De leden van de GroenLinks-fractie gaven aan van mening te zijn dat de ingrijpende verandering van een richtlijn naar een verordening zeer beknopt wordt gemotiveerd met als hoofdargument een meer consistente toepassing binnen de EU van de beleidsdoelen en vroegen de regering uitgebreider uit te weiden over de noodzaak om de richtlijn in een verordening te veranderen. De leden van de fractie van GroenLinks vroegen daarbij specifiek in te gaan op de tanende bevoegdheid van Nederland als lidstaat op dit terrein enerzijds, en de verruiming van het mandaat van de EU op dit terrein, anderzijds.

Vanaf 25 mei 2018 is de Algemene verordening gegevensbescherming 2016/679 (AVG) van toepassing. Deze verordening vervangt de uit 1995 daterende Richtlijn 95/46/EG van het Europees parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG 1995, L 281). Bij de algemene privacyregels is de keuze voor een verordening voor een belangrijk deel ingegeven door het feit dat de tot nu toe geldende richtlijn 95/46/EG heeft geleid tot een situatie waarin er aanzienlijke verschillen bestaan tussen de privacyregels in de diverse lidstaten. De eprivacyregels vormen voor een groot deel een lex specialis ten opzichte van de regels in de AVG. Het ligt voor de hand om daarom ook voor de regels over eprivacy te kiezen voor een verordening. Hier komt nog bij dat ook bij de omzetting van de eprivacyrichtlijn in het nationale recht van de lidstaten er aanzienlijke verschillen zijn ontstaan. Dit is bijvoorbeeld het geval bij de uitwerking van de zogenoemde cookiebepaling. Daarbij zijn er landen die erg soepel omgaan met het toestemmingsvereiste en landen die een meer strikte uitleg hanteren. Deze verschillen pakken nadelig uit voor bedrijven die in meerdere Europese landen actief (willen) zijn op het internet en leiden ook tot een ongelijk niveau van bescherming van de eindgebruiker. Door voor een verordening te kiezen beoogt de Commissie hier een einde aan te maken. Terecht constateert de fractie van GroenLinks dat door zowel bij algemene privacyregels als bij de eprivacyregels te kiezen voor een verordening de bevoegdheden van de individuele lidstaten op dit terrein verminderen. Dit hoeft echter geen probleem zolang de regels maar een hoog en adequaat niveau van bescherming van de privacy bieden. Dat is, naar de opvatting van de Nederlandse regering, ook bij de voorstellen voor de eprivacy verordening het geval. Wel is er, zoals aangegeven in de fiche, op sommige onderdelen ruimte voor verbetering en zullen er ook nog verdere verduidelijkingen moeten plaatsvinden.

De leden van de fractie van GroenLinks vroegen verder hoe het voorstel van de Commissie zich momenteel verhoudt ten opzichte van nationale wetgeving met betrekking tot de mate waarin privacy wordt beschermd. Zij wezen daarbij op de cookiewetgeving waar een lacune aanwezig lijkt te zijn tussen de visie van Nederland en de Europese Commissie.

Wanneer de voorgestelde ePrivacy verordening in werking treedt komen vrijwel alle nationale regels op dit gebied te vervallen. Zo zal artikel 11.7a van de Telecommunicatiewet waarin het regime in Nederland met betrekking tot cookies is vastgelegd moeten worden ingetrokken. Het is juist dat er verschillen bestaan tussen de huidige Nederlandse regels met betrekking tot cookies en het regime zoals de Commissie dit voorstelt. Zoals in het BNC-fiche is aangegeven is de Nederlandse regering het niet op alle punten eens met deze verschillen. Bovendien zijn er ook aspecten die nadere verduidelijking door de Commissie behoeven. Een voorbeeld daarvan is het door de Commissie voorgestelde opt out regime bij wifi-tracking. De Nederlandse regering is hier op voorhand geen voorstander van maar wil desondanks de Commissie eerst vragen om nader te motiveren waarom zij denkt dat een afwijking van het «normale» opt in (toestemming) regime hier op zijn plaats is. Verder vindt de regering het sympathiek dat de Commissie in haar voorstel het geven van toestemming voor het gebruik van cookies gebruiksvriendelijker wil maken. Daarbij zijn, zoals aangeven in de BNC-fiche, echter vragen over de geschiktheid van browsers om toestemming te geven en de effectiviteit van de handhaving van eventuele verplichtingen met betrekking tot browsers.

