Antwoord 1

Ja.

Antwoord 2

Het CBP houdt als zelfstandig bestuursorgaan onafhankelijk toezicht op de naleving van de Wet bescherming persoonsgegevens (Wbp). Het is niet aan het kabinet om te beoordelen of in een concreet geval sprake is van een verwerking van persoonsgegevens in strijd met de Wbp.

Antwoord 3, 4

In artikel 11.7a van de Telecommunicatiewet is een rechtsvermoeden opgenomen, dat inhoudt dat bij het gebruik van tracking cookies het vermoeden geldt dat daarbij persoonsgegevens worden verwerkt, waardoor ook aan de Wbp moet worden voldaan.

Het rechtsvermoeden geldt momenteel voor het gebruik van cookies dat tot doel heeft gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren voor commerciële, charitatieve of ideële doeleinden. Het rechtsvermoeden wordt in het wetsvoorstel dat nu ter behandeling in de Tweede Kamer ligt aangescherpt, zodat het rechtsvermoeden er niet langer onbedoeld voor zorgt dat voor cookies die geen of geringe gevolgen voor de privacy hebben, op grond van de Wbp ondubbelzinnige toestemming moet worden gevraagd.

De discussie tussen NPO en CBP lijkt te draaien om de vraag of een verzameling websites kan worden gezien als een enkele dienst van de informatiemaatschappij. Met het begrip dienst van de informatiemaatschappij worden bijvoorbeeld websites en applicaties (apps) bedoeld, maar ook een reclamebanner die op een website wordt getoond is een dienst van de informatiemaatschappij. Dat een partij verantwoordelijk is voor meerdere websites betekent niet dat deze verzameling websites één dienst van de informatiemaatschappij vormt.

Voor de vraag of een bepaalde cookie onder het rechtsvermoeden voor tracking cookies valt, is onder de aangescherpte formulering echter niet alleen van belang of gegevens over één of meerdere diensten van de informatiemaatschappij worden verzameld: een cookie valt pas onder het rechtsvermoeden als de daarmee gegenereerde gegevens worden verzameld om bezoekers verschillend te kunnen behandelen. Een partij die het gebruik van meerdere diensten van de informatiemaatschappij in kaart brengt valt dan ook alleen onder dit rechtsvermoeden, als deze partij geen maatregelen neemt om te voorkomen dat met de via deze cookies vergaarde gegevens profielen van gebruikers worden gemaakt op basis waarvan gebruikers verschillend behandeld kunnen worden. Die mogelijkheid kan worden uitgesloten door interne afspraken, of – als derden worden ingeschakeld voor de verwerking van de met de cookies vergaarde informatie – in een bewerkersovereenkomst.

Cookies die door dergelijke afspraken niet kunnen worden gebruikt om gebruikers verschillend te behandelen (bijvoorbeeld analytic cookies die daadwerkelijk alleen worden gebruikt om inzicht te krijgen in de kwaliteit en effectiviteit van websites) vallen dus niet onder het rechtsvermoeden, ook niet als zij gegevens verzamelen over meerdere diensten van de informatiemaatschappij.