Overzicht Actueel

Wat zegt het nieuwe wetsvoorstel ePrivacy over marketing?

devices

De Europese Commissie (EC) publiceerde vorige week het wetsvoorstel voor een nieuwe ePrivacy Verordening. Deze Verordening regelt (onder andere) de inzet van verschillende marketingkanalen zoals e-mail, cookies en telemarketing. De EC lijkt behoorlijk wat veranderingen teweeg te willen brengen. Duidelijk is dat alle marketing kanalen opt-in worden. Maar wat staat er nog meer op de planning?

Van Richtlijn naar Verordening

De EC stelt voor dat de ePrivacy wetgeving, net als de AVG, een Verordening wordt. Een Verordening is, in tegenstelling tot een Richtlijn, rechtstreeks van toepassing. Dit betekent dat de wetgeving in principe in heel Europa gelijk is, afgezien van kleine uitzonderingen die de lidstaten zelf kunnen maken. Dit is met name een voordeel voor internationale bedrijven. Je hoeft je straks niet meer af te vragen welk kanaal in welk land opt-in is, want dat is in de hele EU hetzelfde. Afgezien van telemarketing, zoals je verderop zult lezen.

Bredere toepassing van de ePrivacy regels

De huidige ePrivacy wetgeving is alleen van toepassing op de ‘traditionele’ telecom aanbieders. Het wetsvoorstel breidt de scope uit naar ieder bedrijf dat data verwerkt voor elektronische communicatie diensten. Hieronder vallen ook de zogenaamde OTT diensten: ‘over the top service providers’, zoals Facebook en WhatsApp, maar ook een dating app of een review website.

Daarnaast gaan er ook meer soorten data onder het nieuwe wetsvoorstel vallen, zoals communicatie tussen apparaten (lees: internet of things). Hiermee gaat het wetsvoorstel veel verder dan het huidige ePrivacy kader, waarbij alleen persoonsgegevens worden gereguleerd.

Het gevaar van het vergroten van de scope lijkt erin te zitten dat het steeds moeilijker wordt om enerzijds de consument te bescherming en anderzijds te voorkomen dat er veel kosten en barrières worden opgeworpen voor het bedrijfsleven. Zo stelt dit wetsvoorstel dat alle marketingkanalen opt-in worden, maar dat ook voor steeds meer andere communicatie diensten (denk aan het internet of things) toestemming moet worden gevraagd. DDMA vreest dat de consument van al deze toestemmingsvragen niet wijzer wordt. Tegelijkertijd lijken er barrières te worden opgeworpen om gegevens te kunnen delen met derde partijen, wat innovatie en efficiëntie tegen kan gaan. 

Cookies

De EC erkent dat er fouten zijn gemaakt bij het introduceren van de huidige cookie wetgeving:

The evaluation further showed that some provisions have created an unnecessary burden on businesses and consumers. For example, the consent rule to protect the confidentiality of terminal equipment failed to reach its objectives as end-users face requests to accept tracking cookies without understanding their meaning and, in some cases, are even exposed to cookies being set without their consent.

Daarom wil de EC het regime versoepelen door meer uitzonderingen toe te laten en toestemming via browserinstellingen mogelijk te maken. De uitzonderingen die de EC noemt, hebben we in Nederland al geïmplementeerd, dus dat brengt niet veel nieuws. Toestemming via de browserinstellingen is daarentegen nieuw in Nederland. Volgens de EC hebben browseraanbieders een sleutelpositie in het digitale landschap en zijn zij daardoor in staat om een oplossing te bieden voor de ‘toestemmingsmoeheid’ bij consumenten.

In tegenstelling tot het eerder uitgelekte concept wetsvoorstel worden browseraanbieders in dit wetsvoorstel niet verplicht om een privacyvriendelijke ‘weiger alle cookies’ als standaard instelling te implementeren.

Ook wil de EC de cookiewetgeving effectiever maken door meer technieken onder deze wetgeving te laten vallen. Hierbij gaat het met name om technieken als device finger printing, spyware en andere tracking technieken.

Tot slot zegt het wetsvoorstel expliciet dat toestemming voor het plaatsen van cookies altijd moet kunnen worden ingetrokken, en dat consumenten hier ten minste iedere 6 maanden (zolang het tracken voortduurt) aan moeten worden herinnerd.

Telemarketing

 In principe wordt ook telemarketing onder het wetsvoorstel een opt-in kanaal, maar de EU lidstaten krijgen de mogelijkheid om een Bel-me-niet register te implementeren. In dat geval zouden consumenten die niet op de lijst staan alsnog zonder toestemming gebeld mogen worden. Dit regime kennen we uiteraard in Nederland al. Er zal  bij de invoering van de wet door de Nederlandse wetgever besloten moeten worden of Nederland het Bel-me-niet regime wil blijven hanteren, of dat we in Nederland een volledig opt-in regime voor telemarketing krijgen.

Daarnaast wordt er een andere grote verandering op het gebied van telemarketing voorgesteld: een telemarketing telefoontje moet in de toekomst herkend kunnen worden aan het telefoonnummer waarmee wordt gebeld. Dit kan door een nationaal telemarketingnummer of door het nummer van de organisatie te geven waarmee de consument contact op kan nemen.

De combinatie van deze twee maatregelen laat een duidelijke last zien voor het telemarketing kanaal. Zowel de kosten van een nieuw regime als te verwachten teruglopende conversieaantallen kunnen ervoor zorgen dat dit kanaal steeds duurder wordt om in te zetten.

Timing, boetes en handhaving

De boete op het overtreden van de cookiebepaling en het inzetten van andere marketingkanalen is maximaal EUR 10 miljoen, of 2% van de totale jaarlijkse wereldwijde omzet. In sommige andere gevallen kan een boete oplopen tot EUR 20 miljoen of 4% van de totale jaarlijkse wereldwijde omzet.

De EC heeft het zeer ambitieuze plan opgevat om deze wetgeving vanaf 25 mei 2018 toe te passen, tegelijk met de AVG. Echter, dit wetsvoorstel moet nog langs het Europees Parlement en de Raad van Ministers. Het is daarom de vraag of die deadline gehaald gaat worden

Op dit moment wordt de ePrivacy wetgeving in Nederland gehandhaafd door de ACM. In het wetsvoorstel staat dat dit in de toekomst zal moeten gebeuren door de Autoriteit Persoonsgegevens; dezelfde autoriteit die de AVG handhaaft.