Informatieverstrekking en toestemmingsvereiste

Holleman⁵⁴ alsook Tempelman⁵⁵ betoogden in 2003 dat bij het gebruik van cookies artikel 34 Wbp van toepassing zou zijn aangezien de persoonsgegevens van de betrokkene via de website indirect worden verkregen. Indien het in de MvT aangehaalde voorbeeld van, al dan niet kenbare, videocameraopnamen wordt geprojecteerd op het gebruik van cookies, dan is het antwoord op de vraag of artikel 33 Wbp dan wel artikel 34 Wbp van toepassing is, afhankelijk van de omstandigheid of de betrokkene al dan niet weet dat er een cookie op zijn computer is geïnstalleerd en of hij zich ervan bewust is dat hij daardoor persoonsgegevens verstrekt.

Op 12 juli 2002 is de Europese richtlijn betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie in werking getreden.⁵⁶ Deze richtlijn wordt in de literatuur veelal aangehaald als de

ePrivacyrichtlijn. Op grond van artikel 5 lid 3 ePrivacyrichtlijn dienen de lidstaten er voor

zorg te dragen dat het gebruik van elektronische communicatienetwerken voor de opslag van informatie of voor het verkrijgen van toegang tot informatie die is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken gebruiker wordt voorzien van duidelijke en volledige informatie over de doeleinden van de verwerking overeenkomstig Richtlijn 95/46/EG. Tevens verkrijgt de betrokkene op grond van artikel 5 lid 3 ePrivacyrichtlijn het recht om een dergelijke verwerking te weigeren.

53 Zie in dit kader Prins die wijst op de ‘digital footprint’ van burgers (gegevens die zij al dan niet bewust c.q. vrijwillig zelf genereren), en de ‘digital shadow’ van burgers (informatie die anderen uit hun gedrag afleiden). Prins 2011, p. 107.

54

Holleman 2003, p. 254.

55

Tempelman, p. 199.

56 Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), PbEG L 201/37.

18 Artikel 5 lid 3 ePrivacyrichtlijn

De lidstaten dragen er zorg voor dat het gebruik van elektronische communicatienetwerken voor de opslag van informatie of voor het verkrijgen van toegang tot informatie die is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken gebruiker voorzien wordt van duidelijke en volledige informatie onder andere over de doeleinden van de verwerking, overeenkomstig Richtlijn 95/46/EG, en het recht krijgt aangeboden door de voor de verwerking verantwoordelijke om een dergelijke verwerking te weigeren. Zulks vormt geen beletsel voor enige vorm van technische opslag of toegang met als uitsluitend doel de uitvoering of vergemakkelijking van de verzending van een communicatie over een elektronische-communicatienetwerk, of, indien strikt noodzakelijk, voor de levering van een uitdrukkelijk door de abonneegebruiker gevraagde dienst van de informatiemaatschappij.

Op 7 mei 2004 is het Besluit universele dienstverlening en eindgebruikersbelangen (Bude) in werking getreden.⁵⁷ Ter implementatie van artikel 5 lid 3 van de ePrivacyrichtlijn is in artikel 4.1 lid 1 Bude een regeling opgenomen die voorwaarden stelt aan het verkrijgen van toegang tot gegevens die in de apparatuur van gebruikers staan. In dit artikel is bepaald dat een ieder die door middel van elektronische communicatienetwerken gegevens wenst op te slaan in de randapparatuur van de abonnee of gebruiker van openbare elektronische communicatiediensten, voorafgaand aan de desbetreffende handeling de abonnee of gebruiker op een duidelijke en nauwkeurige wijze dient te informeren omtrent de doeleinden waarvoor men gegevens wenst op te slaan en hem op een voldoende kenbare wijze gelegenheid te bieden de desbetreffende handeling te weigeren.

Artikel 4.1 lid 1 Bude

Een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een abonnee of gebruiker van openbare elektronische communicatiediensten dan wel gegevens wenst op te slaan in de randapparatuur van de abonnee of gebruiker van openbare elektronische communicatiediensten, dient voorafgaand aan de desbetreffende handeling de abonnee of gebruiker:

a. op een duidelijke en nauwkeurige wijze te informeren omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan, en

b. op voldoende kenbare wijze gelegenheid te bieden de desbetreffende handeling te weigeren.

57 Besluit van 7 mei 2004, Stb. 203, houdende regels met betrekking tot universele dienstverlening en eindgebruikersbelangen.

