Privacy  

Rb. Rotterdam 23 januari 2013, zaaknr. C/10/402317 / HA ZA 12-455 (eiser tegen ING BANK N.V.)

Niet-ontvankelijk. Persoonsgegevens in extern incidentenregister art. 46 jo 36 Wbp. Blokkering betaalrekening. Phishing - fraude. Money mule. Zorgplicht bank.

Een bedrag van € 5.000,00 is naar de rekening van eiser overgeboekt, afkomstig van een rekening waarvan de houder daartoe geen opdracht had gegeven. Diezelfde dag hebben meerdere geldopnames plaatsgevonden. In totaal is daarbij een bedrag van € 4.733,10 van de rekening gehaald. ING is van mening dat eiser is opgetreden als een zogenaamde “money-mule” in een omvangrijke “phishing-fraude”. ING heeft de betaalrekening van eiser en de daaraan gekoppelde bankpas met bijbehorende pincode geblokkeerd en de relatie met eiser opgezegd. Als deelnemer aan het interbancaire incidentenwaarschuwingssysteem heeft ING de persoonsgegevens van eiser opgenomen in het zogenaamde extern verwijzingsregister (EVR). Eiser vordert verwijdering van onderhavig incident uit het EVR. De vordering is niet tijdig ingediend, daarom wordt de eiser niet-ontvankelijk verklaard.

Met betrekking tot de door ING geblokkeerde rekening is het uitgangspunt dat wanneer een bank het gerechtvaardigde vermoeden heeft dat haar dienstverlening wordt misbruikt en aldus sprake is van een vertrouwensbreuk met een klant, of indien de bank beargumenteerd van mening is dat de voortzetting van de dienstverlening tot onacceptabele risico’s leidt, die bank bevoegd is de relatie met die klant op te zeggen. Die bevoegdheid is echter niet onbegrensd. Immers dient de bank rekening te houden met haar zorgplicht die zij heeft jegens haar relaties.

De stellingen van eiser voor zover deze ertoe strekken om de conclusie van betrokkenheid bij benadeling van ING door middel van frauduleuze handelingen te weerleggen, zijn naar het oordeel van de rechtbank ongeloofwaardig en ongenoegzaam. Mede gelet op de uitleg die ING heeft gegeven aan de aard en de achtergrond van de mutaties die hebben plaatsgevonden op de betaalrekening van de eiser, blijkt dat sprake is van ongebruikelijk betalingsverkeer en derhalve van een concreet of reëel integriteitsrisico. De rechtbank wijst de vordering af.

4.13.  Uitgangspunt is dat wanneer een bank het gerechtvaardigde vermoeden heeft dat haar dienstverlening wordt misbruikt en aldus sprake is van een vertrouwensbreuk met een klant, of indien de bank beargumenteerd van mening is dat de voortzetting van de dienstverlening tot onacceptabele risico’s leidt, die bank bevoegd is de relatie met die klant op te zeggen. Dit volgt onder meer uit artikel 30 van de algemene bankvoorwaarden.

4.14.  Die bevoegdheid is echter niet onbegrensd. Immers dient de bank rekening te houden met haar zorgplicht die zij heeft jegens haar relaties. Banken hebben, nu zij bij uitsluiting het betalingsverkeer verzorgen, een belangrijke publieke rol en een bijzondere positie, hetgeen een bepaalde verantwoordelijkheid met zich brengt jegens klanten. Beoordeeld moet worden beoordeeld of de reden voor de opzegging voldoende zwaarwegend is in verhouding tot het belang van de klant bij de voortzetting van de relatie. Het belang om te kunnen beschikken over een betaalrekening moet daarbij als het in beginsel meest zwaarwegende belang worden gezien.

4.15.  Als door ING gesteld en door [eiser] niet of onvoldoende gemotiveerd weersproken staat vast dat [eiser] is opgetreden als zogenaamde “money-mule” in een omvangrijke “phishing-fraude” en dat [eiser] in het verlengde daarvan een (ernstig) gevaar vormt voor de integere uitoefening van het bankbedrijf. De rechtbank is van oordeel dat de stellingen van [eiser] voorzover deze ertoe strekken om de conclusie van betrokkenheid bij (poging tot) benadeling van ING door middel van frauduleuze handelingen te weerleggen, ongeloofwaardig en ongenoegzaam zijn. Mede gelet op de uitleg die ING heeft gegeven aan de aard en de achtergrond van de mutaties die hebben plaatsgevonden op de betaalrekening van de [eiser], blijkt dat sprake is van ongebruikelijk betalingsverkeer en derhalve van een concreet of reëel integriteitsrisico.

T.A.P. de Wit, Oostenrijkse Constitutionele Hof stelt prejudiciële vragen over Dataretentierichtlijn, ITenRecht IT 1022.

Een bijdrage van Tom de Wit, Louwers IP|Technology advocaten.

