J-lOOFD5fUK 11 ueschemting van persoonsgegevens en de persoonlijke levenssfeer. (Inleidende opmerkingen!

Transcriptie

1 J-lOOFD5fUK 11 ueschemting van persoonsgegevens en de persoonlijke levenssfeer (Inleidende opmerkingen! 1. Algemeen. De kwaliteit van elektronische communicatienetwerken en -diensten wordt in sterke mate bepaald door de wijze waarop de vertrouwelijkheid van de communicatie is gewaarborgd. Technologische ontwikkelingen en marktontwikkelingen maken het mogelijk dat steeds meer verschillende soorten persoonsgegevens worden verwerkt. Daarmee brengen deze ontwikkelingen ook nieuwe bedreigingen met zich mee voor de persoonlijke levenssfeer van eindgebruikers en abonnees. Om eenjuiste omgang met persoonsgegevens alsmede een adequate bescherming van de persoonlijke levenssfeer te garanderen. moet de verwerking van deze gegevens op een adequate wijze worden genormeerd (Kamerstukken ll2002/ , nr. 3. p. 46). Dit is gebeurd in hoofdstuk 11. De verschillende bepalingen zien op de technische faciliteiten die veelal standaard kunnen worden aangeboden nadat in elektronische communicatienetwerken gebruik werd gemaakt van digitale technologie (ISDN. lp. GSM. GPRS of UMTS. LTE enz.). Het betreft het specificeren van de nota, nummeridentificatie en de doorschakeling van oproepen, alsmede ongevraagde communicatie door middel van al dan niet geautomatiseerde oproep- en communicatiesystemen. Verder stelt het hoofdstuk regels in verband met het gebruik en bewaren van locatiegegevens en verkeersgegevens, het opnemen van persoonsgegevens in telefoongidsen en bestanden voor abonnee-informatiediensten, caokies en het voorkomen van telefoonterreur. e-privacyrichtlijn. Het hoofdstuk implementeert de door de Richtlijn burgerrechten (Bijlage A7) gewijzigde e-privacyrichtlijn (Bijlage AS ). die weer de opvolger is van de Telecommunicatie Privacyrichtlijn (97/66/EG). 2. Grondrechten. Op nationaal en internationaal niveau zijn regelingen vastgesteld die de wetgever verplichten om inbreuken op de persoonlijke levenssfeer bij wet te regelen. Het betreft met name de art. 10 en 13 Gw, alsmede art. 8 EVRM en art. 17 IVBPR. welke bepalingen respectievelijk betrekking hebben op bescherming van de persoonlijke levenssfeer en op het brief- en telecommunicatiegeheim (Kamerstukken /97,25533,3. p ). Vertrouwelijke communicatie. De parlementaire behandeling van de wet vond deels plaats tegen de achtergrond van de discussie over de grondwettelijke bescherming van vertrouwelijke communicatie (zie met name Kamerstukken ll1997f98, 25533, 16; Handelingen ll1997/98, 66, p en 67, p. 5008). Vanuit het Ministerie van Binnenlandse Zaken werd het voorstel gedaan art. 13 Gw technologieonafhankelijk te herformuleren, zodat daaronder ook berichten en andere elektronische uitingsvormen zouden vallen. Uiteindelijk is dit wetsvoorstel ingetrokken, omdat er onduidelijkheid bestond over het begrip vertrouwelijkheid (Kamerstukken ll1996j /99, 25443, 1-40d ). Om duidelijk te maken dat elektronische uitingsvormen onder dezelfde bescherming vallen als het grondwettelijke brief en telefoongeheim, werd vervolgens bij amendement een nieuw artikel toegevoegd dat de wetgever de opdracht geeft om bij het vaststellen van uitvoeringsregelingen rekening te houden met de bescherming van het brief-, telefoon- en telegraafgeheim en het geheim van daarmee vergelijkbare communicatietechnieken. Dit heeft geresulteerd in art (Kamerstukken ll1997/98, 25533, 75; zie het com-

