Fall
Behavioral Targeting & Cookies Bianca Hoogkamer (0454206) Masterscriptie Informatierecht
11
INHOUDSOPGAVE INLEIDING
3
BEHAVIORAL TARGETING
5
BEHAVIORAL TARGETING ANDERE VORMEN VAN GERICHT ADVERTEREN COOKIES BROWSER FINGERPRINTING PRIVACY VOORDELEN
5 5 6 8 9 10
JURIDISCH KADER
11
E-PRIVACYRICHTLIJN OVERWEGING 66 TOESTEMMING PRIVACYRICHTLIJN GRONDSLAGEN ARTIKEL 8 EVRM ARTIKEL 29 WERKGROEP OVER TOESTEMMING BUDE TELECOMMUNICATIEWET TOESTEMMING WBP ONDERSCHEID
11 12 13 14 14 16 17 18 18 19 20 20
VERGELIJKING
21
VERGELIJKING MET EUROPA
21
CONSEQUENTIES
22
JURIDISCHE CONSEQUENTIES ANDERE CONSEQUENTIES
22 23
HET WETSVOORSTEL
24
IS HET GEAMENDEERDE WETSVOORSTEL IN STRIJD MET DE WBP? IS DE WET IN STRIJD MET EUROPESE REGELS? NIEUWE TECHNIEKEN?
24 24 25
CONCLUSIE
27
BIBLIOGRAFIE
29
2
Inleiding Op het internet worden vele diensten gratis aangeboden, deze diensten moeten hun inkomsten dan ook ergens anders vandaan halen. Deze inkomsten genereren zij veelal uit reclame en dan recentelijk vooral via behavioral targeting. Veel sites, zoals sociale netwerk sites, maken gebruik van cookies om het gedrag van hun gebruikers te volgen. Deze gegevens worden onder andere gebruikt voor behavioral targeting. Ook zijn er een aantal grote “ad network providers” die gebruik maken van de techniek behavioral targeting en die door aansluiting van veel websites grote hoeveelheden gegevens van internet gebruikers hebben. Deze manier van adverteren is dan ook veelvuldig voorwerp van discussie geweest, voornamelijk vanwege vermeende gevaren met betrekking tot de privacy. Technologische veranderingen en de toename van de beschikbaarheid van persoonsgegevens op internet heeft de discussie vooral doen aanwakkeren. Er kunnen gevaren voor de privacy en de bescherming van persoonsgegevens bij het gebruik van behavioral targeting ontstaan. Veelal wordt hierbij gebruik gemaakt van cookies, die het surfgedrag van internetgebruikers registreren. Dit is niet de enige manier om mensen te volgen via het internet, dit kan namelijk ook via browser fingerprinting. De e-privacy richtlijn is in 2009 aangepast om deze nieuwe gevaren met betrekking tot de privacy aan te pakken. Het artikel dat (onder andere) over cookies gaat is geamendeerd en er zijn strengere eisen gekomen voor het plaatsen van cookies. Het artikel is niet alleen gericht op cookies, doch deze is wel gericht op een bepaalde manier om surfgedrag van mensen te volgen. In Nederland is er een wetsvoorstel aanhangig die de richtlijn implementeert, maar dit voorstel komt niet helemaal overeen met de gewijzigde e-privacyrichtlijn. Wat is behavioral targeting? Wat zijn cookies en hoe worden deze gebruikt? Zijn er ook andere technieken waarbij er gericht geadverteerd wordt en/of waarbij gebruikers worden gevolgd via het internet? Welke regels gelden er volgends de privacywetten in Europa en in Nederland? Wat houdt het nieuwe wetsvoorstel voor wijziging van de telecommunicatiewet in? Hoe heeft het cookiedebat zich in Nederland voltrokken en wat is het resultaat hiervan? Zijn er verschillen met andere landen in Europa? Is de e-privacy wet goed geïmplementeerd in Nederland? Is de nieuwe cookiewet, met name na het amendement van Dam van Bemmel, in strijd met de Wbp en/of de privacyrichtlijnen? In hoofdstuk één worden de begrippen behavioral targeting en cookies uitgelegd. Ook zal worden gekeken naar andere vormen van gericht adverteren waarbij geen gebruik van cookies wordt gemaakt. In hoofdstuk twee wordt het juridische kader geschetst met betrekking tot het plaatsen van cookies in het algemeen en het plaatsen van cookies ten behoeve van behavioral targeting in het bijzonder. De beide privacy richtlijnen worden besproken, alsmede de Nederlandse telecommunicatiewet en de Wbp. Ook zal 8 Europees Verdrag voor de Rechten van de Mens (EVRM), besproken worden, de privacy richtlijnen en de Wbp moeten namelijk in het licht van dit artikel gelezen worden. Ook zal de opinie van de artikel 29 werkgroep over toestemming behandeld worden, deze is van belang bij uitleg van de richtlijnen. In dit hoofdstuk zal ook het wetsvoorstel voor de wijziging van de telecommunicatiewet aan de orde gesteld worden. In het vierde hoofdstuk zullen de consequenties van het wetsvoorstel behandeld worden. In het laatste hoofdstuk zal gekeken worden of het huidige wetsvoorstel daadwerkelijk in strijd is met
3
de Wbp en de privacyrichtlijnen.
4
1. Behavioral targeting § 1.1 Bahavioral targeting Behavioral targeting is een vrij controversiële vorm van online adverteren. Deze vorm van adverteren is de afgelopen jaren flink toegenomen, vooral door de voortgang van de techniek, alsmede de grotere hoeveelheden persoonlijke gegevens die online beschikbaar zijn. De voornaamste reden voor het gebruik ervan is om de effectiviteit van reclamecampagnes te vergroten. Bij behavioral targeting wordt onder andere gebruik gemaakt van informatie die wordt verzameld over het surfgedrag van een internetgebruiker. Dit gedrag kan bestaan uit sites die worden bezocht of zoekopdrachten die een gebruiker heeft gegeven. Aan de hand hiervan worden advertenties gekozen die aan de gebruiker getoond worden. Doordat gedrag van internetgebruikers gevolgd en geanalyseerd wordt, is de getoonde reclame gebaseerd op persoonlijke voorkeuren. 1 Hierdoor is de kans groter dat de gebruiker zich interesseert voor de reclame. De reclame is gebaseerd op persoonlijke interesses en zal effectiever zijn en dus een grotere economische waarde bezitten. Er kan ook andere informatie in combinatie met behavioral targeting gebruikt worden, zoals demografie en geografie. Door gebruik te maken van op internet gebaseerd adverteren is de advertentiemarkt veranderd en gegroeid, voornamelijk door te voorzien in efficiënte methoden om adverteerders en consumenten te matchen. 2 Bedrijven kunnen een goed beeld krijgen van welke websites welke gebruikers bezoeken, op welke artikelen of items deze mensen klikken, hoe vaak zij de sites bezoeken en hoe lang, hierdoor kan een nauwkeurig beeld van de interesses van een gebruiker verkregen worden. 3 Ten dienste van behavioral targeting kunnen er ook cookies geplaatst worden. Dit zijn kleine tekstbestandjes die het surfgedrag van gebruikers kunnen registreren. 4 Sinds men cookies gebruikt, wordt al op het mogelijke privacyschendende karakter van deze adverteertechniek gewezen. 5 § 1.2. Andere vormen van gerichte adverteren Er zijn meerdere mogelijkheden om gericht te adverteren, waarbij geen gebruik van cookies gemaakt hoeft te worden. Bij contextual advertising wordt de inhoud van een website gescand om bepaalde trefwoorden te identificeren die verzocht zijn door adverteerders. Indien een opgevraagd woord wordt gevonden dan toont de website de gekoppelde advertentie door middel van een automatisch proces. Een nadeel van deze methode is dat de techniek niet in staat is de betekenis van woorden te achterhalen, waardoor het mogelijk is dat er een verkeerde betekenis aan het woord gegeven word. Zo kan er een advertentie van een bank, zoals de Rabobank getoond worden, terwijl de inhoud van de site over sofa’s gaat. Bij semantic targeting wordt de specifieke context of inhoud van een site gekoppeld aan een beschikbare advertentie. Een voordeel van deze methode is dat niet alleen woorden worden gescand op een site, maar dit systeem kan ook 1
Van der Sloot 2011, p. 62 Evans 2009, p. 62 3 Van der Sloot 2011 (2) 4 Van der Sloot 2011, p. 62 5 Van der Sloot 2011 2
5
de betekenis van de woorden uit de context opmaken. Dit systeem is oorspronkelijk ontworpen om fraude te voorkomen en werd voornamelijk door banken gebruikt. Nu wordt deze techniek ook gebruikt om gerichte advertenties op websites te laten zien. Een andere vorm van gericht adverteren is het tonen van advertenties op een site op basis van het zoekgedrag van een gebruiker. Indien een gebruiker een site heeft gevonden door een bepaalde zoekterm, in bijvoorbeeld Google, in te voeren dan wordt de content van de advertenties hierop aangepast. Ook kunnen advertenties aangepast worden aan het real time surfgedrag van een gebruiker op een bepaalde site. § 1.3. Cookies Bij het bezoeken van vrijwel elke website worden er cookies geplaatst op de computer van de bezoekende internetgebruiker. Zo blijkt uit een onderzoek van de consumentenbond dat alle 27 onderzochte websites, zoals Hyves en de tvgids, cookies plaatsten. Er zijn verschillende redenen waarom cookies worden geplaatst, bijvoorbeeld om instellingen te onthouden of om surfgedrag te het monitoren. Cookies zijn, zoals eerder gezegd, kleine tekst bestandjes die op de harde schijf van de computer van een website bezoeker geplaatst kunnen worden. Hierbij wordt een specifieke code aan de computer toegekend. Een cookie slaat bepaalde gegevens van de gebruiker op en hierdoor kan de computer van de gebruiker geïdentificeerd worden wanneer dezelfde website, die de cookie heeft geplaatst, nogmaals bezocht wordt. Op het internet komt het veel voor dat een bedrijf een dienst of website gratis aanbiedt. 6 Een goed voorbeeld hiervan zijn de meeste sociale netwerk sites, zoals Facebook en Linkedin. Veel van deze sites verzamelen grote hoeveelheden gegevens met betrekking tot hun gebruikers, veelal om gerichte advertenties aan internetgebruikers te tonen. 7 Dit gebeurt vaak om de kosten van de site te dekken, aangezien het gebruik ervan gratis is. Op dit moment worden hierbij voornamelijk cookies gebruikt. “Gewone” cookies kunnen http-cookies, webcookies of browsercookies worden genoemd, deze onderscheiden zich van flash cookies. 8 Flash cookies zijn niet zichtbaar in de browserinstellingen, gewone cookies wel. Flash cookies zijn alleen te verwijderen in het control panel van de geïnstalleerde Flash Player. 9 Soms worden deze cookies gebruikt om gewone cookies weer te activeren, nadat een internetgebruiker deze uit zijn browser heeft verwijderd, dit heet “re-spawnen”. Dit cookie krijgt dan dezelfde code als het verwijderde cookie. 10 Session cookies, worden slechts gebruikt tijdens de browsersessie. Een voorbeeld hiervan zijn de cookies die gebruikt worden om taalvoorkeuren van een bezoeker op te slaan. Persistent cookies daarentegen, blijven ook na het afsluiten van de browser op de computer staan en deze vervallen vaak op veel latere datum. 11 Het belangrijkste onderscheid in cookies is het verschil in degene die de cookies plaatst 6
