Retail tracking in de Verenigde Staten - Privacy in public : een rechtsvergelijkend onderzoek n

In de Verenigde Staten maken winkeliers ook gretig gebruik van retail tracking technologie om het verplaatsingsgedrag van consumenten te meten en daar voordeel uit te behalen. Nadat bekend werd dat grote ketens zoals Nordstrom gebruik maakten van deze

technologie ontstond er ophef onder consumenten.

retail tracking,168 maar veel winke

dat bekend is wie. De vraag blijft of retail tracking überhaupt is toegestaan in de Verenigde Staten en of winkeliers waarborgen dienen in te bouwen. Om hier inzicht in te verkrijgen zet dit hoofdstuk in § 3.1. het rechtskader in de Verenigde Staten uiteen waaronder de

achterliggende waarden, het rechtstelsel, toepasselijke wetgeving, toezichthoudende autoriteit en haar sanctiebevoegdheden. Het onderzoek van de Federal Trade Commission (FTC) naar retail tracking aanbieder Nomi wordt in § 3.2. besproken. Dan bespreekt § 3.3. de juridische kwalificatie van retail tracking en de recentelijke ontwikkelingen in § 3.4.

Afsluitend bespreekt § 3.5. de effectiviteit van de handhaving door de FTC.

§ 3.1. Wettelijk kader

Privacyregulering is in de Verenigde Staten op waarden als autonomie en

gebaseerd.169 De Verenigde Staten kent verschillende vormen van privacybescherming

zoals grondwettelijke bescherming, sector specifieke regulering, aansprakelijkhede staatspecifieke regulering, bescherming door de consumentenautoriteiten en verdragen, maar heeft geen algemene federale wet voor de verzameling en verwerking van

gegevens.171 Doordat de Verenigde Staten veelal een sector

regulering van privacy kent, blijven vele sectoren op federaal niveau ongereguleerd.

167_{Cliffford, Hardjuly 2013.} 168

Morran 2013.

169_{I.S. Rubinstein, N.A.N.M. van Eijk & D.J. Weitzner, c.s,}

solutions, Amsterdam/Cambridge 2015 link, p. 16.

170

Zie voor een beknopt overzicht ook: D.J. Solove, P.M. Schwartz, Professionals, 2011, link.

171

D.J. Solove, W. Hartzog, The FTC and the new common law of privacy Bies, Consumer privacy: balancing economic and justice considerations

172_{C.J. Hoofnagle, Federal Trade Commission privacy law and policy}

Hoofdstuk 3 Retail tracking in de Verenigde Staten

In de Verenigde Staten maken winkeliers ook gretig gebruik van retail tracking technologie rag van consumenten te meten en daar voordeel uit te behalen. Nadat bekend werd dat grote ketens zoals Nordstrom gebruik maakten van deze

technologie ontstond er ophef onder consumenten.167 Nordstrom is inmiddels gestopt met

winkels maken nog steeds gebruik van de technologie zonder dat bekend is wie. De vraag blijft of retail tracking überhaupt is toegestaan in de Verenigde Staten en of winkeliers waarborgen dienen in te bouwen. Om hier inzicht in te verkrijgen zet

n § 3.1. het rechtskader in de Verenigde Staten uiteen waaronder de achterliggende waarden, het rechtstelsel, toepasselijke wetgeving, toezichthoudende autoriteit en haar sanctiebevoegdheden. Het onderzoek van de Federal Trade Commission

tracking aanbieder Nomi wordt in § 3.2. besproken. Dan bespreekt § 3.3. de juridische kwalificatie van retail tracking en de recentelijke ontwikkelingen in § 3.4.

Afsluitend bespreekt § 3.5. de effectiviteit van de handhaving door de FTC.

