Het ePrivacy voorstel leunt sterk op ‘toestemming van de gebruiker’. Daardoor heeft het voor Internet of Things (IoT) een aantal ongewenste en soms zelfs blokkerende effecten. Bijvoorbeeld als er sprake is van diverse belanghebbenden met complexe onderlinge verhoudingen en ook in werkgever-werknemers relaties. Deze effecten moeten weggenomen worden door een aanzienlijk betere samenhang met de AVG creëeren, qua  voorwaarden  en waarborgen. Dan is ook meteen de beveiliging van IoT een stuk beter wettelijk geregeld.

Wat moet ePrivacy bereiken?

Daar waar de AVG vooral de uitwerking is van artikel 8 van het Handvest van de Grondrechten van de Europese Unie, is de ePrivacy Verordening een uitwerking van artikel 7: het recht op eerbiediging van privéleven, familie- en gezinsleven, woning en communicatie. De ePrivacy Verordening is om die reden noodzakelijk en heeft daardoor zelfstandig bestaansrecht, zo meent de Commissie.

Kern van de ePrivacy Verordening zijn de volgende onderwerpen:

1. Vertrouwelijkheid van alle vormen van elektronische communicatie, waaronder ook e-mail, instant messaging, vormen van Voice-over-IP en vervangers van SMS;
2. Verwerking van persoonsgegevens en andere gegevens in de context van elektronische communicatie;
3. Toegang tot informatie in en over randapparatuur van gebruikers, het plaatsen van informatie daarop (zoals cookies) en het gebruik van de verwerkingscapaciteit;
4. Ongevraagde elektronische communicatie.

Brede scope en korte tijdslijnen

De ePrivacy Verordening is niet alleen van toepassing op de elektronische communicatiesector, zoals vaak ten onrechte gedacht wordt. De ePrivacy Verordening geldt ook voor bedrijven, overheden en instellingen met websites, apps en apparaten in handen van hun gebruikers of hun medewerkers.

De beoogde ingangsdatum is 25 mei 2018, dus gelijktijdig met het van kracht worden van de AVG. Dat is ambitieus, voor de Europese wetgever zelf, maar vooral voor de veelheid van bedrijven, overheden en instellingen die eraan moeten voldoen.

Ik beperk me hier verder tot bovenstaand punt 3, omdat dat de meeste invloed heeft op Internet of Things: toegang tot informatie in en over randapparatuur van gebruikers,

Internet of Things alomtegenwoordig

Sinds de ePrivacy Richtlijn in zijn laatste ‘upgrade’ in 2009 verscheen, zijn we veel meer apparaten aan netwerken gaan koppelen. Smartphones bieden 24 uur per dag toegang tot allerlei sensordata en andere gegevens aan diverse app-bouwers en ook TV’s, thermostaten, babysit- en beveiligingscamera’s, weegschalen, tandenborstels, etc zijn nu verbonden. Niet te vergeten zijn horloges, fitnessmeters, auto’s‘’. Al die ‘things’ registreren talloze gegevens, gevoelig maar ook onschuldig en geven sommige daarvan door.‘’ Dat zal in de toekomst alleen maar meer worden: VR-brillen, robots, drones en andere vormen van ‘edge computing’.

‘Baas over eigen apparaat’

In het licht van Handvest artikel 7 is het daarom begrijpelijk, dat de Europese wetgever hier regulerend wil, en misschien zelfs wel móet, optreden. In de ePrivacy Verordening wordt dat artikel 8.1 met als  kern: de gebruiker moet kunnen weten wat er gebeurt met zijn apparaten en gegevens, moet kenbaar kunnen maken of hij dat goedvindt en moet daar te allen tijde op terug kunnen komen. ‘Baas over eigen apparaat’ dus. Lijkt mij geen verkeerde doelstelling.

Het voorstel regelt dit vervolgens als: elke toegang tot het apparaat mag alleen met voorafgaande toestemming, behalve als dat nodig voor levering van de dienst of voor bereiksmetingen.

Dat is te krap en het knelt. Ik leg uit waarom.

