Antwoord schriftelijke vragen : Antwoord op vragen van de leden Van Gent en Middendorp 'Zit u op LinkedIn? Dan gooit Lusha uw privénummer mogelijk op straat'

Antwoord van Minister Dekker (Rechtsbescherming) (ontvangen 21 september 2020). Zie
ook Aanhangsel Handelingen, vergaderjaar 2019–2020, nr. 3893.

Vraag 1

Heeft u kennisgenomen van het bericht «Zit u op LinkedIn? Dan gooit Lusha uw privénummer
mogelijk op straat»?1

Antwoord 1

Ja, ik heb kennisgenomen van het bericht.

Vraag 2

Is onderzoek gedaan naar deze service en gekeken of er al dan niet sprake is van een
gerechtvaardigd belang? Zo nee, waarom niet?

Antwoord 2

De Autoriteit Persoonsgegevens (AP) zou de instantie zijn, die dit onderzoek zou kunnen
doen. De AP is een onafhankelijke toezichthouder die in beginsel geen mededelingen
doet over lopende of mogelijke onderzoeken.

Vraag 3

Is het zonder toestemming delen van privénummers volgens u in strijd met de Uitvoeringswet
(U) Algemene Verordening Gegevensbescherming (AVG)?

Antwoord 3

De grondslagen voor de verwerking van persoonsgegevens zijn niet vastgelegd in de
UAVG, maar in de AVG zelf. Om die reden zal ik bij de beantwoording van de vragen
voornamelijk ingaan op de AVG in plaats van de UAVG.

Het delen van privénummers is een verwerking van persoonsgegevens. De AVG vereist
dat alle verwerkingen een geldige grondslag hebben. In artikel 6, eerste lid, AVG
zijn zes grondslagen voor verwerking van persoonsgegevens opgenomen, waarvan toestemming
er één is. Als een van de andere vijf grondslagen van toepassing is, kunnen privénummers
dus verwerkt en mogelijk ook gedeeld worden zonder toestemming. Of dit rechtmatig
gebeurt, is uiteindelijk ter beoordeling van de AP.

Vraag 4

Deelt u de mening dat het onwenselijk is wanneer zonder voorafgaande toestemming privénummers
op straat komen te liggen?

Antwoord 4

Het uitgangspunt van de AVG is dat natuurlijke personen controle over hun eigen persoonsgegevens
dienen te hebben. Het is een kwalijke zaak wanneer privénummers worden gedeeld zonder
dat daarvoor een geldige grondslag bestaat en zonder dat burgers zich hier bewust
van zijn.

Burgers hebben veelal geen idee dat hun nummer online staat en zijn dus niet in staat
in verweer te komen. Wanneer ze hier wel mee bekend zijn en dit onrechtmatig achten,
kunnen ze een klacht indienen bij de toezichthouder.

Vraag 5

Wordt actief gemonitord of buitenlandse online diensten zoals Lusha, die in Nederland
actief zijn, voldoen aan de UAVG?

Antwoord 5

Het actief monitoren van buitenlandse online diensten als Lusha zou een zeer tijdrovende
activiteit zijn. Gelet op de capaciteit van de AP en de behoefte om deze zo efficiënt
mogelijk in te zetten, is de AP niet in staat om al deze diensten te monitoren.

Daarnaast kunnen er klachten of andere signalen over dit type diensten bij de AP binnenkomen
die ze dan kan onderzoeken. Op welke wijze en hoe diepgaand de AP deze klachten kan
en zal oppakken, is aan de AP. Als het niet om Nederlandse bedrijven gaat, kan de
AP onderzoeken of ze zelfstandig bevoegd is om onderzoek naar het bedrijf te doen
of de zaak doorsturen aan de bevoegde toezichthouder van een andere lidstaat. Dit
gebeurt in afstemming met de toezichthoudende autoriteiten van andere Europese landen,
die samenkomen in de European Data Protection Board (EDPB).

Vraag 6

Op welke wijze wordt gecontroleerd of informatie die in Nederland gevestigde digitale
dienstverleners verstrekken ook vrijwillig verstrekt zijn en niet deels afkomstig
van bijvoorbeeld cyberhacks? Geldt hetzelfde voor buitenlandse digitale dienstverleners
die gegevens van Nederlanders aggregeren?

