Gepubliceerd op vrijdag 22 september 2017
IT 2350

Antwoord Minister van Economische Zaken over betalen door data te delen en de verkoop van consumentendate aan bedrijven en de overheid

Vragen van het lid Hijink (SP) aan de Minister van Economische Zaken en de Staatssecretaris van Veiligheid en Justitie over betalen door data te delen en de verkoop van consumentendata aan bedrijven en de overheid (ingezonden 27 juli 2017). Antwoord van Minister Kamp (Economische Zaken) (ontvangen 7 september 2017). Zie ook Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 2603.

Vraag 1
Heeft u kennisgenomen van de artikelen «Betalen door data te delen»1 en «Roomba maker may share maps of users» homes with Google, Amazon or Apple»?

Antwoord 1
Ja.

Vraag 2 
Vindt u het wenselijk dat producten of diensten gratis of met korting kunnen worden aangeschaft wanneer consumenten sociale media gegevens – waaronder de vriendenkring, interesses en persoonsgegevens – moeten afstaan?

Antwoord 2 
Het gratis of met korting aanbieden van producten of diensten is een marketinginstrument dat al lange tijd gebruikt wordt om verkoop te bevorderen, zoals de «1 + 1 gratis» aanbiedingen in de winkel. Ook in de digitale wereld worden producten en diensten gratis of met korting aangeboden. Vaak staat daar iets Beantwoording vragen over het betalen door data te delen tegenover zoals het afstaan van (persoons)gegevens of het via sociale media verspreiden van informatie over het product of de dienst.
In ons bestaande systeem van consumentenbescherming is het van belang dat de consument zelf kan beslissen of hij een product of dienst gratis of met korting aanschaft, op voorwaarde dat hij helder en volledig geïnformeerd wordt als er voorwaarden worden gesteld aan de aanschaf zoals het delen van gegevens. De consument moet op basis van volledige en begrijpelijke informatie kunnen beslissen of hij wel of niet bereid is op die voorwaarden een product of dienst aan te schaffen. Daarnaast zijn gegevens die kunnen worden herleid tot een identificeerbaar persoon (persoonsgegevens) beschermd door de Wet bescherming persoonsgegevens (Wbp). Met ingang van 25 mei 2018 wordt de Wbp vervangen door de Algemene verordening gegevensbescherming (AVG). Uit de Wbp en de AVG volgt dat persoonsgegevens alleen mogen worden verwerkt wanneer hiervoor een in die wet dan wel verordening genoemde rechtsgrond aanwezig is, zoals ondubbelzinnige toestemming van de betrokkene.

Vraag 3 
Vindt u dat mensen voldoende bewust worden gemaakt van de gevolgen van het prijsgeven van persoonlijke data om ergens korting op te kunnen krijgen? Vindt u het bijvoorbeeld voldoende als het bedrijf betreffende voorwaarden alleen opneemt in de algemene voorwaarden, zoals in Engeland – bij wijze van experiment – gebeurde bij een WiFi-provider die mensen verplicht stelde toiletten schoon te maken?

