Wat gaat veranderen onder de ePrivacy Verordening (ePR)?
Sinds 25 mei 2018 hebben we de nieuwe Algemene Verordening Gegevensbescherming (AVG) om onze persoonsgegevens te beschermen. Ooit was het de bedoeling dat de nieuwe e-privacyverordening (ePR) op dezelfde dag van kracht zou worden. Dit is niet gelukt en zal niet meer gebeuren vóór de Europese verkiezingen. Over de details wordt nog gepraat en we hopen dat het in 2019 allemaal gaat gebeuren. Maar wat gaat er eigenlijk veranderen?
Vertrouwelijkheid van elektronische post
Voor onze gewone post, weet u, dat we op papier, als het in een verzegelde envelop zit, de vertrouwelijkheid van de brief daarvoor hebben. We hebben dit niet voor e-mail, maar het voorstel is om dit te regelen met de ePrivacy-verordening.
Alle elektronische communicatie moet vertrouwelijk worden behandeld. Het is niet langer toegestaan om mee te luisteren bij telefoontjes, e-mails kunnen niet meer worden gescand en gelezen, zoals Google deed in Gmail, en metagegevens van communicatie kunnen niet meer zomaar worden gelezen. Facebook mag daarom geen WhatsApp-berichten lezen.
Communicatie mag daarom niet meer worden onderschept. Volgens het voorstel van de ePR treedt onderschepping ook op wanneer derden bijhouden hoe websites worden bezocht, hoelang mensen websites bezoeken en welke interacties daar plaatsvinden. Dit is in ieder geval niet toegestaan zonder toestemming van de websitebezoeker.
ePrivacy Regulation | Profielen opbouwen
De ePR probeert er ook voor te zorgen dat profielen van gebruikers niet worden opgebouwd met metagegevens die zijn verkregen zonder toestemming van gebruikers.
Metagegevens mogen alleen worden gebruikt voor het doel waarvoor ze oorspronkelijk zijn verkregen. Dit is ook bekend uit de AVG: persoonsgegevens mogen alleen worden gebruikt op basis van de oorspronkelijke basis en voor het doel waarvoor ze oorspronkelijk zijn verkregen. Dit kunnen meerdere doeleinden zijn, maar het doel of de basis mag achteraf niet worden gewijzigd. Dit wordt opgenomen in de ePrivacy-verordening.
Alles is toegestaan met toestemming. Dit geldt ook voor de ePR. Als mensen bewust en gratis toestemming geven om de metadata te gebruiken voor het samenstellen van profielen, dan is er niets aan de hand. Het probleem zit hem in het feit dat veel bedrijven het vervelend vinden om toestemming te moeten vragen. Het is tenslotte een drempel en het maakt mensen veel te bewust van wat ze weggeven, als ze die drempel überhaupt overschrijden.
Geanonimiseerde gegevens kunnen uiteraard weer worden gebruikt.
De cookie wall
Het plaatsen van cookies die niet nodig zijn, zoals tracking cookies en advertentiecookies, vereist toestemming. Deze toestemming moet vrijelijk en expliciet worden gegeven. Een nieuwe klik op de website is niet genoeg.
Hierdoor gebruiken veel websites een cookiewall: accepteer de cookies of je komt er niet in.
Dit is in sommige gevallen toegestaan, zoals vermeld in het voorstel voor de ePR. Zeker als er alternatieve websites zijn waar dezelfde soort informatie te vinden is. Dit is vooral niet toegestaan voor websites van bijvoorbeeld de overheid of andere diensten, waar er weinig of geen andere keuze is dan het gebruik van deze specifieke website. Een cookiewand voor het tv-netwerk van de overheid, voor websites van de gemeente en semi-overheid is daarom niet toegestaan.
Uiteraard is het mogelijk om cookievoorkeuren aan te geven, zolang de website maar volledig bruikbaar is, zolang de websitebezoeker de voorkeuren zo instelt dat er geen cookie mag worden geplaatst, behalve de functionele cookies.
Cookie Consent Manager | Gratis Trial van 2 weken
Neem een Gratis proefperiode van 2 weken voor onze betaalde plans of maak een Gratis account aan …
Welke cookies zijn toegestaan?
Voorbeelden van genoemde functionele cookies zijn sessiecookies voor het invullen van formulieren, authenticatiecookies om een identiteit te verifiëren en cookies die onthouden wat u in een online winkelwagentje heeft geplaatst.
Analytische cookies die de effectiviteit van een website meten, of tellen hoeveel mensen een advertentie hebben gezien, zijn ook toegestaan, zolang die cookies of andere identifiers zoals pixels niet meten welke persoon de website bezoekt of wat de aard daarvan is persoon is.
Toestemming via standaardinstellingen
De ePrivacy-verordening erkent dat mensen ‘overweldigd worden door verzoeken om toestemming’. Transparante en gebruiksvriendelijke instellingen kunnen dit probleem oplossen. Ze willen daarom meer verantwoordelijkheid leggen bij browsers en andere apps om zo in te kunnen stellen of je cookies, alle cookies of bijvoorbeeld alleen first party cookies in het algemeen wilt accepteren. De gekozen setting is dan bindend voor alle partijen.
