Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 7 juni 2019

1. Inleiding

Technologie biedt geweldige kansen. De ontwikkelingen rond gezichts- en spraakherkenning, big data, geïntegreerde algoritmes en de steeds verdergaande koppeling van apparaten via het internet («internet of things») zorgen voor nieuwe applicaties die ons leven op tal van punten vergemakkelijken. Tegelijkertijd confronteren die ontwikkelingen ons ook met nieuwe risico’s. Door het toenemende gebruik en de koppeling van persoonlijke data, wordt het risico dat de privacy van individuele personen in het geding komt groter.

Tegen die achtergrond stelt het kabinet zich als doel dat burgers zich vrij en veilig voelen in een digitaliserende wereld. Om dit doel te bereiken moeten burgers, bedrijven en instellingen zich meer bewust worden van de risico’s op het gebied van privacy, zodat ze daar zelf beter rekening mee kunnen houden. Waar de privacy in het gedrang komt, moeten mensen meer mogelijkheden hebben om daar tegen op te treden. En waar nodig worden de normen voor privacybescherming door de overheid versterkt.

In deze brief staat de bescherming van horizontale privacy centraal.1 Dit sluit aan bij de ambitie van het kabinet om in te zetten op het beschermen van de privacy van burgers onderling.2

Met horizontale privacy wordt gedoeld op de privacy tussen burgers onderling en tussen burgers en bedrijven. Zij onderscheidt zich daarmee van de verticale privacy, die betrekking heeft op de relatie burger-overheid. De focus op de horizontale privacy betekent niet dat technologische ontwikkelingen niet ook gevolgen kunnen hebben voor de verticale privacy. Integendeel, die gevolgen krijgen dan ook aandacht in andere trajecten.3 De horizontale privacy is daarentegen een onderwerp dat onderbelicht is, terwijl de voortschrijding van de techniek wel om meer aandacht daarvoor vraagt.

Tegen die achtergrond heb ik toegezegd met een kabinetsvisie op de bescherming van horizontale privacy te komen.4 Met deze brief doe ik mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties deze toezegging gestand. In overeenstemming met de motie-Arno Rutte5 besteed ik in een bijlage bij deze brief ook aandacht aan de initiatiefnota «Onderlinge privacy» van het lid van uw Kamer Koopmans.6

2. Wat is het belang van bescherming van de horizontale privacy?

Het is mensen eigen om zich vrij en veilig te willen voelen en zich te gedragen zoals ze willen. Zich vrij en veilig te voelen in de informatie die zij delen, in de relaties die zij met anderen aangaan, in de wijze waarop met hun lichaam wordt omgegaan en in de wijze waarop zij zich binnen de eigen woning, maar ook daarbuiten gedragen. Het kabinet acht deze vrijheid en veiligheid essentieel om mensen zich te kunnen laten ontwikkelen, zoals zij zelf willen. Alleen in vrijheid kunnen mensen ten volle hun persoonlijke identiteit ontwikkelen. Met andere woorden: mensen behoeven een persoonlijke levenssfeer of «privacy» om dit te bereiken.

Privacy is naar het oordeel van het kabinet niet alleen van belang voor ieder mens afzonderlijk, maar ook voor de samenleving als geheel. De persoonlijke identiteit van mensen is belangrijk voor het ontwikkelen van een zelfstandig en sociaal actief burgerschap, dat op haar beurt weer de basis vormt voor een goed functionerende democratische rechtsstaat. De behoefte aan privacy vertaalt zich bovendien in sociale normen als het tonen van respect voor andermans levenssfeer. Dat is nodig voor een samenleving waarin burgers zich in harmonie met elkaar kunnen gedragen en ontwikkelen.

Het belang van privacy impliceert dat deze goed wordt beschermd. Dit belang is zo groot dat de bescherming daarvan een fundamenteel recht van ieder mens is, een grondrecht dat verankerd is in verschillende verdragen, in regelgeving van de Europese Unie, in onze Grondwet en in verscheidene wetten.

