32 761 Verwerking en bescherming persoonsgegevens

27 879 Versterking van de positie van de consument

Nr. 248 BRIEF VAN DE MINISTER VAN ECONOMISCHE ZAKEN EN KLIMAAT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 18 november 2022

In het afgelopen jaar heeft uw Kamer de Implementatiewet richtlijnen verkoop goederen en levering digitale inhoud1 en de Implementatiewet richtlijn modernisering consumentenbescherming2 (hierna: Implementatiewetten) behandeld. Tijdens de parlementaire behandeling en in de memorie van toelichting van de voorstellen voor deze Implementatiewetten heeft het kabinet toegezegd nader te verkennen of aanvullende maatregelen wenselijk zijn voor consumenten die hun persoonsgegevens verstrekken in ruil voor het gebruik of het verkrijgen van digitale inhoud of digitale diensten. Dit onderzoek is uitgevoerd door twee hoogleraren van de Universiteit Leiden.3 Daarnaast heeft het kabinet toegezegd in Europa aandacht te vragen voor dit onderwerp.

Hierbij informeer ik u, mede namens de Minister voor Rechtsbescherming, over de uitkomsten van het onderzoek en mijn vervolgstappen. Het onderzoek is als bijlage bij deze Kamerbrief gevoegd.

I. Aanleiding en achtergrond van het onderzoek

I.1. Verstrekking van persoonsgegevens als tegenprestatie

Het komt steeds vaker voor dat consumenten hun persoonsgegevens verstrekken bij een overeenkomst voor toegang tot een digitale dienst, zoals een game-app, of levering van digitale inhoud, zoals een digitaal muziekbestand. De tegenprestatie van de consument bestaat dan dus niet uit een betaling met geld, maar uit verstrekking van persoonsgegevens, zoals een naam, e-mailadres of locatie. Dergelijke persoonsgegevens hebben een economische waarde voor aanbieders4 van digitale inhoud of diensten. De aanbieder kan de persoonsgegevens doorgeven (verkopen) aan derden of gebruiken voor reclamedoeleinden. Voordat een consument zijn persoonsgegevens verstrekt, is een aanbieder op grond van de Algemene Verordening Gegevensbescherming (hierna: AVG) doorgaans verplicht om toestemming te vragen voor het verwerken van die gegevens.

Met de eerdergenoemde Implementatiewetten hebben consumenten die hun persoonsgegevens verstrekken in ruil voor digitale diensten of inhoud extra rechten gekregen. De aanbieder van digitale diensten of inhoud moet voorafgaand aan het sluiten van de overeenkomst voldoende informatie verstrekken aan de consument over wat die dienst of inhoud precies behelst en wie de aanbieder is. Na het sluiten van de overeenkomst kan de consument in een aantal gevallen de overeenkomst ontbinden. Op grond van de AVG is de aanbieder in deze gevallen verplicht om te stoppen met het verwerken van de persoonsgegevens van de consument en deze te verwijderen. Daarnaast is de aanbieder verplicht om – binnen de grenzen van wat redelijkerwijs mogelijk is – de verzamelde gegevens bij derden weg te halen dan wel te verwijderen.

I.2. Adviezen Autoriteit Persoonsgegevens en Afdeling advisering van de Raad van State

De Autoriteit Persoonsgegevens (hierna: AP) heeft in haar reactie op de voorstellen voor de eerdergenoemde Implementatiewetten een advies uitgebracht.5 De AVG biedt weliswaar een algemeen kader voor de bescherming van persoonsgegevens, maar de AP vreest dat dit onvoldoende is indien in het Burgerlijk Wetboek niet concreet wordt gemaakt hoe persoonsgegevens van consumenten mogen worden gebruikt bij overeenkomsten voor digitale inhoud of diensten.

De Afdeling advisering van de Raad van State (hierna: Afdeling) acht de door de AP gesignaleerde risico’s reëel en heeft gevraagd om een toelichting over hoe deze problematiek door het kabinet geadresseerd gaat worden.6 Het vorige kabinet heeft ook aangegeven dat zij de door de AP gesignaleerde problematiek reëel acht.7

II. Uitkomsten van het onderzoek en vervolgstappen

De onderzoekers analyseren een aantal oplossingsrichtingen die op nationaal of Europees niveau kunnen worden uitgewerkt om de consument beter te beschermen.

Ik stel bij de bespreking van de verschillende oplossingsrichtingen voorop dat het mijn voorkeur heeft om eventuele maatregelen op Europees niveau te verkennen. Een belangrijke reden hiervoor is dat digitale inhoud en diensten vaak grensoverschrijdend worden aangeboden. Bij een grensoverschrijdende transactie wordt het lastiger voor een Nederlandse consument om zijn recht te halen op basis van een nationale regeling. Daarnaast zal het treffen van nationale maatregelen onnodige verschillen veroorzaken tussen EU-lidstaten. Het doel van de hierboven genoemde richtlijn digitale inhoud en de richtlijn modernisering consumentenbescherming is juist om verschillen tussen lidstaten zoveel mogelijk te voorkomen.

