Gegevensbescherming in de sector elektronische communicatie

Informatie wordt uitgewisseld via openbare elektronischecommunicatiediensten zoals het internet en mobiele en vaste telefonie en de bijhorende netwerken. Voor die diensten en netwerken zijn specifieke regels en waarborgen vereist om het recht van de gebruiker op privacy en vertrouwelijkheid te verzekeren.

BESLUIT

Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlĳke levenssfeer in de sector elektronische communicatie (richtlĳn betreffende privacy en elektronische communicatie).

SAMENVATTING

WAT DOET DEZE RICHTLIJN?

De richtlijn stelt de regels vast voor het verzekeren van veiligheid bij het verwerken van persoonsgegevens, de kennisgeving van inbreuken op de persoonsgegevens, en het vertrouwelijke karakter van het communicatieverkeer. De richtlijn verbiedt ook ongewenste communicatie, d.w.z. communicatie waarvoor de gebruiker zijn toestemming niet heeft gegeven.

KERNPUNTEN

Aanbieders van elektronischecommunicatiediensten moeten hun diensten beveiligen door ten minste:

ervoor te zorgen dat alleen bevoegde personen toegang hebben tot persoonsgegevens;
persoonsgegevens te beschermen tegen vernietiging, verlies of toevallige wijziging, en tegen elke andere vorm van onwettige of ongeoorloofde verwerking;
ervoor te zorgen dat er een beveiligingsbeleid wordt ingevoerd voor de verwerking van persoonsgegevens.

De dienstenaanbieder moet de nationale autoriteit binnen 24 uur op de hoogte stellen van iedere inbreuk op persoonsgegevens. Als te verwachten valt dat de persoonsgegevens of de privacy van een gebruiker zullen worden geschonden, dan moet de gebruiker ook op de hoogte worden gebracht, tenzij specifiek vastgestelde technologische maatregelen zijn genomen om de gegevens te beschermen.

EU-landen moeten het vertrouwelijke karakter van communicaties over openbare netwerken waarborgen, en in het bijzonder moeten ze:

het afluisteren, aftappen, opslaan of anderszins controleren of onder-scheppen van de communicatie en de verkeersgegevens verbieden, indien de betrokken gebruikers daarin niet hebben toegestemd, behalve wanneer de persoon de wettelijke toestemming heeft en in overeenstemming met specifieke vereisten;
waarborgen dat het opslaan van informatie of de toegang tot informatie die is opgeslagen op de persoonlijke apparatuur van een gebruiker alleen is toegestaan als de gebruiker duidelijk en volledig is geïnformeerd, o.a. over het doeleinde ervan, en de gebruiker het recht heeft gekregen om te weigeren.

Wanneer verkeersgegevens niet langer nodig zijn voor communicatie of facturering, moeten ze worden gewist of anoniem gemaakt. Dienstenaanbieders kunnen die gegevens wel verwerken voor marketingdoeleinden zolang de betrokken gebruiker daarvoor toestemming geeft. Die toestemming kan op elk moment worden ingetrokken.

Toestemming van de gebruiker is ook vereist in een aantal andere situaties, waaronder:

voordat ongewenste communicatie (spam) naar hem/haar kan worden verstuurd; dit is ook van toepassing op sms en andere vormen van elektronisch berichtenverkeer;
voordat informatie (cookies) wordt opgeslagen op zijn/haar computer of apparaat of voordat toegang tot die informatie wordt verkregen; de gebruiker moet duidelijke en volledige informatie krijgen, o.a. over het doel van de opslag of toegang;
voordat telefoonnummers, e-mailadressen of postadressen kunnen worden opgenomen in openbare abonneelijsten.

EU-landen moeten een systeem van sancties hebben met inbegrip van wettelijke sancties voor inbreuken op de richtlijn.

