| Ingediend | 15 augustus 2019 |
|---|---|
| Beantwoord | 2 oktober 2019 (na 48 dagen) |
| Indieners | Joba van den Berg-Jansen (CDA), Chris van Dam (CDA) |
| Beantwoord door | Mona Keijzer (staatssecretaris economische zaken) (CDA), Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA), Sander Dekker (minister zonder portefeuille justitie en veiligheid) (VVD) |
| Onderwerpen | burgerlijk recht economie ondernemen recht |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2019Z15755.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20192020-217.html |
Ja, ik ben bekend met dit bericht.
Het fenomeen van afluisteren via smart speakers was bij de Autoriteit Persoonsgegevens (hierna: AP) bekend.
De Algemene Verordening Gegevensbescherming (hierna: AVG) kent het zogeheten één-loketmechanisme. Dit houdt in dat organisaties die grensoverschrijdende verwerkingen van persoonsgegevens uitvoeren nog maar met één privacytoezichthouder zaken hoeven te doen. Die wordt de «leidende toezichthouder» genoemd. De Ierse privacytoezichthouder is de leidende toezichthouder voor Apple. De AP is zogeheten «betrokken toezichthouder». Ik heb begrepen van de AP dat zij regulier contact heeft met de Ierse privacytoezichthouder, zowel bilateraal als binnen de (European Data Protection Board (EDPB) en dat de Ierse privacytoezichthouder op de hoogte is van deze kwestie (evenals vergelijkbare recente kwesties). De AP heeft overigens de mogelijkheid om kwesties onder de aandacht te brengen van de leidende toezichthouder als deze daarvan nog niet op de hoogte is.
Het delen van persoonsgegevens met derden is niet per definitie een kwalijke zaak. Het is van belang dat bedrijven binnen de geldende wet- en regelgeving persoonsgegevens kunnen delen met derde partijen, zodat zij deze gegevens kunnen analyseren om bepaalde producten of bedrijfsprocessen te optimaliseren.
Blijkens de berichtgeving en de reactie die Apple daarop heeft gegeven zijn er, naast de opnamen van de gesprekken, ook gegevens meegestuurd die maken dat de opnames herleidbaar werden tot een specifiek natuurlijk persoon, waardoor er sprake is van verwerking van persoonsgegevens. Indien deze verwerking zonder juiste rechtsgrondslag plaatsvindt -zoals de berichtgeving suggereert- dan is dat niet alleen kwalijk, maar ook onrechtmatig.
De privacy van personen kan worden geraakt wanneer er op onrechtmatige wijze persoonsgegevens worden gedeeld. Het is echter aan de AP om te bepalen of de verwerking van persoonsgegevens in kwestie onrechtmatig was.
De AVG betreft de relevante regelgeving om het gedrag van Apple aan te toetsen. De kernvraag daarbij is of Apple zich kan beroepen op een geldige verwerkingsgrondslag als bedoeld in artikel 6, eerste lid van de AVG. De uiteindelijke beoordeling van deze vraag in een feitelijke situatie is aan de bevoegde toezichthoudende autoriteit.
Nederlandse ingezetenen kunnen bij de AP een klacht indienen over de wijze waarop een verwerkingsverantwoordelijke omgaat met jouw persoonsgegevens. De AP is vervolgens op grond van de AVG verplicht om ofwel zelf deze klacht in behandeling te nemen of deze door te sturen naar de leidende toezichthouder in Ierland. De Ierse toezichthouder treedt in overleg met de andere betrokken toezichthouders. Als zij van mening zijn dat er sprake is van onrechtmatige verwerking van persoonsgegevens, dan kunnen er verschillende maatregelen worden getroffen, waaronder het opleggen van een bestuurlijke boete (waarbij deze boete kan oplopen tot 20.000 euro of voor een onderneming tot 4% van de totale wereldwijde jaaromzet in het voorafgaande boekjaar). De Ierse toezichthouder stuurt vervolgens zijn besluit naar de AP en de AP zorgt voor doorgeleiding aan de Nederlandse klager. Als deze niet tevreden is over de klachtafhandeling of het besluit van de Ierse toezichthouder, dan kan de betrokkene in Nederland in bezwaar gaan en uiteindelijk beroep instellen bij de Nederlandse bestuursrechter.
