Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 26 oktober 2018

Onlangs heeft de uw Kamer de gewijzigde motie van het lid Wörsdörfer (Kamerstuk 21 501-30, nr. 443) aangenomen. In deze motie wordt de regering verzocht artikelsgewijs de samenloop en overlap van de e-Privacyverordening en de Algemene Verordening Gegevensbescherming (AVG) nader inzichtelijk te maken. Verder roept de motie de regering op een MKB toets voor de e-Privacyverordening uit te voeren en de uitkomsten daarvan te betrekken bij de verdere onderhandelingen over het voorstel van de Europese Commissie en tot die tijd geen onomkeerbare stappen te zetten in de Europese raden en werkgroepen. In deze brief geef ik aan hoe ik met deze motie om zal gaan.

Een belangrijke aanleiding voor de motie is, zo blijkt uit de overwegingen, het feit dat bij het van kracht worden van de nieuwe e-Privacyregels het Nederlandse bedrijfsleven opnieuw, dat wil zeggen na de wijzigingen ten gevolge van de AVG, geconfronteerd zou gaan worden met ingrijpende wijzigingen van de regels op het terrein van privacy die een grote impact zouden hebben op het Nederlandse bedrijfsleven.

Ik heb begrip voor deze zorg maar deze is onterecht. De AVG is de opvolger van de algemene Europese privacyrichtlijn die in de Nederlandse wet was omgezet in de Wet bescherming persoonsgegevens (Wbp). De AVG bevat ten opzichte van de Wbp vele nieuw elementen die voor uitvoeringslasten zorgen bij het Nederlandse bedrijfsleven en alle andere instellingen die persoonsgegevens verwerken. Belangrijk daarbij is het feit dat praktisch alle ondernemingen op een of andere manier persoonsgegevens verwerken. Anders gezegd, het gehele bedrijfsleven heeft te maken met de invoering van de AVG. Bij de e-Privacyverordening is de situatie anders. Op de eerste plaats ziet de e-Privacyverordening slechts op het verwerken van gegevens in de sfeer van de elektronische communicatie. Niet iedere onderneming is op dat gebied actief. Belangrijker is echter dat de wijzigingen die de voorgestelde e-Privacyregels met zich meebrengen ten opzichte van de huidige richtlijn slechts beperkt zijn. In veel gevallen leiden de wijzigingen er toe dat bedrijven meer mogelijkheden krijgen om telecommunicatiegegevens en gegevens afkomstig van eindapparaten te verwerken zoals bijvoorbeeld verwerking ten behoeve van de veiligheid van de dienstverlening en statistische doeleinden.

Voor een bepaalde groep bedrijven brengt de voorgestelde verordening wel wijzigingen met zich mee. De voorgestelde e-Privacyverordening bevat net als zijn voorganger de e-Privacyrichtlijn een vastlegging van het communicatiegeheim. Tot nu toe gold dit communicatiegeheim alleen voor klassieke telecommunicatie-aanbieders als Vodafone en KPN. Partijen die communicatie mogelijk maakten via het internet, de zogenoemde over-de-top-spelers, vielen buiten de reikwijdte van het communicatiegeheim. De voorgestelde verordening brengt hier, naar ik meen terecht, verandering in. Hierdoor komen diensten als WhatsApp, Skype en Facebook Messenger onder het communicatiegeheim te vallen, hetgeen betekent dat ze behoudens met toestemming van de communicerende partijen, niet langer in de inhoud van de communicatie mogen kijken, en de bij de communicatie behorende metadata (wie heeft contact met wie op welk tijdstip etc.) in beginsel alleen mogen verwerken voor het verzorgen van de communicatie. Dit alles betekent dat bedrijven die via het internet communicatie tussen eindgebruikers verzorgen zich zullen moeten aanpassen aan de nieuwe regels op het gebied van het communicatiegeheim. Dit betreft echter een relatief klein deel van het bedrijfsleven. Bedrijven die niet een dergelijk soort diensten aanbieden hoeven geen actie te ondernemen. Vanuit dit perspectief bezien zal de impact van «nieuwe» e-privacyregels slechts gering zijn.