19

Artikel 4.1 Bude lijkt af te wijken van de ePrivacyrichtlijn, aangezien dit artikel voorschrijft dat de betrokkene geïnformeerd dient te worden voordat de cookie wordt geplaatst, terwijl in de

ePrivacyrichtlijn het moment van informeren niet nader wordt geregeld. In de praktijk heeft

de werking van artikel 4.1 Bude tot gevolg dat de betrokkene door de verantwoordelijke geïnformeerd dient te worden voordat hij toegang verkrijgt tot de website van de verantwoordelijke; een cookie wordt veelal geplaatst direct bij het openen van de website. Tevens dient de betrokkene in dat geval de mogelijkheid te hebben om aan te geven of hij wel of niet instemt met het gebruik van cookies.

Artikel 5 lid 3 ePrivacyrichtlijn maakt niet duidelijk of de betrokkene vooraf geïnformeerd dient te worden en/of dat hij zijn toestemming moet hebben gegeven alvorens de cookie mag worden geplaatst. Op 25 november 2009 is artikel 5 lid 3 van de ePrivacyrichtlijn gewijzigd. Op grond van dit gewijzigde artikel blijkt dat het plaatsen van een cookie slechts is toegestaan indien de betrokkene zijn toestemming heeft verleend nadat hij is voorzien van duidelijke en volledige informatie.⁵⁸

Gewijzigd Artikel 5 lid 3 ePrivacyrichtlijn

De lidstaten dragen ervoor zorg dat de opslag van informatie of het verkrijgen van toegang tot informatie die reeds is opgeslagen in de eindapparatuur van een abonnee of gebruiker, alleen is toegestaan op voorwaarde dat de betrokken abonnee of gebruiker toestemming heeft verleend, na te zijn voorzien van duidelijke en volledige informatie overeenkomstig Richtlijn 95/46/EG, onder meer over de doeleinden van de verwerking. Zulks vormt geen beletsel voor enige vorm van technische opslag of toegang met als uitsluitend doel de uitvoering van de verzending van een communicatie over een elektronisch communicatienetwerk, of, indien strikt noodzakelijk, om ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij deze dienst levert.

Het gewijzigde artikel 5 lid 3 ePrivacyrichtlijn maakt niet duidelijk op welk moment de betrokkene zijn toestemming dient te verstrekken. Naar de mening van de Groep Gegevensbescherming Artikel 29 verduidelijken en versterken de veranderingen in het nieuwe artikel 5 lid 3 ePrivacyrichtlijn de noodzaak van voorafgaande toestemming. Dit wordt volgens de Groep op twee manieren gedaan. Ten eerste door de formulering ‘het recht (…) te weigeren’ te vervangen door de noodzaak ‘toestemming’ te verkrijgen, zoals

58 Richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische communicatienetwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004

betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming, PbEG L337/11.

20

beschreven in Richtlijn 95/46/EG, en door het gebruik van de voltooid tegenwoordige tijd ‘te zijn voorzien’.⁵⁹ In de opinie uit 2011 herhaalt de Groep Gegevensbescherming Artikel 29 dat voorafgaande toestemming een vereiste is. “While Article 5(3) does not use the word prior, this is a clear and obvious conclusion from the wording of the provision”.⁶⁰

Er is een brede maatschappelijke discussie gaande over de vraag wat er exact moet worden verstaan onder ‘toestemming’. Dit heeft alles te maken met het feit dat in het gewijzigde artikel 5 lid 3 ePrivacyrichtlijn wordt verwezen naar de Privacyrichtlijn. De Privacyrichtlijn onderscheidt drie varianten van toestemming, te weten ‘toestemming’, ‘ondubbelzinnige toestemming’ en ‘uitdrukkelijke toestemming’.⁶¹ Ook de Wbp onderscheidt deze toestemmingsvarianten. Alvorens het verloop van de discussie omtrent het toestemmingsvereiste te duiden, zal worden ingegaan op de varianten ‘toestemming’ en ‘ondubbelzinnige toestemming’ zoals die in de Wbp zijn opgenomen.

In artikel 1 sub i. Wbp wordt ‘toestemming’ van de betrokkene gedefinieerd als elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. De MvT expliciteert dat er drie punten essentieel zijn om te kunnen spreken van toestemming van de betrokkene:⁶²

1. De betrokkene moet in vrijheid zijn wil kunnen uiten;

2. De wilsuiting moet betrekking hebben op een bepaalde gegevensverwerking of een beperkte categorie van gegevensverwerkingen; en

3. De betrokkene moet voor een goede oordeelsvorming over de noodzakelijke inlichtingen beschikken.

In de navolgende tabellen worden deze drie punten verduidelijkt.