Het heimelijk afluisteren van gesprekken is in het Nederlandse Wetboek van Strafrecht strafbaar gesteld in de artikelen 139a en verder. Bij de vraag of sprake is van strafbare handelingen is onder meer van belang waar de desbetreffende handelingen hebben plaatsgevonden en of aan alle bestanddelen van de strafbaar gestelde handeling is voldaan. Het is aan het Openbaar Ministerie en in voorkomend geval de strafrechter om hierover te oordelen.
Apple heeft inmiddels een reactie op de berichtgeving op zijn eigen website geplaatst. Die houdt, kort gezegd, in dat het bedrijf voorlopig geen audio opnames meer beluistert, maar alleen computer gegenereerde transcripties van gesprekken verwerkt. Na een software-update zal Apple het beluisteren van audiofragmenten voortzetten, maar alleen van betrokkenen die zich hier vrijwillig voor hebben aangemeld. Het beluisteren van de fragmenten zal alleen worden gedaan door medewerkers van Apple. Deze medewerkers zullen onbedoelde Siri-aanvragen direct verwijderen.
Het is aan de bevoegde privacytoezichthouders in de EU om een onderzoek te starten naar het handelen van Apple. Indien er onderzoek wordt gedaan, is het wederom aan de desbetreffende toezichthouder om op basis van dat onderzoek te bepalen of Apple al dan niet maatregelen dient te nemen. Het is dan ook niet aan het kabinet om een dergelijk verzoek aan Apple te richten, noch om eisen te stellen aan het handelen van Apple.
Overigens heeft Apple in zijn reactie wel aangegeven dat het een aantal maatregelen heeft genomen en nog zal nemen, zie daarvoor het antwoord op vraag 7.
Het feit dat zich een aantal incidenten bij verschillende bedrijven heeft voorgedaan, wijst niet direct op een «privacyprobleem» in de gehele sector.
Specifieke incidenten met het analyseren van spraakgegevens voor productverbetering wijzen er wel op dat er meerdere bedrijven lijken te zijn die hierbij niet binnen de wettelijke kaders zijn gebleven. Gelet op hun onafhankelijkheid, is het aan de verschillende Europese toezichthouders zelf om te bepalen of zij ambtshalve optreden tegen bedrijven die de fout in gaan en hoe zij met eventuele klachten van betrokkenen omgaan.
De wet- en regelgeving acht ik op dit moment in het algemeen inderdaad toereikend om de privacy van consumenten van techproducten en -diensten te beschermen.
In lijn met de kabinetsvisie op horizontale privacy ziet het kabinet in dit verband evenwel twee onderwerpen waar het juridisch kader mogelijk nog tekortschiet en die het kabinet aan de orde wil stellen bij de evaluatie van de AVG, die uiterlijk mei 2020 moet zijn afgerond.3
Ten eerste is het kabinet van mening dat grote techbedrijven, ook als zij rechtmatig handelen, enorme hoeveelheden gegevens kunnen verzamelen en gebruiken. Het kabinet wil kijken of de hoeveelheid gegevens die deze bedrijven verzamelen, kan worden beteugeld. Ten tweede wil het kabinet dat wordt geëvalueerd of de normen uit de AVG wel voldoen om de risico’s van profilering tegen te gaan, specifiek wanneer profilering leidt tot prijsdiscriminatie of zelfs tot uitsluiting van bepaalde groepen voor sommige producten of diensten.
Het kabinet vindt het belangrijk om het privacybewustzijn van burgers te vergroten en zal daarom in het voorjaar van 2020 een publiekscampagne starten over de privacyrisico’s bij het gebruik van digitale applicaties. In deze campagne wordt aandacht besteed aan de risico’s die burgers lopen als ze persoonlijke data delen.
Verder werkt Tilburg University aan een rapport over eventuele verdere regulering van «spyware» en de vermindering van de privacyrisico’s die aan deze producten kleven. Dit rapport wordt in het voorjaar van 2020 verwacht en zal hopelijk inzichtelijk maken in hoeverre er verdere maatregelen genomen moeten worden om de privacyrisico’s bij deze producten verder in te dammen.4
Hierbij bericht ik u, mede namens de Minister voor Rechtsbescherming en de Staatssecretaris van Economische Zaken en Klimaat dat de schriftelijke vragen van de leden Van den Berg en Van Dam (beiden CDA) over het bericht «Apple deelde herleidbare, persoonlijke gegevens bij opnames Siri-gebruikers» (ingezonden 15 augustus 2019) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie ontvangen is. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.