Uit de overwegingen blijkt voorts dat er zorgen zijn over de aansluiting van de e-Privacyverordening en de AVG tegen welke achtergrond de motie vraagt om de samenloop en overlap van de AVG en de e-Privacyverordening artikelsgewijs inzichtelijk te maken.

Ik begrijp dat de verhouding tussen de AVG en de e-Privacyverordening vragen kan oproepen. Daarbij merk ik op dat de situatie nu al bestaat dat er naast algemene regels voor de verwerking van persoonsgegevens regels zijn voor de bescherming van de persoonlijke levenssfeer in de elektronische communicatie. Immers voor de invoering van de AVG was er de algemene privacyrichtlijn (in Nederland zoals gezegd omgezet in de Wbp) in combinatie met de – op dit moment nog steeds geldende – e-privacyrichtlijn (in Nederland omgezet in hoofdstuk 11 van de Telecommunicatiewet). Deze reeds bestaande situatie blijft voortbestaan in de relatie tussen de AVG en de voorgestelde e-Privacyverordening.

Om de verhouding tussen beide verordeningen goed te begrijpen zal een artikelsgewijze vergelijking, zoals de motie vraagt, onvoldoende inzicht geven vanwege de verschillende achtergrond van de verordeningen. Daarmee is echter niet gezegd dat de verhouding tussen beide verordeningen niet inzichtelijk kan worden gemaakt. Daarvoor is het mijn inziens allereerst nodig die verschillende achtergrond nader toe te lichten.

De AVG is een uitwerking van het grondrecht op bescherming van persoonsgegevens zoals dat is vastgelegd in het Handvest van de grondrechten van de Europese Unie. De e-privacyregels zijn dat ook maar zijn daarnaast ook een uitwerking van het communicatiegeheim en het grondrecht op bescherming van de persoonlijke levenssfeer. We zien deze verschillen terug in wat de twee kernartikelen van de voorgestelde e-Privacyverordening kunnen worden genoemd: artikel 6, waarin de grenzen van het communicatiegeheim worden bepaald, en artikel 8, dat gaat over de verwerking van gegevens op eindapparaten, zoals bijvoorbeeld het lezen van de contactenlijst op iemands smartphone of het uitlezen en bijsturen van een slimme thermostaat.

Communicatiegeheim

De AVG, die alleen ziet op persoonsgegevens, laat verwerking van deze gegevens toe als men beschikt over een van de verwerkingsgrondslagen genoemd in artikel 6 van de AVG. Tot die verwerkingsrondslagen behoort onder andere toestemming van degene wiens (persoons-)gegevens worden verwerkt, maar ook «gerechtvaardigd belang». Deze laatste grondslag houdt kort gezegd in, dat een partij persoonsgegevens mag verwerken als zijn gerechtvaardigd belang bij de verwerking zwaarder weegt dan het privacybelang van degene wiens persoonsgegevens worden verwerkt.

Artikel 6 van de voorgestelde e-Privacyverordening bepaalt ter uitvoering van het communicatiegeheim het volgende. Partijen die elektronische communicatie verzorgen mogen de gegevens met betrekking tot de communicatie, dat wil zeggen de inhoud van de communicatie en de metadata (dus wie heeft contact met wie op welk tijdstip en welke locatie etc.), alleen verwerken voor zover dat nodig is voor het verzorgen van die communicatie. Verwerking voor andere doeleinden is, op enkele specifieke uitzonderingen na, niet toegestaan tenzij de bij de communicatie betrokken daarvoor toestemming geven. Bij de zojuist genoemde communicatiegegevens (dus inhoud en metadata) kan het zowel gaan om persoonsgegevens als andere gegevens (bijvoorbeeld commerciële informatie van een bepaald bedrijf).

Wanneer het gaat om persoonsgegevens vormt de e-Privacyverordening dus een nadere invulling en een afwijking van de AVG (een zogenoemde lex specialis). Immers, de AVG kent meerdere verwerkingsgrondslagen zoals het eerder genoemde gerechtvaardigd belang. Maar de e-Privacyverordening kent er in hoofdzaak slechts twee: verwerking ten behoeve van de communicatie en toestemming. Voor zover het bij de elektronische communicatie gaat om gegevens die geen persoonsgegevens zijn vormt de e-Privacyverordening een aanvulling op de AVG. De AVG ziet immers niet op gegevens die geen persoonsgegevens zijn.

