Recht doen aan privacyverklaringen

Recht doen aan privacyverklaringen

Een juridische analyse van privacyverklaringen op internet

Eric W. Verfielst

Kluwer - Deventer

2012

Inhoudsopgave

VOORWOORD LUST VAN AFKORTINGEN

XIII

1.

Inleiding

1

1.1 1.2 1.3 1.4 1.5

Inleiding Probleemstelling Opzet van het onderzoek Belang van het onderzoek Afbakening

1 4 5 6 8

2.

De informatieplicht en de privacyverklaring

9

2.1 2.2

2.3

Inleiding De infonnatieplicht van de verantwoordelijke 2.2.1 Artikelen 33 en 34 Wbp 2.2.2 ePrivacyrichtlijn 2.2.2.1 Informatieverstrekking en toestemmingsvereiste 2.2.2.2 Verhouding tussen de informatieplicht uit de Wbp en artikel 11.7a Telecommunicatiewet 2.2.3 Evaluatiestudies, onderzoeksrapporten en kabinetsstandpunten 2.2.4 Recapitulatie De privacyverklaring als instrument ter uitwerking van de informatieplicht 2.3.1 De kenbaarheid en de verschijningsvormen van een privacyverklaring 2.3.2 De inhoud van een privacyverklaring 2.3.3 Verplichtstellen van het gebruik van een privacyverklaring door een belangenorganisatie

9 9 9 16 16 27 28 42 43 45 45 52

Inhoudsopgave

2.4 2.5 2.6

Handhaving van de informatieplicht Rechtsmiddelen van de betrokkene Samenvatting en conclusies

55 57 58

3.

De privacyverklaring als overeenkomst

63

3.1 3.2

63

3.10

Inleiding De toelaatbaarheid van een overeenkomst die ziet op de verwerking van persoonsgegevens De inhoud van de privacyovereenkomst Wettelijk kader voor elektronisch contracteren De totstandkoming en naleving van de privacyovereenkomst Ontbinding 3.6.1 Ontbinding op grond van artikel 6:265 BW 3.6.2 Ontbinding wegens het door de verantwoordelijke niet voldoen aan de informatieplicht voorafgaand aan en ten tijde van de totstandkoming van de privacyovereenkomst 3.6.3 Ontbinding op grond van het niet bevestigen van de aanvaarding van de betrokkene 3.6.4 Ontbinding ten gevolge van het intrekken ondubbelzinnige toestemming Vernietiging en nietigheid van de privacyovereenkomst 3.7.1 Vernietiging wegens het door de verantwoordelijke niet voldoen aan de informatieplicht 3.7.2 Vernietiging van de privacyovereenkomst op grond van dwaling 3.7.3 Vernietiging op grond van artikel 6:248 BW 3.7.4 Nietigheid wegens het ontbreken van ondubbelzinnige toesternming Schadevergoeding De privacyverklaring als elektronische algemene privacyvoorwaarden Conclusie

4.

Empirisch onderzoek onder online winkels

4.1 4.2

Inleiding De keuze voor de online segmenten Verzekeringen, Reizen en Kleding 4.2.1 Omvang van de te verstrekken persoonsgegevens

3.3 3.4 3.5 3.6

3.7

3.8 3.9

64 67 70 72 75 75

76 78 79 80 80 82 83 83 84 85 89

91 91 92

Inhoudsopgave

4.2.2 Verstrekking van gevoelige persoonsgegevens 4.2.3 De mate van georganiseerdheid en 4.3 De selectie van de online winkels 4.4 Vragenlijst 4.5 Statistische toets 4.6 Onderzoeksperiode 4.7 De aanwezigheid, vorm en kenbaarheid van de privacyverklaring De aanwezigheid van de privacyverklaring 4.7.2 De vorm van de privacyverklaring 4.7.3 De kenbaarheid van de privacyverklaring 4.7.4 Mogelijkheid tot opslaan van de privacyverklaring 4.8 De inhoud van de privacyverklaring: verplichte elementen identiteit en doel van de verwerking 4.8.1 Verplicht element: identiteit van de verantwoordelijke 4.8.2 Verplicht element: doel van de verwerking 4.9 De inhoud van de privacyverklaring: passieve informatieplicht 4.10 De inhoud van de privacyverklaring: nadere informatie als waarborg voor een behoorlijke en zorgvuldige verwerking 4.10.1 Inleiding Erkenning van het privacybelang van de betrokkene 4.10.3 Verwijzing naar de informatieplicht uit de Wbp Het fysieke en elektronische adres van de verantwoordelijke 4.10.5 Verwerking van bijzondere gegevens 4.10.6 Verplichte of facultatieve verstrekking van persoonsgegevens 4.10.7 Categorieën van ontvangers 4.10.8 Bewaartermijnen 4.10.9 Beveiligingsmaatregelen College bescherming persoonsgegevens en Functionaris voor de Contactpersonen in verband met de uitoefening van rechten of het hebben van vragen 4.10.12 Verstrekking van persoonsgegevens aan derden 4.10.13 Gebruik van 4.10.14 Betrokkenheid derden bij de totstandkoming van de privacyverklaring Gebondenheid aan gedragscode 4.10.16 Akkoordverklaring en toestemming 4.10.17 (Rechts)maatregelen 4.10.18 Wijziging van de privacyverklaring

