Profileren in de Algemene Verordening Gegevensbescherming : Meer bescherming of slechts politieke grootspraak?

Profileren in de Algemene Verordening Gegevensbescherming

Meer bescherming of vol schijnwaarborgen?

Masterscriptie

Student: Denise van Schie

Begeleider: Mireille van Eechoud Master informatierecht

10649735 31 juli 2015

Inhoudsopgave

Inleiding 2

2 Grondslagen van de bescherming van gegevens 6

2.1 Fundamentele rechten en vrijheden 6

2.2 Beginselen van bescherming van persoonsgegevens 7

2.3 Profileren binnen het huidig regelgevend kader 9

2.4 Problematiek 11

3 Hervorming van de dataprotectieregulering 13

3.1 Het voorstel Algemene Verordening Gegevensbescherming 13

3.2 Kritieken 16

3.3 Laatste versie 19

4 Privacyregulering vergeleken 22

4.1 Doelstellingen en toepassingsgebied 22

4.2 Verwerking van persoonsgegevens 23

4.3 Rechten van de betrokkene 27

4.4 Profileren 30

Conclusie 33

Literatuurlijst 38

Inleiding

Online adverteren is een cruciale inkomstenbron voor veel online diensten.1 Reclame, zowel online als offline, wordt gebruikt als manipulatiemiddel om mensen iets te laten kopen. Offline reclame is ongericht. Online wordt de reclame gericht naar individuen op basis een profiel. Deze profielen zijn gebaseerd op veel persoonlijke aspecten van een individu. Online advertenties zijn er in verschillen vormen. Dit kunnen reclamebalken op sites, reclame die wordt laten zien vanuit een zoekmachine of marketing emails zijn.2 Deze reclames kunnen realtime worden aangepast, zo krijgt elke gebruiker een unieke gepersonaliseerde reclame.3

Betrokken partijen

Bij profileren zijn er meerdere partijen van belang. Voor de duidelijkheid van het verhaal zal ik de partijen uiteenzetten.

De adverteerder maakt vaak gebruik van een aanbieder van advertentienetwerk om hun reclame op de gewenste sites te krijgen.

De aanbieders van advertentienetwerken is degene die de profileert. Aanbieders van

advertentienetwerken hebben, net als advertentienetwerken, zijnde intermediair, de rol van de verantwoordelijke.4 Zo is Google een aanbieder van advertentienetwerken. Wanneer een persoon gebruik maakt van de diensten van Google, deelt de persoon gegevens met Google voor het gebruik van deze diensten. Google gebruikt deze gegevens voor gericht adverteren. Google maakt het mogelijk voor adverteerders om te gericht adverteren op basis van

interesses van de gebruiker door het gebruik van Google Adsense.5

De adverteerder kan bijvoorbeeld Nike zijn die sportschoenen wil aanbieden. De websites worden getarget op basis van de interesses van de bezoeker, geografische locatie en demografische categorie of branche.6 Reclame voor sportschoenen van Nike kan worden gericht op personen die van sport houden. De verantwoordelijke is de partij die de opdracht tot het verzamelen en verwerken van persoonsgegevens heeft gegeven en feitelijke macht heeft over de gegevens.7Dit betekent dat de aanbieders van advertentienetwerken zich moeten houden aan de privacyrichtlijn.

De persoon van wie een profiel wordt aangemaakt, is in de privacyrichtlijn gedefinieerd als de betrokkene. De definitie van een betrokkene is: ‘een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische,

1

Article 29 data protection working party, Opinion 03/2013 on purpose limitation, 00569/13/EN, WP 203, 2 april 2013, p. 45. (Hierna: WP 203).

2 _{Zuiderveen Borgesius 2014 p. 74.} 3

Zuiderveen Borgesius 2014, p. 74.

4 _{Verantwoordelijke in de zin van artikel 2 lid 1 sub d privacyrichtlijn.} 5 _{<https://www.google.com/adsense/www/nl/tour/targeting.html>.}

6 _{<http://www.google.com/adwords/benefits/?subid=ww-ww-et-nelson_new>. Laatst bezocht op 30 mei 2015.} 7

Zie Groep Gegevensbescherming 29, Advies 1/2010 over de begrippen “voor

de verwerking verantwoordelijke” en “verwerker”, 00264/10/NL, WP 169, 16 februari 2010, p. 36 en 37. (Hierna: WP 169).

psychische, economische, culturele of sociale identiteit.’8 Een profiel bestaat uit specifieke elementen die kenmerkend waarvan uit een persoon kan worden geïdentificeerd.

Profileren

Online adverteren wordt vaak gedaan met het gebruik van profielen. Deze profielen worden gecreëerd op basis van het observeren van het surf gedrag van individuen. Profileren is gericht op de kenmerken van dit gedrag te bestuderen aan de hand van bepaalde handelingen teneinde een specifiek profiel te ontwikkelen en betrokkenen hiermee advertenties aan te bieden die zijn toegesneden op hun kennelijke interesses. De handelingen aan de hand waarvan het gedrag wordt geanalyseerd zijn, onder andere, herhaald bezoek van dezelfde sites, interactie, trefwoorden en online creëren van content.9 Deze handeling wordt ook wel behavioural targeting genoemd. Eerst worden de persoonsgegevens verzameld middels het monitoren en volgen van online gedrag.10 Hierbij wordt vaak gebruik gemaakt van cookies die worden geplaatst tijdens een bezoek aan een website. Daarna worden de gegevens opgeslagen en verbonden aan unieke identificatiecodes van de opgeslagen cookies.11

Vervolgens wordt de data geanalyseerd. De gegevens kunnen worden geanalyseerd door het gebruik van een voorspellend model. Zo kan met een voorspellend model worden gekeken naar de websites die een persoon bezoekt. Indien degene veel sportwebsites bezoekt, is de kans verhoogd dat degene op een reclamebanner klikt voor sportschoenen.12 Daarna wordt de informatie verspreid onder advertentienetwerken of andere bedrijven zoals aanbieders van advertentienetwerken.13 Zo stelt Google Adsense adverteerders in staat om bepaalde personen te targeten met advertenties op basis van hun gedragsprofiel.14 Een profiel is vaak opgemaakt uit een combinatie verschillende datasets van verschillende bedrijven. Tot slot worden deze profielen gebruikt om betrokkenen te voorzien van advertenties op maat.15

Profileren valt nu onder de richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en de vrije verkeer van die gegevens (privacyrichtlijn) uit 1995.16 Deze richtlijn reguleert de bescherming van persoonsgegevens en het vrije verkeer van persoonsgegevens. De handelingen die worden verricht bij profileren vallen onder verwerking van persoonsgegevens.17 Profileren valt derhalve onder de richtlijn.

Problematiek

Door de Europese toezichthouders zijn er verschillende problemen gesignaleerd met

betrekking tot profileren. Zo wekt het volume aan data zorg, gezien de variatie en details van

8

Artikel 2 lid 1 sub a privacyrichtlijn.

9 _{Groep gegevensbescherming artikel 29, Advies 02/2010 over online reclame op basis van surf gedrag} (‘behavioural advertising’), 00909/10/NL, WP 171, 22 juni 2010 p. 5. (Hierna: WP 171).

10 _{Zuiderveen Borgesius 2014, p. 53.} 11 Zuiderveen Borgesius 2014, p. 61. 12 _{Zuiderveen Borgesius 2014, p. 65.} 13 _{Zuiderveen Borgesius 2014, p. 71.} 14 _{<https://www.google.com/adsense/www/nl/tour/targeting.html>.} 15 WP 171, p. 4 en 5. Zuiderveen Borgesius 2014, p. 74.

16 _{Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming} van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, (PbEG 1995 L 281).

17

de data en het feit dat de data vaak een combinatie van data van verschillende bronnen is. Het volume van gegevens creëert problemen. Gezien de hoeveelheid van gegevens die worden verspreid, is het moeilijk voor de betrokkenen om controle te behouden over wat er met zijn of haar persoonsgegevens gebeurd. Gerelateerd hieraan is er het probleem van transparantie. De mate van transparantie blijft achter naar mate het volume aan gegevens groeit. De

betrokkenen moeten voldoende worden geïnformeerd over wie en waarvoor hun

persoonsgegevens worden verwerkt. Zonder de informatie hierover kunnen betrokkenen geen controle uitoefenen over hun persoonsgegevens. Tot slot kunnen onjuiste gegevens leiden tot discriminatie, uitsluiting en economische ongelijkheid.18 De belangen die mee spelen in dit onderzoek zijn de belangen van de betrokkenen en de belangen van de aanbieders van advertentienetwerken. De betrokkene heeft het recht van bescherming van persoonsgegevens en het recht op privacy. De aanbieders van advertentienetwerken hebben commercieel belang bij profileren.