Het Oostenrijkse constitutionele Hof heeft vragen gesteld over de rechtmatigheid van de Europese Dataretentierichtlijn (hierna: ‘richtlijn’) . De betreffende richtlijn is vorig jaar in de Oostenrijkse wetgeving geïmplementeerd. De richtlijn legt onder andere verplichtingen op aan aanbieders van openbare elektronische communicatiediensten tot het bewaren van een bepaalde lijst van telecommunicatiegegevens gedurende een bepaalde periode.

Aanleiding voor de vragen vormen de bezwaren tegen de (implementatie van de) richtlijn die verschillende partijen, waaronder veel burgers, een medewerker van een telecommunicatiebedrijf en de regering van de provincie Karinthië, hebben voorgelegd aan de nationale Oostenrijkse rechter.

Het Oostenrijkse constitutionele Hof heeft met name moeite met het feit dat in het overgrote gedeelte van de gevallen waarin er verplicht telecommunicatiegegevens worden opgeslagen het personen betreft die geen aanleiding geven tot opslag van de gegevens. Ondertussen kunnen de persoonsgegevens wel in het bezit komen van de autoriteiten en ligt mogelijk misbruik van persoonsgegevens op de loer. Het Oostenrijkse constitutionele hof vraagt zich met name af of de verplichtingen die door de richtlijn worden opgelegd wel in overeenstemming zijn met het Handvest van de grondrechten van de Europese Unie (hierna: ‘handvest’).

De belangrijkste vragen die het Oostenrijkse constitutionele hof voorlegt aan het Europese Hof van Justitie zijn de navolgende . In de eerste plaats is de vraag of de artikelen 3 tot en met 9 van de richtlijn verenigbaar zijn met de artikelen 7, 8 en 11 van het handvest? In de tweede plaats wil het Oostenrijkse Constitutionele Hof weten wat de rol is van Richtlijn 95/46/EG en Verordening 45/2001/EG bij de beoordeling van de vraag of maatregelen geoorloofd zijn in het licht van artikel 8 van het handvest.

[artikel is ingekort, lees de opgemaakte pdf onder de citeerwijze]

Als het Europese Hof van Justitie tot hetzelfde oordeel komt als de Duitse rechter, kunnen de gevolgen groot zijn. Dat betekent niet alleen dat de huidige Europese en nationale regelgeving met betrekking tot dataretentie die gebaseerd is op de richtlijn op de schop moet. Ook de huidige voorstellen om de verplichtingen uit te breiden naar social media en zoekmachines kunnen dan voorlopig in de ijskast. Los van het oordeel van het Europese Hof van Justitie in deze zaak, alsmede vragen met betrekking tot Verordening 2252/2004/EG, nopen deze ontwikkelingen de Europese wetgever wel om meer aandacht te besteden aan de verenigbaarheid tussen Europese regelgeving en verdragsrechtelijke grondrechten zoals vervat in het Handvest en het EVRM. Alleen dat is reeds een positieve ontwikkeling te noemen.

Tom de Wit

​Persbericht van het College Bescherming Persoonsgegevens 28 januari 2013

Uit 't persbericht: Het College bescherming persoonsgegevens (CBP) heeft vandaag samen met de Canadese privacytoezichthouder (Office of the Privacy Commissioner [OPC]) het rapport met de bevindingen gepubliceerd van het gezamenlijke onderzoek naar de verwerking van persoonsgegevens door WhatsApp, de ontwikkelaar van de populaire mobiele app whatsapp.  Na aanvang van het onderzoek constateerden de privacytoezichthouders verschillende overtredingen van de privacywetten. WhatsApp heeft enkele daarvan inmiddels beëindigd en stappen ondernomen om de app uit privacy-oogpunt beter te beveiligen. Een aantal overtredingen duurt op dit moment nog voort.

Het is de eerste keer dat twee nationale privacytoezichthouders van beide zijden van de oceaan gezamenlijk onderzoek doen naar de naleving van privacywetgeving door een in de Verenigde Staten gevestigd bedrijf met wereldwijd honderden miljoenen klanten. Het is een mijlpaal binnen de mondiale privacybescherming. “Wij zijn heel trots dat wij dit belangrijke moment markeren samen met onze Nederlandse counterparts, vooral in het licht van de in toenemende mate online en mobiele wereld die geen grenzen kent”, aldus Jennifer Stoddart, voorzitter van de Canadese privacytoezichthouder. “Ons onderzoek heeft ertoe geleid dat WhatsApp verbeteringen heeft aangebracht en toegezegd heeft verdere veranderingen te zullen doorvoeren die leiden tot een betere bescherming van persoonsgegevens van hun klanten.”

