De Minister voor Rechtsbescherming,
Sander Dekker
Antwoorden Kmervragen van de leden Middendorp en Van Gent (beiden VVD) aan de Minister voor Rechtsbescherming over een mogelijk cookiewall-verbod (nr. 2019Z18899, ingezonden 4 oktober 2019)
Vraag 1
Herinnert u zich de antwoorden op de vragen van de leden Middendorp en
Van Gent over een mogelijk cookiewall-verbod? 1)
Antwoord op vraag 1
Ja, ik herinner me die antwoorden.
Vraag 2
Wanneer is, als het gaat om websites en “tracking cookies”,
sprake van “vrijelijk gegeven toestemming”? Is door de verwijzing in de
Telecommunicatiewet (Tw) naar de Algemene verordening
gegevensbescherming (AVG) de inhoud van dit begrip “vrijelijk gegeven
toestemming” veranderd of wordt dat nu anders geïnterpreteerd?
Antwoord op vraag 2
Volgens artikel 4, lid 11, van de AVG dient de toestemming “vrijelijk
gegeven” te zijn. Als algemene regel van de AVG geldt daarbij dat de
bezoeker een werkelijke keuze moet hebben gehad, zich niet gedwongen moet
voelen toestemming te geven of geen negatieve gevolgen zal ondervinden als
hij niet instemt. Dit geldt evengoed voor websites en zogenaamde tracking cookies: bezoekers dienen daadwerkelijk de keuze te
hebben gehad om te weigeren. Nu in artikel 11.7a van de Tw verwezen wordt
naar de AVG, is het begrip “toestemming” in de Tw gelijk aan het begrip
“toestemming” zoals dat gedefinieerd is in de AVG. De inhoud van het begrip
“vrijelijk gegeven toestemming” is derhalve niet gewijzigd, noch wordt het
anders geïnterpreteerd dan onder de AVG.
Vraag 3
Deelt u de mening dat – gelet op het antwoord op vraag 3 van
bovengenoemde vragenset waarin wordt gesteld dat bij de beoordeling of
de toestemming vrijelijk is ten “sterkste rekening moet worden gehouden
met de vraag of voor de uitvoering van een overeenkomst (…) toestemming
is vereist voor een verwerking van persoonsgegevens die niet
noodzakelijk zijn voor de uitvoering van de overeenkomst” – alles waar
in de overeenkomst toestemming voor wordt gevraagd onderdeel is van de
overeenkomst?
Antwoord op vraag 3
Zoals in voornoemde vragenset is aangegeven moet toestemming vrijelijk zijn
gegeven en dient onder meer te voldoen aan de eis van artikel 7, lid 4, van
de AVG, die ziet op de specifieke situatie van het opnemen van toestemming
in contracten of dienstverlening. Rechtsgeldige toestemming kan alleen
worden verkregen voor de verwerking van persoonsgegevens die nodig zijn
voor de uitvoering van de overeenkomst, oftewel om de eindgebruiker de met
hem overeengekomen dienst te leveren. Wanneer dat niet het geval is, dit
wil zeggen, wanneer de gevraagde gegevensverwerking niet noodzakelijk is om
de dienst waar de eindgebruiker om vraagt te leveren, kan dit betekenen dat
de toestemming geacht wordt niet vrijelijk te zijn gegeven.
Vraag 4
Op basis waarvan heeft dit “rekening houden” geresulteerd in een
verbod? Kan het zijn dat door meer rekening te houden met het recht van
vrijheid van ondernemerschap (zoals in het Verenigd Koninkrijk
gebruikt), de balans zou doorslaan naar het toestaan van cookiewalls?
Antwoord op vraag 4
Artikel 7, lid 4, van de AVG geeft aan dat “ten sterkste rekening moet
worden gehouden met de vraag of voor de uitvoering van een overeenkomst (…)
toestemming is vereist voor een verwerking van persoonsgegevens die niet
noodzakelijk zijn voor de uitvoering van de overeenkomst”. De formulering
van deze wettelijke bepaling sluit inderdaad niet uit dat ook met andere
aspecten rekening wordt gehouden, maar geeft wel aan dat het aspect of de
persoonsgegevens al dan niet noodzakelijk zijn voor de uitvoering van de
overeenkomst zwaar weegt (“ten sterkste rekening houden met”). Het is aan
de toezichthouder, in casu de Autoriteit Persoonsgegevens (hierna: AP), en
uiteindelijk aan de rechter, om duiden wat dit in een concreet geval
betekent.
Vraag 5
Wanneer is er sprake van “functionele cookies” en van
“niet-privacygevoelige analytische cookies”? In hoeverre zijn
dit afgebakende begrippen? 2)
Antwoord op vraag 5
Er is sprake van “functionele cookies” wanneer deze “ cookies” worden gebruikt voor de goede werking van de website.