Privacyregulering is in de Verenigde Staten op waarden als autonomie en

De Verenigde Staten kent verschillende vormen van privacybescherming zoals grondwettelijke bescherming, sector specifieke regulering, aansprakelijkhede staatspecifieke regulering, bescherming door de consumentenautoriteiten en verdragen, maar heeft geen algemene federale wet voor de verzameling en verwerking van

enigde Staten veelal een sectorspecifieke aanpak van de g van privacy kent, blijven vele sectoren op federaal niveau ongereguleerd.

Eijk & D.J. Weitzner, c.s, Privacy Bridges: EU and US privacy experts in search of transatlantic , p. 16.

Zie voor een beknopt overzicht ook: D.J. Solove, P.M. Schwartz, Privacy law fundamentals, International Association of Privacy

he FTC and the new common law of privacy, 144. Columbian Law Review, 2014, link

Consumer privacy: balancing economic and justice considerations., 59 J. Social Issues, 2003, link, p. 332.

Federal Trade Commission privacy law and policy, New York: Cambridge University Press 2016, p. 145.

Nordstrom is inmiddels gestopt met ls maken nog steeds gebruik van de technologie zonder dat bekend is wie. De vraag blijft of retail tracking überhaupt is toegestaan in de Verenigde Staten en of winkeliers waarborgen dienen in te bouwen. Om hier inzicht in te verkrijgen zet

tracking aanbieder Nomi wordt in § 3.2. besproken. Dan bespreekt § 3.3. de juridische kwalificatie van retail tracking en de recentelijke ontwikkelingen in § 3.4.

Afsluitend bespreekt § 3.5. de effectiviteit van de handhaving door de FTC.

Privacyregulering is in de Verenigde Staten op waarden als autonomie en liberty

De Verenigde Staten kent verschillende vormen van privacybescherming zoals grondwettelijke bescherming, sector specifieke regulering, aansprakelijkheden,

staatspecifieke regulering, bescherming door de consumentenautoriteiten en verdragen,170

maar heeft geen algemene federale wet voor de verzameling en verwerking van specifieke aanpak van de

g van privacy kent, blijven vele sectoren op federaal niveau ongereguleerd.172 Er

Privacy Bridges: EU and US privacy experts in search of transatlantic privacy

International Association of Privacy

link, p. 587; M.J. Culnan, R.J. , New York: Cambridge University Press 2016, p. 145.

bestaat geen federale wet die de bescherming van de gegevens verzamelt en gebruik door

handelaren zoals een warenhuis als Macy’s of e-commercebedrijf Amazon.com reguleert.173

De gegevensverzameling en verwerking door winkeliers an sich valt dus niet onder een federale wet.

In de Amerikaanse grondwet is geen expliciet recht op privacy opgenomen, maar in

meerdere amendments kunnen privacyrechten worden gelezen.174 De Supreme Court of the

United States (SCOTUS)175 heeft in verschillende opzichten een recht op privacy erkent.176

De vrijheid van meningsuiting op grond van het First Amendment wordt in de Verenigde

Staten een grote rol toegekend.177 Op federaal niveau zijn een aantal sector specifieke

wetten zoals de Fair Credit Reporting Act (FCRA ), Children Online Privacy Protection Act (COPPA), Health Insurance Portability and Accountability Act (HIPAA) van belang voor privacy waarin specifieke regels voor de gegevensverwerkingen zijn vastgelegd, maar retail tracking valt niet binnen het reikwijdte van deze wetten. De Amerikaanse overheid

reguleert specifiek sectoren waarvan zij de verzamelde en verwerkte gegevens gevoelig

acht.178 Daarbij wordt in wetten vaak een onderscheid gemaakt tussen privaat of publieke

sectoren.179 De verwerking van persoonsgegevens is in de Verenigde Staten toegestaan,

tenzij het wordt verboden door een specifieke wet. Sommige staten hebben privacy

grondwettelijk verankerd180 en velen hebben privacyregulering opgesteld waardoor de

regelgeving per staat verschilt.181

173

Solove, Hartzog 2014, p. 587.

