Brief regering : Uitvoering van moties en toezeggingen op het terrein van gegevensbescherming
32 761 Verwerking en bescherming persoonsgegevens
Nr. 163
BRIEF VAN DE MINISTER VOOR RECHTSBESCHERMING
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 2 juni 2020
In deze brief informeer ik u over de uitvoering van de moties en toezeggingen die
tijdens het AO van 13 juni 2019 (Kamerstuk 32 761, nr. 148) en het daarop volgende VAO van 25 juni 2019 (Handelingen II 2018/19, nr. 97, item 34) zijn aangenomen c.q. gedaan.
1. Moties
1.1 Motie van Dam c.s. over het toezicht op de Big Five1
In deze motie wordt de regering verzocht om inzichtelijk te maken hoe de Ierse gegevensbeschermingsautoriteit
inhoud geeft aan haar toezichttaak, inclusief toezending van het activiteitenverslag
dat de toezichthouder jaarlijks opstelt conform artikel 59 Algemene Verordening Gegevenswerking
(AVG).
Het activiteitenverslag dat de Ierse toezichthouder jaarlijks opstelt en op zijn website
te vinden is, geeft inzicht in de manier waarop hij invulling geeft aan zijn toezichttaak,
ook ten aanzien van de zogeheten «Big Five».
In het verslag over 2018 geeft de toezichthouder inzicht in de onderzoeken die hij
sinds de inwerkingtreding van de AVG heeft ingesteld tegen grote «techmultinationals».2 Verder schrijft hij onder meer dat hij een actieve houding heeft aangenomen ten aanzien
van grote techmultinationals en zich heeft ingezet om het bewustzijn over de AVG te
verhogen. De toezichthouder heeft in een aantal gevallen ook advies gegeven aan grote
techbedrijven om aan de AVG te voldoen.
Ook in het rapport over 2019 geeft de toezichthouder inzicht in zijn handelen jegens
de grote techbedrijven. Zo wordt in het rapport uitgebreid ingegaan op de lopende
onderzoeken, meerdere daarvan zijn ingesteld naar de verwerking van persoonsgegevens
door bijvoorbeeld Facebook, Apple en Google.3 Daar komt bij dat de toezichthouder aangeeft dat het in 2020 haar eerste conceptbesluiten
ten aanzien van de onderzoeken die naar een aantal bigtech bedrijven zijn gedaan ter
consultatie zal voorleggen aan de andere Europese toezichthouders.4 Voorts heeft de toezichthouder in februari een nieuw onderzoek naar het gebruik van
locatiegegevens door Google aangekondigd.5
Belangrijk om te benadrukken is dat niet alle lasten van het toezicht op de grote
techmultinationals bij de Ierse toezichthouder liggen. De Ierse toezichthouder is
de «leidende toezichthouder» omdat genoemde techbedrijven hun hoofdvestiging in de
Europese Unie in Ierland hebben en daar het doel en de middelen van de verwerking
van persoonsgegevens vaststellen. Echter, als betrokkenen in een ander Europees land
ook wezenlijke gevolgen ondervinden van de grensoverschrijdende gegevensverwerkingen
van een verwerkingsverantwoordelijke, dan is de toezichthouder van dit land «betrokken
toezichthouder». In het geval van de grote techmultinationals is het zeer waarschijnlijk
dat veel Europese toezichthouders «betrokken» zijn. De «leidende toezichthouder» legt
conceptbeslissingen aan deze collega toezichthouders voor, maar kan ook gezamenlijk
met andere toezichthouders een onderzoek uitvoeren (bijvoorbeeld in meerdere EU-lidstaten).
Middels dit samenwerkingsmechanisme worden de krachten van de toezichthouders waar
nodig dus gebundeld.
