Vragen van het lid Oosenbrug (PvdA) aan de Ministers van Veiligheid en Justitie en van Binnenlandse zaken en Koninkrijksrelaties over het misbruik van privégegevens door apps (ingezonden 31 maart 2016).

Antwoord van Minister Van der Steur (Veiligheid en Justitie) mede namens de Minister voor Wonen en Rijksdienst (ontvangen 25 april 2016).

Vraag 1

Kent u het item «Tinder schendt je privacy» in de uitzending van Radar van 28 maart 2016?1

Antwoord 1

Ja.

Vraag 2

Kent u het bericht «Facebook Mines Data Off Cancer Sites, Users Say?2

Antwoord 2

Ja.

Vraag 3

In hoeverre schenden apps als Facebook en Tinder met hun inlogsystemen de huidige regels voor de bescherming van privacygevoelige informatie?

Antwoord 3

De wetgever heeft de Autoriteit persoonsgegevens ingesteld om bij uitsluiting van andere organen te oordelen of verantwoordelijken voor de verwerking van persoonsgegevens zich aan de in Nederland geldende wetgeving voor de bescherming van persoonsgegevens houden. De Autoriteit persoonsgegevens is onafhankelijk. Het past mij dan ook niet een oordeel uit te spreken over de vraag of Facebook en Tinder de geldende regelgeving schenden.

Vraag 4

Deelt u de mening dat het ontoelaatbaar is dat apps als Facebook (soms zeer) gevoelige (medische) gegevens uit een profiel van een gebruiker met derden delen? Zo ja, welke consequenties trekt u daaruit voor de privacywetgeving? Zo nee, waarom niet?

Antwoord 4

Het is niet aan mij om vast te stellen of apps zoals Facebook bijzondere persoonsgegevens uit het profiel van een gebruiker aan derden verstrekken, of een oordeel uit te spreken over de toelaatbaarheid van concrete feiten. Dat is aan de Autoriteit persoonsgegevens. Ik kan wel in zijn algemeenheid aangeven dat artikel 16 van de Wet bescherming persoonsgegevens (Wbp) de verwerking van gegevens betreffende de gezondheid verbiedt, behoudens de in de wet geregelde uitzonderingen. In de context van sociale mediasites zoals Facebook en de apps die deze site op mobiele telefoons toegankelijk maken geldt dat de verwerking van gegevens betreffende de gezondheid slechts is toegelaten indien de gebruiker daarvoor uitdrukkelijke toestemming heeft verleend of door de betrokkene duidelijk openbaar zijn gemaakt. Facebook zal er daarom voor moeten zorgen dat voor zover de gegevens niet door de betrokkene openbaar zijn gemaakt de verzameling en eventuele verdere verstrekking gedekt wordt door de uitdrukkelijke toestemming van de betrokkene. Op grond van de artikelen 33 en 34 van de Wbp behoort Facebook de betrokkene daarover behoorlijk voor te lichten. Ik meen dan ook dat de geldende wetgeving de gebruiker voldoende bescherming biedt tegen de mogelijke nadelen van de verwerking van diens gezondheidsgegevens.

Vraag 5

Deelt u de mening dat het akkoord gaan met de algemene voorwaarden niet voldoet om de privacy van de gebruiker te beschermen, zeker omdat een gebruiker niet of nauwelijks beseft waarvoor hij toestemming geeft? Zo ja, hoe gaat u gebruikers beschermen tegen de makers van apps die een verdienmodel hanteren waarin het gebruiken en/of doorverkopen van privacygevoelige informatie centraal staat? Zo nee, waarom niet?

Antwoord 5

Ik meen dat het op de weg van de op de weg van exploitanten van socialemediasites ligt om de gebruikers goed in te lichten over de inhoud van een gebruikersovereenkomst en consequenties van het aanvaarden daarvan. Ik ben echter ook van mening dat ook van de gebruiker verwacht mag worden dat hij zich realiseert dat het gebruik van sociale mediasites, apps, zoekmachines en andere diensten die op zichzelf genomen zonder hoge drempels en zonder geldelijke tegenprestatie worden aangeboden wel een tegenprestatie vragen in de vorm van het verzamelen en verder verwerken van persoonsgegevens. In zoverre is er ook een eigen verantwoordelijkheid van de gebruiker. De gebruiker behoort op grond van informatie die door de verantwoordelijke moet worden verstrekt te kunnen beoordelen of hij de consequenties van het gebruik van de aangeboden dienst aanvaardt. Het is een ervaringsregel dat de algemene voorwaarden bij een gebruikersovereenkomst moeilijk toegankelijk zijn voor gebruikers door omvang en taalgebruik. Die moeilijke toegankelijkheid wil op zichzelf genomen nog niet zeggen dat de genomen beschermingsmaatregelen inhoudelijk onvoldoende zijn. Dat zal van geval tot geval verschillen. Om de toegankelijkheid te verbeteren voorzien veel websites daarom naast de voorwaarden ook in een wat eenvoudiger toelichting. De Europese wetgever heeft in de inmiddels vastgestelde Algemene verordening gegevensbescherming geregeld dat indien toestemming in het kader van een geschreven verklaring, zoals algemene voorwaarden, wordt gevraagd het verzoek om toestemming duidelijk moet worden onderscheiden van alle overige informatie, deze gemakkelijk toegankelijk moet zijn en in duidelijke en eenvoudige taal moet zijn gesteld. Ik acht dit een verbetering van de bescherming van gebruikers.

Vraag 6

Wat is uw reactie op het advies van Bits of Freedom om niet bij apps in te loggen met een Facebook- of Twitteraccount?3

Antwoord 6

Ik juich toe dat organisaties die zich de belangen van gebruikers aantrekken de gebruikers keuzes aanreiken die zij kunnen uitoefenen. Van een uitspraak over een concreet advies onthoud ik mij.

Vraag 7

Gaat u, gezien het privacyschendende verdienmodel van Facebook en het advies van Bits of Freedom, ervoor zorgen dat apps van de rijksoverheid niet met een Facebook- of Twitteraccount toegankelijk (meer) worden? Zo nee, waarom niet?

Antwoord 7

Voor zover bekend, maakt de rijksoverheid bij zijn apps geen gebruik van de inlogmogelijkheid via Facebook- of Twitteraccount.

Naar boven