2010 maakt Eurocommissaris Viviane Reding (DG Justice) duidelijk dat zij de Europese Privacy Regels wil herzien. Ze wil de Europese burger controle over en keuze in de verwerking van persoonsgegevens garanderen en vindt de huidige wetgeving onvoldoende aansluiten op de nieuwe technologieën waarmee deze gegevens worden verzameld. December 2011 “lekt” een eerste conceptversie van dit voorstel uit. Januari 2012 wordt het definitieve voorstel van de Europese Commissie bekend. De wijzigingen zijn veelomvattend:
Tweede Concept: opt-in direct marketing van de baan
De opt-in voor alle direct marketing, die in een eerder uitgelekte versie van de verordening stond, is verwijderd. Daarmee blijven direct mail en telemarketing vooralsnog opt-out. Tijdens een interne consultatie tussen de Europese ministeries, heeft een aantal ministeries negatief geadviseerd over de opt-in bepaling voor alle direct marketing. DDMA en haar Europese koepel FEDMA hebben de afgelopen maanden in Brussel aangegeven dat een dergelijke bepaling verregaande gevolgen zal hebben voor nieuwe markttoetreders en het MKB, in een toch al onzekere economische tijd.
Het nieuwe voorstel is op een aantal punten sterk verbeterd. Maar DDMA en haar partners blijven waarschuwen voor de administratieve lasten die het voorstel met zich meebrengt en voor de complexiteit van sommige bepalingen, zoals het recht om vergeten te worden. De belangrijkste implicaties voor dialoogmarketing luiden als volgt:
- De regels zijn vastgelegd in een verordening. Deze heeft directe werking in de lidstaten en kan niet nationaal geimplementeerd worden.
- Unique Device Identifiers als: ip-adressen, cookies en geodata vallen ook onder de definitie van persoonsgegevens. Dit betekent dat Online Behavioral Advertising, maar ook locatie- en routediensten straks onder het regime van deze verordening vallen.
- Toestemming moet op basis van de verordening altijd expliciet gegeven worden. Dit kan door middel van een actieve handeling of gedrag. Dit is een strengere vorm van toestemming dan de ondubbelzinnige toestemming die de Wet nu voorschrijft. En alhoewel in de verordening niet meer voor alle direct marketing toestemming gevraagd moet worden, is online marketing op basis van een andere Europese Richtlijn nog steeds opt-in.
- De verordening kent een zgn. ‘country of destination’ principe. De nieuwe regelgeving geldt niet alleen voor bedrijven in Europa, maar ook voor bedrijven die zich richten op Europese burgers. De nieuwe wet zegt bovendien dat bedrijven een gezamenlijke verantwoordelijkheid hebben. Dus als een uitgever een Facebook-app lanceert, kan hij wellicht mede verantwoordelijk zijn voor eventuele privacyschendingen.
- De verordening introduceert een zgn. recht om vergeten te worden. Volgens de concepttekst moet een organisatie dan ook gegevens wissen als iemand hierom vraagt. Voor sociale media is dit een extra lastige verplichting. Zij moeten zich inspannen om openbaar gepubliceerde data te wissen, niet alleen op de eigen website, maar ook op de sites van derden. De vraag is wat dit voor gevolgen heeft voor bijvoorbeeld search.
- De tekst besteedt tevens aandacht aan profileren. Als er op basis van profileren een geautomatiseerde beslissing wordt genomen, die juridische gevolgen heeft voor de betrokkene, mag dit alleen met zijn toestemming. Zou prijsdifferentiatie zoals studenten of 65+ korting, loyaltyprogramma’s of behavioral advertising zo’n consequentie zijn? Daarnaast is natuurlijk niet iedere geautomatiseerde beslissing gebaseerd op profilering. De pinautomaat kan ook geautomatiseerd een pinpas “inslikken”, omdat hier te weinig saldo op staat. De tekst is hier nog onduidelijk over.
- De verordening brengt grote administratieve lasten met zich mee. Bedrijven moeten als de nieuwe regels in werking treden eenmalig investeren in het aanpassen van alle systemen. Daarnaast moeten zij uitgebreide documentatie bijhouden over alle verwerkingen van persoonsgegevens die zij doen en alle verwerkingen die zij uitbesteden aan bewerkers. Bedrijven met meer dan 250 medewerkers moeten bovendien een verplichte Privacy Impact Assesment uitvoeren en Privacy Officer aanstellen.
- Voorafgaande toestemming (opt-in) voor alle direct marketing is een disproportionele maatregel en houdt onvoldoende rekening met het (economisch) belang van het bedrijfsleven bij vrij verkeer van data. Off-line marketing, zoals direct mail wordt door de consument als een minder grote inbreuk op de privacy ervaren en moet onder een opt-out regime blijven vallen.
- Toestemming zou ook op andere wijzen gegeven moeten kunnen worden als “expliciet”, bijvoorbeeld door gedrag.
- Profileren is een gerechtvaardigd ondernemersbelang en moet alleen verboden worden als het gaat om illegaal profileren, bijvoorbeeld op basis van bijzondere persoonsgegevens.
Timing
De verordening is aangenomen door de Europese Commissie en is voorgelegd aan het Europees Parlement. Het Parlement kan de tekst nog amenderen. Als het Parlement akkoord is, moet de verordening goedgekeurd worden door de Europese Raad. Waarschijnlijk zullen de nieuwste regels pas 2015 of 2016 gaan gelden.
Lezen:
Nieuwe Europese Privacywet: Opt-in voor direct marketing voorlopig van de baan
Gelekte EU Privacywet heeft grote gevolgen voor marketing
