Brief regering : Reactie op de gewijzigde motie van het lid Wörsdörfer over de samenloop en overlap van e-Privacy en de AVG (Kamerstuk 21501-30-443)
32 761 Verwerking en bescherming persoonsgegevens
Nr. 126
BRIEF VAN DE STAATSSECRETARIS VAN ECONOMISCHE ZAKEN EN KLIMAAT
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 26 oktober 2018
Onlangs heeft de uw Kamer de gewijzigde motie van het lid Wörsdörfer (Kamerstuk 21 501-30, nr. 443) aangenomen. In deze motie wordt de regering verzocht artikelsgewijs de samenloop
en overlap van de e-Privacyverordening en de Algemene Verordening Gegevensbescherming
(AVG) nader inzichtelijk te maken. Verder roept de motie de regering op een MKB toets
voor de e-Privacyverordening uit te voeren en de uitkomsten daarvan te betrekken bij
de verdere onderhandelingen over het voorstel van de Europese Commissie en tot die
tijd geen onomkeerbare stappen te zetten in de Europese raden en werkgroepen. In deze brief geef ik
aan hoe ik met deze motie om zal gaan.
Een belangrijke aanleiding voor de motie is, zo blijkt uit de overwegingen, het feit
dat bij het van kracht worden van de nieuwe e-Privacyregels het Nederlandse bedrijfsleven
opnieuw, dat wil zeggen na de wijzigingen ten gevolge van de AVG, geconfronteerd zou
gaan worden met ingrijpende wijzigingen van de regels op het terrein van privacy die
een grote impact zouden hebben op het Nederlandse bedrijfsleven.
Ik heb begrip voor deze zorg maar deze is onterecht. De AVG is de opvolger van de
algemene Europese privacyrichtlijn die in de Nederlandse wet was omgezet in de Wet
bescherming persoonsgegevens (Wbp). De AVG bevat ten opzichte van de Wbp vele nieuw
elementen die voor uitvoeringslasten zorgen bij het Nederlandse bedrijfsleven en alle
andere instellingen die persoonsgegevens verwerken. Belangrijk daarbij is het feit
dat praktisch alle ondernemingen op een of andere manier persoonsgegevens verwerken.
Anders gezegd, het gehele bedrijfsleven heeft te maken met de invoering van de AVG.
Bij de e-Privacyverordening is de situatie anders. Op de eerste plaats ziet de e-Privacyverordening
slechts op het verwerken van gegevens in de sfeer van de elektronische communicatie.
Niet iedere onderneming is op dat gebied actief. Belangrijker is echter dat de wijzigingen
die de voorgestelde e-Privacyregels met zich meebrengen ten opzichte van de huidige
richtlijn slechts beperkt zijn. In veel gevallen leiden de wijzigingen er toe dat
bedrijven meer mogelijkheden krijgen om telecommunicatiegegevens en gegevens afkomstig
van eindapparaten te verwerken zoals bijvoorbeeld verwerking ten behoeve van de veiligheid
van de dienstverlening en statistische doeleinden.
Voor een bepaalde groep bedrijven brengt de voorgestelde verordening wel wijzigingen
met zich mee. De voorgestelde e-Privacyverordening bevat net als zijn voorganger de
e-Privacyrichtlijn een vastlegging van het communicatiegeheim. Tot nu toe gold dit
communicatiegeheim alleen voor klassieke telecommunicatie-aanbieders als Vodafone
en KPN. Partijen die communicatie mogelijk maakten via het internet, de zogenoemde
over-de-top-spelers, vielen buiten de reikwijdte van het communicatiegeheim. De voorgestelde
verordening brengt hier, naar ik meen terecht, verandering in. Hierdoor komen diensten
als WhatsApp, Skype en Facebook Messenger onder het communicatiegeheim te vallen,
hetgeen betekent dat ze behoudens met toestemming van de communicerende partijen,
niet langer in de inhoud van de communicatie mogen kijken, en de bij de communicatie
behorende metadata (wie heeft contact met wie op welk tijdstip etc.) in beginsel alleen
mogen verwerken voor het verzorgen van de communicatie. Dit alles betekent dat bedrijven
die via het internet communicatie tussen eindgebruikers verzorgen zich zullen moeten
aanpassen aan de nieuwe regels op het gebied van het communicatiegeheim. Dit betreft
echter een relatief klein deel van het bedrijfsleven. Bedrijven die niet een dergelijk
soort diensten aanbieden hoeven geen actie te ondernemen. Vanuit dit perspectief bezien
zal de impact van «nieuwe» e-privacyregels slechts gering zijn.
