Zoals eerder beschreven in hoofdstuk 2 (Nederland) en hoofdstuk 3 (de Verenigde Staten) bestaan er grote verschillen tussen wettelijke privacybescherming in beide landen en de juridische kwalificatie van retail tracking. Nederland kent een algemene bescherming van persoonsgegevens (Wet bescherming persoonsgegevens) voorvloeiend uit de Europese Gegevensbescherming richtlijn 95/49/EC. Privacyregulering in de Verenigde Staten daarentegen is sector- en staatspecifiek waardoor er op federaal niveau een incoherente
lappendekken aan bescherming is.245 Dat neemt niet weg dat beide landen de
gemeenschappelijke visie delen dat privacy gewaarborgd dient te worden en waarden zoals autonomie en integriteit delen als basis voor privacy. Beide landen verschillen echter in de
aanpak en benadering van privacyregulering.246
In dit hoofdstuk zullen de overeenkomsten en verschillen tussen beide landen worde
besproken vanuit de eerder genoemde negen punten van vergelijking.247 Om een nuttige
vergelijking te bewerkstelligen wordt allereerst op macro niveau gekeken naar de
achterliggende waarden (§4.1.), rechtstelsels (§4.2.) en toepasselijke wetgeving (§4.3.) in beide landen. Op micro niveau worden de toezichthoudende autoriteiten (§4.4.) en hun sanctiebevoegdheden (§4.5.) vergeleken. Vervolgens worden de onderzoeken van de FTC (Nomi) en van AP (Bluetrace) naast elkaar gelegd en de feitelijke overeenkomsten en
verschillen, de juridische beoordeling en de kritiek op deze onderzoeken bekeken (§4.6.). De juridische kwalificatie van retail tracking (§4.7.) wordt hierna vergeleken, de ontwikkelingen na de onderzoeken (§4.8.) en tot slot de effectiviteit van de handhaving (§4.9.).
§ 4.1. Achterliggende waarden248
In beide landen liggen andere waarden aan privacyregulering ten grondslag waardoor beide
landen ook een andere benadering van privacy hebben.249 In Nederland, en binnen Europa,
is privacy een fundamenteel recht, waaraan de menselijke waardigheid ten grondslag ligt (dignity). In de Amerikaanse visie ligt de waarde liberty ten grondslag aan de regulering van
privacy,250 in de grondwet als bescherming tegen onredelijke huiszoekingen door de
overheid,251 maar ook om vrij te kunnen contracteren. De Amerikaanse wetgever is
daardoor spaarzaam in het reguleren van privacy en gaat hiertoe alleen over als er sterk
bewijs is dat regulering noodzakelijk is.252
245
Hoofnagle 2016, p. 145; K. Bamberger, D.K. Mulligan, Privacy on the books and on the ground, 63 Stanford Law Review, 2010, p. 258.
246
L.A. Bygrave, Data Protection Law, an international perspective, Oxford University Press, 2014, p. 108.
247
Zie ook bijlage 3 voor een overzicht een schematische weergaven van beide landen, wetgeving, toezichthouders en cases.
248
Zie ook bijlage 4.
249 J.Q. Whitman, The two western cultures of privacy; dignity versus liberty, research paper no. 64, Yale Law Journal, Volume 113, April
2004, link; C.J. Hoofnagle, Federal Trade Commission privacy law and policy, New York: Cambridge University Press 2016, p.306.
250
J.Q. Whitman, 2014.
251 Fourth amendment van de United States Constitution: ‘The right of the people to be secure in their persons, houses, papers, and effects,
against unreasonable searches and seizures, shall not be violated, and no warrants shall issue, but upon probable cause, supported by oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized.’