Het recht op privacy is een belangrijk grondrecht, maar is niet onbegrensd. Het recht op privacy van de ene burger kan op gespannen voet staan met een grondrecht van een andere burger. In dat geval moet de wetgever of de rechter zo nodig een afweging tussen beide rechten maken. Zo krijgt een journalist in het kader van de vrijheid van meningsuiting van de rechter in het algemeen veel ruimte om zijn werk te doen, ook als daardoor de privacy van personen over wie hij schrijft, in het geding is.

3. Technologische ontwikkelingen: kansen en risico’s voor de privacy

3.1 Kansen

De bescherming van de privacy vergt voortdurend onderhoud. Techniek kan daarbij helpen. Zo werd al aan het eind van de vorige eeuw het belang van Privacy Enhancing Technologies als pseudonimisering en encryptie erkend. Deze technieken hebben inmiddels een aanzienlijke bijdrage aan de bescherming van persoonsgegevens geleverd.

Denk verder aan computerprogramma’s waarmee privacyverklaringen van bedrijven met behulp van machine learning volledig geautomatiseerd kunnen worden geëvalueerd op de mate van naleving van de Algemene verordening gegevensbescherming (AVG). Zo’n programma kan bedrijven helpen hun privacyverklaringen te verbeteren, mensen ondersteunen bij het opkomen voor hun belangen en zowel consumentenorganisaties als toezichthouders eventueel aanzetten tot actie.7

Een ander voorbeeld is de ontwikkeling van zoekmachines die de privacy zoveel mogelijk beschermen. Zoals Startpage.com, een zoekmachine die geen persoonlijke data opslaat, geen gebruikersprofielen opbouwt en met behulp van «anonieme weergave» voorkomt dat je bekend raakt bij een website die je bezoekt.8

Het kabinet juicht dit soort ontwikkelingen toe. Niet alleen kunnen zij bijdragen aan bescherming van de privacy, maar zij laten ook goed zien dat technologische ontwikkelingen met betrekking tot dit terrein niet alleen risico’s, maar ook kansen bieden.

3.2 Risico’s

Technologische ontwikkelingen brengen voor de bescherming van de privacy als gezegd ook risico’s mee. Er zijn steeds meer manieren om persoonsgegevens te genereren, deze op te slaan en verder te verspreiden. De verwerking van dergelijke gegevens voor commerciële doeleinden is daardoor enorm gegroeid. Mensen weten vaak niet welke gegevens over hen worden verwerkt en met welk doel. Zij komen er meestal pas achter nadat op basis van een profiel een beslissing is genomen die hen in hun belang raakt, zoals het weigeren van een lening, verzekering of abonnement. Een ander risico is dat sommige gegevens of opgestelde profielen onjuist zijn, met mogelijk verstrekkende gevolgen voor mensen. Mensen verliezen op deze wijze steeds meer het overzicht en de zeggenschap over hun gegevens en daarmee over de keuzes in hun leven.9

Bij grote techbedrijven die een dominante positie innemen, speelt bovendien dat zij deze positie kunnen gebruiken om minder bescherming van persoonsgegevens te bieden, met name wanneer dataverzameling een belangrijk onderdeel van het verdienmodel vormt. Gebruikers hebben dan geen alternatieve aanbieder om naar over te stappen als zij de gegevensbescherming die het dominante bedrijf biedt, te gering vinden.

Risico’s voor de bescherming van de privacy doen zich niet alleen in de relatie tussen burgers en bedrijven voor. Zij doen zich ook voor in de relatie tussen burgers onderling. Denk aan het gebruik van internet voor naming and shaming of het plaatsen van (seksueel) beeldmateriaal om de afgebeelde persoon in een compromitterende situatie te brengen. Of aan het gebruik van gezichtsherkenning om facial profiles aan te maken waarmee bijvoorbeeld mensen met een hoog IQ, witte-boorden-criminelen of terroristen zouden kunnen worden gedetecteerd.10