2 mentaar op art ). Een op 16 juli 2014 nieuw ingediend wetsvoorstel (33989) strekt ertoe de reikwijdte van de onschendbaarheid van het brief-, telefoon- en telegraafgeheim dat in art. 13 Gw is neergelegd, uit te breiden naar alle communicatiemiddelen. Deze modernisering van art. 13 Gw zal moeten leiden tot een meer techniekonafhankelijke benadering van de reikwijdte. De directe aanleiding voor het wetsvoorstel is gelegen in het rapport van de staatscommissie Grondwet van november 2010 en de daaropvolgende kabinetsreactie (Kamerstukken / , 20 en 21). 3. Wet beschenning persoonsgegevens (Wbp ). De specifieke regels in dit hoofdstuk gelden in aanvulling op en ter uitwerking van de Wbp. Deze privacywet is gebaseerd op de algemene Privacyrichtlijn 1995 (Bijlage AIO) en stelt regels voor de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens. Daarmee vormt de Wbp het algemene kader waarbinnen de verwerking van persoonsgegevens (ook) bmnen de sector elektronische communicatie moet plaatsvinden. De bepalingen van hoofdstuk 11 hebben ten opzichte van de algemene Privacyrichtlijn 1995 en de uitwerking daarvan in de Wbp een aanvullende werking. waarbij op onderdelen sprake is van een nadere uitwerking van de meer algemene normen uit de Wbp. Voor de specifieke, in de sfeer van elektronische communicatie voorkomende verwerkingen van persoonsgegevens worden daarop toegesneden normen gesteld. Verder strekt de reikwijdte van dit hoofdstuk zich in beginsel ook uit tot rechtspersonen, terwijl de Wbp alleen betrekking heeft op gegevens over natuurlijke personen (Kamerstukken (04, , nr. 3, p. 45 ). De Wbp is in deze uitgave afzonderlijk opgenomen en van commentaar voorzien. 4. Handhaving en toezicht. ACM en CBP. Op grond van art lid 2 is ACM belast met het toezicht op de naleving van hoofdstuk J I, behalve voor zover het gaat om het gebruik van verkeersgegevens en locatiegegevens als geregeld in art en ll.sa onderscheidenlijk art , waarop het Agentschap Telecom toezicht houdt. Daarnaast is het CBP op grond van de Wbp belast met het toezicht op de naleving van de Wbp in het algemeen, en waar het de verwerking van persoonsgegevens op grond van hoofdstuk 11 van de wet betreft, ook op die bepalingen. Waar de onderscheiden bevoegdheden van het CBP en ACM elkaar overlappen. is samenwerking tussen beide instanties geboden. De beide instanties hebben daaraan invulling gegeven in het Samenwerkingsprotocol CBP-OPTA (Stcrt. 2005, 133). Het daarin vastgelegde uitgangspunt is dat OPTA (inmiddels ACM) zich bij de uitoefening van zijn bevoegdheden richt op de gevallen waar het vooral gaat om de toepassing van bepalingen van de Tw en het CBP op gevallen waar het vooral gaat om toepassing van de Wbp. Deze samenwerking betekent in de praktijk ook dat de informatie die men in het kader van de toezichthoudende taak verkrijgt, waar dat noodzakelijk is, met elkaar wordt gedeeld (Kamerstukken f/2002(03, 28851, 3, p. 61; Kamerstukken 1/2002(03, 28851, 7, p. 43 en 52-54; art. 15.1, aant. 3). Agentschap Telecom (AT). Het toezicht op de naleving van art a en {verkeers- en locatiegegevens) is in art. 15.1lid I onderdeel h opgedragen aan de minister, in de praktijk aan het Agentschap Telecom (art. 15.1, aant. 8) van het ministerie. Dit toezicht betreft achtereenvolgens: a. de naleving van de verplichting tot het bewaren van de gegevens; b. de bij nadere regels te stellen eisen aan de wijze, waarop de gegevens worden bewaard (met name beveiliging); c. de Art waarborgen tegen misbruik van de bewaarde gegevens; en d. tijdige vernietiging van de gegevens na afloop van de bewaartermijn. De keuze om het toezicht op te dragen aan het agentschap is ingegeven door de situatie dat deze instantie al toezicht hield op de naleving van de aftapverplichtingen van hoofdstuk 13. Omdat de verplichting rot het bewaren van gegevens nauw verband houdt met het opsporen en voorkomen van zware criminaliteit- evenals het kunnen aftappen van