Marketeers opgelet: marketing- en cookieregels waarschijnlijk (opnieuw) op de schop

Herziening e-Privacy Richtlijn heeft gevolgen voor marketeers

De regels die van toepassing zijn op elektronische marketing – via bijvoorbeeld e-mail, sms en fax – en telefonische marketing gaan waarschijnlijk binnenkort op de schop. Dat geldt ook voor de cookieregels. Al deze regels zijn te vinden in de zogeheten e-Privacy Richtlijn (Richtlijn 2002/58/EC).

Met name de wijzigingen van artikel 5 zijn voor jou als marketeer van belang. Het Nederlandse equivalent van artikel 5 is te vinden in artikel 11.7 en 11.7a van de Telecommunicatiewet. Artikel 11.7 behelst het zogenoemde spamverbod. Artikel 11.7a behelst de zogenoemde cookieregels. Maar ook andere wijzigingen in de richtlijn kunnen voor jou van belang zijn en nu al om actie – of in ieder geval je aandacht – vragen.

Waarom een herziening van de e-Privacy Richtlijn?

De e-Privacy Richtlijn heeft een grote samenhang met de Algemene Verordening Gegevensbescherming (‘Privacyverordening’), een nieuwe verordening die van toepassing is op de verwerking van persoonsgegevens (in werking getreden op 25 mei 2016 en van toepassing vanaf 25 mei 2018). De komst van deze verordening was een van de redenen dat de Europese Commissie het tijd vond voor herziening van de e-Privacy Richtlijn.

Een andere belangrijke reden was het feit dat de laatste herziening van de richtlijn uit 2009 dateert, terwijl technologische ontwikkelingen elkaar in snel tempo opvolgen. Denk aan targeted advertising, de grootschalige verwerking van locatiegegevens door allerlei app-partijen en berichtendiensten via internet. Het is nog niet duidelijk of de e-Privacy Richtlijn een richtlijn blijft, of een verordening zal worden.

Consultatierondes

De Europese Commissie heeft de herziening van de e-Privacy Richtlijn onderworpen aan een internetconsultatie. Daarin werd zowel het bedrijfsleven als de consument uitgenodigd input te leveren over mogelijke wijziging van de regels in de e-Privacy Richtlijn. Deze consultatieronde is 6 juli gesloten en de bevindingen zijn bekendgemaakt op 4 augustus 2016 (Summary report on the public consultation on the Evaluation and Review of the ePrivacy Directive | Digital Single Market). Op 19 juli heeft ook de Artikel 29 Werkgroep – het adviesorgaan waarin alle Europese toezichthouders op het gebied van gegevensbescherming zetelen – haar opinie laten horen over de volgens haar noodzakelijke wijzigingen ().

Marketeers zullen het meest merken van de voorgestelde wijziging van artikel 5 van de e-Privacy richtlijn.

Welke wijzigingen hebben de grootste gevolgen voor marketeers?

Alle wijzigingsvoorstellen voor de e-Privacy Richtlijn van de Artikel 29 Werkgroep hebben ten doel om specifiekere regels te stellen voor elektronische communicatie in de EU, met het oog op gegevensbescherming van natuurlijke en rechtspersonen. Hieronder zet ik kort de voorstellen op een rij die voor jou als marketeer de grootste gevolgen zullen hebben, zodat je in je bedrijfsvoering nu al op de wijzigingen kunt anticiperen. Let wel, dit zijn de voorstellen van de toezichthouders. De vraag blijft met welke uiteindelijke regels de Europese wetgever komt?

1. Wijziging artikel 5 lid 3 (de cookieregels)

Zoals hierboven al aangegeven zal je als marketeer het meest merken van de voorgestelde wijziging van artikel 5 van de e-Privacy richtlijn. Het huidige artikel 5 lid 3 bevat een toestemmingsvereiste voor 1) de opslag van informatie en 2) de verkrijging van informatie die reeds opgeslagen is. Het hernieuwde artikel 5 lid 3 moet wat betreft de Werkgroep onder meer zo ‘technologisch neutraal’ mogelijk zijn, zodat daar bijvoorbeeld ook ‘passive tracking’ onder valt.

Denk daarbij aan smartphones die hun MAC-adres vrijgeven wanneer contact met een WiFi-netwerk wordt gemaakt. Met andere woorden: volgens de Werkgroep mag toepasselijkheid van het toestemmingsvereiste niet afhangen van het soort ‘user device’ (smartphone, computer, et cetera) en van het soort technologie dat wordt gebruikt.

