1/6/2020
And that’s the way the cookie crumbles
Een juridische analyse naar de verenigbaarheid van het
geven van toestemming voor cookies middels
softwaretoepassingen en grondrechten opgenomen in het
Handvest van grondrechten van de Europese Unie in het
kader van behavioural targeting.
Faculteit der Rechtsgeleerdheid
Naam: Alexandra Bogaards
E-mailadres: alexandra.bogaards@gmail.com Studentnummer: 10735216
Master Informatierecht, Universiteit van Amsterdam Onder de begeleiding van Ot van Daalen
Abstract
In 66% van de businessmodellen op het internet wordt behavioural targeting gebruikt. Dit houdt het tracken van internetgebruikers in waarbij gegevens over een individu worden verzameld en een profiel wordt opgesteld op basis waarvan advertenties worden getoond. Door het grootschalige gebruik van deze technologie zijn gegevens de ‘olie’ van het internet geworden en is behavioural targeting volgens sommigen essentieel geworden voor de werking van het internet en de beschikbaarheid aan (gratis) informatie daarop.
De gegevens die nodig zijn voor behavioural targeting bevatten veel elementen van de persoonlijke levenssfeer van internetgebruikers. Internetgebruikers moeten volgens de ePrivacyrichtlijn dan ook toestemming geven voor het gebruik van trackingtechnologieën. De praktijk laat echter zien dat internetgebruikers, door de overvloed aan toestemmingsverzoeken die zij ontvangen, klakkeloos instemmen met het gebruik van trackingtechnologieën om zo toegang te krijgen tot diensten op het internet. Doordat de huidige toestemmingsregels aan hun doel voorbijschieten, gecombineerd met het grootschalig verzamelen en gebruiken van gegevens voor behavioural targeting, staat de persoonlijke autonomie van internetgebruikers onder druk. Deze autonomie is de voorwaarde voor het handelen naar eigen persoonlijke waarden en motivatie en is verwant aan basale voorwaarden voor een menselijk bestaan en persoonlijke ontwikkeling.
Om deze druk te verminderen en de regels beter te laten aansluiten op de realiteit, is de Europese wetgever in 2017 begonnen met nieuwe regels voor de waarborging van de vertrouwelijkheid van eindapparatuur. In het voorstel voor een nieuwe ePrivacyverordening creëert de wetgever in artikel 9 lid 2 een invulling van het Privacy by Default beginsel door internetgebruikers de mogelijkheid te bieden toestemming te geven middels de standaardinstellingen van de gebruikte software. Zo kunnen internetgebruikers eenmalig een gelaagde toestemming geven aan iedere partij die bijvoorbeeld cookies wenst te plaatsen. Betere bescherming is noodzakelijk zonder dat dit leidt tot een onevenredige belemmering op andere betrokken belangen.
Het doel van deze scriptie is om artikel 9 lid 2 van het ePV-voorstel te bespreken in het licht van de bescherming van de persoonlijke levenssfeer (artikel 7 Handvest), de bescherming van persoonsgegevens (artikel 8 Handvest), de informatievrijheid (artikel 11 Handvest) en de ondernemersvrijheid (artikel 16 Handvest) in het licht van behavioural targeting. Om dit te
bewerkstelligen worden de betrokken belangen gedefinieerd en, met inachtneming van het evenredigheidsbeginsel, tegen elkaar afgewogen. Het legitieme doel dat artikel 9 lid 2 ePV-voorstel bevordert (de persoonlijke autonomie en indirect het maatschappelijke debat en de waarheidsvinding), wordt tegenover de belemmering die het artikel vormt op de belangen behartigd door de informatie- en ondernemersvrijheid gezet. Door toestemming te geven middels softwareinstellingen zouden het maatschappelijke debat, de waarheidsvinding, maar ook de innovatie en economische ontwikkeling namelijk geschaad kunnen worden.
Middels een literatuur- en documentenonderzoek zal op descriptieve en normatieve wijze antwoord gegeven worden op de onderzoeksvraag. Hierbij zal o.a. gebruik gemaakt worden van handboeken, tijdschriftartikelen, opinies en richtsnoeren van relevante instanties, rapporten vanuit Europese instanties, wetgeving en jurisprudentie.
Na de afweging van de betrokken belangen zal blijken dat de belemmeringen die artikel 9 lid 2 ePV-voorstel zal vormen op de informatie- en ondernemersvrijheid in evenredige verhouding staan tot het legitieme doel dat artikel 9 lid 2 ePV-voorstel zal nastreven. De economische en maatschappelijke belangen moeten in dit geval wijken voor de individuele belangen van internetgebruikers
“The internet is the most important development in communications technology since the printing revolution”
Inhoudsopgave
Abstract ... 1 1. Inleiding ... 7 1.1 Onderzoeksvraag ... 8 1.2 Methodologie ... 9 1.3 Afbakening ... 9 2. Behavioural targeting ... 11 2.1 Definitie ... 11 2.2 Werking van BT... 12 2.2.1 Trackingtechnologieën ... 132.2.2 Het blokkeren van tracking ... 15
2.3 Contextual advertising ... 16
2.4 Effectiviteit en markt van behavioural targeting... 16
2.4.1 Effectiviteit ... 16
2.4.2 Marktaandeel ... 18
2.5 Deelconclusie ... 18
3. Artikel 9 lid 2 ePV-voorstel ... 20
3.1 Huidige regelgeving en jurisprudentie voor cookies ... 20
3.1.1 ePrivacyrichtlijn ... 20
3.1.2 Algemene Verordening Gegevensbescherming ... 21
3.1.3 Jurisprudentie ... 22
3.2 ePV-voorstel ... 23
3.2.1 Artikel 9 lid 2 ePV-voorstel ... 24
3.2.2 Privacy by Default... 25
3.2.3 Wetgevingsproces ... 26
4. Juridisch kader... 28
4.1 Artikel 7 Handvest: recht op bescherming van de persoonlijke levenssfeer ... 28
4.1.1 Reikwijdte ... 28
4.1.2 Grondslagen ... 29
4.1.3 Secundaire wetgeving ... 29
4.1.4 Informationele privacy: Brug naar gegevensbescherming ... 29
4.2.1 Reikwijdte ... 30
4.2.2 Grondslagen ... 31
4.2.3 Secundaire wetgeving ... 31
4.3 Verhouding artikelen 7 en 8 Handvest ... 31
4.4 Artikel 11 Handvest: Informatievrijheid ... 32
4.4.1 Reikwijdte ... 32
4.4.2 Grondslagen ... 33
4.5 Artikel 16 Handvest: Recht op vrijheid van ondernemerschap ... 33
4.5.1 Reikwijdte ... 33
4.5.2 Grondslagen ... 34
4.6 Conflicterende grondrechten ... 34
4.6.1 Artikel 52 lid 1 Handvest ... 34
4.6.2 Evenredigheidsbeginsel ... 35
4.6.3 Toetsing door het HvJ ... 35
4.6 Deelconclusie ... 37
5. Artikel 9 lid 2 ePV-voorstel en grondrechten uit het Handvest ... 39
5.1 Betrokken belangen bij artikel 9 lid 2 ePV-voorstel ... 39
5.1.1 Artikelen 7 en 8 Handvest ... 39
5.1.2 Artikelen 11 en 16 Handvest ... 40
5.2 Afweging betrokken belangen artikel 9 lid 2 ePV-voorstel ... 42
5.2.1 Het legitieme doel ... 42
5.2.2 Daadwerkelijke belemmeringen op de informatie- en ondernemersvrijheid ... 42
5.3 Secundaire wetgeving en jurisprudentie ... 46
5.4 Deelconclusie ... 47
6. Conclusie ... 50
Literatuurlijst ... 53
Literatuur ... 53
Rapporten en opinies Artikel 29- Werkgroep 2007 (WP136) ... 64
Europese stukken ... 66
Europees Parlement ... 66
Raad van de Europese Unie ... 66
Jurisprudentie ... 68
1. Inleiding
We leven in een kennis-over-anderensamenleving waarbij persoonsgegevens één van de meest waardevolle grondstoffen zijn. Het internet draait op gegevens over mensen.1 Veel internetdiensten worden gefinancierd door online advertentie-inkomsten.2 De industrie die hieromheen is ontstaan is enorm: in 2017 werd ongeveer 182 miljard euro besteed aan online advertenties.3 Om advertenties effectiever te maken en het percentage van mensen die op een online advertentie klikken te vergroten, is behavioural targeting (BT) uitgevonden.4 Met BT wordt het gedrag van internetgebruikers geanalyseerd om gepersonaliseerde advertenties te tonen.5 Omdat dit gevolgen heeft voor de (informationele) privacy van internetgebruikers moeten zij dan ook actief toestemming geven volgens de ePrivacyrichtlijn (ePR).6
De Europese wetgever is bezig met het herzien van de ePR. In 2017 is door de Europese Commissie (de Commissie) een nieuwe verordening (ePV-voorstel) voorgesteld.7 Een
belangrijk onderdeel van dit voorstel is de nieuwe mogelijkheid waarmee internetgebruikers toestemming kunnen geven. Artikel 9 lid 2 ePV-voorstel luidt als volgt:
1 Dommering 2010, p. 83; Sloot, van der, P&I 2011, p. 63. 2 Poulus 2019, p. 94.
3 Frederik & Martijn 2019.
4 Zuiderveen Borgesius 2016, p. 54 en 55. 5 Poulus 2019, p. 93.
6 Richtlijn 2002/58/EG van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van
de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201/37).
