Kamerstuk

Datum publicatieOrganisatieVergaderjaarDossier- en ondernummer
Tweede Kamer der Staten-Generaal2016-201722112 nr. 2306

22 112 Nieuwe Commissievoorstellen en initiatieven van de lidstaten van de Europese Unie

Nr. 2306 BRIEF VAN DE MINISTER VAN BUITENLANDSE ZAKEN

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 17 februari 2017

Overeenkomstig de bestaande afspraken ontvangt u hierbij 6 fiches, die werden opgesteld door de werkgroep Beoordeling Nieuwe Commissievoorstellen (BNC).

Fiche: Mededeling opbouwen van een Europese Data-Economie (Kamerstuk 22 112, nr. 2305);

Fiche: Verordening vervanging van de ePrivacyrichtlijn door een ePrivacyverordening;

Fiche: Mededeling veiliger en gezonder werk voor iedereen (Kamerstuk 22 112, nr. 2307);

Fiche: Mededeling bescherming werknemers tegen carcinogene of mutagene agentia (Kamerstuk 22 112, nr. 2308);

Fiche: Verordening bescherming persoonsgegevens in een geglobaliseerde wereld (Kamerstuk 22 112, nr. 2309);

Fiche: Verordening gegevensbescherming EU-instellingen (Kamerstuk 22 112, nr. 2310).

De Minister van Buitenlandse Zaken, A.G. Koenders

Fiche: Vervanging van de ePrivacyrichtlijn door een ePrivacyverordening

1. Algemene gegevens

  • a) Titel voorstel

    Voorstel voor een Verordening concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC

  • b) Datum ontvangst Commissiedocument

    11 januari 2017

  • c) Nr. Commissiedocument

    COM (2017) 10

  • d) EUR-Lex

    http://eur-lex.europa.eu/legal-content/NL/TXT/?qid=1485172927841&uri=CELEX:52017PC0010

  • e) Nr. impact assessment Commissie en Opinie Impact-assessment Board

    SWD (2017) 3

  • f) Behandelingstraject Raad

    Vervoer, Telecom en Energie (VTE)

  • g) Eerstverantwoordelijk ministerie

    Economische Zaken

  • h) Rechtsbasis

    Artikel 16 en artikel 114 van het Verdrag betreffende de werking van de Europese Unie

  • i) besluitvormingsprocedure Raad

    Gewone wetgevingsprocedure met gekwalificeerde meerderheid

  • j) rol Europees parlement

    Medebeslissing

2. Essentie voorstel

a) Inhoud voorstel

De Europese Commissie (hierna: de Commissie) heeft op 10 januari 2017 een voorstel tot een verordening op het gebied van privacy en elektronische communicatie gepubliceerd. De voorgestelde verordening vervangt de ePrivacyrichtlijn (2002/58/EG).

Het voorstel van de Commissie moet gezien worden in het kader van beleid dat de Commissie voert op het gebied van de zogenoemde digitale eengemaakte markt. Het voorstel beoogt, zo geeft de Commissie aan, het vertrouwen in en de veiligheid van digitale diensten te vergroten door te voorzien in een hoog beschermingsniveau van de privacy van gebruikers van elektronische communicatiediensten en een gelijk speelveld voor alle marktpartijen. Bovendien is beoogd te verzekeren dat de voorgestelde verordening consistent is met de Algemene verordening gegevensbescherming (2016/679 EU) uit april 2016.

Verordening in plaats van richtlijn

De Commissie heeft gekozen voor een verordening in plaats van een richtlijn omdat dit beter aansluit bij de algemene regels met betrekking tot privacy die immers, zoals hiervoor aangegeven, ook zijn vastgelegd in een verordening en omdat de keuze voor een verordening, aldus de Commissie, leidt tot consistentere toepassing binnen de EU.

