KRITISCHE
ANALYSE
VAN
DE
EPRIVACY
VERORDENING
Een onderzoek naar hoe onderscheidde belangen doorwegen en
zouden moeten doorwegen bij het oplossen van de belangrijkste
knelpunten aangaande de vertrouwelijkheid van communicatie in de
ePrivacy verordening.
Aantal woorden: 28.776
Emile Vanrobaeys
Studentennummer: 01510011Promotor: Prof. dr. Eva Lievens
Commissaris: Carl Vander Maelen
Masterproef voorgelegd voor het behalen van de graad master in de Rechten Academiejaar: 2019 - 2020
3 VOORWOORD
Eerst en vooral ben ik dankbaar voor de opportuniteit die ik bijna vijf jaar geleden kreeg om een universitaire studie aan te vatten, dit lijkt voor ons vaak een evidentie maar dat is het zeker niet.1 Deze thesis vormt het sluitstuk van dit universitair traject en ik ben blij dat ik er trots op kan zijn.
Mijn interesse en ondertussen passie voor privacy en online gegevensbescherming, heb ik te danken aan Prof. dr. Lievens en Prof. dr. Vermeulen die mij het belang en de plaats van gegevensbescherming en privacy in het recht aantoonden. Docent dr. Wisman zette met zijn nimmer aflatende en vurige betoog over het belang van privacy in een democratische samenleving de kers op de taart.
Daarnaast bedank ik mijn promotor Prof. dr. Lievens en commissaris dhr. Vander Maelen om mij te begeleiden in deze masterproef met hun welgekomen feedback en mij net op tijd af te wenden van een onderzoek over het toepassingsgebied van de ePrivacy richtlijn in plaats van een onderzoek over de knelpunten van de ePrivacy verordening.
Ik wil eveneens mijn mama en Delphine bedanken voor hun niet-aflatende steun doorheen dit traject. Ik heb er uiteindelijk echt van genoten en het gaf een goed gevoel om dingen die ik initieel pas na veel moeite en bijlezen begreep, een maand later als extreem logisch en vanzelfsprekend te ervaren. Het onderzoek kan nog zo veel breder en dieper gevoerd worden, maar dan zou ik vrees ik pas klaar zijn samen met de ePrivacy verordening zelf en wie weet wanneer dat mag zijn.
Soms (lees: vaak) ben ik iets te diep (lees: veel en veel te diep) ingegaan op zaken die ik initieel niet ten volle begreep en heb me hierin uitgebreid ingelezen én geschreven, waarvan een groot deel van dit laatste de scriptie niet heeft gehaald omwille van niet écht relevant voor de knelpunten in de voorliggende verordening maar eerder relevant voor knelpunten onder de huidige richtlijn.
Ik hoop dat wat mij ontzettend veel heeft bijgeleerd, ook u iets bijbrengt.
1 Zie: ROSER., M. en ORTIZ-OPSINA, E., Tertiary Education, https://ourworldindata.org/tertiary-education.
4 Je constate qu’il y a peut-être plus de divergences que je le pensais au début sur ce sujet. Est-ce qu’elles sont insurmontables? Je ne sais pas.2 – Thierry Breton (Eurocommissaris voor de interne markt), 3 december 2019.
2 Thierry Breton antwoordt op een vraag (omtrent eventuele intrekking van het voorstel door de Commissie) in een persconferentie van de 3737e vergadering van de TTE-raad. T. BRETON, Brussel, 3 december 2019, 20min. 50sec., https://audiovisual.ec.europa.eu/en/video/I-181260.
5 ABSTRACT
Tussen het citaat op de vorige pagina van destijds kersvers Eurocommissaris Thierry Breton en de eerste (gelekte) versie van de nieuwe ePrivacy verordening zit bijna 4 jaar. Het citaat is tekenend voor het proces dat ondertussen zijn vijfjarig jubileum nadert. Het feit dat er zo vele divergenties, oftewel knelpunten, rond het onderwerp van ePrivacy zijn en in hoeverre (en op welke manier) deze overkomelijk zijn is dan ook de probleemstelling waarop dit proefschrift zich geënt heeft. De gewijzigde technologische context heeft de druk op de ketel doen toenemen en creëert een hiaat in de huidige regelgeving. De Europese wetgever staat op vandaag dan ook voor een keuze: erkent de ePrivacy verordening de bijzondere bescherming die voor communicatie noodzakelijk is of besluit ze dat de huidige algemene gegevensbescherming al genoeg belemmering vormt voor de industrie. De zoektocht naar de gulden middenweg in een zee van zwart-wit voorstellingen van aan de ene kant civil society en aan de andere kant industrie, is voor de Europese wetgever moeilijk en sleept aan. Dit onderzoek analyseert zowel deze zwart-wit voorstellingen als de vooropgestelde en mogelijke middenweg. Het onderzoek beperkt zich tot het oudste thema uit het ePrivacy kader, namelijk de vertrouwelijkheid van informatie. Enerzijds worden knelpunten aangaande het toepassingsgebied van vertrouwelijkheid van communicatie behandeld. Vallen diensten met een louter bijkomstige communicatiefunctie eronder? Wat met machine-to-machine communicatie en opgeslagen communicatie? Tot waar strekken openbare netwerken en diensten zich? En zou het niet beter zijn om de definities die het toepassingsgebied bepalen onder de verordening zelf op te nemen? Anderzijds duiken er knelpunten op met betrekking tot de toegestane verwerkingsgronden en meer bepaald rond de spraakmakende verwerkingsgrond van de gerechtvaardigde belangen. Tot slot verdient ook de problematiek rond uitzondering ten voordele Child Sexual Abuse Material aandacht.
6 INHOUD
Voorwoord ... 3
Abstract ... 5
Lijst met afkortingen ... 8
1 Over het onderzoek ... 10
1.1 Onderwerp van het onderzoek ... 10
1.2 Beperkingen... 12 1.3 Onderzoeksmethode ... 16 1.4 Relevantie ... 18 1.5 Overzicht ... 19 2 Begrippen ... 21 2.1 Over-The-Top-dienst ... 21
2.2 Elektronische communicatiedienst tot 20 December 2020 ... 27
2.2.1 SkypeOut-Zaak ... 29
2.2.2 Gmail-zaak ... 32
2.2.3 Conclusie ... 34
2.3 Elektronische communicatiedienst vanaf 21 December 2020 ... 36
3 Knelpunten ... 39
3.1 Inleiding ... 41
3.1.1 Grondrechtelijke belangen: waarom verdienen communicatiegegevens een grotere bescherming dan deze onder de AVG ... 41
3.1.2 Industriële belangen ... 43
3.2 Toepassingsgebied ... 45
3.2.1 Inleiding en overzicht ... 45
3.2.2 Toepassingsgebied onder de richtlijn ... 46
3.2.3 ‘Problemen’ in de richtlijn & ‘oplossingen’ in de verordening ... 48
3.2.4 Knelpunten ... 52
7
3.2.4.2 Machine-to-machine communicatie ... 57
3.2.4.3 Communicatie in situ ... 60
3.2.4.4 Definities in richlijn of verordening ... 62
3.3 Regels ... 64
3.3.1 Inleiding en overzicht ... 64
3.3.2 Onder de richtlijn ... 64
3.3.3 ‘Problemen’ in de richtlijn & ‘oplossingen’ in de verordening ... 66
3.3.4 Knelpunten ... 67
3.3.4.1 Toegestane verwerkingsgronden en gerechtvaardigde belangen ... 67
3.3.4.2 Child Sexual Abuse Material ... 73
4 Conclusie ... 76
5 Bijlagen ... 80
5.1 Zaken voorafgaande aan SkypeOut en Gmail ... 80
5.2 Online services na COVID-19 ... 84
6 Bibliografie... 87
6.1 Versies en amendementen van de ePrivacy verordening ... 87
6.2 EDPB/EDPS ... 89
6.3 Wetgeving... 89
6.4 Rechtspraak ... 90
6.5 Studies ... 91
6.6 Boeken en proefschriften ... 93
6.7 Artikels uit tijdschriften ... 93
6.8 Blogs, brieven & persberichten ... 95
8 LIJST MET AFKORTINGE N
AVG Algemene Verordening Gegevensbescherming
BEREC Body of European Regulators for Electronic Communications BIPT Belgisch Instituut voor postdiensten en telecommunicatie CAP’s Content and apllications providers
CCIA Computer & Communications Industry Association CIPL Centre for Information Policy Leadership
CITIP Centre for IT & IP Law Network Comm. Europese Commissie
CSAM Child Sexual Abuse Material DNS Domain Name System
DPIA Data Protection Impact Assesment EC Europese Commissie
EDPB European Data Protection Board EDPS European Data Protection Supervisor EDRI European Digital Rights
EECC Europese Elektronische Communicatie Code EHRM Europees Hof van de Rechten van de Mens EP Europees Parlement
ePR ePrivacy richtlijn ePV ePrivacy verordening
ETNO European Telecommunications Network Operators' Association EU Europese Unie
EVRM Europees Verdrag van de Rechten van de Mens
FEDMA Federation for European Direct and Interactive Marketing GSMA Global System for Mobile Communications
Handvest Handvest van de Grondrechten van de Europese Unie HvJ Hof van Justitie
IAB Interactive Advertising Bureau IAP Internet Acces Provider
IAPP International Association of Privacy Professionals IMCO Commissie interne markt en consumentenbescherming IoT Internet of Things
IP Internet Protocol
IPTV Internet Protocol Television
ITRE Commissie industrie, onderzoek en energie IVIR Instituut voor Informatierecht
JURI Commissie juridische zaken
