ePrivacy: the never ending story

February 19, 2021

Midden februari 2021 is er een nieuwe stap gezet in het Brusselse proces om de bestaande regels te moderniseren over cookies, spam en het digitale briefgeheim. Na ruim 2,5 jaar onderling gesteggel hebben de vertegenwoordigers van de EU lidstaten een compromis bereikt over de nieuwe ePrivacy Verordening. Maar daarmee is er nog geen nieuwe wet in Europa. De telecomministers (in Nederland de minister van Economische Zaken) hebben namelijk hele andere ideeën dan het Europees Parlement en dan de Europese Commissie, die het wetsvoorstel in januari 2017 publiceerde. De drie instituties gaan nu de zogenaamde trialoog in, om een nieuwe tekst te maken waar ze het met z’n drieën over eens zijn. Dat worden moeilijke gesprekken. De standpunten van de Raad en het Parlement konden haast niet verder uit elkaar liggen.

De Raad is bijna terug op het punt waar ze in 2019 was begonnen: lijnrecht tegenover het Europees Parlement. De vijf grootste meningsverschillen zijn: (i) de mogelijkheid van verdere verwerking van verkeers- en locatiegegevens, (ii) hergebruik van alle gegevens die je kunt verzamelen uit apparaten van gebruikers, (iii) gebruik van een cookiemuur om toestemming af te dwingen (iv) privacy by default en (v) (her-)invoering van een algemene bewaarplicht verkeersgegevens.

Verdere verwerking van verkeers- en locatiegegevens

De Raad wil bijvoorbeeld in artikel 6c verdere verwerking toestaan van de verkeers- en locatiegegevens, de metadata. Dat wil zeggen dat de aanbieder, ook een Big Tech provider uit Silicon Valley, zelf mag bepalen voor welke andere, verenigbare doelen ze de gegevens mag gebruiken. Doorgaans zijn de oorspronkelijke verzameldoelen nogal beperkt; om de communicatie technisch mogelijk te maken, om een goed-werkende, veilige dienst te leveren, en om rekeningen te sturen op basis van verbruik.

De Raad stelt voor dat de communicatieaanbieders de metadata bijvoorbeeld mogen gebruiken voor het in kaart brengen van verkeersstromen, het maken van heatmaps en statistieken of voor (commercieel) onderzoek. Het mag allemaal zonder toestemming, zolang de aanbieders de gegevens maar anonimiseren, of als dat niet lukt, pseudonimiseren. Dat wil zeggen: alle herleidbare gegevens onherroepelijk weggooien, of direct herleidbare gegevens zoals namen vervangen door een nummer. Daar zit nog een heel groot verschil tussen, en juist dat leidt in de praktijk tot ellenlange discussies. Zolang de telecomaanbieder nog over de oorspronkelijke identificerende gegevens beschikt, of kan koppelen aan identificerende gegevens, kan er geen sprake zijn van anonieme datasets die ze aan andere partijen kan verstrekken. Daar komt nog bij dat de telecomaanbieders met nieuwe communicatietechnieken als 5G en 6G veel gedetailleerdere  locatiegegevens verzamelen dan nu, en dat het dus moeilijker wordt om te anonimiseren.

Andere waarborgen die de Raad inbouwt zijn dat de bedrijven ervoor moeten zorgen dat met de gegevens geen individuele profielen kunnen worden gemaakt, dat de gebruikers geïnformeerd worden, en dat ze bezwaar kunnen maken. Gemeenten kunnen een beroep doen op deze uitzondering als ze informatie willen van telecomaanbieders over drukke verkeersstromen. Daarmee kunnen ze bijvoorbeeld besluiten waar ze nieuwe fietspaden moeten aanleggen.

