Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 19 maart 2015

Uw vaste commissie voor Binnenlandse Zaken heeft gevraagd naar de stand van zaken van de contacten met Airbnb: het online bedrijf dat bemiddelt tussen verhuurders en huurders van logeerruimte. Aanleiding is de uitzending van het programma Radar op 3 november 2014, waar ik te gast was om de Kopie ID app te introduceren.

In de uitzending van Radar werd een filmpje getoond waarin een ethisch hacker het proces van identificatie bij Airbnb aan de kaak stelde. Onderdeel van dat proces is het uploaden van een kopie van een paspoort. Dit zou volgens Airbnb nodig zijn opdat verhuurders van logeerruimte de eis kunnen stellen dat hun gasten een geverifieerde ID hebben. Bij een poging om een kopie te uploaden waarop gevoelige gegevens zijn doorgestreept, reageerde de website van Airbnb automatisch dat onvolledige gegevens zijn verstrekt.

Ik heb contact laten opnemen met het hoofdkantoor van Airbnb in Californië en het Europese kantoor in Dublin. Anders dan de Nederlandstalige website doet vermoeden, heeft Airbnb geen Nederlandse vestiging. In de algemene voorwaarden van Airbnb staat dat wie buiten de USA resideert een contract afsluit met Airbnb Ierland. Nederlanders doen dus zaken met de vestiging in Dublin. De voorwaarden van Airbnb worden uitgelegd in overeenstemming met de Ierse wet:

«These Terms will be interpreted in accordance with Irish law. You and we agree to submit to the non-exclusive jurisdiction of the Irish courts for resolving any dispute between the parties. If Airbnb wishes to enforce any of its rights against you, we may elect to do so in the Irish courts or in the courts of the jurisdiction in which you are resident.»

Het Ierse privacyrecht komt onder meer tot uitdrukking in de Ierse Data Protection Act. Deze wet is evenals de Wet bescherming persoonsgegevens (Wbp), een implementatie van de Europese privacyrichtlijn (95/46/EG). In zijn privacybeleid geeft Airbnb zich rekenschap van deze richtlijn. Daarin is als zodanig geen beperking opgenomen met betrekking tot kopieën van paspoorten en andere identiteitsbewijzen: de beperking betreft het verwerken van persoonsgegevens, wat alleen is toegestaan als daar een wettelijke grondslag voor bestaat.

De casus van Airbnb, een internationaal opererend bedrijf, raakt ook de andere lidstaten van de EU. De aanpak van uitwisseling van gegevens met derde landen vraagt om Europese samenwerking, die onder andere wordt verbeterd met de nieuwe Algemene verordening gegevensbescherming (COM(2012)11) in de EU. Vanaf maart 2012 worden in de raadswerkgroep (DAPIX) de hoofdstukken van de verordening intensief besproken. Per kwartaal ontvangt de Tweede Kamer een voortgangsrapportage over de onderhandelingen in de Raadswerkgroep en het standpunt dat de Nederlandse regering in de JBZ-Raad vertolkt (recent brief van 2 februari 2015, Kamerstuk 33 169, W en brief van 4 maart 2015, Kamerstuk 32 317, nr. 272).

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, R.H.A. Plasterk