ePrivacy Verordening: wat kunnen we verwachten van het wetsvoorstel?

Om een inschatting te maken van de mogelijke veranderingen die de ePV met zich mee brengt, hebben we de drie voorstellen naast elkaar gelegd met daarbij als uitgangspunt de Nederlandse Telecommunicatiewet (Tw), zoals die zal gelden na de wijziging (waarschijnlijk) per 1 juli 2021. Dit is het logisch gevolg van het feit dat de ePV bij inwerkingtreding de regels van de Tw zal vervangen. In Nederland wordt de Tw ook wel eens de ‘cookiewet’ genoemd, maar naast de regels voor cookiegebruik staan hier ook de regels in voor Direct Marketing (DM) kanalen zoals E-mail en Telemarketing. Mede daarom is de vergelijking thematisch ingestoken.

We hebben de wetsvoorstellen in een overzichtelijke tabel gezet, zodat je ze makkelijk in één oogopslag met elkaar kunt vergelijken

Cookies: waarschijnlijk einde van de cookiewall

Om te beginnen zien we in alle drie de voorstellen een verschillende omschrijving van de cookiebepaling. In de praktijk lijkt dit daarentegen uit te komen op dezelfde soorten technieken: het opslaan van informatie op- en het informatie verzamelen van het apparaat van de eindgebruiker. De definities zijn wel dusdanig opgeschreven, dat ook toekomstige vergelijkbare technieken onder deze wetsbepaling kunnen vallen. Dat is in veel andere EU-landen een verandering, omdat daar de bepaling erg gericht was op cookies. Nieuwe technieken zoals device fingerprinting vielen buiten de cookiebepaling, waardoor de roep om een e-Privacy Verordening sterk was. In Nederland speelde dat geen rol omdat onze cookiebepaling ‘technologieneutraal’ is opgeschreven met de toevoeging ‘of vergelijkbare technieken’. Device fingerprinting viel daardoor bij ons al binnen de cookiebepaling.

In de huidige Nederlandse situatie is cookiegebruik verboden, tenzij er sprake is van een bij wet bepaalde uitzondering. In alle voorstellen zal dit zo blijven, waarbij ook de uitzonderingen (toestemming, noodzakelijke cookies en analytische cookies) hetzelfde zijn. Hierbij valt wel op dat in het voorstel van de Raad iets meer ruimte lijkt te zijn als het gaat om analytische cookies. In die versie van de tekst staat een ruime uitzondering voor ‘audience measurement’, inclusief de mogelijkheid dat dit door derde partijen gebeurt. Ook van het criterium dat er sprake moet zijn van geen of geringe impact op de privacy van gebruikers is geen sprake. Dit punt werd eerder al bekritiseerd door de EDPB, de Europese koepel van privacytoezichthouders. Het is de vraag of de uitzondering in die vorm zal overblijven in de definitieve tekst van de ePV.

Cookiewalls

In de conceptteksten van de e-Privacy Verordening is de mogelijkheid op een verbod op cookiewalls een opvallende en impactvolle verandering. In 2015 werd n.a.v. de NPO-uitspraak van de ACM de Tw zo aangepast dat cookiewalls niet zijn toegestaan op webpagina’s van de overheid en publieke diensten. Daaruit werd over het algemeen aangenomen dat het daarom voor andere organisaties wél mogelijk is, mits aan de voorwaarden voor geldige toestemming uit de AVG voldaan wordt. De EDPB heeft zich inmiddels op het standpunt gesteld dat zij niet zien hoe dit met de AVG te verenigen is.

In de ePV-wetsvoorstellen hebben we 3 verschillende varianten gezien. In het voorstel van de EC staat niets over een eventueel cookiewall-verbod. Zowel het voorstel van de EP als dat van de Raad bevat wél een verbod op cookiewalls, waarbij alleen in het laatstgenoemde voorstel ruimte overblijft voor een uitzondering. Deze uitzondering biedt echter weinig ruimte: organisaties mogen een cookiewall gebruiken als ze gratis content aanbieden op basis van een advertentie-verdienmodel mits er een cookievrij alternatief beschikbaar is. Met de voorstellen van de EP en de Raad lijkt het er dus zeer op dat een cookiewall bij het ingaan van de ePV niet meer toegestaan zal zijn.

