21 501-33 Raad voor Vervoer, Telecommunicatie en Energie

Nr. 670 VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 26 oktober 2017

De vaste commissie voor Economische Zaken heeft een aantal vragen en opmerkingen voorgelegd aan de Minister van Economische Zaken over de brief van 13 oktober 2017 inzake de geannoteerde agenda van de Telecomraad van 24 oktober 2017 (Kamerstuk 21 501-33, nr. 668).

De vragen en opmerkingen zijn op 17 oktober 2017 aan de Minister van Economische Zaken voorgelegd. Bij brief van 20 oktober 2017 zijn de vragen die betrekking hebben op de geannoteerde agenda van de Telecomraad beantwoord (Kamerstuk 21 501-33, nr. 669).

Bij brief van 25 oktober 2017 zijn de vragen die betrekking hebben op de ePrivacy-verordening beantwoord.

De fungerend voorzitter van de commissie, Ziengs

De griffier van de commissie, Nava

De leden van de CDA-fractie hebben een aantal vragen over de ePrivacy-verordening. Deze leden hebben begrepen dat het begrippenkader en de systematiek van Algemene Verordening Gegevensbescherming (AVG) en de ePrivacy-verordening uiteen lopen. Kan dit in de praktijk tot problemen leiden?

Er zijn inderdaad verschillen in begrippenkader en systematiek tussen de voorgestelde ePrivacy-verordening en de AVG. Dit is echter goed verklaarbaar en hoeft in de praktijk niet tot problemen te leiden. De verschillen zijn vooral een gevolg van het feit dat de voorgestelde ePrivacy-verordening een ruimer toepassingsbereik heeft dan de AVG. De AVG ziet immers alleen op de bescherming persoonsgegevens terwijl de ePrivacy-verordening ook ziet op de bescherming van gegevens die dat niet zijn. Zo ziet het in de ePrivacy-verordening opgenomen communicatiegeheim niet alleen op het vertrouwelijk blijven van communicatie waarin persoonsgegevens worden gewisseld maar ook op communicatie waarin bedrijfsgegevens worden gewisseld.

De leden van de CDA-fractie vragen of de Minister kan aangeven of de ePrivacy-verordening en de AVG voldoende op elkaar aansluiten en zo ja, waar dit uit blijkt.

Naar mijn opvatting sluiten de beide verordeningen goed op elkaar aan, al kan dit op onderdelen nog wel verduidelijkt worden in de overwegingen en/of de artikelen van de voorgestelde ePrivacy-verordening. Het Estse voorzitterschap doet op technisch niveau voorstellen op dit punt.

Belangrijk voor een goed begrip van de verordening is te weten dat deze deels een zogenoemde lex specialis is van de AVG maar deels ook nieuw recht schept dat los staat van de AVG. Dit is bijvoorbeeld te zien in artikel 6 van de voorgestelde ePrivacy-verordening. Artikel 6 geeft aan onder welke voorwaarden aanbieders van elektronische communicatiediensten communicatiegegevens (metadata en inhoud van de communicatie) mogen verwerken. Deze communicatiegegevens kunnen zowel persoonsgegevens zijn als niet persoonsgegevens zijn. Daar waar de communicatiegegevens persoonsgegevens betreffen vormen de regels in artikel 6 een verbijzondering van de regels uit de AVG voor de telecommunicatiesector (lex specialis). Echter daar waar de communicatiegegevens geen persoonsgegevens betreffen (bijvoorbeeld bedrijfsinformatie) staan de regels van artikel 6 los van de AVG.

De leden van de CDA-fractie vragen of de definitie van de e-privacy voldoende aansluit bij het doel dat wordt beoogd met deze verordening.

Ja dat is naar mijn opvatting het geval. De voorgestelde ePrivacy-verordening beoogt de privacy en het communicatiegeheim van zowel natuurlijke personen als bedrijven bij het gebruik van elektronische communicatiediensten te beschermen. Daarom wordt in het begrippenkader van de ePrivacy-verordening zowel aangesloten bij belangrijke begrippen uit het Europese kader voor elektronische communicatie als bij belangrijke begrippen uit de AVG.

De leden van de CDA-fractie vragen of het bereik van de wet vooralsnog niet te vaag omschreven is en wat nu precies onder de ePrivacy-verordening gaat vallen? Ook vragen zij wat concreet valt onder het toepassingsgebied en of dat de verordening het hele «Internet of Things» omvat.

Onder de ePrivacy-verordening vallen diverse onderwerpen die gemeen hebben dat ze te maken hebben met het beschermen van privacy bij het gebruik van elektronisch communicatie. Kernbepalingen daarbij zijn het communicatiegeheim en de uitzonderingen daarop alsmede de zogenoemde cookiebepaling die ziet op de toegang en het gebruik van eindapparatuur. Voorts kent de ePrivacy-verordening ook regels met betrekking tot direct marketing (spam) telefoongidsen en nummerherkenning.