De voorzitter van het CBP, Jacob Kohnstamm, voegt daaraan toe: “Maar we zijn er nog niet. Het onderzoek wijst uit dat gebruikers van WhatsApp – behalve iPhone-bezitters met besturingssysteem iOS 6 – verplicht zijn toegang te geven tot hun volledige elektronische adresboek. Hierin staan ook telefoonnummers van contacten die de app niet gebruiken. Dit is in strijd met Canadees en Nederlands privacyrecht. Zowel gebruikers als niet-gebruikers van de app moeten zeggenschap hebben over hun eigen persoonsgegevens. Dat betekent in ieder geval dat gebruikers van de app vrijelijk moeten kunnen beslissen welke contactgegevens zij willen delen met WhatsApp.”

Op andere blogs:
SOLV (Whatsapp schendt privacy)

Today, January 28, is Data Privacy Day, when the world recognizes the importance of preserving your online privacy and security.

If it’s like most other days, Google—like many companies that provide online services to users—will receive dozens of letters, faxes and emails from government agencies and courts around the world requesting access to our users’ private account information. Typically this happens in connection with government investigations.

It’s important for law enforcement agencies to pursue illegal activity and keep the public safe. We’re a law-abiding company, and we don’t want our services to be used in harmful ways. But it’s just as important that laws protect you against overly broad requests for your personal information.

To strike this balance, we’re focused on three initiatives that I’d like to share, so you know what Google is doing to protect your privacy and security.

Lees het gehele artikel hier: Googleblog.blogspot.nl

N. van Duuren en A. Ekker, '5 aandachtspunten bij bouw patiëntportaal' in Automatiseringsgids, januari 2013, p. 24-25.

Een bijdrage van Natascha van Duuren, De Clercq en Anton Ekker, eHealth Law.

Bij de implementatie van patiëntportalen komt heel wat kijken. Er moet worden voldaan aan verschillende wetten en normen. De interpretatie van dit alles roept veel vragen op. Natascha van Duuren en Anton Ekker zetten de juridische aandachtspunten op een rij. Vijf belangrijke adviezen.

De laatste jaren worden steeds meer patiëntportalen op de markt gebracht. Volgens een rapport van het Nationaal ICT Instituut in de Zorg (Nictiz) en de Nederlandse Patiënten Consumenten Federatie (NPCF) waren eind 2010 al ruim veertig patiëntportalen in de lucht. Naar verwachting zal dit aantal de komende jaren snel toenemen.

Een patiëntportaal is een online toegangspoort die de patiënt regie geeft bij het vergaren en delen van medische gegevens en overige informatie over zijn gezondheid. De aard en de opzet van deze portalen is divers. De meeste portalen bieden naast inzage in informatie over de gezondheid aanvullende functionaliteiten aan, zoals een patiëntenforum, het invoeren van zelfmetingen of alerts bij een afspraak of uitslag.

Bij de implementatie van een patiëntportaal dient rekening te worden gehouden met een complex juridisch kader. Zo dient in ieder geval te worden voldaan aan de wet op de geneeskundige behandelingsovereenkomst (WGBO) en de wet bescherming persoonsgegevens (Wbp). Indien gebruik wordt gemaakt van het BSN geldt ook de wet gebruik burgerservicenummer in de zorg (Wgbsn-z).

Daarnaast zijn er verschillende beroepsnormen en zogenaamde NEN-normen van toepassing. In de praktijk blijkt de interpretatie van dit geheel aan deels overlappende wetten en normen, veel vragen op te roepen. Vijf belangrijke adviezen.

1. Bepaal duidelijk wie de verantwoordelijke is
2. Garandeer patiëntenrechten
3. Zorg voor beveiligde toegang
4. Wees voorbereid op datalekken
5. Houd rekening met komende regelgeving

1. Bepaal duidelijk wie de verantwoordelijke is
Een van de eerste aandachtspunten betreft vaak de vraag welke partij of partijen optreden als ‘verantwoordelijke’ in de zin van de wet bescherming persoonsgegevens. De verantwoordelijke is degene die het doel en de middelen van de gegevensverwerking bepaalt. In veel gevallen worden bij de gegevensverwerking daarnaast derde partijen ingeschakeld die onder het gezag van de verantwoordelijke handelen. Het kan gaan om bijvoorbeeld een IT-leverancier of een hostingpartij. De verantwoordelijke is verplicht om met een dergelijke ‘bewerker’ contractuele afspraken te
maken, onder andere over informatiebeveiliging.

Aangezien bij een patiëntportaal vaak meerdere partijen betrokken zijn, is niet altijd duidelijk wie voor een specifieke verwerking de verantwoordelijke is. Voor het voldoen aan de Wbp en voor het uitoefenen van patiëntenrechten
is het echter wel van essentieel belang de verschillende rollen vast te stellen en deze contractueel vast te leggen.