Verder zien we een toenemend gebruik van camera’s op smartphones om verkeersslachtoffers en andere personen in hulpbehoevende toestand te fotograferen of te filmen. Ook worden soms zeer kleine, verborgen camera’s gebruikt om intieme beelden te maken11 of camera’s aan drones waarmee mensen worden gefilmd op plaatsen waar zij dat niet verwachten. Een techniek die onze privacy ook kan raken, is locatietracking, waarmee kan worden vastgelegd wat bijvoorbeeld de gebruiker van een smartphone dagelijks doet. Dat kunnen activiteiten zijn waarvan die persoon liever niet wil dat die bij anderen bekend worden. De combinatie van technieken kan de risico’s nog groter maken: opnamen met een «spycamera» die met behulp van gezichtsherkenning en locatietracking aan namen en plaatsen worden gekoppeld en vervolgens op internet worden verspreid.

Risico’s voor de privacy doen zich ook voor bij de opmars van «internet of things» (IoT), het verschijnsel dat allerlei apparaten en andere voorwerpen, variërend van smart-TV’s tot speelgoedpoppen en spraakconsoles, met internet zijn verbonden. Zo wees onderzoek uit dat bepaald speelgoed kan worden gebruikt om gesprekken af te luisteren en kinderen met gerichte reclame te bestoken.12

Met betrekking tot DNA zien we – tot slot – dat commerciële analysebureaus in opkomst zijn die aan de hand van DNA kunnen helpen nieuwe familieleden te vinden en etnische oorsprong te ontdekken, maar ook om informatie te krijgen over genetische aanleg voor verschillende aandoeningen.13 Het feit dat het hierbij om zeer gevoelige gegevens kan gaan, zoals informatie over een verhoogde kans op bepaalde erfelijke ziektes, verhoogt het risico van een inbreuk op de privacy van niet alleen de aanvrager, maar ook die van zijn verwanten.

4. Rollen en verantwoordelijkheden

Privacy gaat ons allemaal aan. En ook de taak om die privacy te beschermen komt ons allemaal toe. Individuele burgers hebben daar zelf een belangrijk aandeel in. Bedrijven hebben een verantwoordelijkheid om zorgvuldig met gegevens om te gaan. En de overheid speelt een normerende en handhavende rol.

4.1 Rol en verantwoordelijkheid van de burger

In een samenleving waarin technologische ontwikkelingen een toenemend risico van schending van de privacy meebrengen, is meer dan ooit van belang dat burgers de privacy van hun medeburgers respecteren. Nu het door deze ontwikkelingen steeds gemakkelijker wordt om alles van iedereen te weten te komen, is het des te belangrijker dat burgers zich beperken in wat zij van anderen willen weten. Omgekeerd geldt dat zij niet willen dat anderen alles van hen weten. Het gaat hier bovenal om een sociale norm, die eraan bijdraagt dat mensen in harmonie met elkaar kunnen leven.

Van belang is verder dat het tussen burgers onderling om verschillende typen relaties kan gaan: werkgever-werknemer, ouder-kind enz. Al deze relaties kennen hun eigen machts- en sociale verhoudingen met als gevolg verschillen in de sociale en juridische normen die van toepassing zijn. Hetzelfde geldt met betrekking tot de relatie die burgers tot bedrijven en overheden hebben.

Welk type relatie het ook betreft, burgers hebben ook een rol en verantwoordelijkheid in het beschermen van hun eigen privacy. Die verantwoordelijkheid begint al met na te denken over welke gegevens je wel of niet wil delen. Verder kan iemand zijn persoonsgegevens beschermen door gebruik te maken van de rechten die de AVG hem daartoe geeft, zoals het recht op inzage, op correctie en op vergetelheid.14 Ook kan hij bij een overtreding van de AVG eventueel een klacht bij de Autoriteit persoonsgegevens indienen. Daarnaast kan hij een beroep doen op het civiele recht om zijn privacy te beschermen of kan hij bij een eventuele strafrechtelijke overtreding van een privacynorm aangifte doen bij de politie.

4.2 Rol en verantwoordelijkheid van het bedrijfsleven

Ook voor bedrijven geldt dat zij de privacy van burgers moeten respecteren. De sociale norm is hier die van verantwoord ondernemerschap, die kan bijdragen aan een bestendige, langdurige relatie met hun klanten.