174

B.J. Koops, R. Leenes, P. de Hert, Constitutional rights and new technologies, a comparative study covering Belgium, Canada, France,

Germany, Sweden, and the United States, Tilburg, Februari 2007, p. 128.

175

Deze scriptie behandelt gegevensverzameling en verwerking door retail tracking aanbieders en winkeliers en waarbij de

opsporingsdiensten buiten de reikwijdte vallen. Het is echter interessant om te kijken naar twee uitspraken van de Supreme Court van de Verenigde Staten in verband met de grondwettelijke toelaatbaarheid van respectievelijk registeren van verplaatsingsgedrag en de vertrouwelijke aard van een smartphone. Ten eerste de Jones-zaak (SCOTUS, States v. Jones, nummer 10-1259, 23 januari 2012, link) waar de opsporingsdiensten een GPS tracker aan de auto van verdachte Jones hebben bevestigd om het verplaatsingsgedrag te registeren. SCOTUS oordeelde dat zonder een warrant sprake was van een schending van de rechten van Jones onder het fourth

Amendment. De majority opinion geschreven door Justice Scalia liet het vervolgens de vraag onbeantwoord of op een elektronische wijze

registeren van het verplaatsingsgedrag door een opsporingsambtenaar een grondwettelijke schending op zou leveren. (“It may be that

achieving the same result through electronic means, without an accompanying trespass, is an unconstitutional invasion of privacy, but the present case does not require us to answer that question.” p. 11 majority opinion).

Ten tweede de Riley-zaak (SCOTUS, Riley v. California, nummer 13-132, 25 juni 2014, link) waar SCOTUS oordeelde dat het doorzoeken van een telefoon een warrant vereist. Het opvangen van wifi-signalen om een MAC-adres te registeren en verplaatsingsgedrag te meten zal weliswaar niet als doorzoeken worden beschouwd, maar zoals Justice Roberts in de majority opinion bevestigd, zijn smartphones en de informatie die daarop staat belangrijk voor het privé leven van het individu. ("Modern cell phones are not just another technological

convenience. With all they contain and all they may reveal, they hold for many Americans “the privacies of life". The fact that technology now allows an individual to carry such information in his hand does not make the information any less worthy of the protection for which the Founders fought." (slip op. 28)).

176

Rubinstein, van Eijk, Weitzner 2015, p. 16.

177_{In conflict met privacy wordt de vrijheid van meningsuiting door rechtbanken vaak voorrang gegeven: T. Wu, The right to evade}

regulation: How corporations hijacked the First Amendment, New Republic, 3 juni 2013, link.

178

Rubinstein, van Eijk, Weitzner 2015, p. 16

179_{P.M. Schwartz, The EU-US Privacy Collision: a turn to institutions and procedures, 126 Harvard Law Review 1966, 2013,}_link_. 180

AK Alaska Const. art. I, § 22, AZ Ariz. Const. art. II, § 8, CA Cal. Const. art. I, § 1, FL Fla. Const. art. I, § 23, HI Haw. Const. art. I, § 23, IL Ill. Const. art. I, § 12, LA La. Const. art. I, § 5, MT Mt. Const. art. II, § 10, SC S.C. Const. art. I, § 10, WA Wash. Const. art. I, § 7.

§ 3.1.1. Federal Trade Commission Act

In de Verenigde Staten worden de regels van misleidende en oneerlijke handelspraktijken

toegepast op privacy kwesties.182 Op grond van de Federal Trade Commission Act zijn alle

misleidende en oneerlijke handelspraktijken verboden:

15 U.S. Code § 45 - Unfair methods of competition unlawful; prevention by Commission (a) Declaration of unlawfulness; power to prohibit unfair practices; inapplicability to foreign trade

(1) Unfair methods of competition in or affecting commerce, and unfair or deceptive acts or practices in or affecting commerce, are hereby declared unlawful.183

