Do Not Track : een verbetering of bedreiging voor de online privacy?

(1)

Do Not Track: een verbetering of bedreiging voor de online privacy?

Universiteit van Amsterdam

Master scriptie – informatierecht November 2014

Cathy Groen – 10047700

Scriptie begeleider – dhr. Zuiderveen-Borgesius

(2)

Inhoudsopgave

INLEIDING 3

HOOFDSTUK 1. 5

§ 1.1 WAT IS DO NOT TRACK? 5

§ 1.2 WAAROM EEN DO NOT TRACK STANDAARD? 8

§ 1.3 DISCUSSIE OMTRENT DE BETEKENIS VAN DO NOT TRACK 10 § 1.4 DRIE PROBLEMEN OMTRENT PRIVACYBESCHERMING OP HET INTERNET 12

HOOFDSTUK 2. 18

§ 2.1 DO NOT TRACK TEN OPZICHTE VAN ARTIKEL 11.7A VAN DE TELECOMMUNICATIEWET 18 § 2.2 DO NOT TRACK IN HET LICHT VAN GEÏNFORMEERDE TOESTEMMING 20

HOOFDSTUK 3. 24

§ 3.1 DE LACUNES IN DO NOT TRACK MET BETREKKING TOT DE DRIE PROBLEMEN OMTRENT PRIVACYBESCHERMING OP

HET INTERNET 24

§ 3.2 HET EFFECT VAN DE LACUNES IN DO NOT TRACK OP DE DRIE PRIVACYPROBLEMEN 26 § 3.3 KAN DO NOT TRACK DE DRIE GEANALYSEERDE PROBLEMEN OMTRENT ONLINE PRIVACY VERHELPEN? 28

HOOFDSTUK 4. 30

§ CONCLUSIE & AANBEVELINGEN 30

DANKWOORD 34

(3)

In deze scriptie zullen steeds de Tracking Preference Expression van 24 april 2014 en de Tracking Compliance and Scope van 7 augustus 2014 van het W3C geraadpleegd worden. Eventuele documenten van het W3C van een latere datum zullen niet worden meegenomen in het onderzoek.

Inleiding

Privacy is het recht om met rust gelaten te worden zoals Warren & Brandeis vaststelden in hun legendarische artikel ‘The Right to Privacy’.1

Beschermd door de nodige wetgeving mag het individu bepalen wat in de openbaarheid komt en wat in de privésfeer blijft.2_{Een groot deel van de regelgeving omtrent online}

privacybescherming is gebaseerd op het principe van geïnformeerde toestemming.3 Het idee is dat informatie aan de internetgebruiker wordt verstrekt betreffende hetgeen waarvoor toestemming wordt gevraagd. Hierna kan de gebruiker de keuze maken om wel of geen toestemming te verlenen. Met deze benadering van online privacybescherming wordt enigszins over het hoofd gezien dat internetgebruikers de verstrekte informatie over het algemeen niet lezen alvorens toestemming te geven.4 Daarnaast geven internetgebruikers tijdens hun online activiteiten met regelmaat vrijwillig gegevens over zichzelf prijs die de meeste mensen niet zomaar aan een vreemde zouden verstrekken. Hierbij valt te denken aan het verstrekken van e-mailadressen, het versturen van privéberichten via sociale media en het online regelen van financiële zaken.5

1_{S.D. Warren & L. D. Brandeis, ‘The Right to Privacy’, Harvard Law Review, december 1890, vol. VI(5), p. 205.} 2_{Europees Verdrag voor de Rechten van de Mens, artikel 8; zie ook: Handvest van de Grondrechten van de} Europese Unie, artikel 7 & 8.

3_{Richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 tot wijziging van} Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot

elektronischecommunicatienetwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die

verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming (e-Privacyrichtlijn), artikel 5.3; naar nationaal recht omgezet in artikel 11.7a Telecommunicatiewet.

4_{A.M. McDonald & L.F. Cranor, ‘The Cost of Reading Privacy Policies’, I/S: A Journal of Law and Policy for the}

Information Society, vol. 4(3), 2008-2009, p. 563.

5_{H.R. Lozada, G.H. Kritz & A. Mintu-Wimsatt, ‘The Challenge of Online Privacy to Global Marketers’, Journal of}

(4)

Bij veel internetgebruikers ontbreekt het bewustzijn dat hun data door bedrijven verzameld wordt.6_{Het verzamelen van data van internetgebruikers gebeurt vaak door middel van} tracking waarmee het volgen van online surfgedrag wordt bedoeld. Op die manier verzamelde data worden gebruikt om adverteerders, tegen betaling, de mogelijkheid te geven gepersonaliseerde advertenties aan internetgebruikers te tonen.7

Om internetgebruikers in staat te stellen meer controle op de eigen privacy uit te oefenen wordt sinds 2011 aan een Do Not Track standaard gewerkt.8 Internetgebruikers kunnen door middel van een browserinstelling communiceren of zij akkoord gaan met tracken. DNT:0 betekent dat de gebruiker geen bezwaar heeft tegen het volgen van diens online gedrag en DNT:1 houdt in dat de gebruiker niet wil worden getrackt.9 Over de definitie van Do Not Track bestaat op dit moment geen consensus. Het grootste discussiepunt is of Do Not Track daadwerkelijk niet volgen betekent of dat de betekenis dichter bij ‘do not target’ ligt.10 Als Do Not Track eigenlijk ‘do not target’ betekent dan kunnen internetgebruikers ondanks een DNT:1 voorkeur worden getrackt waardoor weinig sprake is van transparantie of

privacybescherming. Als het resultaat van de DNT:1 voorkeur is dat de gebruiker wel wordt getrackt maar als gevolg hiervan geen gepersonaliseerde advertenties worden getoond, dan is de term misleidend omdat de gebruiker alsnog online wordt gevolgd, anders dan het begrip ‘Do Not Track’ doet vermoeden.

In deze scriptie staat de volgende onderzoeksvraag centraal: Kan de Do Not Track standaard van het W3C de online privacy verbeteren?

De opbouw van deze scriptie is als volgt. In hoofdstuk 1 paragraaf 1.1 wordt het begrip ‘Do Not Track’ uitgelegd waarna in paragraaf 1.2 wordt besproken waarom een Do Not Track

6_{Federal Trade Commission, ‘Protecting Consumers in the Next Tech-ade: A Report by the Staff of the Federal} Trade Commission’, March 2008, p. 11, beschikbaar op:

http://www.ftc.gov/sites/default/files/documents/reports/protecting-consumers-next-tech-ade-report-staff-federal-trade-commission/p064101tech.pdf, laatst bezocht op: 10 november 2014.

7_{J. Schinasi, ‘Practicing privacy online: examining data protection regulations through Google's global} expansion’, Colombia Journal of Transnational Law, 2014, vol. 52(2), p. 569.

8_{Tracking Protection Working Group Charter, aanhef, beschikbaar op:} http://www.w3.org/2011/tracking-protection/charter, laatst bezocht op 12 november 2014.

9_{W3C Last Call Working Draft 24 April 2014, ‘Tracking Preference Expression (DNT), inleiding, beschikbaar op:} http://www.w3.org/TR/2014/WD-tracking-dnt-20140424/, laatst bezocht op 12 november 2014.

10_{F. Zuiderveen Borgesius, ‘Behavioral Targeting, a European Legal Perspective’, IEEE Security & Privacy, januari} 2013, vol. 11, no. 1, p. 85.

(5)

standaard eventueel wenselijk is. In paragraaf 1.3 staat de discussie die bestaat omtrent de betekenis van Do Not Track centraal, waarna in paragraaf 1.4 drie problemen omtrent online privacy worden besproken. In hoofdstuk 2 staat de regelgeving centraal. In paragraaf 2.1 wordt de telecommunicatiewet ten opzichte van Do Not Track besproken waarna in paragraaf 2.2 wordt bekeken of Do Not Track kan voldoen aan het principe van

geïnformeerde toestemming. Hier wordt onder andere de vraag gesteld of een standaard vooringestelde Do Not Track voorkeur het verstrekken van meer informatie aan de gebruiker kan afdwingen. In paragraaf 3.1 worden de lacunes in Do Not Track met betrekking tot de in paragraaf 1.4 besproken privacyproblemen onderzocht. In 3.2 wordt besproken welk effect de lacunes in Do Not Track op de geanalyseerde privacyproblemen hebben. Tot slot wordt in paragraaf 3.3 geanalyseerd of Do Not Track de drie privacyproblemen kan verhelpen waarna in hoofdstuk 4 de conclusie en aanbevelingen te vinden zijn.

