Vragen van het lid Oosenbrug (PvdA) aan de Minister van Economische Zaken over het gebruik van «supercookies» door Vodafone (ingezonden 19 augustus 2015).

Antwoord van Minister Kamp (Economische Zaken) (ontvangen 28 september 2015)

Vraag 1

Kent u het bericht «Vodafone gebruikt omstreden supercookies die app- en surfgedrag doorgeven»?1

Antwoord 1

Ja.

Vraag 2

Welke wet- of regelgeving geldt er in Nederland ten aanzien van het gebruiken van de in het bericht genoemde «supercookies»?

Antwoord 2

Allereerst is het belangrijk te weten dat het aangehaalde bericht betrekking heeft op het meesturen van zogenaamde ASID-headers door de netwerkaanbieder.

De term «supercookie» is verwarrend, aangezien er geen informatie op het randapparaat van de eindgebruiker wordt geplaatst of gelezen, zoals bij cookies wel het geval is. ASID staat voor Anonymous Subscriber Identification. Bij het gebruik van ASID-headers stuurt de aanbieder van de internettoegangsdienst een identificerende code mee met de data die een eindgebruiker verstuurt bij het bezoeken van een internetadres. Als ASID-headers worden gebruikt om eindgebruikers te identificeren, is er sprake van verwerking van persoonsgegevens. Hierop is de Wet bescherming persoonsgegevens (hierna: Wbp) van toepassing. Aangezien er bij het meesturen van ASID-headers geen informatie op het randapparaat van de eindgebruiker wordt geplaatst of gelezen is artikel 11.7a van de Telecommunicatiewet hierop niet van toepassing. Dit neemt niet weg dat ik de ontwikkelingen ten aanzien van het gebruik van ASID-headers ook zal volgen vanuit mijn verantwoordelijkheid vanuit de Telecommunicatiewet.

Vraag 3

Is het gebruik van «supercookies» in Nederland toegestaan? Zo ja, waarom? Zo nee, waarom niet?

Antwoord 3

Op grond van de Wbp moet de betrokkene worden geïnformeerd over de verwerking van persoonsgegevens door middel van het meesturen van ASID-headers aan het uitgaand verkeer van een gebruiker van mobiel internet.

Voor het verwerken van persoonsgegevens is bovendien een van de in artikel 8 Wbp genoemde verwerkingsgrondslagen vereist. Een ASID-header kan bijvoorbeeld gebruikt worden om veilig internetbankieren via een mobiel netwerk mogelijk te maken. Het is dan denkbaar dat het meesturen van een ASID-header noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is. Als er geen noodzaak is een ASID-header mee te sturen voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, dan zal er meestal ondubbelzinnige toestemming van de betrokkene vereist zijn.

Vraag 4

Waarom worden in de Verenigde Staten supercookies niet meer gebruikt? En wat zegt dat over het toestaan van het gebruik van «supercookies» in Nederland?

Antwoord 4

Dat is mij niet bekend. Wel leid ik uit het in vraag 1 genoemde krantenartikel af dat men in de Verenigde Staten met het gebruik is gestopt onder politieke druk. Dat men in de Verenigde Staten geen ASID-headers meer gebruikt zegt mijns inziens niets over het toestaan van dergelijke praktijken in Nederland.

Vraag 5

Indien het gebruik van «supercookies» in Nederland is toegestaan, welke beperkingen gelden daarvoor en wie houdt toezicht op het naleven daarvan?

Antwoord 5

Zie het antwoord op vraag 3. Het College bescherming persoonsgegevens houdt toezicht op de naleving van de Wbp.

Vraag 6

In hoeverre kunnen telecomaanbieders die «supercookies» gebruiken daarmee informatie vergaren waarmee de privacy van hun klanten kan worden geschonden? En hoe kunnen klanten voorkomen dat er sprake is van dergelijke privacyschendingen?

Antwoord 6

Dat kan binnen de hiervoor in het antwoord op vraag 3 geschetste grenzen. Dit betekent veelal dat (ondubbelzinnige) toestemming vereist is voor het verwerken van de (persoons)gegevens. Een internetgebruiker kan een eventuele schending van de wettelijke verplichtingen door de aanbieder niet voorkomen. Wel kan een internetgebruiker in voorkomend geval een klacht indienen bij de toezichthouder indien hij vermoedt dat de wettelijke regels zijn overtreden.

Vraag 7

Is het waar dat programma’s waarmee gebruikers zich tegen ongewenste inbreuken op hun privacy of surfgedrag willen beschermen, in het geval van supercookies niet werken? Zo nee, wat is er dan niet waar?

Antwoord 7

Het is juist dat bedoelde programma’s niet gebruikt kunnen worden om het volgen van een internetgebruiker door middel van ASID-headers te voorkomen.

Vraag 8

Deelt u de mening dat het niet aan een telecomaanbieder is om te bepalen of de inzet van «supercookies» «functioneel» is maar dat de klant dat moet kunnen bepalen en dat de klant moet kunnen bepalen of hij supercookies wenst te aanvaarden? Zo ja, wat gaat u doen om dit te bewerkstelligen? Zo nee, waarom niet?

Antwoord 8

Nee. Zoals hiervoor aangegeven moet de internetgebruiker over het gebruik van ASID-headers worden geïnformeerd en zal vaak toestemming van de internetgebruiker nodig zijn. Hierop zijn, zoals ook hiervoor is aangegeven, echter uitzonderingen. Het is primair de verantwoordelijkheid van de aanbieder te beoordelen of hij toestemming moet vragen of een beroep kan doen op een andere grondslag voor de verwerking van persoonsgegevens. Maakt hij daarbij een verkeerde beoordeling dan kan door de toezichthouder daartegen worden opgetreden. Het lijkt niet zinvol een systeem in te voeren waarbij de internetter ook om toestemming wordt gevraagd in situaties waarbij daar geen enkele reden toe is.

Naar boven