Voorwaarde 1: In vrijheid uiten van de wil63

• “De betrokkene moet in vrijheid zijn wil met betrekking tot de betreffende

gegevensverwerking kunnen uiten, en deze wil dient ook daadwerkelijk geuit te zijn. • De artikelen 3:33 en 3:35 BW zijn in dezen van overeenkomstige toepassing, aangezien

artikel 3:59 BW immers bepaalt dat deze bepalingen op een overeenkomstige wijze worden toegepast voor zover de aard van de rechtshandeling of van de rechtsbetrekking zich daartegen niet verzet.

59

Groep Gegevensbescherming Artikel 29-2010, p. 14. Zie in dit kader ook het Working Document van het Communications Committee van de Europese Commissie: European Commission, Communications Committee, Working Document ‘Implementation of the revised Framework-Article 5(3) of the ePrivacy Directive, COCOM10-34, Brussels, 20 October 2010.

60

Groep Gegevensbescherming Artikel 29-2011, p. 31.

61

Zie in dit kader ook Schreuders die uitgebreid ingaat op de diverse toestemmingsvarianten zoals die zijn opgenomen in de Privacyrichtlijn en ePrivacyrichtlijn. Zie tevens de opinie van de Groep Gegevensbescherming Artikel 29-2011.

62

Kamerstukken II 1997-1998, 25892, nr. 3, p. 65.

63

21

• Er kan bijvoorbeeld niet van een rechtsgeldige toestemming worden gesproken als de betrokkene onder druk van omstandigheden waarin hij verkeert of de relatie waarin hij staat tot de verantwoordelijke, tot toestemming is overgegaan”.

Tabel 2.1

Voorwaarde 2: De wilsuiting moet betrekking hebben op een bepaalde gegevensverwerking of een beperkte categorie van gegevensverwerkingen⁶⁴

• “Duidelijk moet zijn welke verwerking, van welke gegevens, voor welk doel zal plaatsvinden, en als het daarbij gaat om een verstrekking aan derden, ook aan welke derden.

• Een zeer brede en onbepaalde machtiging tot het verwerken van gegevens kan niet als zodanig worden aangemerkt.

• De betrokkene moet weten om welke gegevensverwerking het gaat en hiervoor gerichte toestemming geven.

• Er kan evenmin van een rechtsgeldige toestemming worden gesproken wanneer de betrokkene geconfronteerd wordt met een geheel andere gegevensverwerking dan waarvoor hij toestemming had verleend”.

Tabel 2.2

Voorwaarde 3: Beschikken over noodzakelijke gegevens⁶⁵

• “De betrokkene kan slechts verantwoord zijn toestemming geven wanneer hij zo goed mogelijk is ingelicht.

• Het vragen van de toestemming van de betrokkene impliceert dat hij op de hoogte moet worden gesteld van de gang van zaken met betrekking tot de gegevensverwerking. • De betrokkene moet voldoende en begrijpelijk door de verantwoordelijke worden

geïnformeerd over de verschillende aspecten van de gegevensverwerking die voor hem van belang zijn.

• De informatieplicht van de verantwoordelijke wordt begrensd door de feiten die de betrokkene reeds kent of zou moeten kennen.

• De informatieplicht van de verantwoordelijke impliceert niet dat de betrokkene geen enkele verantwoordelijkheid draagt. De betrokkene heeft een zekere onderzoeksplicht voor hij een oordeel geeft.

• Bepalend voor de mate waarin de verantwoordelijke de betrokkene moet informeren, dan wel de betrokkene zelf op onderzoek moet uitgaan, is wat in het maatschappelijk verkeer redelijkerwijs over en weer van elkaar mag worden verwacht.

• Factoren die bij weging een rol kunnen spelen zijn de soort gegevens, de verwerkingen die de verantwoordelijke wil verrichten alsmede de context waarin deze verwerkingen

64

Kamerstukken II 1997-1998, 25892, nr. 3, p. 65.

65

22

zullen plaatsvinden, de eventuele derden aan wie de gegevens kunnen worden verstrekt enz., maar ook de maatschappelijke positie en onderlinge verhouding tussen de verantwoordelijke en de betrokkene alsmede de wijze waarop zij met elkaar in contact zijn getreden”.

