Antwoord op vragen van de leden Middendorp en Van Gent over een mogelijk cookiewall-verbod
Antwoord schriftelijke vragen
Nummer: 2019D49667, datum: 2019-12-05, bijgewerkt: 2024-02-19 10:56, versie: 3
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (ah-tk-20192020-958).
Gerelateerde personen:- Eerste ondertekenaar: S. Dekker, minister voor Rechtsbescherming (Ooit VVD kamerlid)
Onderdeel van zaak 2019Z18899:
- Gericht aan: S. Dekker, minister voor Rechtsbescherming
- Indiener: J. Middendorp, Tweede Kamerlid
- Medeindiener: T. van Gent, Tweede Kamerlid
- Voortouwcommissie: TK
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2019-2020 | Aanhangsel van de Handelingen |
Vragen gesteld door de leden der Kamer, met de daarop door de regering gegeven antwoorden |
958
Vragen van de leden Middendorp en Van Gent (beiden VVD) aan de Minister voor Rechtsbescherming over een mogelijk cookiewall-verbod (ingezonden 4 oktober 2019).
Antwoord van Minister Dekker (Rechtsbescherming) (ontvangen 5 december 2019). Zie ook Aanhangsel Handelingen, vergaderjaar 2019–2020, nr. 495.
Vraag 1
Herinnert u zich de antwoorden op de vragen van de leden Middendorp en Van Gent over een mogelijk cookiewall-verbod?1
Antwoord 1
Ja, ik herinner me die antwoorden.
Vraag 2
Wanneer is, als het gaat om websites en «tracking cookies», sprake van «vrijelijk gegeven toestemming»? Is door de verwijzing in de Telecommunicatiewet (Tw) naar de Algemene verordening gegevensbescherming (AVG) de inhoud van dit begrip «vrijelijk gegeven toestemming» veranderd of wordt dat nu anders geïnterpreteerd?
Antwoord 2
Volgens artikel 4, lid 11, van de AVG dient de toestemming «vrijelijk gegeven» te zijn. Als algemene regel van de AVG geldt daarbij dat de bezoeker een werkelijke keuze moet hebben gehad, zich niet gedwongen moet voelen toestemming te geven of geen negatieve gevolgen zal ondervinden als hij niet instemt. Dit geldt evengoed voor websites en zogenaamde tracking cookies: bezoekers dienen daadwerkelijk de keuze te hebben gehad om te weigeren. Nu in artikel 11.7a van de Tw verwezen wordt naar de AVG, is het begrip «toestemming» in de Tw gelijk aan het begrip «toestemming» zoals dat gedefinieerd is in de AVG. De inhoud van het begrip «vrijelijk gegeven toestemming» is derhalve niet gewijzigd, noch wordt het anders geïnterpreteerd dan onder de AVG.
Vraag 3
Deelt u de mening dat – gelet op het antwoord op vraag 3 van bovengenoemde vragenset waarin wordt gesteld dat bij de beoordeling of de toestemming vrijelijk is ten «sterkste rekening moet worden gehouden met de vraag of voor de uitvoering van een overeenkomst (…) toestemming is vereist voor een verwerking van persoonsgegevens die niet noodzakelijk zijn voor de uitvoering van de overeenkomst» – alles waar in de overeenkomst toestemming voor wordt gevraagd onderdeel is van de overeenkomst?
Antwoord 3
Zoals in voornoemde vragenset is aangegeven moet toestemming vrijelijk zijn gegeven en dient onder meer te voldoen aan de eis van artikel 7, lid 4, van de AVG, die ziet op de specifieke situatie van het opnemen van toestemming in contracten of dienstverlening. Rechtsgeldige toestemming kan alleen worden verkregen voor de verwerking van persoonsgegevens die nodig zijn voor de uitvoering van de overeenkomst, oftewel om de eindgebruiker de met hem overeengekomen dienst te leveren. Wanneer dat niet het geval is, dit wil zeggen, wanneer de gevraagde gegevensverwerking niet noodzakelijk is om de dienst waar de eindgebruiker om vraagt te leveren, kan dit betekenen dat de toestemming geacht wordt niet vrijelijk te zijn gegeven.
Vraag 4
Op basis waarvan heeft dit «rekening houden» geresulteerd in een verbod? Kan het zijn dat door meer rekening te houden met het recht van vrijheid van ondernemerschap (zoals in het Verenigd Koninkrijk gebruikt), de balans zou doorslaan naar het toestaan van cookiewalls?
Antwoord 4
Artikel 7, lid 4, van de AVG geeft aan dat «ten sterkste rekening moet worden gehouden met de vraag of voor de uitvoering van een overeenkomst (…) toestemming is vereist voor een verwerking van persoonsgegevens die niet noodzakelijk zijn voor de uitvoering van de overeenkomst». De formulering van deze wettelijke bepaling sluit inderdaad niet uit dat ook met andere aspecten rekening wordt gehouden, maar geeft wel aan dat het aspect of de persoonsgegevens al dan niet noodzakelijk zijn voor de uitvoering van de overeenkomst zwaar weegt («ten sterkste rekening houden met»). Het is aan de toezichthouder, in casu de Autoriteit Persoonsgegevens (hierna: AP), en uiteindelijk aan de rechter, om duiden wat dit in een concreet geval betekent.