7 Voorstel voor een Verordening van het Europees Parlement en de Raad met betrekking tot de eerbieding van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (richtlijn betreffende privacy en elektronische communicatie) (COM 2017) 10 final,
2017/0003 (COD)).
‘Onverminderd lid 1 kan de toestemming, indien technisch mogelijk en haalbaar, voor
de toepassing van punt b) van artikel 8, lid 1, worden uitgedrukt door gebruik te maken van de passende technische instellingen van een softwaretoepassing die toegang tot het internet mogelijk maakt.’
De wetgever creëert hier de mogelijkheid de toestemming te concentreren in software die toegang tot het internet geeft, bijvoorbeeld in internetbrowsers en apps.
Artikel 9 lid 2 ePV-voorstel raakt meerdere grondrechten uit het Handvest van grondrechten van de Europese Unie (Handvest). Het artikel probeert de bescherming van privacy (artikel 7 Handvest) en van persoonsgegevens (artikel 8 Handvest) te bevorderen. Tegelijkertijd kan het voorgestelde artikel eventuele belemmeringen vormen voor de informatievrijheid (artikel 11 Handvest) en de ondernemersvrijheid (artikel 16 Handvest). Het artikel creëert een bepaalde spanning tussen deze grondrechten die verschillende belangen behartigen - van individuele naar maatschappelijke belangen. Deze dienen dan ook tegen elkaar afgewogen te worden. Bewerkstelligt artikel 9 lid 2 ePV-voorstel een evenredige verhouding tussen de betrokken belangen? Of zijn de belemmeringen die het artikel teweegbrengt van zo’n hevige aard dat het doel de middelen niet heiligt? Dienen de economisch en maatschappelijke belangen in dit geval zwaarder te wegen dan de individuele belangen?
1.1 Onderzoeksvraag
Deze vragen brengen mij tot de onderzoeksvraag van deze scriptie:
“Is artikel 9 lid 2 ePV-voorstel verenigbaar met het recht op bescherming van de persoonlijke
levenssfeer (artikel 6 Handvest), bescherming van persoonsgegevens (artikel 7 Handvest), de informatievrijheid (artikel 11 Handvest) en de ondernemersvrijheid (artikel 16 Handvest) in het kader van behavioural targeting?”
Om tot beantwoording van de onderzoeksvraag te komen zet het volgende hoofdstuk uiteen wat BT inhoudt en hoe groot de industrie is. Ook worden alternatieve manieren van adverteren behandeld. Het derde hoofdstuk behandelt de huidige regels voor het plaatsen van cookies en het geven van toestemming hiervoor. Hierin worden de Algemene Verordening Gegevensbescherming8 (AVG) en de ePR behandeld. Vervolgens wordt de e-Privacyverordening (ePV) besproken en eindigt het hoofdstuk met de introductie van artikel 9
8 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de
bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en 44 betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening
lid 2 ePV-voorstel. In het vierde hoofdstuk wordt het juridisch kader geschetst waaraan artikel 9 lid 2 ePV-voorstel getoetst zal worden. Achtereenvolgens worden het recht op bescherming van de persoonlijke levenssfeer, de bescherming van persoonsgegevens, de informatievrijheid en de ondernemersvrijheid behandeld. Dit hoofdstuk eindigt met een integraal toetsingskader waarin uiteengezet wordt hoe grondrechten tegen elkaar afgewogen moeten worden. Hoofdstuk vijf behandelt de verhouding tussen artikel 9 lid 2 ePV-voorstel en het juridische kader die tot een conclusie leidt waarin de onderzoeksvraag wordt beantwoord.
1.2 Methodologie
De onderzoeksvraag is descriptief en normatief. Naast een descriptieve uiteenzetting van wat BT is en wat artikel 9 lid 2 ePV-voorstel inhoudt, wordt ook beschreven welke grondrechten van belang zijn bij de beantwoording van de onderzoeksvraag. Vervolgens wordt gekeken met welke rechten artikel 9 lid 2 ePV-voorstel al dan niet verenigbaar is en in hoeverre dat het geval is. Hierbij zullen deze rechten en de betrokken belangen tegen elkaar afgewogen worden met inachtneming van het evenredigheidsbeginsel.
De scriptie bestaat uit een traditioneel rechtswetenschappelijk onderzoek en zal worden verricht op basis van literatuur- en documentenonderzoek. De volgende rechtsbronnen zullen geraadpleegd worden: relevante handboeken, tijdschriftartikelen, websites, nieuwsberichten, opinies en richtsnoeren van de Artikel 29-Werkgroep/EDPB, rapporten vanuit Europese instanties, wetgeving, Europese jurisprudentie (EHRM, HvJ) en overige bronnen.
1.3 Afbakening
Het onderzoek zal gedaan worden binnen een Europees kader omdat het ePV-voorstel vanuit de Europese Unie afkomstig is. Zo richt het hoofdstuk over BT zich op de industrie binnen Europa. Nationale implementatiewetten van de ePR worden achterwege gelaten. Aangezien de ePV op het moment van schrijven nog niet van kracht is, wordt zo veel mogelijk aansluiting gezocht bij de meeste huidige versie.
In het juridisch kader wordt enkel het Handvest behandeld en wordt het EVRM achterwege gelaten omdat de ondernemersvrijheid en de bescherming van persoonsgegevens enkel hun basis in het Handvest vinden. Alles uit het Handvest wordt gezien als gelijke strekking te
hebben als de inhoud van het EVRM.9 Vanwege de grote hoeveelheid aan informatie die
bestaat over de genoemde grondrechten zullen, gelet op de toegestane omvang van dit onderzoek, deze grondrechten met name besproken worden in het kader van BT. Tenslotte blijft in het fundamenteel rechtelijke kader het recht op eigendom (artikel 17 Handvest) onbesproken vanwege de irrelevantie van het recht voor de beantwoording van de onderzoeksvraag.
2. Behavioural targeting
Om de onderzoeksvraag te kunnen beantwoorden is het nodig te verduidelijken wat BT inhoudt en welke verschillende technologieën daarvoor worden gebruikt. Ook wordt DNT, een manier om technologieën zoals BT tegen te gaan, behandeld en wordt een alternatief voor BT uiteengezet. Ter verduidelijking van het belang en de omvang van het gebruik van BT worden tenslotte de effectiviteit en de markt van BT toegelicht.
2.1 Definitie
BT is de technologie die gebruikt wordt voor behavioural advertising (BA). Voor BA bestaat geen eensluidende definitie. De gegevensbeschermingsautoriteit van de Europese Unie, de Groep Gegevensbescherming Artikel 29 (de Werkgroep)10, definieert BA als:11
Tussen de definitie van de Werkgroep en andere definities12 in de literatuur zijn twee overeenkomsten te vinden: (i) het monitoren en tracken van het gedrag van individuele
internetgebruikers en (ii) het gebruik van data om personen gerichte reclame te sturen.13 BT valt binnen het domein van direct online marketing; producten en/of diensten leveren en klantrelaties in de online omgeving ontwikkelen waarbij de (potentiële) klanten door gepersonaliseerde communicatie worden benaderd.14
10 Nu vervangen door het EDPB.
11 Artikel 29-Werkgroep 2010 (WP171) p. 5.
12 Bijvoorbeeld: IAB Europe 2014.
13 Zuiderveen Borgesius 2015, p. 28; Boerman, Kruikemeier & Zuiderveen Borgesius 2017, p. 364; Zuiderveen Borgesius e.a., EDPL 2017, p. 2.
14 Mulder, Direct marketing, 2015; Mulder, Online marketing, 2015.
“… adverteren op basis van het in de loop der tijd observeren van het gedrag van
particulieren. Op surfgedrag gebaseerde reclame is erop gericht de kenmerken van dit gedrag te bestuderen aan de hand van bepaalde handelingen – herhaald bezoek van dezelfde sites, interactie, trefwoorden, online creëren van content – teneinde een specifiek profiel te ontwikkelen en betrokkenen hiermee advertenties aan te bieden die zijn toegesneden op hun kennelijke interesses.”
Binnen BT zijn drie partijen te onderscheiden: advertentienetwerken, websitehouders en internetgebruikers. Een eventuele vierde partij is een intermediair, de partij die websitehouders samenbrengt met advertentienetwerken (bijvoorbeeld Google).15 Adverteerders betalen websitehouders om hun advertentie te tonen op hun websites. In veel businessmodellen van advertentienetwerken en adverteerders worden de websitehouders enkel betaald indien er daadwerkelijk op een advertentie wordt geklikt (‘pay-per-click’).16 BT is ontwikkeld om het
aantal keren dat op een advertentie geklikt wordt te verhogen.17
Advertentienetwerken tonen hun advertenties vaak over een reikwijdte van meer dan duizend websites. Zij volgen internetgebruikers over al deze websites en creëren individuele profielen gebaseerd op wat zij o.a. lezen, zoeken, luisteren - ofwel: hun gedrag. Zo kan bijvoorbeeld Google een internetgebruiker volgen ‘tot aan elke uithoek van het internet’.18 Op basis van dit
profiel kunnen advertentienetwerken vervolgens gepersonaliseerde advertenties tonen.19 Ter illustratie: als persoon A websites bezoekt over skydiving, dan kan een advertentienetwerk
daaruit de conclusie trekken dat dat een interesse is van persoon A. Het advertentienetwerk toont vervolgens alleen maar gepersonaliseerde advertenties aan persoon A over skydiving op alle websites waar zij adverteert. Als persoon B die sites over auto’s bezoekt, op dezelfde website terechtkomt als persoon A, zal persoon B advertenties te zien krijgen over auto’s, en niet skydiving.