Voorstel

In 2012 kwam de Europese Commissie met een voorstel voor de hervorming van de dataprotectieregulering. Dit is een voorstel voor een verordening die de privacyrichtlijn zal vervangen. De verordening is genaamd de Algemene Verordening Gegevensbescherming (AVG).19 De technologische vooruitgang en globalisering van de verwerking van

persoonsgegevens is aan veel veranderingen onderhevig geweest sinds de invoer van de privacyrichtlijn. Het doel van de hervorming van de regulering is om de privacy online beter te waarborgen en de digitale economie in Europa te stimuleren.20

Onderzoeksvraag

In dit onderzoek zal worden bezien of het artikel over profileren in het Voorstel Algemene Verordening Gegevensbescherming meer bescherming zal bieden voor de persoonsgegevens van de betrokkene tegen profileren. De privacyrichtlijn en de AVG zullen worden getoetst aan de hand van de basisprincipes van gegevensbescherming.

Om de onderzoeksvraag te beantwoorden zal er een aantal subvragen worden beantwoord. De eerste subvraag: Wat is de juridische basis is achter van profileren? Deze vraag wordt in het eerste hoofdstuk beantwoord. In dit hoofdstuk wordt gekeken naar de basis van de

persoonsgegevensregulering gekeken, met name naar het Europees Verdrag voor de Rechten

van de Mens (EVRM)21 en het Europees Handvest (EU-handvest).22 Daarnaast worden de

verschillende type persoonsgegevens en de principes van gegevensbescherming besproken. Ook wordt gekeken naar hoe profileren in de privacyrichtlijn is gereguleerd.

18 _{WP 203, p. 45.}

19

Voorstel voor wetgevingsresolutie van het Europees Parlement van 12 maart 2014 over het voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, (COM(2012)0011 final C7 – C7-0025/2012 – 2012/0011(COD)), 25 januari 2012.

20

Persbericht Europese Commissie, Commissie stelt grondige hervorming van gegevensbeschermingsregels voor: meer controle over de eigen persoonsgegevens, minder kosten voor bedrijven, 25 januari 2012, <http://europa.eu/rapid/press-release_IP-12-46_nl.htm>.

21 _{Raad van Europa, Europees verdrag tot bescherming van de rechten van de mens, 4 november 1950.} 22

De tweede subvraag: Hoe is profileren in de AVG gereguleerd? In het tweede hoofdstuk zal het voorstel uiteen worden gezet. Er wordt gekeken naar de bepalingen omtrent verwerking van persoonsgegevens en het profileringsartikel zelf. Ook wordt kritiek op het voorstel besproken en de verdere ontwikkeling van de AVG.

De laatste subvraag: Hoe is de bescherming van verschillende onderdelen van het profileren onder het voorstel Algemene Verordening Gegevensbescherming in vergelijking met de huidige regulering? In het laatste hoofdstuk zal er een vergelijking worden gemaakt tussen verschillende artikelen in de privacyrichtlijn en het voorstel Algemene Verordening Gegevensbescherming. In dit hoofdstuk zal er worden gekeken hoe de basisprincipes van gegevensbescherming worden ingevuld door beide regelingen en het effect op de mate van bescherming voor de burger. De doelstellingen en het toepassingsgebied, de bescherming van persoonsgegevens, de rechten van de betrokkene en de profileringsartikelen van de

privacyrichtlijn en de AVG worden vergeleken.

Methodiek

In dit onderzoek zal er gebruik worden gemaakt van vergelijkend en evaluerend onderzoek. Met gebruik van Europese bronnen, juridische literatuur en jurisprudentie zal er een

vergelijking worden gemaakt tussen de huidige regulering en het voorstel. Daarnaast zal er een evaluatie worden gedaan over de mate van bescherming tegen profileren in het nieuwe voorstel.

2 Grondslagen van de bescherming van gegevens 2.1 Fundamentele rechten en vrijheden

In dit hoofdstuk zal er worden gekeken naar de basis van bescherming van persoonsgegevens. Dit ligt in de fundamentele rechten van privacy en gegevensbescherming. Het recht op

privacy en het recht op bescherming van persoonsgegevens worden besproken. Daarna worden persoonsgegevens en de basisbeginselen van bescherming van persoonsgegevens besproken. Tot slot wordt profileren in de privacyrichtlijn uiteengezet.

In 1950 werd in Europa het EVRM vastgelegd als standaard voor mensenrechten. Het recht op privacy is vastgelegd in artikel 8 EVRM. Dit artikel omvat het recht op respect voor het privé leven, familie- en gezinsleven, woning en correspondentie.

Met de bekrachtiging van het Europees Verdrag betreffende de Werking van de Europese Unie (VWEU)23 in 2009 is het EU-handvest24 juridisch bindend. Naast het recht op privacy bevat het EU-handvest een apart artikel voor het recht op de bescherming van

persoonsgegevens.25

Ook is de bescherming van persoonsgegevens in het VWEU gereguleerd.26 Daarnaast

in het verdrag tot bescherming van personen ten opzichte van geautomatiseerde verwerking

van persoonsgegevens(Conventie 108)27 en OESO-richtlijnen voor de bescherming van de

persoonlijke levenssfeer en de grensoverschrijdende gegevens stromen van persoonsgegevens werd het recht op gegevensbescherming al vastgelegd, hoewel deze documenten niet bindend zijn. Uit de toelichting van het EU-Handvest blijkt ook dat artikel 8 EU-handvest is

gebaseerd op artikel 8 EVRM, de privacyrichtlijn en Conventie 108 van de Raad van Europa.28

Het EU-Handvest bevat twee grote veranderingen omtrent de bescherming van persoonsgegevens. Het bevat een bepaling die verwijst naar ‘bescherming van

persoonsgegevens’ in plaats van ‘gegevensbescherming’, en het presenteerde dit recht op bescherming van persoonsgegevens als een afzonderlijk recht, los van het recht op privacy.29 Het eerste lid van artikel 8 EU-Handvest stelt: “Eenieder heeft recht op bescherming van de hem betreffende persoonsgegevens.” Dit artikel is altijd van toepassing op persoonsgegevens in tegenstelling tot artikel 8 EVRM. Er is sprake van een inbreuk op artikel 8 EVRM wanneer er sprake is van een beperking die niet gerechtvaardigd is in de zin van artikel 8 EVRM. Dat betekent dat niet elke beperking op het recht van bescherming van persoonsgegevens ook een inbreuk is op artikel 8 EVRM.

Daarnaast bepaalt artikel 8 EU-Handvest dat gegevens eerlijk moeten worden verwerkt, voor bepaalde doeleinden en op basis van een gerechtvaardigde grondslag waarin de wet

23 _{Verdrag betreffende de Europese Unie en het Verdrag betreffende de werking van de Europese Unie} (geconsolideerde versie)( PbEU 2012,C326).

24 _{Handvest van de grondrechten van de Europese Unie (PbEU 2007, C303).} 25 _{Zuiderveen Borgesius 2014, p. 99.}

26 _{Artikel 16 VWEU.} 27

Raad van Europa, verdrag tot bescherming van personen ten opzichte van geautomatiseerde verwerking van persoonsgegevens, 28 januari 1981.

28 _{Explanations relating to the Charter of Fundamental Rights of the European Union, document CONVENT 19,} 11.10.2000, artikel 8. Zie ook Hustinx 2013, p.16 en 17.

29

voorziet.30 Dit lid is in het bijzonder van belang voor profileren. Zoals in de inleiding is vastgesteld worden er profielen gemaakt door de geautomatiseerde verwerking van

persoonsgegevens. Dus wanneer er bij het profileren niet wordt voldaan aan de voorwaarden van artikel 8 EU-handvest, is dit in strijd zijn met het fundamentele recht van bescherming op persoonsgegevens.

Het fundamentele recht op bescherming van persoonsgegevens komt voort uit de tijd van de opkomst van automatisering in databankbeheer.31 In de jaren ’70 zijn er principes en wetten voor gegevensbescherming gecreëerd. Dit is gebaseerd op de veronderstelling dat verwerking van gegevens zo min mogelijk moest gebeuren om misbruik van persoonlijke data te voorkomen.32 Schade aan anderen via internet en andere rekenkundige hulpmiddelen is ongeveer onzichtbaar (of het kan niet worden gevolgd) en we bezitten niet de kennis over in welke vorm het plaatsvindt en of wetten het op een effectieve manier beperken.33 Volgens het Europese Hof van Justitie wordt privacy bedreigd door elke vorm van verwerking van persoonsgegevens en beperkt zijn uitspraken niet tot bijzondere gegevens.34 Aan de ene kant is gegevensbeschermingsrecht breder dan privacy omdat het van toepassing is op alle

persoonsgegevens. Het is niet beperkt tot gevoelige of privé-informatie, dus het recht op bescherming van persoonsgegevens is van toepassing ongeacht of er een inbreuk is op het recht van privacy zoals bedoeld in artikel 8 EVRM. Aan de andere kant is de reikwijdte van gegevensbeschermingsrecht enger dan het recht op privacy van artikel 8 EVRM omdat het recht op privacy van toepassing is op meer gevallen.35 Het EHRM herhaalt steeds dat privacy gezien moet worden als de manier om het recht van zelfbeschikking te bereiken en vormt, in die zin, een essentiële voorwaarde voor alle vrijheden.36 Het Europese Hof van Justitie overwoog herhaaldelijk in haar analyse dat het doel van de privacyrichtlijn, het garanderen van privacy, ingeroepen als een ijkpunt waaraan de gegevensverwerking moet worden geëvalueerd.37

In het huidig regelgevend kader en jurisprudentie zijn beginselen voor de bescherming van persoonsgegevens neergelegd. Het belang van het recht op privacy en bescherming van persoonsgegevens komt daarin duidelijk naar voren.

