Vragen van het lid Kuiken (PvdA) aan de Minister voor Rechtsbescherming over het bericht dat twee derde van 150 populaire websites de privacywet overtreedt (ingezonden 8 juni 2018).

Antwoord van Minister Dekker (Rechtsbescherming) (ontvangen 11 juli 2018).

Vraag 1

Kent u het bericht «Twee derde van 150 populaire websites overtreedt privacywet»?1

Antwoord 1

Ja.

Vraag 2

Hoe beoordeelt u het onderzoek van de Consumentenbond waarin wordt geconcludeerd dat een grote meerderheid van de 150 bekende websites in Nederland de nieuwe privacywet overtreedt?

Antwoord 2

In het rapport van de consumentenbond gaat het over zowel de naleving van de recent ingevoerde AVG als de in 2012 gewijzigde e-privacyrichtlijn. Het is goed dat de consumentenbond namens de Nederlandse consument bedrijven scherp houdt op de naleving van de privacy wetgeving.

Vraag 3

Kunt u de reactie van de Autoriteit Persoonsgegevens bevestigen dat de werkwijze van de onderzochte websites niet mag? Zo nee, waarom niet?

Antwoord 3

De Autoriteit Persoonsgegevens heeft bevestigd dat in zijn algemeenheid geldt dat voor het plaatsen van tracking cookies vooraf toestemming moet worden gevraagd aan websitebezoekers.

Vraag 4

Hoe beoordeelt u de prioriteitsafwegingen van de Autoriteit Persoonsgegeven en de Autoriteit Consument en Markt? Hoe beoordeelt u de berichtgeving van beide organisaties dat zij zich focussen op andere zaken respectievelijke andere toezichtprioriteiten?

Antwoord 4

De Autoriteit Persoonsgegevens is een onafhankelijke toezichthouder die zelf haar toezichtprioriteiten stelt. Het is daarom niet aan mij om een oordeel te vellen over de prioriteitstelling van de Autoriteit Persoonsgegevens. De Autoriteit Persoonsgegevens heeft onlangs haar toezichtkader voor de jaren 2018 en 2019 uitgebracht waarin zij helder uiteenzet waarop zij de komende tijd prioriteit legt.2

In het aangehaalde rapport van de consumentenbond wordt gesproken over 150 bekende websites, websites in verschillende sectoren die zich soms in zijn geheel maar bij sommige ook in mindere mate richten tot de Nederlandse consument. Nederland kent volgens de Stichting Internet Domein Registratie Nederland thans al ruim 5,8 miljoen websites die zich richten op Nederland. Het aantal websites wereldwijd is hier logischerwijs een veelvoud van. Dit dwingt de toezichthouders tot het maken van keuzes ten aanzien van de inzet van hun handhavingscapaciteit. Het staat de toezichthouders vrij hier hun eigen keuzes in te maken en af te wegen tegen andere problemen.

Desgevraagd licht de Autoriteit Consument en Markt haar keuze toe: de Autoriteit Consument en Markt heeft zich na de invoering van de cookiewet eerst gericht tot 150 websites van de overheid3, gevolgd door de uitgevers van de grootste en populairste websites in Nederland.4 Daarbij ging het om duizenden van de populairste websites in Nederland. Het toezicht van de Autoriteit Consument en Markt heeft zich daarna gefocust op websites waar de privacy van de consument extra belangrijk is. Bijvoorbeeld ten aanzien van de website Stemwijzer die politieke voorkeuren van bezoekers verwerkte5 en gezondheidswebsites6, die medische gegevens van bezoekers verwerkten. De Autoriteit Consument en Markt heeft alle voornoemde overtredingen doen beëindigen.

Vraag 5

Wordt de Autoriteit Persoonsgegevens zo geen tandeloze tijger, gelet op het feit dat zij een kleine organisatie is en geen actie kan ondernemen? Zo ja, wat gaat u doen teneinde ervoor te zorgen dat de Autoriteit Persoonsgegevens beter haar taken kan uitvoeren? Zo nee, waarom niet?