Uitbreiding scope tot over de top aanbieders

Het merendeel van de regels uit de huidige ePrivacyrichtlijn heeft alleen betrekking op aanbieders die zelf elektronisch transport verzorgen. Dit is in het bijzonder het geval voor de verwerking van gegevens die aanbieders verkrijgen in het kader van hun dienstverlening en voor de geheimhouding van deze gegevens. In de voorgestelde verordening wordt de werkingssfeer van de regels uitgebreid tot zogenoemde over de top aanbieders, dat wil zeggen aanbieders van diensten die met gebruikmaking van het internet (intermenselijke) communicatie mogelijk maken zoals Skype en Facebook. Hiermee komt een einde aan de situatie waarin over de top aanbieders een soepeler regime hebben voor de verwerking van gegevens verkregen in het kader van de door hen geboden diensten dan de aanbieder van elektronische communicatiediensten.

Verruiming en beperking van de mogelijkheid elektronische communicatiegegevens te verwerken

De voorstellen van de Commissie voorzien in een, ten opzichte van het regime van de ePrivacyrichtlijn, iets ruimere mogelijkheid voor aanbieders van elektronische communicatienetwerken en diensten (waaronder nu dus ook de over de top aanbieders) om gebruik te maken van bij de dienstverlening verkregen informatie.

Zo wordt het mogelijk om, zonder toestemming van de eindgebruiker, de elektronische communicatiegegevens te verwerken om de veiligheid van het netwerk of de dienst te detecteren. Ook wordt de gegevensverwerking door aanbieders van elektronische communicatiediensten mogelijk, zonder toestemming van de eindgebruiker, indien deze verwerking nodig is voor het voldoen aan de kwaliteitseisen die op grond van het Europees wetboek voor elektronische communicatie (voorstellen van de Commissie ter vervanging van de Kaderrichtlijn, de Universele dienstrichtlijn, de Toegangsrichtlijn en de Machtigingsrichtlijn) voor de elektronische communicatiedienstverlening gelden. Hoewel de voorstellen voor de «klassieke» aanbieders van elektronische communicatienetwerken en -diensten een (beperkte) verruiming van de verwerkingsmogelijkheden vormen zijn zij voor de over de top aanbieders juist een beperking ten opzicht van de huidige situatie. Immers nu vallen de over de top aanbieders alleen onder richtlijn 95/46/EG (de Dataprotectierichtlijn) zoals die in Nederland is omgezet in de Wet bescherming persoonsgegevens. Deze zal worden opgevolgd door de Algemene Verordening Gegevensbescherming, welke vanaf 25 mei 2018 van toepassing wordt. Omdat over de top aanbieders tot nu toe niet onder de reikwijdte van de ePrivacyrichtlijn (2002/58/EG) vallen, kunnen zij persoonsgegevens verwerken als er sprake is van een van de verwerkingsgrondslagen van de Wet bescherming persoonsgegevens. Zo kunnen ze gegevens verwerken omdat er bijvoorbeeld sprake is van gegevensverwerking die noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is. Nu het de bedoeling van de Europese Commissie is om over de top aanbieders onder de reikwijdte van de nieuwe ePrivacyverordening te brengen, zullen de voorwaarden van die verordening op hen van toepassing zijn. De voorgestelde artikelen 6 en 7 bieden voor hen minder mogelijkheden om gegevens te mogen verwerken dan in de huidige situatie.

Cookiebepaling

De voorstellen van de Commissie brengen belangrijke wijzigingen aan in het regime met betrekking tot cookies (het plaatsen en/of lezen van informatie op het eindapparaat van een eindgebruiker). Onder de bestaande regels op grond van de ePrivacyrichtlijn is voor het plaatsen en lezen van informatie op het eindapparaat van een eindgebruiker de geïnformeerde toestemming nodig van de eindgebruiker. Daarop bestaan, onder het huidige regime, een tweetal uitzonderingen: toestemming is niet nodig als het plaatsen of lezen van de informatie technisch noodzakelijk is voor de communicatie, of nodig is voor het leveren van een dienst van de informatiemaatschappij. In Nederland is in artikel 11.7a van de Telecommunicatiewet een extra uitzondering opgenomen voor analytische cookies, dat wil zeggen cookies waarmee het functioneren van een website in de gaten kan worden gehouden. Deze uitzondering is toegevoegd om te voorkomen dat eindgebruikers onnodig, dat wil zeggen ook als hun privacy niet in het geding is, om toestemming wordt gevraagd. De Commissie neemt deze uitzondering over in haar voorstellen.

