De Europese Commissie heeft dinsdag een voorstel voor een verordening gepresenteerd, waarmee bestaande privacywetgeving een update moet krijgen. Zo moeten gebruikers controle over cookies krijgen door de browser en wordt de verwerking van metadata afhankelijk van toestemming.
Zoals eerder al bekend was geworden via een uitgelekt voorstel, bevat de nieuwe wetgeving regels over cookies. In de verordening noemt de Commissie dat gebruikers nu nog per website moeten aangeven of zij cookies accepteren en dat browsers standaard zijn ingesteld op het accepteren van alle cookies. Door de nieuwe regels moet daar verandering in komen. Zo krijgen gebruikers in de browser bijvoorbeeld de keuze om cookies van derde partijen te blokkeren en is deze keuze bindend voor andere partijen. Bovendien bevat het voorstel regels over cookies die maar een geringe inbreuk op de privacy maken. Voor dit soort is geen toestemming meer vereist.
In Nederland was er in 2015 al een versoepeling van de cookiewet doorgevoerd, waardoor voor dat soort cookies al geen toestemming meer vereist was. Dat geldt bijvoorbeeld voor varianten die bijhouden welke producten een gebruiker in zijn winkelmand heeft opgeslagen. Volgens de Commissie is het onder de nieuwe regels nog wel toegestaan om trackingcookies te gebruiken en is de wetgeving erop gericht om de gebruiker een geïnformeerde keuze te laten maken.
Zoals eerder ook al bekend was geworden, zorgt de nieuwe wetgeving ervoor dat de privacyregels die gelden voor providers ook gaan gelden voor aanbieders van elektronische communicatiediensten. Daarmee doelt de Commissie op partijen als WhatsApp en Skype. Zo moeten deze aanbieders de geheimhouding van communicatie kunnen garanderen, zodat het onderscheppen of aftappen van gegevens alleen kan gebeuren met de toestemming van de gebruiker.
Daar komt bij dat metadata, bijvoorbeeld gegevens over de deelnemers, de duur en de locatie van een gesprek, alleen opgeslagen mag worden voor facturatiedoeleinden of om de kwaliteit van de dienstverlening te waarborgen. In alle andere gevallen is toestemming van de gebruiker vereist. Dit betekent dat diensten alle opgeslagen gegevens moeten verwijderen of anonimiseren als de gebruiker geen toestemming heeft verleend.
Is er wel toestemming verleend, dan houdt dit in dat de diensten meer met de verzamelde metadata mogen doen, aldus de Commissie. Zo noemt het orgaan de mogelijkheid van het opstellen van heatmaps om de aanwezigheid van personen in bepaalde gebieden in kaart te brengen, bijvoorbeeld als dienstverlening aan de overheid of aan transportbedrijven.
De nieuwe regels zijn nog niet van kracht, omdat het gaat om een voorstel van de Commissie. Dat betekent dat het Parlement en de Raad nog moeten instemmen met het voorstel. Het is het doel van de Commissie om de regels in te laten gaan op 25 mei 2018, samen met de Algemene Verordening Gegevensbescherming, die vorig jaar is aangenomen.