Antwoord 5

De Autoriteit Persoonsgegevens moet net als andere toezichthouders keuzes maken in haar toezicht. Naar mijn mening is de Autoriteit Persoonsgegevens op dit moment voldoende toegerust voor haar taken. Het Ministerie van Justitie en Veiligheid en de Autoriteit Persoonsgegevens monitoren zorgvuldig of de taken van de Autoriteit Persoonsgegevens en het benodigde budget met elkaar in de pas lopen.

Vraag 6

Hoe beoordeelt u de berichtgeving van de Belastingdienst dat zij nog een jaar nodig heeft teneinde aan de privacyregels te voldoen? Hoe kan het dat de Belastingdienst nog een jaar nodig heeft, terwijl er een lange voorbereidingstijd is geweest en tijdig bekend was gemaakt op welke wijze en wanneer de nieuwe privacywetgeving in werking zou treden?

Antwoord 6

De verantwoordelijkheid voor het (tijdig) voldoen aan de AVG ligt bij de desbetreffende overheidsorganisaties, dat geldt ook voor de Belastingdienst. De Belastingdienst heeft mij laten weten dat is gekozen om per 25 mei 2018 een basisniveau van naleving van de AVG te realiseren en in beeld te hebben welke maatregelen nog genomen moeten worden om duurzaam in lijn te komen en blijven met de AVG. Gelet op de aard en omvang van de gegevensverwerkingen bij de Belastingdienst kan ik mij de keuze voor een dergelijke benadering voorstellen. Uit een beoordeling van deze aanpak door de Auditdienst Rijk blijkt dat daarmee alle onderdelen uit het door de Autoriteit Persoonsgegevens opgestelde 10-stappenplan voor implementatie van de AVG afgedekt zijn. Een oordeel over deze aanpak ligt uiteindelijk bij de Autoriteit Persoonsgegevens als toezichthouder voor de AVG.

Vraag 7

Op welke wijze waarborgt u een veilige omgang en verwerking van privacygegevens van belastingbetalers- en ontvangers, nu blijkt dat de Belastingdienst nog een jaar nodig heeft teneinde aan de privacyregels te voldoen?

Antwoord 7

Ook het waarborgen van een veilige verwerking van persoonsgegevens is primair een aangelegenheid van de Belastingdienst zelf. De Belastingdienst heeft adequate technische en organisatorische maatregelen genomen voor informatiebeveiliging, in lijn met de rijksbreed geldende regels. De Belastingdienst is dan ook van mening dat gegevens goed beveiligd zijn.

Vraag 8

Deelt u de mening dat overheidsorganisaties – zoals de Belastingdienst – het goede voorbeeld dienen te geven en ervoor moeten zorgen dat zij tijdig en volledig moeten voldoen aan de privacywetgeving? Zo ja, wat gaat u doen zodat organisaties als de Belastingdienst zo snel mogelijk gaan voldoen aan de wettelijke vereisten rondom de privacywetgeving? Zo nee, waarom niet?

Antwoord 8

Overheidsorganisaties dienen er inderdaad voor te zorgen dat zij tijdig en volledig aan de AVG voldoen. Dat zal op 25 mei jl. – de datum waarop de AVG in werking trad – nog niet overal het geval zijn geweest. In dat geval is het voor een overheidsorganisatie zaak er serieus mee bezig te blijven en zo snel mogelijk tot een afronding van het implementatieproces te komen. Het is aan het bestuursorgaan dat voor de organisatie verantwoordelijk is, om daarvoor zorg te dragen en aan de Autoriteit Persoonsgegevens om daarop toe te zien.

De AVG geldt gelijkelijk voor alle organisaties, publiek en privaat, en zij hebben allen de plicht om aan de kaders die de AVG stelt te voldoen. Het is de eigen verantwoordelijkheid van organisaties om aan de wet te voldoen en het oordeel over de naleving ligt bij de Autoriteit Persoonsgegevens als toezichthouder.

Naar boven