2.2 Werking van BT
Nu het idee en doel van BT zijn verduidelijkt is een korte uiteenzetting van de werking van BT relevant.
15 Sloot, van der, P&I 2011, p. 62.
16 Hoven van Genderen, van den, & Lodder, 2008, p. 114.
17 Duuren, van, 2016, p. 163; Zuiderveen Borgesius 2016, p. 54-55. 18 Martijn 2018.
2.2.1 Trackingtechnologieën
Cookies
De meest gebruikte technologie voor het inzetten van BT zijn http-cookies (hierna: cookies).20 In technische termen zijn dit tekstbestandjes die een webserver naar de browser van een internetgebruiker kan sturen, die hem vervolgens opslaat op het (eind)apparaat van de internetgebruiker. Op het moment dat die browser opnieuw in contact komt met de server, wordt de browser door de server herkend.21 Het bestandje wordt bij het bezoeken van een website geplaatst of, indien deze eerder al geplaatst is, uitgelezen.22 Een concreet voorbeeld ter verduidelijking van de werking van cookies is het winkelwagentje op een webshop: producten in een winkelwagen zullen de volgende dag nog erin staan aangezien de internetgebruiker (de browser) wordt herkend door de website.
Cookies zijn in verschillende categorieën te onderscheiden en bestaan uit een combinatie daarvan. Ten eerste kan een cookie door verschillende partijen geplaatst worden. Door de websitehouder geplaatste cookies worden first party cookies genoemd en door derden, zoals een advertentienetwerk, geplaatste cookies heten third party cookies.23 Cookies hebben ten tweede verschillende levensduren. Session cookies worden verwijderd op het moment dat de browser wordt afgesloten terwijl persistent cookies doorwerken wanneer de browser wordt afgesloten. Deze kunnen zelfs oneindig actief zijn.24
Ten derde hebben cookies verschillende functies. Zo bestaan er functionele cookies, die nodig zijn voor het functioneren van een website (denk aan het winkelwagentje). Daarnaast zijn er
analytische cookies die inzicht geven in de gebruiksstatistieken van een website. Hiermee
wordt informatie verzameld over de kwaliteit/effectiviteit van de website.25 De derde soort cookie is in het kader van de onderzoeksvraag het meeste van belang; de tracking cookies.
20 Artikel 29-Werkgroep 2012 (WP171), p. 6.
21 Zuiderveen Borgesius 2015, p. 39; Duuren, van, 2016, p. 163. 22 Jansbeken 2016; Zuiderveen Borgesius 2016, p. 55.
23 Sloot, van der, P&I 2011, p. 62; Duuren, van, 2016, p. 163; Artikel 29-Werkgroep 2012 (WP194), p. 5; Zuiderveen Borgesius 2015, p. 40.
24 Sloot, van der, P&I 2011, p. 61-62; Zuiderveen Borgesius 2015, p. 39; Landerbarthold, Cookies part 2, 2019. 25 Spierings 2016, p. 684; Ruckert & Abdul-Aliyeya 2019, p. 13.
Deze cookies worden gebruikt om het surfgedrag ven een internetgebruiker te ‘tracken’ over websites en een profiel op te stellen.26
Flash cookies
Naast cookies plaatsen bestaan ook andere vergelijkbare manieren van het volgen van internetgebruikers.27 Zo gebruiken sommige advertentienetwerken zogeheten ‘flash cookies’ (Flash Shared Object). Dit zijn cookies die zich installeren in meer afgeschermde plekken op de computer, bijvoorbeeld de Flash player. Flash cookies kunnen surfgedrag via alle browsers volgen en hebben geen vervaldatum. Zij kunnen, in tegenstelling tot de http-cookies, niet via browsers bekeken worden en zijn een stuk moeilijker te verwijderen. Momenteel worden ze ook gebruikt als middel om http-cookies te herstellen die door browserinstellingen geblokkeerd of verwijderd zijn (‘re-spawning’).28
Device Fingerprinting
Een andere trackingtechnologie is device fingerprinting. Het idee achter deze technologie is dat elke internetgebruiker een unieke ‘vingerafdruk’ heeft. Bij deze techniek wordt geen informatie opgeslagen in het gebruikte apparaat, maar wordt er wel informatie gebruikt die erop staat. De vingerafdruk bestaat uit o.a. het IP-adres, het besturingssysteem en de taalinstellingen. Op basis van deze unieke afdruk kan het apparaat herkend worden. In tegenstelling tot http-cookies kan device fingerprinting in het geheim (zonder dat de internetgebruiker ervan af weet) plaatsvinden en negeert device fingerprinting de privacy instellingen van browsers.29
Ter vereenvoudiging worden in volgende hoofdstukken met de term cookies ook deze andere trackingtechnologieën bedoeld.
26 Duuren, van, 2016, p. 163; Artikel 29-Werkgroep 2012 (WP194), p. 7; Zuiderveen Borgesius 2016, p. 55. 27 Helberger 2013, p. 6-7; Boerman, Kruikemeier & Zuiderveen Borgesius 2017, p. 364.
28 Zuiderveen Borgesius 2011, p. 4; Sloot, van der, NJB 2011, p. 1496; Artikel 29-Werkgroep 2012 (WP171), p.
6-7.
29 Artikel 29-Werkgroep 2014 (WP224) p. 6-7; Poulus 2018, p. 147; Zuiderveen Borgesius 2016, p. 55; Tokmetzis 2013.
2.2.2 Het blokkeren van tracking
Er bestaan ook technologieën om tracking tegen te gaan. Een voorbeeld hiervan is Do-Not-Track (DNT). DNT houdt in dat internetgebruikers met hun software kunnen aangeven dat ze niet gevolgd willen worden. Het idee van DNT is dat het weigeren van trackingtechnologieën de standaardinstelling is (‘opt-in’). Websites en advertentienetwerken ontvangen dit signaal en dienen zich dan te weerhouden van het tracken van deze internetgebruikers. Een bedrijf mag een internetgebruiker pas tracken als deze na ontvangst van voldoende informatie toestemming geeft. DNT is een signaal dat voor alle soorten trackingtechnologieën geldt (technologie neutraal).30
Het World Wide Web Consortium (W3C), de organisatie die webstandaarden ontwerpt, heeft gepoogd DNT te standaardiseren in de Tracking Preference Expression Working Group. Door te weinig daadwerkelijke inzet van DNT en ondersteuning uit de markt heeft de Working Group tot aan vandaag de dag nog geen consensus kunnen bereiken en het werk stilgelegd.31 De Werkgroep en de EDPS raden echter nog steeds aan om browsers en andere partijen te verplichten DNT te gebruiken.32
Apple heeft in 2019 laten weten te stoppen met het integreren van DNT in haar standaardbrowser vanwege ontevredenheid over de werking ervan. Zij stelde dat bedrijven zoals Google en Facebook de beperking wisten te omzeilen. Tot nog toe is het namelijk op vrijwillige basis dat bedrijven de DNT-functie respecteren.33 Er wordt dan ook gespeculeerd of DNT daadwerkelijk de norm zal worden indien er geen bindende wetgeving voor bestaat. De commerciële belangen van onlineadvertentienetwerken zijn hiervoor te groot.34
Een veelvoorkomend gevolg van DNT was bovendien dat websites, ondanks het signaal van een internetgebruiker niet gevolgd te willen worden, toch toestemming gingen vragen. Dit resulteerde in een overvloed aan ‘tracking-walls’.35 Andere consequenties van het ingrijpen op
de advertentie-inkomsten gebaseerde industrie (die gebruikmaakt van tracking) is dat websites
30 Zuiderveen Borgesius e.a. 2017, p. 86;
31 Zuiderveen Borgesius 2014, p. 332; Fleishman 2019; W3C Working Group Note 2019.
32 Artikel 29-Werkgroep 2017 (WP247), p. 2; EDPS 2017/6, p. 20.
33 Redactie Emerce 2019.
34 Peerdeman 2014; Zuiderveen Borgesius & McDonald 2015, p. 33. 35 Zuiderveen Borgesius 2015, p. 337.
betaalmuren gaan hanteren of dat de getoonde ‘gratis’ website een onvolledige versie is van de gehele website.36
2.3 Contextual advertising
BT is niet het enige middel voor advertentienetwerken om online te adverteren. Een andere vorm is contextual advertising (CA), waarbij op basis van de content op een website een advertentie wordt getoond.37 CA is over het algemeen goedkoper dan BT en maakt geen gebruik van tracking.