Zuiderveen Borgesius 2011 Tene 2008 8 Zuiderveen Borgesius 2011 9 www.adobe.com 10 Zuiderveen Borgesius 2011 11 Kool e.a. 2011 7
6
en uitleest, maar dit kan ook van belang zijn voor het doel waarvoor de cookies geplaatst worden. Indien een site zelf cookies plaatst, worden deze first party cookies genoemd. Bij deze cookies worden de gedragingen binnen één website/domein gevolgd 12 en deze worden vaak gebruikt om de dienst te bevorderen. Ze kunnen ook geplaatst worden om gericht te adverteren of om de verworven informatie aan derde partijen door te spelen. Een voorbeeld van het gebruik van een first party cookie, is een online winkel, welke producten aanbiedt tijdens het bezoeken van de website, die een internetgebruiker bij een eerder bezoek bekeken heeft. Maar first party cookies worden voornamelijk gebruikt om informatie op te slaan, zoals je voorkeuren. Het verschil is ook van belang voor de privacyinstellingen die in de browser aangepast kunnen worden. First party cookies zijn voornamelijk session cookies, die vaak het minimum zijn wat een gebruiker moet accepteren om volledig van een site gebruik te maken. Indien men alle cookies weigert, dus ook first party cookies, is het mogelijk dat een gebruiker niet meer van elke website volledig gebruik kan maken. Third party cookies worden vaker gebruikt voor advertentie doeleinden. Deze cookies worden veelvuldig gebruikt om het surfgedrag van gebruikers te monitoren voor advertentie- en marketingdoeleinden. Third party cookies, worden geplaatst door derde partijen, vaak met het doel om informatie te vergaren over gebruikers ten dienste van behavioral targeting. Derde partijen kunnen alleen cookies plaatsen als het toegestaan wordt deze op een bepaalde site te plaatsen. De inhoud wordt dan opgevraagd van de server van de derde partij en deze wordt tezamen met het cookie geleverd. Indien de site opnieuw bezocht wordt door de gebruiker dan wordt het cookie meegezonden samen met het verzoek voor de inhoud. 13 Facebook biedt aan derden bijvoorbeeld de mogelijkheid om een ‘Like button’ op hun website te plaatsen. Indien gebruikers op deze button klikken dan wordt er een link tussen de website of het item dat zij ‘Liken’ geplaatst op de profielpagina van de gebruiker. Voor derden is dit een gunstig instrument, aangezien er naast de “Like button” staat hoeveel bezoekers de website of het item ‘Liken’. 14 Maar ook veel adverteerders gebruiken third party cookies om gebruikers over meerdere sites te volgen. Third party cookies kunnen makkelijk geweigerd worden, het toestaan van deze cookies is niet noodzakelijk voor volledig gebruik van websites. In bijna alle browserinstellingen wordt de mogelijkheid geboden om deze cookies te weigeren of te verwijderen. Zoals al eerder vermeld kunnen Flashcookies niet via de browser worden bekeken. Niet alle cookies die geplaatst worden, worden gebruikt ten behoeve van behavioral targeting. Wanneer cookies geplaatst worden voor behavioral targeting, dan geschiedt dit doorgaans door een tussenpersoon die de website en de adverteerders samenbrengt. 15 De advertenties worden dan door een ander bedrijf getoond, vaak door een “ad serving company” of een “ad network provider”. Sommige “ad network providers” voorzien netwerken van miljoenen verschillende sites van advertenties en kunnen op deze manier zeer nauwkeurige en uitgebreide profielen opstellen. Indien een gebruiker zelf persoonsgegevens invult op een website, die gekoppeld is aan zo’n netwerk dan kunnen deze gegevens aan het al samengestelde profiel worden toegevoegd. Sites waar in ieder 12
Koeter 2009, p. 5 Roosendaal 2011, p. 2 Roosendaal 2011, p. 2 15 WP 171, Brussel: 22 juni 2010 13 14
7
geval veel persoonlijke gegevens worden ingevuld zijn sociale netwerk sites. Deze “ad network providers” beweren dat zij geen naam aan deze ontwikkelde profielen koppelen. 16 § 1.4. Browser fingerprinting Bij het volgen van gebruikers over het internet, om zo een uniek profiel van hen op te stellen, is er een uniek nummer nodig dat gekoppeld is aan bijvoorbeeld een pc. Via dit nummer kan iemand gevolgd worden over verschillende websites en er kan aanvullende informatie gekoppeld worden aan dit nummer. Een cookie is één methode om informatie over internetgebruikers te verzamelen, maar er zijn er meerdere, zoals browser fingerprinting. Fingerprinting is een onzichtbare techniek die automatisch verschillende soorten gegevens verzameld. Iedere keer als een computer of ander apparaat met het internet verbinding maakt, dan zendt het informatie uit over onder andere de settings, zoals screen resolution, browserversie en verbinding. Dit is nodig om makkelijker interactie met websites en andere computers te verkrijgen. Fingerprinting technologie verzameld deze informatie en stelt hiermee een profiel op dat de individuele pc kan identificeren, en in bepaalde gevallen zelfs de gebruiker. Browser fingerprinting kan plaats vinden door slechts gebruik te maken van “client-side scripting 17”, zoals Javascript, waardoor deze methode lastig te blokkeren is. Een gebruiker kan Javascript blokkeren, maar Javascript is noodzakelijk om van veel sites gebruik te maken. Daarbij is fingerprinting moeilijk te detecteren, waardoor het lastiger is om de fingerprints te controleren en te verwijderen. Indien alle cookies geblokkeerd zijn of wanneer er gebruik wordt gemaakt van bijvoorbeeld een proxy server 18 dan is het nog mogelijk om gevolgd te worden via browser fingerprinting. Men zou zelfs kunnen zeggen dat fingerprinting hardnekkiger is dan cookies, deze kunnen namelijk verlopen en gewist worden. Wel is fingerprinting afhankelijk van de uniekheid van een apparaat. Gegevens die via de fingerprint worden verzameld identificeren een gebruiker niet, maar hiermee kan wel een unieke ‘device fingerprint’ worden gemaakt. Door een specifieke combinatie van gegevens, zoals browserversie, plug-ins 19 en system fonts 20 is het mogelijk een fingerprint te verkrijgen voor een bepaalde browser, welke een gebruiker mogelijk kan identificeren. Aparte delen van informatie zijn dus niet genoeg om iemand te identificeren, maar indien de verschillende delen aan elkaar gekoppeld worden, zoals de browserversie, de taal en de tijdzone dan kan er een duidelijker profiel opgesteld worden. Deze informatie is niet persoonlijk identificerend, maar apparaat identificerend. Toch kan door bijvoorbeeld de laptop van een gebruiker te volgen, gezien worden dat er door een gebruiker vaak gereisd wordt tussen Amsterdam en Londen en dat deze gebruiker vaak gebruik maakt van de wifi bij de Coffee Company. 16
zie bijvoorbeeld: Google, ‘Interest-based advertising: How it works’, www.google.com/ads/preferences/html/about.html 17 Dit zijn programma’s op het internet die worden uitgevoerd door de browser van de gebruiker, hierdoor kunnen websites andere en veranderende inhoud hebben, afhankelijk van de input van een gebruiker 18 Een proxy server is een tussenstop tussen de computer van een gebruiker en de rest van het internet. Hierdoor wordt het IP adres van een gebruiker afgeschermd. 19 Plug-ins worden veel gebruikt in browsers om video’s af te spelen, om te scannen voor virussen. Een voorbeeld van een plugin is Adobe Flash Player. 20 Zoals ‘times new roman’ en ‘arial’
8
§ 1.5. Privacy Er kunnen voornamelijk twee mogelijke gevaren spelen bij het gebruik van cookies ten behoeve van behavioral targeting. Er is ten eerste de mogelijkheid van privacyschendingen, daarnaast kunnen er inbreuken zijn op de wetten die persoonsgegevens beschermen. De twee schendingen kunnen elkaar overlappen, maar een schending van de gegevensbeschermingsregels brengt niet noodzakelijk een schending van de privacy mee. Daarnaast zijn er de algemene gevaren die verbonden zijn aan gegevensverzameling, zoals datalekken en “function creep”. 21 Bij datalekken komen persoonsgegevens op straat te liggen, bij “function creep” worden gegevens voor andere doeleinden gebruikt dan waarvoor ze zijn verkregen. Zo kan een sociale netwerk site die op grote schaal gegevens verzameld ten behoeve van het leveren van zijn dienst deze ook voor andere doeleinden gebruiken, waardoor er een bedreiging voor de privacy bestaat. De site zou de persoonsgegevens door kunnen verkopen aan derde partijen, zoals adverteerders. De verkoop van deze persoonsgegevens kan ten behoeve van behavioral targeting zijn. Bij deze dreigingen kan men beter spreken van problemen met betrekking tot persoonsgegevens dan privacyproblemen. 22 De gevaren worden nog eens vergroot omdat veel mensen zich niet bewust zijn dat hun surfgedrag geregistreerd wordt door middel van cookies en dat gegevens opgeslagen worden voor advertentie doeleinden. Bedrijven die gebruik maken van behavioral targeting verdedigen dit door te beweren dat gegevens die worden opgeslagen, anoniem zijn en dat zij dus geen persoonsgegevens verwerken. Zij zeggen geen identificeerbare informatie aan de opgestelde profielen te koppelen. Ondanks deze beweringen laten recente openbaringen zien dat vermoedelijk niet-persoonlijk identificeerbare gegevens eenvoudigweg gekoppeld kunnen worden aan identificeerbare profielen of aan specifieke individuen. 23 Het is dus niet altijd noodzakelijk om via een naam een persoon te identificeren, dit kan ook op andere manieren. Het kan ook zo zijn dat meerdere mensen van een computer gebruik maken en niet apart inloggen, de verzamelde gegevens leveren dan geen persoonsgegevens op. Niet elk gebruik van cookies en de opgeslagen gegevens is overigens een verwerking van persoonsgegevens, hiervoor moeten er wel daadwerkelijk persoonsgegevens verwerkt worden. 24 Behavioral targeting kan in strijd komen met de redelijke privacyverwachting met betrekking tot de persoonlijk identificeerbare gegevens van een gebruiker op het internet. 25 Door behavioral targeting is er de mogelijkheid om een uitgebreid langetermijnsprofiel van een gebruiker op te stellen, hierdoor heeft deze verwachting nieuwe 21
