De Europese Raad is heeft na vier jaar onderhandelen een akkoord over de basisbeginselen van een nieuwe Europese privacywetgeving. Strikte bescherming van gegevens staat centraal en ook metadata krijgt aandacht.
Sinds 2017 probeert de Europese Raad een aanzet uit te werken voor een nieuwe e-privacywet. Die moet de intussen verouderde richtlijn van 2002 opvolgen en de GDPR aanvullen. De raad, bestaande uit de lidstaten van de EU, heeft nu onder het voorzitterschap van Portugal een overeenstemming bereikt. De basisprincipes voor de nieuwe regels zijn ondanks hevig lobbywerk van techbedrijven best strikt en hebben als doel de privacy gekoppeld aan data zo goed mogelijk te beschermen.
Eerst en vooral valt het op dat de raad aanstuurt op een verordening. Dat is in essentie een Europese wet die ongewijzigd over alle lidstaten heen geldt. Een verordening staat zo in contrast met een richtlijn, die Europese landen zelf nog moeten omzetten in nationale wetten. De verordening zal bepalen wanneer dienstverleners elektronische communicatiegegevens mogen verwerken en wanneer ze toegang krijgen tot gegevens op apparatuur van eindgebruikers. Nu de basisprincipes zijn vastgelegd, begint de onderhandeling met het Europese Parlement voor een finale tekst.
Vertrouwelijkheid als basis
Het kernprincipe van de nieuwe verordening is eenvoudig: elektronische communicatiegegevens zijn vertrouwelijk. Elke vorm van interventie, zoals het beluisteren, controleren of verwerken van gegevens door iemand anders dan de eindgebruiker, is verboden behalve wanneer de nieuwe verordening dat specifiek toestaat. Het valt op dat ook metadata onder de nieuwe regelgeving valt. Vandaag zijn de regels rond metadata vaag en gaan bedrijven er vaak lustig mee aan de slag.
Het kernprincipe is eenvoudig: elektronische communicatiegegevens zijn vertrouwelijk.
Concreet wil de EU dus niet alleen de inhoud van je berichten beschermen, maar ook data die aangeeft met wie je praat, wanneer, hoe vaak of op welke manier. Wel geeft de Raad meteen aan dat er ruimte is voor uitzonderingen.
Zo mogen bedrijven data gebruiken om de integriteit van hun diensten te garanderen en malware op te sporen. Ook in het kader van een gerechtelijk onderzoek mogen de bedrijven aan de slag gaan met de gegevens. Toch is de voorgestelde regelgeving erg beperkend. De verordening zou het de facto onmogelijk maken voor Facebook om metagegevens van WhatsApp te gebruiken voor advertentiedoeleinden of de verbetering van Facebook.
Uitzonderingen
De lidstaten laten wel een opening voor de grote techbedrijven door aan te geven dat de verwerking van de data in sommige gevallen wel een optie zal zijn, al zullen er dan erg strenge voorwaarden gelden. Wat die precies zijn, wordt onderdeel van de onderhandeling over een finale tekst.
lees ook
WhatsApp en privacy: houdt de GDPR Facebook in toom?
De EU wil verder de eindapparatuur van gebruikers beter beschermen. Die term omvat zowel hardware als software van een gebruiker die persoonlijke informatie bevat. Bedrijven die data van eindapparatuur willen verzamelen, worden onderhevig aan specifieke regels en moeten toestemming krijgen van gebruikers op een transparante manier.
Beter cookiebeleid
Tot slot buigt de raad zich over cookies. De EU wil dat je de mogelijkheid krijgt om cookies te weigeren. Voor de meeste websites kan dat vandaag al, maar sommige sites maken van de aanvaarding van cookies wel een verplichting voor wie van een bepaalde dienstverlening wil genieten. Dat mag van de Raad alleen nog wanneer een gebruiker ook een waardig alternatief krijgt voorgeschoteld waarin geen cookies worden gebruikt. Het lijkt er op dat de EU hier aanstuurt op een betaalmogelijkheid voor websites die anders zouden eisen dat je cookies aanvaardt voor reclamedoeleinden.
De manier waarop cookies en de bijhorende toestemming werken, moet ook beter. De lidstaten beseffen dat geen enkele gebruiker echt blij wordt van de constante stroom aan pop-ups. Het is de bedoeling dat software hier een belangrijkere rol gaat spelen.
Gebruikers moeten via hun browser bepaalde categorieën van cookies standaard kunnen aanvaarden of weigeren. Zo kan je één keer je voorkeuren kenbaar geven en blijven die vervolgens gelden over verschillende websites heen. Deze praktijk kan de EU niet afdwingen via de verordening, maar ze gaat softwarereuzen ertoe aanzetten aan het plan mee te werken.
Lange weg richting nieuwe regels
Het zwaartepunt van de nieuwe regels ligt duidelijk op privacy, al zijn er al enkele toegevingen richting de grote technologiereuzen zichtbaar. Zo bouwen de lidstaten al opties in om uitzonderingen toe te voegen wat de verwerking van gegevens betreft. Het lobbywerk van de techbedrijven is één van de redenen dat het zo lang heeft geduurd voor alle lidstaten om een gezamenlijke lijn te bepalen. Voor hen zijn de regels immers cruciaal. Een te strenge verordening kan hun businessmodel op de helling zetten. Anderzijds heeft de EU een verantwoordelijkheid naar de bescherming van de privacy van haar burgers.
lees ook
Twee jaar na de GDPR, hoe staan we ervoor?
Of de e-privacy-verordening uiteindelijk goed of slecht wordt, hangt af van de specifieke tekst. Vooral bepalingen inzake de uitzonderingen waarbij bedrijven gegevens toch mogen verwerken zonder extra toestemming, zullen het zwaartepunt bepalen. Nu gaat de onderhandeling met het Europees parlement voor een finale wettekst van start. Wanneer die rond is, wordt ze gepubliceerd. Vervolgens duurt het twee jaar voor de e-privacyverordening van kracht is. Het zal met andere woorden nog even duren voor er nieuwe regels gelden. Wanneer het zover is, zal de verordening juridisch boven de GDPR staan in scenario’s waar er overlap is.