Kamerstuk
Datum publicatie | Organisatie | Vergaderjaar | Dossier- en ondernummer |
---|---|---|---|
Eerste Kamer der Staten-Generaal | 2018-2019 | 34211 nr. M |
Zoals vergunningen, bouwplannen en lokale regelgeving.
Adressen en contactpersonen van overheidsorganisaties.
U bent hier:
Datum publicatie | Organisatie | Vergaderjaar | Dossier- en ondernummer |
---|---|---|---|
Eerste Kamer der Staten-Generaal | 2018-2019 | 34211 nr. M |
Vastgesteld 4 juni 2019
De leden van de vaste commissie voor Justitie en Veiligheid2 hebben kennisgenomen van de brief van de Minister van Economische Zaken en Klimaat van 25 juni 20183, waarbij zij een reactie geeft op enkele nadere vragen over het richtlijnvoorstel betreffende bepaalde aspecten van overeenkomsten voor de levering van digitale inhoud4. Naar aanleiding hiervan is op 8 oktober 2018 een brief gestuurd aan de Minister.
De Minister voor Rechtsbescherming heeft op 4 juni 2019 gereageerd.
De commissie brengt bijgaand verslag uit van het gevoerde schriftelijk overleg.
De griffier van de vaste commissie voor Justitie en Veiligheid, Van Dooren
BRIEF VAN DE VOORZITTER VAN DE VASTE COMMISSIE VOOR JUSTITIE EN VEILIGHEID
Aan de Minister van Economische Zaken en Klimaat
Den Haag, 8 oktober 2018
De leden van de vaste commissie voor Justitie en Veiligheid hebben met belangstelling kennisgenomen van uw brief van 25 juni 20185, waarbij u een reactie geeft op enkele nadere vragen over het richtlijnvoorstel betreffende bepaalde aspecten van overeenkomsten voor de levering van digitale inhoud6.
De leden van de VVD-fractie hebben kennisgenomen van voornoemde brief waarin u reageert op de brief van 6 oktober 20177, met vragen van deze leden over de consequenties voor de nakoming van de verbintenis tot ongedaanmaking en vordering uit onverschuldigde betaling die ontstaan bij ontbinding van een overeenkomst, respectievelijk vernietiging van een overeenkomst. Uw beantwoording van deze vragen heeft nog niet tot de gewenste helderheid geleid.
U heeft de beantwoording onderverdeeld naar drie onderwerpen, te weten: intrekking van toestemming, ontbinding, en vernietiging. De voornoemde leden houden deze indeling aan bij het stellen van hun nadere vragen.
Toestemming
Toestemming is een van de rechtmatigheidsgrondslagen voor het verwerken van persoonsgegevens van consumenten. Uw stelling is dat de intrekking van de toestemming net zo eenvoudig dient te zijn als de verstrekking ervan, en dat als de consument de overeenkomst ontbindt, hij daarmee aangeeft de wederzijdse inbreng in de overeenkomst te willen beëindigen en dus zijn toestemming intrekt voor de verwerking van zijn persoonsgegevens die de inbreng in de overeenkomst vormde. Dit is een redenering die de leden van de VVD-fractie nogal kort door de bocht voorkomt. Bovendien miskent deze redenering de waarschijnlijke bedoeling van het derde lid van artikel 7 van de Algemene verordening gegevensbescherming (hierna: AVG), waarop u kennelijk doelt. De waarschijnlijke bedoeling van de wetgever is dat voor het intrekken van de verstrekte toestemming, de verwerkingsverantwoordelijke niet al te veel drempels mag inbouwen. Er mogen geen kosten voor in rekening worden gebracht. Het niveau van dienstverlening mag niet naar beneden (zie ook de opinie van de artikel 29-werkgroep van 10 april 2018).8
De verstrekking van de toestemming is verder nog niet zo eenvoudig als u doet voorkomen. De toestemming moet volgens de AVG ̶ en zoals u ook zelf aangeeft ̶ vrijelijk, specifiek, geïnformeerd en ondubbelzinnig zijn. Het vergt een actieve handeling. Stilzwijgen mag niet als toestemming gelden. Bovendien moet de verwerkingsverantwoordelijke, de aanbieder of leverancier van digitale inhoud in casu, te allen tijde de verstrekte toestemming kunnen aantonen.
