ePrivacy wordt steeds meer een hot issue

Op 18 maart 2020 spreekt Sjoera Nas op het actualiteitenseminar ePrivacy Verordening en Marketing van IIR. In voorbereiding hierop gaf Sjoera een interview. Op basis van dit interview werd een Whitepaper gepubliceerd. Onderstaand vind je de originele antwoorden van het interview. Veel leesplezier!

Wat zijn anno 2020 de belangrijkste hete hangijzers als het gaat om de ePrivacy Verordening?

De hamvraag is of er nog wel een ePrivacy Verordening komt! Er zijn al twee jaar hele grote meningsverschillen tussen de Europese landen in de Raad van Ministers, bijvoorbeeld over cookiemuren, maar ook over de bewaarplicht verkeersgegevens en de mogelijkheden voor bijvoorbeeld overheden om de locatiegegevens van mobieltjes te kunnen gebruiken voor allerlei statistieken. De Europese Commissie moet nu beslissen of ze nog een nieuwe poging gaat doen om de verschillen te overbruggen tussen haar eigen voorstel, de versie van het Europees Parlement en de laatste afgewezen compromistekst van de Raad. De Commissie kan ook een heel nieuw voorstel indienen. De komende twee jaar zullen we het moeten doen met de bestaande Europese ePrivacy Richtlijn, zoals die in Nederland is omgezet in hoofdstuk 11 van de Telecommunicatiewet.

Wat betekent de komst van de ePrivacy Verordening voor het gebruik van cookies en direct marketing, nu en in de nabije toekomst?

Het grote voordeel van een Verordening is dat er dan gelijke spelregels ontstaan in alle landen van de EU voor cookies en direct marketing, inclusief gebruik van profielen op sociale media om mensen gericht te benaderen. Volgens de voorstellen van de Commissie en het Europees Parlement zouden die regels strenger moeten worden dan nu het geval is. Maar zonder Verordening blijven de huidige regels uit de ePrivacy richtlijn gelden. Die eisen zijn al streng, maar werden tot nu toe niet consequent geïnterpreteerd en nauwelijks gehandhaafd. In bijvoorbeeld Engeland en Ierland werd lang gedacht dat je ook toestemming kon krijgen als je een opt-outmogelijkheid aanbood. Omdat de toestemmingseisen zijn aangescherpt in de Algemene Verordening Gegevensbescherming, en ook uit jurisprudentie van het Europees Hof van Justitie blijkt dat je nooit toestemming kunt krijgen met vooraangevinkte vakjes, is er bijna geen wiggle room meer. Zelfs zonder ePrivacy Verordening moet iedere organisatie nu hoge prioriteit geven aan naleving van de huidige cookie en marketingregels.

Wat is er op het gebied van toezicht en handhaving te verwachten? Van de AP en ACM, maar - voor internationaal opererende organisaties - ook vanuit andere Europese toezichthouders?

De meest invloedrijke privacytoezichthouders in de EU zijn afkomstig uit Ierland, Engeland, Frankrijk, een aantal Duitse deelstaten en Spanje. In België is een sterke nieuwe privacy autoriteit aangetreden, met deskundigheid en lef om technische vraagstukken op te pakken. Daarnaast schrijft de EDPS, de toezichthouder op de naleving van de privacyregels voor de Europese instellingen, invloedrijke eigen opinies. Al deze toezichthouders hebben in de afgelopen maanden duidelijke uitleg gepubliceerd over naleving van de huidige ePrivacy regels, vooral over de aangescherpte eisen aan toestemming. Nu deze DPA's het voortouw nemen bij de uitleg van de huidige regels, verwacht ik dat andere toezichthouders deze uitleg gaan volgen. Dus ook als er geen ePrivacy Verordening komt, verwacht ik dat de toezichthouders op grond van de aangescherpte toestemmingsvereisten uit de AVG stevig gaan handhaven op ernstige overtredingen van de regels voor marketing, online surveillance en profiling. Uiteindelijk zal het Europees Comité, waarin de privacytoezichthouders samenwerken aan normuitleg, richtsnoeren vaststellen. Los daarvan geeft het Europees Hof van Justitie normuitleg. In de zaak over cookies en marketing op de website van de Duitse loterij Planet49 heeft het Hof de aangescherpte toestemmingseisen voor digitale marketing haarscherp uiteengezet.

