De totstandkoming en naleving van de privacyovereenkomst

Ten aanzien van op elektronische wijze gesloten overeenkomsten geldt de ‘normale’ hoofdregel van artikel 6:217 lid 1 BW: een overeenkomst komt tot stand door een aanbod en de aanvaarding daarvan.³²³ Holleman stelt dat een privacystatement een verklaring van de aanbieder van de website inhoudt over de wijze waarop hij omgaat met de persoonsgegevens. Deze verklaring is volgens Holleman niet vrijblijvend van aard, aangezien de aanbieder met die verklaring beoogt kenbaar te maken dat hij zich aan het door hem toegezegd gedrag zal houden, anders gezegd zich tot dat gedrag verplicht. “Een dergelijke verklaring is slechts niet vrijblijvend indien zij rechtens kan worden afgedwongen, en daarmee kan de privacystatement worden gekarakteriseerd als een verklaring met een beoogd rechtsgevolg. Het is derhalve een rechtshandeling zoals bedoeld in art. 3:33 BW, omdat het een op een rechtsgevolg gerichte wil bevat die zich door een verklaring heeft geopenbaard in de vorm van een aanbod”.³²⁴ Verklaringen dienen om de wil van partijen te uiten. Daarbij tekende de Nota Wetgeving voor de elektronische snelweg in 1998 aan dat de wil in het elektronische rechtsverkeer dezelfde rol kan vervullen als in de huidige situatie, omdat het gaat om de geestesgesteldheid van degene die een bepaalde rechtshandeling wil verrichten, hetgeen uiteraard niet aan het gebruik van een bepaalde communicatietechniek is gebonden.³²⁵ Een verklaring heeft werking vanaf het moment waarop zij degene, tot wie

In paragraaf 3.6.2 wordt duidelijk dat de informatieplicht die volgt uit artikel 6:227b BW niet in alle gevallen geheel of gedeeltelijk door de verantwoordelijke behoeft te worden nagekomen.

322

Deze informatieplichten zijn in Boek 7 opgenomen ter implementatie van de Europese richtlijn Overeenkomsten op afstand.

323

In dit onderzoek wordt ervan uitgegaan dat zowel het aanbod van de verantwoordelijke in de vorm van de privacyverklaring als de aanvaarding daarvan door de betrokkene op elektronische weg wordt uitgebracht.

324

Holleman 2005, p. 168.

325

78

zij gericht is, heeft bereikt, aldus artikel 3:37 lid 3 BW. Indien een verklaring niet tot een bepaald persoon gericht is, werkt deze verklaring reeds vanaf het moment der wilsuiting. Het aanbod van de verantwoordelijke geldt derhalve op het moment dat hij de privacyverklaring op zijn website plaatst.

Naar de opvatting van Holleman vindt aanvaarding van de privacyverklaring plaats zodra de betrokkene zijn persoonsgegevens intypt.³²⁶ Het is echter de vraag of het verstrekken van persoonsgegevens wel mag worden opgevat als een aanvaarding van de privacyverklaring. In navolging van Van Esch en Blok ben ik echter van mening dat dit niet het geval is.³²⁷ In zowel het BW als in de MvT van de Aanpassingswet Richtlijn inzake Elektronische handel wordt niet verduidelijkt welke feitelijke handeling(en) de betrokkene moet verrichten om een aanbod op elektronische wijze te aanvaarden. In de praktijk dient de betrokkene met betrekking tot een aankoop via een website veelal, na het bestelproces te hebben doorlopen, op een button te klikken.³²⁸ In paragraaf 3.3 is reeds aangekaart dat een grondslag voor het mogen verwerken van persoonsgegevens is gelegen in het verstrekken van ‘ondubbelzinnige toestemming’.³²⁹ De Groep Gegevensbescherming stelt dat de betrokkene in een online omgeving zijn ondubbelzinnige toestemming kan geven via het aanvinken van een ‘tick box’ op de website van de verantwoordelijke.³³⁰ Met betrekking tot de aanvaarding van de privacyverklaring, en daarmee de totstandkoming van de privacyovereenkomst, zouden de verantwoordelijke en de betrokkene mijns inziens de navolgende procedure moeten doorlopen:

1. De verantwoordelijke moet aan de betrokkene de mogelijkheid bieden om de privacyverklaring te kunnen lezen.

2. Onderaan de privacyverklaring is een ‘tick box’ weergegeven die de betrokkene dient aan te vinken waarmee hij verklaart dat hij de privacyovereenkomst heeft gelezen. Indien de betrokkene aan de hand van de privacyovereenkomst zijn ondubbelzinnige toestemming wil verlenen ten behoeve van een bepaalde verwerking, is het aan te bevelen dat de betrokkene tevens verklaart dat hij met het aanvinken van de tick box zijn ondubbelzinnige toestemming verstrekt ten aanzien van die verwerking.

3. Nadat de betrokkene de ‘tick box’ heeft aangevinkt, verschijnt er een button waarop hij dient te klikken indien hij de privacyovereenkomst wil aanvaarden.

Holleman 2005, p. 168.