2. Garandeer patiëntenrechten
De gebruiker van een patiëntportaal heeft verschillende rechten met betrekking tot de verwerking van zijn gegevens. Zo dient de verantwoordelijke de gebruiker vooraf te informeren over het doel van het portaal en wie daarvoor verantwoordelijk is. Daarnaast is de uitdrukkelijke toestemming van de gebruiker vereist voor de verwerking van diens
patiëntgegevens. Bovendien dient de gebruiker er op te worden gewezen dat hij bezwaar kan maken tegen de verwerking van zijn gegevens en dat hij zijn toestemming op elk moment kan intrekken (en op welke wijze). Dit volgt uit zowel de Wbp als de Wgbo. Vereist is dat deze toestemming ‘uitdrukkelijk’ is gegeven. Op degene die patiëntgegevens verwerkt rust
een dubbele bewijslast: in de eerste plaats moet bij twijfel bewezen kunnen worden dat een bepaalde toestemming is verleend en waarvoor. Daarnaast zal zo nodig bewezen moeten worden dat de toestemming aan de gestelde
eisen voldoet. Het gevolg van het niet voldoen aan dit vereiste is verstrekkend: als de toestemming niet aan bovenstaande vereisten voldoet, is zij nietig en kan de informatie van de desbetreffende gebruiker dus niet via het
portaal worden verwerkt.

3. Zorg voor beveiligde toegang
Op grond van de wet bescherming persoonsgegevens (Wbp) dient de verantwoordelijke ‘passende technische en organisatorische maatregelen’ te treffen om persoonsgegevens te beveiligen tegen verlies of tegen enige
vorm van onrechtmatige verwerking. Een van die passende technische en organisatorische maatregelen is identificatie en authenticatie. Gegarandeerd dient te worden dat veilige toegang wordt geboden, middels identificatie en authenticatie (‘zeggen wie je bent’ en ‘bewijzen dat je bent wie je zegt dat je bent’). Er is momenteel nog veel onduidelijkheid over
de vraag hoe deze veilige toegang kan worden gegarandeerd. De eerste vraag die daarbij dient te worden gesteld is: welke soort informatie of diensten worden via het portaal ontsloten en welk veiligheidsniveau is daarbij vereist?
Authenticatie (‘bewijzen dat je bent wie je zegt dat je bent’) wordt op dit moment op verschillende manieren geregeld (zie kader). Voor identificatie kan gebruik worden gemaakt van het burgerservicenummer (BSN). Het gebruik van het BSN is echter uitsluitend voorbehouden aan zorgaanbieders.

4. Wees voorbereid op datalekken
De Nederlandse overheid en de Europese Commissie dienden onlangs voorstellen in voor een wettelijke meldplicht bij datalekken. Het Nederlandse wetsvoorstel zal naar verwachting als eerste in werking treden en introduceert de plicht voor bedrijven en overheden om een datalek zo snel mogelijk te melden bij het College Bescherming Persoonsgegevens.
Als een datalek niet wordt gemeld, kan het CBP de desbetreffende verantwoordelijke een boete opleggen van maximaal
200.000 euro.

Wanneer een datalek zich voordoet bij een patiëntenportaal zal de verantwoordelijke verschillende stappen moeten zetten om aan zijn wettelijke verplichtingen te voldoen. Het is daarom belangrijk om na te denken over een heldere interne procedure. Hierin kan onder andere worden geregeld wie er intern op de hoogte moet worden gesteld en hoe wordt bepaald of er een melding moet worden gedaan. Daarnaast moeten zo snel mogelijk maatregelen worden getroffen om de negatieve gevolgen van de inbreuk te beperken. Ten slotte moeten de betrokkenen snel en adequaat worden geïnformeerd. Ook voor IT-leveranciers van patiëntportalen brengt de meldplicht vergaande verplichtingen met zich mee. Zij zijn verplicht de zorgverlener of zorginstelling actief bij te staan en te waarschuwen als zij een inbreuk vaststellen.

5. Houd rekening met komende regelgeving
Er is een nieuwe Europese Privacyverordening op komst waarin strengere regels zijn opgenomen. Zo moeten betrokkenen een kopie van hun opgeslagen persoonsgegevens kunnen krijgen om deze gegevens over te kunnen dragen aan een ander (recht van gegevensoverdraagbaarheid). Bovendien krijgen betrokkenen ‘het recht om vergeten te worden’. Verantwoordelijken zullen op verzoek van betrokkenen onmiddellijk actie dienen te ondernemen om alle persoonsgegevens van betrokkenen te verwijderen. Zij moeten er daarbij voor zorgen dat ook derde partijen aan wie zij de gegevens hebben verstrekt, deze gegevens verwijderen. Deze regels leggen strenge eisen op aan de (technische) werking en inrichting van patiëntportalen. Het is de vraag of de huidige patiëntportalen, technisch gezien, al aan deze eisen kunnen voldoen. Door in een vroeg stadium rekening te houden met de genoemde aandachtspunten worden de rollen en verantwoordelijkheden van de verschillende betrokken partijen duidelijker. Daarnaast wordt de kans verkleind dat de rechten van de patiënt worden geschonden. Hiermee worden ook de aansprakelijkheidsrisico’s beperkt.