De leden van de fractie van de VVD vroegen hoe de Commissie het zich concreet voorstelt toestemming te centraliseren in software en gebruikers aan te spreken met informatie over de privacy-instellingen. Bovendien vroegen deze leden aan welke eisen aanbieders van elektronische communicatiediensten moeten voldoen wil er sprake zijn van «vrijelijk gegeven toestemming».

Uit artikel 10 van het voorstel van de Commissie valt af te leiden dat er eisen worden gesteld aan software. Software, zoals een browser of een app, moet het mogelijk maken dat de eindgebruiker kan verhinderen dat derden informatie op zijn eindapparaat (bijvoorbeeld smartphone of computer) plaatsen of dat hij kan verhinderen dat derden informatie lezen die op het eindapparaat staat. Bovendien moet bij de installatie van de software de eindgebruiker een duidelijke keuze krijgen voorgelegd met betrekking tot de privacy-instellingen. De eindgebruiker wordt dus bij de installatie van de software gedwongen een bewuste keuze te maken: laat hij derden toe informatie op zijn eindapparaat te plaatsen en te lezen of juist niet. Bij het geven van geldige toestemming zijn diverse aspecten van belang. Zo moet de toestemming gebaseerd zijn op afdoende informatie over hetgeen men toestemming voor geeft. Ook moet bijvoorbeeld duidelijk zijn door en voor wie de cookies worden geplaatst en hoe lang de cookies geldig zijn. Ook moet de toestemming blijken uit een (actieve) handeling (bijvoorbeeld het verder klikken nadat men er op gewezen is dat dan cookies zullen worden geplaatst). Verder moet de toestemming vrijelijk zijn gegeven. Dit vereiste kan tot problemen leiden indien de eindgebruiker feitelijk geen keuze heeft, bijvoorbeeld als hij in opdracht van zijn werkgever handelt of wanneer hij geen toegang tot een website krijgt als hij geen cookies accepteert. Verder is van belang dat in artikel 7, vierde lid, van de AVG is bepaald dat bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, onder meer ten sterkste rekening wordt gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst. Het is de vraag of het plaatsen van cookies met als doel het verwerken van persoonsgegevens in het kader van het tonen van (op voorkeuren van de eindgebruiker afgestemde) advertenties kan worden beschouwd als noodzakelijk voor de uitvoering van de overeenkomst. In de toekomstige toepassingspraktijk zal deze vraag moeten worden beantwoord. Mocht de conclusie zijn dat een dergelijke verwerking van persoonsgegevens niet noodzakelijk is voor de uitvoering van de overeenkomst dan betekent dat dat zogenoemde cookiewalls (het weigeren van de toegang tot een website als men niet instemt met het plaatsen van cookies) niet langer zijn toegestaan. Dit geldt alleen als er sprake is van toegang in het kader van een overeenkomst, bijvoorbeeld een digitaal tijdschriftabonnement, of de toegang tot een webwinkel.

De leden van de VVD-fractie vroegen wat de grondslag is van het verwerken van locatiegegevens in het kader van andere diensten dan elektronische communicatiediensten, zoals bijvoorbeeld het maken van zogenoemde heatmaps waarmee een grafische voorstelling van gegevens met kleuren wordt gegeven om de aanwezigheid van individuele personen aan te geven. Daarbij vragen ze of de veronderstelling klopt dat op de verwerking door deze aanbieders de AVG van toepassing is.

