`Your app signature is more distinctive than your DNA`

'Your app signature is more distinctive
than your DNA'
Over de verbintenisrechtelijke status en de mogelijkheden
van een privacyverklaring in een app
Robert Kreuger
Juni 2015
Masterscriptie Privaatrecht in combinatie met Internet, intellectuele eigendom en ICT
Begeleider: prof. mr. A.R. Lodder
Studentnummer 1851322
Faculteit der Rechtsgeleerdheid
Vrije Universiteit te Amsterdam
do ut des; facio ut facias; facio ut des; do ut facias
Van privacyverklaring naar privacyovereenkomst
2
Abstract
Privacy betreft het afschermen van het eigen leven tegen ongewenste inmenging van buitenaf
met als onderliggend belang autonomie en zelfbeschikking. Een onderdeel van
(informationele) privacy is het recht op bescherming van persoonsgegevens, waarbij het gaat
om voorwaarden waaronder persoonsgegevens verwerkt mogen worden. Kernbegrippen zijn
bewustzijn, transparantie en doelbinding. Het probleem bij de verwerking van
persoonsgegevens door apps op smartphones ligt echter in het ontbreken van bewustzijn (de
meeste apps maken enkel gebruik van het aanvinken van een verklaring zonder dat de
gebruiker bewust is van de gevolgen), het ontbreken van transparantie (vanwege de
onduidelijkheid en onoverzichtelijkheid van een privacyverklaring), en het ontbreken van
doelbinding (een groot deel van de apps verzamelt gegevens met een onvoldoende duidelijk
omschreven doel). In dit onderzoek wordt een (mogelijke) oplossing voor dit probleem
gegeven waarbij alle drie de kernbegrippen bij de verwerking van persoonsgegevens door
apps gewaarborgd worden: het kwalificeren van de privacyverklaring als wederkerige
overeenkomst, het koppelen van economische waarde aan persoonsgegevens en het creëren
van een markt voor persoonsgegevens die via apps verwerkt worden. Door persoonsgegevens
te kwalificeren als (economisch) ruilmiddel, waarbij de privacyverklaring als wederkerige
overeenkomst wordt gehanteerd, wordt er meer bewustzijn gecreëerd. Daarnaast ontstaat er
controle over de persoonsgegevens bij de consument, waardoor transparantie zal toenemen en
zodoende het principe van doelbinding zal worden nageleefd. Om dit te kunnen
bewerkstelligen dienen privacy by design-beginselen omtrent de gegevensverwerking door
apps op smartphones te worden geïmplementeerd. Gevolg is een sterkere bescherming van de
consument, meer rechtszekerheid voor alle partijen en meer mogelijkheden voor
maatschappelijke en economische innovatie.
3
Inhoudsopgave
1. Inleiding .......................................................................................................................... 6
1.1.
Aanleiding ................................................................................................................ 6
1.2.
Probleemstelling en Onderzoeksvragen ................................................................... 6
1.3.
Leeswijzer ................................................................................................................ 8
Deel I. Literatuuronderzoek ..................................................................................................... 10
2. Maatschappelijk en Economisch Belang....................................................................... 11
2.1.
Smartphones en Apps ............................................................................................ 11
2.2.
The App Ecosystem ............................................................................................... 12
2.3.
The Internet of Things ........................................................................................... 16
2.4.
Gegevensverwerking door Apps ............................................................................ 18
2.5.
Data als Product ..................................................................................................... 22
2.6.
Positieve Impact ..................................................................................................... 24
3. Juridisch Kader .............................................................................................................. 26
3.1.
Privacy als Grondrecht ........................................................................................... 26
3.2.
Privacy- en Internetrecht ........................................................................................ 26
3.2.1.
Geldige rechtsgrondslag ..................................................................................... 28
3.2.2.
Doelbinding ........................................................................................................ 29
3.2.3.
Transparantie ...................................................................................................... 29
3.3.
Contractenrecht ...................................................................................................... 30
3.3.1.
Rechtshandeling en Overeenkomst .................................................................... 31
3.3.2.
Wederkerige Overeenkomst ............................................................................... 33
3.3.3.
Elektronisch Contracteren .................................................................................. 33
3.3.4.
Consumentenrecht .............................................................................................. 34
Deel II. Toegepast Onderzoek .................................................................................................. 36
4. Is er bij een Privacyverklaring sprake van een Overeenkomst in de zin van het BW? . 37
4.1.
De Privacyverklaring als Overeenkomst ............................................................... 38
4.2.
De Privacyverklaring als Wederkerige Overeenkomst .......................................... 39
5. Extra Bescherming op grond van het Burgerlijk Wetboek ........................................... 41
5.1.
Ontbinding op grond van het Burgerlijk Wetboek ................................................ 45
5.2.
Vernietiging op grond van het Burgerlijk Wetboek .............................................. 48
5.3.
Nietigheid op grond van het Burgerlijk Wetboek .................................................. 51
4
5.4.
Verplichtingen van de App-gebruiker ................................................................... 52
Deel III. Conclusie en Aanbevelingen ..................................................................................... 54
6. Conclusie ....................................................................................................................... 55
7. Aanbevelingen ............................................................................................................... 57
7.1.
Betalen in Persoonsgegevens ................................................................................. 57
7.2.
Markt voor Persoonsgegevens ............................................................................... 58
7.3.
Privacy by Design (PbD) ....................................................................................... 63
Bijlage I .................................................................................................................................... 68
Bijlage II ................................................................................................................................... 71
Literatuurlijst ............................................................................................................................ 72
Bronnenlijst .............................................................................................................................. 76
5
1. Inleiding
1.1.
Aanleiding
‘Let me be very clear from the start, I believe that the internet and the new generation of digital
communications and digital platforms offer immense possibilities to consumers. In terms of choice,
access and opportunity, they are some of the most empowering tools consumers have ever had. I am
convinced that new information and communication technologies will bring enormous benefits to
consumers.
It is precisely because we want these new opportunities to grow and evolve, that we need to promote
the trust and confidence that will encourage people to participate. Internet is an advertisement
supported service and the development of marketing based on profiling and personal data is what
makes it go round. Personal data is the new oil of the internet and the new currency of the digital
world.
We accept this reality because it is one chosen by users. Internet users have massively opted for free
services offered in exchange for acceptance of advertisement. Today, advertisement online is
individually targeted and increasingly based on the user's profile and behaviour.
Tools must now be developed that balance the interests of business with that of the consumers. This
means two things: the respect of users' right to control their public exposure; and the obligation to
protect them against abusive and risky practices targeted at them.
We have already well established consumer policy principles, articulated in regulations and tools that
bring confidence in the traditional world of goods and services. These are principles of transparency,
clear information, choice, fair commercial communications and fair contract terms. We do not need to
reinvent the wheel. What we need now is a debate on how we apply these tested principles in digital
world, in particular in the activity of collecting consumers' personal data for the purpose of
commercially targeting them.
I believe a constructive dialogue on this issue will lead to a common understanding of the rules of the
game and a better market environment for all.’1
1.2.
Probleemstelling en Onderzoeksvragen
De omvang van de informatiesamenleving en het verwerken van persoonsgegevens heeft de
laatste jaren een enorme vlucht genomen. De waarde van bedrijven als Google en Facebook,
maar meer recent ook apps als Uber, Instagram of WhatsApp, wordt gebaseerd op de
hoeveelheid data waarover zij beschikken. Big data is een businessmodel en data – waaronder
persoonsgegevens – is een commercieel product geworden. Apps op smartphones (en smart
devices) hebben een groot aandeel in de hoeveelheid aan verzamelde persoonsgegevens.
Vanwege de interactie van apps met het besturingssysteem van de smartphone en het feit dat
1
Meglena Kuneva, European Consumer Commissioner, Roundtable on Online Data Collection, Targeting and
Profiling, Brussels, 31 March 2009, Europa.eu <http://bit.ly/1AtCZuJ>.
6
een smartphone altijd aan staat en binnen handbereik is, heeft deze gegevensverwerking een
veel grotere impact dan voorheen.2 Het voornaamste probleem is dat consumenten geen besef
hebben van de waarde en impact van de verwerking van hun persoonsgegevens en in de regel
vaak blindelings toestemming geven door een privacyverklaring te accepteren. Daarnaast is
het zo dat alleen de commercie hier financieel voordeel uit trekt en de privacyrechtelijke
waarborgen doorgaans ver te zoeken zijn.3 Mensen moeten zelf over hun data kunnen
beschikken en actie kunnen ondernemen wanneer er gebruik en/of misbruik van hun data
wordt gemaakt. De kern van het recht op informationele privacy bestaat uit het bewustzijn
van een individu dat er gegevens die betrekking op deze persoon hebben verzameld en
verwerkt worden én dat deze persoon daar toestemming voor heeft gegeven. Het is van groot
belang dat een persoon zelf zeggenschap heeft over het beeld dat van hem of haar in een
bepaalde context bestaat. Mensen moeten kunnen kiezen welke gegevens verwerkt worden en
zij moeten voordeel behalen uit de (van hen afkomstige) gegevens die verwerkt worden via
hun smartphone. Alleen op deze manier kan er bewustzijn gecreëerd worden, iets waar het
heden ten dage aan ontbreekt. Op dit moment wordt aangenomen dat het voordeel de gratis
dienst is in ruil voor bepaalde persoonsgegevens, maar afgevraagd kan worden of er
aangaande deze ‘ruil’ onevenwichtigheid bestaat en het aanbieden van een ‘gratis’ dienst
wellicht als misleidend kan worden beschouwd. Het is daarom dan ook relevant en interessant
te onderzoeken wat voor juridische status een dergelijke privacyverklaring heeft en wat voor
gevolgen dit met zich meebrengt wanneer dit is vastgesteld. Voorts wordt er een aanbeveling
gedaan welke tot meer bewustzijn en dus tot sterkere privacyrechtelijke waarborgen zal
leiden. Vanwege de significante impact van apps op smart devices op onze toekomstige
samenleving (en mede vanwege de beperkte omvang van dit onderzoek) zal dit onderzoek
zich concentreren op de verbintenisrechtelijke status van privacyverklaringen in apps.
2
Werkgroep 29, Advies 02/2013, p. 5; FTC Staff Report 2013, p. 2.
Zie ook A.R. Lodder: ‘Persoonslijke gegevens zijn geld waard en bedrijven profiteren hiervan. De vraag is hoe
je als individu hier ook van kan profiteren dan wel verwerking van de gegevens kan tegengaan.’ Lodder 2014, p.
311.
3
7
De probleemstelling van deze masterscriptie luidt als volgt:
‘In hoeverre is een privacyverklaring van een app een overeenkomst in de zin van het BW
en welke voordelen brengt dit met zich mee?’
1.3.
Leeswijzer
Dit onderzoek heeft als doel meer duidelijkheid en inzicht te verschaffen ten aanzien van de
verbintenisrechtelijke status van een privacyverklaring in een app en omvat drie gedeelten.
Het eerste gedeelte bestaat uit een uitgebreid literatuuronderzoek dat is onderverdeeld in twee
subcategorieën. Vanwege de geringe kennis omtrent de impact van apps op onze samenleving
wordt in de eerste subcategorie het maatschappelijk en economisch belang van apps op smart
devices weergegeven. Dit gedeelte dient ter illustratie van en verantwoording voor het belang
van een duidelijk rechtskader rondom gegevensverwerking door apps. Het kan dus gelezen
worden als onderbouwing voor de noodzaak en behoefte van sterke regulering inzake apps en
datastromen. Voorts wordt in het tweede subgedeelte het juridisch kader rondom apps,
gegevensverwerking en de verbintenisrechtelijke status van een privacyverklaring beschreven.
De wet- en regelgeving omtrent de privacyverklaring wordt aan de hand van relevante
verdragen, wetgeving, memories, kamerstukken en rapporten weergeven. Voorts worden de
relevante paragrafen, kamerstukken en overige documenten van het Burgerlijk Wetboek
alsmede Europese regelgeving aan de hand van publicaties van Artikel 29 Werkgroep 4 en
relevante literatuur bestudeerd om de juridische status op grond van de voor Nederland
toepasselijke wetgeving richting te kunnen geven.
In het tweede gedeelte van dit onderzoek wordt een koppeling gemaakt naar het hiervoor
uiteengezette economisch belang en juridisch kader. Er wordt bekeken wat de juridische
mogelijkheden, haken en ogen zijn omtrent de verbintenisrechtelijke status van een
privacyverklaring in een app en de hiermee verband houdende gegevensverwerking. Voorts
worden in het derde gedeelte enkele conclusies getrokken en wordt er een aanbeveling gedaan
met betrekking tot de wenselijkheid van de verbintenisrechtelijke status van een
privacyverklaring in een app en de mogelijkheden omtrent de verwerking van
persoonsgegevens door apps op smartphones. Vanwege het economische en maatschappelijke
4
‘De Artikel 29-werkgroep is het onafhankelijke advies -en overlegorgaan van Europese
privacytoezichthouders. De werkgroep speelt een belangrijke rol in de totstandkoming van Europees beleid voor
de bescherming van persoonsgegevens.’ Cbpweb.nl, <http://bit.ly/1AtTuH2>.
belang is er sprake van multidisciplinair onderzoek. De methode van interpretatie van de
relevante teksten, wet- en regelgeving, rapporten en overige documenten laat zich het best
omschrijven als exploratief en beschrijvend.
9
Deel I. Literatuuronderzoek
10
2. Maatschappelijk en Economisch Belang
2.1.
Smartphones en Apps
10 juli 2008, het eerste grote commerciële platform voor apps (de App Store) wordt via een
update van iTunes door Apple geopend.5 Het is een online winkel (distributieplatform) waar
mensen softwareapplicaties (apps) kunnen downloaden die ontwikkeld zijn om voor een
smartphone (of smart device)6. Kort hierna worden door concurrerende bedrijven
gelijksoortige distributiekanalen opgezet. Apps functioneren alleen wanneer ze zijn
ontwikkeld voor een specifiek besturingssysteem. Verschillende besturingssystemen hebben
allen hun eigen apps en eigen distributiekanaal.7 Op dit moment zijn de App Store en Google
Play de meest succesvolle aanbieders van apps. Apple heeft in 2013 bekend gemaakt dat er
meer dan 50 miljard downloads zijn gedaan in de App Store. Voor Google Play gelden gelijke
cijfers, hetgeen betekent dat er in totaal meer dan 100 miljard apps zijn gedownload door
consumenten.8 Hiernaast blijkt dat de App Store gebruiker gemiddeld 88 apps en de Google
Play gebruiker 68 apps installeert,9 en dat vanaf juni 2014 meer dan 50% van de tijd dat
mensen online zijn, in apps doorbrengen.10
Oorspronkelijk zijn apps ontwikkeld om de productiviteit van een smartphone te verhogen en
om informatie gemakkelijker binnen te halen en op te slaan (denk hierbij aan e-mail,
contacten, kalender, etc.). Door de toenemende vraag van consumenten is de markt rondom
apps geëxplodeerd. App-ontwikkelaars ontwikkelen nu apps inzake games, locatie-gebaseerde
diensten, geldtransactie-middelen, het weer, sociale media, muziek streamen, het bekijken van
video’s, medische hulpmiddelen, het bestellen van een taxi, et cetera. ‘There’s an App for
that’ is dan ook de gevleugelde uitspraak.
5
‘App Store (iOS)’, Wikipedia.org, <http://bit.ly/1guXsPk>, Zie ook Apple CEO Steve Jobs: "This is the biggest
launch of my career", 'App Store for iPhone already a hit with developers', USAtoday.com 10 juli 2008,
<http://usat.ly/1RgToXD>.
6
Onder smart device wordt verstaan: ‘a device that is digital, active, computer networked, is user reconfigurable
and that can operate to some extent autonomously.’ itlaw.wikia.com, <http://bit.ly/1Rhw3oI>.
7
Zo is er de App Store (iOS), Google Play (Android), de Windows Phone Store (Microsoft), BlackBerry App
World (BlackBerry 10 en BlackBerry OS), Nokia Store (Ovi), de Samsung Apps Store (Windows Mobile,
Android and Bada) en de Amazon App Store. Wel is er binnen Miscrosoft discussie over het toestaan van
Android-apps op Windows en Winsows-phone. 'Microsoft overweegt nog altijd ondersteuning Android-apps
voor Windows', Tweakers.net 17 november 2014, <http://bit.ly/1FLcWzA>.
8
‘Apple’s App Store Marks Historic 50 Billionth Download’, Apple.com 16 mei 2013,
<http://apple.co/Jw9aR5>; 'Global App Downloads to Pass 100 Billion This Year', Statista.com 19 september
2013, <http://bit.ly/1dsRKE2>
9
‘Mobile Phone App Store Statistics’, Statisticbrain.com, <http://bit.ly/1hD99Eh>.
10
In dit onderzoek betreft het mensen in de Verenigde Staten, maar aangenomen kan worden dat gelijke cijfers
gelden voor Europa. Andreessen Horowitz, Mobile is eating the world, slide 11, <http://bit.ly/1Q68eOb>.
11
Voor de lancering van de App Store waren er weinig mensen die konden bedenken wat voor
een enorme invloed deze applicaties op smartphones (en niet veel later op velerlei apparaten)
zouden gaan hebben op onze levenswijze. Weinigen spraken over Big Data of The Internet of
Things en overzagen de (privacyrechtelijke) gevolgen van apps op smart devices. ‘The App
Internet’ staat nog in haar kinderschoenen.11 Dat deze markt zich razendsnel ontwikkeld heeft
(en door blijft ontwikkelen) blijkt ook uit de statistieken, welke in de volgende paragraaf
besproken zullen worden. Later zal in dit hoofdstuk dieper op de bijkomende effecten van
apps worden ingegaan, maar eerst wordt een overzicht van de markt rondom apps en
smartphones, de gegevens die worden verzameld door apps en het economisch belang inzake
deze markt gegeven, om zodoende het maatschappelijk belang van deze (nieuwe) economie
en de mogelijke juridische gevolgen goed te kunnen duiden.
2.2.
The App Ecosystem
Om een duidelijk overzicht van de impact van smartphones in onze (informatie)samenleving
te krijgen wordt door middel van een aantal internationale rapporten getracht een inzicht te
geven in ‘the App Ecosystem’, ook wel the App Landscape of the App Economy genoemd.
Smartphone penetration (aantal gebruikers vanaf de leeftijd van 13 jaar) in de vijf grootste
EU-landen gezamenlijk12 is al in 2012 boven de 50% uitgekomen.13 De verwachting is dat
smartphone penetration met 10% per jaar zal groeien. Het aantal apps dat in 2013 wereldwijd
gedownload is wordt rond de 56 miljard geschat.14 Smartphonegebruik zal uiteindelijk
universeel worden,15 waardoor de groei van apps zal toenemen en regulering van deze markt
dus van groot belang is. Na de ontwikkeling van web-apps (een applicatie op een webserver
11
Zo is in 2010 het woord ‘app’ uitgeroepen tot ‘Woord van het jaar’ door de American Dialect Society. Dat dit
pas vier jaar geleden is geeft aan hoe jong deze ontwikkeling is, '“App” voted 2010 word of the year by the
American Dialect Society', Americandialect.org 8 januari 2011, <http://bit.ly/1oIzrgD> en is op moment van
schrijven is bekend gemaakt dat Google op een veiling inzake generieke topleveldomeinen van The Internet
Corporation for Assigned Names and Numbers (Icann) het website domein .app heeft gekocht voor een bedrag
van ruim 25 miljoen dollar, het hoogste bod tot nu toe. 'Google buys .app web domain for $25m', Bbc.com 27
februari 2015, <http://bbc.in/1SyydC9>.
12
Spanje, Duitsland, Italië, Frankrijk en het Verenigd Koninkrijk.
13
‘Spain leads the rankings with 66 percent of mobile users owning a smartphone in December 2012, followed
by the UK with 64 percent – both countries were above the European average of 57 percent. In France and Italy,
smartphone ownership was at 53 percent amongst the mobile population, with Germany concluding the rankings
at 51 percent during the three month average ending in December 2012.’, 'Smartphones Reach Majority in all
EU5 Countries', Comscore.com 15 maart 2013, <http://bit.ly/1FPPKC8>.
14
'Android Will Account for 58% of Smartphone App Downloads in 2013', Businesswire.com 4 maart 2013,
<http://bit.ly/1HF1mbw>.
15
Zie bijvoorbeeld een onderzoek van Andreessen Horowitz, waaruit volgt dat 80% van de totale
wereldbevolking vanaf 18 jaar in 2020 in het bezit van een smartphone zal zijn. Andreessen Horowitz, Mobile is
eating the world, slide 7, <http://bit.ly/1HG6Foj>.
12
die via een webbrowser weergegeven kan worden)16 en daarna native apps (ontwikkeld voor
en geprogrammeerd op een specifiek besturingssysteem),17 worden apps nu met één bepaalde
functionaliteit ontwikkeld. Apps worden een opzichzelfstaand iets, ‘Apps as Service
Layers’.’18
De ontwikkeling van apps heeft grote impact. Uit recente rapporten van VisionMobile19 blijkt
dat apps en app-gerelateerde producten- en diensten in 2014 een wereldwijde omzet van 86
miljard dollar hebben gegenereerd.20 De bijdrage van de App Economy in de Europese Unie
in 2015 wordt geschat op ongeveer 2 miljoen banen over de gehele economie. Het gaat om
1,3 miljoen banen die direct vanuit de App Economy zijn ontstaan waarvan fulltime
professionele app-ontwikkelaars met 65% een groot aandeel hebben.21 Voorts blijkt dat 651
duizend banen indirect uit de App Economy voortkomen. Uit de rapporten van VisionMobile
volgt ook dat 19% van de internationale productie van app-gerelateerde producten en diensten
vanuit de Europese Unie komt en deze economie een omzet van meer dan 12 miljard euro per
jaar opbrengt.22 Uit een rapport van Nielsen volgt dat het gebruik van apps door personen
(vanaf 18 jaar) in de Verenigde Staten in twee jaar tijd met 65% is gestegen. In het laatste
kwartaal van 2013 werd er gemiddeld 30 uur en 15 minuten per persoon per maand in apps
besteed, waarbij 26,8 verschillende apps werden gebruikt.23 Aangezien de App Economy nog
in haar kinderschoenen staat zullen deze aantallen in de komende jaren nog significant
toenemen.24
16
'Web application', Wikipedia.org, <http://bit.ly/1ktczjt>.
'Native (computing)', Wikipedia.org, <http://bit.ly/1F8jW4w>.
18
M. Panzarino van TechCrunch: ‘These are apps you have on your phone but only open when you know they
explicitly have something to say to you. They aren’t for ‘idle browsing,’ they’re purpose-built & informed by
contextual signals like hardware sensors, location, history of use & predictive computation.’, 'Foursquare’s
Swarm And The Rise Of The Invisible App', Techcrunch.com 15 mei 2014, <http://tcrn.ch/1jMtVH8>.
19
VisionMobile, European App Economy 2015, <http://bit.ly/1wrrsKG> en VisionMobile, App Economy
Forecasts 2013-2016, <http://bit.ly/1HG7xt9>.
20
Uit een studie van Appnation blijkt dat de omzet binnen de App Economy in de Verenigde Staten al in 2017
op 150 miljard dollar uitkomt. Appnation 2013, <http://bit.ly/1FLhhTj>.
21
Dit is 23% van de 5.7 miljoen app-ontwikkelaars wereldwijd. VisionMobile 2015, p.4,
<http://bit.ly/1wrrsKG>
22
VisionMobile 2013, <http://bit.ly/1HG7xt9>.
23
Nielsen 2014, <http://bit.ly/TFXobf>.
24
Zie in dit verband ook (toenmalig) Europees Commissaris voor de Digitale Agenda, Neelie Kroes. ‘Welke
andere sector groeit met 25 procent per jaar? (…) Apple en anderen zijn een economische revolutie gestart.’
'Apps goed voor 1 miljoen banen in Europa', Nieuwsblad.be 6 augustus 2014, <http://bit.ly/1HG8eT3>. Zie
bijlage II voor de exponentiële groei van de wereldwijde omzet inzake reclame-inkomsten door apps (2008 tot
2013) en de wereldwijde verzending van smartphones en tablets (1999 tot 2013).
17
13
Om een beeld te geven van de omvang van dataverwerking door apps wordt hier een
onderdeel van de App Economy, namelijk ‘the Global Messaging Ecosystem’ gegeven. Uit
verschillende rapporten volgt dat er in minder dan vijf jaar tijd meer dan 1 miljard gebruikers
van Messaging Services zijn.25 Wereldwijd worden elke dag miljarden bytes aan data
geüpload en gedeeld, waarvan het overgrote deel via apps op smartphones gebeurd.
WhatsApp is goed voor 400 miljoen maandelijkse actieve gebruikers, met 50 miljard
berichten, 700 miljoen foto’s en 100 miljoen video’s per dag. Tencent WeChat (China) heeft
355 miljoen maandelijkse actieve gebruikers. Line (Japan) heeft 280 miljoen maandelijkse
actieve gebruikers en 10 miljard berichten per dag en Snapchat is (in twee jaar tijd) goed voor
700 miljoen snaps en 500 miljoen verhalen per dag. Maar Messaging Services zijn niet de
enige apps die deze gigantische hoeveelheden aan data verwerken. Ook andere populaire
(privacygevoelige) apps verwerken miljarden bytes aan data. Tinder heeft 800 miljoen Swipes
en 11 miljoen matches per dag. Fitbit heeft van 2011 tot 2013 voor 47 miljard bytes aan data
verzameld. MyFitnessPal heeft 65 miljoen gebruikers en Eventbrite heeft in 2013 voor 58
miljoen aan tickets verkocht voor meer dan 1 miljoen events in 187 verschillende landen. Dit
was goed voor 1 miljard dollar aan ticketverkoop.26
25
26
KPCB 2014, p. 36, <http://bit.ly/1AtvDat>.
