VOORWAARDELIJKE TOEGANG
TOT DIENSTEN VAN DE
INFORMATIEMAATSCHAPPIJ
Over de rechtmatigheid van pay-walls,
tracking-walls, adblocker-walls en andere walls.
Ing. W.P. (Patrick) Schreurs
patrick_uva@patschreurs.nl Studentennummer: 11399805 Instituut voor Informatierecht (IViR) Universiteit van Amsterdam Faculteit der Rechtsgeleerdheid Begeleider: mr. O.L. van Daalen
Masterscriptie Informatierecht 21 december 2017
1
“Privacy is not an option, and it shouldn't be the price we accept for just getting on the Internet”*
2
ABSTRACT
Steeds vaker worden er voorwaarden gesteld aan het mogen bezoeken van websites. Websites verdwijnen achter een muur (een ‘wall’) die pas wordt doorbroken nadat de bezoeker akkoord is gegaan met de door de websitehouder opgestelde voorwaarden.
In deze bijdrage wordt de rechtmatigheid van voorwaardelijke toegang tot websites en andere diensten van de informatiemaatschappij onderzocht. De onderzoeksvraag die centraal staat is de vraag of het houders van websites of andere diensten van de informatiemaatschappij vrijstaat om internetgebruikers de toegang te ontzeggen op basis van door die gebruikers geuite voorkeuren, en of voorwaardelijke toegang in strijd kan zijn met het recht van de internetgebruiker om informatie te vergaren (artikel 11 Handvest) of het recht op eerbieding van het privéleven (artikel 7 Handvest).
Voor de beantwoording van deze vraag wordt het juridische kader ten aanzien van de grondrechten van zowel de websitehouder als de internetgebruiker geschetst en wordt nader ingegaan op de relevante bepalingen van de Algemene verordening gegevensbescherming en de e-Privacyrichtlijn. Ook wordt een vergelijk gemaakt met het voorstel voor een nieuwe e-Privacyverordening. Daarnaast wordt het hedendaagse verdienmodel van het internet – gebaseerd op behavioural targeting – beschreven en wordt er een nadere beschouwing gegeven van de pay-wall (betaalmuur), de tracking-wall (cookie-wall) en de adblocker-wall. Middels literatuur- en documentenonderzoek worden de rechten van de websitehouder tegenover de rechten van de internetgebruiker gezet. Er wordt geconcludeerd dat het websitehouders op grond van hun vrijheid van ondernemerschap en hun recht op eigendom vrijstaat om voorwaarden te stellen aan het kunnen bezoeken van hun websites. Het recht op toegang tot informatie is immers niet absoluut en strekt zich niet uit tot informatie die de websitehouder niet wenst te delen.
Tracking-walls dwingen internetgebruikers om toe te staan dat hun online gedrag wordt gevolgd, teneinde toegang te verkrijgen tot een website die zich achter een tracking-wall bevindt. Dit levert een ongeoorloofde schending van het recht op eerbieding van het
privéleven en het recht op bescherming van persoonsgegevens van de internetgebruiker op. De bijdrage sluit af met de conclusie dat voorwaardelijke toegang wel degelijk in strijd kan zijn met de rechten van de internetgebruiker en dat dit bij het gebruik van tracking-walls ook daadwerkelijk het geval is.
3
INHOUDSOPGAVE
1. INLEIDING ... 5 1.1. Achtergrond ... 5 1.2. Onderzoeksvraag ... 6 1.3. Methodologie ... 6 1.4. Relevantie ... 7 1.5. Hoofdstukindeling ... 72. WAAROM VOORWAARDELIJKE TOEGANG? ... 9
2.1. Behavioural targeting ... 9
2.2. Real Time Bidding... 10
2.3. Tracking technologieën ... 11
2.4. Cookies ... 12
2.5. De noodzaak van tracking ... 13
3. HET JURIDISCHE KADER... 15
3.1. De rechten van de websitehouder... 15
3.1.1. Vrijheid van ondernemerschap ... 15
3.1.2. Het recht op eigendom ... 16
3.2. De rechten van de internetgebruiker ... 17
3.2.1. Het recht op toegang tot informatie ... 17
3.2.2. Het recht op privacy ... 18
3.3. Horizontale en absolute werking ... 19
4. EUROPESE PRIVACYWETGEVING ... 21
4.1. De Algemene verordening gegevensbescherming (AVG) ... 21
4.1.1. Toestemming ... 22
4.2. De e-Privacyrichtlijn ... 23
5. VORMEN VAN VOORWAARDELIJKE TOEGANG ... 26
5.1. De pay-wall... 26 5.1.1. Controverse ... 27 5.2. De tracking-wall ... 27 5.2.1. Controverse ... 28 5.3. De adblocker-wall ... 30 5.3.1. Controverse ... 33 5.4. Overige walls ... 34
4
5.5. Detectie ten behoeve van het gebruik van walls ... 35
6. DE RECHTSGELDIGHEID VAN VOORWAARDELIJKE TOEGANG ... 37
6.1. Botsing van grondrechten ... 37
6.2. Toegang tot informatie ... 38
6.3. Recht op privacy ... 41
6.3.1. Vrije toestemming ... 42
6.3.2. Specifieke en geïnformeerde toestemming ... 42
6.4. De rol van de wetgever ... 43
7. CONCLUSIE ... 46 BIJLAGEN ... 48 Bijlage I ... 48 Bijlage II ... 49 BIBLIOGRAFIE ... 51 Literatuurlijst ... 51 Rapporten en opinies ... 58 Overige bronnen ... 61 Wetgeving ... 62 Nationaal... 62 Europese Unie ... 62 Internationaal ... 63 Jurisprudentie ... 64
Europees Hof voor de Rechten van de Mens ... 64
Europese Commissie voor de Rechten van de Mens ... 64
Hof van Justitie van de Europese Unie ... 64
Hoge Raad ... 65
5
1.
INLEIDING
1.1. Achtergrond
Sinds de vaststelling van de Europese e-Privacyrichtlijn1 kiezen steeds meer websitehouders
voor het gebruik van zogenaamde ‘tracking-walls’. Veel websites worden namelijk bekostigd uit advertentie-inkomsten en om een zo hoog mogelijk rendement te behalen worden de getoonde advertenties gericht op de interesses van de individuele websitebezoekers. Om een profiel te kunnen opbouwen wordt het gedrag van gebruikers op internet gevolgd, onder meer door het plaatsen en uitlezen van kleine computerbestanden op de eindapparatuur van de internetgebruikers (zogenaamde ‘cookies’).2 Sinds de introductie van de e-Privacyrichtlijn is
de toestemming van de internetgebruiker benodigd alvorens niet-noodzakelijke informatie op zijn eindapparatuur mag worden geplaatst of gelezen. Om deze reden kiezen steeds meer websitehouders ervoor om een tracking-wall, ook wel cookie-wall genoemd, te gebruiken waarbij een websitebezoeker slechts toegang tot de website krijgt wanneer hij de gevraagde toestemming verleend.
Veel instanties, waaronder de gezaghebbende Artikel 29-Werkgroep, het advies- en overlegorgaan van de Europese privacytoezichthouders, zijn van mening dat de in voorbereiding zijnde e-Privacyverordening het gebruik van tracking-walls zou moeten verbieden.3 Maar zou een eventueel verbod op tracking-walls niet breder moeten worden
getrokken? In hoeverre mag de toegang tot een website voorwaardelijk zijn op grond van door de websitebezoeker geuite voorkeuren? Mag een website bijvoorbeeld de toegang weigeren aan gebruikers die met behulp van het ‘Do-Not-Track’-signaal4 aangeven niet
gevolgd te willen worden, of aan gebruikers die advertenties weren met een zogenaamde adblocker? Welke rol speelt het recht om informatie te vergaren (artikel 11 Handvest), het recht op privéleven (artikel 7 Handvest), het recht op (intellectueel) eigendom (artikel 17 Handvest) en het recht om zelf je eigen onderneming in te richten (artikel 16 Handvest) daarbij? 1 Zie paragraaf 4.2. 2 Zie paragraaf 2.4. 3 Zie paragraaf 5.2.1. 4 Zie paragraaf 5.4.
6
1.2. Onderzoeksvraag
Deze vragen hebben geleid tot onderstaande onderzoeksvraag:
Staat het houders van websites of andere diensten van de informatiemaatschappij vrij om internetgebruikers de toegang te ontzeggen op basis van door die gebruikers geuite voorkeuren of kan voorwaardelijke toegang in strijd zijn met het recht van de internetgebruiker om informatie te vergaren (artikel 11 Handvest) of het recht op eerbieding van het privéleven (artikel 7 Handvest)?
Een websitehouder levert een dienst van de informatiemaatschappij volgens artikel 3:15d, derde lid, BW. Dit artikel is het resultaat van de Nederlandse implementatie van Richtlijn 98/34/EG.5 Ook elektronische diensten die zonder betaling worden aangeboden, zijn diensten
van de informatiemaatschappij.6 In deze scriptie zal ten behoeve van de leesbaarheid de term
‘website’ worden gebezigd, terwijl met deze term alle mogelijke diensten van de informatiemaatschappij wordt bedoeld.
1.3. Methodologie
De onderzoeksvraag is zowel descriptief als normatief van aard. Beschreven wordt welke grondrechten een rol spelen bij de beantwoording van de onderzoeksvraag en hoe deze grondrechten zijn uitgewerkt in nadere regelgeving. Daarnaast is de vraag normatief, omdat vanuit een intern perspectief beschreven wordt welke rechten volgens de auteur dienen te prevaleren. Het onderzoek is verricht op basis van literatuur- en documentenonderzoek. Hierbij is gebruik gemaakt van relevante (hand)boeken, tijdschriften, opinies, rapporten, wetsgeschiedenis, jurisprudentie en (online) nieuwsberichten.