Hoewel het dus lijkt of er goed nagedacht is over de privacy-impact, zitten er nog veel addertjes onder het gras. Ook ethisch. Als je wilt handhaven op naleving van een avondklok, of als je illegale groepsbijeenkomsten wilt opsporen, dan kun je als politie heel goed op basis van anonieme gegevens gaan posten op plekken waar het op vaste tijden (te) druk is. Zoals anonieme gegevens van TomTom over tijdstippen en wegvakken waar te hard werd gereden ooit werden verkocht aan de politie, zodat de politie er flitspalen kon neerzetten. Dan hebben zelfs gegevens die echt anoniem zijn, toch grote gevolgen voor individuele mensen.  

Verdere verwerking van gegevens die zijn opgeslagen in, of worden verwerkt in, eindgebruikersapparaten

Via een uitbreiding van de cookie-bepalingen in artikel 8 wil de Raad bedrijven toestaan om forse inbreuk maken op de individuele privacyrechten. De Raad wil (via artikel 8, eerste lid, onder g) een recht geven op verdere verwerking van alle gegevens die in een apparaat worden verwerkt of zijn opgeslagen. “The processing and storage capabilities of terminal equipment and the collection of information from end-users’ terminal equipment, including about its software and hardware.

Dat zijn bijvoorbeeld cookies en pixels, maar ook opgeslagen foto’s, wachtwoorden en contactlijsten en live toegang tot camera, locatiegegevens en microfoon. Dan verliezen de voorziene waarborgen zoals encryptie en pseudonimisering meteen alle betekenis. Want ik weet niet wat ik me moet voorstellen bij het pseudonimiseren van mijn wachtwoorden en de foto’s van mijn lieve zoon.

Cookiemuren

De Raad heeft zich sterk laten beïnvloeden door de media-industrie, met name kranten en tijdschriften. Die hebben de Raad overtuigd dat het plaatsen van tracking cookies strikt noodzakelijk is om voort te kunnen bestaan en dat de media dus géén toestemming hoeven te vragen. Dus schrijft de Raad in recital 21aa: “In some cases the use of processing and storage capabilities of terminal equipment and the collection of information from end-users' terminal equipment may also be necessary for providing a service, requested by the end-user, such as services provided in accordance with the freedom of expression and information including for journalistic purposes, e.g. online newspaper or other press publications as defined in Article 2 (4) of Directive (EU) 2019/790, that is wholly or mainly financed by advertising provided that, in addition, the end-user has been provided with clear, precise and user-friendly information about the purposes of cookies or similar techniques and has accepted such use.” Waarbij het woord ‘accepted’ dus niet gelijk staat aan ‘toestemming’, want als je die term gebruikt, moet je aan alle eisen uit de AVG voldoen. In één moeite door wil de Raad tot wet verheffen dat cookiemuren mogen, mits er maar een gelijkwaardig aanbod is van dezelfde aanbieder waarbij je geen toestemming hoeft te geven voor tracking cookies.

Privacy by default

Het Europees Parlement had het voorstel van de Europese Commissie over privacy by default aangescherpt, zodat allerlei software leveranciers ervoor moesten zorgen dat ze alleen de minimaal noodzakelijke gegevens verzamelden. De Raad ziet dat anders. Browsers moeten gebruikers in staat stellen om in één keer voor heel veel dingen toestemming te geven (whitelisting), maar niet om in één keer alles te weigeren. Elke website mag een bezoeker steeds opnieuw om toestemming vragen, omdat de Raad het heel belangrijk zegt te vinden dat eindgebruikers zelf kunnen beslissen bij elke vraag over toestemming, in plaats van dat ze dat uitbesteden aan hun software.