communicatie- ts het doelmatig en effectief om ook het toezicht op de naleving van de bepalingen inzake de bewaring van telecommunicatiegegevens op te dragen aan de minister c.q. het agentschap (Kamerstukken (07, 31145, 3, p en 52 ). Komend recht. Na inwerkingtreding van het (op 26 mei 2015 in de Eerste Kamer aangenomen, maar nog geen inwerkingtredingsdatum bekend) wetsvoorstel meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp (Kamerstukken 33662) zal het toezicht op de nalevmg van het bepaalde bij of krachtens art. 11.3a volgens een nieuw in te voegen art lid 2 worden opgedragen aan het College bescherming persoonsgegevens Algemene bepalingen 1\..t Artikel11.1 In dit hoofdstuk en de daarop berustende bepalingen wordt verstaan onder: a. gebruiker: een natuurlijke persoon die gebruik maakt van een openbare elektronische communicatiedienst voor particuliere of zakelijke doeleinden zonder noodzakelijkerwijze op die dienst te zijn geabonneerd; b. verkeersgegevens: gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronisch communicatienetwerk of voor de facturering ervan; c. verwerking van verkeersgegevens: verwerking als bedoeld in artikel1, onderdeel b, van de Wet beschenning persoonsgegevens, met dien verstande dat de desbetreffende handelingen mede betrekking hebben op verkeersgegevens van abonnees die geen natuurlijke personen zijn; d. locatiegegevens: gegevens die worden verwerkt in een openbaar elektronisch communicatienetwerk of een openbare elektronische communicatiedienst waarmee de geografische positie van de randapparatuur van een gebruiker van een openbare elektronische communicatiedienst wordt aangegeven; e. communicatie: informatie die wordt uitgewisseld of overgebracht tussen een eindig aantal partijen door middel van een openbare elektronische communicatiedienst; dit omvat niet de infonnatie die via een omroepdienst over een elektronisch communicatienetwerk wordt overgebracht. behalve wanneer de informatie kan worden gerelateerd aan de identificeerbare abonnee of gebruiker die de informatie ontvangt; f. oproep: een door middel van een openbare elektronische communicatiedienst tot stand gebrachte verbinding die spraakcommunicatie tussen gebruikers of abonnees over en weer mogelijk maakt; g, toestemming van een gebruiker of abonnee: toestemming van een betrokkene als bedo~ld in artikel 1, onder i, van de Wet bescherming persoonsgegevens, met dien verstande dat de toestemming mede betrekking kan hebben op gegevens van abonnees die geen natuurlijke personen zijn;

3 Telecommunicatiewet. Hfdst. 11 h. dienst met toegevoegde waarde: dienst die de verwerking vereist van verkeersgegevens of locatiegegevens, niet zijnde verkeersgegevens, en die verder gaat dan hetgeen noodzakelijk is voor de overbrenging van een communicatie of de facturering daarvan; i. elektronisch bericht: tekst-. spraak-, geluids-of beeldbericht dat over een openbaar elektronisch communicatienetwerk wordt verzonden en in het netwerk of in de randapparatuur van de ontvanger kan worden opgeslagen tot het door de ontvanger wordt opgehaald; j. inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die resulteert in een onbedoelde of onwettige vernietiging, verlies of wijziging van, of een niet geautoriseerde toegang tot persoonsgegevens die zijn verstuurd, opgeslagen of anderszins verwerkt in verband met de levering van een openbare elektronische communicatiedienst in de Europese Unie. { , Stb. 19, Lw.tr /kamerstukken I Definities I 1. Algemeen. Dit artikel geeft in aanvulling op art. 1.1 begripsomschrijvingen. Deze begripsomschrijvingen zijn van toepassing op dit hoofdstuk en daarop berustende bepalingen. 