LIBE Committee on Civil Liberties, Justice and Home Affairs M2M Machine-to-machine
NRA National Regulatory Authority OTT Over The Top
9 Raad Raad van de Europese Unie
REFIT Regulatory Fitness and Performance Programme SMTP Simple Mail Transfer Protocol
TCP Transmission Control Protocol VK Verenigd Koninkrijk
VOD Video On Demand
VoIP Voice over Internet Protocol Afkorting Voluit
AVG Algemene Verordening Gegevensbescherming
BEREC Body of European Regulators for Electronic Communications BIPT Belgisch Instituut voor postdiensten en telecommunicatie CAPs Content and apllications providers
CSAM Child Sexual Abuse Material DNS Domain Name System Comm. Europese Commissie
EECC Europese Elektronische Communicatie Code EP Europees Parlement
ePR ePrivacy richtlijn ePV ePrivacy verordening Raad Raad van de Europese Unie IAP Internet Acces Provider IoT Internet of Things IP Internet Protocol
IPTV Internet Protocol Television M2M Machine-to-machine
NRA National Regulatory Authority OTT Over The Top
PSTN Public Switched Telephone Network SMTP Simple Mail Transfer Protocol TCP Transmission Control Protocol VK Verenigd Koninkrijk
VOD Video On Demand
10 1 OVER HET ONDERZOEK
1.1 ONDERWERP VAN HET ONDERZOEK
1. Een trein naar de toekomst – Dit onderzoek heeft tot doel een kritische analyse te leveren van de
ePrivacy verordening (‘ePV’). Er wordt ingegaan op sellected issues, zogenaamde knelpunten, waar deze verordening mee te kampen heeft en had. De verordening heeft betrekking op de “eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie” en moet de oude en tevens vérouderde ePrivacy richtlijn (‘ePR’) uit 2002 vervangen en zodoende de nieuwe lex specialis vormen op de Algemene Verordening Gegevensbescherming (‘AVG’). Met deze nieuwe wetgeving wil de EU-wetgever, zoals ze zelf aangeeft3, het hoofd bieden aan de technologische veranderingen en juridische vraagstukken die zich de afgelopen 20 jaar hebben gemanifesteerd op het vlak van elektronische communicatie. Men wil de bescherming van de persoonlijke levenssfeer van de gebruikers en hun vertrouwen in de eengemaakte digitale markt vrijwaren. Dit terwijl het voorstel volgens de Europese Commissie (‘EC’) wel nog ‘flexibele tools’ bevat om innovatie te faciliteren en nieuwe opportuniteiten voor bedrijven zal bieden. Het zijn aantrekkelijke maar tevens ook weinigzeggende buzzwords die de Europese Commissie gebruikte om haar voorstel aan het publiek kenbaar te maken. Dit onderzoek streeft ernaar om klaarheid te brengen over de werkelijke implicaties, gemaakte afwegingen en belangen aangaande de ePV.
2. Een eindstation in de toekomst – De verordening blijft echter vooralsnog een definitieve versie
verschuldigd. Ze bevindt zich op vandaag nog in een wagon van de ‘wetgevende trein’ die in gang gezet werd door een voorstel4 van de Europese Commissie en heeft op haar hobbelige traject reeds aanzienlijke vertraging opgelopen. Oorspronkelijk gepland om samen met de AVG te arriveren, is het vooralsnog niet duidelijk wanneer ze werkelijk haar eindstation zal bereiken. Dat er licht aan het einde
3 EUROPESE COMMISSIE, Commission proposes high level of privacy rules for all electronic communications and updates data protection rules for EU institutions, Brussel, 10 januari 2017, https://ec.europa.eu/commission/presscorner/detail/en/IP_17_16.
4 Het voorstel werd op 10 januari 2017 door de Europese Commissie gedaan op onbetwiste basis (geen bezwaren werden geuit door de Raad of het Europees Parlement) van haar bevoegdheid die door art. 16 lid 2 VWEU in deze materie (bescherming van persoonsgegevens) aan haar verleend wordt. Dit artikel schrijft de gewone wetgevingsprocedure (art. 294 VWEU), de procedure gebeurt dus volgens medebeslissing. Voorstel (Comm.) voor een verordening van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie), 10 januari 2017, COM(2017) 10 final – 2017/0003 (COD) (hierna: Voorstel Comm. ePrivacy Verordening).
11 van de tunnel is, is waarschijnlijk. De vraag hoe zwak of fel dit licht kan, zou moeten en waarschijnlijk zal zijn, tracht dit onderzoek te beantwoorden.
3. Onderzoeksveld – Het onderzoek stelt zich de vraag hoe onderscheidde belangen doorwegen en
zouden moeten doorwegen bij het oplossen van de belangrijkste knelpunten aangaande de vertrouwelijkheid van communicatie in de ePrivacy verordening.
12 1.2 BEPERKINGEN
4. Beperking in thema’s – In het kader van een masterproef is het onmogelijk om elk ‘knelpunt’ van
de ePV te behandelen, voor zover er een exhaustief aantal zou bestaan. Om deze reden beperkt dit onderzoek zich eerst en vooral tot één van de drie hoofdthema’s, namelijk ‘vertrouwelijkheid van communicatie’. Dit thema wordt geregeld in de hoofdstukken I en II van de ePV. Het tweede thema met betrekking tot ‘informatie opgeslagen in eindapparatuur’, dat algemeen verwoord tracking regelt, wordt eveneens behandeld in deze hoofdstukken, maar valt buiten het bestek van dit onderzoek. Het derde thema aangaande de ‘rechten van natuurlijke en rechtspersonen om elektronische communicatie te controleren’, beter bekend onder ‘direct marketing en ongewenste communicatie’, hetwelk geregeld wordt in hoofdstuk III van de ePV, wordt ook niet behandeld in dit onderzoek. De reden voor de beperking tot één thema van de ePV is tweeledig. Ten eerste zijn er duidelijke lijnen te trekken tussen de drie thema’s en zouden ze elk een nagenoeg volledig apart onderzoek verlangen. Dit komt omdat enerzijds het toepassingsgebied ernstig verschilt en de regelen in een andere context gelden en anderzijds omdat de ratio voor de bijzondere bescherming onder ePrivacy-wetgeving achter de regels fundamenteel verschillend is. Ten tweede werd niet voor een light-versie van de drie thema’s gekozen aangezien het niet efficiënter was om de drie thema’s samen te behandelen en een diepgaander onderzoek op één thema waardevoller en logischer is voor een masterproef die onderzoek veeleer dan nieuwswaarde nastreeft.
De reden voor de keuze voor het thema aangaande de vertrouwelijkheid van communicatie is eveneens tweeledig. Eerst en vooral gaat mijn persoonlijke interesse, die me ook leidde tot het kiezen van de titel voor deze masterproef, uit naar de bescherming van communicatie die mijn interessegebieden privacy en vrijheid van meningsuiting samenbrengt. Ten tweede zijn er rond het derde thema (beduidend) minder knelpunten en bleek uit de verkenningsfase van deze masterproef dat reeds meer onderzoek verricht is naar de knelpunten van het tweede thema.
Los hiervan wilt de keuze voor het thema aangaande de vertrouwelijkheid van communicatie niet zeggen dat onderzoek naar de knelpunten van de andere thema’s niet even interessant en relevant kunnen zijn.
Verder vormen ook de regels uit hoofdstukken IV, V en VI, respectievelijk aangaande ‘onafhankelijke toezichthoudende autoriteiten en handhaving’, ‘rechtsmiddelen, aansprakelijkheid en straffen’ en ‘gedelegeerde handelingen en uitvoeringshandelingen’, niet de directe focus van dit onderzoek.
5. Beperking in knelpunten – Ook wat betreft de knelpunten is het noodzakelijk dat dit onderzoek zich
13 toe te leggen op de belangrijkste knelpunten met betrekking tot de vertrouwelijkheid van communicatie. De mate van belang werd bepaald aan de hand van de mate waarin een bepaald onderwerp voor onenigheid zorgt. Met andere woorden werd gekeken naar de mate waarin verschillende standpunten en uitingen aangaande eenzelfde onderwerp zich prevaleerden overheen:
• De verschillende versie van de verordening, hieronder wordt verstaan:
o de gelekte versie5 uit eind 2016 evenals de uiteindelijke en gewijzigde versie6 van het voorstel van de Europese Commissie;
o de amendementen uit de ingediende versie van de eerste lezing van het Europees Parlement door de LIBE commissie evenals de voorgestelde amendementen uit de adviezen van de ITRE, IMCO en JURI commissies7, evenals de gedeponeerde amendementen binnen deze comités8;
o de 26 verschillende versies van de Raad van de Europese Unie evenals alle vooruitgangsrapporten.9
• De onderzoeken gedaan in opdracht van instituties van de EU, onder andere:
o de evaluatie en beoordeling van de ePR door Deloitte, in opdracht van de Commissie10;
5 Deze werd gepubliceerd door Politico.eu en is daar terug te vinden,
https://www.politico.eu/wp-content/uploads/2016/12/POLITICO-e-privacy-directive-review-draft-december.pdf.
