Ministerie van Binnenlandse Zaken en Koninkrijksrelaties

Antwoord op kamervragen over het schenden van EU regels op het gebied van privacybescherming door Europese websites
Een parlementair stuk bij het onderwerp Persoonsgegevens en reisdocumenten
12 maart 2001
De Tweede-Kamerleden Cherribi, Voûte-Dorste en O.P.G. Vos (allen VVD) hebben op 16 februari aan de ministers van Binnenlandse Zaken en Koninkrijksrelaties, voor Grote Steden- en Integratiebeleid, van Economische Zaken en van Justitie vragen gesteld over het schenden van EU regels op het gebied van privacybescherming door Europese websites. Deze zijn op 12 maart 2001 beantwoord. Vraag 1
Heeft u kennisgenomen van het bericht in de Wall Street Journal Europe van 15 februari jl. dat een studie van Consumers International aantoont dat 80% van de Europese websites Eu regels ter bescherming van privacy schendt door hun gebruikers de optie te onthouden om aan te geven dat hun persoonlijke gegevens niet voor andere doeleinden gebruikt mogen worden (opt-out)? Antwoord
Ja.
Vraag 2
Klopt het bericht dat Nederland, in tegenstelling tot de meerderheid van bij de EU aangesloten landen, de Europese regels ter bescherming van privacy op het internet (nog) niet in de nationale wetgeving heeft opgenomen? Zo ja, wat zijn de redenen hiervoor? Op welke termijn denkt u dit te doen?
Antwoord
De Wet bescherming persoonsgegevens (Wbp) (Stb. 2000, 302) beoogt EG-richtlijn 95/46/EG (PbEG L281, bladzijde 31) betreffende de bescherming van persoonsgegevens om te zetten in de Nederlandse wetgeving. De inwerkingtreding van deze wet wacht op de afronding van de parlementaire behandeling van het voorstel van wet tot wijziging van bepalingen met betrekking tot de verwerking van persoonsgegevens (Kamerstukken II, 1989-1999, 26 410, nr. 1-2), waarover onlangs het verslag van de Eerste Kamer verscheen. Eveneens dienen de adviezen van de Raad van State over een viertal uitvoeringsbesluiten in het kader van de Wet bescherming persoonsgegevens te worden afgewacht.
De implementatietermijn van de richtlijn verstreek op 24 oktober 1998. Nederland is derhalve inderdaad te laat met de omzetting van de richtlijn in nationaal recht. Daarvoor zijn goede redenen aan te voeren. De materie die de richtlijn bestrijkt, is complex en ingrijpend. De implementatie daarvan heeft veel overleg gevergd. Aan een zorgvuldige afhandeling van dit overleg werd grote waarde gehecht gezien het brede maatschappelijke bereik van de wet. De inwerkingtreding van dit pakket aan wettelijke maatregelen verwachten wij halverwege dit jaar. Op dit moment zijn er nog vijf andere lidstaten waar geen nationale wetgeving ter implementatie van de richtlijn van kracht is.
Overigens geldt thans de Wet persoonsregistraties (Wpr) met betrekking tot het gegevensverkeer op het internet. Vraag 3
Hoe kan op korte termijn worden bereikt dat alle Europese internetbedrijven hun gebruikers de (voorgeschreven) optie bieden om aan te geven dat hun persoonlijke gegevens niet voor verder gebruik beschikbaar worden gesteld?
Antwoord
Voor verwerkingen van persoonsgegevens geldt sinds 1981 het Data Protectie Verdrag (nr. 108) van de Raad van Europa inzake de bescherming van persoonsgegevens. Daarin is het zogenoemde doelbindingsbeginsel opgenomen. Dit beginsel houdt in dat persoonsgegevens niet voor doeleinden gebruikt mogen worden die onverenigbaar zijn met het doel waarvoor ze zijn verzameld. Voor zover het verdere gebruik niet onverenigbaar is met dit oorspronkelijke doel, is dat wel geoorloofd. Dit beginsel ligt eveneens ten grondslag aan de diverse nationale privacystelsels binnen de Europese Unie. Het is ook opgenomen in artikel 6 van de Wpr. Europese internetbedrijven zijn daarom thans reeds gebonden aan dit beginsel. Doorbreking van het doelbindingsprincipe is in beginsel enkel mogelijk indien de betrokkene daarvoor zijn toestemming heeft verleend (in het geval de verwerking niet op een andere grond zoals een wettelijk voorschrift dat tot verwerking verplicht, kan worden gegrond). Ontbreekt toestemming dan kan betrokkene zich in beginsel verzetten tegen een dergelijke verdere verwerking.