Direct marketing: weinig gevolgen voor Nederland

Ook bij de bepalingen over de direct marketingkanalen lezen we drie verschillende omschrijvingen, met slechts kleine verschillen in de details. Zo is bijvoorbeeld in het voorstel van de Raad een toevoeging gedaan die lidstaten de mogelijkheid geeft om elektronische toenadering van politieke partijen ook aan te merken als DM. In Nederland is dit al ingeregeld door het toevoeging van de bewoordingen ‘ideële doeleinden’.

Een interessanter vraagstuk is of er iets gaat veranderen voor B2B. Momenteel kennen we voor e-mail al geen verschil tussen B2B en B2C, maar met de wijziging van de Tw  komt er ook een opt-in-verplichting voor zakelijke telefoontjes met een commercieel doel, tenzij het om een rechtspersoon gaat. In alle drie de voorstellen is de mogelijkheid opgenomen voor EU-lidstaten om de regels uit te breiden naar B2B. De kans is groot dat dit dus ook in het definitieve voorstel zo zal zijn. Nederland zal waarschijnlijk gebruik maken van deze mogelijkheid, aangezien het hier op dit moment al grotendeels zo is ingeregeld, waardoor er ook hier in de praktijk niet veel zal veranderen.

Elektronische berichten (e-mail, sms, whatsapp etc.): gevolgen voor onder meer de klantrelatie

Klantrelatie

Bij elektronische (direct marketing) berichten is de hoofdregel dat het verboden is, tenzij er sprake is van toestemming of een klantrelatie. Laatstgenoemd is daarbij het meest interessant, omdat we in Nederland momenteel vergeleken met andere EU lidstaten een erg strikte uitleg kennen. De Nederlandse toezichthouder (ACM) hanteert op dit moment de volgende vijf vereisten als het gaat om de klantrelatie:

• Een verplichting tot een financiële transactie is samen ontstaan met het geven van de klant zijn/haar e-mailadres
• De communicatie wordt gestuurd vanuit dezelfde juridische entiteit (bijv. geen dochteronderneming).
• De betrokkene is op het moment van registratie van het e-mailadres geïnformeerddat dit gebruikt zal worden om (commerciële) e-mail te sturen
• Er is bij het verzamelen de mogelijkheid gegeven tot bezwaar (een opt-out).
• Het eigen en gelijksoortige producten of diensten betreft, waarvan de ontvanger logischerwijs kan bedenken dat dit tot het aanbod hoort.

Met name voor het eerste criterium wordt interessant om te zien hoe dit zal worden uitgelegd in de ePV. De uitleg van de Nederlandse toezichthouder is op dit moment strikt gericht op het ontstaan van een financiële verplichting d.m.v. een overeenkomst. In andere lidstaten wordt de zinsnede nu breder uitgelegd en kan bijvoorbeeld ook de aanvraag tot een offerte of gesprekken over een mogelijke overeenkomst al worden gelezen als contactgegeven verkregen ‘in het kader van de verkoop’. Bij de komst van de ePV zal er niet langer ruimte zijn voor een verschillende uitleg per lidstaat. Toezichthouders zullen dan Europees moeten afstemmen hoe ze de ePV toepassen, zodat hier geen verschillen tussen zitten. Het is de vraag of dan bij voorbeeld de financiële transactie nog verplicht zal zijn.

Uiteraard zou het ook kunnen dat andere lidstaten de uitleg van de Nederlandse toezichthouder overnemen óf dat iedere lidstaat zijn eigen interpretatie kan aanhouden. Aangezien dit laatste niet bijdraagt aan het creëren van een gelijk speelveld in Europa, lijkt dit niet voor de hand te liggen. Het is dus nog even afwachten wat de uitkomst hiervan gaat zijn.

