De Algemene verordening gegevensbescherming : de tegenovergestelde belangen van consumenten en bedrijven bij de bescherming van persoonsgegevens

De Algemene verordening gegevensbescherming: de

tegenovergestelde belangen van consumenten en bedrijven

bij de bescherming van persoonsgegevens

Dominic Pinkney Juli 2014

De Algemene verordening gegevensbescherming: de tegenovergestelde belangen van consumenten en bedrijven bij de bescherming van persoonsgegevens

Student: Dominic Pinkney Studentnummer: 6097952 Datum: Juli 2014

Begeleider: C.J.W. Baaij

Inhoudsopgave

Inleiding ... 4

1. De voorstel verordening voor de bescherming van persoonsgegevens. ... 6

1.1. Het belang van privacy en de voorstel verordening. ... 6

1.2. Grondslag voor de voorstel verordening... 7

1.3. Inhoud voorstel verordening ... 8

1.3.1. Definitie persoonsgegevens ... 9

1.3.2. Waarom moeten persoonsgegevens beschermd worden? ... 10

2. Huidig recht op het gebied van persoonsgegevens. ... 12

2.1. Grondslag 95/46/EG richtlijn ... 13

3. Belangrijke verschillen richtlijn en voorstel verordening ... 14

3.1. Het recht om vergeten te worden... 15

3.2. De plicht tot Privacy by design en privacy by default. ... 16

4. De belangen van bedrijven bij het gebruik van persoonsgegevens. ... 18

4.1. Het belang van Cookies. ... 19

4.2. Het belang van Marketing door middel van sociale media ... 21

5. Belangenafweging. ... 24

6. Conclusie ... 27

Literatuurlijst ... 29

Inleiding

Tegenwoordig is het verstrekken van persoonsgegevens de normaalste zaak van de wereld. Met name op internet is dit een zeer gebruikelijk fenomeen, te denken valt aan het kopen van producten in een webshop of de gegevens die worden ingevuld bij het gebruik van sociale media. Echter is het lang niet altijd even duidelijk wat er precies met deze persoonsgegevens gebeurt en wat nou precies de regels zijn betreffende het gebruik van persoonsgegevens.

Zo nu en dan komen er in de media berichten over persoonsgegevens die vragen doen oproepen in de maatschappij. Als voorbeeld is te noemen het bericht dat een elektronisch dataverwerkingsbedrijf het pingedrag van klanten aan bedrijven wilt doorverkopen.1 _{Het belang}

van bedrijven bij persoonsgegevens zit hem namelijk in het feit dat deze gegevens veel geld waard zijn.2 _{Ook een recent aangespannen rechtszaak tegen Google heeft de nodige stof doen}

opwaaien.3 _{In deze zaak is besloten dat mensen het recht hebben om 'vergeten' te worden.}

Irrelevante of foute persoonlijke gegevens moeten op verzoek en na een beoordeling van de zoekmachine verwijderd kunnen worden. Het publieke belang van deze gegevens speelt bij de beoordeling hierover onder meer een rol.4 De gevolgen hiervan voor het vrije internet dat wij kennen is op dit moment nog niet goed te overzien. De gevolgen voor de bedrijven die met persoonsgegevens werken lijken op basis van berichtgevingen uit het nieuws echter behoorlijk ingrijpend te zijn.5 Ook lijkt het zo dat de EU burger hierdoor een “nieuw” recht heeft gekregen in het arsenaal om zijn persoonsgegevens veilig te stellen. Zo blijkt onder andere uit de vele verzoeken die Google Nederland na deze uitspraak al heeft ontvangen.6

De Europese regels die de bescherming van persoonsgegevens voor hun rekening nemen stammen uit het jaar 19957 en de vraag of deze nog voldoende bescherming bieden lijkt negatief beantwoord te moeten worden, aangezien de Europese commissie in 2012 met een

1 _{Judith Laanen, ‘Betalingsregelaar Equens wil pingedrag klanten verkopen’, NRC 23 mei 2013,}

http://www.nrc.nl/nieuws/2013/05/23/banken-van-plan-pingedrag-klanten-te-verkopen-aan-winkeliers/

2 _{Wouter van Noort ‘Geld verdienen aan data: persoonlijke gegevens zijn goud waard’, Elsevier 10 mrt. 2014,}

http://www.elsevier.nl/Tech/nieuws/2014/3/Geld-verdienen-aan-persoonlijke-gegevens-data-is-goud-waard-1477340W/

3 _{HvJ EU 13 mei 2014, nr. C-131/12 (Google Spain/AEPD), via}

http://curia.europa.eu/jcms/upload/docs/application/pdf/2014-05/cp140070nl.pdf

4 _{HvJ EU 13 mei 2014, nr. C-131/12 (Google Spain/AEPD), r.o. 81.}

5 _{Kristel van Teeffelen, ‘Google worstelt met het nieuwe vergeetrecht’, Trouw 5 Jul. 2014,}

http://www.trouw.nl/tr/nl/5133/Media-technologie/article/detail/3684485/2014/07/05/Google-worstelt-met-het-nieuwe-vergeetrecht.dhtml

6 _{Zie: Rachid Finge, ‘Google NL: 4200 verwijderverzoeken’, NOS 3 jul. 2014,}

http://nos.nl/artikel/670082-google-nl-4200-verwijderverzoeken.html

7 _{Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming}

van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens [Publicatieblad L 281 van 23/11/1995].

4

voorstel verordening8 is gekomen die de richtlijn op den duur zal moeten vervangen.

De onderzoeksvraag waar in deze scriptie een antwoord op gezocht zal worden is: Is, gezien de tegenstrijdige belangen van aan de ene kant de privacy van de EU burger en aan de andere kant het belang van persoonsgegevens voor bedrijven die met name op internet actief zijn, de keuze van de EU voor een verordening waarin de burger meer bescherming op het gebied van persoonsgegevens gaat genieten niet onredelijk bezwarend tegenover de

ondernemers? Om tot een antwoord van de onderzoeksvraag te komen worden de volgende deelvragen beantwoord:

- Wat is het huidige recht op dit gebied en waarom is dit aan verandering toe?

- Wat zijn enkele belangrijke verschillen tussen de richtlijn en de verordening en geven deze verschillen een duidelijke voorkeur voor een betere bescherming van

persoonsgegevens aan?

- Zullen de huidige bedrijfspraktijken op basis van persoonsgegevens door de voorstel verordening ingeperkt worden?

Om de onderzoeksvraag en de deelvragen te kunnen beantwoorden zal in het eerste hoofdstuk van deze scriptie het belang van privacy en een klein gedeelte van de inhoud van de voorstel verordening uitgelicht worden. Hierna zal een hoofdstuk volgen over de huidige richtlijn die betrekking heeft op de bescherming van persoonsgegevens. In hoofdstuk drie zullen enkele belangrijke verschillen tussen de richtlijn en de voorstel verordening uitgelicht worden om de versterking van de bescherming van persoonsgegevens aan te tonen. In hoofdstuk vier komen een aantal algemene belangen van bedrijven die gebruik maken van persoonsgegevens en een tweetal specifieke bedrijfspraktijken waarbij persoonsgegevens gebruikt worden aan bod. In hoofdstuk vijf zal een analyse gemaakt worden van de belangenafweging die bij de

totstandkoming van de voorstel verordening een rol heeft gespeeld. Namelijk aan de ene kant de belangen van de EU burger om zijn persoonsgegevens beschermd te hebben en aan de andere kant het belang van de bedrijven om met deze gegevens te werken. Tot slot zal de conclusie volgen waarin, op basis van het in de voorgaande hoofdstukken besprokene, een antwoord op de hoofdvraag geformuleerd zal worden en dus geconcludeerd zal worden of de nieuwe verordening wel of niet onredelijk bezwarend is voor ondernemers.

8 _{COM(2012) 11 definitief : Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende}

de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), Brussel 25 januari 2012

5

1. De voorstel verordening voor de bescherming van persoonsgegevens.

Voordat geanalyseerd kan worden wat de belangrijkste verschillen zijn tussen de voorstel verordening betreffende persoonsgegevens en het huidige rechtskader, welke verschillende belangen hierbij een rol spelen en welke belangenafweging er uiteindelijk is gemaakt bij de totstandbrenging van de verordening, zal nu eerst een kort overzicht van de voorstel verordening gegeven worden en wat de grondslag voor de voorstel verordening is. Wat er precies onder persoonsgegevens verstaan kan worden en waarom deze beschermd dienen te worden. Het belang hiervan is om de lezer een beter begrip van de nieuwe voorstel verordening te laten krijgen en in te laten zien welke beslissing de Europese wetgever uiteindelijk heeft genomen in haar afweging van de belangen, namelijk meer bescherming voor

persoonsgegevens.

1.1. Het belang van privacy en de voorstel verordening.

Privacy van de EU burger is een belangrijk punt op de politieke agenda van de EU gebleken.9

Omdat het recht op privacy en het recht op de bescherming van persoonsgegevens dicht op elkaar staan is het dan ook niet raar dat ook dit laatstgenoemde recht veel aandacht heeft gekregen in de EU. Toch worden deze rechten in toenemende mate van elkaar onderscheiden omdat onder andere het recht op privacy de relatie tussen burger en staat wordt bedoeld en bij het recht op bescherming van persoonsgegevens de relatie tussen burger en ondernemingen.10

In de literatuur wordt ook wel beargumenteerd dat de bescherming van gegevens en het recht op privacy fundamenteel van elkaar verschillen.11 _{Dit argument lijkt aangesterkt te worden door}

het feit dat de Europese commissie een losstaande voorstel verordening voor de bescherming van persoonsgegevens heeft geïntroduceerd en het feit dat de bescherming van

persoonsgegevens een op zichzelf staand recht is in zowel het EU-Grondrechtenhandvest als het Verdrag betreffende de werking van de Europese Unie (VWEU).