6 Deze is terug te vinden via EurLex,
https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:52017PC0010&from=EN.
7 Deze zijn tezamen terug te vinden in het verslag van rapporteur Marju Lauristin voor de eerste lezing van het Parlement, https://www.europarl.europa.eu/doceo/document/A-8-2017-0324_NL.pdf. 8 Deze zijn overzichtelijk terug te vinden via de wiki van la quadrature du net,
https://wiki.laquadrature.net/E-Privacy.
9 Deze zijn terug te vinden via de zoekfunctie in het register van de Raad van de Europese Unie,
https://www.consilium.europa.eu/register/en/content/out?document_date_from_date=&DOC_ID= &meeting_date_to_date_submit=&CONTENTS=&DOC_TITLE=&DOC_SUBJECT=&DOC_SUBTYPE=&ME ET_DATE=&meeting_date_to_date=&document_date_to_date=&meeting_date_from_date_submit= &i=ADV&DOS_INTERINST=2017%2F0003%28COD%29&ROWSPP=25&DOC_LANCD=EN&ORDERBY=D OC_DATE+DESC&document_date_to_date_submit=&DOC_DATE=&typ=SET&document_date_from_ date_submit=&meeting_date_from_date=&NRROWS=500&RESULTSET=3.
10 DELOITTE, Evaluation and review of Directive 2002/58 on privacy and the electronic communication sector, 2017, SMART 2016/0080, https://ec.europa.eu/newsroom/document.cfm?doc_id=41232
14 o het Flash Eurobarometer onderzoek over ePrivacy, in opdracht van de Commissie11; o de studie van het ePV voorstel van de Commissie door het IVIR, in opdracht van LIBE12. • De opinies, rapporten en adviezen van de EDPB13 en EDPS
o zie hiervoor de bronnen opgenomen in de bibliografie14
• De opinies van relevante handelsorganisaties zoals onder meer DIGITALEUROPE, CIPL, CCIA, IAB, ETNO, GSMA en FEDMA onder de vorm van onder andere onderzoeken, blogs, joint industry statements en open brieven
o zie hiervoor de bronnen opgenomen in bibliografie15
• De opinies van civil society (hier privacy- en mensenrechtenorganisaties) onder de vorm van blogs, onderzoeken en rapporten zoals onder meer van EDRi, IAPP, Le quadrature du net en corporate europe observator
o zie hiervoor de bronnen opgenomen in bibliografie16 • Rechtsleer in tijdschriften, proefschriften en blogs
11 TNS POLITICAL & SOCIAL, Flash Eurobarometer 443 report e-Privacy, december 2016, 2016.7036,
https://ec.europa.eu/commfrontoffice/publicopinion/index.cfm/ResultDoc/download/DocumentKy/ 82290 (hierna: ePrivacy Eurobarometer) .
12 F. ZUIDERVEEN BORGESIUS, J. VAN HOBOKEN, R. FAHY, K. IRION en M. ROZENDAAL, An assessment of the Commission’s Proposal on Privacy and Electronic Communications, 5 mei 2017, PE 583.152,
https://www.ivir.nl/publicaties/download/IPOL_STU2017583152_EN.pdf (hierna: IVIR Assessment ePV).
13 Vóór de inwerkingtreding van de AVG, en dus nog bij de publicatie van het voorstel van de Europese Commissie voor de ePV, nog onder de naam Working Party 29.
14 Deze bronnen zijn wat betreft de EDPS terug te vinden via het onderwerp ‘ePrivacy Directive’,
https://edps.europa.eu/data-protection/our-work/subjects/eprivacy-directive_en; wat betreft de EDPB zijn deze bronnen terug te vinden via het document over ‘ePrivacy Regulation’,
https://edpb.europa.eu/our-work-tools/our-documents/topic/e-privacy-regulation_en; wat betreft Working Party 29 zijn deze bronnen nog terug te vinden via een zoekformulier van de Commissie,
https://ec.europa.eu/newsroom/article29/news.cfm?searchfield=eprivacy#. 15 Deze bronnen zijn terug te vinden op de website van elke handelsorganisatie.
16 Deze bronnen werden enerzijds gevonden door het zoeken via zoekmachines als Google en anderzijds door uitvoerig gebruik te maken van de sneeuwbalmethode en citatiezoeken. Onder sneeuwbalmethode wordt verstaan: het ontdekken van nieuwe bronnen door de voetnoten en bibliografie te raadplegen en dit telkens in de nieuwe bron te herhalen. Citatiezoeken is het omgekeerde van de sneeuwbalmethode, waar in een zoekmachine als SmartCat of Google Scholar kan gezocht worden welke werken verwijzen naar een bepaalde bron. Op deze manier kunnen ook jongere bronnen gevonden worden in plaats van enkel de oudere met de sneeuwbalmethode. R.J. KETTLER, Research Methodologies of School Psychology: Critical Skills, Routledge, 2019, Chapter 2.
15 o zie hiervoor de bronnen opgenomen in bibliografie17
Een geijkte methode om elk onderwerp naar zijn belang en onenigheid te schatten was onmogelijk overheen zo een grote variëteit aan bronnen en actoren. Immers kan geen objectieve waarde aan het standpunt van een bepaalde actor gegeven worden. Evenmin kan gewerkt worden met absolute waarden, dat is het totaal aantal partijen dat een ander standpunt formuleert, aangezien het numerieke overwicht van bepaalde groepen niet per se de belangrijkheid van een bepaald knelpunt weergeeft. Uiteindelijk werd besloten dat enkel een theoretisch criterium de knelpunten zo objectief mogelijk kon waarderen. Er werd meer bepaald gekeken welke knelpunten de grootste impact zouden hebben op de bijzondere bescherming van de vertrouwelijkheid van informatie wanneer ze niet ‘correct’ worden uitgelegd in de ePV, voor zover de kans reëel is dat de knelpunten in deze richting zouden kunnen evolueren.
De volgorde waarin de knelpunten behandeld zijn geeft niet hun belang aan, ze worden louter in deze volgorde behandeld omdat dit bijdraagt tot de structuur en opbouw. De knelpunten, in de volgorde waarin zij behandeld zijn, zijn de volgende:
• Diensten met een louter bijkomstige communicatiefunctie • Machine-to-machine communicatie
• Communicatie in situ
• Definities in richtlijn of verordening
• Toegestane verwerkingsgronden en gerechtvaardigde belangen • Child Sexual Abuse Material
17 Deze bronnen werden gevonden via zoekmachines als SmartCat, Google, Google Scholar en Heinonline en zoekformulieren van uitgevers zoals onder andere Kluwer, Springer Link en Elsevier. Verder werd uitvoerig gebruikgemaakt van de sneeuwbalmethode en citatiezoeken.
16 1.3 ONDERZOEKSMETHODE
6. Overzichten door middel van tabel – Dit onderzoek werd gestart door het in kaart brengen van alle
beschikbare versies van de ePV. Welke dit zijn en hoe hieraan werd gekomen zijn reeds hierboven, onder randnummer 5 in12 het hoofdstuk ‘Beperkingen’ (1.2) behandeld. Deze werden per versie en per overkoepelend thema, zoals onder randnummer 4 onderscheiden, tegen elkaar afgezet in een tabel. Enkel de meest relevante versies werden in de tabel opgenomen, met name de versie van de Commissie, het Parlement en de voor de bepaling meest recente versie van de Raad. Er wordt gewerkt met Microsoft Excel wat de mogelijkheid biedt om, door elke in de tabel ingevoegde bron te labelen (met labels zoals datum, instantie, type instantie), verschillende soorten overzichten te maken door onder andere gebruik te maken van de functionaliteit draaitabellen en verschillende types van sorteren.
7. Selectie van de knelpunten – Per bepaling of soms groep van bepalingen was het in deze tabel met
de drie verschillende versies meestal al duidelijk waarrond zich knelpunten voordoen. In randnummer 5 in het hoofdstuk ‘Beperkingen’ (1.2) wordt uiteengezet hoe daarna de belangrijkste knelpunten werden geselecteerd, hetgeen uiteindelijk veelal een bevestiging van de tabel was.