2. Gebruiker (onderdeel a). Onder het begrip 'gebruiker' wordt verstaan een natuurlijke persoon die gebruik maakt van een openbare elektronische communicatiedienst voor particuliere of zakelijke doeleinden zonder noodzakelijkerwijze op die dienst te zijn geabonneerd. Anders dan de abonnee staat de gebruiker dus niet noodzakelijk in een contractuele verhouding tot de aanbieder van de dienst. De definitie is een rechtstreekse omzetting van art. 2 onderdeel a e-privacyrichtlijn (Bijlage AS ). Gebruikersbegrip in andere hoofdstukken. Het begrip hèeft in dit hoofdstuk van de wet een afzonderlijke. op dit hoofdstuk toegesneden betekenis doordat het uitsluitend betrekking heeft op natuurlijke personen. Het wijkt daarmee af van het gebruikersbegrip van art. 1.1 onderdeel n. dat ziet op al dan niet rechtspersoonlijkheid bezittende personen die gebruik maken van of verzoeken om een openbare telecommunicatiedienst (zie art aant. 14). 3. Verkeersgegevens (onderdeel b ). Verkeersgegevens zijn de gegevens die worden verwerkt voor het overbrengen van communicatie (in de zin van art onderdeel d) over een elektronisch communicatienetwerk of voor de facturering ervan. Deze definitie is een rechtstreekse omzetting van art. 2 onderdeel b e-privacyrichtlijn. Waar het gaat om spraaktelefonie heeft het begrip onder andere betrekking op het oproepende en opgeroepen nummer. begin en einde van de oproep, duur van de oproep en (waar het mobiele telefonie betreft) ook op de locatiegegevens (zie art. 11.1, aant 5). Waar het gaat om internetverkeer heeft het begrip betrekking op gegevens als de identiteit van de aansluiting, gebruikersnaam ('user id'),ip-adressen. adres, het gebruikte protocol, begin- en eindtijd sessie, type dienst, volume (aantal kilobytes of megabytes) enz. Abonneegegevens. zoals naam, adres, woonplaats, gegevens betreffende de wijze van betaling e.d. zijn wel nodig voor de facturering, maar vallen niet onder het begrip verkeersgegevens (Kamerstukken /04, nr. 3, p. 151 ). Re- Art latie tot begrip gegevens in art. 13.2a. In art. 13.2a (dat op 11 maart 2015 door de voorzieningenrechter te Den Haag buitenwerking is gesteld. zie het commentaar op art. J3.2a) wordt gedefinieerd welke gegevens moeten worden bewaard ten behoeve van politie, justitie en inlichtingendiensten. Deze gegevens betreffen de verkeers- en locatiegegevens. bedoeld in art onderdeel ben d. alsmede de daarmee verband houdende gegevens die nodig zijn om de abonnee of gebruiker te identificeren. In de bijlage bij de wet (opgenomen na art ) is voor mobiele en vaste telefonie alsmede internetgebruik, gespecificeerd welke verkeers-. locatie en andere gegevens moeten worden bewaard op grond van art. 13.2a. Relatie tot begrip persoonsgegevens in Wbp. Ten behoeve van bijvoorbeeld de facturering moeten verkeersgegevens worden gerelateerd aan abonneegegevens. Voor zover het daarbij gaat om geïdentificeerde of identificeerbare natuurlijke personen vallen deze gegevens onder het begrip persoonsgegevens, zodat de Wbp van toepassing is op de (geautomatiseerde) verwerking daarvan (zie art. 1 onderdeel a en b Wbp, aant. 2 en 3, alsmede art. 2 lid 1 Wbp. aant. 1 ). Als het gaat om prepaid abonnementen zal daarvan in veel gevallen geen sprake zijn omdat er geen identificerende gegevens betreffende de abonnee beschikbaar zijn (Kamerstukken /03, nr. 3. p.l51 ). 