Er wordt in de literatuur gesteld dat BT in de toekomst advertentienetwerken juist minder inkomsten zou kunnen opleveren dan bijvoorbeeld CA. De reden hiervoor is dat een website met bijvoorbeeld autoliefhebbers een goede plek is om advertenties over auto’s te tonen (CA). Hier wordt een groot (relevant) publiek bereikt en het advertentienetwerk heeft vervolgens toegang tot dat publiek zonder ze zelf te moeten bereiken. Bij BT toont een advertentienetwerk een autoliefhebber een auto-advertentie ongeacht op welke website de autoliefhebber terecht komt. Gesteld wordt dat een advertentienetwerk geen dure advertentieruimte hoeft te kopen op basis van BT, aangezien het individu ook bereikt kan worden wanneer die een specifieke website bezoekt, waar advertentieruimte goedkoper is.38
2.4 Effectiviteit en markt van behavioural targeting
Om een volledig beeld te geven van BT is het nodig om de daadwerkelijke effectiviteit en marktaandeel ervan vast te stellen.
2.4.1 Effectiviteit
Aangenomen wordt dat het gebruik van BT effectiever is dan advertenties die getoond worden zonder afgestemd te zijn op wie de ontvanger is. Bij deze niet-gepersonaliseerde advertenties klikken van de duizend bezoekers gemiddeld een tot twee personen op een advertentie
(‘click-36 Pavlik 2013, p. 189; Zuiderveen Borgesius e.a., EDPL 2017, p. 13; Wolters Ruckert & Abdul-Aliyeya 2019, p. 127; Datenschutzbehörde 2018.
37 Zuiderveen Borgesius 2015, p. 60; Zuiderveen Borgesius e.a., EDPL 2017, p. 2. 38 Sloot, van der, P&I 2011, p. 69; Zuiderveen Borgesius e.a., EDPL 2017, p. 2-3.
through-rate’).39 Het veel geciteerde onderzoek van Howard Beales stelt dat bij advertenties
die gebruikmaken van BT dit ongeveer vijf keer hoger ligt.40 Het percentage ‘clicks’ die
uiteindelijk ook zouden resulteren in een transactie (‘conversion-rate’) ligt twee keer zo hoog bij advertenties die gebruikmaken van BT dan bij niet-gepersonaliseerde advertenties.41 Dit onderzoek wordt echter bekritiseerd. Zo zouden advertenties op basis van BT vergeleken worden met advertenties die totaal willekeurig worden getoond, in plaats van dat een goed alternatief wordt gebruikt. Onderzoek naar hoe effectief en duur BT is ten opzichte van specifiek CA is vooralsnog beperkt.42
Volgens een andere bron, een conceptrapport afkomstig van onderzoekers van meerdere universiteiten in de Verenigde Staten, zorgt het gebruik van BT in advertenties maar voor 4% hogere omzet voor de websites die adverteren. Het conceptrapport geeft aan dat het gebruik van BT niet voor elke speler in de advertentiemarkt even voordelig is. Volgens het conceptrapport ontbreekt daarnaast in huidig onderzoek veelal een breder perspectief naar hoe consumenten wellicht zouden reageren op andere vormen van marketing.43
Ook opmerkelijk was een rapport van Digiday, een online handelstijdschrift, uit januari 2019 waarin beschreven werd dat de New York Times (NYT) gestopt was met het gebruik van BT in hun advertenties in Europa en was overgestapt naar CA. Volgens de senior vice-president voor wereldwijde reclame van de NYT daalde de inkomsten uit advertenties niet door de drastische overstap, maar namen zij zelfs toe.44
Tenslotte is het stuk van Frederik en Martijn noemenswaardig.45 In meerdere experimenten werd duidelijk dat een koper die op een advertentie klikt om een specifiek product te kopen, zonder die advertentie gezien te hebben het product waarschijnlijk ook had gekocht maar dan via een andere weg. BT is dus vrijwel niet effectiever.
39 Zuiderveen Borgesius, IDPL 2015, p. 164; Zuiderveen Borgesius 2016, p. 55. 40 Beales 2010, p. 11, 17-18; IHS Markit 2017, p. 3.
41 Beales 2010, p. 3.
42 Mayer & Mitchell 2012, p. 420; Zuiderveen Borgesius 2015, p. 265. 43 Marotta, Abhishek & Acquisti 2019, p. 6; Lomas 2019.
44 Davies 2019; Poulus 2019, p. 102. 45 Frederik & Martijn 2019.
2.4.2 Marktaandeel
In 2017 spendeerde adverteerders voor ongeveer 182 miljard euro aan online reclame, waarvan het grootste deel terecht kwam bij Google en Facebook.46 Onderzoeksbureau IHS Markit deed in 2017, in opdracht van het Interactive Advertisement Bureau (IAB), onderzoek naar de economische waarde van BT binnen reclame op het internet in Europa. In dit onderzoek werd gesteld dat van de 16 miljard euro die de markt van internetreclame in Europa in 2017 bedroeg, 10.6 miljard euro werd ondersteund door ‘behavioural data’. Voorspeld wordt dat in 2020 van de 23.5 miljard euro die omgaat in de markt, 21.4 miljard afkomstig is van BT. BT wordt gebruikt in 66% van alle digitale advertenties in Europa en verzorgt volgens het onderzoek 90% van alle groei binnen de markt van digitaal adverteren.47
Met gerichte reclame (zoals BT) verdienen de Europese digitale media het meest.48 De reden dat veel internetdiensten dan ook gratis zijn is omdat hun businessmodellen gebaseerd zijn op inkomsten uit advertenties.49 De internetgebruiker ‘betaalt’ als het ware met gegevens.50
2.5 Deelconclusie
Met het gebruik van BT kan het gedrag van een individuele internetgebruiker getrackt en geanalyseerd worden. Op basis van deze gegevens wordt een profiel opgesteld en worden personaliseerde advertenties getoond. Pogingen om dit tracken door eindapparatuur van internetgebruikers tegen te gaan, zoals DNT, hebben tot op heden geen succes gehad.
Er zijn ook andere manieren om te adverteren op het internet, zoals CA. Uit de praktijk blijkt dat BT niet noodzakelijk is voor de instandhouding van een businessmodel dat draait op inkomsten uit advertenties. CA is bovendien goedkoper, proportioneler in het kader van privacy en levert in de toekomst eventueel zelfs meer inkomsten op dan BT. Ondanks het bestaan van goede alternatieven is de afweging een businessmodel te kiezen dat leunt op BT met 66 % nog steeds de dominante keuze. BT draagt dan ook in zowel marktwaarde bij als in
46 Frederik & Martijn 2019. 47 IAB Europe 2017, p. 2.
48 IAB Europe, Position on Proposal, 2017, p. 1-2. 49 Westerdijk 2015, p. 175.
beschikbaarheid van online informatie, aangezien veel diensten worden aangeboden in ruil voor gegevens (en niet geld).
3. Artikel 9 lid 2 ePV-voorstel
Na de uiteenzetting van BT is het belangrijk de Europese regelgeving en jurisprudentie die op BT van toepassing is uiteen te zetten. Dit zal leiden tot een beter begrip van de vernieuwde regels die zijn voorgesteld, waaronder artikel 9 lid 2 ePV-voorstel.
3.1 Huidige regelgeving en jurisprudentie voor cookies
De Europese regelgeving voor cookies kan gevonden worden in artikel 5 lid 3 ePR die verwijst naar (de voorganger van) de AVG.
3.1.1 ePrivacyrichtlijn
De ePR beschermt de persoonlijke levenssfeer van gebruikers van elektronische communicatiediensten. Op het moment dat er persoonlijke informatie uit een eindapparaat wordt gelezen ontstaat er inmenging in de persoonlijke levenssfeer van de gebruiker en is de ePR van toepassing. Die informatie hoeft niet per se persoonsgegevens te bevatten.51 De ePR introduceerde in 2002 met artikel 5 lid 3 een nieuw regiem voor cookies en werd in 2009 herzien.52 De regel is naast cookies ook van toepassing op andere soorten trackingtechnologieën en op alle soorten digitale eindapparatuur, zoals computers, tablets en smartphones.53
Artikel 5 lid 3 eerste volzin: informatieplicht en toestemmingsvereiste
Artikel 5 lid 3 eerste volzin ePR stelt dat het plaatsen van cookies alleen is toegestaan wanneer de internetgebruiker toestemming hiervoor geeft na te zijn voorzien van duidelijke en volledige informatie. Voor de invulling van de informatieplicht en het toestemmingsvereiste wordt
51 Overweging 24 ePrivacyrichtlijn; EHRM 3 april 2007, 62617/00, r.o. 41 (Copland/UK); HvJ EU 1 oktober 2019, C-673/17, r.o. 69- 70 (Planet49).