Op 25 januari 2012 is dit voorstel voor een verordening voor de harmonisatie van de bescherming van persoonsgegevens in Europa op tafel gekomen. Deze verordening zal de geldende dataprotectie richtlijn 95/46/EG12 _{die stamt uit 1995 in de toekomst moeten}

vervangen. Hieraan is echter nog het een en ander vooraf gegaan. Zo is onder andere in mei

9 _{Ambrose & Ausloos 2013, p. 6.} 10 _{Van der Sloot 2012, p. 250.} 11 _{Berkvens 2004, p. 269.}

12 _{Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming}

van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens [Publicatieblad L 281 van 23/11/1995].

6

2009 door de Commissie een uiteenlopende belanghebbenden conferentie en openbare raadpleging georganiseerd over het bestaande rechtskader van het fundamentele recht op bescherming van persoonsgegevens dat geldt in de EU.13 _{Ook in 2010 zijn er een aantal}

conferenties gehouden waaronder conferenties voor belanghebbenden.14 Doel hiervan was om de vraag of de huidige richtlijn 95/46/EG, die inmiddels al 18 jaar oud is, nog wel voldoende bescherming biedt voor persoonsgegevens in de door de globalisering en de snelle

technologische ontwikkelingen sterk veranderde wereld waar ten tijde van de totstandkoming van de richtlijn nog geen sprake van was, te beantwoorden.15 _{Deze congressen waren openbaar}

om zo de transparantie van de hervorming op het gebied van de persoonsgegevens tegemoet te komen. Voorbeelden van de hiervoor besproken snelle technologische ontwikkelingen zijn onder andere “cloud computing”, “sociale media”. De toename van deze online activiteiten brengt, algemeen aangenomen door o.a. gegevensbeschermingsautoriteiten, toenemende privacy risico’s voor onder andere persoonsgegevens met zich mee.16

1.2. Grondslag voor de voorstel verordening

De bespreking van de grondslag is van belang om aan te tonen dat de richtlijn en de verordening gebaseerd zijn op verschillende grondslagen. Deze verschillen geven op zichzelf al een verklaring waarom de verordening een verder gaande vorm van bescherming van persoonsgegevens biedt, namelijk omdat er, kort gezegd, een specifiek fundamenteel recht ontstaat op de bescherming van persoonsgegevens. De verdere uitwerking hiervan zal plaatsvinden in de twee hoofdstukken die de grondslag van de richtlijn en de verordening op zich nemen.

De volledige verordening kan worden vastgesteld op basis van de nieuwe mogelijkheden die het verdrag van Lissabon, dat op 1 december 2009 in werking trad, biedt. Zo blijkt uit artikel 8 van het Handvest van de grondrechten van de Europese Unie dat eenieder recht heeft op de bescherming van de hem betreffende persoonsgegevens.17 Tevens is er op basis van artikel 16 van het Verdrag betreffende de werking van de Europese Unie een nieuwe rechtsgrondslag voor de vaststelling van EU wetgeving voor de verwerking en het vrije verkeer van deze gegevens.18

In artikel 8 EU-Grondrechtenhandvest staat dat een ieder het recht heeft op de bescherming van de hem betreffende persoonsgegevens. Het tweede lid geeft bepaalde

13 _{COM(2010) 609 definitief.} 14 _{COM(2012) 11 definitief, p. 3.} 15 _{COM(2010) 609 definitief, p. 2-3.} 16 _{COM(2010) 609 definitief, p. 2.}

17 _{Handvest van de grondrechten van de Europese Unie [Publicatieblad C 364/01 van 18/12/2000].} 18 _{Het Verdrag betreffende de werking van de Europese Unie [Publicatieblad c83/47 van 30/3/2010].}

7

voorwaardes voor de verwerking van persoonsgegevens en geeft betrokkenen recht op toegang tot en rectificatie van deze gegevens. Lid 3 spreekt over de toezicht op deze regels. Artikel 16 VWEU spreekt in het eerste lid ook over het recht op de bescherming van persoonsgegevens. Het tweede lid spreekt over de nadere regels die het Europees Parlement en de Raad volgens de gewone wetgevingsprocedure hieromtrent en met betrekking tot het vrije verkeer van deze gegevens vast zullen stellen.

De commissie heeft gekozen voor de meest vergaande optie in haar arsenaal om regels omtrent de bescherming van persoonsgegevens vast te stellen, namelijk een verordening. De achterliggende gedachte is dat een verordening de verschillende mate van bescherming van persoonsgegevens in de lidstaten zal tegengaan. Dit omdat door middel van artikel 288 VWEU een verordening rechtstreeks en direct in alle lidstaten van toepassing is.19 Hierdoor zal de maximum harmonisatie van het persoonsgegevensrecht in Europa tot stand gebracht worden wat een positief effect zal hebben op met name de bedrijven die in meerdere lidstaten actief zijn.20

1.3. Inhoud voorstel verordening

De voorstel verordening bevat regels betreffende de verwerking van persoonsgegevens en het vrije verkeer van deze gegevens. Globaal gesproken zal de verordening 91 artikelen bevatten daar waar de huidige richtlijn uit 34 artikelen bestaat. De achterliggende gedachte hiervoor is dat er is gekozen voor meer specifieke en toegepaste rechten en plichten.21 _{In de literatuur}

worden de wijzigingen die de verordening door zal voeren over een viertal thema’s gegroepeerd.22 _{Deze thema’s zijn:}

1. versterking van de positie van de betrokkene;

2. versterking van de rol van de verantwoordelijke (verantwoordelijk voor de naleving van de regels) en vermindering van administratieve lasten;

3. verbetering van de handhaving van de gegevensbeschermingsregels; 4. verbetering van de mondiale dimensie van gegevensbescherming.

19 _{Bakker 2007, p. 48-49.}

20 _{Titulaer-Meddens 2012, p. 100.} 21 _{Van der Sloot 2012, p. 252.} 22 _{Kranenborg 2013, p. 312.}

8

In deze scriptie zullen thema 1 en 2 de boventoon voeren omdat deze twee thema’s de

belangen van de consument aan de ene kant, en de belangen van bedrijven aan de andere kant, belichten. Tevens geven deze thema’s duidelijk aan dat de positie van de consument versterkt wordt door middel van onder andere nieuwe rechten terwijl de positie van de bedrijven verzwakt wordt doordat zij zullen moeten voldoen aan meerdere plichten. Schending van deze plichten zullen hoge boetes tot gevolg hebben.23 Een nadere bespreking van enkele van deze rechten en plichten zal in een volgend hoofdstuk plaatsvinden.

1.3.1. Definitie persoonsgegevens

Nu duidelijk is wat de voorstel verordening is, is het nodig om aan te geven wat persoonsgegevens precies zijn en waarom deze beschermd moeten worden.

In de voorstel verordening staat de volgende definitie van persoonsgegevens weergeven:

“persoonsgegevens”: iedere informatie betreffende een betrokkene.24

Om deze definitie beter te begrijpen is het tevens nodig om de definitie van het begrip “betrokkene” weer te geven:

“betrokkene”: een geïdentificeerde natuurlijke persoon of een natuurlijke persoon die direct of indirect, met behulp van middelen waarvan mag worden aangenomen dat zij redelijkerwijs door de voor de verwerking verantwoordelijke dan wel door een andere natuurlijke of rechtspersoon in te zetten zijn, kan worden geïdentificeerd, met name aan de hand van een identificatienummer, gegevens over de verblijfplaats, een online-identificatiemiddel of een of meer specifieke elementen die kenmerkend zijn voor zijn fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit.25

In de literatuur wordt als kritiekpunt gegeven dat deze definities te ruim zijn.26 Zo wordt onder andere aangegeven dat “iedere informatie” ook slaat op informatie die niet door een

betrokkene zelf verstrekt is. Dit terwijl Europees commissaris Viviane Reding in haar toespraak op de Digital Life Design conferentie in januari 2012 juist expliciet over persoonsgegevens die door betrokkenen zelf zijn verstrekt sprak.27

23 _{Art 79 (voorstel verordening) COM(2012) 11 definitief} 24 _{Art 4 verordening onder 2 COM(2012) 11 definitief} 25 _{Art 4 verordening onder 1 COM(2012) 11 definitief} 26 _{Hosen 2012, p. 89.}

27 _{John Hendel, ‘Why Journalists Shouldn’t Fear Europe’s ‘Right to Be Forgotten,’}

ATLANTIC (Jan. 25, 2012), http://www.theatlantic.com/technology/archive/2012/01/whyjournalists-

9

De LIBE commissie van het Europees Parlement (Burgerlijke Vrijheden, Justitie en Binnenlandse Zaken) heeft in reactie op de voorstel verordening een paar wijzigingen

voorgesteld. Dit gewijzigde voorstel is begin maart 2014 door het Europees Parlement met een grote meerderheid aangenomen.28De definitie van persoonsgegevens zal aan de hand van deze wijziging de twee losse definities zoals die hiervoor weergeven zijn samenvoegen.