Net als de leden van de fractie van de VVD heeft de regering vragen over de voorstellen van de Commissie op dit punt. De voorstellen zijn tot nu toe nog niet op dit punt inhoudelijk besproken in de raadswerkgroepen. Wanneer dit onderdeel aan de orde komt zal de Commissie om een nadere toelichting worden gevraagd. Net als de leden van de fractie van de VVD leidt de regering vooralsnog uit de door de VVD aangehaalde passage uit overweging 17 af dat wanneer de locatiegegevens niet worden gebruikt voor het verzorgen van een elektronische communicatiedienst de verwerking van deze gegevens buiten het regime van het voorstel valt. Dat zou, zo denkt de regering, betekenen dat voor een dergelijke verwerking, zoals ook de leden van de VVD fractie veronderstellen, de regels van de AVG van toepassing zijn. Dit betekent dan weer dat, bij het ontbreken van toestemming, er een andere verwerkingsgrondslag moet zijn in de zin van artikel 6 van de AVG. Dit zou, zo lijkt overweging 17 ten aanzien van het genoemde voorbeeld van de heatmaps ten behoeve van het in kaart brengen van reizigersstromen in het openbaar vervoer te suggereren, de verwerkingsgrondslag genoemd in artikel 6, eerste lid, onder f kunnen zijn: de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

De leden van de fractie van GroenLinks vroegen naar aanleiding van de uitbreiding van de reikwijdte van de eprivacyregels naar bepaalde over de top spelers, welke waarborgen er zijn ingebouwd dat in de toekomst nieuwe spelers op de digitale informatie- en communicatiemarkt ook onder het regime gaan vallen als dat nodig is om te voorkomen dat met twee maten wordt gemeten.

De Commissie kiest er in zijn voorstellen voor alleen die over de top diensten onder het regime van de eprivacyverordening te brengen die een substituut vormen voor de klassieke telecommunicatiediensten. Dit doet de Commissie door alleen die over de top diensten onder het regime te brengen die leiden tot intermenselijke communicatie. Daarmee heeft de Commissie een techniek neutrale benadering gekozen. Deze benadering lijkt vooralsnog toekomst bestendig. Immers alle diensten die in de toekomst nog ontstaan zullen, als zij intermenselijke communicatie mogelijk maken onder het regime vallen.

Voorts vroegen de leden van de fractie van GroenLinks waarom geen toestemming nodig is voor het gebruik van elektronisch communicatiegegevens om de veiligheid van het netwerk of de dienst te detecteren en of dit niet met toestemming kan.

Van een aanbieder van elektronische communicatienetwerken en diensten wordt op basis van de Europese regels geëist dat hij maatregelen neemt om de veiligheid van zijn netwerk en dienst adequaat te beschermen. Het is dit zwaarwegende belang van de aanbieder dat maakt dat de aanbieder in het voorstel ook zonder toestemming van de eindgebruiker naar verkeersstromen mag kijken indien en voor zover dat nodig is om een adequaat veiligheidsniveau te bereiken. Dit is terecht naar het oordeel van de regering.

De leden van de fractie van GroenLinks vroegen verder waarom een verruiming van de verwerkingsmogelijkheden van elektronische communicatiegegevens voor de klassieke aanbieders nodig is en waarom een beperking voor over de top aanbieders en een status quo voor de klassieke aanbieders niet de voorkeur heeft. De leden van de fractie van GroenLinks vroegen zich verder af of de privacy van de burgers inderdaad genoeg prioritair is, gelet op het feit dat enerzijds de mogelijkheden voor klassieke aanbieders worden verruimd en anderzijds de richtlijn juist een verordening wordt waardoor deze verruiming zelfs een bindend, voorheen afwezig, karakter kent.