Tabel 2.3

De aanvullende vereisten op het begrip ‘toestemming’ opdat er sprake is van een ‘ondubbelzinnige toestemming’, luiden conform het bepaalde in de MvT als volgt:⁶⁶

Voorwaarde 4: Aanvullende vereisten op het begrip toestemming opdat er sprake is van ‘ondubbelzinnige toestemming’

• “De verantwoordelijke mag niet uitgaan van toestemming indien hij geen opmerkingen maakt over de gegevensverwerking, daarbij uitgaande van de kennis die hij op grond van maatschappelijke opvattingen redelijkerwijs bij de betrokkene aanwezig mag achten. • Elke twijfel moet bij de verantwoordelijke zijn uitgesloten over de vraag of de betrokkene

zijn toestemming heeft gegeven en voor welke specifieke verwerkingen deze toestemming is gegeven.

• Op de verantwoordelijke zal doorgaans een verdergaande informatieverplichting rusten. • Bij twijfel over de vraag of de betrokkene zijn toestemming heeft verleend dient de

verantwoordelijke te verifiëren of hij er terecht vanuit gaat dat de betrokkene er mee heeft ingestemd.

• Bij interactieve diensten zal bijvoorbeeld de klik met de muis of een aanslag op het toetsenbord van de computer ten einde de (koop-) overeenkomst te sluiten (veelal nog gevolgd door een aparte klik voor de bevestiging van de koopovereenkomst), als ondubbelzinnige toestemming kunnen worden aangemerkt”.

Tabel 2.4

Uit het wetsvoorstel voor wijziging van de Telecommunicatiewet ter implementatie van de herziene telecommunicatierichtlijnen blijkt dat op grond van het beoogde artikel 11.7a lid 1 Telecommunicatiewet de verantwoordelijke, indien hij een cookie wil plaatsen op de computer van de betrokkene, (i) de betrokkene duidelijk en volledig dient te informeren conform de Wbp, en in ieder geval over de doeleinden waarom hij die cookie wil plaatsen, en (ii) toestemming van de betrokkene dient te hebben verkregen om de cookie te mogen plaatsen.⁶⁷

66 Kamerstukken II 1997-1998, 25892, nr. 3, p. 66 e.v. 67 Kamerstukken II 2010-2011, 32549, nr. 2, p. 21.

23 Wetsvoorstel Artikel 11.7a Telecommunicatiewet

1. Een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker, dient: a. de gebruiker duidelijke en volledige informatie te verstrekken overeenkomstig de Wet bescherming persoonsgegevens, en in ieder geval omtrent de doeleinden waarvoor men toegang wenst te verkrijgen tot de desbetreffende gegevens dan wel waarvoor men gegevens wenst op te slaan, en

b. van de gebruiker toestemming te hebben verkregen voor de desbetreffende handeling.

2. De in het eerste lid, onder a en b, genoemde vereisten zijn ook van toepassing in het geval op een andere wijze dan door middel van een elektronisch communicatienetwerk wordt bewerkstelligd dat via een elektronisch communicatienetwerk gegevens worden opgeslagen of toegang wordt verleend tot op het randapparaat opgeslagen gegevens. 3. Het bepaalde in het eerste en tweede lid is niet van toepassing, voor zover het de technische opslag of toegang tot gegevens betreft met als uitsluitend doel:

a. de communicatie over een elektronisch communicatienetwerk uit te voeren, of b. de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is.

4. Bij algemene maatregel van bestuur kunnen in overeenstemming met Onze Minister van Justitie nadere regels worden gegeven met betrekking tot de in het eerste lid, onder a en b, genoemde vereisten. Het College bescherming persoonsgegevens wordt om advies gevraagd over een ontwerp van bedoelde algemene maatregel van bestuur.

In de MvT behorend bij het wetsvoorstel voor wijziging van de Telecommunicatiewet ter implementatie van de herziene telecommunicatierichtlijnen wordt geëxpliciteerd dat de verantwoordelijke geen ‘ondubbelzinnige toestemming’ van de betrokkene hoeft te hebben om de cookie te mogen plaatsen.⁶⁸ Het kabinet is van mening dat een vereiste van ‘ondubbelzinnige toestemming’ verder gaat dan de ePrivacyrichtlijn voorschrijft, en dat dientengevolge de concepttekst van artikel 11.7a Telecommunicatiewet is aangepast.⁶⁹ In dezen heeft het kabinet zich tevens laten leiden door de kritiek dat een vereiste van ‘ondubbelzinnige toestemming’ tot gevolg zou hebben dat (i) het Internet gebruiksonvriendelijk zou worden, dat (ii) in de praktijk de gebruiker steeds toestemming zal verlenen zonder zich te realiseren waarvoor, dat (iii) er juist meer persoonsgegevens geregistreerd moeten worden door degene die verantwoordelijk is voor de cookies, en (iv) dat het zou leiden tot economische schade voor de hele internetsector.⁷⁰ De MvT laat zich

68

Kamerstukken II 2010-2011, 32549, nr. 3, p. 41.

