Spring naar content

Het is allereerst goed om te verduidelijken dat de discussie vaak gaat over ‘cookieregels’. In praktijk geldt de wetgeving op allerlei – soortgelijke – technieken. De huidige regels daarvoor volgen uit de ePrivacy richtlijn en gelden in Nederland sinds 2012, maar zijn Europees al bedacht in 2009. De wetgeving is op zichzelf verouderd maar is tussentijds wél verduidelijkt door de voorloper van de EDPB, de Artikel 29 werkgroep, waardoor het toch nog relevant is gebleven. Ook ligt er al sinds januari 2017 een voorstel van de Europese Commissie voor een vernieuwde set regels die voor de gehele Europese Unie moeten gaan gelden: de ePrivacy Verordening. De gesprekken hierover zitten daarentegen al jaren muurvast. Daarmee lijkt de verordening van de baan en moeten we het doen met de huidige set regels.

De richtlijn

Gelet op het bovenstaande, voelt de EDPB zich genoodzaakt om aanvullende richtlijnen te bieden. Volgens hen leiden de onduidelijkheden in de wetgeving tot een stimulans om alternatieve tracking technieken te ontwikkelen die de hoofdregel uit de ePrivacy richtlijn (het uitvragen van toestemming) omzeilen. De EDPB gaat dan ook in op de reikwijdte van de regels, die op twee punten worden beschreven in de richtlijn. Om geen juridische taalverwarring te creëren, houden we het hieronder bij de Engelse zinsneden uit de ePrivacy-richtlijn:

1. ‘…the processing of personal data in connection with the provision of publicly available electronic communications services in public communications networks (3)

En:

2. ‘to store (5) information (1) or to gain access (4) to information (1) stored in the terminal equipment (2) of a subscriber or user’

Hieronder lichten we toe wat de EDPB per onderdeel heeft gezegd over de reikwijdte:

  1. Information
    Allereerst merkt de EDPB hier op dat deze term breder is dan de term persoonsgegevens die we kennen uit de AVG. Reden hiervoor is dat de richtlijn tot doel heeft om de privacy van de gebruiker te beschermen, die zelfs in het geding kan komen zonder dat het om persoonsgegevens gaat. Denk daarbij bijvoorbeeld aan virussen die geplaatst worden of bedrijfsgevoelige informatie. Ook verduidelijkt de EDPB nogmaals dat het enkel lezen van informatie zonder deze op te slaan (denk aan een IP-adres) binnen de reikwijdte valt.
  2. The terminal equipment
    Vrij vertaald gaat het hier om eindapparatuur van een gebruiker. Deze wordt gedefinieerd als apparatuur die direct óf indirect is verbonden met een publiek elektronisch communicatienetwerk (zoals het internet) om informatie te versturen, verwerken of te ontvangen. Apparatuur die enkel als doorgeefluik functioneert en de informatie niet zelf aanpast, valt hier niet onder. Maar apparatuur als mobiele telefoons, laptops, smart tv’s en smart glasses wel. Ook maakt het niet uit of het apparaat in eigendom is of enkel door één persoon wordt gebruikt. In theorie is iedere gebruiker beschermd bij het gebruik van de apparatuur. Denk bijvoorbeeld aan vaste desktops bij een klantenservice, waar meerdere medewerkers gebruik van kunnen maken.
  3. Publicly available electronic communications services in public communications networks
    Iets minder spannend, maar niet minder interessant is de toelichting bij de vraag wat wordt aangemerkt als een elektronisch communicatienetwerk. Uiteraard liggen netwerken beschikbaar door Internet Service Providers (ISP’s) voor de hand, maar in theorie valt elke variant van een elektronisch communicatienetwerk waarmee signalen worden verstuurd binnen de definitie. Verder moet het netwerk beschikbaar zijn voor het publiek, maar dat kan ook voor een klein gedeelte zijn. Daarbij moet je dus ook denken aan afgesloten bedrijfsnetwerk. Kortom: ook de gebruikers van een vaste desktop binnen een afgesloten bedrijfsnetwerk zijn beschermd onder de richtlijn.
  4. To gain access
    Misschien iets interessanter is de vraag wanneer er toegang wordt verkregen tot de informatie. De EDPB benadrukt daarbij dat de richtlijn tot doel heeft om de privacy van de gebruiker en vertrouwelijkheid van de communicatie via het eindapparaat te beschermen, met name in de situatie waarbij dit gebeurt zonder medeweten. Daarbij hoeft er, zoals eerder gezegd, geen sprake te zijn van toegang én opslag. Eén van beide elementen is voldoende.

    Daarbij is het voor toegang in principe al voldoende wanneer er specifieke instructies worden gestuurd naar een eindapparaat, zoals een HTTP-verzoek. Maar het geldt bijvoorbeeld ook voor API’s die worden gedraait op het netwerk óf javascript codes die worden gebruikt om content te laten zien. Daarbij maakt het niet uit dat twee verschillende partijen de instructies sturen en vervolgens de informatie ontvangen.
  5. Stored information and storage
    Tot slot is de meest interessante vraag waarschijnlijk wanneer informatie wordt opgeslagen. De EPDB ligt toe dat het daarbij gaat om informatie die wordt opgeslagen op een fysiek elektronisch opslag medium die onderdeel uitmaakt van het eindapparaat. Maar laat je niet verwarren, ook elektronische opslag op afstand (mogelijk door netwerkconnecties) valt hieronder. De vuistregel hierbij is: is het gebruikte opslagmedium functioneel gezien gelijkwaardig aan een lokale opslag (met het doel om informatie op te slaan die wordt verwerkt door het eindapparaat), dan valt het binnen deze definitie.