4. Verwerking verkeersgegevens (onderdeel c). Onder het begrip 'verwerking van verkeersgegevens' wordt verstaan de verwerking als bedoeld in art. 1 onderdeel b Wbp. met dien verstande dat de desbetreffende handelingen mede betrekking hebben op verkeersgegevens van abonnees die geen natuurlijke personen zijn. De definitie is opgenomen met het oog op de afstemming van de regeling van art voor de verwerking van verkeersgegevens en de regeling van de Wbp voor de verwerking van persoonsgegevens. Onder 'verwerking' verstaat art. 1 onderdeel b Wbp elke handeling of geheel van handelingen met betrekking tot persoonsgegevens. zijnde gegevens over geïdentificeerde of identificeerbare natuurlijke personen (zie art. 1 Wbp. aant. 2b ). Om de aansluiting met de Wbp zoveel mogelijk te behouden wordt voor de roepassing van de wet de reikwijdte van het begrip 'verwerking' zodanig opgerekt dat daaronder ook de verkeersgegevens worden begrepen die niet worden aangemerkt als persoonsgegevens in de zin van art. 1 onderdeel a Wbp. Dat zijn dus de verkeersgegevens betreffende abonnees die géén natuurlijke personen zijn (Kamerstukken l/1998/ , nr. 3, p ). S.I.ocatiegegevens (onderdeel d). Onder het begrip 'locatiegegevens' worden de gegevens verstaan die worden vèrwerkt in een elektronisch communicatienetwerk of -dienst waarmee de geografische positie van de randapparatuur (mobiele telefoon, smartphone) van een gebruiker van een openbare elektronische communicatiedienst wordt aangegeven (Kamerstukken l/2010/11, , nr. 3, p. 72 ). Daarbij kan worden gedacht aan gegevens betreffende de breedte-, hoogte- en lengtegraad waarmee de locatie van het mobiele toestel wordt weergegeven, gegevens betreffende de reisrichting, de nauwkeurigheidsgraad van de locatiegegevens, de identificatie van de netwerkcel (CelllD) waarbinnen de randapparatuur zich op een bepaald tijdstip bevindt en het tijdstip waarop de locatiegegevens zijn opgeslagen (overweging 14 e-privacyrichtlijn; Bijlage AS).Locatiegegevens en verkeersgegevens.locatiegegevens kunnen Verkeersgegevens zijn als deze gegevens ook vallen onder de definitie van verkeersgegevens van art onderdeel b (zie aant. 4). Een voorbeeld van locatiegegevens,

4 Telecommunicatiewet. Hfdst. 11 d1e tevens als verkeersgegevens worden aangemerkt. zijn gegevens die in het k~der van mobiele telefonie worden verwerkt betreffende de basisstations waar het mobiele toestel van de gebruiker contact mee heeft (CeiiiD) en welke noodzakelijk zijn voor het overbrengen van communicatie tussen de oproepende en opgeroepen gebruiker (Kamerstukken /03, , nr. 3, p. 47 en 151, alsmede Aanhangsel Handelingen /2000, p ). Dat geldt ook in die gevallen waarbij dergelijke gegevens ook voor andere, locatiegebonden doeleinden, zoals de levering van daaraan gerelateerde toegevoegde waardediensten, worden gebruikt Daarnaast zijn er locatiegegevens die niet tevens als verkeersgegevens worden aangemerkt en die derhalve niet worden verwerkt voor het overbrengen van communicatie in de ~in van art onderdeel e. Voor de verwerking van dergelijke locatiegegevens, niet zijnde verkeersgegevens, geeft art. 11.5a een regeling (zie art. ll.sa, aant. 2). 6. Communicatie (onderdeel e). Het begrip 'communicatie' wordt omschreven als de informatie die wordt uitgewisseld of overgebracht tussen een eindig aantal partijen door middel van een openbare elektronische communicatiedienst Het begrip omvat niet de informatie die via een omroepdienst over een elektronisch communicatienetwerk wordt overgebracht. behalve wanneer de informatie kan worden gerelateerd aan de identificeerbare abonnee of gebruiker die de informatie ontvangt. Het begrip ziet derhalve op datgene wat wordt uitgewisseld dan wel wordt overgebracht en niet op de gegevens die worden verwerkt om die uitwisseling of overbrenging mogelijk te maken, de zogeheten verkeersgegevens die zijn gedefinieerd in art onderdeel b (zie aant. 3). De definitie van het begrip is een rechtstreekse omzetting van art. 2 onderdeel d e-privacyrichtlijn (Bijlage A5) en is opgenomen met het oog op de regeling van verkeersgegevens in art (zie respectievelijk aant 3 en art. 11.5, aant. 2) en de regeling met betrekking tot ongevraagde communicatie in art (zie art , aant. 1 ). 