44
§ 4.2. Rechtstelsels253
Nederland kent een gesloten stelsel van rechtsregels waar alle gegevensverwerkingen aan dienen te voldoen. De omnibusregulering in Nederland staat tegenover de sectorspecifieke regulering in de Verenigde Staten. In Nederland is een gegevensverwerking slechts
toegestaan als dit gerechtvaardigd kan worden op grond van één van de grondslagen uit de
wet254 en voldoet aan de eisen in de Wbp. In de Verenigde Staten is daarentegen elke
verwerking toegestaan, tenzij er een specifieke wet is die dit verbiedt.255 Wanneer er privacy
wetgeving is, is deze ook minder verstrekkend in haar bepalingen. Er zijn bijvoorbeeld geen regels met betrekking tot de doorgifte van gegevens naar derde landen en er is geen
beginsel van doelbinding (zoals in artikel 9 Wbp) in de Amerikaanse regulering.256
In de Verenigde Staten wordt grote waarde gehecht aan de vrijheid van meningsuiting waarbij in de afweging tussen privacy en de vrijheid van meningsuiting sneller meer gewicht wordt toegekend aan de vrijheid van meningsuiting dan dit in Nederland het geval zou zijn.257
Bij privacy speelt in Nederland het leerstuk van oneerlijke handelspraktijken een afwezige
rol.258 Toezicht en handhaving in de Verenigde Staten is afhankelijk van de vraag of er
sprake is van een oneerlijk handelspraktijk.259
§ 4.3. Toepasselijke wetgeving260
In Nederland is de Wet bescherming persoonsgegevens van toepassing op elke verwerking van persoonsgegevens. In de Verenigde Staten is de Federal Trade Commission Act van toepassing op misleidende en oneerlijke handelspraktijken waar privacy overtredingen ook
onder kunnen vallen. Beide zijn technologieneutraal vormgegeven.261
§ 4.4. Toezichthoudende autoriteiten262
Vanwege het ontbreken van algemene federale privacyregulering, ontbreekt ook een
toezichthoudende autoriteit op federaal niveau in de Verenigde Staten263 zoals de
Nederland de AP kent. De FTC kan de facto als een vergelijkbare autoriteit worden
beschouwd.264 Ondanks dat veel onderwerpen op federaal niveau ongereguleerd zijn,
worden deze alsnog gereguleerd door de FTC. Veel bedrijven hebben tegenwoordig een
privacy policy welke de FTC handhaaft.265 Op grond van sectie 5 van de Federal Trade
253 Zie ook bijlage 5. 254
Artikel 8 Wbp.
255 Rubinstein, van Eijk, Weitzner 2015, p.19; Hoofnagle 2016, p.310. 256 Bygrave 2014, p. 110.
257
Bygrave 2014,, p.111.
258
Kannekens, van Eijk 2016.
259 N.A.M.N. van Eijk, Normatief toetsingskader voor gegevensverwerking, NJB 2016/1072, 31 mei 2015 Hoofnagle 2016, p. 145; Bamberger,
Mulligan 2010, p. 120.
260 Zie ook bijlage 6. 261
Kamerstukken II 1997 – 1998, 25 892, nr. 3, Regels inzake de bescherming van persoonsgegevens (Wet bescherming persoonsgegevens), Memorie van toelichting,p.6-7; Hoofnagle 2016, p. 120.
262 Zie ook bijlage 7. 263
Bygrave 2014, p.111.
264
Bygrave 2014, p.178.
45
Commission Act kan de FTC actie ondernemen wanneer het misleidende en oneerlijke handelspraktijken constateert. Daarnaast heeft de FTC de taak om verhaal te halen wanneer consumenten schade hebben ondervonden, regulering voor de handel vast te stellen om misleidende en oneerlijke praktijken te voorkomen, onderzoek te doen,
rapporten te schrijven en aanbevelingen voor wetgeving te doen.266 De AP ziet toe op de
naleving en toezicht op de Wet bescherming persoonsgegevens en geeft advies omtrent nieuwe wetgeving. Ook heeft AP een informatieverstrekkende functie en is het belast met
internationale taken.267
De FTC houdt toezicht en handhaaft 73 wetten tegenover de AP die ‘slechts’ op de Wbp toeziet. Daarentegen kan de AP in meer gevallen ingrijpen en is de bevoegdheid van de FTC beperkt tot oneerlijke handelspraktijken of sectorspecifieke wetten.