Van der Sloot 2011, p. 63 Van der Sloot 2011, p. 70 23 Hotaling 2008, p. 531 24 "persoonsgegevens", iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna "betrokkene" te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit; 25 Schwartz 2007 22
9
uitdagingen verworven, veel gebruikers zijn namelijk niet op de hoogte van deze praktijk. 26 Een ander probleem dat zich voor kan doen is dat de uitoefening van fundamentele vrijheden die privacy tracht te beschermen wordt beperkt. Het recht op juistheid van persoonlijke gegevens kan worden aangetast doordat er wordt gegist over de kwalificatie en interesses van een gebruiker. Ook kan de vraag gesteld worden of de verzamelde gegevens bij behavioral targeting wel in verhouding staan tot het gediende doel van de verzameling, namelijk verkoop van producten of diensten. Aangezien privacy een ethische waarde heeft 27 en een fundamenteel mensenrecht is, o.a. beschermt in artikel 8 EVRM, zou dit eventuele economische argument achtergesteld kunnen worden aan het recht op privacy. 28 § 1.6. Voordelen Veel sites, zoals sociale netwerk sites hebben een vorm van adverteren eenvoudigweg nodig om hun dienst gratis aan te bieden. Zonder deze mogelijkheid zouden deze diensten niet of slechts tegen betaling beschikbaar zijn. Adverteren is een belangrijk onderdeel van veel businessmodellen op het internet. Daarbij heeft behavioral targeting ook voordelen. Ten eerste is het effectiever en dus winstgevender voor de bedrijven die reclame maken. Doordat advertenties effectiever zijn, kunnen websites meer geld vragen voor advertenties, waardoor zij minder reclame op hun pagina te hoeven laten zien 29 Ten tweede is deze reclame in bepaalt opzicht het meest klantvriendelijk. Voorstanders stellen dat het gunstig is voor de gebruikers, door het bijhouden van surfgedrag krijgen gebruikers informatie en producten te zien die voor hen relevant zijn. Maar vaak wordt er geen kennisgeving gegeven en wordt ook niet om toestemming gevraagd, waardoor veel gebruikers er niet van op de hoogte zijn. Indien zij een advertentie te zien krijgen weten zij niet dat deze op basis van hun opgestelde profiel getoond wordt. Ook is deze bewering wel erg subjectief, alhoewel er gebruikers zullen zijn die deze vorm van adverteren prettig vinden, veel gebruikers zullen het als indringing op hun persoonlijke leven ervaren.
26
Hotaling 2008, p. 531 o.a. Rossler 2005 en Solove 2009 28 Een verdere uitwerking hiervan wordt besproken in hoofdstuk 2 29 Picker 2009 27
10
2. Juridisch kader § 2.1. De e-privacy richtlijn Over het gebruik van behavioral targeting is vanuit Europa opnieuw veel discussie gevoerd, dit omdat de e-privacyrichtlijn is gewijzigd. Deze richtlijn bevat onder andere regels omtrent gegevensbescherming, het bestrijden van spam en het gebruik van cookies. 30 De e-privacyrichtlijn is in 2009 gewijzigd door de Richtlijn Burgerrechten. 31 Het artikel betreffende cookies is toen gewijzigd, namelijk artikel 5 lid 3. Een van de belangrijkste wijzigingen is de introductie van een opt-in regel voor (onder meer) cookies, en een meldplicht voor datalekken. 32 De wijziging moesten door de lidstaten voor 25 mei geïmplementeerd worden. 33 De revisie van de e-privacyrichtlijn vond plaats om de al eerder genoemde gevaren met betrekking tot inbreuken op de privacy tegen te gaan. Bij deze wijziging moest er een balans gevonden worden tussen het belang van gebruikers om vrijelijk en ondoorbroken gebruik te kunnen maken van het internet, terwijl ze ook beschermd moeten zijn tegen inbreuken op hun privacy. Doordat de digitale wereld snel veranderd en zich snel ontwikkeld moest dit artikel gemoderniseerd worden. Het nieuwe artikel 5 lid 3 luidt als volgt: De lidstaten dragen ervoor zorg dat de opslag van informatie en het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig richtlijn 95/46EG, onder meer over de doeleinden van de verwerking. Zulks vormt geen beletsel voor enige vorm van technische opslag of toegang met als uitsluitend doel de uitvoering van de verzending van een communicatie over een elektronisch communicatienetwerk, of, indien strikt noodzakelijk, om ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de 30
Van der Sloot & Zuiderveen Borgesius 2010, p. 162 Richtlijn2009/136/EGvan het Europees Parlement van de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische communicatienetwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming (Pb EU L337/11 van 18/12/2009 p. 0011 – 0036) 32 Van der Sloot & Zuiderveen Borgesius 2010, p. 162 33 Van der Sloot 2011, p. 63 31
11
informatiemaatschappij deze dienst levert. Op Europees niveau is het oude opt-out vereiste vervangen door een opt-in vereiste bij het plaatsen van cookies. Dit artikel eist voor toestemming een vrije, specifieke en op informatie berustende wilsuiting. Er zal voldaan moeten worden aan alle vier deze elementen. Het toestemmings- en informatievereiste geldt zeer waarschijnlijk op het plaatsen van cookies alsmede de verwerking ervan, aangezien beide vereisten ook op de twee handelingen betrekking hebben. Het plaatsen van een cookie en de verwerking van de verworven inhoud en het doel hiervan zijn namelijk veelal aan elkaar gekoppeld. 34 Bij het voorstel voor het oude artikel 5 lid 3 was ook al een opt-in systeem voorschreven, maar tijdens de totstandkoming is dit gewijzigd, mede door druk van de advertentiemarkt. In artikel 5 lid 3 draait het om het verkrijgen van een geïnformeerde toestemming voor het plaatsen of uitlezen van cookies. 35 De twee uitzonderingen die in het artikel staan, zijn hetzelfde gebleven. Er behoeft bijvoorbeeld geen toestemming gevraagd te worden indien het plaatsen van het cookie nodig is in verband met de inloggegevens bij een online-bank. De tweede uitzondering ziet bijvoorbeeld op een virtueel winkelmandje dat bewaard blijft na het bezoek van de website, dit mag ook opgeslagen worden zonder toestemming. Ook het instellen van taalvoorkeuren valt onder deze uitzondering. Het artikel ziet op het plaatsen van alle cookie en geldt dus indien er persoonsgegevens via cookies worden opgeslagen, maar ook als er geen persoonsgegevens worden opgeslagen. § 2.1.1. Overweging 66 Overweging 66 van de richtlijn heeft voor veel debat gezorgd. Artikel 5 lid 3 vereist namelijk een opt-in systeem, waardoor degene die een cookie plaatst verplicht is de internetgebruiker voor of tijdens het plaatsen van een cookie te informeren over deze plaatsing alsmede het doel van de gegevensverzameling op te geven. Ook moet hij vooraf toestemming voor de plaatsing en het uitlezen verkrijgen. In de overweging daarentegen, valt te lezen dat de manier waarop informatie wordt verstrekt zo gebruikersvriendelijk mogelijk moet zijn en “wanneer dit technisch mogelijk en doeltreffend is, kan, overeenkomstig de desbetreffende bepalingen van de (algemene privacy richtlijn), de toestemming van de gebruiker met verwerking worden uitgedrukt door gebruik te maken van de desbetreffende instellingen van een browser of andere toepassing”. De toestemming in het artikel en de overweging komen dus niet met elkaar overeen. 36 Het eigenaardige is dat in overweging 66 te lezen is dat toestemming voor cookies geautomatiseerd, dus via browserinstellingen verkregen kan worden, maar of dit dan ook weer geldt voor het informatievereiste is niet duidelijk. 37 De standaardinstellingen van de meeste browsers staan op het accepteren van alle cookies. Het is dus mogelijk dat een gebruiker stilzwijgend door middel van de browserinstellingen toestemming geeft. Dit kan wel handmatig veranderd worden, maar van een bewuste toestemming kan niet gesproken worden, veel mensen laten hun browserinstellingen namelijk op de default instelling staan. Door deze twee overwegingen wordt ook de eis van specifieke 34
Kool e.a. 2011, p. 15 maar ook in WP 171, p. 22 Zuiderveen Borgesius 2011 36 Van der Sloot 2011, p. 62 37 Kool e.a. 2011 35
12