Het toepassingsgebied van de voorgestelde ePrivacy-verordening omvat bepaalde belangrijke aspecten van het Internet of Things. Daarin is de ePrivacy-verordening overigens niet anders dan het huidige hoofdstuk 11 van de Telecommunicatiewet. In dit verband is allereerst het communicatiegeheim van belang. Dit ziet, net als nu al het geval is, ook op communicatie tussen machines onderling. Wanneer, bijvoorbeeld, een bedrijf twee machines met elkaar laat communiceren via een telecommunicatiedienst dan mag de aanbieder van de telecommunicatiedienst noch een derde inbreken op deze communicatie. Zo blijven bedrijfsgegevens vertrouwelijk. Dit zelfde geldt mutatis mutandis voor een slimme thermostaat die gegevens uitwisselt met de aanbieder van de app die de thermostaat aanstuurt: de via het telecommunicatienetwerk uitgewisselde gegevens mogen, behoudens met toestemming, niet door de aanbieder van de telecommunicatiedienst of een derde worden gebruikt. Daarnaast kent, zoals gezegd, de ePrivacy-verordening net als hoofdstuk 11 van de Telecommunicatiewet nu (artikel 11.7a) een bepaling die ziet op de toegang en het gebruik van eindapparatuur (een smartphone, een computer, maar ook een slimme thermostaat of een connected car). Deze bepaling komt er in grote lijnen op neer dat gegevens die op eindapparatuur worden geplaatst of van eindapparatuur worden gelezen alleen mogen worden verwerkt als de gebruiker van het eindapparaat een (mede) daartoe strekkende overeenkomst heeft gesloten of daarvoor toestemming heeft gegeven.

De leden van de CDA-fractie zijn benieuwd hoe de regering tegen de ePrivacy-verordening aankijkt in relatie tot internetplatforms. Zij vragen of het klopt dat internetplatforms soms zelf onderdeel zijn van een transactie en hierdoor toegang nodig hebben tot communicatiedata om hun rol als platform te kunnen vervullen, bijvoorbeeld voor het verwerken van deze transacties of het tegengaan van fraude. Zij vragen verder of de Minister kan aangeven of toestemming in deze situaties voor gebruikers een extra hinderlijke laag dreigt te worden voor het ontvangen van diensten, terwijl toestemming het privacybewustzijn niet significant vergroot. Voorts vragen zij of de Minister kan aangeven of een verbetering zou optreden indien meer flexibiliteit wordt gegeven aan internetdiensten die onderdeel zijn van een online transactie indien voor hen alleen het juridische kader van de AVG geldt.

Met betrekking tot internetplatforms voorzie ik geen problemen bij de toepassing van de -. Het is juist dat internetplatforms vaak toegang nodig hebben tot informatie op eindapparaten van eindgebruikers. Echter, voordat een eindgebruiker deelneemt aan een internetplatform sluit hij een overeenkomst met het betreffende internetplatform. In het kader van deze overeenkomst maakt hij afspraken over het gebruik en de toegang tot de informatie op zijn eindapparaat.

De leden van de CDA-fractie zouden graag inzichtelijk krijgen wat de verwachting is welke extra pop-ups door deze verordening gaan ontstaan om toestemming te geven. Gaan er, zo vragen zij, pop-ups ontstaan die niet noodzakelijk zijn om het belang van vertrouwelijkheid van communicatie en online privacy te waarborgen. Zo ja dan willen zij weten, hoe de Minister dit beoordeelt in relatie tot bevindingen in de praktijk met de huidige cookiewet.

Het is niet de verwachting dat door de voorgestelde ePrivacy-verordening extra pop-ups ontstaan. Het is meer de vraag of het lukt, zoals beoogd wordt, om het aantal pop-ups te verminderen door browsers meer geschikt te maken voor het geven van toestemming voor het plaatsten van cookies. Ik ben er nog niet van overtuigd dat dat het geval zal zijn (zie ook het antwoord op een latere vraag over pop-ups). Op dit moment is er nog geen adequaat alternatief voor het plaatsen van cookies. Wel kunnen aanvullende grondslagen voor de verwerking van informatie op eindapparatuur een mogelijkheid zijn. Dit zou echter niet moeten leiden tot een lager beschermingsniveau dan in de AVG wordt geregeld.

De leden van de CDA-fractie zijn verder benieuwd of de ePrivacy-verordening zo in elkaar zit dat spam alleen kan worden tegengehouden als ook de spammer daar toestemming voor heeft gegeven. Zo ja, dan willen zij weten of de Minister dat wenselijk vindt.

Het betreft hier een misverstand. Dit aspect van spam wordt niet geregeld in de ePrivacy-verordening maar in de Netneutraliteitsverordening. Voor nadere informatie verwijs ik naar mijn brief van 12 september 2017 (Kamerstuk 26 643, nr. 484).

De leden van de CDA-fractie vragen of applicaties gebaseerd op kunstmatige intelligentie worden ontmoedigd door de ePrivacy-verordening.