Hoewel op het moment van schrijven Richtlijn 95/46/EG nog van toepassing is,7 is zoveel
mogelijk aansluiting gezocht bij de Algemene Verordening Gegevensbescherming (AVG), welke op 25 mei 2018 in werking zal treden.8 Gezien het feit dat deze verordening op het
5 Richtlijn 98/34/EG van het Europees Parlement en de Raad van de Europese Unie van 22 juni 1998
betreffende een informatieprocedure op het gebied van normen en technische voorschriften, zoals gewijzigd bij Richtlijn 98/48/EG van het Europees Parlement en de Raad van 20 juli 1998 tot wijziging van Richtlijn 98/34/EG betreffende een informatieprocedure op het gebied van normen en technische voorschriften.
6 Kamerstukken II 2001/02, 28197, 3, p. 12; HvJ EU 11 september 2014, C-291/13, ECLI:EU:C:2014:2209, r.o. 30
(Papasavvas); HvJ EU 15 september 2016, C-484/14, ECLI:EU:C:2016:689, r.o. 43 (Mc Fadden).
7 In Nederland geïmplementeerd in de Wet bescherming persoonsgegevens (Wbp). 8 Zie paragraaf 4.1.
7
moment van schrijven nog niet in werking is getreden, bestaat er nog geen jurisprudentie die is gebaseerd op de AVG.
Voor de online omgeving is daarnaast uitgegaan van huidige e-Privacyrichtlijn. De Europese Commissie streeft ernaar om tegelijk met de inwerkingtreding van de AVG de nieuwe e-Privacyverordening, welke de huidige richtlijn zal gaan vervangen, in werking te laten treden, maar de tekst van deze verordening staat op het moment van schrijven nog niet vast. Waar relevant is een vergelijk gemaakt met het voorstel van de Europese Commissie voor een nieuwe e-Privacyverordening.9
De rechten van websitehouders kunnen niet alleen worden beperkt door de rechten van internetgebruikers, maar kunnen ook anderszins worden beperkt, bijvoorbeeld door de regels van machtsmisbruik, oneerlijke handelspraktijken of het discriminatieverbod. Deze en andere beperkingen vallen buiten de reikwijdte van dit onderzoek.
1.4. Relevantie
Steeds vaker wordt erkend dat een internetgebruiker vrijwel elke voorwaarde accepteert om toegang tot een website te krijgen, indien hem dit niet direct en onmiddellijk raakt.10 Het is
daarom niet vreemd dat er met de aanstaande inwerkingtreding van de AVG en de discussie over de nieuwe e-Privacyverordening stemmen opgaan om zogenaamde ‘take it or leave it’-keuzes te verbieden. Het is dientengevolge van belang om te onderzoeken hoe de rechten van de websitehouders zich verhouden ten opzichte van de rechten van de internetgebruikers.
1.5. Hoofdstukindeling
In het volgende hoofdstuk zal uiteen worden gezet hoe het verdienmodel van ‘gratis’ diensten op internet er doorgaans uitziet en welke rol voorwaardelijke toegang daarbij speelt.
Vervolgens zal in hoofdstuk 3 het juridische kader ten aanzien van de grondrechten van zowel de websitehouder als de internetgebruiker worden geschetst, om daarna in hoofdstuk 4 de relevante uitwerking van de privacywetgeving in kaart te brengen. Veelvoorkomende vormen van voorwaardelijke toegang worden in hoofdstuk 5 behandeld en in hoofdstuk 6
9 Zie paragraaf 4.2.
10 Zuiderveen Borgesius, P&I 2011, p. 9-10; Kosta 2011, p. 185-186; Helbelger 2013, p. 4; Zuiderveen Borgesius
2014, p. 286-293; Eijk, van, NJB 2016/1072, p. 1529; Zuiderveen Borgesius e.a., EDPL 2017, p. 1; Artikel 29-Werkgroep 2017, WP 259, p. 17.
8
worden de rechten van beide partijen tegenover elkaar gezet. Hoofdstuk 7 sluit ten slotte af met een conclusie.
9
2.
WAAROM VOORWAARDELIJKE TOEGANG?
Steeds meer websitehouders stellen voorwaarden aan het kunnen bezoeken van hun
websites.11 Het meest bekend is de voorwaarde dat websitebezoekers het gebruik van cookies
dienen toe te staan. Om te begrijpen waarom websites voorwaarden stellen aan het verkrijgen van toegang, is het noodzakelijk om iets te weten over hoe het internet vanuit economisch perspectief functioneert. In dit hoofdstuk wordt het meest gebruikte verdienmodel op internet beschreven.
2.1. Behavioural targeting
Informatie kan worden gezien als een zogenaamd publiek goed, ook wel collectief goed genoemd. In beginsel zijn publieke goederen, goederen die rivaliserend en
niet-uitsluitbaar zijn.12 Informatie is niet-rivaliserend omdat de informatie blijft bestaan, ook nadat
deze door iemand is geconsumeerd. Daarnaast is informatie niet-uitsluitbaar, omdat het onmogelijk is om het gebruik uit te sluiten voor mensen die daar niet voor hebben betaald. Het klassieke voorbeeld van een publiek goed is de lichtbundel die wordt verspreid door een vuurtoren.13 Het gebruik van de lichtbundel door een schip heeft geen effect op het gebruik
van diezelfde lichtbundel door andere schepen. Bovendien kan het gebruik van het baken niet worden uitgesloten voor schepen die daar niet voor hebben betaald. In het digitale tijdperk wordt het niet-rivaliserende karakter van informatie versterkt, doordat digitale informatie – in tegenstelling tot analoge informatie – oneindig veel kan worden gekopieerd, zonder verlies van kwaliteit.
Door deze kenmerken van informatie is het moeilijk om voor het gebruik van informatie af te rekenen en vraagt consumptie om een andere manier van exploitatie. Dit laat zich het beste demonstreren met de opkomst van de omroep. Omdat het free-to-air televisiesignaal door iedereen was te ontvangen, was het onmogelijk om voor het gebruik af te rekenen. Om deze reden werd de publieke omroep gefinancierd uit een verplicht te betalen omroepbijdrage, het zogenaamde kijk- en luistergeld.14 Omdat er geen direct verband bestaat tussen de
11 Schellevis, Tweakers 18 mei 2015. 12 Dommering, Computerrecht 2001, par. 2. 13 Mill (1848) 1998, p. xl, 364; Coase 1974, p. 359 14 Dommering, Computerrecht 2001, par. 2.
10
consumptie en de inkomsten uit reclame, wordt inkomsten uit reclame een indirecte financieringsbron genoemd.15
De informatie die op internet vrij toegankelijk is, is ook afhankelijk van een indirecte
financieringsbron. Voor het gebruik van internet wordt geen kijk- en luistergeld of een andere heffing geheven. Het gevolg hiervan is dat vrijwel alle diensten op internet die zonder
geldelijke betaling worden aangeboden, afhankelijk zijn van inkomsten uit reclame.16 Deze
inkomsten worden gegenereerd door de verkoop van advertentieruimte.
Advertenties kunnen gericht of ongericht zijn. De advertenties die omroepen uitzenden zijn ongericht, ze worden uitgezonden zonder rekening te (kunnen) houden met de kwalificaties of interesses van de individuele ontvangers. Ook de eerste advertenties op internet waren ongericht.17
Advertentiecampagnes zijn echter effectiever wanneer zij kunnen worden gericht op
persoonlijke voorkeuren en leveren dientengevolge ook meer inkomsten op.18 De technologie
van het internet maakt gepersonaliseerde advertenties mogelijk. Om de persoonlijke interesses van internetgebruikers te achterhalen, wordt hun doen en laten op het internet nauwkeurig gevolgd en geanalyseerd. Met behulp van de verkregen gegevens worden profielen samengesteld die worden gebruikt om advertenties te tonen die aansluiten bij de persoonlijke voorkeuren en interesses van een internetgebruiker. Dit systeem wordt behavioural targeting genoemd.19
2.2. Real Time Bidding
Er zijn verschillende modellen waarmee een websitehouder zijn beschikbare
advertentieruimte kan aanbieden. Het meest eenvoudige model is het model waarbij de websitehouder zijn advertentieruimte aan één adverteerder verkoopt. Dit betreft meestal een adverteerder wiens product gelieerd is aan de context van de website. Deze vorm van adverteren wordt contextual advertising genoemd.20
15 Dommering, Computerrecht 2001, par. 2.
16 Westerdijk, IR 2015, p. 175; Garimella e.a., WebSci ’17 2017, p. 1; Zuiderveen Borgesius, P&I 2011, p. 3. 17 Singel, Wired, 27 oktober 2010.
18 Sloot, van der, P&I 2011, p. 63; Roosendaal, P&I 2011, p. 126; Zuiderveen Borgesius, P&I 2011, par 3.2.
Anders: Zuiderveen Borgesius e.a., EDPL 2017, p. 2.
19 Sloot, van der, P&I 2011, p. 62; Zuiderveen Borgesius, IEEE Security & Privacy 2013, p. 82-85; Zuiderveen
Borgesius, TvC 2016, p. 54-55.