Voor een bepaalde categorie van informatie die via het eindapparaat van een eindgebruiker kan worden verkregen introduceert de Commissie een apart regime. Om verbinding te kunnen maken met een elektronisch communicatienetwerk of een ander apparaat stuurt een verbinding makend eindapparaat (telefoon, computer) gegevens (zoals IP adres, IMEI nummer en MAC adres) naar het netwerk of het andere apparaat. Tot nu toe viel het lezen/verwerken van deze gegevens onder het toestemmingsvereiste van de ePrivacyrichtlijn, respectievelijk artikel 11.7a van de Telecommunicatiewet. In de voorstellen van de Commissie komt ten aanzien van de door het eindapparaat verstrekte informatie een zogenoemd opt out regime te gelden. Dat wil zeggen dat de verwerking van de aldus verkregen informatie is toegestaan mits de gebruiker geen bezwaar heeft gemaakt tegen de verwerking.

De cookiebepaling heeft in de praktijk tot ergernis geleid bij de eindgebruiker omdat deze bij het gebruik van internet regelmatig wordt geconfronteerd met pop ups waarin hij over cookies wordt geïnformeerd en hem om toestemming wordt gevraagd. Uit de voorstellen blijkt dat de Commissie hier acht op heeft geslagen. De Commissie probeert het, zo blijkt uit de voorstellen, te bereiken dat toestemming voortaan kan worden afgeleid uit de browserinstellingen. Om dit te bereiken is in artikel 9 van de voorstellen expliciet opgenomen dat de toestemming, waar technisch haalbaar en mogelijk, kan worden gegeven door middel van de toepasselijke instellingen van een browser. Daarnaast stelt de Commissie een bepaling voor waarin software, zoals browsers, de mogelijkheid moet bieden om tegen te gaan dat derden informatie opslaan op een eindapparaat en/of informatie verwerken die al is opgeslagen op het eindapparaat. Ook moet bij de installatie van browsers aan de eindgebruiker duidelijk worden gemaakt welke instellingen hij met betrekking tot privacy kan kiezen en moet bij de installatie een keuze van hem worden verlangd.

Ongevraagde Communicatie

De voorstellen van de commissie op het gebied van ongevraagde communicatie (bijvoorbeeld spam) zijn goeddeels in lijn met het op dit moment op grond van de ePrivacyrichtlijn geldende regime zoals dat is omgezet in artikel 11.7 van de Telecommunicatiewet (toestemming voor ongevraagde communicatie). Wel wordt in de overwegingen van de nieuwe voorstellen expliciet aangegeven dat onder direct-marketingcommunicatie ook de ongevraagde communicatie van politieke partijen en non-profit organisaties dient te worden begrepen. In de voorstellen vallen, in tegenstellig tot het huidige regime, ook ongevraagde direct-marketingcommunicaties met directe menselijke tussenkomst («live» bellen) onder het toestemmingsvereiste (opt in). Lidstaten krijgen echter de mogelijkheid om hier in hun nationale wetgeving van af te wijken en voor deze categorie te kiezen voor een systeem waarbij live bellen is toegestaan tenzij degene die gebeld wordt aangegeven heeft dat niet te willen (opt out systeem, zoals het huidige bel-me-niet register).

Recht op een niet-gespecificeerde rekening

In de huidige ePrivacyrichtlijn is ter bescherming van de privacy het recht van de abonnee opgenomen op een niet gespecificeerde rekening. In de voorstellen van de Commissie komt dit recht niet meer voor.

Zorgplicht en meldplicht bij privacy-inbreuken

In de door de Commissie gedane voorstellen komt de verplichting voor aanbieders van elektronische communicatiediensten en netwerken om in het kader van de bescherming van privacy te zorgen voor de veiligheid van hun diensten niet meer voor. Ditzelfde geldt voor de verplichting inbreuken op de beveiliging te melden bij de nationale regelgevend instantie (in Nederland de Autoriteit Persoonsgegevens) en onder omstandigheden bij de door de inbreuk getroffen personen. Dit betekent echter niet dat de bedoelde zorgplicht en meldplicht niet langer zal bestaan. Deze zijn namelijk opgenomen in het voorstel voor een Europees wetboek voor elektronische communicatie, en in meer algemene zin opgenomen in de Algemene verordening gegevensbescherming (Verordening 2016/6791).

