I. Handhaving
Nederland Verenigde Staten
Toezichthoudende autoriteit Autoriteit Persoonsgegevens Federal Trade Commission
Onderzoeksbevoegdheid Ambtshalve of op verzoek
belanghebbende (art. 60 Wbp) De Autoriteit Persoonsgegevens kan handhaven ‘bij vermoeden
ernstige overtreding van de wet (Wbp) die structureel van aard zijn
en veel mensen treffen.’290
Zelfstandig of op basis klacht
De FTC kan handhaven wanneer het ´reason to believe that any such
person, partnership, or corporation has been or is using any unfair method of competition or unfair or deceptive act or practice in or affecting commerce’ heeft en ‘if it shall appear to the Commission that a proceeding by it in respect thereof would be to the interest of
the public’.291
Handhaving Beperkt door beperkte
bevoegdheden, ervaring en middelen.292
Beperkt, gemiddeld 40 algemene privacy zaken per jaar, vanwege beperkte bevoegdheden, ervaring en middelen.
Voldoende middelen Beperkte mogelijkheden vanwege
beperkt budget en mankracht.
Beperkte middelen;293 relatief kleine hoeveelheid personeel en beperkt budget.
Informatievoorziening (als middel voor naleving)
Publiceren beleidsregels, zienswijzen en
informatieverstrekking via website en spreekuren, publicatie jaarverslag.
Organiseren workshops als primaire tactiek in privacy294
Handhavingsinstrumenten Bestuurlijke boete (ex art. 66 Wbp)
Last onder dwangsom (ex art. 65 Wbp en 5:32 Awb)
Geen zelfstandige
handhavingsinstrumenten. Via rechter kunnen concrete sancties opgelegd worden, zoals boetes.
FTC kan in geval van overtreding met overtreder schikken en afspraken in consent agreement vastleggen waarbij partijen langdurige afspraken aangaan. Bevoegdheid tot opleggen boetes Bestuurlijke boetes kunnen
worden opgelegd nadat een bindende aanwijzing is gegeven (art 66 lid 3)
Geen algemene bevoegdheid opleggen boetes: - via rechter - specifieke grondslag in wetgeving295 290
Website Autoriteit Persoonsgegevens.
291
15 U.S.C. §45(b).
292 Kannekens, van Eijk 2016, p.108. 293
Hoofnagle 2016, p. 335; Solove, Hartzog 2014, p. 605, 609.
294
Hoofnagle 2016, p.100.
68
Als sprake is van een overtreding van de Wbp die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen.
Wanneer er boetes opgelegd worden zijn deze niet hoog, omdat de boetes evenredig moeten zijn aan het bedrag van
consumer loss.296
De FTC kan de rechter tevens verzoeken om een boete op te leggen wanneer bedrijf oneerlijk of misleidend handelt na consent agreement.
Handhaving gericht op preventie en gedragsverandering
Last onder dwangsom waarbij een termijn aan de verantwoordelijke dient te worden gegund om zelf de overtreding ongedaan te maken.
Boetes kunnen pas na bindende aanwijzing opgelegd worden. De bindende aanwijzing heeft tot gevolg dat een verantwoordelijke zijn gedrag dient aan te passen.
Doel van FTC is het voorkomen van schendingen van de FTC Act, waardoor het ook zaken kan aandragen waarbij er nog geen sprake is van opzet om te misleiden of consument te schaden.297
Consent agreements zijn gericht op
het bewerkstelligen van gedragsverandering298
Precedentwerking AP beschikkingen hebben geen
precedentwerking, maar het AP handelt in overeenstemming met eerdere besluiten en poogt jaarthema’s over langere termijn voort te zetten, deze ook verder te ontwikkelen.
FTC consent agreements hebben technisch gezien geen
precedentwerking, maar de FTC handelt consistent met eerdere besluiten waardoor er
precedentwerking aan de besluiten toegekend kan worden.299
Praktijk AP beschikkingen worden door
praktijk gelezen en in de gaten gehouden.
Consent agreements door praktijk
gelezen en geanalyseerd om advies te kunnen geven aan cliënten om gedrag aan te passen of om best practices uit op te maken.300
II. Effectiviteit handhaving
Nederland - Autoriteit Persoonsgegevens
Verenigde Staten - Federal Trade Commission
Effect Autoriteit Persoonsgegevens
enigszins tandloze tijger door geen bevoegdheid tot opleggen directe sancties.
Maatregelen gericht op gedragsverandering.
Actieve opstelling AP: stelt zelf
Federal Trade Commission ontbreekt de algemene
bevoegdheid om directe sancties op te leggen.