7. Oproep (onderdeel f). Onder het begrip 'oproep' wordt verstaan een door middel van een openbare elektronische communicatiedienst (in de zin van art. 1.1 onderdeel fen g) tot stand gebrachte verbinding die zonder noemenswaardige vertraging ('in real time') communicatie tussen gebru i ker~ of abonnees over en weer mogelijk maakt (Kamerstukken / , nr. 3, p. 72). De definitie van het begrip sluit nauw aan bij de definitie van art. 2 onderdeel e e-privacyrichtlijn (Bijlage AS) en is opgenomen met het oog op de regeling betreffende ongevraagde communicatie in art. 11.7, nummeridentificatie in art en kwaadwillige oproepen in art Toestemming van een gebruiker of abonnee (onderdeel g). Onder 'toestemming van een gebruiker of abonnee' wordt verstaan de toestemming van een betrokkene (als bedoeld in art. 1 onderdeel i Wbp ). met dien verstande dat de toestemming mede betrekking kan hebben op gegevens van abonnees die geen natuurlijke personen zijn Deze definitie sluit aan bij art. 2 onderdeel f e-privacyrichtlijn (Bijlage A5), dat weer verwijst naar de algemene Privacyrichtlijn In art. 2 onderdeel h van laatstgenoemde richtlijn en art. 1 onderdeel i Wbp wordt het begrip 'toestemming van eeo betrokkene' omschreven als elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem of haar betreffende persoonsgege vens worden verwerkt. Omdat de 'betrokkene' alleen betrekking heeft op natuurlijke Art rsonen en de reikwijdte van verschillende bepalingen in hoofdstuk 11 van de wet ~hook uitstrekt tot rechtspersonen, wordt in het artikel bepaald dat de toestemming mede betrekking kan hebben op gegevens van abonnees die geen natuurlijke personen zijn (Kamerstukken /03, , p ; overweging 17 e-privacyrichtlijn). Vereisten aan toestemming. Om van toestemming in de zin van het artikel te kunnen spreken, moet zijn voldaan aan een aantal criteria. In de eerste plaatst moet er sprake zijn van een vrije wilsuiting. Art. 3:33 en 3:35 BW (over de wilsverklaring en het gerechtvaardigd vertrouwen daarop) zijn van overeenkomstige toepassing. In de tweede plaats moet de wilsuiting betrekking hebben op een bepaalde gegevensverwerking of een beperkte categorie van gegevensverwerkingen. Het moet duidelijk zijn welke verwerking, van welke (soort) gegevens voor welke doeleinden zal plaatsvinden (gerichte toestemming). In de derde plaats moet de gebruiker of abonnee zodanig zijn geïnformeerd dat hij begrijpt waarvoor hij toestemming geeft ('informed consent'). Toestemming kan derhalve worden gegeven op elke wijze die de gebruiker of abonnee in staat stelt vrijelijk een specifieke en geïnformeerde indicatie te geven omtrent zijn wensen, bijvoorbeeld door bij een bezoek aan een website een vakje aan te vinken (overweging 17 e-privacyrichtlijn). Gelet op het voorgaande wordt de enkele verwijzing naar een bepaling in de algemene voorwaarden, waarin toestemming voor de een of andere verwerking wordt geformuleerd, niet zonder meer aangemerkt als toestemming in de zin van het artikel (Kamerstukken 1/2002/03, 28851, 3, p ; zie ook Kamerstukken /11997/98,25892, 3, p Zie art. 1 onderdeel i Wbp. aant. 10). Toestemming minde!jarigen. Als de abonnee of gebruiker minderjarig is en de leeftijd van zestien jaren nog niet heeft bereikt, is in plaats van zijn of haar toestemming die van de wettelijk vertegenwoordiger vereist. Hetzelfde geldt ten aanzien van onder curatele gestelde personen of als er ten behoeve van de abonnee of gebruiker een mentorschap is ingesteld (zie art. 5 Wbp, aant. 1). 