Verwerking van gegevens op eindapparaten

In artikel 8 van de (voorgestelde) e-Privacyverordening is bepaald op basis van welke grondslagen derden informatie op apparaten aangesloten op een openbaar communicatienetwerk (zogenoemde eindapparaten) mogen verwerken. Het uitgangspunt daarbij is dat de gegevens die op een eindapparaat staan tot de privésfeer van de betreffende eindgebruiker behoren. Artikel 8 vormt dan ook naast een nadere uitwerking van het recht op bescherming van persoonsgegevens een uitwerking van het grondrecht op bescherming van de persoonlijke levenssfeer. Dit verklaart allereerst waarom artikel 8 zowel ziet op persoonsgegevens die op eindapparaten staan als op gegevens waar dat niet voor geldt. Het verklaart ook waarom de gronden voor verwerking van gegevens op eindapparaten beperkter zijn dan in de AVG.

Zo ontbreekt ook hier net als bij de regeling van het communicatiegeheim, de mogelijkheid voor derden om gegevens op eindapparaten te verwerken op basis van gerechtvaardigd belang. Een dergelijke ruime grondslag zou mijns inziens onterecht veronderstellen dat er situaties zouden zijn waarin bedrijven zonder dat dat nodig is voor de levering van een door de eindgebruiker gevraagde dienst en zonder toestemming van de eindgebruiker, op eindapparaten mogen kijken omdat hun gerechtvaardigd belang daartoe zwaarder weegt dan het belang van die eindgebruiker op bescherming van zijn privacy. Men zou in dit verband de toegang tot bijvoorbeeld een smartphone kunnen vergelijken met toegang tot een woonhuis. Ook dat is zo privé dat een derde niet zonder toestemming op grond van gerechtvaardigd belang het huis mag betreden.

Van belang is ook dat de afweging van belang (primair) plaatsvindt door degene die de gegevens wenst te verwerken. Zo zou bijvoorbeeld een adverteerder al snel kunnen redeneren dat hij zonder toestemming van de eindgebruiker op een smartphone kan kijken om surfgedrag te volgen, omdat hij vindt dat zijn gerechtvaardigd belang bij het exploiteren van een met gerichte reclame gefinancierde site zwaarder weegt dan het belang van de eindgebruiker op bescherming van zijn persoonlijke levenssfeer. Dit is een richting die we niet op moeten gaan.

Bovendien is een dergelijke algemene verwerkingsgrondslag mijns inziens ook niet nodig. In de meeste gevallen zullen bedrijven die gegevens op eindapparaten wensen te verwerken zich kunnen baseren op de grond dat deze verwerking nodig is voor het leveren van een door de eindgebruiker gevraagde dienst. Daar waar deze verwerkingsgrondslag niet aan de orde is, kan de verwerking worden gebaseerd op toestemming van de eindgebruiker of een van de meer specifieke verwerkingsgrondslagen opgenomen in artikel 8 van de e-Privacyverordening.

Ik erken daarbij dat de toepasselijkheid van deze verwerkingsgrondslagen nu en in de toekomst bij nieuwe innovatie diensten vragen op kan roepen over de praktische toepasselijkheid daarvan. Ik ben bereid daarover -als daar behoefte aan is- het gesprek aan te gaan. Daarbij sluit ik specifieke aanpassingen in het e-Privacy-voorstel niet op voorhand uit met dien verstande dat ik, zoals gezegd, het invoeren van de grondslag gerechtvaardigd belang een stap te ver vind gezien de bescherming van de persoonlijke levenssfeer. Ik merk daarbij overigens op dat ook in de Raad onvoldoende steun is voor het invoeren van deze grondslag en dat deze ook niet voorkomt in de door het Europees Parlement vastgestelde versie.

Uit bovenstaande is naar ik hoop duidelijk geworden dat zowel artikel 6 als artikel 8 van de e-Privacyverordening deels een verbijzondering en afwijking van de AVG zijn en deels – voor zover het niet gaat om de verwerking van persoonsgegevens – een (terechte) aanvulling daarvan zijn.

