32 761 Verwerking en bescherming persoonsgegevens

Nr. 163 BRIEF VAN DE MINISTER VOOR RECHTSBESCHERMING

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 2 juni 2020

In deze brief informeer ik u over de uitvoering van de moties en toezeggingen die tijdens het AO van 13 juni 2019 (Kamerstuk 32 761, nr. 148) en het daarop volgende VAO van 25 juni 2019 (Handelingen II 2018/19, nr. 97, item 34) zijn aangenomen c.q. gedaan.

1. Moties

1.1 Motie van Dam c.s. over het toezicht op de Big Five1

In deze motie wordt de regering verzocht om inzichtelijk te maken hoe de Ierse gegevensbeschermingsautoriteit inhoud geeft aan haar toezichttaak, inclusief toezending van het activiteitenverslag dat de toezichthouder jaarlijks opstelt conform artikel 59 Algemene Verordening Gegevenswerking (AVG).

Het activiteitenverslag dat de Ierse toezichthouder jaarlijks opstelt en op zijn website te vinden is, geeft inzicht in de manier waarop hij invulling geeft aan zijn toezichttaak, ook ten aanzien van de zogeheten «Big Five».

In het verslag over 2018 geeft de toezichthouder inzicht in de onderzoeken die hij sinds de inwerkingtreding van de AVG heeft ingesteld tegen grote «techmultinationals».2 Verder schrijft hij onder meer dat hij een actieve houding heeft aangenomen ten aanzien van grote techmultinationals en zich heeft ingezet om het bewustzijn over de AVG te verhogen. De toezichthouder heeft in een aantal gevallen ook advies gegeven aan grote techbedrijven om aan de AVG te voldoen.

Ook in het rapport over 2019 geeft de toezichthouder inzicht in zijn handelen jegens de grote techbedrijven. Zo wordt in het rapport uitgebreid ingegaan op de lopende onderzoeken, meerdere daarvan zijn ingesteld naar de verwerking van persoonsgegevens door bijvoorbeeld Facebook, Apple en Google.3 Daar komt bij dat de toezichthouder aangeeft dat het in 2020 haar eerste conceptbesluiten ten aanzien van de onderzoeken die naar een aantal bigtech bedrijven zijn gedaan ter consultatie zal voorleggen aan de andere Europese toezichthouders.4 Voorts heeft de toezichthouder in februari een nieuw onderzoek naar het gebruik van locatiegegevens door Google aangekondigd.5

Belangrijk om te benadrukken is dat niet alle lasten van het toezicht op de grote techmultinationals bij de Ierse toezichthouder liggen. De Ierse toezichthouder is de «leidende toezichthouder» omdat genoemde techbedrijven hun hoofdvestiging in de Europese Unie in Ierland hebben en daar het doel en de middelen van de verwerking van persoonsgegevens vaststellen. Echter, als betrokkenen in een ander Europees land ook wezenlijke gevolgen ondervinden van de grensoverschrijdende gegevensverwerkingen van een verwerkingsverantwoordelijke, dan is de toezichthouder van dit land «betrokken toezichthouder». In het geval van de grote techmultinationals is het zeer waarschijnlijk dat veel Europese toezichthouders «betrokken» zijn. De «leidende toezichthouder» legt conceptbeslissingen aan deze collega toezichthouders voor, maar kan ook gezamenlijk met andere toezichthouders een onderzoek uitvoeren (bijvoorbeeld in meerdere EU-lidstaten). Middels dit samenwerkingsmechanisme worden de krachten van de toezichthouders waar nodig dus gebundeld.

1.2. Motie Buitenweg over het voorkomen van indirecte discriminatie bij levering van goederen en diensten door besluitvorming via algoritmen6

Deze motie verzoekt de regering om te onderzoeken hoe indirecte discriminatie bij de levering van goederen en diensten via besluitvorming waar algoritmen een dominante rol in spelen kan worden voorkomen.

Het in de motie aangekaarte fenomeen kan zich op verschillende wijzen manifesteren. Het betreft met name discriminatie door middel van aanpassing van de prijs aan het individu, het opwerpen van barrières om een product of dienst te kunnen afnemen of het volledig uitsluiten van personen van bepaalde goederen of diensten. Voor de duidelijkheid wil ik deze vormen van discriminatie allemaal scharen onder het begrip «aanbodsdiscriminatie».