Zijn er al afschrikwekkende boetes opgelegd?

De Belgische en de Spaanse DPA hebben inmiddels boetes opgelegd voor onjuist gebruik van cookies. De EDPS heeft bijvoorbeeld het Europees Hof van Justitie aangesproken op onjuist cookiegebruik. In Nederland is het tot nu toe nogal stil gebleven. De ACM (Autoriteit Consument en Markt) lijkt niet geïnteresseerd in handhaving op de cookieregels. Onze eigen Autoriteit Persoonsgegevens (AP) heeft een norm gepubliceerd over de cookiemuur, en 150 brieven verstuurd aan organisaties over een onjuist gebruik van cookies, maar tot nog toe niets bekend gemaakt over de resultaten of vervolgacties. De AP heeft bijvoorbeeld ook gereageerd op het gebruik van een tracking pixel door DUO en door een groot aantal verzekeraars, maar ook op dat punt nog geen handhaving bekend gemaakt. De Ierse privacytoezichthouder DPC (Data Protection Commissioner) is overspoeld met klachten over cookies van grote Amerikaanse aanbieders zoals Facebook, Twitter en Google en heeft zeer hoge boetes aangekondigd. Maar dat vlot nog niet erg. Ondertussen is er zelfs een website gemaakt om bij te houden hoeveel boetes de Ierse toezichthouder feitelijk heeft opgelegd. Spoiler: nul. Privacy Company houdt een overzicht bij van alle boetes van Europese toezichthouders.

Organisaties zoals sociale media en advertentienetwerken die op grote schaal cookies plaatsen en uitlezen moeten niet alleen rekening houden met de algemene privacyregels uit de AVG en de speciale regels uit de ePrivacy richtlijn, maar vooral ook met mededingingsregels. De Duitse en de Franse mededingingstoezichthouders zijn al een tijd bezig om Facebook aan te pakken, maar het vergt nog een omslag in het denken van de behandelend rechters om in te zien dat er sprake is van dominante spelers in de markt van handel in digitale persoonsgegevens. Europees Commissaris Margrete Vestager heeft al een aantal miljardenboetes opgelegd aan Google, maar  zij heeft aangekondigd ook andere maatregelen te overwegen dan boetes om de grote techbedrijven te dwingen zich aan de Europese spelregels te houden. Daarmee bedoelt ze nadrukkelijk ook de privacyregels.

Een veel concreter risico waar alle organisaties rekening mee moeten houden is het risico van dure collectieve schadevergoedingen. Artikel 80 van de AVG maakt het mogelijk voor mensen in heel Europa om hun collectieve claims in te dienen bij schending van hun privacybelangen. Afhankelijk van de toegekende vergoeding en het aantal deelnemers kunnen de kosten heel hoog oplopen. In een eerste zaak in Nederland moest een gemeente 500 euro betalen aan een klager in verband met schending van diens privacyrechten [to do URL]. Een Duitse civiele rechter kende onlangs een schadevergoeding toe van 15.000 euro aan een betrokkene vanwege het niet honoreren van een inzageverzoek. Maar het kan nog veel hoger. In Spanje kreeg Vodafone al tien keer een boete van tussen de 5 en de 60.000 euro voor overtredingen van de AVG ten aanzien van individuele klagers. De kans dat het risico van klachten zich voordoet bij cookie overtredingen is veel groter dan bij veel andere overtredingen van de AVG. Overtredingen met cookies en marketing zijn namelijk erg zichtbaar en controleerbaar: iedereen kan in zijn browser zien welke cookies een website plaatst of uitleest, en of hij of zij toestemming heeft gegeven voor digitale marketing.

Hoe bereiden professionals die zich bezighouden met het leveren van elektronische communicatiediensten en/of het verwerken van elektronische communicatiegegevens zich het beste voor op de ontwikkelingen rond de ePrivacy Verordening?