    Verder gaat het daarbij dus ook niet enkel om informatie die feitelijk wordt opgeslagen door een partij, maar kan het ook gaan om de software die wordt geplaatst om informatie op te slaan op het apparaat (zoals de eerder genoemde virussen óf andere technieken). Ook moet je daarbij niet alleen denken aan derde partijen die informatie opslaan op de eindapparatuur maar ook informatie die mogelijk al opgeslagen is, bijvoorbeeld door de gebruiker zelf, de ontwikkelaar van het apparaat of andere interne programma’s en processen.

Veelgebruikte technieken

Zoals eerder gezegd praat men in de marketingsector veel over ‘cookieregels’, maar geldt de ePrivacy richtlijn voor veel meer gelijksoortige technieken.  De EDPB heeft een lijst met use cases opgesteld, waarvan het onderbouwt dat de techniek binnen de reikwijdte van de ePrivacy richtlijn valt:

Technieken waar middels een hyperlink wordt gecommuniceerd met het eindapparaat (zij het ingeladen via content of het bezoeken van de URL). Bij uitstek voorbeelden van technieken die onder de richtlijn vallen, mits het plaatsvindt over een publiek netwerk. Let dus op: de richtlijn geldt ook voor e-mail pixels.

Bij deze techniek wordt informatie op het eindapparaat verwerkt, maar verkrijgen partijen op afstand toegang tot de informatie (bijvoorbeeld via een API). Dit laatste zorgt ervoor dat er ‘toegang wordt verkregen tot opgeslagen data’.

De techniek waarbij ‘enkel’ het IP-adres wordt verwerkt om browsegedrag bij te houden van een gebruiker. Tenzij kan worden aangetoond dat het IP-adres van origine niet hoort bij het eindapparaat van een gebruiker (routers daarbij inbegrepen) is de richtlijn van toepassing.

Het systeem van slimme apparaten dat onderling met elkaar kan communiceren, maar ook met servers op afstand. Dit laatste is ook één van de belangrijkste voorwaarden. Wanneer kan worden aangetoond dat de slimme apparaten enkel met elkaar communiceren via ‘point-to-point’ verbindingen (zoals bluetooth), valt het buiten de richtlijn. Maar vanaf het moment dat de informatie toegankelijk wordt via een publiek netwerk, is de richtlijn van toepassing.

Hierbij gaat het om de versleutelde verzameling van persoonsgegevens (emailadres, naam, telefoonnummer) óp een eindapparaat om een gebruiker te herkennen in meerdere datasets. Hier stond nog ter discussie of deze data buiten de richtlijn zou vallen omdat deze door de gebruiker zélf wordt verstrekt. Maar de EDPB maakt duidelijk dat dit er niet toe doet, omdat de partij die de informatie verzamelt instructies geeft aan het apparaat om de data te versturen. Daarmee wordt toegang verkregen, zoals eerder beschreven.

Wat betekent dit voor jou?

Om te beginnen is het goed om te benadrukken dat de EDPB enkel toelicht welke technieken binnen de reikwijdte van de richtlijn en daarmee het vereiste van toestemming vallen. Niet is behandeld wanneer een beroep kan worden gedaan op de uitzonderingen, zoals de noodzakelijkheid voor het leveren van de gevraagde dienst (de website) óf voor analytische doeleinden (met weinig gevolgen voor de privacy van de gebruiker). Als je dan ook een goed verhaal hebt waarom jouw techniek binnen deze uitzonderingen past, kan het mogelijk alsnog zonder toestemming. Daarnaast blijft ook onduidelijk wanneer het uitvragen van toestemming voldoet aan de wettelijke vereisten.

Wél laat deze richtlijn twee andere dingen zien. Om te beginnen is verduidelijkt dat de richtlijn brede toepassing kent en dat veel technieken in principe moeten voldoen aan de hoofdregel. Daarnaast zien we, met het uitblijven van nieuwe wet- en regelgeving, meer focus van toezichthouders op tracking-technieken. Je doet er daarom goed aan om als organisatie kritisch te kijken naar de technieken die je inzet én wat de onderbouwing hiervoor is.

Romar van der Leij

Voormalig Legal counsel | DDMA

Ook interessant

Lees meer
AVG |

Boete € 4.750.000 voor Netflix vanwege onvoldoende informeren over privacy

Weer een succesvolle actie van privacyorganisatie None Of Your Business (NOYB). In 2019 diende zij klachten in bij de Autoriteit Persoonsgegevens (AP) over streamingdienst Netflix. Uit onderzoek van de AP…
Lees meer
AVG |

Legal Member Meetup: KNLTB-zaak en de betekenis voor de Marketingsector

Op 12 december 2024 vond de maandelijkse Legal Member Meetup plaats, met de KNLTB-zaak als centraal onderwerp. Advocaten Olivia van Rikxoort en Saskia Vermeer – de Jongh van HVG Law…
Lees meer
AI Act |

Europese Commissie publiceert concept van ‘code of practice’ voor gebruik LLM’s

De Europese Commissie heeft op 14 november de eerste conceptversie van de Code of Practice voor General Purpose AI modellen (Code) gepubliceerd. De Code moet straks meer invulling geven aan…