8. Oorzaak van de knelpunten – In het volgende stadium van dit onderzoek werd gekeken naar de
oorzaak van het bestaan van de knelpunten. Hiervoor was het nodig om eerst de regeling zoals hij onder de richtlijn geldt te bestuderen. Het onderzoek naar het huidige toepassingsgebied vertrok vanuit de ePR en niet vanuit bv. een handboek om op deze manier, wanneer ik nadere uitleg bij bepalingen en overwegingen van de ePR zocht, een veel groter scala van gevarieerdere bronnen bloot te leggen en een breed en diep inzicht te verwerven, wat mij zou kunnen helpen bij het onderzoek naar de knelpunten in de ePV. Bronnen in dit stadium werden hoofdzakelijk gezocht via methodes zoals uiteengezet in voetnoot 17. Verder werd uitvoerig gebruikgemaakt van de sneeuwbalmethode en citatiezoeken, welke beiden van grote waarde waren voor dit onderzoek. De types van bronnen die hieruit voortkwamen zijn dezelfde als deze opgesomd onder randnummer 5. De methode, met name het louter vetrekken vanuit de ePR, zorgde echter voor een heel traag en moeizaam proces dat zeker minder efficiënt kan worden genoemd. Zo werd bijvoorbeeld ook de meer technische kant van de zaak bestudeerd om ten volle het toepassingsgebied en de ratio erachter te vatten. Het objectief, een breed en diep inzicht verwerven en de volledige draagwijdte van de ePR vatten, werd wel verwezenlijkt. Van de werking onder de richtlijn is telkens per thema nog een (relatief klein) deeltje terug te vinden in de scriptie. Het eigenlijke onderzoek ernaar was vele malen uitvoeriger maar uiteindelijk niet relevant voor deze scriptie, laat staan voor de ePV wat bijvoorbeeld het toepassingsgebied betreft, dat zich ent op een nieuwe definitie. Echter ben ik ervan overtuigd dat het onderzoek naar de werking van de ePR
17 niet volledig verloren moeite was en dat het de volgende stadia in het onderzoek vergemakkelijkt heeft.
Hierna werden de problemen in de richtlijn geanalyseerd vertrekkende vanuit de evaluatie en beoordeling van de ePR door Deloitte18, in opdracht van de Commissie en de daarop gebaseerde REFIT-analyse19. Deze problemen waren in voorgaande stadia al doorgeschemerd en de meeste relevante bronnen dienaangaande waren al gevonden. Desondanks, wanneer enkele diepgaandere bronnen nodig waren werden deze gevonden door gebruik te maken van methodes zoals uiteengezet in voetnoot 16 en 17.
Tot slot werden de vooropgestelde oplossingen overheen de verschillende versies20 bestudeerd en geanalyseerd. Hiervoor werd hoofdzakelijk teruggevallen op de versies en reeds voorheen verzamelde bronnen.
9. De knelpunten – In het laatste stadium werden de belangen en argumenten aangaande de
knelpunten geanalyseerd en tegen elkaar afgewogen. Hiervoor werd telkens enerzijds teruggevallen op het onderzoek gevoerd in de voorgaande delen en anderzijds op de belangen, zoals geuit door onder andere handelsorganisaties, en civil society, zie randnummer 6. Aangezien dit vaak inging op een specifieke problematiek werden ook nog in dit stadium aanvullende bronnen gezocht door gebruik te maken van methodes zoals uiteengezet in voetnoot 16 en 17.
10. Begrippen – Doorheen het onderzoeksproces werd duidelijk dat het de structuur ten goede kwam
om drie begrippen apart te analyseren en het voor deze scriptie relevante gewijzigde technologische landschap te bestuderen. De begrippen maken deel uit van het onderzoek dat gevoerd werd in het eerste stadium.
11. Iteratief proces – Met betrekking tot alle doorlopen stadia moet vermeld worden dat dit
onderzoek een iteratief proces was, wat wil zeggen dat de scheidingslijnen tussen de stadia niet altijd even duidelijk waren en dat doorheen het onderzoek meermaals tussen de stadia werd ‘gesprongen’.
18 DELOITTE Evaluatie en review ePR, supra vn.10.
19 EUROPESE COMMISSIE, COMMISSION STAFF WORKING DOCUMENT Ex-post REFIT evaluation of the ePrivacy Directive 2002/58/EC Accompanying the document Proposal for a Regulation of the European Parliament and the Council on the protection of privacy and confidentiality in relation to electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications), Brussel, 10 januari 2017, SWD(2017) 5 final,
https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=41242 (hierna: REFIT ePR). 20 Hiermee worden de versies bedoeld zoals ze onder randnummer 5 opgelijst.
18 1.4 RELEVANTIE
12. Juridisch-wetenschappelijke en maatschappelijke relevantie – De juridisch-wetenschappelijke en
maatschappelijke relevantie van dit onderzoek ligt in het feit dat er nog geen onafhankelijke, neutrale studie voorhanden is die objectief de geselecteerde knelpunten in één onderzoek samen behandelt en ze linkt aan de ePV. Dit is van belang aangezien door de veelheid aan verschillende versies, opinies, adviezen en andere bronnen over de ePV een overzichtelijk beeld verloren gaat. Een beeld dat al het bovenstaande zou moeten verenigen, analyseren en beoordelen om voor zowel juristen als Europese burgers een duidelijk overzicht te bieden wat betreft de knelpunten, de verschillende belangen die hierin meespelen en de gemaakte keuzes. Een burger moet immers in staat zijn de keuzes van zijn beleidsmaker te kunnen kaderen en begrijpen zonder hiervoor eerst de grote hoeveelheid aan relevant bronnenmateriaal te moeten analyseren. In het licht van de finale verordening is dergelijk onderzoek eveneens nodig, met het oog op verhoogde rechtszekerheid, om met het verworven inzicht in de uiteindelijk gemaakte keuzes te kunnen beoordelen hoe deze op hun beurt moeten geïnterpreteerd worden. Indien beide bovenstaande objectieven ook maar enigszins doel raken is het maatschappelijk belang ervan meteen al aanzienlijk aangezien we te maken hebben met een rechtstak die in de door elektronische communicatie doordrongen maatschappij van vandaag belangrijker is dan ooit. Deze scriptie moet echter aan maatschappelijke relevantie inboeten aangezien ze in de Nederlandse taal geschreven is en zodoende maar 23,5 miljoen21 van de 447 miljoen22 euroburgers (5,3%) via hun moedertaal kan bereiken.
21 TAALUNIVERSUM, Feiten en cijfers: 24 miljoen Nederlandstaligen,
http://taalunieversum.org/inhoud/feiten-en-cijfers#feitencijfers.
22 EUROSTAT, Population on 1 January,
https://ec.europa.eu/eurostat/tgm/refreshTableAction.do?tab=table&plugin=1&pcode=tps00001&la nguage=en.
19 1.5 OVERZICHT
13. Leeswijzer – Onder deel 2 van deze scriptie zijn drie begrippen uiteengezet die in de verdere
scriptie van belang zullen zijn en best niet verkeerd begrepen worden, hoofdzakelijk wat betreft het toepassingsgebied van zowel de ePV als de ePR. Het gaat om de begrippen ‘Over-The-Top-dienst’ en ‘elektronische communicatiedienst’. Wat betreft dit laatste begrip gaat het om zowel de invulling voor als na de implementatie van de elektronische communicatiecode. Per begrip wordt uiteengezet waarom het relevant is voor dit onderzoek.
In deel 3 worden de knelpunten behandeld die zich voordoen bij de bescherming van de vertrouwelijkheid van communicatie in de voorstellen van de ePV. Hiervoor wordt kort ingeleid wat onder de vertrouwelijkheid van communicatie wordt verstaan waarna uiteengezet wordt waarom het een bijzondere bescherming toekomt. Verder valt de vertrouwelijkheid van communicatie uiteen in twee thema’s, enerzijds moet eerst het toepassingsgebied besproken worden waarop de regels omtrent vertrouwelijkheid van communicatie betrekking hebben, anderzijds moeten de regels zelf besproken worden. Deze twee thema’s zijn onlosmakelijk aan elkaar verbonden, immers de draagwijdte en invulling van het één heeft directe invloed op het ander en omgekeerd. Binnen elke thema wordt telkens eerst de huidige regelgeving onder de richtlijn uiteengezet waarna telkens gekeken wordt naar de ‘problemen’ waarmee de richtlijn op vandaag kampt en welke ‘oplossingen’ hiervoor worden geboden in de verordening. Tot slot volgen de eigenlijke knelpunten die ondanks de voorgestelde veranderingen en vernieuwingen onopgelost gebleven zijn of die er juist door gecreëerd zijn. Hier worden de belangen van verschillende partijen tegen elkaar afgewogen en zo objectief mogelijk beoordeeld. Uit dit alles kan de lezer eveneens de weerslag vatten die de voorgestelde ePV in de praktijk mogelijks op bepaalde diensten zal hebben.
Onder deel 4, 5 en Fout! Verwijzingsbron niet gevonden. zijn respectievelijk de conclusie, de bijlagen en de bibliografie te vinden. In dit onderzoek zijn er slechts twee bijlagen. De eerste zet de redenering van het Hof van Justitie uiteen in de zaken aangaande de interpretatie van het begrip ‘elektronische communicatiedienst’ voorafgaand aan de SkypeOut- en Gmail-zaak, zoals geanalyseerd onder 2.2. Echter is de bespreking onder 5.1 te diep om onder 2.2 thuis te horen. Desondanks is deze bespreking voor de geïnteresseerde lezer een échte meerwaarde en biedt ze inkijk in de merkwaardige historie en inconsequente aanpak van het Hof van Justitie. De tweede bijlage illustreert het belang van online services in onze digitale wereld aan de hand van de enorme toename van het gebruik van online services tijdens de wereldwijde COVID-19 quarantaine. De bijlage toont het gigantische belang van elektronische communicatie nog maar eens aan bewijst dat een daarmee samenhangend correct beleid crucialer is dan ooit.