De leden van de VVD-fractie vatten het intrekken van de toestemming volgens uw redenering toch op als een stilzwijgende intrekking. Een expliciet ondubbelzinnig gegeven toestemming kan echter niet stilzwijgend worden ingetrokken. De AVG is daar niet expliciet over, maar het valt moeilijk uit te leggen dat als een verstrekte toestemming altijd moet kunnen worden aangetoond, dat dat niet geldt voor een intrekking van de toestemming. Hoe kan bovendien de verwerkingsverantwoordelijke aan zijn accountabilityplicht voldoen als een gegeven toestemming wel aantoonbaar moet zijn, maar een ingetrokken toestemming niet? Graag uw reactie.
Ontbinding en vernietiging
Hoe kan de verbintenis tot ongedaanmaking en die van onverschuldigde betaling, die ontstaan bij ontbinding respectievelijk vernietiging van een overeenkomst, worden nagekomen als een verwerkingsverantwoordelijke de persoonsgegevens verder heeft verwerkt, verrijkt of verstrekt aan andere partijen? Deze vraag hebben de leden van de VVD-fractie in de brief van 6 oktober 2017 gesteld. Uw antwoord is dat de verkoper en derden de gegevens moeten wissen, ook als de gegevens zijn verrijkt met andere gegevens. Met welke consequenties moeten verwerkingsverantwoordelijken rekening houden als het hen om technische redenen niet meer lukt om de «verrijkte» gegevens te wissen? Wilt u hier niet wat meer richting geven aan verstrekkers en ontvangers van persoonsgegevens?
Als er sprake is van vernietiging van een overeenkomst, betekent dit dat de grondslag komt te vervallen voor de eerdere verwerking alsook voor de eventuele verstrekking en verrijking. Die eventuele verstrekking en verrijking krijgen daarmee een onrechtmatig karakter. De verantwoordelijken daarvoor zouden dan ook onmiddellijk moeten stoppen met het gebruik van deze gegevens en deze moeten vernietigen. Strikt genomen is er zelfs sprake van een datalek, want een onrechtmatige verwerking kan onder omstandigheden als datalek worden gekwalificeerd. Deelt u deze mening? En zo ja, wat zijn de consequenties als de verantwoordelijken niet in staat zijn om gegevens te vernietigen dan wel als verantwoordelijken dergelijke datalekken niet melden?
De nadere uitleg en concrete invulling van verplichtingen is voorbehouden aan de toezichthoudende autoriteiten van de verschillende lidstaten, zo is uw reactie. De VVD-fractieleden zoeken naar meer houvast en meer rechtszekerheid voor verkopers, en merken daarbij op dat uiteindelijk de rechter het laatste woord hierin zal hebben en niet de toezichthoudende autoriteiten. De rechter kijkt naar de bedoeling van de wetgever. Het zou in het kader van de rechtszekerheid goed zijn als de wetgever zich daar op voorhand meer over uitspreekt. De leden van de VVD-fractie verzoeken u om een reactie op deze vragen en deze nader te onderbouwen.
De leden van de vaste commissie voor Justitie en Veiligheid zien uw reactie met belangstelling tegemoet en ontvangen deze graag uiterlijk 2 november 2018.
Voorzitter van de vaste commissie voor Justitie en Veiligheid A.W. Duthler
BRIEF VAN DE MINISTER VOOR RECHTSBESCHERMING
Aan de Voorzitter van de Eerste Kamer der Staten-Generaal
Den Haag, 4 juni 2019
Hierbij beantwoord ik de nadere vragen die uw Kamer bij brief van 8 oktober 2018 heeft gesteld naar aanleiding van de beantwoording van eerdere vragen van uw Kamer over het richtlijnvoorstel betreffende bepaalde aspecten van overeenkomsten voor de levering van digitale inhoud en digitale diensten.
De vragen van uw Kamer zien op de grondslag «toestemming» als bedoeld in artikel 6, eerste lid, onder a, van de Algemene Verordening Gegevensbescherming (AVG) in het kader van een overeenkomst voor de levering van digitale inhoud en/of digitale diensten. Op 15 april 2019 is de richtlijn van het Europees Parlement en de Raad betreffende bepaalde aspecten van overeenkomsten voor de levering van digitale inhoud en digitale diensten aangenomen. Deze zal binnenkort worden gepubliceerd in het Publicatieblad.
Toestemming
De leden van de VVD-fractie vatten de uitleg die is gegeven bij brief van 25 juni 2018 over de wijze waarop toestemming voor het verwerken van gegevens wordt ingetrokken, kennelijk op als een stilzwijgende intrekking. Zij menen dat een expliciet en ondubbelzinnig gegeven toestemming niet stilzwijgend kan worden ingetrokken. Deze leden vragen hoe de verwerkingsverantwoordelijke in een dergelijk geval kan voldoen aan zijn accountabilityplicht als een gegeven toestemming wel aantoonbaar moet zijn, maar een ingetrokken toestemming niet.
