Europese toezichthouders zouden los van e-privacywet willen beginnen met geautomatiseerde controles op cookies en tracking

Volgens de Duitse site Golem willen Europese toezichthouders vooruitlopend op de e-privacywet binnenkort op basis van de AVG al handhavend gaan optreden tegen bedrijven die zich niet houden aan bestaande regels voor cookies en tracking.

Europese toezichthouders, zoals de Autoriteit Persoonsgegevens (AP) in Nederland, zijn volgens Golem van plan in november in onderling overleg een besluit te nemen over controles op naleving van de cookieregelgeving.

Golem baseert deze conclusie op informatie van de toezichthouders in de Duitse deelstaten Beieren en Niedersachsen en het Duitse ministerie van Economische zaken.

Handhaving cookieregels kan ook zonder e-privacywet al op basis AVG

De toezichthouders zouden in onderling overleg hebben vastgesteld dat zij op basis van de AVG nu al de mogelijkheid hebben om te handhaven. Ook zonder de e-privacywet.

In november vindt er weer gezamenlijk overleg van de Europese toezichthouders plaats. Dan zou dit punt op de agenda staan.

De Autoriteit Persoonsgegevens van de Duitse deelstaat Beieren (Bayerisches Landesamt für Datenschutzaufsicht) gaf volgens Golem in april 2018 al aan dat het gebruik wil maken van geautomatiseerde opvragingen van internetpagina’s om te controleren of de dienstverleners daadwerkelijk toestemming van de gebruikers krijgen. Tot op heden is dat nog niet gebeurd.

Politiek en ondernemers zijn de regie kwijt

Als de toezichthouders inderdaad vooruitlopend op de e-privacywet al willen gaan handhaven is dat een fikse streep door de rekening voor veel politici en bedrijven. Ze zijn de regie kwijt.

De ontwikkeling lijkt haaks te staan op de opdracht die het kabinet van een meerderheid van de Tweede Kamer heeft gekregen na een motie van regeringspartij VVD.

Het kabinet moet de bureaucratische impact van de beoogde nieuwe Europese e-privacyregels op het bedrijfsleven nog eens onderzoeken.

Negatieve economische effecten e-privacywet

Ondernemersorganisaties in heel Europa waarschuwen al maandenlang voor negatieve effecten van de wet. Ondernemers worstelen nu al met de AVG.

En de ondernemers vrezen dat de Europese privacytrein doordendert zonder rekening te houden met de belangen van bedrijven en de impact op de economie.

De Europese toezichthouders geven nu eigenlijk aan dat zij ook zonder de e-privacywet al kunnen optreden. Dat kan op basis van de Telecomwet waarin al veel zaken zijn vastgelegd die ook in de e-privacywet zouden moeten komen.

Waarom moet er dan een nieuwe wet komen?, kun je je afvragen.

De e-privacyverordening (ePV) heet voluit: “Verordening van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie)”.

Het is een Europese verordening die de e-privacyrichtlijn (Richtlijn 2002/58/EG) moet vervangen, omdat zij beter zou zijn afgestemd op de nieuwe technologische realiteit.

De aanpassingen omvatten onder andere verbetering van de beveiliging en vertrouwelijkheid van communicatie, het definiëren van duidelijkere regels over volgtechnologieën zoals cookies en meer harmonisatie tussen de lidstaten.

E-privacywet krijgt voorrang boven AVG

De e-privacyverordening is bedoeld als zogenaamde lex specialis bij de AVG. Een lex specialis (Latijn voor bijzondere wetgeving) is een wet, die voorrang krijgt boven de algemene wetgeving (de lex generalis). 

De e-privacyverordening geeft meer invulling aan de algemene AVG regels door ze toe te passen en te specificeren als het specifiek gaat om elektronische communicatiegegevens die als persoonsgegevens worden aangemerkt. 

Trackingtechnologie en direct marketing

De nieuwe e-privacyverordening richt zich op bedrijven die online communiceren, gebruik maken van tracking technologieën en direct marketing.

Het startpunt is de AVG, maar in de specifieke gevallen waarin een organisatie te maken heeft met elektronische communicatiegegevens zal de e-privacyverordening leidend zijn.

