Berichtendiensten Skype en Whatsapp vallen nog niet onder de bestaande privacywetgeving voor communicatie van de EU. Technisch gezien omdat ze geen gebruik maken van lokale netwerkfuncties, maar via internet telefoongesprekken en SMS-verkeer faciliteren.

Maar wetgevers willen deze over-the-top-diensten (OTT-diensten) nu ook opnemen in de privacy regelgeving van de Privacy and Electronic Communications Regulation (Privacyregelgevingskader voor elektronische communicatie). Dit nieuwe voorstel, dat uitgelekt is naar politiek nieuwsmedium Politico, is bedoeld als vervanging van de in 2002 ingestelde e-privacy-richtlijn.

Vertrouwelijk

De nieuwe wetgeving eist dat alle elektronische communicatie vertrouwelijk is. Verdere verwerking van of interferentie van communicatie, zonder de expliciete toestemming van de gebruiker, wordt op basis van het wetsvoorstel verboden. Denk aan afluisteren, aftappen, opslaan, surveilleren of een andere vorm van onderschepping van persoonlijke data.

De e-privacy-richtlijn is voor het laatst in 2009 bijgewerkt. Destijds kwam de opkomst van smartphone-applicaties op gang. Sindsdien is er veel veranderd voor gebruikers van telecommunicatiediensten.

OTT-berichtendiensten hebben SMS in mate van gebruik bijvoorbeeld al jaren geleden ingehaald, ondanks dat mobieletelefoongebruikers per dag nog steeds miljarden SMS'jes versturen. In januari 2015 maakte WhatsApp bekend dat alleen zij al 50 procent meer berichtenverkeer afhandelde dan de verschillende SMS-diensten.

'Elektronische communicatie'

Het wetsvoorstel van de Europese Commissie verbreedt nu het begrip elektronische communicatie. Daardoor omvat het ook nieuwe diensten die via apps beschikbaar zijn, in plaats van via dedicated hardware.

In de voorgestelde reglementen is privacy een instelling die altijd standaard geleverd moet worden. De gebruikers kunnen er dan voor kiezen de functie uit te zetten in plaats van dat de functie standaard uitstaat en aangezet moet worden om er gebruik van te maken.

Artikel 10 van het uitgelekte voorstel, getiteld ''Privacy by design'', stelt: ''de settings van alle componenten van de eindapparatuur die op de markt wordt gebracht, moeten standaard zo geconfigureerd zijn dat ze derden beletten informatie op te slaan, informatie te verwerken die al in de eindapparatuur opgeslagen staat en gebruik te maken van de mogelijkheid tot verwerken.''

Daarnaast stelt het ook dat ''software die op de markt gebracht wordt die toegang geeft tot elektronische communicatie, waaronder het terughalen en presenteren van informatie op het internet, standaard zo geconfigureerd moet zijn dat het derden wordt belet om informatie op te slaan op de eindapparatuur van de eindgebruiker of informatie die al opgeslagen staat op die apparatuur te verwerken.''

Dit wetsvoorstel zou het einde van spam moeten betekenen met de bepaling (in Artikel 16, Unsolicited communications): ''Het gebruik van elektronische communicatiediensten door natuurlijke personen of rechtspersonen met als doel het versturen van direct-marketing mededelingen is alleen toegestaan bij eindgebruikers die voorafgaand toestemming hebben gegeven.''

Omstreden

Een van de meer controversiële bepalingen in de update van de e-privacy-wet in 2009 was dat EU-lezers op websites toestemming moeten geven of cookies ingesteld mogen worden.

Volgens het nieuwe voorstel wordt die voorwaarde op een aantal manieren verzacht. Websites mogen kijken naar browserinstellingen die cookies toestaan of weigeren en dat toepassen zonder toestemming aan de gebruiker te vragen, terwijl cookies die essentieel zijn voor het functioneren van de website zonder aankondiging ingesteld kunnen worden. Het voorstel geeft voorbeelden van dergelijk essentieel gebruik van cookies, zoals het onthouden van taalvoorkeuren of het bijhouden van de input van gebruikers bij het invullen van formulieren over verschillende pagina's.

Maar er zijn ook een aantal zorgwekkende punten: ''Cookies kunnen ook een legitiem en handig hulpmiddel zijn, bijvoorbeeld om internetverkeer op een website te meten,'' constateert de Commissie zonder verdere uitleg. Over het algemeen vinden bezoekers van sites het niet erg als hun bezoek wordt bijgehouden door de beheerder van de site, die daar toch al van op de hoogte is.

De privacykwestie ontstaat echter wanneer informatie over het bezoek wordt bijgehouden door derden, gecorreleerd wordt met de andere sites die de gebruiker bezocht heeft, en dan aan anderen wordt doorverkocht.