Er zijn allerlei mensen en bronnen met het laatste nieuws over de toekomstige ePrivacy Verordening, zoals Europarlementariër en ePrivacy rapporteur Birgit Sippel, de website Europapoort van de Eerste Kamer, updates die Matthias de Bruyne van de DDMA post op LinkedIn, de nieuwsbrieven van European Digital Rights, EDRI-gram, of verslaggeefster Laura Kayali van Politico. Je kunt ook af en toe zoeken op het dossiernummer 2017/0003 (COD) van de Verordening. Vergeet ook niet om de nieuwe Electronic Communications Code te raadplegen: die heeft ervoor gezorgd dat de scope van de huidige ePrivacy regels al sinds eind 2018 is uitgebreid naar allerlei 'over the top' digitale dienstenaanbieders. Lidstaten hebben tot 20 december 2020 de tijd om die regels om te zetten in nationaal recht.

Maar het belangrijkste is dat je je zo snel mogelijk verdiept in de huidige ePrivacy regels. Zorg dat je je eigen toestemmingsbanners en cookieverklaring controleert of laat controleren. Vraag je systeembeheerder om de tool van netograph.io te gebruiken om al het verkeer via je website in kaart te brengen. Zorg dat je met privacyjuristen en marketeers in kaart brengt wat je wilt doen aan digitale marketing, en hoe je dat, volgens de laatste uitleg van de toezichthouders, kunt doen zonder grote risico's voor de privacy van betrokkenen. Kijk eens door de ogen van een kind naar de manier waarop je toestemming vraagt, hoe eerlijk en begrijpelijk is de informatie die je geeft? Of ben je bezig met een unfaire marshmellow test? Dat je een hele aantrekkelijke JA knopt voorschotelt, en dat je test hoeveel wilskracht bezoekers hebben om zich door tien lagen vooraangevinkte vakjes heen te werken om Nee te kunnen zeggen? Kijk ook eens zakelijk naar de kosten die je maakt voor alle trackers op je website of in je app, en voor persoonsgericht adverteren. Wegen de baten op tegen de ergernis bij je klanten en de risico's van handhaving door toezichthouders of collectieve claims?

Welke mythes en misverstanden over de ePrivacy Verordening moeten wat jou betreft snel snel de wereld uit?

Ik hoef niet aan de ePrivacy regels te voldoen, want dat doet niemand. Als de grote ad networks zich niet aan de regels houden, moeten de toezichthouders daar eerst aankloppen.

Dit berust op een misverstand. De DPA's moeten alle klachten behandelen. En hebben beleidsvrijheid om ook op eigen initiatief handhavend op te treden. Daarom kan niemand zich verschuilen achter het gebrek aan naleving door anderen.

De gegevens die ik met cookies verwerk, zijn geen persoonsgegevens. Ik weet namelijk je naam en je e-mailadres niet (maar ik kan je wel bereiken met gerichte remarketing advertenties op elke volgende website die je bezoekt!).

Deze tekst staat regelmatig in cookiebanners, maar is volstrekte onzin. De AVG is van toepassing op tracking cookies. Daarvoor hebben we zelfs een apart rechtsvermoeden voor in de Telecommunicatiewet.

Iedereen gebruikt een tracking pixel in zijn nieuwsbrieven, het is toch geen 1990 meer! Het is niet mogelijk om effectief te communiceren als je niet precies kunt bijhouden welke ontvanger hoe laat de nieuwsbrief heeft geopend, op welke links hij of zij heeft geklikt en hoe vaak de nieuwsbrief is geforward.

Je mag best statistieken bijhouden over het openen van je mailings, maar als je dat op individueel herleidbaar niveau wilt doen, moet je eerst toestemming vragen. En dat betekent dat de beoogde ontvanger van de nieuwsbrief NEE moet kunnen kiezen, en dan toch de nieuwsbrief moet kunnen ontvangen. Veel Amerikaanse aanbieders van mailingslijsten bieden die mogelijkheid niet, maar voegen altijd automatisch een pixel toe.

Ik hoef pas wat te doen als de AP en de ACM echt gaan handhaven.

Dit is een risicovol misverstand omdat je voortdurend risico loopt op een collectieve schadeclaim. Omdat de toezichthouders tot nu toe erg terughoudend zijn geweest met het opleggen van boetes voor digitale marketing, is de kans groot dat burgerrechten- en consumentenorganisaties in dit gat springen. Zie bijvoorbeeld de collectieve klachten die de Oostenrijkse organisatie NOYB indient.

Tot ziens op 18 maart bij het actualiteitenseminar ePrivacy Verordening en Marketing van IIR.

Gepubliceerd op
10/2/2020
ePrivacy, Marketing, Whitepaper, Privacy Company, Sjoera Nas