2.2 Beginselen van bescherming van persoonsgegevens

Hiervoor zijn de fundamentele rechten van het recht op privacy en het recht op bescherming van persoonsgegevens besproken. In deze paragraaf worden de basisbeginselen van

bescherming van persoonsgegevens in het huidige regelgevend kader besproken. Hoewel

30

Artikel 8 lid 2 EU-handvest. 31 _{Hildebrandt 2013, p. 368.}

32 _{Hildebrandt & Koops 2010, p. 442.} 33 _{Magnani 2013, p. 76.}

34

HvJ EU 17 oktober 2013, C291/12 (Schwartz/Stadt Bodum), r.o. 25. Zuiderveen Borgesius 2014, p. 106. 35 _{Zuiderveen Borgesius 2014, p. 165.}

36 _{Costa & Poullet 2012, p. 255.}

37 _{HvJ EU 6 november 2003, C101/01 (Lindqvist) r.o. 86: “In die context hebben de grondrechten een bijzonder} belang, zoals blijkt uit het hoofdgeding, waarin het in wezen erom gaat de vrijheid van meningsuiting van Lindqvist in het kader van haar werk als catecheet en de vrijheid om activiteiten uit te oefenen die bijdragen tot het religieuze leven, af te wegen tegen de bescherming van de persoonlijke levenssfeer van personen wier gegevens door Lindqvist op haar website zijn geplaatst.” HvJ EU 8 mei 2008, C-73/07

gegevensbescherming in meerdere Europese regelgevende instrumenten is vastgelegd, blijft de belangrijkste privacyrichtlijn.38 De privacyrichtlijn noemt artikel 8 EVRM in de

doelstellingen van de richtlijn.39 Ook het Europese Hof van Justitie heeft het meerdere malen benadrukt en de verbinding versterkt.40

Persoonsgegevens

In de privacyrichtlijn worden persoonsgegevens als volgt gedefinieerd: “iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna "betrokkene" te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.”

Naast persoonsgegevens is er een andere categorie van persoonsgegevens. Dit zijn de bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn gegevens van gevoelige aard, bijvoorbeeld raciale of etnische afkomst, politieke opvatting of de godsdienstige of levensbeschouwelijke overtuiging.41 Bij de verwerking van bijzondere gegevens zijn er strengere vereisten waar verantwoordelijken zich aan moeten houden.

Tot slot zijn er ook nog pseudonieme gegevens. Dit zijn persoonsgegevens die zijn verhuld, bijvoorbeeld door middel van een code.42 Zo kunnen er gegevens worden verzameld over een persoon zonder dat zijn of haar identiteit bekend is. Dit wordt vaak gebruikt voor onderzoek en statistiek.43 Pseudonieme gegevens moeten niet verward worden met anonieme gegevens. Het verschil tussen pseudonieme gegevens en anonieme gegevens is dat pseudonieme gegevens nog herleidbaar zijn naar een individuele betrokkene en te koppelen zijn aan datasets. Het gebruik van pseudonieme gegevens door verantwoordelijken valt binnen de werkingssfeer van de dataprotectieregulering omdat pseudonimiteit kan leiden tot

identificatie van de betrokkene.44

Basisprincipes van verwerking

Uit de privacyrichtlijn zijn vier beginselen met betrekking tot de verwerking van persoonsgegevens af te leiden. Deze beginselen stellen de belangrijkste criteria voor de bescherming van persoonsgegevens in de Europese Unie vast.45

38 _{Zo is er ook nog richtlijn 2002/58/EC betreffende de verwerking van persoonsgegevens en de bescherming} van de persoonlijke levenssfeer in de sector elektronische communicatie, geamendeerd door richtlijn

2009/136/EG. Gezien de technische aard van deze richtlijn wordt de richtlijn buiten beschouwing gehouden. 39

Artikel 1 lid 1 privacyrichtlijn.

40_{HvJ EU 20 mei 2003, C465/00, C138/01 en C139/01 (̈Österreichischer Rundfunk), r.o. 68. Gonzáles Fuster &} Gutwirth, p 533.

41

Artikel 8 privacyrichtlijn.

42 _{Groep gegevensbescherming artikel 29, Advies 4/2007 over het begrip persoonsgegeven, 01248/07/NL, WP} 136, 20 juni 2007, p. 19. (Hierna: WP 136).

43 _{WP 136, p. 18.}

44 _{Groep gegevensbescherming artikel 29, Advies 5/2014 over anonimiseringstechnieken, 0829/14/NL, WP 216,} 10 april 2014, p. 12. (Hierna: WP 216).

Het eerste principe is het beginsel van doelbinding.46 Op basis van dit beginsel mogen persoonsgegevens alleen worden verwerkt op grond van welbepaalde, uitdrukkelijk

omschreven en gerechtvaardigde doeleinden. Persoonsgegevens mogen op een later moment worden verwerkt op grond van een ander doel. Dit mag echter niet indien dit onverenigbaar is met het doel waarvoor de gegevens zijn verzameld. In het geval van profileren is doelbinding aan de orde waar de persoonsgegevens zijn verzameld bijvoorbeeld voor de uitvoering van een contract en deze persoonsgegevens later worden gebruikt voor het creëren van een profiel.

Het tweede principe is de rechtmatigheid van de gegevensverwerking. Dit principe komt tot uiting in artikelen met grondslagen voor de verwerking van persoonsgegevens en bijzondere persoonsgegevens.47 Het Europese Hof van Justitie bepaalt dat beperkingen met betrekking tot de bescherming van persoonsgegevens alleen moet worden toegepast voor zover dat strikt noodzakelijk is.48

Het derde principe dat in de privacyrichtlijn te vinden is, heeft betrekking op

informatieverstrekking. Op basis van dit principe is de verantwoordelijke verplicht om de betrokkene te informeren over verschillende aspecten van de verwerking zoals identiteit van de verantwoordelijke, doeleinden van de verwerking, categorieën van ontvangers en het recht tot toegang van eigen gegevens en rectificatie van eigen gegevens.49

Het vierde principe heeft betrekking op de rechten van de betrokkene. Op grond van dit principe kan de betrokkene toegang krijgen tot zijn of haar gegevens. Daarnaast kan de betrokkene bezwaar maken tegen (geautomatiseerde) verwerking van de gegevens.50 Dit is van belang om transparantie te garanderen voor de betrokkene. Indien de betrokkene weet wat er gebeurt met zijn of haar gegevens, dan is de betrokkene in staat om controle over de gegevens uit te oefenen.

2.3 Profileren binnen het huidig regelgevend kader

Zoals gezegd in de inleiding wordt bij profileren er verschillende stappen doorlopen. In deze paragraaf worden de stappen van profilering doorlopen aan de hand van de toepasselijke bepalingen van de privacyrichtlijn.

Eerst worden er persoonsgegevens van de betrokkene verzameld en opgeslagen. Dit valt onder verwerking van persoonsgegevens onder de privacyrichtlijn.51 Persoonsgegevens mogen alleen worden verwerkt indien dit gebeurt op basis van een rechtmatige grondslag uit de privacyrichtlijn. Deze grondslagen staan opgesomd in artikel 7 van de privacyrichtlijn. Verwerking van persoonsgegevens mag plaatsvinden indien het noodzakelijk is voor de uitvoering van een contract52, om een wettelijke verplichting na te komen53, ter vrijwaring

46

Artikel 6 privacyrichtlijn. 47 _{Artikel 7 en 8 privacyrichtlijn.}

48 _{HvJ EU 8 april 2014, C293/12 en C 594/12 (Digital Rights Ireland Ltd), r.o. 52. HvJ EU 7 november 2013,} C473/12 (Institut professionel des agents immobiliers), r.o. 39.

49

Artikel 10 en 11 privacyrichtlijn.

50 _{Artikel 12, 14 en 15 privacyrichtlijn. Zie ook Purtova 2014, p 12.} 51 _{Artikel 2 sub b.}

52 _{Artikel 7 sub b privacyrichtlijn.} 53

van een vitaal belang van de betrokkene54, voor de vervulling van een taak van algemeen belang55, voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt56 of op basis van toestemming van de betrokkene.57 Indien de gegevens zijn verkregen van de betrokkene is de verantwoordelijke verplicht tot informatieverstrekking aan de betrokkene over de identiteit van de verantwoordelijke58, doeleinden van de verwerking59 en verdere informatie over de ontvangers van de gegevens, het recht op toegang tot de gegevens60 en op rectificatie van deze gegevens.61

Na het verzamelen en opslaan van de persoonsgegevens van de betrokkene, zet de

verantwoordelijke de gegevens in een voorspellend model om een profiel te maken. Dit valt ook onder de verwerking van persoonsgegevens. De gegevens worden immers met elkaar in verband gebracht.62 Betrokkene moeten derhalve worden geïnformeerd.