20
14. Voetnotenapparaat – Voor het voetnotenapparaat wordt gebruik gemaakt van de
verwijzingsregels overeenkomstig de citeermethode van ‘Juridische verwijzingen en afkortingen (V&A)’23. Indien de voetnootverwijzing een volledige zin betreft wordt de nummering buiten het eindleesteken geplaatst, wanneer er verwezen wordt naar een deel van de zin wordt de nummering binnen het leesteken geplaatst.
23 J. BAECK, B. DEMARSIN, K. HENDRICKX, C. MALLIET, P. SCHOLLEN, S. SMIS en D. VANHEULE, Juridische verwijzingen en afkortingen, Mechelen, Wolters Kluwer België, 2015, 133 p.
21 2 BEGRIPPEN
15. Overzicht en relevantie – Onder dit deel worden drie begrippen uiteengezet die in de verdere
scriptie van belang zijn en best eensluidend begrepen worden, hoofdzakelijk wat betreft het toepassingsgebied van zowel de ePV als de ePR. Het gaat om de begrippen ‘Over-The-Top-dienst’ en ‘elektronische communicatiedienst. Wat betreft dit laatste begrip gaat het om zowel de invulling vóór als na de implementatie van de elektronische communicatiecode, en gaat het dus over twee begrippen. Het begrip Over-The-Top-dienst heeft op zichzelf geen juridische waarde, maar wordt in de literatuur veel gebruikt. Het begrip elektronische communicatiedienst wordt wel aangewend in het Europees regelgevend kader met betrekking tot elektronische communicatie. Per begrip wordt uiteengezet waarom het relevant is voor dit onderzoek.
2.1 OVER-THE-TOP-DIENST
16. Belang voor deze scriptie – Het begrip ‘Over-The-Top-dienst’ (‘OTT-dienst’), is een begrip dat op
zichzelf, vooralsnog, geen echte juridische waarde heeft. Hoewel de term nog in geen enkele (bindende) wettekst wordt vermeld, werd ze in 2019 voor het eerst door het Hof van Justitie gebruikt, echter zonder hier enige juridische noch praktische gevolgen aan te koppelen. Wel is het zo dat het begrip de voorbije jaren aan populariteit heeft gewonnen in de rechtsleer. Niet enkel technology- en privacy law blogs, maar ook adviezen van bijvoorbeeld de EDPB24 en de EDPS25, maken gebruik van dit begrip in de context van ePrivacy. Het zou dan ook op onbegrip van lezers stuiten als dit begrip, zonder nadere uitleg, volledig onvermeld zou blijven in dit onderzoek. Alhoewel het begrip, naargelang de uitlegging ervan, zich er lijkt toe te lenen om de vooropgestelde uitbreiding van het toepassingsgebied van het ePrivacy regelgevingskader te vatten, blijft dit bij schijn. Het begrip, dat zowel heel breed als eng kan gebruikt worden en gebruikt wordt, blijft zelfs in haar enge uitlegging te rekbaar en onduidelijk om écht van nut te zijn voor een duidelijke afbakening.
24 Zie o.a. ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 03/2016 on the evaluation and review of the ePrivacy Directive (2002/58/EC), 19 juli 2016, WP240,
https://www.pdpjournals.com/docs/88612.pdf (hierna: WP29 Opinion 03/2016); ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 01/2017 on the Proposed Regulation for the ePrivacy Regulation (2002/58/EC), 4 april 2017, WP247,
https://ec.europa.eu/newsroom/document.cfm?doc_id=44103 (hierna: WP29 Opinion 01/2017). 25 Zie o.a. EDPS, Opinion 6/2017 EDPS Opinion on the Proposal for a Regulation on Privacy and Electronic Communications (ePrivacy Regulation), 24 april 2017,
https://edps.europa.eu/sites/edp/files/publication/17-04-24_eprivacy_en.pdf (hierna: EDPS Opinion 6/2017).
22
17. OTT als breed begrip – Over het algemeen, buiten het specifiek gebruik in een ePrivacy context,
wordt het begrip gebruikt om een veelheid aan diensten aan te duiden die over het internet worden geleverd zonder enige betrokkenheid van een Internet Acces Provider (‘IAP’). De IAP kan wel op de hoogte zijn van het gegevensverkeer voor deze diensten, maar is niet verantwoordelijk voor de inhoud ervan, noch heeft zij er controle over. De OTT-dienst heeft op zijn beurt geen verantwoordelijkheid over de verzending van de gegevens door de IAP noch heeft hij er controle over. Het Hof van Justitie gaf in twee recente arresten een gelijkaardige definitie en verstaat onder een OTT-dienst “een dienst die op het internet beschikbaar is zonder enige betrokkenheid van een traditionele exploitant van communicatiediensten”26. Het gaat dus over een dienst die haar inhoud en functionaliteit aan gebruikers aanbiedt via het internet, zonder dat deze dienst gekoppeld is aan de dienst die voor de nodige gegevensverzending zorgt. Voorbeelden hiervan zijn legio en omvatten nagenoeg alle diensten die vandaag over het internet aangeboden worden zoals communicatiediensten zoals Facebook Messenger, Whatsapp en Skype maar ook diensten die voorzien in video- en muziekstreaming (bv. Netflix, Youtube en Spotify), e-commerce (bv. Bol.com en Amazon), cloud-service-providing (bv. iCloud en Dropbox) en online gaming, om er slechts enkele te noemen.
18. OTT als eng begrip – Bovenstaande algemene invulling van het begrip “OTT”, die een dergelijke
veelheid aan internet-gefaciliteerde-diensten omvat, is echter te breed om in deze scriptie en de ePrivacy context van nut te zijn, aangezien de diensten die eronder vallen niet specifiek betrekking hebben op elektronische communicatie. Om in deze context wel bruikbaar te zijn moet de invulling van het begrip dus verengen. Hier biedt de studie van beleidsafdeling A (economisch en wetenschappelijk beleid) van het directoraat-generaal voor intern beleid in opdracht van het comité voor interne markt en consumentenbescherming van het Europees Parlement (‘EP’) over “Over-the-Top players (OTTs)”27 (verder ‘EP-OTT-studie’) een bruikbaar kader.
De studie onderscheidt in het landschap van aanbieders van inhoud en toepassingen (content and applications providers; verder ‘CAP’s’), ‘managed services’ en unmanaged ‘online services’28. Bij managed services heeft de dienstaanbieder controle over het netwerk dat gebruikt wordt voor de distributie van de dienst. Deze controle kan gebruikt worden om het netwerk te plannen, te
26 De SkypeOut- en Gmail-zaak, Zie 2.2.1 en 2.2.2.
27 I. GODLOVITCH, B. KOTTERINK, J.S. MARCUS, P. NOOREN, J. ESMEIJER en A. ROOSENDAAL, Over-the-Top (OTTs) players: Market dynamics and policy challenges, december 2015, PE 569.979, https://www.europarl.europa.eu/RegData/etudes/STUD/2015/569979/IPOL_STU(2015)569979_EN. pdf, (hierna: EP-OTT-studie).
23 ontwerpen29 en te dimensioneren30 op maat van de dienst en er in bepaalde gevallen zelfs netwerkcapaciteit voor te reserveren. Dit effectueert het karakteristieke eigenschap van managed services in die zin dat efficiëntie en kwaliteit gecontroleerd en gewaarborgd kan worden. Een meer gangbare en populaire naam voor dit type diensten is telecommunicatiediensten.31 Voorbeelden zijn onder andere vaste en mobiele telefonie en IPTV32. Online services op hun beurt worden gecategoriseerd als CAP’s die afhankelijk zijn van het publieke internet voor minstens een deel van hun distributie. De dienstaanbieders hebben weinig tot geen controle over een deel van het distributienetwerk, in het bijzonder de toegangsnetwerken33. Controle over de kwaliteit van de dienst is dus minder. De brede definitie van OTT-diensten die onder andere door het Hof wordt gebruikt (zie
29 Netwerkplanning en -ontwerp is een proces dat erop gericht is ervoor te zorgen dat een nieuw telecommunicatienetwerk of nieuwe dienst voldoet aan de behoeften van de abonnee en de aanbieder. Het proces kan worden afgestemd op elk nieuw netwerk of elke nieuwe dienst. Zie: A.R. MISHRA, Fundamentals of Network Planning and Optimisation 2G/3G/4G: Evolution to 5G, John Wiley & Sons Ltd, 2018, 38.
30 Het dimensioneren van een nieuw netwerk bepaalt de minimale capaciteitsvereisten die nog steeds de kwaliteit waarborgen. Om dit te doen, omvat dimensionering bijvoorbeeld planning voor het spitsuurverkeer.