Dataretentie

Het voorstel bevat geen specifieke bepalingen op het terrein van dataretentie. In het voorstel wordt de inhoud en strekking van artikel 15, eerste lid, en eerste lid ter, van de (huidige) ePrivacyrichtlijn behouden en in lijn gebracht met artikel 23 van de Algemene verordening gegevensbescherming. Het voorgestelde artikel 11 van de ePrivacyverordening geeft gronden op basis waarvan de lidstaten de reikwijdte van de specifieke artikelen van het voorstel kunnen beperken, onder andere ter bescherming van de nationale veiligheid. Lidstaten blijven dus vrij om in hun wetgeving uitzonderingen te maken op verplichtingen en rechten uit de ePrivacyverordening, uiteraard binnen de grenzen van het Europese recht en de rechtspraak van het Europese Hof van Justitie.

Toezicht

De bestaande ePrivacyrichtlijn laat aan de lidstaat de keuze aan wie het toezicht op de (in nationale wetgeving omgezette) bepalingen uit de richtlijn wordt opgedragen. De Commissie is van opvatting dat dit tot verschillen in interpretatie en minder effectieve handhaving heeft geleid. Daarom stelt de Commissie voor dat het toezicht op de voorgestelde ePrivacyverordening door de lidstaten moet worden opgedragen aan dezelfde entiteit of entiteiten die ook toezicht houdt op de algemene privacyregels.

b) Impact assessment Commissie

De Commissie onderzocht vijf opties op grond van de volgende criteria: effectiviteit, efficiency en samenhang:

  • 1) Niet wettelijke maatregelen (soft law)

  • 2) Beperkte versterking van de privacy/vertrouwelijkheid en vereenvoudiging

  • 3) Gematigde versterking van de privacy/vertrouwelijkheid en vereenvoudiging

  • 4) Verreikende versterking van de privacy/vertrouwelijkheid en vereenvoudiging

  • 5) Intrekken van de ePrivacyrichtlijn

De Commissie kwam tot de conclusie dat bij de meeste aspecten optie 3 de beste optie is onder meer omdat deze optie het best geschikt is om het doel van de Strategie van de eengemaakte markt (het vergroten van het vertrouwen in digitale dienstverlening en het vergroten van de veiligheid van digitale dienstverlening) te bereiken rekening houdend met de efficiency en de samenhang van de voorstellen.

3. Nederlandse positie ten aanzien van het voorstel

a) Essentie Nederlands beleid op dit terrein

De bescherming van de persoonlijke levenssfeer van de gebruiker van elektronische communicatienetwerken en diensten is belangrijk. Privacy is als grondrecht vastgelegd in artikel 10 Grondwet, en daarnaast in de artikelen 7 en 8 van het EU-Handvest voor de Grondrechten en in artikel 8 EVRM. Het verdient adequate bescherming. Daarnaast is privacy belangrijk voor het goed functioneren van de elektronische communicatiemarkt. Als de gebruikers er niet op kunnen vertrouwen dat hun privacy gewaarborgd is bij het gebruik van elektronische communicatiediensten zal dit het gebruik van deze voor de maatschappij nuttige diensten aanzienlijk beperken. Door de voortschrijdende digitalisering en de opkomst van het Internet of Things zal het belang van het bestaan van dit vertrouwen alleen maar toenemen. Nederland kan de insteek om de privacy bij gebruik van elektronische communicatiediensten en -netwerken te blijven waarborgen met separate wetgeving steunen. Dat wil zeggen dat niet alleen wordt gevaren op de Dataprotectierichtlijn en diens opvolger de Algemene Verordening Gegevensbescherming. Een separaat regime verstrekt de continuïteit en duidelijkheid in regelgeving, en zorgt ervoor dat ook niet-persoonsgegevens en gegevens van rechtspersonen (nota bene: de Algemene Verordening Gegevensbescherming ziet alleen op natuurlijke personen) moeten voldoen aan randvoorwaarden van privacy. Naast een goede bescherming van de privacy is het belangrijk dat er voldoende oog is voor het gebruiksgemak van de eindgebruiker. Dit speelt met name bij de regels met betrekking tot cookies.

b) Beoordeling + inzet ten aanzien van dit voorstel

Verordening in plaats van richtlijn

Nederland kan gezien de inhoudelijke samenhang met de Algemene verordening gegevensbescherming instemmen met de keuze voor een verordening.

