidige regelgeving staat op bepaalde punten lijnrecht tegenover wat in de AVG is geregeld, waardoor de toezichthoudende organen (De Autoriteit Consument en Markt – ACM enerzijds en de Autoriteit Persoonsgegevens – AP anderzijds) momenteel geen eenduidig antwoord op belangrijke vraagstukken kunnen geven.

Tot de wettekst definitief is zal het op bepaalde discussiepunten dus gissen blijven, waardoor ik mij lange tijd afzijdig heb gehouden van dit onderwerp. Toch wil ik jullie op een dag als vandaag – Werelddag van de Telecommunicatie – meenemen in de gevolgen die de ePrivacy verordening hoogstwaarschijnlijk met zich mee gaat brengen.

Vertrouwelijke elektronische communicatie

Het is de bedoeling dat alle elektronische communicatie vertrouwelijk behandeld gaat worden. Dit houdt in dat we communicatie niet mogen onderscheppen, monitoren of afluisteren. Facebook zal in een dergelijk geval dus geen Whatsappberichten uit mogen lezen en een mailhoster, zoals Google’s Gmail, mag geen verzonden e-mail meer lezen of zelfs scannen.

Dit verbod geldt overigens niet alleen voor de inhoud van de communicatie, maar ook de metadata. De tijd of locatie vanuit waar een bericht is verzonden wordt dus ook vertrouwelijk.

Algeheel spamverbod

In lijn met de AVG is het de bedoeling dat er een algeheel spamverbod komt. Daarmee zegt de wetgeving dat toestemming nodig is om commercieel te e-mailen. Dit ziet dus niet alleen op het verzenden van een nieuwsbrief (of het plaatsen van personen op je nieuwsbrief via een freebie), maar elke vorm van commerciële communicatie.

Je dient dus aan het begin van jouw klantrelatie toestemming te vragen voor commerciële communicatie. Dit mag niet met vooraf aangevinkte vakjes: er is een actieve handeling nodig van de lezer. De toestemming dient daarnaast vrijwillig gegeven te worden. Heb je die toestemming vervolgens? Dan moet alsnog in iedere commerciële e-mail (en nieuwsbrief) een opt-out mogelijkheid komen te staan.

De uitzondering hierop is het mailen van bestaande klanten over een soortgelijke dienst of product. Wanneer jij iemand die al eerder een dienst of product bij jou heeft afgenomen een e-mail wilt sturen ter promotie van een nieuwe dienst of product die in lijn is met de eerdere aankoop van die klant, heb je hier geen expliciete toestemming voor nodig.

Onder dit spamverbod vallen tot slot de bepalingen dat het verzenden van een e-mail vanuit een no-reply adres niet is toegestaan en dat er hoogstwaarschijnlijk een prefix gaat komen voor marketeers, zodat jij bij een inkomende oproep direct kunt zien dat je wordt gebeld met verkoopdoeleinden.

Cookies

Maar het grootste discussiepunt heeft betrekking op cookies. Een kleine extra disclaimer is over dit deel van dit artikel dan ook wel op zijn plek: onderstaande informatie is wat we tot nu toe weten of denken te weten: hier bestaat nog geen eenduidig antwoord op zo lang de definitieve wettekst niet is verschenen.

We kennen drie soorten cookies (functionele cookies, analytische cookies en tracking cookies), waarbij je voor het plaatsen van tracking cookies vooraf toestemming nodig hebt.

Functionele cookies en analytische cookies zijn (onder bepaalde voorwaarden) uitgesloten van het toestemmingsvereiste. Er hoeft geen toestemming te worden gevraagd voordat deze cookies worden geplaatst. Websites die geen gebruik maken van tracking cookies hoeven dan ook geen cookiebanner te plaatsen. Over de vraag of in dit geval wel een cookiestatement verplicht is hebben de toezichthoudende organen een verschillende mening.