Hoofdstuk 1.

§ 1.1 Wat is Do Not Track?

Do Not Track is het beste te omschrijven als een browserinstelling die de voorkeur

betreffende het tracken van een internetgebruiker doorgeeft aan websites. Deze voorkeur wordt gecommuniceerd door middel van een HTTP mechanisme.11_{Wanneer een}

internetgebruiker de browser instelt op Do Not Track wordt een verzoek gestuurd aan web servers om geen online surfgedrag te volgen.12_{Vervolgens is de website aan zet, die de} keuze heeft om de voorkeur wel of niet te honoreren. Denkbare reacties zijn niet tracken of wel tracken maar niet targeten. Als de website ervoor kiest om te tracken dan wordt het online gedrag van de internetgebruiker gedurende een bepaalde periode bijgehouden zodat een beeld kan worden gevormd van deze persoon.13 Iemand die bijvoorbeeld veel op

modeblogs kijkt is waarschijnlijk een modeliefhebber en misschien wel op zoek naar een nieuw mode item. Nadat informatie is verzameld kan een gedetailleerd profiel van deze

12_{N. Doty & D.K. Mulligan, ‘Internet Multistakeholder Processes and Techno-Policy Standards: Initial} Reflections on Privacy at the World Wide Web Consortium’, J. on Telecomm. & High Tech.L., 2013, vol. 11, p. 149.

13_{F. Zuiderveen Borgesius, ‘Behavioral Targeting, a European Legal Perspective’, IEEE Security & Privacy, januari} 2013, vol. 11, no. 1, p. 82.

(6)

persoon worden gevormd waardoor een advertentie kan worden afgestemd op de

interesses van de gebruiker. In zo een gepersonaliseerde advertentie kan bijvoorbeeld een eerder door de gebruiker bekeken item worden getoond.

In de EU is het idee dat geen voorkeur instellen zou betekenen dat bedrijven niet mogen tracken.14 In de VS, waar geen wet aangaande databescherming bestaat, zou geen voorkeur instellen betekenen dat bedrijven de gebruiker mogen tracken.15 Zowel de Federal Trade Commission (hierna: FTC), de Amerikaanse privacy toezichthouder, als de Europese Commissie hebben gewezen op het belang van een discussie tussen de meerdere

belanghebbenden betreffende de privacy problemen omtrent online tracken. Het Do Not Track initiatief van het W3C biedt ruimte voor belanghebbenden om in discussie te gaan en gezamenlijk een standaard vast te stellen.16 De Do Not Track standaard wordt, ten tijde van het schrijven van deze scriptie, ontwikkeld door de Tracking Protection Working Group (hierna: TPWG) van het World Wide Web Consortium (hierna: W3C). Het W3C bestaat uit leden die deelnemen aan het ontwikkelen van technische internet standaarden.17

Er zijn mogelijkheden waarmee de internetgebruiker zelf diens online privacy en de bescherming van persoonsgegevens kan vergroten. E-mails en andere berichten kunnen worden voorzien van encryptie waarbij gegevens worden versleuteld met een code. Advertenties kunnen worden geblokkeerd met een Adblocker of er kan een zoekmachine,

verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming (e-Privacyrichtlijn), artikel 5.3.

15_{F. Zuiderveen Borgesius, ‘Consent to Behavioural Targeting in European Law –What are the Policy}

Implications of Insights from Behavioural Economics?’, Amsterdam Law School Research Paper, juli 2013, nr. 2013-43, p. 20.

(7)

zoals DuckDuckGo, worden gebruikt die haar gebruikers niet online volgt.18 Helaas kent een groot percentage van internetgebruikers het bestaan van deze mogelijkheden niet.19

De Do Not Track standaard moet internetgebruikers een effectieve opt-out mogelijkheid geven. De bedoeling is om een algemeen geaccepteerde standaard vast te stellen waaruit voor bedrijven en internet service providers richtlijnen ontstaan die gevolgd dienen te worden wanneer internetgebruikers aangeven niet of juist wel te willen worden getrackt.20 Hierdoor moet de privacy van internetgebruikers worden vergroot en de

informatieverstrekking worden verbeterd.21 Wat de internetgebruiker het beste dient is een praktische manier om een Do Not Track voorkeur te communiceren. De DNT:1 voorkeur geeft via een browserinstelling aan websites de opdracht de gebruiker niet te volgen.22 Hierdoor kunnen bedrijven gehinderd worden de gebruiker te volgen en op basis hiervan gepersonaliseerde advertenties te tonen. Het W3C benadrukt in het document van 24 april 2014 dat een DNT:1 voorkeur niet altijd gehonoreerd kan worden door servers of websites die voor het leveren van hun dienst afhankelijk zijn van bepaalde tracking cookies of vergelijkbare technieken.23_{Het is zodoende voor de internetgebruiker niet duidelijk of zijn} voorkeur zal worden gerespecteerd.

De Do Not Track standaard moet duidelijkheid scheppen voor partijen zoals bijvoorbeeld adverteerders hoe te handelen wanneer zij te maken krijgen met een Do Not Track

voorkeur. Als door middel van een overeengekomen Do Not Track standaard vooraf wordt bepaald welke reactie websites en bedrijven zullen geven schept dit duidelijkheid voor beide partijen en wordt de informatiepositie van de internetgebruiker versterkt.

Eurocommissaris Neelie Kroes waarschuwt voor het verwateren en verder uitkleden van de Do Not Track standaard door toedoen van druk van adverteerders.24 Zij benadrukt dat de

18_{P. Carey, ‘Online privacy – tough to achieve’, Investigate (online), 2013, vol. 10(139), p. 36 & 37.} 19_{P. Carey, ‘Online privacy – tough to achieve’, Investigate (online), 2013, vol. 10(139), p. 36.}

20_{W3C Last Call Working Draft 24 April 2014, ‘Tracking Preference Expression (DNT), § 1, beschikbaar op:} http://www.w3.org/TR/2014/WD-tracking-dnt-20140424/, laatst bezocht op 12 november 2014.

23_{W3C Last Call Working Draft 24 April 2014, ‘Tracking Preference Expression (DNT), § 1, beschikbaar op:} http://www.w3.org/TR/2014/WD-tracking-dnt-20140424/, laatst bezocht op 12 november 2014. 24_{N. Kroes, ‘Online privacy and online business: An update on Do Not}

(8)

standaard om het principe van geïnformeerde toestemming draait. Hierdoor moeten gebruikers voorzien worden van transparante informatie en controle over hun privacy krijgen.

Om succesvol te zijn moet een internet standaard makkelijk implementeerbaar zijn. Daarnaast moet er sprake zijn van consensus over de betekenis van de standaard.25

Hierdoor wordt de kans op naleving van de standaard vergroot waardoor de kans van slagen toeneemt. Voor de TPWG is het succes criterium dat zij met de Do Not Track standaard erin slagen tot stabiele aanbevelingen betreffende track specificaties te komen. Het is de

bedoeling dat implementatie door de online marketingindustrie wordt bereikt en tevens naleving van de standaard plaats vindt.26 De TPWG kan implementatie van de standaard niet afdwingen, maar kan wel monitoren hoe bedrijven die de standaard implementeren dit doen.27

§ 1.2 Waarom een Do Not Track standaard?

Het is gewenst om de online privacy voor internetgebruikers te verbeteren. Do Not Track moet hierbij helpen door internetgebruikers de mogelijkheid te bieden om via een eenvoudige instelling de tracking voorkeur kenbaar te maken.28_{Verschillende online} privacyproblemen vragen om een oplossing die de internetgebruiker meer controle op de eigen privacy geeft. Drie van deze privacyproblemen worden in deze scriptie belicht (een uitgebreid overzicht is te vinden in paragraaf 1.4).

Wanneer om toestemming voor het plaatsen van tracking cookies wordt gevraagd wordt hieromtrent regelmatig informatie aangeboden aan de internetgebruiker.

Track’, 11 oktober 2012, p. 2, beschikbaar op:

http://europa.eu/rapid/press-release_SPEECH-12-716_en.htm?locale=en, laatst bezocht op 7 november 2014.