Uitbreiding scope tot over de top spelers

De keuze voor een uitbreiding naar de over de top aanbieders is positief aangezien deze bijdraagt aan versterking van de eindgebruikersbescherming en het ontstaan van een level playingfield tussen klassieke telecommunicatie-aanbieders en de over de top aanbieders. De Commissie sluit hiermee bovendien aan bij de benadering in het voorstel voor een Europees wetboek voor elektronische communicatie.

Verruiming en beperking van de mogelijkheid elektronische communicatiegegevens te verwerken

Wanneer de over de top aanbieders op basis van het voorstel onder hetzelfde regime als de «klassieke» aanbieders van elektronische communicatienetwerken en -diensten worden gebracht is het wel de vraag of het regime op onderdelen niet te streng is ten opzichte van de Dataprotectierichtlijn en diens opvolger de Algemene Verordening Gegevensbescherming. Dit is in het bijzonder relevant voor de over de top aanbieders van communicatiediensten, die thans enkel onder deze horizontale wetgeving vallen. Deze vraag komt met name op bij de mogelijkheden om de inhoud van de communicatie op te slaan. Deze mogelijkheden lijken geen ruimte te geven voor het opslaan van inhoud in het geval de eindgebruiker daarmee instemt. Hierdoor is het de vraag of bepaalde diensten die op dit moment door over de top aanbieders worden aangeboden in de toekomst nog wel kunnen bestaan (bijvoorbeeld een dienst waarbij de gebruiker wordt herinnerd aan gebeurtenissen uit het verleden in zijn contacten met anderen). Nederland zal hiervoor bij de Commissie aandacht vragen.

Cookiebepaling

Nederland kan zich vinden in een apart regime voor het gebruik van informatie van het eindapparaat van de gebruiker. De gedachte daarbij is dat het eindapparaat onderdeel vormt van de privésfeer van de eindgebruiker en daarom bijzondere bescherming verdient. Ook is van belang dat de informatie waar het hier om gaat niet altijd bestaat uit persoonsgegevens en dat het ook niet altijd gaat om natuurlijke personen. Daarom is het regime van de Algemene verordening gegevensbescherming niet voldoende, omdat die alleen ziet op de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

Nederland deelt de wens van de Commissie om tot een gebruiksvriendelijker oplossing te komen voor het geven van toestemming bij het plaatsen/lezen van cookies en andere vormen van het gebruik van de informatie verkregen van het eindapparaat van gebruiker. Ook kan Nederland zich vinden in het voorstel om te proberen dit te bereiken door middel van het geschikt maken van de browser voor het geven van toestemming. Wel is het de vraag of de door de Commissie gedane voorstellen met betrekking tot browsers voldoende zijn om browsers geschikt te maken voor het geven van (rechtsgeldige) toestemming. Het toestemmingsvereiste houdt immers in dat voldoende precies bepaald is waar toestemming voor wordt gegeven. Dat betekent dat de eindgebruiker allereerst zal moeten weten waarvoor hij precies toestemming geeft (daarvoor is adequate informatie nodig) en bovendien ook precies genoeg moet kunnen aangeven aan wie hij toestemming geeft. Een browser die bij de installatie om toestemming vraagt voor het plaatsen/lezen van cookies door derden in het algemeen (met inbegrip van de mogelijkheid deze toestemming te weigeren) lijkt aan de door de Commissie gestelde nieuwe voorwaarden te voldoen maar lijkt nog niet geschikt om rechtsgeldige (precieze) toestemming te geven. De inzet van Nederland zal zijn om hier meer duidelijkheid over te verkrijgen en waar mogelijk bij te dragen aan het meer geschikt maken van browsers voor het geven van toestemming. Een ander punt betreft de uitvoerbaarheid en de handhaafbaarheid. Met name de browsers waarop op de voorstellen zien zijn vaak afkomstig uit landen buiten de Europese Unie, zoals de Verenigde Staten. Dit roept de vraag op hoe de naleving van de voorgestelde verplichtingen kan worden verzekerd.