11
Meestal komen aanbieders van advertentieruimte en adverteerders bij elkaar door een systeem dat Real Time Bidding (RTB) wordt genoemd.21 Bij dit systeem wordt de
beschikbare advertentieruimte bij elk websitebezoek real time geveild. Op een ‘ad network’ kunnen adverteerders bieden op de aanboden advertentieruimte.22 De advertentie van de
adverteerder die de hoogste prijs biedt, wordt uiteindelijk aan de websitebezoeker getoond. Dit proces vindt plaats elke keer dat een website wordt bezocht en duurt slechts enkele milliseconden.23
Een adverteerder heeft informatie over de websitebezoeker en de bezochte website nodig om te kunnen bepalen hoeveel het hem waard is om zijn advertentie aan deze bezoeker te kunnen tonen. Dat is de reden dat tijdens de veiling het advertentienetwerk alle mogelijke informatie waarover hij beschikt doorstuurt naar de aangesloten advertentieaanbieders. Op basis van deze, en eigen informatie kunnen de adverteerders een inschatting maken van de effectiviteit van het tonen van hun advertentie aan deze specifieke bezoeker en doen zij een bod op de aangeboden advertentieruimte.
2.3. Tracking technologieën
De waarde van aangeboden advertentieruimte wordt dus bepaald door de te verwachten effectiviteit van het tonen van de advertentie. Zo is het voor een adverteerder nuttig om te weten dat een websitebezoeker onlangs een website heeft bezocht in zijn marktsegment. Deze informatie vertelt de adverteerder dat er een grote kans bestaat dat deze bezoeker
geïnteresseerd is in zijn producten.
Op verschillende wijzen kan informatie over een internetgebruiker worden verkregen. Een internetgebruiker kan in de eerste plaats zelf informatie hebben aangeleverd. Hierbij valt te denken aan de bestelhistorie van een klant in een webwinkel. Een internetgebruiker kan ook persoonlijke details hebben aangeleverd door deel te nemen aan enquêtes of informatie te delen op sociale media. Informatie kan ook worden verkregen door na te gaan wat
internetgebruikers zoal op het internet doen: welke zoektermen zij gebruiken, welke websites
21 Olejnik, Minh-Dung & Castelluccia 2013, p. 1; Cybersecuritybeeld Nederland 2016, p. 44-45.
22 In deze scriptie zal de term advertentienetwerk worden gebezigd. Hiermee wordt de tussenpersoon bedoeld
die de websitehouder en de feitelijke adverteerder bij elkaar brengt. Deze tussenpersoon wordt ook wel ‘ad exchange’ genoemd. Zie ook Artikel 29-Werkgroep 2010, WP 171, par. 2.1; Zuiderveen Borgesius, P&I 2011, par. 2.
12
worden bezocht, welke artikelen gelezen, et cetera. Het verzamelen van informatie over het gedrag van een internetgebruiker wordt tracking genoemd.
2.4. Cookies
Om het doen en laten van gebruikers op internet te kunnen volgen, wordt vaak gebruik gemaakt van cookies.24 Cookies zijn kleine computerbestanden die bezochte websites kunnen
plaatsen en lezen op de eindapparatuur van de internetgebruiker. Een cookie wordt bijvoorbeeld gebruikt om de gebruikersnaam en wachtwoord van een internetgebruiker te onthouden, zodat de gebruiker niet bij elke pagina van een website opnieuw hoeft in te loggen, of om voorkeuren zoals de geselecteerde taalinstelling te onthouden. Het systeem van cookies is ontwikkeld om de inhoud van een virtueel winkelwagentje te kunnen onthouden.25
Cookies kunnen worden onderscheiden in first-party en third-party cookies. First-party cookies zijn afkomstig van de website die de internetgebruiker op dat moment bezoekt. Niet alleen de website die wordt bezocht is echter in staat om cookies op de eindapparatuur van de websitebezoeker te plaatsen of te lezen, maar elke website die een deel van de bezochte webpagina verzorgt, is daartoe in staat. Deze cookies die afkomstig zijn van websites waar de internetgebruiker niet noodzakelijk een directe relatie mee heeft, worden third-party cookies genoemd.26 In third-party cookies die worden gebruikt ten behoeve van behavioural targeting
wordt een uniek identificatienummer opgeslagen, waarmee het gedrag van een internetgebruiker over meerdere websites kan worden gevolgd.27
Grote advertentienetwerken, zoals DoubleClick van Google,28 die op vele miljoenen websites
advertenties tonen, hebben iedere keer dat zij een internetgebruiker een advertentie tonen toegang tot de eerder door hen geplaatste cookies en kunnen vervolgens aan de hand van het daarin opgeslagen identificatienummer bijhouden welke websites deze internetgebruiker bezoekt.29 Op deze wijze kan het advertentienetwerk zeer gedetailleerde profielen opbouwen.
Indien de internetgebruiker gebruik maakt van andere diensten van de aanbieder van het advertentienetwerk, in het geval van Google valt daarbij te denken aan Google’s
24 Roosendaal, P&I 2011, p. 126; Zuiderveen Borgesius, P&I 2011, par. 2; Helberger 2013, p. 3. 25 Kesan & Shah, Yale Journal of Law & Technology 2004, p. 298-299.
26 Hoofnagle e.a., Harvard Law & Policy Review 2012, p. 276; Roosendaal, P&I 2011, p. 127; Zuiderveen
Borgesius, P&I 2011, par 2.
27 Deze third-party cookies worden ook wel ‘tracking cookies’ genoemd. 28 Zie www.doubleclickbygoogle.com/nl/
13
zoekmachine, Google’s navigatiedienst, of een van de vele andere diensten van Google, ontstaat een nog gedetailleerder profiel.30
Sociale media verzamelen op een soortgelijke wijze informatie. De Facebook ‘Vind ik leuk’-knop die op miljoenen websites wordt getoond, is niet afkomstig van de website die de gebruiker op dat moment bezoekt, maar vanaf een website van Facebook.31 Het gevolg
hiervan is dat Facebook bij elke website waar een ‘Vind ik leuk’-knop wordt getoond, cookies kan plaatsen en lezen. Op deze wijze kan ook Facebook precies bijhouden welke websites een internetgebruiker bezoekt. Indien een internetgebruiker over een account bij Facebook beschikt,32 kan deze informatie aan het profiel worden gekoppeld, waardoor ook in
dit geval een zeer gedetailleerd profiel ontstaat.33 Het genereren van gebruikersprofielen en
de handel in advertenties is waar het bedrijven als Google en Facebook om is te doen.34
Naast het gebruik van cookies bestaan er nog andere methodes om informatie over het gedrag van internetgebruikers te verzamelen, zoals fingerprinting of tracking pixels.35 Deze
technieken slaan echter geen informatie op in de eindapparatuur van de internetgebruiker, maar gebruiken wel informatie die daarop is opgeslagen. Waar in deze scriptie wordt gesproken over cookies, worden ook deze andere methodes bedoeld.
2.5. De noodzaak van tracking
Volgens de Europese brancheorganisatie voor online marketing, Interactive Advertising Bureau (hierna: IAB Europe), is gerichte reclame – dat afhankelijk is van het verzamelen van persoonsgegevens – de grootste bron van inkomsten voor de Europese digitale media.36
Cookies worden, aldus IAB Europe, gebruikt om gebruikers met gemeenschappelijke interesse te herkennen, zodat zij bediend kunnen worden met relevante advertenties. Omdat websitehouders op de in paragraaf 2.2 beschreven wijze in staat zijn om advertentieruimte te verkopen aan die partij die daar in de gegeven omstandigheden het meeste voor over heeft, verdubbelt het rendement van de verkochte advertentieruimte.37
30 Sloot, van der, P&I 2011, p. 62. 31 Roosendaal, P&I 2011, par. 4.
32 Of bij een dochteronderneming van Facebook, zoals de berichtendienst WhatsApp. 33 Roosendaal, P&I 2011, par. 5; Zuiderveen Borgesius, P&I 2011, par. 2.
34 Hingh, de, IR 2017, p. 63.
35 Helberger 2013, p. 6; Hoofnagle e.a., Harvard Law & Policy Review 2012, p. 281-285; Artikel 29-Werkgroep
2014, WP 224.
36 IAB Europe 2017 (proposal for an ePrivacy Regulation), p. 1-2.
14
Doordat internetdiensten afhankelijk zijn geworden van behavioural targeting en daarmee van het verzamelen van persoonlijke data, wordt persoonlijke data ook wel beschouwd als de nieuwe olie van het internet.38 Zonder dit verzamelen zouden veel diensten niet of slechts
tegen een financiële vergoeding beschikbaar zijn.39
Om websitehouders in staat te stellen om zo optimaal mogelijk inkomsten uit hun website te genereren, kunnen zij ervoor kiezen om voorwaarden te stellen aan het kunnen raadplegen van hun websites. Indien een internetgebruiker niet voldoet aan de door de websitehouder gestelde voorwaarden, kan de website niet worden bezocht. Er wordt in feite een muur (een ‘wall’) opgericht waarachter de website zich bevindt. Pas als de internetgebruiker de voorwaarden accepteert, wordt de muur doorbroken.
In hoofdstuk 5 worden verschillende vormen van voorwaardelijke toegang behandeld. Om deze vormen van voorwaardelijke toegang te kunnen bespreken is het echter noodzakelijk om eerst het relevante juridische kader te schetsen.
38 Kuneva 2009, p. 2.
39 Sloot, van der, P&I 2010, p. 106; Sloot, van der, P&I 2011, p. 63; IAB Europe 2017 (proposal for an ePrivacy
15
3.
HET JURIDISCHE KADER
In dit hoofdstuk zal het relevante juridische kader worden geschetst ten aanzien van de rechten van de websitehouder en de rechten van de internetgebruiker.