Deze cookies zorgen er bijvoorbeeld voor dat een websitezoeker kan
inloggen, producten in het webwinkelwagentje kan leggen en de juiste taal
kan kiezen. Voor een websitebezoeker is dit handig; zij hoeven hierdoor
niet telkens de voorkeuren aan te geven. Men spreekt van
“niet-privacygevoelige analytische cookies” in verband met cookies die gebruikt worden voor de verbetering van de website
door middel van statistieken. De “niet-privacygevoelige analytische cookies” zijn vooral ter ondersteuning van de website en laten
bijvoorbeeld zien hoeveel bezoekers een website heeft en waar het meest op
geklikt wordt.
De begrippen “functionele cookies” en “niet-privacygevoelige
analytische cookies” zien respectievelijk op de werking en de
verbetering van de website. In de Memorie van Toelichting op de wijziging
van artikel 11.7a Tw zijn deze begrippen duidelijk beschreven en daarmee
afgebakende begrippen.
Vraag 6
Kunt u naar aanleiding van het antwoord op vraag 4 van bovengenoemde
vragenset aangeven waarom gebruikers twijfels zouden hebben over hun
privacybescherming als zij zelf net toestemming hebben gegeven?
Antwoord op vraag 6
Wanneer, zoals het geval is bij cookiewalls, gebruikers van
elektronische communicatiediensten er achter komen dat hen in strijd met
het bepaalde in artikel 7, lid 4, van de AVG, toestemming wordt gevraagd
voor een gegevensverwerking die niet nodig is voor de uitvoering van de
dienstovereenkomst en hen daarbij geen daadwerkelijke keuze wordt gegeven
om te weigeren, kunnen bij gebruikers twijfels ontstaan over de
professionaliteit van de desbetreffende bedrijven en uiteindelijk ook over
hun privacybescherming.
Vraag 7
Wat is het verschil tussen een cookiewall en de toestemming
daaronder zoals die nu in Nederland gebruikt wordt en de toestemming
die voor het gebruik van een social media netwerk als
bijvoorbeeld Facebook wordt gegeven? Kunt u specifiek ingaan op de
vraag wat de toestemming in beide gevallen meer of minder vrijelijk
maakt en wat de rol is van de algemene voorwaarden in beide systemen?
Antwoord op vraag 7
Bij het geven van toestemming geldt altijd dat deze ‘vrijelijk’ (en
volledig geïnformeerd) moet zijn gegeven. Voor nadere uitleg over het
toestemmingsvereiste verwijs ik naar vraag 2 van mijn brief “Antwoorden
Kamervragen over het bericht ‘Websites overtreden massaal
cookiewallverbod’”. Wanneer een website wordt bezocht, geeft de bezoeker
aan voor welke cookies hij/zij wel/niet toestemming geeft. De
bezoeker mag geen toegang tot de inhoud van de website (‘content’) worden
geweigerd wanneer hij/zij niet akkoord gaat met het plaatsen van decookies (‘cookiewall’). Alleen voor functionele cookies en niet-privacygevoelige cookies hoeft geen
toestemming te worden gevraagd.
Bij het gebruik van social media (een dienst, zoals Facebook) moet aan de gebruiker op verschillende momenten toestemming worden gevraagd. Er moet vooraf toestemming worden gevraagd voor het plaatsen van cookies. Ook moet aan de gebruiker toestemming worden gevraagd voor de verschillende soorten verwerkingen die bij het gebruik van de dienst komen kijken.
In het geval van Facebook moet aan de bezoeker bij het bezoeken van de webpagina al toestemming worden gevraagd voor het plaatsen van cookies. De dienst Facebook is vervolgens pas beschikbaar nadat een account is gecreëerd en de gebruiker akkoord is gegaan met de algemene voorwaarden van Facebook. Vervolgens moet toestemming worden gevraagd voor het plaatsen van cookies, voor gerichte advertenties en het gebruik van persoonsgegevens voor onderzoek. Facebook moet de gebruiker hier vooraf goed over informeren (informatieplicht) en moet de gebruiker ook specifiek informeren over de verwerking van gegevens voor advertentiedoeleinden. Zie uitgebreid hierover het onderzoek van de AP naar Facebook van 2017 naar aanleiding waarvan Facebook haar gegevensbeleid heeft aangepast.
Vraag 8
Wat is de positie van de Autoriteit Persoonsgegevens (AP) als het gaat
om het interpreteren en invullen van de cookieregelgeving, en hoe
verhoudt zich die tot andere toezichthouders in Nederland? Hoe verhoudt
de positie van de AP zich tot de Autoriteit Consument & Markt (ACM)
die het cookiewallvraagstuk volgt vanuit concurrentieoverwegingen? En
wat is uw rol daarin?
