Verslag van een schriftelijk overleg : Verslag van een schriftelijk overleg over de toezegging gedaan tijdens het debat over de bescherming van online gegevens inzake de inzet van het kabinet op het onderwerp van cookies en online tracking (o.a. Kamerstuk 32761-286)

26 643
Informatie- en communicatietechnologie (ICT)

Nr. 305
VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 28 juni 2024

De vaste commissie voor Digitale Zaken heeft een aantal vragen en opmerkingen voorgelegd
aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties over:

– de brief van 5 september 2023 inzake de toezegging gedaan tijdens het debat over de
bescherming van online gegevens inzake de inzet van het kabinet op het onderwerp van
cookies en online tracking (32 761, nr. 286) en

– de brief van 28 september 2023 inzake toezicht en handhaving cookies en online tracking
(Kamerstuk 26 643, nr. 1071)

De vragen en opmerkingen zijn op 30 november 2023 aan de Staatssecretaris van Binnenlandse
Zaken en Koninkrijksrelaties voorgelegd. Bij brief van 28 juni 2024 zijn de vragen
beantwoord.

De fungerend voorzitter van de commissie, Kathmann

Adjunct-griffier van de commissie, Muller

Vragen en opmerkingen vanuit de fracties en antwoord / Reactie van de bewindspersoon

Vragen en opmerkingen van de leden van de D66-fractie

Vraag

De leden van de D66-fractie hebben met interesse kennisgenomen van de brief van de
Staatssecretaris over de maatregelen met betrekking tot het plaatsen van cookies.
Deze leden zijn blij te lezen dat de Staatssecretaris voortvarend aan de slag is om
stappen te nemen om online gegevens beter te beschermen. Zij delen de overtuiging
dat een Europese aanpak het meest ideaal is. Tegelijkertijd kunnen de leden van deze
fractie ook niet anders dan constateren dat de onderhandelingen over dit onderwerp
al jarenlang weinig reden tot hoop op progressie geeft. Deze leden lezen dat het kabinet
werkt aan een non-paper met de Nederlandse inzet binnen Europa. Kan de Staatssecretaris
een tijdspad schetsen wanneer de Tweede Kamer deze inzet middels een BNC-fiche kan
inzien?

Antwoord

We hebben daar afgelopen tijd aan gewerkt. Op 11 juni hebben wij een concept-discussiepaper
informeel besproken met andere lidstaten in Brussel. Vanwege de aankomende kabinetswissel
vinden wij het echter niet opportuun om op dit moment een non-paper te publiceren.
Een tijdspad voor het publiceren van een non-paper en het delen daarvan met de Tweede
Kamer is aan het nieuwe kabinet.

Vraag

Ook lezen zij dat de Staatssecretaris met de Eurocommissaris voor Justitie, Didier
Reynders, heeft gesproken over het initiatief om cookietoestemming voor eindgebruikers
te versimpelen. Hoe schat de Staatssecretaris de kansen in dat er een meerderheid
wordt gevonden om hier afdwingbare afspraken over op te stellen?

Antwoord

Het is de Europese Commissie helaas niet gelukt om met bedrijven een zogenoemde cookie pledge overeen te komen. Bedrijven zouden op vrijwillige basis aanpassingen doorvoeren om
consumenten keuzes te bieden ten aan zien van onder andere «tracking cookies». De
inhoud van de cookie pledge kan nu dus niet als basis dienen voor afdwingbare afspraken.
Of er een meerderheid is binnen de Europese Unie voor afdwingbare afspraken – los
van de cookie pledge – is op dit moment lastig in te schatten.

Vraag

Uit de brief van de Staatssecretaris concluderen deze leden dat aanvullende nationale
regelgeving voor de invulling van de cookie-wetgeving weinig nuttig is, vanwege de
bestaande Europese regelgeving. Klopt het dan ook dat de uitvoering van de cookie-wetgeving
(zoals de praktijk van het toestemming geven door de eindgebruiker) in elke lidstaat
van de EU op eenzelfde manier is vormgegeven?

Antwoord

Cookies worden gereguleerd in onder andere de ePrivacyrichtlijn en de Algemene Verordening
Gegevensbescherming (AVG). De ePrivacyrichtlijn geldt voor alle Europese lidstaten.
Maar moest geïmplementeerd worden in nationale wetgeving van de lidstaten. Hoewel
hierdoor verschillen ontstonden,1 zijn die voor de praktijk niet significant en niet de oorzaak van de gesignaleerde
problematiek rondom dark patterns en consentmoeheid. Oorzaak is vooral het ontbreken
van een eenduidig antwoord op de vraag op welke wijze of wijzen de normen uit de ePrivacyrichtlijn
en de AVG in de praktijk moeten/mogen worden uitgelegd. Het toezicht op de naleving
van deze wetgeving en de normuitleg daarbij is in beginsel belegd bij de toezichthouders
in lidstaten. De bestaande toezichtspraktijk heeft echter nog niet geleid tot voldoende
houvast voor de uitwerking van de normen. Een mogelijke oplossing zou, naast een actiever
optreden van de toezichthouders, het verder uitwerken en aanscherpen van de normen
in de Europese wetgeving kunnen zijn.

Vraag

De leden van de D66-fractie constateren dat er toezichthouders zijn belast met de
verantwoordelijkheid om toezicht te houden op de praktijk van het plaatsen van cookies.
In andere Europese landen hebben toezichthouders aanzienlijke boetes uitgedeeld aan
bedrijven en organisaties die de regels hebben overtreden, zoals wanneer het Franse
agentschap voor gegevens bescherming «Commission nationale de l'informatique et des
libertés» ofwel CNIL een boete oplegde aan Microsoft. In hoeverre is dat in Nederland
recentelijk gebeurd?

Antwoord

Zowel de Autoriteit Persoonsgegevens (AP) als de Autoriteit Consument & Markt (ACM)
hebben aangegeven recentelijk geen boetes opgelegd te hebben voor het overtreden van
cookiewetgeving.

Vraag

In hoeverre is dit een prioriteit voor de toezichthouders?

Antwoord

Wanneer er sprake is van persoonsgegevens gelden naast de Telecomwet, waar de ACM
toezicht op houdt, ook de regels van de AVG waar AP toezicht op houdt. Omdat er bij
trackingcookies eigenlijk altijd sprake is van de verwerking van persoonsgegevens,
is tussen de toezichthouders bestuurlijk afgesproken dat de AP voorrang heeft op dit
onderwerp. Voor de ACM is dit daarom geen prioriteit. De AP heeft aangegeven met de
aangekondigde extra financiële middelen te werken aan versterking van het toezicht.

