Je kent het wel. Je bezoekt een website en het eerste wat je ziet is een irritante pop-up met een of ander verhaal over cookies. Enigszins geërgerd druk je op de knop die je toegang verschaft tot de website en geef je toestemming tot het gebruik van cookies. Die cookiewall is het indirecte gevolg van een aantal Europese privacyregels, die nogal eens veranderen. Je kunt je vast de tijd nog herinneren waarin je ongestoord kon rondsurfen, zónder irritante cookiewalls. Inmiddels zijn we min of meer gewend aan de cookiewall en nemen we de pop-up voor lief.  Er wordt blijkbaar gedacht aan onze privacy, prima toch? De Europese Commissie lijkt echter niet tevreden; de Europese privacywetgeving wordt weer veranderd. Alvorens tot verandering over te gaan, heeft de Europese Commissie een consultatie opengesteld.

De belangrijkste Europese privacy-wetgeving is op dit  moment terug te vinden in de e-privacyrichtlijn (2002/58/EG) en de Europese Algemene Verordening Gegevensbescherming (AVG). De richtlijn ziet voornamelijk op de verwerking van persoonsgegevens en bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie. Implementatie heeft onder andere geleid tot wijziging van art. 11.7a Telecommunicatiewet. De AVG heeft een breder toepassingsgebied; zij ziet op alle vormen van verwerking van persoonsgegevens. De AVG is op 25 mei 2016 in werking getreden. Door de inwerkingtreding van de AVG en de grote veranderingen in elektronische communicatie sinds 2002, ziet de Europese Commissie noodzaak de privacyrichtlijn te wijzigen.1 Van 12 april 2016 tot 5 juli 2016 hield zij hieromtrent een publieke consultatie.2 In totaal zijn er 421 reacties ontvangen: 162 reacties door burgers, 186 reacties uit de industrie, 33 reacties door consumentenorganisaties en 40 reacties door overheidslichamen.3

Ik zou graag dieper ingaan op één van deze reacties; de reactie afkomstig van de zogenaamde ‘Artikel 29-Werkgroep’. Deze publieke instantie is het ‘onafhankelijke advies- en overlegorgaan van Europese privacytoezichthouders’.4 Het advies van de Werkgroep (Opinion 03/2016 on the evaluation and review of the ePrivacy Directive (2002/58/EC)) werd uitgebracht in juli 2016.5 In het advies werd ingegaan op een aantal onderwerpen, waaronder wijziging van art. 5 van de richtlijn (over het vertrouwelijk karakter van communicatie en het toestemmingsvereiste). Dit artikel bevat een algemene zorgplicht voor de aanbieders van elektronische diensten en netwerken om het communicatiegeheim en daarbij behorende gegevensverwerking te waarborgen en te respecteren.6 In lid 3 van het artikel wordt gesteld dat toestemming moet worden gevraagd voor de opslag voor informatie die wordt, of reeds is, opgeslagen in eindapparatuur. De Werkgroep stelt dat dit artikellid gewijzigd dient te worden. Technologie moet zo neutraal mogelijk geformuleerd worden, zodat ook toekomstige techniek onder het toestemmingsvereiste valt:7

The revised Article 5(3) should be rephrased as technologically neutral as possible. Tracking techniques used on smartphones and Internet of Things applications should be considered when defining the actions covered by the revised Article 5(3), especially when it comes to ‘passive tracking’, that is, the use of identifiers and other data broadcast by devices.

Door een dergelijke nieuwe formulering zou niet langer relevant zijn hoe de informatieverwerking plaatsvindt, maar òf deze plaatsvindt. Voor het toestemmingsvereiste zou, volgens de Werkgroep, van belang moeten zijn wat de impact van de verwerking op de privacy van de betrokkene is:

In view of the rapid development and deployment of new ways to track users through information stored in, or broadcast by their devices, the exception should not be limited to a particular technique, but focus on the impact on users’ privacy and right to secrecy of communications.

De Werkgroep wil daarnaast dat ook toestemming gevraagd dient te worden voor het verwerken van locatie- en verkeersgegevens, zelfs wanneer deze niet als persoonsgegevens zijn te kwalificeren. Gelet op de hierboven aangehaalde maatstaf – de impact – concludeert de Werkgroep dat het toestemmingsvereiste van toepassing moet zijn:

Even if some or parts of the communications data are immediately deleted from the dataset after collection, the collection of traffic and location data over time and/or across different platforms/domains/services may result in individual or group profiles or statistics that can be used to treat people differently. Such types of tracking thus have a high impact on the private life of users and justify the need for a prior consent.

Maar wanneer is er sprake van toestemming? De werkgroep is van oordeel dat een ‘take it or leave it’-systeem als een cookiewall de vrije wil van gebruikers ondermijnt. De toestemming kan dan immers niet vrij gegeven worden. Als je toegang tot de site wilt, móet je akkoord gaan. De werkgroep noemt 5 gevallen waarin een cookiewall in ieder geval verboden zou moeten worden:

  1. 1. Tracking on websites, apps and or locations that reveal information about special categories of data (health, political, sexual, trade union etc.). Even if visits to services providing information about such special categories of data do not disclose in themselves special categories of data about these users, there is a high impact