Ingediend | 19 augustus 2015 |
---|---|
Beantwoord | 28 september 2015 (na 40 dagen) |
Indiener | Astrid Oosenbrug (PvdA) |
Beantwoord door | Henk Kamp (minister economische zaken) (VVD) |
Onderwerpen | economie ict openbare orde en veiligheid organisatie en beleid |
Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2015Z14776.html |
Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20152016-124.html |
Ja.
Allereerst is het belangrijk te weten dat het aangehaalde bericht betrekking heeft op het meesturen van zogenaamde ASID-headers door de netwerkaanbieder.
De term «supercookie» is verwarrend, aangezien er geen informatie op het randapparaat van de eindgebruiker wordt geplaatst of gelezen, zoals bij cookies wel het geval is. ASID staat voor Anonymous Subscriber Identification. Bij het gebruik van ASID-headers stuurt de aanbieder van de internettoegangsdienst een identificerende code mee met de data die een eindgebruiker verstuurt bij het bezoeken van een internetadres. Als ASID-headers worden gebruikt om eindgebruikers te identificeren, is er sprake van verwerking van persoonsgegevens. Hierop is de Wet bescherming persoonsgegevens (hierna: Wbp) van toepassing. Aangezien er bij het meesturen van ASID-headers geen informatie op het randapparaat van de eindgebruiker wordt geplaatst of gelezen is artikel 11.7a van de Telecommunicatiewet hierop niet van toepassing. Dit neemt niet weg dat ik de ontwikkelingen ten aanzien van het gebruik van ASID-headers ook zal volgen vanuit mijn verantwoordelijkheid vanuit de Telecommunicatiewet.
Op grond van de Wbp moet de betrokkene worden geïnformeerd over de verwerking van persoonsgegevens door middel van het meesturen van ASID-headers aan het uitgaand verkeer van een gebruiker van mobiel internet.
Voor het verwerken van persoonsgegevens is bovendien een van de in artikel 8 Wbp genoemde verwerkingsgrondslagen vereist. Een ASID-header kan bijvoorbeeld gebruikt worden om veilig internetbankieren via een mobiel netwerk mogelijk te maken. Het is dan denkbaar dat het meesturen van een ASID-header noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is. Als er geen noodzaak is een ASID-header mee te sturen voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, dan zal er meestal ondubbelzinnige toestemming van de betrokkene vereist zijn.
Dat is mij niet bekend. Wel leid ik uit het in vraag 1 genoemde krantenartikel af dat men in de Verenigde Staten met het gebruik is gestopt onder politieke druk. Dat men in de Verenigde Staten geen ASID-headers meer gebruikt zegt mijns inziens niets over het toestaan van dergelijke praktijken in Nederland.
Zie het antwoord op vraag 3. Het College bescherming persoonsgegevens houdt toezicht op de naleving van de Wbp.
Dat kan binnen de hiervoor in het antwoord op vraag 3 geschetste grenzen. Dit betekent veelal dat (ondubbelzinnige) toestemming vereist is voor het verwerken van de (persoons)gegevens. Een internetgebruiker kan een eventuele schending van de wettelijke verplichtingen door de aanbieder niet voorkomen. Wel kan een internetgebruiker in voorkomend geval een klacht indienen bij de toezichthouder indien hij vermoedt dat de wettelijke regels zijn overtreden.
Het is juist dat bedoelde programma’s niet gebruikt kunnen worden om het volgen van een internetgebruiker door middel van ASID-headers te voorkomen.
Nee. Zoals hiervoor aangegeven moet de internetgebruiker over het gebruik van ASID-headers worden geïnformeerd en zal vaak toestemming van de internetgebruiker nodig zijn. Hierop zijn, zoals ook hiervoor is aangegeven, echter uitzonderingen. Het is primair de verantwoordelijkheid van de aanbieder te beoordelen of hij toestemming moet vragen of een beroep kan doen op een andere grondslag voor de verwerking van persoonsgegevens. Maakt hij daarbij een verkeerde beoordeling dan kan door de toezichthouder daartegen worden opgetreden. Het lijkt niet zinvol een systeem in te voeren waarbij de internetter ook om toestemming wordt gevraagd in situaties waarbij daar geen enkele reden toe is.