Aan de voorzitters van de vaste commissies voor:

• – Immigratie en Asiel / JBZ-Raad

• – Justitie en Veiligheid

• – Economische Zaken en Klimaat/Landbouw, Natuur en Voedselkwaliteit

Brussel, 9 februari 2018

De Commissie dankt de Eerste Kamer voor haar tweede advies over het voorstel voor een verordening van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie {COM(2017) 10 final}.

De Commissie stelt de vragen en opmerkingen van de Eerste Kamer op prijs en geeft graag aanvullende toelichting.

In haar advies stelt de Eerste Kamer vragen in verband met de verwerking van elektronische-communicatiemetagegevens, en in het bijzonder de verwerking op grond van artikel 6, lid 2, onder c), van het voorstel. De Commissie herinnert eraan dat artikel 6, lid 2, onder c), van het voorstel de verwerking van elektronische communicatiemetagegevens toestaat indien de betrokken eindgebruiker zijn toestemming heeft gegeven voor de verwerking voor een of, meer specifieke doeleinden, inclusief voor het verstrekken van bepaalde diensten aan deze eindgebruikers. Elektronische communicatiediensten mogen met de toestemming van de eindgebruiker elektronische communicatiemetagegevens verwerken voor het verstrekken van bepaalde diensten aan de eindgebruiker, zoals diensten voor de bescherming tegen frauduleuze activiteiten (waarbij gebruiksgegevens, de locatie en de klantenrekening in realtime worden geanalyseerd). Dit is ook toegestaan op grond van de artikelen 6 en 9 van Richtlijn 2002/58/EG2. Anders dan krachtens de huidige richtlijn liet geval is, is het op grond van het voorstel ook toegestaan om met de toestemming van de eindgebruiker elektronische-communicatiemetagegevens te verwerken voor andere doeleinden, d. w. z. voor diensten die niet op de eindgebruiker zijn gericht. Een voorbeeld van zo ‘n ander doeleinde is de ontwikkeling van heatmaps door elektronische-communicatiediensten. Heatmaps geven de verplaatsingen van personen weer en dit kan, bijvoorbeeld, de overheid helpen bij de verbetering van infrastructuur. De verwerking moet plaatsvinden overeenkomstig de beginselen van de algemene verordening gegevensbescherming3,met inbegrip van het beginsel van doelbinding van artikel 5, lid 1, onder b). Dit betekent dat het verwerkingsdoeleinde waarvoor de elektronische-communicatiedienst toestemming kan krijgen, precies moet worden omschreven.

De Eerste Kamer stelt in haar advies de vraag of elektronische communicatiemetagegevens zouden mogen worden verwerkt zonder de toestemming van de eindgebruiker. Artikel 6, lid 1, en artikel 6, lid 2, onder a) en b), van het voorstel specificeren de gevallen waarin verwerking van elektronische communicatiemetagegevens zonder toestemming van de eindgebruiker is toegestaan, namelijk wanneer dit noodzakelijk is om de transmissie van de communicatie tot stand te brengen; om de veiligheid van elektronische-communicatienetwerken en diensten in stand te houden of te herstellen, of technische storingen en/of fouten in de transmissie van elektronische communicatie op te sporen; om te voldoen aan dwingende eisen inzake kwaliteit van de dienstverlening,» of wanneer dit noodzakelijk is ten behoeve van de facturering, de berekening van interconnectiebetalingen, de opsporing of de beëindiging van frauduleus of onrechtmatig gebruik van of inschrijving op elektronische communicatiediensten.

De Eerste Kamer vraagt ook of eindgebruikers die geen toestemming verlenen geen of minder toegang krijgen tot de diensten. In dat verband verwijst de Commissie naar de algemene verordening gegevensbescherming. Of een eindgebruiker (volledige) toegang krijgt tot een dienst indien hij of zij geen toestemming verleent voor de verwerking van communicatiemetagegevens, volgt uit de definitie van «toestemming» in de algemene verordening gegevensbescherming. Artikel 4, punt 11, van de verordening definieert «toestemming» als volgt: elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt«. In overweging 42 van de verordening staat bovendien dat «[t]oestemming [..] niet [mag] worden geacht vrijelijk te zijn verleend indien de betrokkene geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen.» Daartoe zal elk geval afzonderlijk moeten worden beoordeeld, op basis van de betrokken feiten. Overweging 18 stelt dienaangaande dat «[e]en basistoegang tot breedbandinternet en spraakcommunicatiediensten moeten worden beschouwd als essentiële diensten waarmee particulieren kunnen communiceren en deelnemen aan de voordelen van de digitale economie.» De Groep artikel 29 en het toekomstig Europees Comité voor gegevensbescherming zullen voor verdere aanwijzingen zorgen op dit gebied.