Beide autoriteiten kunnen, op basis van een klacht of zelfstandig, onderzoek instellen naar vermoedelijke overtredingen van de wetgeving. De AP heeft daarbij een meer
fundamenteel rechtelijke benadering om het grondrecht van bescherming van
persoonsgegevens te handhaven. De FTC heeft een meer economisch perspectief gericht op de consument waarbij het probeert oneerlijke handelspraktijken te voorkomen, maar
tegelijkertijd ook niet het bedrijfsleven onnodig wil belasten.268
§ 4.5. Sancties269
De competentiesfeer van de FTC is weliswaar kleiner dan de AP, maar het is geen tandloze
tijger.270 De FTC kan zwaardere sancties opleggen dan de AP. Een consent order opgelegd
door de FTC heeft doorgaans een duur van 20 jaar waarin de activiteiten van de
onderneming nauwlettend in de gaten worden gehouden door de FTC.271 De AP kan boetes
opleggen, sinds 1 januari 2016, tot € 820.000, na het geven van een bindende aanwijzing. Ook kan het een last onder dwangsom opleggen. Met ingang van de Privacy Verordening
kunnen de Europese toezichthouders zoals de AP flink hogere boetes geven.272
§ 4.6. Cases273
§ 4.6.1. Feitelijke bevindingen § 4.6.1.1 Overeenkomsten
Er bestaan meerdere overeenkomsten tussen de onderzoeken naar Bluetrace en Nomi. Allereerst richten beide bedrijven zich op retail tracking technologie waarbij zij gebruik
maken van wifi-tracking274 en daarbij het MAC-adres als identificatiemiddel gebruiken. De
266
Sectie 5 Federal Trade Commission Act.
267 Artikel 51 Wbp. 268
Volgens de missie van de FTC.
269 Zie ook bijlage 8. 270
Bygrave 2014, p.177.; Hoofnagle 2016, p. 98; Rubinstein, van Eijk, Weitzner, 2015, p.19.
271
Bygrave 2014, p.111.
272 Artikel 83 Avg. 273
Zie ook bijlage 9.
274
Bluetrace biedt ook bluetooth-tracking technologie aan en Nomi biedt tevens de mogelijkheid aan tot het lokaliseren van consumenten door registratie van MAC-adressen via wifi acces points.
46
meetgegevens worden door ontvangst van een sensor geregistreerd en naast dat Nomi ook de maker van het apparaat registreert, komen ook de gemeten gegevens overeen. De informatie die de bedrijven vervolgens uit de analyse van de gemeten gegevens halen is gelijk; tellingen, mobiliteit en bezoekfrequentie. Ook hashen beide bedrijven de gemeten gegevens, al kiezen zij hier een ander moment voor. De winkeliers die gebruik maken van de retail tracking dienst voorzien de consumenten niet in informatie en de Nomi en Bluetrace hebben hierover ook geen contractuele afspraken met de winkeliers gemaakt. Het is niet bekend welke winkeliers gebruik maken van de diensten van de bedrijven. § 4.6.1.2. Verschillen
Het rapport van de AP over Bluetrace is uitgebreider dan de consent agreement van de FTC en Nomi, waardoor er minder bekend is over de werkwijze van Nomi en hoe de FTC dit beoordeelt. De informatie die ontbreekt is het aantal sensoren per winkel, of er gebruik wordt gemaakt van triangulatie, de duur van de metingen, gebruik van aanvullende gegevens, profileringen en wat de bewaartermijnen zijn. Nomi hasht de meetgegevens op een eerder moment, namelijk op het moment van opslaan op de server tegenover de praktijk van Bluetrace om de gegevens na drie weken te hashen. Daarnaast heeft Nomi een privacy policy op haar website met daarin informatie over de gegevensverwerkingen en de doelen en biedt zij daarin (één werkelijke) opt-out mogelijkheid aan. Bluetrace had op het moment van onderzoek geen privacy policy en bood ook geen opt-out mogelijkheden aan. Indien Bluetrace wel aan de informatieverplichting had voldaan, zou dit weliswaar een positievere beoordeling door de AP hebben opgeleverd, maar was Bluetrace nog steeds in overtreding geweest van de Wbp.