Verder geldt ook hier dat de relatie tussen een bedrijf en een burger kan verschillen. Tussen een kleine winkelier die in een vertrouwde, persoonlijke relatie tot zijn klanten uit de wijk staat en een groot techbedrijf dat met data van miljoenen burgers in een onpersoonlijke en daarmee niet op voorhand vertrouwde relatie tot die burgers staat, bestaat een groot verschil.

Het bedrijfsleven kan bij de bescherming van de privacy een belangrijke rol vervullen met onder meer het instrument van zelfregulering, zoals gedragscodes, certificering en bindende bedrijfsvoorschriften.15 Voor een praktische invulling van voorschriften uit de AVG kan verder worden gedacht aan het opstellen van privacyverklaringen of het ontwikkelen van dashboards waarop betrokken consumenten hun privacy-instellingen kunnen aanpassen.

4.3 Rol en verantwoordelijkheid van de overheid

Grondrechten verplichten de overheid geen inbreuken te maken op de rechten van burgers. Grondrechten kunnen ook een positieve verplichting voor de overheid met zich brengen: om ervoor te zorgen dat de grondrechten effectief gerespecteerd worden, is actief handelen van de overheid nodig om een recht daadwerkelijk te realiseren. De overheid moet zich dus niet alleen onthouden van inbreuken op iemands privé, familie- en gezinsleven, maar in bepaalde gevallen moet de overheid actief optreden om te zorgen dat een (rechts)persoon geen inbreuk maakt op het grondrecht van de andere persoon. Zij vult deze taak in met voorlichting, onderwijs, wetgeving, toezicht en handhaving.

De voorlichtende rol van de overheid met betrekking tot de AVG ligt primair bij de Autoriteit persoonsgegevens (AP). Daarnaast zijn er ministeries die specifiek op hun terrein voorlichting over geven de AVG.

Bescherming van de privacy vergt ook aandacht in het onderwijs. In het huidige onderwijscurriculum wordt vooral onder de noemers «sociale veiligheid», «mediawijsheid» en «Informatiebeveiliging en privacy (IBP)» aandacht besteed aan privacybewustzijn op school en de ontwikkeling van privacyvaardigheden van leerlingen.

Het instrument van wetgeving komt in beeld bij: 1) het verbieden van gedragingen die een schending van de privacy opleveren (zoals het heimelijk filmen van mensen), 2) het verschaffen van rechten aan mensen om hun privacy te kunnen beschermen (zoals het recht om hun persoonsgegevens in te zien) en 3) het opleggen van verplichtingen aan personen en organisaties om de privacy te beschermen (zoals de verplichting om betrokkenen te informeren over het feit dat hun persoonsgegevens worden verwerkt).

Het toezicht op naleving van voorschriften uit de AVG en daarop gebaseerde Nederlandse wetgeving is neergelegd bij de AP. De Autoriteit Consument en Markt houdt toezicht op naleving van andere regelgeving die – direct of indirect – de bescherming van de privacy dient. Te denken valt aan het telecommunicatierecht en het consumentenrecht.

De Politie en het OM hebben een handhavende rol bij overtreding van strafrechtelijke wetsbepalingen op het terrein van privacybescherming. Denk aan het heimelijk filmen of opnemen van gesprekken, huisvredebreuk, computervredebreuk en stalking.

5. Agenda horizontale privacy

Burgers moeten zich vrij en veilig kunnen voelen in een digitaliserende wereld, waarin technologische ontwikkelingen niet alleen kansen bieden, maar ook risico’s meebrengen voor hun privacy en individuele vrijheid en veiligheid.

5.1 Vergroting privacybewustzijn

Privacybescherming begint ermee dat iemand zich bewust is van de risico’s die zijn handelen voor de privacy van een ander of die van hemzelf heeft. Vergroting van dat bewustzijn kan er in belangrijke mate aan bijdragen dat iemand beter gaat nadenken alvorens hij in de vorm van beeld of tekst informatie over zichzelf of over een ander vastlegt en met anderen deelt. Het kan om informatie gaan waarvan hijzelf of die ander liever niet heeft dat deze nog verder verspreid wordt. Tegen deze achtergrond neemt het kabinet een aantal maatregelen om het privacybewustzijn te vergroten.