Wat opvalt, is dat de nieuwe definitie nog steeds de termen “iedere informatie” bevat en dat dit dus mogelijk nog steeds op informatie zal slaan die ook niet door de betrokkene zelf is verstrekt. Hierbij kan gedacht worden aan foto’s op sociale media die door een ander persoon dan betrokkene op het internet gezet zijn en dit lijkt dus de eerder aangegeven uitspraak van Europees commissaris Viviane Reding tegen te spreken. Dit zal tot gevolg kunnen hebben dat meer mensen dan bedoeld o.a. aanspraak kunnen maken op het recht om te wissen en bedrijven als gevolg hiervan mogelijk meer verzoeken ingediend zullen krijgen. Wel zijn er twee begrippen toegevoegd die slaan op pseudonieme en op versleutelde persoonsgegevens.29

In deze scriptie wordt ervan uitgegaan dat in alle gevallen waar persoonsgegevens worden besproken er voldaan wordt aan voorgaande definitie. Tevens is dit het geval voor de term “betrokkene” die ook vaak afgewisseld wordt met de termen EU burger of consument. In het geval er gesproken wordt over bedrijven of ondernemingen met of zonder de toevoeging, die met persoonsgegevens werken, wordt er gedoeld op voor de verwerking verantwoordelijke, de verwerker of de ontvanger van de persoonsgegevens zoals deze in de voorstel verordening beschreven staan.30

1.3.2. Waarom moeten persoonsgegevens beschermd worden?

In het voorstel van de verordening wordt aangegeven dat er door de snelle technologische ontwikkelingen nieuwe uitdagingen voor de veiligheid van persoonsgegevens zijn ontstaan. De mate van het gebruik, de verzameling en het delen van deze gegevens is enorm toegenomen en bedrijven maken op grote schaal gebruik van deze gegevens. Voornamelijk in economisch en sociaal perspectief is het van belang om het vertrouwen in deze nieuwe technologieën te realiseren. Bij een gebrek aan vertrouwen zal een consument terughoudend zijn bij het gebruik van de nieuwe technologieën. Denk bijvoorbeeld aan de terughoudendheid om producten online te kopen omdat de veiligheid van de persoonsgegevens niet voldoende gewaarborgd is.

shouldnt-fear-europes-right-to-be-forgotten/251955/.

28 _{P7_TA-PROV(2014)0212, p. 65-66. Onder amendement 98.} 29 _{P7_TA-PROV(2014)0212, p. 65-66. Onder amendement 98.} 30 _{Art 4 onder respectievelijk 5, 6 en 7 COM(2012) 11 definitief}

10

Dit gebrek aan vertrouwen zou bovendien een negatief effect op de innovatie van nieuwe technologieën kunnen hebben.31

Om het duidelijker als een recht van een consument te definiëren kan ook wel gezegd worden dat de consument het recht heeft om er op te vertrouwen dat zijn persoonsgegevens op een rechtmatige wijze worden gebruikt, om er voor te zorgen dat hij hier geen nadeel van ondervindt.32

In de literatuur worden een aantal argumenten gegeven die de belangen van de bescherming van persoonsgegevens mooi weergeven. Uit een onderzoek is gebleken dat een grote meerderheid van internetgebruikers uit Amerika zich niet lekker voelt bij het feit dat hun gedrag door websites gevolgd wordt.33 _{Dit gevoel kan te maken hebben met de kans op schade}

op basis van het gebruik de persoonsgegevens, deze schade kan zowel ontstaan door het bedrijf waaraan de persoonsgegevens zijn toevertrouwd als door een derde die deze gegevens

bijvoorbeeld gekocht heeft. Als voorbeelden zijn te noemen fraude op basis van de

persoonsgegevens van bijvoorbeeld een creditcard of diefstal na het achterlaten van het adres. Dit zorgt ervoor dat consumenten minder snel over zullen gaan tot een aankoop via internet.34

In de literatuur wordt aangegeven dat door de verordening, de burgers met de nieuw ontstane mogelijkheden om meer invloed uit te oefenen op het gebruik van persoonsgegevens door bedrijven, beter in staat zullen zijn om hun recht op “personality, encompassing several elements such as dignity, honor, and the right to private life” in te vullen.35

De mogelijkheid van een persoon om de door hem verstrekte en betreffende

persoonsgegevens te controleren/beheren bevordert de persoonlijke autonomie. 36 Een andere schrijver geeft zelfs aan dat de mogelijkheid om persoonsgegevens te controleren/beheren verbonden is aan het menselijk potentieel. De participatie van een burger in de maatschappij dat onder andere bestaat uit een autonoom recht om iemands eigen toekomst in te richten,

zelfbeeld te creëren en gedachten met anderen te wisselen, kan ondermijnd worden door een lukrake uitwisseling van persoonsgegevens.37 Het is dus van belang dat de wetgever hier bescherming biedt waar met de voorstel verordening in ieder geval een poging toe gedaan wordt.

31 _{COM(2012) 11 definitief, p. 1-2.} 32 _{Van der Jagt 2013, p. 163.} 33 _{Turow e.a. 2009, p. 3.}

34 _{Bijlsma, Straathof & Zwart 2014, p. 6.} 35 _{Weber 2011, p. 120-121.}

36 _{Tsesis 2014, p. 139.}

37 _{Cohen 2000, p. 1373, 1383–84.}

11

2. Huidig recht op het gebied van persoonsgegevens.

Om een beter begrip te krijgen van de verschillen die de voorstel verordening teweeg zal brengen is het van belang om het bestaande recht omtrent de bescherming van

persoonsgegevens kort uiteen te zetten en de kritiek die hierop is ontstaan aan te kaarten. In dit hoofdstuk zal dus een antwoord gegeven worden op de deelvraag “Wat is het huidige recht op dit gebied en waarom is dit aan verandering toe?”.

Het huidige rechtskader met betrekking tot persoonsgegevens in de EU is voor het belangrijkste gedeelte geregeld door richtlijn 95/46/EG.38 Deze richtlijn is met de loop der jaren aangevuld door een aantal andere richtlijnen. Een van de belangrijkste aanvullingen is richtlijn 2002/58/EG geweest, ook wel bekend als de e-Privacyrichtlijn.39 In 2009 heeft deze aanvulling nog een wijziging ondergaan en is in Nederland bekend komen te staan als de

Telecommunicatiewet.40

Een veelgehoord hedendaags kritiekpunt op de richtlijn is dat deze stamt uit een tijd waar het internet en de mobiele telefonie in zijn kinderschoenen stond.41 _{In vergelijking met die}

tijd is het internetgebruik explosief gestegen waardoor er een grote toename is ontstaan in de toegankelijkheid, het opslaan en het delen van informatie, waaronder ook persoonsgegevens. Deze gigantische groei op het gebied van gegevensverwerking, die in veel gevallen ook

grensoverschrijdend is, geeft aan waarom de regels binnen Europa eenvoudiger en uniformer moeten worden. Ook is uit een evaluatie rapport over de WBP gebleken dat de effectiviteit van de bestaande regels in twijfel wordt getrokken. Er is namelijk een discrepantie tussen de wet en de praktijk, tevens schiet het toezicht op de naleving van de regels tekort.42

Gezien de Europese wetgever in 1995 gekozen had voor een richtlijn moesten de lidstaten deze door middel van nationale wetgeving implementeren.43 Dit heeft geleid tot verschillende vormen van bescherming van persoonsgegevens in de EU. In 2001 is

privacyrichtlijn 95/46/EG in Nederland ingevoerd door middel van de wet bescherming persoonsgegevens. Deze heeft op zijn beurt de Wet persoonsregistraties uit 1989 doen vervangen.

38 _{Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming}

van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens [L 281 van 23/11/1995].

39 _{Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van}

persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (PbEG, L 201/37)

40 _{Kranenborg 2013a, p. 310.} 41 _{Kranenborg 2013b, p. 332.} 42 _{Costa & Poullet 2012, p. 256.}

43 _{Thole, van der Jagt & Roerdink 2010, p. 16.}

12

De verschillende vormen van implementatie in de lidstaten zal in deze scriptie geen rol spelen. De vergelijking van de rechten en plichten van consumenten respectievelijk bedrijven zal puur op het niveau van de Europese wetgeving plaatsvinden. Dat wil zeggen de meest

opvallende verschillen tussen de verschillende rechten en plichten uit de privacyrichtlijn en de voorstel verordening. Als eerste zal nu de grondslag van de privacyrichtlijn aan bod komen om vervolgens enkele verschillen tussen de richtlijn en de voorstel verordening op dit gebied uit te lichten.

2.1. Grondslag 95/46/EG richtlijn

De grondslag voor de richtlijn is te vinden in artikel 95 van het EG-Verdrag, het huidige artikel 114 VWEU.44 Dit is de algemene rechtsgrondslag voor regels ter totstandbrenging van de interne markt. Hier valt op dat de rechtsgrondslag van de totstandbrenging van regels met betrekking tot de bescherming van persoonsgegevens in de laatste jaren gewijzigd is. Zoals eerder besproken berust de grondslag voor de voorstel verordening op de nieuwe mogelijkheden die door het verdrag van Lissabon zijn ontstaan. Hierin is namelijk een specifiek recht voor de EU burger ontstaan op de bescherming van persoonsgegevens.