KPCB 2014, p. 63-64, <http://bit.ly/1AtvDat>.
14
De innovatie van apparaten en connectiviteit zullen door de mogelijkheden in verband met het
uploaden van data een (volgende) explosieve groei veroorzaken.27 Vanwege de steeds lager
wordende research-, en ontwikkelingskosten kunnen en zullen app-ontwikkelaars meer
inspelen op bepaalde niches in de internationale markt. Daarnaast is de innovatie van
draadloze connectiviteit van grote invloed. Draadloze verbindingen zijn op steeds meer
plekken beschikbaar en de snelheid neemt toe waardoor de kwaliteit van de diensten
aangeboden door middel van apps sterk verbetert. Clouddiensten zullen, door het toenemende
gebruik van apps, groeien en verbeteren waardoor de functionaliteiten van apps weer zullen
toenemen.28 Er ontstaat ‘een virtuous cirkel van altijd aanwezige aangesloten apparaten en een
groeiend aantal apps’.29
‘The App Internet is an application architecture of native Apps on a range of SMART mobile
devices, cars, televisions, and appliances linked to a broad array of cloud-based services to
provide an optimized, context-rich experience anytime, anywhere…’30
27
‘Significant Portion (34%) of IDC Digital Universe Data = Useful – Derived from embedded systems / data
processing / social media / photos / sounds... Small Portion (7%) Data = Tagged – Fastest growing segment of
valuable data comes from Internet of Things (IoT) – billions of sensors / intelligence systems capturing / sending
data, increasingly in real-time... Immaterial Portion (1%) Data = Analyzed – Newer tech companies are making
it easier to understand / make use of increasing amount of data.’ KPBC 2014, p.85, <http://bit.ly/1AtvDat>.
28
VisionMobile & Plum Consulting 2013, p.7.
29
VisionMobile & Plum Consulting 2013, p.6.
30
The Mobile "App Internet" Recasts the Software & Services Landscape by Ellen Daley, Forrester, slide 5,
<http://bit.ly/1Fz853a>.
15
Het direct delen en communiceren door mobile devices met de wereld eromheen en de
toename van data-mining en cloud-computing heeft het potentieel om de wereld beter,
veiliger, functioneler en productiever te maken. Eerdere onoplosbare problemen kunnen door
deze hoeveelheid aan data worden verholpen. Echter, door de impact van deze datastromen op
de privacy van personen ontstaan er nieuwe uitdagingen in verband met het waarborgen van
fundamentele rechten. Hier zal later in dit onderzoek nader op in worden gegaan maar eerst
wordt, om een volledig beeld rondom de impact van the App Ecosystem te schetsen, beknopt
de opkomst van ‘the Internet of Things’ omschreven.
2.3.
The Internet of Things
The App Ecosystem staat in nauw verband met the Internet of Things (ook wel ‘het internet
van de dingen’). Omdat de App Ecosystem een onderdeel is (of zal worden) van the Internet
of Things (hierna: IoT) is het vanwege de onlosmakelijke verbondenheid met apps van belang
de impact en omvang van the IoT weer te geven. In de ontwerpresolutie van het Europees
Parlement over het internet van de dingen31 worden in de overwegingen en toelichting een
aantal belangrijke punten aangehaald in verband met de impact die het IoT zal hebben op de
persoonlijke levenssfeer in onze toekomstige informatiesamenleving.32 Zo stelt het Europees
Parlement dat ‘het internet van de dingen de mogelijkheid biedt dat miljarden apparaten met
elkaar communiceren dankzij draadloze technologie in combinatie met logische en fysieke
adresseringsprotocollen.’ Ook moet het IoT de mogelijkheid bieden ‘om feilloos digitale
entiteiten en voorwerpen te identificeren teneinde de daaraan gekoppelde gegevens te kunnen
opvragen, opslaan, doorzenden en permanent bewerken.33 Apps op smart devices zullen een
belangrijke factor in dit geheel van connectiviteit worden, omdat de gegevensverwerking op
de verschillende apparaten via apps zal plaatsvinden. Het Europees Parlement benadrukt dat
gegevensbescherming en privacy gewaarborgd moeten blijven. Het is van groot –
maatschappelijk en economisch – belang dat de consument vertrouwen krijgt in het IoT. Dit
vertrouwen moet gebaseerd zijn op ‘een duidelijk wetgevingskader, met inbegrip van
voorschriften aangaande het beheer, de vergaring, de verwerking en het gebruik van
31
(2009/2224(INI)).
De groei van content is – mede door het toenemend aantal smart devices – gigantisch. 90% van de digitale
bulk aan data is in de afgelopen twee jaar gegenereerd. 'Accelerate delivery of pervasive analytics with a big data
platform', Ibm.com (laatst gecheckt mei 2015), <http://ibm.co/1DFSFZg>. Er wordt geschat dat er in 2020
ongeveer 26 miljard apparaten met elkaar verbonden zullen zijn. 'Gartner Says a Thirty-Fold Increase in InternetConnected Physical Devices by 2020 Will Significantly Alter How the Supply Chain Operates', Gartner.com 24
maart 2014, <http://gtnr.it/1frq5gt>.
33
(2009/2224(INI)), Overweging P.
32
16
gegevens die door het internet van de dingen worden verzameld en doorgeseind, en
aangaande de vormen van de daarvoor vereiste toestemming door de consument’.34 In het
advies
van
de
Commissie
van
Juridische
Zaken
worden
de
beginselen
voor
gegevensbescherming benadrukt,35 en wordt gewezen op ingebouwde privacy (lees: privacy
by design) als een essentiële regel om de privacyrechtelijke waarborgen van de consument in
de toekomst te beschermen.36
Op de privacyrechtelijke waarborgen omtrent the IoT zal verder niet worden ingaan. Voor een
duidelijk en beknopt betoog inzake (het ontbreken van) de privacyrechtelijke waarborgen
wordt verwezen naar Wisman & Lodder, 'Hoeveel ruimte is er voor privacy in het internet der
dingen'.37 Zij bekritiseren het Europees Parlement op verschillende vlakken en stellen dat de
ambities van de EU in verband met het IoT onduidelijk zijn. Er worden geen waarborgen
gesteld waardoor (onder andere) de commercie op dit moment te gemakkelijk haar gang kan
gaan.38 Interessant gedeelte voor dit onderzoek is te vinden in het slot van dit artikel. Zij
stellen dat er alleen vertrouwen in het IoT kan zijn ‘als deelname hieraan berust op een
vrijwillige basis en de partijen die er aan werken transparant zijn over de bedoelingen en
werkwijzen.' Voorts stellen zij dat ‘om de betrokken partijen, overheid/bedrijfsleven/burgers,
op een lijn te krijgen het noodzakelijk is dat er voor alle partijen voordeel is te behalen. Er
moet worden gewerkt aan een duidelijk juridisch kader waarin het IoT zich kan ontwikkelen
op een legitieme basis.'39 Dit zelfde geldt voor de gegevensverwerking door apps op smart
devices in the App Ecosystem. Mensen moeten kunnen kiezen welke gegevens verwerkt
worden en zij moeten voordeel behalen uit de (van hen afkomstige) gegevens die verwerkt
34
(2009/2224(INI)), Overweging 30.
Zij wijst erop dat de ontwikkeling van deze technologieën noodzakelijkerwijze vergezeld moet gaan van de
eerbiediging van een aantal kernbeginselen voor de gegevensbescherming, zoals de beginselen van
doelgerichtheid, proportionaliteit, transparantie en veiligheid. Advies van de Commissie Juridische Zaken aan de
Commissie industrie, onderzoek en energie inzake het internet van de dingen (2009/2224(INI)), 30 mei 2010,
Overweging 9.
36
Advies van de Commissie Juridische Zaken aan de Commissie industrie, onderzoek en energie inzake het
internet van de dingen (2009/2224(INI)), Overweging 11.
37
Wisman & Lodder 2010.
38
Zie bijvoorbeeld ook the World Economic Forum, ‘Technological Risks: Back to the Future’: ‘While the
“Internet of Things” (IoT) will deliver innovations, it will also entail new risks. Analytics on large and disparate
data sources can drive breakthrough insights but also raise questions about expectations of privacy and the fair
and appropriate use of data about individuals. Security risks are also intensified. There are more devices to
secure against hackers, and bigger downsides from failure: hacking the location data on a car is merely an
invasion of privacy, whereas hacking the control system of a car would be a threat to life. The current Internet
infrastructure was not developed with such security concerns in mind.’ ‘Technological Risks: Back to the
Future’, reports.weforum.org <http://bit.ly/1Gyi0bj>.
39
Wisman & Lodder 2010, p. 183.
35
17
worden via hun smartphone.40 Op welke manier bewustzijn bij de consument kan worden
gecreëerd en hoe dit juridisch vorm moet krijgen zal in het tweede gedeelte van dit onderzoek
besproken worden. Eerst wordt nu weergegeven welke gegevens door een app op een
smartphone verwerkt (kunnen) worden.
2.4.
Gegevensverwerking door Apps
Dimitri Tokmetzis en Maurits Martijn schrijven voor de Correspondent en hebben een zeer
interessant onderzoek gedaan naar datastromen via apps op smartphones.41 Aan de hand van
het onderzoek van Tokmetzis en een aantal rapporten zal worden beschreven hoeveel en
welke gegevens door apps op smartphones worden verwerkt. De uitkomst is (mede met the
Internet of Things in het achterhoofd) op zijn minst zorgwekkend te noemen.
Voor dit onderzoek42 zijn 85 populaire apps43 getest en duizenden datastromen gevolgd. Het
programma dat hiervoor gebruikt is heet Charles.44 In het artikel wordt een voorbeeld van de
40
Zie ook Preliminary Opinion of the European Data Protection Supervisor: ‘Personal information has prompted
and sustained growth in the digital economy. Individual consumers should be able to enjoy a fairer share of the
fruits of that growth. Competition and data protection authorities are increasingly recognising this as a pivotal
challenge in building trust and accountability across the digital economy. Data protection presents a unique
opportunity to give individuals the tools to protect themselves and to make the enforcement of competition and
consumer protection rules more effective.’ Preliminary Opinion of the European Data Protection Supervisor
2014, p. 38.
41
Benadrukt moet worden dat het geen wetenschappelijk maar een journalistiek onderzoek is. Er zijn
verschillende wetenschappelijke onderzoeken naar gegevensverwerking door apps uitgevoerd (zie bijv. The ICO,
Results of the 2014 Global Privacy Enforcement Network Sweep <http://bit.ly/1Fb5lGP>; Carnegie Mellon
University’s Computer Human Interaction: Mobility Privacy Security (CHIMPS) Lab. <http://bit.ly/1FLmR8i>;
The App Genome Project <http://bit.ly/1Gyipuh> of ‘Your Location has been Shared 5,398 Times! A Field
Study on Mobile App Privacy Nudging’, december 2014, maar dit onderzoek geeft vanwege de gedetailleerde
weergave en focus op Nederlandse apps mijn inziens het meest complete beeld inzake gegevensverwerking door
apps op smartphones.
42
'Dit gebeurt er allemaal onder de motorkap van je smartphone', Decorrespondent.nl 22 mei 2014,
<http://bit.ly/1HGbEFl>.
43
9292, 3fm, 500px, Adobe Reader, Angry Birds, AntiVirus Security Free, Appie, Ball Travel 3D (Full
Version), Bijenkorf, Boardrush & Friends, Buienalarm, Buienradar, Candy Crush Saga, Clash of Clans, Clean
Master, Crack My Screen, Demolition Duke, Dragons World, Facebook Messenger, Farm Heroes Saga,
Fingerpint Keypad Lock Screen, Foursquare, Funda, Google Earth, Google Translate, GTST, Hay Day, Hill
Climb Racing, IMDb, Ingress, Instagram, Jelly Splash, KLM, Lingo Nederlands, LinkedIn, Little Ear Doctor,
Marktplaats, McDonald's, Meditate, Meta Magister, Moves, My Fitness Pal, Nail Doctor, Navfree, Netflix,
Nikeplus, NOS, NOS Teletekst, NPO (Uitzending Gemist), NS Reisplanner Xtra, Nu.nl, Outlook.com, Papa Pear
Saga, Pet Rescue Saga, POU, RTL XL, Run, Runtastic, Shazam, Skype, Sleep Cycle, Smash Hit, Snapchat,
Spermy's Journey, Spotify, Strava, Subprise, Subway Surfers, Swipepad, Telegraaf, Telegram, Temple Run 2,
The Guardian, Tinder, Torch Tiny Flashlight, TVGids.tv, Viber, Waze, Weeronline, Where is my droid,
WomanLog, Wordfeud Free, Wunderlist, Ziggo TV en Zite.
44
‘Charles is an HTTP proxy / HTTP monitor / Reverse Proxy that enables a developer to view all of the HTTP
and SSL / HTTPS traffic between their machine and the Internet. This includes requests, responses and the
HTTP headers (which contain the cookies and caching information).’, Charlesproxy.com,
<http://bit.ly/1h3DRJ8>.
18
Bijenkorf-app gegeven. Kort zal hier beschreven worden welke datastromen Tokmetzis heeft
kunnen achterhalen.45
Allereerst wordt bij het installeren van de app door Google Play (Android) toestemming voor
een hele reeks dataverwerkingen gevraagd. Het gaat om toestemming voor het gebruik van
netwerkinformatie,
de
trilfunctie,
slaapstand,
camera,
geheugenkaart,
gps
en
netwerkgebaseerde locatie. Ook wordt er toestemming gevraagd om de agenda te kunnen
lezen, afspraken te maken en te wijzigen en zonder hiervan op de hoogte te zijn e-mails te
versturen naar contactpersonen uit de agenda van de smartphone. Er wordt toestemming
gegeven en de app wordt geïnstalleerd. Wanneer Tokmetzis op de app klikt wordt er door
Google direct een cookie op de smartphone geplaatst waardoor het toestel gevolgd kan
worden. Kort hierna wordt er door de Bijenkorf een unique identifier (UID) 46 aan het toestel
gekoppeld, waardoor de Bijenkorf het toestel (en dus de gebruiker) kan identificeren. Ook
wordt Google Analytics47 geactiveerd en het zal gedurende het hele onderzoek niet meer van
de smartphone verdwijnen.
Wanneer Tokmetzis een Bijenkorf Card aanvraagt wordt er verbinding gemaakt met een
server in de Verenigde Staten. Deze server wordt gehuurd door Intershop, welke bezoekers (in
opdracht) van de Bijenkorf real-time analyseert. Op hetzelfde moment komt Shop2Market
(analyseert kijkgedrag van de gebruiker) naar voren en wordt Doubleclick48 op de smartphone
geïnstalleerd. Nu de shopping card is aangevraagd bekijkt Tokmetzis een product in de
Bijenkorf-app. Er verschijnen zeker achttien trackers van advertentiebedrijven op de
45
Lees meer over de methodologie van dit onderzoek op 'Hoe ik het smartphone-onderzoek heb uitgevoerd',
Decorrespondent.nl 22 mei 2014, <http://bit.ly/1Hs4CBD>.
46
‘Any identifier which is guaranteed to be unique among all identifiers used for those objects and for a specific
purpose. There are three main types of unique identifiers, each corresponding to a different generation strategy:
serial numbers, random numbers and names or codes’, 'Unique identifier', Wikipedia.org,
<http://bit.ly/1Fb5Wsa>.
47
‘Dit platform biedt dezelfde uitgebreide functies zoals u die verwacht van Google Analytics, inclusief
realtime-analyse, uitgebreide segmentatie, meer dan 200 dimensies en de mogelijkheid uw eigen aangepaste
dimensies en statistieken bij te houden.’ 'Analytics voor mobiele apps', Google.nl/analytics,
<http://bit.ly/1Ly3SxZ>.
48
‘DoubleClick is een fundamentele advertentietechnologie waarmee digitale advertenties kunnen worden
gemaakt en beheerd en waarmee transacties kunnen worden uitgevoerd voor de kopers, makers en verkopers in
de wereld.’ 'Digitaal adverteren wereldwijd stimuleren', Google.nl/doubleclick, <http://bit.ly/1JQEPbe>.
19
smartphone welke een stroom aan data van en naar hun servers versturen, een blitz-aanval.49
Het zijn vooral cookies die met real-time bidding50 en retargeting51 te maken hebben.
Interessant in verband met de bevindingen van Tokmetzis is het onderzoek van de
Consumentenbond naar de privacyverklaringen van verschillende bedrijven.52 Zo is ook de
privacyverklaring van de Bijenkorf bestudeerd waaruit bleek dat de informatie inzake het
delen van gegevens met derden niet overeenkwam met hun onderzoek. In de
privacyverklaring van de Bijenkorf wordt één partij genoemd waarmee de gegevens gedeeld
worden. Uit het onderzoek van Tokmetzis bleek dat er minstens 18 trackers te voorschijn
kwamen, en uit het onderzoek van de Consumentenbond bleek zelfs dat er rond de 30
tracking- en social cookies geplaatst werden.53 Hetgeen duidelijk niet overeenkomt met de
door Bijenkorf beschikbaar gestelde privacyverklaringen die gelden voor de app en website.
Het voorbeeld van de Bijenkorf-app geeft goed weer wat er allemaal gebeurt wanneer een app
wordt geïnstalleerd. In totaal heeft Tokmetzis 67 verschillende trackers op alle onderzochte
apps kunnen achterhalen, waarvan ruim twee derde advertentiebedrijven zijn. Daarnaast zijn
er 16 trackers van analytics-diensten naar boven gekomen waarvan Google verreweg het
meest aanwezig is. Op de 85 onderzochte apps is Tokmetzis 104 keer een tracker van Google
tegengekomen. Naast de tracker van Google kwam er nog een interessante tracker naar boven,
genaamd Flurry. Deze tracker kwam op 25 van de onderzochte apps voor. De tracker volgt
gemiddeld 7 apps op 1,3 miljard toestellen. Middels deze informatie creëren zij
gedragsprofielen, welke zij doorverkopen.54 Ook volgt deze tracker andere apps die op de
smartphone zijn geïnstalleerd. Tokmetzis legt uit dat datastromen van apps op smartphones
normaal gesproken worden gescheiden, zodat de eigenaar van een app alleen de eigen
49
In één enkele seconde wordt contact gelegd met servers in de Verenigde Staten, Zweden, Duitsland, Ierland en
Nederland van bedrijven die luisteren naar namen als Improve Digital, Admeta, Adtech, Metrigo, Burst Media,
Yieldlab, Switch Concepts, AppNexus, Sociomantic, Adscale, Rubicon Project, OpenX, Smart Adserver en
Casale Media.
50
‘Een methode voor automatische aan- en verkoop van online display advertising in real time op een perimpressie basis. 'Real time revolutie in display advertising', Emerce.nl 7 augustus 2012, <http://bit.ly/1Ly4sf7>.
51
‘Een methode die het mogelijk maakt om bezoekers die bepaalde pagina’s van je website hebben bezocht,
opnieuw te bereiken via beeld of tekstadvertenties op websites van derden.’ 'Wat is retargeting?', Emerce.nl 7
januari 2011, <http://bit.ly/1PHB3Ws>.
52
Considerati 2014, <http://bit.ly/1IVj4rE>.
53
Considerati 2014, p. 32.
54
‘Because Flurry sees user data across an average of seven apps per device, we have a rich picture of each
mobile user and can place them in behavior-based audience groups, called Flurry Personas. A consumer qualifies
for a given Persona, such as Business Traveler, if they’ve recently over-indexed in their use of the types of apps
that Business Travelers use, like flight and hotel booking, navigation and restaurant reservation apps. In addition
to age and gender data, Flurry Marketplace partners can target using 40 Personas available out of the box.’
'Flurry Personas: Reach the Right Audience Through Behavioral Targeting', Flurry.com (laatst gecheckt mei
2015), <http://bit.ly/1ceuM1X>.
20
datastromen kan waarnemen. Dit wordt sandboxing55 genoemd. Een tracker als Flurry volgt
echter veel meer. Dit kan omdat er ‘toestemming’ wordt gegeven voor toegang tot je
geheugenkaart, hetgeen 58 keer van de 85 door Tokmetzis onderzochte apps is gevraagd. Dit
is nodig als een app iets moet kunnen opslaan, maar deze toestemming geeft dus ook de
mogelijkheid voor trackers om andere apps te volgen.
Uit het onderzoek van Tokmetzis blijkt dat het geven van deze toestemming voor de
installatie van een app dus onzinnig is. Men weet niet waar toestemming voor wordt gegeven.
Daarnaast berust deze toestemming niet op vrijwillige grond en is het principe van
doelbinding ver te zoeken. Dit wordt ook goed weergegeven in het ‘Flashlight Apps Threat
55
‘Sandboxing is a computer security term referring to when a program is set aside from other programs in a
separate environment so that if errors or security issues occur, those issues will not spread to other areas on the
computer. Programs are enabled in their own sequestered area, where they can be worked on without posing any
threat to other programs.’ 'Sandboxing', Techopedia.com (laatst gecheckt mei 2015), <http://bit.ly/1SyDDwZ>.
21
Assessment Report’ van SnoopWall,56 waaruit blijkt dat een simpele zaklamp-app heimelijk
(gevoelige) persoonsgegevens verzameld en vervolgens doorverkoopt. Later in deze scriptie
wordt uitgebreid ingegaan op de juridische haken en ogen omtrent toestemming (of
aanvaarding), maar eerst wordt nu de economische waarde van persoonsgegevens beschreven.
2.5.
Data als Product
Data zijn een nieuwe ‘grondstof’ waar steeds meer mee gehandeld wordt.57 Met grote
hoeveelheden verzamelde data hebben bedrijven die handelen in data (data brokers)
informatie in handen die doorverkocht kan worden aan bijvoorbeeld adverteerders of
verzekeraars. In de Verenigde Staten is in mei 2014 onderzoek gedaan door de Federal Trade
Commission (FTC) naar data brokers.58 Alhoewel het onderzoek op de Verenigde Staten is
geconcentreerd en het niet alleen over de gegevensverzameling inzake apps op smart devices
gaat, is het toch interessant (en wederom zorgwekkend) om te zien welke data er door deze
brokers worden verhandeld. De gegevens die de data brokers59 aan data verhandelen zijn die
op het gebied van identificatie, gevoelige identificatie, demografie, strafrechtelijk verleden,
sociale media en technologie, huis en buurt, algemene interesse, financiële data, reisdata, data
over aankoopgedrag en gezondheidsdata. In bijlage 1 is per onderwerp te zien welk soort
gegevens door de data brokers worden verzameld en verhandeld. Het gaat bijvoorbeeld om
gegevens als een burgerservicenummer, etnische en religieuze betrekkingen, stem registratie
en partij identificatie, gebruik van mobiele devices, aantal baden in huis, Bijbelse levensstijl,
belastingteruggave afschriften, voertuig identificatie nummers, type vakanties, Joodse
geschenken/feestartikelen
en
de
geschiedenis
van
aanschaf
of
interesse
in
gezondheidscategorieën. Dit is slechts een kleine greep uit de enorme hoeveelheid aan
‘datapoints’ waarover data brokers beschikken. Een bedrijf als Acxiom (een van de grootste
data brokers) heeft meer dan een miljard mensen in hun databestand zitten, waarvan ze van
elk van die personen ongeveer 1500 datapoints hebben verwerkt. Steeds meer bedrijven
kopen via deze data brokers (persoons)gegevens. De verdienmodellen door middel van
gegevensverwerking zijn nog niet geheel uitgekristalliseerd, maar dat de gegevens veel geld
56
‘Founded by counterveillance expert and founding member of the U.S. Department of Homeland Security,
Gary Miliefsky. Snoopwall is the world’s first counterveillance software company focused on helping consumers
and enterprises protect their privacy on all of their computing devices including smartphones, tablets, and
laptops.’ SnoopWall, Flashlight Apps Threat Assessment Report, september 2014, <http://bit.ly/1SyDMAu>.
57
Zie inleiding: ‘Personal data is the new oil of the Internet and the new currency of the digital world.’ Meglena
Kuneva, European Consumer Commissioner, Roundtable on Online Data Collection, Targeting and Profiling,
Brussels, 31 March 2009, <http://bit.ly/1AtCZuJ>.
58
FTC, Data Brokers, A Call for Transparency and Accountability, mei 2014. <http://1.usa.gov/1kbUkcF>.
59
Acxiom, Corelogic, Datalogix, eBureau, ID Analytics, Intelius, PeekYou, Rapleaf en Recorded Future
22
waard zijn is evident.60 Dit blijkt ook uit de prijzen die op de zwarte markt worden betaald
voor persoonsgegevens. Uit een rapport van SecureWorks61 blijkt dat voor een complete
identiteit van een persoon (naam, adres, telefoon, e-mail, wachtwoord, geboortedatum, BSNnummer, bankrekening en creditcardnummer) in Europa $40,- en in de VS $25,- wordt
betaald. Voor alleen een datum van de verjaardag van een persoon wordt $11,- gevraagd.62
Ook geeft het bestaansrecht van platforms als Datacoup (‘Unlock the Value of Your Personal
Data. Introducing the world's first personal data marketplace’), Handshake (‘Your data
belongs to you. So when it is sold, you should be the one that benefits’) of Meeco (‘Convert
your daily activity into a private and valuable data asset’) aan dat persoonsgegevens
economische waarde vertegenwoordigen.