Herinvoering bewaarplicht verkeersgegevens

De bewaarplicht verkeersgegevens is een enorm buikpijndossier. Al meer dan twintig jaar proberen opsporingsdiensten een algemene bewaarplicht in te voeren. Dat wil zeggen dat ze de bel-, e-mail- en liefst ook de locatiegegevens van alle burgers willen bewaren voor een nog ongedefinieerd toekomstig (opsporings)doel. Natuurlijk ben ik niet tegen gerichte opsporing, met inzet van de beschikbare digitale middelen. Maar een algemene bewaarplicht verandert onschuldige mensen in permanente peilbakens, voor je weet maar nooit. Een algemene bewaarplicht is ook niet noodzakelijk, als de opsporing haar bestaande bevoegdheden beter inzet, zoals het bevriezen van gegevens van mensen die mogelijk betrokken zijn bij een misdrijf. Juist vanwege de grote privacyrisico’s en het gebrek aan noodzaak heeft de hoogste rechtbank in de EU, het Hof van Justitie van de Europese Unie, de vorige Europese bewaarplicht ongeldig verklaard in 2014, en die uitleg nog eens herhaald in verband met nationale bewaarplichten in Engeland, Frankrijk en België in 2020. Het Hof legt goed uit dat je het grondrecht om een onbespied leven te leiden, niet totaal opzij mag zetten. Dat mag alleen individueel, als het echt noodzakelijk is, bijvoorbeeld bij een verdenking van betrokkenheid bij een misdrijf.

Toen ik nog bij XS4ALL werkte als woordvoerder, voerde ik campagne onder de noemer bezwaarplicht verkeersgegevens. Later organiseerde ik met andere burgerrechtenorganisaties in Europa een petitie tegen de bewaarplicht, en nog weer later bij het College bescherming persoonsgegevens/de Autoriteit Persoonsgegevens was ik op nationaal en op Europees niveau (mede-)penvoerder van wetgevingsadviezen, reacties en opinies in 2016 en 2017.

Gelukkig maken meer mensen zich boos over deze poging van de Raad, met name op aandringen van Frankrijk, om dit Trojaanse paard in de ePrivacy Verordening op te nemen. Ik citeer daarom de baas van de Federale Duitse privacy-autoriteit, professor Ulrich Kelber. Hij schrijft dat met dit voorstel verschillende rode lijnen worden overschreden en noemt als eerste de bewaarplicht, “die al bij zoveel rechtbanken schipbreuk heeft geleden.” Zijn conclusie: Wenn die ePrivacy-Verordnung so bleibt, wie der Rat der EU sie heute beschlossen hat, wäre das ein schwerer Schlag für den Datenschutz.“

Hoe nu verder?

Er zijn al heel lang ePrivacy regels, in Nederland opgenomen in hoofdstuk 11 van de Telecommunicatiewet. Een van de redenen om aan een nieuwe ePrivacy Verordening te werken, was dat de reikwijdte van die wet tot voor kort veel te beperkt was: de regels om het digitale briefgeheim te beschermen golden alleen voor een handjevol aanbieders van klassieke telefonie en internettoegangsdiensten. Alleen de regels voor cookies en spam golden al voor iedereen.

Aanbieders van internetcommunicatiediensten vielen tot nu toe niet onder de ePrivacy regels, zoals WhatsApp, Signal, Gmail, Facebook, LinkedIn, Zoom en Teams. Sinds eind vorig jaar zijn de ePrivacy regels wel op dit soort aanbieders van over the top diensten van toepassing. Toen werd de European Electronic Communications Code (EECC) richtlijn van kracht, met een veel ruimere definitie van elektronische communicatiediensten.

Voorlopig wordt er geen nieuwe ePrivacy Verordening van kracht. Maar misschien hebben we, bij nader aanzien, toch genoeg aan de combinatie van de AVG met de (uitgebreide) ePrivacy regels. De Advocaat-Generaal van het Europees Hof van Justitie heeft onlangs in een zaak van de Belgische toezichthouder tegen Facebook geadviseerd dat de AVG-toezichthouders nationaal mogen handhaven op overtredingen van de ePrivacy regels. Misschien moeten de Europese Commissie en het Europees Parlement daarom stoppen met wrijven in deze vlek en alleen nog werken aan  uitbreiding en versteviging van de toezichtscapaciteiten.

Download
Sjoera
Adviseur