Voorlichting

Vergroting van het privacybewustzijn kan worden bereikt door goede voorlichting. Het kabinet zal daarom in het voorjaar van 2020 een grote publiekscampagne starten die burgers meer bewust moet maken van de privacyrisico’s bij het gebruik van bijvoorbeeld digitale applicaties. Het is belangrijk dat mensen meer bewust worden van de gevolgen die het delen van persoonlijke data met zich meebrengt. Gedacht wordt aan een campagne die in ieder geval online wordt uitgevoerd, via social media en mogelijk ook op radio en televisie.

In aanvulling op de voorlichting die de AP al over de AVG geeft, is zij vanaf 25 mei van dit jaar daarover voorlichting gaan geven die specifiek voor het MKB bestemd is. Daarnaast geeft de AVG helpdesk Zorg, Welzijn en Sport van het Ministerie van VWS voorlichting over de AVG aan organisaties op deze terreinen.

Verder heeft het kabinet het project «de Maatschappelijke Dialoog» ontwikkeld. Onder regie van BZK gaan burgers, ondernemers, medeoverheden, toezichthouders en wetenschappers met elkaar in gesprek over grondrechten en publieke waarden bij de ontwikkeling van nieuwe technologie. Privacybescherming is hiervan een belangrijk onderdeel.

Er wordt een webportaal voor burgers en bedrijven ontwikkeld waarop ook voorlichting zal worden gegeven (zie hierna bij «Privacywijzer voor burgers en bedrijven).

Herziening onderwijscurriculum

Kinderen raken op steeds jongere leeftijd in aanraking met social media. Het is daarom wenselijk kinderen al op jonge leeftijd te leren verantwoord met social media om te gaan. Met het oog daarop is van belang dat het curriculum voor het primair en voortgezet onderwijs op dit moment integraal wordt herzien.16 Een veilige en verantwoorde omgang met sociale media zal daarbij een belangrijk onderwerp zijn binnen het leergebied «Digitale geletterdheid». Daarbinnen wordt ook aandacht besteed aan het bewust en kritisch omgaan met de mogelijkheden van digitaal communiceren en publiceren. De resultaten van de ontwikkelteams die het nieuwe onderwijscurriculum voorbereiden, worden kort na de zomer van 2019 opgeleverd.

5.2. Vergroting handelingsperspectief

Burgers hebben instrumenten nodig om hun privacy te beschermen en zich tegen privacyschendingen te kunnen verweren. Daarnaast hebben bedrijven instrumenten nodig om de privacyregelgeving te kunnen naleven. Het kabinet neemt daartoe de volgende maatregelen.

Privacywijzer voor burgers en bedrijven

Het Platform voor de Informatiesamenleving ECP ontwikkelt op verzoek van het Ministerie van JenV een webportaal (de Privacywijzer) met praktische handreikingen die mensen helpen bij het uitoefenen van hun rechten die zij op basis van de AVG hebben. Het gaat dan bijvoorbeeld om inzageverzoeken of zogeheten vergetelheidsverzoeken om de persoonsgegevens die in het bezit zijn van bedrijven te wissen.

Bedrijven kunnen op het hetzelfde portaal hulpmiddelen vinden om bijvoorbeeld een privacyverklaring op te stellen. Ook kunnen zij daarop voorbeelden laten zien van hoe zij toestemming vragen om persoonsgegevens te mogen gebruiken. Op die manier kan op deze punten een zekere standaardisering ontstaan, zoals in de initiatiefnota «Onderlinge privacy» en een gewijzigde motie Van Nispen is bepleit, terwijl ook rekening kan worden gehouden met de verschillen tussen bedrijven in omvang, functies en businessmodel.17

De Privacywijzer voor burgers en bedrijven is medio 2019 gereed.