26_{Tracking Protection Working Group Charter, § 1.1, beschikbaar op:} http://www.w3.org/2011/tracking-protection/charter, laatst bezocht op 12 november 2014.

27_{Tracking Protection Working Group Charter, § 1, beschikbaar op:} http://www.w3.org/2011/tracking-protection/charter, laatst bezocht op 12 november 2014.

28_{J. Kohnstamm, ‘Online tracking: to collect or not to collect, that’s the question…’, oktober 2012, p. 1,} beschikbaar op: http://www.cbpweb.nl/downloads_med/art_2012_kohnstamm_online_tracking.pdf, laatst bezocht op 10 november 2014.

(9)

Hoewel de benodigde informatie vaak aanwezig is blijkt de hoeveelheid groot en vaak zo complex dat deze nauwelijks gelezen wordt.29_{Websites die een systeem gebruiken dat} statistieken bijhoudt over het aantal bezoekers en hun interesses zoals Google analytics, stellen hun bezoekers hiervan zelden op de hoogte.30 Het uitschakelen van deze vorm van tracking is niet eenvoudig, zeker niet voor de gemiddelde gebruiker.31 In laatstgenoemd voorbeeld is zelfs geen sprake van toestemming en ontbreekt de informatie in zijn geheel. Zodoende is controle op de eigen privacy ver te zoeken.

Hoewel internetgebruikers zeggen online privacy belangrijk te vinden lijkt slechts een klein percentage daadwerkelijk actie te ondernemen om de eigen privacy te verbeteren. 32 Bij internetgebruikers leeft vooral de angst dat hun persoonsgegevens niet veilig zijn in de handen van bedrijven die hun gegevens verzamelen en opslaan.33 Een van de grootste mysteries is over hoeveel en welke informatie bedrijven beschikken. Omdat voor de

gebruiker niet transparant is wie over welke informatie beschikt ontstaat een steeds groter wordende informatiekloof tussen de online-dataverzamelaar en de internetgebruiker.34 Hieruit volgt dat de intransparante online marketing markt in stand wordt gehouden. Het voorkomen van tracking en dataverzameling door middel van een DNT:1 instelling zou internetgebruik een stuk eenvoudiger kunnen maken. Mits alle partijen de Do Not Track voorkeur respecteren zou dataverzameling door middel van ongewenste tracking cookies kunnen afnemen.

Het gevaar voor datalekken is door zowel de Nederlandse als de Europese wetgever erkend als online privacyprobleem. Beiden dienden wetsvoorstellen in waardoor problemen

29_{‘Tainted Love: How Wi-Fi Betrays Us’, p. 18, beschikbaar op:}

http://safeandsavvy.f-secure.com/2014/09/29/danger-of-public-wifi/, laatst bezocht op 12 november 2014.

30_{J. Schinasi, ‘Practicing privacy online: examining data protection regulations through Google's global} expansion’, Colombia Journal of Transnational Law, 2014, vol. 52(2), p. 577.

31_Idem.

32_{L. E. Willis, ‘Why Not Privacy by Default?’, Berkeley Technology Law Journal, 2013, vol. 29:61, p. 71 & 72.} 33_{J. Schinasi, ‘Practicing privacy online: examining data protection regulations through Google's global} expansion’, Colombia Journal of Transnational Law, 2014, vol. 52(2), p. 569; zie ook: A.J.S. Stanaland e.a., ‘Online Privacy Trustmarks: Enhancing the Perceived Ethics of Digital Advertising’, Journal of Advertising

Research, september 2011, vol. 51(3), p. 512.

(10)

rondom datalekken kunnen worden verbeterd.35 De Verenigde Staten pleiten voor een systeem van zelfregulering. Maar als de informatiekloof tussen internetgebruiker en

dataverzamelaar blijft toenemen kan geen sprake zijn van geslaagde zelfregulering. Immers als de internetgebruiker niet op de hoogte is van bepaalde vormen van het volgen van zijn surfgedrag dan kan laatstgenoemde de dataverzamelaar niet verzoeken hem niet te

volgen.36 Concluderend blijft geen gebruik maken van het internet de beste wijze van online privacybescherming. Praktisch gezien zal laatstgenoemde optie voor velen niet opgaan. Hieruit volgt dat er genoeg redenen bestaan om aan te nemen dat een Do Not Track standaard de privacybelangen van internetgebruikers kan dienen.

§ 1.3 Discussie omtrent de betekenis van Do Not Track

De letterlijke betekenis van Do Not Track luidt: niet volgen of niet bijhouden. Als men van deze uitleg uitgaat dan betekent dit in de praktijk dat bij het instellen van een DNT:1

voorkeur niet wordt bijgehouden welke websites de internetgebruiker bezoekt. De definitie die internetgebruikers aan Do Not Track toekennen lopen behoorlijk uiteen. Allereerst hebben veel internetgebruikers nog nooit van Do Not Track gehoord.37_{Onder de}

internetgebruikers die wel met Do Not Track bekend zijn gaat ongeveer een derde ervan uit dat Do Not Track dataverzameling voorkomt en denkt 39% dat bedrijven de

internetgebruiker ondanks Do Not Track zullen tracken.38_{De voorkeur van 60% van alle} ondervraagde internetgebruikers gaat uit naar een Do Not Track standaard waardoor voorkomen wordt dat data over de internetgebruiker verzameld wordt. Slechts 14 % van de internetgebruikers prefereert een Do Not Track standaard die louter voorkomt dat bedrijven

35_{Kamerstukken II 2012/13, 33662, 2; zie ook: COM(2012)11 definitief, Brussel 25 januari 2012, ‘Voorstel voor} een Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), art. 31 & 32.

37_{C.J. Hoofnagle e.a., ‘Privacy and Modern Advertising: Most US Internet Users Want “Do Not Track” to Stop} Collection of Data About their Online Activities’ ,Berkeley Consumer Privacy Survey BCLT Research Paper, 8 oktober 2012, p. 10.

38_{A.M. McDonald & J.M. Peha, ‘Track Gap: Policy Implications of User Expectations for the 'Do} Not Track' Internet Privacy Feature’, TPRC 2011, september 2011, p. 11.

(11)

gepersonaliseerde advertenties aan gebruikers tonen.39 Hieruit volgt dat het overgrote deel van de ondervraagden vindt dat een DNT:1 instelling ervoor moet zorgen dat

internetgebruikers niet online gevolgd worden zodat geen data over hen verzameld wordt. Het W3C is er tot op heden niet in geslaagd om een Do Not Track standaard uit te vaardigen. Zoals uit de Tracking Compliance and Scope van 7 augustus 2014 blijkt lijkt het erop dat het W3C zal gaan kiezen voor een ‘do not target’ invulling van de Do Not Track standaard.40 Een partij die een DNT:1 signaal ontvangt mag wel tracken en dus online gedrag volgen, maar mag deze informatie niet gebruiken om gepersonaliseerde advertenties te tonen. Verder mag de ‘first party’, dat is de partij waarvan de website rechtstreeks gebruikt wordt door betrokkene, geen informatie delen met een third party waarmee derden wordt

bedoeld.41 Uiteraard staat het de first party vrij om het DNT:1 signaal te respecteren en niet over te gaan tot het volgen van online surfgedrag. Wanneer een third party, dit kan

bijvoorbeeld een adverteerder zijn die op de website van de first party wil adverteren, een DNT:1 signaal ontvangt mag deze niet tracken of targeten.42_{Hieruit volgt dat Do Not Track} soms letterlijk niet tracken en vaak wel tracken maar niet targeten betekent. Dit maakt de term ‘Do Not Track’ enigszins verwarrend, of zelfs misleidend. Zoals blijkt uit de antwoorden van de ondervraagde internetgebruikers verschilt de perceptie van laatstgenoemden

aanzienlijk van die van het W3C.43_{Zolang Do Not Track niet is gestandaardiseerd zal een} officiële definitie op zich laten wachten. Om verwarring te voorkomen is een andere definitie dan ‘niet tracken’ toewijzen aan Do Not Track volstrekt onacceptabel.44_{Iets anders doen dan} niet tracken, zoals wel tracken maar niet targeten, maakt de term misleidend.