31 Beide termen zullen doorheen deze scriptie aan bod komen, alhoewel de term managed service de voorkeur draagt aangezien deze term de in deze context meest karakteristieke eigenschap onder woorden brengt.
32 Bij IPTV, ofwel Internet Protocol Television, wordt het televisie signaal via internet protocol (‘IP’) verzonden in plaats van traditioneel via bijvoorbeeld COAX kabels of satelliet of terrestrieel. IPTV is voor IAP’s een toegankelijke manier voor het verzenden van televisie signalen, aangezien zij reeds over het nodige netwerk beschikken. De verzending kan door hen veelal gedimensioneerd en gecontroleerd door te werken op een afgeschermd internet netwerk, los van het open internet. Op deze manier wordt de benodigde bandbreedte en kwaliteit gewaarborgd. In België biedt bijvoorbeeld Proximus zijn digitale televisie aan via IPTV. Zie: D. ROBINSON, Killing ‘OTT’: Why the Term 'Over-the-Top' Has Lost its Meaning, 2017, http://www.streamingmediaglobal.com/Articles/Editorial/Featured-Articles/Killing-%E2%80%98OTT-Why-the-Term-Over-the-Top-Has-Lost-its-Meaning-118668.aspx.
33 Toegangsnetwerken zorgen voor de verbinding van terminals van vele abonnees (demand nodes) met één enkele gateway (edge node) die toegang geeft tot het core netwerk. Over dit core-netwerk worden gegevens verzonden (via internal backbone nodes en links) naar andere gateways en raken deze uiteindelijk weer via een toegangsnetwerk bij een abonnee. De core-netwerkverbindingen hebben een grote capaciteit en kunnen met grote snelheid een groot verkeersvolume vervoeren. Toegangsnetwerken hebben daarentegen een lagere capaciteit en verplaatsen het verkeer met een lagere snelheid. De knelpunten in een telecommunicatienetwerk treden doorgaans op in het toegangsgedeelte van het netwerk. Dit komt kort gezegd omdat een core-netwerk veel grotere schaalvoordelen heeft dan een acces netwerk. Het is dan ook hier dat online services het meest ‘lijden’ onder het tekort aan controle en dat IAP’s over het algemeen in betere kwaliteit kunnen voorzien. M.G.C. RESENDE en P.M. PARDALOS, Handbook of Optimization in Telecommunications, Boston, Springer Science & Business Media, 10 december 2008, 315 – 317.
24 randnummer 17) komt overeen met deze definitie die door de OTT-studie aan online services wordt gegeven. Hetzelfde geldt logischerwijs analoog voor voorbeelden van de diensten34.
De EP-OTT-studie onderscheidt echter nog een subgroep binnen online services en duidt pas deze aan als OTT-diensten.35 Dit omdat de beleidsdiscussie rond OTT-diensten grotendeels is ingegeven door het feit dat ze (al dan niet oneerlijk) concurreren met traditionele telecommunicatie- en omroepdiensten en dat de EP-OTT-studie zich voornamelijk rond deze beleidsdiscussie opstelt. De studie definieert OTT-diensten dan ook als “alle aanbieders van inhoud en applicaties (CAP’s) die online services aanbieden en die kunnen worden beschouwd als een mogelijk substituut van traditionele telecommunicatie- en audiovisuele diensten zoals spraaktelefonie, sms en televisie”. Te denken valt aan diensten als Whatsapp, Skype en Facebook Messenger.
Deze benadering en definitie legt de focus op de gewijzigde maatschappelijke- en technologische context op het gebied van elektronische communicatie, welke in se ook de trigger voor de ePV is geweest.36 Daarbij is het zo dat de mate van substitueerbaarheid van een OTT-dienst, zoals bij elk goed of dienst37, eenzijdig door de consument wordt bepaald. Dit wil zeggen dat de consument deze substituut-dienst met hetzelfde doel zal gebruiken, namelijk elektronische communicatie op afstand, en dat hij zich waarschijnlijk aan eenzelfde niveau van privacy zal verwachten.
Het lijkt dan ook dat het OTT-begrip, zoals op deze manier ingevuld, zich perfect leent om de nieuwe diensten in onder te brengen die onder het toepassingsgebied van de ePV, en reeds onder dat van de ePR vanaf 21 december 202038, zullen vallen. Echter lijkt het niet zonder reden dat de wetgever niet voor dit begrip heeft geopteerd. Een criterium als substitueerbaarheid is moeilijk aflijnbaar. Wanneer twee diensten in zeker zin substitueerbaar zijn zal een daling van de kost van dienst A (bv. Whatsapp) resulteren in een daling van de consumptie van dienst B (bv. sms), echter is het omgekeerd niet zo dat wanneer deze dalingen waarneembaar zijn er noodzakelijk sprake is van substitutie. Het is onhaalbaar om voor elke dienst afzonderlijk substitueerbaarheid aan te tonen en zodoende onbruikbaar om een toepassingsgebied mee af te bakenen. De EP-OTT-studie heeft het dan ook met reden over “online
34 Zie randnummer 17 in fine. 35 EP-OTT-studie, supra vn. 27, 23.
36 EUROPESE COMMISSIE, Commission proposes high level of privacy rules for all electronic communications and updates data protection rules for EU institutions, Brussel, 10 januari 2017, https://ec.europa.eu/commission/presscorner/detail/en/IP_17_16.
37 M. DE CLERQ, Economie toegelicht, Antwerpen, intersentia, september 2015, 168. 38 Zie 2.3, 3.2.2 en 3.2.3.
25 services die […] kunnen worden beschouwd als een mogelijk substituut […]”, wat de meetbaarheid van substitueerbaarheid onnodig maakt voor dit begrip maar het begrip OTT-dienst veeleer theoretisch dan concreet maakt.
Wel is het onmiskenbaar dat de wetgever voor de afbakening van het nieuwe toepassingsgebied rekening heeft gehouden met dergelijk theoretisch begrip en juist het feit dat bepaalde diensten mogelijks, in hoofde van de consument, substitueerbaar kunnen zijn en zodoende onder hetzelfde regelgevingskader moeten vallen.39 In die zin kan gezegd worden dat OTT-diensten onder het toepassingsgebied gebracht zijn. Echter blijft dit een verwijzing naar een abstracte groep diensten. Overigens is het zo dat niet enkel diensten die substitueerbaar zijn onder het toepassingsgebied van de ePV zullen vallen, maar ook louter bijkomstige diensten (bv. in-game chat) die voor geen enkele dienst een substituut vormen en toch dezelfde bescherming van vertrouwelijkheid van communicatie vereisen. Dit fenomeen vormt een knelpunt en wordt uitvoerig besproken onder 3.2.4.1.
Het bevordert voor de lezer de duidelijkheid om de verschillende begrippen hierboven, in navolging van de EP-OTT-studie40, te schikken in een Venndiagram. Deze begrippen zullen verder in de studie gebruikt worden.
19. Andere invulling, zelfde insteek – Een andere taxonomie die gebruikt wordt in het BEREC (‘Body
of European Regulators for Electronic Communications’) rapport over OTT-diensten41 komt ruwweg overeen met deze uit de EP-OTT-studie. Onder de koepel van een breed ingevuld OTT-begrip zoals hierboven beschreven, worden drie types onderscheiden. OTT-0 diensten zijn diensten die zowel
39 Overw. 15 EECC.
40 EP-OTT-studie, supra vn. 27, 24.
41 BEREC, Report on OTT services, januari 2016, BoR (16) 35,
https://berec.europa.eu/eng/document_register/subject_matter/berec/download/0/5751-berec-report-on-ott-services_0.pdf, 14-17. CAP’s Managed services Online services OTT-diensten
26 kwalificeren als een OTT-dienst (in de brede zin) als kwalificeren als een elektronische communicatiedienst42. Dergelijke diensten zijn uitzonderlijk, maar bestaan, zie randnummer 91. OTT-1 diensten op hun beurt, zijn diensten die geen elektronische communicatiedienst zijn, maar er wel potentieel mee kunnen concurreren. In deze kwalificatie herkennen we het begrip dat door de EP-OTT-studie als (enge) OTT-diensten wordt gekenmerkt. OTT-2 diensten zijn dan de overige OTT-diensten, die niet potentieel in het vaarwater komen van elektronische communicatiediensten, deze laatste groep komt overeen met de door de EP-OTT-studie gekenmerkte overblijvende online services.
Conclusie – Het is duidelijk dat het begrip OTT-dienst zowel in haar brede als meest enge invulling een
te rekbaar en onbepaald begrip is om in wetgeving te hanteren als afbakenende term van een toepassingsgebied. Echter heeft het begrip wel enige theoretische waarde en kan het gebruikt worden om te verwijzen naar een bepaalde algemene groep diensten die over het internet worden verstrekt, met gevaar voor verwarring of de brede dan wel de enge betekenis gehanteerd wordt. In deze scriptie zal er dan ook, om verwarring te vermijden zo weinig mogelijk gebruik gemaakt worden van het begrip, de diensten die ermee bedoeld worden kunnen duidelijker, zonder gevaar van verwarring, aangeduid worden door een specifieke groep van online services te benoemen.