3.1. De rechten van de websitehouder
De rechten van de websitehouder, zijnde het recht van ondernemerschap en het recht op eigendom zullen in deze paragraaf worden behandeld. In de rechtspraak worden deze twee grondrechten vaak in een adem met elkaar genoemd.40
3.1.1. Vrijheid van ondernemerschap
In artikel 16 van het Handvest van de grondrechten van de Europese Unie (hierna: het Handvest) is de vrijheid van ondernemerschap opgenomen. Het betreft een zeer kort en bondig artikel dat als volgt luidt:
De vrijheid van ondernemerschap wordt erkend overeenkomstig het recht van de Unie en de nationale wetgevingen en praktijken.
Dit artikel is de codificatie van uitspraken van het Hof van Justitie van de Europese Unie (hierna: Hof van Justitie of Hof) dat meerdere malen de uitoefening van een economische activiteit, inclusief het beginsel van contractsvrijheid heeft erkend.41 Het recht van
ondernemerschap is een noviteit in het Handvest en komt niet voor in het Europees Verdrag tot bescherming van de Rechten van de Mens en de fundamentele vrijheden (hierna: het EVRM).42
De vrijheid van ondernemerschap is bovendien een uitwerking van het eerste lid van artikel 119 van het Verdrag betreffende de werking van de EU (hierna: VWEU), dat het beginsel van een openmarkteconomie met vrije mededinging definieert.43 Blijkens de Toelichting bij het
Handvest van de Grondrechten, beschermt artikel 16 Handvest i) de vrijheid om een
40 HvJ EG 12 juli 2005, C-154/04, ECLI:EU:C:2005:449, r.o. 126 (Alliance for Natural Health); HvJ EU 6 september
2012, C-544/10, ECLI:EU:C:2012:526 (Deutsches Weintor); HvJ EU 4 mei 2016, C‑477/14, ECLI:EU:C:2016:324 (Pillbox 38).
41 HvJ EG 14 mei 1974, C-4/73, ECLI:EU:C:1974:51, r.o. 14 (Nold); HvJ EG 16 januari 1979, C-150/78,
ECLI:EU:C:1979:4, r.o. 20 (Sukkerfabriken Nykøbing); HvJ EG 27 september 1979, C-230/78,
ECLI:EU:C:1979:216, r.o. 20 (Eridania); HvJ EG 5 oktober 1999, C-240/97, ECLI:EU:C:1999:479, r.o. 99 (Spanje/Commissie).
42 Alberdingk Thijm & De Vries, BIE 2015, p. 176; Toelichting bij het Handvest, p. 23.
43 Toelichting bij het Handvest, p. 23; Concl. A-G G.R.B. van Peursem, ECLI:NL:PHR:2015:1879, par. 2.4, bij HR
16
economische activiteit of handelsactiviteit uit te oefenen, ii) de contractsvrijheid, en iii) de vrije mededinging.44 Ook de vrije partnerkeuze in het economisch verkeer wordt gezien als
een onderdeel van de contractsvrijheid,45 net als de vrijheid om de prijs voor een verrichting
te bepalen.46
Een bekend arrest waar de vrijheid van ondernemerschap een doorslaggevende rol heeft gespeeld is het Sabam/Netlog-arrest.47 Het Hof van Justitie oordeelde in deze zaak dat een
gerechtelijk filtergebod het Belgische Netlog op hoge kosten zou jagen en daardoor zou leiden tot “ernstige aantasting van de vrijheid van ondernemerschap van de
hostingdienstverlener”.48
In het recentere UPC Telekabel-arrest overweegt hetzelfde Hof dat de vrijheid van
ondernemerschap het recht omvat om, binnen de grenzen van de aansprakelijkheid voor eigen handelingen, vrij te beschikken over de tot de onderneming ter beschikking staande
economische, technische en financiële middelen.49
3.1.2. Het recht op eigendom
Zoals gezegd wordt de vrijheid van ondernemerschap vaak samen met het in artikel 17 Handvest opgenomen recht op eigendom genoemd. Dit artikel luidt als volgt:
1. Eenieder heeft het recht de goederen die hij rechtmatig heeft verkregen, in
eigendom te bezitten, te gebruiken, erover te beschikken en te vermaken. Niemand mag zijn eigendom worden ontnomen, behalve in het algemeen belang, in de gevallen en onder de voorwaarden waarin de wet voorziet en mits het verlies tijdig op billijke wijze wordt vergoed. Het gebruik van de goederen kan bij wet worden geregeld, voor zover het algemeen belang dit vereist.
2. Intellectuele eigendom is beschermd.
44 Toelichting bij het Handvest, p. 23.
45 HvJ EG 10 juli 1991, gevoegde zaken C-90/90 en C-91/90, ECLI:EU:C:1991:303, r.o. 13 (Neu); HvJ EU 22
januari 2013, C-283/11, ECLI:EU:C:2013:28, r.o. 42-43 (Sky Österreich). Zie over contractsvrijheid ook Asser/Hartkamp & Sieburgh 6-III 2014/50.
46 HvJ EG 22 maart 2007, 437/04, ECLI:EU:C:2007:178, r.o. 51 (Commissie/België); HvJ EU 19 april 2012,
C-213/10, ECLI:EU:C:2012:215, r.o. 45 (F-Tex).
47 HvJ EU 16 februari 2012, C-360/10, ECLI:EU:C:2012:85, NJ 2012/480, m.nt. P.B. Hugenholtz (Sabam/Netlog). 48 HvJ EU 16 februari 2012, C-360/10, ECLI:EU:C:2012:85, r.o. 46, NJ 2012/480, m.nt. P.B. Hugenholtz
(Sabam/Netlog). Vergelijkbaar: HvJ EU 24 november 2011, C-70/10, ECLI:EU:C:2011:771, r.o. 48, NJ 2012/479, m.nt. P.B. Hugenholtz (Scarlet/Sabam).
17
De evenknie van dit artikel is te vinden in artikel 1 van het eerste aanvullend protocol bij het EVRM.50 Dit is van belang omdat het derde lid van artikel 52 Handvest bepaalt dat voor
zover de rechten uit het Handvest corresponderen met de rechten uit het EVRM, de inhoud en de reikwijdte van die rechten dezelfde zijn als die het EVRM hieraan toekent.51
Aangezien een website geen goed is, is het lastig om de eigenaar van een website te definiëren.52 De Hoge Raad oordeelde in een zaak waarin de mailserver van een
internetprovider werd gebruikt voor het op grote schaal versturen van ongevraagd e-mailberichten (‘spam’), dat de rechthebbende, dan wel eigenaar van een mailserver, het exclusieve recht heeft om zelf te bepalen hoe deze server kan worden gebruikt.53 Niet valt in
te zien waarom dit niet ook voor een websitehouder zou opgaan.
Bovendien bevatten websites doorgaans auteursrechtelijk beschermd materiaal, waardoor de websitehouder gelijk kan worden gesteld aan de eigenaar van het intellectueel eigendom dat zich op de website bevindt. Dit intellectueel eigendomsrecht betreft een recht met
vermogenswaarde en wordt derhalve beschermd door het recht op eigendom.54
Uit voorgaande kan worden geconcludeerd dat de websitehouder zijn verworven rechten op autonome wijze kan uitoefenen.55
3.2. De rechten van de internetgebruiker
In deze paragraaf worden de rechten van de internetgebruiker, zijnde het recht op toegang tot informatie en het recht op privacy behandeld.
3.2.1. Het recht op toegang tot informatie
De vrijheid van meningsuiting en het recht op toegang tot informatie is vastgelegd in artikel 11 Handvest. Het eerste lid van dit artikel luidt als volgt:
50 Toelichting bij het Handvest, p. 23.
51 Toelichting bij het Handvest, p. 33. Zie ook Alberdingk Thijm & De Vries, BIE 2015, p. 175. 52 Zie ook Engelfriet, Ius Mentis 6 oktober 2009.
53 HR 12 maart 2004, ECLI:NL:HR:2004:AN8483, r.o. 3.15-3.18, NJ 2009/549, m.nt. P.B. Hugenholtz
(XS4ALL/Ab.Fab).
54 Asser/Bartels & Van Mierlo 3-IV 2013/1; HvJ EU 22 januari 2013, C-283/11, ECLI:EU:C:2013:28, r.o. 34-35
(Sky Österreich).
18
Eenieder heeft recht op vrijheid van meningsuiting. Dit recht omvat de vrijheid een mening te hebben en de vrijheid kennis te nemen en te geven van informatie of ideeën, zonder inmenging van enig openbaar gezag en ongeacht grenzen.
De evenknie van dit artikel uit het Handvest is artikel 10 EVRM.56 Het ligt voor de hand dat
het recht om een mening te uiten, ook het recht omvat om informatie te vergaren, omdat dit essentieel is om een mening te kunnen vormen en bovendien de geuite mening een publiek verdiend.57 Daar waar in artikel 19 van het Internationaal verdrag inzake burgerrechten en
politieke rechten (hierna: IVBPR) de garingsvrijheid expliciet wordt genoemd,58 wordt de
garingsvrijheid impliciet ook door artikel 10 EVRM beschermd.59 Ook in artikel 19 van de
Universele Verklaring voor de Rechten van de Mens wordt het recht om inlichtingen en denkbeelden op te sporen en te ontvangen expliciet genoemd. Voor de Nederlandse
codificatie van de vrijheid van meningsuiting geldt dat ook in artikel 7 van de Grondwet het recht om inlichtingen te vergaren en te ontvangen besloten ligt.60
De ontvangstvrijheid wordt door Schuijt beschreven als het recht om ongehinderd informatie te ontvangen (krant, bibliotheek, televisie, internet) en actief informatie in te winnen
(interviews, opvragen van documenten, waarnemingen) dat eenieder toekomt.61 Het Europese
Hof voor de Rechten van de Rechten van de Mens (hierna: het EHRM) heeft het belang van de vrijheid van meningsuiting onderstreept door het te benoemen als een van de
basisvoorwaarden voor de vooruitgang van democratische samenlevingen en voor de ontwikkeling van elk individu.62
3.2.2. Het recht op privacy
Het recht op eerbiediging van het privéleven is opgenomen in artikel 7 Handvest en luidt als volgt:
56 Toelichting bij het Handvest, p. 21.
57 Schuijt 2003, p. 343; Schuijt 2006, p. 21-22, 30; Zuiderveen Borgesius e.a., EDPL 2017, p. 12.
58 Art. 19 lid 2 IVBPR luidt als volgt: “Een ieder heeft het recht op vrijheid van meningsuiting; dit recht
omvat mede de vrijheid inlichtingen en denkbeelden van welke aard ook te garen, te ontvangen en door te geven, ongeacht grenzen, hetzij mondeling, hetzij in geschreven of gedrukte vorm, in de vorm van kunst, of met behulp van andere media naar zijn keuze.”
