Waarom vragen om nieuwe bevoegdheden als de oude wellicht volstaan?

Europees voorstel over ePrivacy aangekondigd. Een eerste indruk

In overheidsspace no one hears you scream

Vandaag kwam de Europese Commissie met het langverwachte voorstel voor nieuwe regels over onder andere de vertrouwelijkheid van je communicatie, (online) tracking en cookies. Een eerder uitgelekte versie van het voorstel was veelbelovend. Maar na een eerste lezing van de tekst lijkt de Commissie op diverse onderdelen toch te zijn gezwicht voor de Brusselse lobby. Wat gaat er veranderen? Een eerste indruk.

Uitbreiding naar online diensten
Misschien wel de belangrijkste verandering is dat er een uniform Europees regime komt dat niet alleen voor de traditionele telecomproviders gaat gelden maar ook voor online communicatiediensten, zoals WhatsApp, Gmail, Skype en Facebook.

Dat is een belangrijke stap. Het betekent namelijk dat zowel de inhoud als informatie over jouw communicatie niet zomaar door anderen onderschept mag worden. De vertrouwelijkheid van je communicatie moet dus gewaarborgd worden, ongeacht of je nu mobiel belt, een appje stuurt of een mailtje stuurt via Gmail. Daarbij maakt het niet uit of de aanbieder van de dienst wel of niet in Europa gevestigd is.

De nieuwe regels zullen ook gaan gelden voor de communicatie tussen apparaten (machine-to-machine communications). Dit betekent dat de communicatie tussen bijvoorbeeld jouw thermostaat en energieleverancier ook niet zomaar zonder je toestemming onderschept mag worden. Overigens gelden er wel uitzonderingen op de verplichting om de vertrouwelijkheid van je communicatie te waarborgen. Zo kunnen geheime diensten en opsporingsdiensten nog steeds communicatie tappen.

Tracking
Een heet hangijzer van het voorstel vormt de bepaling (artikel 8) die onder andere gaat over het volgen van je gedrag online. Het gebruik van cookies en device fingerprinting valt hier bijvoorbeeld onder. In zekere zin blijft het regime op hoofdlijnen hetzelfde: voorafgaande toestemming is in veel gevallen nog steeds vereist. Als partijen je online willen volgen – bijvoorbeeld met third party trackers – dan zullen ze toch echt eerst je toestemming moeten krijgen. Die toestemming mag straks via je browserinstelling gegeven/ingetrokken worden. Wat wel verandert, is dat er meer uitzonderingen zijn op dit toestemmingsvereiste. Zo hoeven partijen volgens het voorstel geen toestemming meer te vragen voor hun eigen analytic cookies waarmee ze hun bezoekersstatistieken kunnen bijhouden. Een vergelijkbare uitzondering geldt overigens al in Nederland.

Het is teleurstellend om te zien dat het voorstel niet regelt dat je de vrijheid hebt om toegang te krijgen tot online informatie en diensten zonder dat je verplicht bent om je gedrag in kaart te laten brengen, bijvoorbeeld  door een cookiewall op te werpen. Dit zou volgens ons zeker moeten gelden voor websites en apps van overheden en andere (semi-)publieke instellingen, zoals ziekenhuizen. In Nederland geldt een dergelijke regeling nu al voor overheidsinstellingen. Nu de vereiste toestemming in lijn moet zijn met de algemene Europese Privacyregels, valt er misschien iets tegen dergelijke praktijken te doen, maar het zou beter zijn als op Europees niveau de Nederlandse praktijk gevolgd wordt.

Grootste misser: geen privacy by default
Een eerdere, uitgelekte versie van het voorstel verplichtte hardware- en softwareleveranciers om hun producten standaard te voorzien van privacyvriendelijke instellingen. Dus bij de aanschaf van een nieuwe smartphone of de installatie van een nieuwe webbrowser zou je erop mogen vertrouwen dat je smartphone of surfgedrag niet zomaar gevolgd kan worden zonder dat je hiervoor de instellingen wijzigt.