De Europese Commissie (hierna: Commissie) start eind 2022 een publieke consultatie over consumentenbescherming in de online omgeving en gaat onderzoeken of de huidige regels de consument ook online voldoende beschermen.8 In dit kader zal ik de uitkomsten van het uitgevoerde onderzoek bij de Commissie onder de aandacht brengen en met de Commissie in gesprek gaan over de wenselijkheid van een aantal van de oplossingsrichtingen uit het onderzoek.

Hieronder vindt u een overzicht van de oplossingsrichtingen die de onderzoekers hebben onderzocht en mijn inhoudelijke reactie hierop.

II.1. Begrenzen van bepaalde vormen van toestemming voor digitale inhoud en diensten

De AP adviseert om voor bepaalde vormen van toestemming voor het delen van persoonsgegevens in het Burgerlijk Wetboek op te nemen dat ze vermoedelijk onaanvaardbaar zijn en op die grond vernietigbaar. Het gaat dan bijvoorbeeld om het geven van toestemming voor verwerking van bijzondere persoonsgegevens, zoals gegevens over gezondheid of politieke voorkeur. De onderzoekers geven aan dat aanvullende bepalingen in het Burgerlijk Wetboek het voordeel kunnen hebben dat consumenten deze kunnen inroepen tegen handelaren, wat mogelijk voor aanvullende bescherming zou kunnen zorgen. De consument zou dan bijvoorbeeld de gehele overeenkomst kunnen vernietigen. Dit kan worden gerechtvaardigd, indien sprake is van een onjuiste of onvolledige voorstelling van zaken bij totstandkoming van de overeenkomst. Het gevolg hiervan is dat de gehele overeenkomst komt te vervallen. De onderzoekers stellen hierbij de vraag of de consument in alle gevallen daarbij gebaat is. Indien een consument bijv. een sociale mediadienst is gaan gebruiken in ruil voor persoonsgegevens en daarmee foto’s of video’s heeft gecreëerd, wil hij deze dienst mogelijk nog wel blijven gebruiken.

Uit de analyse van de onderzoekers blijkt ook dat de vormen van toestemming die de AP benoemt veelal op basis van de AVG zijn verboden. De onderzoekers geven aan dat het de vraag is of privaatrechtelijke regulering naast de AVG noodzakelijk en wenselijk is. Het hanteren van specifieke bepalingen die alleen gelden onder het consumentenrecht kan bovendien resulteren in moeizame discussies over de juiste toepassing van de AVG bij andere typen overeenkomsten buiten het consumentenrecht.

In mijn optiek is de AVG een geschikter kader voor de vraag of een vorm van toestemming voor het verstrekken van gegevens aanvaardbaar is in ruil voor toegang tot een digitale dienst of inhoud. De wetgeving op het gebied van consumentenbescherming ziet niet primair op het beschermen van persoonsgegevens, maar op de rechten en plichten van de consument in relatie tot de handelaar bij het sluiten van een overeenkomst. Ik zal daarom aan de Commissie aangeven dat het zinvol is om te evalueren of de AVG consumenten die «betalen» met hun persoonsgegevens op dit moment voldoende beschermt.

II.2. Aanpassing van de Richtlijn oneerlijke handelspraktijken9

De onderzoekers geven aan dat misleidende informatie van handelaren of het weglaten van essentiële informatie, bij het vragen van toestemming voor het verwerken van persoonsgegevens een oneerlijke handelspraktijk kan vormen onder het consumentenrecht. Het is nu niet altijd duidelijk of in dergelijke gevallen de algemene consumentenregels worden overtreden. Volgens de onderzoekers zouden consumenten er baat bij kunnen hebben om een aantal specifiek geformuleerde gevallen, waarin sprake is van misleiding van consumenten, expliciet te benoemen onder het consumentenrecht. Voor inspiratie verwijzen de onderzoekers naar hun analyse van de door de AP genoemde problematische vormen van toestemming voor het verwerken van persoonsgegevens. Het gaat dan bijvoorbeeld over het geven van toestemming voor verwerking van persoonsgegevens, terwijl dit niet of nauwelijks in de tijd is begrensd.

Ik heb geen ruimte om de nationale regelgeving op dit punt aan te passen. Dit moet op Europees niveau gebeuren. Ik zal deze optie bij de Commissie onder de aandacht brengen.