59 Schuijt 2003, p. 345; EHRM 26 april 1979, ECLI:CE:ECHR:1979:0426JUD000653874, par. 65, NJ 1980/146,
m.nt. E.A. Alkema (Sunday Times); HR 2 september 2005, ECLI:NL:HR:2005:AS6926, r.o. 3.3.2, NJ 2006/291, m.nt. E.J. Dommering.
60 Kamerstukken II 1975/76, 13872, 3, p. 33. 61 Schuijt 2003, p. 343.
19
Eenieder heeft recht op eerbiediging van zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn communicatie.
Dit grondrecht is tevens opgenomen in artikel 8 EVRM.63 Naast privacy speelt ook de
bescherming van persoonsgegevens van artikel 8 Handvest een belangrijke rol: 1. Eenieder heeft recht op bescherming van zijn persoonsgegevens.
2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht van inzage in de over hem verzamelde gegevens en op rectificatie daarvan.
3. Een onafhankelijke autoriteit ziet erop toe dat deze regels worden nageleefd. Dit laatste recht is niet expliciet opgenomen in het EVRM, maar is gebaseerd op artikel 286 van het Verdrag tot oprichting van de Europese Gemeenschap64 en op Richtlijn 95/46/EG.65
Het recht op bescherming van persoonsgegevens van artikel 8 Handvest staat in nauw verband met het recht op eerbiediging van het privéleven van artikel 7 Handvest,66 maar een
schending van het ene recht hoeft niet noodzakelijkerwijs een schending van het andere recht te betekenen.67
De in artikel 7 en 8 van het Handvest opgenomen grondrechten zijn door de Uniewetgever nader uitgewerkt in verschillende wetgevingshandelingen welke in hoofdstuk 4 zullen worden behandeld.
3.3. Horizontale en absolute werking
Doordat artikel 6 van het Verdrag van de Europese Unie (hierna: VEU) bepaalt dat het
Handvest dezelfde juridische waarde heeft als de verdragen van de EU, hebben de bepalingen uit het Handvest voorrang op het secundaire Unierecht en het nationale recht, en kunnen de bepalingen uit het Handvest directe, horizontale werking hebben.68 Voor de in dit hoofdstuk
63 Toelichting bij het Handvest, p. 20. 64 Thans: art. 16 VWEU.
65 Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de
bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Zie ook Toelichting bij het Handvest, p. 20.
66 Alberdingk Thijm & De Vries, BIE 2015, p. 176; HvJ EU 9 november 2010, C-92/09, ECLI:EU:C:2010:662, r.o.
47 (Schecke en Eifert/Land Hessen); Roosendaal, P&I 2011, p. 126.
67 Sloot, van der, P&I 2011, p. 64.
20
genoemde grondrechten is dat ook daadwerkelijk het geval.69 Volgens Hartkamp & Sieburgh
zijn grondrechten positiveringen van beginselen die in onze samenleving van zo wezenlijk belang zijn, dat zij niet alleen een rol behoren te spelen in verticale verhoudingen (tussen burgers en de overheid), maar ook in horizontale verhoudingen (tussen burgers onderling).70
Net als bij de meeste grondrechten het geval is, heeft geen van de in dit hoofdstuk behandelde grondrechten absolute werking.71
69 Kortmann 2016, p. 480; Schuijt 2003, p. 355; EHRM 16 maart 2000, ECLI:CE:ECHR:2000:0316JUD002314493,
r.o. 43 (Özgür Gündem/Turkey); EHRM 16 december 2008, ECLI:CE:ECHR:2008:1216JUD002388306, AB 2009/286, m.nt. T. Barkhuysen en M.L. van Emmerik (Mustafa en Tarzibachi/Zweden); HvJ EU 13 mei 2014, C-131/12, ECLI:EU:C:2014:317, r.o. 97 (Google Spain).
70 Asser/Hartkamp & Sieburgh 6-III 2014/59. Zie ook Alberdingk Thijm & De Vries, BIE 2015, p. 176.
71 Vrijheid van ondernemerschap: Art. 52 Handvest; HvJ EU 22 januari 2013, C-283/11, ECLI:EU:C:2013:28, r.o.
45 (Sky Österreich); HvJ EU 14 oktober 2014, C-611/12, ECLI:EU:C:2014:2282, r.o. 49 (Giordano/Commissie). Recht op eigendom: Art. 52 Handvest; HvJ EG 14 mei 1974, C-4/73, ECLI:EU:C:1974:51, r.o. 14 (Nold); HvJ EU 24 november 2011, C-70/10, ECLI:EU:C:2011:771, r.o. 43, NJ 2012/479, m.nt. P.B. Hugenholtz (Scarlet/SABAM); HvJ EU 6 september 2012, C-544/10, ECLI:EU:C:2012:526, r.o. 54 (Deutsches Weintor). Toegang tot informatie: Art. 52 Handvest; Art. 10 lid 2 EVRM; Schuijt 2003, p. 352;
EHRM 26 maart 1987, ECLI:CE:ECHR:1987:0326JUD000924881, par. 74 (Leander vs. Zweden).
Recht op privacy: Art. 52 Handvest; art. 8 lid 2 EVRM; HvJ EU 9 november 2010, C-92/09, ECLI:EU:C:2010:662, r.o. 48-52 (Schecke en Eifert/Land Hessen).
21
4.
EUROPESE PRIVACYWETGEVING
De relevante secundaire Europese privacywetgeving bestaat uit twee onderdelen. Ten eerste een instrument dat de verwerking van persoonsgegevens in zijn algemeenheid beschermt, en tweede een instrument dat de privacy in de online-omgeving beschermt. Beide instrumenten komen in dit hoofdstuk aan bod.
4.1. De Algemene verordening gegevensbescherming (AVG)
In het vorige hoofdstuk is opgemerkt dat het in het Handvest opgenomen grondrecht op bescherming van persoonsgegevens mede is gebaseerd op Richtlijn 95/46/EG. Deze Europese richtlijn zal op 25 mei 2018 worden vervangen door de Algemene verordening
gegevensbescherming (hierna: de AVG).72 In deze scriptie zal deze verordening zoveel
mogelijk als uitgangspunt worden genomen.
Wanneer er informatie wordt bijgehouden ten aanzien van het gedrag van een individu op het internet, is er sprake van een verwerking van persoonsgegevens. Het begrip
persoonsgegevens dient immers ruim te worden uitgelegd.73 Bovendien bepaalt artikel 22
AVG dat profilering niet is toegestaan wanneer iemand op uitsluitend geautomatiseerde wijze wordt onderworpen aan een besluit waar rechtsgevolgen aan zijn verbonden of wanneer een besluit de betrokkene in aanmerkelijke mate treft.74 Het is nog niet helemaal duidelijk wat de
wetgever met deze formulering bedoelt te zeggen, maar gezien de hoeveelheid informatie die kan worden verzameld is de stelling dat profilering de betrokkene in aanmerkelijke treft goed verdedigbaar.75
72 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de
bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 94/46/EG. Zie voor de inwerkingtreding art. 99.
73 Artikel 29-Werkgroep 2007, WP 136, p. 4; Artikel 29-Werkgroep 2010, WP 171, p. 9; Artikel 29-Werkgroep
2010, WP 188, p. 17; Sloot, van der, P&I 2011, p. 69; Zuiderveen Borgesius, IEEE Security & Privacy 2013, p. 82-85; Zuiderveen Borgesius, TvC 2016; HvJ EU 20 december 2017, C‑434/16, ECLI:EU:C:2017:994, r.o. 34-35 (Nowak). Anders: ‘Your Online Choices. A Guide to Online Behavioural Advertising, About’, IAB Europe, www.youronlinechoices.com/uk/about-behavioural-advertising (geraadpleegd op 10 november 2017).
