Bart Madou
Digital Marketeer
Er komt een nieuwe privacywet aan: de e-Privacy Verordening (ePV). En dat betekent mogelijk: alweer alles overhoop rondom die cookiemeldingen en andere privacyvoorwaarden voor je online communicatie. Dit is wat eraan zit te komen, en wat daar het probleem mee is.
Weer een privacywet? Jep.
De Algemene Verordening Gegevensbescherming (AVG) is alweer enige tijd geleden van kracht gegaan, en nog steeds houdt het veel bedrijven bezig. Dit terwijl er alweer een verdergaande e-Privacy Verordening (ePV) aan zit te komen. De wetteksten hiervan zijn nog in concept, maar eenmaal goedgekeurd zal ook deze verordening van kracht gaan – en een zeker zo grote impact op organisaties en hun “elektronische communicatie” hebben.
Op de hoogte blijven van de nieuwste ontwikkelingen op ePV en ander privacywet gebied? De aankomende maanden monitoren we alle vorderingen. Hou het in de gaten, op dit blog
Weer “een AVG”? Ja en nee.
Weet je nog? De hele heisa rondom de AVG wet en wat je als organisatie allemaal moest doen om AVG-proof te worden? Staat je vast nog helder bij. Het heeft wat commotie opgeleverd, waarbij organisaties vooral nogal wisselend omgingen met de gevreesde cookiemeldingen.
We hebben nogal wat type cookiemeldingen voorbij zien komen:
- de puur informatieve "we gebruiken cookies op deze website",
- de "vrije keus" waarbij je niet akkoord hoeft te gaan,
- de "gedwongen keus" waarbij je wel moét accepteren,
- of de "specifieke keus" waarbij je zelf kan kiezen welke smaken je wel of niet wil.
Daarnaast zijn er nog genoeg websites die wel cookies plaatsen maar hierover niks melden.
Het was en is nogal een chaos.
Is deze ePV weer zoiets, en gaat het dezelfde gevolgen hebben voor online privacy als de AVG? Ja, en nee. Ze zijn van hetzelfde laken een pak, ze behandelen de cookiewetgeving, en de impact zal wel degelijk gelijkend zijn aan de commotie rondom de AVG wet.
Maar er ís een verschil:
De AVG is een lex generalis (“een algemene wet”). De ePV is een lex specialis (“een bijzondere wet”). En, belangrijk detail: bijzondere wetten (de ePV) hebben te allen tijde voorrang op algemene wetten (de AVG). Deze regel wordt gebruikt om speciale situaties in wetgevingen te regelen; in dit geval dus de wetgeving rondom elektronische communicatie. Het internet. En de ePV heeft het daarin straks dus voor het zeggen.
Wat is de e-Privacy Verordening?
Ten eerste een bijzondere wet dus, die straks voorrang heeft op de AVG wet. Maar wat is het precies? En wanneer gaat dit allemaal spelen?
Van richtlijn naar wetgeving
“E-Privacy Verordening” of afgekort ePV klinkt voluit: Verordening van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie.
De ePV moet de huidige e-Privacy Richtlijn uit 2002 vervangen. Let op; voorheen was het dus een richtlijn. Nu wordt het een verordening; een wetgevend instrument van de Europese Unie.
Wanneer gaat dat gebeuren?
Hoewel de definitieve wetteksten van de ePV nog niet klaar zijn, is er onlangs wel een conceptversie gepubliceerd. Deze moet echter nog goedgekeurd worden en men denkt rond 2020 met de definitieve wetteksten te komen. Het kan dus nog wel even duren voor hij daadwerkelijk in werking treedt.
Zeker als je bekijkt hoeveel discussie er rondom het onderwerp bestaat, en hoe groot de onwetendheid van zowel consument als beleidsmaker is.
Het probleem met de regelgeving
Allereerst – los van de verwarring en de praktische gevolgen voor bedrijven en hun online elektronische communicatie – is het ondertussen wel noodzakelijk om huidige regelgeving rondom elektronische communicatie te herzien. Aangezien het een document uit 2002 (!) moet vervangen.
