De vaste commissie voor Economische Zaken heeft een aantal vragen en opmerkingen voorgelegd aan de Minister van Economische Zaken over de brief van 13 oktober 2017 inzake de geannoteerde agenda van de Telecomraad van 24 oktober 2017 (Kamerstuk 21 501-33, nr. 668).

De fungerend voorzitter van de commissie, Ziengs

De griffier van de commissie, Nava

De leden van de CDA-fractie hebben een aantal vragen over de ePrivacy-verordening. Deze leden hebben begrepen dat het begrippenkader en de systematiek van Algemene Verordening Gegevensbescherming (AVG) en de ePrivacy-verordening uiteen lopen. Kan dit in de praktijk tot problemen leiden?

Er zijn inderdaad verschillen in begrippenkader en systematiek tussen de voorgestelde ePrivacy-verordening en de AVG. Dit is echter goed verklaarbaar en hoeft in de praktijk niet tot problemen te leiden. De verschillen zijn vooral een gevolg van het feit dat de voorgestelde ePrivacy-verordening een ruimer toepassingsbereik heeft dan de AVG. De AVG ziet immers alleen op de bescherming persoonsgegevens terwijl de ePrivacy-verordening ook ziet op de bescherming van gegevens die dat niet zijn. Zo ziet het in de ePrivacy-verordening opgenomen communicatiegeheim niet alleen op het vertrouwelijk blijven van communicatie waarin persoonsgegevens worden gewisseld maar ook op communicatie waarin bedrijfsgegevens worden gewisseld.

De leden van de CDA-fractie vragen of de Minister kan aangeven of de ePrivacy-verordening en de AVG voldoende op elkaar aansluiten en zo ja, waar dit uit blijkt.

De leden van de CDA-fractie vragen of de definitie van de e-privacy voldoende aansluit bij het doel dat wordt beoogd met deze verordening.

Ja dat is naar mijn opvatting het geval. De voorgestelde ePrivacy-verordening beoogt de privacy en het communicatiegeheim van zowel natuurlijke personen als bedrijven bij het gebruik van elektronische communicatiediensten te beschermen. Daarom wordt in het begrippenkader van de ePrivacy-verordening zowel aangesloten bij belangrijke begrippen uit het Europese kader voor elektronische communicatie als bij belangrijke begrippen uit de AVG.

De leden van de CDA-fractie vragen of het bereik van de wet vooralsnog niet te vaag omschreven is en wat nu precies onder de ePrivacy-verordening gaat vallen? Ook vragen zij wat concreet valt onder het toepassingsgebied en of dat de verordening het hele «Internet of Things» omvat.

Onder de ePrivacy-verordening vallen diverse onderwerpen die gemeen hebben dat ze te maken hebben met het beschermen van privacy bij het gebruik van elektronisch communicatie. Kernbepalingen daarbij zijn het communicatiegeheim en de uitzonderingen daarop alsmede de zogenoemde cookiebepaling die ziet op de toegang en het gebruik van eindapparatuur. Voorts kent de ePrivacy-verordening ook regels met betrekking tot direct marketing (spam) telefoongidsen en nummerherkenning.