§ 4.6.2. Juridische beoordeling
Beide autoriteiten bestempelen wifi-tracking technologie als een technologie die voordelen voor de consument kan brengen, maar waaraan ook privacyrisico’s kleven. De verzamelde gegevens zijn namelijk locatiegegevens en door de autoriteiten al eerder als gevoelig zijn aangemerkt. De autoriteiten komen echter tot een andere conclusie met betrekking tot de juridische toelaatbaarheid van retail tracking. De AP komt op basis van de vereisten uit de Wbp tot de conclusie dat retail tracking onder voorwaarden toelaatbaar is. De FTC
benadrukt dat retail tracking toegestaan is, maar dat informatie in de privacy policy juist dient te zijn. Dit is te verklaren aan de hand van de rechtstelsels en de benadering van privacy hierin zoals naar voren kwam in §4.1., §4.2. en §4.3. In Nederland dient voldaan te zijn aan de wettelijke vereisten zoals neergelegd in het gesloten stelsel van de Wbp. In de Verenigde Staten is er geen sectorspecifieke regulering voor (retail) tracking. Daardoor beoordeelt de FTC retail tracking onder het open normen-stelsel waarbij ze kijkt of er sprake is van een oneerlijke handelspraktijk. Aangezien er in dit geval sprake was van verkeerde inlichtingen aan de consument, was er sprake van een misleidende praktijk. Ook de gevolgen van het onderzoek voor de Bluetrace en Nomi vallen te verklaren vanuit de functie van de toezichthoudende autoriteiten. Zoals ook uit §4.5. en §4.6. blijkt is weliswaar de competentiesfeer van de FTC beperkter, de FTC heeft de bevoegdheid om zwaardere
47
sancties op te leggen dan de AP die een grotere competentiesfeer bestrijkt. Nomi heeft een verbod opgelegd gekregen om misleidende informatie te verstrekken en is verplicht om gedurende 20 jaar periodiek verslag uit te brengen aan de FTC. De AP daarentegen heeft nog geen maatregelen opgelegd ruim een half jaar na het uitbrengen van het rapport.
§ 4.7. Juridische kwalificatie275
Zoals ook uit de vergelijking tussen de rechtssystemen naar voren komt, valt retail tracking onder de privacyregulering in beide landen. Echter in Nederland is in beginsel niet elke gegevensverwerking zonder meer toegestaan. Retail tracking dient in overeenstemming te gebeuren met de eisen neergelegd in de Wbp, zoals het voorzien van informatie en het voldoende waarborgen van de bescherming van de privésfeer van de consument. In de Verenigde Staten is elke gegevensverwerking in beginsel toegestaan, tenzij er sector (of staat) specifieke regulering op dat gebied is. Retail tracking is derhalve toegestaan, mits deze geen oneerlijke handelspraktijken vormen. Retail tracking is derhalve toegestaan in beide landen, het bieden van een opt-out is niet vereist en beide toezichthoudende autoriteiten houden de technologie in de gaten.
§ 4.8. Ontwikkelingen276
De discussie over bescherming van de privacy woedt in beide landen. Europa, en dus
Nederland, poogt met de nieuwe Privacy Verordening de privacy beter te waarborgen. In de Verenigde Staten bestaat geen meerderheid voor het aannemen van de voorgestelde verandering van wetgeving door de invoering van de Consumer Privacy Bill of Rights op dit moment.