42 Het (oude) begrip elektronische communicatiedienst wordt onder 2.2 ruim uiteengezet maar kan hier gemakshalve als traditionele telecommunicatiedienst verstaan worden.
27 2.2 ELEKTRONISCHE COMMUNICATIEDIENST TOT 20 DECEMBER 2020
20. Belang voor deze scriptie – Het begrip ‘elektronische communicatiedienst’, is in tegenstelling tot
OTT-dienst wel een begrip waarvan de definitie in de wetgeving is geregeld, meer bepaald in de (geamendeerde) 'kaderrichtlijn’43 uit 2002. Rechtspraak44 was echter nodig om deze definitie verder te verduidelijken. Dit begrip is essentieel voor het bepalen van het toepassingsgebied onder de ePR45. Het is voor deze scriptie dan ook cruciaal om de exacte invulling, zoals door het Hof van Justitie verduidelijkt, te achterhalen. Het is immers van belang om eerst het ‘oude’ toepassingsgebied van het regelgevend kader rond ePrivacy volledig te begrijpen alvorens de inhoud van de argumenten en voorstellen voor het ‘nieuwe’ toepassingsgebied gekaderd en besproken kunnen worden. Daarnaast is het interessant om te zien om welke redenen en met argumentatie het Hof van Justitie voet bij stuk bleef houden om het door de technologische realiteit ingehaalde recht niet te laten mee-evolueren. Hier werpt overigens de analyse in de bijlage nog een klaarder licht.46
Randnummer 21 (“Elektronische communicatiedienst”) samen met randnummer 31 (“Conclusie”) volstaan voor de lezer die de loutere draagwijdte van het begrip wilt kennen. Om de denkpiste en argumentatie van het Hof van Justitie rond de voor deze geopteerde uitlegging te begrijpen moet het hele hoofdstuk (2.2) gelezen worden.
21. Elektronische communicatiedienst – Voor de definitie van ‘elektronische communicatiedienst’
onder de ePR moet, overeenkomstig artikel 2 ePR, gekeken worden naar de (geamendeerde) 'kaderrichtlijn’47 uit 2002. Onder een elektronische communicatiedienst moet een dienst worden verstaan die bestaat uit “het geheel of hoofdzakelijk overbrengen van signalen via elektronische
43 Richtl.EP en Raad nr. 2002/21/EG, 7 maart 2002 inzake een gemeenschappelijk regelgevingskader voor elektronische-communicatienetwerken en -diensten (Kaderrichtlijn), Pb.L. 24 april 2002, afl. L 108, 33 – 50 (hierna: kaderrichtlijn).
44 HvJ 7 november 2013, nr. C‑518/11, ECLI:EU:C:2013:709, UPC Nederland BV/Gemeente Hilversum (hierna: UPC Nederland v. Gemeente Hilversum-zaak); HvJ 30 april 2014, nr. C‑475/12, ECLI:EU:C:2014:285, UPC DTH Sàrl/Nemzeti Média- és Hírközlési Hatóság Elnökhelyettese (hierna: UPC DTH v. NMHH-zaak); HvJ 5 juni 2019, nr. C-142/18, ECLI:EU:C:2019:460, Skype Communications Sàrl/Belgisch Instituut voor postdiensten en telecommunicatie (BIPT) (hierna: SkypeOut-zaak); HvJ 13 juni 2019, nr. C‑193/18, ECLI:EU:C:2019:498, Google LLC/Bundesrepublik Deutschland (hierna: Gmail-zaak).
45 Zie 3.2.2.
46 Zie hiervoor de analyse die gemaakt wordt in de bijlage onder 5.1. 47 kaderrichtlijn, supra vn. 43.
28 communicatienetwerken” 48 . Een elektronisch communicatienetwerk op zijn beurt is “de transmissiesystemen […] die het mogelijk maken signalen over te brengen via draad, radiogolven, optische of andere elektromagnetische middelen […], ongeacht de aard van de overgebrachte informatie”49. Het kan dus zowel gaan over bedrade als draadloze netwerken, bijvoorbeeld een netwerk van telefoonkabels of een mobiel telefoonnetwerk, maar ook over een internet netwerk. Wanneer het dus gaat over een elektronische communicatiedienst, gaat het over de dienst waarbij de dienstverlener zorgt voor het effectief mogelijk maken van het overbrengen van de signalen via de elektronische communicatienetwerken. Voor het toepassingsgebied valt dus te denken aan dienstverleners als Telenet en Proximus, die vaak meerdere soorten elektronische communicatiediensten aanbieden (bv. mobiele en vaste telefonie, mobiel en vast internet en kabeltelevisie).
22. Transmissie vs. inhoud – Enkel diensten die geheel of hoofdzakelijk bestaan uit het overbrengen
van signalen, vallen derhalve onder de werkingssfeer, dit in tegenstelling tot diensten die louter een elektronisch communicatienetwerk gebruiken om hun dienst en inhoud ter beschikking te stellen (bv. Netflix, Amazon, Facebook, …). In navolging van de begrippen die onder 2.1 werden uiteengezet, zijn de eerste groep managed services en de tweede groep online services. De uniewetgever benadrukt dit onderscheid in overweging 5 van de kaderrichtlijn en stelt dat het noodzakelijk is dat de regelgeving inzake transmissie wordt gescheiden van de regelgeving inzake inhoud.50 Aldus de wetgever bestrijkt het regelgevingskader derhalve niet de inhoud van de diensten die via elektronische communicatienetwerken met behulp van elektronische communicatiediensten worden geleverd, zoals de inhoud van omroepprogramma's, financiële diensten en bepaalde diensten van de informatiemaatschappij.51 Het toepassingsgebied wordt in de kaderrichtlijn zelf dan ook expliciet beperkt tot diensten die geen “diensten van de informatiemaatschappij [zijn] zoals omschreven in artikel 1 van richtlijn 98/34/EG52, [voor zover] die niet geheel of hoofdzakelijk bestaan uit het overbrengen van signalen via elektronische-communicatienetwerken”53. Over de vraag vanaf wanneer
48 Art. 2, c) kaderrichtlijn. 49 Art. 2, a) kaderrichtlijn. 50 Overw. 5, kaderrichtlijn. 51 Overw. 5, kaderrichtlijn.
52 Dit gaat over Richtlijn 98/34/EG van het Europees Parlement en de Raad van 22 juni 1998 betreffende een informatieprocedure op het gebied van normen en technische voorschriften, zoals geamendeerd door richtlijn 98/48/EG. Deze richtlijn werd in 2015 vervangen door richtlijn 2015/1535, maar de definitie blijft ongewijzigd.
29 nu juist diensten geheel of hoofdzakelijk bestaan uit het overbrengen van signalen en wanneer het aanbieden van inhoud prevaleert, heeft het Hof van Justitie zich onder andere uitgesproken in twee zeer recente arresten, de SkypeOut-zaak54 en de Gmail-zaak55.
2.2.1 SKYPEOUT-ZAAK
23. Feiten – In de SkypeOut-zaak56 bevestigde het Hof van Justitie het standpunt van het Belgisch Instituut voor postdiensten en telecommunicatie (‘BIPT’) dat de dienst ‘SkypeOut’ als elektronische communicatiedienst moet worden aanzien. SkypeOut is een betalende optie in de alom bekende gratis VoIP-software (Voice over Internet Protocol) ‘Skype’. Een ‘gewone’ Skype-gebruiker kan op een terminal (computer, tablet of smartphone) gebruik maken van spraaktelefonie van apparaat tot apparaat via een Internet Protocol (‘IP’), in dit geval het internet. De extra optie ‘SkypeOut’ maakt het op zijn beurt mogelijk om tegen betaling vanaf de terminal met een vaste of mobiele telefoonlijn gesprekken te voeren. 57 Technisch gezien is er voor het gebruik van SkypeOut zowel de tussenkomst van een IAP als van een aanbieder van telecommunicatiediensten voor het openbaar geschakeld telefoonnet (‘PSTN’)58 nodig. 59 De eerste aanbieder zorgt voor het transport van de spraakgegevens over het internet, de twee staat in voor het transport over de vaste of mobiele telefoonlijn. Met deze elektronische communicatiedienst-aanbieders heeft Skype Communications overeenkomsten gesloten waarin zij hen voor hun tussenkomst vergoedt.60 Het Hof moest zich in deze zaak dan ook buigen over de vraag of artikel 2, onder c), van de kaderrichtlijn in die zin moet worden uitgelegd dat het aanbieden van een dergelijke dienst als ‘elektronische communicatiedienst’ moet worden aangemerkt, “wanneer de ontwikkelaar voor het aanbieden van deze dienst wordt vergoed en met het oog op het aanbieden ervan overeenkomsten moet sluiten met de aanbieders van telecommunicatiediensten [over] het PSTN […].” 61
54 SkypeOut-zaak, supra vn. 44. 55 Gmail-zaak, supra vn. 44. 56 SkypeOut-zaak, supra vn. 44. 57 SkypeOut-zaak, supra vn. 44, §8.