En er is nogal wat veranderd in het digitale landschap sinds toen. 2002 is het jaar dat de euro het officiële geldmiddel werd en onze Willy trouwde met Max. Het internet stond nog maar in zijn kinderschoenen. Dat er verandering aan moet komen is dus wel duidelijk. Goed nieuws dus, die ePV, zou je denken.
Maar als we er iets nader naar kijken: wat moet de ePV dan precies gaan doen? Een paar omstreden "hete hangijzers" uit de wetgeving, zijn:
- Het gebruik van de cookiewall
- Het gebruik van de gegevens voor commerciële doeleinden
- ‘Device Fingerprinting’
- De minimumeisen van ‘Privacy by Design’
Een van de belangrijkste punten – voor ons digitale marketeers – gaat voornamelijk over het gebruik van cookies. En daarom wordt er hierna vooral ingezoomd op dit "heetste hangijzer"
Het (huidige) probleem met cookies
In de "REFIT-evaluatie" – een soort check om te kijken of huidige regelgeving nog voldoet – van de e-Privacy Richtlijn komt het volgende ter sprake. En het is niet mals:
De richtlijn heeft niet volledig voldaan aan haar doelstellingen, qua effectiviteit en efficiëntie. De onduidelijke formulering van sommige bepalingen en dubbelzinnigheid in juridische begrippen stonden ‘harmonisering’ in de weg, hetgeen problemen voor ‘grensoverschrijdende werking van ondernemingen’ meebracht.”
Waar het volgens de evaluatie vooral is misgegaan (bij het toestemming vragen voor cookies):
“Een aantal bepalingen hebben gezorgd voor een onnodige last voor bedrijven en consumenten [..] aangezien eindgebruikers te maken krijgen met verzoeken om permanente cookies te aanvaarden zonder dat zij de betekenis ervan begrijpen [..] De toestemmingsregel is overbeschermend [..] en biedt te weinig bescherming aangezien hij niet duidelijk betrekking heeft op bepaalde volgtechnieken (bv. vingerafdruklezing) [..] Ten slotte kan de tenuitvoerlegging ervan duur zijn voor bedrijven.”
Het komt er dus op neer dat de manier waarop de cookiemelding nu gebruikt wordt, zijn doel voorbij gaat. Mensen klikken zonder dat ze precies weten waar ze mee akkoord gaan toch wel op “ja”. Niet handig, als je daarmee per ongeluk akkoord gaat met zo’n volg-cookie.
Waarom je tóch cookies wil
Het is nog de vraag hoe strikt de uiteindelijke regelgeving gaat worden. Is het straks helemaal niet meer mogelijk om gebruikersgegevens op te slaan met cookies en mensen te "targeten" voor marketingdoeleinden? Dat zou nogal een uitdaging worden voor marketeers wereldwijd. Maar ook de consument zou er op achteruit gaan.
Hoewel consumenten waarschijnlijk nooit actief zullen kiezen om reclame te zien of te ontvangen, zullen toch ook zij meer gebaat zijn bij gerichte marketing. Marketing die aansluit bij hun interesses, locaties of behoeften.
Want zeg nou zelf, als sneakerhead zie je toch veel liever reclames van de nieuwste Nikes, dan een willekeurige reclame over babyvoeding? We gaan met een beperking of verbod op (tracking) cookies toch niet terug naar volledig generieke reclame, die voor iedereen hetzelfde is? Zover zal het waarschijnlijk niet komen, maar het lijkt wel weer die richting op te gaan.
”Zeg nou zelf: als sneakerhead zie je toch liever de nieuwste Nikes, dan een willekeurige reclame over babyvoeding?”
Ook geografische "traceability" en targeting is een punt waar consumenten vaak wantrouwig over zijn: "Google weet precies waar ik ben, daar moet ik niks van hebben". Klopt, dat weten ze vaak tot in detail te vertellen. Maar het is stiekem vaak ook wel handig dat Google, andere websites of apps weten waar je bent. Denk maar aan die keer dat je met een bijna lege tank het dichtstbijzijnde tankstation zocht of toen je op vakantie een leuk koffietentje in de buurt wilde vinden. Toen was die geografische data toch wel handig.