Belangrijk om op te merken is dat er een verschil bestaat tussen discriminatie en differentiatie. Niet iedere vorm van differentiatie leidt namelijk tot discriminatie: alleen wanneer er een verboden onderscheid wordt gemaakt is er sprake van discriminatie. Van een dergelijk verboden onderscheid is sprake wanneer dat wordt gemaakt op grond van beschermde persoonskenmerken uit de gelijke behandelingswetgeving, zoals bijvoorbeeld ras, seksualiteit of politieke overtuiging. Het maken van een indirect onderscheid is wél toegestaan als hiervoor een objectieve reden is en het aangewende middel noodzakelijk en geschikt is. Opmerking verdient dat de criteria voor een dergelijke objectieve reden over het algemeen zwaarwegend zijn. Het maken van een indirect onderscheid zal dan ook niet snel gelegitimeerd zijn.

Verder wil ik benadrukken dat het personaliseren van prijzen of aanbiedingen met gebruik van algoritmen in de praktijk nog weinig lijkt te worden toegepast. Dit beeld komt naar voren in een studie die is uitgevoerd op verzoek van de Europese Commissie. De onderzoekers concludeerden dat er geen bewijs bestaat dat bevestigt dat aanbiedingen op consistente en systematische wijze worden gepersonaliseerd.7

De ministeries van BZK en JenV onderzoeken gezamenlijk hoe, gelet op het toepasselijk wettelijk kader, discriminatie bij het aanbieden van goederen en diensten voorkomen kan worden.8 Daarbij merk ik op dat normen over wat wél en níet is toegestaan bij het differentiëren van een aanbod zijn vastgelegd in het gelijke behandelingsrecht en het consumentenrecht. Regels over de verwerking van persoonsgegevens die daarbij plaatsvinden zijn te vinden in de AVG.

Het voorkomen van genoemde discriminatie richt zich op twee punten: het vergroten van de transparantie van algoritmen en het ontwikkelen van verdere maatregelen of principes voor de inrichting van AI-systemen.

Ten eerste is het, om indirecte aanbodsdiscriminatie door de inzet van algoritmen te voorkomen, van belang dat de algoritmen in kwestie waar nodig transparant zijn en dat voor burgers duidelijk is op basis waarvan hen een aanbod wordt gedaan. Hierdoor komen gevallen van aanbodsdiscriminatie immers sneller aan het licht en kunnen burgers een beter geïnformeerde keuze maken voor de aanbieder van een product of dienst.

Om tot een gepersonaliseerd aanbod te komen zal een aanbieder van een goed of dienst veelal persoonsgegevens moeten verwerken. Dit brengt onder meer mee dat de informatieverplichtingen uit de artikelen 13 en 14 AVG op de aanbieder in kwestie zullen rusten.9 Wanneer het doen van een aanbod binnen de reikwijdte van artikel 22 AVG valt, geldt er voorts een extra informatieverplichting om inzicht te geven in de logica achter een automatische verwerking van persoonsgegevens en, wanneer de verwerking op profilering is gebaseerd, het belang en de gevolgen van een dergelijke verwerking voor de burger.10

In de brief over «waarborgen tegen risico’s van data-analyse door de overheid» stelt het kabinet aanvullende transparantieverplichtingen bij data-analyse door de overheid voor. Voor data-analyse door het bedrijfsleven stelt het kabinet daarin dat het de voorkeur verdient om eventuele extra regels over algoritmegebruik en data-analyse door het bedrijfsleven in Europees verband vast te stellen.11 Voorbeeld van dergelijke extra regels is de bepaling in de recente modernisering van het EU-consumentenrecht dat bedrijven consumenten verplicht moeten informeren wanneer zij prijzen personaliseren.12 Verder heeft Nederland er bij de evaluatie van de AVG voor gepleit eerdergenoemde transparantieverplichtingen in de AVG te evalueren. Dit specifieke punt heeft de Raadspositie over de evaluatie van de AVG niet gehaald, maar ik zal mij blijven inzetten om in Europees verband te bezien of verdere transparantieverplichtingen in de AVG of andere instrumenten noodzakelijk zijn.