Uit de overwegingen blijkt voorts dat er zorgen zijn over de aansluiting van de e-Privacyverordening
en de AVG tegen welke achtergrond de motie vraagt om de samenloop en overlap van de
AVG en de e-Privacyverordening artikelsgewijs inzichtelijk te maken.
Ik begrijp dat de verhouding tussen de AVG en de e-Privacyverordening vragen kan oproepen.
Daarbij merk ik op dat de situatie nu al bestaat dat er naast algemene regels voor
de verwerking van persoonsgegevens regels zijn voor de bescherming van de persoonlijke
levenssfeer in de elektronische communicatie. Immers voor de invoering van de AVG
was er de algemene privacyrichtlijn (in Nederland zoals gezegd omgezet in de Wbp)
in combinatie met de – op dit moment nog steeds geldende – e-privacyrichtlijn (in
Nederland omgezet in hoofdstuk 11 van de Telecommunicatiewet). Deze reeds bestaande
situatie blijft voortbestaan in de relatie tussen de AVG en de voorgestelde e-Privacyverordening.
Om de verhouding tussen beide verordeningen goed te begrijpen zal een artikelsgewijze
vergelijking, zoals de motie vraagt, onvoldoende inzicht geven vanwege de verschillende
achtergrond van de verordeningen. Daarmee is echter niet gezegd dat de verhouding
tussen beide verordeningen niet inzichtelijk kan worden gemaakt. Daarvoor is het mijn
inziens allereerst nodig die verschillende achtergrond nader toe te lichten.
De AVG is een uitwerking van het grondrecht op bescherming van persoonsgegevens zoals
dat is vastgelegd in het Handvest van de grondrechten van de Europese Unie. De e-privacyregels
zijn dat ook maar zijn daarnaast ook een uitwerking van het communicatiegeheim en
het grondrecht op bescherming van de persoonlijke levenssfeer. We zien deze verschillen
terug in wat de twee kernartikelen van de voorgestelde e-Privacyverordening kunnen
worden genoemd: artikel 6, waarin de grenzen van het communicatiegeheim worden bepaald,
en artikel 8, dat gaat over de verwerking van gegevens op eindapparaten, zoals bijvoorbeeld
het lezen van de contactenlijst op iemands smartphone of het uitlezen en bijsturen
van een slimme thermostaat.
Communicatiegeheim
De AVG, die alleen ziet op persoonsgegevens, laat verwerking van deze gegevens toe
als men beschikt over een van de verwerkingsgrondslagen genoemd in artikel 6 van de
AVG. Tot die verwerkingsrondslagen behoort onder andere toestemming van degene wiens
(persoons-)gegevens worden verwerkt, maar ook «gerechtvaardigd belang». Deze laatste
grondslag houdt kort gezegd in, dat een partij persoonsgegevens mag verwerken als
zijn gerechtvaardigd belang bij de verwerking zwaarder weegt dan het privacybelang
van degene wiens persoonsgegevens worden verwerkt.
Artikel 6 van de voorgestelde e-Privacyverordening bepaalt ter uitvoering van het
communicatiegeheim het volgende. Partijen die elektronische communicatie verzorgen
mogen de gegevens met betrekking tot de communicatie, dat wil zeggen de inhoud van
de communicatie en de metadata (dus wie heeft contact met wie op welk tijdstip en
welke locatie etc.), alleen verwerken voor zover dat nodig is voor het verzorgen van
die communicatie. Verwerking voor andere doeleinden is, op enkele specifieke uitzonderingen
na, niet toegestaan tenzij de bij de communicatie betrokken daarvoor toestemming geven.
Bij de zojuist genoemde communicatiegegevens (dus inhoud en metadata) kan het zowel
gaan om persoonsgegevens als andere gegevens (bijvoorbeeld commerciële informatie
van een bepaald bedrijf).
Wanneer het gaat om persoonsgegevens vormt de e-Privacyverordening dus een nadere
invulling en een afwijking van de AVG (een zogenoemde lex specialis). Immers, de AVG
kent meerdere verwerkingsgrondslagen zoals het eerder genoemde gerechtvaardigd belang.