CBP 7 januari 2012, Stscrt. 2013, nr. 268 (Stichting Ondernemersfederatie Rotterdam City te Rotterdam).

Winkeliers in de Rotterdamse binnenstad worden dagelijks geconfronteerd met winkeldiefstal. Om dit probleem te beheersen, wil de Stichting Ondernemersfederatie Rotterdam City (OFRC) het mogelijk maken om online aangifte te doen van winkeldiefstal. Het College bescherming persoonsgegevens (CBP) heeft het protocol beoordeeld dat het verwerken van persoonsgegevens bij online aangifte regelt. Het protocol is in overeenstemming met de eisen van de Wet bescherming persoonsgegevens bevonden.

Doel online aangifte winkeldiefstal
De leden van de OFRC kunnen nu aangifte van winkeldiefstal doen bij de politie volgens de reguliere werkwijze. Dit middel is echter naar het oordeel van de OFRC onvoldoende effectief gebleken. Een reden daarvoor is dat de leden ervoor kiezen geen aangifte te doen, omdat dit relatief veel tijd kost.
De doelstellingen van het verwerken van persoonsgegevens voor online aangifte zijn volgens het protocol:

• de veiligheid in de Rotterdamse binnenstad verbeteren;
• op eenvoudiger wijze aangifte doen van winkeldiefstal;
• betere bedrijfsbeveiliging;
• een collectieve winkelontzegging kunnen opleggen, waartoe de persoonsgegevens van de online aangifte worden gedeeld met de andere deelnemers aan het protocol. Voor meer informatie hierover, zie: Zwarte lijst overlastveroorzakers winkels Rotterdam Centrum.

Peter Hustinx, EU Data Protection Law - Current State and Future Perspectives at High Level Conference: "Ethical Dimensions of Data Protection and Privacy" Centre for Ethics, University of Tartu / Data Protection Inspectorate
Tallinn, Estonia, 9 January 2013.

Privacy and data protection as a specific field of law have been elaborated over the last four decades, notably in the context of the Council of Europe and the European Union, in view of the growing impact of information and communication technology (ICT). That impact is now all around us, every minute of every day, both in our personal and professional lives, and this is likely to increase even further in the near future.

In my remarks today, I would like to discuss the history and current state of the law in this area, as well as the direction in which the law on privacy and data protection might be going to provide a more effective protection, in line with its ethical roots and calling.

Met de volgende tussenkoppen:

Wbp-naslag is een online naslagwerk waarin de bepalingen van de Wet bescherming persoonsgegevens (Wbp) nader zijn toegelicht. Deze toelichting bestaat uit passages van de parlementaire geschiedenis van de Wbp en samenvattingen van relevante openbare uitspraken. De uitspraken zijn zowel van het CBP als van rechterlijke instanties. Niet alle uitspraken zijn opgenomen in het naslagwerk. Het betreft een selectie.

Hoofdstuk 1 - Algemene bepalingen
Hoofdstuk 2 - Voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens
Hoofdstuk 3 - Gedragscode
Hoofdstuk 4 - Melding en voorafgaand onderzoek
Hoofdstuk 5 - Informatieverstrekking aan de betrokkene
Hoofdstuk 6 - Rechten van de betrokkene
Hoofdstuk 7 - Uitzonderingen en beperkingen
Hoofdstuk 8 - Rechtsbescherming
Hoofdstuk 9 - Toezicht
Hoofdstuk 10 - Sancties
Hoofdstuk 11 - Gegevensverkeer met landen buiten de EU
Hoofdstuk 12 - Overgangs- en slotbepalingen

Brief minister Kamp over Analytische cookies en artikel 11.7a van de Telecommunicatiewet, DGETM-TM / 12385793.

In het algemeen overleg werd voorgesteld om first party analytische cookies, dat wil zeggen cookies waarmee uitsluitend gegevens over het gebruik van de eigen website worden verzameld ten behoeve van het verbeteren van de werking van die website, niet te laten vallen onder het toestemmingsvereiste. De gedachte hierachter was dat, mits voldaan aan bepaalde voorwaarden, zoals geanonimiseerde gegevensverzameling en het niet delen van de gegevens met derden, de analytische cookies geen negatieve gevolgen hebben voor de privacy van de gebruiker van het randapparaat, zijnde het belang dat artikel 11.7a beoogt te beschermen.

In mijn reactie heb ik aangegeven bereid te zijn te onderzoeken of er mogelijkheden zijn om op een andere wijze om te gaan met first party analytische cookies. Inmiddels heb ik in dit verband met OPTA gesproken. Daarbij is gezamenlijk geconcludeerd dat, mits voldaan is aan bepaalde voorwaarden, er mogelijkheden zijn de wet zo toe te passen dat voor het plaatsen en lezen van first party analytische cookies geen toestemming hoeft te worden verkregen van de gebruiker.