Dat er sprake is van gegevensverwerking betekent ook dat de aanbieder een grondslag moet hebben om de gegevens te verwerken. Die zou in beginsel gelegen kunnen zijn in de «uitvoering van een overeenkomst» waarbij een goed of dienst wordt geleverd; gelet op de relevante normuitleg mogen daarbij alleen gegevens worden verwerkt die strikt noodzakelijk zijn om de overeenkomst uit te voeren.13 Ook met betrekking tot de grondslag «gerechtvaardigd belang» gelden volgens de AP strenge regels.14 Dit betekent dat de rechtsgrondslag voor het differentiëren in prijs op basis van persoonsgegevens in veel gevallen de «toestemming» van de burger zal zijn. Genoemde toestemming moet specifiek, geïnformeerd, ondubbelzinnig en vrij gegeven zijn. Dit vergt van aanbieders dat zij transparant zijn over de toegepaste prijsdifferentiatie.

Ten tweede worden er in Europees verband acties ondernomen ten aanzien van mogelijke extra regels voor AI-systemen. In de kabinetsappreciatie van het door de Europese Commissie op 19 februari jl. gepubliceerde witboek AI is het kabinet in beginsel positief over het stellen van aanvullende regels voor AI-systemen. Dit kan mede omvatten het opleggen van regels aan partijen die AI inzetten om te waarborgen dat hun systemen niet discrimineren. Ook eventuele verdere transparantie- en uitlegbaarheidsverplichtingen zouden in dit verband kunnen worden vastgesteld. Niet alleen eventuele wetgeving, maar ook beleid kan bijdragen aan het voorkomen van discriminatie door de inzet van algoritmes. Zo werkt het Ministerie van BZK aan ontwerpprincipes voor de ontwikkelaars van AI-systemen, die discriminatie door AI-systemen moet voorkomen.

Verder zie ik dat meerdere toezichthouders zich actief bezighouden met de vraagstukken die raken aan indirecte discriminatie door algoritmen bij het aanbieden van goederen of diensten. Zo heeft de AP het stelsel van toezicht op AI en algoritmes tot een van haar focusgebieden voor 2020–2023 gemaakt.15 De ACM heeft een leidraad bescherming van de online consument opgesteld. Hierin licht de ACM toe aan welke regels bedrijven moeten voldoen bij het personaliseren van prijzen en aanbod en in welke gevallen dit kan leiden tot een oneerlijke handelspraktijk.16 Het College voor de Rechten van de Mens heeft in zijn meerjarenplan 2020–2023 het thema Digitalisering en Mensenrechten opgenomen als een van twee prioriteiten en kijkt hierbij specifiek naar (semi-) geautomatiseerde besluitvormingssystemen door publieke organisaties. Mogelijke risico’s voor (indirecte) discriminatie komen hierin aan de orde. Vanuit zijn expertise op het gebied van gelijke behandeling wordt ook nauwlettend gekeken naar de rol die algoritmes hierin in positieve en negatieve zin kunnen spelen. Naar verwachting zullen eerste resultaten later dit jaar beschikbaar komen.

Als laatste wil ik u erop wijzen dat de Staatssecretaris van EZK naar aanleiding van een toezegging aan het lid van uw Kamer Buitenweg een gesprek heeft gevoerd met het College voor de Rechten van Mens over in hoeverre gepersonaliseerde prijzen zijn toegestaan.17 De Staatssecretaris van EZK zal u over de uitkomsten hiervan separaat informeren. Zij zal daarbij ook ingaan op de vraag of gepersonaliseerde prijzen kunnen leiden tot misbruik van marktmacht of een oneerlijke handelspraktijk in de zin van het consumentenrecht.

1.3. Motie Van Nispen c.s. over wifitracking18

In deze motie wordt de regering verzocht duidelijk te maken op grond waarvan wifitracking is toegestaan, dit actief te delen met gemeenten en bedrijfsleven en in geval van overtreding van deze regels erop aan te dringen dat gemeenten stoppen met wifitracking.