De ePrivacy-verordening geeft, zoals al eerder aangeven, een regime voor het verwerken van informatie op eindapparaten. Verder moet software zodanig worden ingericht dat de eindgebruiker bij installatie duidelijke keuzes heeft met betrekking tot de privacy-instellingen. Mijn verwachting is dat deze bepalingen zullen bijdragen aan het vertrouwen van eindgebruikers in nieuwe technieken en nieuwe toepassingen daardoor eerder zal stimuleren dan belemmeren.

De leden van de CDA-fractie zijn ook benieuwd of de verordening ervoor zorgt dat ook toestemming moet worden gegeven voor data die noodzakelijk is om de dienst überhaupt te kunnen gebruiken, die nodig is om lerend vermogen of innovatief vermogen te verbeteren. Mag, zo vragen de leden, een pechdienst met deze ePrivacy-verordening zonder toestemming met autodata en meteogegevens een real-time inschatting maken over waar pechhulp bij noodweer het meest nodig is en mag een dokter met deze ePrivacy-verordening een «connected» hartmonitor aansluiten op een patiënt die buiten kennis is.

De voorgestelde ePrivacy-verordening kent net als het huidige artikel 11.7a van de Telecommunicatiewet de regel dat het lezen/plaatsen (verwerken) van informatie op eindapparatuur is toegestaan als dit nodig is in het kader van de afname van een dienst van de informatiemaatschappij. Daarnaast is dergelijke verwerking toegestaan als de eindgebruiker toestemming heeft verleend. Als iemand een «connected» pechdienst afneemt hoeft deze persoon dus geen separate toestemming te geven. In het voorbeeld van de «connected» hartmonitor is het de dokter die het eindapparaat gebruikt om zijn zorg te verlenen. Hier is dus geen toestemming van de patiënt nodig.

De leden van de CDA-fractie begrepen dat de verordening het ook mogelijk maakt om toestemming vooraf te regelen via de browserinstellingen, waardoor consumenten minder worden geconfronteerd met «cookie banners». Verwacht de Minister, zo vragen zij, dat hier veel gebruik van wordt gemaakt en hierdoor het aantal pop ups vermindert.

De ePrivacy-verordening stuurt er op aan dat browsers, maar ook andere applicatie-software, bij installatie de eindgebruiker duidelijke keuzes geeft over de privacy-instellingen. De Europese Commissie heeft aangegeven te verwachten dat dit er toe zal leiden dat de voorzieningen die nu al in de meest gangbare browsers zijn opgenomen (soms standaard, soms in de vorm van een zogenoemde add-on) makkelijker toegankelijk worden gemaakt. Hierdoor zouden eindgebruikers eenvoudiger hun browser kunnen gebruiken voor het beheren van cookies op hun eindapparaat. Ik deel deze verwachting van de Commissie en zie dit als een positieve ontwikkeling. Of het zal leiden tot minder pop-ups betwijfel ik echter. Ik verwacht namelijk dat indien een browser (door een daartoe strekkende instelling van de eindgebruiker) een bepaalde website geen mogelijkheid biedt om cookies te plaatsen, de eindgebruiker alsnog zal worden gevraagd (door bijvoorbeeld de website-aanbieder) of hij in dit geval toch cookies wil accepteren.

Kan de Minister, zo vragen de leden van de CDA-fractie, aangeven of het klopt dat de e-privacywetgeving in Nederland wordt gehandhaafd door de ACM en dat in de ePrivacy-verordening staat dat dit in de toekomst zal moeten gebeuren door de Autoriteit Persoonsgegevens. Zo ja, zo vragen de leden, wat zijn hiervan de effecten.

Zoals in de BNC-fiche (Kamerstuk 22 112, nr. 2306) is aangegeven, is in het voorstel van de Europese Commissie bepaald dat het toezicht op de ePrivacy-verordening moet worden uitgevoerd door het orgaan dat ook toezicht houdt op de AVG. Voor Nederland lijkt dit te betekenen dat het toezicht moet worden uitgeoefend door de Autoriteit Persoonsgegevens. Zoals eveneens in genoemde fiche is aangegeven kan Nederland zich op dit punt niet vinden in het voorstel en heeft het de voorkeur om het toezicht bij de Autoriteit Consument en Markt te houden.

In de raadswerkgroepen is op technisch niveau gebleken dat meerdere landen bezwaar hebben tegen de voorgestelde bepaling. Het Estse voorzitterschap heeft als compromis voorgesteld de genoemde regel alleen van toepassing te laten zijn op hoofdstuk II van de ePrivacy-verordening. In hoofdstuk II zijn onder meer het communicatiegeheim en de uitzonderingen daarop, alsmede het regime voor de verwerking van informatie op eindapparatuur opgenomen. Vooralsnog zijn echter binnen de raad nog geen definitieve besluiten genomen. Ik blijf me ervoor inzetten dat lidstaten zelf de toezichthouder kunnen aanwijzen.

Naar boven