1.2. Motie Buitenweg over het voorkomen van indirecte discriminatie bij levering van
goederen en diensten door besluitvorming via algoritmen6
Deze motie verzoekt de regering om te onderzoeken hoe indirecte discriminatie bij
de levering van goederen en diensten via besluitvorming waar algoritmen een dominante
rol in spelen kan worden voorkomen.
Het in de motie aangekaarte fenomeen kan zich op verschillende wijzen manifesteren.
Het betreft met name discriminatie door middel van aanpassing van de prijs aan het
individu, het opwerpen van barrières om een product of dienst te kunnen afnemen of
het volledig uitsluiten van personen van bepaalde goederen of diensten. Voor de duidelijkheid
wil ik deze vormen van discriminatie allemaal scharen onder het begrip «aanbodsdiscriminatie».
Belangrijk om op te merken is dat er een verschil bestaat tussen discriminatie en
differentiatie. Niet iedere vorm van differentiatie leidt namelijk tot discriminatie:
alleen wanneer er een verboden onderscheid wordt gemaakt is er sprake van discriminatie.
Van een dergelijk verboden onderscheid is sprake wanneer dat wordt gemaakt op grond
van beschermde persoonskenmerken uit de gelijke behandelingswetgeving, zoals bijvoorbeeld
ras, seksualiteit of politieke overtuiging. Het maken van een indirect onderscheid
is wél toegestaan als hiervoor een objectieve reden is en het aangewende middel noodzakelijk
en geschikt is. Opmerking verdient dat de criteria voor een dergelijke objectieve
reden over het algemeen zwaarwegend zijn. Het maken van een indirect onderscheid zal
dan ook niet snel gelegitimeerd zijn.
Verder wil ik benadrukken dat het personaliseren van prijzen of aanbiedingen met gebruik
van algoritmen in de praktijk nog weinig lijkt te worden toegepast. Dit beeld komt
naar voren in een studie die is uitgevoerd op verzoek van de Europese Commissie. De
onderzoekers concludeerden dat er geen bewijs bestaat dat bevestigt dat aanbiedingen
op consistente en systematische wijze worden gepersonaliseerd.7
De ministeries van BZK en JenV onderzoeken gezamenlijk hoe, gelet op het toepasselijk
wettelijk kader, discriminatie bij het aanbieden van goederen en diensten voorkomen
kan worden.8 Daarbij merk ik op dat normen over wat wél en níet is toegestaan bij het differentiëren
van een aanbod zijn vastgelegd in het gelijke behandelingsrecht en het consumentenrecht.
Regels over de verwerking van persoonsgegevens die daarbij plaatsvinden zijn te vinden
in de AVG.
Het voorkomen van genoemde discriminatie richt zich op twee punten: het vergroten
van de transparantie van algoritmen en het ontwikkelen van verdere maatregelen of
principes voor de inrichting van AI-systemen.
Ten eerste is het, om indirecte aanbodsdiscriminatie door de inzet van algoritmen
te voorkomen, van belang dat de algoritmen in kwestie waar nodig transparant zijn
en dat voor burgers duidelijk is op basis waarvan hen een aanbod wordt gedaan. Hierdoor
komen gevallen van aanbodsdiscriminatie immers sneller aan het licht en kunnen burgers
een beter geïnformeerde keuze maken voor de aanbieder van een product of dienst.