Daarna wordt de informatie doorverkocht aan derden. Derden kunnen andere

advertentienetwerken zijn of adverteerders. Wanneer de derden de persoonsgegevens verder verwerken, zijn zij verplicht de betrokkene te informeren over de identiteit van de

verantwoordelijke63, het doel van de verwerking64, en overige informatie zoals de betrokken gegevenscategorieën, de ontvangers van de gegevens het bestaan van een recht op toegang tot zijn eigen persoonsgegevens en op rectificatie van deze gegevens.65 Met de

informatieverplichtingen voor de verantwoordelijke wil de regelgever de betrokkene controle geven over wat er met zijn of haar gegevens gebeurt door de betrokkene te informeren. De betrokkene heeft recht op toegang tot zijn of haar gegevens. Onderdeel van dit recht is informatie over de logica die ten grondslag ligt aan de automatische verwerking van hem betreffende gegevens in het geval van profileren.66 Vaak wordt dit beschermd door intellectuele eigendom van de verantwoordelijke of zijn ze onderdeel van de

handelsgeheimen van het bedrijf.67 Indien gevraagd naar uitleg rondom het profiel wordt er vaak afgedaan met wat voorbeelden van een gedeelte van de gebruikte informatie, maar bedrijven zullen het onderliggende algoritme van de technologie niet afgeven. Deels omdat de verantwoordelijke het algoritme, welke constant verandert, zelf niet kent of begrijpt en deels omdat het algoritme een handelsgeheim is.68

Tot slot wordt het profiel gebruikt voor het aanbieden van gerichte reclame aan de

betrokkene. De mogelijke gevolgen hiervan zijn geregeld in artikel 15 privacyrichtlijn. Dit

54 _{Artikel 7 sub d privacyrichtlijn.} 55 _{Artikel 7 sub e privacyrichtlijn.} 56

Artikel 7 sub f privacyrichtlijn. 57 _{Artikel 7 sub a privacyrichtlijn.} 58 _{Artikel 10 sub a privacyrichtlijn.} 59 _{Artikel 10 sub b privacyrichtlijn.} 60

Artikel 12 privacyrichtlijn.

61 _{Artikel 12 sub b en artikel 10 sub c privacyrichtlijn.} 62 _{Artikel 2 sub b privacyrichtlijn.}

63 _{Artikel 11 sub a privacyrichtlijn.} 64

Artikel 11 sub b privacyrichtlijn. 65 _{Artikel 11 sub c privacyrichtlijn.} 66 _{Artikel 12 sub a privacyrichtlijn.} 67 _{Hildebrandt 2012, p. 50.} 68

artikel kent ‘een ieder het recht toe niet te worden onderworpen aan een besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft en dat louter wordt genomen op grond van een geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid, zoals beroepsprestatie, kredietwaardigheid, betrouwbaarheid, gedrag, enz. te evalueren’.69 Het gaat hier om een profiel dat gemaakt is door middel van geautomatiseerde verwerking oftewel door een computerprogramma. Een besluit gebaseerd op dit profiel kan de persoonlijke levenssfeer van een individu aantasten en daarom mag dit profiel niet de reden zijn voor een besluit. Bijvoorbeeld wanneer een persoon krijgt goedkopere vliegtickets aangeboden dan de ander doordat de ander wordt geacht meer geld te verdienen op basis van zijn profiel.

Er zijn twee uitzonderingen in de privacyrichtlijn waarbij een persoon wel mag worden onderworpen aan een dergelijk besluit. De eerste uitzondering is indien het besluit wordt genomen in het kader van het sluiten of uitvoeren van een overeenkomst.70 Daarnaast mag een persoon wel worden onderworpen aan een dergelijk besluit indien het besluit zijn grondslag vindt in een wet waarin de maatregelen zijn omschreven die strekken tot

bescherming van het gerechtvaardigde belang van de betrokkene.71 De laatste uitzondering is het vaakst van toepassing bij profileren. In dat geval gaan de commerciële belangen van de verantwoordelijke voor op de fundamentele rechten van de betrokkene.

Concluderend, bij profileren wordt er voor meerdere doeleinden persoonsgegevens verwerkt. Bij het verwerken van persoonsgegevens moet er aan verschillende regels worden gehouden. Zo moet de verwerking gebaseerd zijn op een grondslag uit de privacyrichtlijn. Daarbij moet de verantwoordelijke de betrokkene informatie verstrekken over de identiteit van de

verantwoordelijke, de doeleinden van de verwerking en de rechten van de betrokkene.

2.4 Problematiek

Hiervoor zijn de bepalingen van de privacyrichtlijn besproken die van belang zijn bij

profileren. In deze paragraaf wordt er dieper ingegaan op de problematiek. Er wordt ingegaan op het recht van controle op eigen gegevens van het individu, volume van gegevens,

transparantie vanuit verantwoordelijken en discriminatie.

Het is algemeen geaccepteerd dat reclame onderdeel is van het leven. Overal waar je kijkt, is er wel een vorm van reclame, dus ook online. Het internet wordt draaiende gehouden door de inkomsten die worden gegenereerd van reclame.72 Waarom is gericht adverteren dan een probleem als het algemeen geaccepteerd wordt als onderdeel van het menselijk leven? Online wordt de reclame gericht naar individuen door middel van profileren. Profileren gebeurt op basis van persoonlijke informatie over een individu.

Ten eerste gaat het om het recht van het individu op controle over wat er met zijn of haar gegevens gebeurt. De Raad van Europa stelt in de aanbeveling over geautomatiseerde

69 _{Artikel 15 lid 1 privacyrichtlijn.} 70 _{Artikel 15 lid 2 sub a privacyrichtlijn.} 71 _{Artikel 15 lid 2 sub b privacyrichtlijn.} 72

verwerking van persoonsgegevens voor profileren(hierna: de aanbeveling)73 dat de fundamentele rechten, in het bijzonder het recht tot privacy en de bescherming van

persoonlijke gegevens, ook het bestaan inhoudt van verschillende en onafhankelijke gebieden van het leven, waar ieder individu controle heeft over het gebruik dat zij of hij maakt van zijn of haar identiteit.

Het hebben van controle voor het individu over eigen persoonsgegevens kan alleen indien er transparantie is over wie de persoonsgegevens heeft, voor welke doelen de gegevens worden gebruikt en aan wie de gegevens eventueel worden doorgegeven. Dit is nu gereguleerd in de privacyrichtlijn als informatieverplichtingen voor de verantwoordelijken. Profielen bestaan vaak uit gegevens van verschillende datasets. Het gaat over grote volume aan gegevens, verzameld door verschillende verantwoordelijken, die zijn samengevoegd in datasets. Dat schept verwarring voor de betrokkene wie over welke informatie beschikt en wat er precies mee gebeurt. Daarnaast kan een profiel, wanneer deze aan een persoon wordt gekoppeld, het mogelijk maken om nieuwe persoonsgegevens te generen welke niet zijn gecommuniceerd door het persoon aan de verantwoordelijke of van welke hij of zij niet in redelijkheid kan aannemen dat ze bekend zijn bij de verantwoordelijke.74 Als de betrokkene niet bekend is met welke persoonsgegevens worden verwerkt en waarvoor de gegevens worden gebruikt, kan de betrokkene geen controle uitoefenen over zijn of haar gegevens.75

Het tweede probleem is discriminatie. In het EVRM staat een verbod op discriminatie.76 In elk geval waarbij een individu wordt benadeeld doordat er onderscheid wordt gemaakt met andere personen op basis van zijn profiel, is er sprake van discriminatie. Een duidelijk voorbeeld van discriminatie is wanneer de ene individu goedkopere vliegtickets krijgt aangeboden dan de ander doordat de ander wordt geacht meer geld te verdienen op basis van zijn profiel.

Concluderend zijn er twee centrale problemen. De betrokkene heeft het recht op controle over eigen gegevens. Het zijn immers de gegevens van het individu. Dit is een gevolg van de hoeveelheid gegevens en de transparantie van de verantwoordelijken. Daarnaast kan profileren ook leiden tot discriminatie. Discriminatie is verboden onder het EVRM.

73

Recommendation CM/Rec(2010)13 of the Committee of Ministers to member states (23 november 2010) on

the protection of individuals with regard to automatic processing of personal data in the context of profiling.

74 _Idem.

75 _{WP 171, p. 20.} 76

3 Hervorming van de dataprotectieregulering

3.1 Het voorstel Algemene Verordening Gegevensbescherming

In dit hoofdstuk wordt het voorstel van de AVG uiteengezet. Er wordt gekeken naar de bepalingen die betrekking hebben tot profileren. Daarna wordt de kritiek op het voorstel besproken en tot slot de laatste versie van de AVG.