Laagdrempelige voorziening om privacyschendend beeldmateriaal van internet te verwijderen

Het kabinet wil een gebruiksvriendelijke voorziening voor burgers om beeldmateriaal op internet – dat tot hem of haar te herleiden is maar zonder toestemming is geplaatst – op een snelle wijze te laten verwijderen. Voorbeelden waarin zo’n voorziening uitkomst kan bieden, zijn online pesten, stalking, bedreiging, wraakporno, het posten van (seksueel getinte) privé opnames en slut shaming (anderen voor slet uitmaken).

Ik laat met mijn ambtgenoot van Justitie en Veiligheid een haalbaarheidsstudie uitvoeren naar een dergelijke voorziening. In die studie wordt onderzocht hoe een dergelijke voorziening er precies uit kan zien, of deze taak kan worden neergelegd bij de rechterlijke macht of bij een reeds bestaande toezichthouder en hoe de kosten die ermee zijn gemoeid zoveel mogelijk kunnen worden beperkt. Deze studie wordt nog in deze kabinetsperiode afgerond en voorzien van een reactie. Dit zal, afhankelijk van de uitkomst van de haalbaarheidsstudie, tot de invoering van zo’n voorziening leiden.

Daarmee komt het kabinet tegemoet aan het voorstel uit de initiatiefnota «Onderlinge privacy» om slachtoffers van evidente privacyschendingen een spoedprocedure te bieden om de schadelijke content van internet te verwijderen, naar analogie van het zogeheten ex parte-verbod uit het intellectuele eigendomsrecht.18 Met een dergelijke voorziening wordt ook uitvoering gegeven aan de motie Van Nispen waarin de regering wordt verzocht een voorstel uit te werken voor een snelle, laagdrempelige procedure om privacyschendingen op internet snel te beëindigen en slachtoffers beter te ondersteunen.19

Verbetering collectieve procedures

Bij de verwerking van persoonsgegevens in een big-data-toepassing kan er sprake zijn van een schending van de privacy van een grote groep mensen. Om een dergelijk collectief belang beter te kunnen behartigen, vindt het kabinet het wenselijk de mogelijkheden van het voeren van een collectieve actie te verbeteren.

Op dit moment onderzoekt de Tilburg University op verzoek van het Ministerie van JenV hoe deze mogelijkheden kunnen worden uitgebreid door bijvoorbeeld de wetgeving op dat punt aan te passen. Met dit onderzoek wordt ook uitvoering gegeven aan de motie Buitenweg waarin de regering met het oog op de effecten van dataverwerkingsprojecten op de samenleving is verzocht om mogelijkheden voor het verruimen van collectieve procedures bij de rechter te onderzoeken en de Kamer hierover te informeren.20 Het kabinet informeert de Kamer voor het eind van het jaar over de conclusies die aan het onderzoeksrapport zullen worden verbonden, en over eventuele wetgeving die daarop zal volgen. Daarbij wordt ook de recent aangenomen Wet afwikkeling massaschade in collectieve actie (Stb. 2019, 130) betrokken. In dit verband wordt verder gekeken naar een Duits voorbeeld ter versterking van de handhavingsmogelijkheden voor consumentenorganisaties en kamers van koophandel om tegen schendingen van voorschriften uit het gegevensbeschermingsrecht te kunnen optreden.21

5.3 Versterking normering

Tot slot moeten de normen waarmee privacy wordt beschermd, een adequaat niveau van bescherming bieden. Hierbij moet in voldoende mate rekening worden gehouden met de risico’s die sommige technologische ontwikkelingen meebrengen. Met het oog daarop wil het kabinet de volgende maatregelen treffen.

Strafbaarstelling wraakporno

Mede ter uitvoering van het regeerakkoord22 wil het kabinet misbruik van seksueel beeldmateriaal (wraakporno) zelfstandig strafbaar stellen en heeft het hiervoor een wetsvoorstel bij de Tweede Kamer ingediend.23 De reden daarvan is dat wraakporno een ernstige aantasting van de privacy kan opleveren. Strafbaarstelling draagt bij aan een eenduidige strafrechtelijke aanpak en zorgt voor erkenning van leed dat slachtoffers wordt aangedaan. Van specifieke strafbaarstelling gaat tevens het signaal uit aan (potentiële) daders dat dit type gedrag niet acceptabel is.