§ 4.9. Effectiviteit handhaving277
Uit de vergelijking van twee zaken bij de toezichthoudende autoriteiten valt uit uiteraard niet op te maken hoe effectief de handhaving in het algemeen is. Wel kunnen een aantal zaken naar voren worden gebracht. Allereerst hebben beide autoriteiten de nodige kennis in huis. Uit de informatievoorzieningen (FTC workshops en blogs) en onderzoeken
(Bluetrace zeer uitgebreid, Nomi iets beknopter) blijkt dat de technische kennis aanwezig is. Nieuw ontwikkelende technologieën worden tijdig opgemerkt door de autoriteiten en onder de loep genomen. Beide autoriteiten genieten gezag en respect in hun landen, alhoewel zij ook af en toe kritiek te verduren krijgen. Voor een effectieve handhaving is het naast aanwezige kennis en het genieten van gezag, van belang dat de autoriteiten
voldoende middelen tot haar beschikking hebben en de sanctiebevoegdheden toereikend zijn.
Gezien de grote taak die beide autoriteiten voorligt, enerzijds privacy handhaving in Nederland en anderzijds handhaving van 73 wetten in de Verenigde Staten, zijn beide autoriteiten karig uitgerust wat betreft personeel en budgettechnisch gezien. Ze kunnen
275
Zie ook bijlage 10.
276
Zie ook bijlage 11.
48
maar bij een (heel) klein aantal van de overtredingen actie ondernemen hierdoor. Niet voor niks was de kritiek op de Nomi zaak dat gezien de beperkte handhavingmogelijkheden van de FTC, zij in dit geval van handhaving hadden moeten afzien. Niet vanwege het feit dat er geen overtreding was. De AP kiest jaarlijks vijf focusgebieden,vanwege de beperkte capaciteit, waar zij voornemens zijn te handhaven. Dit komt uiteraard de naleving van de privacyregulering niet ten goede in beide landen.
Voor een effectieve handhaving dienen de sancties een preventieve werking te hebben en dus bedrijven af te schrikken om een overtreding te begaan, een handhavende functie om daadwerkelijk te kunnen ingrijpen wanneer een overtreding is begaan en een
gedragsveranderende functie om de overtreding te kunnen op heffen.
De AP en FTC hebben beide andere handhavingsinstrumenten tot hun beschikking. De AP kan na het geven van een bindende aanwijzing boetes opleggen aan overtreders van de Wbp tot een bedrag van € 820.000. De boetemogelijkheid is per 1 januari 2016 hiertoe verhoogd met als doel om een preventieve werking te hebben. Ook kan AP een last onder dwangsom opleggen waardoor een bedrijf genoodzaakt zal zijn om haar gedrag aan te passen. De FTC heeft alleen via de rechter of via specifieke bevoegdheden de mogelijkheid om boetes op te leggen. De praktijk om langdurige afspraken in consent agreements vast te leggen heeft zowel een preventieve als gedragsveranderende functie. Doordat de consent
agreements een lange tijdsperiode bestrijken met intensieve verplichtingen, lopen bedrijven
liever niet het risico om voorwerp te worden van FTC onderzoek. Daarnaast brengt een FTC onderzoek een flinke dosis slechte publiciteit voor een bedrijf mee. In feite is de
boetebevoegdheid van de AP na het opleggen van een bindende aanwijzing en de last onder dwangsom vergelijkbaar met de boetebevoegdheid van de FTC die na overtredingen van de consent order ook een boete van $ 16.000 per overtreding kan opleggen. Beide zijn allereerst gericht op gedragsverandering en vervolgens kan er bestraffend worden
opgetreden. Beide autoriteiten ontbreekt de mogelijkheid om directe sancties op te leggen. Hoe effectief is de handhaving van retail tracking in de Bluetrace en Nomi zaken? In beide landen wordt retail tracking nog op grote schaal toegepast. De AP heeft recentelijk
aangegeven dat wifi-tracking toch echt aan de eisen van de Wbp dient te voldoen. Het feit dat na een groot onderzoek na Bluetrace, de praktijken van andere retail tracking
aanbieders nog niet is veranderd en zelfs gemeentes meedoen met het volgen van burgers om winkelstromen vast te leggen, geeft wel aan dat de huidige boetebevoegdheden geen afschrikkende werking hebben. In de Verenigde Staten is retail tracking toegestaan. Nomi is, naar het schijnt, gestopt met het aanbieden van de service, en is deels overgenomen voor Point Grey. Mogelijk een teken dat de negatieve publiciteit die met een FTC onderzoek mee zich mee brengt toch fataal kan zijn.