Vraag

Ten slotte, de overheid maakt gebruik van platforms die tracking cookies benutten,
namelijk Facebook-pagina’s. Kan de Staatssecretaris een stand van zaken geven van
de onderhandelingen met Meta over de overheidspagina’s op onder andere Facebook, zo
vragen de leden van de D66-fractie.

Antwoord

In november 2022 heeft uw Kamer de Data Protection Impact Assessment (DPIA) en Human Rights Impact Assessment (HRIA) ontvangen, die op verzoek van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
(BZK) zijn uitgevoerd op het gebruik van Facebookpagina’s (Facebook Pages) door de
Rijksoverheid. Uit de DPIA bleek dat er zeven hoge privacyrisico’s bestaan voor burgers
bij het gebruik van Facebook Pages door de overheid. Naar aanleiding van de hoge risico’s
die tijdens de DPIA zijn geconstateerd heeft het Ministerie van BZK vanaf najaar 2022
met Meta gesprekken gevoerd.

Aangezien deze gesprekken niet leidden tot een oplossing, is een adviesaanvraag bij
de Autoriteit Persoonsgegevens (AP) ingediend. Op 19 april jl. heeft de Staatssecretaris
van BZK u hierover geïnformeerd. De AP heeft bevestigd dat er duidelijkheid moet komen
in de rollenverdeling tussen BZK en Meta en dat indien deze duidelijkheid er niet
is, de AP adviseert de verwerkingen te beëindigen. Vervolgens moeten ook de in de
DPIA geconstateerde hoge risico’s weggenomen worden om gebruik te kunnen blijven maken
van Facebook Pages. Tevens is de Europese Commissie hierover geïnformeerd; zij heeft
laten weten onze zorgen serieus te nemen en bestudeert hoe dit mee te nemen in haar
onderzoeken naar de grote tech platforms.

In de hierop volgende weken is er meermaals contact geweest tussen BZK en Meta. Dit
heeft recent geresulteerd in een overleg tussen Meta en meerdere ministeries. We zijn
verheugd dat we nu concreet in overleg zijn en dat Meta heeft aangegeven er met ons
uit te willen komen. Gelet op het feit dat deze gesprekken besloten zijn, kan ik uw
Kamer op dit moment nog niet over de inhoud berichten. Het volgende kabinet zal de
gesprekken met Meta definitief tot een goed einde moeten brengen.

Vragen en opmerkingen van de leden van de GroenLinks-PvdA-fractie

Vraag

De leden van de GroenLinks-PvdA-fractie lezen dat cookiemuren door overheden niet
gebruikt worden. Komen er verplichtingen voor private organisaties om deze cookiemuren
ook niet te gebruiken?

Antwoord

Op basis van de AVG heeft de AP in 2018 geconcludeerd dat het gebruik van cookiemuren
geen geldige toestemming oplevert.2 Dit is nader bevestigd door het Europees Comité voor gegevensbescherming (EDPB) in
2020.3 Dit geldt voor alle organisaties, dus ook private organisaties.

Vraag

Op welke manieren kan het kabinet bedrijven hierop wijzen en aanspreken?

Antwoord

Het kabinet ziet dit als een taak voor de betreffende toezichthouders, zoals in Nederland
de AP en ACM. Zij kunnen dit onder de aandacht brengen en waar nodig op handhaven.

Vraag

Wat is de inzet van het kabinet op het tegengaan van «consentmoeheid» en «dark patterns»?

Antwoord

Zoals is uiteengezet in de Kamerbrief cookies en online tracking4 is het kabinet van mening dat consentmoeheid en dark patterns waarschijnlijk niet goed verenigbaar zijn met de het vereiste van toestemming uit
de AVG en de Telecommunicatiewet (Tw). De AVG, en daarmee de Tw, vereist immers dat
toestemming als grondslag voor gegevensverwerking vrij, specifiek, geïnformeerd en
ondubbelzinnig moet worden gegeven. Het is aan de AP en de ACM om dit te interpreteren
en toe zien op de naleving van de AVG en de Tw. Het kabinet heeft structureel extra
geld vrijgemaakt voor de AP om het toezicht te versterken.

Het kabinet heeft zich op Europees niveau voor aanpassing van de ePrivacyrichtlijn
ingespannen. Een belangrijk punt daarin was het feitelijk mogelijk maken om categorieën
cookies en tracking automatisch te weigeren, bijvoorbeeld via een browser. Daardoor
worden gebruikers minder geconfronteerd met banners, wat moet leiden tot minder consentmoeheid.

Vraag

Deelt de Staatssecretaris de mening van deze leden dat realtime bieden onwenselijk
is?

Antwoord

Het kabinet ziet dat in de praktijk van realtime bieden veel persoonsgegevens worden
verwerkt, en dat het van groot belang is dat daarbij de regels en beginselen uit de
AVG worden nageleefd. Voor het verwerken van persoonsgegevens moet een grondslag zijn.
Als de grondslag wordt gezocht in toestemming van de betrokkene, moet die toestemming
vrij, specifiek, geïnformeerd en ondubbelzinnig zijn gegeven. Ook aan andere vereisten
op grond van de AVG, zoals dataminimalisatie, moet zijn voldaan. De huidige werkwijze
van realtime bieden op gepersonaliseerde advertenties lijkt op gespannen voet te staan
met deze AVG-vereisten. Het is aan de toezichthouder, in Nederland de AP, om toe te
zien op de naleving van de AVG en desgewenst handhavend op te treden.

Vraag

Wat is de Nederlandse inzet om deze vorm van agressief adverteren aan banden te leggen?

Antwoord

Zoals toegelicht in het vorige antwoord, dient realtimebieden op gepersonaliseerde
advertenties in ieder geval in overeenstemming te zijn met de AVG. Het is aan de toezichthouder,
die volgens de AVG strikt onafhankelijk is, te beoordelen of in specifieke gevallen
de AVG wordt geschonden en er eventueel handhavend dient te worden optreden.

Vraag

De leden van de GroenLinks-PvdA-fractie zijn het eens met de Staatssecretaris dat
cookies gemakkelijk geweigerd moeten kunnen worden. Deze leden zien dat dit nu vaak
niet het geval is en betreuren de vastgelopen onderhandelingen op de ePrivacy-verordening.
Kan de Staatssecretaris verder toelichten waarom er geen vordering is gemaakt in deze
onderhandelingen?