9. Dienst met toegevoegde waarde (onderdeel h). Onder 'dienst met toegevoegde waarde' wordt verstaan de dienst die de verwerking vereist van verkeersgegevens of locatiegegevens, niet zijnde verkeersgegevens, en die venter gaat dan hetgeen noodzakelijk is voor de overbrenging van een communicatie of de facturering daarvan. De definitie sluit nauw aan bij art. 2 onderdeel g. Voorbeelden van toegevoegde waardediensten zijn adviezen over de voordeligste tariefpakketten, routegeleiding, verkeersinformatie, weerberichten, toeristische informatie. In veel gevallen betreffen toegevoegde waardediensten zogeheten locatiegebonden diensten, waarbij van locatiegegevens gebruik wordt gemaakt om een dienst te verlenen die verband houdt met de locatie waar de afnemer van de dienst zich bevindt (Kamerstukken /03,28 851, nr. 3, p. 153 en 157; zie ook overweging 18 e-privacyrichtlijn). De definitie van het begrip is opgenomen met het oog op de regeling voor het gebruik van verkeersgegevensen locatiegegevens in respectievelijk art lid 3 onderdeel b, en art. 1!.5a lid 2 (respectievelijk art. 11.5, aant. 3 onder c en art. 11.5a, aant. 4). 10. Elektronisch bericht (onderdeel i). Het begrip 'elektronisch bericht' wordt gedefinieerd als het tekst-. spraak-. geluids-of beeldbericht dat over een openbaar elektronisch communicatienetwerk wordt verzonden en in het netwerk of in de randapparatuur van de ontvanger kan worden opgeslagen tot het door de ontvanger wordt opgehaald. De definitie sluit nauw aan bij art. 2 onderdeel h e-privacyrichtlijn, waar-

5 Telecommunicatiewet. Hfdst. 11 in gebruik wordt gemaakt van de term ' '. Omdat de in de richtlijn gegeven begripsomschrijving ruimer is dan dat wat in zijn algemeenheid onder ' ' of elektronische post wordt verstaan, is bij de omzetting van dit onderdeel van de richtlijn gekozen voor het bredere begrip 'elektronisch bericht'. De begripsomschrijving maakt duidelijk dat het begrip ook betrekking heeft op sms- en mms-berichten, alsmede op voic berichten (overweging 40 e-privacyrichtlijn en Kamerstukken /03, , p. 46, 48 en 153). Volgens OPTA (thans ACM ) kan het begrip ook betrekking hebben op de berichten die gebruikers van sociale netwerksites (zoals 'krabbels' op Hyves of 'wal! post' op Facebook) op profielpagina's voor elkaar achterlaten (OPTA besluit 12 april 2010, OPTA/COL/2010/201040, te vinden op nl ). Het begrip is opgenomen met het oog op de regeling voor ongevraagde elektronische communicatie van art (zie art aant. 2) nbreuk in verband met persoonsgegevens (onderdeelj). Er is sprake van een inbreuk op persoonsgegevens als er een inbreuk plaatsvindt op de beveiliging van een openbare elektronische communicatiedienst die tot gevolg heeft dat persoonsgegevens die zijn verwerkt in verband met een geleverde dienst onbedoeld of in strijd met de wet worden vernietigd of gewijzigd dan wel toegang wordt verleend aan een daartoe niet bevoegde persoon (Kamerstukken //2010/ , p. 72 ). Het begrip wordt gebruikt in art. 11.3a dat de regeling geeft voor de verplichting voor aanbieders van openbare elektronische communicatiediensten om inbreuken op de persoonsgegevens te melden bij ACM en in voorkomende gevallen aan de gebruikers als de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor hun persoonlijke levenssfeer (art. 11.3a. aant. 1-9). Artikel112 Onverminderd de Wet bescherming persoonsgegevens en het overigens bij of krachtens deze wet bepaalde dragen de aanbieder van een openbaar elektronisch communicatienetwerk en de aanbieder van een openbare elektronische communicatiedienst zorg voor de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers van zijn netwerk, onderscheidenlijk zijn dienst. { Stb. 189, i.w.tr /kamerstukken 28851/ (Wet bescherming persoonsgegevens I Betekenis. Het artikel bevat de algemene