Uit het rapport van de FTC blijkt dat data brokers de verzamelde gegevens in drie categorieën
verdelen. Het gaat om marketing, risicobeperking en het zoeken/vinden van mensen. In totaal
brachten deze ‘producten’ in 2012 een jaaromzet op van 426 miljoen dollar, waarvan de
categorie ‘marketing’ het grootste aandeel van ruim 196 miljoen dollar had. 63 Hoe deze
(onder andere zeer gevoelige) gegevens – vaak zonder toestemming – verzameld worden is
niet geheel duidelijk, maar wanneer de verschillende datapoints bestudeerd worden kan men
niet anders dan stellen dat de privacyrechtelijke waarborgen grootschalig geschonden
worden.64 Echter, het grootste probleem is niet dat deze gegevens verzameld worden maar de
manier waarop dit gebeurt. De problematiek ligt in het feit dat gebruikers van smartphones (of
smart devices) – zonder zich er bewust van te zijn – instemmen met de gegevensverwerking
door apps. Een oplossing om ervoor te zorgen dat mensen wel een bewuste keuze maken,
welke tevens berust op een geïnformeerde en gebruiksvriendelijke keuze, wordt in het tweede
gedeelte van dit onderzoek besproken.
60
Zie ook Information Commissioner’s Office, ‘What price privacy? The unlawful trade in confidential personal
information’, mei 2006, <http://bit.ly/1LyaFbd> of CPB Policy Brief, mei 2014: ‘Het Amerikaanse
telecombedrijf AT&T biedt voor zijn glasvezelnetwerk in Austin, Texas een abonnement aan voor 99 dollar per
maand. Maar klanten kunnen ook kiezen voor een abonnement van 70 dollar per maand, maar dan mag AT&T
gegevens over surfgedrag gebruiken om klantspecifieke aanbiedingen en reclame aan te bieden. Dit voorbeeld
illustreert dat persoonsgegevens economische waarde hebben voor bedrijven.’ CPB Policy Brief 2014, p. 5.
61
Dell SecureWorks, The Underground Hacking Economy is Alive and Well, november 2013.
62
Gates & Matthews, p. 105.
63
FTC Data Brokers 2014, p. 23.
64
Zie ook de verklaring van Pam Dixon voor de Senate Committee on Commerce, Science, and Transportation:
‘Data brokers sell lists of people suffering from mental health diseases, cancer, HIV/AIDS, and hundreds of
other illnesses. Data brokers sell lists of people who live in or near trailer parks so that these undesirable
consumers can be targeted for suppression. Data brokers sell lists of people who are late on payments, often to
those who make predatory offers to those in financial trouble. Data brokers sell lists of people who are impulse
buyers or ‘eager senior buyers’. All in all, there are millions of lists.’ Testimony of Pam Dixon Executive
Director, World Privacy Forum Before the Senate Committee on Commerce, Science, and Transportation, 18
december 2013, <http://bit.ly/1IVngHO>.
23
2.6.
Positieve Impact
‘The App Ecosystem’ kan ook voor tal van zaken in onze maatschappij van grote
toegevoegde (economische en sociale) waarde zijn. Zo zijn er een aantal voorbeelden te
noemen welke aantonen dat de functionaliteit en economische waarde van apps zeer hoog is
en in korte tijd meer betekenis binnen onze samenleving zullen gaan spelen. De verbetering
van het welzijn van consumenten door digitale producten en diensten aangeboden in apps
(denk aan tv, radio, nieuws, muziek, film en games) is aanzienlijk. Ook zijn de mogelijkheden
rondom communicatie (Facebook, Instagram, Twitter, etc.) en navigatie (Google Maps,
Waze, Tom Tom, etc.) de afgelopen jaren drastisch veranderd. Belangrijkste impact van apps
is dat de informatievoorziening sterk is toegenomen. Meer en betere informatie betekent
doorgaans dat men betere beslissingen kan maken en veel tijd kan besparen. Uit onderzoek
onder smartphonegebruikers in de VS blijkt dat door de hulp van apps 88 minuten per dag
worden bespaard, hetgeen gelijk is aan twaalfduizend dollar in tijdbesparing per persoon per
jaar.65 Hiernaast blijkt dat apps de productiviteit, gezondheidszorg, educatie en onderzoek
sterk verbeteren.66 Een mooi voorbeeld is een nieuw systeem van de London Air Ambulance,
waarbij draadloze verbindingen en data worden gebruikt om eerder bij een ongeval te komen,
en zodoende meer levens te redden. ‘Now, we can have information sent straight from the
ambulance control room to the iPad and get going virtually instantaneously, whereas before
we would have spent literally minutes plotting the navigation.’67 Het is dan ook niet voor niets
dat de bijdrage van ‘the App Economy’ is opgenomen in ‘the Seven Pillars of the European
Digital Agenda’.68
Dat apps een aanzienlijk aandeel in ons leven krijgen is in velen opzichten bevorderlijk, maar
om ‘the App Ecosystem’ in goede banen te leiden dient er sterke regulering rondom deze
nieuwe markt te komen. Vanwege de enorme impact van apps op de persoonlijke levenssfeer
dient sterk rekening gehouden te worden met de fundamentele rechten en privacyrechtelijke
waarborgen. De enorme hoeveelheid smart devices, apps en daarbij horende datastromen en
65
'How Much Time Do Smartphones Save? 22 Days a Year', Businessnewsdaily.com 21 mei 2013,
<http://bit.ly/1FzhLdU>. Dit betreft voornamelijk apps voor het gebruik van e-mail of om berichten, bestanden
en foto´s met elkaar uit te wisselen. Afgevraagd kan worden of er ook niet twee keer zoveel tijd wordt verspild
door het gebruik van apps waarbij men anderhalf uur achter elkaar op een scherm aan het klikken is.
66
VisionMobile & Plum Consulting 2013, p. 18.
67
'How London’s Air Ambulance harnesses 4G speed', Telegraph.co.uk 7 juli 2014, <http://bit.ly/1SyEWfg>.
Zie bijvoorbeeld ook: Lis Neubeck et al., 'The mobile revolution—using smartphone apps to prevent
cardiovascular disease', 24 maart 2015, <http://bit.ly/1cWjss1>. of 'Samsung Volunteers in Tunisia Develop App
for Alzheimer’s Patients', Global.samsungtomorrow.com 27 april 2015, <http://bit.ly/1IZEEJR>.
68
VisionMobile & Plum Consulting 2013, p. 22.
24
de opkomst van het IoT vraagt om een hoog niveau van bescherming van persoonsgegevens
en alle privacyrechtelijke waarborgen daaromheen.69
69
Zie Van der Sloot 2014.
25
3. Juridisch Kader
3.1.
Privacy als Grondrecht
De internationale bepalingen inzake privacy zijn art. 12 UVRM70 en art. 17 IVBPR71. Op
Europees niveau is het recht op de bescherming van privacy en het recht op de bescherming
van persoonsgegevens geregeld in art. 8 EVRM.72 Hiernaast zijn er ook een aantal specifieke
bepalingen betreffende privacy en gegevensbescherming. De relevante artikelen zijn art. 16
VWEU73 en art. 7 Jo. Art. 8 Jo. art. 52 HGEU.74 Uit art. 8 EVRM (alsmede uit art. 17 IVBPR)
valt af te leiden dat de omvang van gegevensbescherming ziet op het intieme leven, de
woning en communicatie.75 Daarnaast wordt in beide artikelen in het tweede lid vermeld dat
een beperking op dit recht bij wet moet zijn voorzien, waarbij rekening moet worden
gehouden met vereisten van ‘accessibility’ en ‘foreseeability’.76 Voorts geeft art. 8 lid 2
EVRM nog een vereiste voor wanneer een dergelijke beperking plaats mag vinden. Het
betreft de voorwaarde van noodzakelijkheid in een democratische samenleving, waarbij
evenredigheid en proportionaliteit een belangrijke rol spelen. Het recht op de bescherming
van privacy is dus niet absoluut maar restrictief, zie hierover bijvoorbeeld de toelichting van
de Algemene Verordening Gegevensbescherming.77
3.2.
Privacy- en Internetrecht
70
Art. 12 UVRM: Niemand zal onderworpen worden aan willekeurige inmenging in zijn persoonlijke
aangelegenheden, in zijn gezin, zijn tehuis of zijn briefwisseling, noch aan enige aantasting van zijn eer of goede
naam. Tegen een dergelijke inmenging of aantasting heeft een ieder recht op bescherming door de wet.
Universele Verklaring van de Rechten van de Mens, New York, 10-12-1948.
71
Art. 17 lid 1 IVBPR: Niemand mag worden onderworpen aan willekeurige of onwettige inmenging in zijn
privé leven, zijn gezinsleven, zijn huis en zijn briefwisseling, noch aan onwettige aantasting van zijn eer een
goede naam. Internationaal Verdrag inzake burgerrechten en politieke rechten, New York, 16-12-1966.
72
Art. 8 lid 1 EVRM: Een ieder heeft recht op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn
woning en zijn correspondentie. Verdrag tot bescherming van de rechten van de mens en de fundamentele
vrijheden, Rome, 4 november 1950.
73
Verdrag betreffende de werking van de Europese Unie, Rome, 25-03-1957.
74
Handvest van de grondrechten van de Europese Unie, (2010/C 83/02). Daarnaast is in artikel 10 van de
Grondwet het recht op bescherming van de persoonlijke levenssfeer, en in artikel 13 van de Grondwet het brief-,
telefoon en telegraafgeheim vastgelegd.
75
Zie ook Blok, p. 72.
76
EHRM 26 april 1979, A 30 (Sunday Times), r.o. 49.
77
‘Aangezien het recht op bescherming van persoonsgegevens, zoals het Hof van Justitie heeft benadrukt, geen
absolute gelding heeft, maar in relatie tot de functie ervan in de samenleving moet worden beschouwd en moet
worden afgewogen tegen andere grondrechten (…)’. Toelichting COM(2012) 11 final, overweging (139), p. 45.
26
Op nationaal niveau wordt gegevensbescherming geregeld in de Wet bescherming
persoonsgegevens (Wbp).78 Deze wet is afgeleid uit de privacyrichtlijn79, welke binnenkort
vervangen zal worden door de Algemene Verordening Gegevensbescherming (hierna:
AVG).80 Hiernaast zijn in de Telecommunicatiewet (Tw)81 in hoofdstuk 11 bepalingen
opgenomen voor aanbieders van openbare elektronische netwerken en diensten met
betrekking tot verkeersgegevens, de bescherming van persoonsgegevens en de bescherming
van de persoonlijke levenssfeer. Vanwege de directe werking van de AVG op het gehele
Europese grondgebied, de inwerkingtreding niet lang meer op zich zal laten wachten 82 en
deze de in het Wbp geïmplementeerde Privacyrichtlijn voor het overgrote gedeelte zal
vervangen, wordt in verband met de vereisten van gegevensverwerking door apps in
smartphones alvast naar het voorstel van deze Verordening gekeken. Relevante hoofdstukken
van de AVG zijn Hoofdstuk I, Algemene bepalingen (art. 4), Hoofdstuk II, Beginselen (artt.
5, 6, 7 en 9), Hoofdstuk III, Afdeling 1, Transparantie en modaliteiten (art. 11) en Afdeling 4,
Recht van bezwaar en profilering (art. 20), alsmede Hoofdstuk V, Afdeling 1, Algemene
Verplichtingen (art. 23). De toelichting op deze hoofdstukken en overwegingen van het
Europees parlement omtrent gegevensverwerking, opgenomen in de Verordening, zullen in
verband met dit onderzoek nu nader besproken worden.
Wanneer het de verwerking van persoonsgegevens betreft gelden een drietal beginselen. Er
dient sprake te zijn van een geldige rechtsgrondslag, doelbinding en transparantie.83 Vaak, zo
niet altijd, ontbreekt het bij de gegevensverwerking door apps op smart devices aan een of
meerdere van deze vereisten. Bij deze beginselen zijn de bovengenoemde artikelen van de
AVG van toepassing. Kort worden nu de beginselen met bijhorende artikelen besproken.
78
Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens (Wet bescherming
persoonsgegevens).
79
Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming
van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer
van die gegevens.
80
Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van
natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van
die gegevens (Algemene verordening gegevensbescherming), Brussel, 25.1.2012, COM(2012) 11 final.
81
Wet van 19 oktober 1998, houdende regels inzake de telecommunicatie (Telecommunicatiewet).
82
‘Tijdens de Raad Justitie en Binnenlandse Zaken (JBZ-Raad) van 15 en 16 juni 2015 streeft het
Voorzitterschap naar de afronding van de algemene benadering over de algemene verordening
gegevensbescherming.’ (laatste revisie: 05-06-2015), ‘E120003, Stand van zaken’, Eerstekamer.nl
<http://bit.ly/1Fbagre>.
83
Zie ook de beginselen inzake de verwerking van persoonsgegevens, art. 5 AVG: De persoonsgegevens
moeten: a) worden verwerkt op een wijze die rechtmatig, eerlijk en transparant is ten opzichte van de
betrokkene; b) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld
en mogen vervolgens niet op een met die doeleinden onverenigbare wijze worden verwerkt.
27
3.2.1. Geldige rechtsgrondslag
Artikel 6 AVG bepaalt de rechtmatigheid van de verwerking. Er worden in art. 6 AVG een
zestal gronden gegeven voor een rechtmatige verwerking. Bij de gegevensverwerking door
apps op smart devices zullen vooral de eerste twee genoemde gronden (sub a en b) relevant
zijn. In sub a wordt voor een rechtmatige verwerking van persoonsgegevens ‘toestemming’
als rechtsgrondslag genoemd. In artikel 7 AVG worden de voorwaarden voor een dergelijke
toestemming vermeld. Het artikel bepaalt onder andere dat de voor de verwerking
verantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven.
Daarnaast wordt expliciet in dit artikel vermeldt dat toestemming geen rechtsgrondslag voor
verwerking biedt wanneer er een aanzienlijke onevenwichtigheid bestaat tussen de positie van
de betrokkene en die van de voor de verwerking verantwoordelijke.84 Uit de toelichting blijkt
dat stilte of inactiviteit niet als toestemming geldt. Een dergelijke toestemming dient
uitdrukkelijk gegeven te worden. Art. 4 (8) AVG omschrijft toestemming als: ‘elke vrije,
specifieke, op informatie berustende en uitdrukkelijke wilsuiting waarmee de betrokkene, door
middel van hetzij een verklaring hetzij een ondubbelzinnige actieve handeling aanvaardt dat
hem betreffende persoonsgegevens worden verwerkt’. Het dient dus onder andere om een
‘vrije’ toestemming te gaan. Wanneer de betrokkene geen echte vrije keuze heeft en zijn
toestemming derhalve niet kan weigeren of intrekken zonder nadelige gevolgen, is er geen
sprake van een geldige rechtsgrondslag voor gegevensverwerking. Daarnaast blijkt uit de
toelichting dat een elektronisch verzoek inzake toestemming voor gegevensverwerking (lees:
de privacyverklaring) duidelijk en beknopt en niet onnodig storend voor het gebruik van de
betrokken dienst moet zijn. Interessant in verband met de gegevensverwerking door apps op
smart devices is art. 9 AVG. In dit artikel gaat speciale aandacht uit naar de verwerking van
bijzondere categorieën (gevoelige) persoonsgegevens. Dergelijke persoonsgegevens – die
door hun aard bijzonder gevoelig en kwetsbaar zijn wat betreft de grondrechten of de
persoonlijke levenssfeer – verdienen specifieke bescherming. In lid 1 wordt bepaalt dat
gegevensverwerking die betrekking heeft op ras of etnische afkomst, politieke opvattingen,
religie of overtuiging, het lidmaatschap van een vakvereniging, genetische gegevens of
gegevens over gezondheid of seksueel gedrag, strafrechtelijke veroordelingen of daarmee
84
In de toelichting wordt het geval genoemd dat ‘de betrokkene zich in een situatie van afhankelijkheid jegens
de voor de verwerking verantwoordelijke bevindt, bijvoorbeeld als zijn persoonsgegevens worden verwerkt door
zijn werkgever’. Mijn inziens kan worden afgevraagd of in verband met bepaalde apps op een smartphone deze
afhankelijkheid niet altijd aanwezig is (denk hierbij aan vooraf geïnstalleerde apps, besturingssysteem
gerelateerde apps of ‘onmisbare’ apps als WhatsApp).
28
verband houdende veiligheidsmaatregelen verboden is, tenzij een van de uitzonderingen van
lid 2 van toepassing is. Wederom wordt in sub a ‘toestemming’ als rechtsgrondslag gegeven
voor de verwerking van deze bijzondere persoonsgegevens. Volgende de toelichting gaat het
hier om uitdrukkelijke toestemming.85
3.2.2. Doelbinding
In art. 6 sub b AVG wordt de tweede rechtsgrondslag voor verwerking van persoonsgegevens
gegeven. Het betreft de noodzakelijkheid van de verwerking ter uitvoering van een
overeenkomst.86 Uit de toelichting volgt dat de verwerking (die nodig is in het kader van een
contract) rechtmatig dient te zijn. Uit overweging 31 van de toelichting blijkt dat voor
rechtmatige verwerking van persoonsgegevens toestemming van de betrokkene of een andere
gerechtvaardigde grondslag waarin de wet voorziet is vereist. Voorts blijkt uit overweging 30
dat de gegevensverwerking ‘eerlijk, rechtmatig en transparant dient te geschieden’. Dit houdt
in dat de specifieke doeleinden waarvoor de gegevens worden verwerkt expliciet en
rechtmatig zijn en zijn vastgesteld en de gegevensverwerking beperkt blijft tot datgene wat
minimaal nodig is voor de doeleinden (lees: doelbinding). ‘Derhalve dient er met name voor
te worden gezorgd dat de verzamelde gegevens niet excessief zijn (…). Persoonsgegevens
dienen alleen te worden verwerkt indien het doeleinde van de verwerking niet op andere wijze
kan worden verwezenlijkt’.87 Op grond van art. 23 AVG is de voor de verwerking
verantwoordelijke verplicht passende technische en organisatorische maatregelen en
procedures ten uitvoer te leggen (privacy by design en privacy by default).
3.2.3. Transparantie
Het transparantiebeginsel is expliciet opgenomen in het eerstgenoemde beginsel van art. 5 sub
a AVG. ‘De persoonsgegevens moeten worden verwerkt op een wijze die rechtmatig, eerlijk
en transparant is ten opzichte van de betrokkene.’ Dit is een nieuw element in vergelijking
85
Par. 3.4. Nadere uitleg van het voorstel: ‘In de definitie van “toestemming” is het criterium “uitdrukkelijk”
toegevoegd om verwarring met “ondubbelzinnige” toestemming te voorkomen en tot één enkele en consistente
definitie van “toestemming” te komen, teneinde te waarborgen dat de betrokkene zich ervan bewust is dat en
waarvoor hij toestemming geeft.’.
86
Artikel 6, sub b AVG: de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de
betrokkene partij is of voor het nemen van precontractuele maatregelen op verzoek van de betrokkene.
87
Toelichting COM(2012) 11 final, overweging (30), p. 24.
29
met de Privacyrichtlijn88. Uit art. 10 en 11 van de Privacyrichtlijn, en de in het Wbp
geïmplementeerde artikelen 33 en 34, blijkt dat er bij gegevensverwerking sprake moet zijn
van informatieverstrekking aan de betrokkene. Het woord transparantie wordt echter niet
gebruikt. In de AVG is het transparantiebeginsel uitgewerkt in art. 11 (transparante
informatieverstrekking en communicatie). In lid 1 is bepaald dat het beleid van de voor de
verwerking verantwoordelijke met betrekking tot de verwerking van persoonsgegevens
transparant en eenvoudig toegankelijk dient te zijn. Voorts bepaald lid 2 dat alle informatie
met betrekking tot de gegevensverwerking in begrijpelijke vorm (duidelijke en eenvoudige,
aan de betrokkene aangepaste taal) wordt verschaft. Uit de toelichting blijkt dat dit in het
bijzonder voor onlineadvertenties en vergelijkbare situaties geldt.89 Daarnaast wordt in art. 14
AVG een minima aan verplichte informatieverstrekking aan de betrokkene weergegeven. Het
betreft (samengevat) de identiteit en contactgegevens, doeleinden van de verwerking,
bewaartermijn, rechten van de betrokkene, de ontvangers of categorieën ontvangers van de
persoonsgegevens, eventuele voornemen van doorgifte aan derden landen en overige
relevante informatie in verband met de gegevensverwerking. Ook wordt toegelicht dat het
instellen van certificeringsmechanismen, gegevensbeschermingszegels en -merktekens
bevorderd moet worden, teneinde transparantie (en naleving) te versterken, hetgeen
interessant is in verband met de gegevensverwerking door apps. Wanneer een
verantwoordelijke zich niet houdt aan het transparantiebeginsel (de betrokkene geen
informatie verstrekt, onvolledige informatie verstrekt, of de informatie niet op voldoende
transparante wijze verstrekt), kunnen er op grond van art. 79 lid 5 sub a AVG administratieve
sancties worden opgelegd.
3.3.
Contractenrecht
Naast de artikelen voor gegevensbescherming is het voor de vraag naar de
verbintenisrechtelijke status van een privacyverklaring inzake apps op smart devices mede
van belang de relevante wet- en regelgeving op het gebied van het contractenrecht te
bestuderen. De beginselen van contractenrecht (partijautonomie, het vertouwensbeginsel,
88
Richtlijn 95/46/EG.
Overweging (45): ‘Overeenkomstig het transparantiebeginsel moet informatie die bestemd is voor het publiek
of de betrokkene eenvoudig toegankelijk en begrijpelijk zijn en moet duidelijke en eenvoudige taal worden
gebruikt. Dit geldt in het bijzonder voor onlineadvertenties en andere situaties waarin het door zowel het grote
aantal spelers als de technologische complexiteit van de praktijk voor een individu moeilijk is te weten en te
begrijpen of, door wie en met welk doel zijn persoonsgegevens worden verzameld.’ Toelichting COM(2012) 11
final, p. 27.
89
30
maatschappelijke rechtvaardigheid en aanvaardbaarheid en het beginsel van trouw aan het
gegeven woord)90 zullen in acht worden genomen. De relevante artikelen betreffende de
verbintenisrechtelijke status van een privacyverklaring in een app zijn te vinden in Boek 3,
Titel 1 (art. 3:11), Titel 1A (art. 3:15d) en Titel 2 (artt. 3:33, 3:35, 3:37 en 3:40) BW.
Daarnaast wordt Boek 6 van het Burgerlijk Wetboek (Boek 6, Titel 5, Afdelingen 1
(algemene bepalingen) en 2 (het tot stand komen van overeenkomsten)) bestudeerd waarbij de
artikelen 6:213, 6:217, 6:227-6:227c en Afdeling 5 (art. 6:261 lid 1) BW van belang zijn voor
dit onderzoek. Ook wordt Boek 7, Titel 1 (koop en ruil) van het Burgerlijk Wetboek, alsmede
de (nieuwe) richtlijn consumentenrechten (2011/83/EU)91 in ogenschouw genomen. De
artikelen omtrent algemene voorwaarden (Boek 6, Titel 5, Afdeling 3 BW) kunnen wellicht
relevant zijn in het kader van de verbintenisrechtelijke status van een privacyverklaring in een
app op een smart device. Echter, vanwege de beperkte omvang van dit onderzoek zal
bestudering van deze afdeling achterwege blijven. Eerst zal nu beknopt een uitwerking van de
hierboven beschreven wetsbepalingen worden weergegeven waarna (in de volgende
paragraaf) een koppeling wordt gemaakt naar de beginselen van de Algemene Verordening
Gegevensbescherming in verband met de verwerking van persoonsgegevens.
3.3.1. Rechtshandeling en Overeenkomst
Wanneer het gaat om de vraag naar de verbintenisrechtelijke status van een privacyverklaring
in een app is het interessant om te bekijken of een dergelijke privacyverklaring als
overeenkomst gekwalificeerd kan worden. Art. 6:213 BW bepaalt dat een overeenkomst (in
Titel 5) een meerzijdige rechtshandeling betreft, waarbij een of meer partijen jegens een of
meer andere een verbintenis aangaan. Op grond van art. 6:217 lid 1 BW komt een
overeenkomst tot stand door aanbod en aanvaarding. De rechtshandeling wordt geregeld in
artikel 3:33 BW, welke altijd in samenhang met artikel 3:35 BW moet worden gelezen. Dit
artikel betreft de bescherming van het gerechtvaardigd vertrouwen. Artikel 3:33 BW omvat
twee vereisten. Ten eerste moet het gaan om een op een rechtsgevolg gerichte wil. 92
90
Asser/Hartkamp & Sieburgh 6-III 2014/41.
Richtlijn 2011/83/EU van 25 oktober 2011betreffende consumentenrechten, tot wijziging van Richtlijn
93/13/EEG en van Richtlijn 1999/44/EG en tot intrekking van Richtlijn 85/577/EEG en van Richtlijn 97/7/EG,
Pb L 304 van 22 november 2011, p. 64.