52 Richtlijn 2009/140/EG van het Europees Parlement en de Raad van 25 november 2009 tot wijziging van
Richtlijn 2002/21/EG inzake een gemeenschappelijk regelgevingskader voor
elektronischecommunicatienetwerken en -diensten, Richtlijn 2002/19/EG inzake de toegang tot en interconnectie van elektronischecommunicatienetwerken en bijbehorende faciliteiten, en Richtlijn 2002/20/EG betreffende de machtiging voor elektronischecommunicatienetwerken en -diensten (PbEU 2009, L 337/37); Cormack 2017, p. 346.
verwezen naar de voorloper van de AVG.54 De toestemming moet gevraagd worden voor het
plaatsen van de cookies.55
Artikel 5 lid 3 tweede volzin: uitzonderingen
Artikel 5 lid 3 tweede volzin ePR stelt de informatieplicht en toestemmingsvereiste niet gelden voor toegang met als doel de uitvoering of verzending van communicatie over een elektronisch communicatienetwerk of, indien strikt noodzakelijk, voor de levering van een door de internetgebruiker gevraagde dienst.56
Voor BT dient wel toestemming gevraagd te worden aangezien tracking cookies niet onder deze uitzonderingen vallen.57
3.1.2 Algemene Verordening Gegevensbescherming
De AVG is van toepassing aangezien artikel 5 lid 3 ePR voor het toestemmingsbegrip en de informatieplicht naar de voorganger van de AVG verwijst. De AVG waarborgt het recht op bescherming van persoonsgegevens en is van toepassing op het moment dat deze worden verwerkt. Artikel 4 lid 1 AVG definieert persoonsgegevens als ‘alle informatie over een
geïdentificeerde of identificeerbare natuurlijke persoon’. De AVG is altijd van toepassing bij
BT. Ondanks dat het soms anonieme gegevens betreft of dat het bedrijf wellicht niet een specifieke naam aan data kan linken, worden er ook persoonsgegevens verwerkt indien het bedrijf een individu binnen een groep kan onderscheiden – wat bij BT juist het doel is.58
Toestemming
Toestemming moet gegeven worden middels een duidelijke actieve handeling waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt.59 De toestemming kan in vele vormen gegeven worden,
54 Zuiderveen Borgesius, EDPL 2017, p. 7. 55 EDPB 2019, p. 13, 52.
56 Duuren, van, 2016, p. 165.
57 Zie voor meer informatie over uitzonderingen hoofdstuk 3.1.3.
58 Artikel 29-Werkgroep 2007 (WP136), p. 4; HvJ EU 24 november 2011, C-70/10, r.o. 51 (Scarlet/Sabam); Zuiderveen Borgesius 2015, p. 185.
behoudens enkele uitzonderingen. Zo valt stilzwijgendheid niet aan te merken als geldige toestemming.60 Bij het vragen om toestemming moet het beginsel van granulariteit altijd
worden eerbiedigd: de gebruiker dient voor elk niet samenhangend verwerkingsdoeleinde telkens aparte toestemming te geven. Een gebruiker kan dus voor verwerkingen met dezelfde verwerkingsdoeleinden, wel in één keer toestemming geven.61
Informeren
Daarnaast verplicht de AVG dat de betrokkene geïnformeerd wordt over dat hen betreffende persoonsgegevens worden verwerkt. Verder dient er geïnformeerd te worden over o.a. de identiteit van de verwerkingsverantwoordelijke, de doeleinden van de verwerking en de categorieën van ontvangers van de persoonsgegevens. De informatie dient eenvoudig toegankelijk, begrijpelijk en volledig te zijn en moet duidelijke en eenvoudige taal bevatten.62
Verwerkingsverantwoordelijke
Wie de verplichting heeft te informeren en toestemming te vragen kan verschillen per situatie. Deze partij wordt aangemerkt als de verwerkingsverantwoordelijke.63 Dit kan betrekking
hebben op meerdere deelnemers binnen het verwerkingsproces van persoonsgegevens.64
3.1.3 Jurisprudentie
Met betrekking tot cookies is de Planet49-zaak van belang, waarin de ePR en AVG samen werden uitgelegd.65 Hierin oordeelde het Hof van Justitie (HvJ) dat toestemming van een
internetgebruiker voor het plaatsen en uitlezen van analytische en tracking cookies geen ‘actieve wilsuiting’ behelst en dus niet geldig is verleend wanneer gebruik is gemaakt van vooraf aangevinkte vakjes, die uitgevinkt moeten worden indien de internetgebruiker weigert toestemming te verlenen. De toestemming moet tevens ‘specifiek’ zijn voor deze cookies, in die zin dat deze precies op de verwerking van de gegevens gericht moet zijn en niet afgeleid wordt uit een algemene wilsuiting die op iets anders gericht is.
60 Artikel 29-Werkgroep 2010 (WP259), p. 18.
61 Artikel 29-Werkgroep 2017 (WP259), p. 11.
62 Overweging 39 en artikel 12, 13 en 14 AVG; Artikel 29-Werkgroep 2010 (WP259), p. 15-16.
63 Artikel 4 lid 7 AVG.
64 HvJ EU, 5 juni 2018, C-210/16, r.o. 36 (Wirtschaftsakademie). 65 HvJ EU 1 oktober 2019, C-673/17, r.o. 65, 71 en 81 (Planet49).
Hierbij is het niet van belang of de informatie die is opgeslagen op het eindapparaat bestaat uit persoonsgegevens, omdat het doel is de internetgebruiker te beschermen tegen iedere
inmenging in het privéleven en vooral tegen het risico dat verborgen identificatoren en andere
vergelijkbare software zonder kennis op het eindapparaat binnenkomen. Tenslotte moet de internetgebruiker geïnformeerd worden over de vraag hoelang de cookies actief blijven en of derden toegang hebben tot die cookies.
Het belang van deze uitspraak ligt erin dat tot aan dit arrest vooraf aangevinkte vakjes voor functionele en bepaalde analytische cookies rechtmatig waren aangezien deze geen tot weinig inbreuk maakte op de persoonlijke levenssfeer van internetgebruikers. Alleen voor tracking cookies en analytische cookies die een grotere inbreuk behelsden bestond het criteria van actieve en specifieke wilsuiting.66 Met deze uitspraak mogen alleen nog maar functionele cookies vooraf aangevinkt zijn, aangezien deze als enige soort geen inmenging vormen in de persoonlijke levenssfeer van internetgebruikers.67
3.2 ePV-voorstel
De reeds besproken regels worden momenteel herzien. Ondanks dat de ePR universele beginselen voorschrijft heeft de regelgeving geen gelijke tred gehouden met de markt die zij probeert te reguleren. Dit heeft geleid tot onvoldoende bescherming van privacy in en vertrouwelijkheid van elektronische communicatie.68 Om deze reden kwam de Commissie met een ePV-voorstel om de ePR te vervangen.
Op 10 januari 2017 werd de eerste versie van het ePV-voorstel gepubliceerd. Op 19 oktober 2017 nam het EP het LIBE-rapport aan waarin het EP haar eerste officiële standpunt in nam.69 De Raad heeft over de afgelopen jaren ook meerdere aanpassingen gepubliceerd maar heeft nog geen officieel standpunt ingenomen.70 De meeste recente aanpassingen van de Raad zijn
66 Roerdink 2019, p. 12.
67 Cookiebot 2019; HvJ EU 1 oktober 2019, C-673/17, r.o. 69-70 (Planet49).
68 Artikel 29-Werkgroep 2016 (WP240), p. 4; Roerdink 2017, p. 6; Zuiderveen Borgesius e.a. 2017, p. 20; Beek, van, & Klingenberg 2019, p. 73.
69 Leentfaar 2019, p. 21l; LIBE Verslag 2017. 70 Leentfaar 2019, p. 21l.
gepubliceerd op 27 november 2019.71 Verwacht wordt dat de ePV niet voor 2021 in werking
zal treden.72
De ePV zal nieuwe aspecten met zich meebrengen. Zo zal de regelgeving de vorm hebben van een verordening om meer rechtszekerheid voor internetgebruikers en ondernemingen te bieden. Daarnaast wordt de reikwijdte vergroot zodat ook over-the-topdiensten zoals WhatsApp worden gereguleerd.73 Ook zal metadata, zoals locatiegegevens, beschermd worden aangezien deze data vaak zeer gevoelige informatie kan bevatten, soms wel meer dan de inhoud van de communicatie zelf.
3.2.1 Artikel 9 lid 2 ePV-voorstel
De toestemmingsregels zijn ook onderdeel van de herziening. Vanwege het toenemende gebruik van trackingtechnologieën worden internetgebruikers overstelpt met verzoeken om toestemming te verlenen via cookiebanners, cookiewalls en pop-ups. De toestemmingsregel ter bescherming van de vertrouwelijkheid van eindapparatuur heeft niet beantwoord aan haar doestelling aangezien mensen zonder de daadwerkelijke betekenis te begrijpen klakkeloos de verzoeken voor cookies en andere trackingtechnologieën aanvaarden.74 De gevolgen hiervan zijn kwalijk voor de informationele privacy van internetgebruikers (hierover meer in hoofdstuk 5.1).