II.3. Aanpassing van de algemene voorwaarden regeling

Het verlenen van toestemming voor het verwerken van persoonsgegevens is soms «verstopt» in de algemene voorwaarden van aanbieders. De onderzoekers geven aan dat gegevensbescherming in het contractenrecht zou kunnen worden versterkt. Dit zou kunnen door specifieke bedingen in de algemene voorwaarden die zien op het verwerken van persoonsgegevens op te nemen op de zwarte of grijze lijst in de algemene voorwaarden regeling. Een dergelijke maartregel zou kunnen worden gecombineerd met de mogelijkheid om de overeenkomst te vernietigen bij bepaalde problematische vormen van toestemming voor het verwerken van persoonsgegevens, zoals het verwerken van persoonsgegevens zonder een duidelijk doel.

Dergelijke aanpassingen kunnen ervoor zorgen dat de positie van de consument wordt versterkt. De consument zou een alternatieve juridische route krijgen, naast de AVG, voor het betwisten van de geldigheid van toestemming en het stoppen van het gebruik van de persoonsgegevens door de aanbieder.10 Ik zal deze optie daarom bij de Commissie onder de aandacht brengen.

II.4. Aanpassing van de toelichting bij de e-Privacy Richtlijn

De onderzoekers geven aan dat het wenselijk zou zijn dat de samenhang tussen de Richtlijn digitale inhoud11 en de E-privacy Richtlijn12 wordt verhelderd. Het is nu onduidelijk of sprake is van «betalen» met persoonsgegevens als een consument toestemming geeft voor het laten plaatsen van cookies die persoonsgegevens verzamelen die gebruikt kunnen worden voor gerichte advertenties. De regels voor cookies staan in de e-Privacy Richtlijn. Er wordt op dit moment in de Europese Unie onderhandeld over een nieuwe e-Privacy Verordening.

Ik ga aan de Commissie vragen om de verhouding tussen de e-Privacy regels, de Richtlijn digitale inhoud en de Richtlijn modernisering consumentenbescherming te verhelderen. Dit kan de praktijk helpen bij het beantwoorden van de vraag of het plaatsen van dergelijke cookies ook moet worden beschouwd als «betalen met persoonsgegevens».

II.5. Introduceren van een aanvullende regeling ten aanzien van de wettelijke bedenktijd of een opschortingsrecht voor de verwerking van persoonsgegevens

De onderzoekers geven aan dat consumenten overrompeld kunnen worden en te makkelijk hun gegevens delen om toegang te krijgen tot digitale diensten of inhoud. Deze gegevens kunnen direct doorverkocht worden aan derden en verder worden verwerkt. Het invoeren van een opschortingsrecht voor de aanbieder om deze persoonsgegevens te verwerken, al dan niet gecombineerd met een aanvullende regeling bij de wettelijke bedenktijd13 kan dit risico beperken.

De onderzoekers geven aan dat de keerzijde van een aanvullende regeling bij de wettelijke bedenktijd is dat aanbieders benadeeld kunnen worden, doordat een consument direct toegang heeft tot de digitale inhoud, terwijl de consument geen persoonsgegevens verstrekt. Dit geldt in mijn optiek ook voor het invoeren van een opschortingsrecht. Mede gelet hierop ben ik er niet van overtuigd dat deze oplossing wenselijk is.

II.6. Een schadevergoeding in geld bij ontbinding als is «betaald» met persoonsgegevens

De onderzoekers geven aan dat bij overeenkomsten waar persoonsgegevens zijn verstrekt ontbinding een lastige remedie is. De wettelijke ongedaanmakingsverplichtingen14 zijn voor handelaren moeilijk toepasbaar omdat gegevens vaak al zijn verwerkt of doorverkocht aan derden.

Voor gevallen waar ongedaanmaking door middel van teruggave niet mogelijk is, wordt in de literatuur een schadevergoeding als alternatief genoemd. De vraag of de consument die «betaalt» met persoonsgegevens recht heeft op een waardevergoeding bij ontbinding op grond van het huidig recht moet nog door een rechter worden beantwoord.

II.7. Alternatieven voor wetgeving

De onderzoekers wijzen verder op alternatieven voor wetgeving, zoals het opstellen van contractuele best practices, gedragscodes of privacy by design. Met dat laatste wordt bedoeld dat vanaf de start van het ontwerpen van digitale inhoud of een digitale dienst rekening wordt gehouden met privacy. Dit kan bijvoorbeeld gebeuren door het aanpassen van de online omgeving zodat consumenten zelf kunnen bepalen welke gegevens zij delen.

