Vraag

De leden van de D66-fractie hebben met interesse kennisgenomen van de brief van de Staatssecretaris over de maatregelen met betrekking tot het plaatsen van cookies. Deze leden zijn blij te lezen dat de Staatssecretaris voortvarend aan de slag is om stappen te nemen om online gegevens beter te beschermen. Zij delen de overtuiging dat een Europese aanpak het meest ideaal is. Tegelijkertijd kunnen de leden van deze fractie ook niet anders dan constateren dat de onderhandelingen over dit onderwerp al jarenlang weinig reden tot hoop op progressie geeft. Deze leden lezen dat het kabinet werkt aan een non-paper met de Nederlandse inzet binnen Europa. Kan de Staatssecretaris een tijdspad schetsen wanneer de Tweede Kamer deze inzet middels een BNC-fiche kan inzien?

Antwoord

We hebben daar afgelopen tijd aan gewerkt. Op 11 juni hebben wij een concept-discussiepaper informeel besproken met andere lidstaten in Brussel. Vanwege de aankomende kabinetswissel vinden wij het echter niet opportuun om op dit moment een non-paper te publiceren. Een tijdspad voor het publiceren van een non-paper en het delen daarvan met de Tweede Kamer is aan het nieuwe kabinet.

Vraag

Ook lezen zij dat de Staatssecretaris met de Eurocommissaris voor Justitie, Didier Reynders, heeft gesproken over het initiatief om cookietoestemming voor eindgebruikers te versimpelen. Hoe schat de Staatssecretaris de kansen in dat er een meerderheid wordt gevonden om hier afdwingbare afspraken over op te stellen?

Antwoord

Het is de Europese Commissie helaas niet gelukt om met bedrijven een zogenoemde cookie pledge overeen te komen. Bedrijven zouden op vrijwillige basis aanpassingen doorvoeren om consumenten keuzes te bieden ten aan zien van onder andere «tracking cookies». De inhoud van de cookie pledge kan nu dus niet als basis dienen voor afdwingbare afspraken. Of er een meerderheid is binnen de Europese Unie voor afdwingbare afspraken – los van de cookie pledge – is op dit moment lastig in te schatten.

Vraag

Uit de brief van de Staatssecretaris concluderen deze leden dat aanvullende nationale regelgeving voor de invulling van de cookie-wetgeving weinig nuttig is, vanwege de bestaande Europese regelgeving. Klopt het dan ook dat de uitvoering van de cookie-wetgeving (zoals de praktijk van het toestemming geven door de eindgebruiker) in elke lidstaat van de EU op eenzelfde manier is vormgegeven?

Antwoord

Cookies worden gereguleerd in onder andere de ePrivacyrichtlijn en de Algemene Verordening Gegevensbescherming (AVG). De ePrivacyrichtlijn geldt voor alle Europese lidstaten. Maar moest geïmplementeerd worden in nationale wetgeving van de lidstaten. Hoewel hierdoor verschillen ontstonden,1 zijn die voor de praktijk niet significant en niet de oorzaak van de gesignaleerde problematiek rondom dark patterns en consentmoeheid. Oorzaak is vooral het ontbreken van een eenduidig antwoord op de vraag op welke wijze of wijzen de normen uit de ePrivacyrichtlijn en de AVG in de praktijk moeten/mogen worden uitgelegd. Het toezicht op de naleving van deze wetgeving en de normuitleg daarbij is in beginsel belegd bij de toezichthouders in lidstaten. De bestaande toezichtspraktijk heeft echter nog niet geleid tot voldoende houvast voor de uitwerking van de normen. Een mogelijke oplossing zou, naast een actiever optreden van de toezichthouders, het verder uitwerken en aanscherpen van de normen in de Europese wetgeving kunnen zijn.

Vraag

De leden van de D66-fractie constateren dat er toezichthouders zijn belast met de verantwoordelijkheid om toezicht te houden op de praktijk van het plaatsen van cookies. In andere Europese landen hebben toezichthouders aanzienlijke boetes uitgedeeld aan bedrijven en organisaties die de regels hebben overtreden, zoals wanneer het Franse agentschap voor gegevens bescherming «Commission nationale de l'informatique et des libertés» ofwel CNIL een boete oplegde aan Microsoft. In hoeverre is dat in Nederland recentelijk gebeurd?

Antwoord

Zowel de Autoriteit Persoonsgegevens (AP) als de Autoriteit Consument & Markt (ACM) hebben aangegeven recentelijk geen boetes opgelegd te hebben voor het overtreden van cookiewetgeving.

Vraag

In hoeverre is dit een prioriteit voor de toezichthouders?

Antwoord

Wanneer er sprake is van persoonsgegevens gelden naast de Telecomwet, waar de ACM toezicht op houdt, ook de regels van de AVG waar AP toezicht op houdt. Omdat er bij trackingcookies eigenlijk altijd sprake is van de verwerking van persoonsgegevens, is tussen de toezichthouders bestuurlijk afgesproken dat de AP voorrang heeft op dit onderwerp. Voor de ACM is dit daarom geen prioriteit. De AP heeft aangegeven met de aangekondigde extra financiële middelen te werken aan versterking van het toezicht.

Vraag

Ten slotte, de overheid maakt gebruik van platforms die tracking cookies benutten, namelijk Facebook-pagina’s. Kan de Staatssecretaris een stand van zaken geven van de onderhandelingen met Meta over de overheidspagina’s op onder andere Facebook, zo vragen de leden van de D66-fractie.