92
Het is mogelijk dat de op de wil berustende verklaring ondeugdelijk is gevormd. Dit kan door interne en
externe factoren geschieden. Bij interne factoren moet men denken aan een stoornis, bij externe factoren gaat het
om dwaling, bedrog of misbruik van omstandigheden (waaronder gebrekkige informatie). Een dergelijke
rechtshandeling is geldig, maar kan door middel van vernietiging worden aangetast.
91
31
Daarnaast moet de wil zijn geopenbaard in een verklaring.93 Er moet sprake zijn van een
natuurlijk- of rechtspersoon die een bepaalde verandering in de rechtstoestand wil brengen
door middel van een verklaring via welke de op het rechtsgevolg gerichte wil voor de
buitenwereld kenbaar wordt gemaakt.94 Wanneer er tegenstrijdigheid tussen de wil en de
verklaring bestaat, wordt op grond van dit art. 3:35 BW bekeken of de wederpartij er
gerechtvaardigd op kon vertrouwen dat de verklaring (redelijkerwijs en gelet op de
omstandigheden) ‘welgemeend’ was.95 Wanneer dit het geval is komt de rechtshandeling,
ondanks het ontbreken van een met de wil overeenstemmende verklaring, toch tot stand. Het
gerechtvaardigd vertrouwen van de wederpartij brengt met zich mee dat zij te goeder trouw
moet zijn geweest. De goede trouw wordt omschreven in art. 3:11 BW, waaruit volgt dat voor
aan aanname van goede trouw de wederpartij de gebrekkige wil niet kende, maar ook niet
behoorde te kennen.96 Rechtshandelingen worden onderverdeeld in eenzijdige en meerzijdige
rechtshandelingen. Deze laatste is een op een rechtsgevolg gerichte handeling die door meer
dan één persoon wordt verricht.97 De overeenkomst heeft dus een verbintenisscheppend
karakter met het vereiste dat er twee op elkaar aansluitende wilsverklaringen zijn; het aanbod
en de aanvaarding. Er is sprake van een aanbod wanneer deze voldoet aan alle inhoudelijke
eisen die ook voor de overeenkomst gelden. Daarnaast geldt de eis van bepaalbaarheid,
neergelegd in art. 6:227 BW. Het moet duidelijk zijn welke rechten en plichten aan het
aanbod zijn verbonden en welke verbintenissen uit de door de aanvaarding van het aanbod
ontstane overeenkomst zullen voortvloeien.98 Uit art. 6:218 BW volgt dat een aanbod geldig,
nietig of vernietigbaar is overeenkomstig de regels voor meerzijdige rechtshandelingen. De
aanvaarding moet gericht zijn tot de aanbieder en inhoudelijk overeenstemmen met het nog
geldige, tot de wederpartij gerichte aanbod.99 Op grond van art. 3:37 lid 3 BW heeft de
verklaring (de aanvaarding van het aanbod) pas werking wanneer zij de wederpartij heeft
bereikt. De bepalingen omtrent (de overeenstemming van) aanbod en aanvaarding, alsmede de
93
In art. 3:37 BW worden de vereisten van de verklaring geregeld. Op grond van art. 3:37 BW is de verklaring
niet aan vormvereisten gebonden, tenzij anders overeengekomen (beginsel van consensualisme). In art. 3:39 BW
wordt echter wel geregeld dat een rechtshandeling (verklaring) nietig is wanneer deze niet aan de wettelijke
vormvoorschriften voldoet. Hijma et al., p. 29.
94
Waarbij een ‘rechtsgevolg’ omschreven moet worden als het ontstaan, gewijzigd raken of tenietgaan van een
bepaalde juridische relatie. Hijma et al., p. 3.
95
Hijma et al., p. 32.
96
Art. 3:11 BW: Goede trouw van een persoon, vereist voor enig rechtsgevolg, ontbreekt niet alleen, indien hij
de feiten of het recht, waarop zijn goede trouw betrekking moet hebben, kende, maar ook indien hij ze in de
gegeven omstandigheden behoorde te kennen. Onmogelijkheid van onderzoek belet niet dat degene die goede
reden tot twijfel had, aangemerkt wordt als iemand die de feiten of het recht behoorde te kennen.
97
Art. 6:213 lid 1 BW: Een overeenkomst in de zin van deze titel is een meerzijdige rechtshandeling, waarbij
een of meer partijen jegens een of meer andere een verbintenis aangaan. Zie ook Hijma et al., p. 4.
98
Hijma et al., p. 54.
99
Hijma et al., p. 64.
32
nietigheid en vernietigbaarheid van overeenkomsten, worden geregeld in Afdeling 6.5.2 (art.
6:217-225 BW), en gelden als aanvulling op Titel 3.2 (rechtshandelingen in het algemeen).
Zowel het aanbod, de aanvaarding en de overeenkomst zijn dus onderworpen aan deze
bepalingen.100 De maatstaven van redelijkheid en billijkheid op grond van art. 6:248 BW zijn
van toepassing.
3.3.2. Wederkerige Overeenkomst
Afdeling 6.5.5 van het Burgerlijk Wetboek ziet op wederkerige overeenkomsten. In art. 6:261
BW wordt de wederkerige overeenkomst beschreven.101 Wanneer er door en bij het tot stand
komen van de overeenkomst onderling afhankelijk verplichtingen van beide partijen jegens
elkaar ontstaan, is er sprake van een wederkerige overeenkomst. De wederkerige
overeenkomst heeft dus een ruilkarakter. Interessant gedeelte uit de Parlementaire
Geschiedenis bij dit artikel is dat bij de vraag of een partij handelt ‘ter verkrijging’ van een
prestatie van de wederpartij er getoetst moet worden aan economische en psychologische
begrippen.102 Er bestaat geen vereiste van gelijkwaardigheid van de prestaties.103 Echter,
wanneer prestaties in verregaande mate onevenwichtig zijn kan de overeenkomst in strijd zijn
met de goede zeden.104 Voorts zijn in deze afdeling in art. 6:265 BW e.v. de regels omtrent
ontbinding van wederkerige overeenkomsten neergelegd, waarbij in art. 6:267 lid 1 BW is
bepaald dat indien een overeenkomst langs elektronische weg tot stand is gekomen, deze ook
door een langs elektronische weg uitgebrachte verklaring kan worden ontbonden.
3.3.3. Elektronisch Contracteren
Naast deze algemene regels van het verbintenissenrecht gelden voor de verbintenisrechtelijke
status van een privacyverklaring in een app ook de bijzondere regels omtrent elektronisch
contracteren. Een app is een dienst van de informatiemaatschappij op grond van art. 3:15d
BW. In dit artikel wordt verplicht dat een dienstverlener van de informatiemaatschappij een
aantal in dit artikel genoemde gegevens toegankelijk maakt. In lid 3 wordt een dienst van de
informatiemaatschappij omschreven.105 De bijzondere regels zijn te vinden in art. 6:227 tot
100
Hijma et al., p. 52.
Artikel 6:261 lid 1 BW: Een overeenkomst is wederkerig, indien elk van beide partijen een verbintenis op
zich neemt ter verkrijging van de prestatie waartoe de wederpartij zich daartegenover jegens haar verbindt.
102
TM, Parl. Gesch. BW Boek 6, p. 989.
103
Asser/Hartkamp & Sieburgh 6-III 2014/81.
104
Asser/Hartkamp & Sieburgh 6-III 2014/342.
105
Art. 3:15d lid 3 BW: Onder dienst van de informatiemaatschappij wordt verstaan elke dienst die gewoonlijk
tegen vergoeding, langs elektronische weg, op afstand en op individueel verzoek van de afnemer van de dienst
wordt verricht zonder dat partijen gelijktijdig op dezelfde plaats aanwezig zijn. Een dienst wordt langs
101
33
227c BW. In art. 6:227 BW wordt (zoals eerder beschreven) de eis van bepaalbaarheid
geregeld. Dit artikel dient in samenhang met art. 6:248 lid 1 BW te worden gelezen. 106 In art.
6:227b BW is de informatieplicht neergelegd en in art. 6:227c BW worden nadere bepalingen
gegeven voor overeenkomsten die langs elektronische weg tot stand komen. Uit lid 4 volgt
dat dit artikel zich in het bijzonder richt op overeenkomsten die via een website tot stand zijn
gekomen.107 Volgende Weissmann is de ratio van dit onderscheid dat partijen die direct met
elkaar communiceren meer (contract)vrijheid genieten om te bepalen onder welke
omstandigheden een overeenkomst tot stand komt.108 Bij overeenkomsten die tot stand komen
via een website bestaat deze ruimte niet (of in mindere mate), waardoor er meer waarborgen
dienen te bestaan. Deze ratio kan analoog worden toegepast op het tot stand komen van
overeenkomsten bij de aanschaf van apps. Voorts blijkt uit lid 6 dat er in de relatie tot
consumenten niet van deze bepalingen mag worden afgeweken.
3.3.4. Consumentenrecht
Tot slot is in verband met de aanschaf van apps Richtlijn 2011/83/EU109 (richtlijn
consumentenrecht) van belang om te bestuderen.110 Met de implementatie van deze (nieuwe)
richtlijn is in Boek 6 een nieuwe afdeling omtrent overeenkomsten op afstand gecreëerd,
afdeling 2B (Bepalingen voor overeenkomsten tussen handelaren en consumenten). In art.
6:230g lid 1 sub i BW is de definitie van digitale inhoud gegeven. Het betreft ‘gegevens die in
digitale vorm geproduceerd en geleverd worden.’ Uit overweging 19 van de Richtlijn
(2011/83/EU) blijkt dat onder andere apps onder de begripsbepaling vallen.111 Op grond van
art. 7:5 lid 5 BW is bepaald dat de consumentenkoop van overeenkomstige toepassing is op
elektronische weg verricht indien deze geheel per draad, per radio, of door middel van optische of andere
elektromagnetische middelen wordt verzonden, doorgeleid en ontvangen met behulp van elektronische
apparatuur voor de verwerking, met inbegrip van digitale compressie, en de opslag van gegevens.
106
Zie Y.G. Blei Weissmann, GS Verbintenissenrecht, artikel 227 Boek 6 BW, aant. 15.1: ‘De vraag naar
voldoende bepaalbaarheid van de verbintenissen die partijen op zich nemen (art. 6:227 BW) kan mede aan de
hand van de in art. 6:248 lid 1 BW genoemde factoren: wet, gewoonte, eisen van redelijkheid en billijkheid
worden beantwoord. De link tussen art. 6:227 BW en 6:248 BW wordt, met nadruk op de rol van de eisen van
redelijkheid en billijkheid, ook gelegd in: MvA II Inv. ad afd. 3.2, Algemeen, Parl. Gesch. Inv. Boek 3, p. 1123.’
107
Blei Weissmann, aant. 81.
108
Blei Weissmann, aant. 82.
109
Richtlijn 2011/83/EU van het Europees Parlement en de Raad van 25 oktober 2011 betreffende
consumentenrechten.
110
Apps worden ook door bedrijven ingekocht als SaaS en/of PaaS, maar in dit onderzoek concentreer ik mij op
apps ‘gekocht’ door consumenten.
111
‘Onder digitale inhoud wordt verstaan gegevens die in digitale vorm geproduceerd en geleverd worden, zoals
computerprogramma's, toepassingen, spellen, muziek, video's en teksten, ongeacht of de toegang tot deze
gegevens wordt verkregen via downloaden of streaming, vanaf een materiële drager of langs een andere weg’.
Zie ook MvT, Kamerstukken II 2012/13, 33520, 3, p. 19.
34
de levering van digitale inhoud die niet op een materiële drager is geleverd. 112 De aanschaf
van apps op een smartphone valt onder lid 5 van deze bepaling, hetgeen tot gevolg heeft dat
Boek 7, Titel 1 van toepassing is.113 Echter, wat betreft de levering, informatieverplichtingen
en ontbinding geldt een apart regime.114 Volgende de MvT sluit dit aan bij art. 7:47 BW,
waarin is bepaald dat bepalingen omtrent koop van toepassing zijn voor zover dit in
overeenstemming is met de aard van het recht. Ook komt uit de MvT naar voren dat nietgeharmoniseerde regels omtrent digitale inhoud gelden op grond van het door de Hoge Raad
gewezen Beeldbrigade-arrest115 in beginsel de bepalingen van de koopovereenkomst. Ook van
belang te vermelden inzake de aanschaf van apps is artikel art. 6:230i lid 4 BW, waarin de
bepalingen van deze nieuwe afdeling van toepassing worden verklaard indien de (inhoud en
wijze van de) informatieplicht niet wordt nageleefd. Naast de consumentenrichtlijn is ook de
richtlijn betreffende diensten op de interne markt (2006/123/EG) van belang te bestuderen. De
in deze richtlijn opgenomen informatieplichten voor dienstverrichters zijn afdeling 6.5.2A
BW (informatie over dienstverrichters en hun diensten naar aanleiding van de
dienstenrichtlijn) geïmplementeerd. Art. 6:230b BW geeft dertien informatieplichten voor de
dienstverlener en art. 6:230e BW bepaalt dat de informatie correct, helder en ondubbelzinnig
moet zijn. De opgenomen informatieplichten beogen bij te dragen aan een hoger niveau van
consumentenbescherming.116
112
Art. 7:5 lid 5 BW: Met uitzondering van de artikelen 9, 11 en 19a, zijn de bepalingen over consumentenkoop
van overeenkomstige toepassing op de levering van elektriciteit, warmte en koude en gas, voor zover deze niet
voor verkoop gereed zijn gemaakt in een beperkt volume of in een bepaalde hoeveelheid, alsmede op de levering
van stadsverwarming en de levering van digitale inhoud die niet op een materiële drager is geleverd, aan een
natuurlijk persoon, die handelt voor doeleinden buiten zijn handels-, bedrijfs-, ambachts- of beroepsactiviteit.
113
Of ‘gratis’ apps onder deze bepaling vallen wordt later in dit onderzoek beschreven.
114
Kamerstukken II 2012/13, 33520, nr. 3, p. 19.
115
Hoge Raad 27 april 2012, ECLI:NL:HR:2012:BV1301 (De Beeldbrigade/Hulskamp).
116
Schaub 2014, p. 21-30. Voor een duidelijk overzicht van de informatieplichten opgenomen in de E-commerce
richtlijn, de Dienstenrichtlijn en de Consumentenrichtlijn verwijs ik naar A.R. Lodder, ‘Information
Requirements Overload? Assessing Disclosure Duties Under the E-commerce Directive, Services Directive and
Consumer Directive’ in Savin, A. & Trzaskowski, J. (eds.) Research Handbook in EU Internet Law (2014) p.
358-382.
35
Deel II. Toegepast Onderzoek
36
4. Is er bij een Privacyverklaring sprake van een Overeenkomst in de zin van
het BW?
Op het moment dat een gebruiker een app wil downloaden moet de app-eigenaar aan de appgebruiker117 laten weten dat hij persoonsgegevens gaat verwerken. Dit gebeurt momenteel
door middel van het aanbieden van een privacyverklaring. De (gelaagde) privacyverklaring
wordt weergegeven en wanneer de gebruiker instemt met de gegevensverwerking (niet de
gehele privacyverklaring wordt weergegeven maar enkele machtigingen inzake welke
gegevens verwerkt zullen worden) kan de app gedownload worden. Door het instemmen met
de machtigingen aanvaardt de gebruiker de privacyverklaring, en dus de gegevensverwerking.
Er is dus sprake van een op een rechtsgevolg gerichte wil, geopenbaard in een verklaring.118
Omdat er sprake is van een op een rechtsgevolg gerichte handeling die door meer dan één
persoon wordt verricht kan er gesproken worden van een meerzijdige rechtshandeling. Er zijn
twee op elkaar aansluitende wilsverklaringen, namelijk het aanbod van de app-eigenaar om
een app te leveren onder andere in ruil voor het verwerken van persoonsgegevens, en de
aanvaarding van dit aanbod door de app-gebruiker.119 Voor een geldig aanbod moet er een
voorstel tot het sluiten van een overeenkomst worden gedaan, welke alle essentiële elementen
betreffende de overeenkomst bevat en waarop de wederpartij enkel door middel van
aanvaarding de overeenkomst tot stand kan doen komen. Dit is (over het algemeen) het geval
bij de privacyverklaring van een app op een smartphone. Daarnaast geldt de eis van
bepaalbaarheid, neergelegd in art. 6:227 BW. Het moet duidelijk zijn welke rechten en
plichten aan het aanbod zijn verbonden en welke verbintenissen uit de door de aanvaarding
van het aanbod ontstane overeenkomst zullen voortvloeien.120 Ook dit is het geval bij de
privacyverklaring van een app op een smartphone, waarin is opgenomen dat bepaalde
persoonsgegevens verzameld zullen worden wanneer de app gedownload wordt. De
privacyverklaring op zichzelf kan dus beter gezien worden als een aanbod tot het verwerken
van persoonsgegevens (in ruil voor het downloaden van de app) en het accepteren van de
privacyverklaring door de app-gebruiker moet gezien worden als een aanvaarding van dit
117
Er kan ook gesproken worden over dienstverrichter/consument of leverancier/gebruiker, maar in het vervolg
van dit onderzoek zullen voor de duidelijkheid de termen app-eigenaar en app-gebruiker gehanteerd worden.
118
Art. 3:33 BW: Een rechtshandeling vereist een op een rechtsgevolg gerichte wil die zich door een verklaring
heeft geopenbaard.
119
Voor een deel van de apps moet een (klein) bedrag worden betaald maar het overgrote deel van het aanbod
bestaat uit ‘gratis’ apps. Hier zal in dit onderzoek dan ook de focus op liggen maar omdat ook bij betaalde apps
gegevensverwerking plaatsvindt, kan gelden de bevindingen ook voor deze apps.
120
‘Een voorstel tot het sluiten van een overeenkomst, gericht tot één of meer bepaalde personen vormt een
aanbod, indien het voldoende bepaald is en daaruit blijkt van de wil van de aanbieder om in geval van
aanvaarding gebonden te zijn (…)’. Hijma et al., p. 54.
37
aanbod. Vanwege het feit dat een dienst geruild wordt tegen het mogen verwerken van
persoonlijke informatie kan er wellicht dan ook beter gesproken worden over een
privacyovereenkomst.
4.1.
De Privacyverklaring als Overeenkomst
Verwerking van persoonsgegevens zijn lange tijd niet als kern van de overeenkomst gezien
maar als bijzaak voor het uitvoeren van de overeenkomst. Echter, deze traditionele rol van
persoonsgegevens gaat niet meer op in de huidige informatiesamenleving. 121 Binnen de
literatuur is (nog) weinig onderzoek gedaan naar de verbintenisrechtelijk status van een
privacyverklaring. Een van de weinigen is Verhelst.122 Hij heeft rechtswetenschappelijk
onderzoek gedaan naar online privacyverklaringen op websites en hier een proefschrift over
geschreven.123 In zijn proefschrift wordt nader ingegaan op de juridische status en de vorm en
inhoud in de praktijk van online privacyverklaringen en de vraag of deze vorm en inhoud
wellicht gestuurd moet worden.124 Verhelst benoemt bij het afnemen van een product of
dienst van een website twee mogelijkheden voor de status van een privacyverklaring. Hij stelt
dat de privacyverklaring een eenzijdige overeenkomst is, en deze gezien moet worden als een
afhankelijke verklaring naast de hoofdovereenkomst of dat de privacyverklaring gezien moet
worden als algemene voorwaarden van de hoofdovereenkomst. Bij de eerste mogelijkheid
stelt hij dat de privacyverklaring die tussen de verantwoordelijke en de gebruiker tot stand
komt een eenzijdige overeenkomst is. Hij neemt deze stelling in omdat de kern van een
wederkerige overeenkomst het ruilkarakter is, en hij van mening is dat de privacyverklaring
zich juist niet door het ruilkarakter kenmerkt. Alleen de verantwoordelijke neemt door middel
van de privacyverklaring verplichtingen op zich. Het is dus geen wederkerige overeenkomst
op grond van artikel 6:261 lid 1 BW, maar een eenzijdige overeenkomst.125 Deze stelling gaat
naar mijn mening niet op. In ieder geval niet voor het downloaden van een app op een
smartphone. De privacyverklaring van een app op een smartphone kan gezien worden als een
aanbod om een overeenkomst aan te gaan. Namelijk het aanbod voor gebruik van een product
121
Helberger et al., p. 162.
Mr. dr. Eric Verhelst (1968) heeft Nederlands Recht - specialisatie Recht & Informatietechnologie gestudeerd aan de Radboud Universiteit in Nijmegen. In 2012 is hij gepromoveerd aan Tilburg University op het
onderwerp online privacyverklaringen. <http://bit.ly/1JQS9fL>.
123
E.W. Verhelst, ’Recht doen aan Privacyverklaringen. Een juridische analyse van privacyverklaringen op
internet’, Serie Recht en Praktijk / Informatie- en communicatietechnologie, Deventer: Kluwer 2012.
124
Zie voor een kritische blik op dit proefschrift: Hovast, ‘Recht doen aan privacyverklaringen’ of Hoving, ‘De
privacyverklaring als overeenkomst: een brug te ver?’.
125
Verhelst verwijst naar Hijma & Olthof, p. 345, waar uitgelegd wordt dat overeenkomsten die niet wederkerig
zijn, eenzijdig zijn.
122
38
(de app) in ruil voor het verkrijgen van persoonsgegevens. Wanneer de app-gebruiker de
privacyverklaring accepteert (instemt met de machtigingen), wordt het aanbod aanvaard. Er
wordt dus voldaan aan de vereisten van art. 6:213 jo. 6:217 lid 1 BW, waardoor er sprake is
van een overeenkomst in de zin van het Burgerlijk Wetboek. Door de aanvaarding geeft de
app-gebruiker het recht aan de app-eigenaar om bepaalde informatie afkomstig van de
smartphone te verzamelen en door te verkopen. Dit vormt dan ook de kern van de
overeenkomst: de dienst (de app) die geleverd wordt tegen het mogen verwerken van
persoonsgegevens. Er is in een dergelijke situatie dus wel degelijk sprake van een ruil. Het
ruilkarakter ligt in het feit dat de app verkregen wordt als de app-gebruiker instemt met het
mogen
verwerken
van
(bepaalde)
persoonsgegevens
door
de
app-eigenaar.
De
persoonsgegevens hebben economische waarde en worden geruild tegen de het gebruik van
de app.126
4.2.
De Privacyverklaring als Wederkerige Overeenkomst
Persoonsgegevens behoren steeds vaker tot de kern van de overeenkomst, zeker in het geval
van downloaden een van app op een smartphone. Veel apps worden ‘gratis’ aangeboden, maar
dit betekent niet dat er geen prestatie anders dan in geld tegenover staat. De betaling gebeurt
niet via een ‘wettig betaalmiddel’ maar middels geven van toestemming voor de verwerking
van persoonsgegevens, hetgeen ook duidelijk in de Preliminary Opinion of the European Data
Protection Supervisor naar voren komt.127 Bij apps is er daarom een andere mogelijkheid voor
de verbintenisrechtelijke status van een privacyverklaring. Het betreft de privacyverklaring als
(onderdeel van een) wederkerige overeenkomst.128 Wanneer er door en bij het tot stand
komen van de overeenkomst onderling afhankelijk verplichtingen van beide partijen jegens
elkaar ontstaan, is er sprake van een wederkerige overeenkomst. Er is één overeenkomst,
waarbij een product of dienst (de app) wordt geleverd in ruil voor het mogen verwerken van
persoonsgegevens van degene die het product of de dienst aanschaft. Er is dus sprake van een
126
Zie ook Loos: ‘In ruil voor de levering van digitale inhoud verzamelen bedrijven, expliciet via
registratieformulieren of stiekem via cookies, de persoonlijke gegevens van hun klanten. Op basis van de aldus
verkregen informatie bieden bedrijven gepersonaliseerde reclame aan, waarmee zij winst maken.’ Loos 2015, p.
102.
127
‘With many digital services like email or search engines which are used by almost every internet user,
companies foster the perception that they are provided for free; in fact individuals are required to surrender
valuable personal information to enjoy them. Consumers provide richly detailed information about their
preferences through their online activities which permits individuals, not groups, to be targeted with far greater
precision than ever before. For consumers, therefore, personal information operates as a currency, and
sometimes the sole currency, in the exchange of online services.’ Preliminary Opinion of the European Data
Protection Supervisor, Privacy and competitiveness in the age of big data, maart 2014, p. 10.
128
Zie in dit verband Van der Sloot, ‘De privacyverklaring als onderdeel van een wederkerige overeenkomst.’
waarin hij reageert op de bijdrage van Verhelst. Van der Sloot 2010.