Voor een misleidende handelspraktijk dient er sprake te zijn van drie elementen: 1] there

must be a representation, omission or practice that is likely to mislead the consumer, 2] we examine the practice from the perspective of a consumer acting reasonably in the

circumstances. If the representation or practice affects or is directed primarily to a particular group, the Commission examines reasonableness from the perspective of that group, 3] the representation, omission, or practice must be a "material" one. The basic question is whether the act or practice is likely to affect the consumer's conduct or decision with regard to a product or service.184

Voor een oneerlijke handelspraktijk dient er sprake te zijn van ongerechtvaardigde schade aan de zijde van de consument. De FTC toetst hiervoor aan drie voorwaarden: 1] the injury

must be substantial, 2] the injury must not be outweighed by any offsetting consumer or competitive benefits that the sales practice also produces, en 3] the injury must be one which consumers could not reasonably have avoided.185

§ 3.1.1.1. Federal Trade Commission

De FTC is op grond van de Federal Trade Commission Act de toezichthoudende autoriteit

op het gebied van oneerlijke handelspraktijken186 en kan daardoor actie ondernemen tegen

bedrijven die haar beloften in hun privacy policies niet waarmaken. De FTC houdt toezicht

en handhaaft 73 verschillende wetten.187 In beginsel is de FTC in 1914 opgericht om

mededingingsproblematiek aan te pakken en heeft sinds 1938 ook de missie om

consumenten te beschermen.188 De missie van de FTC is ‘to prevent business practices that

are anticompetitive or deceptive or unfair to consumers; to enhance informed consumer choice and public understanding of the competitive process; and to accomplish this without unduly burdening legitimate business activity.’ Door de gefragmenteerde regulering op het gebied

van privacy en het feit dat veel bedrijven buiten de sectorspecifieke regulering vallen, is de

182_{Kannekens, van Eijk 2016, p.102.} 183

Section 5 Federal Trade Commission Act.

184

FTC, Policy statement on deception, 14 oktober 1984; Hoofnagle 2016, p. 123.

185_{FTC, Policy statement on unfairness, 17 december 1980; Hoofnagle 2016, p.131.} 186

15 U.S.C. § 45 a (2)

187

https://www.ftc.gov/enforcement/statutes

FTC de voornaamste waker van consumentenprivacy.189

De FTC stelt momenteel ongeveer 40 privacy gerelateerde onderzoeken per jaar in190 en in

bijna alle gevallen wordt een schikking bereikt tussen de FTC en het bedrijf. De schikkingen en de daartoe gemaakte afspraken worden vastgelegd in een consent agreement met doorgaans een duur van 20 jaar waarbij het bedrijf afziet van de mogelijkheid tot beroep bij

de rechter.191 Het ontbreekt de FTC aan de algemene bevoegdheid om administratieve

boetes op te leggen voor privacyovertredingen.192 De FTC kan wel boetes opleggen

wanneer dit een specifieke grondslag heeft in de wetgeving,193 via de rechter,194 of wanneer

de afspraken in de consent agreement niet nagekomen worden door het bedrijf.195 In alle

consent agreements worden vergelijkbare remedies vastgelegd, zoals de eis dat geen

vergelijkbare overtredingen door het bedrijf worden gepleegd,196 boetes en andere

geldelijke sancties, notificatie en tegemoetkoming van de consument, verwijderen van gegevens of een verbod om gegevens te gebruiken, privacy policy aan te passen,

beveiligings-, privacy- of gegevens integriteitsprogramma’ ste opstellen, assessments door onafhankelijke derden laten uitvoeren, compliance reports opstellen en/of het notificeren

van de FTC wanneer er wijzigingen plaatsvinden die compliance beïnvloeden.197 De boete is

maximaal $ 16.000 per overtreding.198

Solove en Hartzog hebben beargumenteerd dat de FTC privacy reguleert door een ‘common

law’ benadering: zaken die de FTC behandelt resulteren vrij wel altijd in een settlement agreement welke nauwlettend door het bedrijfsleven in de gaten worden gehouden. De