Op 25 januari 2012 introduceerde de Europese Commissie met een voorstel voor grondige hervormingen van de EU-beschermingsregels van 1995.77 Gezien de snelle technologische ontwikkelingen in die tijd heeft het nog redelijk lang geduurd voordat er nieuwe regulering kwam. In 2007 werd wijziging van de privacyrichtlijn nog onnodig geacht door de Europese Commissie.78 Pas in 2010 concludeerde de Commissie dat de privacyrichtlijn moest worden herzien om de snelle technologische ontwikkelingen en globalisering bij te houden. Maar de kernprincipes van de privacyrichtlijn bleven van kracht.79

Naast de inhoud van de privacyrichtlijn was de harmonisatie van de richtlijn ook één van de grootste klachten over de privacyrichtlijn. De regelgeving van de richtlijn moest worden geïmplementeerd door de Lidstaten. Het leidde tot fragmentatie binnen de

dataprotectieregelgeving omdat de richtlijn verschillend werd geïmplementeerd door de Lidstaten.80

Naast hervorming brengt de nieuwe verordening ook continuïteit. Directe werking van de regulering zal harmonisatie en coherentie meebrengen.81 De innovatie ligt voornamelijk in het effectiever maken van gegevensbescherming in de praktijk.82 Dezelfde basisprincipes van verwerking van persoonsgegevens in de privacyrichtlijn zijn terug te vinden in de AVG. Alleen zijn sommige bepalingen wat aangepast met onder andere extra vereisten voor de verantwoordelijken of rechten voor de betrokkene. Dit wordt uitgebreid behandeld in hoofdstuk 4.

Doelstellingen

Er zijn twee doelstellingen voor de hervorming van de dataprotectieregulering.

Het eerste doel is om de privacy online beter te waarborgen. Door de technische vooruitgang en globalisering is de wijze van het verzamelen, raadplegen en gebruiken van gegevens

77 _{Voorstel voor wetgevingsresolutie van het Europees Parlement van 12 maart 2014 over het voorstel voor een} verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, (COM(2012)0011 final C7 – C7-0025/2012 – 2012/0011(COD)), 25 januari 2012. (Hierna: het voorstel). 78 _{Europese Commissie, Mededeling van de Commissie aan het Europees Parlement en de Raad over de} follow-up van het Werkprogramma voor een betere toepassing van de richtlijn gegevensbescherming,

(COM/2007/0087 def.), 7 maart 2007.

79 _{Europese Commissie, Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees} Economisch en Sociaal Comité en het Comité van de Regio’s, Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie, COM(2010) 609 def., 4 november 2010. Persbericht Europese

Commissie, Commissie stelt grondige hervorming van gegevensbeschermingsregels voor: meer controle over de eigen persoonsgegevens, minder kosten voor bedrijven, 25 januari 2012,

<http://europa.eu/rapid/press-release_IP-12-46_nl.htm>. Zie ook Kuner 2012, p. 2. 80 _{Kuner 2012, p. 3.}

81 _{Hustinx 2013, p. 29.} 82

ingrijpend veranderd.83 Vivane Reding, vice-voorzitter van de Europese Commissie in 2012, zei hierover: “Niettegenstaande bescherming van persoonsgegevens een fundamenteel recht van elke Europese burger is, ervaart deze vaak een gebrek aan controle over die gegevens. Mijn voorstellen zullen bijdragen tot meer vertrouwen in onlinediensten doordat mensen beter geïnformeerd worden over hun rechten en meer controle krijgen over informatie die over hen is opgeslagen.”84 De voorbereidende documenten van het voorstel, zowel als eerdere uitspraken van Commissiefunctionarissen, identificeren de versterking van individuele controle over zijn of haar persoonsgegevens als de hoeksteen van de

hervorming.85 De Commissie belooft het vermogen van het individu op controle van zijn of haar data te verbeteren, onder andere door extra rechten.86 Ook de preambule laat zien dat de Europese Commissie beoogde om gegevensbeschermingswetgeving toe te laten passen op behavioural targeting.87

Het tweede doel is om de digitale economie in Europa te stimuleren. De Europese Commissie hoopt met de hervorming het vertrouwen van de consument in onlinediensten te vergroten, wat de groei, werkgelegenheid en innovatie in Europa zal stimuleren.88 Versterking van gegevensbescherming is niet alleen slim vanuit het mensenrechtenoogpunt maar heeft ook

economische voordelen.89 Tegenwoordig is er ruime beschikbaarheid en mogelijkheid om

online gegevens aan elkaar te koppelen. Dit in combinatie met technische middelen waarvan de werking is gebaseerd op de verwerking van persoonsgegevens, maakt de onlinewereld één van de belangrijkste uitdagingen voor de bescherming van persoonsgegevens in de 21e eeuw.90 Als Europese burgers vrezen om te worden gevolgd via behavioural targeting, zou hun bereidheid kunnen verminderen om online diensten te gebruiken en dientengevolge de ontwikkeling van soortgelijke nuttige diensten belemmeren.91

83 _idem.

84 _{Persbericht Europese Commissie, Commissie stelt grondige hervorming van gegevensbeschermingsregels} voor: meer controle over de eigen persoonsgegevens, minder kosten voor bedrijven, 25 januari 2012, <http://europa.eu/rapid/press-release_IP-12-46_nl.htm>.

85 _{Europese Commissie, Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees} Economisch en Sociaal Comité en het Comité van de Regio’s. Privacywaarborging in het online tijdperk, een Europees gegevensbeschermingskader voor de 21e eeuw . (COM/2012/09 final). Neelie Kroes zei over de hervorming: “Our proposal starts from everybody owning their own personal data. It can only be used with good reasons. You can correct it, get a copy in a commonly-used, interoperable format to go on using it elsewhere, or to have it deleted.” Kroes, EU data protection reform and cloud computing. SPEECH/11/40,

<http://europa.eu/rapid/press-release_SPEECH-12-40_en.htm?locale=EN>, Brussel, 30 januari 2012. Zie ook Purtova 2014, p. 12.

86 _{Europese Commissie, Europese Commissie presenteert strategie voor versterking}

gegevensbeschermingsregels EU, IP/10/1462, 10 november 2010; Persbericht Europese Commissie, Commissie stelt grondige hervorming van gegevensbeschermingsregels voor: meer controle over de eigen

persoonsgegevens, minder kosten voor bedrijven, 25 januari 2012, <http://europa.eu/rapid/press-release_IP-12-46_nl.htm>. Zie ook Purtova 2014, p. 12.

87 _{Overweging 58 AVG.}

88 _{Persbericht Europese Commissie, Commissie stelt grondige hervorming van gegevensbeschermingsregels} voor: meer controle over de eigen persoonsgegevens, minder kosten voor bedrijven, 25 januari 2012, <http://europa.eu/rapid/press-release_IP-12-46_nl.htm>.

89 _{Vermeulen 2013, p. 6.} 90 _{WP advies 2013, p. 2.} 91

Reguleren van profileren

In 2010 schreef het Comité van Ministers van de Raad van Europa een aanbeveling over de bescherming van personen met betrekking op geautomatiseerde besluiten in het kader van profilering. Hiermee wilde het Comité de risico’s van profileren benadrukken. In de aanbeveling staat dat het gebruik van profielen, zelfs legitiem gebruik, zonder

voorzorgsmaatregelen en waarborgen, ernstige schade kunnen aanrichten aan de menselijke waardigheid, zowel als andere fundamentele rechten en vrijheden, waaronder economische en sociale rechten. De Raad van Europa is ervan overtuigd dat het nodig is om profileren te reguleren voor wat betreft de bescherming van persoonsgegevens om de fundamentele rechten en vrijheden van individuelen te waarborgen. In het bijzonder om het recht tot privacy te waarborgen en om discriminatie op basis van geslacht, ras en etnische afkomst, religie of geloofsovertuiging, handicap, leeftijd of seksuele geaardheid te voorkomen.92 De Europese Commissie heeft bij het opstellen van het voorstel rekening gehouden met de aanbeveling van de Raad van Europa over profileren van twee jaar eerder.93 Het artikel in de AVG omtrent profileren is als volgt:

1. Iedere natuurlijke persoon heeft het recht niet te worden onderworpen aan een maatregel waaraan voor hem rechtsgevolgen zijn verbonden of die hem in aanmerkelijke mate treft en die louter wordt genomen op grond van een geautomatiseerde verwerking die bestemd is om bepaalde aspecten van zijn persoonlijkheid te evalueren of om met name zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te voorspellen .

2. Onverminderd het bepaalde in de overige artikelen van deze verordening mag een persoon alleen aan een maatregel als bedoeld in lid 1 worden onderworpen, wanneer de verwerking:

a) wordt uitgevoerd in het kader van het sluiten of het uitvoeren van een

overeenkomst en aan het door de betrokkene ingediende verzoek tot het sluiten of het uitvoeren van de overeenkomst is voldaan of passende maatregelen zijn aangeboden ter bescherming van de gerechtvaardigde belangen van de betrokkene, zoals het recht op menselijke tussenkomst ; of

b) uitdrukkelijk is toegestaan op grond van EU-wetgeving of nationale wetgeving en in die wetgeving ook passende maatregelen zijn opgenomen ter bescherming van de gerechtvaardigde belangen van de betrokkene; of

c) plaatsvindt op grond van de toestemming van de betrokkene, mits aan de voorwaarden van artikel 7 wordt voldaan en passende waarborgen worden geboden

92

Recommendation CM/Rec(2010)13 of the Committee of Ministers to member states (23 november 2010) on

the protection of individuals with regard to automatic processing of personal data in the context of profiling.