Om tot een gepersonaliseerd aanbod te komen zal een aanbieder van een goed of dienst
veelal persoonsgegevens moeten verwerken. Dit brengt onder meer mee dat de informatieverplichtingen
uit de artikelen 13 en 14 AVG op de aanbieder in kwestie zullen rusten.9 Wanneer het doen van een aanbod binnen de reikwijdte van artikel 22 AVG valt, geldt
er voorts een extra informatieverplichting om inzicht te geven in de logica achter
een automatische verwerking van persoonsgegevens en, wanneer de verwerking op profilering
is gebaseerd, het belang en de gevolgen van een dergelijke verwerking voor de burger.10
In de brief over «waarborgen tegen risico’s van data-analyse door de overheid» stelt
het kabinet aanvullende transparantieverplichtingen bij data-analyse door de overheid
voor. Voor data-analyse door het bedrijfsleven stelt het kabinet daarin dat het de
voorkeur verdient om eventuele extra regels over algoritmegebruik en data-analyse
door het bedrijfsleven in Europees verband vast te stellen.11 Voorbeeld van dergelijke extra regels is de bepaling in de recente modernisering
van het EU-consumentenrecht dat bedrijven consumenten verplicht moeten informeren
wanneer zij prijzen personaliseren.12 Verder heeft Nederland er bij de evaluatie van de AVG voor gepleit eerdergenoemde
transparantieverplichtingen in de AVG te evalueren. Dit specifieke punt heeft de Raadspositie
over de evaluatie van de AVG niet gehaald, maar ik zal mij blijven inzetten om in
Europees verband te bezien of verdere transparantieverplichtingen in de AVG of andere
instrumenten noodzakelijk zijn.
Dat er sprake is van gegevensverwerking betekent ook dat de aanbieder een grondslag
moet hebben om de gegevens te verwerken. Die zou in beginsel gelegen kunnen zijn in
de «uitvoering van een overeenkomst» waarbij een goed of dienst wordt geleverd; gelet
op de relevante normuitleg mogen daarbij alleen gegevens worden verwerkt die strikt
noodzakelijk zijn om de overeenkomst uit te voeren.13 Ook met betrekking tot de grondslag «gerechtvaardigd belang» gelden volgens de AP
strenge regels.14 Dit betekent dat de rechtsgrondslag voor het differentiëren in prijs op basis van
persoonsgegevens in veel gevallen de «toestemming» van de burger zal zijn. Genoemde
toestemming moet specifiek, geïnformeerd, ondubbelzinnig en vrij gegeven zijn. Dit
vergt van aanbieders dat zij transparant zijn over de toegepaste prijsdifferentiatie.
Ten tweede worden er in Europees verband acties ondernomen ten aanzien van mogelijke
extra regels voor AI-systemen. In de kabinetsappreciatie van het door de Europese
Commissie op 19 februari jl. gepubliceerde witboek AI is het kabinet in beginsel positief
over het stellen van aanvullende regels voor AI-systemen. Dit kan mede omvatten het
opleggen van regels aan partijen die AI inzetten om te waarborgen dat hun systemen
niet discrimineren. Ook eventuele verdere transparantie- en uitlegbaarheidsverplichtingen
zouden in dit verband kunnen worden vastgesteld. Niet alleen eventuele wetgeving,
maar ook beleid kan bijdragen aan het voorkomen van discriminatie door de inzet van
algoritmes. Zo werkt het Ministerie van BZK aan ontwerpprincipes voor de ontwikkelaars
van AI-systemen, die discriminatie door AI-systemen moet voorkomen.
Verder zie ik dat meerdere toezichthouders zich actief bezighouden met de vraagstukken
die raken aan indirecte discriminatie door algoritmen bij het aanbieden van goederen
of diensten. Zo heeft de AP het stelsel van toezicht op AI en algoritmes tot een van
haar focusgebieden voor 2020–2023 gemaakt.15 De ACM heeft een leidraad bescherming van de online consument opgesteld. Hierin licht
de ACM toe aan welke regels bedrijven moeten voldoen bij het personaliseren van prijzen
en aanbod en in welke gevallen dit kan leiden tot een oneerlijke handelspraktijk.16 Het College voor de Rechten van de Mens heeft in zijn meerjarenplan 2020–2023 het
thema Digitalisering en Mensenrechten opgenomen als een van twee prioriteiten en kijkt
hierbij specifiek naar (semi-) geautomatiseerde besluitvormingssystemen door publieke
organisaties. Mogelijke risico’s voor (indirecte) discriminatie komen hierin aan de
orde. Vanuit zijn expertise op het gebied van gelijke behandeling wordt ook nauwlettend
gekeken naar de rol die algoritmes hierin in positieve en negatieve zin kunnen spelen.
