Vragen van het lid Hijink (SP) aan de Ministers van Economische Zaken en van Veiligheid en Justitie over de verkoop van browsergegevens (ingezonden 30 maart 2017).

Antwoord van Minister Kamp (Economische Zaken), mede namens de Staatssecretaris van Veiligheid en Justitie (ontvangen 24 april 2017).

Vraag 1

Hebt u kennisgenomen van het recentelijk door de Amerikaanse Senaat aangenomen voorstel om internetproviders zonder toestemming browsegegevens te laten verkopen of delen met derden? Wat vindt u van de overwegingen van de senatoren om hiermee akkoord te gaan?1

Antwoord 1

Het Congres heeft ingestemd met de resolutie om de regels inzake «Bescherming van de Privacy van klanten voor breedband en andere telecommunicatiediensten» die eerder door de Federal Communications Commission (FCC) zijn aangenomen (de zogenaamde «Broadband Privacy Rules») en in december dit jaar in werking zouden treden, in te trekken. Het besluit van het Congres is op 3 april 2017 door president Trump ondertekend.

De door de FCC voorgestelde regels bepaalden onder meer dat de internetserviceproviders van internetgebruikers expliciete toestemming moeten verkrijgen voor onder andere het delen met en verkopen van persoonlijke gegevens aan derden, zoals de browsegeschiedenis en locatiegegevens van de gebruiker. Dit is een zogenoemd opt-in regime.

Het Congres heeft met het intrekken van de regels gehoor gegeven aan de beroepsorganisatie van internetserviceproviders die van mening zijn dat het opt-in regime inzake privacy van de FCC voor de internetserviceproviders strenger is dan de regels van de Federal Trade Commission (FTC) die voor de internetsites gelden. De FTC bepaalt namelijk dat bedrijven in de VS (waaronder ook internetserviceproviders) zonder expliciete toestemming browsegeschiedenis van klanten mogen delen. Door de specifieke privacyregels voor de internetserviceproviders van de FCC zouden internetsites zoals die van Google en Facebook in een bevoorrechte positie worden gebracht.

Het Congres is van oordeel dat de inmenging van de FCC op het terrein van privacy interfereert met het regime van de FTC. Immers, de FCC is een onafhankelijk agentschap van de Amerikaanse regering dat specifiek toezicht houdt op de naleving van de telecommunicatie- en de mediawetgeving en de technologische innovatie bevordert bij het gebruik van breedbanddiensten. De Federal Trade Commission (FTC) is een onafhankelijk agentschap van de Amerikaanse regering dat de belangen van de consumenten beschermt en mededinging in algemene zin bevordert. Zouden de door de FCC voorgestelde regels voor de internetserviceproviders gaan gelden, dan zou er sprake zijn van een onduidelijk en te verwarrend geheel van regelgeving voor Amerikaanse consumenten. Ook zouden onder het regime strengere privacystandaarden gelden voor de internetserviceproviders dan voor de internetsites van Google en Facebook waardoor er sprake zou zijn van een ongelijk speelveld. Consumenten moeten er vanuit kunnen gaan dat er uniforme privacyregels door de regering worden opgesteld. Door het intrekken van de regels van de FCC, is er geen specifieke regulering van internetserviceproviders meer op dit gebied. Daarnaast wordt met het besluit voorkomen dat de FCC in de toekomst soortgelijke regels vaststelt.

Ik neem kennis van de overwegingen van het Congres. Ik onthoud mij van het uitspreken van een oordeel daarover.

Vraag 2

Welke consequenties heeft dit Amerikaanse voorstel voor Europese en meer specifiek Nederlandse browsegegevens?

Antwoord 2

Het is moeilijk in te schatten of het schrappen van het opt-in regime van de FCC-resolutie in algemene zin impliceert dat de internetproviders de privacy van hun abonnees in de uitverkoop doen. De grotere Amerikaanse internetproviders gaven aan dat zij persoonsgevoelige informatie van hun abonnees niet aan derden zullen verkopen en dat zij in dat kader hun eigen privacybeleid zullen blijven voeren. Daarnaast gaf een grote zakelijke internetprovider aan nu al een advertentieprogramma te hebben waarbij alleen geanonimiseerde, geaggregeerde data worden gebruikt voor onder andere adverteerders. Echter, gegeven het feit dat de internet service providers nog steeds onder toezicht van de FCC en de FTC staan en de «Broadband Privacy Rules» toch pas in december 2017 in werking zou treden, verandert er weinig aan de bestaande situatie.