Antwoord 6

Als bedrijven het doelwit zijn geweest van een hack waarmee de beschikbaarheid, integriteit
of vertrouwelijkheid van persoonsgegevens is geschonden, dan moet dat in beginsel
gemeld worden bij de AP en soms ook bij de burger zelf.2 Het bedrijf zal tevens maatregelen moeten treffen om de schade te beperken.3

Het overnemen van gegevens die bij een hack buit gemaakt zijn is daarnaast strafbaar.4 Er kan dus ook een rol voor het Openbaar Ministerie en de politie in dit soort gevallen
zijn.

Vraag 7

Welke handelingsbevoegdheid heeft de Nederlandse toezichthouder wanneer zij een niet
in Nederland gevestigde dienstverlener, zoals Lusha in New York, wil aanspreken?

Antwoord 7

De AP heeft handelingsbevoegdheid als de desbetreffende verwerking van persoonsgegevens
valt onder de werkingssfeer van de AVG. Hierbij is in dit geval het territoriaal toepassingsgebied
van belang. Dit is geregeld in artikel 3 AVG. Bij niet in de Unie (of de EER) gevestigde
verwerkers of verwerkingsverantwoordelijken geldt dat de AVG van toepassing is als
er goederen of diensten aangeboden worden aan betrokkenen in de Unie of hun gedrag
wordt gemonitord. Indien hiervan sprake is bij Lusha of mogelijk bij een ander bedrijf
dat haar diensten aanbiedt aan betrokkenen in de Unie, dan is de AVG van toepassing
op dat bedrijf. In dat geval heeft de AP de bevoegdheid om toezicht uit te oefenen
en kan het daarbij de haar ter beschikking staande mogelijkheden, zoals het opleggen
van een bestuurlijke boete, inzetten.

Als een bedrijf als Lusha niet in de EU of Europese Economische Ruimte is gevestigd
en de AVG ingevolge bovengenoemd artikel 3 wél van toepassing is op de dienstverlening
van het bedrijf, dan is het zogenaamde een-loketmechanisme niet van toepassing.5 Dit betekent dat elke toezichthoudende autoriteit, inclusief de AP, bevoegd is onderzoek
te doen.

Als een buiten de EU gevestigd bedrijf persoonsgegevens verwerkt van mensen in de
EU maar daarmee niet binnen de in artikel 3 bepaalde reikwijdte van de AVG valt, is
de AVG logischerwijs niet op dat bedrijf van toepassing. Ik zal gezamenlijk met de
AP bezien of zij in de praktijk aanloopt tegen problemen met betrekking tot deze »territoriale
reikwijdte» van de AVG. Indien dat het geval blijkt te zijn zal ik hierover met de
Europese Commissie in gesprek treden.

Vraag 8

Hoe wordt gemonitord of het toezichtkader en de regels in de UAVG nog aansluiten bij
de snelle technologische ontwikkelingen op het gebied van big data en innovaties zoals
Lusha?

Antwoord 8

Technologische ontwikkelingen en innovaties volgen elkaar in razendsnel tempo op.
De wetgever heeft er daarom destijds bewust voor gekozen om de AVG en UAVG «technologieneutraal»
te maken door bijvoorbeeld open normen op te nemen. Door de open normen passen technologische
ontwikkelingen over het algemeen goed in het wettelijk kader.

Dit jaar vindt er een evaluatie plaats van de AVG, die hierna iedere vier jaar zal
plaatsvinden. De Europese Commissie heeft in haar eerste verslag over de evaluatie
van de AVG aangegeven de AVG te beschouwen als een flexibel en essentieel instrument
dat ervoor kan zorgen dat de ontwikkeling van nieuwe technologieën in overeenstemming
is met de grondrechten.6 Wel stelt zij dat ons nog uitdagingen te wachten staan wat betreft verduidelijking
van hoe de beginselen van de AVG op die nieuwe technologieën van toepassing zijn.7 De Commissie zal de komende tijd daarover verder in gesprek gaan met lidstaten en
met de AVG-deskundigengroep van de lidstaten.8

Vraag 9

Bent u bereid deze specifieke casus mee te nemen in de aanstaande evaluatie van de
UAVG?

Antwoord 9

Voor zaken zoals deze die met grondslagen te maken hebben, is de UAVG niet relevant.
Het heeft daarom weinig zin om deze casus mee te nemen in de evaluatie van de UAVG.