Het inzetten van transparante softwareinstellingen van applicaties om toestemming te verlenen kan volgens de Europese wetgever dit probleem verhelpen. Webbrowsers hebben een bemiddelende functie tussen websites en internetgebruikers en kunnen een actieve rol spelen in de ondersteuning van internetgebruikers.75 In dit kader is artikel 9 lid 2 ePV-voorstel geïntroduceerd. Het artikel geeft de optie de toestemming, indien technisch mogelijk en haalbaar, te geven via de passende technische instellingen van een softwaretoepassing die toegang tot het internet mogelijk maakt. Toestemming voor cookies zou dus gecentraliseerd worden in internetbrowsers of apps waarmee internetgebruikers hun eigen privacy-instellingen
71 Raad van de Europese Unie, 14447/19, 2017/003 (COD), Brussel 27 november 2019.
72 Eymeren, van, 2019, p. 89.
73 Verveld-Suijkerbuijk 2017, p. 70-72; Beek, van, & Klingenberg 2019, p. 73-74.
74 Artikel 29-Werkgroep 2017 (WP259), p. 20; EDPB 2018, p. 3; Beek, van, & Klingenberg 2019, p. 74-75; Leentfaar 2019, p. 22.
eenmalig kunnen kiezen tegenover elke partij die cookies plaatst. De opties waaruit gekozen kan worden moeten variëren van hogere bescherming zoals het ‘nooit accepteren van cookies’ tot lagere bescherming zoals ‘alleen first part cookies accepteren’ of ‘geen enkele cookies accepteren.’76
Het doel van artikel 9 lid 2 ePV-voorstel is te bewerkstelligen dat internetgebruikers niet meer constant worden onderworpen aan toestemmingsverzoeken.77 Het is echter nog niet evident of dit de daadwerkelijke oplossing daarvoor zal zijn. Het artikel zou er namelijk toe kunnen leiden dat partijen die cookies willen plaatsen, met name partijen die online diensten aanbieden in ruil voor gegevens, niet willen vertrouwen op de browserinstellingen en dan alsnog om aparte toestemming zullen gaan vragen aangezien veel gebruikers hun instellingen niet aanpassen.78 Het artikel zou er ook voor kunnen zorgen dat websitehouders overstappen van een op tracking gebaseerd bedrijfsmodel naar een betaalmuur of maar beperkte toegang tot de website zullen verlenen.79
3.2.2 Privacy by Default
Artikel 9 lid 2 ePV-voorstel is een invulling van het ‘Privacy by Default’ beginsel, zoals neergelegd in artikel 25 AVG. Standaardinstellingen moeten in beginsel voorkomen dat persoonsgegevens zonder menselijke tussenkomst voor een onbeperkt aantal personen toegankelijk wordt gemaakt. Privacy by Default brengt volgens de Werkgroep mee dat eindapparatuur en software als standaard de meest privacy vriendelijke instelling moeten hebben en gebruikers vervolgens uitgelegd moeten worden hoe zij dit kunnen wijzigen.80
Overweging 23 ePV-voorstel stelt dat aanbieders van software verplicht moeten worden software zo in te stellen dat de optie bestaat third party cookies te verhinderen. Artikel 9 lid 2 ePV-voorstel is een manier Privacy by Default in te vullen aangezien de standaardinstelling van softwaretoepassingen initieel ‘privacy vriendelijk’ ingesteld zouden zijn. Nu staan instellingen vaak automatisch ingesteld op ‘accepteren van cookies’, maar aanbieders van
76 Bruyne, de, 2018, p. 329. 77 Roerdink 2017, p. 195.
78 Roerdink 2017, p. 195; Leentfaar 2019, p. 22. 79 Wolters Ruckert & Abdul-Aliyeya 2019, p. 18. 80 Kroes 2019.
software moeten met de komst van de ePV de instellingen zo configureren dat er een meer gelaagde optie wordt aangeboden die dus automatisch op een hoog privacybeschermend niveau staat ingesteld.81
Een ander voorbeeld van Privacy by Default is de reeds besproken DNT-optie, indien deze optie als standaard aan zou staan (zie hoofdstuk 2.2.2).
3.2.3 Wetgevingsproces
Een vergelijking van de verschillende versies het ePV-voorstel laat zien dat er wordt geworsteld met de invulling van het toestemmingsvereiste zodat deze recht doet aan gegevensbeschermingsbeginselen maar ook op juiste wijze zal uitwerken in de praktijk.82
Het EP stelt dat de huidige wijze van toestemming geven volgens artikel 9 lid 2 ePV-voorstel niet mogelijk is.83 In het LIBE-rapport en haar amendementen op artikel 9 lid 2 haakt het EP in op de verschillende vereisten uit de AVG (hierover in hoofdstuk 5.3 meer).84
De Raad is daarentegen volledig voorstander van artikel 9 lid 2 ePV-voorstel en heeft deze in haar laatst gepubliceerde amendementen omgezet in een vernieuwde artikel 4a.85 De Raad wil
het artikel zelfs uitbreiden zodat websites die draaien op advertentie-inkomsten cookies kunnen plaatsen zonder toestemming. Hierbij wordt gedacht aan websites die de vrijheid van meningsuiting bevorderen zoals online kranten en andere persuitgevers.86 Dit zal moeilijk zijn
om door het wetgevingsproces te krijgen aangezien dit een significante inmenging in de persoonlijke levenssfeer van de internetgebruikers behelst en het EP hier haaks tegenover staat.87
81 Overweging 23 ePV-voorstel. 82 Leentfaar 2019, p. 22. 83 Roerdink 2019, p. 8-9.
84 Amendementen 13, 25 en 103.
85 Raad van de Europese Unie, 13808/19, 2017/002 (COD), Brussel 8 november 2019, p. 54.
86 Raad van de Europese Unie, 13808/19, 2017/002 (COD), Brussel 8 november 2019, p. 29.
3.3 Deelconclusie
Zoals besproken schiet de huidige regelgeving tekort in het waarborgen van de
vertrouwelijkheid van eindapparatuur. Daarom heeft de Europese wetgever in o.a. artikel 9 lid 2 van het ePV-voorstel de mogelijkheid gecreëerd toestemming te geven voor het inzetten van trackingtechnologieën middels de standaardinstellingen van de gebruikte software. Dit moet ervoor zorgen dat internetgebruikers zich niet constant blootstellen aan de gevolgen van technologieën zoals BT en meer controle krijgen over wat er met hun gegevens gebeurt.
Artikel 9 lid 2 ePV-voorstel is een invulling van het Privacy by Default beginsel, waarbij standaardinstellingen automatisch op een hoog privacybeschermend niveau ingesteld dienen te zijn. Internetgebruikers dienen zelf de standaardinstellingen aan te passen en uit gelaagde mogelijkheden te kiezen. Betwijfeld wordt of dit daadwerkelijk de oplossing zal zijn. Een ander gevolg is dat websitehouders over zullen stappen op bijvoorbeeld een betaalmuur of nog maar beperkte toegang zullen geven tot hun websites. Ook binnen de organen van de Europese Unie zijn de meningen verdeeld.
4. Juridisch kader
Voor de beantwoording van de onderzoeksvraag is het noodzakelijk het juridisch kader te bespreken waaraan artikel 9 lid 2 ePV-voorstel getoetst zal worden. Dit kader bestaat uit het recht op bescherming van de persoonlijke levenssfeer en van persoonsgegevens enerzijds, en het recht op informatievrijheid en ondernemersvrijheid anderzijds, zoals opgenomen in het Handvest. Met het Verdrag van Lissabon heeft het Handvest een bindende status gekregen.88 Dit hoofdstuk eindigt met een uiteenzetting van hoe grondrechten en betrokken belangen tegen elkaar afgewogen dienen te worden. Hierbij komt het evenredigheidsbeginsel en jurisprudentie van het HvJ aan bod.
4.1 Artikel 7 Handvest: recht op bescherming van de persoonlijke levenssfeer
Artikel 7 Handvest beschermt de eerbiediging van het privéleven en van het familie- en gezinslezen, ook wel het recht op privacy genoemd. Het artikel luidt:
4.1.1 Reikwijdte
Het recht op privacy werd in 1980 gedefinieerd als ‘the right to be let alone’.89 Naarmate de
maatschappij zich ontwikkelde is het begrip ook veranderd. Waar het begrip eerst in klassieke zin betekende dat de overheid zich alleen onder strikte voorwaarden mocht mengen in de privésfeer van burgers is het begrip nu veel breder. De overheid heeft nu naast een onthoudingsplicht ook een positieve verplichting.90 Daarnaast werd de reikwijdte van bescherming van privacy die mensen genoten binnenshuis vergroot naar bepaalde activiteiten buiten de deur.91 Met de opkomst van het internet werd tevens een extra dimensie toegevoegd.
In dit kader stelt het Europees Hof voor de Rechten van de Mens (EHRM) dat informatie die wordt afgeleid uit iemands internetgebruik onder de bescherming van het recht op privacy valt.92
88 Kranenborg & Verhey 2011, p. 36. 89 Warren & Brandeis 1980, p. 193. 90 Kranenborg 2007, p. 110-111.
91 EHRM 16 december 1991, 13710/88, r.o. 29 (Nietmietz).
92 EHRM 3 april 2007, 62617/00, r.o. 41 (Copland/UK).
“Eenieder heeft recht op eerbiediging van zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn communicatie.”