40_{W3C Last Call Working Draft 7 August 2014, ‘Tracking Compliance and Scope’, § 3.2, beschikbaar op:} http://www.w3.org/TR/tracking-compliance/, laatst bezocht op 12 november 2014.

41_Idem.

43_{C.J. Hoofnagle e.a., ‘Privacy and Modern Advertising: Most US Internet Users Want “Do Not Track” to Stop} Collection of Data About their Online Activities’ ,Berkeley Consumer Privacy Survey BCLT Research Paper, 8 oktober 2012, p. 11; zie ook: W3C Last Call Working Draft 7 August 2014, ‘Tracking Compliance and Scope’, § 3.2, beschikbaar op: http://www.w3.org/TR/tracking-compliance/, laatst bezocht op 12 november 2014. 44_{Artikel 29 Werkgroep, ‘Opinion 04/2012 on Cookie Consent Exemption’, (WP 194), 7 juni 2010, p. 10.}

(12)

§ 1.4 Drie problemen omtrent privacybescherming op het internet

Problemen op het gebied omtrent de online privacy zijn er voldoende. Helaas kunnen ze niet allemaal worden uitgelicht in deze scriptie, zodoende zal ik mij beperken tot drie problemen. Het eerste online privacyprobleem betreft het principe van de geïnformeerde toestemming of ook wel informed consent.

1. De ‘geïnformeerde toestemming’ waar in artikel 11.7a van de Telecommunicatiewet en de concept Privacyverordening zoveel nadruk op wordt gelegd is een wassen neus.

In de basis lijkt het principe van geïnformeerde toestemming een goed idee. Bedrijven voorzien de betrokkene van informatie over het feit dat persoonsgegevens worden

verzameld en wat er verder met deze gegevens gebeurt. Hierna kan de gebruiker kiezen hier wel of geen toestemming voor te geven.45 Als de nodige informatie is verstrekt en de

mogelijkheid om toestemming te geven of te weigeren bestaat, is in principe aan de geïnformeerde toestemming voldaan. Maar zoals in de praktijk blijkt worden privacy statements over het algemeen niet gelezen.

Het Londense Cyber Security Research Institute deed samen met het bedrijf F-Secure een experiment om mensen bewust te maken van de haken en ogen van privacy statements. Londense burgers kregen de mogelijkheid om gratis gebruik te maken van een openbaar wifi-netwerk. In het privacy statement was een clausule opgenomen waarin stond dat zij door akkoord te gaan hun eerstgeboren kind zouden weggeven. Zes burgers klikten op akkoord. De resultaten van het experiment bevestigden wederom dat privacy statements niet worden gelezen.46 Als internetgebruikers wel alle privacystatements die zij per dag tegenkomen zouden lezen, dan zou dit gemiddeld 76 werkdagen per jaar kosten.47 Al

Information Society, Vol. 4(3), 2008-2009, p. 563; zie ook: F. Zuiderveen Borgesius, ‘Als u niet akkoord gaat met

deze onleesbare privacyvoorwaarden klik, toch maar op OK’, in De Correspondent, 2014, beschikbaar op: https://decorrespondent.nl/1290/Als-u-niet-akkoord-gaat-met-deze-onleesbare-privacyvoorwaarden-klik-toch-maar-op-OK/39675240-a02863dc, laatst bezocht op 11 november 2014.

46_{‘Tainted Love: How Wi-Fi Betrays Us’, p. 18, beschikbaar op:} http://safeandsavvy.f-secure.com/2014/09/29/danger-of-public-wifi/, laatst bezocht op 12 november 2014.

(13)

zouden internetgebruikers hier de tijd voor hebben, dan is het nog de vraag of zij de consequenties van het toestemming geven zouden begrijpen.48_{Daarnaast zullen}

internetgebruikers ondanks dat zij een deel van hun privacy moeten opgeven geneigd zijn toestemming te geven als een website anders niet goed werkt.49

Een journalist van The Guardian las een tijd lang privacystatements zodat anderen dat niet hoefden te doen. Na een tijdje schreef hij ‘I’d rather deal with the consequences of blindly signing this than have to read it.’50 De statements waren volgens hem te vaag en het lezen ervan koste teveel tijd. Kortom, het probleem met betrekking tot de geïnformeerde

toestemming is dat de informatie in privacy statements doorgaans te vaag en te complex is. 2. De markt van de online marketing is intransparant waardoor nauwelijks te controleren is of marketingbedrijven identificeerbare gegevens verzamelen van internetgebruikers.51 Het is voor betrokkenen onduidelijk welke gegevens precies verzameld worden en wat daarmee gebeurt. Ook is moeilijk te onderscheiden welke bedrijven de privacy goed waarborgen en welke minder. Adam Tanner maakt een vergelijking tussen de vroegere Oost-Duitse geheime dienst en hedendaagse bedrijven. De combinatie van via tracking verzamelde data en

publieke data waarover bedrijven beschikken resulteert erin dat hedendaagse bedrijven meer over internetgebruikers weten dan een geheime dienst voor het internettijdperk over burgers wist.52

In publieke documenten is te vinden waar iemand woont en welke eigendommen iemand bezit. In voor commerciële doeleinden verzamelde data is allerlei denkbare informatie te vinden zoals persoonlijke interesses, favoriete websites en welzijn. Daarnaast kan bij

deze onleesbare privacyvoorwaarden klik, toch maar op OK’, in De Correspondent, 2014, beschikbaar op: https://decorrespondent.nl/1290/Als-u-niet-akkoord-gaat-met-deze-onleesbare-privacyvoorwaarden-klik-toch-maar-op-OK/39675240-a02863dc, laatst bezocht op 11 november 2014.

48_{N. van Eijk e.a.,’Online tracking: questioning the power of informed consent’, info, 2012, Vol. 14(5), p. 58.} 49_{F. Zuiderveen Borgesius, ‘Als u niet akkoord gaat met deze onleesbare privacyvoorwaarden klik, toch maar} op OK’, in De Correspondent, beschikbaar op: https://decorrespondent.nl/1290/Als-u-niet-akkoord-gaat-met-deze-onleesbare-privacyvoorwaarden-klik-toch-maar-op-OK/39675240-a02863dc, laatst bezocht op 11 november 2014.

50_{R. Glancy, ‘Will you read this article about terms and conditions? You really should do’, The Guardian, 24 april} 2014, laatst bezocht op 12 november 2014.

51_{Kamerstukken II, 2013/14, 1742, p. 3.}

52_{A. Tanner,’What stays in Vegas: The World of Personal Data – Lifeblood of Big Businesses – and the End of}

(14)

bedrijven zelfs de fysieke locatie van internetgebruikers bekend zijn door het gebruik van Apps of GPS.53_{Door deze gegevens te combineren kunnen nauwkeurige profielen van} internetgebruikers worden samengesteld.54 Hoewel websites soms wel bekend maken dat zij data verzamelen blijven, net als de vroegere Oost-Duitse geheime dienst, veel data verzamelaars onzichtbaar voor de internetgebruiker.55 Dit houdt deze intransparante markt op zijn zachtst gezegd in stand. Het creëren en in stand houden van de intransparante online marketing markt is in strijd met het transparantiebeginsel uit de privacyrichtlijn.56

Het transparantiebeginsel is in het nationaal recht neergelegd in het Wbp en houdt in dat aan betrokkene informatie wordt verstrekt betreffende welke partij over diens gegevens beschikt en voor welke doeleinden deze gebruikt worden.57

Online marketing bedrijven beschikken over veel meer informatie dan de internetgebruiker waardoor informatieassymetrie is ontstaan.58 De websitehouder zal de internetgebruiker niet kunnen overtuigen om voor zijn website te kiezen op basis van een betere waarborging van zijn privacy. De gebruiker kan dit immers niet controleren. Het levert dus weinig op om een transparant privacybeleid te hanteren als andere partijen dat niet doen. Hierdoor wordt op de online marketing markt niet geconcurreerd op privacy wat tot resultaat heeft dat de markt intransparant blijft en de privacy van de gebruiker juist afneemt in plaats van

verbetert.59

Privacy as We Know It’, PublicAffairs, september 2014, p. xii - xiii.

Privacy as We Know It’, PublicAffairs, september 2014, p. xiii.

56_{Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming} van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (privacyrichtlijn), artikel 10 & 11.

