Europese toezichthouders zouden los van e-privacywet willen beginnen met geautomatiseerde controles op cookies en tracking

Volgens de Duitse site Golem willen Europese toezichthouders vooruitlopend op de e-privacywet binnenkort op basis van de AVG al handhavend gaan optreden tegen bedrijven die zich niet houden aan bestaande regels voor cookies en tracking.

Europese toezichthouders, zoals de Autoriteit Persoonsgegevens (AP) in Nederland, zijn volgens Golem van plan in november in onderling overleg een besluit te nemen over controles op naleving van de cookieregelgeving.

Golem baseert deze conclusie op informatie van de toezichthouders in de Duitse deelstaten Beieren en Niedersachsen en het Duitse ministerie van Economische zaken.

Handhaving cookieregels kan ook zonder e-privacywet al op basis AVG

De toezichthouders zouden in onderling overleg hebben vastgesteld dat zij op basis van de AVG nu al de mogelijkheid hebben om te handhaven. Ook zonder de e-privacywet.

In november vindt er weer gezamenlijk overleg van de Europese toezichthouders plaats. Dan zou dit punt op de agenda staan.

De Autoriteit Persoonsgegevens van de Duitse deelstaat Beieren (Bayerisches Landesamt für Datenschutzaufsicht) gaf volgens Golem in april 2018 al aan dat het gebruik wil maken van geautomatiseerde opvragingen van internetpagina’s om te controleren of de dienstverleners daadwerkelijk toestemming van de gebruikers krijgen. Tot op heden is dat nog niet gebeurd.

Politiek en ondernemers zijn de regie kwijt

Als de toezichthouders inderdaad vooruitlopend op de e-privacywet al willen gaan handhaven is dat een fikse streep door de rekening voor veel politici en bedrijven. Ze zijn de regie kwijt.

De ontwikkeling lijkt haaks te staan op de opdracht die het kabinet van een meerderheid van de Tweede Kamer heeft gekregen na een motie van regeringspartij VVD.

Het kabinet moet de bureaucratische impact van de beoogde nieuwe Europese e-privacyregels op het bedrijfsleven nog eens onderzoeken.

Negatieve economische effecten e-privacywet

Ondernemersorganisaties in heel Europa waarschuwen al maandenlang voor negatieve effecten van de wet. Ondernemers worstelen nu al met de AVG.

En de ondernemers vrezen dat de Europese privacytrein doordendert zonder rekening te houden met de belangen van bedrijven en de impact op de economie.

De Europese toezichthouders geven nu eigenlijk aan dat zij ook zonder de e-privacywet al kunnen optreden. Dat kan op basis van de Telecomwet waarin al veel zaken zijn vastgelegd die ook in de e-privacywet zouden moeten komen.

Waarom moet er dan een nieuwe wet komen?, kun je je afvragen.

De e-privacyverordening (ePV) heet voluit: “Verordening van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie)”.

Het is een Europese verordening die de e-privacyrichtlijn (Richtlijn 2002/58/EG) moet vervangen, omdat zij beter zou zijn afgestemd op de nieuwe technologische realiteit.

De aanpassingen omvatten onder andere verbetering van de beveiliging en vertrouwelijkheid van communicatie, het definiëren van duidelijkere regels over volgtechnologieën zoals cookies en meer harmonisatie tussen de lidstaten.

E-privacywet krijgt voorrang boven AVG

De e-privacyverordening is bedoeld als zogenaamde lex specialis bij de AVG. Een lex specialis (Latijn voor bijzondere wetgeving) is een wet, die voorrang krijgt boven de algemene wetgeving (de lex generalis). 

De e-privacyverordening geeft meer invulling aan de algemene AVG regels door ze toe te passen en te specificeren als het specifiek gaat om elektronische communicatiegegevens die als persoonsgegevens worden aangemerkt. 

Trackingtechnologie en direct marketing

De nieuwe e-privacyverordening richt zich op bedrijven die online communiceren, gebruik maken van tracking technologieën en direct marketing.

Het startpunt is de AVG, maar in de specifieke gevallen waarin een organisatie te maken heeft met elektronische communicatiegegevens zal de e-privacyverordening leidend zijn.

