Europese privacytoezichthouders uiten zorgen over ePrivacyverordening

De Artikel 29-werkgroep, waarin de Autoriteit Persoonsgegevens en andere Europese privacytoezichthouders zijn verenigd, zijn positief over het voorstel van de Europese Commissie over een nieuwe ePrivacyverordening. Tegelijkertijd uiten de toezichthouders over vier punten echter zorgen.

Dit blijkt uit een opinie die de toezichthouders naar de Tweede Kamer hebben gestuurd. De verordening zorgt dat in het volledige EU dezelfde regels gelden en biedt daarnaast duidelijkheid aan zowel organisaties als toezichthouders. Daarnaast verwelkomen de toezichthouders de uitbreiding van de verordening naar Over-The-Top (OTT) providers. Daarnaast is de Artikel 29-werkgroep positief over de ‘brede verboden en smalle uitzonderingen’ die in de verordening zin opgenomen.

Zorgen

De toezichthouders hebben echter ook zorgen. In de opinie uiten zij hun bezorgdheid over vier bepalingen die zijn opgenomen in de verordening. Deze bepalingen ondermijnen volgens de werkgroep het niveau van bescherming van persoonsgegevens zoals die is geregeld in de Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 van kracht is. De toezichthouders roepen de Europese wetgever daarom op de ePrivacyverordening op deze punten aan te passen.

Wifi-tracking
Het gaat hierbij onder andere om wifi-tracking. “Onder de AVG is deze manier van volgen alleen toegestaan als mensen toestemming geven of als de gegevens worden geanonimiseerd. Om hier een beroep op te kunnen doen, moeten partijen aan de volgende 4 voorwaarden voldoen: (i) de gegevens worden alleen voor statistische doeleinden verzameld, (ii) het volgen moet beperkt wordt in tijd en ruimte tot die gegevens die strikt noodzakelijk zijn voor dit doeleinde (iii), de gegevens worden verwijderd of direct geanonimiseerd en (iv) er zijn effectieve opt-out mogelijkheden”, schrijft de Autoriteit Persoonsgegevens in een verklaring.

De voorgestelde ePrivacyverordening zou echter de indruk geven dat organisaties gegevens van mobiele apparaten mogen verzamelen om de locatie van mensen te volgen via bijvoorbeeld wifi- of bluetoothtracking. Dit zonder dat hiervoor toestemming hoeft te worden gevraagd van betrokkenen. De privacytoezichthouders roepen de Europese Commissie op de ontwikkeling van een technische standaard voor mobiele apparaten te bevorderen, waarmee mensen automatisch kunnen aangeven niet op deze manier te willen worden gevolgd.

Analyse van inhoud en metadata
Zowel de inhoud van communicatie als metadata zijn gegevens van ‘zeer gevoelige aard’ en verdienen volgens de toezichthouders daarom hetzelfde hoge beschermingsniveau. De toezichthouders stellen dat het uitgangspunt in de verordening daarom zou moeten zijn dat het verboden is om zowel metadata als de inhoud van berichten te verwerken zonder toestemming van alle betrokken gebruikers, zoals zenders als ontvangers. Providers zouden echter wel diensten moeten kunnen aanbieden waar de gebruiker expliciet zelf om verzoekt, zoals een zoekfunctie waarmee eigen e-mail kan worden doorzocht en diensten die tekst omzetten in gesproken taal. De toezichthouders willen dat voor dergelijk persoonlijk gebruik een ‘huishoudelijke uitzondering’ wordt opgenomen in de ePrivacyverordening.

Cookiemuren
De toezichthouders willen daarnaast een verbod op het gebruik van cookiemuren als manier om toestemming van gebruikers voor het plaatsen van cookies te krijgen. De Artikel 29-werkgroep spreekt over een ‘take it or leave it’-keuze, die gebruikers dwingt toestemming te geven om gevolgd te worden als ze toegang willen krijgen tot een bepaalde dienst.

Privacy by design
Tot slot willen de toezichthouders dat apparaten en software privacy vriendelijke standaardinstellingen gaan bevatten. Zo zouden fabrikanten bij de installatie heldere keuzemogelijkheden moeten bieden om deze instellingen te bevestigen of te wijzigen. Daarnaast moet het mogelijk zijn de instellingen tijdens het gebruik op eenvoudige wijze te veranderen. In de AVG zijn hiervoor de principes ‘privacy by design’ en ‘privacy by default’ geïntroduceerd. Het huidige voorstel voor de ePrivacyverordening ondermijnt deze principes echter als het gaat om communicatiegegevens en het verwerken van gegevens van apparaten, stellen de toezichthouders. Zi willen daarom dat gebruikers in de gelegenheid worden gesteld om specifieke toestemming te geven via de instellingen van hun browser. “De privacy voorkeuren van gebruikers moeten niet beperkt zijn tot derde partijen, en ook niet tot cookies. De privacytoezichthouders bevelen met klem aan om naleving van de Do Not Track standaard wettelijk te verplichten.”