Het is positief dat de Commissie de in Nederland toegepaste uitzondering voor analytische cookies overneemt. De door de Commissie gecreëerde uitzondering geldt echter alleen indien de aanbieder van de website zelf de cookies plaatst (de zogenaamde first party cookie) en niet als een ander dat doet (de zogenaamde third party cookies). Volgens Nederland is dit een onnodige en ongewenste beperking. Veel partijen gebruiken immers programma’s van derden om hun website te monitoren (bijvoorbeeld Google analytics). In dat geval worden de cookies geplaatst door deze derde. Dat hoeft niet te leiden tot een inbreuk op de privacy zolang verzekerd is (bijvoorbeeld contractueel) dat de derde de verkregen informatie alleen maar gebuikt om de aanbieder van de website te informeren en dus niet gebruikt om bijvoorbeeld gebruikersprofielen op te stellen. Nederland is bevreesd dat de (te) beperkte uitzondering die de Commissie voorstelt er toe zal leiden dat eindgebruikers regelmatig zullen worden geconfronteerd met informatie en verzoeken om toestemming ook als dat voor de bescherming hun privacy niet nodig is.

Nederland zal de Commissie vragen om de redenen van een apart regime (waarbij toestemming wordt vervangen door een opt out regime) bij door het eindapparaat in het kader van het maken van een verbinding verstuurde informatie. Uit de tekst van de artikelen of de overwegingen wordt namelijk niet duidelijk waarom de Commissie dit voorstel doet. Ook is niet duidelijk wat nu precies moet worden verstaan onder informatie die door het eindapparaat in het kader van het maken van de verbinding wordt verstrekt. Hoewel dat waarschijnlijk niet de bedoeling is zou kunnen worden betoogd dat naast de genoemde basis informatie, zoals IP-nummer en Mac adres, ook andere instellingen van het eindapparaat en de daarop draaiende software die worden meegegeven bij het tot stand brengen van de communicatie onder het opt-out regime vallen. Dit zou er toe kunnen leiden dat het opt in regime uit de hoofdregel wordt uitgehold. Nederland zal ook hier aandacht voor vragen.

Ongevraagde Communicatie

Nederland is positief over de voorstellen op het gebied van ongevraagde communicatie. Belangrijk is dat de verordening, net als de huidige bepaling in de Telecommunicatiewet, ook ziet op ongevraagde boodschappen van politieke partijen en non-profit organisaties. Dit sluit aan bij de huidige Nederlandse regeling. Belangrijk is verder dat Nederland, indien dat wenselijk is, het regime met betrekking tot het bel-me-niet register kan handhaven.

Recht op een niet-gespecificeerde rekening

Onduidelijk is waarom de Commissie in haar voorstellen dit recht laat vervallen en zal de Commissie vragen dit nader toe te lichten. Vooralsnog ziet Nederland geen goede grond om het recht op een niet-gespecificeerde rekening te laten vervallen.

Toezicht

Nederland oordeelt negatief over het voorstel van de Commissie om lidstaten te dwingen het toezicht op de verordening in zijn geheel op te dragen aan het orgaan of de organen die door de betreffende lidstaat zijn aangewezen als algemene privacy-toezichthouder. In veel landen is, net zoals in Nederland, het toezicht op de e-privacy-regels voor een belangrijk deel opgedragen aan de nationale telecommunicatietoezichthouder, in Nederland Autoriteit Consument en Markt (ACM) en aan Agentschap Telecom. Dit terwijl het toezicht op de regels voorvloeiende uit de algemene privacyrichtlijn meestal is opgedragen aan de privacy-toezichthouder, in Nederland de Autoriteit Persoonsgegevens. Nederland is van opvatting dat de Commissie te ver doorschiet door voor te schrijven dat alle onderdelen van de verordening bij de privacy-toezichthouder moeten worden belegd (zie ook proportionaliteit).