Vraag 5
Wanneer is er sprake van «functionele cookies» en van «niet-privacygevoelige analytische cookies»? In hoeverre zijn dit afgebakende begrippen?2
Antwoord 5
Er is sprake van «functionele cookies» wanneer deze «cookies» worden gebruikt voor de goede werking van de website. Deze cookieszorgen er bijvoorbeeld voor dat een websitezoeker kan inloggen, producten in het webwinkelwagentje kan leggen en de juiste taal kan kiezen. Voor een websitebezoeker is dit handig; zij hoeven hierdoor niet telkens de voorkeuren aan te geven. Men spreekt van «niet-privacygevoelige analytische cookies» in verband met cookiesdie gebruikt worden voor de verbetering van de website door middel van statistieken. De «niet-privacygevoelige analytische cookies» zijn vooral ter ondersteuning van de website en laten bijvoorbeeld zien hoeveel bezoekers een website heeft en waar het meest op geklikt wordt.
De begrippen «functionele cookies» en «niet-privacygevoelige analytische cookies» zien respectievelijk op de werking en de verbetering van de website. In de memorie van toelichting op de wijziging van artikel 11.7a Tw zijn deze begrippen duidelijk beschreven en daarmee afgebakende begrippen.
Vraag 6
Kunt u naar aanleiding van het antwoord op vraag 4 van bovengenoemde vragenset aangeven waarom gebruikers twijfels zouden hebben over hun privacybescherming als zij zelf net toestemming hebben gegeven?
Antwoord 6
Wanneer, zoals het geval is bij cookiewalls, gebruikers van elektronische communicatiediensten er achter komen dat hen in strijd met het bepaalde in artikel 7, lid 4, van de AVG, toestemming wordt gevraagd voor een gegevensverwerking die niet nodig is voor de uitvoering van de dienstovereenkomst en hen daarbij geen daadwerkelijke keuze wordt gegeven om te weigeren, kunnen bij gebruikers twijfels ontstaan over de professionaliteit van de desbetreffende bedrijven en uiteindelijk ook over hun privacybescherming.
Vraag 7
Wat is het verschil tussen een cookiewall en de toestemming daaronder zoals die nu in Nederland gebruikt wordt en de toestemming die voor het gebruik van een social media netwerk als bijvoorbeeld Facebook wordt gegeven? Kunt u specifiek ingaan op de vraag wat de toestemming in beide gevallen meer of minder vrijelijk maakt en wat de rol is van de algemene voorwaarden in beide systemen?
Antwoord 7
Bij het geven van toestemming geldt altijd dat deze «vrijelijk» (en volledig geïnformeerd) moet zijn gegeven. Voor nadere uitleg over het toestemmingsvereiste verwijs ik naar vraag 2 van mijn brief «Antwoorden Kamervragen over het bericht «Websites overtreden massaal cookiewallverbod»». Wanneer een website wordt bezocht, geeft de bezoeker aan voor welke cookies hij/zij wel/niet toestemming geeft. De bezoeker mag geen toegang tot de inhoud van de website («content») worden geweigerd wanneer hij/zij niet akkoord gaat met het plaatsen van de cookies(«cookiewall»). Alleen voor functionele cookiesen niet-privacygevoelige cookieshoeft geen toestemming te worden gevraagd.
Bij het gebruik van social media(een dienst, zoals Facebook) moet aan de gebruiker op verschillende momenten toestemming worden gevraagd. Er moet vooraf toestemming worden gevraagd voor het plaatsen van cookies. Ook moet aan de gebruiker toestemming worden gevraagd voor de verschillende soorten verwerkingen die bij het gebruik van de dienst komen kijken.
In het geval van Facebook moet aan de bezoeker bij het bezoeken van de webpagina al toestemming worden gevraagd voor het plaatsen van cookies. De dienst Facebook is vervolgens pas beschikbaar nadat een account is gecreëerd en de gebruiker akkoord is gegaan met de algemene voorwaarden van Facebook. Vervolgens moet toestemming worden gevraagd voor het plaatsen van cookies,voor gerichte advertenties en het gebruik van persoonsgegevens voor onderzoek. Facebook moet de gebruiker hier vooraf goed over informeren (informatieplicht) en moet de gebruiker ook specifiek informeren over de verwerking van gegevens voor advertentiedoeleinden. Zie uitgebreid hierover het onderzoek van de AP naar Facebook van 2017 naar aanleiding waarvan Facebook haar gegevensbeleid heeft aangepast.