Antwoord

De standpunten van de Raad en het Europees parlement liggen op verschillende belangrijke
onderwerpen, zoals het communicatiegeheim en de cookiebepaling, ver uiteen. Dit heeft
er toe geleid dat de onderhandelingen zijn vastgelopen. Er is op dit moment geen zicht
op verdere voortgang.

Vraag

Hoe groot acht zij de kans dat het toekomstige voorstel stappen terug doet op het
gebied van databescherming?

Antwoord

Zoals toegelicht in het vorige antwoord, is er op dit moment geen zicht op verdere
voortgang in de onderhandelingen over de e-privacyverordening. Dit neemt niet weg
dat de Nederlandse inzet steeds is geweest dat het niveau van bescherming van e-privacyregels,
ook in een eventueel toekomstig voorstel, in dit rechtsgebied niet lager mag zijn
dan het beschermingsniveau van de AVG. Dit betekent onder meer dat de uitzonderingen
op het communicatiegeheim en het toestemmingsvereiste bij het plaatsen en lezen van
informatie op een eindapparaat (de cookiebepaling) binnen het regime van de AVG moeten
passen.

Vraag

Kan het kabinet waarborgen dat zij tegen ieder voorstel zal stemmen dat minder bescherming
van gegevens biedt dan de ePrivacy-richtlijn van 2009, de Algemene verordening gegevensbescherming
(AVG) en de jurisprudentie van het Hof van Justitie op dataretentie?

Antwoord

Het is de altijd de inzet geweest dat de bescherming verbeterd moet worden, niet verminderd.

Vraag

Is zij zich daarbij bewust van de effectieve alternatieven voor gepersonaliseerd adverteren
gebaseerd op tracking, zoals contextueel adverteren?

Antwoord

Ja, het kabinet is zich bewust van alternatieven voor gepersonaliseerd adverteren
zoals contextueel adverteren.

Vraag

En verzoekt het kabinet actief om vervangende wetgeving met strengere maatregelen
om gepersonaliseerd adverteren gebaseerd op tracking te verbieden?

Antwoord

Het huidige kabinet is niet van mening dat gepersonaliseerd adverteren gebaseerd op
tracking verboden moet worden. Voorop staat dat bij deze, en ander verwerkingen van
persoonsgegevens, de AVG dient te worden nageleefd. Het is aan de onafhankelijke toezichthouder
om toe te zien op de naleving van de AVG en waar dit nodig is handhavend op te treden.
Tegelijkertijd ziet dit kabinet dat de wijze waarop in de praktijk van gepersonaliseerd
adverteren invulling wordt gegeven aan het toestemmingsvereiste niet altijd leidt
tot een prettige gebruikerservaring. Eindgebruikers accepteren daardoor vaak de cookies,
ondanks dat dat mogelijk niet is wat zij echt willen. Zoals toegelicht in de Kamerbrief
cookies en online tracking,5 heeft het kabinet zich ervoor ingezet om die situatie te verbeteren.

Vraag

Schaart het kabinet zich bijvoorbeeld achter het voorstel om gerichte politieke advertenties
in verkiezingstijd te verbieden?

Antwoord

Het kabinet is niet bekend met een concreet voorstel om gerichte politieke advertenties
in verkiezingstijd te verbieden. Wel wordt dit moment in de Europese Unie onderhandeld
over de EU verordening politieke advertenties waarin de regels voor politieke advertenties
in EU-landen wordt aangescherpt. Op 7 november 2023 hebben de Raad en het Europees
parlement een voorlopig politiek akkoord bereikt over deze verordening. Op dit moment
worden de technische details uitgewerkt waarna het opnieuw ter besluitvorming voorligt.
In deze uitwerking wordt, conform de eerdere inzet, toegezien op de bewaking van vrijheid
van meningsuiting, een werkbare implementatietermijn en beperkte administratieve lasten.

Het kabinet wijst er op dat het gebruik van gerichte advertenties politieke partijen
in staat stelt met beperkt budget een relevante groep kiezers te bereiken. Denk hierbij
bijvoorbeeld aan de mogelijkheid voor een lokale politieke partij om specifiek te
adverteren in de regio waar de partij verkiesbaar is. Het kabinet steunt daarom de
lijn van de EU verordening waarin gerichte politieke advertenties mogelijk blijven
maar wel wordt ingezet op een algeheel verbod voor het gebruik van bijzondere persoonsgegevens
en aangescherpte regels voor het gebruik van overige persoonsgegevens voor politieke
advertenties. Zo moet een gebruiker expliciet toestemming hebben gegeven voor het
gebruik van persoonsgegevens en moet een politieke advertentie bepaalde transparantiegegevens
bevatten, zoals wie de advertentie heeft betaald en welke persoonsgegevens hiervoor
zijn gebruikt. Het kabinet is dus tegen een algemeen verbod op gerichte politieke
advertenties in verkiezingstijd.

Vraag

De leden van de GroenLinks-PvdA-fractie merken op dat de ePrivacy-wetgeving geen cookie
banners voorschrijft. Toch zien deze leden dat bedrijven dit er wel van hebben gemaakt.
Deelt de Staatssecretaris de mening dat cookies moeten uitgaan van een «opt-in» principe,
in plaats van een «opt-out» principe?

Antwoord

Volgens de Tw mogen cookies in beginsel slechts worden geplaatst als de eindgebruiker
is voorzien van duidelijke en volledige informatie en als deze voorafgaand toestemming heeft verleend. Voor de definitie van duidelijke en volledige informatie en de definitie van toestemming wordt verwezen naar de AVG. Deze vereisten volgen het «opt-in» principe, op basis
waarvan in beginsel geen cookies mogen worden geplaatst tenzij daarvoor de nodige
toestemming is gegeven (de opt-in). Het kabinet ziet dat bedrijven hieraan volgens
de huidige wetgeving op verschillende manieren, bijvoorbeeld via een cookiebanner,
uitvoering kunnen geven. Zoals in de Kamerbrief over cookies en online tracking6 is uiteengezet, wil het kabinet geen afbreuk doen aan de vereisten voor toestemming
uit de AVG.

Vraag

Wat zijn de mogelijkheden – nationaal en Europees – om dit principe om te keren, zodat
gebruikers eerder alle cookies zullen afwijzen dan dat zij deze ongeïnformeerd accepteren?