Antwoord 3 
Zoals hierboven aangegeven mogen persoonsgegevens alleen worden verwerkt wanneer hiervoor een rechtsgrond aanwezig is. In dit geval is het op grond van de Wbp noodzakelijk dat de betrokkene hiervoor ondubbelzinnig toestemming heeft gegeven. Het is aan de toezichthouder – de Autoriteit persoonsgegevens (AP) – en, in ultimo, aan de rechter, om te bepalen of in voorkomende gevallen aan deze voorwaarde voldaan is. Daarbij is onder meer relevant of betrokkene voldoende is geïnformeerd over de gegevensverwerking en of betrokkene een (voorafgaande) keuzemogelijkheid heeft gehad om in te stemmen met de gegevensverwerking dan wel om deze te weigeren.
De AVG stelt nadere voorwaarden aan de toestemming als rechtsgrond voor gegevensverwerking. De verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, moet het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig worden gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Betrokkene heeft het recht zijn toestemming te allen tijde op eenvoudige wijze in te trekken.
Daarnaast bepaalt artikel 11.7a Telecommunicatiewet (Tw) dat voor het plaatsen en lezen van informatie op het randapparaat van een eindgebruiker (bijvoorbeeld in de vorm van cookies) toestemming nodig is van die eindgebruiker en dat deze toestemming moet worden verkregen nadat de eindgebruiker hierover duidelijk en volledig is geïnformeerd, onder andere over het doel van het plaatsen en lezen van informatie en de personen met wie deze informatie wordt gedeeld. Toestemming in de zin van artikel 11.7a Tw kan niet worden verkregen door middel van acceptatie van de algemene voorwaarden. De toestemming is een wilsuiting die vrij, specifiek en op informatie berustend moet zijn. De wilsuiting moet dus ook specifiek zien op het accepteren van de voorgestelde verwerking van gegevens dan wel het plaatsen of uitlezen van gegevens. Voor een rechtsgeldige toestemming is verder van belang dat deze blijkt uit een handeling van de eindgebruiker zoals het «doorklikken» op een webpagina nadat de eindgebruiker er op is gewezen dat deze handeling betekent dat hij akkoord is met het plaatsen en lezen van cookies. Voor «tracking» cookies, waarmee het surfgedrag van internetgebruikers wordt gevolgd om gebruiksprofielen op te stellen op grond waarvan de eindgebruiker anders wordt behandeld dan andere eindgebruikers, geldt sinds januari 2013 het bij amendement Van Bemmel/
Van Dam geïntroduceerde rechtsvermoeden dat hierbij sprake is van verwerking van persoonsgegevens. De plaatser van tracking cookies zal dan ook aan de Wbp moeten voldoen, tenzij hij kan aantonen dat hij géén persoonsgegevens verwerkt.
In het generieke consumentenrecht zoals opgenomen in ons Burgerlijk Wetboek (BW) worden regels gesteld die zien op informatieverstrekking aan consumenten. Op grond van artikel 230l, lid 1, aanhef en onder g, respectievelijk 230m lid 1, aanhef en onder r van boek 6 van het BW moeten handelaren en degene die namens hem of voor zijn rekening optreedt, voordat de consument gebonden is aan een overeenkomst of een aanbod daartoe, op duidelijke en begrijpelijke wijze informatie verstrekken over de functionaliteit van digitale inhoud, waaronder mede wordt verstaan het gebruik maken van tracking en/of personalisering.
Op grond van de regels omtrent oneerlijke handelspraktijken mag, kortgezegd, de handelaar en degene die ten behoeve van hem handelt geen onjuiste of misleidende informatie verstrekken of weglaten, verborgen houden of op onduidelijke, onbegrijpelijke, dubbelzinnige wijze dan wel laat verstrekken als de gemiddelde consument hierdoor een ander besluit over een overeenkomst neemt of kan nemen, dan hij anders had genomen. Een voorbeeld is de situatie waarin een product als gratis wordt aangeboden en de consument op een niet duidelijke plaats geïnformeerd wordt over wat er met zijn gegevens gebeurt. De consument kan dan namelijk zijn keuze onder meer niet op dit belangrijke aspect baseren.
Er zijn dus verschillende wettelijke kaders die voorwaarden stellen aan het gebruik van persoonlijke data. Bovendien wordt er toezicht gehouden op de naleving van deze wettelijke kaders, namelijk als het gaat om bescherming van persoonsgegevens door de Autoriteit persoonsgegevens en als het gaat om generieke consumentenbescherming door de Autoriteit Consument en Markt (ACM).

Vraag 4 en 5 
Hoe wenselijk vindt u het dat huishoudelijke apparatuur privacygevoelige informatie deelt met de fabrikanten en derde (commerciële) partijen?
Vindt u dat Google of de overheid, bijvoorbeeld via data verkregen door een stofzuiger, inzicht moet kunnen hebben in het fysieke leefomgeving van een woning, het schoonmaakgedrag van gezinnen en andere privacygevoelige details?

Antwoord 4 en 5 
Het verwerken van een persoonsgegeven is een inbreuk op de persoonlijke levenssfeer van de betrokkene. Deze inbreuk kan alleen gerechtvaardigd zijn wanneer de verwerking geschiedt in overeenstemming met de beginselen voor verwerking, waaronder rechtmatigheid, doelbinding, dataminimalisatie en transparantie zoals vastgelegd in de eerdergenoemde wettelijke kaders.
In de situatie die hier aan de orde is betekent dit dat verwerking van persoonsgegevens door Google alleen mag plaatsvinden wanneer hier een rechtsgrond, zoals ondubbelzinnige toestemming van de betrokkene, voor is. De betrokkene moet hier helder en volledig geïnformeerd worden over de verwerking van zijn persoonsgegevens. Wil de overheid inzicht in diezelfde informatie over de leefomgeving van de woning, dan dient krachtens artikel 10, eerste lid, van de Grondwet, een wettelijke bepaling te bestaan die de overheid een dergelijke bevoegdheid toekent.
De verwerking moet blijven binnen het doel waarvoor de gegevens worden verzameld en op transparante wijze geschieden. Verdere verwerking door een private partij voor een ander doel, zoals verstrekking aan een derde partij, kan wederom alleen wanneer betrokkene hiervoor ondubbelzinnig toestemming heeft gegeven of indien, in het geval van de overheid, de wet daarvoor een grondslag kent. Daarnaast is het essentieel dat bedrijven zorgvuldig omgaan met de data die ze in dit kader verwerken.
De technologische ontwikkelingen en adoptie hiervan gaan snel. Er zijn toepassingsmogelijkheden die voorheen niet voorstelbaar waren. Ook ontstaan er nieuwe business modellen. Dit biedt kansen voor onze maatschappij en economie. Het kabinet vindt het belangrijk dat wet- en regelgeving voldoende ruimte bieden aan innovatie, vernieuwing en ondernemerschap, met inbegrip van de publieke belangen en waarden die door regelgeving geborgd moeten worden. Op het gebied van het omgaan met persoonsgegevens heeft de overheid zowel in Europees als nationaal verband voorwaarden en waarborgen vastgesteld, zoals hierboven aangegeven. De genoemde wetgeving bevat algemene verplichtingen voor private en publieke organisaties en rechten voor burgers. Hieraan moet het bedrijfsleven en de overheid zich houden.