4.1.2 Grondslagen
Binnen het domein van privacy staat telkens het individu centraal. Zo is het een recht van een natuurlijk persoon en niet van ondernemingen en organisaties. Ook is het een instrumentele waarde die is verbonden aan individuele belangen zoals persoonlijke autonomie. Persoonlijke autonomie is de voorwaarde voor het handelen naar eigen persoonlijke waarden en motivatie en is verwant aan de meest basale voorwaarden voor een menselijk bestaan en persoonlijke ontwikkeling. Iedereen moet de ruimte hebben een eigen afweging te maken en toegang hebben tot de mogelijkheden waaruit gekozen kan worden.93
Naast persoonlijke autonomie zijn de menselijke waardigheid en individuele vrijheid tevens grondslagen van het privacyrecht.94
4.1.3 Secundaire wetgeving
Het recht op bescherming van de persoonlijke levenssfeer is verder uitgewerkt in secundaire Europese wetgeving. Zo stelt de ePrivacyrichtlijn dat haar streven is om nationale regelgeving te harmoniseren die nodig is om het fundamentele recht op de persoonlijke levenssfeer en vertrouwelijkheid te beschermen bij de verwerking van persoonsgegevens in de elektronische-communicatiesector.
4.1.4 Informationele privacy: Brug naar gegevensbescherming
Binnen het privacydomein kan een onderscheid gemaakt worden tussen relationele, ruimtelijke en informationele privacy. De eerste twee richten zich meer op bescherming van kwetsbare delen van het privéleven (gezinsleven en woning), terwijl de laatste meer ziet op de gegevens van mensen. 95
De traditionele muren die privé-aspecten binnenshuis houden spelen steeds minder een prominente rol. Ongeveer vijftig jaar geleden ontstond meer aandacht voor informationele privacy vanwege de toenemende belangstelling in de bescherming van persoonsgegevens in het licht van de informatietechnologie en de ontwikkelingen van technische hulpmiddelen. De persoonlijke levenssfeer van mensen werd namelijk steeds meer vastgelegd in gegevens. Om
93 Sloot, van der, 2014, p. 126; Daalen, van, 2018, p. 40; Ferwerda & Kroeks-de Raaij 2018, p. 186. 94 Sloot, van der, 2014, p. 126.
datasubjecten te beschermen tegen misbruik van hun gegevens, en daarmee hun persoonlijke levenssfeer te waarborgen, zijn extra rechten in het leven geroepen om de verwerking van hun persoonsgegevens aan banden te leggen.96
De brug tussen privacy en bescherming van persoonsgegevens vloeit dan ook voort uit de informationele privacy waarbij het individu recht heeft op informationele zelfbeschikking: controle hebben over wanneer, op welke wijze en in hoeverre persoonlijke informatie bekend wordt aan de buitenwereld.97
4.2 Artikel 8 Handvest: recht op bescherming van persoonsgegevens
Artikel 8 lid 1 Handvest stelt:
Lid 2 stelt eisen aan de wijze waarop persoonsgegevens verwerkt mogen worden en lid 3 schrijft voor dat een onafhankelijke autoriteit moet toezien op de naleving.
4.2.1 Reikwijdte
Zoals besproken ontstond de behoefte aan gegevensbescherming vanuit het idee dat het individu beschermd diende te worden tegen de overheid, die gegevens wilde registreren met nieuwe informatietechnologieën. Door informatie te registreren zou de betrokkene minder eigen inspraak hebben en zou de beslissingsruimte over de inrichting van het eigen leven worden verkleind (waaronder de vrijheid om te bepalen welke gegevens over hem- of haarzelf bekend zijn).98
Het belang bij gegevensbescherming is over de tijd enorm gegroeid, zowel door de snelle internetontwikkelingen en doordat ontwikkelingen in de maatschappij vaker aanleiding geven inbreuken op dit recht mogelijk te maken.99 De Raad van Europa en de Europese Unie hebben zich daarom in de laatste decennia steeds meer gericht op het gegevensbeschermingsrecht,
96 Kranenborg 2007, p. 111; Holvast 2011, p. 234; Roosendaal 2011, p. 126.
97 Westin 1967, p. 7; Kranenborg 2007, p. 111; Dommering 2009, p. 382-383; Roosendaal 2011, p. 126.
98 Kranenborg 2007, p. 111. 99 Hijmans NJB 2016, p. 1092.
waardoor het recht een grote rol heeft ingenomen in de samenleving en de Europese wetgevingsprioriteiten.100
4.2.2 Grondslagen
De grondslagen van het recht op privacy werken door in het recht op gegevensbescherming. Zoals besproken behartigt gegevensbescherming de informationele zelfbeschikking en daarmee dus ook de persoonlijke autonomie. Voor deze autonomie is het noodzakelijk vrij besluiten te kunnen maken en toegang te hebben tot de mogelijkheden daartoe. Wanneer anderen door het gebruik van gegevens die aspecten van de persoonlijke levenssfeer bevatten deze besluiten voor een individu maken of enigszins beperken, is deze grondslag in het gedrang. Het is van belang dat een individu zelf kan bepalen welke gegevens gedeeld worden.101
4.2.3 Secundaire wetgeving
Belangrijke elementen van artikel 8 Handvest worden vormgegeven door secundair gegevensbeschermingsrecht.102 Het artikel is verder uitgewerkt in de ePrivacyrichtlijn met betrekking tot de elektronische-communicatiesector.103 Tevens vormt het recht de basis voor de AVG, die als primair doel het waarborgen van recht op bescherming van persoonsgegevens heeft.104
4.3 Verhouding artikelen 7 en 8 Handvest
Het recht op bescherming van persoonsgegevens is breder dan het recht op privacy in die zin dat de reikwijdte ervan groter is. Het is van toepassing op elke moment dat persoonsgegevens worden verwerkt, ongeacht hoe persoonlijk of gevoelig die informatie is. Aan de andere kant is het weer smaller aangezien het criteria van ‘verwerken’ ertoe kan leiden dat bepaalde situaties niet onder het recht van bescherming van persoonsgegevens vallen terwijl er wel een
100 Koning 2015, p. 351.
101 Website AP, ‘Waarom is privacy belangrijk?’; Blok 2001, p. 437; Kranenborg 2007, p. 111; Dommering 2009,
p. 382-383; Roosendaal 2011, p. 126. 102 Zie hoofdstuk 2.1.
103 Artikel 1 lid 1 ePrivacyrichtlijn; Poulus 2019, p. 148. 104 Artikel 1 lid 2 AVG; Poulus 2019, p. 148.
inbreuk wordt gemaakt op het recht op privacy. Een inbreuk op het recht op privacy betekent dan ook niet direct een inbreuk op het recht op gegevensbescherming.105
Ondanks dat beide regimes dus niet altijd overlappen zijn de twee rechten wel nauw verweven.106 Daartegenover kan gesteld worden dat aangezien de twee rechten apart zijn opgenomen in het Handvest, ieder juist een eigen zelfstandige betekenis heeft.107 Het belang van beide grondrechten is door het HvJ meerdere malen benadrukt en worden ook vaak gezamenlijk getoetst.108
4.4 Artikel 11 Handvest: Informatievrijheid
De informatievrijheid is onderdeel van het recht op vrijheid van meningsuiting dat is opgenomen in artikel 11 Handvest. Het artikel stelt:
4.4.1 Reikwijdte
De vrijheid van meningsuiting omvat ook het internet, niet alleen als communicatiemiddel maar ook de inhoud ervan.109 Een belangrijk onderdeel van de informatievrijheid, de
persvrijheid dient een hoge mate van bescherming te genieten.110 De taak van de media is het
105 Kranenborg 2007, p. 111; Zuiderveen Borgesius 2015, p. 165-166. 106 Blok 2001, p. 436-437; Kranenborg & Verhey 2011, p. 18. 107 Kranenborg 2007, p. 114.
108 HvJ EU 13 mei 2014, C-131/12, r.o. 53, 66 en 74 (Google Spain); HvJ EU 6 oktober 2015, C-362/14, r.o. 38-39 (Schrems); Koning 2015, p. 371.
109 EHRM 18 december 2012, 3111/10, r.o. 50 (Yildirim/Turkije). 110 Hugenholtz 2003, p. 17
“1. Eenieder heeft recht op vrijheid van meningsuiting. Dit recht omvat de vrijheid een mening te hebben en de vrijheid kennis te nemen en te geven van informatie of ideeën, zonder inmenging van enig openbaar gezag en ongeacht grenzen.”
publiek te informeren over maatschappelijk relevante onderwerpen. De persvrijheid is nauw verweven met het recht van het publiek om geïnformeerd te zijn.111
Zenden en ontvangen vormen samen de kern van de informatievrijheid. Het openbaar maken en verspreiden (zenden) van informatie zijn activiteiten van de zender in het
informatieproces. Aan het uiten van deze informatie gaat een proces van informatie
verzamelen en het vormen van een mening vooraf, waarvoor het ontvangen van informatie in dienst van staat.112 Toegang tot informatie valt ook onder de bescherming van artikel 11 Handvest aangezien dit van belang is om feitelijk kennis te nemen van informatie.113
4.4.2 Grondslagen
De informatievrijheid moet ten eerste beschermd worden ten behoeve van de zelfontplooiing; je moet informatie kunnen ontvangen om je als individu te ontwikkelen. Het is ten tweede van belang geïnformeerde burgers te hebben zodat zij mee kunnen doen aan het democratische proces en het maatschappelijke debat. Een andere grondslag is de waarheidsvinding.114
4.5 Artikel 16 Handvest: Recht op vrijheid van ondernemerschap
Artikel 16 Handvest luidt:
4.5.1 Reikwijdte
Artikel 16 is gebaseerd op jurisprudentie van het HvJ.115 De ondernemersvrijheid beschermt (i) de vrijheid om een economische activiteit of handelsactiviteit uit te oefenen,116 (ii) de
111 EHRM 26 november 1991, 13585/88, r.o. 75 (Observer Guardian/Verenigd Koninkrijk); Oosterveld & Oostveen 2013, p. 147.
