• Menu

0 recente resultaten

Europees voorstel over ePrivacy aangekondigd. Een eerste indruk

Vandaag kwam de Europese Commissie met het langverwachte voorstel voor nieuwe regels over onder andere de vertrouwelijkheid van je communicatie, (online) tracking en cookies. Een eerder uitgelekte versie van het voorstel was veelbelovend. Maar na een eerste lezing van de tekst lijkt de Commissie op diverse onderdelen toch te zijn gezwicht voor de Brusselse lobby. Wat gaat er veranderen? Een eerste indruk.

Uitbreiding naar online diensten
Misschien wel de belangrijkste verandering is dat er een uniform Europees regime komt dat niet alleen voor de traditionele telecomproviders gaat gelden maar ook voor online communicatiediensten, zoals WhatsApp, Gmail, Skype en Facebook.

Dat is een belangrijke stap. Het betekent namelijk dat zowel de inhoud als informatie over jouw communicatie niet zomaar door anderen onderschept mag worden. De vertrouwelijkheid van je communicatie moet dus gewaarborgd worden, ongeacht of je nu mobiel belt, een appje stuurt of een mailtje stuurt via Gmail. Daarbij maakt het niet uit of de aanbieder van de dienst wel of niet in Europa gevestigd is.

De nieuwe regels zullen ook gaan gelden voor de communicatie tussen apparaten (machine-to-machine communications). Dit betekent dat de communicatie tussen bijvoorbeeld jouw thermostaat en energieleverancier ook niet zomaar zonder je toestemming onderschept mag worden. Overigens gelden er wel uitzonderingen op de verplichting om de vertrouwelijkheid van je communicatie te waarborgen. Zo kunnen geheime diensten en opsporingsdiensten nog steeds communicatie tappen.

Tracking
Een heet hangijzer van het voorstel vormt de bepaling (artikel 8) die onder andere gaat over het volgen van je gedrag online. Het gebruik van cookies en device fingerprinting valt hier bijvoorbeeld onder. In zekere zin blijft het regime op hoofdlijnen hetzelfde: voorafgaande toestemming is in veel gevallen nog steeds vereist. Als partijen je online willen volgen – bijvoorbeeld met third party trackers – dan zullen ze toch echt eerst je toestemming moeten krijgen. Die toestemming mag straks via je browserinstelling gegeven/ingetrokken worden. Wat wel verandert, is dat er meer uitzonderingen zijn op dit toestemmingsvereiste. Zo hoeven partijen volgens het voorstel geen toestemming meer te vragen voor hun eigen analytic cookies waarmee ze hun bezoekersstatistieken kunnen bijhouden. Een vergelijkbare uitzondering geldt overigens al in Nederland.

Het is teleurstellend om te zien dat het voorstel niet regelt dat je de vrijheid hebt om toegang te krijgen tot online informatie en diensten zonder dat je verplicht bent om je gedrag in kaart te laten brengen, bijvoorbeeld  door een cookiewall op te werpen. Dit zou volgens ons zeker moeten gelden voor websites en apps van overheden en andere (semi-)publieke instellingen, zoals ziekenhuizen. In Nederland geldt een dergelijke regeling nu al voor overheidsinstellingen. Nu de vereiste toestemming in lijn moet zijn met de algemene Europese Privacyregels, valt er misschien iets tegen dergelijke praktijken te doen, maar het zou beter zijn als op Europees niveau de Nederlandse praktijk gevolgd wordt.

Grootste misser: geen privacy by default
Een eerdere, uitgelekte versie van het voorstel verplichtte hardware- en softwareleveranciers om hun producten standaard te voorzien van privacyvriendelijke instellingen. Dus bij de aanschaf van een nieuwe smartphone of de installatie van een nieuwe webbrowser zou je erop mogen vertrouwen dat je smartphone of surfgedrag niet zomaar gevolgd kan worden zonder dat je hiervoor de instellingen wijzigt.

Een dergelijke default instelling is ontzettend effectief in het tegengaan van het ongewenst delen van persoonlijke informatie met derden, maar de advertentie-industrie was hier faliekant tegen. Ondank het feit dat maar liefst 89% van de burgers in de EU voor de invoering is van dergelijke privacy by default instellingen, heeft de Europese Commissie dit vereiste in het nieuwe voorstel geschrapt. Ondanks deze duidelijke boodschap van Europese burgers, geeft de Europese Commissie hier duidelijk toe aan de Brusselse lobby van de advertentie-industrie.

In het huidige voorstel hoeven aanbieders van software, zoals browserleveranciers, alleen nog de optie aan te bieden om het plaatsen en uitlezen van cookies onmogelijk te maken. Deze optie moet wel tijdens de installatie van de software worden aangeboden en gebruikers moeten dan een keuze maken. Of dit in de praktijk goed gaat werken is maar zeer de vraag en het is onduidelijk of deze optie geldt voor alle tracking-methoden.

Handhaving
Waar het toezicht op de huidige ePrivacyregels voor het overgrote deel in handen is van de telecomtoezichthouders – in Nederland is dat de Autoriteit Consument en Markt – zal dit straks in handen komen van de privacytoezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens. Aangezien het grootste deel van het nieuwe voorstel veel raakvlakken heeft met de nieuwe Europe Privacregels, is dat een logische en goede stap.

Een andere belangrijke positieve wijziging is dat straks de toezichthouder fikse boetes kan opleggen aan partijen die de nieuwe regels overtreden. Zo kan het overtreden van de trackingbepaling (o.a. cookies, WiFi-tracking) leiden tot een boete van maximaal 10 miljoen euro of 2% van de wereldwijde omzet. Voor het schenden van de vertrouwelijkheid van communicatie en de regels voor het gebruiken en opslaan van communicatiedata kan de boete zelfs oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet.

Het is wel echt teleurstellend dat de mogelijkheid voor (non-profit) organisaties om bij overtredingen van de nieuwe regels een klacht in te dienen bij de toezichthouder of naar de rechter te stappen om een collectieve actie te starten, in het nieuwe voorstel geschrapt is. Een dergelijke regeling geldt wel voor de nieuwe Europese Privacyregels. Waarom dit niet ook voor de nieuwe ePrivacy regels geldt, is onbegrijpelijk.

Gelukkig maakt dit voor de situatie in Nederland weinig uit. Hier zijn collectieve acties door stichtingen en verenigingen al mogelijk. Maar voor effectieve bescherming van onze rechten is het van groot belang dat dit in iedere Europese lidstaat mogelijk wordt.

Hoe nu verder?
Het voorstel van de Europese Commissie moet nu nog langs het Europees Parlement en de regeringen van de lidstaten (de Raad). Er kan dus nog veel veranderen. Het is daarom van groot belang dat Europarlementariërs en onze regering opkomen voor de vertrouwelijkheid van onze communicatie en de vrijheid om onbespied in onze digitale samenleving te kunnen opereren.

Op diverse punten is een goede start gemaakt, maar het kan op veel onderdelen nog stukken beter. Wij, en onze collega’s bij EDRi, gaan onze uiterste best doen om ervoor te zorgen dat dit ook gebeurt. Ideeën over hoe het voorstel verbeterd kan worden? Laat het ons weten!

Update 12/1: Vermelding ‘Europese Raad’ gecorrigeerd naar Raad van de Europese Unie (Raad).

Help mee en support ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.

Ik geef graag per maand

Ik geef graag een eenmalig bedrag