In overleg met OPTA zullen de voorwaarden waaraan moet zijn voldaan zodat het toestemmingsvereiste niet van toepassing is, nader worden uitgewerkt. Duidelijk is in ieder geval al wel dat het moet gaan om cookies waarmee uitsluitend geanonimiseerde gegevens worden verzameld over het gebruik van de eigen website en dat de gegevens die met deze cookies worden verzameld niet mogen worden gedeeld met derden. Een dergelijke toepassing doet mijns inziens niet af aan het bovengenoemde belang dat artikel 11.7a beoogt te beschermen, verbetert het gebruiksgemak en doet recht aan de nuttige bijdrage die first party analytische cookies kunnen leveren aan de kwaliteit van de levering van diensten van de informatiemaatschappij.

Verslag van een algemeen overleg frequentiebeleid, Kamerstukken II 2012/13, 24 095, nr. 327.

De heer Verhoeven (D66): (...) Ik zal een aantal dingen zeggen over cookies. Dat punt staat niet op de agenda, maar staat nog wel open uit de vorige periode. Het is ook heel actueel. Ik zal ook iets zeggen over de frequentieveiling, de World Conference on International Telecommunications, de omroepmasten waar collega Klever het ook al over had en ook over het fiche over internetpaspoorten.

Ik begin met de cookies. Het is een onderwerp dat het afgelopen jaar, eigenlijk sinds de aanname van de wijziging van de Telecommunicatiewet met daarin een amendement over cookies, in ieder geval bij bedrijven steeds erg actueel is gebleven. Cookies zijn vrij beruchte databestandjes op basis waarvan je persoonsgegevens kunt verzamelen. D66 vindt nog steeds dat het nodig is om daar expliciet toestemming voor te verlenen. Zij steunt dus nog steeds het principe van de zogeheten cookiewet. De handhaving door de OPTA en de technologische invulling door bedrijven roept echter enorm veel vragen op. Dat komt voor een groot deel doordat er heel veel onduidelijkheid bestaat over de manier waarop de wet moet worden nageleefd. Ik heb het afgelopen jaar regelmatig met dit soort partijen gesproken en toch eens nagedacht over de vraag hoe wij het beter kunnen aanpakken. Dat willen we doen door het grijze gebied tussen de twee vrij duidelijke uitersten op te helderen. Ik zie namelijk drie soorten doelen achter cookies.

De heer De Liefde (VVD): Heeft mijn collega van D66 niet ongelooflijk spijt dat hij heeft ingestemd met het gedrocht dat de cookiewet heet? Nu wil hij met reparatiewetgeving komen, terwijl de VVD, die destijds als enige tegen dit wetsvoorstel heeft gestemd, altijd al heeft gezegd dat deze wet in de huidige vorm niet zou werken.

De heer Verhoeven (D66): Nee, daar heb ik geen spijt van. Er is iets mis als je op basis van bestandjes gegevens van personen verzamelt, die voor commerciële doeleinden inzet, maar dat niet tegen die mensen zegt. Wij staan dus nog volledig achter het principe van de cookiewet. Overigens staat in de cookiewet nul keer het woord «cookie». Het is dus geen wetgevingsgedrocht, zoals mijn collega bijna beweert, maar het is een wet die qua uitvoering heel veel vragen oproept. Daarom wil ik daar verbetering in aanbrengen via een voorstel dat ik vandaag zal doen. Nee, ik heb dus geen enkele spijt van het steunen van de wet. Ja, ik zoek wel naar een mogelijkheid voor verbetering in de praktijk.

De heer De Liefde (VVD): Heel veel mensen, zowel consumenten als mensen in het bedrijfsleven, hebben tijdens de behandeling van de desbetreffende wetgeving, inclusief het amendement van de PvdA en de PVV, al gewaarschuwd dat die heel veel averechtse effecten zou hebben. Volgens mij heeft D66 op het laatste moment haar handtekening onder het amendement vandaan gehaald. De heer Verhoeven constateert nu die averechtse effecten ook. Ik ben blij met dat voortschrijdend inzicht, maar waarom heeft hij niet gewoon geluisterd naar de mensen die zeiden dat dit instrument te bot, te grof en niet klantvriendelijk was?