toestemming, die nodig is voor elk cookie dat geplaatst wordt, naar een generieke toestemming, die eenmalig wordt gegeven en die geldt voor alle te plaatsen cookies, veranderd. Over de discrepantie van het artikel en de overweging zijn de meningen verdeeld. De Europese wetgever en ook de artikel 29 werkgroep lijken een voorkeur te geven voor een opt-in systeem. Maar door de onduidelijkheid van de overweging hebben een aantal lidstaten gesteld dat toestemming door middel van de browserinstelling voldoet aan de bepaling. Het is opmerkelijk dat zoveel aandacht aan een overweging wordt geschonken door lidstaten. Het Hof van Justitie EG heeft al geoordeeld dat “de considerans van een gemeenschapshandeling geen bindende rechtskracht heeft en niet kan worden aangevoerd om van de bepalingen zelf van die handeling af te wijken, en evenmin om deze bepalingen uit te leggen in een zin die kennelijk in strijd is met de bewoording ervan.” Indien artikel en overweging allebei duidelijk geformuleerd zijn dan zal bij botsing tussen de twee, het artikel voorgaan. Dit zou anders zijn als het artikel vaag is en deze wellicht ingevuld kan worden met de overweging. Een overweging als overweging 66 kan geen afbreuk doen aan het zeer duidelijke artikel 5 lid 3. Daarbij draagt een opt-out systeem in combinatie met de huidige browsers niet bij aan de bescherming van privacy en persoonsgegevens, wat de bedoeling van de richtlijn is. Ook in Europa zijn de meningen verdeeld, zo heeft Eurocommissaris Reding en de artikel 29 werkgroep verklaard dat de richtlijn opt-in voorschrijft. Eurocommissaris Kroes, daarentegen, stelde dat zij toestemming via de browser niet uitsluit en dat voortdurende pop-ups met cookie informatie, geen haalbaar alternatief is. § 2.1.2. Toestemming Bij het plaatsen van cookies moet voldaan worden aan artikel 5 lid 3, dit artikel vereist toestemming, volgens artikel 2 onder h is dit een vrije, specifieke en op informatie berustende wilsuiting. De informatie en het recht van weigering behoeft slechts eenmalig per domein te worden verstrekt, dit is te vinden in overweging 25. Op dit moment kunnen browsers geen onderscheid maken tussen first party cookies die bijvoorbeeld voor de taalvoorkeuren worden gebruikt en cookies die worden gebruikt voor behavioral targeting. Indien alle first party cookies worden geweigerd worden veel websites geheel of gedeeltelijk onbruikbaar. Het is dus twijfelachtig of gebruikers een vrije keuze hebben om alle first party cookies te weigeren. Dit geldt voornamelijk indien een site een essentiële dienst aanbiedt en hierop een monopolie heeft. 38 Het gebruik van bijvoorbeeld sociale netwerk sites, wordt steeds belangrijker in het leven van mensen en uit onderzoek is gebleken dat gebruik soms zelfs noodzakelijk is om niet sociaal uitgesloten te worden. 39 Daarnaast moet de wilsuiting betrekking hebben op een bepaalde gegevensverwerking of een bepaalde categorie van verwerkingen. Een onbepaalde machtiging om persoonsgegevens te verwerken voldoet niet aan dit criterium. 40 In lijn met de e-privacyrichtlijn mag niet een al te brede toestemming gevraagd worden, wat in het geval van browser toestemming nu wel het geval is. Volgens de artikel 29 werkgroep wordt bij browser toestemming eenmalig toestemming gegeven voor een grote hoeveelheid nog onbepaalde cookies, waarbij het doel hiervan niet altijd duidelijk is. De 38
Zuiderveen Borgesius 2011, p. 9 o.a. in Raynes-Goldie 2010 40 Zuiderveen Borgesius 2011, p. 9 39
13
betrokkene kan daarbij alleen verantwoord zijn toestemming geven als hij over voldoende, begrijpelijke en juiste informatie beschikt. 41 Enige informatie die verstrekt moet worden is informatie over de identiteit van het bedrijf en de doeleinden van de persoonsgegevens verwerking. De betrokkene moet daarnaast zijn wil ook daadwerkelijk geuit hebben. De wilsuiting kan vormvrij geschieden. Overweging 17 van de considerans van de richtlijn bepaalt dat toestemming kan worden gegeven op elke wijze die de gebruiker in staat stelt vrijelijk een specifieke en geïnformeerd indicatie te geven omtrent zijn wensen. Er is een wil vereist voor deze rechtshandeling. Wanneer een persoon zijn browser op de standaardinstellingen laat staan, wat meestal gebeurt, is dit niet het geval. 42 Wel kan het mogelijk zijn dat in de (nabije) toekomst, toestemming via fijnmazigere en meer gedetailleerde browsers wel zal voldoen aan de richtlijn. § 2.2. Privacyrichtlijn Zoals al eerder vermeld geven veel sites en “ad networks providers” aan dat zij geen persoonsgegevens verzamelen of een naam koppelen aan het gegenereerde profiel. Maar van belang is of een profiel wel of niet direct of indirect herleidbaar is tot een natuurlijk persoon. De privacyrichtlijn geldt alleen als er sprake is van een geïdentificeerde of identificeerbare persoon. Maar maakt het eigenlijk wel uit of er een naam gekoppeld wordt aan het profiel? De identiteit van een gebruiker kan ook op andere wijze achterhaald worden. Volgens het CBP 43 moet een IP adres in veel gevallen als persoonsgegeven beschouwd worden, maar de verschijningsvorm van een IP adres is hiervoor bepalend. Er is er in het geval van behavioral targeting met cookies en IP adressen, maar weinig voor nodig om te achterhalen van wie een IP adres is. In de literatuur worden IP adressen meestal niet gezien als persoonsgegevens, maar wanneer je iemand makkelijk kan achterhalen via cookies en een IP adres dan is dit wel degelijk een persoonsgegeven. De artikel 29 werkgroep heeft geoordeeld dat een naam niet altijd noodzakelijk is om een persoon te identificeren en ook het vallen in een bepaalde groep, zonder dat precies duidelijk is wie het is, is een persoonsgegeven. In veel gevallen valt het verzamelen van gegevens via cookies dus wel onder deze richtlijn. § 2.2.1 Grondslagen De privacyrichtlijn ziet op het verzamelen van persoonsgegevens. Het verzamelen van persoonsgegevens van een internetgebruiker via cookies is een verwerking in de zin van deze richtlijn, dit valt te lezen in artikel 3 lid 1 van de richtlijn. Een verwerking is pas rechtmatig indien de verwerking gerechtvaardigd is op basis van ten minste één van de zes in artikel 7 genoemde grondslagen. 44 Er zijn drie grondslagen die van toepassing
41
Aldus Artikel 29 Werkgroep, WP 37, 2000, hoofdstuk 5, par. IV, Artikel 29 Werkgroep, Advies WP 100 over meer geharmoniseerde bepalingen inzake informatieverstrekking hoofdstuk par. 3 en 4 en in Artikel 29 Werkgroep, WP 168 kantlijnnummer 6 42 Zuiderveen Borgesius 2011, p. 10 43 De Nederlandse privacywaakhond op het gebied van persoonsgegevens bescherming 44 De lid-Staten bepalen dat de verwerking van persoonsgegevens slechts mag geschieden indien: a) de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend, of
14
zouden kunnen zijn op cookies. De verwerking van gegevens door middel van een cookie kan gebaseerd zijn op de artikelen 7 onder a, b en f. Een mogelijkheid voor een gerechtvaardigde verwerking is als er ondubbelzinnige toestemming van de betrokkenen is verworven, dit staat in artikel 7 onder a. Toestemming zou verkregen kunnen worden door een pop-up venster waar de gebruiker met een muisklik zijn toestemming kan geven. Maar toestemming kan ook op andere manieren verkregen worden. Van belang is dat het om een ondubbelzinnige, buiten twijfel, vrije en geïnformeerde toestemming gaat. Op dit moment wordt er bij veel sites uitgegaan van een opt-out principe, bijvoorbeeld bij Facebook. Maar het opt-out principe voldoet niet aan de ondubbelzinnige toestemming die vereist is op basis van deze richtlijn, waarbij geen twijfel over de toestemming mogelijk moet zijn. Veel sites en “ad network providers” gaan er echter vanuit dat zij geen persoonsgegevens verzamelen en er wordt vrijwel nooit bij het plaatsen van een cookie om ondubbelzinnige toestemming gevraagd. Indien de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, onder b, dan mogen er niet meer gegevens verzameld worden dan noodzakelijk is. Dit artikel zou van toepassing kunnen zijn indien de gebruiker iets online koopt en hierbij noodzakelijke gegevens worden opgeslagen, zoals het adres waar de bestelling naartoe gestuurd moet worden. Een overeenkomst kan in de meeste rechtsstelsels vormvrij geschieden, maar het autonomiebeginsel houdt in dat de gebruiker het recht heeft zijn eigen belangen te behartigen, alsmede de manier waarop hij/zij dit wil. Dit beginsel bepaalt dus dat partijen gebonden zijn aan een overeenkomst omdat en voor zover zij dit zelf gewild hebben. Veel gebruikers van bijvoorbeeld sociale media zijn niet op de hoogte dat zij persoonsgegevens verstrekken in ruil voor het gebruik van de dienst en van een wilsuiting is dan ook geen sprake. Naar geldend recht is er dan ook vaak geen sprake van een overeenkomst. 45 Het meest voor de hand liggende artikel zou artikel 7 onder f zijn. De gegevensverwerking kan geschieden voor marketingdoeleinden, dit kan een belang van de verwerker kan zijn. Sociale netwerk sites laten advertenties zien aan hun gebruikers om de kosten te dekken, aangezien het gebruik van de site veelal gratis is. Maar de b) de verwerking noodzaekelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene, of c) de verwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de voor de verwerking verantwoordelijke onderworpen is, of d) de verwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene, of e) de verwerking noodzakelijk is voor de vervulling van een taak van algemeen belang of die deel uitmaakt van de uitoefening van het openbaar gezag die aan de voor de verwerking verantwoordelijke of de derde aan wie de gegevens worden verstrekt, drager is opgedragen, of f) de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van artikel 1, lid 1, van deze richtlijn, niet prevaleren. 45
Zuiderveen Borgesius 2011
15