E-privacywet had eigenlijk tegelijk met AVG van kracht moeten worden

Eigenlijk had de E-privacywet in mei 2018 in werking moeten treden op hetzelfde tijdstip als de Algemene Verordening Gegevensbescherming.

Maar tot op heden zijn de EU-lidstaten het nog steeds niet eens kunnen worden over een gemeenschappelijk standpunt.

Volgens de toezichthouders moet daarom worden voldaan aan de eisen van de AVG en niet langer aan de bepalingen van de Telecomwet, waar de cookierichtlijn nu bijvoorbeeld nog onder valt.

Bedrijven vrezen hoog inkomstenverlies

Internetbedrijven in heel Europa lobbyen al maandenlang tegen de plannen.

Mediabedrijven vrezen dat de reclame-inkomsten sterk zullen dalen omdat gepersonaliseerde reclame bemoeilijkt zal worden door de verplichting om goedkeuring te verkrijgen voor het volgen (tracking) van website bezoekers.

Als tracking moeilijker wordt wordt het voor ondernemers moeilijker om doelgroepen efficient en effectief te bereiken. Zij realiseren dan minder omzet. En omdat de online reclame minder goed werkt zullen ze minder gaan adverteren, is de verwachting.

‘Alleen mediabedrijven met inlogmodel hebben nog bestaansrecht’

Mediabedrijven gaan ervan uit dat alleen aanbieders met inlogmodellen na invoering van de e-privacyregels nog een kans hebben op de reclamemarkt.

De lobby van bedrijven in heel Europa tegen de e-privacywet lijkt effect te hebben. Het Nederlandse kabinet heeft dus opdracht gekregen er nog eens goed naar te kijken.

Dat is ook in Duitsland gebeurd, waar grote uitgevers als Axel Springer en Bertelsmann veel invloed hebben op de politiek.

Politiek kan zich in verband met regionale, nationale en Europese verkiezingen geen conflict met media en bedrijfsleven veroorloven

De regeringspartijen CDU/CSU en SPD kunnen zich gelet op de wankelijke positie waarin zij op basis van polls en aardverschuivingen na de recente verkiezingen in Beieren geen conflict met de media, bedrijfsleven en publiek veroorloven.

Brussel is niet populair. De negatieve reacties op de Algemene Verordening Gegevensbescherming zeggen voldoende.

De Duitse regering verwerpt de huidige voorstellen van het Europees Parlement en de Europese Commissie. Nederland heroverweegt de voorstellen.

De e-privacywet wordt waarschijnlijk over de Europese verkiezingen heen getild

De e-privacyverordening had aanvankelijk dus tegelijk met de AVG op 25 mei 2018 moeten worden gelanceerd. Daarna werd gezegd dat het iets later zou worden. Uiterlijk eind dit jaar. Dat gaat zeker ook niet lukken.

Gelet op de problemen rond Brexit en de politieke onrust in bijna alle Europese landen willen veel politici er niet nog een hete aardappel bij hebben.

Volgend jaar Europese verkiezingen

Bovendien komen er volgend jaar Europese verkiezingen aan. De verwachting is dan ook dat een definitief besluit over de e-privacywet wordt door geschoven tot na de Europese verkiezingen.

Daar lijken de Europese toezichthouders dus niet op te willen wachten.

Wat kunnen we leren van de ‘onzinnige’ AVG naambordjes discussie in Duitsland en Oostenrijk?

“Paniekzaaierij door oproerkraaiers die de Europese privacywet in diskrediet willen brengen.” Snoeiharde kritiek van de Autoriteit Persoonsgegevens van de Duitse deelstaat Beieren naar aanleiding van de ophef over een vermeend AVG-verbod op naambordjes in flats en appartementencomplexen. Is die kritiek terecht?

Of is de Europese privacywetgeving gewoon te complex?

Wat kunnen we leren van de discussie in Oostenrijk en Duitsland?

Waarom heeft niemand de Autoriteit Persoonsgegevens om uitleg gevraagd?