Het toepassingsgebied van de voorgestelde ePrivacy-verordening omvat bepaalde belangrijke aspecten van het Internet of Things. Daarin is de ePrivacy-verordening overigens niet anders dan het huidige hoofdstuk 11 van de Telecommunicatiewet. In dit verband is allereerst het communicatiegeheim van belang. Dit ziet, net als nu al het geval is, ook op communicatie tussen machines onderling. Wanneer, bijvoorbeeld, een bedrijf twee machines met elkaar laat communiceren via een telecommunicatiedienst dan mag de aanbieder van de telecommunicatiedienst noch een derde inbreken op deze communicatie. Zo blijven bedrijfsgegevens vertrouwelijk. Dit zelfde geldt mutatis mutandis voor een slimme thermostaat die gegevens uitwisselt met de aanbieder van de app die de thermostaat aanstuurt: de via het telecommunicatienetwerk uitgewisselde gegevens mogen, behoudens met toestemming, niet door de aanbieder van de telecommunicatiedienst of een derde worden gebruikt. Daarnaast kent, zoals gezegd, de ePrivacy-verordening net als hoofdstuk 11 van de Telecommunicatiewet nu (artikel 11.7a) een bepaling die ziet op de toegang en het gebruik van eindapparatuur (een smartphone, een computer, maar ook een slimme thermostaat of een connected car). Deze bepaling komt er in grote lijnen op neer dat gegevens die op eindapparatuur worden geplaatst of van eindapparatuur worden gelezen alleen mogen worden verwerkt als de gebruiker van het eindapparaat een (mede) daartoe strekkende overeenkomst heeft gesloten of daarvoor toestemming heeft gegeven.

De leden van de CDA-fractie zijn benieuwd hoe de regering tegen de ePrivacy-verordening aankijkt in relatie tot internetplatforms. Zij vragen of het klopt dat internetplatforms soms zelf onderdeel zijn van een transactie en hierdoor toegang nodig hebben tot communicatiedata om hun rol als platform te kunnen vervullen, bijvoorbeeld voor het verwerken van deze transacties of het tegengaan van fraude. Zij vragen verder of de Minister kan aangeven of toestemming in deze situaties voor gebruikers een extra hinderlijke laag dreigt te worden voor het ontvangen van diensten, terwijl toestemming het privacybewustzijn niet significant vergroot. Voorts vragen zij of de Minister kan aangeven of een verbetering zou optreden indien meer flexibiliteit wordt gegeven aan internetdiensten die onderdeel zijn van een online transactie indien voor hen alleen het juridische kader van de AVG geldt.

Met betrekking tot internetplatforms voorzie ik geen problemen bij de toepassing van de -. Het is juist dat internetplatforms vaak toegang nodig hebben tot informatie op eindapparaten van eindgebruikers. Echter, voordat een eindgebruiker deelneemt aan een internetplatform sluit hij een overeenkomst met het betreffende internetplatform. In het kader van deze overeenkomst maakt hij afspraken over het gebruik en de toegang tot de informatie op zijn eindapparaat.

De leden van de CDA-fractie zouden graag inzichtelijk krijgen wat de verwachting is welke extra pop-ups door deze verordening gaan ontstaan om toestemming te geven. Gaan er, zo vragen zij, pop-ups ontstaan die niet noodzakelijk zijn om het belang van vertrouwelijkheid van communicatie en online privacy te waarborgen. Zo ja dan willen zij weten, hoe de Minister dit beoordeelt in relatie tot bevindingen in de praktijk met de huidige cookiewet.

Het is niet de verwachting dat door de voorgestelde ePrivacy-verordening extra pop-ups ontstaan. Het is meer de vraag of het lukt, zoals beoogd wordt, om het aantal pop-ups te verminderen door browsers meer geschikt te maken voor het geven van toestemming voor het plaatsten van cookies. Ik ben er nog niet van overtuigd dat dat het geval zal zijn (zie ook het antwoord op een latere vraag over pop-ups). Op dit moment is er nog geen adequaat alternatief voor het plaatsen van cookies. Wel kunnen aanvullende grondslagen voor de verwerking van informatie op eindapparatuur een mogelijkheid zijn. Dit zou echter niet moeten leiden tot een lager beschermingsniveau dan in de AVG wordt geregeld.

De leden van de CDA-fractie zijn verder benieuwd of de ePrivacy-verordening zo in elkaar zit dat spam alleen kan worden tegengehouden als ook de spammer daar toestemming voor heeft gegeven. Zo ja, dan willen zij weten of de Minister dat wenselijk vindt.

Het betreft hier een misverstand. Dit aspect van spam wordt niet geregeld in de ePrivacy-verordening maar in de Netneutraliteitsverordening. Voor nadere informatie verwijs ik naar mijn brief van 12 september 2017 (Kamerstuk 26 643, nr. 484).