Ook is het wel fijn dat Nike weet dat jij in Nederland woont, zodat je op de website niet elke keer jouw land hoeft te selecteren. Zo zie je maar dat die "kennis" die websites en apps van jou hebben echt niet altijd zo eng is als je denkt, vaak is het ook gewoon heel handig voor jou, als consument. En mocht je het toch niet willen, dan kun je ook altijd je toestemming hiervoor intrekken. Even goede vrienden.
Cookies bevorderen meestal vooral het gebruiksgemak. Denk bijvoorbeeld ook aan het onthouden van je gebruikersnaam en wachtwoord. Heeft mij een hoop tijd bespaart.
Ik ben daarom van mening dat cookies in zekere zin wel “zomaar” (zonder toestemming) geplaatst mogen worden, omdat het in het voordeel van de gebruiker werkt. Niet de marketing-cookies, wel de analytische en functionele cookies. Cookies die je helpen, door bijvoorbeeld inloggegevens onthouden zodat je deze niet telkens opnieuw hoeft in te voeren. Prima dus, zoals het bij de AVG geregeld is. De ePV wil echter nog wat stappen verder gaan.
Vaak is de automatische reflex bij complexe of nieuwe ontwikkelingen die ook riskante gevolgen (kunnen) hebben: “verbieden, afschaffen, onmogelijk maken”. Maar dat is veel te kort door de bocht. Het is onwil, die meestal voortkomt uit onwetendheid en/of angst. Digi-onwetendheid die helaas niet alleen bij de consument heerst, maar ook bij de beleidsmakers.
Maar: niemand snapt cookies
Het hele online privacy en cookies verhaal is complex. Dat klopt. Om hierop wetgeving te maken, is dus ook complex. Maar dat maakt het niet onmogelijk. En juist omdat het zo nodig is om de regels uit 2002 op te frissen, moet er daarom des te genuanceerd gekeken worden naar deze discussie en de feiten die erbij horen.
Complexe vraagstukken moet je genuanceerd bekijken. Je moet alle partijen, de gebruiksvriendelijkheid en vooral ook de dagelijkse praktijk meenemen. Je moet mensen hierin betrekken die er verstand van hebben en dus ook de praktijk kennen, niet alleen de theorie… Helaas gaat het daar nog wel eens mis, bij de beleidsmakers in deze wereld – én bij de EU!
Het lijkt soms namelijk nogal een club digibeten. Hoe vaak hebben we in het verleden niet meegemaakt dat overheden hun eigen IT-zaakjes niet op orde hebben, EU-parlementariërs geen idee hebben waar ze over praten, of een zogenaamde "cyberdeskundige" ons op nationale televisie een broodje aap verhaal komt vertellen.
En denk ook even aan de tenenkrommende taferelen toen die Amerikaanse 50+ senatoren die Mark Zuckerberg vragen mochten stellen over het privacybeleid van Facebook:
“How do you sustain a business model in which users don’t pay for your service”?
– Uhm, wat dacht je van advertenties?
Ze vragen Zuckerberg zelfs of hij ervoor wil zorgen dat gebruikers hun data kunnen verwijderen. An sich geen rare vraag, maar wel als je weet dat dit al lang en breed kan…
Kortom: Wetgeving nodig? Zeker weten. Maar laten we wel zorgen dat de juiste mensen met de juiste kennis deze vormgeven.
Wat moeten we met de ePV?
Ik zeg: laat de keuze in (ieder geval gedeeltelijk) over aan de consument. En niet aan digibeten die vaak aan de knoppen zitten bij overheden, zoals de EU.
Al met al is er namelijk nog veel onduidelijk en er moet nog goed over nagedacht worden. Wat nog genoeg spannende en uitdagende vraagstukken voor onze business op gaat leveren de komende tijd. Maar dat maakt ons werk juist zo leuk.
Er zal hier de komende maanden/jaren nog veel over gesproken worden. Wij zullen het in elk geval volgen. We houden je op de hoogte!
Was je het spoor al bijster bij de AVG? Of heb je nog vragen over cookies, meldingen, toestemmingen et cetera, neem dan gerust contact met ons op (koffie? ☕). We helpen je graag om de weg te vinden in deze stroperige materie (stroopwafeltje erbij?).