verwerker kan deze grond slechts inroepen indien het noodzakelijk is met het oog op zijn gerechtvaardigd belang of dat van een derde, tenzij het privacybelang van de betrokkene prevaleert. 46 Het gerechtvaardigd belang houdt in dat het belang van de verantwoordelijke om de gegevens te verwerken hoger is dan het belang van de geregistreerde persoon om die gegevens niet te verwerken. 47 Er moet dus een belangenafweging plaatsvinden tussen het privacybelang van de gebruiker, onder andere beschermd in artikel 8 EVRM en in artikel 10 GW en het commerciële belang van de adverteerder. § 2.2.2 Artikel 8 EVRM Uit de jurisprudentie van het Europese Hof voor de Rechten van de Mens (EHRM) blijkt ook dat belangen onder rechten vallen, aangezien het hof ook commerciële of economische belangen van een bedrijf als ‘rechten’ heeft aangemerkt. 48 Maar er zal wel een duidelijk belang aanwezig moeten zijn waarom de beperking op de privacy noodzakelijk is. Op grond van overweging 24 van de e-privacyrichtlijn valt eindapparatuur van internetgebruikers, zoals pc’s, en alle informatie die daarop opgeslagen is tot de persoonlijke levenssfeer van de gebruikers en dit recht valt onder artikel 8 EVRM. Cookies worden op de eindapparatuur van de gebruiker geplaatst, namelijk op de pc of laptop van een gebruiker. Het EVRM kent geen rangorde tussen de verschillende grondrechten. Er moet daarom altijd een concrete belangenafweging plaatsvinden, gericht op de bijzondere omstandigheden van het geval om te bepalen welk recht in dat geval voor moet gaan. Bij de afweging spelen de subsidiariteit en de proportionaliteit een grote rol, dit volgt uit uitspraken van het Europese Hof voor de rechten van de Mens omtrent artikel 8 EVRM. 49 Artikel 10 GW correspondeert qua beschermingsomvang met artikel 8 EVRM en de daaraan door EHRM en nationale rechter gegeven uitleg en toepassing. Privacy is een mensenrecht dat verankerd is in het EVRM en in de Grondwet en zal veelal zwaarder wegen dan bijvoorbeeld het commerciële, niet mensenrechtelijke belang van de adverteerder. Door het verzamelen van persoonsgegevens en het gebruik voor behavioral targeting kan er namelijk een uitgebreid profiel van iemand opgesteld worden. Dit kan een vrij zware inbreuk op de privacy inhouden. Daar komt nog bij dat behavioral targeting niet de enige mogelijkheid van adverteren is er zijn manieren van adverteren die minder privacyschendend zijn. In een recente uitspraak van de Hoge Raad heeft deze nog eens benadrukt dat bij iedere verwerking van persoonsgegevens voldaan moet zijn aan de beginselen van proportionaliteit en subsidiariteit. De verantwoordelijke moet, op basis van de bij hem bekende gegevens, steeds een belangenafweging maken tussen het eigen belang en dat van de betrokkene. 50 De Hoge Raad zegt in overweging 3.3 dat de Wbp moet worden uitgelegd in overeenstemming met het bepaalde in art. 8 EVRM. Zoals hierboven al vermeld moeten de proportionaliteit en de subsidiariteit mee gewogen worden. De Hoge 46
Zuiderveen Borgesius 2011 CBPL.nl Home > lexicon > gerechtvaardigd belang 48 Barthold/Bondsrepubliek Duitsland, Markt intern verlag/ Bondsrepubliek Duitsland, par 31 49 o.a. in Lindqvist 50 HR 9 september 2011 47
16
Raad benadrukt ook dat er voor de verwerking van persoonsgegevens altijd een grondslag in de zin van artikel 8 Wbp moet zijn. Artikel 8 Wbp komt overeen met artikel 7 privacyrichtlijn. In alle rechtvaardigingsgronden van artikel 8 Wbp is de eis van noodzakelijkheid opgenomen. Hierdoor moet er eerst getoetst worden of er zich een grondslag van artikel 8 voordoet voor verwerking van persoonsgegevens en daarna of die verwerking in dat bepaalde geval noodzakelijk is. Dit betekent dat ook indien er bijvoorbeeld voldaan moet worden aan een wettelijke plicht er alsnog een belangenafweging dient plaats te vinden. Dit oogt in eerste instantie vreemd, aangezien het impliceert dat de Wpb in sommige gevallen voorgaat op andere wetten. Dit kan verklaart worden, omdat de verwerking van persoonsgegevens en de Wbp tegen het licht van artikel 8 EVRM moet worden gezien en grondrechten gaan in beginsel voor op nationale wetgeving. Een bepaling waaruit dit onder ander blijkt is artikel 94 GW. Een nadrukkelijke verwijzing naar artikel 8 EVRM in dit arrest had dit duidelijker gemaakt. § 2.3. Artikel 29 werkgroep over toestemming Deze opinie 51 gaat over het begrip “toestemming” die zowel in de privacy als in de eprivacyrichtlijn is genoemd. De werkgroep maakt duidelijk aan welke criteria toestemming moet voldoen en welke toestemming vereist is voor de verwerking van persoonsgegevens. Een toestemming is alleen geldig indien er sprake is van een wilsuiting van de betrokkene, die in vrijheid is gegeven, ziet op een specifieke gegevensverwerking en gebaseerd op informatie is. Er moet daadwerkelijk iets te kiezen zijn en het moet praktisch mogelijk zijn de toestemming in te trekken. Een toestemming die dus gegeven wordt, omdat anders niet van de dienst gebruik gemaakt kan worden is geen toestemming, veelal gebeurt dit met betrekking tot first party cookies. Ook moet het duidelijk zijn voor welke verwerking er toestemming wordt gevraagd en gegeven. De toestemming moet daarbij specifiek zijn, een alles omvattende toestemming zonder het exacte doel van de verwerking te verstrekken is niet acceptabel. De werkgroep is van mening dat een bij het plaatsten van cookies opt-in vereist is, dit is ook het vereiste van de e-privacyrichtlijn. Ook vind de werkgroep dat de toestemming niet voor onbepaalde tijd wordt gegevens en de verwerker zal dan ook moeten nagaan bij de gebruiker of deze nog steeds achter zijn toestemming staat. De artikel 29 werkgroep wil ook graag duidelijkheid geven over het begrip “ondubbelzinnige toestemming”, welke in artikel 7 onder a van de privacyrichtlijn te vinden is. Om deze toestemming te verkrijgen zijn mechanismen nodig waarbij er geen twijfel kan bestaan of de gebruiker de intentie had om te toestemming te geven. De werkgroep vermeld nog eens dat toestemming maar één van de zes potentiële grondslagen is waarbij een verwerking van persoonsgegevens gerechtvaardigd kan zijn. Andere grondslagen zijn bijvoorbeeld de uitvoering van een overeenkomst of een gerechtvaardigd belang, zoals een commercieel belang.
51
Werkgroep, WP 187
17
§ 2.5. BUDE Artikel 5 van de e-privacyrichtlijn is overgenomen in artikel 4.1 Besluit Universele Dienstverlening Eindgebruikerbelangen (BUDE): Een ieder die toegang wil tot randapparatuur van een gebruiker of daarop iets wil opslaan moet: a. op een duidelijke en nauwkeurige wijze informeren omtrent doeleinden waarvoor men toegang wenst te verkrijgen dan wel waarvoor men gegevens wenst op te slaan. b. Op voldoende kenbare wijze gelegenheid bieden de desbetreffende handeling te weigeren. Het bepaalde in het eerste lid is niet van toepassing, voor zover het de technische opslag of toegang tot gegevens betreft met als uitsluitend doel: a. De verzending van communicatie over een openbaar elektronsich communicatienetwerken uit te voeren of te vergemakkelijken, of b. De door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is. De uitzonderingen zijn wel iets anders geïmplementeerd, de gebruiker moet namelijk voorafgaand aan het plaatsen van een cookie op een duidelijke en nauwkeurige wijze geïnformeerd zijn omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan en op een voldoende kenbare wijze in de gelegenheid dient te zijn geweest om het cookie te weigeren. Het voorafgaande toestemmings- en informatievereiste gold dus al ten aanzien van cookies in Nederland en Nederland kende dus al een opt-in regime. § 2.6. Telecommunicatiewet Op dit moment is er een voorstel aangenomen in de Tweede Kamer om de Telecommunicatiewet (TW) te wijzigen en deze is nu aanhangig bij de Eerste Kamer. Dit wetsvoorstel gaat over netwerkneutraliteit, maar ook over de aanpak van cookies. De Richtlijn Burgerrechten wordt geïmplementeerd in artikel 11.7a van de TW. De eprivacyrichtlijn is hoofdzakelijk geïmplementeerd in hoofdstuk 11 TW, doch een uitzondering was gemaakt voor artikel 5 van de e-privacy richtlijn. De reden hiervoor was dat dit onderwerp nog onderzocht en bestudeerd werd. Hierdoor was besloten dit
18
artikel in de BUDE te plaatsen. In het nieuwe voorstel voor implementatie van de Richtlijn Burgerrechten wordt artikel 5 ook in hoofdstuk 11 van de TW geplaatst. De implementatie in Nederland loopt niet heel voorspoedig en eigenlijk had de richtlijn al op 25 mei geïmplementeerd moeten zijn. Een van de redenen voor de vertraging is de al eerder genoemde onduidelijkheid over overweging 66, een andere reden is dat het eerste voorontwerp een aantal bepalingen bevatte die niet in overeenstemming met de eprivacyrichtlijn waren. Er werd ondubbelzinnige toestemming vereist bij, onder andere het plaatsen van cookies. In de gewijzigde e-privacy richtlijn is slechts gewone toestemming vereist. Nederland vereiste een strengere toestemming dan noodzakelijk was. Daarbij moest de vereiste informatie vooraf aan de plaatsing van het cookie gegeven worden. In de nieuwe e-privacyrichtlijn wordt ook de mogelijkheid gegeven om deze informatie tijdens het plaatsen te verstrekken. 52 Tijdens het debat over dit voorstel werd er vooral gesproken over ondubbelzinnige toestemming, welke één van de mogelijke rechtvaardigingsgronden uit de privacyrichtlijn en Wbp is. Na overleg met branche en belangenorganisaties, die fel tegen ondubbelzinnige toestemming zijn, werd ervoor gekozen om gewone toestemming te vereisen. Ondubbelzinnige toestemming zou economische schade kunnen veroorzaken, een te rigoureus systeem kan het bestaande model op het internet schade berokkenen, en daarbij wordt het gebruiksgemak zeker niet behartigt. 