93 _{Voorstel voor wetgevingsresolutie van het Europees Parlement van 12 maart 2014 over het voorstel voor een} verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, p. 9.

3. De geautomatiseerde gegevensverwerking die bestemd is om bepaalde aspecten van de persoonlijkheid van een natuurlijke persoon te beoordelen , wordt niet uitsluitend gebaseerd op de in artikel 9 bedoelde bijzondere categorieën persoonsgegevens. 4. In de in lid 2 bedoelde gevallen omvat de informatie die op grond van artikel 14 door

de voor de verwerking verantwoordelijke moet worden verstrekt, informatie over de eventuele verwerking voor een maatregel in de zin van lid 1 en de met deze

verwerking beoogde gevolgen voor de betrokkene.

5. De Commissie is bevoegd overeenkomstig artikel 86 gedelegeerde handelingen vast te stellen met het oog op de nadere invulling van de criteria en de voorwaarden voor passende maatregelen ter bescherming van de in lid 2 bedoelde gerechtvaardigde belangen van de betrokkene.

Overweging 58 licht toe: ‘Profilering leidend tot maatregelen waaraan voor de betrokkene rechtsgevolgen zijn verbonden of die de belangen, rechten of vrijheden van de betrokkene in aanzienlijke mate treffen, dient enkel toegelaten te zijn wanneer dit uitdrukkelijk is

toegestaan bij de wet, wordt uitgevoerd in het kader van het sluiten of uitvoeren van een overeenkomst of wanneer de betrokkene zijn toestemming heeft gegeven.’

Met dit artikel heeft de Europese Commissie geprobeerd de persoonsgegevens te beschermen van de betrokkene. In hoofdstuk 4 wordt dit uitgebreid uiteengezet.

Concluderend werd het nieuwe voorstel geïntroduceerd om de regulering omtrent gegevensverwerking aan te passen. De richtlijn werd geïmplementeerd in de nationale wetgeving door Lidstaten. Er is verschil in hoe verschillende lidstaten de richtlijn hebben geïmplementeerd waardoor er fragmentatie van de regelgeving is ontstaan. De verordening is direct toepasbaar en zal, naast hervorming, continuïteit meebrengen. De uitgangspunten van de verordening staan centraal in de hervorming. Het belang van het reguleren van profileren is meegenomen in de AVG.

3.2 Kritiek op het voorstel

Hiervoor is de aanleiding van de hervorming en de doelstellingen van het voorstel besproken. In deze paragraaf zal de kritiek op het voorstel en verdere voortgang van de verordening worden doorgenomen.

Wetgeving omtrent bescherming van persoonsgegevens is complex. Om te voldoen aan de doelstellingen van het voorstel is het van belang dat de regulering duidelijk is voor degene op wie het effect heeft. Kijkend naar de vormgeving van het voorstel, heeft het een groot aantal bepalingen met 91 artikelen. Zo heeft de privacyrichtlijn maar 34 artikelen. Dat maakt de richtlijn als geheel een stuk meer behapbaar om in te voeren voor verantwoordelijken. Het voorstel bestaat uit een aanzienlijk uitgebreider systeem van regels. Dit maakt het begrijpen en invoeren van de regels moeilijker voor de verantwoordelijken. Het begrijpen van de regulering wordt niet gemakkelijk gemaakt door het doolhof van ineengevlochten constructies.94 Dit zal worden verergerd door het uitbreiden van de regulering in een poging om nieuwe uitdagingen, zoals profileren, aan te pakken. Het moet duidelijk zijn voor de

94

verantwoordelijke hoe en aan welke regelgeving moet worden voldaan. Anders zal de nieuwe regulering niet leiden tot meer privacy online.

Niet alleen de hoeveelheid aan bepalingen en de constructie van de verordening werd

onduidelijk geacht. Werkgroep 2995 publiceerde twee maanden na de bekendmaking van de

hervorming een opinie waar het voorstel onder de loep werd genomen. De Werkgroep steunde de bepaling in de regulering over profileren.96 De Werkgroep heeft zijn twijfel of de benadering voldoende is om de problemen rond het creëren en gebruik van profielen te reflecteren, met name in een online omgeving.97 Het profileringsartikel van het voorstel werd onduidelijk bevonden.98 Zo stelt de Werkgroep dat de term “aanmerkelijke mate treft” in artikel 20 lid 1 AVG te vaag is. “Er moet duidelijk worden gemaakt dat hieronder

bijvoorbeeld ook valt het toepassen van instrumenten voor het maken van webanalyses, het tracken van gebruikers voor het in kaart brengen van hun gedrag, het maken van

bewegingsprofielen door mobiele toepassingen en het maken van persoonlijke profielen door sociale netwerken.” aldus Werkgroep 29.

Volgens de Werkgroep zou er een aanpak moeten zijn die duidelijk de doeleinden definieert waarvoor profielen kunnen worden gemaakt en gebruikt, waaronder specifieke verplichtingen op verantwoordelijken om de betrokkene te informeren, in het bijzonder op zijn of haar recht om bezwaar te maken tegen het creëren en het gebruik van profielen.99 Het artikel over

profileren werd ook niet warm onthaald door de direct marketing en onlinereclame-industrie. Daar was dezelfde kritiek dat cruciale elementen van artikel 20 niet voldoende waren

gedefinieerd. Zolang kernelementen zoals “passende maatregelen”100, “rechtsgevolgen zijn verbonden”101 of “aanmerkelijke mate treft”102 niet zijn uitgelegd, is de exacte omvang van artikel 20 onduidelijk.103 Onder de academici was Kuner het hiermee eens. Hij stelde dat de bepaling zo moeilijk in de praktijk in te voeren is.104

Profileringsartikel

Een jaar later kwam Werkgroep 29 met een advies over de definitie en bepaling over profileren in de AVG. Eén van de kritieken op de bepaling was dat de bepaling zich alleen focust op het gevolg van het profileren en niet zo zeer op het profileren zelf, voordat er een maatregel of zelfs een besluit is genomen dat effect heeft op de betrokkene.105 Voortbouwend

95

De Artikel 29-werkgroep is het onafhankelijke advies -en overlegorgaan van Europese

privacytoezichthouders. <https://cbpweb.nl/nl/over-het-cbp/internationale-samenwerking/artikel-29-werkgroep>. Laatst bezocht op 5 juni 2015.

96 _{Article 29 data protection working party, Opinion 01/2012 on the data protection reform proposals,} 0530/12/EN, WP 191, 23 maart 2012. (Hierna: WP 191).

97 _{WP 191, p. 14.} 98 _{Artikel 20 AVG.} 99 _{WP 191, p. 14.} 100

Artikel 20 lid 5 AVG. 101 _{Artikel 20 lid 1 AVG.} 102 _idem.

103 _{UK House of Commons Justice Committee, The Committee's opinion on the European Data Protection} Framework proposals. Volume II, Additional Written Evidence, September 2012. Written evidence from the Internet Advertising Bureau UK, ev w 71 at 49. Vermeulen 2013, p. 12.

104 _{Kuner 2012, p. 11.}

105 _{Article 29 data protection working party, Advice paper on essential elements of a definition and a provision} within the EU General Data Protection Regulation, 13 mei 2013, p. 3. (Hierna: WP advies 2013).

op de Aanbeveling wil Werkgroep 29 dat artikel 20 extra informatieverplichtingen voor verantwoordelijken omvat, waaronder informatie dat de persoonsgegevens voor profileren wordt gebruikt, de doeleinden waarvoor er wordt geprofileerd en de logica achter de automatische verwerking.106 European Digital Rights (EDRi) had dezelfde zorg gezien de onbetrouwbaarheid van profielen en de daaruit volgende mogelijke discriminatie.107 Tevens is dit belangrijk gezien de veel gebruikte reden voor ondernemingen om geen gedetailleerde informatie te verstrekken over de profielen, dat de profielen beschermd zijn op grond van intellectuele eigendom of handelsgeheimen.108

Lid 3 van artikel 20 bepaalt dat de profielen niet puur mogen bestaan uit bijzondere gegevens. Net als de Aanbeveling, laat artikel 20 na om het kernprobleem te adresseren. Discriminatie resulteert meestal uit het gebruik van profielen die niet zijn gebaseerd op bijzondere gegevens of criteria.109

Toestemming in de AVG

Profileren mag plaatsvinden op basis van de toestemming van de betrokkene. Toestemming onder de privacyrichtlijn is ‘elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem/haar betreffende persoonsgegevens worden verwerkt.’110 In het voorstel is er een extra voorwaarde aan toestemming toegevoegd. Volgens het voorstel is er sprake van toestemming indien er sprake is van een vrije, specifieke, op informatie berustende en uitdrukkelijke wilsuiting.111 Het moet een actieve handeling zijn waar toestemming uit af te leiden is. Puur het gebruik van een dienst geldt niet meer als toestemming. Hoewel de toestemmingsvereisten zijn versterkt, stelt Purtova dat de toestemmingsregel zijn betekenis heeft verloren als een geldige grondslag voor

gegevensverwerking. Het is geen geldige grondslag ‘voor verwerking wanneer er een aanzienlijke onevenwichtigheid bestaat tussen de positie van de betrokkene en die van de voor de verwerking verantwoordelijke.’112 Zoals in de inleiding is gezegd, is Google een aanbieder van advertentienetwerken. Er is bijna niet te ontkomen aan het gebruik van Google als dienst. Alleen al als zoekmachine domineert Google de markt.113 In het geval van Google en de betrokkene waartegen gericht wordt geadverteerd, is er sprake van een aanzienlijke onevenwichtigheid. In dat geval is toestemming geen geldige rechtvaardigingsgrond voor verwerking van persoonsgegevens.114

Zo ontmoedigt de AVG het gebruik van toestemming als rechtmatige grondslag voor gegevensverwerking door sterkere formele vereisten voor toestemming een focus te maken

106 _{Aanbeveling paragraaf B4. WP advies 2013, p. 3.} 107

EDRi over artikel 20 AVG <http://protectmydata.eu/articles/articles-11-20/article-20/>. Bekeken op 1 mei 2015.

