Geschreven door Lynn Vleugels, semesterstagiaire bij het team corporate en IP/ICT recht.

In het kader van de Digital Single Market strategie wordt de Europese regelgeving inzake digitale diensten grondig herzien (e-commerce, telecom, online platformen,…). Ook op het vlak van privacy en gegevensbescherming wordt het wetgevend kader hervormd. Als aanvulling op de Algemene Verordening Gegevensbescherming (GDPR) en de nieuwe NIS- richtlijn, die beide 25 mei 2018 van toepassing worden, is er nu ook een voorstel gepubliceerd voor hervorming van de e-Privacy Richtlijn.

Het voorstel beoogt strengere privacyregels, in lijn met de strikte GDPR, voor alle elektronische communicatiediensten die gericht zijn aan eindgebruikers in de EU. Net zoals met de GDPR wordt de huidige richtlijn veranderd in een verordening, die de regels rechtstreeks toepasselijk maakt, in de hele EU.

Allereerst wordt in het voorstel het toepassingsgebied verruimd. Daar waar de huidige richtlijn zich louter tot de traditionele telecombedrijven richt, zou de verordening ook van toepassing zijn op marktspelers die communicatiediensten via het internet aanbieden, de “over-the-top” diensten (OTT) zoals Whatsapp, Skype, Facebook Messenger en e-maildiensten. Daarnaast zou de verordening ook toepassing vinden wat betreft elektronische communicatie tussen apparaten, het Internet of Things (IoT).

Het voorstel bevat ook nieuwe regels voor de opslag en verwijdering van de elektronische berichten en de metadata ervan (afkomst, datum,…). Na ontvangst moeten de dienstverleners de inhoud verwijderen of anonimiseren, tenzij ze uitdrukkelijke toestemming hebben bekomen van de eindgebruiker om de gegevens op te slaan of te verwerken, mits dat noodzakelijk is om de dienst te verlenen. Ook de metadata moeten worden verwijderd of geanonimiseerd behoudens toestemming, of indien ze noodzakelijk zijn voor de betaling of het opsporen van misbruik van de dienst.

Daarnaast wijzigt het voorstel de regels inzake ‘cookies’. De voorwaarden om cookies te plaatsen zijn: een actieve toestemming van de eindgebruiker en het weergeven van een duidelijke en specifieke reden voor het gebruik ervan. Volgens de nieuwe regels is echter geen toestemming meer nodig om de website of communicatie vlot te laten verlopen of om het aantal bezoekers te tellen. Met het voorstel zou de controle op de privacy-instellingen in het algemeen, waaronder het al dan niet accepteren van cookies, makkelijker worden.

Ook voor SPAM (of: ongewenste communicatie voor reclamedoeleinden) biedt het voorstel betere waarborgen. Voor alle elektronische (ook telefonische) marketing is toestemming nodig. Het wordt vereist dat callcenters, mits een speciale prefix of nummer, duidelijk maken dat het om reclame gaat. Wat betreft B2B-relaties stelt het voorstel dat de lidstaten zelf bepalen hoe ze ondernemingen hierbij voldoende kunnen beschermen.

Een laatste belangrijke wijziging betreft het sanctiemechanisme. Overeenkomstig de GDPR, zouden boetes kunnen worden opgelegd die tot 20 miljoen euro of 4% van de vorige globale jaaromzet.

Het blijft echter koffiedik kijken of ook deze hervormde verordening op 25 mei 2018 in werking kan treden, samen met de GDPR en de NIS-richtlijn.