Het onderwerp wifitracking staat al een aantal jaren hoog op de agenda van de AP, dit zowel in relatie tot gemeenten als bedrijven. Zo is er reeds in 2016 een brief uitgegaan naar de VNG en de Detailhandel Nederland om hun leden, de gemeenten en winkels, te wijzen op de voorwaarden voor wifi-tracking (en vergelijkbare technologie). Dit gebeurde naar aanleiding van een eerder onderzoek naar een aanbieder van wifi-trackingtechnologie, waarbij de AP concludeerde dat de wifi-tracking rond winkels in strijd is met de wet. In november 2018 heeft de AP een normenkader uitgebracht over wifitracking in de publieke ruimte. De AP heeft voorts periodiek overleg met de VNG en heeft dit normenkader ook uitgebreid met de VNG besproken.

Deze informatie, die te vinden is op de site van de AP, verschaft voldoende inzicht in het wettelijke kader rond wifitracking waaronder de toepasselijke wettelijke grondslagen, en stelt gemeenten en bedrijven voldoende in staat om te bepalen of een voorgenomen inzet van wifi-tracking al dan niet in overeenstemming is met de regels. In aanvulling hierop heb ik de VNG en Detailhandel Nederland in een brief nogmaals gewezen op het toepasselijke wettelijke kader en verzocht dit onder de aandacht van hun leden te brengen.

1.4. Motie Kuiken c.s. over een wettelijke transparantieplicht voor politieke advertenties op onlineplatforms19

Het Instituut voor Informatierecht (IViR) van de Universiteit van Amsterdam heeft in opdracht van de Minister van BZK een onderzoek gedaan naar het huidige wetgevingskader rond het onderwerp desinformatie. Hierin is ook de vraag betrokken naar transparantie van politieke advertenties. De Minister van BZK heeft de Kamer op 13 mei jl. het eindrapport gestuurd als bijlage bij de Kamerbrief ontwikkelingen beleidsinzet bescherming democratie tegen desinformatie welke ook een beleidsreactie op dit eindrapport bevat.20 Zoals gemeld in de Kamerbrief over beleidsinzet bescherming democratie tegen desinformatie, is het kabinet voorstander van meer transparantie over de herkomst en de methoden van verspreiding van desinformatie op internetdiensten en overweegt het of, in aanvulling op de zelfregulering, wettelijke regels de transparantie kunnen afdwingen.21 De Minister van BZK zal de komende tijd, ook in Europees verband, verkennen hoe dergelijke regels zich verhouden tot de vrijheid van meningsuiting en zal daarbij ook de evaluatie van de Europese gedragscode tegen desinformatie (zelfregulering) betrekken. Deze verschijnt naar verwachting voor het zomerreces. Tevens heeft de Europese Commissie aangekondigd in het laatste kwartaal van 2020 met een Democratie Actieplan te komen. Hierin worden mogelijk transparantieregels voor politieke advertenties meegenomen.

2. Toezeggingen

2.1 Gesprek met de AFM over de juridische grondslag voor verwijdering van bitcoinadvertenties door Facebook

Deze toezegging, die werd gedaan naar aanleiding van een aantal misleidende bitcoinadvertenties, strekte ertoe dat ik in gesprek zou gaan met de Autoriteit Financiële Markten (AFM) om te horen op welke juridische grondslag zij Facebook hebben benaderd en gevraagd om de bitcoinadvertenties te verwijderen.22

Uit contacten met de AFM is naar voren gekomen dat de AFM inderdaad met Facebook over de aangehaalde bitcoinadvertenties in gesprek is gegaan.

In dit kader deelt de AFM signalen over bitcoinadvertenties met Facebook, zodat Facebook beter in staat is om schadelijke advertenties op te sporen en te verwijderen. Echter, en anders dan uit mediaberichten leek te kunnen worden afgeleid, is het niet zo dat de AFM Facebook opdracht heeft gegeven de bitcoinadvertenties te verwijderen. Facebook staat niet onder toezicht van de AFM. Bij partijen en/of activiteiten die onder toezicht van de AFM staan, heeft de AFM op basis van de Wet op het financieel toezicht en eventueel de Wet handhaving consumentenbescherming de bevoegdheid om op te treden tegen misleidende reclame. Het contact met Facebook vond dus niet plaats op basis van een juridische grondslag, maar vanuit een wederzijdse behoefte actie te ondernemen tegen misleidende reclame.