E-privacywet had eigenlijk tegelijk met AVG van kracht moeten worden

Eigenlijk had de E-privacywet in mei 2018 in werking moeten treden op hetzelfde tijdstip als de Algemene Verordening Gegevensbescherming.

Maar tot op heden zijn de EU-lidstaten het nog steeds niet eens kunnen worden over een gemeenschappelijk standpunt.

Volgens de toezichthouders moet daarom worden voldaan aan de eisen van de AVG en niet langer aan de bepalingen van de Telecomwet, waar de cookierichtlijn nu bijvoorbeeld nog onder valt.

Bedrijven vrezen hoog inkomstenverlies

Internetbedrijven in heel Europa lobbyen al maandenlang tegen de plannen.

Mediabedrijven vrezen dat de reclame-inkomsten sterk zullen dalen omdat gepersonaliseerde reclame bemoeilijkt zal worden door de verplichting om goedkeuring te verkrijgen voor het volgen (tracking) van website bezoekers.

Als tracking moeilijker wordt wordt het voor ondernemers moeilijker om doelgroepen efficient en effectief te bereiken. Zij realiseren dan minder omzet. En omdat de online reclame minder goed werkt zullen ze minder gaan adverteren, is de verwachting.

‘Alleen mediabedrijven met inlogmodel hebben nog bestaansrecht’

Mediabedrijven gaan ervan uit dat alleen aanbieders met inlogmodellen na invoering van de e-privacyregels nog een kans hebben op de reclamemarkt.

De lobby van bedrijven in heel Europa tegen de e-privacywet lijkt effect te hebben. Het Nederlandse kabinet heeft dus opdracht gekregen er nog eens goed naar te kijken.

Dat is ook in Duitsland gebeurd, waar grote uitgevers als Axel Springer en Bertelsmann veel invloed hebben op de politiek.

Politiek kan zich in verband met regionale, nationale en Europese verkiezingen geen conflict met media en bedrijfsleven veroorloven

De regeringspartijen CDU/CSU en SPD kunnen zich gelet op de wankelijke positie waarin zij op basis van polls en aardverschuivingen na de recente verkiezingen in Beieren geen conflict met de media, bedrijfsleven en publiek veroorloven.

Brussel is niet populair. De negatieve reacties op de Algemene Verordening Gegevensbescherming zeggen voldoende.

De Duitse regering verwerpt de huidige voorstellen van het Europees Parlement en de Europese Commissie. Nederland heroverweegt de voorstellen.

De e-privacywet wordt waarschijnlijk over de Europese verkiezingen heen getild

De e-privacyverordening had aanvankelijk dus tegelijk met de AVG op 25 mei 2018 moeten worden gelanceerd. Daarna werd gezegd dat het iets later zou worden. Uiterlijk eind dit jaar. Dat gaat zeker ook niet lukken.

Gelet op de problemen rond Brexit en de politieke onrust in bijna alle Europese landen willen veel politici er niet nog een hete aardappel bij hebben.

Volgend jaar Europese verkiezingen

Bovendien komen er volgend jaar Europese verkiezingen aan. De verwachting is dan ook dat een definitief besluit over de e-privacywet wordt door geschoven tot na de Europese verkiezingen.

Daar lijken de Europese toezichthouders dus niet op te willen wachten.

Twitter weigert te vertellen welke persoonsgegevens worden verzameld. Ierse toezichthouder start onderzoek

De Ierse privacytoezichthouder DPC stelt een onderzoek in naar Twitter. Dit in verband met de weigering van het bedrijf om de Britse onderzoeker Michael Veal informatie te verstrekken over hoe het hem volgt wanneer hij op verkorte links in tweets klikt.

Twitter is op basis van de Algemene Verordening Gegevensbescherming (AVG / GDPR) verplicht om die gegevens binnen een maand te verstrekken.

Als Twitter gebruikers links in tweets plaatsen, past de dienst zijn eigen link-shortening service, t.co, op hen toe.

Twitter zegt dat dit het platform in staat stelt om te meten hoe vaak er op een link is geklikt, en helpt het om de verspreiding van malware tegen te gaan door middel van dodgy links.