108 _{Overweging 51 AVG. Korff 2012, p. 34.} 109 _{Korff 2012, p. 33.}

110

Artikel 2 sub h privacyrichtlijn.

111 _{Artikel 4 lid 8 AVG. Nadruk toegevoegd.} 112 _{Artikel 7 lid 4 AVG. Purtova 2014, p. 14.}

113 _{<http://www.iprospect.nl/our-world/iprospect-onderzoek/nationale-search-engine-monitor>.} 114

van de hervormingen en tegelijkertijd geen pogingen te doen tot het creëren van

omstandigheden waarin het geven van toestemming betekenis heeft.115

LIBE amendementen

Op 17 december 2012 kwam de commissie burgerlijke vrijheden, justitie en binnenlandse zaken (hierna: LIBE commissie) met een rapport om het voorstel te amenderen.

In het rapport herstructureert de LIBE commissie het profileringsartikel, onder andere door ‘profileren’ te definiëren 116 en het verplaatsen van de informatieverplichtingen naar artikel 14.117

“Om ervoor te zorgen dat betrokkenen een op informatie berustende toestemming geven voor profilering, moet dit begrip worden gedefinieerd en gereglementeerd.” aldus de LIBE commissie.118 Zijn definitie behoudt dezelfde rechtsgronden voor profilering, maar de gronden worden aanzienlijk aangescherpt. Profilering is toegestaan als het noodzakelijk is voor het aangaan of de uitvoering van een overeenkomst, in tegenstelling tot profilering dat slechts “in de loop van het aangaan of uitvoeren van een opdracht” wordt uitgevoerd.119 Aldus wordt profilering nog toegestaan op basis van de toestemming, maar de toestemming is meer strikt omschreven en moet worden "vrij gegeven, specifieke, geïnformeerd, en

uitdrukkelijk" zijn. In overweging 34 staat dat de toestemming niet kan plaatsvinden wanneer er een aanzienlijke verstoring van het evenwicht tussen de betrokkene en een

verantwoordelijke bestaat. De LIBE commissie voegt daaraan toe dat een dergelijke vorm van onbalans tussen de betrokkene en verantwoordelijke waar de verantwoordelijke een dominante marktpositie inneemt met betrekking tot de producten of diensten die aan de betrokkene worden geboden of wanneer een eenzijdige en niet-essentiële wijziging in de dienstverlening een betrokkene geen andere keuze laat dan deze wijziging te accepteren of een onlinemiddel waarin hij of zij veel tijd heeft gestoken op te geven.120 Zoals eerder is aangegeven valt Google onder deze definitie.

De verschillende aspecten van profileringsregulering komen ook naar voren in de kritiek. Zo was kritiek op de algehele duidelijkheid van het voorstel en de helderheid van termen in artikel 20. Daarnaast is de kritiek op de definitie van toestemming behandeld. Tot slot zijn de LIBE amendementen besproken.

3.3 Laatste versie

In de vorige paragraaf zijn de kritieken op het voorstel en de amendementen van de LIBE commissie besproken.

Beïnvloed door de commentaren vanuit verschillende hoeken heeft het Europees Parlement

op 12 maart van 2014 een compromistekst van de AVG aangenomen.121 Met name zijn de

115 _{Purtova 2014, p. 14.}

116 _{LIBE rapport, amendementen 87 en 158.}

117 _{LIBE rapport, amendementen 130, 131, 132 en 136.} 118

LIBE rapport, amendement 87. 119 _{LIBE rapport, amendement 160.} 120 _{Vermeulen 2013, p. 19.}

121 _{Wetgevingsresolutie van het Europees Parlement van 12 maart 2014 over het voorstel voor een verordening} van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de

amendementen uit het rapport van de LIBE Commissie van grote invloed geweest. Zo is er een definitie voor pseudonieme gegevens toegevoegd. Pseudonieme gegevens wordt gedefinieerd als: ‘persoonsgegevens die niet aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, zo lang als dergelijke aanvullende informatie apart wordt bewaard en op voorwaarde dat technische en organisatorische maatregelen worden genomen om niet-koppeling te waarborgen.’122 Ook zijn er meerdere veranderingen geweest omtrent het toestemmingsvereiste. De nadruk ligt meer op het adresseren van de ongelijke machtspositie van de betrokkene en de

verantwoordelijke. Zo is het voorbeeld van ongelijke machtspositie verwijderd uit het artikel betreffende voorwaarden voor toestemming, wat het gebied verbreedt waar toestemming kan worden toegepast.123

Tevens wordt in de AVG een definitie gegeven aan expliciete toestemming in overweging 25. Louter het gebruik van de dienst geldt niet als toestemming.124 De

verandering in de compromistekst met betrekking tot de toestemmingsvereisten verbeteren de manieren en omstandigheden waarin geldig toestemming is gegeven. Een gevolg van

strengere vereisten rondom toestemming als grondslag voor gegevensverwerking kan ook zijn dat betrokkenen niet meer kan worden gevraagd om toestemming, maar dat

verantwoordelijken gaan verwerken op de grondslag van gerechtvaardigd belang.125 Deze grondslag is het voordeligst voor de commerciële belangen van bedrijven. Het is immers aan de verantwoordelijke om af te wegen of de gerechtvaardigde belangen zwaarder wegen dan de belangen van de betrokkene. Maar, er is een nieuw vereiste gekomen wat betreft de afweging; het perspectief van de betrokkene. Er wordt aan het vereiste voldaan wanneer de verwerking overeenkomt met de redelijke verwachtingen die de betrokkene heeft op basis van zijn of haar relatie met de verantwoordelijke.126 Wanneer een individu gebruikt maakt van de diensten van Google, worden gegevens die zijn verzameld onder andere gebruikt voor gerichte reclame.127 Het is algemeen bekend dat Google gegevens verzameld voor

reclamedoeleinden. In een dergelijke situatie voldoet de grondslag van gerechtvaardigd belang omdat er wordt voldaan aan de redelijke verwachtingen van de betrokkene op basis van de relatie met de verantwoordelijke.

In overweging 38 wordt er naar dit vereiste gerefereerd met betrekking tot verwerking van pseudonieme gegevens.128 De juridische bescherming wordt bepaald door de

verwachtingen die mensen hebben over privacy. Maar die verwachtingen worden in grote mate gevormd door de wettelijke bescherming aldus Purtova.129 Daarnaast wordt de relatie van de betrokkene met de verantwoordelijke vaker wel dan niet gevormd door de

verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming) (COM(2012)0011 – C7-0025/2012 – 2012/0011(COD)), P7_TA-PROV(2014)0212, 12 maart 2014. (Hierna: de AVG).