Voor meer informatie over de juridische mogelijkheden die voorhanden zijn om tegen misleidende reclames te kunnen optreden, verwijs ik naar de beantwoording van de Kamervragen over het bericht «Veel schade door bitcoinadvertenties met nepuitspraken BN’ers» en naar de recent door de Minister van Justitie en Veiligheid aan uw Kamer toegezonden Kamerbrief over internetcriminaliteit.23

2.2 Bedrijven waarop de AP toezicht houdt

Tijdens het AO Gegevensbescherming van 13 juni 2019 heb ik toegezegd de Kamer te informeren over op welke grote internationale bedrijven de AP als zogenoemde «leidende toezichthouder» in de zin van artikel 56 AVG toezicht houdt. Navraag bij de AP heeft geleerd dat zij geen uitputtende lijst heeft van alle grote internationale bedrijven waarop de AP toezicht houdt, en zij het ook niet wenselijk vindt om een dergelijke lijst op te stellen en openbaar te maken. Daarvoor voert zij de volgende redenen aan.

De AP is toezichthouder op verwerkingen die volledig binnen Nederland plaatsvinden. Bij grote internationale bedrijven is dat vaak niet het geval, verwerkingen zijn dan vaak grensoverschrijdend. In dat geval bepaalt de AVG dat de AP de «leidend toezichthouder» is als de verwerkingsverantwoordelijke zijn (Europese) hoofdvestiging in Nederland heeft. De hoofdvestiging van de verwerkingsverantwoordelijke is in beginsel de plaats waar deze zijn centrale administratie in de EU heeft. Als de beslissingen over doelstellingen en de middelen voor de verwerking van persoonsgegevens echter in de praktijk in een andere EU-vestiging worden genomen, dan is die vestiging de hoofdvestiging in de zin van de AVG.24

In de praktijk betekent dit dat de AP in veel gevallen enig onderzoek moet verrichten om te bepalen waar de hoofdvestiging van de verantwoordelijke is, om zo vast te stellen welke toezichthouder «leidend» is. De AP voert dit soort onderzoek uit wanneer er een klacht over een internationaal bedrijf wordt ingediend, wanneer een gemeld datalek moet worden beoordeeld of wanneer de AP op eigen initiatief kijkt naar gegevensverwerkingen door een internationaal bedrijf. Het is een standaardonderdeel van de procedure om de bevoegdheid van de AP vast te stellen. Wanneer de AP niet «leidend» is, maar betrokkenen in Nederland wel wezenlijke gevolgen ondervinden van de grensoverschrijdende verwerkingen van een organisatie, is de AP wel «betrokken toezichthouder». In dergelijke gevallen voert de AP geen regie over het onderzoek, maar wordt er wel met de AP afgestemd door de leidend toezichthouder. Zo kan de AP reageren op de feitenvaststellingen, de juridische kwalificaties en de juridische beoordelingen van de leidende toezichthouder.

Gevolg hiervan is dat er geen uitputtende lijst voorhanden is van alle grote internationale bedrijven waarop de AP toezicht houdt. Zoals hierboven weergeven is het onderdeel van de standaardprocedure bij een klacht over een internationale verwerking, of wanneer de AP zelf een onderzoek start naar een internationale verwerking, om te bepalen waar de verwerkingsverantwoordelijke zijn hoofdvestiging heeft. Het vrijgegeven van deze interne informatie zou echter laten zien voor welke bedrijven de AP momenteel aandacht heeft, een procedure heeft lopen, of in het verleden naar heeft gekeken. Dit is onwenselijk omdat onderzochte partijen reputatieschade zouden kunnen ondervinden, terwijl er mogelijk uiteindelijk geen overtreding wordt geconstateerd en de partij in kwestie volledig rechtmatig heeft gehandeld.