Antwoord

Zoals toegelicht in het vorige antwoord, is al toestemming vereist voor het plaatsen
van cookies en wordt de keuze voor toestemming vaak voorgelegd via een cookiebanner.
Zonder toestemming is het verwerken van de met de cookies verkregen gegevens niet
rechtmatig. Het kabinet onderschrijft dat cookiebanners niet moeten worden gebruikt
om betrokkenen te misleiden, bijvoorbeeld via dark patterns. In die gevallen is gegeven toestemming, zoals eerder in de Kamerbrief cookies en
online tracking7 is uiteengezet, waarschijnlijk niet rechtmatig. Het is aan de toezichthouders om
toe te zien op de naleving van die vereisten.

Vraag

Is de aangekondigde non-paper met de Nederlandse inzet over de verbeteringen van de
Europese wetgeving al gereed?

Antwoord

Zie hiervoor het antwoord op de eerste vraag van de D66-fractie.

Vraag

Kan de Staatssecretaris deze delen of op hoofdlijnen samenvatten?

Antwoord

Het is aan een nieuw kabinet om een eventueel non-paper met uw Kamer te delen.

Vraag

De leden van de GroenLinks-PvdA-fractie waarderen de inzet van de Staatssecretaris
op het bindend maken van de «cookie pledge» op bedrijven. Heeft de Staatssecretaris
sinds het versturen van haar brief d.d. 5 september jl. hier contact over gehad met
bedrijven in Nederland, zoals zij in die brief aankondigt?

Antwoord

Nee. Helaas is er geen resultaat gekomen uit de cookie pledge en is het niet zinvol om daarover te spreken met bedrijven.

Vraag

Hebben deze gesprekken geleid tot het beoogde resultaat?

Antwoord

Zoals toegelicht bij de vorige vraag hebben deze gesprekken nog niet plaatsgevonden.

Vraag

Wat vindt de Staatssecretaris van het voorstel van Facebook en Instagram om gebruikers
de keuze voor te leggen een maandelijks abonnement te betalen om zonder cookies en
tracking deze platforms te gebruiken, terwijl niet betalende gebruikers wél te maken
hebben met cookies en tracking?

Antwoord

Het kabinet benadrukt dat het volgens het stelsel van de AVG aan de onafhankelijke
toezichthouder – in Nederland de AP – is om te beoordelen of in concrete gevallen,
bijvoorbeeld bij toepassing van consent-or-pay modellen, de AVG wordt nageleefd en
handhavend op te treden. Het kabinet ziet dat de AP mede namens de Noorse en de Duitse
(Hamburgse) autoriteit aan de EDPB uitleg heeft verzocht om over de AVG met betrekking
tot zogenoemde «consent or pay» modellen. Deze modellen stellen personen voor de keuze hun data beschikbaar te stellen
of daarvoor te betalen. Als gevolg daarvan geven de meeste gebruikers toestemming
voor het verwerken van hun gegevens, terwijl zij de volledige implicaties van hun
keuze niet begrijpen. De EDPB overweegt in haar opinie dat het in de meeste gevallen
niet mogelijk is om te voldoen aan de vereisten voor geldige toestemming als gebruikers
worden geconfronteerd met een keuze tussen toestemming voor gegevensverwerkingen ten
behoeve van gepersonaliseerde advertenties (behavioral advertising) en het betalen van een vergoeding. De EDPB geeft dan ook aan dat het onwenselijk
is als aan gebruikers standaard slechts een betaald alternatief wordt geboden voor
het verwerken van persoonsgegevens ten behoeve van gepersonaliseerde advertenties.
Een belangrijke rol speelt daarbij ook de mogelijk onevenwichtige machtsverhouding
tussen de verwerkingsverantwoordelijke en de betrokkene wiens gegevens worden verwerkt.

Vraag

Deelt de Staatssecretaris de mening dat gebruikers in Europa niet zouden te hoeven
betalen om zonder cookies en tracking het internet te gebruiken?

Antwoord

Voor het kabinet staat voorop dat respect voor grondrechten in de digitale economie
en in de samenleving geborgd dient te zijn en blijven. Het recht op gegevensbescherming
is een van die grondrechten. In dit verband ziet het kabinet dat het geven van toestemming
voor het verwerken van persoonsgegevens volgens de EDPB, in de context van «consent or pay» modellen, uitdrukking dient te zijn van een reële keuze. De vraag of aan het vereiste
van toestemming in het kader van het recht op gegevensbescherming in concrete gevallen
is voldaan, is aan de toezichthouder om te beoordelen.

Daarbij dient naar de opvatting van het kabinet het internet voor iedereen toegankelijk
te zijn. Dat neemt niet weg dat sommige diensten op het internet alleen kunnen blijven
bestaan als daar een vorm van beloning tegen overstaat. Dat kan door middel van advertenties.
Daarbij hoeft het niet per se te gaan om tracking maar kan het, bijvoorbeeld, ook
gaan om zogenoemde contextueel adverteren met advertenties die alleen samenhangen
met het onderwerp waar de gebruiker naar kijkt.

Vraag

De leden van de GroenLinks-PvdA-fractie lezen over de rolverdeling tussen de Autoriteit
Consument & Markt (ACM) en de Autoriteit Persoonsgegevens (AP). Op basis van welk
kader toetst de AP of de eisen van de AVG worden nageleefd?

Antwoord

Het kader op basis waarvan de AP toetst is de AVG zelf.

Vraag

Met welk publiek houdt de AP rekening bij het beoordelen of «duidelijke en volledige
informatie» is verschaft, met oog op de grote groep Nederlanders die (digitaal) laaggeletterd
is?

Antwoord

De bepalingen van de AVG zijn niet specifiek gericht op verschillende niveaus van
digitale geletterdheid. De AP wijst wel op de richtsnoeren van de EDPB inzake toestemming,8 waarin bij het vragen om toestemming gebruik gemaakt moet worden van heldere en duidelijke
taal. Dit betekent dat een bericht gemakkelijk te begrijpen moet zijn voor de gemiddelde
persoon, en niet alleen voor, bijvoorbeeld, juristen.

Vraag

Welke extra stappen neemt het kabinet om de privacy van juist deze groep te beschermen?

Antwoord

Zoals aangekondigd in de Kamerbrief9 wordt bekeken hoe de bekendheid van instrumenten om privacy te beschermen vergroot
kan worden. Hiervoor zal verkend worden hoe het onderwerp geïntegreerd kan worden
in de hulptool cyberweerbaarheid voor burgers, waar ook aandacht voor de genoemde
groep burgers is.

Vraag

Ziet de Staatssecretaris hierin een rol voor het «Personal Information Management
System» (PIMS) dat bijvoorbeeld wordt gebruikt in Duitsland?