Een dergelijke default instelling is ontzettend effectief in het tegengaan van het ongewenst delen van persoonlijke informatie met derden, maar de advertentie-industrie was hier faliekant tegen. Ondank het feit dat maar liefst 89% van de burgers in de EU voor de invoering is van dergelijke privacy by default instellingen, heeft de Europese Commissie dit vereiste in het nieuwe voorstel geschrapt. Ondanks deze duidelijke boodschap van Europese burgers, geeft de Europese Commissie hier duidelijk toe aan de Brusselse lobby van de advertentie-industrie.

In het huidige voorstel hoeven aanbieders van software, zoals browserleveranciers, alleen nog de optie aan te bieden om het plaatsen en uitlezen van cookies onmogelijk te maken. Deze optie moet wel tijdens de installatie van de software worden aangeboden en gebruikers moeten dan een keuze maken. Of dit in de praktijk goed gaat werken is maar zeer de vraag en het is onduidelijk of deze optie geldt voor alle tracking-methoden.

Handhaving
Waar het toezicht op de huidige ePrivacyregels voor het overgrote deel in handen is van de telecomtoezichthouders – in Nederland is dat de Autoriteit Consument en Markt – zal dit straks in handen komen van de privacytoezichthouder. In Nederland is dat de Autoriteit Persoonsgegevens. Aangezien het grootste deel van het nieuwe voorstel veel raakvlakken heeft met de nieuwe Europe Privacregels, is dat een logische en goede stap.

Een andere belangrijke positieve wijziging is dat straks de toezichthouder fikse boetes kan opleggen aan partijen die de nieuwe regels overtreden. Zo kan het overtreden van de trackingbepaling (o.a. cookies, WiFi-tracking) leiden tot een boete van maximaal 10 miljoen euro of 2% van de wereldwijde omzet. Voor het schenden van de vertrouwelijkheid van communicatie en de regels voor het gebruiken en opslaan van communicatiedata kan de boete zelfs oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet.

Het is wel echt teleurstellend dat de mogelijkheid voor (non-profit) organisaties om bij overtredingen van de nieuwe regels een klacht in te dienen bij de toezichthouder of naar de rechter te stappen om een collectieve actie te starten, in het nieuwe voorstel geschrapt is. Een dergelijke regeling geldt wel voor de nieuwe Europese Privacyregels. Waarom dit niet ook voor de nieuwe ePrivacy regels geldt, is onbegrijpelijk.

Gelukkig maakt dit voor de situatie in Nederland weinig uit. Hier zijn collectieve acties door stichtingen en verenigingen al mogelijk. Maar voor effectieve bescherming van onze rechten is het van groot belang dat dit in iedere Europese lidstaat mogelijk wordt.

Hoe nu verder?
Het voorstel van de Europese Commissie moet nu nog langs het Europees Parlement en de regeringen van de lidstaten (de Raad). Er kan dus nog veel veranderen. Het is daarom van groot belang dat Europarlementariërs en onze regering opkomen voor de vertrouwelijkheid van onze communicatie en de vrijheid om onbespied in onze digitale samenleving te kunnen opereren.

Op diverse punten is een goede start gemaakt, maar het kan op veel onderdelen nog stukken beter. Wij, en onze collega’s bij EDRi, gaan onze uiterste best doen om ervoor te zorgen dat dit ook gebeurt. Ideeën over hoe het voorstel verbeterd kan worden? Laat het ons weten!

Update 12/1: Vermelding ‘Europese Raad’ gecorrigeerd naar Raad van de Europese Unie (Raad).

  1. Bas Grutjes

    Het lijkt me dat een zeer praktisch gevolg van het voorstel wel wat duidelijker uitgelicht mag worden.

    Als straks een kwart van de websites op zwart gaan als je geen cookies of ads accepteert (want ook mensen met adblockers mogen volgens dit voorstel geweigerd worden, begreep ik), gaat natuurlijk niemand elke keer bij elke website in zijn instellingen lopen klooien om dat ene bezoek mogelijk te maken, en daarna cookies en ads weer uit te zetten.

    Het gevolg wordt dus dat iedereen standaard alle cookies en ads gaat accepteren.

    Superslechte zaak dit.