57_{Wet bescherming persoonsgegevens, artikel 33 & 34.}

58_{G.A. Akerlof, ‘The Market for “Lemons”: Quality Uncertainty and the Market Mechanism’, The Quarterly}

Journal of Economics, augustus 1970, vol. 84(3), p. 488; zie ook: F. Zuiderveen Borgesius, ‘Consent to

Behavioural Targeting in European Law –What are the Policy Implications of Insights from Behavioural Economics?’, Amsterdam Law School Research Paper, juli 2013, nr. 2013-43, p. 28.

Journal of Economics, augustus 1970, vol. 84(3), p. 488 .;zie ook: F. Zuiderveen Borgesius, ‘Consent to

(15)

Staatssecretaris Teeven van het Ministerie van Veiligheid en Justitie stelt dat de

informatieplicht van artikel 11.7a van de Telecommunicatiewet het antwoord is op het probleem van de intransparante markt van de online marketing.60 Het is de vraag of dit juist is omdat tussen de website en de adverteerder meerdere partijen actief zijn. Het is niet exact duidelijk wie welke gegevens beheert en waarvoor ze gebruikt worden. Ook wordt deze informatie niet gecommuniceerd naar de gebruiker. Do Not Track zou wellicht soelaas kunnen bieden als het volgen van surfgedrag en verzamelen van gegevens hiermee geweerd kan worden. Hoewel dit in theorie een optie is zal dit in de praktijk niet werken omdat Do Not Track, zoals in paragraaf 1.3 besproken, niet altijd betekent dat de gebruiker

daadwerkelijk niet online wordt gevolgd. Daarbij kan wanneer een DNT:1 voorkeur wordt gecommuniceerd nauwelijks gecontroleerd worden of de websitehouder dit respecteert waardoor de informatieassymetrie niet zal afnemen.

3) Datalekken zijn anno 2014 aan de orde van de dag. In de media zijn hiervan regelmatig voorbeelden te vinden. Recente voorbeelden van datalekken zijn bijvoorbeeld het incident waarbij hackers naaktfoto’s van wereldsterren uit Apple’s iCloud wisten te halen en de onlangs gelekte gegevens van klanten van een Amerikaanse bank.61_{Hoewel datalekken} regelmatig voorkomen zijn ze nauwelijks in de wet geregeld. In het geval van een datalek moet op grond van de Telecommunicatiewet de ACM op de hoogte worden gesteld indien ‘nadelige gevolgen’ ontstaan voor de persoonlijke levenssfeer van betrokkene. De

betrokkene wordt op de hoogte gesteld indien het datalek ‘waarschijnlijk ongunstige gevolgen’ heeft voor diens persoonlijke levenssfeer.62_{Betrokkenen kunnen er dus niet op} rekenen dat zij in alle gevallen op de hoogte worden gesteld van een datalek. De meldplicht in de Telecommunicatiewet geldt voor ‘aanbieders van openbare elektronische

communicatiediensten’ waaronder bedrijven vallen zoals UPC, Ziggo, T-mobile en Vodafone.

60_{Aanhangsel handelingen II, 2013/14, 1742, p. 3.}

61_{‘Nude photos of Jennifer Lawrence and others posted online by alleged hacker’, The Guardian, 31 augustus} 2014, beschikbaar op: http://www.theguardian.com/world/2014/sep/01/nude-photos-of-jennifer-lawrence-and-others-posted-online-by-alleged-hacker; zie ook:‘Miljoenen klantgegevens JP Morgan op straat’, Elsevier, oktober 2014, beschikbaar op: http://www.elsevier.nl/Economie/nieuws/2014/10/Miljoenen-klantgegevens-JP-Morgan-op-straat-1613214W/, laatst bezocht op 11 november 2014.

(16)

Dat houdt in dat deze meldplicht niet geldt voor sociale media aanbieders of bijvoorbeeld websites van banken waar veelvuldig online wordt gebankierd.63

In Nederland is een wetsvoorstel aanhangig om een algemene meldplicht in de Wbp op te nemen.64 Op EU-niveau is in het voorstel voor een nieuwe Privacyverordening ook een algemene meldplicht opgenomen.65 Een algemene meldplicht datalekken is gewenst omdat datalekken bij andere bedrijven dan bedoeld in de Telecommunicatiewet ook grote gevolgen voor betrokkenen met zich kunnen brengen. Als een datalek wordt gemeld kunnen

betrokkenen maatregelen nemen om financiële of sociale schade te voorkomen of beperken.66

Het voorstel voor een algemene meldplicht in de Wbp houdt in dat datalekken moeten worden gemeld aan het Cbp en aan betrokkene. Een datalek moet aan het Cbp worden gemeld indien de inbreuk ‘ernstige nadelige gevolgen’ voor de persoonlijke levenssfeer van betrokkene heeft.67 De betrokkene moet op de hoogte worden gesteld ‘indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer.’68_Alleen van datalekken die aan het Cbp worden gemeld hoeft te worden beoordeeld of deze ook aan betrokkene moeten worden gemeld.69_{Dat datalekken pas aan het Cbp hoeven te worden} gemeld bij ernstige nadelige gevolgen vermindert de rechtszekerheid voor betrokkenen. Het Cbp kan zo immers geen toezicht houden op datalekken die louter nadelige gevolgen

hebben. Betrokkene zal hierdoor niet altijd op de hoogte worden gesteld van een datalek en zodoende ook niet de kans hebben om de schade te minimaliseren.

In het voorstel voor een Privacyverordening is de meldplicht datalekken ruimer

geformuleerd. Een datalek moet aan de toezichthoudende autoriteit worden gemeld ‘in

63_{Artikel 11.3a lid 1 Telecommunicatiewet; zie ook: F. Zuiderveen Borgesius, ‘De meldplicht voor datalekken in} de Telecommunicatiewet’, Computerrecht, 2011, vol. 4, p. 211.

64_{Kamerstukken II 2012/13, 33662, 2.}

65_{COM(2012)11 definitief, Brussel 25 januari 2012, ‘Voorstel voor een Verordening van het Europees}

Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening

gegevensbescherming), art. 31 & 32.

66_{F. Zuiderveen Borgesius, ‘De meldplicht voor datalekken in de Telecommunicatiewet’, Computerrecht, 2011,} vol. 4, p. 215.

67_{Kamerstukken II 2013/14, 33662, 7.} 68_{Kamerstukken II 2012/13, 33662, 2.}

(17)

geval van een inbreuk in verband met persoonsgegevens.’70 De drempel dat de inbreuk ‘ernstige nadelige gevolgen’ met zich moet brengen ontbreekt. Een meldingsplicht bij iedere inbreuk met betrekking tot persoonsgegevens stelt de toezichthoudende autoriteit in staat bij iedere inbreuk te kunnen controleren of betrokkene eveneens op de hoogte gesteld moet worden. De Europese toezichthouder heeft hierdoor meer overzicht dan de nationale

toezichthouder waarbij niet alle datalekken zullen worden gemeld. Hieruit volgt dat de nieuwe Privacyverordening op dit punt meer privacybescherming biedt voor

internetgebruikers dan het nationale voorstel. Bij inwerkingtreding van de verordening zal de nationale wetgeving dan ook tekort schieten.

Data van EU-burgers wordt ook verzameld in servers, Clouds en andere digitale

opslagsystemen die zich buiten de Europese Unie, zoals in de Verenigde Staten, bevinden. In de Verenigde Staten hebben EU-burgers geen privacyrechten.71 In de praktijk kan dit

betekenen dat andere partijen dan de partij die toestemming heeft gekregen om het online surfgedrag van een betrokkene te volgen toch toegang hebben tot de verzamelde gegevens. De betrokkene wordt in dit geval waarschijnlijk niet genotificeerd.

Daarnaast zal voor sommige vormen van dataverzameling door de gebruiker toestemming gegeven worden. Hierbij valt bijvoorbeeld te denken aan de gegevens die internetgebruikers verstrekken bij online winkelen. Zodoende kan Do Not Track dataverzameling en hiermee datalekken niet altijd voorkomen waardoor het geen geschikt middel is om

internetgebruikers te beschermen tegen het gevaar van datalekken.72

gegevensbescherming), art. 31 lid 1.

71_{J. van Hoboken ea, ‘Obscured by Clouds or How to Address Governmental Access to Cloud Data From} Abroad’, Institute for Information Law, Faculty of Law, University of Amsterdam, juni 2013, p. 8.