44 _{Kranenborg en Verhey 2011, p. 37.}

13

3. Belangrijke verschillen richtlijn en voorstel verordening

Om op de deelvraag “Wat zijn enkele belangrijke verschillen tussen de richtlijn en de

verordening en geven deze verschillen een duidelijke voorkeur voor een betere bescherming van persoonsgegevens aan?” een antwoord te vinden zal in dit hoofdstuk een tweetal belangrijke verschillen tussen de richtlijn en de voorstel verordening belicht worden. Deze verschillen hebben betrekking op een “nieuw” recht die de consumenten met betrekking tot hun persoonsgegevens krijgen en op een “nieuwe” plicht waaraan de bedrijven die met

persoonsgegevens werken zullen moeten voldoen. Consumenten hebben op dit moment zeer geringe controle over hun persoonsgegevens die steeds meer verwerkt en voor oneindige tijd opgeslagen worden. Dit heeft te maken met het feit dat persoonsgegevens zeer waardevol zijn voor bedrijven omdat zij op basis van deze gegevens onder andere gerichte reclame kunnen aanbieden.45 _{Eurocommissaris M. Kuneva noemde persoonsgegevens het nieuwe “olie”, om er}

maar een economische waarde aan te geven.46 Ze worden zelfs als een nieuwe economische “asset class” gezien door het Wereld Economisch Forum.47 _{De nieuwe rechten komen voort uit}

het doel om de rechten van betrokkenen te versterken omdat het de consument privileges geeft om invloed uit te oefenen op deze gegevens.48

Zoals eerder aangegeven blijkt uit de literatuur dat de naleving van de plichten voor bedrijven betreffende de omgang met persoonsgegevens te wensen over laat en dat de controle hierop ook onvoldoende is.

De EU burger zal op basis van de voorstel verordening een drietal nieuwe rechten tot zijn beschikking hebben, namelijk het recht om vergeten te worden, Recht van

gegevensoverdraagbaarheid en Maatregelen op basis van profilering.49 In deze scriptie zal alleen het recht om vergeten te worden uitgebreid besproken worden omdat dit in de literatuur, zoals in een eerder hoofdstuk aangegeven, een niet onbesproken onderwerp is gebleken en omdat er een keuze gemaakt moet worden in verband met de grootte van deze scriptie. Op basis van het geamendeerde voorstel van de LIBE commissie zijn deze rechten al van de nodige wijzigingen voorzien en is het recht van gegevensoverdraagbaarheid zelfs al geschrapt.50 De nieuwe in het oog springende plichten waaraan bedrijven, die met persoonsgegevens werken, zich zullen moeten houden zijn onder andere privacy by design en privacy by default, het onderzoek van hun

45 _{Tsesis 2014, p. 101-102.}

46 _{Uitspraak van Eurocommissaris M. Kuneva tijdens de Keynote Speech on the Roundtable on Online Data}

Collection, Targeting and Profiling, Brussels, 31 March 2009.

47 _{Schwab e.a. 2011, p. 5.} 48 _{Costa & Poullet 2012, p. 256.}

49 _{Respectievelijk Art 17, 18 en 20 COM(2012) 11 definitief} 50 _{P7_TA-PROV(2014)0212 onder amendement 113}

14

eigen gegevensverwerking, de verslaggeving hierover en een nauwer contact met de

betrokkenen.51 Een van deze nieuwe plichten zal hieronder uitgebreider aan bod komen, om zo een beter inzicht te krijgen in deze plicht die voor de bedrijven zal gaan gelden. Hierdoor zal blijken dat bedrijven een grotere verantwoordelijkheid zullen krijgen dan dat zij nu hebben. Dit op zichzelf kan al als bezwarend aangemerkt worden.

3.1. Het recht om vergeten te worden

Het eerste recht dat besproken zal worden is het “nieuwe” recht die de EU burger door middel van de voorstel verordening toe zal komen is het “recht om vergeten te worden”. Dit recht is een zeer omstreden onderwerp in de literatuur omdat de gevolgen die dit recht teweeg zal brengen zeer verschillend worden opgevat. De voorstel Verordening introduceert dit recht in artikel 17. Uit het artikel blijkt dat het datasubject het recht heeft om de voor de verwerking

verantwoordelijke, in ons geval de bedrijven die met persoonsgegevens overweg gaan, ervoor te laten zorgen dat de hem betreffende persoonsgegevens gewist moeten worden en dat er geen verdere verspreiding van deze gegevens plaats zal vinden. Ook geeft het artikel aan dat dit in het bijzonder het geval is waarin het datasubject deze gegevens heeft aangeboden toen hij een kind was.

Het eerder besproken geamendeerde stuk van de LIBE commissie heeft “het recht om vergeten te worden” veranderd in het “recht om te wissen”, tevens is het stuk dat betrekking heeft op het aanbod van persoonsgegevens als kind zijnde geschrapt. Er wordt ook een nadere afbakening gegeven wanneer het gaat om persoonsgegevens met betrekking tot de uitvoering van een contract en een wettelijke plicht om deze gegevens te bewaren.52 _{Uit lid 1 van het}

artikel blijkt dat het datasubject dit recht zal toekomen als de persoonsgegevens niet meer nodig zijn omdat ze niet meer overeenkomen met het doel waarvoor ze werden verwerkt, als

betrokkene bezwaar maakt tegen de verwerking ervan, als het datasubject zijn eerder gegevens toestemming hiervoor intrekt of als het verwerking van de persoonsgegevens onrechtmatig is.53 Het recht is ook van toepassing als een rechtbank of regelgevende instantie een uitspraak heeft gedaan die tot strekking heeft om de gegevens te wissen. De geamendeerde versie voegt tevens lid 1bis toe dat ervoor zal zorgen dat de toepassing van lid 1 af zal hangen van het vermogen van het bedrijf om te controleren of degene die een verzoek indient ook daadwerkelijk de

51 _{Titulaer-Meddens 2012, p. 100.}

52 _{P7_TA-PROV(2014)0212, p. 21. Onder amendement 27.} 53 _{Art 17 lid 1 COM(2012) 11 definitief}

15

betrokkene is.54

In de literatuur komt naar voren dat dit “nieuwe” recht uit artikel 17 lid 1 helemaal niet zo nieuw en bijzonder is als gekeken wordt naar de rechten die de consument nu al heeft, op basis van artikel 1255 van de huidige richtlijn. Het is meer een soort verduidelijking van de rechten die al op basis van de richtlijn worden gegeven. Belangrijker is de plicht voor de bedrijven die met persoonsgegevens werken die volgt uit lid 2 van artikel 17 van de voorstel verordening. Deze bedrijven krijgen hierdoor namelijk een verplichting om derde partijen op de hoogte te stellen van het verwijderingsverzoek van betrokkene en dit gaat tevens alleen om de verwerking van publieke persoonsgegevens waarvoor het bedrijf toestemming heeft verleend.56

In de geamendeerde versie van de LIBE commissie is lid 2 van artikel 17 nog verder afgezwakt gezien het hier alleen om openbaar gemaakte persoonsgegevens gaat waarbij niet voldaan is aan de rechtmatigheids toets van artikel 6 van de voorstel verordening. Wel moet het bedrijf, indien mogelijk, de consument inlichten over de vordering van het verzoek bij de

derde.57

3.2. De plicht tot Privacy by design en privacy by default.

Artikel 23 van de voorstel verordening geeft twee manieren om de persoonsgegevens te

beschermen. Lid 1 geeft bedrijven de plicht, rekening houdend met de stand van techniek en de hiermee gepaarde kosten, om technische en organisatorische maatregelen en procedures in werking te stellen die ervoor zorgen dat er aan de verordening wordt voldaan. Tevens moeten deze ervoor zorgen dat de rechten van de EU burger hierdoor gewaarborgd zijn. Lid 2 geeft aan dat alleen de persoonsgegevens, die strikt noodzakelijk zijn voor het doel, verzameld en

verwerkt mogen worden. Met name de hoeveelheid persoonsgegevens en de bewaartermijn hiervan moet in ogenschouw genomen worden. Dit alles moet ervoor zorgen dat de

persoonsgegevens in voldoende mate worden afgeschermd voor onbevoegden.58

Kritiek uit de literatuur op dit voorstel is onder andere dat bij veel bedrijven de ICT niet één geheel is waarbij alles up to date is. Hierdoor is het moeilijk om een dergelijke plicht over de gehele linie van de ICT bij bedrijven uit te voeren. Lid 1 zal dus voor veel bedrijven, waar de ICT al

54 _{P7_TA-PROV(2014)0212, p. 123. amendement 112}

55 _{Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming}

van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens [Publicatieblad L 281 van 23/11/1995].

56 _{Hoboken 2012, p. 97.}

57 _{P7_TA-PROV(2014)0212 overweging 127} 58 _{Art 23 COM(2012) 11 definitief}

16

ingericht is, moeilijk uitvoerbaar zijn. Lid 2 zal makkelijker uitvoerbaar zijn maar zal ook de nodige kosten met zich meebrengen.59

Bedrijven die de regels van de verordening schenden kunnen in het uiterste geval een flinke boete verwachten. Dit geldt voor zowel de rechten van de EU burgers die zij in acht moeten nemen als voor de nieuwe plichten waaraan zij zelf verbonden zijn.60 _{Het “recht om}

vergeten te worden” en de plicht van “Privacy by design en privacy by default” zullen de bedrijven dus zeker niet te licht op moeten vatten.