69

Kamerstukken II 2010-2011, 32549, nr. 3, p. 41. Zo ook Kamerstukken II 2010-2011, 32549, nr. 7, p. 25.

70

24

niet uit over de wijze waarop de betrokkene zijn toestemming dient te geven. Anderzijds wordt in de MvT gerefereerd aan de, volgens de MvT, breed gedragen oplossing om de browserinstelling van de gebruiker bepalend te laten zijn voor de vraag of de gebruiker de vereiste toestemming voor het plaatsen en lezen van cookies heeft gegeven.⁷¹ Het kabinet lijkt echter niet voor een dergelijke oplossing te willen kiezen.⁷²

De vaste commissie van de Tweede Kamer heeft schriftelijke vragen gesteld naar aanleiding van het wetsvoorstel van het kabinet.⁷³ De vragen zien in het bijzonder op de benodigde toestemmingsvariant, de wijze waarop toestemming kan worden verstrekt en de wijze van informatieverstrekking aan de betrokkene over het gebruik van cookies. Zo vragen bijvoorbeeld de leden van de PvdA-fractie zich af of de maatregelen ter bescherming van de persoonsgegevens, zoals voorgesteld in artikel 11.7a eerste lid, wel ver genoeg gaan. Voorts wil deze fractie weten waarom de regering niet heeft gekozen voor de termen ‘geïnformeerde toestemming’ en ‘uitdrukkelijke toestemming’. Tevens informeren ze of het niet juist van belang is dat consumenten weten welke persoonsgegevens van hen verzameld worden en zij daarvoor uitdrukkelijk toestemming dienen te verlenen. Tenslotte vraagt deze fractie zich af of de door de regering gekozen formulering niet teveel ruimte laat om middels een algemene toestemming voor het plaatsen van cookies allerhande persoonsgegevens op te slaan en door te geven.⁷⁴ De leden van de D66-fractie stellen dat in artikel 5 lid 3 van de ePrivacyrichtlijn de nadruk wordt gelegd op het leveren van voorafgaande informatie en het verkrijgen van voorafgaande toestemming (voorafgaand aan het begin van de verwerking). Zij vragen de regering om “duidelijker te zijn over de manier waarop de informatie moet worden verstrekt, nu in de MvT van het onderhavige wetsvoorstel hier met geen woord over wordt gerept”. Tevens stelt deze fractie dat artikel 11.7a. van het wetsvoorstel zelf niet duidelijk is, en vragen de leden zich af of de regering zich ervan bewust is dat alleen voorafgaande informatieverstrekking in lijn is met de richtlijnen betreffende e-privacy en gegevensbescherming.⁷⁵

In reactie op de vragen van de vaste commissie herhaalt en beargumenteert het kabinet het standpunt dat ‘ondubbelzinnige toestemming’ voor het plaatsen en lezen van een cookie geen vereiste is, alsook waarom dit standpunt in lijn zou zijn met de Privacyrichtlijn en de

ePrivacyrichtlijn.⁷⁶ Met betrekking tot de informatieverstrekking aan de betrokkene

onderkent het kabinet dat deze tevens in lijn dient te zijn met de Privacyrichtlijn. Over de

71

Kamerstukken II 2010-2011, 32549, nr. 3, p. 41.

72

Zie ook Groep Gegevensbescherming Artikel 29-2010, p. 15, waarin voorwaarden met betrekking tot de browserinstellingen worden geformuleerd op basis waarvan de verantwoordelijke mag aannemen dat de betrokkene zijn toestemming heeft gegeven.

73 Kamerstukken II 2010-2011, 32549, nr. 6. 74 Kamerstukken II 2010-2011, 32549, nr. 6, p. 10 e.v. 75 Kamerstukken II 2010-2011, 32549, nr. 6, p. 11. 76 Kamerstukken II 2010-2011, 32549, nr. 7, p. 25.

25

wijze waarop de verantwoordelijke de benodigde informatie moet verstrekken, laat het kabinet zich in beperkte mate uit.

In het debat over het toestemmingsvereiste heeft het Cbp afstand genomen van de visie van het kabinet dat ‘ondubbelzinnige toestemming’ niet vereist zou zijn. Het College stelt dat voor het plaatsen van cookies ‘ondubbelzinnige toestemming’ noodzakelijk is: “De enige conclusie die uit beide richtlijnen getrokken kan worden is dat er ondubbelzinnige

In document Recht doen aan privacyverklaringen: Een juridische analyse van privacyverklaringen op internet (pagina 32-44)