Vraag 6 
Vindt u dat de voorwaarden die van toepassing zijn op producten voldoende duidelijk maken dat data die verzameld worden door apparatuur met een internetverbinding commercieel uitgebuit kunnen worden? Moeten consumenten niet beter geïnformeerd worden over en beschermd worden tegen het verkopen van privacygevoelige informatie?

Antwoord 6
Het is niet mogelijk hier in zijn algemeenheid een uitspraak over te doen. Het is primair de verantwoordelijkheid van bedrijven om in overeenstemming met de wet te handelen, transparant te communiceren over het gebruik van persoonsgegevens en het consumentenvertrouwen te behouden. Indien bedrijven zich niet aan de wet houden, dan is het aan de AP om op te treden dan wel, bij overtreding van de consumentenregels, aan de ACM.
De overheid hecht groot belang aan veiligheid en vertrouwen in het digitale domein en vervult een actieve rol in de bewustwording bij consumenten over ontwikkelingen rondom persoonsgegevens. De overheid heeft haar verantwoordelijkheid daarbij vertaald in wet- en regelgeving die erop gericht is om de consument te beschermen. Daarnaast neemt de overheid verantwoordelijkheid in het voorlichten van burgers, bijvoorbeeld via veiliginternetten.nl. Hierop staan onder meer praktische adviezen op het gebied van privacy. Ook is de overheid initiatiefnemer van en partner in de campagne Alert Online.
De ACM geeft via haar informatieloket ConsuWijzer informatie aan consumenten over het beschermen van online privacy https://www.consuwijzer.nl/thema/online-privacy en over de toepassing van artikel 11.7a Tw bijvoorbeeld in de Q&A’s via https://www.acm.nl/nl/download/publicatie/?id=14496. De AP geeft via haar website voorlichting aan burgers en bedrijven over de rechten en plichten op het gebied van privacybescherming (https://autoriteitpersoonsgegevens.nl).

Vraag 7 
Acht u het denkbaar dat in de nabije toekomst commerciële partijen of de overheid via Internet of Things (IoT) apparatuur inzicht krijgen in praktisch alle elementen van het dagelijks bestaan van mensen waaronder het gebruik van de wasmachine, de inhoud van de koelkast, het schoonmaakpatroon en het gebruik van sociale media?

Antwoord 7
Het is moeilijk om een algemene uitspraak te doen over de ontwikkeling van Internet of Things in de toekomst, omdat dit afhangt van veel verschillende factoren, waaronder ook de behoefte aan slimme apparaten bij de consument zelf en de bereidheid om deze gegevens te delen. Waar inzicht in deze gegevens wordt verlangd door private partijen is zoals hiervoor beschreven in het antwoord op de vragen 4 en 5 thans de Wbp en vanaf uiterlijk 25 mei 2018 de AVG maatvoerend. Voor zover de overheid hiermee inzicht zou willen verkrijgen in het gedrag van burgers inzake het gebruik van de wasmachine, inhoud van de koelkast en schoonmaakpatroon lijkt sprake te zijn van een inbreuk op de persoonlijke levenssfeer en is de overheid mitsdien gebonden aan de eisen die artikel 10, eerste lid, van de Grondwet en 8 van het EVRM stellen. Een inbreuk op de persoonlijke levenssfeer dient te zijn voorzien bij formele wet, en moet tevens noodzakelijk en proportioneel zijn in relatie tot het te dienen doel dat met de inbreuk op de persoonlijke levenssfeer wordt nagestreefd.

Vraag 8
Kunt u aangeven in welke landen wetgeving van kracht is die dergelijke praktijken strenger reguleert dan nu in Nederland het geval is? Welke mogelijkheden ziet u om Nederlandse burgers beter te informeren en beschermen tegen het ongewenst delen van persoonlijke data?

Antwoord 8
Vanaf 25 mei 2018 zal in alle Europese lidstaten de Algemene verordening gegevensbescherming van kracht zijn, waarmee het kader voor bescherming van persoonsgegevens van consumenten in belangrijke mate geharmoniseerd zal zijn. Dit betekent dat alle burgers een zelfde niveau van bescherming zullen hebben binnen de Europese Unie.
De AVG bevat een uitgewerkte regeling van de informatie die door de verwerkingsverantwoordelijke aan de betrokkene moet worden verstrekt bij de verkrijging van persoonsgegevens, zowel wanneer de gegevens bij de betrokkene zelf worden verzameld als wanneer de gegevens niet van de betrokkene zijn verkregen. Ook het recht op inzage en het recht op rectificatie en het wissen van de gegevens zijn in de AVG verankerd. Bovendien bepaalt de AVG dat de communicatie met de betrokkene in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal moet plaatsvinden.