Antwoord op vraag 8
De AP geeft hierover informatie op haar website, zie:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/cookies
.
Overigens hebben de AP en de ACM een samenwerkingsprotocol waarin afspraken staan voor het geval sprake is van samenlopende bevoegdheden (Strct. 2016, 58078). De AP heeft mij laten weten dat haar standpunt over cookiewalls is afgestemd met de ACM.
Vraag 9
Vindt u het wenselijk dat in de toekomst rondom cookiewalls,
regelgeving verder wettelijk wordt verankerd vanuit het belang van de
consument?
Antwoord op vraag 9
Ja. De regering pleit dan ook in de Europese Raad voor opname van een
verbod op cookiewalls in de nieuwe e-privacyverordening.
Vraag 10
Hoe worden de informatieplicht en het toestemmingsvereiste die bij cookies gelden voor (mede) op Nederlandse gebruikers gerichte
Nederlandse websites en internationale bedrijven, gehandhaafd? Hoe is
het verzekerd dat Nederlandse bedrijven die nu afhankelijk zijn vancookiewalls, niet op achterstand komen door het verbod op cookiewalls, ervan uitgaande dat Nederlandse bedrijven meer
marktaandeel kunnen verliezen dan elders ondergebrachte bedrijven?
Antwoord op vraag 10
Voor nadere uitleg over de informatieplicht en het toestemmingsvereiste
verwijs ik naar het antwoord op vragen 5 en 6 van mijn brief “Antwoorden
Kamervragen over het bericht ‘Websites overtreden massaal
cookiewallverbod’”. Ik herhaal daarbij dat ik van oordeel ben dat
Nederlandse mediabedrijven op dit punt geen achterstand hebben op
internationale bedrijven. Daarnaast werkt de AP in internationaal verband
samen met haar collega-privacytoezichthouders om ervoor te zorgen dat
Nederlandse bedrijven niet op achterstand komen.
Vraag 11
Hoe zijn cookiewalls ontstaan? Komt het gebruik hiervan voort
uit de Tw? In welke Europese landen worden deze nu ook gebruikt?
Antwoord op vraag 11
Cookiewalls
komen voort uit het feit dat geld kan worden verdiend met persoonsgegevens.
Bedrijven bieden daarom op het internet diensten aan in ruil voor
verstrekking van persoonsgegevens. Wil een eindgebruiker deze gegevens niet
verstrekken dan krijgt hij of zij geen toegang tot de dienst. Voor zover
mij bekend worden cookiewalls in vrijwel alle Europese landen
gebruikt.
Vraag 12
Zou het verbod van cookiewalls in de Europese Unie waar
Nederland voor pleit betrekking hebben op gratis websites of ook op
niet gratis websites?
Antwoord op vraag 12
Het beoogde verbod op cookiewalls maakt geen onderscheid tussen
gratis en niet gratis websites. In de praktijk zal een dergelijk verbod
echter vooral van belang zijn bij “gratis” websites. Toestemming voor de
verwerking van persoonsgegevens die niet nodig zijn om de door de
eindgebruiker gevraagde dienst te leveren gebeurt immers vrijwel altijd in
gevallen waarin die persoonsgegevens als betaalmiddel worden gebruikt in
plaats van geld.
Vraag 13
Waarom is er geen steun in de Raad voor een verbod op cookiewalls, zoals door Nederland bepleit? Hoe groot is de
kans dat dit pleidooi succesvol is?
Antwoord op vraag 13
Veel landen zijn van opvatting dat een verbod op cookiewalls het
aanbod op het internet zal beperken. De kans dat de Raad het Nederlandse
standpunt overneemt is zeer gering. Het Europese Parlement is echter
voorstander van een verbod op cookiewalls. Het onderwerp zal dus
in een eventuele triloog[1]
weer aan de orde komen.
Vraag 14
Wat is de stand van zaken met betrekking tot de totstandkoming van de
nieuwe Europese e-privacyrichtlijn? Komen daar weer nieuwe eisen voor
Nederlandse ondernemingen met betrekking tot cookiewalls uit
voort?
Antwoord op vraag 14
In de Europese Raad is nog steeds geen overeenstemming over het voorstel.
Zie voorts de Geannoteerde Agenda voor de Telecomraad van 3 december
aanstaande, waarin de stand van zaken wordt aangegeven.
1) Aanhangsel Handelingen, vergaderjaar 2018-2019, nr. 3905.
2) Rijksoverheid,
[1] Deze term verwijst naar het informeel overleg waarin delegaties van de Europese Commissie, het Europees Parlement en de Raad van Ministers onderhandelen over wetgevende voorstellen.