MKB-toets

Het e-Privacy voorstel van de Europese Commissie dateert van januari 2017. Bij de totstandkoming van het voorstel is door de Commissie een uitgebreide impact analyse gemaakt. Daarbij is, vergelijkbaar met de MKB-toets, ook specifiek aandacht besteed aan de gevolgen van de voorgestelde regels voor het mkb. Uit deze analyse blijkt dat de voorgestelde regels een (beperkte) positieve uitwerking hebben op het MKB. Deze bestaat er vooral uit dat door het de harmoniserende werking van de verordening eenvoudiger (goedkoper) wordt voor het mkb om over de landsgrenzen heen zaken te doen. Door de Nederlandse regering is destijds geen onderzoek gedaan naar de effecten van de voorgestelde Europese wetgeving. Dat was ook niet nodig. Immers de Europese Commissie had een dergelijk onderzoek al gedaan en er is geen reden om aan de bevindingen van de Europese Commissie te twijfelen. Bovendien bestond op dat moment de MKB-toets nog niet. Deze is immers geïntroduceerd in het kader van het meest recente regeerakkoord (bijlage bij Kamerstuk 34 700, nr. 34).

Een belangrijk aspect is verder dat, zoals ik hiervoor al aangaf, de wijzigingen in het e-privacy-regime relatief gering zijn. Zo heeft het merendeel van het MKB als zij al te maken heeft met de e-privacyregels vooral te maken met de bepaling over het verwerken van gegevens op eindapparaten. Daarbij zal het veelal gaan om de door het betreffende MKB-bedrijf verzorgde website. Daarbij geldt dat bedrijven die met hun website nu al voldoen aan de bestaande wetgeving geen aanpassingen hoeven door te voeren om aan de toekomstige wetgeving te voldoen. Nu alsnog een MKB-toets doen is dan ook niet opportuun. Temeer daar nu al bijna twee jaar onderhandeld wordt over de e-Privacyverordening en deze onderhandelingen in een vergevorderd stadium verkeren en het gaat om een verordening die geen omzetting in het nationale recht behoeft.

Bij de Nederlandse inbreng in die onderhandelingen heeft naast een goede bescherming van de privacy van de eindgebruiker, een goede uitvoerbaarheid en een beperking van de lasten van de regels altijd voorop gestaan. Daarbij wordt voortdurend gekeken naar de gevolgen van de regels voor het Nederlandse bedrijfsleven met inbegrip van het mkb. Verder vind ik het belangrijk dat de bedrijven die wel aanpassingen moeten verrichten als de nieuwe e-privacyregels in werking treden voldoende tijd krijgen om de nodige aanpassingen te doen. Ik zal daarom in Brussel pleiten voor een ruimhartige invoeringstermijn.

Ik ben uiteraard altijd bereid, zoals dat ook de afgelopen tijd is gebeurd, in gesprek te gaan met bedrijven die menen problemen te zullen gaan ondervinden van de nieuwe regels.

Standpunten in Brussel

Het slot van de motie vraagt de Nederlandse regering geen onomkeerbare stappen te zetten in de Europese Raden en werkgroepen. Ten aanzien van dit aspect merk ik op dat dat formeel gezien ook nog niet is gebeurd. Dit neemt niet weg dat in de vele maanden die de onderhandelingen reeds hebben geduurd wel standpunten door Nederland zijn ingenomen. Over deze standpunten is uw Kamer in aanloop naar de telecomraden altijd uitvoerig geïnformeerd. In een enkel geval is zelfs op verzoek van uw Kamer op de telecomraad een standpunt ingenomen. Ik wijs in dit verband op de motie van het lid Verhoeven c.s. met betrekking tot het verbod op cookiewalls (Kamerstuk 21 501-33, nr. 711). Dit gezegd zijnde meen ik dat het gezien de stand van de onderhandelingen in de Raad niet verstandig is om het Nederlandse standpunt inhoudelijk fors te wijzigen. Dit zou Nederland ongeloofwaardig maken en de positie van Nederland op dit dossier ondermijnen.

De Staatssecretaris van Economische Zaken en Klimaat, M.C.G. Keijzer