Allereerst is het opmerkelijk dat klaarblijkelijk vrijwel niemand tot op heden de toezichthouders in Oostenrijk en Duitsland gevraagd heeft om duidelijkheid te verschaffen naar aanleiding van de onduidelijkheid over de uitleg van de privavyregels ten aanzien van naambordjes.

Wie op Google zoekt op Klingelschild DSGVO ziet dat alle grote Duitse mediasites op het verhaal gedoken zijn. Slechts een enkele site vroeg commentaar aan een toezichthouder.

Kritiek Beierse autoriteit op media en privacybelangenorganisatie slecht onderbouwd

Voorzitter Thomas Kranig van de Beierse autoriteit doet voorkomen alsof de discussie in gang is gezet door tegenstanders van de privacywet en de media. Door mensen die op een rel uit waren om de AVG belachelijk te maken.

Maar die veronderstelling klopt niet.

Hoe begon de naambordjesdiscussie?

De discussie kwam in Wenen op gang naar aanleiding van een klacht van één huurder bij de gemeentelijke woningcorporatie Wiener Wohnen.

De corporatie heeft vervolgens de Magistratsabteilung 63, de afdeling die in Wenen verantwoordelijk is voor gegevensbescherming, geraadpleegd. De Functionaris Gegevensbescherming van deze afdeling kwam vervolgens zelf tot de conclusie dat de combinatie van achternaam en deurnummer daadwerkelijk inbreuk maakt op de Europese privacywetgeving.

Functionaris Gegevensbescherming zet als eerste verkeerde stap

De kwestie is dus niet aangezwengeld door oproerkraaiers. Een Functionaris Gegevensbescherming, iemand die alles van de privacywet zou moeten weten, trok op basis van de wettekst de conclusie dat er sprake was van inbreuk op de AVG.

Logisch besluit wonkngcorporatie om alle naambordjes te verwijderen

Vervolgens kan de Weense woningcorporatie niet anders dan te besluiten om verregaande maatregelen te treffen. Bij overtreding van de regels is het management immers aansprakelijk als de Autoriteit Persoonsgegevens van Oostenrijk een onderzoek instelt naar aanleiding van een klacht van een huurder, waar niets mee gedaan is.

Zeker als blijkt dat er een advies van de FG ligt om 220.000 naambordjes te verwijderen.

Nog steeds geen sprake van stemmingmakerij

Tot zover is er dus nog steeds geen sprake van bewuste stemmingmakerij om de AVG in diskrediet te brengen.

Pas als 220.000 huurders in Wenen een brief krijgen van de woningcorporatie duikt de media er bovenop. Logisch, want het betreft een opmerkelijk besluit met verregaande gevolgen. En dat op basis van een nieuwe wet die veel mensen onzeker maakt. Mede vanwege de hoge boetes die opgelegd kunnen worden.

Geen journalist die Autoriteit Gegevensbescherming om een reactie heeft gevraagd

Wat vervolgens opvalt is dat er geen journalist in Oostenrijk op het idee gekomen is om de Autoriteit Persoonsgegevens om een reactie te vragen.

Dat verwijt valt overigens ook de Functionaris Gegevensbescherming te maken.

Rol privacybelangenorganisatie

De media vroegen wel om een reactie bij ARGE Daten. Een organisatie die zich in Oostenrijk bezighoudt met de privacyrechten van burgers.

Volgens ARGE Daten was het besluit van Wiener Wohnen om alle naambordjes te verwijderen de “enige wettelijk conforme procedure”.

ARGE Daten roept vervolgens huurders op om een klacht in te dienen bij de Autoriteit Persoonsgegevens in Wenen.

Als de Beierse toezichthouder zich kwaad maakt over stemmingmakerij over de Europese privacywet dan zou ARAG Daten daar de aanleiding voor kunnen zijn.

ARAG Daten is geen tegenstander van AVG

Ware het niet dat de Beierse autoriteit praat over stemmingmakerij door tegenstanders van de AVG. ARAG Daten is een organisatie die opkomt voor privacybelangen. ARAG Daten heeft dus belang bij de privacywet. Is geen tegenstander.

Waar komt die stemmingmakerij dan vandaan?