59 _{Titulaer-Meddens 2012, p. 105} 60 _{Zie art 79 COM(2012) 11 definitief.}

17

4. De belangen van bedrijven bij het gebruik van persoonsgegevens.

In dit hoofdstuk zal een tweetal hedendaagse bedrijfspraktijken van bedrijven die op internet actief zijn rondom het gebruik van persoonsgegevens besproken worden om zo de deelvraag “Zullen de huidige bedrijfspraktijken op basis van persoonsgegevens door de voorstel

verordening ingeperkt worden?” te kunnen beantwoorden. Dit is noodzakelijk om de belangen van deze bedrijven bij het gebruik van persoonsgegevens aan te tonen.

Een schrijver geeft in de literatuur mooi de verschillende belangen die hierbij spelen aan: “While profit maximization is a healthy component of competitive markets, regulation is

necessary when the quest for wealth maximization has significant, negative repercussions on consumer privacy and autonomy.”61

Door de opkomst van algoritmische software voor het verzamelen, samenvoegen en analyseren van gegevens die door personen zonder vergoeding zijn gedeeld aan verkopers en sociale netwerken, is de verwerking van deze gegevens door bedrijven exponentieel gegroeid.62 Om een aantal populaire bedrijven op dit gebied te noemen: Facebook, Google en Amazon. Deze bedrijven kunnen de persoonsgegevens in principe oneindig bezitten en doorverkopen aan andere bedrijven.63 _{Dit geeft het voornaamste belang van persoonsgegevens voor bedrijven aan,}

namelijk de economische waarde ervan.

Hier staat tegenover dat het aan de hand van de doelen, die de Europese Commissie in haar voorstel verordening naar voren heeft gebracht, evident is dat de Europese burger meer invloed moet kunnen uitoefenen op zijn persoonsgegevens door middel van nieuwe en

versterking van al bestaande rechten.64 _{Een voorbeeld hiervan is het hiervoor uitgelichte nieuwe}

en omstreden “recht om vergeten te worden”. Dit recht zal inderdaad gevolgen hebben op de mogelijkheid die een EU burger heeft om invloed uit te oefenen op de hem betreffende persoonsgegevens. Het grootste verschil tussen de al bestaande rechten die de richtlijn op dit gebied biedt, is het feit dat bedrijven actief derde bedrijven moeten inlichten over de wens van de consument om zijn persoonsgegevens te verwijderen.65

Er zijn meerdere manieren waarop persoonsgegevens in het algemeen waarde voor ondernemingen creëren. Om te beginnen kan door het gebruik van persoonsgegevens vraag en aanbod beter op elkaar afgestemd worden. Potentiële klanten kunnen beter herkend worden en

61 _{Stucke 2013, p. 2626–29.}

62 _{Siraj Datoo, ‘Rapid Development in Big Data Analytics Has Led to Increased Investment’, Guardian 22 nov.}

2013, http://www.theguardian.com/news/2013/nov/22/rapid-development-in-big-data-analytics-has-led-to-increased-investment.

63 _{Zie o.a. Data Use Policy, Facebook, https://www.facebook.com/about/privacy/} 64 _{COM(2012) 9 definitief, p. 4 en COM(2012) 11 definitief, p 4 en 5.}

65 _{Hoboken 2012, p. 97.}

18

er kunnen toegespitste aanbiedingen gedaan worden. De waarschijnlijkheid van een passend aanbod gaat hierdoor omhoog waardoor de opbrengst van advertenties stijgt. Ook kunnen de prijzen van producten meer toegespitst worden op de kenmerken van een persoon op basis van de persoonsgegevens. Hierdoor kunnen vraag en aanbod beter op elkaar afgestemd worden dat positieve invloed zal hebben op de efficiëntie van de markt.66 _{Ten derde is het mogelijk door het}

gebruik van persoonsgegevens risico’s te managen. Hierbij kan gedacht worden aan de vermindering van de kans op fraude door de echtheid van gegevens te controleren met andere vormen van data die persoonsgegevens bevatten.67 _{Ook kunnen persoonsgegevens door bedrijven gebruikt worden}

om nieuwe producten te ontwikkelen. Als voorbeeld kunnen de beter op een persoon toegespitste zoekresultaten van zoekmachines en de feedback die bedrijven van hun klanten kunnen krijgen door het volgen van Facebook.68

Hieronder zal een tweetal gebruikelijke bedrijfspraktijken die betrekking hebben op het gebruik van persoonsgegevens uitgelicht worden, de belangen die de bedrijven hierbij hebben en de gevolgen die de voorstel verordening voor deze praktijken zal hebben. Dit is nodig om tot een antwoord van de hoofdvraag te komen waarbij de afweging van de belangen van de burgers en de bedrijven een rol speelt.

4.1. Het belang van Cookies.

De architectuur van het internet zit zo in elkaar dat het cookies met informatie op computers van internetgebruikers achterlaat.69 Wikipedia geeft de volgende omschrijving: “Een cookie is een hoeveelheid data die een server naar de browser stuurt met de bedoeling dat deze opgeslagen wordt en bij een volgend bezoek weer naar de server teruggestuurd wordt. Zo kan de server de browser opnieuw herkennen en bijhouden wat de gebruiker, c.q. de webbrowser, in het verleden heeft gedaan. Een dergelijk historie is bijvoorbeeld voor marketingdoeleinden interessant. Vanwege de privacyaspecten is het gebruik van cookies, dat zich veelal aan het oog van de internetgebruiker onttrekt, in deze situaties omstreden.”70

Als gebruikers deze cookies niet verwijderen kunnen deze oneindig lang op hun systeem blijven staan en is het zeer gemakkelijk voor bedrijven om het gedrag van de gebruiker op het internet te monitoren. Vervolgens kan het bedrijf door middel van bepaalde software de eerder opgeslagen data opgeslagen in de vorm van cookies, die op de computer van de gebruiker staan,

66 _{Bijlsma, Straathof & Zwart 2014, p. 5-6.} 67 _{Bijlsma, Straathof & Zwart 2014, p. 6.} 68 _{Bijlsma, Straathof & Zwart 2014, p. 6.} 69 _{Tsesis 2001, p. 829–31.}

70 _{https://nl.wikipedia.org/wiki/Cookie_%28internet%29}

19

benaderen.71

Op de informatie die uit de cookies gehaald kan worden, zoals het surfgedrag van de gebruiker, kunnen bedrijven bepaalde handelingen uitvoeren. Hierbij kan gedacht worden aan het categoriseren, statisch analyseren van de data of het formuleren van bedrijfsmodellen.72 Het voordeel voor de gebruiker hiervan ligt in het feit dat bij bijvoorbeeld zoekmachines de

zoekresultaten specifieker en persoonlijker is en dat reclames op websites of via e-mail specifieker op de interesses van de gebruiker afgestemd zijn.73

De precieze gevolgen die het “recht om vergeten te worden” op de bedrijfspraktijken die gebaseerd zijn op het gebruik van cookies, zal hebben, is niet met zekerheid vast te stellen. Ten eerste moet de manier van gebruik van de cookies natuurlijk voldoen aan de voorgeschreven en eerder behandelde definitie van persoonsgegevens om überhaupt onder deze wetgeving te vallen. Als dit het geval zou zijn dan zou een bedrijf die hiervan gebruik maakt er dus voor

moeten zorgen dat deze gegevens op het verzoek van betrokkene gewist moeten worden, dat de verdere doorvoer van deze gegevens gestaakt wordt en dat het verwijderingsverzoek aan alle derden wordt meegedeeld. Dit zal een grotere inspanning van de bedrijven vergen dan nu het geval is omdat nu een duidelijke melding over het gebruik van cookies voldoende is, hoewel de cookies op dit moment ook te weigeren zijn en de doorgifte aan derden in Europa ook aan regels is verbonden.74

De plicht van Privacy by design en privacy by default (artikel 23) van de voorstel verordening zal ongetwijfeld gevolgen hebben voor het gebruik van cookies omdat bedrijven zich dan aan de voorgeschreven zorgvuldigheidsnormen van dit artikel moeten voldoen en dus niet louter meer hoeven te informeren over het gebruik van cookies.

De belangen van de EU burger en de bescherming van hun persoonsgegevens zal in dit geval dus voorgaan boven de belangen van het bedrijf om via deze bedrijfspraktijk bijvoorbeeld gerichte reclame aan te bieden en geld te verdienen aan de verkoop van persoonsgegevens. Zo kan als voorbeeld genoemd worden dat het Amerikaanse telecombedrijf AT&T in Texas een abonnement aanbiedt voor 99 dollar per maand. Klanten kunnen echt ook kiezen voor een abonnement waarbij gegevens over het surfgedrag gebruikt worden om gerichte aanbiedingen en reclame aan te bieden en deze zijn 19 dollar per maand goedkoper uit.75 _{Dit voorbeeld geeft}

op zichzelf al de economische waarde van persoonsgegevens aan voor bedrijven. Dat de EU

71 _{Tsesis 2014, p. 106.} 72 _{Berger 2011, p. 18.} 73 _{Mujadzic 2013, p. 1.} 74 _{Tsesis 2014, p. 132.}

75 _{Bijlsma, Straathof & Zwart 2014, p. 5.}

20

burger deze rechten bezit hoeft natuurlijk niet te betekenen dat deze ook direct ingeroepen hoeven te worden. Misschien vinden sommige mensen gerichte reclame juist wel fijn? Ook al betekent dit dat ze hierbij geheel of gedeeltelijk persoonsgegevens blootstellen. De plicht van “Privacy by design and privacy by default” lijkt deze vrije keuze echter in de weg te zitten omdat de Europese Commissie middels de nieuwe rechten en plichten een duidelijke voorkeur voor de bescherming van de persoonsgegevens laat blijken en het belang van de burger dus belangrijker gevonden wordt dan het belang van bedrijven bij het gebruik van deze gegevens.