c) Eerste inschatting van krachtenveld

Veel lidstaten zijn nog bezig met het bestuderen van de voorstellen. Er zijn dan ook nog slechts beperkte en voorlopige reacties beschikbaar. Een aantal lidstaten plaatst kanttekeningen bij het gekozen instrument; een verordening in plaats van een richtlijn. Een richtlijn heeft bij die lidstaten de voorkeur. Een aantal andere lidstaten geven als algemene opmerking dat de verordening volledig dient aan te sluiten bij de Algemene Verordening Gegevensbescherming en ook bij de relevante onderdelen van het voorstellen voor een Europees wetboek voor elektronische communicatie.

4. Grondhouding ten aanzien van bevoegdheid, subsidiariteit, proportionaliteit, financiële gevolgen en gevolgen op het gebied van regeldruk en administratieve lasten

a) Bevoegdheid

Artikel 16 en 114 VWEU geven de EU bevoegdheid om regels te stellen betreffende het vrije verkeer van persoonsgegevens, respectievelijk om maatregelen te nemen inzake de onderlinge aanpassing van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten die de instelling en de werking van de interne markt voor elektronische communicatie en het functioneren daarvan betreffen.

Nederland acht dit de juiste rechtsgrondslag voor de voorgestelde Verordening.

b) Subsidiariteit

Het oordeel over de subsidiariteit van de voorgestelde verordening is positief. Inbreuken op de privacy beperken zich niet tot de grenzen van een lidstaat. Partijen die een rol spelen in het kader van de privacy zijn vaak in meerdere Europese landen en soms zelfs wereldwijd actief. Bescherming van de persoonlijke levenssfeer is dan ook bij uitstek een onderwerp dat zich naar de mening van Nederland leent voor een Europese aanpak. Belangrijk daarbij is dat de regel in de diverse lidstaten gelijk worden uitgelegd en toegepast. Bijvoorbeeld bij de toepassing van en het toezicht op de cookiebepaling zijn aanzienlijke verbeteringen nodig. Tegen deze achtergrond en gezien het feit dat de algemene privacyregels inmiddels ook zijn vervat in een verordening kan Nederland zich vinden in de keuze voor een verordening in plaats van zoals tot nu toe het geval was een richtlijn.

c) Proportionaliteit

Het oordeel over de proportionaliteit van de voorgestelde verordening is overwegend positief. De bescherming van de persoonlijke levenssfeer van de gebruikers van elektronische communicatienetwerken en -diensten rechtvaardigt de voorgestelde maatregelen. Negatief is Nederland echter over het voorstel van de Commissie om lidstaten te dwingen het toezicht op de verordening in zijn geheel op te dragen aan het orgaan of de organen die door de lidstaat zijn aangewezen als algemene privacy-toezichthouder. Hoewel Nederland het doel van de Commissie om te komen tot een meer efficiënt toezicht onderschrijft is Nederland is van opvatting dat de Commissie te ver doorschiet door voor te schrijven dat alle onderdelen van de verordening bij de privacy-toezichthouder(s) moeten worden belegd. Voor de onderwerpen in hoofdstuk 2 van de verordening (het communicatiegeheim, het regime voor de verwerking van informatie die verkregen wordt in het kader van het aanbieden van communicatiediensten en de cookiebepaling) kan Nederland, gezien hun nauwe samenhang met het algemene privacy-recht, begrip hebben voor de wens het toezicht hier bij de privacy-toezichthouder te beleggen. Voor de andere onderwerpen in de voorgestelde verordening, zoals de regels met betrekking tot telefoonboeken en nummerweergave, waarbij tot nu toe in Nederland zonder problemen het toezicht door ACM heeft plaatsgevonden vindt Nederland dat de lidstaat de keuze moet hebben bij wie het toezicht het meest adequaat is belegd.