122 _{Artikel 4 lid 2bis AVG.} 123 _{Artikel 7 lid 4 AVG.} 124 _{Overweging 25 AVG.} 125

Artikel 6 lid 1 f AVG. 126 _{Artikel 6 AVG.}

127 _{< http://www.google.nl/policies/privacy/>.} 128 _{Overweging 38 AVG.}

129

verantwoordelijke.130 Zeker in gevallen van dominante online diensten zoals Google, er is weinig alternatief. Daarom zal de introductie van de 'redelijke verwachting' test

waarschijnlijk niet resulteren in een belangrijke verschuiving wat betreft de rechten omtrent

persoonsgegevens. Dit vereiste werd door Werkgroep 29 wel verwelkomd.131 Wel vreest de

Werkgroep dat het vereiste kan worden begrepen als een uitzondering op de verplichting van de verantwoordelijke voor het uitvoeren van de afweging die ten grondslag ligt aan deze juridische grond bij het verwerken van pseudonieme gegevens. Het gebruik van

pseudonimiseringstechnieken om eerlijke verwerking van persoonsgegevens te garanderen, kan een rol spelen bij de vraag of de grondslag van gerechtvaardigd belang kan worden gebruikt, maar het blijft slechts één factor.132

Dezelfde zorgen heeft de Werkgroep met betrekking tot overweging 58a. In de overweging staat dat profilering uitsluitend gebaseerd op pseudonieme gegevens moeten worden geacht geen significante invloed te hebben op de belangen, rechten en vrijheden van de betrokkene. Dat betekent dat de gerechtvaardigde belangen van een verantwoordelijke altijd voorrang hebben, in de zin van artikel 6 van de compromistekst. Nu profilering potentieel een grote impact kan hebben op het leven van een individu, ook als pseudonieme gegevens worden gebruikt, raadt de werkgroep niet aan om een dergelijke overweging van de definitieve tekst van de verordening op te nemen.133

De definitie van profileren uit het LIBE rapport wordt wel direct opgenomen in de compromistekst. Profileren wordt gedefinieerd als: ‘iedere automatische wijze waarop persoonsgegevens van een persoon worden verwerkt met de bedoeling om bepaalde aspecten van zijn persoonlijkheid te evalueren of om met name zijn beroepsprestaties, economische situatie, verblijfplaats, gezondheid, persoonlijke voorkeuren, betrouwbaarheid of gedrag te analyseren of te voorspellen’.134

Daarnaast zijn er extra informatieverplichtingen voor verantwoordelijken.135 Zo mogen persoonsgegevens niet meer woorden verspreid door derden zonder dat de betrokkene hiervan op de hoogte wordt gesteld.136 Ook moet er betekenisvolle informatie worden verstrekt over de logica die aan de geautomatiseerde verwerking ten grondslag ligt.

Concluderend zijn er meerdere aanpassingen geweest omtrent het

toestemmingsvereiste. Ook is er een extra vereiste toegevoegd bij de grondslag van

gerechtvaardigde belangen van de verantwoordelijke. Daarnaast is profileren gedefinieerd en zijn er extra informatieverplichtingen toegevoegd voor de verantwoordelijken. Zoals over de logica achter het profileren. Dit kan tot gevolg hebben dat incorrecte informatie eerder kan worden gezien door de betrokkene. In het beval van beslissingen op basis van de incorrecte informatie kan de betrokkene zich daartegen verzetten.

130 _{Purtova 2014, p. 21.}

131 _{Working Party 29 comments to the vote of 21 October 2013 by the European Parliament’s LIBE Committee,} p. 3 en 4.

132 _{Working Party 29 comments to the vote of 21 October 2013 by the European Parliament’s LIBE Committee,} p. 4.

133 Idem.

134 _{Artikel 4 lid 3bis AVG.} 135

Artikel 13bis AVG. 136

4 Privacyregulering vergeleken 4.1 Doelstellingen en toepassingsgebied

In het vorige hoofdstuk is het voorstel, de kritieken en de laatste versie van de AVG

besproken. In dit hoofdstuk wordt de privacyrichtlijn met de AVG vergeleken. Er wordt een vergelijking gemaakt om te zien in welk opzicht de regelingen verschillen op het gebied van bescherming van persoonsgegevens. Om te beginnen wordt er gekeken naar de doelstellingen en het toepassingsgebied van beide regelingen.

De privacyrichtlijn en de AVG hebben twee doelstellingen: de vordering van de interne markt van de EU en de bescherming van persoonsgegevens. In het arrest Lindqvist stelde het Europese Hof van Justitie dat de vordering van de interne markt voorrang heeft.137 Uit de privacyrichtlijn volgt dat voor de totstandbrenging en de werking van de interne markt, niet alleen verkeer van persoonsgegevens mogelijk moet zijn maar ook dat fundamentele rechten van personen moeten worden beschermd.138 Het blijkt uit de overwegingen van de richtlijn en de AVG dat technologie heeft verandering gebracht op het gebied van economische en

maatschappelijk leven en maakt het noodzakelijk om het vrije verkeer van gegevens te vergemakkelijken en daarbij hoge mate van bescherming van persoonsgegevens te garanderen.139 Ook blijkt uit de overwegingen van beide regelingen dat een coherent regelgevend kader voor gegevensbescherming is van fundamenteel belang voor de

ontwikkeling van de digitale economie op de interne markt.140 De privacyrichtlijn biedt voor dit punt minder bescherming gezien de Lidstaten zelf de regulering moesten invoeren. Dit leidde tot fragmentatie van de regulering tussen de Lidstaten. De verschillen in mate van bescherming in de Lidstaten kunnen ook het vrije verkeer van persoonsgegevens beperken en

daarmee de Europese economie afremmen.141 Voor doeltreffende bescherming van

persoonsgegevens is er versterking en nadere vaststelling van de rechten van de betrokkenen en verplichtingen voor de verantwoordelijk nodig, om het hoge beschermingsniveau te waarborgen.142

De AVG en de privacyrichtlijn zijn beide van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die zijn bestemd daarin te worden opgenomen, evenals op de niet-geautomatiseerde

verwerking van zulke gegevens.143 In de AVG is de regulering van toepassing is ongeacht de verwerkingsmethode. Daarnaast zijn er nog wat extra uitzonderingen van toepassing op de verwerking van persoonsgegevens in vergelijking met de privacyrichtlijn.144 De

privacyrichtlijn is van toepassing wanneer de verwerkingsactiviteiten plaatsvinden op het gebied van een Lidstaat, in een plaats waar de nationale wet van een Lidstaat uit hoofde van

137

HvJ EU 6 november 2003, C101/01 (Lindqvist), r.o. 41. 138 _{Overweging 3 privacyrichtlijn.}

139 _{Overweging 5 AVG en overweging 4 privacyrichtlijn.} 140 _{Overweging 6 en 8 AVG en overweging 8 privacyrichtlijn.} 141

Overweging 7 AVG.

142 _{Overweging 9 AVG en overweging 10 privacyrichtlijn.} 143 _{Artikel 2 lid 1 AVG en artikel 3 lid 1 privacyrichtlijn.}

144 _{Artikel 2 lid 2 AVG en artikel 3 lid 2 privacyrichtlijn. Deze uitzonderingen worden verder niet besproken} omdat ze niet relevant voor dit onderzoek.

internationaal publiekrecht van toepassing is of wanneer de verantwoordelijke (niet gevestigd in een Lidstaat) gebruik maakt van geautomatiseerde middelen op het grondgebied van een Lidstaat voor de verwerking van persoonsgegevens.145 Daarentegen is de AVG van

toepassing op de verwerking van persoonsgegevens in het kader van de activiteiten van een vestiging van een verantwoordelijke of verwerker in de Unie, ongeacht of de verwerking plaatsvindt in de Unie.146 De aard van gegevensverwerking in de online atmosfeer is dat de verwerking overal ter wereld kan plaatsvinden. De AVG heeft zo een groot mogelijk toepassingsgebied gecreëerd met deze bepaling. Hoe groter het toepassingsgebied, des te meer gevallen binnen de bescherming van de AVG vallen.

Tevens is de AVG van toepassing op verwerking van persoonsgegevens door een niet in de Unie gevestigde verantwoordelijke of verwerker indien de verwerking betrekking heeft op het aanbieden van goederen of diensten aan betrokkenen in de Unie of het observeren van die betrokkenen.147 Om te bepalen of een verwerking kan worden beschouwd als het observeren van betrokkenen moet er worden vastgesteld of personen worden gevolgd, dan wel of gegevens over hen worden verzameld en opgeslagen. Daarnaast is het van belang dat deze verwerking plaatsvindt met de bedoeling om gegevensverwerkingstechnieken te gebruiken waarbij een profiel op een natuurlijk persoon worden toegepast, in het bijzonder om besluiten over hem te nemen of zijn persoonlijke voorkeuren, gedragingen of attitudes te analyseren of te voorspellen.148 Dit betekent dat AVG een grotere reikwijdte heeft wat betreft het

toepassingsgebied en dat de verordening meer bescherming biedt voor de betrokkene in het geval van profileren.

Zowel uit de privacyrichtlijn als uit de AVG blijkt dat het vrije verkeer van persoonsgegevens van groot belang is. Zo mag de bescherming van persoonsgegevens het vrije verkeer van persoonsgegevens niet verbieden of beperken.149 Beiden regelingen stellen dat de verwerking van persoonsgegevens ten diensten van de mens moet zijn en moet bijdragen tot de

ontwikkeling van het handelsverkeer en het welzijn van individuen.150

Het toepassingsgebied van de AVG is groter dan het toepassingsgebied van de privacyrichtlijn. De AVG is dus van toepassing op meer gevallen en biedt op meer bescherming.

4.2 Verwerking van persoonsgegevens

Zojuist is het toepassingsgebied van beide regelingen vergeleken. Nu wordt de definitie van persoonsgegevens en de rechtvaardigingsgronden van verwerking van beide regelingen vergeleken.

Een betrokkene in de privacyrichtlijn wordt gedefinieerd als ‘een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke,

145 _{Artikel 4 privacyrichtlijn.} 146

Artikel 3 lid 1 AVG. 147 _{Artikel 3 lid 2 AVG.} 148 _{Overweging 21 AVG.}

149 _{Artikel 1 lid 2 privacyrichtlijn en artikel 1 lid 3 AVG.} 150