Antwoord

Een dergelijk systeem zou kunnen bijdragen aan een betere bescherming van de privacy
van (digitaal) laaggeletterden. Zolang het echter vrijwillig is, verwacht het kabinet
dat dit vooral ten goede zal komen aan de gebruikers die digitaal vaardig zijn, omdat
zij deze tools zelf weten te vinden.

Vraag

Is het mogelijk om deelname aan een dergelijk systeem verplichtend te maken, zodat
dit goed wordt nageleefd?

Antwoord

Het kabinet ziet daarvoor – net als de Duitse regering – geen mogelijkheden. De regels
voor cookies volgen uit de Europese ePrivacyrichtlijn. Hieruit volgt dat een website
om toestemming moet vragen voor het plaatsen van cookies en vergelijkbare tracking.
Het blijft daarmee mogelijk voor een website om middels een banner om toestemming
te verzoeken ook al wordt gebruik gemaakt van PIMS.

Vraag

De leden van de GroenLinks-PvdA-fractie zien dat de Staatssecretaris verwijst naar
het gebruiken van browser plug-ins om cookies op te schonen. Vindt de Staatssecretaris
dat dergelijke plug-ins en Adblockers breed genoeg bekend zijn?

Antwoord

Plug-ins zoals adblockers zijn in staat cookies en andere vormen van online tracking
te blokkeren. Uit het Cybersecurityonderzoek Alert Online 202310 blijkt dat 36% van de Nederlanders bekend is met adblockers. Daarnaast maakt 32%
van de Nederlanders gebruik van extensies om cookies en dergelijke te blokkeren en
nog eens 31% van de Nederlanders geeft aan hiervan gebruik te willen maken. De bekendheid
van adblockers is in Nederland relatief hoog, hoewel er ruimte is voor verbetering.
Toch was de inzet van dit kabinet primair op betere Europese wetgeving om burgers
te beschermen tegen door hen ongewenste tracking cookies.

Vraag

Welke mogelijkheden ziet zij om databeveiligingssoftware bekend en beschikbaar te
maken voor een zo groot mogelijke groep, zodat de bescherming van data niet alleen
is weggelegd voor mensen met veel technische kennis?

Antwoord

Het kabinet benadrukt dat het recht op gegevensbescherming niet is voorbehouden aan
mensen met veel technische kennis. Zo is de verwerkingsverantwoordelijke, die verantwoordelijk
is voor de verwerking van persoonsgegevens onder de AVG, verplicht de nodige technische
of organisatorische maatregelen te nemen om de integriteit en veiligheid van de gegevensverwerking
te waarborgen. Het is in beginsel aan de verwerkingsverantwoordelijke zelf om daartoe
de nodige maatregelen te nemen. Daarvan profiteert iedereen wiens gegevens worden
verwerkt. Dit is een van de voorwaarden die de AVG stelt aan de verwerking van persoonsgegevens.
De AP ziet toe op de naleving daarvan.

Het kabinet wil de informatieverstrekking over dit onderwerp met praktische tips en
tricks faciliteren via de hulptool cyberweerbaarheid die we gratis beschikbaar stellen
aan iedereen die vanuit een helpdesk/baliefunctie te maken heeft met vragen van burgers
over informatieveiligheid (bijvoorbeeld via de «informatiepunten digitale overheid»).
Dit moet dit jaar toegevoegd zijn. Daarnaast werken we aan een laagdrempelige zelfhulptool
cyberweerbaarheid voor het brede publiek die dit jaar wordt opgeleverd en via verschillende
kanalen te benaderen zal zijn, zoals via de website veiliginternetten.nl. Tot slot
is het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties met wetenschappers
in gesprek om te kijken welke oplossingen kunnen bijdragen aan de digitale weerbaarheid
van burgers, waar ook de bescherming van de data van burgers onder valt.

Vraag

Ziet de Staatssecretaris daarin een rol voor de overheid?

Antwoord

Ja, zoals hierboven toegelicht neemt de overheid stappen daarin.

Vraag

Tot slot vragen de leden van de GroenLinks-PvdA-fractie of de Staatssecretaris op
de hoogte is van het voorstel van een Digital Advertising Act in de Senaat van de
Verenigde Staten11, wat gericht is op een betere rolverdeling op de online advertentiemarkt. Deze leden
zijn het eens met de stelling dat je niet aanbieder, tussenpersoon en veilingmeester
tegelijk kan zijn, terwijl dit op de online advertentiemarkt wel vaak het geval is.
Kan de Staatssecretaris een korte appreciatie geven van dit voorstel uit de Verenigde
Staten en is zij bereid om zich ook in Europa hard te maken voor een dergelijk voorstel?

Antwoord

De Competition and Transparency in Digital Advertising (CTDA) Act richt zich op de
macht van grote online platforms op de digitale advertentiemarkt. Het doel van de
CTDA Act is het herstellen en beschermen van concurrentie op de markt van digitale
advertenties. Dat doet de Act op twee manieren. Ten eerste bevat de regelgeving structurele
maatregelen voor de allergrootste advertentiebedrijven (> $ 20 mld. omzet door advertenties)
waarmee wordt voorkomen dat een platform meerdere rollen op de markt heeft (zowel
actief is aan de vraagkant, als de aanbodkant en/of als tussenpersoon). Daarnaast
bevat de regelgeving ook gedragsmaatregelen voor (middel)grote bedrijven (> $ 5 mld.
Omzet door advertenties) om consumenten beter te beschermen en te zorgen voor meer
concurrentie. Een voorbeeld hiervan is de verplichting om in het beste belang van
hun klanten te handelen (en mogelijk niet in het belang van het platform), bijvoorbeeld
bij het uitvoeren van biedingen voor advertenties.

Het kabinet heeft zich de afgelopen jaren in Europa sterk gemaakt voor aanvullende
regelgeving voor de allergrootste online platforms. Daarom is het kabinet ook blij
met de komst van de Digital Markets Act (DMA). Er zijn verschillende gelijkenissen
tussen de CTDA Act en de DMA. Allereerst het doel. De DMA heeft als doel het vergroten
van concurrentie en het beter beschermen van gebruikers op digitale markten. Daarnaast
bevat de DMA verschillende gedragsmaatregelen voor platforms waar gebruikers nauwelijks
meer omheen kunnen, zogeheten poortwachters. Een voorbeeld van een maatregel uit de
DMA die raakt aan de rolverdeling op advertentiemarkten gaat over het gebruik van
niet-publiek beschikbare data (gegenereerd in de rol als platform) in concurrentie
met zakelijke gebruikers (in de rol als aanbieder). De poortwachter mag niet-publiek
beschikbare data, die de poortwachter via haar kernplatformdienst of aanvullende diensten
van zakelijke gebruikers (of via diens eindgebruikers) heeft gegenereerd, niet gebruiken
in concurrentie met die zakelijke gebruiker. Ook bevat de DMA de mogelijkheid om in
het uiterste geval structurele maatregelen op te leggen bij systematische niet-naleving
die kunnen ingrijpen op de rolverdeling op advertentiemarkten.