Nu het opt-in regime (toestemmingsvereiste) geschrapt wordt, zou dat tot gevolg kunnen hebben dat Amerikaanse of consumenten van elke andere nationaliteit die klant zijn bij een Amerikaanse internetprovider een lager beschermingsniveau geboden wordt, bijvoorbeeld doordat andere internetproviders andere zakelijke afwegingen maken. Voor internet service providers die op de Europese of Nederlandse markt actief zijn, geldt het EU-privacyrecht. Dat recht stelt strenge eisen aan de wijze waarop verantwoordelijken moeten omgaan met de gegevens van hun klanten. Zie verder het antwoord op vraag 3.

Vraag 3

Op welke manier zorgen bijvoorbeeld de Algemene Verordening Gegevensbescherming en de E-Privacyverordening nu en in de toekomst ervoor dat wordt voorkomen dat Europese browsegegevens worden doorverkocht aan Amerikaanse bedrijven?

Antwoord 3

In de EU en dus ook in Nederland gelden de Europese algemene privacyrichtlijn (95/46/EG) die in de Wet bescherming persoonsgegevens is geïmplementeerd en de Europese ePrivacy richtlijn (2002/58/EG) die in de Telecommunicatiewet is geïmplementeerd. Deze Europese regelingen vormen het juridische kader dat de digitale privacy en het vertrouwelijke karakter ervan voor burgers van de Europese Unie moet waarborgen. In dit Europees juridisch kader is geregeld dat het exporteren (doorgifte) van persoonsgegevens (onder andere persoonsgevoelige browserdata) ook een vorm van verwerking van persoonsgegevens is en de geldende voorwaarden ook voor de doorgifte van persoonsgegevens van toepassing zijn. Doorgifte van persoonsgegevens naar een land buiten de EU is echter aan strenge regels onderworpen zodat de Europese burgers na doorgifte in beginsel een vergelijkbare bescherming genieten als binnen Europa.

De Algemene verordening gegevensbescherming (AVG) is de opvolger van de Algemene privacy richtlijn en zal per 25 mei 2018 in werking treden. De AVG kent een vergelijkbaar regime als de huidige privacyrichtlijn. Wel is de sanctionering aanmerkelijk aangescherpt. Ingeval van overtredingen riskeert een organisatie een boete van € 20 mln of tot 4% van de totale wereldwijde jaaromzet.

De ePrivacy richtlijn, die zich specifiek op de verwerking van persoonsgegevens voor elektronische communicatiediensten richt (lex specialis), wordt thans herzien. Een van de grootste wijzigingen in dit voorstel is dat de OTT-diensten (over de top diensten) zoals Facebook, Whatsapp en Skype ook onder deze regulering zullen vallen en verplicht worden om de vertrouwelijkheid van de communicatie te waarborgen.

Vraag 4

Wat gaan u en uw Europese collega’s ondernemen om ervoor te zorgen dat Europese browsegegevens niet zonder toestemming kunnen worden doorverkocht aan of gedeeld met derden? Hoe groot is de kans dat een soortgelijk voorstel in EU-verband zal worden aangenomen?

Antwoord 4

Op zichzelf genomen is het verstrekken of doorgeven van persoonsgegevens, al dan niet tegen betaling niet verboden. Of voor de verstrekking of doorgifte toestemming van de betrokkene vereist is, is geheel afhankelijk van de concrete rechtsverhouding tussen verantwoordelijke en betrokkene. Voor browsegegevens is de gebruiksovereenkomst tussen gebruiker en browserexploitant daarvoor het kader. Voor zover het gaat om doorgifte van persoonsgegevens naar een ontvanger in een derde land geldt dat het huidige en het komende EU-privacyrecht voldoende waarborgen bevat waarmee de doorgifte van browsegegevens naar derde landen wordt omringd. Die waarborgen zijn van uiteenlopende aard. Toestemming van de betrokkene is een van de mogelijke rechtsgrondslagen voor de doorgifte van gegevens. Het is aan de Europese Commissie en niet aan ministers om voorstellen voor wijziging van de regelgeving op te stellen en in te dienen. Ik acht de kans klein dat de Commissie overweegt om specifieke regels te ontwikkelen die de browsegeschiedenis van internetgebruikers reguleren aangezien er onlangs een geheel nieuw raamwerk voor het algemene privacyrecht is afgerond en er thans wordt onderhandeld over een nieuw kader voor het e-privacyrecht. Deze nieuwe regelingen bevatten al de nodige waarborgen die zien op de doorgifte van browsergegevens aan derde landen.

Naar boven