Het is weer zover: er komt een nieuwe Europese verordening aan die wel eens een grote impact zou kunnen hebben op bedrijven. Het kleine broertje van de GDPR, zoals de e-privacyverordening (ePV) wel eens (foutief) wordt genoemd, is de vervanger van de telecommunicatiewet. De verordening moet de Europese consument niet enkel beschermen in zijn communicatie maar ook tijdens alle online-activiteiten.

 

Even wat achtergrondinformatie. De e-privacyverordening is ontworpen om het belang van de consument te behartigen wanneer het gaat over elektronische communicatie. Dat was dringend nodig want de telecomwet was erg verouderd. In 2002 kwam er wel een Europese e-privacyrichtlijn, maar zoals de naam al zegt was dat slechts een richtlijn en geen wet. En niet te vergeten, die is intussen ook 17 jaar oud, een eeuwigheid in de technologiesector. We kunnen dus wel stellen dat de vlag de lading niet echt meer dekte.

Verwijzen naar de ePV als ‘het kleine broertje van de GDPR’ is niet echt juist. Sterker nog: eigenlijk is het andersom. De GDPR is namelijk lex generalis of algemene wet, de ePV is lex specialis of bijzondere wet. Juridische lingo die een belangrijk verschil inhoudt: de GDPR zorgt voor de basis, de ePV is een uitbreiding op de algemene wet. Met andere woorden: wanneer het gaat over elektronische communicatie, is de (strengere) ePV van kracht. Logisch ook, want het is een toevoeging op de GDPR en zal waarschijnlijk een bredere reikwijdte hebben. Oorspronkelijk was het de bedoeling dat beide wetten samen van kracht werden, maar doordat de ePV zo omstreden is, laat de invoering op zich wachten.

Wie dacht dat de GDPR al alle wetten omvatte, is eraan voor de moeite. De GDPR zet duidelijke lijnen uit voor de omgang met persoonlijke gegevens, ePV gaat nog verder. Hoewel de teksten voor de ePV nog niet finaal zijn, zijn er nu al enkele duidelijke verschillen merkbaar:

1. De reikwijdte

De GDPR moet je persoonlijke data beschermen, de ePV beschermt alle vormen van communicatie. Dus niet enkel je persoonsgegevens maar ook alle inhoud en metadata van je communicatie. De ePV zal ook betrekking hebben op rechtspersonen, dat was bij de GDPR niet het geval.

2. Direct marketing

Onder de GDPR kan je uitgaan van ‘legitimate interest’, onder de ePV mag je enkel mensen contacteren voor direct marketing als je hun uitdrukkelijke toestemming hebt. Het is nog afwachten of de regels zullen gelden voor B2B én B2C, lobbygroepen proberen nog om het onderscheid tussen de twee in de wet te laten opnemen. Er is ook sprake van strengere regels voor telemarketing: verplicht een zichtbaar nummer gebruiken en een prefix speciaal voor marketingtelefoontjes behoren tot de mogelijkheden.

3. Databeveiliging

De GDPR is al erg streng als het over persoonsgegevens gaat, de ePV wordt nog strikter. De wet wil de beveiliging van onze communicatie nog verbeteren. Dat houdt in dat ‘nieuwe’ diensten als Skype, WhatsApp en iMessage aan dezelfde strikte regels als sms zullen moeten voldoen. Met andere woorden: niet enkel de inhoud van je bericht moet beveiligd zijn, ook alle metadata.

 

Maar op welke manier heeft dit nu concreet invloed op onze sector? Wel, dat is nog niet helemaal duidelijk. Er werd in 2017 al een eerste versie van de wetgeving opgesteld maar daar konden heel wat partijen zich niet in vinden. Dat wil natuurlijk niet zeggen dat we geen enkel idee hebben van de inhoud. Deze punten krijgen alvast een plaatsje in de ePV:

1. Voice over IP (VoIP) en direct messaging

Aangezien het huidige wettelijke kader verouderd is, werden VoIP en direct messaging er tot nu toe niet in vermeld. Daar komt nu vrijwel zeker verandering in, om ook berichtendiensten als WhatsApp onder de Europese wetgeving te doen vallen. Zij zullen dus ook moeten voldoen aan de veel strengere regels voor databeveiliging.

2. Cookies

De e-privacyrichtlijn uit 2002 legde de focus al sterk op cookies, maar in de ePV wordt het nog verfijnd. De oude wetgeving kende veel kritiek omdat het voor gebruikers zelden echt duidelijk was wat ze accepteerden. Veel mensen accepteerden de cookies simpelweg om verlost te zijn van de banner en gingen zo akkoord met tracking cookies.

In de GDPR wordt al vermeld dat de gebruiker ‘specifiek en ondubbelzinnig’ toestemming moet geven, het ziet ernaar uit dat het ook op die manier in de ePV zal worden opgenomen. En dus zal de gebruiker een duidelijk idee moeten hebben van welke cookies verzameld worden en waarom. Gebruikers toegang tot je website weigeren tenzij ze cookies accepteren, de zogenaamde ‘cookiemuren’, wordt verboden. Maar er is ook goed nieuws: voor sommige cookies zal niet langer toestemming nodig zijn.

3. Device fingerprinting

Het verzamelen van gegevens via het toestel waarmee de gebruiker verbinding maakt, is nog steeds toegestaan onder bepaalde voorwaarden. De websitebezoeker moet duidelijk geïnformeerd worden over de gegevens die je verzamelt en hij moet de optie tot een opt-out krijgen. De gegevens die je verzamelt moeten ook noodzakelijk zijn om de verbinding mogelijk te maken.

 

Op een definitieve invulling van de e-privacyverordening is het nog even wachten en ook naar de invoerdatum kunnen we voorlopig enkel gissen. Aangezien er nog geen definitieve tekst is, zal de invoering ten vroegste voor 2020 zijn. Wat wel al vaststaat is dat de regels voor alle vormen van elektronische communicatie nog strenger zullen worden. Voor concrete acties is het wachten op de finale versie van de wetteksten. Maar wacht niet te lang, de boetes zijn bij de ePV even hoog als bij z’n kleine broer.

Geef je reactie

Deze site maakt gebruik van Akismet om spam-berichten te beperken. Lees hier hoe de gegevens van jouw reactie worden verwerkt.