Vragen van de leden Van Gent en Middendorp (beiden VVD) aan de Minister voor Rechtsbescherming over het bericht «Zit u op LinkedIn? Dan gooit Lusha uw privénummer mogelijk op straat» (ingezonden 11 augustus 2020).

Antwoord van Minister Dekker (Rechtsbescherming) (ontvangen 21 september 2020). Zie ook Aanhangsel Handelingen, vergaderjaar 2019–2020, nr. 3893.

Vraag 1

Heeft u kennisgenomen van het bericht «Zit u op LinkedIn? Dan gooit Lusha uw privénummer mogelijk op straat»?1

Antwoord 1

Ja, ik heb kennisgenomen van het bericht.

Vraag 2

Is onderzoek gedaan naar deze service en gekeken of er al dan niet sprake is van een gerechtvaardigd belang? Zo nee, waarom niet?

Antwoord 2

De Autoriteit Persoonsgegevens (AP) zou de instantie zijn, die dit onderzoek zou kunnen doen. De AP is een onafhankelijke toezichthouder die in beginsel geen mededelingen doet over lopende of mogelijke onderzoeken.

Vraag 3

Is het zonder toestemming delen van privénummers volgens u in strijd met de Uitvoeringswet (U) Algemene Verordening Gegevensbescherming (AVG)?

Antwoord 3

De grondslagen voor de verwerking van persoonsgegevens zijn niet vastgelegd in de UAVG, maar in de AVG zelf. Om die reden zal ik bij de beantwoording van de vragen voornamelijk ingaan op de AVG in plaats van de UAVG.

Het delen van privénummers is een verwerking van persoonsgegevens. De AVG vereist dat alle verwerkingen een geldige grondslag hebben. In artikel 6, eerste lid, AVG zijn zes grondslagen voor verwerking van persoonsgegevens opgenomen, waarvan toestemming er één is. Als een van de andere vijf grondslagen van toepassing is, kunnen privénummers dus verwerkt en mogelijk ook gedeeld worden zonder toestemming. Of dit rechtmatig gebeurt, is uiteindelijk ter beoordeling van de AP.

Vraag 4

Deelt u de mening dat het onwenselijk is wanneer zonder voorafgaande toestemming privénummers op straat komen te liggen?

Antwoord 4

Het uitgangspunt van de AVG is dat natuurlijke personen controle over hun eigen persoonsgegevens dienen te hebben. Het is een kwalijke zaak wanneer privénummers worden gedeeld zonder dat daarvoor een geldige grondslag bestaat en zonder dat burgers zich hier bewust van zijn.

Burgers hebben veelal geen idee dat hun nummer online staat en zijn dus niet in staat in verweer te komen. Wanneer ze hier wel mee bekend zijn en dit onrechtmatig achten, kunnen ze een klacht indienen bij de toezichthouder.

Vraag 5

Wordt actief gemonitord of buitenlandse online diensten zoals Lusha, die in Nederland actief zijn, voldoen aan de UAVG?

Antwoord 5

Het actief monitoren van buitenlandse online diensten als Lusha zou een zeer tijdrovende activiteit zijn. Gelet op de capaciteit van de AP en de behoefte om deze zo efficiënt mogelijk in te zetten, is de AP niet in staat om al deze diensten te monitoren.

Daarnaast kunnen er klachten of andere signalen over dit type diensten bij de AP binnenkomen die ze dan kan onderzoeken. Op welke wijze en hoe diepgaand de AP deze klachten kan en zal oppakken, is aan de AP. Als het niet om Nederlandse bedrijven gaat, kan de AP onderzoeken of ze zelfstandig bevoegd is om onderzoek naar het bedrijf te doen of de zaak doorsturen aan de bevoegde toezichthouder van een andere lidstaat. Dit gebeurt in afstemming met de toezichthoudende autoriteiten van andere Europese landen, die samenkomen in de European Data Protection Board (EDPB).

Vraag 6

Op welke wijze wordt gecontroleerd of informatie die in Nederland gevestigde digitale dienstverleners verstrekken ook vrijwillig verstrekt zijn en niet deels afkomstig van bijvoorbeeld cyberhacks? Geldt hetzelfde voor buitenlandse digitale dienstverleners die gegevens van Nederlanders aggregeren?

Antwoord 6

Als bedrijven het doelwit zijn geweest van een hack waarmee de beschikbaarheid, integriteit of vertrouwelijkheid van persoonsgegevens is geschonden, dan moet dat in beginsel gemeld worden bij de AP en soms ook bij de burger zelf.2 Het bedrijf zal tevens maatregelen moeten treffen om de schade te beperken.3

Het overnemen van gegevens die bij een hack buit gemaakt zijn is daarnaast strafbaar.4 Er kan dus ook een rol voor het Openbaar Ministerie en de politie in dit soort gevallen zijn.