Veel blijft niet bij het oude

Artikel 8.1 doet sterk denken aan het huidige, zwaar bediscussieerde ‘cookie’-artikel 11.7a in de Nederlandse Telecommunicatiewet. Toch zijn er belangrijke verschillen:

1. De eisen voor geldige toestemming worden gelijkgetrokken met de AVG, zoals bekend een zwaardere norm;
2. Het vergaren van informatie óver het apparaat is nu in scope gebracht: informatie over software en hardware configuraties die mogelijkerwijs voor ‘device finger printing’ gebruikt zouden kunnen worden;
3. Ook verwerkingscapaciteit van het apparaat valt eronder, zoals bijvoorbeeld JavaScripts opgenomen in de site van een bank bedoeld om fraude te detecteren, of aan een smartphone app die malware- en integriteitscontroles uitvoert zonder ‘toestemming’;
4. De in Nederland door het parlement geregelde uitzondering voor ‘analytics’ wordt in de tekst beperkt tot ‘web audience measurement’ onder voorwaarde dat het niet door derden uitgevoerd wordt. Het inschakelen van een externe serviceprovider als Google Analytics lijkt daarmee niet langer toegestaan.

Weinig aan de hand voor het web

In een web omgeving met browsers en cookies is er voor bedrijven, instellingen en overheden in Nederland relatief weinig aan de hand, aangezien ze toch al een overgang naar de AVG moeten maken.‘’‘’‘’ Met het voldoen aan de Nederlandse ‘cookie-wet’ hebben Nederlandse bedrijven aan de opvolger daarvan een overzichtelijke hoeveelheid extra werk. Zit niemand op te wachten, maar moet te doen zijn.

App-bouwers: let op uw saeck!

Anders ligt dat voor vele app bouwers, en de bedrijven, instellingen en overheden die hun app-bouw uitbesteden. Apps bevatten vaak allerlei ‘libraries’ of ‘Software Development Kits’ (SDKs) van derden: handige, vaak gratis, programmacode die draait in de context van de app, met dezelfde toegangsrechten die de app verkregen heeft. Het is vaak niet exact duidelijk wat SDKs precies doen. Het zou maar zo ‘sjoemelsoftware’ kunnen blijken... Die derden moeten dus aangesproken worden op de data die ze door de smartphone laten verzamelen en laten uploaden. Let wel: alle data, niet alleen persoonsgegevens. Dat moeten ze duidelijk uitleggen aan gebruikers en (veelal) om toestemming vragen.

Een en ander aan SDK’s boven water halen is een forse klus, zo weet ik inmiddels uit ervaring. Lastig ook, omdat veel van de SDK-aanbieders, waaronder niet de kleinste spelers, van buiten de EU komen en zich vaak wentelen in onbekendheid, onbegrip of ontkenning.

Een nog open punt in het voorstel is wie, al dan niet samen met anderen, aanspreekbaar is op het voldoen aan de ePrivacy Verordening: de organisatie die de bouw uitbesteedt, de app-bouwer, de aanbieder van de SDK, degene die de app aanbiedt aan de app store, degene die de app daadwerkelijk verkoopt, de organisatie die besluit de app te laten gebruiken of nog een ander?

In tegenstelling tot de AVG laat het ePrivacy voorstel totaal onbenoemd wie aanspreekbaar is en laat daarmee ook de gebruiker met een zoekplaatje achter. Dat kan zeker niet de bedoeling zijn.

Connected cars in een doolhof

Complexer nog ligt dit alles in een ‘connected car’ scenario. Want wie is dan gebruiker en ‘eindgebruiker’?‘’‘’ Neem autogebruik door een gezinslid van een lease-rijder, waarbij zijn werkgever, een leasemaatschappij en de fabrikant betrokken zijn. Om nog maar te zwijgen van verkeersinformatiediensten, onderhoudsbedrijven en verzekeringsmaatschappijen: zij gebruiken allemaal gegevens uit het voertuig. Ze installeren ook  ‘’software-updates.

Wie moet er nu, onder welke omstandigheden aan wie zijn fiat gaan geven voor het gebruik van gegevens in en over de auto en het rijden, zoals over slijtage en onderhoud, locatie- en snelheid of de installatie van software op grond van een wettelijk voorschrift? De eigenaar? De afzonderlijke berijders? De passagiers? Valt ‘‘onderhoudsdiagnose op afstand’’ nu opeens on de ePrivacy Verordening? Is een complete auto eigenlijk wel te beschouwen als een ‘randapparaat’ in de zin van de ePrivacy Verordening of is daar een andere bijzonder wet (‘lex specialis’) beter op zijn plaats?