39
ruilkarakter, waardoor een privacyverklaring van een app geen eenzijdige, maar een
wederkerige overeenkomst is. Het ruilkarakter ligt in het feit dat persoonsgegevens geruild
worden tegen het gebruik van de app. De voorwaarden opgenomen in een privacyverklaring
van een app, waarin rechten worden verleend aan de app-eigenaar om gegevens van de appgebruiker te verwerken en door te verkopen zijn geen bijkomende bepalingen, maar vormen
de kern van de overeenkomst. Het ene economisch goed (zie de in paragraaf 2.5. uiteengezette
economische waarde van persoonsgegevens) wordt verhandeld tegen een ander economisch
goed.129 Bij het aanbod een app te downloaden in ruil voor persoonsgegevens en de
aanvaarding hiervan door middel van het accepteren van de privacyverklaring is dus sprake
van een wederkerige overeenkomst. De wederkerige overeenkomst (of privacyovereenkomst)
komt tot stand op het moment dat de app-gebruiker de privacyverklaring accepteert. Op deze
manier wordt de juridische positie van de app-gebruiker versterkt. De privacyovereenkomst
verduidelijkt wat de app-eigenaar zal doen of nalaten.130
129
Zie in dit verband ook Van der Sloot waarbij het gebruik van Facebook als voorbeeld fungeert: ‘De
persoonsgegevens van de gebruiker worden als economisch goed verhandeld tegen een ander economisch goed,
namelijk de sociale netwerkdienst’. Van der Sloot 2010, p. 107.
130
Zie ook Hovast 2012, p. 285.
40
5. Extra Bescherming op grond van het Burgerlijk Wetboek
Momenteel wordt de consument alleen op grond van de Wbp (en straks de AVG) beschermd
wanneer zijn of haar persoonsgegevens verwerkt worden. Wanneer de privacyverklaring van
een app als wederkerige overeenkomst wordt gekwalificeerd, wordt de app-gebruiker ook
beschermd door het verbintenisrechtelijk regime van het Burgerlijk Wetboek. Een van de
grondbeginselen van het verbintenissenrecht is de intentie van partijen om gebonden te zijn
aan de te sluiten overeenkomst. Het is echter zeer de vraag of app-gebruikers bewust zijn van
de ruil wanneer zij een privacyverklaring van een app aanvaarden. Met andere woorden, of de
wil overeenstemt met de verklaring die zij geven.131 Voorts kan men zich afvragen of de appeigenaar mag verwachten dat de persoon die een app downloadt weet welke gevolgen het
aanvaarden van het aanbod heeft en dus of er gerechtvaardigd vertrouwen bestaat.132
Op grond van het Burgerlijk Wetboek wordt de consument beschermd door de mogelijkheid
van ontbinding wanneer er een tekortkoming in de nakoming van de privacyverklaring
(privacyovereenkomst) bestaat. Omdat er sprake is van een wederkerige overeenkomst is art.
6:265 BW van toepassing. Een dergelijke tekortkoming ontstaat wanneer de app-eigenaar
bijvoorbeeld een van de informatieplichten schendt. Verschillende informatieplichten zijn
opgenomen in de AVG, maar het regime van informatieplichten uit het Burgerlijk Wetboek is
uitvoeriger (al bestaat er enige overlap). Zo ontstaat de mogelijkheid tot ontbinding van de
overeenkomst wanneer niet wordt voldaan aan een van de informatieplichten voorafgaand aan
de overeenkomst en ten tijde van de overeenkomst.
Naast de voor obligatoire overeenkomsten geldende afdelingen 6.5.1 tot 6.5.4 wordt de
consument (in dit geval de app-gebruiker) ook beschermd door afdelingen 6.5.5 BW, welke
speciaal ziet op wederkerige overeenkomsten. De voorwaarden voor ontbinding, de wijze
waarop ontbinding kan plaatsvinden, de hiermee verband houdende rechtsgevolgen worden in
deze afdeling geregeld. Wanneer een van de partijen in de nakoming van de verbintenis
tekortschiet, kan ontbinding als rechtsmiddel worden ingeroepen. Dit betekent dat wanneer de
app-eigenaar of de app-gebruiker zich niet houdt aan de in de privacyverklaring
overeengekomen
afspraken,
de
privacyverklaring
ontbonden
kan
worden
wegens
contractschending.133 De privacyverklaring kan dan geheel of gedeeltelijk worden ontbonden.
Wanneer een privacyverklaring als wederkerige overeenkomst wordt gekwalificeerd moeten
131
Zie juridisch kader, par. 3.3.1.
Helberger et al., p. 165.
133
Asser/Hijma 7-I* 2013/489.
132
41
partijen zich dus aan deze overeenkomst houden omdat de partijen anders het risico lopen dat
de overeenkomst ontbonden, vernietigd of nietig verklaard wordt, hetgeen mijns inziens aan
twee kanten voordeel met zich meebrengt.134 Aan de kant van de app-gebruiker geldt dat zij
betrouwbare gegevens moet overdragen in ruil voor het gebruik van de app. Dit is een
belangrijk aspect in verband met de digitale samenleving en big data mogelijkheden,
aangezien het van belang is dat data nauwkeurig, accuraat en up-to-date moet zijn wil dit van
toegevoegde waarde zijn. Aan de kant van de app-eigenaar geldt dat deze aan de afspraken
van de privacyverklaring moet houden, welke voor een gedeelte van dwingend recht zullen
zijn omdat deze aan de in de AVG opgenomen beginselen omtrent gegevensverwerking
(transparantie en doelbinding) zal moeten voldoen. Op deze manier zullen deze beginselen
een sterkere bodem krijgen, hetgeen weer bevorderend werkt voor de privacyrechtelijke
waarborgen. Hoe een dergelijke overeenkomst tussen een app-eigenaar en app-gebruiker
vorm moet krijgen, zal aam het eind van dit onderzoek in de aanbeveling nader beschreven
worden.
Ook geniet de app-gebruiker extra bescherming wanneer de privacyverklaring als
overeenkomst gekwalificeerd wordt omdat het bij het downloaden van een app om een
overeenkomst gaat die digitale inhoud betreft. Digitale inhoud laat zich omschrijven als
gegevens die in digitale vorm geproduceerd en geleverd worden.135 Genuanceerder gaat het
bij het downloaden van een app om de levering van digitale inhoud die niet op een materiële
drager is geleverd. In art. 7:5 lid 5 BW is bepaald dat de consumentenkoop van
overeenkomstige toepassing is op de levering van digitale inhoud die niet op een materiële
drager is geleverd. Zoals uit het juridisch kader is gebleken valt de aanschaf van apps op een
smartphone onder deze bepaling, hetgeen tot gevolg heeft dat Boek 7, Titel 1 van toepassing
is. Echter, wil er sprake zijn van een consumentenkoop, dan moet het gaan om een koop die
wordt gesloten tussen een professionele verkoper en een niet-professionele koper.136 Het moet
een overeenkomst betreffen waarbij de een zich verbindt een zaak te geven en de ander
134
Praktisch gezien kan ontbinding eenvoudig eenzijdig door de app-gebruiker geëffectueerd worden door de
app te verwijderen. Echter, aangezien apps een steeds grotere rol gaan spelen in de informatiesamenleving en
bepaalde apps nu al als ‘onmisbaar’ beschouwd worden zullen dit soort apps niet snel worden verwijderd en zal
de ontbindingsmogelijkheid in de praktijk van toegevoegde waarde zijn.
135
Kamerstukken II 2012/13, 33520, nr. 3, Onderdeel i.
136
Art. 7:5 lid 1 BW: In deze titel wordt verstaan onder consumentenkoop: de koop met betrekking tot een
roerende zaak die wordt gesloten door een verkoper die handelt in het kader van zijn handels-, bedrijfs-,
ambachts- of beroepsactiviteit, al dan niet mede via een andere persoon die namens hem of voor zijn rekening
optreedt, en een koper, natuurlijk persoon, die handelt voor doeleinden buiten zijn bedrijfs- of beroepsactiviteit.
42
daarvoor een prijs in geld betaald,137 maar bij het downloaden van een ‘gratis’ app is geen
sprake van het betalen van een prijs in geld.138 Er wordt betaald middels het afgeven van
persoonsgegevens. Als persoonsgegevens niet als geld gekwalificeerd worden, is een koop
waarbij in persoonsgegevens betaald wordt geen koop in de zin van de definitie beschreven in
het Burgerlijk Wetboek.139 De vraag die zich voordoet is of de overeenkomst om een ‘gratis’
app te leveren naar andere maatstaven moet worden beoordeeld dan de levering van in geld
betaalde digitale inhoud. Wanneer dit het geval is, zijn de bepalingen omtrent de
consumentenkoop en de in afdeling 6.5.2B BW opgenomen bepalingen niet van
overeenkomstige toepassing. Deze vraag moet mijns inziens negatief beantwoord worden.
Persoonsgegevens hebben (zoals door dit hele onderzoek is gebleken) economische
waarde.140 Er wordt weldegelijk een prijs betaald, dit gebeurt bij de aanschaf van een ‘gratis’
app in ruil voor persoonsgegevens alleen niet op de conventionele manier. 141 Dit hoeft echter
niet te betekenen dat er geen sprake kan zijn van een (consumenten)koop. Uit de toelichting
bij art. 7:1 BW volgt dat de uitdrukking ‘in geld’ ruim moet worden opgevat. 142 Daarnaast
staat de wijze van betaling geheel los van de aard van de koopovereenkomst. Volgende Jac.
Hijma verliest een overeenkomst het karakter van koop niet als de betaling geschiedt door de
afgifte van een bankcheque of ander waardepapier.143 Mijns inziens kan dit analoog worden
toegepast wanneer de betaling geschiedt door middel van persoonsgegevens. Als betaling in
persoonsgegevens de eigenschappen heeft van geld, het gebruikt kan worden als geld en er
bedrijven zijn (lees: apps) die het accepteren als geld, waarom zou het dan geen geld zijn.144
137
Art. 7:1 BW: Koop is de overeenkomst waarbij de een zich verbindt een zaak te geven en de ander om
daarvoor een prijs in geld te betalen. In afdeling 6.5.2B BW wordt verwezen naar de consumentenkoop. In art.
6:230g lid1 sub c en in art. 2 van de richtlijn consumentenrechten wordt ook gesproken over de consument die
‘een prijs betaalt of zich ertoe verbindt een prijs te betalen’.
138
Asser/Hijma 7-I* 2013/8.
139
Afgevraagd kan worden of een prijs in geld noodzakelijk is om een dergelijke ruil als koopovereenkomst (en
dus als consumentenkoopovereenkomst) te kunnen kwalificeren. Daarnaast kan afgevraagd worden of de huidige
kwalificatie van geld gangbaar is in de digitale omgeving en, wanneer deze kwalificatie niet dienstig is aan de
praktijk, er wellicht een herwaardering van de definitie van ‘geld’ in de digitale samenleving moet worden
bewerkstelligd.
140
Zie ook Lodder: ‘Persoonslijke gegevens zijn geld waard en bedrijven profiteren hiervan. De vraag is hoe je
als individu hier ook van kan profiteren dan wel verwerking van de gegevens kan tegengaan’, Lodder 2014, p.
311 of Van der Sloot: ‘De persoonsgegevens van de gebruiker worden als economisch goed verhandeld tegen
een ander economisch goed’, Van der Sloot 2010, p. 107.
141
Zie ook Loos: ‘Op de levering van dergelijke digitale inhoud is het bekende spreekwoord ‘voor niets gaat de
zon op’ van toepassing: de levering van digitale inhoud vindt in werkelijkheid niet ‘voor niets’ plaats. Weliswaar
wordt geen geld betaald voor de levering, maar de meeste specialisten op het gebied van het internet gaan ervan
uit dat de nieuwe eenheid van betaling op het internet bestaat uit (de handel in) persoonlijke gegevens.’ Loos
2012, p. 593.
142
TM, Parl. Gesch. Boek 7 1990, p. 53.
143
Asser/Hijma 7-I* 2013/8, aant. 9.
144
Zie in dit verband bijvoorbeeld ook Deloitte Review, Data as the new currency: ‘Currency is how we create
and exchange economic value across geography and through time. It is anything that can serve as a medium of
43
Recentelijk is door de rechtbank Overijssel bepaald dat Bitcoins geen geld zijn in de zin van
afd. 6.1.11 BW maar een ruilmiddel.145 De rechtbank komt echter wel tot de conclusie dat
voor 'gangbaar geld' niet vereist is dat het om een wettig betaalmiddel moet gaan. Wat geld is
wordt in laatste instantie bepaald door de maatschappelijke opvatting. 146 Art. 6:112 BW
bepaalt dat het geld dat ter voldoening van de verbintenis wordt betaald, op het tijdstip van de
betaling gangbaar moet zijn in het land in welks geld de betaling geschiedt. Er zijn echter wel
uitzonderingen mogelijk op grond van de wet, rechtshandeling, gewoonte of redelijkheid en
billijkheid.147 Ten eerste kan er bij de levering van een app in ruil voor betaling door middel
van persoonsgegevens op grond van een meerzijdige rechtshandeling (bepaalde vormen van)
betaling in gangbaar geld contractueel uitsluiten door het treffen van een betalingsregeling.148
De app-eigenaar en app-gebruiker kunnen overeenkomen dat dat de verbintenis in
persoonsgegevens moet worden voldaan. Dit betekent dat partijen stilzwijgend betaling in
gangbaar chartaal geld hebben uitgesloten doordat zij bij uitsluiting voor een andere wijze van
betaling hebben gekozen.149 Voorts kan op grond van gewoonte afgeweken worden van
betaling in gangbaar geld aangezien er in de regel al sprake is van betaling in
persoonsgegevens
in
ruil
voor
de
levering
van
een
app.150
Wanneer
in
de
privacyovereenkomst tussen app-eigenaar en app-gebruiker de bepaling is opgenomen dat er
in persoonsgegevens betaald wordt, zal dit dus voldoende zijn om de privacyovereenkomst als
consumentenkoopovereenkomst te kunnen kwalificeren.151 Daarnaast is op 11 september
2014 door het Hof van Justitie EU (Papasavvas) bevestigd dat ‘diensten van de
informatiemaatschappij’ ook diensten omvatten die niet vergoed worden door de afnemer van
de dienst, maar gecompenseerd worden door bijvoorbeeld het publiceren van reclame.152 Bij
exchange, something that can be “cashed out” for goods and services, or used to pay debt or to store value for
future use. Data has each of these essential characteristics. Because many business transactions involve buying
and selling data, it can serve as a medium of exchange’. Deloitte Review 2013, p. 21 of M. Schimmel, SOLV
Advocaten over bitcoin, <http://bit.ly/1KhGXXC>.
145
Rechtbank Overijssel 14 mei 2014, ECLI:NL:RBOVE:2014:2667.
146
Rechtbank Overijssel 14 mei 2014, ECLI:NL:RBOVE:2014:2667, r.o. 4.8.
147
Rank, aant. 4.
148
Rank, aant. 4, sub b.
149
Rank-Berenschot, aant. 14.2.
150
‘Met gewoonte wordt bedoeld een bepaalde gedragslijn, die in een bepaalde kring van personen met
betrekking tot een bepaald soort overeenkomsten algemeen en bij herhaling wordt gevolgd en op naleving
waarvan wordt gerekend’. Rank-Berenschot, aant. 14.2.
151
Ook kan (of moet) nagedacht worden over een nieuw soort koopovereenkomst waarbij digitale vormen van
‘geld’ zoals Bitcoin als geld worden gekwalificeerd zodat wanneer in een dergelijke vorm betaald wordt het
regime inzake consumentenbescherming van toepassing is. Wellicht is het goed om het begrip ‘gangbaar geld’ te
herdefiniëren of uit te breiden naar ‘digitaal gangbaar geld’. Er komen straks digitale personen die met
digitale/online hulpmiddelen zullen betalen. Er dient dus ook regulering omtrent de digitale markt te worden
bewerkstelligd.
152
'Gelet op het voorgaande, moet op de vierde vraag worden geantwoord dat artikel 2, sub a, van richtlijn
2000/31 aldus moet worden uitgelegd dat het begrip „diensten van de informatiemaatschappij”, in de zin van die
44
'gratis' apps is dit de primaire bron van inkomsten, hetgeen tot gevolg heeft dat ook 'gratis'
apps als dienst van de informatiemaatschappij aangemerkt kunnen worden. De nieuwe
afdeling 2B van titel 5 van Boek 6 van het Burgerlijk Wetboek is dus ook op deze grond van
toepassing op de privacyovereenkomst tussen app-eigenaar en app-gebruiker waarbij een
‘gratis’ dienst wordt geleverd.153 Naast de privacy wet- en regelgeving om gebruikers van
apps te beschermen zijn de bepalingen omtrent de consumentenkoop en de in afdeling 6.5.2B
BW opgenomen bepalingen van toepassing op de privacyovereenkomst tussen app-eigenaar
en app-gebruiker, ook wanneer er in persoonsgegevens (en niet in geld) wordt betaald. Vanuit
het oogpunt van consumentenbescherming lijkt mij dit dan ook niet meer dan redelijk.
5.1.
Ontbinding op grond van het Burgerlijk Wetboek
Op grond van art. 6:265 BW kan de privacyovereenkomst ontbonden worden wanneer een
van de partijen de in de privacyovereenkomst opgenomen plichten niet nakomt.154 Voorts
wordt in art. 6:227b BW een minima aan informatieplichten gegeven voor de app-eigenaar
(zijnde degene die een dienst van de informatiemaatschappij verleent als bedoeld in art. 3:15d
lid 3 BW) die hij voorafgaand aan de totstandkoming van de elektronische overeenkomst
dient te verstrekken. Het artikel benoemt expliciet dat dit op een duidelijke, begrijpelijke en
ondubbelzinnige wijze dient te geschieden. Uit de MvT van de Aanpassingswet richtlijn
inzake elektronische handel155 blijkt dat de opgenomen informatieplichten tot doel hebben
meer duidelijkheid (transparantie) te bieden,156 iets waar het bij de huidige status van een
privacyverklaring doorgaans aan ontbreekt. Een mooi voorbeeld van directe bescherming van
privacyrechtelijke waarborgen via het Burgerlijk Wetboek.157 Interessante bepalingen voor de
privacyovereenkomst tussen app-eigenaar en app-gebruiker zijn het informeren over de wijze
waarop de wederpartij van door hem niet gewilde handelingen op de hoogte kan geraken,
alsmede de wijze waarop hij deze kan herstellen voordat de overeenkomst tot stand komt (sub
bepaling, online-informatiediensten omvat waarbij de dienstverlener niet wordt vergoed door de afnemer van de
dienst, maar door inkomsten die hij haalt uit op een website gepubliceerde reclame.' HvJ EU 11 september 2014,
IT 1597, C-291/13 (Sotiris Papasavvas tegen Philinews.com), overweging 30.
153
Zie ook Loos 2015, p. 102.
154
‘Iedere tekortkoming in een der verbintenissen uit overeenkomst kan grond voor gehele of gedeeltelijke
ontbinding opleveren. Het maakt in beginsel geen verschil of de niet-nakoming totaal, gedeeltelijk of kwalitatief
van aard is’, TM, Parl. Gesch. BW Boek 6, p. 1004.
155
Kamerstukken II 2001/02, 28197, nr. 3
156
‘Dit artikel voert artikel 10 van de richtlijn uit en bevat informatieplichten voor degenen die diensten van de
informatiemaatschappij verrichten. Hiermee wordt beoogd de consument meer duidelijkheid (transparantie) te
bieden, waardoor het vertrouwen van de consument in het elektronisch zaken doen wordt vergroot, en voorts te
voorkomen dat overeenkomsten langs elektronische weg onbedoeld, of met een onbedoelde inhoud, tot stand
komen’. Kamerstukken II 2001/02, 28197, nr. 3, p. 55.
157
De nadruk op transparantie komt ook duidelijk naar voren in de Algemene Verordening
Gegevensbescherming.
45
c) en het informeren over de gedragscodes waaraan hij zich heeft onderworpen en de wijze
waarop deze gedragscodes voor de wederpartij langs elektronische weg te raadplegen zijn
(sub e). Op grond van lid 5 bestaat de mogelijkheid de privacyovereenkomst te ontbinden
wanneer de app-eigenaar de informatie inzake het kenbaar maken van de gedragscodes,
alsmede het archiveren en raadplegen van de overeenkomst (sub b) en het ter beschikking
stellen van algemene voorwaarden (lid 2), niet heeft verstrekt. Het niet naleven van de
informatieplicht uit sub c komt niet voor ontbinding in aanmerking.
Naast de hierboven genoemde eisen voor totstandkoming van de privacyovereenkomst (de
overeenkomst
langs
elektronische
weg)
worden
in
art.
6:227c
BW
verdere
beschermingsmaatregelen voor de app-gebruiker inzake de ontvangst van de verklaring en de
bevestiging hiervan gegeven. In lid 2 is bepaald dat wanneer de wederpartij (lees: appgebruiker) een verklaring uitbrengt die mag worden opgevat als een aanvaarding van het
gedane aanbod om de privacyovereenkomst te aanvaarden, de app-eigenaar zo spoedig
mogelijk de ontvangst van deze aanvaarding (langs elektronische weg) dient te bevestigen.
Wanneer een dergelijke aanvaarding niet is bevestigd kan de app-gebruiker de
privacyovereenkomst ontbinden. Daarnaast regelt lid 2 dat het niet tijdig bevestigen van de
ontvangst van een aanbod geldt als een verwerping daarvan. Uit lid 3 blijkt dat de verklaring
en ontvangstbevestiging worden geacht te zijn ontvangen wanneer deze toegankelijk zijn voor
de partijen tot wie zij zijn gericht. De overeenkomst komt dus tot stand door de aanvaarding
van het gedane aanbod, maar kan ontbonden worden wanneer dit niet wordt bevestigd. In de
praktijk zal dit geen beletsel vormen voor (de snelheid van) de totstandkoming van de
privacyovereenkomst bij het downloaden van een app omdat de aanvaarding van het aanbod
en de bevestiging hiervan elkaar direct (geautomatiseerd) kunnen opvolgen.158 Het geeft
echter wel rechtszekerheid met betrekking tot het bestaan en de naleving van de vereisten
voor de totstandkoming van de privacyovereenkomst, waardoor de app-gebruiker extra
bescherming geniet.
Een andere mogelijkheid om de privacyovereenkomst te ontbinden bestaat op grond van een
nieuwe afdeling in het Burgerlijk Wetboek. In afdeling 6.5.2B BW zijn bepalingen voor
overeenkomsten tussen handelaren en consumenten opgenomen. In art. 6:230m BW is een
uitgebreid stelsel van informatieplichten aan het Burgerlijk Wetboek toegevoegd die erop zien
158
Op dit moment wordt na het accepteren van de machtigingen de app gedownload en geïnstalleerd, waarna de
vermeldingen ‘de app is geïnstalleerd’ en vervolgens ‘open de app’ naar voren komen. Een bevestiging van de
privacyovereenkomst na het geven van toestemming voor bepaalde gegevensverwerking is mijns inziens dan ook
eenvoudig te realiseren.
46
dat de consument beschermd wordt wanneer er een overeenkomst op afstand gesloten wordt.
In sub a tot en met sub t worden een twintigtal informatieplichten gegeven, welke grotendeels
overeenkomen met de hierboven besproken informatieplichten. Uit art. 6:230i lid 4 BW blijkt
dat deze informatieverplichtingen gelden onverminderd de informatieverplichtingen van art.
3:15d-f, art. 6:227b en 6:227c en afdeling 6.5.2A BW. De reden waarom deze
informatieplichten grotendeels hetzelfde zijn is vanwege de verschillende doelgroepen van de
regelingen.159 De laatste zin van art. 6:230i lid 4 BW bepaalt dat in geval van strijd naar
inhoud en wijze waarop de informatie wordt verstrekt, de bepalingen van deze afdeling
(6.5.2B BW) van toepassing zijn. De voor de privacyovereenkomst interessantste bepalingen
uit art. 6:230m BW zijn sub e en sub g. In sub e is bepaald dat de app-eigenaar informatie
moet verstrekken over de totale prijs van de zaken of diensten, of, als door de aard van de
zaak of de dienst de prijs redelijkerwijs niet vooraf kan worden berekend, de manier waarop
de prijs moet worden berekend. De app-eigenaar zal dus op een op duidelijke en begrijpelijke
wijze moeten informeren welke persoonsgegevens verwerkt zullen gaan worden (de prijs) in
ruil voor het gebruik van de app. Gebeurt dit niet, dan is de app-gebruiker niet gebonden aan
de privacyovereenkomst. Voorts is de app-eigenaar op grond van sub g verplicht om de appgebruiker te informeren over de wijze van betaling. Op grond van dit artikel wordt het een
stuk duidelijker (transparanter) voor de app-gebruiker dat er persoonsgegevens verwerkt
worden in ruil voor de app, en belangrijker, welke persoonsgegevens er verwerkt gaan
worden. Naast deze bepalingen worden in art. 6:230v BW aanvullende bepalingen voor de
verstrekking van informatie voor overeenkomsten op afstand gegeven. In lid 1 komt naar
voren dat de in artikel 230m lid 1 genoemde informatie op een wijze moet worden verstrekt
die passend is voor de gebruikte middelen voor communicatie op afstand en dat dit in een
duidelijke en begrijpelijke taal moet geschieden. Voorts komt in lid 4 naar voren dat uiterlijk
aan het begin van het bestelproces duidelijk en leesbaar aangegeven moeten worden of er
beperkingen
gelden
voor
de
levering
en
welke
betaalmiddelen
(in
dit
geval
persoonsgegevens) worden aanvaard. Lid 5 van art 6:230v BW bepaalt dat wanneer er sprake
is van een middel voor communicatie op afstand dat beperkte ruimte biedt voor het tonen van
informatie (in dit geval een smartphone) de app-gebruiker als eerste de meest essentiële
informatie krijgt. Hierbij gaat het om de voornaamste kenmerken van de app, de identiteit van
de app-eigenaar, de totale prijs, het recht van ontbinding, de duur van de overeenkomst en, bij
159
Zie Lodder 2013, p. 35.