De Beierse autoriteit geeft een uitstekende les privacywetgeving naar aanleiding van de discussie over de naambordjes. Uitleg die iedereen de regels erbij pakt lijkt te moeten kunnen begrijpen. Maar is dat werkelijk zo?

Privacydeskundigen leggen privacyregels anders uit dan Autoriteit Persoonsgegevens

De Functionaris Gegevensbescherming gaf een andere uitleg van dezelfde regels. En hij heeft er voor geleerd.

En hij was niet de enige privacydeskundige die een andere uitleg aan de regels gaf dan de Autoriteit Persoonsgegevens van Beieren.

Toegegeven, andere privacydeskundigen plaatsten vraagtekens bij het besluit van Wiener Wohnen, maar gaven vervolgens toch een andere duiding van de wet dan de Autoriteit Persoonsgegevens.

Max Schremms adviseert verhuurders onterecht om schriftelijk toestemming te vragen

Neem bijvoorbeeld Max Schrems. Hij heeft in heel Europa naam gemaakt met zijn kruistocht tegen Facebook. Schrems wijst er in een tweet op dat de ontmanteling van meer dan 200.000 naambordjes wellicht een wel erg overdreven maatregel is.

@Met alle liefde voor de #AVG“, tweet Schrems. „Maar waar u (al) de toestemming van de huurder heeft, hoeft u niet meer 220.000 naamplaatjes te verwijderen en opnieuw te plaatsen….. Een vragenlijst met een opt-in zou het waarschijnlijk gemakkelijker maken.“

 

Schrems adviseert als gerenomeerde privacydeskundige dus aan verhuurders om alle huurders schriftelijk om toestemming te vragen om hun naam op een centraal belbord in de hal van een flat te plaatsen.

Maar volgens de Autoriteit Persoonsgegevens hoeven verhuurders niets te doen

De Beierse Autoriteit Persoonsgegevens zegt daar niets over. Volgens de Beierse AP hoeven verhuurders niets te doen.

Duitse advocaat onderbouwt in blog aan de hand van diverse wetten dat naambordjes ook voor AVG al verboden zouden zijn

In Duitsland schreef advocaat Arno Lampmann van advocatenkantoor LHR in Keulen een uitvoerige blog over de naambordjes. Zijn opmerkelijke conclusie was dat de naambordjes ook zonder de AVG eigenlijk al in strijd zijn met andere wetten. Hij verwijst daarbij naar die wetten en haalt er vervolgens ook Max Schremms nog bij om zijn conclusie kracht bij te zetten.

Nog steeds geen spoor van oproerkraaiers die de Europese privacywet in diskrediet brengen.

 

Deskundigen die geacht mogen worden de privacywet te kennen en te kunnen duiden geven een hele andere uitleg aan de regels dan de Autoriteit Persoonsgegevens van Beieren. Opnieuw geen tegenstanders van de wet. Weer mensen die belang hebben bij de privacywetgeving.

Alle partijen, waaronder de Autoriteit Persoonsgegevens, moeten hand in eigen boesem steken

Het zou de Autoriteit Persoonsgegevens in Beieren, maar ook zijn collega’s in de rest van Europa, sieren om de hand in eigen boesem te steken. De AVG is blijkbaar zo onduidelijk dat zelfs deskundigen de regels anders uitleggen. Die complexiteit zorgt voor onrust en weerstand.

En de deskundigen en de media mogen anderzijds ook zichzelf verwijten maken.

Waarom heeft niemand de moeite genomen om de Autoriteit Persoonsgegevens om een reactie te vragen?

Iedere journalist hoort dat standaard te doen. En iedere FG en jurist die twijfelt over de uitleg van een regel ook.

AVG recht op verwijdering van onjuiste informatie geldt volgens Oostenrijkse toezichthouder niet voor reacties op nieuwssites

Stel dat er onder een artikel op een blog of nieuwssite een reactie staat met onjuiste informatie, kun je die dan met beroep op de Algemene Verordening Gegevensbescherming (AVG) laten wijzigen of verwijderen? Volgens de Autoriteit Persoonsgegevens in Oostenrijk niet.