53 Dit voorstel is gewijzigd door het amendement van Dam van Bemmel, waardoor er wel ondubbelzinnige toestemming is vereist bij het plaatsen van cookies. Dit amendement en het cookiedebat laten de grote vrees voor cookies. In het debat werd zelfs door iemand gepleit voor aanpak in het strafrecht, wat de grote vrees voor cookies doet weergeven. § 2.6.1. Toestemming Ondubbelzinnige toestemming kan inhouden dat er pop-up vensters verschijnen wanneer er cookies geplaatst worden. Geen enkele gebruiker zal hierop zitten te wachten. Deze manier komt de gebruikersvriendelijkheid totaal niet ten goede en het zou zelfs het gebruiksgemak van het internet kunnen schaden. In het geamendeerde wetsvoorstel wordt het niet toegestaan dat toestemming via de browser gegeven kan worden. Daarbij heeft de regering verklaard dat er een algemeen geldend principe is dat een overweging geen bindende rechtskracht heeft en niet kan worden aangevoerd om van de bepaling van een richtlijn af te wijken. Dit is opmerkelijk aangezien de regering zelf wel gemakkelijk van een bepaling van de richtlijn afwijkt. De Tweede Kamer is van mening dat de toestemming per website eenmalig gegeven kan worden, dit komt de gebruikersvriendelijkheid ten goede. Om te voldoen aan het informatievereiste moet er een link zijn die bijvoorbeeld naar de privacy policy verwijst. Deze link zal duidelijk en goed zichtbaar moeten zijn. Voor de wijziging van de e-privacyrichtlijn was het verplicht voor websites om gebruikers duidelijk te informeren over het gebruik van cookies. In de praktijk werd dit vaak gedaan door middel van een privacy policy. Na de wijziging is het noodzakelijk om vooraf toestemming te verwerven, dit kan dus niet via de privacy policy, terwijl informatie ook tijdens het plaatsen van het cookie mag geschieden. In het 52 53
Kool e.a. 2011 Kool e.a. 2011, p. 12
19
wetsvoorstel wordt het verplicht dat gebruikers worden geïnformeerd over het plaatsen van cookies, welke informatie die cookies doorspelen aan de plaaster van het cookie en aan eventuele andere websites. § 2.7. Wbp Bij de invoering van de Wbp kreeg deze niet veel aandacht, maar door veranderende technologieën en de toename van online verwerking van persoonsgegevens, met name de recente lekken hiervan, heeft deze wet meer belangstelling gekregen. De Nederlandse Wbp is gebaseerd op de privacyrichtlijn en komt hier ook grotendeels mee overeen. Indien door middel van cookies persoonsgegevens worden verwerkt op Nederlands grondgebied of met behulp van Nederlandse apparatuur dan geldt de Wbp. De Wbp geldt dus indien er gegevens worden verwerkt die een geïdentificeerde of identificeerbare natuurlijke persoon betreffen. Zoals al eerder vermeld gebeurt dit in veel gevallen, maar niet in alle gevallen, bij het plaatsen van cookies. Een persoon kan veelal door middel van een IP adres of andere gegevens met weinig moeite achterhaald worden. Een wetsvoorstel tot wijziging van de Wbp is aangenomen door de Tweede Kamer en deze is nu in behandeling bij de Eerste Kamer. Een belangrijke geplande wijziging is een bredere meldplicht datalekken, welke gebaseerd is op gewijzigde e-privacyrichtlijn. Zodra persoonlijke gegevens op straat komen te liggen, moet de verantwoordelijke voor deze gegevens dat in bepaalde gevallen melden. Zowel de persoon op wie de gegevens betrekking hebben als het CBP moet in kennis worden gesteld. Het wetsvoorstel bevat geen wijziging met betrekking tot artikel 8, welke van belang is voor het verwerken van persoonsgegevens en door het amendement ook voor het plaatsen van cookies. § 2.8. Onderscheid Volgens de artikel 29 werkgroep is artikel 5 lid 3 e-privacyrichtlijn een lex specialis van artikel 7 privacyrichtlijn. 54 maar de meningen zijn hierover verdeeld, anderen zeggen namelijk dat dit artikel een aanvulling op de privacyrichtlijn is. Cookies worden niet altijd geplaatst ten behoeve van behavioral targeting en deze techniek geschiedt niet altijd door middel van het plaatsen van cookies. De twee zaken dienen dan ook van elkaar te worden onderscheiden. Op het plaatsen van cookies zijn de e-privacyrichtlijn en de telecommunicatiewet van toepassing en op de verwerking van persoonsgegevens bij behavioral targeting zijn de privacy richtlijn en de Wpb van toepassing. Ditzelfde geldt ook voor de bevoegdheidsverdeling tussen de twee toezichthouders, OPTA en het CBP. 55 De vereisten van artikel 5 lid 3 e-Privacyrichtlijn zijn minimumvereisten, indien er bijvoorbeeld cookies worden geplaatst. Wanneer bij deze plaatsing en het lezen ervan persoonsgegevens van een gebruiker zijn betrokken dan gelden de extra vereisten van de privacy richtlijn.
54 55
Artikel 29 Werkgroep, WP 171, par 3.2.3. Kool e.a. 2011
20
3. Vergelijking § 3.1. Vergelijking met Europa In Engeland en Frankrijk is er voor gekozen om de richtlijn één op één te implementeren, waardoor gewone toestemming voldoende is. Indien het Nederlandse wetsvoorstel aangenomen wordt door de Eerste Kamer dan geldt er in Nederland een strengere eis voor, onder andere cookies dan de Europese richtlijn voorschrijft. Dit kan problemen opleveren met betrekking tot de concurrentiepositie van Nederland, aangezien in Nederland aan strengere eisen voldaan moet worden. Door de strengere eisen voor toestemming wordt Nederland buiten de Europese norm gesteld. Veel landen in Europa hebben de nieuwe regelgeving ook geïnterpreteerd op een manier waarbij toestemming via de browser aan de richtlijn voldoet. Veel lidstaten van de EU hebben dan ook tegenover de Europese Commissie verklaard dat zij browserinstellingen graag zien voldoen aan het toestemmingsvereiste. 56 Wel hebben de meeste landen de informatieverplichting aangescherpt door gebruik te maken van het cookie icoon voor third party cookies, dat duidelijke informatie verschaft bij het tonen van de advertentie. De belangenorganisaties, zoals de DDMA, evenals Eurocommissaris Kroes zijn van mening dat er een gebruiksvriendelijke regeling voor cookies moet komen, die geschikt is voor het internet. Dit kan via de browser in combinatie met zelfregulering, deze zelfregulering is inmiddels ontwikkeld in heel Europa. De Europese Commissie moedigt deze manier aan en ook de branche organisaties vinden dit de beste oplossing, zolang er maar duidelijke en begrijpelijke informatie is verstrekt. Ook in Nederland is met zelfregulering doorgegaan, ondanks het wetsvoorstel. Een cookie icoon wijst gebruikers op een digitaal volg-me-niet register. Bij dit register kan een gebruiker aangeven van welke (aangesloten) partijen deze gebruiker geen third party cookies wenst te ontvangen. Wie op het cookie icoon klikt wordt doorverwezen naar een volg-me-niet register, daarbij wordt het icoon gebruikt om gebruikers informatie te verschaffen over online advertenties die zijn gebaseerd op behavioral targeting. Het icoon kan, volgens het huidige wetsvoorstel, niet gebruikt worden om te voldoen aan de vereisten van toestemming die in Nederland zullen gaan gelden. 57 Volgens de Wbp kan toestemming ook uitgedrukt worden door middel van gedrag, dus in sommige gevallen ook door browserinstellingen. De voorwaarde is dat een gebruiker goed geïnformeerd wordt. Het Nederlandse voorstel lijkt dit uit te sluiten, terwijl in het amendement wel naar de Wbp verwezen wordt voor de toestemming, dit is dus tegenstrijdig.
56
/ 57 ivir p. 58
21
4. Consequenties § 4.1. Juridische consequenties Zoals hierboven vermeld is het Nederlandse wetsvoorstel strenger dan de rest van Europa en het wetsvoorstel breng dan ook grote consequenties met zich mee. In het wetsvoorstel wordt ieder gebruik van cookies verondersteld onder de nieuwe cookiewet te vallen. Het gebruik van slechts een IP adres, wat doorgaans niet als persoonsgegeven gezien wordt, zou dan al voldoende zijn om onder de wet te vallen. Indien een IP adres wel te herleiden is tot een persoon, doordat deze bijvoorbeeld gekoppeld is aan andere gegevens, dan is de Wbp van toepassing. Maar door het amendement is ook artikel 11.7a van de telecommunicatiewet van toepassing. Hetzelfde probleem zal ook gaan gelden met betrekking tot de bevoegdheidsverdeling van het CBP en de OPTA. De bepaling die dan ook vooral voor veel problemen zorgt is artikel 11.7a. De wet zal namelijk gaan gelden voor alle cookies, dus ook voor cookies die geen persoonsgegevens verzamelen. Hierdoor worden de vereisten van de Wbp, die alleen horen te gelden wanneer het persoonsgegevens betreft, ook toegepast op het verzamelen en/of verwerken van gegevens waarbij geen persoonsgegevens betrokken zijn. Dit betekent dat de Wbp een ruimer toepassingsbereik krijgt dan dat de wetgever voor ogen stond bij het opstellen en invoeren van de Wbp. Het amendement gaat dan ook uit van rechtens onjuiste opvattingen. Ten eerste gaat het amendement ervan uit dat er bij cookies altijd een verwerking van persoonsgegevens plaats vindt. In artikel 11.7a wordt namelijk verwezen naar de Wbp en naar de ondubbelzinnige toestemming uit de Wbp. Door deze opvatting moeten bij cookies altijd aan de strenge eisen van de Wbp voldaan zijn. Ook vind er een omkering van de bewijslast plaats, in artikel 11.7 a wordt het verwerken van gegevens door middel van cookies vermoedt een verwerking van persoonsgegevens te zijn in de zin van de Wbp, terwijl er in de Wbp totaal geen sprake is van dit vermoeden. Dit is ook terug te lezen in het amendement: “ook wanneer niet kan worden bewezen dat in strikte zin van het woord persoonsgegevens worden verzameld of verwerkt, worden de bedoelde handelingen aangemerkt als het verzamelen of verwerken van persoonsgegevens”. Indien een bedrijf cookies plaatst zal deze dus moeten bewijzen dat er geen persoonsgegevens verzameld worden door het bestaan van dit vermoeden. Bij de behandeling van het wetsvoorstel in de Eerste Kamer zijn er dan ook (terecht) kritische vragen hierover gesteld door het CDA. 58 Het geamendeerde artikel 11.7a gaat van nog een onjuiste opvatting uit. Indien er persoonsgegevens verzameld worden dan geeft de Wbp meerdere opties die dit legitiem maken, ondubbelzinnige toestemming is hier één van. Maar er zijn ook nog vijf andere rechtvaardigingsgronden, zoals het al eerder door de artikel 29 werkgroep genoemde gerechtvaardigd belang. De indieners gaan er onterecht van uit dat er altijd voor het verzamelen van cookies ondubbelzinnige toestemming vereist is. Toestemming kan ook op basis van de vijf andere rechtvaardigingsgronden. Ook wordt er door de artikel 29 werkgroep, alsmede de Hoge Raad in een recente uitspraak erop gewezen dat 58