De Eerste Kamer verwijst in haar advies naar het onderscheid dat het voorstel maakt tussen de rechtmatigheidsgronden voor de verwerking van elektronische-communicatie inhoud en die van elektronische-communicatiemetagegevens. De Eerste Kamer stelt dat de verwerking van elektronische-communicatie-inhoud alleen rechtmatig is als de eindgebruiker zijn toestemming geeft, terwijl voor de verwerking van elektronische communicatiemetagegevens ook andere rechtmatigheidsgronden bestaan. In dat verband vraagt zij hoe een gelijk niveau van privacybescherming voor de beide categorieën wordt gegarandeerd.

De Commissie merkt op dat op grond van artikel 6, lid 1, van het voorstel communicatiemetagegevens en communicatie-inhoud zonder de toestemming van de eindgebruiker kunnen worden verwerkt voor de specifieke doeleinden die in dat artikel worden genoemd.

De Commissie is het eens met de Eerste Kamer dat elektronische communicatiemetagegevens privacygevoelig kunnen zijn. Deze gegevens kunnen informatie onthullen over de dagelijkse gewoonten van personen, hun permanente of tijdelijke verblijfplaats, hun dagelijkse of andere verplaatsingen, de activiteiten die zij uitoefenen, hun sociale relaties en de sociale kringen waarin zij verkeren.4

Naast de toegestane verwerking van elektronische-communicatiegegevens op grond van artikel 6, lid 1, is verwerking van elektronische-communicatiemetagegevens zonder toestemming van de eindgebruiker op grond van artikel 6, lid 2, van het voorstel uitsluitend toegestaan voor doeleinden die verband houden met het verstrekken van de dienst, om aan de eisen inzake kwaliteit van de dienstverlening te voldoen en ten behoeve van de facturering. Het wordt vanuit technisch oogpunt niet nodig geacht elektronische communicatie-inhoud te verwerken voor deze doeleinden. Hoewel er inderdaad een onderscheid wordt gemaakt tussen de toegestane verwerking van elektronische-communicatiemetagegevens en elektronische-communicatie-inhoud, vindt de Commissie niet dat dit leidt tot een ongelijk niveau van privacybescherming, aangezien het beginsel van minimale gegevensverwerking van artikel 5, lid 1, onder c), van de algemene verordening gegevensbescherming in acht wordt genomen.

De Eerste Kamer stelt dat de informatieplicht niet altijd wordt nagekomen en zou graag weten welke maatregelen de Commissie zal nemen om ervoor te zorgen dal de eindgebruikers naar behoren worden geïnformeerd. Dienaangaande herinnert de Commissie eraan dat, onverminderd de bevoegdheden van de Commissie als hoedster van de Verdragen, het toezicht op en de handhaving van de wetgeving inzake gegevensbescherming en e-privacy onder de bevoegdheid van de nationale autoriteiten vallen.

Tot slot wijst de Eerste Kamer de Commissie op de aanbevelingen van de Europese toezichthouder voor gegevensbescherming van 5 oktober 2017 en vraagt zij hoe de Commissie daartegenover staat. De Commissie heeft nota genomen van de aanbevelingen. Zij is het eens met de Europese toezichthouder voor gegevensbescherming dat de rechtszekerheid moet worden gegarandeerd en een hoog niveau van bescherming van de grondrechten inzake privacy en gegevensbescherming moet worden verzekerd. Tegelijkertijd acht de Commissie het belangrijk een juist evenwicht te vinden en alle betrokken belangen in aanmerking te nemen. De Commissie is het ermee eens dat het voorstel niet tot een lagere bescherming mag leiden dan die welke de algemene verordening gegevensbescherming natuurlijke personen biedt. De Commissie zal het Europees Parlement en de Raad tijdens de wetgevingsproces in kennis stellen van deze aanbevelingen.

De Commissie hoopt dat zij niet deze toelichting voldoende is ingegaan op de door de Eerste Kamer aan de orde gestelde punten en kijkt ernaar uit de politieke dialoog in de toekomst voort te zetten.

Eerste vice-voorzitter, F.C.G.M. Timmermansl

Lid van de Commissie, M.I. Gabrie