Uitzonderingen op toestemmingsvereiste bij cookies e.a.

Ook geeft de Werkgroep aan dat er specifiekere uitzonderingen geformuleerd moeten worden voor gegevensverwerking die nauwelijks tot geen invloed heeft op het recht van gebruikers op gegevensbescherming en privacy. Deze uitzondering kennen we nu al in Nederland en zou dan dus Europa breed gaan gelden. Zo heeft de Werkgroep eerder al voorgesteld om een uitzondering te maken voor ‘first party analytic cookies’, omdat het onwaarschijnlijk is dat die een inbreuk maken op het recht op privacy wanneer ze strikt voor statistische doeleinden zijn. Maar dat voorstel is nog niet overgenomen door de Europese wetgever. Websites moeten er dan wel voor zorgen, aldus de Artikel 29 Werkgroep, dat ze duidelijke informatie over de cookies in hun privacybeleid vermelden en goede privacywaarborgen hebben, zoals een gebruiksvriendelijke manier om niet in te stemmen met de dataverzameling.

2. Wijziging ‘ongewenste’ communicatie (het spamverbod)

Artikel 13 van de e-Privacy Richtlijn gaat over ongewenste communicatie. Dit artikel heeft als doel om gebruikers te beschermen tegen de irritatie en de kosten van dit soort elektronische communicatie. Omdat de middelen die worden ingezet voor deze vorm van communicatie sinds de invoering van de richtlijn zijn veranderd en uitgebreid, behoeft dit artikel volgens de Werkgroep aanpassing.

De voorstellen zijn bedoeld om gebruikers beter te beschermen; de keerzijde daarvan is dat marketeers juist in hun mogelijkheden worden beperkt.

Alle vormen van ongewenste communicatie moeten onder artikel 13 vallen, of het nu om e-mails, geluids- of videoberichten, behavioural advertising, fax-, sms- of app-berichten of andere communicatievormen gaat. Het blijft aan de verzender om te bewijzen dat deze toestemming is verkregen. De werkgroep stelt duidelijk dat daartoe kopieën van de ten tijde van de toestemmingsvraag verstrekte informatie moeten worden bewaard. Ook moet toestemming te allen tijde kosteloos en eenvoudig kunnen worden ingetrokken; via makkelijke middelen. Het lijkt erop dat het opt-out recht dus wordt vereenvoudigd.

3. Wijziging verwerking verkeers- en locatiegegevens

Tot nu toe waren artikel 6 (verkeersgegevens) en artikel 9 (locatiegegevens) van de e-Privacy Richtlijn alleen van toepassing op de traditionele aanbieders van openbare elektronische communicatiediensten zoals telefonie-aanbieders, en niet op andere gegevensverwerkers. Maar tegenwoordig hebben bijvoorbeeld ook app-ontwikkelaars gedetailleerde informatie over reis- en communicatiepatronen van gebruikers, terwijl zij niet onder artikel 6 en 9 vallen.

De Werkgroep stelt voor om artikel 6 en 9 samen te voegen en aan te passen om zo een betere bescherming te bieden aan gebruikers. Zo zou er een toestemmingsvereiste toegevoegd moeten worden.

De Werkgroep stelt voor om tenminste drie uitzonderingen op het toestemmingsvereiste bij gegevensverwerking te maken: wanneer de gegevensverwerking noodzakelijk is om 1) de elektronische communicatie mogelijk te maken, 2) een netwerk of dienst te beveiligen, of 3) te kunnen factureren of elektronische transacties mogelijk te maken. De privacy van gebruikers is in die gevallen niet of nauwelijks in het geding; vandaar de uitzonderingen.

4. De invulling van het begrip toestemming

De Werkgroep doet de aanbeveling om het toestemmingsvereiste dat in de e-Privacy Richtlijn verschillende keren terugkomt goed af te stemmen op de Privacyverordening, zodat er geen inconsistenties tussen die twee zijn. Daarnaast waarschuwt de Werkgroep vooral voor gevallen van ‘gedwongen toestemming’ zoals bij cookie walls. In dergelijke gevallen krijgt een gebruiker geen toestemming tot een website wanneer geen toestemming wordt gegeven. De Werkgroep vindt dat de richtlijn deze ‘take it or leave it’-benaderingen, die geen echt vrijwillige toestemming inhouden, onmogelijk moet maken.

Bovenstaande vier voorstellen zijn bedoeld om gebruikers beter te beschermen. De keerzijde daarvan is dat marketeers juist in hun mogelijkheden worden beperkt.