De voorgestelde ePrivacy Verordening kent niet het palet aan voorwaarden voor rechtmatige gegevensverwerking zoals AVG die kent in artikel 6. Hiermee biedt de AVG de nodige opties om in te spelen op verschillende situaties. Ik denk dat de voorgestelde ePrivacy Verordening, indien inderdaad van toepassing, hier geen zinvolle bescherming toevoegt, maar vooral flinke verwarring en kostbare complexiteit.

Werkgevers in de problemen

Blokkerend wordt artikel 8.1 zelfs in een werknemer-werkgever constellatie. De ePrivacy Verordening ziet een werknemer als de eindgebruiker die toestemming dient te geven of om een dienst moet vragen. In een werkrelatie met een verhouding van ondergeschiktheid is ‘toestemming’ zelden te beschouwen als vrij en geldig gegeven. Omdat artikel 8.1 geen andere mogelijkheid laat, komen werkgevers in de problemen.

Bijvoorbeeld als de werkgever voor apparaatbeheer op afstand gegevens over hardware en software configuraties van smartphones wil uitlezen of geautomatiseerd software updates wil installeren om beveiligingsredenen die voortvloeien uit eisen in de AVG. Dat alles uiteraard zonder van de goede wil van de medewerkers afhankelijk te zijn. Goede wil die nodig is voor een ‘door de eindgebruiker gevraagde dienst’.

Of moeten we één en ander omdraaien en de werkgever als eindgebruiker leren zien? De werknemer is dan voor wat betreft het door de werkgever verstrekte randapparaat geheel overgeleverd aan de toestemming die de werkgever geeft of de diensten die deze activeert.

Misschien ook niet gewenst: enige vorm van proportionaliteit vervat in een zorgvuldig belangenafweging lijkt me hier toch wel aan de orde. Dat geldt ook als het verder om op het eerste gezicht tamelijk onschuldige gegevens gaat als informatie over geïnstalleerde (privé) software  en gebruikersinstellingen. Een afweging die bijvoorbeeld rekening moet houden met het gebruik van een apparaat zowel binnen als buiten werktijd.

De AVG is de sleutel tot de oplossing

Mensen in Europa beschermen in hun privéleven, familie- en gezinsleven, woning en communicatie is uitermate belangrijk en een grondrecht. Dat geldt bij uitstek ook in relatie tot de ‘things’ die ze gebruiken.

Het voorstel voor de ePrivacy Verordening probeert dit te regelen, maar heeft een breed bereik en kent tegelijkertijd krappe kaders. Hierdoor ontstaan onvoorziene, onbedoelde en ongewenste neveneffecten. Effecten die vooral optreden in situaties met meer belanghebbenden, met name buiten een klassieke consument-dienstverlener context.

Het fundamenteel recht op eerbiediging van privéleven zou beter moeten kunnen samengaan met andere rechten en plichten dan het ePrivacy voorstel nu mogelijk maakt.  Dat vergt een rijker instrumentarium en betere waarborgen dan geboden wordt door de inperking tot ‘toestemming van de eindgebruiker’ of een ‘door de eindgebruiker gevraagde dienst’ zoals het voorstel doet.

De AVG bevat het rijke instrumentarium hiervoor en kent verder nog diverse robuuste waarborgen. Laten we  AVG daarom ook geldig maken voor wat er met gegevens op ‘things’ gebeurt. Dat kan heel eenvoudig geregeld worden door een verwijsbepaling in Artikel 8.1. van de ePrivacy Verordening.

Een prettig en zeer wenselijk effect daarvan is dat de bepalingen over informatiebeveiliging in AVG dan ook meteen onverkort gaan gelden voor IoT.

Ik heb er vertrouwen in dat het resultaat van die aanpak een betere en aanzienlijk toekomstbestendiger invulling van het grondrecht uit artikel 7 van het Europees Handvest zal vormen voor onze ‘things’ dan wat nu voorligt.

(Photo by Scott Webb on Unsplash)