In de brief is toegelicht dat, als de consument de overeenkomst ontbindt, daaraan inherent is dat hij daarmee ook de toestemming voor de verwerking van zijn persoonsgegevens intrekt, voor zover deze zijn inbreng in de overeenkomst vormde.9 Dit is in mijn opvatting geen stilzwijgende intrekking. Van een stilzwijgende intrekking is sprake als de toestemming wordt geacht ingetrokken te zijn, zonder dat de consument een expliciete handeling daartoe heeft verricht. Dat ligt in casu anders. Wanneer de consument de overeenkomst ontbindt, betekent dit dat die consument daarmee meteen ook een kennisgeving doet van het intrekken van zijn toestemming tot verwerking van zijn persoonsgegevens voor zover die zijn inbreng in de overeenkomst vormde.
Het expliciete karakter is, zoals de leden van de VVD-fractie terecht impliceren, met name voor de rechtszekerheid relevant. De AVG regelt hoe persoonsgegevens mogen worden verwerkt. De richtlijn over de levering van digitale inhoud en digitale diensten strekt zich mede uit over de situatie waarin de consument persoonsgegevens versterkt als tegenprestatie voor de levering van digitale inhoud en digitale diensten. De normen rond het geven en intrekken van toestemming voor verwerking van gegevens in zowel de AVG als de richtlijn zijn gericht op de bescherming van degene wiens persoonsgegevens het betreft. Het verstrekken van de gegevens en daarmee de toestemming om deze te verwerken, zijn onderdeel van de inbreng van de consument in de overeenkomst. Van de handelaar – in AVG termen de verwerkingsverantwoordelijke – mag in dat geval worden verwacht dat hij weet dat ontbinding van de wederkerige overeenkomst betekent dat daarmee de consumenteninbreng en dus tevens de toestemming voor het verwerken van persoonsgegevens wordt ingetrokken.
Daarnaast is het van belang dat de accountabilityplicht waaraan de VVD-leden refereren, uitsluitend ziet op de plicht voor de handelaar om, als hij persoonsgegevens verwerkt, te kunnen aantonen dat hij daarvoor de benodigde toestemming heeft. Voor de handelaar is het duidelijk dat hij deze toestemming niet meer heeft als de overeenkomst is ontbonden omdat wanneer de consument de overeenkomst ontbindt hij daarmee meteen ook een kennisgeving doet van het intrekken van zijn toestemming.
Ontbinding en vernietiging
Voordat een overeenkomst wordt ontbonden of vernietigd, kunnen de persoonsgegevens zijn verwerkt, verrijkt of verstrekt aan andere partijen. De leden van de VVD-fractie vragen met welke consequenties verwerkingsverantwoordelijken rekening moeten houden als het hen om technische redenen niet lukt om de verrijkte gegevens te wissen. De leden vragen of hier meer richting kan worden gegeven aan verstrekkers en ontvangers van persoonsgegevens.
De vraag van de VVD-leden gaat primair over de interpretatie van de AVG. Voor de handhaving van de normen uit de AVG is een onafhankelijke toezichthouder aangesteld die, zo nodig in samenspraak met de toezichthoudende autoriteiten uit de andere lidstaten zoals verenigd in de European Data Protection Board, bepaalt hoe ver de inspanningsverplichtingen die voortvloeien uit de AVG voor de verwerkingsverantwoordelijke reiken. In dit geval gaat het om inspanningsverplichtingen bij het leveren van digitale inhoud en diensten waarbij de consument aan de handelaar persoonsgegevens verstrekt als tegenprestatie. In Nederland is dat de Autoriteit persoonsgegevens (AP). De AP maakt via haar website www.autoriteitpersoonsgegevens.nl nadere uitleg van de AVG bekend. Uiteindelijk heeft het Hof van Justitie van de EU over de uitleg van de richtlijn en de AVG het laatste woord. Als een Nederlandse rechter een zaak krijgt voorgelegd waarbij hij vragen heeft over de interpretatie van de AVG of de richtlijn, dient de rechter prejudiciële vragen te stellen aan het EU-Hof van Justitie.
Over de eventuele gevolgen van het niet meer kunnen terugdraaien van bepaalde doorverstrekkingen en verrijkingen en het niet hebben voldaan aan voornoemde inspanningsverplichtingen, heeft de AP desgevraagd aangegeven dat de consument in beginsel het recht heeft op gegevenswissing. Dat geldt zowel in het geval waarin de persoonsgegevens niet langer nodig zijn voor het doel waarvoor zij worden verzameld of verwerkt, als in het geval waarin de toestemming waarop de verwerking berust, is ingetrokken en er geen andere rechtsgrond voor de verwerking is. De verwerkingsverantwoordelijke is verplicht om zonder onredelijke vertraging de gegevens te wissen (artikel 17 AVG).10 Als de persoonsgegevens zijn verstrekt aan derden bestaat op grond van artikel 19 AVG de verplichting van de verwerkingsverantwoordelijke om iedere ontvanger van die persoonsgegevens in kennis te stellen van de gegevenswissing, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt. Of dat laatste in een concreet geval aan de orde is, kan aan de hand van de omstandigheden van het geval door de AP of de rechter worden getoetst. Van belang is of de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen heeft getroffen om te waarborgen dat aan de voorschriften van de AVG wordt voldaan. Wanneer de verwerkingsverantwoordelijke niet aan de verplichtingen uit de AVG voldoet en de AP een overtreding vaststelt, heeft de AP de bevoegdheid corrigerende maatregelen en boetes op te leggen (artikelen 58, tweede lid, en 83, vijfde lid, AVG).
De leden van de VVD-fractie merken op dat als een overeenkomst wordt vernietigd, de grondslag voor de eerdere verwerking, vestrekking en/of verrijking van persoonsgegevens komt te vervallen en de verantwoordelijken onmiddellijk zouden moeten stoppen met het gebruik van deze gegevens en deze moeten vernietigen. Strikt genomen is er volgens deze leden sprake van een datalek, omdat een onrechtmatige verwerking onder omstandigheden als datalek kan worden gekwalificeerd. Zij vragen of ik deze mening deel en, zo ja, wat de consequenties zijn als de verantwoordelijken niet in staat zijn om gegevens te vernietigen dan wel als verantwoordelijken dergelijke datalekken niet melden.
Een datalek wordt in artikel 4, twaalfde lid, AVG een «inbreuk in verband met persoonsgegevens» genoemd en wordt gedefinieerd als: «Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens». Voorwaarde voor de kwalificatie als een datalek is dat er sprake moet zijn van een veiligheidsincident. In het geval van een succesvolle vernietiging van de overeenkomst is daarvan geen sprake en er rust dan geen meldingsverplichting op de verwerkingsverantwoordelijke. Wel dient deze in een dergelijk geval de persoonsgegevens direct te wissen.
Ik vertrouw er op met het voorgaande de door de leden van de VVD-fractie gewenste duidelijkheid te hebben verschaft en neem de vrijheid om voor te stellen dat eventueel nog resterende vragen te zijner tijd worden betrokken bij de behandeling van de implementatiewetgeving behorende bij de richtlijn betreffende bepaalde aspecten van overeenkomsten voor de levering van digitale inhoud en digitale diensten.
De Minister voor Rechtsbescherming, S. Dekker
Samenstelling:
Kox (SP), Ruers (SP), Van Bijsterveld (CDA) (wnd. voorzitter), Duthler (Fractie-Duthler), Ten Hoeve (OSF), Koffeman (PvdD), Strik (GL), Knip (VVD), Backer (D66), Schouwenaar (VVD), Kok (PVV), Gerkens (SP), Vlietstra (PvdA), Lokin-Sassen (CDA), Dercksen (PVV), D.J.H. van Dijk (SGP), Van Rij (CDA), Rombouts (CDA), Van de Ven (VVD), Bikker (CU), Baay-Timmerman (50PLUS), Van Zandbrink (PvdA), vac. (PVV), Fiers (PvdA), Andriessen (D66), Vink (D66), Aardema (PVV)
COM(2015)634; zie voor de behandeling in de Eerste Kamer dossier E150042 op www.europapoort.nl.
COM(2015)634; zie voor de behandeling in de Eerste Kamer dossier E150042 op www.europapoort.nl.
Dit recht is niet absoluut; de uitzonderingen staan opgesomd in het derde lid van artikel 17 AVG en in artikel 23 AVG in samenhang met artikel 41 Uitvoeringswet AVG.
Kopieer de link naar uw clipboard
https://zoek.officielebekendmakingen.nl/kst-34211-M.html
De hier aangeboden pdf-bestanden van het Staatsblad, Staatscourant, Tractatenblad, provinciaal blad, gemeenteblad, waterschapsblad en blad gemeenschappelijke regeling vormen de formele bekendmakingen in de zin van de Bekendmakingswet en de Rijkswet goedkeuring en bekendmaking verdragen voor zover ze na 1 juli 2009 zijn uitgegeven. Voor pdf-publicaties van vóór deze datum geldt dat alleen de in papieren vorm uitgegeven bladen formele status hebben; de hier aangeboden elektronische versies daarvan worden bij wijze van service aangeboden.