Wat is de ePrivacy Verordening?
De ePrivacy Verordening is een Europees wetsvoorstel met regels over de bescherming van persoonsgegevens in elektronische communicatie, waaronder de inzet van e-mail, cookies en telemarketing. De ePrivacy Verordening geldt voor ieder bedrijf dat data verwerkt voor elektronische communicatiediensten, zoals Facebook en WhatsApp, maar ook een dating app of een e-commerce website.
Belangrijk om te melden dat er nog geen akkoord is voor de ePrivacy Verordening. Het Europees Parlement is eerder deze maand akkoord gegaan met de ePrivacy Verordening. Het voorstel moet nog worden behandeld door de Raad van de Europese Unie, waarin de ministers van alle lidstaten vertegenwoordigd zijn. De kans bestaat dat de raad wijzigingen gaat voorstellen.
Het verschil tussen ePrivacy Verordening en de AVG
De ePrivacy Verordening wordt nogal eens verward met de Algemene Verordening Gegevensbescherming (AVG). Ondanks dat ze beide betrekking hebben op de bescherming van persoonsgegevens, zijn het twee verschillende verordeningen.
De AVG is een Europese privacywetgeving met algemene regels voor het gebruik van persoonsgegevens. De AVG gaat niet in op de bescherming van persoonsgegevens in elektronische communicatie. Deze regels zijn vastgelegd in de ePrivacy Verordening.
Wanneer mag je cookies plaatsen in 2018?
De ePrivacy Verordening zal de huidige Nederlandse cookiewet (artikel 11.7 van de Telecommunicatiewet) vervangen. In de Nederlandse cookiewet is bepaald dat cookies mogen worden geplaatst indien:
- De eindgebruiker hiervoor toestemming heeft gegeven;
- De cookies nodig zijn om de communicatie uit te voeren;
- De cookies puur functioneel zijn; of
- De cookies het doel hebben om informatie te verkrijgen over de kwaliteit en/of effectiviteit van een geleverde dienst, mits ze geen of geringe inbreuk maken op de persoonlijke levenssfeer van de betrokkene.
Op basis van de ePrivacy Verordening(artikel 8, lid 1) zal het plaatsen van cookies vanaf mei 2018 alleen zijn toegestaan, wanneer:
- De eindgebruiker hiervoor toestemming heeft gegeven;
- De geplaatste cookies puur functioneel zijn; of
- De cookies enkel dienen voor het bijhouden van webstatistieken door de dienstaanbieder (let op: niet door een derde partij, zoals bijvoorbeeld Google Analytics).
De ePrivacy Verordening is nog niet aangenomen en ligt nu ter beoordeling bij de raad van ministers. Ook zij kunnen nog wijzigingen in de ePrivacy Verordening voorstellen. Zo heeft Raad van de Europese Unie onlangs een wijziging voorgesteld voor onder meer artikel 8. In deze wijziging staat onder andere dat analytische cookies van derden onder bepaalde voorwaarden wel geplaatst mogen worden zonder toestemming. Dit zou betekenen dat Google Analytics cookies geplaatst mogen worden zonder toestemming, mits Google Analytics privacyvriendelijk is ingesteld en Google zelf niets doet met de data, maar alleen optreedt als verwerker voor de verwerkingsverantwoordelijke.
Voor welke cookies heb je toestemming nodig?
First party en third party cookies
Er zijn twee verschillende soorten cookies: first party en third party cookies. First party cookies zijn van de bezochte site zelf. Third party cookies zijn geplaatst door derden. Er is een misverstand ontstaan dat voor third party cookies toestemming is vereist en voor first party cookies niet. Dit klopt niet. Er wordt puur gekeken naar het feit of een cookie technisch noodzakelijk is, of dat deze dient voor het bijhouden van webstatistieken.
Verder is er nog een onderscheid te maken in de verschillende soorten types, eigenlijk ‘functies’ van cookies:
Functionele cookies
Functionele cookies zijn nodig om een website te laten functioneren. Dankzij functionele cookies hoef je bijvoorbeeld niet telkens opnieuw in te loggen, blijven producten in je winkelmand staan en kan je producten met elkaar vergelijken. Voor het plaatsen van functionele cookies is geen toestemming nodig.
Analytische cookies
Analytische cookies bieden inzicht (statistieken) in het gebruik van de website en hoe je de website hebt gevonden. Als deze statistieken niet door een derde partij worden verzameld is voor het plaatsen van analytische cookies geen toestemming nodig.
Voor het plaatsen van analytische cookies van Google Analytics is – volgens het huidige voorstel – toestemming vereist. Google Analytics is namelijk een derde partij dat webstatistieken verzameld en hier is toestemming voor vereist.
Marketing cookies
Marketing (tracking) cookies worden gebruikt om het surfgedrag van bezoekers vast te leggen, zowel tijdens als na het bezoek aan een website. Dankzij marketing cookies is het mogelijk om een gepersonaliseerde nieuwsbrief te ontvangen of persoonlijke aanbiedingen via partnersites en op social media.
Google AdWords en Facebook zijn twee grote partijen die gebruik maken van marketing cookies. Voor de inzet van marketing cookies verandert er niet veel. Volgens de huidige én de nieuwe cookiewet is voor het plaatsen van marketing cookies namelijk toestemming vereist. Na acceptatie mogen deze cookies worden geplaatst.
Wat gaat er nog meer veranderen?
Naast de nieuwe cookieregels staan er nog een aantal belangrijke wijzigingen in het wetsvoorstel:
- Cookiewalls zijn niet langer toegestaan.
- De standaardinstellingen van apparaten en software moet op de ‘privacyvriendelijke instellingen’ worden ingesteld. Dat geldt bijvoorbeeld voor browsers, maar ook voor smartphones en apps.
- Internetgebruikers kunnen in hun browserinstellingen bepalen of ze marketing cookies accepteren of weigeren. Websites moeten deze instellingen overnemen, maar mogen de gebruiker wel vragen of ze marketing cookies willen toestaan.
- Websites mogen het gebruik van een adblocker detecteren en ‘passende maatregelen’ nemen en bijvoorbeeld vragen of de gebruiker zijn adblocker wil uitzetten.
Is jouw website al AVG-proof?
Wil je weten welke stappen je moet ondernemen om je website AVG-proof te maken? Lees dan ons blog ‘AVG-checklist: jouw website in 7 stappen AVG-proof’. Met deze AVG-checklist zorg je ervoor dat jouw website voldoet aan de nieuwe regelgeving van de Algemene Verordening Gegevensbescherming (AVG) of General Data Protection Regulation (GDPR).
Handhaving en boetes ePrivacy Verordening
De ePrivacy wetgeving in Nederland wordt op dit moment gehandhaafd door de Autoriteit Consument en Markt (ACM). De Europese ePrivacy wetgeving zal worden gehandhaafd door de Autoriteit Persoonsgegevens, die ook de AVG handhaaft.
Bij overtreding van de ePrivacy Verordening mogen boetes worden opgelegd van maximaal 20 miljoen euro of vier procent van de totale jaarlijkse wereldwijde omzet.
Voetnoot: Aan deze blog kunnen geen rechten worden ontleend. Rocket Digital is geen compliance officer en heeft deze blogpost op basis van eigen kennis en ervaringen, maar ook van externe bronnen samengesteld.
Bronnen:
ICT Recht: Achtergrond Cookiewet
ICT Recht: ePrivacy Verordening
Europese Commissie: EVP Voorstel