Antwoord

In november 2022 heeft uw Kamer de Data Protection Impact Assessment (DPIA) en Human Rights Impact Assessment (HRIA) ontvangen, die op verzoek van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) zijn uitgevoerd op het gebruik van Facebookpagina’s (Facebook Pages) door de Rijksoverheid. Uit de DPIA bleek dat er zeven hoge privacyrisico’s bestaan voor burgers bij het gebruik van Facebook Pages door de overheid. Naar aanleiding van de hoge risico’s die tijdens de DPIA zijn geconstateerd heeft het Ministerie van BZK vanaf najaar 2022 met Meta gesprekken gevoerd.

Vraag

De leden van de GroenLinks-PvdA-fractie lezen dat cookiemuren door overheden niet gebruikt worden. Komen er verplichtingen voor private organisaties om deze cookiemuren ook niet te gebruiken?

Antwoord

Op basis van de AVG heeft de AP in 2018 geconcludeerd dat het gebruik van cookiemuren geen geldige toestemming oplevert.2 Dit is nader bevestigd door het Europees Comité voor gegevensbescherming (EDPB) in 2020.3 Dit geldt voor alle organisaties, dus ook private organisaties.

Vraag

Op welke manieren kan het kabinet bedrijven hierop wijzen en aanspreken?

Antwoord

Het kabinet ziet dit als een taak voor de betreffende toezichthouders, zoals in Nederland de AP en ACM. Zij kunnen dit onder de aandacht brengen en waar nodig op handhaven.

Vraag

Wat is de inzet van het kabinet op het tegengaan van «consentmoeheid» en «dark patterns»?

Antwoord

Zoals is uiteengezet in de Kamerbrief cookies en online tracking4 is het kabinet van mening dat consentmoeheid en dark patterns waarschijnlijk niet goed verenigbaar zijn met de het vereiste van toestemming uit de AVG en de Telecommunicatiewet (Tw). De AVG, en daarmee de Tw, vereist immers dat toestemming als grondslag voor gegevensverwerking vrij, specifiek, geïnformeerd en ondubbelzinnig moet worden gegeven. Het is aan de AP en de ACM om dit te interpreteren en toe zien op de naleving van de AVG en de Tw. Het kabinet heeft structureel extra geld vrijgemaakt voor de AP om het toezicht te versterken.

Het kabinet heeft zich op Europees niveau voor aanpassing van de ePrivacyrichtlijn ingespannen. Een belangrijk punt daarin was het feitelijk mogelijk maken om categorieën cookies en tracking automatisch te weigeren, bijvoorbeeld via een browser. Daardoor worden gebruikers minder geconfronteerd met banners, wat moet leiden tot minder consentmoeheid.

Vraag

Deelt de Staatssecretaris de mening van deze leden dat realtime bieden onwenselijk is?

Antwoord

Het kabinet ziet dat in de praktijk van realtime bieden veel persoonsgegevens worden verwerkt, en dat het van groot belang is dat daarbij de regels en beginselen uit de AVG worden nageleefd. Voor het verwerken van persoonsgegevens moet een grondslag zijn. Als de grondslag wordt gezocht in toestemming van de betrokkene, moet die toestemming vrij, specifiek, geïnformeerd en ondubbelzinnig zijn gegeven. Ook aan andere vereisten op grond van de AVG, zoals dataminimalisatie, moet zijn voldaan. De huidige werkwijze van realtime bieden op gepersonaliseerde advertenties lijkt op gespannen voet te staan met deze AVG-vereisten. Het is aan de toezichthouder, in Nederland de AP, om toe te zien op de naleving van de AVG en desgewenst handhavend op te treden.

Vraag

Wat is de Nederlandse inzet om deze vorm van agressief adverteren aan banden te leggen?

Antwoord

Zoals toegelicht in het vorige antwoord, dient realtimebieden op gepersonaliseerde advertenties in ieder geval in overeenstemming te zijn met de AVG. Het is aan de toezichthouder, die volgens de AVG strikt onafhankelijk is, te beoordelen of in specifieke gevallen de AVG wordt geschonden en er eventueel handhavend dient te worden optreden.

Vraag

De leden van de GroenLinks-PvdA-fractie zijn het eens met de Staatssecretaris dat cookies gemakkelijk geweigerd moeten kunnen worden. Deze leden zien dat dit nu vaak niet het geval is en betreuren de vastgelopen onderhandelingen op de ePrivacy-verordening. Kan de Staatssecretaris verder toelichten waarom er geen vordering is gemaakt in deze onderhandelingen?

Antwoord

De standpunten van de Raad en het Europees parlement liggen op verschillende belangrijke onderwerpen, zoals het communicatiegeheim en de cookiebepaling, ver uiteen. Dit heeft er toe geleid dat de onderhandelingen zijn vastgelopen. Er is op dit moment geen zicht op verdere voortgang.

Vraag

Hoe groot acht zij de kans dat het toekomstige voorstel stappen terug doet op het gebied van databescherming?

Antwoord

Zoals toegelicht in het vorige antwoord, is er op dit moment geen zicht op verdere voortgang in de onderhandelingen over de e-privacyverordening. Dit neemt niet weg dat de Nederlandse inzet steeds is geweest dat het niveau van bescherming van e-privacyregels, ook in een eventueel toekomstig voorstel, in dit rechtsgebied niet lager mag zijn dan het beschermingsniveau van de AVG. Dit betekent onder meer dat de uitzonderingen op het communicatiegeheim en het toestemmingsvereiste bij het plaatsen en lezen van informatie op een eindapparaat (de cookiebepaling) binnen het regime van de AVG moeten passen.