FTC heeft bepaalde normen gecodificeerd, best practices ontwikkeld en uit de handhaving

van de FTC zijn standaard regels te abstraheren.199

De FTC organiseert regelmatig workshops over onderwerpen die zij van belang vindt op het gebied van privacy om een beter beeld te krijgen van privacy issues en uitdagingen van

onder andere nieuwe technologieën.200 Daarbij kijkt zij vooral naar technologieën met

mogelijk grote voordelen, maar die ook risico’s voor de privacy van consumenten met zich

meebrengen.201 Op 19 februari 2014 heeft de FTC een workshop georganiseerd met het

thema ‘mobile device tracking’ en heeft daarmee de aandacht onder andere gevestigd op retail tracking. Tijdens de workshop bespraken aanwezigen de verschillenden methoden voor het volgen van consumenten door signalen van de mobiele apparaten op te vangen.

189

Solove, Hartzog 2014, p. 588.

190_{E Kannekens, van Eijk 2016, p. 103.} 191_{Solove, Hartzog 2014, p.608.} 192

Solove, Hartzog 2014, p 605.

193_{Zoals de Fair Credit Reporting Act: Hoofnagle 2016, p. 114.} 194 Hoofnagle 2016, p. 110. 195 Hoofnagle 2016, p. 113-116. 196_{Hoofnagle 2016, p. 167.} 197 Solove, Hartzog 2014, p.608-619. 198 16 C.F.R. §1.98.

199_{Solove, Hartzog 2014, p. 583. Zie ook de bevestiging :Hoofnagle 2016, p.XV.} 200

FTC, Protecting consumer privacy in an era of rapid change, a proposed framework for businesses and policymakers, preliminary staff report, december 2010, p.14.

Nadruk werd gelegd op het nieuws dat grote ketens van winkeliers in de Verenigde Staten van de retail tracking technologie gebruik maken om inzichten te verwerven in het

consumentengedrag en de bijbehorende zorgen voor de privacy van de consument.202 De

FTC heeft eerder in een rapport locatiegegevens als gevoelige gegevens aangemerkt.203

§ 3.1.2. Zelfregulering

In de afwezigheid van regulering van retail tracking hebben Senator Schumer, The Future Privacy Forum (FPF) en een aantal retail tracking bedrijven het voortouw genomen om een

code of conduct op te stellen.204 De code of conduct voorziet in een handhaafbaar zelfregulerend kader waar principes in zijn opgenomen waar de deelnemende mobile

location analytics bedrijven zich aan dienen te houden. Er zijn onder andere regels in

opgenomen over een informatieverplichting, beperking van de gegevensverzameling, opt- out mogelijkheid, beperking van doeleinden waarvoor de gegevens verzameld mogen worden en bewaartermijnen.

§3.2. Case: FTC - Nomi Technologies, Inc.

De FTC is in 2013 een onderzoek gestart naar Nomi Technologies, Inc. (Nomi), 205 een retail

tracking technologie aanbieder in de Verenigde Staten. De FTC heeft een klacht tegen Nomi uitgebracht en in een consent agreement de schikking met Nomi neergelegd. Hieronder staan de feitelijke bevindingen (§3.2.1.), de klacht (§3.2.2.) en de juridische beoordeling van de feiten door de meerderheid van de FTC beschreven (§3.2.3.). De FTC bestaat uit vijf Commissioners waarbij in deze zaak met een drie tegen twee stemming tot een besluit is gekomen. Na de uiteenzetting van de mening van de meerderheid (voorzitter Ramirez, commissaris Brill en commissaris McSweeney), zal vervolgens in deze paragraaf de mening van de twee dissenting commissarissen worden uitgelegd (commissaris

Ohlhausen en commissaris Wright) en de weerlegging hiervan door de meerderheid. De maatregelen zoals neergelegd in het bevel worden daarna besproken (§3.2.4.). Kort zal het commentaar van publiek aangestipt worden tijdens en na de commentaarperiode (§3.2.5.) . §3.2.1. Feitelijke bevindingen

