Kunnen Internet Service Providers de browsergeschiedenis van hun gebruikers verkopen ?

1.    Afschaffing van de privacy regels in de VS

Op 28 maart 2017 werd in het Amerikaanse Congres het voorstel goedgekeurd dat Internet Service Providers toelaat om de browsergeschiedenis van hun gebruikers te verkopen, zonder dat zij hiervoor de toestemming van hun gebruikers nodig hebben. De Amerikaanse Senaat heeft het voorstel eveneens goedgekeurd.

De browsergeschiedenis is voor bedrijven een schatkist aan informatie. Het vertelt wat u denkt, waarnaar u opzoek bent, wat u leuk vindt. Het bevat ook gevoelige informatie, het kan immers aanwijzingen geven naar uw politieke voorkeur, naar uw gezondheid of naar uw levensbeschouwelijke overtuiging. Het spreekt dan ook voor zich dat deze informatie voor bedrijven zeer waardevol is, maar uiteraard is die informatie hun zaken niet.

In oktober 2016, onder president Obama, had de Federal Communications Commission (FCC) nog regels aangenomen die de privacy van consumenten beschermt. In deze regels erkent de FCC dat browser geschiedenis gevoelige informatie is, en wordt aan consumenten de keuze gegeven om dit al dan niet te delen.

Het is weinig verbazend dat onder president Trump deze regels afgeschaft worden, en dat Internet Service Providers zoals AT&T  of Verizon vrij spel hebben met de browser geschiedenis van hun gebruikers. Het maakt hierbij niet veel uit welke browser de consument gebruikt. Google Chrome bijvoorbeeld bevat de mogelijkheid om “onzichtbaar” te surfen, maar dit bekent louter dat de gebruiker onzichtbaar is voor de websites die bezocht worden. Voor de internet service providers is het bezoek wel zichtbaar. Een mogelijkheid om hieraan te ontsnappen is een degelijke VPN verbinding. Maar ook dit biedt geen volledige garantie.

Het is een positief signaal dat er ook Amerikaanse (kleinere) Internet Service Providers bestaan, die reeds aangekondigd hebben dat ze deze informatie niet zullen verkopen zonder de toestemming van de gebruiker.

2. En in Europa ?

Wat is de situatie in Europa ? Het is ondertussen geen nieuws meer dat de Algemene Verordening Gegevensbescherming (AVG) van kracht is geworden, die op 25 mei 2018 in werking treedt. Deze Verordening herhaalt in grote mate de regels op basis waarvan persoonsgegevens verwerkt en verzameld kunnen worden.

2.1 Rechtmatigheid van de verwerking

Eerst en vooral bepaalt artikel 6 de voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens. De Internet Service Provider kan overgaan tot verwerking op basis van de toestemming van de betrokkene, ofwel op basis van een gerechtvaardigd belang. Dit laatste is natuurlijk voor interpretatie vatbaar.

De Werkgroep 29 heeft in 2014 een opinie geschreven over hoe dit gerechtvaardigd belang moet uitgelegd worden. Het moet wettelijk zijn, het moet duidelijk beschreven worden opdat het mogelijk is om de fundamentele rechten van de betrokkene ertegen te af te wegen, en het moet reëel en actueel zijn. De Werkgroep 29 verduidelijkt dat het gerechtvaardigd belang kan ingeroepen worden voor marketing doeleinden, aangezien het de verantwoordelijke voor de verwerking toelaat om haar klanten beter te leren kennen en in te spelen op de wensen van haar klanten. De Werkgroep 29 voegt hier onmiddellijk aan toe dat het gerechtvaardigd belang absoluut niet toelaat dat de verantwoordelijke het gedrag van haar klanten bovenmatig gaat monitoren, dit gaan verhandelen, of aan complexe profilering van hun klanten doen.

Dit geeft aan dat het gerechtvaardigd belang niet als rechtvaardigingsgrond zal kunnen dienen voor Internet Service Providers om de browser geschiedenis van hun gebruikers te verkopen aan derden.

2.2 Strikte bepalingen in verband met gevoelige persoonsgegevens

Verder bepaalt artikel 9 van de AVG dat het verboden is om persoonsgegevens waaruit etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, lidmaatschap van vakbonden blijken te verwerken. Het is eveneens verboden om genetische gegevens, biometrische gegevens of gegevens met betrekking tot de gezondheid of met betrekking tot iemands seksuele geaardheid te verzamelen.

Het gerechtvaardigd belang voor de verwerking speelt hier geen rol. De enige uitzondering die hierop bestaat, en die voor Internet Service Providers zou kunnen gebruikt worden is de uitdrukkelijke toestemming van de betrokkene. De AVG voorziet echter de mogelijkheid voor de lidstaten om de toestemming als rechtvaardigingsgrond voor deze verwerking op te heffen. Zodra een lidstaat hiervan gebruik maakt, zal het voor Internet Service Providers in principe onmogelijk zijn om browser geschiedenis van hun gebruikers te verkopen. De overige rechtvaardigingsgronden zoals de noodzakelijkheid van de verwerking voor de bescherming van de vitale belangen van de betrokkene, of de noodzakelijkheid voor de uitvoering van verplichtingen van de Internet Service Providers zullen niet kunnen toegepast worden.

De toestemming moet blijken uit een duidelijke actieve handeling en mag niet impliciet zijn

2.3 Toestemming

Artikel 7 AVG bepaalt de voorwaarden waaraan de toestemming van de betrokkene moet voldoen. De toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Bovendien moet de toestemming blijken uit een duidelijke actieve handeling. De toestemming mag niet impliciet zijn. Tenslotte moet de toestemming even eenvoudig zijn als het geven ervan. De betrokkene heeft het recht om zijn toestemming op elk moment in te trekken, en moet hiervan voldoende geïnformeerd worden.

Concreet toegepast op Internet Service Providers betekent dit dat zij hun gebruikers duidelijk en helder moeten informeren van het feit dat zij de browser geschiedenis verwerken en verkopen aan derden. Dit kan niet begraven worden in de algemene voorwaarden, maar moet op begrijpelijke en gemakkelijk toegankelijke vorm gepresenteerd worden, opdat hiervoor de toestemming van de gebruikers gevraagd kan worden.

3. Besluit

Internet Service Providers op de Europese markt kunnen niet zonder de expliciete, uitdrukkelijke en geïnformeerde toestemming van hun gebruikers de internet browser geschiedenis delen met of verkopen aan derden, en zo hoort het ook te zijn.