De verruiming van de mogelijkheden voor de klassieke spelers is, voor zover dit thans is te overzien, beperkt en naar de opvatting van de regering goed te rechtvaardigen. Nieuw is de hiervoor genoemde mogelijkheid om elektronische communicatiegegevens te verwerken met het oog op de veiligheid van het netwerk en de dienst. Daarnaast is het verwerken van metagegevens mogelijk indien dat nodig is om te voldoen aan dwingende eisen inzake kwaliteit van dienstverlening opgenomen in het voorstel tot een Europese richtlijn tot vaststelling van Europees wetboek voor elektronische communicatie. Deze uitzonderingen op het toestemmingsvereiste zijn naar de opvatting van de regering volstrekt logisch en druisen niet in tegen de geest van de verordening de burgers beter te beschermen inzake hun privacy.

De leden van de fractie van GroenLinks merkten op dat de regering in het BNC-fiche juist lijkt te suggereren zich zorgen te maken dat de voorgestelde verordening nog te streng is voor over de top aanbieders die wellicht sommige diensten met herinneringen niet meer kunnen aanbieden. De leden vroegen tegen deze achtergrond welke diensten van welke over de top aanbieders precies worden bedoeld en of het klop dat de regering zich dus eerder zorgen maakt over te strenge dan te soepele privacywetgeving.

Allereerst merkt de regering op dat het niet gaat om strenge of soepele privacywetgeving. Het gaat er vooral om dat de wetgeving goede bescherming biedt daar waar dat nodig is. Belangrijk daarbij is dat de bescherming niet door moet slaan, dat wil zeggen diensten onmogelijk moet maken die voldoen aan de behoeften van vele eindgebruikers. In dit verband heeft de regering in de BNC-fiche aangegeven vragen te hebben bij hetgeen in het voorgestelde artikel 7 is bepaald. Deze bepaling lijkt er toe te leiden dat ook met toestemming van de eindgebruiker bepaalde elektronische communicatiegegevens niet kunnen worden verwerkt buiten het kader van het verzorgen van de directe communicatie. Dit zou er toe kunnen leiden dat bepaalde elementen van bestaande over de top diensten niet meer zouden kunnen worden verzorgd. Daarbij valt onder meer te denken aan de tijdlijn in Facebook waarbij de inhoud van «oude» berichten wordt opgeslagen. De regering is van opvatting dat dit mogelijk moet zijn als de eindgebruiker daarmee instemt en vindt niet dat dit afbreuk doet aan de bescherming van de privacy. De Commissie zal ook hier om verduidelijking worden gevraagd.

De leden van de fractie van GroenLinks vroegen voorts waarom gegevens, zoals het IP adres, IMEI nummer en MAC adres, niet onder de verordening vallen, terwijl dat in de richtlijn wel zo was. Ook vroegen zij waarom er nu wordt gekozen voor een opt out regime en of het niet meer opportuun om de verwerking van de informatie niet toe te staan, mits hier door de gebruiker expliciet toestemming wordt verleend.

Anders dan de leden van de fractie van GroenLinks in hun vraag aangeven vallen het IP adres, IMEI nummer en MAC adres ook onder de voorgestelde verordening. Wel is er sprake van een uitzondering op het toestemmingsvereiste. In plaats van toestemming is in het voorstel een opt out regime opgenomen. Bij een dergelijk regime kan de eindgebruiker aangeven dat hij de gegevensverwerking niet wenst. Doet hij dat niet dan is deze toegestaan. De uitzondering op het toestemmingsvereiste is waarschijnlijk ingegeven door de wens van de Commissie om het gebruik van zogenoemde Wifi-tracking door bijvoorbeeld winkeliers op eenvoudige wijze juridisch mogelijk te maken. Zoals in het BNC-fiche is aangeven zal de regering de Commissie om nadere motivering van de voorgestelde uitzondering op het toestemmingregime vragen. De regering is daarbij, net als de fractie van GroenLinks van opvatting dat er vooralsnog onvoldoende redenen zijn om met een dergelijke uitzondering in te stemmen.