De leden van de CDA-fractie vragen of applicaties gebaseerd op kunstmatige intelligentie worden ontmoedigd door de ePrivacy-verordening.

De ePrivacy-verordening geeft, zoals al eerder aangeven, een regime voor het verwerken van informatie op eindapparaten. Verder moet software zodanig worden ingericht dat de eindgebruiker bij installatie duidelijke keuzes heeft met betrekking tot de privacy-instellingen. Mijn verwachting is dat deze bepalingen zullen bijdragen aan het vertrouwen van eindgebruikers in nieuwe technieken en nieuwe toepassingen daardoor eerder zal stimuleren dan belemmeren.

De leden van de CDA-fractie zijn ook benieuwd of de verordening ervoor zorgt dat ook toestemming moet worden gegeven voor data die noodzakelijk is om de dienst überhaupt te kunnen gebruiken, die nodig is om lerend vermogen of innovatief vermogen te verbeteren. Mag, zo vragen de leden, een pechdienst met deze ePrivacy-verordening zonder toestemming met autodata en meteogegevens een real-time inschatting maken over waar pechhulp bij noodweer het meest nodig is en mag een dokter met deze ePrivacy-verordening een «connected» hartmonitor aansluiten op een patiënt die buiten kennis is.

De voorgestelde ePrivacy-verordening kent net als het huidige artikel 11.7a van de Telecommunicatiewet de regel dat het lezen/plaatsen (verwerken) van informatie op eindapparatuur is toegestaan als dit nodig is in het kader van de afname van een dienst van de informatiemaatschappij. Daarnaast is dergelijke verwerking toegestaan als de eindgebruiker toestemming heeft verleend. Als iemand een «connected» pechdienst afneemt hoeft deze persoon dus geen separate toestemming te geven. In het voorbeeld van de «connected» hartmonitor is het de dokter die het eindapparaat gebruikt om zijn zorg te verlenen. Hier is dus geen toestemming van de patiënt nodig.

De leden van de CDA-fractie begrepen dat de verordening het ook mogelijk maakt om toestemming vooraf te regelen via de browserinstellingen, waardoor consumenten minder worden geconfronteerd met «cookie banners». Verwacht de Minister, zo vragen zij, dat hier veel gebruik van wordt gemaakt en hierdoor het aantal pop ups vermindert.

De ePrivacy-verordening stuurt er op aan dat browsers, maar ook andere applicatie-software, bij installatie de eindgebruiker duidelijke keuzes geeft over de privacy-instellingen. De Europese Commissie heeft aangegeven te verwachten dat dit er toe zal leiden dat de voorzieningen die nu al in de meest gangbare browsers zijn opgenomen (soms standaard, soms in de vorm van een zogenoemde add-on) makkelijker toegankelijk worden gemaakt. Hierdoor zouden eindgebruikers eenvoudiger hun browser kunnen gebruiken voor het beheren van cookies op hun eindapparaat. Ik deel deze verwachting van de Commissie en zie dit als een positieve ontwikkeling. Of het zal leiden tot minder pop-ups betwijfel ik echter. Ik verwacht namelijk dat indien een browser (door een daartoe strekkende instelling van de eindgebruiker) een bepaalde website geen mogelijkheid biedt om cookies te plaatsen, de eindgebruiker alsnog zal worden gevraagd (door bijvoorbeeld de website-aanbieder) of hij in dit geval toch cookies wil accepteren.

Kan de Minister, zo vragen de leden van de CDA-fractie, aangeven of het klopt dat de e-privacywetgeving in Nederland wordt gehandhaafd door de ACM en dat in de ePrivacy-verordening staat dat dit in de toekomst zal moeten gebeuren door de Autoriteit Persoonsgegevens. Zo ja, zo vragen de leden, wat zijn hiervan de effecten.