Vraag

Kan het kabinet waarborgen dat zij tegen ieder voorstel zal stemmen dat minder bescherming van gegevens biedt dan de ePrivacy-richtlijn van 2009, de Algemene verordening gegevensbescherming (AVG) en de jurisprudentie van het Hof van Justitie op dataretentie?

Antwoord

Het is de altijd de inzet geweest dat de bescherming verbeterd moet worden, niet verminderd.

Vraag

Is zij zich daarbij bewust van de effectieve alternatieven voor gepersonaliseerd adverteren gebaseerd op tracking, zoals contextueel adverteren?

Antwoord

Ja, het kabinet is zich bewust van alternatieven voor gepersonaliseerd adverteren zoals contextueel adverteren.

Vraag

En verzoekt het kabinet actief om vervangende wetgeving met strengere maatregelen om gepersonaliseerd adverteren gebaseerd op tracking te verbieden?

Antwoord

Het huidige kabinet is niet van mening dat gepersonaliseerd adverteren gebaseerd op tracking verboden moet worden. Voorop staat dat bij deze, en ander verwerkingen van persoonsgegevens, de AVG dient te worden nageleefd. Het is aan de onafhankelijke toezichthouder om toe te zien op de naleving van de AVG en waar dit nodig is handhavend op te treden. Tegelijkertijd ziet dit kabinet dat de wijze waarop in de praktijk van gepersonaliseerd adverteren invulling wordt gegeven aan het toestemmingsvereiste niet altijd leidt tot een prettige gebruikerservaring. Eindgebruikers accepteren daardoor vaak de cookies, ondanks dat dat mogelijk niet is wat zij echt willen. Zoals toegelicht in de Kamerbrief cookies en online tracking,5 heeft het kabinet zich ervoor ingezet om die situatie te verbeteren.

Vraag

Schaart het kabinet zich bijvoorbeeld achter het voorstel om gerichte politieke advertenties in verkiezingstijd te verbieden?

Antwoord

Het kabinet is niet bekend met een concreet voorstel om gerichte politieke advertenties in verkiezingstijd te verbieden. Wel wordt dit moment in de Europese Unie onderhandeld over de EU verordening politieke advertenties waarin de regels voor politieke advertenties in EU-landen wordt aangescherpt. Op 7 november 2023 hebben de Raad en het Europees parlement een voorlopig politiek akkoord bereikt over deze verordening. Op dit moment worden de technische details uitgewerkt waarna het opnieuw ter besluitvorming voorligt. In deze uitwerking wordt, conform de eerdere inzet, toegezien op de bewaking van vrijheid van meningsuiting, een werkbare implementatietermijn en beperkte administratieve lasten.

Vraag

De leden van de GroenLinks-PvdA-fractie merken op dat de ePrivacy-wetgeving geen cookie banners voorschrijft. Toch zien deze leden dat bedrijven dit er wel van hebben gemaakt. Deelt de Staatssecretaris de mening dat cookies moeten uitgaan van een «opt-in» principe, in plaats van een «opt-out» principe?

Antwoord

Volgens de Tw mogen cookies in beginsel slechts worden geplaatst als de eindgebruiker is voorzien van duidelijke en volledige informatie en als deze voorafgaand toestemming heeft verleend. Voor de definitie van duidelijke en volledige informatie en de definitie van toestemming wordt verwezen naar de AVG. Deze vereisten volgen het «opt-in» principe, op basis waarvan in beginsel geen cookies mogen worden geplaatst tenzij daarvoor de nodige toestemming is gegeven (de opt-in). Het kabinet ziet dat bedrijven hieraan volgens de huidige wetgeving op verschillende manieren, bijvoorbeeld via een cookiebanner, uitvoering kunnen geven. Zoals in de Kamerbrief over cookies en online tracking6 is uiteengezet, wil het kabinet geen afbreuk doen aan de vereisten voor toestemming uit de AVG.

Vraag

Wat zijn de mogelijkheden – nationaal en Europees – om dit principe om te keren, zodat gebruikers eerder alle cookies zullen afwijzen dan dat zij deze ongeïnformeerd accepteren?

Antwoord

Zoals toegelicht in het vorige antwoord, is al toestemming vereist voor het plaatsen van cookies en wordt de keuze voor toestemming vaak voorgelegd via een cookiebanner. Zonder toestemming is het verwerken van de met de cookies verkregen gegevens niet rechtmatig. Het kabinet onderschrijft dat cookiebanners niet moeten worden gebruikt om betrokkenen te misleiden, bijvoorbeeld via dark patterns. In die gevallen is gegeven toestemming, zoals eerder in de Kamerbrief cookies en online tracking7 is uiteengezet, waarschijnlijk niet rechtmatig. Het is aan de toezichthouders om toe te zien op de naleving van die vereisten.

Vraag

Is de aangekondigde non-paper met de Nederlandse inzet over de verbeteringen van de Europese wetgeving al gereed?

Antwoord

Zie hiervoor het antwoord op de eerste vraag van de D66-fractie.

Vraag

Kan de Staatssecretaris deze delen of op hoofdlijnen samenvatten?

Antwoord

Het is aan een nieuw kabinet om een eventueel non-paper met uw Kamer te delen.

Vraag

De leden van de GroenLinks-PvdA-fractie waarderen de inzet van de Staatssecretaris op het bindend maken van de «cookie pledge» op bedrijven. Heeft de Staatssecretaris sinds het versturen van haar brief d.d. 5 september jl. hier contact over gehad met bedrijven in Nederland, zoals zij in die brief aankondigt?

Antwoord

Nee. Helaas is er geen resultaat gekomen uit de cookie pledge en is het niet zinvol om daarover te spreken met bedrijven.

Vraag

Hebben deze gesprekken geleid tot het beoogde resultaat?

Antwoord

Zoals toegelicht bij de vorige vraag hebben deze gesprekken nog niet plaatsgevonden.

Vraag

Wat vindt de Staatssecretaris van het voorstel van Facebook en Instagram om gebruikers de keuze voor te leggen een maandelijks abonnement te betalen om zonder cookies en tracking deze platforms te gebruiken, terwijl niet betalende gebruikers wél te maken hebben met cookies en tracking?

Antwoord

Het kabinet benadrukt dat het volgens het stelsel van de AVG aan de onafhankelijke toezichthouder – in Nederland de AP – is om te beoordelen of in concrete gevallen, bijvoorbeeld bij toepassing van consent-or-pay modellen, de AVG wordt nageleefd en handhavend op te treden. Het kabinet ziet dat de AP mede namens de Noorse en de Duitse (Hamburgse) autoriteit aan de EDPB uitleg heeft verzocht om over de AVG met betrekking tot zogenoemde «consent or pay» modellen. Deze modellen stellen personen voor de keuze hun data beschikbaar te stellen of daarvoor te betalen. Als gevolg daarvan geven de meeste gebruikers toestemming voor het verwerken van hun gegevens, terwijl zij de volledige implicaties van hun keuze niet begrijpen. De EDPB overweegt in haar opinie dat het in de meeste gevallen niet mogelijk is om te voldoen aan de vereisten voor geldige toestemming als gebruikers worden geconfronteerd met een keuze tussen toestemming voor gegevensverwerkingen ten behoeve van gepersonaliseerde advertenties (behavioral advertising) en het betalen van een vergoeding. De EDPB geeft dan ook aan dat het onwenselijk is als aan gebruikers standaard slechts een betaald alternatief wordt geboden voor het verwerken van persoonsgegevens ten behoeve van gepersonaliseerde advertenties. Een belangrijke rol speelt daarbij ook de mogelijk onevenwichtige machtsverhouding tussen de verwerkingsverantwoordelijke en de betrokkene wiens gegevens worden verwerkt.

Vraag

Deelt de Staatssecretaris de mening dat gebruikers in Europa niet zouden te hoeven betalen om zonder cookies en tracking het internet te gebruiken?

Antwoord

Voor het kabinet staat voorop dat respect voor grondrechten in de digitale economie en in de samenleving geborgd dient te zijn en blijven. Het recht op gegevensbescherming is een van die grondrechten. In dit verband ziet het kabinet dat het geven van toestemming voor het verwerken van persoonsgegevens volgens de EDPB, in de context van «consent or pay» modellen, uitdrukking dient te zijn van een reële keuze. De vraag of aan het vereiste van toestemming in het kader van het recht op gegevensbescherming in concrete gevallen is voldaan, is aan de toezichthouder om te beoordelen.

Daarbij dient naar de opvatting van het kabinet het internet voor iedereen toegankelijk te zijn. Dat neemt niet weg dat sommige diensten op het internet alleen kunnen blijven bestaan als daar een vorm van beloning tegen overstaat. Dat kan door middel van advertenties. Daarbij hoeft het niet per se te gaan om tracking maar kan het, bijvoorbeeld, ook gaan om zogenoemde contextueel adverteren met advertenties die alleen samenhangen met het onderwerp waar de gebruiker naar kijkt.

Vraag

De leden van de GroenLinks-PvdA-fractie lezen over de rolverdeling tussen de Autoriteit Consument & Markt (ACM) en de Autoriteit Persoonsgegevens (AP). Op basis van welk kader toetst de AP of de eisen van de AVG worden nageleefd?

Antwoord

Het kader op basis waarvan de AP toetst is de AVG zelf.

Vraag

Met welk publiek houdt de AP rekening bij het beoordelen of «duidelijke en volledige informatie» is verschaft, met oog op de grote groep Nederlanders die (digitaal) laaggeletterd is?

Antwoord

De bepalingen van de AVG zijn niet specifiek gericht op verschillende niveaus van digitale geletterdheid. De AP wijst wel op de richtsnoeren van de EDPB inzake toestemming,8 waarin bij het vragen om toestemming gebruik gemaakt moet worden van heldere en duidelijke taal. Dit betekent dat een bericht gemakkelijk te begrijpen moet zijn voor de gemiddelde persoon, en niet alleen voor, bijvoorbeeld, juristen.

Vraag

Welke extra stappen neemt het kabinet om de privacy van juist deze groep te beschermen?

Antwoord

Zoals aangekondigd in de Kamerbrief9 wordt bekeken hoe de bekendheid van instrumenten om privacy te beschermen vergroot kan worden. Hiervoor zal verkend worden hoe het onderwerp geïntegreerd kan worden in de hulptool cyberweerbaarheid voor burgers, waar ook aandacht voor de genoemde groep burgers is.

Vraag

Ziet de Staatssecretaris hierin een rol voor het «Personal Information Management System» (PIMS) dat bijvoorbeeld wordt gebruikt in Duitsland?

Antwoord

Een dergelijk systeem zou kunnen bijdragen aan een betere bescherming van de privacy van (digitaal) laaggeletterden. Zolang het echter vrijwillig is, verwacht het kabinet dat dit vooral ten goede zal komen aan de gebruikers die digitaal vaardig zijn, omdat zij deze tools zelf weten te vinden.

Vraag

Is het mogelijk om deelname aan een dergelijk systeem verplichtend te maken, zodat dit goed wordt nageleefd?

Antwoord

Het kabinet ziet daarvoor – net als de Duitse regering – geen mogelijkheden. De regels voor cookies volgen uit de Europese ePrivacyrichtlijn. Hieruit volgt dat een website om toestemming moet vragen voor het plaatsen van cookies en vergelijkbare tracking. Het blijft daarmee mogelijk voor een website om middels een banner om toestemming te verzoeken ook al wordt gebruik gemaakt van PIMS.

Vraag

De leden van de GroenLinks-PvdA-fractie zien dat de Staatssecretaris verwijst naar het gebruiken van browser plug-ins om cookies op te schonen. Vindt de Staatssecretaris dat dergelijke plug-ins en Adblockers breed genoeg bekend zijn?

Antwoord

Plug-ins zoals adblockers zijn in staat cookies en andere vormen van online tracking te blokkeren. Uit het Cybersecurityonderzoek Alert Online 202310 blijkt dat 36% van de Nederlanders bekend is met adblockers. Daarnaast maakt 32% van de Nederlanders gebruik van extensies om cookies en dergelijke te blokkeren en nog eens 31% van de Nederlanders geeft aan hiervan gebruik te willen maken. De bekendheid van adblockers is in Nederland relatief hoog, hoewel er ruimte is voor verbetering. Toch was de inzet van dit kabinet primair op betere Europese wetgeving om burgers te beschermen tegen door hen ongewenste tracking cookies.

Vraag

Welke mogelijkheden ziet zij om databeveiligingssoftware bekend en beschikbaar te maken voor een zo groot mogelijke groep, zodat de bescherming van data niet alleen is weggelegd voor mensen met veel technische kennis?

Antwoord

Het kabinet benadrukt dat het recht op gegevensbescherming niet is voorbehouden aan mensen met veel technische kennis. Zo is de verwerkingsverantwoordelijke, die verantwoordelijk is voor de verwerking van persoonsgegevens onder de AVG, verplicht de nodige technische of organisatorische maatregelen te nemen om de integriteit en veiligheid van de gegevensverwerking te waarborgen. Het is in beginsel aan de verwerkingsverantwoordelijke zelf om daartoe de nodige maatregelen te nemen. Daarvan profiteert iedereen wiens gegevens worden verwerkt. Dit is een van de voorwaarden die de AVG stelt aan de verwerking van persoonsgegevens. De AP ziet toe op de naleving daarvan.

Het kabinet wil de informatieverstrekking over dit onderwerp met praktische tips en tricks faciliteren via de hulptool cyberweerbaarheid die we gratis beschikbaar stellen aan iedereen die vanuit een helpdesk/baliefunctie te maken heeft met vragen van burgers over informatieveiligheid (bijvoorbeeld via de «informatiepunten digitale overheid»). Dit moet dit jaar toegevoegd zijn. Daarnaast werken we aan een laagdrempelige zelfhulptool cyberweerbaarheid voor het brede publiek die dit jaar wordt opgeleverd en via verschillende kanalen te benaderen zal zijn, zoals via de website veiliginternetten.nl. Tot slot is het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties met wetenschappers in gesprek om te kijken welke oplossingen kunnen bijdragen aan de digitale weerbaarheid van burgers, waar ook de bescherming van de data van burgers onder valt.

Vraag

Ziet de Staatssecretaris daarin een rol voor de overheid?

Antwoord

Ja, zoals hierboven toegelicht neemt de overheid stappen daarin.

Vraag

Tot slot vragen de leden van de GroenLinks-PvdA-fractie of de Staatssecretaris op de hoogte is van het voorstel van een Digital Advertising Act in de Senaat van de Verenigde Staten11, wat gericht is op een betere rolverdeling op de online advertentiemarkt. Deze leden zijn het eens met de stelling dat je niet aanbieder, tussenpersoon en veilingmeester tegelijk kan zijn, terwijl dit op de online advertentiemarkt wel vaak het geval is. Kan de Staatssecretaris een korte appreciatie geven van dit voorstel uit de Verenigde Staten en is zij bereid om zich ook in Europa hard te maken voor een dergelijk voorstel?

Antwoord

De Competition and Transparency in Digital Advertising (CTDA) Act richt zich op de macht van grote online platforms op de digitale advertentiemarkt. Het doel van de CTDA Act is het herstellen en beschermen van concurrentie op de markt van digitale advertenties. Dat doet de Act op twee manieren. Ten eerste bevat de regelgeving structurele maatregelen voor de allergrootste advertentiebedrijven (> $ 20 mld. omzet door advertenties) waarmee wordt voorkomen dat een platform meerdere rollen op de markt heeft (zowel actief is aan de vraagkant, als de aanbodkant en/of als tussenpersoon). Daarnaast bevat de regelgeving ook gedragsmaatregelen voor (middel)grote bedrijven (> $ 5 mld. Omzet door advertenties) om consumenten beter te beschermen en te zorgen voor meer concurrentie. Een voorbeeld hiervan is de verplichting om in het beste belang van hun klanten te handelen (en mogelijk niet in het belang van het platform), bijvoorbeeld bij het uitvoeren van biedingen voor advertenties.

Het kabinet heeft zich de afgelopen jaren in Europa sterk gemaakt voor aanvullende regelgeving voor de allergrootste online platforms. Daarom is het kabinet ook blij met de komst van de Digital Markets Act (DMA). Er zijn verschillende gelijkenissen tussen de CTDA Act en de DMA. Allereerst het doel. De DMA heeft als doel het vergroten van concurrentie en het beter beschermen van gebruikers op digitale markten. Daarnaast bevat de DMA verschillende gedragsmaatregelen voor platforms waar gebruikers nauwelijks meer omheen kunnen, zogeheten poortwachters. Een voorbeeld van een maatregel uit de DMA die raakt aan de rolverdeling op advertentiemarkten gaat over het gebruik van niet-publiek beschikbare data (gegenereerd in de rol als platform) in concurrentie met zakelijke gebruikers (in de rol als aanbieder). De poortwachter mag niet-publiek beschikbare data, die de poortwachter via haar kernplatformdienst of aanvullende diensten van zakelijke gebruikers (of via diens eindgebruikers) heeft gegenereerd, niet gebruiken in concurrentie met die zakelijke gebruiker. Ook bevat de DMA de mogelijkheid om in het uiterste geval structurele maatregelen op te leggen bij systematische niet-naleving die kunnen ingrijpen op de rolverdeling op advertentiemarkten.

Het kabinet is positief over het feit dat ook in andere landen regelgeving voor de allergrootste online platforms tot stand komt. Tegelijkertijd is het ook belangrijk om er bewust van te zijn dat deze poortwachters vaak een ecosysteem aan diensten bezitten. De regelgeving moet daarom ook gericht zijn op het tegengaan van overheveling van macht van de ene dienst/markt naar de andere dienst/markt. De voorkeur gaat daarom uit naar regelgeving die niet specifiek gericht is op één dienst of markt, maar op de rol van het platform als geheel op digitale markten. Bijvoorbeeld de DMA. De regels uit de DMA gelden namelijk naast advertentiediensten ook voor verschillende andere kernplatformdiensten, zoals appstores, zoekmachines en webbrowsers.

Gezien het feit dat de DMA mogelijkheden biedt om maatregelen op te leggen aan poortwachters die raken aan de rolverdeling op advertentiemarkten en nog in de implementatiefase zit, acht de Minister van Economische Zaken en Klimaat het op dit moment niet opportuun om zich hard te maken voor aanvullende regelgeving die specifiek ziet op de rolverdeling op de digitale advertentiemarkt. Uiteraard blijft de Minister van Economische Zaken de ontwikkelingen op deze markt nadrukkelijk volgen.

Vraag

De leden van de CDA-fractie vragen waarom ervoor is gekozen om het extra budget te beleggen bij de AP, in plaats van bij de andere toezichthouder op dit onderwerp, de ACM. Deze leden vragen of het kabinet deze keuze wil toelichten, aangezien de wettelijke bepalingen rondom cookies volgen uit de Telecommunicatiewet (TW), waarin overigens wordt verwezen naar de AVG en waarop de ACM toezicht houdt inzake de bescherming van consumentenbelangen. Zij vragen of het primaat in het toezicht en de handhaving daarom niet zou moeten liggen bij de ACM, ook omdat dit onderwerp raakt aan de doelstellingen uit de Nationale Consumentenagenda.

Antwoord

Het gaat hier primair om een privacyvraagstuk. Voor de regels uit de Tw geldt dat deze zien op alle denkbare gegevens. Dus ook op gegevens die niet zijn te beschouwen als persoonsgegevens (bijvoorbeeld informatie over bedrijfsprocessen). Wanneer er sprake is van persoonsgegevens gelden naast de Tw ook de regels van de AVG. Omdat er bij trackingcookies eigenlijk altijd sprake is van de verwerking van persoonsgegevens, zijn zowel de Tw als de AVG van toepassing. Tussen de toezichthouders was reeds bestuurlijk afgesproken dat de AP voorrang heeft op dit onderwerp. In de praktijk was daarmee de AP ook al actiever, bijvoorbeeld in werkgroepen van de EDPB. Daarom is besloten om het extra budget te beleggen bij de toezichthouder die reeds actief was op dit onderwerp.

Vraag

Deze leden vragen of hier ook over is gesproken met de AP en de ACM en of door deze toezichthouders een voorkeur is uitgesproken.

Antwoord

Ja, hier is over gesproken met beide toezichthouders. De AP had de voorkeur de extra middelen bij hen te beleggen. De ACM had geen bezwaar tegen de keuze om extra middelen te beleggen bij de AP.

Vraag

De leden van de CDA-fractie lezen dat het kabinet zich op Europees niveau wil inspannen om ervoor te zorgen dat cookies makkelijker geweigerd kunnen worden. Deze leden steunen dat en hebben al meerdere malen aandacht gevraagd voor de aanpak van «dark patterns». Deze leden vragen hoe het kabinet werkt aan de aanpak van dark patterns bij de verschillende relevante onderwerpen zoals sociale media, verleidingstechnieken in games en cookies en welke concrete stappen het kabinet hierin neemt.

Antwoord

De Europese Commissie onderzoekt momenteel of de huidige regels consumenten ook online voldoende beschermen («fitness check»)12, waaronder op het gebied van dark patterns. De verwachting is dat de Europese Commissie haar uitkomsten van deze fitness check in het tweede kwartaal van 2024 publiceert.

Vraag

Zij vragen ook of het kabinet nationaal stappen wil zetten als blijkt dat het te lang duurt om op Europees niveau de juiste wettelijke aanpassingen door te voeren.

Antwoord

Zoals genoemd bij de vorige vraag, heeft de Minister van Economische Zaken en Klimaat in Europees verband aandacht gevraagd voor de aanpak van dark patterns via de fitness check.

Vraag

De leden van de CDA-fractie vragen als laatste waarom het kabinet de Nederlandse toestemmingsuitzondering voor analytische cookies Europees wil behouden.

Antwoord

Analytische cookies, zoals gedefinieerd door de Nederlandse Telecommunicatiewet, hebben geen of geringe gevolgen voor de persoonlijke levenssfeer. Door deze uit te zonderen van de toestemmingsverplichting, worden gebruikers met minder banners geconfronteerd wat de gebruikservaring ten goede komt. En door deze cookies uit te zonderen, worden deze cookies met lagere impact voor gebruikers niet op dezelfde wijze behandeld als hogere impact cookies, zoals tracking cookies. Daardoor wordt de toestemmingsmoeheid verminderd en kunnen gebruikers zich focussen op bewust accepteren of weigeren van de impactvolle cookies.

Nadere informatie over de overwegingen is te vinden in de memorie van toelichting van het wetsvoorstel dat deze uitzondering toevoegde.18

Vraag

De leden van de SP-fractie lezen dat het kabinet, als het gaat over het reguleren van online tracken, de focus van beleid vooral legt op mensen de keuze geven of ze online wel of niet getrackt willen worden, maar er is geen fundamentele analyse of dit wel een wenselijk fenomeen is. Deze leden vinden het niet menswaardig dat personen die het internet gebruiken door gigantische techbedrijven zoals Meta en Google worden getrackt om gigantische datasets over het gedrag van een persoon te maken en door te verkopen aan iedereen die deze informatie wil hebben. Het tast aan privacyrechten en geeft bedrijven de macht om het gedrag van mensen te wijzigen op een subtiele manier. Online gokbedrijven, bijvoorbeeld, kunnen hierdoor precies de mensen met een hogere kans op een gokverslaving targeten met reclames. Grote datasets over het online gedrag van personen zorgt voor miljardenwinsten van de techbedrijven, over de rug van hun sitegebruikers heen. Deze leden vinden dat er geen plek is voor deze markt in onze samenleving en zien het liefst dat deze vorm van dataverzameling niet wordt toegestaan. Hoe kijkt de Staatssecretaris naar deze fundamentele vraag of deze vorm van dataverzameling en verkoop wel menswaardig is en thuis hoort in ons land, en deelt het kabinet de mening van deze leden dat de macht die grote techbedrijven nu hebben over onze inwoners veel te groot is?

Antwoord

Het kabinet herkent de zorgen van de vragenstellers over het grootschalig verzamelen van data en het gebruik daarvan voor onder meer gepersonaliseerde advertenties. Tegelijkertijd ziet het kabinet dat het belangrijk is dat in beginsel toestemming kan worden gegeven voor het verwerken van persoonsgegevens voor specifieke doeleinden. Deze mogelijkheid om daarvoor en de gevolgen daarvan welbewust te kunnen kiezen past in principe goed bij menselijke waardigheid als uitgangspunt voor individuele verantwoordelijkheid. Wel is van belang dat de betrokkene dan ook echt een vrije keuze heeft, goed wordt geïnformeerd, de toestemming ondubbelzinnig is voor een specifiek doel, en de toestemming in de praktijk ook kan worden geweigerd of ingetrokken zonder nadelige gevolgen. Zoals ook de opinie van de EDPB over het «consent-or-pay» model illustreert, is volgens de AVG ook de machtsverhouding tussen de verwerkingsverantwoordelijke en de betrokkene van betekenis bij het oordeel of sprake is van vrije toestemming. Het kabinet ziet dat deze normen in de praktijk niettemin onder druk kunnen komen te staan. Het kabinet heeft zich er voor ingespannen om dat te verbeteren, bijvoorbeeld met het versterken van het toezicht zoals toegelicht in de Kamerbrief.19

Het kabinet herkent verder dat de macht van grote techbedrijven over inwoners te groot is, zoals ook benoemd in de hoofdlijnenbrief digitalisering en de Werkagenda Waardengedreven Digitaliseren.20 Het kabinet spant zich ervoor in om op zowel nationaal als Europees niveau deze macht te beperken.

Vraag

Ook lezen de leden van de SP-fractie dat het kabinet op nationaal niveau geen betekenisvolle mogelijkheden ziet om met aanvullende wetgeving de huidige praktijk te verbeteren. Deze leden begrijpen deze reactie niet goed, want zij zien wel degelijk kansen om online tracking en de verkoop van deze data te beperken, bijvoorbeeld door de verkoop van data verzameld via cookies en andere vormen van online tracking op computers in Nederland te verbieden. Zou de Staatssecretaris kunnen toelichten waarom het kabinet van mening is dat nationale wetgeving de huidige praktijk niet kan verbeteren?

Antwoord

Zoals in de brief over cookies en online tracking is opgenomen, is regulering op dit onderwerp ingekaderd door de Europese ePrivacy-richtlijn en de AVG. Dit maakt dat er slechts zeer beperkte ruimte is voor nationale invulling. Dat is ook niet vreemd, gezien het doel van harmonisatie en het grensoverschrijdende karakter van cookies. Het kabinet heeft daarom moeten concluderen dat het niet mogelijk is om op nationaal niveau betekenisvol af te wijken.

Vraag

Deelt de Staatssecretaris de mening van deze leden dat de Rijksoverheid de verantwoordelijkheid heeft om inwoners te beschermen van misbruik van persoonsgegevens en online tracking op grote schaal, ook als dat nog niet op Europees niveau is geregeld?

Antwoord

Ja, het grondrecht op gegevensbescherming is echter al gecodificeerd in artikel 8 EU Handvest en verder uitgewerkt in onder meer de AVG. De AVG biedt bescherming tegen misbruik van persoonsgegevens en online tracking. Daarnaast zet het kabinet zich in EU verband, maar ook, zoals is uiteengezet in de Kamerbrief cookies en online tracking,21 op verschillende manieren in om de bescherming van persoonsgegevens te borgen.

Vraag

Verder doet het kabinet een voorstel voor verbetering, zoals het opslaan van cookie-preferences in de browser zodat sites daaraan kunnen refereren. Waarom zou dit niet alvast via nationale wetgeving geregeld kunnen worden?

Antwoord

Technisch is dit mogelijk, zoals het Do Not Track-signaal dit deels beoogt en zoals ook de Duitse Personal Information Management Systems (PIMS) beogen. Op basis van de ePrivacy-richtlijn is het echter niet mogelijk om websites te verplichten dit signaal te honoreren en niet alsnog te vragen om toestemming voor cookies.

Vraag

De leden van de BBB-fractie lezen in de voorliggende brief (Kamerstuk 32 761–26 643, nr. 286) van de Staatssecretaris het volgende: «Ook is het voor betrokkene onduidelijk hoe om rectificatie of wissen van de persoonsgegevens of beperking van de betreffende verwerking kan worden verzocht. Net als dat het onduidelijk is hoe om het recht tegen de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid kan worden verzocht.» Als het voor veel burgers niet duidelijk is dat het mogelijk is om persoonsgegevens te laten wissen bij bedrijven die handelen in hun persoonsgegevens, is het dan een idee om een overheidscampagne te maken die mensen bewust maakt van het feit dat dit mogelijk is? Tegelijkertijd kan de overheid daarmee toch onderzoeken of mensen hier zich van bewust zijn, en op basis van die kennis daar beleid op voorschrijven?

Antwoord

Het kabinet ziet dat betrokkenen toestemming kunnen geven voor gegevensverwerkingen zonder zich van de gevolgen daarvan goed bewust te zijn. Het kabinet vindt dit, gelet op de mogelijke nadelige gevolgen voor burgers en andere betrokkenen, zorgelijk. Daarom wordt, zoals reeds eerder in de Kamerbrief cookies en online tracking22 is toegezegd aan uw Kamer, ingezet op het vergroten van het bewustzijn bij burgers over de verzameling van persoonsgegevens door mobiele applicaties en websites.

Vraag

Verder lezen de leden van de BBB-fractie in dezelfde brief: «Het in één keer toestemming geven of weigeren blijkt echter tot op heden niet (eenvoudig) realiseerbaar.» Wat staat er precies in de weg voor het in één keer toestemming kunnen geven?

Antwoord

In de AVG is geregeld dat toestemming onder meer specifiek moet zijn. Dat betekent onder meer dat degene die de toestemming geeft moet weten aan wie die toestemming geeft en voor welk doel de via de toestemming verkregen gegevens worden gebruikt. Het in één keer accepteren maakt toestemming minder specifiek – je weet immers van tevoren niet wie de gegevens gaat gebruiken en voor welk doel de gegevens worden gebruikt – en is daarmee mogelijk strijdig met de AVG.

Vraag

Er wordt aangegeven dat het niet «eenvoudig» realiseerbaar is, maar hoe ziet het proces eruit als er wel een dringende wens is om dit te doen?

Antwoord

Er zijn daarvoor twee richtingen. Allereerst kan er gezocht worden naar een manier waarop invulling gegeven kan worden aan deze wens binnen de bestaande vereiste van de AVG. Er is nog geen overeenstemming dat zo’n oplossing al is gevonden. Die beoordeling is aan de onafhankelijke toezichthouders.

Een andere mogelijke gedachte zou kunnen zijn om te trachten de AVG aan te passen voor wat betreft het vereiste dat toestemming specifiek moet zijn. Dat zou het kabinet een zeer onwenselijke ambitie vinden, nu het vereiste van specifieke toestemming voor het verwerken van gegevens bij uitstek een belangrijke waarborg is om misbruik van persoonsgegevens tegen te gaan. Het kabinet geeft er dan ook sterk de voorkeur aan om te blijven onderzoeken wat er, binnen de grenzen van de AVG, mogelijk is.

Vraag

Is het mogelijk om op nationaal niveau hier al werk van te maken, zodat dit op EU niveau overgenomen kan worden?

Antwoord

De AVG heeft als Europese verordening rechtstreekse werking in Nederland. Het is niet mogelijk op nationaal niveau van een Europese verordening af te wijken.

Vraag

Als laatste citeren de leden van de BBB-fractie de volgende regel uit de brief: «Generiek toestemming geven voor cookies verhoudt zich bijvoorbeeld lastig ten opzichte van de in de AVG opgenomen eis dat een toestemming voldoende specifiek moet zijn.» Is het mogelijk om de tekortkoming in de AVG aan te passen?

Antwoord

Het kabinet benadrukt dat het vereiste van «specifieke» toestemming in de AVG, een essentiële en principiële waarborg is tegen misbruik van persoonsgegevens en geen tekortkoming van de AVG. Alleen als toestemming specifiek is, is immers duidelijk waarvoor en aan wie de toestemming voor het verwerken van de gegevens wordt gegeven.

Vraag

Zou dit het mogelijk maken om wel generiek toestemming te geven voor het accepteren of afwijzen van cookies?

Antwoord

Zoals toegelicht bij de vorige vragen en in de Kamerbrief cookies en online tracking,23 wil het kabinet geen afbreuk doen aan het vereiste van specifieke toestemming. Dit vereiste is van groot belang voor de rechtsbescherming tegen misbruik van persoonsgegevens op grond van de AVG, en het aanpassen van dit vereiste is daarom voor het kabinet geen optie.