GDPR vs ePrivacy-richtlijn: hoe ze samenwerken
De GDPR en de ePrivacy-richtlijn zijn complementaire EU-wetten die samenwerken om privacy te beschermen. De GDPR biedt het brede kader voor de bescherming van persoonlijke gegevens, terwijl de ePrivacy-richtlijn specifiek betrekking heeft op elektronische communicatie, cookies en directe marketing. De ePrivacy-richtlijn wordt vaak de 'cookiewet' genoemd en is door middel van nationale wetgeving in elke EU-lidstaat geïmplementeerd.
| Kenmerk | GDPR | ePrivacy |
|---|---|---|
| Geografisch bereik | EU/EER: brede bescherming van persoonlijke gegevens in alle sectoren | EU/EER: specifiek voor elektronische communicatie, cookies en directe marketing |
| Op wie van toepassing | Elke organisatie die persoonlijke gegevens van EU-ingezetenen verwerkt | Aanbieders van elektronische communicatiediensten en elke website die cookies/tracking gebruikt |
| Toestemmingsvereisten | Opt-in toestemming als een van zes rechtsgrondslagen voor verwerking | Strikte opt-in toestemming vereist voor niet-essentiële cookies en directe marketing |
| Cookie- en trackingregels | Algemene gegevensverwerkingsregels zijn van toepassing op via cookies verzamelde gegevens | Specifieke voorafgaande toestemming vereist voordat niet-essentiële cookies op apparaten worden geplaatst |
| Individuele rechten | Toegang, rectificatie, verwijdering, overdraagbaarheid, beperking, bezwaar | Recht op vertrouwelijkheid van communicatie, recht om directe marketing te weigeren |
| Maximale boetes | Tot EUR 20 miljoen of 4% van de jaarlijkse wereldwijde omzet | Vastgesteld door nationale wetgeving die de richtlijn implementeert; verschilt per lidstaat |
| Handhavingsinstantie | Nationale gegevensbeschermingsautoriteiten | Nationale autoriteiten (vaak dezelfde DPA's, maar implementatie verschilt per land) |
Belangrijkste verschillen
De ePrivacy-richtlijn is een sectorspecifieke wet die voorrang heeft op de GDPR voor zaken met betrekking tot elektronische communicatie. Waar de ePrivacy-richtlijn specifieke regels heeft (zoals voor cookies), zijn die regels van toepassing in plaats van de algemene GDPR-bepalingen. Waar de ePrivacy-richtlijn niets regelt, vult de GDPR de leemten aan.
Voor cookies en vergelijkbare trackingtechnologieën vereist de ePrivacy-richtlijn voorafgaande geïnformeerde toestemming voordat informatie op het apparaat van een gebruiker wordt opgeslagen of geopend, met beperkte uitzonderingen voor strikt noodzakelijke cookies. De GDPR regelt vervolgens hoe de via die cookies verzamelde persoonlijke gegevens worden verwerkt. Dit betekent dat websites zowel een geldig cookietoestemmingsmechanisme (ePrivacy) als een rechtmatige grondslag voor de verwerking van de verzamelde gegevens (GDPR) nodig hebben.
De ePrivacy-richtlijn dekt ook de vertrouwelijkheid van elektronische communicatie, verkeersgegevens, locatiegegevens en ongewenste marketingcommunicatie. Deze gebieden krijgen specifieke bescherming die verder gaat dan wat de GDPR biedt. Een voorgestelde ePrivacy-verordening is sinds 2017 in onderhandeling en zou de richtlijn vervangen door direct toepasselijke regels in de hele EU, maar is nog niet aangenomen.
Hoe Pryvii helpt
Pryvii controleert uw website tegen zowel de GDPR- als ePrivacy-vereisten. Het test specifiek of uw cookietoestemmingsmechanisme voldoet aan de ePrivacy-normen door te verifiëren dat niet-essentiële cookies worden geblokkeerd vóór toestemming, dat de banner duidelijke informatie biedt en dat toestemming vrij wordt gegeven. Het controleert ook of de onderliggende gegevensverwerking voldoet aan de GDPR.
Veelgestelde vragen
Moet ik aan zowel de GDPR als de ePrivacy-richtlijn voldoen?
Ja. Als uw website cookies of trackingtechnologieën gebruikt en toegankelijk is voor EU-gebruikers, zijn beide wetten van toepassing. De ePrivacy-richtlijn regelt of u cookies mag plaatsen (voorafgaande toestemming vereist voor niet-essentiële), terwijl de GDPR regelt hoe u de via die cookies verzamelde persoonlijke gegevens verwerkt.
Welke wet heeft voorrang voor cookietoestemming?
De ePrivacy-richtlijn heeft voorrang als de meer specifieke wet (lex specialis) voor zaken met betrekking tot cookies en elektronische communicatie. De toestemmingsvereisten voor cookies zijn van toepassing in plaats van de algemene GDPR-toestemmingsbepalingen. De GDPR-definitie van toestemming en de normen voor geldige toestemming bepalen echter wel hoe ePrivacy-toestemming moet worden verkregen.
Wat gebeurt er wanneer de ePrivacy-verordening de richtlijn vervangt?
De voorgestelde ePrivacy-verordening zou de richtlijn vervangen door direct toepasselijke regels in alle EU-lidstaten, waardoor verschillen in nationale implementatie worden geëlimineerd. Verwacht wordt dat deze beter aansluit bij het handhavingsregime van de GDPR en regels rond cookiewalls en toestemmingsbeheer kan bijwerken. De onderhandelingen lopen echter al sinds 2017 en de definitieve tekst is nog niet aangenomen.
Gerelateerde vergelijkingen
Controleer uw naleving
Scan uw website tegen meerdere regelgevingen in enkele minuten.