5. Financiële implicaties, gevolgen voor regeldruk en administratieve lasten

a) Consequenties EU-begroting

De voorgestelde verordening heeft geen gevolgen voor de EU-begroting.

b) Financiële consequenties (incl. personele) voor rijksoverheid en/of decentrale overheden

Indien de uitkomst van de onderhandelingen consequenties heeft voor de thans bestaande taken en bevoegdheden van de Autoriteit persoonsgegevens en de ACM/Agentschap Telecom dan valt niet uit te sluiten dat daaraan ook financiële gevolgen moeten worden verbonden. Het valt thans nog niet aan te geven of dat, naast eventuele transitiekosten, alleen leidt tot verschuiving van financiële lasten of dat rekening moet worden gehouden met hogere of lagere kosten. Eventuele budgettaire gevolgen worden ingepast op de begroting van het beleidsverantwoordelijke departement, conform de regels van de budgetdiscipline.

c) Financiële consequenties (incl. personele) voor bedrijfsleven en burger

De financiële consequenties zijn nog niet goed te overzien, maar zullen naar verwachting gering zijn.

d) Gevolgen voor regeldruk/administratieve lasten voor rijksoverheid, decentrale overheden, bedrijfsleven en burger

Regeldruk kan dalen indien de maatregelen om toestemming voor cookies via de browser te geven voldoende effectief blijken te zijn.

e) Gevolgen voor concurrentiekracht

Verdere harmonisatie van de regels op het gebied van de ePrivacy zorgen voor een meer gelijk speelveld binnen de Europese Unie.

6. Implicaties juridisch

a) Consequenties voor nationale en decentrale regelgeving en/of sanctionering beleid (inclusief toepassing van de lex silencio positivo)

Doordat gekozen is voor een verordening, in plaats van zoals tot nu toe het geval was voor een richtlijn, is omzetting in Nederlands recht niet langer toegestaan. Dit betekent dat de meeste bepalingen in hoofdstuk 11 van de Telecommunicatiewet moeten worden ingetrokken. Wel moeten er in de nationale wetgeving sancties worden opgenomen (bijvoorbeeld voor de overtreding van de artikelen 12, 13, 14 en 17 van de voorgestelde verordening). Ook is er voor een paar onderwerpen nog de mogelijkheid om in nationale wetgeving zaken te regelen, waaronder de keuze voor een opt-out systeem bij ongevraagde direct-marketingcommunicaties met directe menselijke tussenkomst.

b) Gedelegeerde en/of uitvoeringshandelingen, incl. NL-beoordeling daarvan

Gedelegeerde wetgeving:

  • Vastellen informatie die bij het lezen en schrijven van informatie op het eindapparaat van een eindgebruiker moet worden weergegeven door een gestandaardiseerd icoon alsmede de procedures om te komen tot een dergelijk icoon (artikel 8, vierde lid).

Uitvoeringshandeling:

  • Vaststellen van een prefix voor telefonische marketing oproepen (artikel 16, zevende lid).

    Nederland kan zich vinden in deze voorstellen.

c) Voorgestelde implementatietermijn (bij richtlijnen), dan wel voorgestelde datum inwerkingtreding (bij verordeningen en besluiten) met commentaar t.a.v. haalbaarheid

Aannemende dat de verordening zomer 2017 wordt vastgesteld, en gezien het feit dat de verordening volgens artikel 29, tweede lid, vanaf 25 mei 2018 moet worden toegepast, heeft een lidstaat ongeveer 1 jaar om de bestaande wetgeving aan te passen (zie onder a). Nederland acht deze termijn te kort; een termijn van minimaal 18 maanden is nodig.

d) Wenselijkheid evaluatie-/horizonbepaling

De voorgestelde verordening voorziet in een evaluatiebepaling (artikel 28).

7. Implicaties voor uitvoering en/of handhaving

De uitkomst van de onderhandelingen kan leiden tot verschuiving van de toezichthoudende taken van ACM en Agentschap Telecom naar AP.

8. Implicaties voor ontwikkelingslanden

Het voorstel heeft geen implicaties voor ontwikkelingslanden


X Noot
1

Zie artikel 5, eerste lid, onderdeel f, en artikel 33 en 34 van Verordening 2016/679.