Maar de e-Privacyverordening kent er in hoofdzaak slechts twee: verwerking ten behoeve
van de communicatie en toestemming. Voor zover het bij de elektronische communicatie
gaat om gegevens die geen persoonsgegevens zijn vormt de e-Privacyverordening een
aanvulling op de AVG. De AVG ziet immers niet op gegevens die geen persoonsgegevens
zijn.
Verwerking van gegevens op eindapparaten
In artikel 8 van de (voorgestelde) e-Privacyverordening is bepaald op basis van welke
grondslagen derden informatie op apparaten aangesloten op een openbaar communicatienetwerk
(zogenoemde eindapparaten) mogen verwerken. Het uitgangspunt daarbij is dat de gegevens
die op een eindapparaat staan tot de privésfeer van de betreffende eindgebruiker behoren.
Artikel 8 vormt dan ook naast een nadere uitwerking van het recht op bescherming van
persoonsgegevens een uitwerking van het grondrecht op bescherming van de persoonlijke
levenssfeer. Dit verklaart allereerst waarom artikel 8 zowel ziet op persoonsgegevens
die op eindapparaten staan als op gegevens waar dat niet voor geldt. Het verklaart
ook waarom de gronden voor verwerking van gegevens op eindapparaten beperkter zijn
dan in de AVG.
Zo ontbreekt ook hier net als bij de regeling van het communicatiegeheim, de mogelijkheid
voor derden om gegevens op eindapparaten te verwerken op basis van gerechtvaardigd
belang. Een dergelijke ruime grondslag zou mijns inziens onterecht veronderstellen
dat er situaties zouden zijn waarin bedrijven zonder dat dat nodig is voor de levering
van een door de eindgebruiker gevraagde dienst en zonder toestemming van de eindgebruiker,
op eindapparaten mogen kijken omdat hun gerechtvaardigd belang daartoe zwaarder weegt
dan het belang van die eindgebruiker op bescherming van zijn privacy. Men zou in dit
verband de toegang tot bijvoorbeeld een smartphone kunnen vergelijken met toegang
tot een woonhuis. Ook dat is zo privé dat een derde niet zonder toestemming op grond
van gerechtvaardigd belang het huis mag betreden.
Van belang is ook dat de afweging van belang (primair) plaatsvindt door degene die
de gegevens wenst te verwerken. Zo zou bijvoorbeeld een adverteerder al snel kunnen
redeneren dat hij zonder toestemming van de eindgebruiker op een smartphone kan kijken
om surfgedrag te volgen, omdat hij vindt dat zijn gerechtvaardigd belang bij het exploiteren
van een met gerichte reclame gefinancierde site zwaarder weegt dan het belang van
de eindgebruiker op bescherming van zijn persoonlijke levenssfeer. Dit is een richting
die we niet op moeten gaan.
Bovendien is een dergelijke algemene verwerkingsgrondslag mijns inziens ook niet nodig.
In de meeste gevallen zullen bedrijven die gegevens op eindapparaten wensen te verwerken
zich kunnen baseren op de grond dat deze verwerking nodig is voor het leveren van
een door de eindgebruiker gevraagde dienst. Daar waar deze verwerkingsgrondslag niet
aan de orde is, kan de verwerking worden gebaseerd op toestemming van de eindgebruiker
of een van de meer specifieke verwerkingsgrondslagen opgenomen in artikel 8 van de
e-Privacyverordening.
Ik erken daarbij dat de toepasselijkheid van deze verwerkingsgrondslagen nu en in
de toekomst bij nieuwe innovatie diensten vragen op kan roepen over de praktische
toepasselijkheid daarvan. Ik ben bereid daarover -als daar behoefte aan is- het gesprek
aan te gaan. Daarbij sluit ik specifieke aanpassingen in het e-Privacy-voorstel niet
op voorhand uit met dien verstande dat ik, zoals gezegd, het invoeren van de grondslag
gerechtvaardigd belang een stap te ver vind gezien de bescherming van de persoonlijke
levenssfeer. Ik merk daarbij overigens op dat ook in de Raad onvoldoende steun is
voor het invoeren van deze grondslag en dat deze ook niet voorkomt in de door het
Europees Parlement vastgestelde versie.
Uit bovenstaande is naar ik hoop duidelijk geworden dat zowel artikel 6 als artikel
8 van de e-Privacyverordening deels een verbijzondering en afwijking van de AVG zijn
en deels – voor zover het niet gaat om de verwerking van persoonsgegevens – een (terechte)
aanvulling daarvan zijn.