Naar verwachting zullen eerste resultaten later dit jaar beschikbaar komen.
Als laatste wil ik u erop wijzen dat de Staatssecretaris van EZK naar aanleiding van
een toezegging aan het lid van uw Kamer Buitenweg een gesprek heeft gevoerd met het
College voor de Rechten van Mens over in hoeverre gepersonaliseerde prijzen zijn toegestaan.17 De Staatssecretaris van EZK zal u over de uitkomsten hiervan separaat informeren.
Zij zal daarbij ook ingaan op de vraag of gepersonaliseerde prijzen kunnen leiden
tot misbruik van marktmacht of een oneerlijke handelspraktijk in de zin van het consumentenrecht.
1.3. Motie Van Nispen c.s. over wifitracking18
In deze motie wordt de regering verzocht duidelijk te maken op grond waarvan wifitracking
is toegestaan, dit actief te delen met gemeenten en bedrijfsleven en in geval van
overtreding van deze regels erop aan te dringen dat gemeenten stoppen met wifitracking.
Het onderwerp wifitracking staat al een aantal jaren hoog op de agenda van de AP,
dit zowel in relatie tot gemeenten als bedrijven. Zo is er reeds in 2016 een brief
uitgegaan naar de VNG en de Detailhandel Nederland om hun leden, de gemeenten en winkels,
te wijzen op de voorwaarden voor wifi-tracking (en vergelijkbare technologie). Dit
gebeurde naar aanleiding van een eerder onderzoek naar een aanbieder van wifi-trackingtechnologie,
waarbij de AP concludeerde dat de wifi-tracking rond winkels in strijd is met de wet.
In november 2018 heeft de AP een normenkader uitgebracht over wifitracking in de publieke
ruimte. De AP heeft voorts periodiek overleg met de VNG en heeft dit normenkader ook
uitgebreid met de VNG besproken.
Deze informatie, die te vinden is op de site van de AP, verschaft voldoende inzicht
in het wettelijke kader rond wifitracking waaronder de toepasselijke wettelijke grondslagen,
en stelt gemeenten en bedrijven voldoende in staat om te bepalen of een voorgenomen
inzet van wifi-tracking al dan niet in overeenstemming is met de regels. In aanvulling
hierop heb ik de VNG en Detailhandel Nederland in een brief nogmaals gewezen op het
toepasselijke wettelijke kader en verzocht dit onder de aandacht van hun leden te
brengen.
1.4. Motie Kuiken c.s. over een wettelijke transparantieplicht voor politieke advertenties
op onlineplatforms19
Het Instituut voor Informatierecht (IViR) van de Universiteit van Amsterdam heeft
in opdracht van de Minister van BZK een onderzoek gedaan naar het huidige wetgevingskader
rond het onderwerp desinformatie. Hierin is ook de vraag betrokken naar transparantie
van politieke advertenties. De Minister van BZK heeft de Kamer op 13 mei jl. het eindrapport
gestuurd als bijlage bij de Kamerbrief ontwikkelingen beleidsinzet bescherming democratie
tegen desinformatie welke ook een beleidsreactie op dit eindrapport bevat.20 Zoals gemeld in de Kamerbrief over beleidsinzet bescherming democratie tegen desinformatie,
is het kabinet voorstander van meer transparantie over de herkomst en de methoden
van verspreiding van desinformatie op internetdiensten en overweegt het of, in aanvulling
op de zelfregulering, wettelijke regels de transparantie kunnen afdwingen.21 De Minister van BZK zal de komende tijd, ook in Europees verband, verkennen hoe dergelijke
regels zich verhouden tot de vrijheid van meningsuiting en zal daarbij ook de evaluatie
van de Europese gedragscode tegen desinformatie (zelfregulering) betrekken. Deze verschijnt
naar verwachting voor het zomerreces. Tevens heeft de Europese Commissie aangekondigd
in het laatste kwartaal van 2020 met een Democratie Actieplan te komen. Hierin worden
mogelijk transparantieregels voor politieke advertenties meegenomen.