49
Conclusie
Een duidelijke juridische kwalificatie van een nieuwe technologie draagt bij aan een
beperking van de risico’s voor de betrokkenen. In deze scriptie is vanuit negen verschillende vergelijkingspunten gekeken naar de juridische positie van retail tracking in Nederland en de Verenigde Staten. Retail tracking is het opvangen van wifi-signalen van mobiele apparaten van consumenten om het verplaatsingsgedrag te registeren en analyseren om bedrijfseconomische inzichten te verwerven. Zowel de consument als de markt heeft baat bij toepassing van de technologie. Aan de zijde van de consument zijn er risico’s voor de bescherming van de privésfeer.
Uit het onderzoek naar de juridische positie binnen het Nederlandse rechtskader blijkt dat retail tracking is toegestaan in Nederland, mits voldaan aan de vereisten neergelegd in de Wbp. Daarin speelt mee dat de bescherming van persoonsgegevens een fundamenteel recht is in Nederland en omdez reden moeten alle gegevensverwerkingen gebaseerd zijn op een wettelijke grondslag. Winkeliers en retail tracking technologie aanbieders dienen de bewaartermijnen te minimaliseren, te voldoen aan hun informatieverplichtingen en de metingen te beperken in ruimte en tijd. De analyse van de Bluetrace-zaak laat zien dat de AP zich zorgen maakt om de ontwikkeling van retail tracking, de toeneembare navolgbare samenleving en het gebrek aan transparantie hierin. Retail tracking blijft op het vizier van de Nederlandse toezichthoudende autoriteit staan, zo blijkt ook uit de recentelijke brieven die de AP stuurde aan de Detailhandel Nederland en de Nederlandse Vereniging
Gemeenten. De communicatie en publiciteit rondom het Bluetrace-rapport heeft dus klaarblijkelijk niet het effect gehad dat de toepassing van retail tracking zich binnen de grenzen van de wet begeeft.
Uit het onderzoek naar de juridische positie binnen het Amerikaanse rechtskader blijkt dat retail tracking is toegestaan in de Verenigde Staten, mits de praktijken niet misleidend of oneerlijk zijn. In de Verenigde Staten waar liberty als waarde ten grondslag ligt aan de regulering van privacy, worden alleen de sectoren gereguleerd waar de verzamelde en verwerkte gegevens gevoelig worden geacht. Retail tracking valt niet binnen een gereguleerde sector, maar wordt beoordeeld onder het leerstuk van misleidende en
oneerlijke handelspraktijken van de FTC. De Nomi-zaak toont dat tracking is toegestaan en dat daarbij niet bepaalde waarborgen zijn vereist. De keuze van de Verenigde Staten om een staats- en sectorspecifieke regeling van privacy te implementeren biedt de ruimte om een grotere rol aan de regulerende werking van de markt toe te kennen. Zelfregulerende initiatieven zoals de Code of Conduct in retail tracking krijgen de ruimte vanwege het ontbreken van regulering op federaal niveau. De Nomi-zaak toont ook dat de FTC Act op elke nieuwe technologie van toepassing is en hiermee wordt wederom bevestigd dat bedrijven hun beloften in hun privacy policy dienen na te komen en periodiek dienen te herzien.
50
De vergelijking tussen Nederland en de Verenigde Staten op basis van de negen