Herkenbaarheid van de afzender

Wat betreft de herkenbaarheid springt met name het voorstel van het EP in het oog. Zij hebben namelijk een bepaling opgenomen waarin het verbergen van de identiteit en het gebruik van valse identiteiten, valse retouradressen of valse nummers nadrukkelijk is verboden. Hiermee lijkt ook het gebruik van no-reply mailadressen niet meer toegestaan. In het voorstel van de Raad zijn de bepalingen minder streng opgenomen dan een expliciet verbod. Deze laatste variant lijkt het meest op de wetgeving zoals we die in Nederland kennen. Het is dus ook hier nog even afwachten wat de uitkomst zal zijn.

Maximumtermijn klantrelatie

Ook is er de vraag of er een maximumtermijn zal worden gesteld waarbinnen gebruik kan worden gemaakt van de klantrelatie. In Nederland is het zo dat er bij wet geen termijn is gesteld en ook in de voorstellen van de EC en de EP komt een maximumtermijn niet terug. Maar in het voorstel van de Raad wordt aan lidstaten de bevoegdheid gegeven om hier een eigen keuze in te maken. Wij achten de kans erg groot dat dit wordt overgenomen in het definitieve voorstel. Voor Nederland zal dit vooralsnog geen verschil opleveren. Voor telemarketing behoort een maximumtermijn voor telemarketing nu al tot de mogelijkheden, voor e-mail is daarvan nog geen sprake. We zien dit als een extra reden om scherp te blijven op het voorkomen van overlast, zodat maatregelen als deze ook in de toekomst niet nodig zijn.

Telemarketing: blijft ook met Europese regels opt-in

Op hoofdlijnen zijn de regels voor elektronische berichten en telemarketing gelijk. Het is vanaf 1 juli 2021 verboden mensen ongevraagd commercieel telefonisch te benaderen, tenzij je toestemming hebt of er sprake is van de uitzondering klantrelatie. De vereisten voor deze klantrelatie zijn in alle voorstellen gelijk aan die bij de elektronische berichten. Maar er bestaat bij telemarketing wel een derde uitzondering: lidstaten krijgen de mogelijkheid om toch voor een opt-out-systeem te kiezen. Deze uitzondering komt in alle drie de voorstellen terug en in de Nederlandse wetgeving weten we dat hiervan geen gebruik zal worden gemaakt. Telemarketing zal daarmee hoogstwaarschijnlijk opt-in blijven.

Voor de eisen aan de klantrelatie-uitzondering (ook wel bekend als ‘soft opt-in’) kan ik voor de vergelijking tussen de voorstellen terugverwijzen naar hetgeen dat is gezegd bij elektronische berichten. Met de toevoeging dat in Nederland voor telemarketing een maximum klanttermijn is gesteld in de Code Telemarketing van 3 jaar. Maar ook hier geldt dat de regering de mogelijkheid heeft om bij wet een andere termijn te stellen.

Prefix

Een opvallend nieuw punt uit de ePV is dat er een verplichting kan komen voor het gebruiken van een prefix. Dit is een herkenbaar nummer dat wordt meegestuurd vóór het eigen telefoonnummer om kenbaar te maken dat het gaat om een Telemarketing gesprek. Bijvoorbeeld *01* voorafgaand aan het nummer. Wanneer een klant of prospect gebeld wordt, ziet hij of zij voordat er wordt opgenomen dat het gaat om een commercieel gesprek. In de voorstellen van het EC en de EP werd de prefix opgenomen als een verplichting. Dit zou voor Telemarketing een ingrijpende nieuwe verplichting zijn, bovenop het uitbellen met een herkenbaar nummer dat sinds de herziening van de Code Telemarketing verplicht is. In het laatste voorstel van de Raad is de mogelijkheid tot een prefix bij de lidstaten zelf neergelegd. Het is dus nog lastig in te schatten of het voorstel van de Raad hiervoor doorslaggevend zal zijn. Vooralsnog is er geen indicatie dat Nederlandse beleidsmakers voornemens zijn om een prefix in te voeren.

Ben je lid van DDMA en heb je vragen over de e-Privacy Verordening? Stuur een mailtje naar legal@ddma.nl

Romar van der Leij

Voormalig Legal counsel | DDMA

Matthias de Bruyne

Voormalig Senior legal counsel bij DDMA