2. Toezeggingen
2.1 Gesprek met de AFM over de juridische grondslag voor verwijdering van bitcoinadvertenties
door Facebook
Deze toezegging, die werd gedaan naar aanleiding van een aantal misleidende bitcoinadvertenties,
strekte ertoe dat ik in gesprek zou gaan met de Autoriteit Financiële Markten (AFM)
om te horen op welke juridische grondslag zij Facebook hebben benaderd en gevraagd
om de bitcoinadvertenties te verwijderen.22
Uit contacten met de AFM is naar voren gekomen dat de AFM inderdaad met Facebook over
de aangehaalde bitcoinadvertenties in gesprek is gegaan.
In dit kader deelt de AFM signalen over bitcoinadvertenties met Facebook, zodat Facebook
beter in staat is om schadelijke advertenties op te sporen en te verwijderen. Echter,
en anders dan uit mediaberichten leek te kunnen worden afgeleid, is het niet zo dat
de AFM Facebook opdracht heeft gegeven de bitcoinadvertenties te verwijderen. Facebook
staat niet onder toezicht van de AFM. Bij partijen en/of activiteiten die onder toezicht
van de AFM staan, heeft de AFM op basis van de Wet op het financieel toezicht en eventueel
de Wet handhaving consumentenbescherming de bevoegdheid om op te treden tegen misleidende
reclame. Het contact met Facebook vond dus niet plaats op basis van een juridische
grondslag, maar vanuit een wederzijdse behoefte actie te ondernemen tegen misleidende
reclame.
Voor meer informatie over de juridische mogelijkheden die voorhanden zijn om tegen
misleidende reclames te kunnen optreden, verwijs ik naar de beantwoording van de Kamervragen
over het bericht «Veel schade door bitcoinadvertenties met nepuitspraken BN’ers» en
naar de recent door de Minister van Justitie en Veiligheid aan uw Kamer toegezonden
Kamerbrief over internetcriminaliteit.23
2.2 Bedrijven waarop de AP toezicht houdt
Tijdens het AO Gegevensbescherming van 13 juni 2019 heb ik toegezegd de Kamer te informeren
over op welke grote internationale bedrijven de AP als zogenoemde «leidende toezichthouder»
in de zin van artikel 56 AVG toezicht houdt. Navraag bij de AP heeft geleerd dat zij
geen uitputtende lijst heeft van alle grote internationale bedrijven waarop de AP
toezicht houdt, en zij het ook niet wenselijk vindt om een dergelijke lijst op te
stellen en openbaar te maken. Daarvoor voert zij de volgende redenen aan.
De AP is toezichthouder op verwerkingen die volledig binnen Nederland plaatsvinden.