Vraag 8
Wat is de positie van de Autoriteit Persoonsgegevens (AP) als het gaat om het interpreteren en invullen van de cookieregelgeving, en hoe verhoudt zich die tot andere toezichthouders in Nederland? Hoe verhoudt de positie van de AP zich tot de Autoriteit Consument & Markt (ACM) die het cookiewallvraagstuk volgt vanuit concurrentieoverwegingen? En wat is uw rol daarin?
Antwoord 8
De AP geeft hierover informatie op haar website, zie: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/cookies.
Overigens hebben de AP en de ACM een samenwerkingsprotocol waarin afspraken staan voor het geval sprake is van samenlopende bevoegdheden (Strct. 2016, 58078). De AP heeft mij laten weten dat haar standpunt over cookiewalls is afgestemd met de ACM.
Vraag 9
Vindt u het wenselijk dat in de toekomst rondom cookiewalls, regelgeving verder wettelijk wordt verankerd vanuit het belang van de consument?
Antwoord 9
Ja. De regering pleit dan ook in de Europese Raad voor opname van een verbod op cookiewallsin de nieuwe e-privacyverordening.
Vraag 10
Hoe worden de informatieplicht en het toestemmingsvereiste die bij cookies gelden voor (mede) op Nederlandse gebruikers gerichte Nederlandse websites en internationale bedrijven, gehandhaafd? Hoe is het verzekerd dat Nederlandse bedrijven die nu afhankelijk zijn van cookiewalls, niet op achterstand komen door het verbod op cookiewalls, ervan uitgaande dat Nederlandse bedrijven meer marktaandeel kunnen verliezen dan elders ondergebrachte bedrijven?
Antwoord 10
Voor nadere uitleg over de informatieplicht en het toestemmingsvereiste verwijs ik naar het antwoord op vragen 5 en 6 van mijn brief «Antwoorden Kamervragen over het bericht «Websites overtreden massaal cookiewallverbod»». Ik herhaal daarbij dat ik van oordeel ben dat Nederlandse mediabedrijven op dit punt geen achterstand hebben op internationale bedrijven. Daarnaast werkt de AP in internationaal verband samen met haar collega-privacytoezichthouders om ervoor te zorgen dat Nederlandse bedrijven niet op achterstand komen.
Vraag 11
Hoe zijn cookiewalls ontstaan? Komt het gebruik hiervan voort uit de Tw? In welke Europese landen worden deze nu ook gebruikt?
Antwoord 11
Cookiewallskomen voort uit het feit dat geld kan worden verdiend met persoonsgegevens. Bedrijven bieden daarom op het internet diensten aan in ruil voor verstrekking van persoonsgegevens. Wil een eindgebruiker deze gegevens niet verstrekken dan krijgt hij of zij geen toegang tot de dienst. Voor zover mij bekend worden cookiewallsin vrijwel alle Europese landen gebruikt.
Vraag 12
Zou het verbod van cookiewalls in de Europese Unie waar Nederland voor pleit betrekking hebben op gratis websites of ook op niet gratis websites?
Antwoord 12
Het beoogde verbod op cookiewallsmaakt geen onderscheid tussen gratis en niet gratis websites. In de praktijk zal een dergelijk verbod echter vooral van belang zijn bij «gratis» websites. Toestemming voor de verwerking van persoonsgegevens die niet nodig zijn om de door de eindgebruiker gevraagde dienst te leveren gebeurt immers vrijwel altijd in gevallen waarin die persoonsgegevens als betaalmiddel worden gebruikt in plaats van geld.
Vraag 13
Waarom is er geen steun in de Raad voor een verbod op cookiewalls, zoals door Nederland bepleit? Hoe groot is de kans dat dit pleidooi succesvol is?
Antwoord 13
Veel landen zijn van opvatting dat een verbod op cookiewallshet aanbod op het internet zal beperken. De kans dat de Raad het Nederlandse standpunt overneemt is zeer gering. Het Europese parlement is echter voorstander van een verbod op cookiewalls. Het onderwerp zal dus in een eventuele triloog3 weer aan de orde komen.
Vraag 14
Wat is de stand van zaken met betrekking tot de totstandkoming van de nieuwe Europese ePrivacyrichtlijn? Komen daar weer nieuwe eisen voor Nederlandse ondernemingen met betrekking tot cookiewalls uit voort?
Antwoord 14
In de Europese Raad is nog steeds geen overeenstemming over het voorstel. Zie voorts de Geannoteerde Agenda voor de Telecomraad van 3 december aanstaande, waarin de stand van zaken wordt aangegeven.
Aanhangsel Handelingen, Vergaderjaar 2018–2019, nr. 3905↩︎
Rijksoverheid, https://www.rijksoverheid.nl/onderwerpen/telecommunicatie/vraag-en-antwoord/mag-een-website-ongevraagd-cookies-plaatsen↩︎
Deze term verwijst naar het informeel overleg waarin delegaties van de Europese Commissie, het Europees parlement en de Raad van Ministers onderhandelen over wetgevende voorstellen.↩︎