Voordat je tracking cookies mag plaatsen heb je wel altijd toestemming nodig. Over het plaatsen van tracking cookies moet altijd duidelijk geïnformeerd worden (in een cookiestatement). De AVG vereist daarnaast dat de toestemming vrij gegeven wordt. Bezoekers moeten een keuze hebben om nee te zeggen, zich niet gedwongen voelen de cookies te accepteren en het weigeren van cookies mag geen negatieve gevolgen hebben. Daarnaast mag er geen twijfel ontstaan dat iemand toestemming wilde geven. Daarom moet toestemming bestaan uit een actieve handeling. Het enkel doorklikken op een website kan dan ook niet als toestemming worden beschouwd.

Momenteel zien we op veel websites daarom een cookiewall, waarbij je de cookies moet accepteren en anders de website niet op komt. In het oorspronkelijke voorstel van de ePrivacy verordening staat dat cookiewalls in sommige gevallen mogen blijven bestaan. Een cookiewall zou zijn toegestaan wanneer er een alternatieve website bestaat waar dezelfde soort informatie op te vinden is. Wanneer er geen alternatief bestaat of het gaat om een website van de gemeente en andere overheidsorganen, zou een cookiewall niet meer zijn toegestaan. De website moet in een dergelijk geval volledig te gebruiken blijven, ook wanneer geen toestemming wordt gegeven voor het plaatsen van (tracking) cookies.

Om deze reden zullen cookiebanners die veel websites nu gebruiken om toestemming te vragen voor tracking cookies hoogstwaarschijnlijk wel blijven bestaan. Bezoekers moeten in zo’n banner weer goed worden geinformeerd over de cookies en de toestemming moet actief zijn, waardoor ook voorkeuren in de banner niet vooraf aangevinkt mogen staan.

We zien uiteraard allerlei partijen inspelen op zowel de AVG als de aankomende ePrivacy verordening, waardoor tientallen verschillende cookiebanners worden aangeboden. In enkele van die banners staat enkel de mogelijkheid cookies wel of niet te accepteren (zoals deze bekend waren onder de huidige Telecommunicatiewet) en andere banners bevatten een keuzemogelijkheid tussen de diverse categorieën cookies.

Of deze keuzemogelijkheid verplicht is hangt af of je de cookies voor verschillende doeleinden wilt plaatsen. Toestemming moet namelijk ook specifiek zijn. Het vragen van toestemming met 1 knopje is straks wellicht niet specifiek genoeg meer, waardoor keuzemogelijkheden in de banner een oplossing verschaffen.

In het voorstel van de ePrivacy verordening wordt gesproken over meer verantwoordelijkheid leggen bij browsers en andere apps omdat het voor bezoekers anders overweldigend zou zijn om aan de verzoeken tot toestemming te voldoen en de kans groot zou zijn dat bezoekers daarom geen enkele toestemming meer willen verschaffen.

Het idee is dat je in de toekomst eenmalig in je browserinstellingen aangeeft of je alle cookies, alleen first party cookies of geen cookies wilt accepteren en dit dan voor alle websites die jij bezoekt geldt.

En nu?

Zoals eerder vermeld zullen er eerst Europese verkiezingen plaats gaan vinden en is momenteel nog niet duidelijk of het wetsvoorstel vervolgens opnieuw aangepast dient te worden. Zodra er meer duidelijkheid is over de definitieve inhoud en inwerkingtreding laten wij dit weten via onze verschillende kanalen.

Lady Lawyer

Sharon helpt ondernemers met het opstellen van hun juridische fundament. Gespecialiseerd in algemene voorwaarden, privacy-verklaringen en cookie-statements, maar houdt zich ook breder bezig in het ondernemings- en consumentenrecht.Is digital nomad by accident en werkt daardoor met de wereld aan haar voeten. Is verder verslaafd aan kaas en alles met karamel-zeezout, een Instagram stories addict en d/t-taalnazi.