De heer Verhoeven (D66): Er bestaat een onderscheid tussen twee dingen. Heel veel partijen zeggen het principieel oneens te zijn met het expliciet toestemming moeten geven voor cookies. Daarover bestaat verschil van mening, want wij vinden dat nog steeds een heel belangrijk uitgangspunt. Ik denk dat de VVD hierbij puur naar het commerciële belang kijkt, terwijl zij online privacy totaal niet belangrijk vindt. Dat heeft de VVD de afgelopen jaren ook laten zien. In die zin denk ik dat wij gewoon van mening verschillen over het belang van online privacy. Daarnaast gaat het om de vraag hoe je die online privacy op een goede en werkbare manier kunt organiseren. In de cookiewet staat daar eigenlijk niks over, want die is vrij algemeen gesteld. De uitvoering door bedrijven en iedereen die ermee te maken krijgt, roept echter heel veel vragen op. Als je daar verheldering in kunt aanbrengen en het kunt verbeteren – volgens mij doen wij dat nu – waarom zou je dat dan laten?

De heer Verhoeven (D66): Zoals ik al zei, zijn er drie soorten doelen achter cookies. Het eerste doel is puur functioneel: cookies zijn nodig om het doel van een website te ondersteunen. Als je op bol.com drie dingen bestelt, wil je aan het einde nog wel je winkelmandje kunnen vinden om te kunnen afrekenen. Daar zijn cookies voor nodig en dat is prima. Het tweede doel van cookies is het kunnen volgen van de manier waarop mensen door je website heen klikken. Dat betreft de statistiekcookies, analytics, die bedoeld zijn om het verkeer op een website anoniem in kaart te brengen. Daarmee wordt de privacy niet geschonden, maar die cookies worden nu onder de categorie geschaard waarvoor expliciete toestemming nodig is. Wij willen dat veranderen door duidelijk te maken dat daarvoor geen toestemming nodig is als je die gebruikt voor je eigen website, zonder die met derden te delen. Dat is ook het grijze gebied. Ten derde heb je tracking cookies die je volgen van de ene naar de andere website, zodat je op bijvoorbeeld NU.nl allemaal advertenties met vishengels te zien krijgt als je daarvoor een website over vishengels hebt bezocht. Dat is natuurlijk bedoeld als behavioural advertising, het volgen van mensen op basis van hun profielen, en daar met advertenties gericht op inzetten. Dat is echt commercieel gebruik van cookies en wij vinden het heel logisch dat daar expliciet toestemming voor nodig blijft.

Wat ons betreft is het functioneel en voor eigen statistiek gebruiken van cookies prima, maar is er toestemming nodig voor tracking. Als je alles op een hoop gooit, zoals nu in de uitvoering gebeurt, zie je dat bijvoorbeeld de NPO zegt: wij willen toestemming hebben voor alle cookies, anders gaat de site op zwart. Je kunt er echter ook voor zorgen dat mensen toestemming voor de tracking cookies moeten geven, maar dat je het gebruik van analytics gewoon toestaat. Dat is een concrete oplossing voor een aantal problemen die wij de afgelopen tijd hebben gezien. Daarom stel ik voor om de first party analytische cookies middels de AMvB, die benut kan worden om de werking van de cookiewet te verduidelijken, toe te voegen aan de functionele cookies. Ik krijg hierop graag een reactie van de minister. Onder de huidige wet is het niet nodig om voor het gebruik van functionele cookies toestemming te geven. Het gaat mij dan echt om de cookies die enkel het klikgedrag voor de eigenaar van een website in kaart brengen. Voor de fijnproevers merk ik het volgende op, want daar heb ik vandaag heel veel vragen over gehad. Als je bijvoorbeeld Google Analytics gebruikt, kun je instellen dat de gegevens van Google Analytics niet gedeeld worden met Google. Het is dus al mogelijk.

Een andere vraag aan de minister is of er wat meer duidelijkheid kan komen over de verantwoordelijkheid voor het voldoen aan de wettelijke vereisten bij het plaatsen van third party cookies. Oftewel, wie is dan de eigenaar, de verantwoordelijke? Wie moet dan zorgen dat aan de wet wordt voldaan? Graag krijg ik hierop een reactie van de minister.

De heer Van Dam (PvdA): (...)

Het belangrijkste wat hij zegt is dat «analytics» gewoon gebruikt moeten kunnen worden als het gaat om het verzamelen van informatie over het gebruik van de eigen site. Het is echter voor de OPTA waarschijnlijk moeilijk controleerbaar of gegevens die met analytics verzameld worden ook ter beschikking van Google worden gesteld. Ik sta er echter sympathiek tegenover. Het is ook maar een kleine aanpassing, die volgens mij niet het grootste deel van de ergernis bij gebruikers wegneemt.

Minister Kamp: De heer Verhoeven zegt dat je in afwachting daarvan die analytische cookies zou kunnen zien als een onderdeel van de noodzakelijke cookies. Ik vind dat geen onaantrekkelijke gedachte. Ik wil er nader over nadenken en onderzoeken of daarvoor een sluitende redenering kan worden opgezet binnen de huidige regels. Als u het goedvindt, kom ik daarop terug.