74 Zie ook overweging 71 bij de AVG.
22
Ook het EHRM is van oordeel dat informatie die wordt afgeleid uit het in kaart brengen van het internetgebruik van een persoon onder de bescherming van de eerbieding van het
privéleven van artikel 8 EVRM valt.76
De AVG vereist dat er voor het verwerken van persoonsgegevens een rechtmatige grondslag bestaat.77 In het geval van behavioural targeting zal er enkel een juridische grondslag kunnen
worden gevonden in het verkrijgen van een rechtsgeldige toestemming.78
De AVG heeft onder meer tot doel burgers meer controle over hun persoonsgegevens te geven, hetgeen essentieel is voor de bescherming van hun in paragraaf 3.2 behandelde grondrechten.79
4.1.1. Toestemming
In artikel 2(h) van Richtlijn 95/46/EG wordt toestemming van de betrokkene gedefinieerd als “elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene
aanvaardt dat hem/haar betreffende persoonsgegevens worden verwerkt”. In de AVG wordt toestemming van de betrokkene gedefinieerd als “elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt”.80 Richtlijn 95/46/EG stelt dat het geven van toestemming moet bestaan uit een
wilsuiting81 en de AVG specificeert deze wilsuiting als een verklaring of een
ondubbelzinnige, actieve handeling.82
Het valt buiten de reikwijdte van deze scriptie om uitgebreid stil te staan bij alle voorwaarden die aan toestemming worden gesteld, maar duidelijk is dat de Uniewetgever hoge eisen stelt aan het geven van een rechtsgeldige toestemming. In paragraaf 6.3 zal nader worden
ingegaan op twee voorwaarden waaraan een rechtsgeldig gegeven toestemming moet
76 EHRM 3 april 2007, ECLI:CE:ECHR:2007:0403JUD006261700, par. 41-44 (Copland/UK). 77 Art. 7 AVG.
78 Artikel 29-Werkgroep 2013, WP 203, p. 46; Artikel 29-Werkgroep 2014, WP 217, p. 47; Zuiderveen
Borgesius, P&I 2011, par. 3; Zuiderveen Borgesius, International Data Privacy Law 2015; Sloot, van der, P&I 2011, p. 69. Zie ook de definitie van toestemming in artikel 4(11) AVG.
79 Overweging 7 bij de AVG; Vries, de & Goudsmit, NJB 2016/1077, par. 3; Artikel 29-Werkgroep 2017, WP 259,
p. 9;
80 Art. 4(11) AVG. Zie voor aanvullende voorwaarden art. 7 AVG. Zie ook Artikel 29-Werkgroep 2017, WP 259,
par. 3.
81 Art. 2(h) Richtlijn 95/46/EG. 82 Art. 4(11) AVG.
23
voldoen, namelijk het vereiste van een vrijelijk gegeven toestemming en het vereiste van specificiteit en geïnformeerdheid.
4.2. De e-Privacyrichtlijn
Privacy in de online-omgeving wordt beschermd door de e-Privacyrichtlijn.83 Deze richtlijn
die strekt tot volledige eerbiediging van de in de artikelen 7 en 8 bedoelde rechten van het Handvest,84 zal in de nabije toekomst worden vervangen door de e-Privacyverordening.85
Omdat de tekst van deze nieuwe verordening nog niet is vastgesteld, zal in deze scriptie worden uitgegaan van de huidige richtlijn.
Zoals is vermeld in paragraaf 2.4, wordt bij tracking gebruik gemaakt van informatie die is opgeslagen in de eindapparatuur van de internetgebruikers. Uit de e-Privacyrichtlijn volgt dat deze eindapparatuur en de daarin opgeslagen informatie, deel uitmaken van de persoonlijke levenssfeer van de internetgebruiker en daarom dienen te worden beschermd op grond van het EVRM.86 Om deze reden bepaalt het derde lid van artikel 5 van de e-Privacyrichtlijn dat
de gebruiker zijn toestemming moet verlenen alvorens informatie op zijn eindapparatuur mag worden geraadpleegd of worden geplaatst.87
In Duitsland ging het hoogste constitutionele Hof in 2008 een stap verder en definieerde een geheel nieuw grondrecht dat de vertrouwelijkheid en integriteit van informatietechnologische systemen beoogt te beschermen.88 Groothuis en De Jong menen dat dit grondrecht – dat van
het grondwettelijke algemene persoonlijkheidsrecht is afgeleid – ook van toepassing is op gegevens die zijn vastgelegd op de apparatuur van een internetgebruiker en die iets onthullen
83 Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking
van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische
communicatie. Deze richtlijn is in 2009 gewijzigd bij Richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009.
84 Overweging 2 bij de e-Privacyrichtlijn.
85 De Europese Commissie heeft daartoe het volgende voorstel gedaan: Voorstel voor een verordening van het
Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG, COM(2017)10 final.
86 Overweging 24 bij de e-Privacyrichtlijn.
87 Art. 5(3) van de e-Privacyrichtlijn wordt ook wel de Europese cookiebepaling genoemd.
88 BverfG 27 februari 2008, 1 BvR 370/07 en 1 BvR 595/07, par. 181, Mediaforum 2008, p. 223-235, m.nt. W.
24
over zijn gedrag en zijn bezoek aan websites.89 Diverse commentatoren zijn van mening dat
een dergelijk grondrecht ook in Nederland een nuttige aanvulling zou zijn.90
De e-Privacyrichtlijn verlangt geen toestemming voor het plaatsen of lezen van informatie op de eindapparatuur van de gebruiker, indien dit strikt noodzakelijk is voor de levering van een door de gebruiker gevraagde dienst.91 Hierbij kan worden gedacht aan een cookie die de
inhoud van een winkelwagentje bijhoudt. Het plaatsen of uitlezen van informatie ten behoeve van behavioural targeting is echter niet strikt noodzakelijk voor de levering van de gevraagde dienst.92
Hoewel de e-Privacyrichtlijn ook aanvullende bepalingen kent,93 wordt de richtlijn gezien als
een lex specialis van Richtlijn 95/46/EG en van diens opvolger, de AVG.94
Voor de juiste uitleg van het toestemmingsbegrip verwijst de e-Privacyrichtlijn naar Richtlijn 95/46/EG.95 Het voorstel voor een nieuwe e-Privacyverordening verwijst voor de betekenis
en de voorwaarden die worden gesteld aan het geven van toestemming naar de AVG.96 Een
mededeling dat een website cookies gebruikt, of een cookie-banner waarmee de gebruiker toestemming geeft door de website te blijven gebruiken, voldoen niet aan de eis van een ondubbelzinnige actieve handeling.97
De Nederlandse wetgever heeft de cookiebepaling uit de e-Privacyrichtlijn geïmplementeerd in artikel 11.7a van de Telecommunicatiewet (Tw).98 De wet die dit artikel opnam in de
Telecommunicatiewet wordt ook wel de Nederlandse cookiewet of cookiebepaling
genoemd.99 Er dient echter op te worden gewezen dat zowel de Nederlandse als de Europese
cookiebepaling zich niet beperken tot cookies, maar zich uitstrekken tot alle vormen van
89 Groothuis & De Jong, P&I 2010, p. 282.
90 Groothuis & De Jong, P&I 2010; Hert, de, De Vries & Gutwirth, Computerrecht 2009/189, par. 4;
Steenbruggen, Mediaforum 2008, p. 234-235. Zie ook Sloot, van der, TBS&H 2017.
91 Art. 5(3) e-Privacyrichtlijn.
92 Kamerstukken II 2010/11, 32549, 3, p. 78-79; Moerel & Prins 2016, p. 67. 93 Aldus ook art. 1(2) e-Privacyrichtlijn.
94 Artikel 29-Werkgroep 2010, WP 171, par. 3.2.2; Zuiderveen Borgesius, International Data Privacy Law 2015,
p. 26-30.
95 Art. 2(f) e-Privacyrichtlijn.
96 Art. 9(1) COM(2017)10 final. Zie ook Artikel 29-Werkgroep 2017, WP 259, p. 5.
97 Artikel 29-Werkgroep 2017, WP 259, p. 15; Zuiderveen Borgesius, P&I 2011, par. 3.3; Leenes 2015, p. 37-38.
Zie ook IAB Europe 2017 (Consent Working Paper), p. 13.
98 Kamerstukken II 2010/11, 32549, 3.
99 Overigens bepaalt art. 11.7a lid 4 Tw, anders dan de e-Privacyrichtlijn, dat wanneer toegang tot de
eindapparatuur van de gebruiker wordt verschaft met als doel om gegevens over het gebruik van verschillende diensten te verzamelen (lees: tracking) deze handeling wordt vermoed een verwerking van persoonsgegevens te zijn.
25
informatie die op de eindapparatuur van de gebruiker wordt opgeslagen of uitgelezen.100 Zo
valt het gebruik van fingerprinting101 binnen het bereik van de cookiebepaling.102
De slotsom van dit hoofdstuk is dat het volgen van het gedrag van een internetgebruiker een verwerking van persoonsgegevens is, waarvoor toestemming is vereist. Meestal zal daarbij gebruik worden gemaakt van informatie die wordt of reeds is opgeslagen op de
eindapparatuur van de internetgebruiker, waarvoor eveneens toestemming is vereist.103
100 Artikel 29-Werkgroep 2012, WP 194, p. 2. 101 Zie paragraaf 2.4.
102 Artikel 29-Werkgroup 2014, WP 224; Kamerstukken I 2011/12, 32549, G, p. 5; Overweging 20 bij
COM(2017)10 final.
103 Zuiderveen Borgesius, International Data Privacy Law 2015, p. 26-30; Artikel 29-Werkgroep 2017, WP 259,
26
5.
VORMEN VAN VOORWAARDELIJKE TOEGANG
In paragraaf 2.5 is uiteengezet dat websitehouders voorwaarden kunnen stellen aan het verkrijgen van toegang tot een website om zo hun bron van inkomsten veilig te stellen. Om de door de websitehouder gestelde voorwaarden af te dwingen, kan er een virtuele muur worden opgetrokken waarachter de werkelijke website zich bevindt. Pas als de
websitebezoeker de gestelde voorwaarden accepteert, wordt de muur doorbroken en wordt toegang tot de website verkregen.
De e-Privacyrichtlijn bevestigt dat toegang tot specifieke inhoud van een website aan de voorwaarde kan worden verbonden dat het gebruik van een cookie of soortgelijke
voorziening wordt aanvaard.104 Onduidelijk is echter of de Uniewetgever met de formulering
“specifieke inhoud” heeft bedoeld om voorwaardelijke toegang tot een gehele website te verbieden.105
In dit hoofdstuk zullen de meest voorkomende walls worden behandeld en zal er voor elk type wall een nadere beschouwing worden gegeven. De in dit hoofdstuk behandelde walls zijn de pay-wall, de tracking-wall, de adblocker-wall en overige walls. Het hoofdstuk zal worden afgesloten met een paragraaf over het verkrijgen van informatie over de
eindapparatuur van de internetgebruiker die benodigd is voor het functioneren van walls.