De leden van de fractie van GroenLinks vroegen of de regering vindt dat het voorstel van de Commissie om toestemming te laten plaatsvinden via de browser voldoende waarborgen beidt, gezien het algemene karakter van deze keuze. Ook vroegen zij hoe het zit met reeds geïnstalleerde browsers, waarbij de instellingen al zijn ingevoerd. Met name wilden zij weten of ook deze eindgebruikers de keuze voor de privacy-instellingen voorgelegd krijgen of dat eindgebruikers waarbij de instellingen momenteel niet zo privacybeschermend staan ingesteld

meer risico lopen.

Zoals in de BNC-fiche is aangegeven heeft de regering sympathie voor het voorstel om toestemming te laten plaatsvinden via de browser. Ook de regering zoekt, net als de Europese Commissie, naar mogelijkheden om het verlenen van toestemming bij cookies op een gebruikersvriendelijker wijze te laten plaatsvinden. Echter, zoals ook in de fiche verwoord, heeft de regering wel twijfels of browsers uiteindelijk wel geschikt zijn om rechtsgeldige toestemming te verlenen. Bij toestemming is immers van belang dat degene die toestemming verleent voldoende weet waar hij mee instemt. Bij het installeren van een browser weet de eindgebruiker echter nog niet wat er in de toekomst op hem afkomt. Hij kan dus ook niet weten waar hij nu precies toestemming voor verleent. De regering ziet niet direct een oplossing voor dit probleem en is benieuwd naar de zienswijze van de Commissie. Voor wat betreft bestaande browsers biedt het voorgestelde artikel 10, derde lid, uitsluitsel. Aldaar is bepaald dat ten aanzien van reeds geïnstalleerde software geldt dat aan de eisen van de verordening voldaan moet zijn bij de eerste update van de software maar niet later dan 25 augustus 2018. Dit is een periode van drie maanden na de voorgestelde inwerkingtreding van de verordening.

De leden van de fractie van GroenLinks gaven aan dat de Commissie ten aanzien van cookies voorstelt om het vragen van toestemming te vervangen voor een opt out regime en hoe de regering hier tegen aan kijkt.

Anders dan de leden van de fractie van GroenLinks veronderstellen, stelt de Commissie ten aanzien van cookies juist een opt in (toestemming) regime voor. Alleen bij de eerder ter sprake gekomen Wifi-tracking is dit anders. Zoals daar reeds opgemerkt ziet de regering op dit moment geen goede gronden om bij Wifi-tracking af te wijken van het toestemmingsvereiste.

De leden van de fractie van GroenLinks merkten voorts op dat in tegenstelling tot het oude regime ook ongevraagde direct-marketingcommunicaties met direct menselijke tussenkomst («live» bellen) onder het toestemmingsvereiste vallen maar dat lidstaten de mogelijkheid krijgen hiervan af te wijken door te kiezen voor een opt-out regime vergelijkbaar met het systeem van Nederland met het bel-me-niet register. De leden vroegen in dit verband hoe Nederland hierin staat als de verordening er komt en of het dan niet een interessante mogelijkheid is het bel-me-niet register af te schaffen in Nederland en alleen «live» bellen toe te staan bij personen die hier specifiek toestemming voor hebben verleend.

De regering is van mening dat het huidige systeem voor telefonische direct marketing, bestaande uit het bel-me-niet register en het recht van verzet, een evenwichtige waarborg biedt van de belangen van het bedrijfsleven en de consument. Desalniettemin is de regering voornemens in het kader van het herzieningstraject van de E-privacy verordening te bezien of de Telecommunicatiewet met betrekking tot de regels voor het Bel-me-niet register aanpassing behoeft. In dit traject worden onderzocht of het een mogelijkheid is het opt-out regime te vervangen door een opt-in regime. Daarvoor gaat de regering in gesprek met betrokken partijen zoals de Consumentenbond, brancheorganisaties en de ACM.