Welke informatie verzamelt Twitter via de verkorte links?

Privacy onderzoeker Michael Veale, die werkt aan het University College London, vermoedt dat Twitter meer informatie krijgt als mensen op t.co links klikken. En dat Twitter dankzij de url-verkorters mensen kan volgen terwijl ze op het web surfen, door cookies in hun browsers achter te laten.

Veale vroeg meteen nadat de Europese privacyverordening op 25 mei 2018 van kracht werd Twitter om hem alle persoonsgegevens te verstrekken die het social media bedrijf over hem in zijn bezit heeft.

Twitter weigerde de gegevens echter te verdtrekken.

In augustus diende Veale een klacht in bij de Ierse Commissie voor gegevensbescherming (DPC), die hem donderdag vertelde dat zij een onderzoek opende.

Zoals gebruikelijk is bij grote technische bedrijven, zijn de Europese activiteiten van Twitter gevestigd in Dublin, vandaar dat Veale klaagde in Ierland.

Ierse toezichthouder DPC bevestigt onderzoek naar Twitter

“DPC heeft een formeel statutair onderzoek met betrekking tot uw klacht in werking gesteld”, schreef de Ierse waakhond in een brief aan Veale. “In het onderzoek zal worden onderzocht of Twitter al dan niet heeft voldaan aan zijn verplichtingen in verband met het onderwerp van uw klacht en zal worden vastgesteld of de bepalingen van de GDPR of de [Ierse Wet Bescherming Persoonsgegevens] in dit opzicht door Twitter zijn overtreden”.

De toezichthouder zei ook dat de klacht waarschijnlijk zal worden behandeld door de nieuwe Europese gegevensbeschermingsraad, een orgaan dat de nationale gegevensbeschermingsautoriteiten helpt bij het coördineren van hun inspanningen op het gebied van de handhaving van het GDPR, aangezien de klacht van Veale “grensoverschrijdende verwerking met zich meebrengt”.

Twitter zegt dat verstrekken informatie onevenredige inspanning vergt

Twitter onderbouwde de weigering om de gegevens die verzameld worden via tracking door t.co door te verwijzen naar “disproportionele inspanning” gronden in de GDPR. Bedrijven hoeven geen buitenproprtionele inspanningen te verrichten om gegevens te verstrekken.

Volgens Veale intrepreteert Twitter de tekst van de privacywet verkeerd. De vrijstelling kan volgens hem niet worden gebruikt om zogenaamde toegangsverzoeken, zoals hij indiende, te beperken.

Dit lijkt het eerste GDPR-onderzoek te zijn dat in verband met Twitter wordt geopend.

Veale heeft onlangs een soortgelijk onderzoek naar Facebook op gang gebracht, opnieuw in verband met een weigering om gegevens over de webbrowseractiviteiten van gebruikers over te dragen, maar Facebook (fb) was al het onderwerp van meerdere GDPR-onderzoeken.

De Britse onderzoeker zei dat Twitter zeker de tijden registreert waarop gebruikers op links klikken en waarschijnlijk ook informatie over de soorten apparaten die ze gebruiken.

Volgens Veale is het technisch mogelijk voor Twitter om de ruwe locatie van de gebruiker te bepalen. In het privacystatement van Twitter staat dat adverteerders IP-adressen kunnen verzamelen wanneer mensen op hun links klikken. Maar het is onduidelijk wat Twitter doet met de informatie die het via zijn t.co service oogst. Gebruikers hebben volgens de AVG het recht om dat te weten.

Als wordt vastgesteld dat bedrijven de voorwaarden van de GDPR overtreden, worden zij geconfronteerd met boetes tot 20 miljoen euro (23,2 miljoen dollar) of tot 4% van de wereldwijde jaarlijkse inkomsten, afhankelijk van wat het hoogste is. De opbrengsten van 2017 van de tjilpen bedroegen $2.4 miljard, zodat kon een boete GDPR in theorie aan $96 miljoen voor het bedrijf lopen-alhoewel dit Ierse DPC zou vereisen om te beslissen de inbreuk bijzonder flagrant was.

Twitter had op het moment van schrijven niet gereageerd op verzoeken om commentaar.