    • David Korteweg

      Die ontwikkeling is inderdaad een slechte zaak. Overigens zal het bij voorbaat standaard accepteren van alle tracking-methodes, waaronder cookies, juridisch gezien vrijwel zeker geen geldige toestemming opleveren. De waarde van zo’n algemene instelling zal dan vrij beperkt zijn. Partijen die hun tracking-activiteiten baseren op deze algemene instelling lopen dan een aanzienlijk risico in strijd te handelen met de voorgestelde Europese ePrivacy verordening.

    • Johan Vromans

      Nog los van het feit dat je in de meeste cookie/script/ad-blockers eenmalig per site kunt instellen wat er wel en niet is toegestaan kun je je bij het bezoeken van zo’n site ook de vraag stellen: Heb ik deze site wel nodig?
      Vaak is het een linkje waarvan je even wilt weten wat er te lezen valt. Nou, jammer dan.

    • De Weyze

      Een adblocker is wel wat anders dan cookies

  2. Toine

    Maar toch blijven de gemeentes in nederland WhatsApp klik-groepen gebruiken.

    Net alsof privacy, met twee maten gemeten. Viva Hollanda!

    • Peter1984

      Het is wat off-topic, maar ben het wel geheel eens. Hier hetzelfde: allemaal borden met buurtprevententie en een extreem groot Whatsapp logo erop. Bedoeling is super goed, maar echt absurd dat de gemeente op zo’n actieve manier gratis reclame maakt voor 1 commercieel bedrijf (Facebook). Waarschijnlijk is het ook helemaal niet toegestaan om reclame te maken voor een bedrijf door een gemeente (zie vergelijking met campagne door FSF waarbij op overheidswebsite reclame voor Adobe PDF readers wordt gemaakt), maar ga maar eens klagen….ik durf het gewoon niet….je krijgt gelijk een stempel…

    • gs1966

      In aanvulling hierop (en peter1984) citeer ik nog het volgende uit bovenstaand artikel:

      Dit zou volgens ons zeker moeten gelden voor websites en apps van overheden en andere (semi-)publieke instellingen, zoals ziekenhuizen. In Nederland geldt een dergelijke regeling nu al voor overheidsinstellingen.

      O ja?
      Volgens moet je apps van (semi)-overheidsinstellingen via Googeplay
      downloaden, en dus een account hebben waarmee je gedrag ook door Google in kaart gebracht wordt. Waarom wordt de beschikbaarheid van overheidsapps gemonopoliseerd via een bedrijf? Die apps mi. sowieso open source te zijn en in elk geval ook via f-droid.org verkrijgbaar te zijn. Of desnoods via een website (wat is daar mis mee)?
      Ik heb dit weleens nagevraagd voor specifieke apps maar krijg daar nooooit antwrrod op.

  3. Hella Prins

    Zou het oook prettig vinden als elke webwinkel verplicht zou zijn om gastinlog mogelijk te maken, zodat je niet verplicht bent om een account aan te maken. Meestal moet je dan voorwaarden accepteren waarin ook “derden” zijn betrokken. In een fysieke winkel hoef je ook geen account aan te maken, hoewel je vaak wel om je mailadres wordt gevraagd of een klantenkaart krijgt aangeboden. Maar je hebt een keus. Online meestal niet.

    • Wouter

      Dit vindt ik een heel goed voorstel! Zou dit een optie voor verbetering kunnen zijn David?

      • David Korteweg

        Dit is inderdaad een goed voorstel en mooi voorbeeld. Helaas zien we dat de praktijken uit de online wereld eerder de praktijken in de fysieke wereld beïnvloeden dan andersom. Denk bijvoorbeeld aan de toenemende praktijk om mensen in winkels en winkelstraten via het Wifi-signaal van hun smartphone te volgen.

  4. Hester

    Van WhatsApp overstappen naar Signal is al iets meer privacy.

    • Kea

      En de nieuwe Europese zoekmachine Qwant.com is ook een verbetering !
      Bij Google begint de slang ( surveillance capitalism) nu in zijn eigen staart te bijten. Google heeft zich door een Britse journaliste laten betalen om een zoekresultaat van Wikipedia over Holocaust-ontkenning vooraan te krijgen, want anders staat in de Engelstalige versie het resultaat van nazi’s vooraan. Dat gebeurde weer toen zij door haar geld heen was.