Het kabinet is positief over het feit dat ook in andere landen regelgeving voor de
allergrootste online platforms tot stand komt. Tegelijkertijd is het ook belangrijk
om er bewust van te zijn dat deze poortwachters vaak een ecosysteem aan diensten bezitten.
De regelgeving moet daarom ook gericht zijn op het tegengaan van overheveling van
macht van de ene dienst/markt naar de andere dienst/markt. De voorkeur gaat daarom
uit naar regelgeving die niet specifiek gericht is op één dienst of markt, maar op
de rol van het platform als geheel op digitale markten. Bijvoorbeeld de DMA. De regels
uit de DMA gelden namelijk naast advertentiediensten ook voor verschillende andere
kernplatformdiensten, zoals appstores, zoekmachines en webbrowsers.

Gezien het feit dat de DMA mogelijkheden biedt om maatregelen op te leggen aan poortwachters
die raken aan de rolverdeling op advertentiemarkten en nog in de implementatiefase
zit, acht de Minister van Economische Zaken en Klimaat het op dit moment niet opportuun
om zich hard te maken voor aanvullende regelgeving die specifiek ziet op de rolverdeling
op de digitale advertentiemarkt. Uiteraard blijft de Minister van Economische Zaken
de ontwikkelingen op deze markt nadrukkelijk volgen.

Vragen en opmerkingen van de leden van de CDA-fractie

De leden van de CDA-fractie zijn verheugd dat het kabinet voornemens is vanaf volgend
jaar extra budget vrij te maken voor het toezicht op cookies en online tracking. Deze
leden hebben nog enkele vragen over de invulling.

Vraag

De leden van de CDA-fractie vragen waarom ervoor is gekozen om het extra budget te
beleggen bij de AP, in plaats van bij de andere toezichthouder op dit onderwerp, de
ACM. Deze leden vragen of het kabinet deze keuze wil toelichten, aangezien de wettelijke
bepalingen rondom cookies volgen uit de Telecommunicatiewet (TW), waarin overigens
wordt verwezen naar de AVG en waarop de ACM toezicht houdt inzake de bescherming van
consumentenbelangen. Zij vragen of het primaat in het toezicht en de handhaving daarom
niet zou moeten liggen bij de ACM, ook omdat dit onderwerp raakt aan de doelstellingen
uit de Nationale Consumentenagenda.

Antwoord

Het gaat hier primair om een privacyvraagstuk. Voor de regels uit de Tw geldt dat
deze zien op alle denkbare gegevens. Dus ook op gegevens die niet zijn te beschouwen
als persoonsgegevens (bijvoorbeeld informatie over bedrijfsprocessen). Wanneer er
sprake is van persoonsgegevens gelden naast de Tw ook de regels van de AVG. Omdat
er bij trackingcookies eigenlijk altijd sprake is van de verwerking van persoonsgegevens,
zijn zowel de Tw als de AVG van toepassing. Tussen de toezichthouders was reeds bestuurlijk
afgesproken dat de AP voorrang heeft op dit onderwerp. In de praktijk was daarmee
de AP ook al actiever, bijvoorbeeld in werkgroepen van de EDPB. Daarom is besloten
om het extra budget te beleggen bij de toezichthouder die reeds actief was op dit
onderwerp.

Vraag

Deze leden vragen of hier ook over is gesproken met de AP en de ACM en of door deze
toezichthouders een voorkeur is uitgesproken.

Antwoord

Ja, hier is over gesproken met beide toezichthouders. De AP had de voorkeur de extra
middelen bij hen te beleggen. De ACM had geen bezwaar tegen de keuze om extra middelen
te beleggen bij de AP.

Vraag

De leden van de CDA-fractie lezen dat het kabinet zich op Europees niveau wil inspannen
om ervoor te zorgen dat cookies makkelijker geweigerd kunnen worden. Deze leden steunen
dat en hebben al meerdere malen aandacht gevraagd voor de aanpak van «dark patterns».
Deze leden vragen hoe het kabinet werkt aan de aanpak van dark patterns bij de verschillende
relevante onderwerpen zoals sociale media, verleidingstechnieken in games en cookies
en welke concrete stappen het kabinet hierin neemt.

Antwoord

De Europese Commissie onderzoekt momenteel of de huidige regels consumenten ook online
voldoende beschermen («fitness check»)12, waaronder op het gebied van dark patterns. De verwachting is dat de Europese Commissie haar uitkomsten van deze fitness check
in het tweede kwartaal van 2024 publiceert.

De Minister van Economische Zaken en Klimaat heeft in het kader van deze fitness check
in juli 2023 een non-paper13 met de Europese Commissie gedeeld. Hierin heeft de Minister aangegeven dat de ontwikkelingen
in de digitale economie snel gaan. Een hoog niveau van consumentenbescherming kan
hierdoor onder druk komen te staan, bijvoorbeeld als gevolg van het ontwerp van websites
en apps. Om die reden is in het non-paper aanbevolen om consumentenwetgeving te flexibiliseren
om hier sneller op te kunnen reageren. In het non-paper worden ook een aantal andere
aanbevelingen gedaan, zoals een verbod op loot boxes en striktere regelgeving voor digitale munten.

In het kader van dit non-paper, heeft het Ministerie van Economische Zaken en Klimaat
in november 2023 een bijeenkomst georganiseerd in Brussel om met lidstaten en de Commissie
hierover van gedachten te wisselen. Hier is ook specifiek gesproken over de problematiek
rondom dark patterns.

Vraag

Zij vragen ook of het kabinet nationaal stappen wil zetten als blijkt dat het te lang
duurt om op Europees niveau de juiste wettelijke aanpassingen door te voeren.

Antwoord

Zoals genoemd bij de vorige vraag, heeft de Minister van Economische Zaken en Klimaat
in Europees verband aandacht gevraagd voor de aanpak van dark patterns via de fitness check.