(18)

Hoofdstuk 2.

§ 2.1 Do Not Track ten opzichte van artikel 11.7a van de Telecommunicatiewet Artikel 11.7a Telecommunicatiewet is in de Nederlandse wetgeving opgenomen als implementatie van de e-Privacyrichtlijn uit 2009.73_{Wanneer een gebruiker een website} bezoekt worden vaak cookies in de computer geplaatst. Een cookie bevat een korte tekst die alleen door de website die het verstuurd heeft kan worden gelezen. De web browser van de internetgebruiker slaat de informatie op, waarbij te denken valt aan bijvoorbeeld de inhoud van een online winkelmand. Wanneer de gebruiker terugkeert op de desbetreffende website stuurt de browser de informatie naar de web server die de cookie plaatste.74

Op grond van artikel 11.7a van de Telecommunicatiewet moet een bedrijf dat tracking cookies wil plaatsen de internetgebruiker duidelijke informatie hierover verschaffen. Daarnaast moet de internetgebruiker na het ontvangen van die informatie toestemming geven.75 Toestemming om cookies te gebruiken kan zowel impliciet als expliciet gegeven worden.76 Met expliciete toestemming wordt bedoeld dat sprake moet zijn van een actieve wilsuiting zoals het aanklikken van een akkoord button. Bij impliciete toestemming kan gedacht worden aan een banner waarop staat: ‘als u verder gaat en gebruik maakt van deze website accepteert u cookies.’ Het enkele feit dat iemand een website bezoekt is niet voldoende om impliciete toestemming aan te nemen. Websites mogen pas uitgaan van impliciete toestemming als gebruikers ondanks waarschuwingen dat cookies worden geplaatst toch gebruik blijven maken van de website.77

73_{Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van} persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie).

74_{H.R. Lozada, G.H. Kritz & A. Mintu-Wimsatt, ‘The Challenge of Online Privacy to Global Marketers’, Journal of}

Marketing Development and Competitiveness, 2013, vol. 7(1), p. 55.

75_{Artikel 11.7a lid 1 Telecommunicatiewet.}

76_{Kamerstukken II 2013/14, 33902, 3, p. 12&13 (MvT).}

77_{Minister Kamp, ‘Brief aan de Tweede Kamer – consultatie cookiebepaling en de beantwoording van een} tweetal vragen’, 20 mei 2013, p. 5.

(19)

Voor gebruik van tracking cookies geldt een strenger toestemmingsvereiste. Omdat gegevens die worden verzameld en verwerkt door middel van tracking cookies worden vermoed persoonsgegevens te zijn in de zin van de Wbp moeten bedrijven die gebruik maken van tracking cookies naast de Telecommunicatiewet ook de Wbp naleven. Op grond van artikel 8 sub a Wbp geldt dat voor verzameling en verwerking van persoonsgegevens ondubbelzinnige toestemming van de gebruiker is vereist.78

Nu de Telecommunicatiewet vereist dat ondubbelzinnige toestemming wordt verkregen alvorens een tracking cookie wordt geplaatst, is het de vraag of het zinvol is voor de internetgebruiker om van Do Not Track gebruik te maken wanneer alsnog bij ieder bezoek aan een website toestemming wordt gevraagd om het online gedrag van de gebruiker te volgen. In principe kan de Nederlandse internetgebruiker per websitebezoek de keuze maken om tracking cookies wel of niet te accepteren en zou hierdoor een DNT:1 instelling wellicht overbodig zijn. Daarentegen is het volgen van het online gedrag van

internetgebruikers een wereldwijde praktijk en zijn de Telecommunicatiewet en de Wbp alleen van kracht in Nederland. Internetgebruikers die er belang aan hechten niet getrackt te worden zullen dus de browser op DNT:1 instellen om ervoor te zorgen dat websites

wereldwijd het signaal ‘niet tracken’ ontvangen.

Op 7 oktober 2014 heeft de Tweede Kamer het wetsvoorstel aangenomen ter wijziging van artikel 11.7a Telecommunicatiewet.79_{In het derde lid van artikel 11.7a is een uitzondering} op het toestemmingsvereiste opgenomen. Cookies die inzicht geven in de kwaliteit of effectiviteit van internetdiensten en geen invloed hebben op de privacy van de gebruiker vallen niet langer onder het toestemmingsvereiste. Voor dit type ‘nuttige’ cookies hoeft geen toestemming te worden gevraagd, mits het gebruik ervan nauwelijks of geen gevolgen heeft voor de privacy van de gebruiker.80 De regelgeving omtrent tracking cookies blijft ongewijzigd.81 Voor Do Not Track kan ter ondersteuning van het toestemmingsvereiste een rol zijn weggelegd doordat een website er in het geval van een DNT:1 instelling van uit kan gaan dat de gebruiker geen toestemming geeft voor het gebruik van tracking cookies.

78_{Artikel 8 sub a Wet bescherming persoonsgegevens; zie ook: Kamerstukken II 2013/14, 33902, 3, p. 13 (MvT).} 79_{Wijziging van de Telecommunicatiewet, Kamerstukken II 2013/14, 33902, 2, p. 1.}

80_{Kamerstukken II 2013/14, 33902, 3, p. 6 (MvT).} 81_{Kamerstukken II 2013/14, 33902, 3, p. 6 &313 (MvT).}

(20)

§ 2.2 Do Not Track in het licht van geïnformeerde toestemming

Geïnformeerde toestemming of ook wel ‘informed consent’ is het principe dat de gebruiker geïnformeerd moet worden wanneer diens gegevens verzameld worden. Daarnaast moet ook gecommuniceerd worden door wie de gegevens worden verzameld en waarvoor deze worden gebruikt.82 Pas nadat de gebruiker toestemming heeft gegeven mag over worden gegaan tot bijvoorbeeld het volgen van online surfgedrag en/of het verzamelen van gegevens. Het idee achter dit principe is dat wanneer internetgebruikers duidelijke

informatie krijgen zij een goede keuze kunnen maken. Hierbij wordt uitgegaan van het idee dat alle mensen rationele keuzes maken. Of mensen daadwerkelijk altijd rationele keuzes maken valt te betwisten.83 Hoewel de rationele keuzetheorie een interessant onderwerp is, zal ik hier in deze scriptie niet verder op ingaan omdat dit onderwerp met betrekking tot geïnformeerde toestemming een eigen onderzoek verdient.

Toestemming voor het plaatsen van cookies moet op een vrije keuze berusten.84_Het College bescherming persoonsgegevens (hierna: Cbp) beargumenteert dat geen sprake van een vrije keuze kan zijn wanneer een website bezoekers blokkeert met een ‘cookiemuur’ totdat zij toestemming hebben gegeven om getrackt te worden.85_{Of in dit soort gevallen} daadwerkelijk geen sprake is van geheel vrije toestemming hangt af van een aantal factoren. Als de informatie die door de internetgebruiker wordt gezocht ook bij alternatieve

aanbieders beschikbaar is, dan kan de internetgebruiker vrij beslissen van welke website hij gebruik wenst te maken en zal een ‘cookiemuur’ niet ten koste gaan van de vrije

82_{Artikel 11.7a Telecommunicatiewet; zie ook: artikel 33 & 34 Wet bescherming persoonsgegevens.} 83_{R.H. Thaler & C.R. Sunstein, ‘Nudge: Improving Decisions about Health, Wealth, and Happiness’, Yale} University Press, april 2008, p. 6; zie ook: F. Zuiderveen Borgesius, ‘Consent to Behavioural Targeting in European Law –What are the Policy Implications of Insights from Behavioural Economics?’, Amsterdam Law

School Research Paper, juli 2013, nr. 2013-43, p. 23.

84_{Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van} persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), preambule § 25; zie ook: Artikel 29 Werkgroep, Opinion 15/2011 on the definition of consent’, (WP 187), 13 juli 2011, p. 12.

85_{Cbp brief aan de staatssecretaris van onderwijs wetenschap en cultuur betreffende het cookiebeleid van de} NPO, 31 januari 2013, p. 4&5.