De reikwijdte van de rechten en plichten kan alleen worden beperkt door nationale wetgevingsmaatregelen wanneer dergelijke beperkingen noodzakelijk en proportioneel zijn ter waarborging van specifieke openbare belangen, zoals het mogelijk maken van strafrechtelĳke onderzoeken of het garanderen van de nationale veiligheid, de landsverdediging of de openbare veiligheid.

VANAF WANNEER IS DE RICHTLIJN VAN TOEPASSING?

Vanaf 31 juli 2002.

ACHTERGROND

Deze richtlijn is een van de vijf richtlijnen die samen het telecompakket vormen, een wettelijk kader dat de sector van de elektronische communicatie regelt. De andere richtlijnen betreffen het algemeen kader, toegang en interconnectie, machtigingen en vergunningen en de universele dienst.

Het pakket werd in 2009 gewijzigd door twee richtlijnen over beter wetgeven en de rechten van de burgers, en door een verordening tot instelling van het Orgaan van Europese regelgevende instanties voor elektronische communicatie.

Voor meer informatie, zie de website over de e-privacyrichtlijn van de Europese Commissie.

Na de uitbraak van COVID-19 en de introductie van maatregelen om met de gevolgen van de crisis om te gaan, heeft de Europese Commissie het volgende aangenomen: Aanbeveling (EU) 2020/518 van de Commissie van 8 april 2020 over een gemeenschappelijke toolbox voor het gebruik van technologie en gegevens om de Covid-19-crisis te bestrijden en te boven te komen, met name wat mobiele applicaties en het gebruik van geanonimiseerde mobiliteitsgegevens betreft

REFERENTIES

Besluit	Datum van inwerkingtreding	Uiterste datum voor omzetting in nationaal recht	Publicatieblad van de Europese Unie
Richtlijn 2002/58/EG	31.7.2002	30.10.2003	PB L 201 van 31.07.2002, blz. 37-47

Wijzigingsbesluit(en)	Datum van inwerkingtreding	Uiterste datum voor omzetting in nationaal recht	Publicatieblad van de Europese Unie
Richtlijn 2009/136/EG	19.12.2009	25.5.2011	PB L 337 van 18.12.2009, blz. 11-36

GERELATEERDE BESLUITEN

Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281 van 23.11.95, blz. 31-50).

Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlĳke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrĳe verkeer van die gegevens (PB L 8 van 12.1.2001, blz. 1-22).

Richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van Richtlijn 2002/58/EG (PB L 105 van 13.4.2006, blz. 54-63). (ongeldig verklaard door een arrest van het Hof van Justitie, zie hieronder).

Verordening (EU) nr. 611/2013 van de Commissie van 24 juni 2013 betreffende maatregelen voor het melden van inbreuken in verband met persoonsgegevens op grond van Richtlijn 2002/58/EG van het Europees Parlement en de Raad betreffende privacy en elektronische communicatie (PB L 173 van 26.6.2013, blz. 2-8).

Gevoegde zaken C-293/12 en C-594/12: Arrest van het Hof (Grote kamer) van 8 april 2014 (verzoeken om een prejudiciële beslissing ingediend door de High Court of Ireland (Ierland) en het Verfassungsgerichtshof (Oostenrijk)) - Digital Rights Ireland Ltd (C-293/12) v. Minister for Communications, Marine and Natural Resources, Minister for Justice, Equality and Law Reform, The Commissioner of the Garda Síochána, Ierland en de Attorney General, en Kärntner Landesregierung, Michael Seitlinger, Christof Tschohl e.a. (C-594/12) (Elektronische communicatie - Richtlijn 2006/24/EG - Openbaar beschikbare elektronischecommunicatiediensten of openbare communicatienetwerken - Bewaring van gegevens die zijn gegenereerd of verwerkt in het kader van aanbieding van dergelijke diensten - Geldigheid - Artikelen 7, 8 en 11 van het Handvest van de grondrechten van de Europese Unie) (PB C 175 van 10.6.2014, blz. 6-7).

Laatste bijwerking 25.05.2020