47
een overeenkomst voor onbepaalde tijd, de voorwaarden om de overeenkomst op te zeggen.160
De overige informatie moet op de in lid 1 voorgeschreven wijze worden verschaft. Ook wordt
in deze afdeling het recht van ontbinding geregeld. Art. 6:230o lid 1 sub c BW bepaalt dat de
app-gebruiker zonder opgave van redenen de privacyovereenkomst kan ontbinden tot een
termijn van veertien dagen is verstreken, vanaf de dag waarop de overeenkomst wordt
gesloten. In art. 6:230p sub g BW is echter bepaald dat de app-gebruiker geen recht van
ontbinding heeft voor zover de nakoming is begonnen met uitdrukkelijke voorafgaande
toestemming van de consument en de consument heeft verklaard dat hij daarmee afstand doet
van zijn recht van ontbinding.
5.2.
Vernietiging op grond van het Burgerlijk Wetboek
Naast ontbinding is in art. 6:227b BW ook de mogelijkheid tot vernietiging van de
overeenkomst geregeld. Op grond van lid 4 is de privacyovereenkomst vernietigbaar indien
de app-eigenaar de verplichtingen op grond van lid 1 aanhef, sub a, c en d niet is nagekomen.
In de aanhef wordt het vereiste van het op duidelijke, begrijpelijke en ondubbelzinnige wijze
verstrekken van informatie gegeven. De app-eigenaar moet informatie verschaffen over de
wijze waarop de overeenkomst tot stand zal komen en in het bijzonder welke handelingen
daarvoor nodig zijn (sub a), de wijze waarop de wederpartij van door hem niet gewilde
handelingen op de hoogte kan geraken, alsmede de wijze waarop hij deze kan herstellen
voordat de overeenkomst tot stand komt (sub c), en de talen waarin de overeenkomst kan
worden gesloten (sub d). Voor de privacyovereenkomst tussen de app-eigenaar en appgebruiker zijn vooral sub a en sub c van toegevoegde waarde. Sub a zorgt voor meer
bewustzijn van de gegevensverwerking bij de app-gebruiker omdat het duidelijk moet zijn
hoe de privacyovereenkomst tot stand komt en welke handelingen – het verwerken van
bepaalde persoonsgegevens in ruil voor de app – daarvoor nodig zijn. Daarnaast moet het op
grond van sub c voor de app-gebruiker duidelijk zijn of hij bij zijn toestemming voor het
verwerken van zijn gegevens in ruil voor de app niet bij vergissing ongewenste gegevens prijs
zal geven, en moet het duidelijk zijn op welke manier de app-gebruiker een dergelijke onjuiste
toestemming voor bepaalde gegevens kan corrigeren. Uit de MvA I blijkt dat voor zover de
privacyovereenkomst vernietigbaar is, de algemene regels voor de (wijze van) vernietiging, de
termijn gedurende welke de vernietiging dient plaats te vinden, en de gevolgen van
160
Volgens de MvT is de ratio dat ‘bij media met beperkte tijd of ruimte moet worden voorkomen dat de
consument teveel informatie krijgt, waardoor essentiële informatie verloren gaat ten koste van minder essentiële
informatie.’ Kamerstukken II 2012/13, 33520, 3, p. 51.
48
vernietiging gelden.161 Er is voor vernietiging gekozen omdat de in het kader van de
overeenkomst te verstrekken informatie essentieel is voor de wils- of oordeelsvorming van de
wederpartij.162 Wanneer de overeenkomst onder invloed van het ontbreken van deze
informatie tot stand is gekomen, behoort de wederpartij de mogelijkheid te hebben om terug
te gaan naar de situatie zoals die was wanneer er geen overeenkomst tot stand zou zijn
gekomen.163 Wat betreft de bewijspositie is de wetgever de wederpartij van de dienstverlener
tegemoetgekomen door in de laatste volzin van lid 4 te bepalen dat indien de dienstverlener
zijn in lid 1, aanhef en onder a of c genoemde verplichting niet is nagekomen, wordt vermoed
dat een overeenkomst onder invloed daarvan tot stand is gekomen. Dit wordt gerechtvaardigd
omdat het ontbreken van deze informatie relevante invloed op de oordeelsvorming van de
wederpartij zal hebben gehad.164 Voorts is in art. 6:227c lid 5 BW bepaald dat een
overeenkomst die tot stand is gekomen onder invloed van het niet naleven door de
dienstverlener van het ter beschikking stellen van passende, doeltreffende en toegankelijke
middelen waarmee de wederpartij voor de aanvaarding van de overeenkomst van door hem
niet gewilde handelingen op de hoogte kan geraken en waarmee hij deze kan herstellen,
vernietigbaar is. De app-gebruiker heeft dezelfde bewijspositie als in art. 6:227b BW.
Volgende Wei Bleissmann richt art. 6:227c BW zich in het bijzonder op overeenkomsten die
via een website tot stand komen.165 De ratio dat bij overeenkomsten die tot stand komen via
websites meer waarborgen gewenst zijn omdat er minder onderhandelingsvrijheid is, is
analoog van toepassing op het tot stand komen van de privacyovereenkomst tussen de appeigenaar en de app-gebruiker, omdat ook in deze situatie geen vorm van individuele
communicatie mogelijk is. De verdere beschermingsmaatregelen inzake vernietiging op grond
van art. 6:227c lid 5 BW gelden dus ook voor de app-gebruiker. Een andere voor (het
bewustzijn van) de app-gebruiker interessante bepaling is art. 6:230v lid 3 BW. In dit artikel
161
Kamerstukken I 2003/04, 28 197, C, p. 14.
Het mogelijk dat de op de wil berustende verklaring ondeugdelijk is gevormd. Dit kan door interne en externe
factoren geschieden. Bij interne factoren moet men denken aan een stoornis, bij externe factoren gaat het om
dwaling, bedrog of misbruik van omstandigheden (gebrekkige informatie). Een dergelijke rechtshandeling is
geldig, maar kan door middel van vernietiging worden aangetast.
163
Kamerstukken II 2001/02, 28 197, nr. 3, p. 56.
164
‘Ten aanzien van deze verplichtingen is dat gerechtvaardigd, omdat de daar genoemde informatie naar haar
aard steeds rechtstreeks van invloed is op de vraag of een overeenkomst tot stand komt en of deze overeenkomst
de door de wederpartij bedoelde inhoud heeft. Het is derhalve redelijk te veronderstellen dat het niet verstrekt
zijn van die informatie invloed heeft gehad op de wilsvorming van de wederpartij.’ Kamerstukken II 2001/02, 28
197, nr. 3, p. 56.
165
Blei Weissmann, aant. 6: ‘Art. 6:227c BW richt zich in het bijzonder op overeenkomsten die via een website
tot stand komen. Dit blijkt uit lid 4, in welk artikellid is bepaald, dat de leden 1 en 2 niet van toepassing zijn
indien de overeenkomst uitsluitend (mijn cursivering; YBW) door middel van de uitwisseling van elektronische
post of een soortgelijke vorm van individuele communicatie tot stand komt. Zie inzake lid 4 van art. 6:227c BW
nader aant. 81 e.v.’.
162
49
is bepaald dat het voor de consument duidelijk moet zijn wanneer hij een
betalingsverplichting aangaat. In het licht van Papasavvas166 kan worden beredeneerd dat de
betalingsverplichting ook op gaat voor inkomsten anders dan een vergoeding in geld. Dit
betekent dat de app-eigenaar duidelijk moet aangeven dat er wordt betaald in de vorm van
persoonsgegevens en daarmee verband houdende advertentie-inkomsten. Uit de laatste
zinsnede van dit lid blijkt dat een privacyovereenkomst die in strijd met deze bepaling tot
stand is gekomen door de app-gebruiker vernietigd kan worden.167 Deze bepalingen dragen
bij aan een sterker bewustzijn bij de app-gebruiker en meer transparantie bij de app-eigenaar,
hetgeen bevorderend zal werken voor de waarborgen uit de AVG en de bescherming van de
app-gebruiker omdat een privacyovereenkomst die tot stand is gekomen onder invloed van het
niet naleven door de dienstverlener (app-eigenaar) van deze verplichtingen vernietigbaar is,
en de app-gebruiker een gunstigere bewijspositie toebedeeld krijgt.
Naast bovenstaande bepalingen die gelden ter bescherming van de app-gebruiker kan de
privacyovereenkomst ook vernietigd worden wanneer de op de wil berustende verklaring
ondeugdelijk is gevormd. Op grond van art. 6:228 lid 1 BW is een overeenkomst die tot stand
is gekomen onder invloed van dwaling en bij een juiste voorstelling van zaken niet zou zijn
gesloten, vernietigbaar. Ook is op grond van art. 3:44 lid 1 BW een rechtshandeling
vernietigbaar, wanneer zij door bedreiging, door bedrog of door misbruik van
omstandigheden tot stand is gekomen. Het valt sterk in twijfel te trekken dat app-gebruikers
zich op dit moment bewust zijn van de gevolgen die met de aanvaarding van de
privacyovereenkomst gegeven wordt. Zo hebben de meeste app-gebruikers geen besef van de
in paragraaf 2.4. uiteengezette gegevensverwerking door apps en het in paragraaf 2.5.
uiteengezette bestaan van data brokers en de grootschalige gegevensverwerking, profilering
en handel in data van dergelijke partijen. Door het aanvaarden van de privacyverklaring
(privacyovereenkomst) denken app-gebruikers dat hun persoonsgegevens op een behoorlijke
en zorgvuldige wijze verwerkt zullen worden en hun privacy gewaarborgd zal blijven. Maar
in tegenstelling tot deze gedachte geven ze (in veel gevallen) een zeer ruime toestemming aan
de app-eigenaar om hun gegevens te verzamelen, te verwerken en door te verkopen aan derde
partijen.168 Ook stellen app-eigenaren dat het een gratis dienst is die zij verrichten, terwijl dit
166
HvJ EU 11 september 2014, IT 1597, C-291/13 (Sotiris Papasavvas tegen Philinews.com).
Kamerstukken II 2012/13, 33520, 3, p. 51.
168
Zie bijvoorbeeld onderdelen van de privacyverklaring van de Facebook-app: ‘What kinds of information do
we collect?: Things you do and information you provide. Things others do and information they provide. Your
networks and connections. Information about payments. Device information. Information from websites and
apps that use our Services. Information from third-party partners. Facebook companies.’ (…) ‘How our global
167
50
niet het geval is. Het verzamelen van persoonsgegevens is een verdienmodel en vaak de
primaire bron van inkomsten, en gebeurt dan ook op grote schaal. Men kan dus stellen dat er
sprake is van een onjuiste voorstelling van zaken. De app-gebruiker (of de maatschappij an
sich) is zich simpelweg niet bewust van de economische waarde die hun persoonsgegevens
hebben.
169
Dergelijke situaties waarin een app-eigenaar een ‘gratis’ dienst aanbiedt in ruil
voor persoonsgegevens en het opnemen van bepalingen in de privacyovereenkomst omtrent
het waarborgen van de privacy, waarbij app-gebruikers geen uitdrukkelijke toestemming
hebben kunnen geven vanwege het ontbreken van een juiste voorstelling van zaken, kunnen
als dwaling, misleiding, bedrog of misbruik van omstandigheden gekwalificeerd worden.170
Wanneer een dergelijk beroep niet slaagt, kan de app-gebruiker zich ook nog beroepen op de
redelijkheid en billijkheid neergelegd in art. 6:248 lid 2 BW. De privacyovereenkomst kan
dan, wanneer de overeengekomen bepalingen voor zover die in de gegeven omstandigheden
naar maatstaven van redelijkheid en billijkheid onaanvaardbaar zouden zijn, vernietigd
worden.171 Wanneer de privacyverklaring als overeenkomst wordt gekwalificeerd zal de appgebruiker dus ook op deze bepalingen een beroep kunnen doen en de privacyverklaring
vernietigen, hetgeen wederom extra bescherming voor de app-gebruiker met zich meebrengt.
5.3.
Nietigheid op grond van het Burgerlijk Wetboek
Vanwege de kwalificatie van de privacyverklaring als wederkerige overeenkomst gelden de
beginselen van contractenrecht, waarbij het beginsel van partijautonomie (zelfbeschikking)
een belangrijke voorwaarde is voor de mogelijkheid van partijen zich door middel van een
afspraak over en weer te binden.172 Contractvrijheid is echter niet absoluut, de app-gebruiker
dient ook (tot op een zekere hoogte) in bescherming genomen te worden bij het aanvaarden
services operate: Facebook may share information internally within our family of companies or with third
parties for purposes described in this policy. Information collected within the European Economic Area (“EEA”)
may, for example, be transferred to countries outside of the EEA for the purposes as described in this policy.’
(…) ‘Sharing With Third-Party Partners and Customers: - Advertising, Measurement and Analytics Services
(Non-Personally Identifiable Information Only). - Vendors, service providers and other partners.’
Facebook.com/privacy (laatst gecheckt mei 2015), <http://on.fb.me/1u402GA>.
169
Zie in dit kader ook B. van der Sloot, ‘Persoonsgegevens als hedendaags Kantharos’: ‘Aangezien
internetgebruikers er doorgaans van uitgaan dat hun persoonsgegevens geen geldelijke waarde
vertegenwoordigen, kan in navolging van Kantharos van Stevensweert worden gesteld dat nu hier sprake is van
een geval waarin ‘de koper den verkoper omtrent de eigenschap der zaak had kunnen inlichten en daartoe, naar
de eisen van goede trouw, gehouden was,’ internetbedrijven nalatig zijn indien zij deze informatie niet
verstrekken. Het is dan ook goed mogelijk dat persoonsgegevens de 21 ste-eeuwse Kantharos van Stevensweert
zullen blijken.’ Van der Sloot, p. 153.
170
De aanname dat persoonsgegevens het nieuwe betaalmiddel van het internet zijn en personen zich hier
doorgaans niet bewust van zijn kan met zich mee brengen dat het ‘gratis’ aanschaffen van een app als misleidend
gekwalificeerd kan worden. Helberger et al., p. 164.
171
Zie ook Verhelst, p. 83.
172
Hartkamp & Sieburgh, p. 35.
51
van bepalingen opgenomen in een privacyovereenkomst. Dit kan op grond van art. 3:40 BW.
Op grond van lid 1 van dit artikel is een rechtshandeling die door inhoud of strekking in strijd
is met de goede zeden of de openbare orde, nietig. Het is dus niet mogelijk om bepalingen in
een privacyovereenkomst op te nemen die een zeer vergaande strekking hebben.173 Voorts
blijkt uit de MvT van de Wet bescherming persoonsgegevens dat een niet rechtsgeldig
gegeven toestemming als nietig beschouwd dient te worden. Het niet geven van
ondubbelzinnige toestemming heeft tot gevolg dat die bepaling waarop de toestemming
betrekking heeft, nietig is.174 Mijns inziens moet grote waarde gehecht worden aan wat
mensen (in dit geval de app-gebruiker) zelf willen, mits zij natuurlijk bewust zijn van de
gevolgen. Wat dan onder zeer vergaande strekking valt kan dus bediscussieerd worden, maar
men dient in ieder geval rekening te houden met risicogroepen als bijvoorbeeld
minderjarigen.
5.4.
Verplichtingen van de App-gebruiker
Door een privacyverklaring te kwalificeren als een overeenkomst worden er ook een aantal
verplichtingen op de app-gebruiker gelegd wanneer deze het aanbod van het gebruik van de
app in ruil voor de verwerking van bepaalde gegevens aanvaardt. Zoals in het eerste gedeelte
van dit onderzoek beschreven, is het voor de informatiemaatschappij van belang dat
persoonsgegevens en andere data accuraat zijn. Dit geldt in de eerste plaats voor adverteerders
en databrokers, en dus voor de app-eigenaar die de persoonsgegevens doorverkoopt aan deze
partijen. De verzamelde gegevens worden gekoppeld aan het persoonsprofiel van de
betreffende app-gebruiker, waardoor correcte informatie (en dus een nauwkeuriger) profiel
essentieel is voor de toegevoegde (economische) waarde.175 De gegevens die nu verzameld
worden voor advertentie- en andere marketingdoeleinden kunnen ook gebruikt worden voor
bijvoorbeeld wetenschappelijk onderzoek op het gebied van gezondheid, infrastructuur,
duurzaamheid, etc.176 De app-gebruiker dient de in de privacyovereenkomst bepaalde
persoonsgegevens dus waarheidsgetrouw te leveren. Mijn inziens moet dit geen probleem
vormen aangezien de gegevens (naast de actief aangeleverde gegevens door de app-gebruiker)
direct van de smartphone komen en automatisch gegenereerd worden. Het is dan ook niet
173
Men kan dan denken aan het toestemming vragen in een privacyovereenkomst om bijzondere
persoonsgegevens als ras of etnische afkomst, politieke opvattingen, religie of overtuiging, etc. te mogen
verwerken. Zie ook B. van der Sloot 2010, p. 107.
174
Verhelst, p. 84. Ik zie geen reden waarom dit zal ook niet op grond van de AVG het geval zijn.
175
Wanneer gegevens niet accuraat zijn heeft het weinig zin voor deze partijen om deze aan het persoonsprofiel
toe te voegen.
176
Zie eerder paragraaf 2.6.
52
gemakkelijk deze gegevens (denk aan UID of locatiegegevens) te manipuleren.177 Omdat de
gegevens contractueel gekwantificeerd zijn, de kern van de overeenkomst betreffen en de
overeenkomst bepaalbaar is,178 kan de app-eigenaar (in tegenstelling tot bijvoorbeeld het
vrijwillig overdragen van persoonsgegevens op Facebook)179 juridisch afdwingen dat de in de
privacyovereenkomst opgenomen gegevens accuraat zijn. Wanneer de privacyovereenkomst
op grond van niet-correcte informatie tot stand is gekomen is er sprake van een onjuiste
voorstelling van zaken en kan de app-eigenaar op grond van dwaling ex. art. 6:228 BW of
bedrog ex. art. 3:44 lid 3 BW vernietigen, met als gevolg dat de app niet meer gebruikt kan
worden. Op deze manier heeft de overeengekomen gegevensverzameling meer waarde en kan
de app-eigenaar deze voor een hogere prijs kan doorverkopen. De privacyovereenkomst is
mijn inziens dus ook aan de zijde van de app-eigenaar een welkome toevoeging.180
De informatieplichten en beschermingsmogelijkheden opgenomen in Boek 6 van het
Burgerlijk Wetboek zijn een goede aanvulling op de bepalingen opgenomen in de AVG. De
mogelijkheid tot ontbinding, vernietiging en nietigheid van de privacyovereenkomst zorgen
mijns inziens voor een sterkere bescherming van de app-gebruiker en zijn tevens van
toegevoegde waarde voor de app-eigenaar.
177
Dit betekent dus dat app-gebruikers geen programma’s (bijv. Ghostery) mogen installeren om bepaalde
gegevens (welke zij toestemming hebben gegeven om te verzamelen) te blokkeren of te manipuleren.
178
Het gaat om toekomstige goederen waarvan de over te dragen persoonsgegevens van tevoren bepaald zijn en
dus in de privacyovereenkomst nader zijn omschreven. Overdracht is dus niet onmogelijk op grond van art. 3:97
lid 1 BW omdat zij naderhand, ten tijde van levering voldoende bepaalbaar zijn. Van der Sloot 2010, p.108.
179
Zie Van der Sloot 2010, p. 108
180
Zie ook World Economic Forum, Personal Data: The Emergence of a New Asset Class, januari 2011, p. 5.
53
Deel III. Conclusie en Aanbevelingen
54
6. Conclusie
Vanwege de enorme impact van gegevensverwerking door apps op de persoonlijke
levenssfeer dient rekening gehouden te worden met de fundamentele rechten en
privacyrechtelijke waarborgen van gebruikers. In deze masterscriptie is getracht een duidelijk
overzicht van de impact van apps op smartphones (the App Ecosystem) in onze
(informatie)samenleving weer te geven, om zodoende het belang van sterke regulering aan te
duiden. Apps hebben het potentieel om de wereld beter, veiliger, functioneler en productiever
te maken maar er is ook gebleken dat apps – vaak zonder toestemming – enorme
hoeveelheden aan persoonlijke data verwerken en data brokers over enorme hoeveelheden aan
(soms zeer gevoelige) persoonlijke informatie beschikken. Hoe persoonsgegevens verzameld
en gecombineerd worden is niet altijd even inzichtelijk maar het is evident dat
persoonsgegevens economische waarde vertegenwoordigen en de handel in persoonsgegevens
veel geld oplevert. Voorts is in dit onderzoek weergegeven dat toestemming door middel van
het accepteren van een privacyverklaring voor de installatie van een app momenteel niet
voldoet aan de fundamentele grondrechten en privacyrechtelijke waarborgen. Gebruikers van
smartphones (of smart devices) stemmen – zonder zich er bewust van te zijn – in met de
gegevensverwerking door apps. Bovendien berust deze toestemming doorgaans niet op
vrijwillige grond, waardoor er geen sprake is van rechtmatige verwerking. Daarnaast zijn de
specifieke doeleinden waarvoor de gegevens worden verwerkt veelal niet expliciet, rechtmatig
en transparant ten opzichte van de app-gebruiker met als gevolg dat het principe van
doelbinding en het transparantiebeginsel niet in acht worden genomen. Momenteel wordt de
app-gebruiker alleen beschermd op grond van de privacyrechtelijke beginselsen beschermd
wanneer persoonsgegevens door apps op smartphones verwerkt worden en niet op grond van
het verbintenissenrecht, hetgeen weldegelijk wenselijk is. Om dit te bewerkstelligen dienen
een aantal zaken te veranderen. Het begrip privacy moet herwaardeerd worden, waarbij een
verschuiving van bescherming naar zelfbeschikking dient plaats te vinden. Door de
privacyverklaring als wederkerige overeenkomst te kwalificeren (waarbij de dienst (de app)
die geleverd wordt tegen het mogen verwerken van persoonsgegevens de kern van de
overeenkomst is) geniet de app-gebruiker, naast de bepalingen uit de AVG, de volledige
bescherming op grond van het verbintenisrechtelijk regime van het Burgerlijk Wetboek. De
app-eigenaar dient aan alle informatieplichten te voldoen en er mag geen sprake zijn van
onduidelijke, onredelijke of op andere gronden onwettige bepalingen opgenomen in de
privacyovereenkomst. Daarnaast rust op de app-gebruiker de plicht om accurate gegevens te
55
leveren, hetgeen bevorderend is voor maatschappelijke en economische belangen. Wanneer
de app-eigenaar of de app-gebruiker zich niet houdt aan de in de privacyverklaring
(privacyovereenkomst) overeengekomen afspraken, kan de privacyovereenkomst ontbonden
worden wegens contractschending. Daarnaast is de privacyovereenkomst vernietigbaar
wanneer er niet op duidelijke, begrijpelijke en ondubbelzinnige wijze informatie is verstrekt
en de op de wil berustende verklaring ondeugdelijk is gevormd. De privacyovereenkomst
zorgt voor controle bij de persoon van wie de gegevens afkomstig zijn, en dus voor controle
over hun privacy. Hierdoor ontstaat er meer bewustzijn bij de consument over de
privacyrechtelijke gevolgen in verband met de te verwerken gegevens, omdat de app-eigenaar
altijd door middel van de privacyovereenkomst toestemming moet vragen aan de consument
voordat de gegevens verwerkt mogen worden. Bovendien ontstaat er meer transparantie bij de
gegevensverwerking door de app-eigenaar. Op deze manier is er een sterkere bodem inzake
consumentenbescherming, ontstaat er meer rechtszekerheid en zullen de privacyrechtelijke
waarborgen opgenomen in de AVG worden nageleefd. App-gebruikers kunnen nu wel een
bewuste keuze maken, welke tevens berust op een geïnformeerde en gebruiksvriendelijke
keuze. Zodoende wordt het probleem van het ontbreken van controle, bewustzijn en
vertrouwen
bij
de
app-gebruiker
mogelijk
verholpen.
Het
hanteren
van
een
privacyovereenkomst bij apps op smartphones zorgt voor sterkere bescherming van de
consument, meer rechtszekerheid voor alle partijen en meer mogelijkheden voor
maatschappelijke en economische innovatie. De extra beschermingsmogelijkheden op grond
van het verbintenisrechtelijk regime van het Burgerlijk Wetboek zijn een aangename
toevoeging op de bepalingen uit de AVG.
56
7. Aanbevelingen
In hoofdstuk 2 van dit onderzoek is uiteengezet dat persoonsgegevens economische waarde
hebben. Wanneer een app persoonsgegevens verzamelt voor commerciële doeleinden, wordt
economisch gebruik gemaakt van de consument. De app-eigenaar zal redeneren dat er een
dienst (gebruik van de app) geleverd wordt, in ruil voor de gegevens. Echter, het is volkomen
onduidelijk voor de gebruiker van de app welke gegevens verzameld worden en voor wie
deze gegevens beschikbaar zijn. Daarnaast is het zo dat ‘gratis’ apps niet goed kunnen
functioneren en geen omzet kunnen genereren wanneer zij geen persoonsgegevens kunnen
verzamelen. De app heeft dus (de persoonsgegevens van) de gebruiker nodig. Dit is
doorgaans echter niet waar consumenten zich bewust van zijn wanneer zij hun persoonlijke
informatie ‘weggeven’. Het is dus maar de vraag of deze ‘ruil’ voldoende eerlijk is ten
opzichte van degene die zijn persoonsgegevens ruilt voor het gebruik van de app. Kan er
überhaupt sprake zijn van een eerlijke ruil wanneer consumenten er niet van uitgaan dat
persoonsgegevens een economische waarde vertegenwoordigen? Is het niet zo dat ‘de koper
den verkoper omtrent de eigenschap der zaak had kunnen inlichten en daartoe, naar de eisen
van de goede trouw, gehouden was.’181
7.1.