MKB-toets
Het e-Privacy voorstel van de Europese Commissie dateert van januari 2017. Bij de
totstandkoming van het voorstel is door de Commissie een uitgebreide impact analyse
gemaakt. Daarbij is, vergelijkbaar met de MKB-toets, ook specifiek aandacht besteed
aan de gevolgen van de voorgestelde regels voor het mkb. Uit deze analyse blijkt dat
de voorgestelde regels een (beperkte) positieve uitwerking hebben op het MKB. Deze
bestaat er vooral uit dat door het de harmoniserende werking van de verordening eenvoudiger
(goedkoper) wordt voor het mkb om over de landsgrenzen heen zaken te doen. Door de
Nederlandse regering is destijds geen onderzoek gedaan naar de effecten van de voorgestelde
Europese wetgeving. Dat was ook niet nodig. Immers de Europese Commissie had een dergelijk
onderzoek al gedaan en er is geen reden om aan de bevindingen van de Europese Commissie
te twijfelen. Bovendien bestond op dat moment de MKB-toets nog niet. Deze is immers
geïntroduceerd in het kader van het meest recente regeerakkoord (bijlage bij Kamerstuk
34 700, nr. 34).
Een belangrijk aspect is verder dat, zoals ik hiervoor al aangaf, de wijzigingen in
het e-privacy-regime relatief gering zijn. Zo heeft het merendeel van het MKB als
zij al te maken heeft met de e-privacyregels vooral te maken met de bepaling over
het verwerken van gegevens op eindapparaten. Daarbij zal het veelal gaan om de door
het betreffende MKB-bedrijf verzorgde website. Daarbij geldt dat bedrijven die met
hun website nu al voldoen aan de bestaande wetgeving geen aanpassingen hoeven door
te voeren om aan de toekomstige wetgeving te voldoen. Nu alsnog een MKB-toets doen
is dan ook niet opportuun. Temeer daar nu al bijna twee jaar onderhandeld wordt over
de e-Privacyverordening en deze onderhandelingen in een vergevorderd stadium verkeren
en het gaat om een verordening die geen omzetting in het nationale recht behoeft.
Bij de Nederlandse inbreng in die onderhandelingen heeft naast een goede bescherming
van de privacy van de eindgebruiker, een goede uitvoerbaarheid en een beperking van
de lasten van de regels altijd voorop gestaan. Daarbij wordt voortdurend gekeken naar
de gevolgen van de regels voor het Nederlandse bedrijfsleven met inbegrip van het
mkb. Verder vind ik het belangrijk dat de bedrijven die wel aanpassingen moeten verrichten
als de nieuwe e-privacyregels in werking treden voldoende tijd krijgen om de nodige
aanpassingen te doen. Ik zal daarom in Brussel pleiten voor een ruimhartige invoeringstermijn.
Ik ben uiteraard altijd bereid, zoals dat ook de afgelopen tijd is gebeurd, in gesprek
te gaan met bedrijven die menen problemen te zullen gaan ondervinden van de nieuwe
regels.
Standpunten in Brussel
Het slot van de motie vraagt de Nederlandse regering geen onomkeerbare stappen te
zetten in de Europese Raden en werkgroepen. Ten aanzien van dit aspect merk ik op
dat dat formeel gezien ook nog niet is gebeurd. Dit neemt niet weg dat in de vele
maanden die de onderhandelingen reeds hebben geduurd wel standpunten door Nederland
zijn ingenomen. Over deze standpunten is uw Kamer in aanloop naar de telecomraden
altijd uitvoerig geïnformeerd. In een enkel geval is zelfs op verzoek van uw Kamer
op de telecomraad een standpunt ingenomen. Ik wijs in dit verband op de motie van
het lid Verhoeven c.s. met betrekking tot het verbod op cookiewalls (Kamerstuk 21 501-33, nr. 711). Dit gezegd zijnde meen ik dat het gezien de stand van de onderhandelingen in de
Raad niet verstandig is om het Nederlandse standpunt inhoudelijk fors te wijzigen.
Dit zou Nederland ongeloofwaardig maken en de positie van Nederland op dit dossier
ondermijnen.
De Staatssecretaris van Economische Zaken en Klimaat,
M.C.G. Keijzer
Ondertekenaars
-
Eerste ondertekenaar
M.C.G. Keijzer, staatssecretaris van Economische Zaken en Klimaat