Het kabinet ziet nu geen aanleiding om op nationaal niveau wettelijke aanpassingen
door te voeren. Dark patterns kunnen immers op grond van de huidige Richtlijn Oneerlijke Handelspraktijken14 nu ook al worden aangepakt. Dark patterns zijn manipulatieve of misleidende technieken die consumenten ertoe aan kunnen zetten
om keuzes te maken die niet in hun belang zijn. Het misleiden van consumenten door
middel van een dark pattern is al verboden. Bij een overtreding van de Richtlijn Oneerlijke Handelspraktijken
kan de ACM handhavend optreden. Europese consumententoezichthouders, waaronder de
ACM, hebben onderzoek gedaan naar dark patterns.15 De ACM gaat een vervolgonderzoek uitvoeren naar Nederlandse webshops die dark patterns inzetten.16

Daarbij ziet het kabinet dat de problematiek op het gebied van dark patterns ook op Europees niveau aandacht krijgt. Zo worden dark patterns in andere rechtsgebieden verder gereguleerd, zoals in de Digital Services Act17.

Vraag

De leden van de CDA-fractie vragen als laatste waarom het kabinet de Nederlandse toestemmingsuitzondering
voor analytische cookies Europees wil behouden.

Antwoord

Analytische cookies, zoals gedefinieerd door de Nederlandse Telecommunicatiewet, hebben
geen of geringe gevolgen voor de persoonlijke levenssfeer. Door deze uit te zonderen
van de toestemmingsverplichting, worden gebruikers met minder banners geconfronteerd
wat de gebruikservaring ten goede komt. En door deze cookies uit te zonderen, worden
deze cookies met lagere impact voor gebruikers niet op dezelfde wijze behandeld als
hogere impact cookies, zoals tracking cookies. Daardoor wordt de toestemmingsmoeheid
verminderd en kunnen gebruikers zich focussen op bewust accepteren of weigeren van
de impactvolle cookies.

Nadere informatie over de overwegingen is te vinden in de memorie van toelichting
van het wetsvoorstel dat deze uitzondering toevoegde.18

Vragen en opmerkingen van de leden van de SP-fractie

Vraag

De leden van de SP-fractie lezen dat het kabinet, als het gaat over het reguleren
van online tracken, de focus van beleid vooral legt op mensen de keuze geven of ze
online wel of niet getrackt willen worden, maar er is geen fundamentele analyse of
dit wel een wenselijk fenomeen is. Deze leden vinden het niet menswaardig dat personen
die het internet gebruiken door gigantische techbedrijven zoals Meta en Google worden
getrackt om gigantische datasets over het gedrag van een persoon te maken en door
te verkopen aan iedereen die deze informatie wil hebben. Het tast aan privacyrechten
en geeft bedrijven de macht om het gedrag van mensen te wijzigen op een subtiele manier.
Online gokbedrijven, bijvoorbeeld, kunnen hierdoor precies de mensen met een hogere
kans op een gokverslaving targeten met reclames. Grote datasets over het online gedrag
van personen zorgt voor miljardenwinsten van de techbedrijven, over de rug van hun
sitegebruikers heen. Deze leden vinden dat er geen plek is voor deze markt in onze
samenleving en zien het liefst dat deze vorm van dataverzameling niet wordt toegestaan.
Hoe kijkt de Staatssecretaris naar deze fundamentele vraag of deze vorm van dataverzameling
en verkoop wel menswaardig is en thuis hoort in ons land, en deelt het kabinet de
mening van deze leden dat de macht die grote techbedrijven nu hebben over onze inwoners
veel te groot is?

Antwoord

Het kabinet herkent de zorgen van de vragenstellers over het grootschalig verzamelen
van data en het gebruik daarvan voor onder meer gepersonaliseerde advertenties. Tegelijkertijd
ziet het kabinet dat het belangrijk is dat in beginsel toestemming kan worden gegeven
voor het verwerken van persoonsgegevens voor specifieke doeleinden. Deze mogelijkheid
om daarvoor en de gevolgen daarvan welbewust te kunnen kiezen past in principe goed
bij menselijke waardigheid als uitgangspunt voor individuele verantwoordelijkheid.
Wel is van belang dat de betrokkene dan ook echt een vrije keuze heeft, goed wordt
geïnformeerd, de toestemming ondubbelzinnig is voor een specifiek doel, en de toestemming
in de praktijk ook kan worden geweigerd of ingetrokken zonder nadelige gevolgen. Zoals
ook de opinie van de EDPB over het «consent-or-pay» model illustreert, is volgens de AVG ook de machtsverhouding tussen de verwerkingsverantwoordelijke
en de betrokkene van betekenis bij het oordeel of sprake is van vrije toestemming.
Het kabinet ziet dat deze normen in de praktijk niettemin onder druk kunnen komen
te staan. Het kabinet heeft zich er voor ingespannen om dat te verbeteren, bijvoorbeeld
met het versterken van het toezicht zoals toegelicht in de Kamerbrief.19

Het kabinet herkent verder dat de macht van grote techbedrijven over inwoners te groot
is, zoals ook benoemd in de hoofdlijnenbrief digitalisering en de Werkagenda Waardengedreven
Digitaliseren.20 Het kabinet spant zich ervoor in om op zowel nationaal als Europees niveau deze macht
te beperken.

Vraag

Ook lezen de leden van de SP-fractie dat het kabinet op nationaal niveau geen betekenisvolle
mogelijkheden ziet om met aanvullende wetgeving de huidige praktijk te verbeteren.
Deze leden begrijpen deze reactie niet goed, want zij zien wel degelijk kansen om
online tracking en de verkoop van deze data te beperken, bijvoorbeeld door de verkoop
van data verzameld via cookies en andere vormen van online tracking op computers in
Nederland te verbieden. Zou de Staatssecretaris kunnen toelichten waarom het kabinet
van mening is dat nationale wetgeving de huidige praktijk niet kan verbeteren?

Antwoord

Zoals in de brief over cookies en online tracking is opgenomen, is regulering op dit
onderwerp ingekaderd door de Europese ePrivacy-richtlijn en de AVG. Dit maakt dat
er slechts zeer beperkte ruimte is voor nationale invulling. Dat is ook niet vreemd,
gezien het doel van harmonisatie en het grensoverschrijdende karakter van cookies.
Het kabinet heeft daarom moeten concluderen dat het niet mogelijk is om op nationaal
niveau betekenisvol af te wijken.

