Onder de titel ‘Klant in het web’ heeft de Registratiekamer op 26 juni de bevindingen gepubliceerd van een onderzoek naar de manier waarop Internet-providers omgaan met de persoonsgegevens van hun abonnees.
Dat onderzoek kwam er naar aanleiding van een reclamecampagne van XS4ALL, eind vorig jaar, waarin deze provider suggereerde dat gratis aanbieders geld verdienen aan de persoonsgegevens van hun klanten. Daarop verzocht de Consumentenbond de Registratiekamer om de zaak te onderzoeken, en nu is er dus het onderzoeksrapport. De conclusies liegen er niet om: ‘de bescherming van persoonsgegevens door providers schiet in aanzienlijke mate tekort’. De Consumentenbond heeft in het rapport aanleiding gezien om van de aanbieders te eisen dat zij binnen drie maanden iedere abonnee persoonlijk informeren over gebruik van zijn of haar persoonsgegevens. Voldoen de aanbieders niet aan die eis, dan komen ze op een zwarte lijst.
Is het nu echt zo erg? Misschien wel, maar een enkele kritische kanttekening is toch wel op zijn plaats. Misschien niet eens zozeer bij het rapport, als wel bij de wettelijke regels waaraan de Registratiekamer de aanbieders heeft getoetst. Een van de conclusies van de Registratiekamer is dat de aanbieders zich van die regels niet altijd bewust zijn. Mijn ervaring is een andere. Aanbieders zijn zich van de regels wel bewust, maar vinden ze ingewikkeld, vaag, en soms tegenstrijdig.
Laat ik als voorbeeld de zogenaamde verkeersgegevens nemen. Een belangrijk deel van het rapport gaat over die categorie van gegevens. Om de discussie over verkeersgegevens te kunnen begrijpen, eerst iets over de manier waarop privacybescherming wettelijk is geregeld. In de eerste plaats zijn er internationale verdragen die de bescherming van de persoonlijke levenssfeer regelen. Daarnaast is in de grondwet een privacybepaling opgenomen. Vervolgens hebben we een algemene privacywet (nu de Wet persoonsregistraties, straks naar aanleiding van een Europese richtlijn de Wet bescherming persoonsgegevens). En tenslotte kent een groot aantal wetten specifieke privacybepalingen. Daarbij valt te denken aan sociale zekerheidswetten, wetten over medische behandelingen, en aan de Telecommunicatiewet.
Die Telecomwet kent een specifieke regeling over verkeersgegevens die strenger is dan de algemene regeling in de Wet bescherming persoonsgegevens. Als de door de aanbieders verwerkte gegevens verkeersgegevens zijn, moeten zij zich voor die gegevens dus houden aan de strengere Telecomwet-regels. Maar welke gegevens zijn verkeersgegevens? De Registratiekamer merkt op dat daarover bij de aanbieders onduidelijkheid bestaat. Als dat zo is, dan is dat terecht. Op grond van de Telecomwet moet er een algemene maatregel van bestuur komen, die bepaalt voor welke verkeersgegevens het regime van de wet geldt. En die maatregel van bestuur is er gewoonweg nog niet. Een aanbieder kán dus niet weten of hij in strijd handelt met de regeling van de Telecomwet. Niettemin verwijt de Registratiekamer de aanbieders in een van de conclusies dat zij verkeersgegevens onrechtmatig verwerken. Dat verwijt is dus niet juist – voor zover het gebaseerd is op de Telecommunicatiewet.
De bijzondere regeling van deze wet houdt in dat verkeersgegevens bij beëindiging van iedere oproep (wat is trouwens een oproep bij een kabelabonnement?) moeten worden verwijderd of geanonimiseerd. Op die verplichting kent de Telecomwet een beperkt aantal uitzonderingen. Gegevens mogen bijvoorbeeld worden bewaard om de rekening op te maken of om fraude op te sporen. Ook mogen de gegevens worden bewaard om de klant te benaderen met verkoopinformatie over de eigen diensten van de aanbieder. De klant moet daarmee wel hebben ingestemd. De Telecomwet noemt toestemming van de abonnee niet als uitzondering op de verplichting om te verwijderen of te anonimiseren. Dat is een opmerkelijke beperking van het zelfbeschikkingsrecht van de burger: die mag van de wetgever kennelijk geen toestemming geven voor bepaald gebruik van ‘zijn’ gegevens. Op zichzelf komt zo’n beperking in de wet wel vaker voor, maar dan gaat het steeds om gevoelige gegevens, zoals strafrechtelijke of medische persoonsgegevens. De beperking is des te opmerkelijker nu de abonnee zijn toestemming wel kan geven voor andere dan verkeersgegevens, zelfs wanneer die gegevens veel gevoeliger zijn dan verkeersgegevens. Een aan aanbieders moeilijk uit te leggen resultaat.
Maar het is nog ingewikkelder. De Telecomwet zegt dat verkeersgegevens niet verwijderd of geanonimiseerd hoeven te worden als verwerking op grond van een andere wet is toegestaan. En de Wet bescherming persoonsgegevens, een andere wet, bepaalt dat verwerking van persoonsgegevens onder meer is toegestaan met toestemming van de betrokkene. Welke wet gaat nu voor? De Telecomwet, omdat die specifieker is? Of de Wet bescherming persoonsgegevens, omdat die recenter is? De aanbieder die het weet, mag het zeggen.
Het voorbeeld van de verkeersgegevens geeft aan dat de regelgeving ingewikkeld en onduidelijk is. Op zichzelf natuurlijk nog geen reden om de wet te overtreden. Maar het betekent wel dat concreet advies en overleg meer zin heeft dan een opgeheven vinger of zwarte lijst. In dat verband kunnen de spelregels die de Registratiekamer in het rapport gelukkig ook heeft geformuleerd in de toekomst nuttige diensten bewijzen.
Joost Linnemann is advocaat bij Kennedy van der Laan in Amsterdam en behartigt de IT-belangen en het elektronisch zakendoen van grote multinationals.