Consent agreements bereiken over
het algemeen de voorpagina’s van de kranten en leveren veel slechte publiciteit voor de bedrijven op die
296
Solove, Hartzog 2014, p. 605.
297 Hoofnagle 2016, p.99. 298
E Kannekens, van Eijk 2016, p.104.
299
Solove, Hartzog 2014, 620.
69
onderzoeken in regelmatig. Beperkte capaciteit waardoor veel overtredingen niet gehandhaafd worden.
overtredingen maken. - Reputatie schade - Verlies
consumentenvertrouwen Mogelijk effectiever dan hoge boetes.301
Beperkte capaciteit waardoor veel overtredingen niet gehandhaafd worden.
Pluspunten effectiviteit handhaving
1. Boetebedrag verhoogd en zal onder Avg nog hoger worden; 2. Preventieve werking boete (als afschrikmiddel); 3. Naamswijziging van College bescherming persoonsgegevens naar Autoriteit Persoonsgegevens; 1. Consent agreements in praktijk als belangrijk beschouwd en in overeenstemming gehandeld;
2. Consent agreements vaak van lange duur –
afschrikwekkende werking voor bedrijven: het auditing proces voor een duur van 20 jaar is iets wat bedrijven proberen te vermijden; 3. Bedrijven schikken graag
om reputatieschade te voorkomen en lange procedures. Met de
consent agreement gaan
zij langdurige verplichtingen aan gericht op
gedragsverandering. 4. Veel publiciteit voor
zaken. Minpunten effectiviteit
handhaving
1. Bindende aanwijzing vereist voor opleggen boete
2. Beperkte middelen 3. Klein deel overtredingen
kan worden gehandhaafd
1. Nauwelijks boetes en geen hoge bedragen 2. Beperkte middelen 3. Klein deel overtredingen
wordt gehandhaafd + zaken met grotere ‘winkans’
70
III. Effectiviteit van handhaving ten aanzien van retail tracking0 zaken
Nederland – Autoriteit Persoonsgegevens
Verenigde Staten – Federal Trade Commission
Retail tracking aanbieders onderzoeken
Bluetrace
Privacy beleid aangepast waaronder: - bewaartermijnen
- informatievoorzieningen
Nomi
- Opt-out in winkel verandert op website - Gestopt MAC adres retail
tracking technologie aan te bieden aan nieuwe klanten
- Overgenomen door Point Grey
Markt Nog op grote schaal toegepast.
Recentelijk door AP weer gewezen op eisen, dus nog te vroeg om de gevolgen hiervan te overzien.
Nog op grote schaal toegepast.
Toekomstige handhaving AP heeft aangeven om te gaan
handhaven als zij overtredingen van de Wbp op het gebied van retail tracking vaststellen.
De FTC heeft zich nog niet verder uitgelaten over retail tracking. Common law of privacy (FTC): Nomi was de eerste brick and mortar tracking case. De vraag is of de eisen en handhaving zich nog verder gaan ontwikkelen op dit gebied. FTC heeft wel nadrukkelijk aangegeven dat het in beginsel is toegestaan en opt- out mogelijkheid niet vereist is.
71
Bibliografie
A. Rechtspraak Nederland
Rechtbank Den Haag, 2 april 2010, ECLI:NL:RBSGR:2010:BM1481.
Gerechtshof Arnhem-Leeuwarden, 24 november 2014, ECLI:NL:GHARL:2014:9050,
(medeplichtigheid aan moord op sportschoolhouders Almere). Verenigde Staten
SCOTUS, States v. Jones, nummer 10-1259, 23 januari 2012, link.
SCOTUS, Riley v. California, nummer 13-132, 25 juni 2014, link.
B. Literatuur ABN AMRO 2016
ABN AMRO, Big data in de retail bezien vanuit een klantenperspectief, rapport, februari 2016,
link.
Artikel 29-werkgroep, 4/2007
Artikel 29-werkgroep, WP 136, Advies 4/2007 over het begrip persoonsgegevens, 20 juni 2007. Artikel 29-werkgroep, 1/2010
Artikel 29-werkgroep, WP 169, Advies 1/2010 over de begrippen verantwoordelijke en
bewerker, 16 februari 2010.
Artikel 29-werkgroep 13/2011
Artikel 29-werkgroep, WP 185, Advies 13/2011 over geolocatiediensten op slimme mobiele
apparaten, 16 mei 2011.