(21)

toestemming.86 Maar als de aanbieder de enige is die een bepaalde inhoud aanbiedt en hierdoor een monopoliepositie heeft zal een ‘cookiemuur’ zeer waarschijnlijk afbreuk doen aan de vrije toestemming.87

Wanneer de browser standaard is ingesteld op track en de internetgebruiker wijzigt deze instelling niet, kan dit dan onder toestemming worden verstaan? Waarschijnlijk niet omdat de standaard ingestelde voorkeur onveranderd is gebleven. Er kan vermoedelijk niet van een wilsuiting worden gesproken. In de Europese Unie zouden bedrijven zich dus moeten

onthouden de internetgebruikers die geen ‘track mij’ voorkeur hebben ingesteld te volgen.88 Microsoft heeft in de nieuwste Internet Explorer versies een standaard Do Not Track

voorkeur ingebouwd. Hiermee verandert Do Not Track in Internet Explorer naar een opt-in systeem omdat de internetgebruiker de instelling moet wijzigen in ‘track mij’ als hij wil worden getrackt en geïnteresseerd is in gepersonaliseerde advertenties. Iets waar adverteerders niet blij mee zijn omdat maar een klein deel van de internetgebruikers de moeite zullen nemen om Do Not Track te wijzigen naar Track. Zo heeft Yahoo! medegedeeld de standaard instelling van Microsoft’s Internet Explorer niet te zullen respecteren omdat deze niet de keuze van de internetgebruiker reflecteert. Kortom, of Internet Explorer nu gebruikt wordt met de standaard Do Not Track instelling of met een gewijzigde track instelling, de internetgebruiker zal zeer waarschijnlijk worden getrackt.89

In Nederland ligt het voorgaande iets genuanceerder omdat volgens de

Telecommunicatiewet, ondanks een standaard ingestelde Do Not Track voorkeur in de browser, vooraf toestemming moet worden gevraagd voordat tracking cookies mogen

87_{Cbp brief aan de staatssecretaris van onderwijs wetenschap en cultuur betreffende het cookiebeleid van de} NPO, 31 januari 2013, p. 4&5; zie ook: HvJ EU 17 juni 2010, C-92/09 C-93/09 (Volker und Markus Schecke/Land

Hessen en Hartmut Eifer /Land Hessen) conclusie van Advocaat-Generaal Sharpston par. 81-85.

Implications of Insights from Behavioural Economics?’, Amsterdam Law School Research Paper, juli 2013, nr. 2013-43, p. 21; zie ook: ‘Yahoo will ignore Do Not Track for IE10 users’, beschikbaar op:

http://www.cnet.com/news/yahoo-will-ignore-do-not-track-for-ie10-users/, laatst bezocht op 7 november 2014.

(22)

worden geplaatst.90 De leden van het TPWG lijken zich met de Do Not Track standaard meer aan te sluiten bij de redenering van Yahoo! en default Do Not Track browserinstellingen uit te sluiten van de standaard.91 De reden hiervan is dat deze fabrieksinstelling niet altijd de keuze van de gebruiker reflecteert. Hierop kan een uitzondering bestaan als uit de

gebruikersnaam duidelijk blijkt dat deze internetgebruiker kiest voor Do Not Track.92 Hiervan zou sprake kunnen zijn als de gebruikersnaam bijvoorbeeld PrivacyTed of DoNotTrackTed luidt. Concluderend moet een DNT:1 instelling op de keuze van de internetgebruiker gebaseerd zijn en mag deze niet standaard in de browser zijn ingesteld.

Op 12 maart 2014 is het voorstel voor een nieuwe Privacyverordening door het Europees Parlement aangenomen.93 Wanneer ook de Raad van de Europese Unie akkoord gaat met het voorstel kan de verordening van kracht worden. Hoewel de komst van de nieuwe Privacyverordening geen uitgemaakte zaak is, komt de verwezenlijking ervan door de stemming van het Europees Parlement wel een stap dichterbij. De Europese wetgever heeft met de Privacyverordening tot doel om ‘een krachtiger en coherenter kader voor

gegevensbescherming in de EU tot stand te brengen en bovendien scherp toe te zien op de handhaving daarvan, zodat de digitale economie zich op de hele interne markt kan

ontwikkelen en burgers zelf bepalen wat er met hun gegevens gebeurt.’94

Betreffende Do Not Track is van belang dat wanneer de Privacyverordening van kracht wordt impliciete toestemming voor het plaatsen van tracking cookies niet langer is toegestaan. Uit de concept Privacyverordening blijkt dat voor het profileren van een internetgebruiker, wat

90_{Artikel 11.7a lid 1 Telecommunicatiewet.}

91_{Tracking Preference Expression (DNT), § 4, beschikbaar op:} http://www.w3.org/TR/2014/WD-tracking-dnt-20140424/; zie ook: N. Doty & D.K. Mulligan, ‘Internet Multistakeholder Processes and Techno-Policy

Standards: Initial Reflections on Privacy at the World Wide Web Consortium’, J. on Telecomm. & High Tech.L., 2013, vol. 11, p. 150.

92_{Tracking Preference Expression (DNT), § 4, beschikbaar op:} http://www.w3.org/TR/2014/WD-tracking-dnt-20140424/, laatst bezocht op 12 november 2014.

93_{Europees Parlement ‘Aangenomen teksten van de vergadering van woensdag 12 maart 2014’ deel 1,} beschikbaar op: http://api.commissiemer.nl/docs/mer/diversen/aangenomen-teksten-mer12-3-2014voorlopig.pdf, laatst bezocht op 12 november 2014.

94_{Toelichting op COM(2012)11 definitief, Brussel 25 januari 2012, ‘Voorstel voor een Verordening van het} Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming)’, hoofdstuk 1, p. 2.

(23)

doorgaans gebeurt door middel van tracking cookies, toestemming nodig is.95 De door betrokkene gegeven toestemming moet betrekking hebben op doeleinden die vooraf zijn bepaald en duidelijk zijn geformuleerd.96 Aan laatstgenoemd vereiste zal vermoedelijk zijn voldaan met een kader op een website waarin staat dat cookies worden gebruikt en voor welk doel dit is. Over wat onder toestemming wordt verstaan is de Europese wetgever duidelijk: ‘elke vrije, specifieke, op informatie berustende en uitdrukkelijke wilstuiting waarmee de betrokkene, door middel van hetzij een verklaring hetzij een ondubbelzinnige actieve handeling aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.’97 Als voor toestemming voor het plaatsen van tracking cookies een verklaring of een

ondubbelzinnige actieve handeling is vereist, dan zal gebruik van tracking cookies met impliciete toestemming waarschijnlijk niet aan dit vereiste kunnen voldoen.

Als de Privacyverordening ook door de Raad wordt aangenomen en hierna in werking treedt zal deze het doel van het W3C met betrekking tot de Do Not Track standaard ondersteunen. Namelijk dat de internetgebruiker meer controle krijgt over zijn eigen gegevens en hiermee de online privacy verbeterd wordt. Tegelijkertijd zou Do Not Track overbodig kunnen worden als bij ieder website bezoek alvorens de gebruiker wordt getrackt expliciete toestemming vereist is. Een DNT:1 browser instelling zou dan weinig meerwaarde hebben omdat met een simpele druk op de knop iedere keer gekozen kan worden voor: ‘track mij’ of ‘track mij niet’.

gegevensbescherming)’, artikel 20 lid 2 onder c.

gegevensbescherming)’, artikel 7 lid 1.

(24)

In het geval van de verzameling van pseudonieme gegevens zal straks geen toestemming meer vereist zijn.98_{Of pseudonieme gegevens anoniem zijn zal niet in deze scriptie}

behandeld worden omdat dit vraagstuk een eigen onderzoek waardig is. In het geval van de verzameling van pseudonieme gegevens zou Do Not Track een nuttige functie kunnen vervullen op voorwaarde dat een DNT:1 voorkeur wordt gerespecteerd. Daarnaast is de kracht van de Privacyverordening ten opzichte van de Do Not Track standaard dat deze handhavingsbepalingen heeft.99 Het voordeel dat Do Not Track ten opzichte van de Privacyverordening heeft is dat de standaard, mits alle belanghebbenden meewerken, de potentie heeft om over de hele wereld geimplementeerd te kunnen worden. Concluderend ondersteunt het voorstel voor een nieuwe Privacyverordening de doelstelling van Do Not Track, maar zou Do Not Track tegelijkertijd overbodig kunnen maken.

Hoofdstuk 3.