Ik heb begrip voor dit standpunt. Dat laat onverlet dat het de komende jaren per zaak duidelijker zal worden op welke grote internationale bedrijven de AP toezicht houdt. Uit de handhavingspraktijk van de AP zal immers blijken welke grote internationale bedrijven onder haar toezicht vallen. Wel kan ik u er nu al op wijzen dat er een aantal grote internationale bedrijven zijn die op grote schaal gegevens verwerken, waarvan het algemeen bekend is dat zij hun Europese hoofdkantoor in Nederland hebben. Hierbij valt te denken aan bedrijven als Netflix, Booking.com, ING, Rabobank, ABN Amro, Uber of TomTom.

Grote internationale bedrijven verwerken vaak gegevens in meerdere landen, ook buiten de Europese Economische Ruimte (EER). Doorgifte van persoonsgegevens naar een land buiten de EER is in beginsel verboden als er geen «adequatiebesluit» van de Europese Commissie is ten aanzien van dat land, tenzij het bedrijf gebruik maakt van één van de doorgifte instrumenten in artikel 46 AVG. Grote internationale bedrijven kiezen in dat geval vaak voor zogeheten Binding Corporate Rules (BCRs), waarmee een bedrijf alle verwerkingsactiviteiten tussen al haar vestigingen wereldwijd af kan dekken. Deze BCRs moeten worden goedgekeurd door de leidend toezichthouder.25

Met instemming van de AP heb ik als bijlage bij deze brief een lijst van bedrijven opgenomen wier BCRs door de AP zijn goedgekeurd26. Deze lijst is niet uitputtend, maar geeft wel een indicatie van bedrijven die in ieder geval zelf veronderstellen dat zij onder het toezicht van de AP vallen.

De Minister voor Rechtsbescherming, S. Dekker


X Noot
1

Kamerstuk 32 761, nr. 137

X Noot
2

Data Protection Commission Ireland, Annual report may-december 2018, hoofdstuk 7, pp. 50–51.

X Noot
3

Data Protection Commission Ireland, Annual report 2019, pp. 39–52.

X Noot
4

Idem, p.9

X Noot
6

Kamerstuk 32 761, nr. 138

X Noot
8

Zie ook de kabinetsvisie op horizontale privacy (kamerstuk 34 926, nr. 8, p. 10).

X Noot
9

Ingevolge artikelen 13 en 14 AVG dienen individuele betrokkenen van wie persoonsgegevens worden verwerkt, daarover te worden geïnformeerd.

X Noot
10

Artikel 22 betreft geautomatiseerde besluitvorming die de betrokkene in aanmerkelijke mate treft of rechtsgevolg heeft. Op grond van artikelen 13 (2)(f) en 14(2)(f) AVG gelden extra informatieverplichtingen jegens betrokkenen wanneer er sprake is van een artikel 22 situatie.

X Noot
11

Kamerstuk 26 643, nr. 641, blz. 3.

X Noot
12

Richtlijn (EU) 2019/2161 van het Europees parlement en de Raad tot wijziging van Richtlijn 93/13/EEG van de Raad en Richtlijnen 98/6/EG, 2005/29/EG en 2011/83/EU van het Europees parlement en de Raad wat betreft betere handhaving en modernisering van de regels voor consumentenbescherming in de Unie (PbEU L 328).

X Noot
17

Kamerstuk 35 134, nr. 12

X Noot
18

Kamerstuk 32 761, nr. 140

X Noot
19

Kamerstuk 32 761, nr. 145

X Noot
20

Zie Kamerstuk 30 821, nr. 112

X Noot
21

Kamerstuk 30 821, nr. 91

X Noot
22

Handelingen II 2018/19, nr. 100, item 12, p. 1.1.

X Noot
23

Aanhangsel Handelingen II 2018/19, nr. 3415 en Kamerstuk 28 641, nr. 621

X Noot
24

Voor een uitgebreider uitleg, zie: Guidelines for identifying a controller or processor’s lead supervisory authority van de Artikel 29-werkgroep

X Noot
25

Artikel 47 AVG stelt regels over Binding Corporate Rules en het voorleggen daarvan aan een toezichthouder.

X Noot
26

Raadpleegbaar via www.tweedekamer.nl

Naar boven