E-privacyverordening vult regels AVG aan
Demissionair minister Kamp van Economische Zaken heeft in een Kamerbrief vragen beantwoord over de nieuwe Algemene Verordening Gegevensbescherming (AVG) en de e-privacyverordening. In zijn brief gaf hij aan dat de AVG los staat van de elektronische communicatie over persoonsgegevens.
Het grootste deel van de Nederlandse regels over e-privacy is momenteel nog vastgelegd in artikel 11.7a van de Telecommunicatiewet. De verwerking van persoonsgegevens wordt per 25 mei 2018 geregeld in de AVG. De Europese Commissie heeft onlangs echter ook een voorstel voor de e-privacyverordening gepubliceerd. Deze verordening staat los van de AVG en vult de AVG aan. De e-privacyverordening bestaat uit aanvullende regels voor elektronische communicatie over persoonsgegevens, zoals e-mails en cookies. Voor organisaties die met de AVG én de e-privacyverordening aan de slag gaan, is het belangrijk om te weten dat de e-privacyverordening altijd voorgaat op de AVG. Beide verordeningen treden op 25 mei 2018 in werking. Alle nationale regels, die lidstaten van de Europese Unie voor de elektronische communicatie over persoonsgegevens hebben opgesteld, komen te vervallen nadat de e-privacyverordening in werking is getreden.
Een aantal regels uit de e-privacyverordening
Het toezicht op de naleving van de regels uit de AVG is uitbesteed aan de Autoriteit Persoonsgegevens. Demissionair minister Kamp wil de Autoriteit Consument en Markt bij dit toezicht betrekken, voor zover het om de naleving van de e-privacyverordening gaat. Hoe de nieuwe regelgeving er precies uit gaat zien, blijkt uit een aantal voorbeelden:
- Er worden eisen gesteld aan software (zoals een browser of app). De eindgebruiker moet kunnen voorkomen dat derden informatie, waaronder cookies, plaatsen en voor welke periode. Klanten van uw organisatie moeten vanaf 25 mei 2018 dus een specifieke keuze kunnen maken als zij de website of webwinkel (tool) bezoeken.
- Als de verwerking van persoonsgegevens niet noodzakelijk is, mogen organisaties geen cookiewall hanteren. Dit betekent dat organisaties klanten, die niet instemmen met de plaatsing van cookies, niet mogen blokkeren als zij hun website bezoeken.
- Organisaties die onder de e-privacyverordening vallen, moeten technische en organisatorische maatregelen treffen om de beveiliging van persoonsgegevens te garanderen.
- De meldplicht (tools) uit de e-privacyverordening komt overeen met de AVG. Uiterlijk 72 uur nadat de verwerkingsverantwoordelijke kennisneemt van een datalek, moet dit worden gemeld.