4.2. Het belang van Marketing door middel van sociale media.

Sociale media zoals Facebook, Twitter en Google+ zijn niet meer weg te denken in de

hedendaagse maatschappij. Om een voorbeeld te geven van het belang van sociale netwerken; Facebook verwerkt iedere seconde ongeveer 10 miljoen webrequests van over de hele wereld.76

Via sociale media is het leggen of in stand houden van relaties, zowel op nationaal als internationaal niveau, tussen personen of personen en bedrijven makkelijker dan ooit. Vele mensen maken gebruik van sociale media en delen zo vrijwillig allerlei persoonsgegevens met de wereld. Als gevolg hiervan wordt er door bedrijven gebruik gemaakt van deze gegevens die voor een groot gedeelte voor marketing doeleinden worden gebruikt.

Allerlei soorten berichten die op sociale media terecht komen, ook berichten die in eerste instantie totaal niet van belang lijken, bijvoorbeeld een bestelling in een restaurant, zijn voor marketing bedrijven van belang omdat ze deze kunnen opslaan en analyseren.77

Het verkoop van persoonsgegevens door sociale media aan derde partijen is in de

meeste gevallen niet transparant. Dat wil zeggen dat de gebruiker in veel gevallen niet zal weten welke persoonsgegevens doorverkocht worden aan onder andere bedrijven die deze gegevens gebruiken voor marketing doeleinden. Google versimpelt dit onder andere door meerdere van de aangeboden diensten, waaronder hun sociale netwerksite Google+, aan elkaar te linken waardoor er steeds grotere en completere dossiers met persoonsgegevens ontstaan.78

Facebook doet ook aan verkoop van persoonsgegevens aan derden waar de gebruiker waarschijnlijk totaal niet aan dacht toen deze zijn profiel aan het maken of aanpassen was. Als voorbeeld van het soort persoonsgegevens die verkocht worden, moet gedacht worden aan bijvoorbeeld interesse op het gebied van muziek, entertainment en politieke voorkeuren.79 76 _{Mayer-Schönberger 2009, p. 3.} 77 _{Tsesis 2014, p. 115.} 78 _{Pariser 2011, p. 33–34.} 79 _{Pariser 2011, p. 39, 189–90} 21

Hieromtrent moet ook nog het vergaren, opslaan en verwerken van persoonsgegevens genoemd worden van personen die niet eigenhandig de gegevens op het sociale netwerk

geplaatst hebben. Te denken valt aan derden die met de gebruiker op een door gebruiker op het sociale netwerk geplaatste foto staat. Op deze manier kan deze derde ook onderworpen worden aan onder andere gerichte marketing.80

In feite hoort bij de hiervoor besproken bedrijfspraktijken de richtlijn de Eu burger bescherming te bieden. Lidstaten dienen op basis van de richtlijn ervoor zorg te dragen dat de verspreiding van persoonsgegevens, zonder de kennisneming hiervan van degene op wie de persoonsgegevens betrekking hebben, tegen te gaan. Tenzij de betrokkene een ondubbelzinnige toestemming hiervoor heeft gegeven of aan een aantal andere voorwaarden is voldaan. De bedrijven die met de persoonsgegevens werken hebben de primaire verantwoordelijkheid om zich aan de richtlijn te houden.81 _{In theorie lijkt dit een mooie oplossing echter, zoals eerder}

aangegeven,82 blijkt dit in de praktijk lang niet het geval te zijn omdat de naleving van de regels en de controle hierop niet voldoende is gebleken. Zo is uit een onderzoek naar voren gekomen dat in de praktijk rechthebbenden zelden gebruikmaken van de rechten die hun toekomen. Een steekproef in Nederland gaf aan dat bijna de helft van de ondervraagde organisaties nog nooit een verzoek tot inzage had ontvangen, dat maar 22% geregeld een verzoek tot wijziging of aanvulling van persoonsgegevens had ontvangen en 50% ontving zelden een zelfde verzoek. 20% van de ondervraagden hadden zelfs nog nooit een dergelijk verzoek ontvangen.83

Dat de verordening grote gevolgen zal hebben voor het gebruik van persoonsgegevens, door sociale media bedrijven, is redelijk aannemelijk. Zo zullen de bedrijven onder andere hun ICT systemen op een verschillende manier in moeten richten om te kunnen voldoen aan de plicht van “privacy by design and privacy by default”, tevens zal dit de nodige kosten met zich meebrengen.

Ook zal voldaan moeten worden aan het verzoek van de EU burger om vergeten te worden. Kijkend naar de in de inleiding besproken Google zaak van het Europese Hof zal dit waarschijnlijk grote gevolgen hebben voor bedrijven als Facebook, wat deze gevolgen precies

80 _{Tsesis 2014, p. 118}

81 _{overweging 39-40 Richtlijn 95/46/EG} 82 _{Zie Hoofdstuk 2.}

83 _{H.B. Winter, P.O. de Jong, A. Sibma, F.W. Visser, M. Herweijer, A.M. Klingenberg & H. Prakken, Wat niet}

weet, wat niet deert. Een evaluatieonderzoek naar de werking van de Wet bescherming persoonsgegevens in de praktijk, Den Haag: WODC, Ministerie van Justitie 52. 2008, p. 82-83; Kamerstukken II 2006/07, 31 051 (BLG19029); www.wodc.nl/images/1382b-volledige-tekst_tcm44-165373.pdf. Zie daarover: H.B. Winter, ‘De werking van de WBP in kaart gebracht: onbekend maakt onbemind’, RegelMaat 2009-2; A.M. Klingenberg, ‘Wat niet weet, wat niet deert: de evaluatie van de Wet bescherming persoonsgegevens’, P&I 2009-2.

22

zullen zijn kan op dit moment nog niet met zekerheid vastgesteld worden. Tevens is de verordening nog niet geratificeerd en dus kan er nog van alles aan veranderd worden.

Het belang van sociale media bedrijven om met de persoonsgegevens van hun gebruikers geld te verdienen of te besparen is op basis van de besproken voorstel verordening door de Europese Commissie evident minder belangrijk gevonden dan het belang van de EU burger om zijn gegevens effectief te kunnen beschermen. De mogelijkheid voor deze bedrijven om geld te verdienen aan de persoonsgegevens zoals dat nu het geval is, zal dus ook waarschijnlijk negatief beïnvloed worden door de striktere regels. Dit kan tevens grote gevolgen hebben voor de welvaart, wat vervolgens weer burgers kan schaden.84 De mogelijke gevolgen hiervan zijn onder meer een mogelijkheid om in de toekomst bijvoorbeeld te moeten betalen voor het gebruik van

sociale media.

84 _{Titulaer-Meddens 2012, p. 105; Bijlsma, Straathof & Zwart 2014, p. 5.}

23

5. Belangenafweging.

Op basis van de voorgaande hoofdstukken en een aantal argumenten uit de literatuur zal in dit hoofdstuk de afweging van belangen van aan de ene kant burgers bij de bescherming van hun persoonsgegevens en aan de andere kant de belangen van de bedrijven om deze gegevens te gebruiken plaatsvinden. Deze afweging is cruciaal om een antwoord te vinden op de hoofdvraag.

De wetgeving op het gebied van privacy waaronder dus zeker ook die met betrekking tot de bescherming van persoonsgegevens kan de welvaart voor een groot deel beïnvloeden. Zo zal te strikte wetgeving ook negatief uit kunnen vallen voor burgers omdat het de bedrijven te zwaar treft en niemand hierbij gebaat is.85 _{Het gebruik van al verzamelde persoonsgegevens bij nieuw}

ontwikkelde bedrijfpraktijken zal dan bijvoorbeeld verboden zijn. Aan de andere kant is te soepele wetgeving schadelijk als hierdoor bedrijven in alle vrijheid persoonsgegevens kunnen gebruiken en burgers hier vervolgens schade door ondervinden, of als het gebruik van deze gegevens niet overeenkomt met het doel.86

In de literatuur wordt er ook wel een onderscheid gemaakt tussen de juridische en de economische benadering van privacy, die elkaar overigens niet uitsluiten.87 _{Deze juridische}

benadering is meer aanwezig in de EU en de economische benadering is meer aanwezig in de Verenigde Staten. Waar het verschil in de kern op neerkomt is dat bedrijven in de VS meer ruimte krijgen om gebruik te maken van persoonsgegevens zonder dat hier een doel aan vast gekoppeld moet zijn. Er kan dus gesteld worden dat het belang van bedrijven in de VS belangrijker gevonden wordt en het belang van de rechten van de burgers, in het bijzonder als de voorstel verordening ingevoerd zal worden, in de EU juist weer belangrijker is.88

Het is voor de beantwoording van de onderzoeksvraag handig om de belangen van de twee partijen duidelijk tegenover elkaar te zetten. De belangen van de burger bij het beschermen van zijn persoonsgegevens is uit de voorgaande hoofdstukken als volgt weer te geven; Ten eerste is het een noodzaak gezien het niveau van bescherming achterloopt op de technologische ontwikkelen waar bedrijven gebruik van maken. Ten tweede is het niveau van vertrouwen in de bescherming van persoonsgegevens voor de consument van belang. Het ondervinden van nadeel als gevolg van het gebruik van persoonsgegevens speelt hier een grote rol bij. Als de bescherming van

persoonsgegevens van een voldoende niveau is zal dit tevens positieve effecten hebben op de invulling van de eigen persoonlijkheid, het creëren van een zelfbeeld, het verwisselen van gedachten en het inrichten van de eigen toekomst.