Aanpak filmen van verkeersslachtoffers en andere hulpbehoevenden

Het fotograferen of filmen van verkeersslachtoffers en andere personen in hulpbehoevende toestand grijpt diep in op de privacy van betrokkenen en hun naasten en is dan ook verwerpelijk. Ik zie het initiatiefwetsvoorstel tegemoet dat het lid Van Toorenburg heeft aangekondigd om publicatie van beeldmateriaal van (verkeers)slachtoffers strafbaar te stellen.

Vooruitlopend op het initiatiefwetsvoorstel zal een publiekscampagne van start gaan om mensen op hun verantwoordelijkheid aan te spreken en de consequenties van hun handelen te laten inzien. Zo wordt publiekelijk de norm nog eens extra onderstreept. Voor het opzetten van de campagne zal gebruik worden gemaakt van de resultaten van enquêtes die het Rode Kruis en de politie hebben uitgezet onder hulpverleners over hun ervaringen met het filmen van (verkeers)slachtoffers.24

Aanscherping AVG in relatie tot de datamacht grote techbedrijven en profilering

De AVG legt aan grote techbedrijven die persoonsgegevens verwerken, verplichtingen op om die gegevens goed te beschermen. Dergelijke bedrijven zijn in staat om, ook als zij in overeenstemming met de AVG handelen, zeer veel persoonsgegevens over individuen te verzamelen. Het kabinet onderzoekt of de wettelijke eisen in de AVG ten aanzien van deze bedrijven kunnen worden aangescherpt om de hoeveelheden gegevens die zij over personen verwerken te beteugelen. Het wil daarnaast wettelijke voorschriften die specifieker zijn dan die in de AVG om risico’s van profilering tegen te gaan. Daarbij moet gedacht worden aan risico’s dat personen op basis van een profiel van (het aanbieden van) producten en diensten worden uitgesloten of daarvoor hogere prijzen moeten betalen, zonder dat daarvoor een terechte grond bestaat. Het kabinet zal dit onderdeel laten zijn van de evaluatie van de AVG, die in mei 2020 moet zijn afgerond.

Mededingingsbeleid in relatie tot online platforms

Naast privacyregelgeving kan ook mededingingsregelgeving soelaas bieden als het gaat om privacy-inbreuken die het gevolg zijn van uit de hand gelopen machtsposities van bepaalde bedrijven. In Europees verband bepleit de Staatssecretaris van EZK op korte termijn om de Europese richtsnoeren die de mededingingsregels uitleggen, beter toepasbaar te maken voor online platforms.25 Daarbij kan worden overwogen om in die richtsnoeren vast te leggen op welke manier misbruik van een machtspositie, door bijvoorbeeld een groot techbedrijf mede gebaseerd kan worden op privacy of data. Hierbij zal onder andere worden gekeken naar een recente uitspraak van het Bundeskartellamt dat oordeelde dat Facebook misbruik maakt van zijn machtspositie door de data die het bedrijf verzamelt

Inventarisatie risico’s nieuwe technologische ontwikkelingen

Het kabinet acht het wenselijk om in de toekomst bij nieuwe technologische ontwikkelingen in een veel vroeger stadium dan nu het geval is systematisch na te denken over de risico’s die deze technieken voor de privacy hebben. Zo kunnen tijdig maatregelen worden ontwikkeld om risico’s te mitigeren. Om te beginnen zal onderzoek worden gedaan naar de risico’s van gezichtsherkenningstechnologie en commercieel DNA-gebruik.

Vanwege de snelle opmars van het gebruik van gezichtsherkenningstechnologie moet er beter zicht komen op de risico’s die deze technologie voor de privacy heeft, en welke maatregelen getroffen kunnen worden om deze risico’s te beperken. Aan de hand van gezichtsherkenningstechnologie is het ook voor particulieren in de toekomst mogelijk om iemand razendsnel te identificeren. Ik laat om die reden door de Tilburg University een verkenning uitvoeren. Dit onderzoek is naar verwachting eind dit jaar gereed.