5.1. De pay-wall
De pay-wall (ook wel betaalmuur) is de oudste en meest overzichtelijke wall. De voorwaarde die een pay-wall stelt aan het kunnen bezoeken van een website is de betaling van een
financiële vergoeding. Dat kan een eenmalige vergoeding zijn, maar meestal dient er een abonnement te worden afgesloten.106
Er zijn 3 verschillende soorten pay-walls te onderscheiden.107 Daar waar een hard pay-wall
de toegang tot de gehele website blokkeert, wordt er bij gebruik van een soft pay-wall ook gratis content aangeboden. Deze gratis content bestaat vaak uit een inleiding of een samenvatting en is bedoeld om de bezoeker te verleiden om te betalen voor het volledige
104 Overweging 25 bij de e-Privacyrichtlijn.
105 Zie ook Artikel 29-Werkgroep 2013, WP 208, p. 5; Zuiderveen Borgesius e.a., EDPL 2017, p. 8; Kamerstukken
II 2013/14, 33902, 3, p. 15; Artikel 29-Werkgroep 2006, WP 126, p. 3; Kosta 2011, p. 252.
106 Pickard & Williams, Digital Journalism 2014, p. 195.
27
artikel dat zich achter de wall bevindt. Steeds vaker worden zogenaamde metered pay-walls gebruikt. Deze pay-pay-walls staan het gebruik van een bepaalde hoeveelheid content over een bepaalde periode toe. Zo staan de websites van de Nederlandse dagbladen NRC en Trouw toe dat er maandelijks vijf artikelen zonder betaling kunnen worden geraadpleegd.108
De lezer wordt gevraagd om een abonnement af te sluiten op het moment dat hij meer artikelen wenst te raadplegen.
Het zijn vooral landelijke dagbladen die experimenten met pay-walls, om zo de teruglopende inkomsten uit advertenties en het afnemende aantal abonnees te compenseren.109 De pay-wall
wordt door sommigen als de mogelijke redding van de journalistiek beschouwd,110 maar niet
elk experiment met een pay-wall is succesvol.111
5.1.1. Controverse
Omdat internetgebruikers van oudsher gewend zijn informatie op internet gratis tot zich te kunnen nemen, werd de introductie van de pay-wall met veel scepsis begroet.112 Als immers
een van de vele websites waar nieuws is te vinden een pay-wall zou oprichten, dan zouden de gebruikers toch simpelweg van een alternatief gebruik gaan maken? Maar de New York Times bewees in 2011 dat een (metered) pay-wall toch succesvol kan zijn.113 Vele kranten
hebben sindsdien dit voorbeeld gevolgd. Het credo dat informatie op internet gratis moet zijn omdat mensen er toch niet voor willen betalen, lijkt te zijn vervangen door het credo dat kwalitatief hoogstaande informatie nou eenmaal geld kost.114
5.2. De tracking-wall
Wellicht de bekendste wall is de tracking-wall, oftewel de cookie-wall of cookiemuur.115 Bij
een tracking-wall verkrijgt de websitebezoeker alleen toegang tot de website, indien hij toestemming geeft om te worden gevolgd, zodat adverteerders hem gerichte advertenties kunnen tonen. Omdat dit online volgen vaak geschiedt door middel van het plaatsen en lezen van cookies, wordt doorgaans tevens toestemming gevraagd om informatie te mogen plaatsen
108 Zie nrc.nl en trouw.nl.
109 Pavlik, Digital Journalism 2013, p. 189.
110 Feola, Adweek 18 april 2011.; Pavlik, Digital Journalism 2013, p. 186; Sneed, U.S. News 9 april 2013. 111 Pickard & Williams, Digital Journalism 2014, p. 206.
112 Helberger 2013, par. 5; Troupson 2015, p. 331-332.
113 Blanken, De Nieuwe Reporter 1 april 2013; Troupson 2015, p. 331-332. 114 Sneed, U.S. News 9 april 2013.
115 Een tracking-wall is een ruimer begrip dan een cookie-wall. De meest tracking-walls zijn tevens
cookies-walls, omdat ze gebruik maken van cookies. Een tracking-wall kan echter ook andere technieken gebruiken (zie paragraaf 2.4).
28
en lezen op de eindapparatuur van de internetgebruiker.116 Hoewel internetgebruikers deze
toegang vaak als gratis ervaren, wordt er in feite betaald met het prijsgeven van privacy.117
Ook adverteerders of sociale media die cookies plaatsen op de eindapparatuur van de internetgebruiker hebben daar toestemming voor nodig.118 Omdat deze partijen slechts een
deel van een websitepagina van de bezochte website invullen, zijn zij niet zelf in staat om toestemming aan de websitebezoeker te vragen. Daarom vraagt de bezochte website niet alleen toestemming om zelf het gedrag van de websitebezoeker te mogen volgen, maar wordt deze toestemming ook namens derden gevraagd.119 Deze derde partijen zijn niet
gespecificeerd, omdat vanwege het veel gehanteerde systeem van Real Time Bidding120 niet
is vast te stellen welke advertenties kunnen worden getoond.
5.2.1. Controverse
Nu de Uniewetgever doende is met opstellen van een nieuwe e-Privacyverordening,121 is de
discussie over het gebruik van tracking-walls nieuw leven ingeblazen. De bezwaren richten zich op de gebrekkige toestemming, inbreuk op privacy, en op het belang van het internet voor de vrijheid van meningsuiting, inclusief het recht op toegang tot informatie.122
De Artikel 29-Werkgroep is van mening dat de ‘take it or leave it’-keuzes die tracking-walls bieden, zelden aan de criteria die Richtlijn 95/46/EG of de AVG aan het geven van
toestemming stelt voldoet.123 De internetgebruiker wordt immer geen vrije keuze geboden,
omdat zonder het geven van toestemming de website niet kan worden bezocht.124 De
toestemming voldoet, aldus de Werkgroep, niet aan het toestemmingsvereiste van artikel 2(h) van Richtlijn 95/46/EG en van artikel 4(11) van de AVG.125 Bovendien stelt overweging 42
van de AVG dat toestemming niet mag worden geacht vrijelijk te zijn verleend indien de betrokkene zijn toestemming niet kan weigeren zonder nadelige gevolgen.126 Overweging 43
116 Zie ook Helberger 2013, p. 15.
117 Dommering 2010, p. 12; Zuiderveen Borgesius 2014, p. 264-267; Prins, NJB 2016. 118 Third-party cookies, zie paragraaf 2.4.
119 Als voorbeeld zijn in bijlage I de cookiemeldingen van de websites van NU.nl, RTL.nl, NPO.nl en
Marktplaats.nl opgenomen (laatst geraadpleegd 12 december 2017).
120 Zie paragraaf 2.2. 121 Zie paragraaf 4.2.
122 Artikel 29-Werkgroep 2010, WP 171; Zuiderveen Borgesius, P&I 2011; Roosendaal, P&I 2011; Sloot, van der,
P&I 2011; Zuiderveen Borgesius e.a., EDPL 2017.
123 Artikel 29-Werkgroep 2016, WP 240, p. 16.
124 Zie ook brief van Artikel 29-Werkgroep aan WhatsApp van 24 oktober 2017, p. 2. 125 Artikel 29-Werkgroep 2011, WP 187, p. 12.
29
voegt hieraan toe dat het verlenen van een dienst niet afhankelijk mag zijn van toestemming die niet noodzakelijk is voor de uitvoering van die dienst.127
In haar opinie over de voorgestelde e-Privacyverordening, stelt de Artikel 29-Werkgroep een compleet verbod op tracking-walls voor.128 De Werkgroep verwijst hierbij naar de
eerdergenoemde bezwaren ten aanzien van de verleende toestemming, maar noemt expliciet het belang van het recht op privacy en de vrijheid van meningsuiting, waaronder het recht op toegang tot informatie. Volgens het samenwerkingsverband van Europese
privacywaakhonden mag toegang tot informatie niet voorwaardelijk worden gemaakt op grond van het accepteren van een inbreuk op privacy door tracking-technieken toe te staan. De Werkgroep onderbouwt haar stelling met een verwijzing naar de Eurobarometer enquête over e-privacy, dat concludeert dat twee derde van de respondenten het onacceptabel vindt dat hun online activiteiten worden gevolgd in ruil voor onbeperkte toegang tot bepaalde websites.129
Ook de Europese toezichthouder voor gegevensbescherming (EDPS) is van mening dat toegang tot websites niet afhankelijk mag zijn van een afgedwongen toestemming en staat eveneens een verbod op tracking-walls voor.130 De EDPS wijst op privacy risico’s en het
gevaar dat gebruikers de controle over hun persoonsgegevens kwijtraken, hetgeen de AVG nou net probeert te voorkomen.131 Net als de Artikel 29-Werkgroep is de EDPS van mening
dat toestemming bij het gebruik van tracking-walls niet vrij wordt gegeven.132 Omdat het,
aldus de EDPS, van cruciaal belang is dat gebruikers een dienst moeten kunnen gebruiken zonder te worden gevolgd, beveelt de toezichthouder een volledig en expliciet verbod op tracking-walls aan.
EDRi, de digitale burgerrechtenorganisatie voor Europa, is eveneens van mening dat
tracking-walls moeten worden verboden, met name wanneer het gaat om diensten waar geen reëel alternatief voor bestaat of diensten die worden gefinancierd uit publieke middelen.133
127 Zie ook art. 7(4) AVG en Artikel 29-Werkgroep 2017, WP 259, par. 3.1.2. 128 Artikel 29-Werkgroep 2017, WP 247, p. 15.