Autoriteit Persoonsgegevens, Jaarverslag 2015
Autoriteit Persoonsgegevens, Jaarverslag 2015, 31 december 2015, link.
Autoriteit Persoonsgegevens, Bijlage jaarverslag 2015
Autoriteit Persoonsgegevens, Bijlage jaarverslag 2015, 31 december 2015, link.
Autoriteit Persoonsgegevens, Bluetrace-rapport 2015
Autoriteit Persoonsgegevens, Wifi-tracking van mobiele apparaten in en rond winkels door
Bluetrace, Rapport definitieve bevindingen, 13 oktober 2015 link. Autoriteit Persoonsgegevens, Google Street View-rapport 2010
Autoriteit Persoonsgegevens, zaak z2010-00582, Rapport definitieve bevindingen inzake
72
Autoriteit Persoonsgegevens, brief Detailhandel 2016
Autoriteit Persoonsgegevens, Wifi-tracking en de Wet bescherming persoonsgegevens, brief
aan Detailhandel Nederland, 15 juni 2016, link.
Bamberger, Mulligan 2010
K. Bamberger, D.K. Mulligan, Privacy on the books and on the ground, 63 Stanford Law Review, p. 247-314, 2010.
Beales, Freemdan, Vladeck, Cooper 2015
J. Beales III, D.R. Freeman Jr., D.C. Vladeck, J.C. Cooper, Panel discussion: Nomi, Spokeo,
and privacy harms, Briefing on Nomi, Spokeo and privacy harms, event, George Mason
University School of Law, 12 november 2015, link.
Bygrave 2014
L.A. Bygrave, Data Protection Law, an international perspective, Oxford University Press, 2014.
CDT 2011
CDT, statement of J. Brookman before the Senate Judiciary Committee Subcommittee on Privacy, Technology and the Law, Hearing on “protecting mobile privacy: your smartphones,
tablets, cell phones and your privacy”, 10 mei 2011.
CDT 2014
CDT, Comments after February 2014 workshop on mobile device tracking (FTC), 19 maart 2014, link.
Culnan, Bies 2003
M.J. Culnan, R.J. Bies, Consumer privacy: balancing economic and justice considerations., 59 J.
Social Issues, 323-332, 2003, link.
Clifford, Hardjuly 2013
S. Cliffford, Q. Hardjuly, NYtimes, Attention, Shoppers: store is tracking you cell, 14 juli 2013
link.
Demir 2013
L. Demir. Wi-Fi tracking: what about privacy. Mobile Computing. 2013.<hal-00859013> link.
Van Eijk 2016/1072
N.A.M.N. van Eijk, Normatief toetsingskader voor gegevensverwerking, NJB 2016/1072, 31 mei 2016.
Finch 2013
K. Finch, IAPP, Location tracking: now coming to a government, employer and retailer near
73
Franken 2013
A. Franken, Sen. Franken presses Tech Firm to stop tracking consumers without their
permission, 13 maart, 2013, link. FTC Unfairness 1980
FTC, Policy statement on unfairness, 17 december 1980. FTC Deception 1984
FTC, Policy statement on deception, 14 oktober 1984. FTC staff report 2010
FTC, Protecting consumer privacy in an era of rapid change, a proposed framework for
businesses and policymakers, preliminary staff report, december 2010.
FTC staff report 2012
FTC Staff report, Protecting Consumer Privacy in an Era of Rapid Change, recommendations
for businesses and policymakers, maart 2012.
FTC press release 2013
FTC, Press release, FTC to host spring seminars on emerging consumer privacy issues, 2
december 2013, link.
FTC Mobile Device Tracking 2014
FTC, Mobile Device Tracking, Spring Privacy Series, 19 februari 2014, link.
FTC Nomi 2015
FTC, File no. 132 3251, Nomi Technologies, Inc.; Analysis of Proposed Consent Order to Aid
Public Comment, Federal Register, Vol. 80, No. 84, 1 mei 2015, Notices, 24923, link. FTC Ohlhausen 2015
FTC, Dissenting Statement of Commissioner Ohlhausen, in the matter of Nomi
Technologies, Inc, 28 augustus 2015, link.
FTC Wright 2015
FTC, Dissenting Statement of Commissioner Wright, in the matter of Nomi Technologies,
Inc 23 april 2015, link.
FTC public comments 2015
FTC, public comments, #608 In the matter of Nomi Technologies, Inc., a corporation, 132
3251, 2015, link.
FTC letter commenters 2015
FTC, letters to the commenters, File no.132 3251, Nomi Technologies, Inc.,28 augustus 2015,
74
FTC consent agreement 2015
FTC, agreement containing consent order, File no. 132 3251, Nomi Technologies, Inc.,23 april 2015, link.
