Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 29 oktober 2014

Bij brief van 2 oktober 2014 heeft de griffier van de vaste commissie voor Veiligheid en Justitie een aantal vragen van de commissie doorgeleid met betrekking tot een administratieve regeling die de Duitse toezichthouder voor de gegevensbescherming heeft getroffen ten aanzien van Google Inc.

In deze brief beantwoord ik de desbetreffende vragen.

1. Op basis waarvan is de Duitse toezichthouder overgegaan tot het opleggen van een administratieve regeling? Wat houdt deze administratieve regeling in?

Op 30 september 2014 heeft de Hamburgische Beauftragte für Datenschutz und Informationsfreiheit bekendgemaakt dat aan Google Inc. een bindende aanwijzing is opgelegd. Deze aanwijzing is opgelegd na de vaststelling dat Google Inc. de Duitse wetgeving inzake internetdiensten (Telemediengesetz) en de federale gegevensbeschermingswetgeving (Bundesdatenschutzgesetz) heeft overtreden. Volgens de berichtgeving van de Hamburgse toezichthouder wordt Google Inc. verplicht om gegevens die Google verwerkt bij het gebruik van de verschillende door haar aangeboden diensten in het vervolg alleen nog te verzamelen en te combineren met inachtneming van de voorwaarden die de wetgeving daaraan stelt.

Vastgesteld is dat Google door het combineren van gegevens die dezelfde betrokkene bij het gebruik van verschillende diensten van Google achterlaat in staat zou kunnen zijn een indringend profiel van de persoonlijkheid van een individuele betrokkene samen te stellen. Daarbij zou gedacht kunnen worden aan een gedetailleerd overzicht van reisbewegingen via de locatiebepaling van een mobiele telefoon met een Android besturingsprogramma, specifieke gebieden van belangstelling via het gebruik van Google Search, een financieel en sociaal portret, de verblijfplaats en gewoonten van de betrokkene, vriendschappelijke betrekkingen, seksuele oriëntatie en andere levensomstandigheden. Weliswaar sluit Google het gebruik van dergelijke combinaties voor directmarketingdoeleinden uit, aldus de Hamburgse autoriteiten, maar de enkele mogelijkheid van deze combinatie achten de autoriteiten een zodanig ernstig risico voor de persoonlijke levenssfeer van de betrokken dat ingrijpen gerechtvaardigd is.

De aanwijzing als zodanig is niet bekendgemaakt. Deze is gericht tot één belanghebbende. Navraag bij de Hamburgse autoriteiten heeft geleerd dat dergelijke besluiten krachtens Duits bestuursrecht niet door het bevoegde bestuursorgaan openbaar worden bekendgemaakt. Over de precieze voorwaarden die aan Google zijn opgelegd kan ik u dan ook niet informeren. De autoriteiten hebben mij echter verzekerd dat aan de bevoegdheid tot het opleggen van een aanwijzing en aan het bindend karakter ervan geen twijfel bestaat. Indien Google zich niet aan de aanwijzing conformeert, kan een boete tot maximaal € 1 mln. worden opgelegd.

2. Hoe verhoudt het opleggen van deze regeling zich tot de Europese wet- en regelgeving?

Ik ga ervan uit dat de hierboven genoemde Duitse wetgeving volledig in overeenstemming is met richtlijn 95/46/EG, de Europese privacyrichtlijn. Deze richtlijn heeft een algemeen-abstract karakter en moet door de wetgeving van de lidstaten, de toepassingspraktijk van de toezichthouders en de jurisprudentie worden geconcretiseerd. Het besluit van de Hamburgse toezichthouder is een dergelijke concretisering. In deze zaak is blijkens de bekendmaking door de toezichthouder intensief samengewerkt met vijf andere Europese toezichthouders. De handhavingsbevoegdheden van de toezichthouders verschillen echter per lidstaat. Dat is een kwestie van nationaal recht.

3. Welke stappen zijn of worden gezet sinds eind 2012 toen het College bescherming persoonsgegevens heeft vastgesteld dat Google de Wet bescherming persoonsgegevens overtreedt?

Het College bescherming persoonsgegevens (Cbp) heeft onderzoek gedaan naar het combineren van persoonsgegevens door Google en heeft zijn rapport van bevindingen hierover op 28 november 2013 bekendgemaakt. Vervolgens is het Cbp een een handhavingsprocedure gestart. Navraag bij het Cbp heeft mij geleerd dat deze procedure nog loopt. Zoals u weet is het Cbp een onafhankelijke toezichthouder. Het is daarom aan het Cbp om met verdere bekendmakingen terzake te komen.

4. Wat is de stand van zaken en planning omtrent de opvolging van de aanbevelingen van de Article 29 Working Group?

De beslissing van de Hamburgse toezichthouder is één van de opvolgingen van de aanbevelingen van de Artikel 29 Werkgroep met betrekking tot de privacyvoorwaarden van Google. In 2013 is door de Franse toezichthouder, de CNIL, een boete aan Google opgelegd van € 150.000,–. Dit besluit hield stand voor de Conseil d'Etat nadat Google daartegen beroep instelde. Eveneens in 2013 is door de Spaanse toezichthouder, de AEPD, vastgesteld dat Google drie overtredingen van de Spaanse wet heeft begaan. Er is voor iedere overtreding een financiële sanctie opgelegd van € 300.000,–. In juli 2014 heeft de Italiaanse toezichthouder, de Garante, Google bindende aanwijzingen gegeven met betrekking tot de aanpassing van het privacybeleid. Voor zover bekend heeft de Garante geen dwangsom of bestuurlijke boete opgelegd. De Britse toezichthouder, de Information Commissioner, heeft Google in juli 2013 opgedragen veranderingen aan te brengen in het privacybeleid.

De privacytoezichthouders verenigd in de Artikel 29-werkgroep hebben in juni 2014 afgesproken naar aanleiding van de uitspraak van het Hof van Justitie van 13 mei 2014, C-131/12, inzake Google Spain en Google Inc en Mario Costeja Gonzalez/AEPD richtlijnen op te stellen. Deze richtlijnen zijn bedoeld voor de toezichthouders met als doel de afhandeling van klachten door het niet verwijderen van van persoonsgegevens door zoekmachines zoveel mogelijk te coördineren. De richtlijnen gaan dus niet over de wijze waarop zoekmachinedienstverleners materieel met de uitspraak van het Hof van Justitie moeten omgaan. De toezichthouders zijn van oordeel dat het primair aan de zoekmachinedienstverleners is om betrokkenen zelf de mogelijkheid te bieden een verzoek tot verwijdering van de zoekresultaten te doen. De toezichthouders houden elkaar in dit kader, op initiatief van het Cbp, goed op de hoogte over klachten van burgers over afwijzende besluiten van zoekmachinedienstverleners om URL's niet meer op naam vindbaar te maken.

Eind juli 2014 heeft de Werkgroep een hoorzitting georganiseerd met vertegenwoordigers van Google, Microsoft en Yahoo!. Het doel van deze vergadering was om zoekmachinedienstverleners vragen te stellen over de praktische implementatie van de uitspraak en om input te leveren voor de ontwikkeling van de bedoelde richtlijnen.

De Staatssecretaris van Veiligheid en Justitie, F. Teeven