Vraag 7

Welke handelingsbevoegdheid heeft de Nederlandse toezichthouder wanneer zij een niet in Nederland gevestigde dienstverlener, zoals Lusha in New York, wil aanspreken?

Antwoord 7

De AP heeft handelingsbevoegdheid als de desbetreffende verwerking van persoonsgegevens valt onder de werkingssfeer van de AVG. Hierbij is in dit geval het territoriaal toepassingsgebied van belang. Dit is geregeld in artikel 3 AVG. Bij niet in de Unie (of de EER) gevestigde verwerkers of verwerkingsverantwoordelijken geldt dat de AVG van toepassing is als er goederen of diensten aangeboden worden aan betrokkenen in de Unie of hun gedrag wordt gemonitord. Indien hiervan sprake is bij Lusha of mogelijk bij een ander bedrijf dat haar diensten aanbiedt aan betrokkenen in de Unie, dan is de AVG van toepassing op dat bedrijf. In dat geval heeft de AP de bevoegdheid om toezicht uit te oefenen en kan het daarbij de haar ter beschikking staande mogelijkheden, zoals het opleggen van een bestuurlijke boete, inzetten.

Als een bedrijf als Lusha niet in de EU of Europese Economische Ruimte is gevestigd en de AVG ingevolge bovengenoemd artikel 3 wél van toepassing is op de dienstverlening van het bedrijf, dan is het zogenaamde een-loketmechanisme niet van toepassing.5 Dit betekent dat elke toezichthoudende autoriteit, inclusief de AP, bevoegd is onderzoek te doen.

Als een buiten de EU gevestigd bedrijf persoonsgegevens verwerkt van mensen in de EU maar daarmee niet binnen de in artikel 3 bepaalde reikwijdte van de AVG valt, is de AVG logischerwijs niet op dat bedrijf van toepassing. Ik zal gezamenlijk met de AP bezien of zij in de praktijk aanloopt tegen problemen met betrekking tot deze »territoriale reikwijdte» van de AVG. Indien dat het geval blijkt te zijn zal ik hierover met de Europese Commissie in gesprek treden.

Vraag 8

Hoe wordt gemonitord of het toezichtkader en de regels in de UAVG nog aansluiten bij de snelle technologische ontwikkelingen op het gebied van big data en innovaties zoals Lusha?

Antwoord 8

Technologische ontwikkelingen en innovaties volgen elkaar in razendsnel tempo op. De wetgever heeft er daarom destijds bewust voor gekozen om de AVG en UAVG «technologieneutraal» te maken door bijvoorbeeld open normen op te nemen. Door de open normen passen technologische ontwikkelingen over het algemeen goed in het wettelijk kader.

Dit jaar vindt er een evaluatie plaats van de AVG, die hierna iedere vier jaar zal plaatsvinden. De Europese Commissie heeft in haar eerste verslag over de evaluatie van de AVG aangegeven de AVG te beschouwen als een flexibel en essentieel instrument dat ervoor kan zorgen dat de ontwikkeling van nieuwe technologieën in overeenstemming is met de grondrechten.6 Wel stelt zij dat ons nog uitdagingen te wachten staan wat betreft verduidelijking van hoe de beginselen van de AVG op die nieuwe technologieën van toepassing zijn.7 De Commissie zal de komende tijd daarover verder in gesprek gaan met lidstaten en met de AVG-deskundigengroep van de lidstaten.8

Vraag 9

Bent u bereid deze specifieke casus mee te nemen in de aanstaande evaluatie van de UAVG?

Antwoord 9

Voor zaken zoals deze die met grondslagen te maken hebben, is de UAVG niet relevant. Het heeft daarom weinig zin om deze casus mee te nemen in de evaluatie van de UAVG.

X Noot
2

Artikelen 33 en 34 AVG.

X Noot
3

Artikel 5, eerste lid, onder f, AVG jo. artikel 32 AVG.

X Noot
4

Artikel 138c Sr.

X Noot
5

Groep gegevensbescherming artikel 29, Richtlijnen voor het bepalen van de leidende toezichthoudende autoriteit van de verwerkingsverantwoordelijke of de verwerker, WP 244 rev.01, p. 10.

X Noot
6

Europese Commissie, Gegevensbescherming als pijler van zeggenschap van de burger en de EU-aanpak van de digitale transformatie – twee jaar toepassing van de algemene verordening gegevensbescherming, COM(2020) 264 final, p. 11.

X Noot
7

Idem, p. 11–12.

X Noot
8

Idem, p. 17.

Naar boven