Bij grote internationale bedrijven is dat vaak niet het geval, verwerkingen zijn dan
vaak grensoverschrijdend. In dat geval bepaalt de AVG dat de AP de «leidend toezichthouder»
is als de verwerkingsverantwoordelijke zijn (Europese) hoofdvestiging in Nederland
heeft. De hoofdvestiging van de verwerkingsverantwoordelijke is in beginsel de plaats
waar deze zijn centrale administratie in de EU heeft. Als de beslissingen over doelstellingen
en de middelen voor de verwerking van persoonsgegevens echter in de praktijk in een
andere EU-vestiging worden genomen, dan is die vestiging de hoofdvestiging in de zin
van de AVG.24
In de praktijk betekent dit dat de AP in veel gevallen enig onderzoek moet verrichten
om te bepalen waar de hoofdvestiging van de verantwoordelijke is, om zo vast te stellen
welke toezichthouder «leidend» is. De AP voert dit soort onderzoek uit wanneer er
een klacht over een internationaal bedrijf wordt ingediend, wanneer een gemeld datalek
moet worden beoordeeld of wanneer de AP op eigen initiatief kijkt naar gegevensverwerkingen
door een internationaal bedrijf. Het is een standaardonderdeel van de procedure om
de bevoegdheid van de AP vast te stellen. Wanneer de AP niet «leidend» is, maar betrokkenen
in Nederland wel wezenlijke gevolgen ondervinden van de grensoverschrijdende verwerkingen
van een organisatie, is de AP wel «betrokken toezichthouder». In dergelijke gevallen
voert de AP geen regie over het onderzoek, maar wordt er wel met de AP afgestemd door
de leidend toezichthouder. Zo kan de AP reageren op de feitenvaststellingen, de juridische
kwalificaties en de juridische beoordelingen van de leidende toezichthouder.
Gevolg hiervan is dat er geen uitputtende lijst voorhanden is van alle grote internationale
bedrijven waarop de AP toezicht houdt. Zoals hierboven weergeven is het onderdeel
van de standaardprocedure bij een klacht over een internationale verwerking, of wanneer
de AP zelf een onderzoek start naar een internationale verwerking, om te bepalen waar
de verwerkingsverantwoordelijke zijn hoofdvestiging heeft. Het vrijgegeven van deze
interne informatie zou echter laten zien voor welke bedrijven de AP momenteel aandacht
heeft, een procedure heeft lopen, of in het verleden naar heeft gekeken. Dit is onwenselijk
omdat onderzochte partijen reputatieschade zouden kunnen ondervinden, terwijl er mogelijk
uiteindelijk geen overtreding wordt geconstateerd en de partij in kwestie volledig
rechtmatig heeft gehandeld.
Ik heb begrip voor dit standpunt. Dat laat onverlet dat het de komende jaren per zaak
duidelijker zal worden op welke grote internationale bedrijven de AP toezicht houdt.
Uit de handhavingspraktijk van de AP zal immers blijken welke grote internationale
bedrijven onder haar toezicht vallen. Wel kan ik u er nu al op wijzen dat er een aantal
grote internationale bedrijven zijn die op grote schaal gegevens verwerken, waarvan
het algemeen bekend is dat zij hun Europese hoofdkantoor in Nederland hebben. Hierbij
valt te denken aan bedrijven als Netflix, Booking.com, ING, Rabobank, ABN Amro, Uber
of TomTom.
Grote internationale bedrijven verwerken vaak gegevens in meerdere landen, ook buiten
de Europese Economische Ruimte (EER). Doorgifte van persoonsgegevens naar een land
buiten de EER is in beginsel verboden als er geen «adequatiebesluit» van de Europese
Commissie is ten aanzien van dat land, tenzij het bedrijf gebruik maakt van één van
de doorgifte instrumenten in artikel 46 AVG. Grote internationale bedrijven kiezen
in dat geval vaak voor zogeheten Binding Corporate Rules (BCRs), waarmee een bedrijf
alle verwerkingsactiviteiten tussen al haar vestigingen wereldwijd af kan dekken.
Deze BCRs moeten worden goedgekeurd door de leidend toezichthouder.25
Met instemming van de AP heb ik als bijlage bij deze brief een lijst van bedrijven
opgenomen wier BCRs door de AP zijn goedgekeurd26. Deze lijst is niet uitputtend, maar geeft wel een indicatie van bedrijven die in
ieder geval zelf veronderstellen dat zij onder het toezicht van de AP vallen.
De Minister voor Rechtsbescherming,
S. Dekker
Ondertekenaars
-
Eerste ondertekenaar
S. Dekker, minister voor Rechtsbescherming
Bijlagen
Gerelateerde documenten
Hier vindt u documenten die gerelateerd zijn aan bovenstaand Kamerstuk.