De belangen van de bedrijven bij het gebruik van persoonsgegevens zijn op basis van de

85 _{Bijlsma, Straathof & Zwart 2014, p. 5.} 86 _{Bijlsma, Straathof & Zwart 2014, p. 5.} 87 _{Bijlsma, Straathof & Zwart 2014, p. 4.} 88 _{Bijlsma, Straathof & Zwart 2014, p. 4.}

24

voorgaande hoofdstukken als volgt weer te geven; Om te beginnen het belangrijkste aan

persoonsgegevens voor bedrijven is het feit dat deze een economische waarde hebben. Ten tweede kunnen op basis van de persoonsgegevens vraag en aanbod beter op elkaar afgestemd worden en dit is op zijn beurt weer efficiënt voor de gehele markt. Ook kunnen op basis van persoonsgegevens potentiële klanten beter ingeschat worden en gerichtere advertenties verzorgd worden waardoor de inkomsten van reclames efficiënter worden. Bepaalde risico’s kunnen uitgesloten worden doordat gegevens controleerbaar zijn met al kenbare persoonsgegevens. Tot slot kunnen bedrijven door middel van persoonsgegevens nieuwe producten ontwikkelen.

Mijns inziens moeten de belangen van de EU burger in alle gevallen zwaarder wegen dan de belangen van de in deze scriptie besproken bedrijven. De voornaamste reden hiervoor is het feit dat het hier over persoonsgegevens gaat, deze gaan over een persoon en deze moet hier zelf de

volledige invloed over uit kunnen oefenen met name op het gebied van cookies en sociale media. Deze gegevens horen niet overgeleverd te zijn aan de grillen van ondernemingen. De voorstel verordening is mijns inziens dus ook een vooruitgang ten opzichte van de huidige situatie. Wel is zoals hiervoor aangegeven het voor de welvaart van belang dat er een juiste balans gevonden wordt tussen de bescherming en het gebruik van de persoonsgegevens. Dit is mijns inziens op te lossen door consumenten de keuze te geven of ze hun persoonsgegevens willen blootstellen aan bedrijven om hier zo op enige manier voordeel uit te halen. Denk hierbij aan het eerder besproken voorbeeld van hoe AT&T zijn klanten korting geeft.

De onderzoeksvraag luidde: Is, gezien de tegenstrijdige belangen van aan de ene kant de privacy van de EU burger en aan de andere kant het belang van persoonsgegevens voor

bedrijven die met name op internet actief zijn, de keuze van de EU voor een verordening waarin de burger meer bescherming op het gebied van persoonsgegevens gaat genieten niet onredelijk bezwarend tegenover de ondernemers?

Aan de ene kant moet het antwoord “nee” luiden omdat aan de hand van de vorige hoofdstukken duidelijk is geworden dat de rechten van de EU burger omtrent zijn

persoonsgegevens inderdaad versterkt worden, onder andere door het “recht om vergeten te worden” nu ook wel bekend onder “recht om te wissen”. Maar tegelijkertijd is naar voren gekomen dat de bestaande rechten hieromtrent vaak niet voldoende bescherming bieden en niet voldoende nageleefd worden. Dit heeft voor een groot gedeelte te maken met de grote technologische vooruitgangen van de afgelopen jaren en de verouderde en te ruim

geformuleerde wetgeving die hierop van toepassing is. De Europese wetgever geeft aan dat het vertrouwen van burgers bij het gebruik van hun persoonsgegevens cruciaal is omdat bij een gebrek aan vertrouwen de consument terughoudend zal zijn met het gebruik ervan. Tevens valt

nog op te merken dat de belangen van de burger en de bedrijven niet altijd tegenstrijdig hoeven te zijn omdat zij allebei gebaat zijn bij een welvarende markt wat een gevolg is van een juiste afweging van de belangen zoals uit het voorgaande gebleken is. Ook de toename in plichten voor bedrijven, waaronder de plicht tot “Privacy by design en privacy by default”, omtrent de omgang met persoonsgegevens doet hier niet aan af omdat hier dezelfde punten op van toepassing zijn. Kort gezegd; de bedrijven zullen ook met de tijd mee moeten gaan op het gebied van de

beveiliging van de persoonsgegevens omdat in de Europese unie de privacy nou eenmaal een belangrijk recht is. Het argument valt te maken dat de bedrijven op basis van deze nieuwe regels dus zullen moeten innoveren.

Aan de andere kant is het wel bezwarend omdat veel bedrijven hoogstwaarschijnlijk flinke investeringen zullen moeten doen om zich aan de wet te houden en zoals eerder aangegeven vooral voor bedrijven als Google en Facebook een grote bron van inkomsten op basis van de persoonsgegevens is, dit is in de politiek zelfs als ‘zorgelijk punt’89 bestempeld.90 Dit terwijl veel van deze bedrijven waaronder Facebook zijn diensten op dit moment gratis aanbiedt. Waar de rekening hiervoor uiteindelijk neergelegd zal worden is nu nog niet te zeggen. Indien zij zich niet houden aan de voorgeschreven regels zullen ze op grove sancties kunnen rekenen.

Mijns inziens delven de bedrijven bij de voorstel verordening inderdaad het onderspit maar dit betekend echter niet dat dit ook onredelijk bezwarend is, en dit is het mijns inziens ook niet. De EU wetgever heeft de belangen van de EU burger belangrijker gevonden en de

ondernemingen zullen hierop in moeten spelen. Tevens is het niet zo dat er een totaal verbod geldt voor het gebruik van persoonsgegevens en er is dus nog wel ruimte voor bedrijven om deze gegevens te gebruiken.

89 _{Uitspraak toegeschreven aan minister Opstelten (Minister van Veiligheid en Justitie) in antwoord op een}

vraag van een journalist (2013), via ‘Opstelten: hoge kosten bescherming persoonsgegevens zorgelijk punt’, NOS 7 juni 2013, http://nos.nl/video/515351-opstelten-hoge-kosten-bescherming-persoonsgegevens-zorgelijk-punt.html

90 _{Titulaer-Meddens 2012, p. 105-106; Graef 2014, p. 89;}

26

6. Conclusie

Zoals het er nu voor staat is het zeker dat de verordening in de EU veranderingen teweeg zal gaan brengen op het gebied van de bescherming van persoonsgegevens. De besproken nieuwe rechten en plichten die door de verordening in het leven worden geroepen zijn hier voorbeelden van. Ook de in de inleiding besproken Google zaak van het Europese Hof van Justitie geeft aan dat er een verandering aan zit te komen op dit rechtsgebied. Of we deze rechten en plichten in hun huidige vorm ook in de uiteindelijke verordening terug zullen vinden is niet helemaal zeker gezien er in de literatuur hieromtrent behoorlijk wat los is gekomen. Dit valt ook terug te zien aan de doorgevoerde amendementen van de LIBE Commissie.

Er is door de Europese Commissie gekozen voor het instrument dat zorgt voor maximum harmonisatie, namelijk een verordening. Dit zal ervoor zorgen dat in de lidstaten van de EU precies dezelfde regels met betrekking tot de bescherming van persoonsgegevens zullen gaan gelden omdat dit met de richtlijn niet gelukt is. Dit is wenselijk gebleken kijkend naar de snelle technologische ontwikkelingen van de laatste jaren.

Bij zowel de richtlijn als de verordening duurde/duurt de totstandkoming vrij lang. Met alle belangen die een rol bij de besluitneming is dit niet verwonderlijk. Wel is er door middel van het verdrag van Lissabon een nieuwe grondslag in het leven geroepen om de totstandbrenging van de verordening voor elkaar te krijgen.

Het belang dat de EU burger heeft met betrekking tot zijn persoonsgegevens is dat deze voldoende beschermd worden door middel van regelgeving. Het is gebleken dat dit op dit moment onder de richtlijn niet het geval is. Het grootste belang van de bedrijven die met deze gegevens werken zit hem in het feit dat persoonsgegevens zeer kostbaar zijn. Uit de voorstel verordening kan afgeleid worden dat de Europese Commissie ervoor heeft gekozen om de belangen van de EU burger zwaarder te laten wegen dan die van de bedrijven.

