- Lynn Pype
- Internet Service Provider , browsergeschiedenis , verwerking , toestemming , gevoelige persoonsgegevens
Analyse
Internet Service Providers in de VS hebben de toelating om de browsergeschiedenis van hun
gebruikers te verkopen, terwijl dit in Europa slechts mogelijk is met hun expliciete,
uitdrukkelijke en geïnformeerde toestemming.
1. Afschaffing van de privacy regels in de VS
Op 28 maart 2017 werd in het Amerikaanse Congres het voorstel goedgekeurd dat Internet Service
Providers toelaat om de browsergeschiedenis van hun gebruikers te verkopen, zonder dat zij hiervoor
de toestemming van hun gebruikers nodig hebben. De Amerikaanse Senaat heeft het voorstel eveneens
goedgekeurd.
De browsergeschiedenis is voor bedrijven een schatkist aan informatie. Het vertelt wat u denkt,
waarnaar u opzoek bent, wat u leuk vindt. Het bevat ook gevoelige informatie, het kan immers
aanwijzingen geven naar uw politieke voorkeur, naar uw gezondheid of naar uw levensbeschouwelijke
overtuiging. Het spreekt dan ook voor zich dat deze informatie voor bedrijven zeer waardevol is,
maar uiteraard is die informatie hun zaken niet.
In oktober 2016, onder president Obama, had de Federal Communications Commission (FCC) nog regels
aangenomen die de privacy van consumenten beschermt. In deze regels erkent de FCC dat browser
geschiedenis gevoelige informatie is, en wordt aan consumenten de keuze gegeven om dit al dan niet
te delen.
Het is weinig verbazend dat onder president Trump deze regels afgeschaft worden, en dat Internet
Service Providers zoals AT&T of Verizon vrij spel hebben met de browser geschiedenis van hun
gebruikers. Het maakt hierbij niet veel uit welke browser de consument gebruikt. Google Chrome
bijvoorbeeld bevat de mogelijkheid om “onzichtbaar” te surfen, maar dit bekent louter dat de
gebruiker onzichtbaar is voor de websites die bezocht worden. Voor de internet service providers is
het bezoek wel zichtbaar. Een mogelijkheid om hieraan te ontsnappen is een degelijke VPN
verbinding. Maar ook dit biedt geen volledige garantie.
Het is een positief signaal dat er ook Amerikaanse (kleinere) Internet Service Providers bestaan,
die reeds aangekondigd hebben dat ze deze informatie niet zullen verkopen zonder de toestemming van
de gebruiker.
2. En in Europa ?
Wat is de situatie in Europa ? Het is ondertussen geen nieuws meer dat de Algemene Verordening Gegevensbescherming (AVG) van kracht is geworden, die op 25 mei 2018 in werking treedt. Deze Verordening herhaalt in grote mate de regels op basis waarvan persoonsgegevens verwerkt en verzameld kunnen worden.
2.1 Rechtmatigheid van de verwerking
Eerst en vooral bepaalt artikel 6 de voorwaarden voor de rechtmatigheid van de verwerking van
persoonsgegevens. De Internet Service Provider kan overgaan tot verwerking op basis van de
toestemming van de betrokkene, ofwel op basis van een gerechtvaardigd belang. Dit laatste is
natuurlijk voor interpretatie vatbaar.
De Werkgroep 29 heeft in 2014 een opinie geschreven over hoe dit gerechtvaardigd belang moet
uitgelegd worden. Het moet wettelijk zijn, het moet duidelijk beschreven worden opdat het mogelijk
is om de fundamentele rechten van de betrokkene ertegen te af te wegen, en het moet reëel en
actueel zijn. De Werkgroep 29 verduidelijkt dat het gerechtvaardigd belang kan ingeroepen worden
voor marketing doeleinden, aangezien het de verantwoordelijke voor de verwerking toelaat om haar
klanten beter te leren kennen en in te spelen op de wensen van haar klanten. De Werkgroep 29 voegt
hier onmiddellijk aan toe dat het gerechtvaardigd belang absoluut niet toelaat dat de
verantwoordelijke het gedrag van haar klanten bovenmatig gaat monitoren, dit gaan verhandelen, of
aan complexe profilering van hun klanten doen.
Dit geeft aan dat het gerechtvaardigd belang niet als rechtvaardigingsgrond zal kunnen dienen voor
Internet Service Providers om de browser geschiedenis van hun gebruikers te verkopen aan
derden.
2.2 Strikte bepalingen in verband met gevoelige persoonsgegevens
Verder bepaalt artikel 9 van de AVG dat het verboden is om persoonsgegevens waaruit etnische
afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van
vakbonden blijken te verwerken. Het is eveneens verboden om genetische gegevens, biometrische
gegevens of gegevens met betrekking tot de gezondheid of met betrekking tot iemands seksuele
geaardheid te verzamelen.
Het gerechtvaardigd belang voor de verwerking speelt hier geen rol. De enige uitzondering die
hierop bestaat, en die voor Internet Service Providers zou kunnen gebruikt worden is de
uitdrukkelijke toestemming van de betrokkene. De AVG voorziet echter de mogelijkheid voor de
lidstaten om de toestemming als rechtvaardigingsgrond voor deze verwerking op te heffen. Zodra een
lidstaat hiervan gebruik maakt, zal het voor Internet Service Providers in principe onmogelijk zijn
om browser geschiedenis van hun gebruikers te verkopen. De overige rechtvaardigingsgronden zoals de
noodzakelijkheid van de verwerking voor de bescherming van de vitale belangen van de betrokkene, of
de noodzakelijkheid voor de uitvoering van verplichtingen van de Internet Service Providers zullen
niet kunnen toegepast worden.
De toestemming moet blijken uit een duidelijke actieve handeling en mag niet impliciet zijn
2.3 Toestemming
Artikel 7 AVG bepaalt de voorwaarden waaraan de toestemming van de betrokkene moet voldoen. De
toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Bovendien moet de
toestemming blijken uit een duidelijke actieve handeling. De toestemming mag niet impliciet zijn.
Tenslotte moet de toestemming even eenvoudig zijn als het geven ervan. De betrokkene heeft het
recht om zijn toestemming op elk moment in te trekken, en moet hiervan voldoende geïnformeerd
worden.
Concreet toegepast op Internet Service Providers betekent dit dat zij hun gebruikers duidelijk en
helder moeten informeren van het feit dat zij de browser geschiedenis verwerken en verkopen aan
derden. Dit kan niet begraven worden in de algemene voorwaarden, maar moet op begrijpelijke en
gemakkelijk toegankelijke vorm gepresenteerd worden, opdat hiervoor de toestemming van de
gebruikers gevraagd kan worden.
3. Besluit
Internet Service Providers op de Europese markt kunnen niet zonder de expliciete, uitdrukkelijke en geïnformeerde toestemming van hun gebruikers de internet browser geschiedenis delen met of verkopen aan derden, en zo hoort het ook te zijn.