Vraag

Deelt de Staatssecretaris de mening van deze leden dat de Rijksoverheid de verantwoordelijkheid
heeft om inwoners te beschermen van misbruik van persoonsgegevens en online tracking
op grote schaal, ook als dat nog niet op Europees niveau is geregeld?

Antwoord

Ja, het grondrecht op gegevensbescherming is echter al gecodificeerd in artikel 8
EU Handvest en verder uitgewerkt in onder meer de AVG. De AVG biedt bescherming tegen
misbruik van persoonsgegevens en online tracking. Daarnaast zet het kabinet zich in
EU verband, maar ook, zoals is uiteengezet in de Kamerbrief cookies en online tracking,21 op verschillende manieren in om de bescherming van persoonsgegevens te borgen.

Vraag

Verder doet het kabinet een voorstel voor verbetering, zoals het opslaan van cookie-preferences
in de browser zodat sites daaraan kunnen refereren. Waarom zou dit niet alvast via
nationale wetgeving geregeld kunnen worden?

Antwoord

Technisch is dit mogelijk, zoals het Do Not Track-signaal dit deels beoogt en zoals ook de Duitse Personal Information Management Systems
(PIMS) beogen. Op basis van de ePrivacy-richtlijn is het echter niet mogelijk om websites
te verplichten dit signaal te honoreren en niet alsnog te vragen om toestemming voor
cookies.

Daarnaast is het onzeker hoe eventuele toestemming via de browser zich verhoudt tot
het vereiste uit de AVG dat toestemming specifiek moet zijn, zoals nader toegelicht
bij de beantwoording van de vragen van de BBB-fractie.

Vragen en opmerkingen van de leden van de BBB-fractie

Vraag

De leden van de BBB-fractie lezen in de voorliggende brief (Kamerstuk
32 761–26 643, nr. 286) van de Staatssecretaris het volgende: «Ook is het voor betrokkene onduidelijk hoe
om rectificatie of wissen van de persoonsgegevens of beperking van de betreffende
verwerking kan worden verzocht. Net als dat het onduidelijk is hoe om het recht tegen
de verwerking bezwaar te maken en het recht op gegevensoverdraagbaarheid kan worden
verzocht.» Als het voor veel burgers niet duidelijk is dat het mogelijk is om persoonsgegevens
te laten wissen bij bedrijven die handelen in hun persoonsgegevens, is het dan een
idee om een overheidscampagne te maken die mensen bewust maakt van het feit dat dit
mogelijk is? Tegelijkertijd kan de overheid daarmee toch onderzoeken of mensen hier
zich van bewust zijn, en op basis van die kennis daar beleid op voorschrijven?

Antwoord

Het kabinet ziet dat betrokkenen toestemming kunnen geven voor gegevensverwerkingen
zonder zich van de gevolgen daarvan goed bewust te zijn. Het kabinet vindt dit, gelet
op de mogelijke nadelige gevolgen voor burgers en andere betrokkenen, zorgelijk. Daarom
wordt, zoals reeds eerder in de Kamerbrief cookies en online tracking22 is toegezegd aan uw Kamer, ingezet op het vergroten van het bewustzijn bij burgers
over de verzameling van persoonsgegevens door mobiele applicaties en websites.

Vraag

Verder lezen de leden van de BBB-fractie in dezelfde brief: «Het in één keer toestemming
geven of weigeren blijkt echter tot op heden niet (eenvoudig) realiseerbaar.» Wat
staat er precies in de weg voor het in één keer toestemming kunnen geven?

Antwoord

In de AVG is geregeld dat toestemming onder meer specifiek moet zijn. Dat betekent
onder meer dat degene die de toestemming geeft moet weten aan wie die toestemming
geeft en voor welk doel de via de toestemming verkregen gegevens worden gebruikt.
Het in één keer accepteren maakt toestemming minder specifiek – je weet immers van
tevoren niet wie de gegevens gaat gebruiken en voor welk doel de gegevens worden gebruikt
– en is daarmee mogelijk strijdig met de AVG.

Vraag

Er wordt aangegeven dat het niet «eenvoudig» realiseerbaar is, maar hoe ziet het proces
eruit als er wel een dringende wens is om dit te doen?

Antwoord

Er zijn daarvoor twee richtingen. Allereerst kan er gezocht worden naar een manier
waarop invulling gegeven kan worden aan deze wens binnen de bestaande vereiste van
de AVG. Er is nog geen overeenstemming dat zo’n oplossing al is gevonden. Die beoordeling
is aan de onafhankelijke toezichthouders.

Een andere mogelijke gedachte zou kunnen zijn om te trachten de AVG aan te passen
voor wat betreft het vereiste dat toestemming specifiek moet zijn. Dat zou het kabinet
een zeer onwenselijke ambitie vinden, nu het vereiste van specifieke toestemming voor
het verwerken van gegevens bij uitstek een belangrijke waarborg is om misbruik van
persoonsgegevens tegen te gaan. Het kabinet geeft er dan ook sterk de voorkeur aan
om te blijven onderzoeken wat er, binnen de grenzen van de AVG, mogelijk is.

Vraag

Is het mogelijk om op nationaal niveau hier al werk van te maken, zodat dit op EU
niveau overgenomen kan worden?

Antwoord

De AVG heeft als Europese verordening rechtstreekse werking in Nederland. Het is niet
mogelijk op nationaal niveau van een Europese verordening af te wijken.

Vraag

Als laatste citeren de leden van de BBB-fractie de volgende regel uit de brief: «Generiek
toestemming geven voor cookies verhoudt zich bijvoorbeeld lastig ten opzichte van
de in de AVG opgenomen eis dat een toestemming voldoende specifiek moet zijn.» Is
het mogelijk om de tekortkoming in de AVG aan te passen?

Antwoord

Het kabinet benadrukt dat het vereiste van «specifieke» toestemming in de AVG, een
essentiële en principiële waarborg is tegen misbruik van persoonsgegevens en geen
tekortkoming van de AVG. Alleen als toestemming specifiek is, is immers duidelijk
waarvoor en aan wie de toestemming voor het verwerken van de gegevens wordt gegeven.

Vraag

Zou dit het mogelijk maken om wel generiek toestemming te geven voor het accepteren
of afwijzen van cookies?

Antwoord

Zoals toegelicht bij de vorige vragen en in de Kamerbrief cookies en online tracking,23 wil het kabinet geen afbreuk doen aan het vereiste van specifieke toestemming. Dit
vereiste is van groot belang voor de rechtsbescherming tegen misbruik van persoonsgegevens
op grond van de AVG, en het aanpassen van dit vereiste is daarom voor het kabinet
geen optie.