Bij gebruik van DNA-materiaal doet zich de bijzondere omstandigheid voor dat het om persoonsgegevens gaat die op meer dan één persoon betrekking hebben, namelijk ook op de directe verwanten van degene die toestemming voor het gebruik daarvan heeft gegeven. Dat betekent dat DNA-identificatie door één persoon ook gegevens bloot kan leggen over personen die daar niet om hebben gevraagd en dit ook niet wensen. In het licht van de bijzondere risico’s die dit voor de privacy van betrokkenen meebrengt, acht ik het wenselijk deze risico’s bij commercieel gebruik van DNA te beperken en te onderzoeken hoe dat kan. Ik verwacht u tegen het eind van het jaar daarover te kunnen informeren.

Beteugeling spyware

Daarnaast wil het kabinet voor de aanpak van privacyschendingen door drones de mogelijkheden bezien die de komende Europese verordening over drones biedt om een aspect als privacy te laten meewegen voor het instellen van zones waarbinnen drones wel of niet mogen worden gebruikt.28

Privacywaarborgen smart cities

Bij de verdere ontwikkeling van smart cities moeten voldoende waarborgen worden getroffen om de privacy te beschermen. Met het oog daarop is van belang dat onder regie van BZK en in samenwerking met de VNG bij een aantal grote gemeenten pilots worden uitgevoerd om tot normen voor de inrichting van smart cities te komen.29 Daarnaast wordt gewerkt aan een «Code goed digitaal openbaar bestuur», waarin beginselen van deugdelijk digitaal overheidsbestuur zijn vastgelegd die organisaties in het openbaar bestuur in gedragsregels moeten uitwerken. Deze code, die in de tweede helft van 2019 gereed is, zal mede van belang zijn voor bescherming van de privacy bij de verdere ontwikkeling van smart cities en de relatie met burgers en bedrijven binnen dat concept.

Minimumveiligheidseisen IoT-apparaten

De koppeling van apparaten via het internet (IoT) biedt ongekende mogelijkheden. Maar als de beveiliging niet goed is geregeld, kan het ook ernstige inbreuken op de privacy veroorzaken. Als onderdeel van de «Roadmap Digitaal Veilige Hard- en Software» wordt op initiatief van Nederland in EU-verband onderzocht welke minimumveiligheidseisen gesteld kunnen worden aan IoT-apparaten, zoals smart watches en interactief speelgoed. Door middel van de Radio Equipment Directive (RED) kunnen onveilige apparaten, die bijvoorbeeld voor ongewilde kennisneming van spraakcommando’s zorgen, van de markt worden geweerd.30

Versterking Autoriteit persoonsgegevens

Normering kan niet zonder goed toezicht en handhaving, zoals het opleggen van boetes. In het kader van die toezichts- en handhavingstaken is met de komst van de AVG het budget van de Autoriteit persoonsgegevens (AP) bijna verdubbeld: aan het budget is vanaf 2018 structureel € 5 miljoen toegevoegd en vanaf 2019 nog eens structureel € 2 miljoen. In de Voorjaarsnota is een verdere structurele verhoging van het budget met € 3,4 miljoen opgenomen. Het voor de AP beschikbare budget komt daarmee in 2019 op € 18,5 miljoen. Dit komt het toezicht op de bescherming van persoonsgegevens ten goede.

6. Slot

De «Agenda horizontale privacy» bevat maatregelen en acties die naar het oordeel van het kabinet nu het meest urgent zijn. In de nabije toekomst zullen nieuwe onderwerpen opkomen. Die worden dan aan deze agenda toegevoegd. De agenda groeit dus met de actualiteit.

In dat verband blijven we in nauw contact met vertegenwoordigers van de wetenschap, het bedrijfsleven en organisaties die het privacybelang behartigen, en volgen we evenzeer nauwgezet de toekomstige technologische ontwikkelingen.

Ik informeer uw Kamer voor de zomer van 2020 over de uitvoering van deze agenda of zoveel eerder als dat met betrekking tot een specifiek onderwerp is aangekondigd.

De Minister voor Rechtsbescherming, S. Dekker