De leden van de fractie van GroenLinks konden zich vinden in de vraagtekens die de regering zet bij het loslaten van het recht op een niet-gespecificeerde rekening. Wel vroegen deze leden zich af waarom de regering aangeeft de Europese Commissie om een nadere toelichting te vragen betreffende dit punt.

Zoals in het fiche is aangegeven was het de regering niet duidelijk waarom de Commissie voorstelt om het recht op een niet-gespecificeerde rekening te laten vervallen. De regering is daar in principe geen voorstander van maar heeft in de fiche ruimte gelaten om zich te laten overtuigen door de Commissie dat er goede gronden zijn voor het afschaffen van dit recht. Inmiddels is echter uit herlezing van de impact assessment die de Commissie heeft uitgevoerd gebleken dat de Commissie van opvatting is dat de bepaling verouderd is in het licht van de «the evolution of technology and market reality». De regering begrijpt dat de Commissie op zoek is naar vermindering van de regeldruk maar deelt desondanks de opvatting van de Commissie niet.

De leden van de fractie van de VVD vroegen of de ACM, naast AP, ook nog toezichthoudende taken krijgt en hoe wordt voorkomen dat de aanbieders van elektronische communicatiediensten en -netwerken voor dezelfde onderwerpen te maken krijgen met zowel de AP als de ACM.

Dat is nog niet duidelijk. In het voorstel van de Commissie is bepaald dat het toezicht moet worden opgedragen aan het orgaan of de organen die in de lidstaat verantwoordelijk zijn voor het toezicht op de naleving van de AVG. Op dit moment is dat in Nederland AP. Als de door de Commissie voorgestelde bepaling strikt geïnterpreteerd wordt, dan zou dat kunnen betekenen dat er voor ACM geen toezichthoudende rol op het gebied van de eprivacy is weggelegd. Het is echter zo dat Nederland in de onderhandelingen over de AVG altijd heeft staande gehouden dat artikel 51 van de AVG zo uitgelegd kan worden dat niet wordt uitgesloten dat naast de AP andere organen een rol kunnen vervullen bij het toezicht op de naleving van sectorspecifieke regels op het gebied van de bescherming van persoonsgegevens. In Nederland is bij de totstandkoming van de Telecommunicatiewet bewust gekozen voor een model waarin AP en ACM beide een onderling goed afgestemde rol hebben bij het toezicht op de naleving van de regels voor de gegevensbescherming die gelden voor de aanbieders van openbare elektronische communicatienetwerken en -diensten. Nederland oordeelt dat nodig, omdat de ervaring leert dat zaken van gegevensbescherming in deze context regelmatig nauw zijn verknoopt met aspecten van dienstverlening die in het Europees telecommunicatierecht zijn geregeld.

Het is voorlopig nog maar de vraag of de door Nederland gegeven uitleg van de AVG en de door Commissie voorgestelde bepaling overeind blijft. De Nederlandse inzet is er in ieder geval op gericht dat de bepaling zo wordt aangepast dat het aan de lidstaat zelf is te bepalen aan wie het toezicht wordt opgedragen. Voor wat betreft eventueel overlappende bevoegdheden zij opgemerkt dat mocht hiervan sprake zijn ACM en AT gehouden zullen zijn hierover -net als nu- in het zogenoemde samenwerkingsprotocol afspraken te maken.

De leden van de fractie van de VVD vroegen voorts wat een (eventuele) uitbreiding van het takenpakket betekent voor de capaciteit in geld en mensen van AP.

Als het inderdaad tot een overdracht van taken komt zal in overleg met ACM en AP worden bezien wat dit betekent voor de capaciteit zowel bij ACM als bij AP. Het is echter nu nog te vroeg om hier over te spreken. Eerst zal moeten worden bezien hoe de onderhandelingen over het voorstel van de Commissie gaan verlopen. Zodra daar meer inzicht over bestaat zal een en ander in kaart worden gebracht. Uiteraard geldt daarbij dat AP over voldoende middelen moet beschikken om haar taken naar behoren te kunnen uitvoeren.

