Vragen van het lid Verhoeven (D66) aan de Minister van Economische Zaken over het bericht dat de NPO de privacy van website bezoekers schendt (ingezonden 11 juli 2014).

Antwoord van Minister Kamp (Economische Zaken) (ontvangen 2 oktober 2014).

Vraag 1

Bent u bekend met het bericht «CBP: publieke omroep schendt privacy van bezoekers websites»?1

Antwoord 1

Ja.

Vraag 2

Deelt u de mening van het College bescherming persoonsgegevens (CBP) dat de publieke omroep de Wet bescherming persoonsgegevens overtreedt omdat in een groot aantal gevallen niet vooraf om toestemming gevraagd wordt voor de verwerking van persoonsgegevens door middel van het plaatsen van zogeheten tracking cookies?

Antwoord 2

Het CBP houdt als zelfstandig bestuursorgaan onafhankelijk toezicht op de naleving van de Wet bescherming persoonsgegevens (Wbp). Het is niet aan het kabinet om te beoordelen of in een concreet geval sprake is van een verwerking van persoonsgegevens in strijd met de Wbp.

Vraag 3, 4

Hoe verhouden deze bevindingen van het CBP zich tot het wetsvoorstel voor wijziging van de Telecommunicatiewet (wijziging artikel 11.7a)2?

Hoe beoordeelt u het interpretatieverschil tussen enerzijds de Nederlandse Publieke Omroep (NPO), die ontkent dat het om tracking cookies gaat omdat het surfgedrag alleen gevolgd wordt zolang de bezoeker op NPO-sites blijft, en anderzijds het CBP, die de websites van de NPO ziet als afzonderlijke websites waardoor er sprake zou zijn van tracking cookies?

Antwoord 3, 4

In artikel 11.7a van de Telecommunicatiewet is een rechtsvermoeden opgenomen, dat inhoudt dat bij het gebruik van tracking cookies het vermoeden geldt dat daarbij persoonsgegevens worden verwerkt, waardoor ook aan de Wbp moet worden voldaan.

Het rechtsvermoeden geldt momenteel voor het gebruik van cookies dat tot doel heeft gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren voor commerciële, charitatieve of ideële doeleinden. Het rechtsvermoeden wordt in het wetsvoorstel dat nu ter behandeling in de Tweede Kamer ligt aangescherpt, zodat het rechtsvermoeden er niet langer onbedoeld voor zorgt dat voor cookies die geen of geringe gevolgen voor de privacy hebben, op grond van de Wbp ondubbelzinnige toestemming moet worden gevraagd.

De discussie tussen NPO en CBP lijkt te draaien om de vraag of een verzameling websites kan worden gezien als een enkele dienst van de informatiemaatschappij. Met het begrip dienst van de informatiemaatschappij worden bijvoorbeeld websites en applicaties (apps) bedoeld, maar ook een reclamebanner die op een website wordt getoond is een dienst van de informatiemaatschappij. Dat een partij verantwoordelijk is voor meerdere websites betekent niet dat deze verzameling websites één dienst van de informatiemaatschappij vormt.

Voor de vraag of een bepaalde cookie onder het rechtsvermoeden voor tracking cookies valt, is onder de aangescherpte formulering echter niet alleen van belang of gegevens over één of meerdere diensten van de informatiemaatschappij worden verzameld: een cookie valt pas onder het rechtsvermoeden als de daarmee gegenereerde gegevens worden verzameld om bezoekers verschillend te kunnen behandelen. Een partij die het gebruik van meerdere diensten van de informatiemaatschappij in kaart brengt valt dan ook alleen onder dit rechtsvermoeden, als deze partij geen maatregelen neemt om te voorkomen dat met de via deze cookies vergaarde gegevens profielen van gebruikers worden gemaakt op basis waarvan gebruikers verschillend behandeld kunnen worden. Die mogelijkheid kan worden uitgesloten door interne afspraken, of – als derden worden ingeschakeld voor de verwerking van de met de cookies vergaarde informatie – in een bewerkersovereenkomst.

Cookies die door dergelijke afspraken niet kunnen worden gebruikt om gebruikers verschillend te behandelen (bijvoorbeeld analytic cookies die daadwerkelijk alleen worden gebruikt om inzicht te krijgen in de kwaliteit en effectiviteit van websites) vallen dus niet onder het rechtsvermoeden, ook niet als zij gegevens verzamelen over meerdere diensten van de informatiemaatschappij.

Naar boven