Het is zeer waarschijnlijk dat de verordening in zijn huidige vorm gevolgen zal hebben voor de bescherming van de persoonsgegevens van de EU burgers en de manier waarop bedrijven met deze gegevens om gaan. Of dit onredelijk bezwarend voor de bedrijven is kan negatief beantwoord worden omdat aan de ene kant is gebleken dat de huidige regels niet voldoende bescherming voor persoonsgegevens bieden en een verbetering hier dus noodzakelijk is. Tevens is, kijkend naar het belang van de privacy in de EU, het niet verwonderlijk dat de regels hieromtrent aangescherpt worden. Aan de andere kant zullen ondernemingen investeringen moeten doen om de bescherming van persoonsgegevens te garanderen en er

hoogstwaarschijnlijk minder inkomsten op basis van de persoonsgegevens verkregen zullen 27

worden, gezien de regels hieromtrent strikter worden. Tevens staan er voor bedrijven hoge sancties op de schending van de regels uit de verordening. De versterking van de rechten van de EU burger en de verzwaring van de plichten voor ondernemingen is mijns inziens niet onredelijk bezwarend omdat voor beide belangen wat te zeggen valt, maar het belang van privacy in de EU nu eenmaal zeer belangrijk gevonden wordt. Wel is het evident dat het voor bedrijven zwaarder zal worden onder de voorstel verordening. Zij moeten immers beter rekening houden met de regels omdat hier anders hoge boetes tegenover kunnen staan.

Literatuurlijst

Ambrose & Ausloos 2013

M.L. Ambrose & J. Ausloos, ‘The Right to be Forgotten Across the Pond’ (21 september 2012),

Journal of Information Policy, Vol. 3-2013, p. 1-23,

Bakker 2007

C. Bakker, ‘Europees recht, een inleiding’, Pearson Benelux B.V 2007. Berger 2011

D.D. Berger, ‘Balancing Consumer Privacy with Behavioral Targeting’, 27 Santa Clara Computer &

High Tech 2011, L.J. 3, P. 18. Berkvens 2004

J.M.A. Berkvens, ‘Van Twee Kanten. Na 15 jaar privacywetgeving. I. Ontvreemde privacy’, Rechtsgeleerd Magazijn THEMIS 2004, afl. 5, p. 269.

Bijlsma, Straathof & Zwart 2014

M. Bijlsma, B. Straathof & G. Zwart, ‘Kiezen voor privacy: Hoe de markt voor persoonsgegevens beter kan’, Den Haag: Centraal Planbureau 2014.

Costa & Poullet 2012

L. Costa & Y. Poullet, ‘Privacy and the regulation of 2012’, computer law & security review 2012, afl. 28, p. 254-262.

Graef 2014

I. Graef, ‘Het misbruikverbod op het internet: onlineplatforms als poortwachters van

persoonsgegevens’, Computerrecht: Tijdschrift voor Informatica, Telecommunicatie en Recht 2014, afl. 2, p. 89-94.

Hoboken 2012

J. van Hoboken, ‘Het recht op vergetelheid: een oud recht in een verkeerd jasje’, P&I 2012, afl. 3, p. 97-98.

Hosen 2012

J. Hosen, ‘The Right to Be Forgotten’, 64 Stan. L. Rev. Online 88 2000, p. 88-92. Cohen 2000

Julie Cohen, ‘Examined Lives: Informational Privacy and the Subject As Object’, Stan. L. Rev. 2000, afl. 52, p. 1373–1438.

Kranenborg & Verhey 2011

H.R. Kranenborg & L.F.M. Verhey, Wet bescherming persoonsgegevens in Europees perspectief, Deventer: Kluwer 2011.

Kranenborg 2013a

H.R. Kranenborg, ‘Nieuwe Europese regels voor de bescherming van persoonsgegevens: van belang voor iedereen’ SEW Tijdschrift voor Europees en economisch recht 2013, afl. 7, p. 312.

Kranenborg 2013b

H.R. Kranenborg, ’Naar nieuwe Europese regels voor gegevensbescherming’, Tijdschrift voor

Constitutioneel Recht 2013, afl. , p. 332-343. Mayer-Schönberger 2009

V. Mayer-Schönberger, Delete. The Virtue of Forgetting in the Digital Age, Princeton: Princeton University Press 2009.

Mujadzic 2013

H. Mujadzic, ‘Are You Making the Most of Customer Data?’, ABC TECH. & GAMES 2013 Pariser 2011

E.Pariser, The Filter Bubble: What The Internet Is hiding from you, Penguin Books Limited 2011. Stucke 2013

M.E. Stucke, ‘Should Competition Policy Promote Happiness?’, 81 Fordham L. Rev. 2013, 2575, p. 2626–29.

Schwab e.a. 2011

K. Schwab e.a., ‘Personal Data: The Emergence of a New Asset Class’, Wereld Economisch Forum 2011, p. 1-40, via www3.weforum.org/docs/WEF_ITTC_PersonalDataNewAsset_Report_2011.pdf. Thole, Van der Jagt & Roerdink 2010

E. Thole, F. van der Jagt & H. Roerdink, 50 Vragen over Privacy, Deventer: Kluwer 2010. 30

Titulaer-Meddens 2012

J.M. Titulaer-Meddens, ‘De Algemene verordening gegevensbescherming en het bedrijfsleven’, P&I 2012, afl. 3,

Tsesis 2001

A. Tsesis, ‘Hate in Cyberspace: Regulating Hate Speech on the Internet’, 38 San Diego L. Rev. 817 2001, p. 829–31.

Tsesis 2014

A. Tsesis,”The Right to be Forgotten and Erasure: Privacy, Data Brokers, and the Indefinite Retention of Data”, Wake Forest Law Review 2014, afl. 48, p. 101-151.

Turow e.a. 2009

J. Turow e.a., ‘Americans Reject Tailored Advertising and Three Activities that Enable It’, Annenberg

School for Communication Working Paper 2009, p. 1-27. Van der Jagt 2013

F. van der Jagt, "Het recht op bescherming van persoonsgegevens", in: "Grondrechten. De nationale, Europese en internationale dimensie", p. 163-183.

Van der Sloot 2012

B. van der Sloot, ‘De nieuwe consumentenrechten in de Algemene verordening

gegevensbescherming: vergeten worden, dataportabiliteit en profilering’, Tijdschrift voor

Consumentenrecht en handelspraktijken 2012, afl. 6, p. 250-259.

Weber 2011

R. Weber, ‘The Right to Be Forgotten: More Than a Pandora’s Box?’, Journal of Intellectual Property,

Information Technology and Electronic Commerce Law 2 2011, afl. 2, p. 120-130. Wetgeving

Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens [Publicatieblad L 281 van 23/11/1995].

Handvest van de grondrechten van de Europese Unie, (PbEG 2000, C 364/01) 31

Het Verdrag betreffende de werking van de Europese Unie [Publicatieblad c83/47 van 30/3/2010]. Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (PbEG, L 201/37)

Beleidsteksten

COM(2010) 609 definitief . Mededeling van de Commissie aan het Europees Parlement, de Raad, het Europees Economisch en Sociaal Comité en het Comité van de Regio’s. Een integrale aanpak van de bescherming van persoonsgegevens in de Europese Unie.

COM(2012) 11 definitief : Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van

persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), Brussel 25 januari 2012

COM(2012) 10 definitief: Voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens, Brussel 25 januari 2012

P7_TA-PROV(2014)0212: Wetgevingsresolutie van het Europees Parlement van 12 maart 2014 over het voorstel voor een verordening van het Europees Parlement en de Raad betreffende de

bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming), Brussel 12 maart 2014

Jurisprudentie

Hof van Justitie van de Europese Unie

HvJ EU 13 mei 2014, nr. C-131/12 (Google Spain/AEPD), via

http://curia.europa.eu/jcms/upload/docs/application/pdf/2014-05/cp140070nl.pdf

Internet bronnen

Wouter van Noort ‘Geld verdienen aan data: persoonlijke gegevens zijn goud waard’, Elsevier 10 mrt. 2014, http://www.elsevier.nl/Tech/nieuws/2014/3/Geld-verdienen-aan-persoonlijke-gegevens-data-is-goud-waard-1477340W/https://www.facebook.com/about/privacy/

‘Opstelten: hoge kosten bescherming persoonsgegevens zorgelijk punt’, NOS 7 juni 2013, http://nos.nl/video/515351-opstelten-hoge-kosten-bescherming-persoonsgegevens-zorgelijk-punt.html

‘Hof: Google moet resultaten wissen’, 13 mei 2014, http://nos.nl/artikel/647198-hof-google-moet-resultaten-wissen.html

Rachid Finge, ‘Google NL: 4200 verwijderverzoeken’, NOS 3 jul. 2014, http://nos.nl/artikel/670082-google-nl-4200-verwijderverzoeken.html

P5 cbp

Judith Laanen, ‘Betalingsregelaar Equens wil pingedrag klanten verkopen’, NRC 23 mei 2013, http://www.nrc.nl/nieuws/2013/05/23/banken-van-plan-pingedrag-klanten-te-verkopen-aan-winkeliers/

John Hendel, ‘Why Journalists Shouldn’t Fear Europe’s ‘Right to Be Forgotten,’ ATLANTIC 25 Jan. 2012, http://www.theatlantic.com/technology/archive/2012/01/whyjournalists-shouldnt-fear-europes-right-to-be-forgotten/251955/

Siraj Datoo, Rapid Development in Big Data Analytics Has Led to Increased Investment, Guardian 22 nov. 2013, http://www.theguardian.com/news/2013/nov/22/rapid-development-in-big-data-analytics-has-led-to-increased-investment

Kristel van Teeffelen, ‘Google worstelt met het nieuwe vergeetrecht’, Trouw 5 Jul. 2014,

http://www.trouw.nl/tr/nl/5133/Media-technologie/article/detail/3684485/2014/07/05/Google-worstelt-met-het-nieuwe-vergeetrecht.dhtml

https://nl.wikipedia.org/wiki/Cookie_%28internet%29