Kamerstukken I, 32549
22
toestemming slechts een van de zes mogelijke rechtvaardigingsgronden is, waarvan de verwerking van persoonsgegevens gelegitimeerd kan zijn. Ondubbelzinnige toestemming is dus niet altijd vereist, het is ook mogelijk dat een andere grondslag zoals de uitvoering van een overeenkomst volstaat. Door het amendement moet het verwerken van cookies altijd gebeuren op basis van artikel 8 Wbp onder a, met ondubbelzinnige toestemming. De andere verwerkingsgronden volstaan niet meer en cookies zouden dus niet meer verwerkt kunnen worden op grond van artikel 8 onder b of onder f. Ook op dit punt worden er door het CDA bij de verdere behandeling van het wetsvoorstel vragen gesteld. De Wbp laat het toe om toestemming te geven via gedrag, dit sluit toestemming via (fijnmazigere) browsers niet uit, in het nieuwe voorstel is dit resoluut uitgesloten. Bij de nieuwe Nederlandse wetgeving is nog niet duidelijk in hoeverre kan worden volstaan met een eenmalige toestemming voor alle cookies die door middel van advertentienetwerken worden geplaatst. De artikel 29 werkgroep is wel van mening dat dit mogelijk moet zijn en in overweging 25 van de e-privacyrichtlijn is ook te lezen dat toestemming per domein gegeven kan worden. Indien dit bij de Nederlandse wetgeving niet zo blijkt te zijn zal deze ook in strijd zijn met de opinie van de artikel 29 werkgroep en de e-privacyrichtlijn. § 4.2. Andere consequenties Naast de juridische gevolgen zal de wet nog meer consequenties met zich mee brengen. Nederland komt in een slechtere concurrentiepositie door de strengere eisen. In de rest van Europa moet aan minder strenge eisen voldaan worden. Het internet is nu juist grenzeloos en één uniforme aanpak in de hele wereld, of in ieder geval in Europa, geniet de voorkeur. De cookiewet is dan ook in strijd met het principe van een interne markt en het komt het “level playing field” in Europa niet ten goede. Daarbij is het ook een behoorlijk lastenverzwaring voor de industrie in Nederland. Daarbij kan deze ontwikkeling ook juist in het nadeel van de privacy werken. Indien er voor alle gegevens ondubbelzinnige toestemming verkregen moet worden, is dit niet alleen een lastenverzwaring voor de industrie maar ook vervelend voor de gebruiker die iedere keer toestemming moet geven. De gebruiker zal veelal niet weten of de ondubbelzinnige toestemming wordt gegeven voor identificerende gegevens of andere niet identificerende gegevens. Het doet daarom afbreuk aan de bescherming van persoonsgegevens, nu er geen differentiatie meer is tussen deze gegevens en niet persoonsgegevens. Bij de behandeling van het wetsvoorstel in de Eerste Kamer zijn er ook zorgen geuit met betrekking tot dit onderwerp. Zo vraag het CDA zich af of Nederland niet in een geïsoleerde positie raakt, door de strengere regels in Nederland. Ook wijzen zij op het mogelijk concurrentienadeel dat Nederlandse bedrijven door dit voorstel kunnen krijgen. 59
59
Kamerstukken I, 32549
23
5. Het wetsvoorstel § 5.1. Is het geamendeerde wetsvoorstel in strijd met de Wbp? Indien er persoonsgegevens verzameld worden is de Wbp van toepassing, alsmede de gewijzigde cookiewet. In het amendement staat dat de cookieregels geen afbreuk doen aan de Wbp. Dit is begrijpelijk, maar hierdoor kunnen wel problemen ontstaan. Het grootste probleem is dat de verzamelde gegevens die gebruikt worden bij behavioral targeting vermoedt worden persoonsgegevens te zijn, waardoor twee wetten van toepassing zijn. Indien er via cookies tot een persoon herleidbare gegevens verwerkt worden dan geldt artikel 8 van de Wpb en ook artikel 11.7a TW. Volgens de Wbp kan de verwerking op basis van de zes grondslagen plaatsvinden die genoemd zijn in artikel 8. Volgens artikel 11.7 TW is de verwerking alleen gerechtvaardigd als deze gebaseerd is op ondubbelzinnige toestemming. Welk artikel gaat in dit geval voor? In het amendement wordt er ook een verkeerde uitleg aan het begrip persoonsgegevens gegeven, dit begrip is strijdig met het begrip in de Wbp, waar persoonsgegevens, gegevens zijn die tot een persoon herleidbaar zijn. Het wetsvoorstel ligt nu bij de Eerste Kamer die de wet nog moet beoordelen, de Eerste Kamer toetst op kwaliteit van wetgeving en eventuele strijd met Europese regels. Het moge duidelijk zijn dat de nieuwe cookiewet in strijd is met de Wbp, maar is deze ook in strijd met Europese regels. § 5.2. Is het wetsvoorstel in strijd met Europese regels? Indien de e-privacyrichtlijn volledige harmonisatie voorschrijft dan is het in Nederland niet toegestaan om van de richtlijn af te wijken. Volledige harmonisatie houdt namelijk in dat er in beginsel geen ruimte is om van de bepalingen van de richtlijn af te wijken. In artikel 1 lid 1 van de e-privacyrichtlijn is te lezen: ‘This Directive provides for the harmonisation of the national provisions required to ensure an equivalent level of protection of fundamental rights and freedoms, and in particular the right to privacy and confidentiality, with respect to the processing of personal data in the electronic communication sector and to ensure the free movement of such data and of electronic communication equipment and services in the Community.’ Gegevensbescherming in de EU heeft een sterke interne markt factor. Het vrije verkeer van persoonsgegevens moet gewaarborgd zijn tussen de lidstaten. Dit artikel gaat over de werkingssfeer en de doelstelling van de Richtlijn. De doelstelling van de richtlijn is dan ook het harmoniseren van het recht van lidstaten op dit punt, doch uit dit artikel kan niet gelezen worden dat de richtlijn volledige harmonisatie voorschrijft. In overweging 70 van de e-privacyrichtlijn wordt ook gesproken over harmonisatie met betrekking tot het “level playing field” in Europa, maar ook hieruit kan niet geconcludeerd worden dat de richtlijn
24
volledige harmonisatie voorschrijft. De adviescommissie van de Raad van State heeft wel geoordeeld dat richtlijn 2002/58 in overwegende mate strekt tot volledige harmonisatie. 60 Dit baseren zij op de gedachte dat de gewijzigde e-privacyrichtlijn gebaseerd is op artikel 95 van het EG-verdrag. De Nederlandse minister van economische zaken is ook van mening dat beide privacy richtlijnen volledige harmonisatie inhouden. 61 Maar de door de richtlijn beoogde harmonisatie is geen volledige. Op verschillende deelterreinen biedt de richtlijn de nationale wetgever een zekere vrijheid om de wetgeving naar eigen inzichten in de richten. Wel moet er worden gestreefd naar het verbeteren van de geboden beschermen. De harmonisatiedoelstelling moet dan ook gezien worden als een streven om de nationale privacywetten van lidstaten in overeenstemming met elkaar te brengen en dat er in deze lidstaten corresponderende verplichtingen bestaan inzake de bescherming van persoonsgegevens. De e-privacy richtlijn bevat dan ook geen volledige harmonisatie en het is lidstaten toegestaan verdergaande maatregelen te treffen. 62 De verderstrekkende maatregelen zijn op zichzelf niet in strijd met de richtlijn, toch strookt dit wetsvoorstel niet met de idee en doelstellingen van de e-privacyrichtlijn, met name niet met de idee van een interne markt. Daar komt nog bij dat Eurocommissaris Neelie Kroes heeft gezegd de ontwikkeling in Nederland nauwgezet in de gaten te houden. Zij is van mening dat gebruikers niet het slachtoffer moeten worden van doorgeslagen privacywetten. De pricacyrichtlijn schrijft volledige harmonisatie voor. 63 Dit is onder andere bepaald door het EHRM, 64 het hof oordeelde dat met richtlijn 95/46 volledige harmonisatie is beoogt, waarbij de op onderdelen bestaande beleidsvrijheid van lidstaten moet worden ingevuld overeenkomstig het doel ervan: de verzekering van evenwicht tussen het vrije verkeer van persoonsgegevens en de bescherming van de persoonlijke levenssfeer. Lidstaten zijn derhalve niet bevoegd om in wet- en regelgeving en de toepassing in een hoger beschermingsniveau te voorzien dan de richtlijn voorschrijft. Wel zijn de lidstaten in beginsel bevoegd om de werkingssfeer van de privacywetgeving op basis van richtlijn 95/46 uit te breiden tot niet onder het toepassingsbereik hiervan vallende gebieden. De richtlijn voorziet in een totaalharmonisatie met op onderdelen een zekere beleidsruimte voor de lidstaten, waarbij de invulling hiervan is gebonden aan het doel van de richtlijn. 65 De e-privacyrichtlijn heeft dan ook tot doel harmonisatie van regels in de lidstaten met betrekking tot gegevensverzameling, doch geen volledige harmonisatie. De privacyrichtlijn daarentegen schrijft wel volledige harmonisatie voor. De verwijzing naar de Wbp in artikel 11.7a en het onderkennen van de andere rechtvaardigingsgronden van artikel 8 66 bij het verwerken van persoonsgegevens, wat bij het gebruik van cookies een vermoeden is, strookt niet met elkaar. Het geamendeerde wetsvoorstel is dan ook in strijd met de privacyrichtlijn.