De heer De Liefde (VVD): Geeft de minister hiermee impliciet aan dat het amendement-Van Bemmel/Van Dam dat de Telecommunicatiewet ten aanzien van de cookies gewijzigd heeft, niet optimaal functioneert en dat hij via Europa vraagt dat die wetgeving, zoals gewijzigd door het amendement-Van Bemmel/Van Dam waarin expliciet wordt gesproken over autorisatiecookies, wordt aangepast?

Minister Kamp: Nee, ik vraag niets aan Europa. Europa is zelf bezig en stelt zelf vast dat de zaak niet goed functioneert, dat bedrijven zich er niet aan houden, dat er onduidelijkheid is, dat de toezichthouders terughoudend zijn, dat er technische problemen zijn en dat het in de verschillende landen van Europa anders gaat. De Europese Commissie wil daarin graag verbetering en eenheid brengen. Ik wens daarop aan te sluiten. Als die nadere verduidelijking komt, zullen wij ons daaraan houden en zullen wij anderen vragen zich daaraan te houden. De heer Verhoeven gaf aan dat je zou kunnen stellen dat analytische cookies eigenlijk ook noodzakelijke cookies zijn. Voor de tussenperiode vind ik het de moeite waard om dat eens goed uit te zoeken.

(...)

Minister Kamp: Ja, voor die analytische cookies heb je ook verschillende vormen. Wij hebben dat toen wel vastgelegd, maar ik denk dat het goed is om te kijken of binnen datgene wat wettelijk is geregeld toch een zodanige uitleg gegeven zal moeten worden aan deze vorm van cookies dat ze anders ingedeeld moeten worden. Ik zeg niet dat ik het doe, maar ik wil het wel bekijken omdat ik het een zinvolle suggestie vind.

De heer Verhoeven (D66): Er is in de wet geen duidelijke afbakening op basis van het technologisch onderscheid dat ik heb gemaakt. Het is dan ook heel goed mogelijk om op een bepaalde manier om te gaan met verschillende categorieën cookies zonder dat de wet direct hoeft te worden herschreven. Volgens mij bedoelde de minister dat ook en ik ben blij dat hij in ieder geval wil kijken naar de mogelijkheid om dit in afstemming met Europa en in overleg met de toezichthouder te bekijken. Kan de minister zeggen op welke datum hij met een eerste inhoudelijke stap terug naar de Kamer denkt te komen? Dan weten wij aan welke termijn we moeten denken. Ik snap het als de minister de tijd wil hebben en niks overhaast wil doen, maar ook voor de bedrijven die hiermee te maken hebben, zou het wel helder zijn als er voor 1 januari een communicatiemoment met de Kamer kan zijn. Vanaf die datum veranderen er namelijk weer wat dingen.

Minister Kamp: Ik had al veel verstand van cookies, maar nog niet van dit soort dingen. Ik ben dat aan het opbouwen. Ik heb onderwerp dit nog niet zo scherp op mijn netvlies als de heer Verhoeven, maar ik denk dat het mogelijk moet zijn om de Kamer voor het eind van dit jaar te informeren over de manier waarop wij dit zouden kunnen gaan aanpakken.

Voorzitter: Ik ben blij met de toezegging dat de minister voor het einde van het jaar met een brief komt met daarin een verdere verduidelijking van de situatie met cookies. Is het echter wel handig dat we in Nederland het toezichtregime hebben dat nu wordt gehanteerd door OPTA, zolang Europa de zaken niet beter regelt en we in Europa kennelijk niet allemaal op dezelfde manier de regels uitleggen? Dit leidt immers tot de huidige situaties waarin mensen op iedere site apart toestemming moeten geven voor het gebruik van cookies. De minister en de heer De Liefde kunnen in de gehele wetsbehandeling teruglezen dat expliciet in de Kamer aan de orde is geweest dat dit niet de bedoeling is. Dat is ook door de toenmalige minister toegezegd.

(...)

De opmerkingen van de heer Van Dam over cookies en dat per site geen toestemming gegeven zou hoeven worden terwijl dat in de praktijk wel vaak zo opgevat lijkt te worden, is onderdeel van de bestaande onduidelijkheid. Dat ben ik eens met de heer Van Dam. Er is daarover onduidelijkheid zowel in Nederland als in Europa. Vandaar ook de terughoudendheid van OPTA op dit punt. Als je regels echt wilt handhaven, moet je het gevoel hebben dat ze duidelijk zijn en dat men technisch in staat is om die regels na te leven. Ik denk dat het gepast is om terughoudend op te treden. De heer Van Dam snijdt dit punt aan, maar er zijn nog meer problematische punten. Laten we kijken of de Europese aanbeveling een adequate oplossing biedt. Laten we die dan snel naleven, al dan niet met aanpassing van de regelgeving. Mocht dat onvoldoende zijn en mochten er belangrijke punten open blijven staan, kunnen we alsnog kijken of we zelf iets aanvullends moeten doen.