Nomi maakt gebruik van mobile device tracking technologie206 om retail tracking analyse

diensten aan te bieden aan winkeliers. Deze dienst biedt Nomi aan onder de naam ’Listen

service’. Nomi verzamelt, afhankelijk van de locatie of klant, op twee manieren de MAC-

adressen van consumenten. Ten eerste door het plaatsen van sensors in de winkels en ten tweede door reeds bestaande wifi acces points. Daarbij verzamelt ze de signaalsterkte, de maker van het mobiele apparaat (af te leiden uit het MAC-adres), de locatie van de sensor of

202

FTC Mobile Device Tracking, 2014. Zie ook de comments van het Center for Democracy and Technology op de workshop, CDT,

Comments after February 2014 workshop on mobile device tracking (FTC), 19 maart 2014, link..

203

“The Commission staff [...] continues to believe that certain types of sensitive information warrant special protection, such as information

about children, financial and medical information, and precise gelocation data.” FTC Staff report, Protecting Consumer Privacy in an Era of Rapid Change, recommendations for businesses and policymakers, March 2012, p.61.

204

Future of Privacy Forum, Senator Schumer, Mobile Location Analytics, Code of Conduct, 22 oktober 2013, link.

205_{Volgens het zaaknummer: 132 3251. De eerste twee getallen staan voor het jaar dat het onderzoek is gestart, in dit geval 2013. Het}

derde nummer voor het type zaak waarbij de 2 voor consumentenbescherming staat. De laatste vier nummers zijn het zaaknummer. Zie ook: Hoofnagle 2016, p. 105; FTC, agreement containing consent order, File no. 132 3251, Nomi Technologies, Inc.,23 april 2015, link.

het wifi access point die het MAC-adres waarneemt en de datum en tijd van de waarneming.

Voor het opslaan van de MAC-adressen op de server, hasht Nomi de MAC-adressen

cryptografisch. Nomi slaat dus een uniek identificatienummer op voor elk mobiel apparaat. De verzamelde informatie analyseert Nomi vervolgens en brengt daarvan rapport uit aan haar klanten. De analyse bevat informatie over: het percentage consumenten dat de winkel bezoekt tegenover de voorbijgangers, gemiddelde duur van een bezoek, type telefoons van bezoekers, percentage van terugkerende bezoekers in een bepaalde periode en het aantal bezoekers dat ook op andere locaties van de winkelier een bezoek heeft gebracht.

In de periode van januari 2013 tot en met september 2013 heeft Nomi ongeveer 9 miljoen unieke mobiele apparaten geregistreerd. In oktober 2013 had Nomi ongeveer 45 klanten waarbij sommige klanten meerdere winkels op meerdere locaties hadden. Nomi heeft geen lijst van de winkeliers die gebruik maken van de Listen dienst gepubliceerd. Nomi verplicht winkeliers niet om kenbaar te maken dat de winkeliers van de retail tracking technologie gebruik maken en de meeste winkeliers hebben dit tot 22 oktober 2013 ook niet gedaan. Nomi heeft een privacy policy geplaatst op haar website met daarin de volgende belofte:

‘Nomi pledges to … Always allow consumers to opt out of Nomi’s service on its Web site as well as at any retailer using Nomi’s technology.’ Op de website van Nomi kan de consument

daarvoor het MAC-adres van haar apparaten invoeren. Het MAC-adres komt vervolgens op een blacklist te staan waardoor de informatie niet meer wordt opgeslagen bij een bezoek van een winkel met de Listen service. Het was echter onduidelijk voor de consument welke winkeliers van de Listen dienst gebruik maken en of zij ooit zo’n winkel zouden bezoeken. Ondanks de expliciete belofte van Nomi op haar website was het niet mogelijk voor de

In document Privacy in public : een rechtsvergelijkend onderzoek naar de juridische toelaatbaarheid van retail tracking in Nederland en de Verenigde Staten (pagina 31-43)