60
Advies van de Raad van State Kamerstukken II 32549 62 Kool e.a. 2011, p. 11 63 J.M.A. Berkvens 2007, p. 222 64 Lindqvist 65 Lindqvist r.o. 97 66 welke gebaseerd zijn op artikel 7 privacyrichtlijn 61
25
§ 5.3. Nieuwe technieken Het volgen van mensen over het internet kan ook op andere manieren gebeuren dan via cookies. Het probleem dat de cookiewetgeving tracht op te lossen is eigenlijk niet het fenomeen cookies zelf, maar het volgen van mensen op het internet en het gebruik van deze gegevens voor bijvoorbeeld behavioral targeting. Dit zijn twee activiteiten die de privacy kunnen schenden. Deze kunnen plaatsvinden via cookies maar dit hoeft niet per se. Het wetsvoorstel spreekt niet slechts over cookies, maar hierop wordt in het debat voornamelijk gesproken en op gericht. Het eigenlijke probleem wordt dan ook niet onontbeerlijk opgelost met deze wet, maar er wordt alleen een middel om mensen te volgen verboden. Op dit moment bestaan er ook al andere manieren om gericht te adverteren zoals contextual en semantic advertising. Deze zijn wellicht minder effectief en privacyschendend, maar ook hier worden gerichte advertenties getoond. Ook zijn er al andere manieren om mensen te volgen over het internet, zoals via browser fingerprinting. Fingerprint gegevens zijn voor het grootste gedeelte gegevens over wat er op een pc of laptop van een gebruiker aan instellingen, files, plug-ins etc. te vinden is. Bij fingerprinting worden deze gegevens vanuit het apparaat van de gebruiker gelezen. De vraag is nu of dit uitlezen van gegevens onder de wetgeving valt. In lid 1 van het amendement is te lezen dat een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker voorafgaande toestemming moet verkrijgen. Indien deze handeling tot doel heeft gegevens te kunnen verzamelen over het gebruik van verschillende diensten van de informatiemaatschappij door de abonnee of gebruiker dan wel het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of abonnee met elkaar in verband te kunnen brengen, dienst deze toestemming ondubbelzinnig te zijn. Bij fingerprinting worden er geen gegevens opgeslagen op het apparaat van de gebruiker, de gegevens die via fingerprinting verzameld worden, worden namelijk uitgelezen van het apparaat. Daarnaast is het artikel van toepassing als toegang verkregen wenst te worden tot gegevens die zijn opgeslagen op de randapparatuur. De gegevens die gelezen worden, zoals de instellingen staan opgeslagen op de randapparatuur van een gebruiker. Maar de gegevens die door middel van fingerprinting gelezen worden, worden uitgezonden door de pc van een gebruiker. De gegevens worden technisch gezien niet uit de randapparatuur gelezen, maar uit de berichten die de pc van de eindgebruiker verstuurd ven er wordt dan ook geen toegang tot de pc van een gebruiker verkregen. Bij fingerprinting wordt op basis van de gebruikte browser, de geinstalleerde plugings, de geaccepteerde talen, etc. een profiel aangemaakt dat in hoge mate uniek is. Het apparaat wordt gevolgd in plaats van een cookie, waardoor er niets verwijderd kan worden en het uitlezen kan dan ook net zo lang plaats vinden als dat het apparaat wekt. Doordat de informatie verzonden wordt door het apparaat van de gebruiker en er geen toegang tot het apparaat van de gebruiker nodig is valt deze techniek niet onder de nieuwe wet. Dit is dus een voorbeeld van een techniek die niet onder de nieuwe wet valt, maar die het wel mogelijk maakt om mensen te volgen op het internet. Het grote mankement van de wet, zowel de Europese als de Nederlandse, is dan ook dat deze techniek typerend opgesteld is en daardoor waarschijnlijk achter de feiten aan zal
26
lopen. Conclusie De e-privacywet heeft voor veel controverse gezorgd. Zo was (en is) niet geheel duidelijk hoe toestemming gegeven moet worden. Verschillende landen hebben de wet dan ook anders geïmplementeerd. In Nederland is gekozen voor een strenger model dan dat is voorgeschreven in de e-Privacy richtlijn. Ook is deze wet strenger dan in veel andere Europese landen. Indien de wet wordt aangenomen in de Eerste Kamer dan heeft Nederland dus als enige land een strikter regime met betrekking tot, onder andere, cookies. Dit staat haaks op het principe van een interne markt, zoals beoogd is met de eprivacyrichtlijn. Ook is het niet in overeenstemming met de eigenschappen, zoals de grenzeloosheid, van het internet. Het amendement is in strijd met de Wbp, doordat het van rechtens onjuiste opvattingen uitgaat. Zo staat er in de memorie van toelichting dat er ondubbelzinnige toestemming vereist is bij het plaatsen van cookies. Maar door de verwijzing naar de Wbp zou de verwerking ook op grond van de vijf andere rechtvaardigingsgronden plaats kunnen vinden. Ook is er een vermoeden dat er bij cookies altijd persoonsgegevens verzameld worden, deze is niet in de Wbp te vinden. Door dit vermoeden rust de bewijslast bij de verwerker die moet bewijzen dat er geen persoonlijke identificerende gegevens verzameld worden. Ook dit staat niet in de Wbp. Daarbij schrijft de privacy richtlijn volledige harmonisatie voor en door het betrekken van de ondubbelzinnige toestemming uit de Wbp is het amendement dan ook in strijd met de privacyrichtlijn. Een wet introduceren puur voor een methode en niet voor een doel is zinloos, vooral op een snel technisch veranderend terrein als het internet. Het is opmerkelijk dat er bij het wetsvoorstel voornamelijk over een bepaalde techniek gesproken werd en niet wat deze techniek doet. Het zou logischer zijn geweest als er gericht werd op het probleem. Behavioral targeting en het volgen van mensen op het internet is het daadwerkelijke probleem en deze worden niet aangepakt via deze wet. Er zijn nu al andere manieren beschikbaar om gericht te adverteren. Ook worden mensen al op andere manieren gevolgd op het internet via browser fingerprints. Het is natuurlijk zo dat de wet niet alleen voor cookies geldt, maar de wet geldt voor het plaatsen van of toegang krijgen tot gegevens op randapparatuur. De techniek van browser fingerprinting valt niet onder deze wet, omdat hierbij gegevens worden uitgelezen die door het apparaat van de gebruiker verzonden worden. De nieuwe wet schiet dan ook zijn doel voorbij en zal zeer waarschijnlijk achter de feiten aanlopen.
27
Bibliografie Literatuur Van der Sloot 2011 B. van der Sloot, “Het plaatsen van cookies ten behoeve van behavioural targeting vanuit privacyperspectief”, P&I Afl. april 2011, p. 62-70 Van der Sloot 2011 (2) B. van der Sloot, “ Je geld of je gegevens: de keuze tussen privacybescherming en gratis internetdiensten”, Nederlands Juristenblad 10 juni 2011 afl. 23, p. 1493-1496 Evans 2009 D. Evans, “The online advertising industry: Economics, Evolution and privacy”, Journal of Ecnomic Perspectives april 2009, http://ssrn.com/abstract=1376607 Willemsen 2001 E. Willemsen‚ “Big internet is watching you!” Nieuwstribune 18 2001 08 p.32 – 33. Tene 2008 O. Tene, “What Google Knows: Privacy and Internet search engines”, Utha Law Review 2008, p. 1433-1490 Zuiderveen Borgesius 2011 F. Zuiderveen Borgesius, “De nieuwe cookieregels: alwetende bedrijven en onwetende internetgebruikers?”, P&I, Afl 1 februari 2011, p. 2-11 Koeter 2009 J. Koeter, “ Behavioral targeting en privacy: een juridische verkenning van internet gedragsmarketing”, Tijdschrift voor internetrecht 2009, p. 104-111 Kool e.a. 2011 L. Kool e.a. “A bite too big: Dilemma’s bij de implementatie van de Cookiewet in Nederland”, TNO-rapport Rap nr 35473 28 februari 2011, p. 1-85 Roosendaal 2011 A. Roosendaal, “Facebook Tracks and traces everyone: Like this! Tilburg Law School Research Paper no. 03/2011 2011, http://ssrn.com/abstract=1717563 Hotaling 2008 A. Hotaling, “Protecting Personally Identifiable Information On the Internet: Notice and Consent in the Age of Behavioral Targeting”, Commlaw conspectus Volume 16 2008, p. 529-565 Schwartz 2007 28
A. Schwartz, “Consumer rights and protections in the behavioral advertising sector 2 2007, http://www.cdt.org/privacy/20071031consumerprotectionsbehavioral.pdf Rossler 2005 B. Rossler, The value of privacy, Cambridge: Polity press 2005 Solove 2009 D.J. Solove, Understanding Privacy, Cambridge: Harvard University press 2009 Picker 2009 R.C. Picker, “Online Advertising, Identity and Privacy:, law & Economics Working paper nr. 475, http://ssrn.com/abstract=1428065 Van der Sloot & Zuiderveen Borgesius 2010 B. van der Sloot & F.J. Zuiderveen Borgesius, “De amendementen van de Richtlijn Burgerrechten op de e-Privacyrichtlijn, P&I Afl. 4 2010, p. 162-172 Raynes-Goldie 2010 K. Raynes-Goldie , ‘Aliases, creeping, and wall cleaning: Understanding privacy in the age of Facebook’, First Monday, volume 15 (1-4) 4 januari 2010 Hofhuis 2006 Y. Hofhuis, Minimumharmonisatie in het Europees recht: vormen, begrip en gevolgen, Deventer: Kluwer 2006. Van Hoven van Genderen 2010 R. van hoven van Genderen, ‘Sociale netwerken, vloek of zegen? Algemene voorwaarden tot het gebruik van persoonlijke informatie,’ Computerrecht 2010, 71, p. 99. Barocas & Nissenbaum 2009 S. Barocas & H. Nissenbaum, “On notice: The trouble with Notice and Consent”, New York University 2009 http:www.nyu.edu/projects/nissenbaum Hoofnagel e.a. 2010 C.J. Hoofnagel e.a., ‘How Different are Young Adults from Older Adults When it Comes to Information Privacy Attitudes and Policies?’, 14 April 2010, <www.ssrn.com>, p. 13 Wetgeving Richtlijn2009/136/EG van het Europees Parlement van de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische communicatienetwerken en –diensten, PBEG L337 Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie van 12 juli 2002, PBEG L201/37
29
Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming, van 18 december 2009 Pb EG L337/11 Artikel 29 Werkgroep, “Opinion on online behavioral advertising”, WP 171, Brussel: 22 juni 2010 Artikel 29 Werkgroep, “Privacy op internet – Een geïntegreerde EU-aanpak van online gegevensbescherming”, WP 37, Brussel: 21 november 2000 Artikel 29 Werkgroep, “Advies 10/2004 over meer geharmoniseerde bepalingen inzake informatieverstrekking”, WP 100, Brussel: 25 november 2004 Artikel 29 Werkgroep, “The future of Privacy Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data”, WP 168, Brussel: 1 december 2009 Artikel 29 Werkgroep, “opionion 15/2011 on the definition of consent”, WP 187, Brussel: 13 July 2011 Jurisprudentie EHRM 6 november 2003, C-101/01 (Lindqvist) EHRM 25 maart 1985, ECHR Series A, 90 NJ 1987 (Barthold/Bondsrepubliek Duitsland) EHRM 20 novmeber 1989, ECHR Series A, 165, NJ 1991 (Markt intern verlag/ Bondsrepubliek Duitsland) HR 9 september 2011, RvdW 2011, 1064 Overige Kamerstukken II, 2010/11, 32549, nr 3 (memorie van toelichting) Kamerstukken I, 2010/11, 32549, B (voorlopig verslag van de vaste commissies voor economische zaken, landbouw en innovaite en voor de infrastructuur, milieu en ruimtelijke ordening)
30