§ 3.1 De lacunes in Do Not Track met betrekking tot de drie problemen omtrent privacybescherming op het internet

Een van de grootste gebreken van de Do Not Track standaard is dat de standaard geen wetgevend karakter heeft.100 Dit ligt met name in het feit dat medewerking niet verplicht is en niet verplicht kan worden. Het gaat om aanbevelingen die voorschrijven hoe een bedrijf het beste kan handelen wanneer een Do Not Track signaal wordt ontvangen. Alle besluiten die het W3C neemt gaan op basis van consensus, de leden die gezamenlijk aan de Do Not Track standaard werken kunnen niets worden opgelegd.101 Internetgebruikers kunnen geen

gegevensbescherming)’, § 23.

gegevensbescherming)’, artt. 16, 17, 78 & 79.

100_{Tracking Protection Working Group Charter, § 1, beschikbaar op:} http://www.w3.org/2011/tracking-protection/charter, laatst bezocht op 12 november 2014.

101_{Tracking Protection Working Group Charter, § 6, beschikbaar op:} http://www.w3.org/2011/tracking-protection/charter; zie ook: N. Doty & D.K. Mulligan, ‘Internet Multistakeholder Processes and Techno-Policy

(25)

rechten ontlenen aan de Do Not Track standaard. Bedrijven kunnen niet worden opgelegd om in lijn met de Do Not Track standaard te werken. Hieruit volgt dat de internetgebruiker niet kan rekenen op een mondiaal systeem waarmee alle tracking en targeting kan worden geweerd. Doty & Mulligan zijn van mening dat het vrijwillige karakter van de Do Not Track standaard een open dialoog oplevert. Partijen hebben meer inspraak op de afspraken die worden gemaakt en zullen deze hierdoor beter naleven dan wanneer regels worden

opgelegd.102 Een open dialoog kan lijden tot oplossingen omtrent online privacy problemen. Echter, deze open dialoog heeft tot op heden geen Do Not Track standaard opgeleverd die de online privacy gaat verbeteren.

Veel bedrijven en leden van de TPWG stellen hun eigen belangen boven die van de internetgebruiker. Als het aan hen ligt mag de Do Not Track standaard de online privacy verbeteren zolang het verzamelen van data hierdoor minimaal belemmerd wordt.103

De discussie omtrent de definitie van Do Not Track is nog niet ten einde. Grote bedrijven die bij de ontwikkeling van de standaard betrokken zijn prefereren geen strikte ‘Track mij niet’ uitleg aan Do Not Track toe te kennen. Zo blijkt onder andere uit de volgende

mailcommunicatie: ‘this is not the collection protection working group, it is the tracking protection working group (...) Adobe will not accept blanket constraints on all data collection.’104_{Als het W3C koers kiest richting ‘do not target’ gaat zij daarmee tegen de} verwachting van internetgebruikers in. Gebruikers verwachten dat zij door instelling van een DNT:1 voorkeur niet online zullen worden gevolgd.105_{De Artikel 29 Werkgroep adviseert het}

Standards: Initial Reflections on Privacy at the World Wide Web Consortium’, J. on Telecomm. & High Tech.L., 2013, vol. 11, p. 170 & 171.

104_{Roy T. Fielding, Principal Scientist, Adobe Systems Inc., e-mail to Jonathan Mayer and}

public-tracking@w3.org, 16 juni 2012, 2:53 GMT, beschikbaar op: http://lists.w3.org/Archives/Public/public-tracking/2012Jun/0462html, laatst bezocht op 12 november 2014.

105_{W3C Last Call Working Draft 7 August 2014, ‘Tracking Compliance and Scope’, § 3.2, beschikbaar op:} http://www.w3.org/TR/tracking-compliance/; zie ook: C.J. Hoofnagle e.a., ‘Privacy and Modern Advertising: Most US Internet Users Want “Do Not Track” to Stop Collection of Data About their Online Activities’ ,Berkeley Consumer Privacy Survey BCLT Research Paper, 8 oktober 2012, p. 11.

(26)

W3C tot een Do Not Track standaard te komen die in lijn is met de e-Privacyrichtlijn.106 Uit overweging 66 van de e-Privacyrichtlijn volgt dat het van groot belang is dat de gebruiker duidelijke en volledige informatie wordt verstrekt wanneer diens data wordt verzameld of bijvoorbeeld tracking cookies op diens apparatuur worden geplaatst.107 Als Do Not Track eigenlijk ‘do not target’ wordt dan zullen partijen evengoed gebruikers tracken die hier geen toestemming voor hebben gegeven. Zodoende kan de Do Not Track standaard niet in

overeenstemming zijn met de e-Privacyrichtlijn.

Dat internetgebruikers ondanks een DNT:1 voorkeur, in tegenstelling tot wat de term Do Not Track suggereert, evengoed kunnen worden gevolgd in hun online activiteiten is tevens een voorbeeld van intransparantie. Gebruikers van Do Not Track weten immers niet wanneer zij wel of niet online worden getrackt. Webbrowsers notificeren hun gebruikers niet wanneer een Do Not Track voorkeur wordt genegeerd.108

§ 3.2 Het effect van de lacunes in Do Not Track op de drie privacyproblemen

Het doel dat de TPWG voor ogen heeft met Do Not Track is complementair aan het principe van de geïnformeerde toestemming dat de gebruiker controle over eigen gegevens moet geven.109_{Maar zoals besproken in paragraaf 3.1 beschikt de gebruiker in de praktijk niet} over duidelijke informatie over wat deze van Do Not Track kan verwachten. Door een DNT:1 voorkeur in te stellen geeft de gebruiker geen toestemming voor het volgen van diens online

106_{Article 29 Data Protection Working Party comments in response to W3C's public consultation on the W3C} Last Call Working Draft, 24 April 2014, Tracking Preference Expression (DNT), 6th June 2014, p. 2, beschikbaar op:

http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2014/20140606_wp29_ts_standardisation_letter_to_w3c.pdf, laatst bezocht op 7 november 2014.

verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming (e-Privacyrichtlijn), overweging 66.

108_{Zie: https://support.google.com/chrome/answer/2790761?hl=en&p=settings_do_not_track., laatst bezocht} op 27 oktober 2014.

(27)

surfgedrag. De gebruiker gaat ervan uit dat het online surfgedrag niet zal worden gevolgd.110 Toch mag een first party website de gebruiker online volgen.111_{De definitie van Do Not} Track blijkt erg onduidelijk voor internetgebruikers. Het misleidende karakter van de term draagt niet bij aan het verschaffen van duidelijke informatie. Als tegen de voorkeur van de gebruiker wordt ingegaan kan onder geen enkele voorwaarde worden voldaan aan het principe van geïnformeerde toestemming. Het effect is dat afbreuk wordt gedaan aan het principe met als resultaat dat de online privacy afneemt.

De internetgebruiker begrijpt uit de term Do Not Track dat diens online surfgedrag niet zal worden gevolgd wanneer hij middels zijn browser een DNT:1 voorkeur communiceert.112 Toch is er geen manier om te controleren of betrokkene wordt gevolgd en over welke gegevens de volger beschikt.113 Dit maakt de informatie die beschikbaar is voor gebruikers niet alleen onduidelijk maar ook intransparant. Het effect is dat het tegenovergestelde bereikt wordt van wat men met de Do Not Track standaard beoogt. Hiermee schiet de Do Not Track standaard zijn doel voorbij. Er ontstaat namelijk minder controle in plaats van meer controle voor de internetgebruiker waardoor de intransparantie toeneemt.114_{Als de} internetgebruiker niet kan controleren welk bedrijf of adverteerder zich aan diens Do Not Track voorkeur houdt zal dit ook geen criterium zijn bij het bezoeken van websites. Websites zullen hierdoor niet concurreren op privacy waardoor de kwaliteit van privacy zal

afnemen.115

113_{Zie: https://support.google.com/chrome/answer/2790761?hl=en&p=settings_do_not_track, laatst bezocht} op 27 oktober 2014.

114_{Tracking Protection Working Group Charter, aanhef, beschikbaar op:} http://www.w3.org/2011/tracking-protection/charter; zie ook: L. E. Willis, ‘Why Not Privacy by Default?’, Berkeley Technology Law Journal, 2013, vol. 29:61, p. 65.

Journal of Economics, augustus 1970, vol. 84(3), p. 488; zie ook: F. Zuiderveen Borgesius, ‘Consent to