58 Het Hof van Justitie heeft het letterlijk over “aanbieders van telecommunicatiediensten die naar behoren zijn gemachtigd om oproepen naar het openbaar geschakeld telefoonnet (‘PSTN’) over te brengen en daaraan af te geven”. SkypeOut-zaak, supra vn. 44, §11.
59 SkypeOut-zaak, supra vn. 44, §11. 60 Ibid.
30
24. Denkpiste van het Hof – In haar beoordeling trekt het Hof van Justitie de lijn van de kaderrichtlijn
door in die zin dat ze eveneens stevig de nadruk legt op het duidelijk onderscheid dat dient gemaakt te worden tussen het aanbieden van transmissie en inhoud.62 Beiden hebben een afzonderlijke doelstelling en moeten dan ook onderhevig zijn aan een afzonderlijke regelgeving met een eigen finaliteit, aldus het Hof.63 Er moet dus telkens per dienst beoordeeld worden of deze ofwel geheel of hoofdzakelijk bestaat in de transmissie van signalen, ofwel dat zij juist hoofdzakelijk bestaat uit het ter beschikking stellen van inhoud. Het Hof verwijst hiervoor naar overweging 5 van de kaderrichtlijn, maar ook naar eigen rechtspraak.64
25. Beoordeling in casu – Wat betref SkypeOut stelt het Hof dat “de omstandigheid dat het signaal
wordt overgebracht door middel van niet aan de dienstverrichter toebehorende infrastructuur, niet relevant is voor de beoordeling van de aard van de dienst”65. Enkel van belang volgens het Hof is de aansprakelijkheid van de dienstverrichter jegens de eindgebruikers voor het overbrengen van het signaal dat er voor zorgt dat die eindgebruikers in de aanbieding van de dienst, waarvoor zij hebben betaald, worden gewaarborgd.66 Dewelke in casu voor SkypeOut aanwezig is, ook al sluit zij deze contractueel zelf uit.67 Hoewel technisch gezien (andere) elektronische communicatiediensten zorgen voor het doorgeven van de spraakoproepen, eerst via het internet en dan het PSTN, “gebeurt deze overdracht op basis van overeenkomsten tussen Skype Communications en die aanbieders van deze telecommunicatie-diensten, zonder de sluiting waarvan zij niet zou kunnen plaatsvinden”68.
Het is dus de gelijkenis met traditionele telecomdiensten op het vlak van aansprakelijkheid ten opzichte van de gebruiker die voor het Hof als doorslaggevende factor geldt om SkypeOut te kwalificeren als een dienst die hoofzakelijk bestaat uit het verzenden van signalen. Er moet wel opgemerkt worden dat de aansprakelijkheid van SkypeOut enkel rust op het overbrengen van de signalen via het PSTN tot aan het vaste of mobiele eindpunt69 en dat de kwalificatie als elektronische communicatiedienst en de regels die hieraan verbonden zijn tot deze transmissie beperkt is. Dit komt
62 Zie randnummer 22. SkypeOut-zaak, supra vn. 44, §28 – 29. 63 Ibid., §28.
64 UPC Nederland v. Gemeente Hilversum-zaak, supra vn. 44, §41; UPC DTH v. NMHH-zaak, supra vn. 44, §36; Zie hiervoor 5.1. 65 SkypeOut-zaak, supra vn. 44, §29. 66 SkypeOut-zaak, supra vn. 44, §29. 67 Ibid., §33 en §44. 68 Ibid., §34. 69 Ibid., §38.
31 omdat de VoIP-dienst in kwestie twee onderscheiden elektronische communicatiediensten omvat. De transmissie die gebeurt over het internet, tot aan de gateway tussen het internet en het PSTN, valt dan onder de aansprakelijkheid van de IAP.70
Verder impliceert het feit “dat de met SkypeOut verrichte VoIP-dienst tevens onder het begrip ‘dienst van de informatiemaatschappij’ in de zin van richtlijn 98/34 valt, geenszins dat die dienst niet als ‘elektronische-communicatiedienst’ kan worden aangemerkt”. De kaderrichtlijn sluit immers enkel dergelijk type diensten uit die niet geheel of hoofdzakelijk bestaan in het overbrengen van signalen via elektronische communicatienetwerken.
26. Aansprakelijkheid geeft de doorslag – Het Hof van Justitie hamert dus duidelijk op
‘aansprakelijkheid ten opzichte van de gebruiker’ als criterium voor de afbakening van het begrip elektronische communicatiedienst. In deze zaak zien we eerst en vooral dat het Hof een duidelijke scheiding aanhoudt tussen inhoud- en transmissiediensten. Maar we zien ook dat er wel degelijk gevallen bestaan waar diensten van de informatiemaatschappij hoofdzakelijk bestaan in het overbrengen van signalen via een elektronisch communicatienetwerk en zodoende kwalificeren als elektronische communicatiedienst. Het criterium dat het Hof hiervoor hanteert is dat van de aansprakelijkheid voor het waarborgen van de dienst ten opzichte van haar gebruikers, die volgens het Hof schijnbaar inherent is aan (zowel ‘nieuwe’ als ‘traditionele’) elektronische communicatiediensten. Dat diensten als SkypeOut onder het ‘transmissie-regime’ vallen is ogenschijnlijk voor het Hof dermate van belang juist omdat het Hof de verschillende behandeling van beide types diensten zo hoog in het vaandel draagt. Als een dienst dus op dezelfde wijze verantwoordelijk is ten opzichte van haar gebruikers zoals dat bij een traditionele telecommunicatiedienst het geval is, dan moet zij ook onder het zelfde regime vallen.
27. SkypeOut is in, Skype is out – Het gratis VoIP gedeelte in de Skype-software71, dat enkel spraaktelefonie van terminal tot terminal mogelijk maakt en waarbij signalen enkel over het internet verstuurd worden, wordt daarentegen niet als elektronische communicatiedienst aangemerkt, aangezien zij niet geheel of hoofdzakelijk bestaat in het overbrengen van signalen.72 De lijn is echter dun en de zone voor velen grijs, wat ervoor zorgt dat ook zaken als de ‘Gmail-zaak’ tot aan het Hof van Justitie kwamen.
70 Ibid.
71 Zie randnummer 23
32 2.2.2 GMAIL-ZAAK
28. Feiten – Gmail is een dienst waarmee gebruikers onder meer e-mails en data via het internet
kunnen verzenden en ontvangen maar ook e-mails bewerken, opslaan of sorteren. Zij kunnen deze dienst raadplegen via een door Google geëxploiteerde website ofwel via een op een terminal geïnstalleerde applicatie.73 Wanneer een gebruiker een e-mail wilt verzenden bepaalt hij in deze applicatie of via de website de inhoud en ontvanger(s) ervan, waarna deze dan wordt overdragen aan Google.74 Technisch gezien wordt hiervoor gebruik gemaakt van gestandaardiseerde communicatie-protocollen voor berichtendiensten zoals het Simple Mail Transfer Protocol (‘SMTP’) met onderliggende laag het Transmission Control Protocol (‘TCP’) en daaronder het Internet Protocol (‘IP’).75 Hiervoor moeten de gegevens opgesplitst worden in meerdere aparte datapakketten. Het is inherent aan deze protocollen dat ze, zoals Google in haar verdediging ook zelf aanhaalde ter weerlegging van haar aansprakelijkheid76, werken via een best-effort principe, dit komt er op neer dat sommige van deze datapakketten verloren kunnen gaan. Door de TCP laag wordt echter wel levering verzekerd, maar de ogenblikkelijkheid van de verzending kan niet verzekerd worden en verloopt volgens best-effort. 77 Hiervoor moet Google e-mailservers exploiteren waarop “de informatietechnologische verwerkingshandelingen worden verricht die vereist zijn om met behulp van het Domain Name System (‘DNS’) de doelserver te identificeren en om de datapakketten te verzenden” 78. Ten aanzien van de weg die afgelegd wordt door de datapakketten, over door derden geëxploiteerde deelnetten van het internet, draagt Google noch kennis noch heeft zij er controle over. De door de e‑mails op het internet afgelegde weg kan weliswaar korter zijn wanneer de correspondentie gebeurt tussen twee Gmail gebruikers.79
29. Beoordeling – Het Hof van Justitie herhaalt haar rechtspraak uit de SkypeOut-zaak en begint haar
beoordeling door de noodzakelijkheid van het onderscheid tussen inhoud- en transmissiediensten vast
73 Gmail-zaak, supra vn. 44, §11. 74 Ibid., §12.
75 C.M. KOZIEROK, TCP/IP Guide, A Comprehensive, Illustrated Internet Protocols Reference, San Francisco, No Starch Press, 2005, 1422.
76 Gmail-zaak, supra vn. 44, §21.
77 C. M. KOZIEROK, TCP/IP Guide, A Comprehensive, Illustrated Internet Protocols Reference, San Francisco, No Starch Press, 2005, 189 e.v., 1434 e.v.
78 Gmail-zaak, supra vn. 44, §13. 79 Ibid.