Betalen in Persoonsgegevens
Behalve extra bescherming van de consument (de app-gebruiker) en het voordeel van accurate
gegevens voor de app-eigenaar brengt de kwalificatie van de privacyovereenkomst een andere
belangrijke toegevoegde waarde met zich mee. Het grootste probleem bij het aanvaarden van
een (niet onderhandelbare) privacyverklaring in een app, is of personen weten dat zij een
transactie aangaan. Door de huidige methode is er geen ruimte voor een duidelijk inzicht in de
overeenkomst. Op deze manier worden de verschillende informatieplichten alsmede de
geldige rechtsgrond toestemming ondermijnd.182 Er is dus doorgaans geen sprake van een
uitdrukkelijke, vrije toestemming. De in de AVG opgenomen beginselen voor de
rechtmatigheid van de verwerking van persoonsgegevens – toestemming, doelbinding en
transparantie – zullen door de privacyovereenkomst versterkt worden. Wanneer consumenten
(app-gebruikers) met de app-eigenaar overeenkomen welke gegevens verwerkt zullen worden
181
Van der Sloot 2012, p. 153.
Er zijn een aantal gronden waarop een privacyverklaring in een app als onredelijk beschouwd kan worden. De
meest voorkomende grond is het ontbreken van de verschillende informatieplichten die op de dienstverlener (app
eigenaar) liggen. Daarnaast moet men denken aan het ontbreken van een rechtsgeldige grondslag voor de
verwerking van persoonsgegevens, en de verplichting voor de dienstverlener van eerlijke en veilige verwerking
van persoonsgegevens. Helberger et al., p. 160.
182
57
(de prijs) in ruil voor het gebruik van de app, en privacy als als ideëel-economisch
zelfbeschikkingsrecht functioneert, zal er mijns inziens meer bewustzijn ontstaan bij de appgebruiker omdat deze uitdrukkelijk toestemming moet geven welke persoonsgegevens
verwerkt zullen worden.183 Daarnaast creëert het koppelen van een economische waarde aan
persoonsgegevens (bijvoorbeeld in euro’s, bitcoins of credits) meer bewustzijn bij appgebruikers omdat zij nu direct kunnen inzien, en dus beter kunnen inschatten, dat wat zij
‘weggeven’ in ruil voor een ‘gratis’ app, niet gratis is.184 Het misleidende karakter van de
‘gratis’ dienst wordt op deze manier weggenomen. Ook zal vanwege de contractuele
gebondenheid aan de bepalingen opgenomen in de AVG het transparantie-beginsel en het
doelbindingsprincipe moeten worden nageleefd. Deze privacyrechtelijke bepalingen zijn er
om personen te beschermen tegen inbreuken op hun persoonlijke levenssfeer. Dit is echter
(zoals in par. 2.4. is gebleken) bij de verwerking van persoonsgegevens door apps momenteel
niet het geval. Daarnaast wordt innovatie beperkt door de huidige kijk op privacy. Het is dan
ook noodzakelijk na te denken over de herwaardering van het begrip privacy. Het moet mijns
inziens veel meer gericht zijn op de drie eerder genoemde beginselen van autonomie,
zelfbeschikking en transparantie. Om dit te bewerkstelligen zijn binnen de rechtsliteratuur
verschillende oplossingen gegeven. Het gaat bijvoorbeeld om een digital personea185, privacy
as a virtue186, privacy literacy187 en verschillende vormen van privacy by design. Al deze
oplossingen liggen in de lijn van de ratio van de privacyovereenkomst, waarvan de mijns
inziens meest relevante oplossing voor de bescherming van privacy in verband met
gegevensverwerking door apps op smartphones hieronder besproken zal worden.
7.2.
Markt voor Persoonsgegevens
Wanneer er een eigendomsrecht op persoonsgegevens wordt gevestigd en consumenten met
hun eigen persoonsgegevens kunnen betalen zal de kern van privacy verschuiven van
bescherming naar zelfbeschikking. Wanneer personen zelf beschikken over hun
183
Het is echter nog maar de vraag of app-aanbieders onderhandelingsruimte willen bieden. Wellicht ligt de
oplossing in het verplichten (door bijvoorbeeld het app-platform) van een dergelijke regeling.
184
Zie in dit verband bijvoorbeeld ook Lanier 2013: ‘Monetizing personal information would put people in
control of their own data, enabling them to choose their own level of privacy. Meanwhile data would become too
expensive for businesses and governments to hoard and mine indiscriminately’.
185
Zie bijvoorbeeld Arnold Roosendaal, Digital Personae and Profiles in Law. Protecting Individuals’ Rights in
Online Contexts. Diss. Tilburg, promotoren prof. dr. R.E. Leenes en prof. dr. E.J. Koops, Oisterwijk: Wolf Legal
Publishers 2013.
186
Zie bijvoorbeeld Van der Sloot, ‘Privacy as Virtue: towards an actor based approach to privacy regulation’,
IvIR.nl <http://bit.ly/1QXd9BE>.
187
Zie bijvoorbeeld Y. Park, 'Digital Literacy and Privacy Behavior Online', Communication Research April
2013, p. 215-236.
58
persoonsgegevens kunnen zij zichzelf beschermen tegen onrechtmatige inbreuken op hun
privacy, maar wordt daarnaast ook de mogelijkheid gecreëerd om personen te betrekken in
economische activiteiten omtrent de verwerking van hun eigen persoonsgegevens.188
Volgende Dommering kunnen de privacyrechtelijke waarborgen in de AVG die hierop
toezien geïnterpreteerd worden als economische privaatrechtelijke zeggenschapsrechten,
welke vanwege de kwalificatie van de privacyverklaring als wederkerige overeenkomst extra
bescherming genieten op grond van het Burgerlijk Wetboek, waarbij toestemming de basis is.
Het
toestemmingsvereiste
kan
gelezen
worden
als
een
gebruiksrecht
inzake
persoonsgegevens.189 Wanneer een overeenkomst tot gebruik van persoonsgegevens in ruil
voor het gebruik van een app (de privacyovereenkomst) wordt gesloten, kan dit dus
vergeleken worden met de exploitatierechten uit het auteursrecht. Het is mijns inziens dan ook
niet meer dan logisch dat de app-gebruiker als ‘auteur’ van zijn eigen persoonsgegevens mee
moet delen in de exploitatie hiervan.190 Naast het waarborgen van de privacyrechtelijke
beginselen zal dit ook maatschappelijk en economisch voordeel met zich mee brengen.191Om
dit te bewerkstelligen moet er een markt voor de verhandeling van persoonsgegevens
opgesteld worden. Wanneer er een markt voor persoonsgegevens wordt ontwikkeld brengt dit
controle bij het individu met zich mee. Hier is echter nog geen grondig onderzoek naar
gedaan, hetgeen wel wenselijk is.192 Wanneer op grond van de privacyovereenkomst een
model wordt geïmplementeerd waarbij de app-gebruiker kan kiezen welke specifieke
gegevens wel en niet gebruikt (gekocht) mogen worden, krijgt de app-gebruiker controle over
188
Helberger et al., p. 167. Zie ook CPB Policy Brief: ‘Vanuit consumentenperspectief kan bijvoorbeeld een
korting op de prijs een goede vergoeding zijn voor persoonsgegevens, een gratis dienst, of een rechtstreekse
betaling. Er is dan sprake van een uitruil: in ruil voor het gebruiksrecht op zijn gegevens krijgt de persoon in
kwestie een voor hem waardevol product of vergoeding. Op deze manieren kunnen de voor- en nadelen van het
gebruik van persoonsgegevens per geval worden gewogen.’ CPB Policy Brief 2014, p. 7.
189
Dommering 2010, p. 8.
190
Zie ook Dommering: ‘Opslag en verwerking is te vergelijken met verveelvoudiging, doorgeven en gebruiken
met openbaarmaking. Het doelbindingbeginsel moge een beperking van de macht van een ander zijn, het is ook
een zeggenschapsrecht om de omvang en beperkingen van een ‘licentie’ te definiëren.’ Dommering 2010, p. 9.
191
Zie in dit verband ook CBP Policy Brief: ‘Bij privacyovereenkomsten wordt een gebruiksrecht op
persoonsgegevens verhandeld. (...) Gebruiksrechten op persoonsgegevens maken het mogelijk dat privacyregels
rekening houden met de mogelijkheid dat verschillende personen en bedrijven verschillende waarde hechten aan
het delen van informatie. Wanneer individuen zelf kunnen bepalen hoe en in welke omstandigheden hun
gegevens gebruikt mogen worden, komen precies die transacties tot stand komen die tot wederzijds voordeel
leiden.’ CPB Policy Brief 2014, p. 8.
192
‘A full market analysis for any of the ‘free’ digital services has yet to be carried out. In the Commission’s
analysis of the Google/ DoubleClick merger, only paid-for services, that is, direct sale of online advertising
space, intermediary services in online advertising and provision of display ad serving technology, were identified
as relevant. Since that case was closed, the evolution of the digital economy has been marked by an explosion of
data collection. An equivalent, relevant market analysis today would examine new business models and assess
the value of personal information as an intangible asset. It could be expected to reveal the need for undertakings
to collect huge amounts of data to be able to monetise the service provided, mainly through advertising, and at
the same time to compete with other paid-for service providers.’ Preliminary Opinion of the European Data
Protection Supervisor 2014, p. 27.
59
de prijs van deze gegevens. De prijs van een profiel zal op deze manier stijgen, omdat
marktwerking (vraag en aanbod) uiteindelijk de prijs voor een specifiek persoonsgegeven zal
bepalen.193
Mijns inziens moeten personen (in dit geval app-gebruikers) zoveel mogelijk zelf kunnen
beslissen of zij toestemming geven voor het verwerken van persoonsgegevens. Dit is echter
niet altijd mogelijk, waardoor een beperking voor de markt van persoonsgegevens bestaat.194
Privacy is een subjectief begrip waardoor individuen ieder een andere dimensie aan privacy
geven. Zo is er in Duitsland onderzoek gedaan naar de bereidheid om fysieke producten te
kopen met persoonsgegevens als betaalmiddel.195 In dit onderzoek is gekeken naar het feit of
mensen echt bereid zijn te betalen met hun data. De onderzoekers hebben een supermarkt
geopend waar mensen konden winkelen met hun persoonlijke data. Geld, creditcards, etc.
hadden hier geen waarde, het enige geaccepteerde betaalmiddel was Facebook-data.196 Bij de
193
Gates & Matthews 2014, p. 114. Zie in dit verband bijvoorbeeld ook de Belgische Commissie voor de
Bescherming van de Persoonlijke Levenssfeer (CBPL) die heeft aangekondigd een aanbeveling te willen
uitvaardigen over het commercialiseren van persoonsgegevens. ‘Actualiteiten België’, P&I Afl. 1 – februari
2015, p.22.
194
Zie in dit verband Hildebrandt, O'Hara & Waidner: ‘European approaches protect privacy through consumer
protection interventions, instead of reliance upon contract. For instance, it is conceivable that a European
national government might prohibit certain extremely privacy-invasive practices, like long-term storage of online
search requests for commercial purposes. Unlike contract approaches, such prohibitions can never be waived by
acquiring the consent of the users. It has to be recognized that this European view is not shared by legislators in
other parts of the world’. Hildebrandt, O'Hara & Waidner, p. 131.
195
How your data becomes a currency, Florian Dohmann, Manuel Urbanke & Maximilian Hoch | TEDxMünster
<http://bit.ly/1pIdydT>. Zie bijvoorbeeld ook zie ook A. Acquisti, L.K. John and G. Loewenstein, ‘What Is
Privacy Worth?’ The Journal of Legal Studies, Vol. 42, No. 2 (June 2013), pp. 249-274.
196
In het filmpje wordt het voorbeeld gegeven voor de koop van een product (blik gemende vruchten) in ruil
voor 5 (prive)facebookfoto's. Ze gebruiken geen geldprijzen maar data-prijzen. Bijvoorbeeld 1 pak dumplings
voor 5 facebook berichten, 1 liter melk voor 10 facebook posts, buttertoast voor 8 facebook likes. Door te
60
kassa werd de bon uitgeprint met informatie over welke data is gebruikt voor de aanschaf van
het product. Zo kon men zien met welke data betaald is. Mensen zagen het bonnetje en waren
bezorgd en beschaamd dat ze deze informatie hadden weggegeven. Dit was precies het punt
van het onderzoek, om mensen hiervan bewust te maken en om duidelijk te maken dat
mensen voorzichtig moeten zijn aan wie ze hun gegevens weggeven. Met dit experiment is
aangetoond dat mensen bereid zijn hun data te ruilen voor producten, maar tegelijkertijd niet
bewust zijn van de gevolgen wanneer zij bepaalde data weggeven. 197 Dit wordt mijns inziens
verholpen wanneer op een duidelijke en transparante manier wordt weergegeven voor welke
gegevensverwerking app-gebruikers toestemming geven.198 Dit kan op een smartphone door
middel
van
privacyenhancing
technologies
privacyovereenkomst bewerkstelligd worden.
(PET’s)199
in
de
vorm
van
een
200
Een voorbeeld van software die burgers meer controle over persoonsgegevens geeft (PET) is
een digitale kluis (digital rights management). In een dergelijke digitale kluis kan een persoon
al zijn persoonsgegevens opslaan en zelf bepalen wie deze gegevens mogen gebruiken. 201 Dit
is een (relatief) nieuw concept, maar zeker niet onmogelijk en het lijkt mij interessant om dit
concept toe te passen op de verwerking van persoonsgegevens door apps op smartphones. Er
is in het geval van smartphones geen tussenpersoon nodig omdat de gegevens die verwerkt
klikken op de accept knop van facebook (connect met Facebook) gaven ze toestemming om alle informatie (de
gehele geschiedenis) op Facebook te bekijken.
197
Zie in dit verband ook Helberger et al.: Uit onderzoek blijkt dat personen doorgaans geen problemen hebben
met het prijsgeven van privacyrechtelijke aspecten in ruil voor een ‘gratis’ dienst. De reden die hiervoor
genoemd wordt is dat de negatieve gevolgen en de omvang hiervan niet goed zichtbaar zijn en pas op lange
termijn – wellicht – een impact op iemands privéleven zullen hebben. Mensen zijn zich niet bewust, of kunnen
zich hier niet bewust van zijn, waardoor het directe voordeel van een gratis dienst voor veel personen zwaarder
weegt dan de mogelijke negatieve gevolgen die de verwerking van hun persoonsgegevens met zich mee brengt.
Helberger et al., p. 168.
198
Er dient bij een markt voor persoonsgegevens wellicht een ondergrens te zijn, ter bescherming van de
onwetendheid van consumenten inzake de verwerking van (te gevoelige) persoonsgegevens. Deze morele
ondergrens komt in veel markten voor en zal dan ook niet een obstakel moeten vormen voor de markt van
persoonsgegevens. Dommering 2010, p. 9.
199
CPB Policy Brief: ‘Privacyenhancing technologies (PET’s) waren er in eerste instantie vooral op gericht om
anoniem het internet te kunnen gebruiken, maar bij nieuwere PET’s gaat het om het beheer van
persoonsgegevens. Bedrijven kunnen PET’s inzetten na het verkrijgen van persoonsgegevens en zo de risico’s
van datalekken beperken, maar PET’s kunnen burgers ook rechtsreeks controle geven over welke
persoonsgegevens ze aan wie verstrekken.’ CPB Policy Brief 2014, p. 14.
200
Grootste kritiekpunt binnen de literatuur voor een dergelijk model is de ethische vraag of het wenselijk is dat
persoonsgegevens (en dan vooral gevoelige persoonsgegevens) gekapitaliseerd worden. Daarnaast wordt
afgevraagd of het koppelen van een eigendomsrecht aan persoonsgegevens de privacy van personen op den duur
kan beschermen. Vanwege nieuwe technologische ontwikkelingen is het onmogelijk te overzien of een dergelijk
systeem de privacy van app-gebruikers ook in de toekomst zal beschermen. Zie ook Helberger et al., p. 168.
201
Zie ook The World Economic Forum: ‘Personal data services provide the safe means by which an end user
can store, manage, share and gain benefit from his or her personal data. (...) Personal data services consolidate
end users’ digital identity, allowing them to control which third parties are entitled to access – along with how,
when and at what price. VRM extends this control to the realm of realising direct value – monetary or in kind –
from the personal data stored and managed by personal data services providers.’ WEF 2011, p. 30.
61
worden allen afkomstig zijn van de smartphone van een persoon. 202 Het is dan ook interessant
om na te denken over een verplicht geïmplementeerde digitale kluis op elke smartphone. Alle
gegevens die verwerkt worden moeten eerst door deze kluis alvorens zij via de app naar de
app-eigenaar verstuurd worden. Op deze manier kan de gebruiker van een app nauwkeurig
zien welke gegevens tegen betaling verzameld worden en aan welke partijen de gegevens
verstrekt worden.203 Ook kan de gebruiker van de app aangeven welke gegevens hij wil
verstrekken: ‘Zoals de gebruiker nu niet weet wat hij door zijn gedrag aan wie prijs geeft, kan
hij nu een gecalculeerd risico nemen en meer persoonsgegevens gerichter tegen betaling
prijsgeven.’204 Men moet dan denken aan het verlenen van een gebruiksrecht op de gegevens
door middel van de privacyovereenkomst vormgegeven in een technisch systeem op de
smartphone. De gebruiksvoorwaarden kunnen in verschillende (gradaties van) privacy-modelovereenkomsten worden afgesproken.205 Door een dergelijk technisch geïmplementeerd
systeem komt de controle weer bij de consument te liggen. 206 Op deze manier wordt meer
bewustzijn en transparantie gecreëerd, waardoor het principe van doelbinding beter zal
worden nageleefd.207 Het toepassen van privacy by design geeft mogelijk de oplossing.
202
Zie bijvoorbeeld ook Jaap-Henk Hoepman (wetenschappelijk directeur van het Privacy & Identity Lab, een
samenwerkingsverband tussen TNO, SIDN en de universiteiten van Nijmegen en Tilburg): 'Of gebruiken we een
soort draagbare computer, een smartphone bijvoorbeeld, als tussenstap? Daarin zou je je voorkeuren kunnen
aangeven voor wat al die slimme apparaten in je omgeving moeten en mogen doen. Dat je dus je eigen
privacycoach instelt waaraan je omgeving zich aanpast.' 'Privacy kun je beschermen door het te ontwerpen',
Decorrespondent.nl 25 maart 2011, <http://bit.ly/1KhIQU8>.
203
Zie in dit verband bijvoorbeeld het Nederlandse bedrijf Qiy: ‘Met je eigen Qiy Domein krijg jij een unieke
plaats op het internet. Jij bepaalt wie jouw gegevens mogen gebruiken.’ <https://www.qiy.nl/nl/>.
204
Dommering 2010, p. 12.
205
Zie ook CPB Policy Brief: ‘Sta een standaardcontract toe waarin doelbinding wordt vervangen door meer
algemene voorwaarden voor gebruik, zodat toestemming gegeven kan worden voor hergebruik van
gegevens.’ CPB Policy Brief 2014, p. 12.
206
Een dergelijk systeem kan mijns inziens een grote rol gaan spelen in de toekomst wanneer de economische
waarde van persoonsgegevens algemeen geaccepteerd is. Op deze manier zal dan niet alleen een gratis dienst
kunnen worden verkregen in ruil voor persoonsgegevens maar zullen mensen uitbetaald krijgen wanneer zij hun
persoonsgegevens verkopen.
207
Zie in dit verband ook Corien Prins, ‘Property and Privacy: European Perspectives and the Commodification
of our Identity’ of Lessig, ‘Privacy as a Property’: ‘If you could get people to see certain resource as property,
then you are 90 percent to your protective goal.’
62
Bron: http://datacoup.com/
7.3.
Privacy by Design (PbD)
‘Ingebouwde privacy bescherming is onmisbaar’.208 De basisgedachte van privacy by design
(hierna: PbD) gaat uit van het principe dat er in een vroeg stadium (bij de ontwikkeling van
een app) nagedacht wordt over goed gebruik van persoonsgegevens. Wanneer bij de
ontwikkeling bescherming van gegevens wordt ingebouwd, is de kans het grootst dat er ook
daadwerkelijk goed gebruik van persoonsgegevens plaatsvindt. De beginselen die aan de basis
van een PbD ontwerp met betrekking tot de rechtmatige verwerking van persoonsgegevens
ten grondslag liggen zijn toestemming, transparantie en doelbinding. Aan de hand van een
presentatie van Borking over PbD vertaalt dit zich bij de privacybescherming van de appgebruiker in een interface welke geleid wordt door een ontwerp gebasseerd op ‘de vier C’s’;
Comprehension, Consciousness, Control en Consent.209 Bij comprehension gaat het erom dat
de app-gebruiker begrijpt wie zijn persoonsgegevens verwerkt en voor welke doeleinden dit
gebeurt. Consciousness houdt in dat de app-gebruiker weet wat er met zijn persoonsgegevens
gebeurt als de bewaartermijn verloopt. Control betekent dat de app-gebruiker in staat is om de
manier waarop zijn persoonsgegevens worden verwerkt te controleren en zijn wettelijke
rechten uit te oefenen en consent betreft de vrije, uitdrukkelijke en specifieke toestemming
208
Dr. John J. Borking, Privacy-by-Design (PbD), Presentatie J.J.Borking, Het Nieuwe Privacyrecht, deLex
13‐04‐15, p. 1. Zie ook Gilbert, Dilemmas of Privacy & Surveillance: Challenges of Technological Change: ITSystemen zouden zo ontworpen moeten worden dat privacy en vertrouwen gehandhaafd blijven (vertaald).
Gilbert, Dilemmas of Privacy & Surveillance: Challenges of Technological Change, London, 2007 en moties
Nicolai en Scheltema/Wagenaar - 2e Kamer 1999: ‘De bescherming van persoonsgegevens begint bij het
ontwerpen van informatie systemen.’ Moties Nicolai en Scheltema/Wagenaar- 2e Kamer 1999 Tijdens de
behandeling van de Wbp.
209
Borking 2015, p. 43.
63
van de app-gebruiker aan de app-eigenaar om zijn (gevoelige) persoonsgegevens te
verwerken. De privacy van app-gebruikers kan niet beschermd worden tenzij consequent aan
de volgende zes beginselen worden voldaan:210
1. Het ontwerp moet uitgaan van een maximum aan privacy
2. Privacyrechtregels bepalen mede het ontwerp en het gebruik van het system
3. Privacy regels, o.a. transparantie, moeten technologisch worden afgedwongen en niet alleen in een privacy
policy vermeld worden
4. Privacy handhaving binnen het systeem moet betrouwbaar zijn (certificatie)
5. Gebruikers hebben de beschikking over eenvoudige en intuïtieve privacy symbolen (pictogrammen)
6. Privacy moet een geïntegreerd onderdeel zijn van hardware en software toepassingen
Bron: Presentatie J.J.Borking, Het Nieuwe Privacyrecht, deLex 13‐04‐15
Hoe een dergelijk systeem technisch vorm moet krijgen gaat dit onderzoek (en mijn kennis) te
boven,211 maar een goed voorbeeld is ‘Personal Blackbox’ van Project VRM onder leiding
van the Berkman Center for Internet & Society at Harvard University: ‘PBB is a technology
platform that gives you control of the data you produce every day. PBB lets you gain insights
into your own behaviors, and make money when you choose to give companies access to your
data.’212 De toegevoegde waarde van een dergelijk systeem voor de gegevensverwerking door
apps op smartphones lijkt mij duidelijk. Het probleem ligt echter in de adoptie van de PbDbeginselen. Er zal nog enige tijd nodig zijn om deze beginselen in het algemeen toe te passen
op alle systemen die persoonsgegevens verwerken, maar mijns inziens is het systeem van
gegevensverwerking door apps op smartphones goed bruikbaar om de hiervoor genoemde
beginselen te effectueren.213
210
Borking 2015, p. 61.
Hiervoor verwijs ik naar Hildebrandt, O'Hara & Waidner. Zie bijvoorbeeld ‘Part II. The need for privacy.
Chapter 5. Personsal Data Ecosystem (PDE) A privacy by design aproach to an individuals persuit of radical
control’ en ‘Part III. Architecures for PDMs and PDEs.’
212
http://pbb.me/, Zie voor voorbeelden van en onderzoeken naar dergelijke systemen bijvoorbeeld: Project
VRM, <http://bit.ly/1Kv7wvD>; A decentralized architecture for consolidating personal information
ecosystems: The WebBox <http://bit.ly/1eqbWqd>, of The Personal Data Store Approach to Personal Data
Security <http://bit.ly/1PHQVIm>.