Een dergelijke instelling staat gelijk aan het plaatsen van cookies. Deze toestemming moet voldoen aan de toestemming zoals gevraagd door de AVG. Dit betekent dat het juist de browsers en apps zijn die informatie moeten geven over cookies en de mogelijke instellingen, maar zonder mensen op subtiele wijze te overtuigen om tijdens het proces veel cookies te accepteren.
Ben je een agency, webdesigner of een andere reseller?
Verdien 30% commissie, neem een kijkje bij ons reseller model of neem contact op voor aantallen boven 500 klanten
Cookiebanners blijven bestaan
Die cookiebanners die veel websites nu gebruiken om toestemming te krijgen om bijvoorbeeld advertentie- en tracking cookies te plaatsen, blijven dus bestaan.
Van veel mensen wordt verwacht dat ze ervoor kiezen om weinig cookies toe te staan. In dat geval is het nog wel nodig om toestemming te vragen om extra cookies te mogen plaatsen.
Let echter op:
- Cookies mogen pas worden geplaatst nadat toestemming is gegeven.
- Gebruikers moeten goed geïnformeerd zijn over de cookies
- Toestemming moet actief zijn. De voorkeuren mogen niet van tevoren aangevinkt zijn!
Wifi-tracking
Kijken waar mensen zijn en hoe ze zich verplaatsen door ze te volgen op basis van unieke nummers zoals MAC-adressen, IMEI-nummers of een wifi-signaal is toegestaan voor statistische doeleinden, zolang het maar beperkt is in tijd en plaats.
Tellen hoeveel mensen er binnen zijn of hoeveel mensen in de rij staan is toegestaan, zonder de toestemming van die mensen. Gegevens moeten echter zo snel mogelijk worden geanonimiseerd wanneer ze niet langer nodig zijn voor het doel waarvoor ze worden geteld.
Deze tracking moet echter van tevoren worden gemeld. Vergelijk het met de borden die nodig zijn om bewakingscamera’s te installeren. Het gebied van de tracking, het doel en de verantwoordelijke persoon (of bedrijf) moeten worden vermeld. Dit kan met gestandaardiseerde pictogrammen.
Houd er rekening mee dat als de gegevens verder worden gebruikt, de AVG weer in beeld komt en dus ook de verplichting om een privacyverklaring te hebben en deze informatie ook aan de gebruikers te geven.
Verwerkersovereenkomsten
Verzamelde gegevens mogen alleen anoniem worden gedeeld met derden. Soms zijn derde partijen, zoals online software en services, nodig om de gegevens überhaupt te kunnen verzamelen en analyseren. Uiteraard zien ze dan de daadwerkelijke gegevens en niet de geanonimiseerde versie ervan.
Dit mag, zegt de ePR, maar dan moet er wel een verwerkersovereenkomst zijn, zoals bedoeld in de GDPR. Niet verwonderlijk natuurlijk, want als persoonsgegevens door de ene partij worden verwerkt, voor de andere partij, bestond deze verplichting al op grond van de AVG. Daar hebben we de ePR eigenlijk niet voor nodig.
Boeken we vooruitgang?
Momenteel werken we nog met de oude ePrivacy-richtlijn. Daar zitten nog veel onduidelijkheden in en we hebben het probleem dat er nu wordt verwezen naar artikelen in de Wet bescherming persoonsgegevens die zijn vervangen door de AVG. De ePrivacy-verordening is daarom in ieder geval hard nodig om de regels weer op elkaar af te stemmen, zodat er geen vreemde situaties meer kunnen ontstaan.
De bedoeling van de ePR is om de regels toekomstbestendiger te maken. Technieken worden nog minder genoemd en het gaat meer om de impact die dit kan hebben op de privacy van betrokkenen. Dat is een prettige ontwikkeling.
Het feit dat toestemming voor cookies en vergelijkbare technieken kan worden gedaan via de standaardinstellingen van browsers en apps is ook een stap voorwaarts. Of het echt veel problemen oplost, is natuurlijk een vraag. De standaard zal ook zijn dat er geen cookies worden geaccepteerd (behalve de noodzakelijke natuurlijk) en dat de groep die via de standaardinstellingen meer cookies accepteert relatief klein zal zijn. De toekomst moet laten zien hoe dit echt gaat werken.
Voor de ePR geldt eigenlijk hetzelfde als voor de GDPR: met toestemming is alles toegestaan. Toestemming verkrijgen is alleen moeilijk. Het is in ieder geval niet erg gebruiksvriendelijk. Het gebruik van gegevens die zijn verkregen via cookies en vergelijkbare technieken voor commerciële doeleinden zal ook niet gemakkelijk zijn met deze regeling.
Het voordeel is natuurlijk dat de GDPR al veel bedrijven in staat heeft gesteld om met privacy te werken. Daarom zal de e-privacyverordening niet veel veranderen in het dagelijkse werk.