129 Flash Eurobarometer 443. Zie ook Zuiderveen Borgesius e.a., EDPL 2017, par. IV. 130 EDPS 2017, p. 10, 16-17.
131 Zie paragraaf 4.1. 132 EDPS 2017, p. 17.
133 EDRi 2017 (Position on the proposal), p. 3-4; EDRi 2017 (Proposal for amendments), p. 28. In de
Nederlandse Telecommunicatiewet is overigens per 11 maart 2015 al een verbod op tracking-walls
opgenomen voor diensten die worden gefinancierd uit publieke middelen. Zie hiervoor art. 11.7a lid 5 Tw; Wet van 4 februari 2015 tot wijziging van de Telecommunicatiewet (wijziging artikel 11.7a), Stb. 2015, 101 en Kamerstukken II 2014/15, 33902, 8 (Amendement-Klever).
30
De Europese consumentenorganisatie BEUC beveelt eveneens een expliciet verbod op tracking-walls aan.134
Daartegenover staan de aanbevelingen vanuit de advertentie-industrie. IAB Europe verwijst naar de aan het begin van dit hoofdstuk aangehaalde overweging 25 van de e-Privacyrichtlijn, waarin wordt overwogen dat aan toegang tot specifieke inhoud van een website de
voorwaarde kan worden verbonden dat een cookie of soortgelijke voorziening, indien
gebruikt voor een legitiem doel, bewust wordt aanvaard.135 IAB Europe beveelt, kort gezegd,
aan dat deze bepaling in de nieuwe e-Privacyverordening wordt gehandhaafd. Indien deze aanbeveling niet zou worden overgenomen, zou dit de toekomst van internetdiensten die gefinancierd worden door advertenties, in gevaar brengen. Dit zou, aldus IAB Europe, leiden tot een substantiële daling in kwantiteit en kwaliteit van gratis diensten en/of een toename van het gebruik van pay-walls bij diensten die voorheen gratis waren.136 De
belangenbehartiger beveelt het gebruik van wat zij ‘consent walls’ noemt zelfs aan.137
De European Association of Communications Agencies (EACA) wijst op het belang van gerichte advertenties en dus op het belang van tracking.138 Tot slot waarschuwt AmCham EU,
een organisatie die opkomt voor de belangen van Amerikaanse bedrijven die in Europa actief zijn, dat als websites hun diensten niet afhankelijk mogen maken van het verkrijgen van toestemming voor het tonen van advertenties of voor gegevensverwerking, dit een ongekende inmenging in de vrijheid van meningsuiting zou betekenen.139
5.3. De adblocker-wall
De adblocker-wall is een relatief nieuw fenomeen. Een adblocker is in de basis een
browserextensie (ook wel een plugin genoemd) die advertenties blokkeert, zodat advertenties niet langer zichtbaar zijn voor de internetgebruiker.140 Een adblocker-wall verschaft alleen
toegang tot de website indien de bezoeker geen adblocker gebruikt waardoor de
websitehouder in staat is inkomsten te genereren met de verkoop van advertentieruimte.141
134 BEUC 2017, p. 9.
135 IAB Europe 2017 (proposal for an ePrivacy Regulation), p. 4. Zie ook IAB Europe 2017 (Consent Working
Paper), p. 8-9.
136 IAB Europe 2017 (proposal for an ePrivacy Regulation), p. 6. 137 IAB Europe 2017 (Consent Working Paper), p. 13-14. 138 EACA 2017.
139 AmCham EU 2017, p. 9. 140 Wills & Uzunoglu 2016. 141 Barbacovi 2017, p. 276-277.
31
De meeste mensen die een adblocker gebruiken zeggen dit te doen omdat zij zich ergeren aan (opdringerige) advertenties, maar ook privacybescherming of bescherming tegen
kwaadaardige software worden als redenen genoemd om een adblocker te gebruiken.142
Adblockers bestaan al enige tijd,143 maar in 2015 neemt het gebruik ervan een hoge vlucht
met als consequentie dat websitehouders hun omzet uit advertenties zien dalen.144
Omdat het tonen van advertenties vaak door advertentienetwerken wordt gebruikt om het online gedrag van internetgebruikers te volgen (tracking),145 is de functionaliteit van de
meeste adblockers uitgebreid om niet alleen advertenties te blokkeren, maar worden ook technieken geblokkeerd waarmee het online gedrag van internetgebruikers kan worden gevolgd.146
Al vanaf 2007 komt het veelvuldig voor dat advertenties worden gebruikt voor de
verspreiding van virussen en andere malware.147 Het verspreiden van kwaadaardige software
via advertenties wordt malvertising genoemd.148 Met enige regelmaat worden in binnen- en
buitenland meldingen gedaan van malvertising.149
Recentelijk wordt er steeds vaker melding gemaakt van malvertising die geen kwaadaardige software probeert te installeren, maar die de rekenkracht van de eindapparatuur van de internetgebruiker gebruikt om cryptovaluta (digitaal geld, zoals de Bitcoin) mee te delven (cryptomining).150 Het heimelijk delven van cryptovaluta wordt ook wel cryptojacking
genoemd.151 Cryptomining wordt gezien als een alternatieve bron van inkomsten.152
Leveranciers van adblockers spelen in op deze ontwikkeling door ook cryptominingsoftware te blokkeren.153
142 Pagefair 2017, p. 12; KPMG 2016, p. 3-4; Storey e.a. 2017, p. 2; IAB Nederland 2015, p. 23; Barbacovi 2017,
p. 274.
143 Dunn, Los Angeles Times 2 maart 1999.
144 ‘Websites worstelen steeds meer met adblockers’, NOS 10 september 2015, nos.nl; Clifford & Verdoodt
2016, p. 6; Barbacovi 2017, p. 273.
145 Zie paragraaf 2.4.
146 Tjong Tjin Tai 2016, p. 285; Zuiderveen Borgesius e.a., EDPL 2017, p. 6.
147 Walbesser, Intell. Prop. & Tech. L.J. 2011, p. 19. Malware staat voor malicious software (kwaadaardige
software).
148 Sood & Enbody, Computer Fraud & Security 2011; Dwyer, JISAR 2017, p. 29-37. 149 Hern, The Guardian 16 maart 2016; Goodin, Ars Technica 6 december 2016.
150 Goodin, Ars Technica 30 oktober 2017; Voorst, van, Tweakers 13 november 2017; Goodin, Ars Technica 29
november 2017.
151 Schellevis, NOS 14 november 2017; Osborne, ZDNet 13 december 2017. 152 Engelfriet, Ius Mentis 28 september 2017.
32
Cryptojacking is onder de huidige e-Privacyrichtlijn niet toegestaan, omdat de
cryptominingsoftware zonder toestemming het geheugen van de eindapparatuur van de internetgebruiker gebruikt.154 Het voorstel voor een nieuwe e-Privacyverordening verbiedt
niet alleen het ongevraagde gebruik van de opslagcapaciteit van de eindapparatuur van de internetgebruiker, maar ook het ongevraagde gebruik van de rekenkracht.155
Dat malvertising moet worden gezien als een ernstige bedreiging volgt uit het Cybersecuritybeeld 2016 van het Nationaal Cyber Security Centrum (NCSC), het
expertisecentrum voor cybersecurity dat valt onder het Ministerie van Veiligheid en Justitie. Het rapport vermeldt dat advertentienetwerken de inhoud van advertenties niet volledig controleren en dat daardoor advertentienetwerken nog niet in staat zijn gebleken om malvertising het hoofd te bieden.156 Volgens het Cybersecuritybeeld 2017 zijn er in
Nederland minder gevallen van malvertising gemeld, terwijl wereldwijd het aantal meldingen blijft groeien.157
Het bestrijden van malvertising is complex, omdat de websitehouder en de adverteerder vaak geen directe relatie met elkaar hebben.158 Een websitehouder biedt zijn advertentieruimte
immers vaak aan een advertentienetwerk aan en verliest daarmee de controle over wie er advertenties op zijn website tonen. Hierdoor kan het gebeuren dat gerenommeerde websites zoals de websites van De Telegraaf, NU.nl, en Marktplaats advertenties tonen die
kwaadaardige software proberen te installeren.159
Zoals gezegd probeert een adblocker-wall te achterhalen of een websitebezoeker gebruik maakt van een adblocker. Indien dit het geval is, blokkeert een adblocker-wall de toegang tot de website. IAB Nederland adviseert echter om de toegang tot de website niet te blokkeren, maar om op een prominente wijze een tekst te tonen waarin een moreel beroep op de
websitebezoeker wordt gedaan om de adblocker voor de bezochte website uit te schakelen (te ‘whitelisten’).160
154 Art. 5(3) e-Privacyrichtlijn. 155 Art. 8(1) COM)2017) 10 final.
156 Cybersecuritybeeld Nederland 2016, p. 10. Zie ook bijgaande brief: Kamerstukken II 2015/16, 26643, 420, p.
3.
157 Cybersecuritybeeld Nederland 2017, p. 28. 158 Zie ook paragraaf 2.2.
159 Cybersecuritybeeld Nederland 2016, p. 18.
160 IAB Nederland 2016. Zo toont de website van NU.nl de volgende banner (laatst geraadpleegd 15 december
2017): “Beste bezoeker, Wij zien dat u een adblocker gebruikt waardoor u alleen advertenties ziet die door uw adblocker worden goedgekeurd. Dit vinden wij jammer, want NU.nl is mede dankzij onze advertenties gratis