213
Zie ook A.R. Lodder: ‘Het uiteindelijke doel is het beschermen van de menselijke waardigheid, daarbij kan de
inbedding van de concepten digital personea en profiles binnen het recht zeker helpen. (…) De focus dient
daarbij niet alleen op regulering te liggen, maar nadrukkelijk moet ook gekeken worden naar de praktische
uitvoerbaarheid.’ Lodder 2014, p. 313.
211
64
Bron: http://blogs.law.harvard.edu/vrm/
Om de privacy van de app-gebruiker te kunnen waarborgen moet deze mogelijkheid
ingebouwd worden op elke smartphone die op de Europese markt (en uiteindelijk universeel)
verkocht wordt.214 Dit is ook in lijn met het advies van Werkgroep 29 over apps op
intelligente apparaten.215 In de aanbeveling wordt (onder andere) aangegeven dat fabrikanten
van besturingssystemen en apparaten:216
-
hun API’s, opslagnormen en gebruikersinterfaces moeten bijwerken om gebruikers
voldoende mogelijkheden te bieden om geldige toestemming te kunnen geven voor de
verwerking van gegevens door apps;
-
procedures voor het verkrijgen van toestemming moeten inbouwen in hun
besturingssysteem, welke geactiveerd worden wanneer de app voor het eerst wordt
geopend of wanneer de app voor het eerst toegang probeert te krijgen tot een categorie
gegevens die belangrijke gevolgen voor de privacy kan hebben;
-
gebruik moeten maken van “ingebouwde privacy”-beginselen om te voorkomen dat de
gebruiker heimelijk wordt gevolgd;
-
gebruiksvriendelijke, doeltreffende hulpmiddelen bieden om te voorkomen dat de
gebruiker gevolgd wordt door adverteerders of andere derden, waarbij de
standaardinstellingen gericht moeten zijn op het voorkomen van tracking;
214
Zie ook bijvoorbeeld Hildebrandt: ‘What we need is an intelligent interplay between technological design and
legal regulation, with a keen eye to market forces and business models as they will fit in with such design and
regulation.’ Hildebrandt, p. 325.
215
Werkgroep 29, Advies 02/2013 over apps op intelligente apparaten, 00461/13/NL WP 202.
216
Werkgroep 29, Advies 02/2013, p. 28.
65
-
ervoor moeten zorgen dat de toegang tot iedere categorie gegevens wordt weergeven
in de informatie aan de gebruiker voordat de app wordt geïnstalleerd, waarbij de
weergegeven categorieën duidelijk en begrijpelijk moeten zijn.
Daarnaast adviseert de werkgroep de fabrikanten van besturingssystemen en apparaten ervoor
te zorgen dat de methoden en functies die toegang bieden tot persoonsgegevens de
mogelijkheid bieden tot verwerking van verzoeken om gespecificeerde toestemming. Ook
adviseert zij fabrikanten actief iconen te helpen ontwikkelen en beschikbaar te stellen, die
gebruikers wijzen op het gebruik van hun gegevens door apps en duidelijke logbestanden te
ontwikkelen waarmee eindgebruikers een goed inzicht kunnen krijgen in de apps die toegang
hebben verkregen tot de gegevens op hun apparaat en de hoeveelheid uitgaand verkeer per
app in verhouding tot het door de gebruiker geïnitieerde verkeer.217
Wanneer de hierboven genoemde PbD-beginselen bij de gegevensverwerking door apps op
smartphones worden toegepast en middels de privacyovereenkomst kunnen worden
afgedwongen zullen de privacyrechtelijke beginselen opgenomen in de AVG – een geldige
rechtsgrondslag, transparantie en doelbinding – gewaarborgd worden.218 De geldige grondslag
is uitdrukkelijke toestemming (vrije, specifieke, op informatie berustende en uitdrukkelijke
wilsuiting).219 Mijns inziens kan een dergelijke uitdrukkelijke toestemming alleen
gerealiseerd worden wanneer de app-gebruiker via een eerder beschreven technisch systeem
expliciet toestemming geeft voor de verwerking van (bepaalde) persoonsgegevens. 220 Ook zal
aan het doelbindings-principe, opgenomen in art. 6 sub b AVG, worden voldaan omdat de
app-gebruiker via de privacyovereenkomst zelf bepaalt voor welke (expliciet in de
217
Werkgroep 29, Advies 02/2013, p. 28. Zie in dit verband bijvoorbeeld ook Kamala D. Harris, Privacy on the
go. Recommendations for the mobile ecosystem.: ‘Operating System Developers: Work with device
manufacturers and mobile carriers on setting cross-platform standards for privacy controls, means of enabling
the delivery of special privacy notices, and privacy icons. Develop global privacy settings and overrides that
users can use to set controls for personally identifiable data, features or hardware configurations that can be
accessed by apps.’ Kamala D. Harris, Attorney General California Department of Justice, Privacy on the go
recommendations for the mobile ecosystem, p.16.
218
Zie ook CPB Policy Brief: ‘Het voordeel van PET’s is dat ze de kans op moreel gevaar beperken, zodat
burgers meer zekerheid hebben als ze hun gegevens delen. Bedrijven kunnen bovendien meer vertrouwen op de
juistheid van die gegevens (Acquisti, 2008). Een bijkomend voordeel van PET’s is dat ze de transactiekosten van
privacyovereenkomsten sterk kunnen verlagen.’ CPB Policy Brief, p. 14.
219
Art. 4 (8) AVG.
220
Zie ook de Opinie WG29 inzake apps: ‘De verstrekking van deze informatie over gegevensverwerking is
essentieel om toestemming te krijgen van de gebruiker voor de verwerking van de gegevens. De toestemming
kan alleen geldig zijn als de betrokkene eerst is geïnformeerd over de belangrijkste aspecten van de
gegevensverwerking. Het verstrekken van deze informatie nadat de app al is begonnen persoonsgegevens te
verwerken (vaak al tijdens de installatie) kan niet als toereikend worden beschouwd en is derhalve niet
rechtsgeldig. Werkgroep 29, Advies 02/2013, p. 21.
66
privacyovereenkomst opgenomen) doeleinden de gegevensverwerking mag plaats vinden.221
Voorts zal ook het transparantie-beginsel beter worden nageleefd aangezien het via een
dergelijk systeem overzichtelijk en controleerbaar is welke gegevens door wie verwerkt
worden en de app-eigenaar op grond de AVG als alsmede het Burgerlijk Wetboek in
begrijpelijke vorm (duidelijke en eenvoudige, aan de betrokkene aangepaste taal) aan alle
informatieplichten moeten voldoen. Door de toevoeging van informatieplichten uit het
Burgerlijk Wetboek wordt het een stuk duidelijker (transparanter) voor de app-gebruiker dat
er persoonsgegevens verwerkt worden (de prijs) in ruil voor de app, en belangrijker, welke
persoonsgegevens er verwerkt gaan worden. Wanneer niet aan deze beginselen wordt voldaan
kan de app-gebruiker de privacyovereenkomst ontbinden, vernietigen of nietig laten
verklaren.
Verplicht geïmplementeerde privacyenhancing technologies op smartphones dragen bij aan
het waarborgen van de in de AVG opgenomen beginselen. Wanneer een dergelijk systeem
met als basis de PbD-beginselen op elke smartphone wordt geïmplementeerd krijgt de appgebruiker controle over zijn of haar eigen gegevens, ontstaat er meer bewustzijn en zodoende
ook meer transparantie. Daarnaast moet er een economisch model voor de markt van
persoonsgegevens ontwikkeld worden welke gericht is op de app-gebruiker. In een dergelijk
model is toestemming niet meer een van de gronden voor de rechtmatige verwerking van
persoonsgegevens maar dient er altijd toestemming gegeven te worden. Alleen op deze
manier is het mijns inziens mogelijk de fundamentele grondrechten en privacyrechtelijke
beginselen inzake de gegevensverwerking te waarborgen.
221
Zie ook de Opinie WG29 inzake apps: Met betrekking tot het (de) beoogde doel(einden) moeten
eindgebruikers op gepaste wijze worden geïnformeerd over de persoonsgegevens die worden verzameld en
waarom. Gebruikers moeten er ook in duidelijke, begrijpelijke bewoordingen op worden gewezen of de
gegevens door andere partijen opnieuw kunnen worden gebruikt, en zo ja, voor welke doeleinden. Werkgroep
29, Advies 02/2013, p. 21.
67
Bijlage I
Federal Trade Commission, May 2014, ‘Data Brokers - A Call for Transparency and
Accountability’222
Identifying Data: • Name • Previously Used Names • Address • Address History • Longitude
and Latitude • Phone Numbers • Email Address
Sensitive Identifying Data: • Social Security Number • Driver’s License Number • Birth
Date • Birth Dates of Each Child in Household • Birth Date of Family Members in Household
Demographic Data: • Age • Height • Weight • Gender • Race & Ethnicity • Country of
Origin • Religion (by Surname at the Household Level) • Language • Marital Status •
Presence of Elderly Parent • Presence of Children in Household • Education Level •
Occupation • Family Ties • Demographic Characteristics of Family Members in Household •
Number of Surnames in Household • Veteran in Household • Grandparent in House • Spanish
Speaker • Foreign Language Household (e.g., Russian, Hindi, Tagalog, Cantonese) •
Households with a Householder who is Hispanic Origin or Latino • Employed - White Collar
Occupation • Employed - Blue Collar Occupation • Work at Home Flag • Length of
Residence • Household Size • Congressional District • Single Parent with Children • Ethnic
and Religious Affiliations
Court and Public Record Data: • Bankruptcies • Criminal Offenses and Convictions •
Judgments • Liens • Marriage Licenses • State Licenses and Registrations (e.g., Hunting,
Fishing, Professional) • Voting Registration and Party Identification
Social Media and Technology Data: • Electronics Purchases • Friend Connections • Internet
Connection Type B-3Federal Trade Commission • Internet Provider • Level of Usage • Heavy
Facebook User • Heavy Twitter User • Twitter User with 250+ Friends • Is a Member of over
5 Social Networks • Online Influence • Operating System • Software Purchases • Type of
Media Posted • Uploaded Pictures • Use of Long Distance Calling Services • Presence of
Computer Owner • Use of Mobile Devices • Social Media and Internet Accounts including:
Digg, Facebook, Flickr, Flixster, Friendster, hi5, Hotmail, LinkedIn, Live Journal, MySpace,
Twitter, Amazon, Bebo, CafeMom, DailyMotion, Match, myYearbook, NBA.com, Pandora,
Photobucket, WordPress, and Yahoo
Home and Neighborhood Data: • Census Tract Data • Address Coded as
Public/Government Housing • Dwelling Type • Heating and Cooling • Home Equity • Home
Loan Amount and Interest Rate • Home Size • Lender Type • Length of Residence • Listing
Price • Market Value • Move Date • Neighborhood Criminal, Demographic, and Business
Data • Number of Baths • Number of Rooms • Number of Units • Presence of Fireplace •
Presence of Garage • Presence of Home Pool • Rent Price • Type of Owner • Type of Roof •
Year Built
222
http://www.ftc.gov/system/files/documents/reports/data-brokers-call-transparency-accountability-reportfederal-trade-commission-may-2014/140527databrokerreport.pdf
68
General Interest Data: • Apparel Preferences • Attendance at Sporting Events • Charitable
Giving • Gambling - Casinos • Gambling - State Lotteries • Thrifty Elders • Life Events (e.g.,
Retirement, Newlywed, Expectant Parent) • Magazine and Catalog Subscriptions • Media
Channels Used • Participation in Outdoor Activities (e.g., Golf, Motorcycling, Skiing,
Camping) • Participation in Sweepstakes or Contests • Pets • Dog Owner • Political Leanings
• Assimilation Code • Preferred Celebrities • Preferred Movie Genres • Preferred Music
Genres • Reading and Listening Preferences • Donor (e.g., Religious, Political, Health
Causes) • Financial Newsletter Subscriber • Upscale Retail Card Holder • Affluent Baby
Boomer • Working-Class Moms • Working Woman • African-American Professional •
Membership Clubs - Self-Help B-4Data Brokers: A Call for Transparency and Accountability
• Membership Clubs - Wines • Exercise - Sporty Living • Winter Activity Enthusiast •
Participant - Motorcycling • Outdoor/Hunting & Shooting • Biker/Hell’s Angels • Santa
Fe/Native American Lifestyle • New Age/Organic Lifestyle • Is a Member of over 5 Shopping
Sites • Media Channel Usage - Daytime TV • Bible Lifestyle • Leans Left • Political
Conservative • Political Liberal • Activism & Social Issues
Financial Data: • Ability to Afford Products • Credit Card User • Presence of Gold or
Platinum Card • Credit Worthiness • Recent Mortgage Borrower • Pennywise Mortgagee •
Financially Challenged • Owns Stocks or Bonds • Investment Interests • Discretionary Income
Level • Credit Active • Credit Relationship with Financial or Loan Company • Credit
Relationship with Low-End Standalone Department Store • Number of Investment Properties
Owned • Estimated Income • Life Insurance • Loans • Net Worth Indicator • Underbanked
Indicator • Tax Return Transcripts • Type of Credit Cards
Vehicle Data: • Brand Preferences • Insurance Renewal • Make & Model • Vehicles Owned •
Vehicle Identification Numbers • Vehicle Value Index • Propensity to Purchase a New or
Used Vehicle • Propensity to Purchase a Particular Vehicle Type (e.g., SUV, Coupe, Sedan) •
Motor Cycle Owner (e.g., Harley, Off-Road Trail Bike) • Motor Cycle Purchased 0-6 Months
Ago • Boat Owner • Purchase Date • Purchase Information • Intend to Purchase - Vehicle
Travel Data: • Read Books or Magazines About Travel • Travel Purchase - Highest Price
Paid • Date of Last Travel Purchase • Air Services - Frequent Flyer • Vacation Property •
Vacation Type (e.g., Casino, Time Share, Cruises, RV) • Cruises Booked • Preferred Vacation
Destination • Preferred Airline
Purchase Behavior Data: • Amount Spent on Goods • Buying Activity • Method of Payment
• Number of Orders • Buying Channel Preference (e.g., Internet, Mail, Phone) B-5Federal
Trade Commission • Types of Purchases • Military Memorabilia/Weaponry • Shooting Games
• Guns and Ammunition • Christian Religious Products • Jewish Holidays/Judaica Gifts •
Kwanzaa/African-Americana Gifts • Type of Entertainment Purchased • Type of Food
Purchased • Average Days Between Orders • Last Online Order Date • Last Offline Order
Date • Online Orders $500-$999.99 Range • Offline Orders $1000+ Range • Number of
Orders - Low-Scale Catalogs • Number of Orders - High-Scale Catalogs • Retail Purchases Most Frequent Category • Mail Order Responder - Insurance • Mailability Score • Dollars -
69
Apparel - Women’s Plus Sizes • Dollars - Apparel - Men’s Big & Tall • Books - Mind &
Body/Self-Help • Internet Shopper • Novelty Elvis
Health Data: • Ailment and Prescription Online Search Propensity • Propensity to Order
Prescriptions by Mail • Smoker in Household • Tobacco Usage • Over the Counter Drug
Purchases • Geriatric Supplies • Use of Corrective Lenses or Contacts • Allergy Sufferer •
Have Individual Health Insurance Plan • Buy Disability Insurance • Buy Supplemental to
Medicare/Medicaid Individual Insurance • Brand Name Medicine Preference • Magazines Health • Weight Loss & Supplements • Purchase History or Reported Interest in Health
Topics including: Allergies, Arthritis, Medicine Preferences, Cholesterol, Diabetes, Dieting,
Body Shaping, Alternative Medicine, Beauty/Physical Enhancement, Disabilities,
Homeopathic Remedies, Organic Focus, Orthopedics, and Senior Needs
70
Bijlage II
71
Literatuurlijst
(2009/2224(INI))
Internet of Things European Parliament resolution of 15 June 2010 on the Internet of Things
(2009/2224(INI)).
Appnation 2013
Appnation, State of the App Economy, juli 2013.
Asser/Hartkamp & Sieburgh 6-III 2014
A.S. Hartkamp, & C.H. Sieburgh, Mr. C. Assers Handleiding tot de beoefening van het
Nederlands burgerlijk recht. Deel 6. Verbintenissenrecht. Deel III. Verbintenissenrecht,
Deventer: Kluwer 2014.
Asser/Hijma 7-I* 2013/489
Prof. mr. Jac. Hijma, Asser 7-I* Koop en ruil, 489 Ontbindingsfiguren. Asser/Hijma 7-I*
2013/489.
Asser/Hijma 7-I* 2013/8
Prof. mr. Jac. Hijma, Asser/Hijma 7-I* 2013/8.
Blei Weissmann
Y.G. Blei Weissmann, GS Verbintenissenrecht, art: 6:227c BW.
Blok
P. Blok, Het recht op privacy. Een onderzoek naar de betekenis van het begrip ‘privacy’ in
het Nederlands en Amerikaanse recht (diss. Tilburg), Den Haag: Boom Juridische uitgevers
2002.
Borking 2015
Dr. John J. Borking, ‘Privacy-by-Design (PbD)’, Presentatie J.J.Borking, Het Nieuwe
Privacyrecht, deLex 13‐04‐15.
Considerati 2014
Considerati, Analyse privacyvoorwaarden Apps in opdracht van de Consumentenbond, juli
2014
CPB Policy Brief 2014
CPB Policy Brief, ‘Kiezen voor privacy. Hoe de markt voor persoonsgegevens beter kan’,
mei 2014
CPB Policy Brief 2014
CPB Policy Brief, ‘Kiezen voor privacy. Hoe de markt voor persoonsgegevens beter kan’,
mei 2014.
72
Deloitte Review 2013
Deloitte Review, William D. Eggers, R. Hamill & A. Ali, Data as the new currency (juli
2013).
Dommering 2010
E.J. Dommering, ‘Recht op persoonsgegevens als zelfbeschikkingsrecht’, in: C. Prins et al.,
16 Miljoen BN’ers. Bescherming van persoonsgegevens in het digitale tijdperk, Leiden:
Stichting NJCM-Boekerij 2010, p. 83-98.
FTC Data Brokers 2014
Federal Trade Commission, Data Brokers, A Call for Transparency and Accountability, mei
2014.
FTC Staff Report 2013
Federal Trade Commission Staff Report, Mobile Privacy Disclosures. Building Trust Through
Transparency, februari 2013.
Gates & Matthews 2014
Carrie Gates & Peter Matthews, ‘Data Is the New Currency’, ACM New York, NY, USA
2014.
Gutwirth 2006
P. de Hert & S. Gutwirth, ‘Privacy, data protection and law enforcement. Opacity of the
individual and transparency of power’ in E. Claes, A. Duff & S. Gutwirth (eds..), Privacy and
the criminal law, Antwerp/Oxford, Intersentia, 2006, 61-104.
Hartkamp & Sieburgh
A. S. Hartkamp & C. H. Sieburgh, Verbintenissenrecht: Algemeen overeenkomstenrecht,
Deventer: Kluwer 2008.
Helberger et al.
N. Helberger, L. Guibault, C. Mak, L. Pessers, B. van der Sloot & M.B.M. Loos, Digital
Consumers and the Law – Towards a Cohesive European Framework, Alphen aan den Rijn:
Kluwer Law International 2012.
Hijma & Olthof
Jac. Hijma en M.M. Olthof, Compendium van het Nederlands vermogensrecht, Deventer:
Kluwer 2005.
Hijma et al.
Jac. Hijma, C.C. van Dam, W.A.M. van Schendel & W.L. Valk, Rechtshandeling en
Overeenkomst, Deventer: Kluwer 2007.
Hildebrandt
M. Hildebrandt, Profiling and the Identity of the European Citizen, in M. Hildebrandt,
Profiling the European citizen, Houten: Springer 2008.
73
Hildebrandt, O'Hara & Waidner
M. Hildebrandt, K. O'Hara & M. Waidner, Digital Enlightenment Yearbook 2013: The Value
of Personal Data, Amsterdam: IOS Press 2013.
Hovast 2012
J. Hovast, ‘Recht doen aan privacyverklaringen’, P&I 2012, afl. 6, p. 285-286 (bespreking
van: E.W. Verhelst, Recht doen aan Privacyverklaringen. Een juridische analyse van
privacyverklaringen op internet, Serie Recht en Praktijk / Informatie- en
communicatietechnologie, Deventer: Kluwer 2012).
Hoving 2009
E. Hoving, ‘De privacyverklaring als overeenkomst: een brug te ver?’, P&I 2009, afl. 3, p.
127-131.
KPCB 2014
Kleiner Perkins Caufield & Byers, KPCB Internet trends 2014, mei 2014.
Lanier 2013
Jaron Lanier, How Should We Think about Privacy? Scientific American 309, 64 - 71 (2013).
Lodder 2013
Lodder, ‘Fascinerend, fascinerender..,the smart grid!’, Tijdschrift voor Internetrecht 2013, Nr.
2, p. 35.
Lodder 2014
A.R. Lodder, ‘Arnold Roosendaal, Digital Personae and Profiles in Law. Protecting
Individuals’ Rights in Online Contexts’, Rechtsgeleerd Magazijn THEMIS 2014, afl. 6, p.
309-313 (bespreking van Arnold Roosendaal, Digital Personae and Profiles in Law.
Protecting Individuals’ Rights in Online Contexts, (diss. Tilburg), Oisterwijk: Wolf Legal
Publishers 2013).
Loos 2012
M.B.M. Loos, ‘Overeenkomsten tot levering van digitale inhoud’, NTBR 2012/81, p. 591-594.
Loos 2015
M.B.M. Loos, ‘Consumentenovereenkomsten tot levering van digitale inhoud na de
implementatie van de Richtlijn consumentenrechten.’, Mediaforum 2015, afl. 3, p. 94-102.
Nielsen 2014
Nielsen, Smartphones: So Many Apps, So Much Time, juli 2014.
Preliminary Opinion of the European Data Protection Supervisor 2014
Preliminary Opinion of the European Data Protection Supervisor , Privacy and
competitiveness in the age of big data, maart 2014.
Rank-Berenschot
E.B. Rank-Berenschot, GS Verbintenissenrecht, artikel 112 Boek 6 BW.
74
Rank
E.B. Rank, T&C Burgerlijk Wetboek, commentaar op art. 6:112 BW.
Schaub 2014
M.Y. Schaub, ‘De informatieplichten van de dienstenrichtlijn (art. 6:230a-f BW)’, TvC 2014.
SecureWorks 2013
Dell SecureWorks, The Underground Hacking Economy is Alive and Well', november 2013.
Van der Sloot 2010
B. van der Sloot, ‘De privacyverklaring als onderdeel van een wederkerige overeenkomst.’
P&I 2010, Afl. 3, p. 106-109.
Van der Sloot 2012
B. van der Sloot, ‘Persoonsgegevens als hedendaags Kantharos’, Mediaforum 2012, Afl. 5, p.
153.
Van der Sloot 2014
B. van der Sloot, ‘De noodzaak om privacy als publiek belang te herformuleren.’ Christen
Democratische Verkenningen, Herfst 2014, p. 125-132.
Verhelst
E.W. Verhelst, Recht doen aan Privacyverklaringen. Een juridische analyse van
privacyverklaringen op internet, Serie Recht en Praktijk / Informatie- en
communicatietechnologie, Deventer: Kluwer 2012.
VisionMobile 2015
VisionMobile, European App Economy 2015, februari 2015.
VisionMobile 2013
VisionMobile, App Economy Forecasts 2013-2016, juli 2013.
VisionMobile & Plum Consulting 2013
VisionMobile and Plum Consulting, The European App Economy: Creating jobs and driven
growth, september 2013.
Werkgroep 29, Advies 02/2013
Werkgroep 29, Advies 02/2013 over apps op intelligente apparaten, 00461/13/NL WP 202
Wisman & Lodder 2010
T.H.M. Wisman & A.R. Lodder, 'Hoeveel ruimte is er voor privacy in het internet der dingen',
Tijdschrift voor Internetrecht, 6 december 2010.
WEF 2011
World Economic Forum, Personal Data: The Emergence of a New Asset Class, januari 2011.
75
Bronnenlijst
Regelgeving
Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende
de bescherming van natuurlijke personen in verband met de verwerking van
persoonsgegevens en betreffende het vrije verkeer van die gegevens.
Wet van 6 juli 2000, houdende regels inzake de bescherming van persoonsgegevens (Wet
bescherming persoonsgegevens).
Richtlijn 2006/123/EG van het Europees Parlement en de Raad van 12 december 2006
betreffende diensten op de interne markt.
Richtlijn 2011/83/EU van 25 oktober 2011betreffende consumentenrechten, tot wijziging van
Richtlijn 93/13/EEG en van Richtlijn 1999/44/EG en tot intrekking van Richtlijn 85/577/EEG
en van Richtlijn 97/7/EG.
Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de
bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens
en betreffende het vrije verkeer van die gegevens (Algemene verordening
gegevensbescherming), Brussel, 25.1.2012, COM(2012) 11 final.
Kamerstukken
Kamerstukken II 2001/02, 28 197, nr. 3
Kamerstukken I 2003/04, 28197, C
Kamerstukken II 2012/13, 33 520, nr. 3
Jurisprudentie
Hoge Raad 27 april 2012, ECLI:NL:HR:2012:BV1301 (De Beeldbrigade/Hulskamp).
Rechtbank Overijssel 14 mei 2014, ECLI:NL:RBOVE:2014:2667 (Bitcoin-levering).
HvJ EU 11 september 2014, IT 1597, C-291/13 (Sotiris Papasavvas/Philinews.com).
76