112 EHRM 26 november 1991, 13585/88, r.o. 75 (Observer Guardian/Verenigd Koninkrijk); Schuijt 2003, p. 343;
Zuiderveen Borgesius, EDPL 2017, p. 11. 113 Eijk, van, 2005, p. 12-13.
114 Helberger 2005, p. 67-68; Barendt 2007, p. 13-22; Hoboken, van, 2012, p. 77; EHRM 26 april 1979, 6538/74, r.o. 65 (Sunday Times/Verenigd Koninkrijk).
115 HvJ EU 21 december 2016, C-201/15, r.o. 90 (AGET Iraklis); HvJ EU 27 april 2017, C-680/15 en C-681/15,
r.o. 23 (Asklepios).
116 HvJ EG 14 mei 1974, C-4/73, r.o. 14 (Nold).
“De vrijheid van ondernemerschap wordt erkend overeenkomstig het recht van de Unie en de nationale wetgevingen en praktijken.”
contractsvrijheid117 en (iii) de vrije mededinging118. In 2014 overwoog het HvJ dat het recht op
vrijheid van ondernemerschap o.a. betekent dat men vrij mag beslissen over de beschikbare technische, financiële en economische middelen.119 De keuze voor een specifiek business- en verdienmodel valt onder de vrijheid om een economische activiteit uit te oefenen en daarmee ook onder de ondernemersvrijheid.120
4.5.2 Grondslagen
Vrijheid van ondernemerschap is van groot belang voor de ontwikkeling van ondernemerschap en innovatie en voor het bevorderen van economische en sociale ontwikkeling. Het doel van artikel 16 Handvest is de bescherming van het recht van elk persoon te waarborgen om een onderneming te starten zonder te worden onderworpen aan discriminatie of disproportionele beperkingen.121 Het recht moet volgens het HvJ in haar maatschappelijke functie worden beschouwd.122
4.6 Conflicterende grondrechten
Nu dat de relevante grondrechten vastgesteld zijn is het belangrijk te onderzoeken wat er gebeurt wanneer grondrechten met elkaar botsen. Hiervoor wordt gekeken naar de oplossing daarvoor in het Handvest zelf en hoe het HvJ in gewezen arresten heeft besloten een specifiek grondrecht te laten prevaleren, met name bij een botsing tussen de besproken grondrechten. De daadwerkelijke toepassing hiervan zal plaatsvinden in het volgende hoofdstuk.
4.6.1 Artikel 52 lid 1 Handvest
Bij een conflict tussen grondrechten moeten de concurrerende belangen gewaardeerd worden en een ‘evenwicht’ gevonden worden.123 De rode draad voor hoe deze afweging gemaakt moet
worden is geïncorporeerd in het Handvest zelf, te weten in de beperkingsclausule van artikel 52 lid 1 Handvest. Artikel 52 lid 1 stelt dat beperkingen op grondrechten uit het Handvest (i)
117 HvJ EG 5 oktober 1999, C-240/97, r.o. 99 (Spanje/Commissie); 118 Toelichting bij het Handvest, p. 23.
119 HvJ EU 27 maart 2015, C-314/12, r.o. 49 (UPC Telekabel). 120 Beemster 2019; Poulus 2019, p. 101.
121 Haar, ter, 2018, p. 22-23.
122 HvJ 22 januari 2013, C-283/11, r.o. 45 (Sky Österreich). 123 Ballin 2013, p. 227; Engelfriet 2019, p. 88; Keulemans 2019.
bij wet gesteld moeten zijn, (ii) de wezenlijke inhoud van de rechten en vrijheden moeten eerbiedigen, en dat beperkingen, (iii) met inachtneming van het evenredigheidsbeginsel, alleen gesteld mogen worden indien zij (iv) noodzakelijk zijn en moeten daadwerkelijk beantwoorden aan de erkende doelstellingen van algemeen belang van de Unie of aan de eisen van bescherming van rechten en vrijheden van anderen.124
4.6.2 Evenredigheidsbeginsel
Bij de vraag hoe grondrechten uit het Handvest ingeperkt kunnen worden en hoe de afweging tussen de botsende belangen plaats dient te vinden, vervult het evenredigheidsbeginsel een belangrijke rol.125
De evenredigheidstoets in artikel 52 lid 1 Handvest bestaat uit drie stappen. Ten eerste vindt er een geschiktheidstoets plaats: het middel moet effectief zijn voor het bereiken van het gestelde (legitieme) doel. Ten tweede mogen er geen even geschikte middelen bestaan die minder belastend zijn, ook wel de noodzakelijkheidstoets genoemd. Tenslotte vindt de
evenredigheidstoets plaatst (in strikte zin): het aangewende middel moet een ‘rechtvaardig
evenwicht’ tot stand brengen tussen de botsende rechten. Deze laatste toets behelst de daadwerkelijke afweging van de belangen die worden gewaarborgd door de betrokken grondrechten. Hierbij wordt de regel die een beperking op een grondrecht inhoudt tegenover dat grondrecht gezet, waarbij het belang van het doel van de potentieel inbeuk makende regel wordt afgewogen tegen het belang van het grondrecht dat eventueel wordt beperkt.126
4.6.3 Toetsing door het HvJ
De toepassing van het evenredigheidsbeginsel door het HvJ bij een botsing tussen de
besproken grondrechten uit dit hoofdstuk is meerdere malen voorgekomen. Bij het HvJ is in de afgelopen jaren een tendens te ontdekken waarbij het recht op privacy en
gegevensbescherming steeds serieuzer wordt genomen en de evenredigheidstoets strenger wordt toegepast dan bij de andere grondrechten. Het lijkt alsof het HvJ het recht op privacy en gegevensbescherming meer gewicht toekent dan andere grondrechten uit het Handvest.
124 HvJ 8 april 2014, C-293/12 en C-594/12, r.o. 38 (Digital Rights Ireland e.a.). 125 Teunissen 2018, p. 380.
Privacy wordt dan ook wel het ‘prinsesje onder de grondrechten’ genoemd.127 Zo stelde het
HvJ in Google Spain dat het recht op bescherming van persoonsgegevens in beginsel zwaarder weegt en dus meer gewicht toekomt dan het economische belang van een verwerkingsverantwoordelijke.Ook heeft het belang van het individu (bescherming van persoonsgegevens) vaak voorrang boven de algemene belangen van internetgebruikers.128
In de zaak Digital Rights Ireland werd de Dataretentierichtlijn onverenigbaar geacht met artikelen 7 en 8 Handvest omdat de doestellingen van algemeen belang niet kon rechtvaardigen dat de maatregel noodzakelijk werd geacht voor het behartigen van dat belang.129 In dit arrest werd bovendien geoordeeld dat de Dataretentierichtlijn invloed had op het onlinegedrag van internetgebruikers en dus de manier waarop zij hun vrijheid van meningsuiting (artikel 11 Handvest) uitoefenen. Door de inbreuk ontstond in dit geval een chilling effect; de mensen gedroegen zich anders door de inbreuk op hun persoonlijke levenssfeer.130
In het arrest Sky Österreich liet het HvJ ruime beperkingen op het recht op vrijheid van ondernemerschap toe. Het HvJ stelde dat in het algemeen belang beperkingen aan de uitoefening van economische activiteiten kunnen worden gesteld. Desondanks, wanneer een keuze mogelijk is tussen meerdere geschikte maatregelen, dan moet die maatregel gekozen worden die de minst nadelige consequenties behelst. Het HvJ overweeg dat deze nadelen niet onevenredigheid mogen zijn ten opzichte van het nagestreefde doel (zie hier de evenredigheidstoets).131 Het HvJ gaf, in tegenstelling tot het recht van privacy en gegevensbescherming in Google Spain, nergens in dit arrest aan dat het belang van de werkgever (ondernemersvrijheid) in enige zin voorrang heeft op andere rechten.132
In de UPC Telekabel-zaak stonden zowel de ondernemersvrijheid als de informatievrijheid tegenover het recht op (intellectuele) eigendom. De ondernemersvrijheid vereiste volgens het HvJ dat de betreffende persoon onder de maatregel (die een IE-rechtelijk belang behartigde)
127 Hijmans 2014, p. 250; Kabel 2015, p. 215; Poulus 2019, p. 101.
128 HvJ EU 13 mei 2014, C-131/12, r.o. 81 en 97 (Google Spain); Poulus 2019, p. 101. 129 HvJ 8 april 2014, C-293/12 en C-594/12, r.o. 38 (Digital Rights Ireland e.a.).
130 HvJ 8 april 2014, C-293/12 en C-594/12, r.o. 28 (Digital Rights Ireland e.a.); Zuiderveen Borgesius 2016, p. 63.
131 HvJ 22 januari 2013, C-283/11, r.o. 45-50 (Sky Österreich). 132 Verburg 2017, p. 117.