Verder biedt artikel 14 van de Wpr betrokkenen de mogelijkheid om in bepaalde gevallen bezwaar te maken tegen verder gebruik van zijn gegevens door een derde, bijvoorbeeld voor direct marketing activiteiten. Zij kunnen hun bezwaar aan het betreffende bedrijf kenbaar maken, dat vervolgens verplicht is dat bezwaar te honoreren. Dit systeem van bezwaar maken wordt ook wel met opt-out systeem aangeduid. Voor wat betreft direct marketing activiteiten laat EG-richtlijn 95/46/EG de lidstaten de keuze tussen een dergelijk opt-out systeem of een opt-in systeem. Bij dat laatste dient het betrokken bedrijf voorafgaand aan de verwerking toestemming te vragen aan de betrokkene. In artikel 41 van de Wbp heeft de Nederlandse wetgever voor het opt-out systeem gekozen. De burger kan zich dus op eigen initiatief verzetten tegen bepaalde vormen van verwerking van zijn persoonsgegevens. Het is volgens het kabinet de taak van de overheid om de bewustwording bij burgers van de verantwoordelijkheid over hun privacy te vergroten. Daarom wordt er in het kader van de inwerkingtreding van de Wet bescherming persoonsgegevens een voorlichtingscampagne voorbereid, door middel waarvan burgers worden geïnformeerd over de bedoelingen van de Wbp. Daarnaast is er in opdracht van de Minister van Justitie een handleiding vervaardigd waarin ten behoeve van verwerkers van persoonsgegevens wordt uiteengezet hoe de Wbp dient te worden toegepast. Verder is er vanuit de rijksoverheid een privacy statement opgesteld, waar staat vermeld hoe er wordt omgegaan met persoonsgegevens die via internetsites van de rijksoverheid worden verkregen. Niet alleen de overheid, maar ook de private sector is zich bewust van het belang van het vertrouwen van consumenten in een rechtmatige verwerking van hun persoonsgegevens. Belangenverenigingen als VNO/NCW en de Consumentenbond hebben regels opgesteld in de vorm van handleidingen die als doel hebben om op basis van zelfregulering de verwerking van persoonsgegevens conform de Wbp te laten verlopen. Er is dus een proces op gang gekomen waarbij zelfregulering en de vertrouwensrelatie met de betrokkene centraal staat.
Vraag 4
Hoe verklaart u het feit dat, hoewel het Amerikaanse systeem is gebaseerd op zelfregulering, dit beter blijkt te werken dan de veel striktere Europese wetgeving? Vindt u wellicht dat het Amerikaanse systeem te prefereren is boven de Europese benadering? Antwoord
In Europa is het eerder genoemde doelbindingsbeginsel in wetgeving vastgelegd. In Amerika is dat niet het geval. Daarom speelt zelfregulering in Amerika een belangrijker rol dan in de EG. Niettemin voorziet ook EG richtlijn 95/46/EG in een zekere mate van zelfregulering in de vorm van zogenoemde gedragscodes die door de private sector kunnen worden opgesteld. In navolging van de richtlijn bepaalt de Wbp in artikel 25 dat gedragscodes kunnen worden vastgesteld. Deze gedragscodes zijn bestemd om, naar gelang de specifieke kenmerken van de sectoren, bij te dragen tot een goede toepassing van de Wbp. Het College bescherming persoonsgegevens kan verklaren dat een gedragscode een juiste uitwerking van de Wbp vormt. Komt zelfregulering niet tot stand, maar blijkt dat het wel wenselijk is dat de Wbp nader wordt uitgewerkt, dan kunnen op grond van artikel 26 van de Wbp nadere regels worden gesteld ter uitwerking van een aantal wettelijke onderwerpen. Het gebrek aan zelfregulering kan dus worden opgevangen door middel van overheidsregulering, maar omgekeerd komt een gedragscode nooit, zoals in Amerika, in de plaats van overheidsregulering. Dit systeem vloeit dwingend voort uit richtlijn 95/46/EG.