FTC press release 2015
FTC press release, Retail tracking firm settles FTC charges it misled consumers about opt out
choices, 23 april 2015, link. FTC Brill 2015
FTC, Statement of Commissioner Julie Brill, in the matter of Nomi Technologies, Inc. 28 augustus 2015.
FPF, Schumer 2013
Future of Privacy Forum, Senator Schumer, Mobile Location Analytics, Code of Conduct, 22
oktober 2013, link.
Gillanaro 2014
J. Gallinaro, Meet your new big brother: weighing the privacy implications of physical retail
stores using tracking technology, 22 George Mason Law Review, 473 2014-201.
GFK 2015
GFK, 80 procent Nederlanders bezit een smartphone, 14 december 2015, link.
Hoofnagle, Urban 2014
C.J. Hoofnagle, J.M. Urban, Alan Westin’s privacy homo economicus, 49 Wake Forest Law Review, 261 2014, p.291-296.
Hoofnagle 2016
C.J. Hoofnagle, Federal Trade Commission privacy law and policy, New York: Cambridge University Press 2016.
IWGDPT 2015
International Working Group on Data Protection in Telecommunications, Working Paper on
Location Tracking from Communications of Mobiles Services, 58th meeting, Berlijn, Duitsland, 13-14 oktober 2015.
Kannekens, van Eijk, 2016
E. Kannekens, N.A.N.M. van Eijk, Oneerlijke handelspraktijken: alternatief voor
privacyhandhaving, Mediaforum 2016-4.
Koops, Lips, Nouwt, Prins, Schellekens 2006
B.J. Koops, M. Lips, S. Nouwt, C. Prins, M. Schellekens, Should self-regulation be the starting
75
Koops, Leenes, de Hert 2007
B.J. Koops, R. Leenes, P. de Hert, Constitutional rights and new technologies, a comparative
study covering Belgium, Canada, France, Germany, Sweden, and the United States, Tilburg,
Februari 2007.
Kovacic, Winerman 2015
W.E. Kovacic, M. Winerman, The Federal Trade Commission as an independent agency:
autonomy, legitimacy and effectiveness, Iowa Law Review, Vol. 100:2085-2113, 2015.
Lessig 2006
L. Lessig, Code version 2.0, Basic Books, 2006. Moes, van Vliet 2015
A. Moes, H. van Vliet, Het effect van beaons in de ByAmfi store gemeten, geanalyseerd en
ontmaskerd, Hogeschool van Amsterdam, 2015, link. Morran 2013
C. Morran, Nordstrom decides to stop tracking customers’ smartphone, Consumerist, 10 mei 2013, link.
Nijhof 1999
J.A.M. Nijhof, Technische aspecten, in: E.J. Dommering e.a., Handboek
telecommunicatierecht. Inleiding tot het recht en de techniek van telecommunicatie, Den Haag: Sdu Uitgevers 1999, p. 53-120, revisie M. Konert.
OpinionLab 2014
OpinionLab, New study: consumers overwhelmingly reject in-store tracking by retailers, 27
maart 2014, link.
Pew Research Center 2015
Pew Research Center, The smartphone difference, april 2015, link.
Point Grey, 2016
Point Grey, press release, Point Grey acquires people counting & tracking sensor assets from
retail analytics company Nomi, 7 juli 2016, link. Rubinstein, van Eijk, Weitzner 2015
I.S. Rubinstein, N.A.N.M. van Eijk & D.J. Weitzner, c.s, Privacy Bridges: EU and US privacy
experts in search of transatlantic privacy solutions, Amsterdam/Cambridge 2015 link. Schellevis 2014
J. Schellevis, blog Tweakers, Winkels volgen je voetsporen – de opkomst van tracking via wifi-
76
Schwartz 2013
P.M. Schwartz, The EU-US Privacy Collision: a turn to institutions and procedures, 126
Harvard Law Review 1966, 2013, link.
Solove, Hartzog 2014
D.J. Solove, W. Hartzog, The FTC and the new common law of privacy, 144. Columbian Law
Review, 2014, link.
Solove, Schwartz 2011
D.J. Solove, P.M. Schwartz, Privacy law fundamentals, International Association of Privacy
Professionals, 2011, link.