De leden van de fractie van GroenLinks vroegen om toe te lichten waarom de regering in de BNC-fiche negatief oordeel over het voorstel van de Europese Commissie om lidstaten te dwingen de uitvoering van de verordening in zijn geheel op te dragen aan het orgaan dat door de lidstaat is aangewezen als algemene privacy-toezichthouder. Ook wilden deze leden weten of hierdoor geen opportuun moment aangebroken is om de AP meer slagkracht en bevoegdheid te geven en of het oordeel van de regering over het voorstel van de Commissie eerst en vooral ingegeven vanwege het proportionaliteitsbeginsel of ook omwille van andere redenen.

Het standpunt van de regering is ingegeven door zowel principiële als praktische argumenten. Principieel is dat wetgeving, ook Europese, niet verder moet gaan dan nodig is om het doel dat wordt nagestreefd te bereiken. Het voorstel van de Commissie voldoet hier naar de opvatting van de regering niet aan omdat het voor een adequaat toezicht op de eprivacyregels niet nodig is dat de verordening regelt aan wie het toezicht moet worden opgedragen. Daarnaast zijn er onderdelen in de eprivacyregels waar ACM in de praktijk heeft bewezen goed werk te verrichten, zoals op het terrein van de bestrijding van Spam. De regering ziet dan ook geen reden om het toezicht op die punten weg te halen bij ACM en over te hevelen naar een ander orgaan.

De leden van de fractie van de VVD vroegen nader toe te lichten wanneer er sprake is van een «bijzonder risico» voor de veiligheid van elektronische communicatienetwerken en diensten in de zin van artikel 17 van het voorstel van de Commissie waarin is bepaald dat in het geval van een dergelijk risico de aanbieder de eindgebruiker moet informeren. Ook wilden deze leden weten of er nog een tijdslimiet is waarbinnen een aanbieder de eindgebruiker moet informeren en hoe deze informatieplicht zich verhoudt tot de meldplicht datalekken in de AVG.

Er hebben nog geen raadswerkgroepen plaatsgevonden waarin de Commissie de in artikel 17 voorgestelde bepaling nader heeft kunnen toelichten. Wel merkt de regering op dat de term «bijzonder risico» een vertaling is van de Engelse term «particular risc». Dit lijkt er op te duiden dat hier niet bedoeld is dat het risico bijzonder van aard moet zijn maar dat er sprake moet zijn van een concrete dreiging. Met andere woorden: de aanbieder hoeft op grond van het voorgestelde artikel 17 de eindgebruiker niet te informeren over alleen nog maar in theorie bestaande dreigingen. Uit de bepaling blijkt verder dat het de bedoeling is dat de aanbieder de eindgebruiker in ieder geval informeert op een tijdstip dat het voor die eindgebruiker nog mogelijk is om -als dat binnen zijn macht ligt- maatregelen te treffen om te voorkomen dat het risico zich manifesteert.

De leden van de fractie van GroenLinks vroegen naar de gevolgen van het loslaten van de verplichting voor aanbieders van elektronische communicatiediensten en netwerken om in het kader van de bescherming van privacy te zorgen voor de veiligheid van hun diensten. Ook vroegen zij welke implicaties de keuze heeft om eveneens de meldplicht bij inbreuken op de beveiliging te laten vervallen en of de regering er zeker van is dat de AVG voldoende waarborgen biedt om deze verplichtingen op te heffen.

Het uit de eprivacy regels halen van de verplichting om passende technische en organisatorische maatregelen te treffen om (vanuit de optiek van bescherming van persoonsgegevens) de veiligheid van de dienstverlening te garanderen betekent niet dat deze verplichting is komen te vervallen. Immers in de AVG is in artikel 32 de verplichting voor de verwerkingsverantwoordelijke en de verwerker (in dit geval de aanbieders van elektronische communicatiediensten en netwerken) om rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, passende technische en organisatorische maatregelen te treffen om een op het risico afgestemd beveiligingsniveau te waarborgen. Hoewel er sprake is van een deels andere terminologie komt deze verplichting uit de AVG materieel op hetzelfde neer als de vervallen verplichting uit de eprivacyregels. Voor wat betreft de meldplicht. Ook die komt in de AVG terug. In artikel 33 is immers bepaald dat indien een inbreuk in verband met persoonsgegevens heeft plaatsgevonden, de verwerkingsverantwoordelijke deze zonder onredelijke vertraging meldt en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de overeenkomstig artikel 55 bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

Tot slot verzochten de leden van de fractie van GroenLinks de regering tijdens de onderhandelingen in Brussel alsnog te pleiten voor de invoering van het vereiste van privacy by default ten aanzien van de producent van hard- en software. Mocht de regering daartoe niet bereid zijn dan wilden de leden van de fractie van GroenLinks graag weten waarom dit het geval is.

De regering is zeker voorstander van privacy by default. De regering zou er dan ook geen bezwaar tegen hebben gehad als de Commissie een dergelijke verplichting had opgenomen in haar voorstel. De Commissie heeft dit uiteindelijk niet gedaan maar gekozen voor een oplossing die, naar de opvatting van de regering, erg dicht bij in de buurt komt. In artikel 10 van het voorstel is bepaald dat software die in de handel wordt gebracht om elektronische communicatie mogelijk te maken (zoals browsers en apps) de mogelijkheid moet bieden om derden te verhinderen toegang te krijgen tot informatie op het eindapparaat van de gebruiker. Daarnaast bevat het voorgestelde artikel de verplichting dat de software bij installatie de eindgebruiker een duidelijke keuze laat maken of hij derde wil toelaten of niet. Los van de kanttekeningen die de regering plaats ten aanzien van de effectiviteit van deze bepaling met betrekking tot het terugdringen van verzoek om toestemming aan de eindgebruiker (zie de eerder hierover gemaakte opmerkingen) leidt de voorgestelde bepaling er toe dat de eindgebruiker een keuze moet maken. Hij kan er dan altijd voor kiezen om derden niet toe te laten. Het verschil met een systeem waarbij de software standaard derden niet toelaat en de eindgebruiker desgewenst dit kan wijzigen acht de regering zo gering dat ze ook met de door de Commissie voorgestelde oplossing uit de voeten kan.

De leden van fractie van de VVD vonden artikel 8, eerste lid van het voorstel van de Commissie onduidelijk geformuleerd en vroegen de regering uit leggen wat er precies bedoeld wordt. Ook vroegen deze leden naar de verwachting van de regering omtrent de inwerkingtreding van de richtlijn tot vaststelling van het Europees wetboek voor elektronische communicatie waarnaar in het voorstel van de Commissie meerdere malen wordt verwezen.

Artikel 8, eerste lid, is feitelijk de vervanging van de bepaling die tot nu toe bekend stond als de cookiebepaling. Uitgangspunt bij die bepaling was en is dat het eindapparaat (de smartphone, de computer) en alles wat daarop op gebeurt en is vastgelegd tot de privé sfeer van de eindgebruiker behoort en dat deze privé sfeer dient te worden beschermd. Vandaar dat artikel 8, eerste lid, kort gezegd bepaalt dat het lezen en plaatsen van informatie op het randapparaat door derden, evenals het gebruik van de verwerkingscapaciteit (de rekenkracht) van het eindapparaat niet is toegestaan tenzij er toestemming van de eindgebruiker is of een van de andere twee uitzonderingen aan de orde is. Voor wat betreft de voortgang van de richtlijn tot vaststelling van het Europees wetboek voor elektronische communicatie: de Commissie streeft er naar om ook deze richtlijn voor 25 mei 2018 gereed te hebben. Of dit ook lukt is nog de vraag.