De Tweede Kamer heeft via de motie Moorlag15 aan het kabinet gevraagd om het bedrijfsleven te bewegen tot het opstellen van een gedragscode in samenwerking met consumentenorganisaties en daarvoor voorwaarden te creëren. Ter uitvoering hiervan heb ik een werkgroep met marktpartijen geïnitieerd over online keuzebeïnvloeding door gebruik van consumentendata en algoritmes. Een notitie (blue paper) met de uitkomst van gesprekken is gepubliceerd.16 Onder leiding van Human & Tech Institutie en Thuiswinkel.org heeft een groep marktpartijen verder onderzocht op welke wijze en over welke zaken marktpartijen tot werkbare afspraken kunnen komen over de beïnvloeding van de consument door algoritmes, nudging en dark patterns.17 Zij hebben handvatten opgesteld, zodat bedrijven die aan digitale marketing doen ethisch verantwoord met online beïnvloedingstechnieken aan de slag kunnen gaan.18 Deze resultaten en ervaringen zal ik bij de Commissie onder de aandacht de brengen. Het kan wenselijk zijn om een vergelijkbaar traject op Europees niveau uit te voeren rondom betalen met persoonsgegevens, omdat digitale inhoud en diensten vaak grensoverschrijdend worden aangeboden.

De Minister van Economische Zaken en Klimaat, M.A.M. Adriaansens

X Noot
1

Kamerstuk 35 734 en Stb. 2022, nr. 164.

X Noot
2

Kamerstuk 35 940 en Stb. 2022, nr. 157.

X Noot
3

Het onderzoek is uitgevoerd door Prof. Vanessa Mak en Prof. Gerrit-Jan Zwenne. De onderzoeksopdracht was: «Verken en benoem de juridische en praktische aspecten die zijn verbonden aan het treffen van aanvullende maatregelen voor consumenten die hun persoonsgegevens verstrekken of zich ertoe verbinden deze te verstrekken aan de handelaar die daarvoor digitale inhoud of een digitale dienst levert of zich ertoe verbindt deze te leveren.» Hierna wordt aan dit onderzoek gerefereerd als «het onderzoek».

X Noot
4

In de terminologie van het Burgerlijk Wetboek: handelaren. Een handelaar is een natuurlijke persoon of rechtspersoon die handelt in de uitoefening van een beroep of bedrijf of degene die ten behoeve van hem handelt (artikel 50aa, onderdeel d, van Boek 7 van het Burgerlijk Wetboek).

X Noot
5

Autoriteit Persoonsgegevens, «Advies wetsvoorstel Implementatiewet richtlijnen verkoop goederen en levering digitale inhoud», 16 april 2020. Bijlage bij Kamerstuk 35 734, nr. 3.

X Noot
6

Advies van de Raad van State, Kamerstuk 35 734, nr. 4.

X Noot
7

Zie Kamerstuk 35 734, nr. 3, pagina 15 (Implementatiewet richtlijnen verkoop goederen en levering digitale inhoud).

X Noot
9

Richtlijn 2005/29/EG van het Europees parlement en de Raad van 11 mei 2005 betreffende oneerlijke handelspraktijken van ondernemingen jegens consumenten op de interne markt.

X Noot
10

Vervolgens kan de consument een beroep doen op de gevolgen van vernietiging (bijvoorbeeld artikel 53 van Boek 3 en de artikelen 203 tot en met 210 van Boek 6 van het Burgerlijk Wetboek).

X Noot
11

Richtlijn 2019/770 van het Europees parlement en de Raad van 20 mei 2019 betreffende bepaalde aspecten van overeenkomsten voor de levering van digitale inhoud en digitale diensten.

X Noot
12

Richtlijn 2002/58/EG van het Europees parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie).

X Noot
13

Dit zou inhouden dat de consument gedurende veertien dagen de tijd krijgt om te bedenken of hij zijn persoonsgegevens daadwerkelijk wil verstrekken in ruil voor een digitale inhoud, niet op een materiële drager, zoals een e-boek. Voor digitale diensten of andere vormen van digitale inhoud geldt op dit moment reeds een wettelijke bedenktijd van veertien dagen op grond van de richtlijn consumentenrechten.

X Noot
14

Artikel 265 jo. artikel 271 van Boek 6 van het Burgerlijk Wetboek.

X Noot
15

Kamerstuk 27 879, nr. 81 (Motie van het lid Moorlag c.s.).

X Noot
17

Dark patterns zijn praktijken die doelbewust of feitelijk het vermogen van ontvangers van de dienst om autonome of geïnformeerde keuzes of beslissingen te nemen, wezenlijk verstoren of aantasten. Die praktijken kunnen worden gebruikt om de afnemers van de dienst te bewegen tot ongewenste gedragingen of tot ongewenste beslissingen die negatieve gevolgen voor hen hebben (zie overweging 67 van de Digital Services Act (Verordening 2022/2065)).

Naar boven