Soltani 2015
A. Soltani, FTC blog, Privacy trade-offs in retail tracking, 30 april 2015 link.
Schievink 2014
B. Schievink, Tweakers, Apple rust iOS 8 uit met truc om wifi-tracking te voorkomen, 9 juni 2014, link.
Sweeney 2012
L. Sweeney, FTC blog, My phone at your service, 12 februari 2012 link.
Sweeney 2016
L. Sweeney, interview op NPR website, How retailers use smartphones to track shoppers in
the store, 16 juni 2016 link. Telegraaf 2010
Telegraaf, CBP beperkt wifi-tracking, 1 december 2010, link.
Tellingen, Zandbergen, Zwiers 2010
H. van Tellingen, G. Zandbergen, W. Zwiers, Voor- en nadelen passantentelsystemen in
winkelcentra en –straten, Betrouwbaar automatisch tellen kan, maar gebeurt nog nauwelijks,
Vastgoedmarkt, November 2010, link.
Underhill 2009
P. Underhill, Why we buy, the science of shopping, Simon & Schuster paperbacks, januari 2009.
Valgaeren, Leitner 2012
E. Valgaeren, L. Leitner, Smartphones en privacy – Vrienden, vijanden of ergens tussenin?, Computerrecht 2012/2.
Verlaan 2016
D. Verlaan, RTL Z, Zorgen om privacy: in alle grote steden word je via je telefoon gevolgd, 16 juni 2016, link.
77
Weintraub Schifferle 2015
L. Weintraub Schifferle, FTC blog, Getting innovative? Keep your promises, 23 april 2015, link.
White House 2015
White House, administration discussion, Consumer Privacy Bill of Rights, maart 2015. Whitman 2004
J.Q. Whitman, The two western cultures of privacy; dignity versus liberty, research paper no.
64, Yale Law Journal, Volume 113, April 2004, link.
Wright 2015
J.D. Wright, Keynote address: the missing role of economics in privacy regulation at the FTC, Briefing on Nomi, Spokeo, and privacy harms, event, George Mason University School of
Law, 12 november 2015, link.
Wu 2013
T. Wu, The right to evade regulation: How corporations hijacked the First Amendment, New
Republic, 3 juni 2013, link.
C. Kamerstukken
Kamerstukken II 1997-1998, 25 892, nr. 3 memorie van toelichting
Kamerstukken II 1997 – 1998, 25 892, nr. 3, Regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens), Memorie van toelichting. Kamerstukken II 2013-2014, nr. 1264
Kamerstukken II 2013-2014, Aanhangsel Handelingen, nr. 1264, Vragen van de leden Oosenbrug (PvdA) en De Liefde (VVD) aan de ministers van Economische Zaken en van Veiligheid en Justitie over wifi-tracking door winkels (ingezonden 24 januari 2014), Antwoord van Staatssecretaris Teeven (Veiligheid en Justitie), mede namens de Minister
van Economische Zaken (ontvangen 24 februari 2014) link.
Kamerstukken II 2013-2014, nr. 1811
Kamerstukken II 2013-2014, Aanhangsel Handelingen, nr. 1811, Vragen van het lid
Oosenbrug (PvdA) aan de Ministers van Veiligheid en Justitie en van Economische Zaken over wifi- en bluetooth tracking (ingezonden 17 maart 2014). Antwoord van Staatssecretaris Teeven (Veiligheid en Justitie) mede namens de Minister van Economische Zaken
(ontvangen 25 april 2014) link.
Kamerstukken II 2013-2014, nr. 1696
Kamerstukken II 2013-2014, Aanhangsel Handelingen, nr. 1696, Vragen van het lid Oosenbrug (PvdA) aan de Ministers van Veiligheid en Justitie en van Economische Zaken over wifi- en bluetooth tracking (ingezonden 17 maart 2014). Antwoord van Staatssecretaris
78
Teeven (Veiligheid en Justitie) mede namens de Minister van Economische Zaken
(ontvangen 25 april 2014) link.
Staatscourant 2015
Staatscourant, Beleidsregels van de Autoriteit Persoonsgegevens van 15 december 2015 met
betrekking tot het opleggen van bestuurlijke boetes (Boetebeleidsregels Autoriteit Persoonsgegevens 2016), Den Haag, 15 januari 2015, link.
D. Websites Website Bluetrace URL: http://bluetrace.eu/ Website Bricktstream URL: www.breakstream.com Website Citytraffic URL: www.citytraffic.nl Website IEEE: URL: http://standards-oui.ieee.org/oui/oui.txt Website Nomi URL: www.nomi.com
Website Point Grey
URL:www.ptgrey.com
Website Unpocket,
URL: http://1984.the-affair.com/collection/unpocket/
Website Wifiprofs: