Den Haag, 6 maart 2017

De leden van de vaste commissies voor Immigratie & Asiel/JBZ-Raad, Veiligheid en Justitie en Economische Zaken van de Eerste Kamer der Staten-Generaal hebben met belangstelling kennisgenomen van het voorstel van de Europese Commissie voor een verordening met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie (hierna: e-privacyverordening).1 De leden van de SP-fractie en de leden van de PvdA-fractie hebben in het kader van de politieke dialoog met de Europese Commissie de volgende opmerkingen en vragen ten aanzien van dit voorstel.

Vragen en opmerkingen van de leden van de SP-fractie

Goede beveiliging en veiligheid begint bij de gebruiker. Helaas is de awareness onder de gebruikers nog onvoldoende. Daarom ligt er ook een verantwoordelijkheid bij de producent van de hard- en software die digitale toegang geven. De leden van de SP-fractie betreuren het daarom dan ook dat privacy by default niet is opgenomen in het voorstel en verzoeken de Europese Commissie dit toe te lichten.

De leden van de SP-fractie vragen zich af waarom de mogelijkheid voor (non-profit) organisaties om bij overtredingen van de nieuwe regels een klacht in te dienen bij de toezichthouder of naar de rechter te stappen om een collectieve actie te starten, in het voorstel geschrapt is. Deze regeling staat wel in de nieuwe Europese privacyregels. Waarom is ervoor gekozen dit niet mee te nemen in dit voorstel?

Tot slot vragen de leden van de SP-fractie waarom de Europese Commissie er niet voor gekozen heeft dat, in ieder geval bij overheidsinstellingen, de consument het recht heeft dat er geen gedrag in kaart wordt gebracht?

Vragen en opmerkingen van de leden van de PvdA-fractie

De leden van de PvdA-fractie waarderen het zeer dat de Europese Commissie is gekomen met dit voorstel voor – ten opzichte van de algemene verordening gegevensbescherming2 – specifieke regels voor elektronische communicatie en deze leden beoordelen de inhoud van de voorgestelde regels in vele opzichten als positief. Bij de beoordeling van het voorstel hanteren deze leden als uitgangspunt dat de bepalingen van de e-privacyverordening niet onder het beschermingsniveau van de algemene verordening gegevensbescherming mogen uitkomen. Onder meer op basis van overweging 53 bij de voorgestelde verordening gaan de leden van de PvdA-fractie ervan uit dat de Europese Commissie dit uitgangspunt deelt, zien deze leden dat goed?

In het voorgestelde artikel 8, lid 2, is bepaald dat het verzamelen van gegevens uit eindapparatuur om een aansluiting op andere apparatuur en/of netwerkuitrusting mogelijk te maken, is verboden tenzij: a) het uitsluitend plaatsvindt met het doel en gedurende de tijd die nodig is om een aansluiting tot stand te brengen; of b) een duidelijk en zichtbaar bericht is aangebracht met ten minste vermelding van de wijze waarop de gegevensverzameling plaatsvindt, de doeleinden, de persoon die ervoor verantwoordelijk is en de andere informatie die vereist is krachtens artikel 13 van Verordening 2016/679 wanneer persoonsgegevens wordt verzameld, alsmede de maatregelen die de eindgebruiker van de eindapparatuur kan nemen om het verzamelen van gegevens te beperken of te beëindigen. Deze bepaling komt er op neer dat wifi-tracking is toegestaan als de verantwoordelijke maar een bordje ophangt met de genoemde informatie en de mededeling dat de eindgebruiker de wifi-verbinding op zijn mobiele apparatuur uit kan zetten om wifi-tracking te voorkomen. De leden van de PvdA-fractie zijn van mening dat artikel 8, lid 2, te weinig bescherming biedt en onder het beschermingsniveau van de algemene verordening gegevensbescherming zakt. Deze leden vragen de Europese Commissie waarom niet in lijn met de systematiek van de algemene verordening gegevensbescherming wordt geëist dat de verzamelde gegevens anoniem zijn gemaakt en dus niet herleidbaar naar de persoon, tenzij de eindgebruiker van de mobiele apparatuur toestemming heeft gegeven voor het verzamelen van zijn persoonsgegevens.

De leden van de PvdA-fractie willen voorts stilstaan bij de inhoud van het voorgestelde artikel 6. Deze leden vinden het opmerkelijk dat de in lid 2, sub c, voorgestelde regels (inzake verwerking van elektronische-communicatiemetagegevens) beduidend soepeler zijn dan de in lid 3, sub b voorgestelde regeling (inzake verwerking van elektronische-communicatie-inhoud). Deze leden doelen hierbij niet alleen op de verplichting in lid 3, sub b, om de toezichthoudende autoriteit te raadplegen, maar ook op het feit dat in lid 2, sub c, het «de betrokken eindgebruiker» is wiens toestemming voldoende is terwijl in lid 3, sub b, de toestemming van «alle betrokken eindgebruikers» is vereist. Deze leden wensen van de Europese Commissie te vernemen wat de inhoudelijke redenen zijn voor dit substantiële verschil. Valt er niet veel voor te zeggen dat voor analyse van communicatie-metagegevens (wie mailt met wie en wanneer, etc.) dezelfde of een vergelijkbare standaard van bescherming zou moeten gelden als voor de communicatie-inhoud, aangezien ook metagegevens potentieel veelzeggend of zelfs gevoelig zijn? Deze leden verwijzen in dit kader ook naar hetgeen in overweging 2 bij de voorgestelde verordening is geformuleerd.4 In ieder geval zou toch ook in geval van analyse van metagegevens de toestemming van alle bij de communicatie betrokken eindgebruikers vereist moeten zijn, zo menen deze leden. Zij gaan er hierbij van uit dat bijvoorbeeld in geval van communicatie via e-mail zowel de verzender als de ontvanger van de e-mail vallen onder de in artikel 6 lid, 3 sub b, gebruikte formulering «alle betrokken eindgebruikers», zien deze leden dat goed?

In artikel 10, lid 1, van de voorgestelde verordening is bepaald dat software die in de handel wordt gebracht om elektronische communicatie waaronder het opvragen en weergeven van informatie op het internet mogelijk te maken, een optie moet bieden om derden te verhinderen informatie in de eindapparatuur van de eindgebruiker op te slaan of reeds op die eindapparatuur opgeslagen informatie te verwerken. Artikel 10, lid 2, bepaalt dat bij de installatie van de software de eindgebruiker wordt geïnformeerd over de opties in de privacyinstellingen en de eindgebruiker wordt verplicht voor de voortzetting van de installatie een instelling te aanvaarden. Deze bepalingen regelen dus dat de eindgebruiker een keuze moet worden geboden betreffende de privacy-vriendelijkheid van de instellingen. De leden van de PvdA-fractie vragen de Europese Commissie waarom hier niet het concept van de Privacy by Default is toegepast: waarom is niet de verplichting opgenomen om in de software standaard (by default) de meest privacyvriendelijke instelling op te nemen met daarbij de mogelijkheid voor de eindgebruiker om te kiezen voor een minder privacyvriendelijke instelling?

De leden van de vaste commissies voor Immigratie & Asiel/JBZ-Raad, Veiligheid en Justitie en Economische Zaken kijken met belangstelling uit naar de antwoorden van de Europese Commissie en ontvangen deze graag zo snel mogelijk, doch uiterlijk binnen drie maanden na dagtekening van deze brief.

Voorzitter van de vaste commissie voor Immigratie en Asiel/JBZ-Raad G. Markuszower

Voorzitter van de vaste commissie voor Veiligheid en Justitie A.W. Duthler

Voorzitter van de vaste commissie voor Economische Zaken A.M.V. Gerkens