327 Van Esch & Blok, p. 221.

328

De naamgeving aan de button is in de praktijk divers. Enkele voorbeelden zijn “bestel”, “accepteer” en “klik hier voor de definitieve bestelling”.

329

Respectievelijk artikel 8 sub a Wbp en artikel 23 lid 1 sub a Wbp.

330

Groep Gegevensbescherming Artikel 29-2011, p. 22. “Ticking the box after having received relevant information would constitute express, unambiguous consent as the action of ticking the box is clear enough to leave no doubt as to the individual's wish to be enrolled in the loyalty programme”. Zie over het gebruik van een tick box bijvoorbeeld het arrest van het Gerechtshof ’s-Hertogenbosch 22 maart 2011 (LJN: BP9625).

79

Hoewel deze aanvaardingsprocedure vanuit het perspectief van rechtszekerheid de ogenschijnlijk noodzakelijke waarborgen met zich mee brengt, blijft het de vraag of daarmee de aanvaarding vanuit juridisch oogpunt onaantastbaar wordt. De betrokkene verklaart weliswaar dat hij de privacyovereenkomst heeft gelezen, maar is dat ook feitelijk het geval? Het is algemeen bekend dat websitebezoekers veelal ter acceptatie van voorwaarden op een button klikken of een tick box aanvinken zonder die voorwaarden daadwerkelijk gelezen te hebben. Zelfs al zou de betrokkene in dit geval de privacyovereenkomst hebben gelezen, is het dan realistisch om te veronderstellen dat hij deze ook daadwerkelijk heeft begrepen? Anders gezegd, mag er van de betrokkene worden verwacht dat hij de omvang en consequenties overziet indien zijn persoonsgegevens worden verwerkt conform de privacyovereenkomst?³³¹ Aspecten als leesbaarheid en begrijpelijkheid van de privacyovereenkomst, die in feite neerkomen op de mate waarin transparantie richting de betrokkene wordt betracht, spelen daarbij een belangrijke rol.³³² De betrokkene zou zich in geval van een ‘niet-leesbare’ of ‘niet-begrijpelijke’ privacyovereenkomst mogelijk kunnen beroepen op dwaling.³³³ De rechtsgeldigheid van de aanvaarding kan tevens worden betwist indien de verantwoordelijke de ‘take it or leave it’ methode hanteert. De betrokkene

moet in dat geval de privacyverklaring aanvaarden, wil hij tot de aankoop van een product

kunnen overgaan.

Op grond van artikel 3:37 lid 3 BW zou de privacyovereenkomst tussen de verantwoordelijke en betrokkene tot stand komen op het moment dat de verklaring van de betrokkene de verantwoordelijke heeft bereikt. Voor een aanvaarding – in vervolg op een via elektronische weg uitgebracht aanbod – die langs elektronische weg wordt uitgebracht geldt echter de bepaling van artikel 6:227c lid 3 BW. In dit artikel is bepaald dat een dergelijke aanvaarding wordt geacht te zijn ontvangen indien deze toegankelijk is voor de partij tot wie deze is gericht. De privacyovereenkomst tussen de verantwoordelijke en de betrokkene komt derhalve tot stand op het moment dat de verklaring van de betrokkene, zijnde de aanvaarding van het aanbod van de verantwoordelijke, toegankelijk is geworden voor de verantwoordelijke.

Holleman is van mening dat de privacyovereenkomst die tussen de verantwoordelijke en de betrokkene tot stand komt kan worden gekwalificeerd als een eenzijdige overeenkomst.³³⁴ Dit is juist voor zover de betrokkene op grond van de privacyovereenkomst geen verplichtingen op zich heeft genomen.³³⁵ Het begrip eenzijdige overeenkomst wordt niet in het BW als zodanig gedefinieerd maar kan worden afgeleid uit artikel 6:261 lid 1 BW dat ziet

Vergelijk Van der Sloot 2010, p. 108.

332 In hoofdstuk 5 komt dit aspect nader aan de orde.

333

In paragraaf 3.7.2 komt dit nader aan de orde.

334

Holleman 2005, p. 168.

335

80

op de wederkerige overeenkomst. Overeenkomsten die niet wederkerig zijn, zijn eenzijdig.³³⁶ De kern van een wederkerige overeenkomst is gelegen in het ruilkarakter waarbij ieder van de betrokken partijen een verbintenis op zich neemt ter verkrijging van een prestatie die wordt geleverd door de andere partij.³³⁷

Indien de verantwoordelijke zijn verplichtingen uit hoofde van de privacyovereenkomst niet nakomt is sprake van een tekortkoming in de nakoming van de overeenkomst. De betrokkene heeft in dat geval de mogelijkheid op grond van artikel 3:296 lid 1 BW een vordering tot nakoming van de privacyovereenkomst in te stellen.³³⁸ In de volgende paragrafen wordt besproken welke andere rechtsmaatregelen ter beschikking staan aan de betrokkene indien de verantwoordelijke zich niet houdt aan verplichtingen die hij door middel van de privacyovereenkomst op zich heeft genomen.³³⁹ Daarbij dient te worden aangetekend dat de bespreking is gebaseerd op het strikt juridische regime, maar dat de feitelijke praktijk een heel andere realiteit kan tonen.