De Oostenrijkse Autoriteit Persoonsgegevens heeft uitspraak gedaan in een klacht van iemand die op basis van de AVG eiste dat een reactie onder een online artikel op een nieuwssite zou worden verwijderd.

Vrijheid van meningsuiting

De AVG kent echter in verband met het recht op vrijheid van meningsuiting uitzonderingen voor media, zegt de Oostenrijkse toezichthouder. En daaronder vallen ook forums en particuliere blogs.

Op basis van jurisprudentie van het Europese Hof van Justitie wordt gesteld dat – om rekening te houden met het belang van de vrijheid van meningsuiting in een democratische samenleving – begrippen als journalistiek ruim moeten worden geïnterpreteerd.

AVG mediaprivileges

Er bestaat bij de Oostenrijkse toezichthouder geen twijfel over dat het online artikel als zodanig onder het gestandaardiseerde media privilege valt.

Er moest met name rekening worden gehouden met het feit dat bijdragen van andere gebruikers (in de vorm van antwoorden of “discussiefora”) ook gekoppeld waren aan de bijdragen van de betrokkene. De klacht wordt derhalve door de Oostenrijkse toezichthouder afgewezen. De beslissing is definitief en absoluut.

PrivacyZone schenkt regelmatig aandacht aan juridische uitspraken rond de Europese privacywetgeving elders in de EU. Deze uitspraken zouden impact kunnen hebben op jurisprudentie in soortgelijke kwesties in Nederland.

AVG verbiedt voetbalclubs blessure informatie over spelers te verstrekken

Als Neymar een theatrale duik maakt weten voetbalfans dat hij zeer waarschijnlijk niets mankeert. Maar als je ziet dat een andere speler na een harde tackle ogenschijnlijk zwaar geblesseerd van het veld wordt gedragen wil je als fan wel weten hoe het met hem is. Maar daar mag de club sinds 25 mei 2018 niets meer over vertellen.

De Algemene Verordening Gegevensbescherming (AVG) zorgt voor frustratie, onbegrip en angst voor forse boetes in de voetbalwereld. Het delen van de informatie over een blessure van een speler is met ingang van dit seizoen verboden.

De nieuwe privacywet AVG verbiedt clubs medische informatie te delen met supporters, sponsors, media en zelfs de trainer.

,,Als de speler zelf aangeeft wat zijn blessure is, is er geen probleem. Als iemand van de club dat doet, is dat niet toegestaan”, legt jurist Barry Dopmeijer van de werkgeversorganisatie van de Federatie van Betaald Voetbal Organisaties (FBO) uit in de Brabantse krant BN De Stem.

De nieuwe privacyregels gelden voor alle landen in de Europese Unie en dus voor alle sportcompetities daarbinnen. ,,Een medewerker van de club mag een speler niet naar zijn medisch dossier vragen. En een werkgever mag niet vragen wat jij als werknemer mankeert. Het is de wettelijke plicht daaraan te voldoen.”

De blessure is iets tussen de voetballer en de dokter.

De spelersvakbond VVCS vindt dat de privacy van profvoetballers net als andere werknemers beschermd moet worden. ,,De blessure is iets tussen de voetballer en de dokter”, laat de VVCS weten. ,,De dokter op zijn beurt heeft zich te houden aan een geheimhoudingsplicht en de speler heeft het recht om de informatie voor zichzelf te houden.”

Boetedreiging van 4 procent van jaaromzet voor voetbalclubs.

De Federatie Betaald Voetbal (FBO) adviseert voetbalclubs zich ondanks druk van de buitenwereld zich strikt aan de privacywet te houden. “Voetballers zijn veel in de media, maar het verstrekken van medische gegevens is ten strengste verboden. Daar staan aanzienlijke boetes tegenover, tot vier procent van de jaaromzet. Wij adviseren clubs om het niet zomaar te doen, het mag gewoon niet. Het is hetzelfde als met drank op achter het stuur. Daar loop je een groot risico mee.”

De FBO heeft wel een tip voor clubs. ,,De verwachtte terugkeertijd kan worden aangegeven, dan geef je als club niks prijs over medische gegevens.”