    • Peter1984

      Bedankt voor de tip Qwant.nl. Kende ik nog niet. Eens proberen. Lijkt goed initiatief, maar ben altijd op de hoede. Heb de FAQ even snel bekeken, maar het is mij niet duidelijk hoe zij gefinancieerd worden. Dit zegt meestal veel over de werkelijke agenda en intenties.

  5. Kea

    Teleurstellend dit. Het is een voorstel, wellicht kan er nog invloed worden uitgeoefend voordat het wordt aangenomen? Wat kunnen we doen?

  6. Blabla

    Wil even melden dat het voorstel niet langs de Europese Raad moet, wel langs de Raad van Ministers. De Europese Raad is de samenkomst van premiers etc. De Raad van Ministers is het wetgevende orgaan waarbij ministers van de relevante materie samenkomen om te stemmen en of amendementen voor te stellen.

    • David Korteweg

      Het voorstel moet inderdaad langs de Raad van de Europese Unie (ook wel de ‘Raad van Ministers’ of simpelweg de ‘Raad’ genoemd). De Europese Raad heeft geen wetgevende taak. De twee instellingen werden per abuis door elkaar gehaald. Het is aangepast.

  7. Peter1984

    Het lijkt erop dat het gelijkschakelen van online communicatiediensten met traditionele telecomprovider als positief wordt beschouwd. Ik zie echter een groot gevaar: traditionele telecomprovider moeten aftapbaar zijn. Nu lees ik nog “Zo kunnen geheime diensten en opsporingsdiensten nog steeds communicatie tappen”. Het woord “kunnen” zal ik het proces totdat het definitieve wetgeving is wel eens vervangen kunnen worden door “moeten”. Het zou best een listige truc om het onderhandelingsproces kunnen zijn om de gewenste backdoors (in Whatsapp, Signal, etc.) er eindelijk door te krijgen.

    Zien jullie dit gevaar ook?

    • David Korteweg

      Het punt dat je aankaart is voor ons ook een grote zorg. De gebruikte begrippen in het ePrivacy-voorstel, zoals ‘online communicatiediensten’, zijn deels ontleend aan een ander Europees voorstel dat de telecommunicatiesector reguleert (European Electronic Communications Code). Het zal o.a. gaan afhangen hoe dit andere voorstel in Nederland wordt geïmplementeerd. Zullen online communicatiediensten gelijkgesteld worden aan traditionele telecommunicatiediensten waarvoor een aftapbaarheid- en medewerkingsverplichting geldt (hoofdstuk 13 in de Telecommunicatiewet) of komt er een nieuwe categorie waarvoor deze verplichtingen niet gelden? We houden het scherp in de gaten.

  8. Peter1984

    “Ondank het feit dat maar liefst 89% van de burgers in de EU voor de invoering is van dergelijke privacy by default instellingen, heeft de Europese Commissie dit vereiste in het nieuwe voorstel geschrapt.”

    Ik schrik hier enorm van! Hoe is dit toch mogelijk dat dit gewoon genegeerd wordt door politici? Ze zijn toch door burgers gekozen en afgevaardigd, niet door de advertentie-industrie! Met zo’n percentage zou het via een referendum snel gecorrigeerd kunnen worden door burgers, maar die mogelijkheidheid zal wel niet bestaan?

  9. Alex

    Zolang het kapitalistische verdienmodel bepaalt hoe internet-bedrijven hun winst maken en (bijna) iedereen zwicht voor de poen, moeten we wat realistischer omgaan met onze verwachtingen over “onze” volksvertegenwoordigers (zie het stuk van Ewald Engelen over Eric Ronnets en Jaco Geurts, FTM 060117). Wat voor pressiemiddelen heeft BOF ? De analyse van het Brusselse functioneren (diverse bronnen) liegt er niet om : we zijn als burgers overgeleverd aan the corporate world. Zelfs Herman Wijffels heeft dat onder de aandacht gebracht. En dat zal alleen maar veranderen als we voldoende tegenwicht bieden : door geen gebruik meer te maken van al die zg gratis diensten. Maar dat is een utopie als je kijkt naar de verwachtingen van de gemiddelde internet gebruiker.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.