[X

93 94 96 98 99 99 99 99 100 101 103

103 104 105

106 107 107 108 108 109 109

112 114

119 120

Inhoudsopgave

4.11

De privacyverklaring en elektronische algemene voorwaarden Elektronische algemene voorwaarden Identiteit en doel van de verwerking in elektronische algemene voorwaarden of elders op de website 4.12 Lidmaatschap van een belangenorganisatie 4.12.1 Lidmaatschap: Segment Verzekeringen Conclusie met betrekking tot het segment Verzekeringen 4.12.2 Lidmaatschap: Segment Reizen 4.12.2.1 Conclusie met betrekking tot het segment Reizen 4.12.3 Lidmaatschap: Segment Kleding 4.12.3.1 Conclusie met betrekking tot het segment Kleding 4.13 Systematische samenvatting en conclusies ten aanzien van het empirisch onderzoek Systematische samenvatting 4.13.2 Conclusies met betrekking tot verschillen tussen de segmenten Verzekeringen, Reizen en Kleding 4.13.3 Conclusie 5.

5.1 5.2 5.3

5.4 5.5 5.6

De privacyverklaring in het licht van transparantie en accountability Inleiding Knelpunten en discussie met betrekking tot het gebruik van de privacyverklaring Transparantie in relatie tot de privacyverklaring 5.3.1 De aanwezigheid van de privacyverklaring 5.3.2 De naamgeving, traceerbaarheid en de toegankelijkheid van de privacyverklaring 5.3.3 De vorm van de privacyverklaring 5.3.4 De leesbaarheid en begrijpelijkheid van de privacyverklaring Initiatieven ter bevordering van de transparantie van privacyverklaringen Accountability Conclusies

121

123 125 125 128 128 130 130 132 132 132 135 138

141 141 141 147

149 149 155 161 167

Inhoudsopgave

XI

6.

De privacyverklaring als

169

6.1 6.2 6.3

169

6.4

Inleiding De keuze tussen overheidsregulering en zelfregulering De gestandaardiseerde sectorale privacyverklaring als zelfreguleringsinstrument 6.3.1 De informatieplicht uit de Wbp: wettelijk geconditioneerde 6.3.2 De vorm en inhoud van het zelfreguleringsinstrument privacyverklaring 6.3.3 Binding van belanghebbenden aan zelfregulering 6.3.4 De rechtspositie van de betrokkene 6.3.5 Gebondenheid van branchegenoot die geen lid is van een brancheorganisatie 6.3.6 De positie van de Consumentenbond en de overheid 6.3.7 Toezicht en handhaving Afronding: aanbevelingen en ambitie

7.

Conclusies in kort bestek

193

7.1 7.2

Inleiding Conclusie ten aanzien van de juridische status van een online privacyverklaring Conclusie ten aanzien van vorm en inhoud van de online privacyverklaring in de praktijk Conclusie ten aanzien van het nader sturen op vorm, inhoud en het gebruik van een online privacyverklaring, mede met het oog op ontwikkelingen op EU-niveau

193

7.3 7.4

Summary Bijlage Al: Overzicht online verzekeraars Bijlage A2: Overzicht online Bijlage A3: Overzicht online kledingwinkels Bijlage B: Vragenlijst empirisch onderzoek Bijlage Cl: Tabellen segment verzekeringen Bijlage C2: Tabellen segment verzekeringen Bijlage C3: Tabellen segment verzekeringen Bijlage D: Tabellen Stichting Centraal Informatie Systeem Bijlage El: Tabellen segment reizen Bijlage E2: Tabellen segment reizen Bijlage E3: Tabellen segment reizen

178

182

187 189

193

199

219 223 227 229 235 237 239 243

XII

Bijlage F: Tabellen segment kleding Bijlage G: Web-based financial privacy notice Bijlage H: Model privacyverklaring Kelly et al. Bibliografie

247 251 253 255