zorgplicht van de aanbieders van openbaar telecommunicatienetwerken en -diensten ten behoeve van abonnees en gebruikers. Het geldt als vangnetbepaling (Kamerstukken /11997/ , 5, p. 120). Een enkele keer, zoals toen er klachten waren over mogelijke privacy aantasting door middel van 'deep packet inspection' (zie art. 11.2a. aant. 1). heeft (destijds nog) OPTA wel onderzoek gedaan naar de naleving van het artikel (Kamerstukken /11, ). Wet bescherming persoonsgegevens (Wbp). Het artikel stelt buiten twijfel dat de rechten en verplichtingen van dit hoofdstuk gelden in aanvulling op die van de Wbp. Aanbieders van diensten en -netwerken hebben dan ook niet alleen te maken met ACM maar ook met het College bescherming persoonsgegevens ( CBP) dat toeziet op de naleving van de Wbp (Kamerstukken /11997/ , 5, p. 120). Rechtsper Art. 11.2a 50nen. Een 'abonnee' kanook een rechtspersoon zijn (zie art. 11.1, aant. 2 en 8). Dit betekent dat de zorgverplichting van dit artikel ook betrekking kan hebben op gegevens over rechtspersonen. Artikel112a 1. o nverminderd het Wetboek van Strafrecht en het overigens bij of krachtens deze wet bepaalde, dragen de aanbieder van een openbaar elektronisch communicatienetwerk en de aanbi~?er van een openbare elektronische communicatiedienst zorg voor het vertrouwelijke karakter van de communicatie en de daarmee verband houdende gegevens via hun netwerken onderscheidenlijk hun diensten. 2. De aanbieder van een openbaar elektronisch communicatienetwerk en de aanbieder van een openbare elektronische communicatiedienst onthouden zich van het aftappen, afl uisteren of anderszins onderscheppen of controleren van de communicatie via een openbaar elektronisch communicatienetwerk of openbare elektronische communicatiedienst en de daarmee verband houdende gegevens tenzij en voor zover: a. de betrokken abonnee voor deze handelingen zijn uitdrukkelijke toestemming heeft gegeven; b. deze handelingen noodzakelijk zijn om de integriteit en de veiligheid van de netwerken ~n diensten van de betrokken aanbieder te waarborgen; c. deze handelingen noodzakelijk zijn voor het overbrengen van informatie via de netwerken en diensten van de betrokken aanbieder, of d. deze handelingen noodzakelijk zijn ter uitvoering van een wettelijk voorschrift of rechterlijk bevel. 3. Voorafgaand aan het verkrijgen van toestemming als bedoeld in het tweede lid onderdeel a, verstrekt de aanbieder aan de abonnee de volgende informatie: ' a. de soort gegevens die wordt afgetapt, afgeluisterd, onderschept of gecontroleerd; b. de doeleinden waarvoor de gegevens worden afgetapt, afgeluisterd, onderschept of gecontroleerd, en c. de duur van het aftappen, afluisteren, onderscheppen of controleren van de gegevens. 4. Een abonnee ka~ de verleende toestemming. bedoeld in het tweede lid, onderdeel a, op elk moment mtrekken. / , Stb. 235, i.w.tr /kamerstukken 32549/ {Vertrouwelijkheid communicatie! ~- Al~met;~ Het a.rtikel implementeert art. 5 lid 1 e-privacyrichtlijn (Bijlage A5 ). In eze n~hthjnbepahng wordt verlangd dat de wetgever voorziet in waarborgen met betrekktng tot het vertrouwelijk karakter van de communicatie en de daannee verband houdende verkeersgegevens die via openbare communicatienetwerken en -diensten Wordt doorgegeven. In dat verband wordt met name een verbod verlangd van afluisteren, aftappen, opslaan of anderszins onderscheppen of controleren van deze comrnuni ~atie en d~ daarmee verband houdende verkeersgegevens door anderen dan de f~ bru1kers, tnd1en de_.betrokken ~eb~ikers daarin niet hebben toegestemd, tenzij dat ~ Wet IS. AanvankeliJk was de nchtlunbepaling niet volledig in de wet geïmplemen-

6 Art Telecommunicatiewet, Hfdst. 11 teerd (Kamerstukken l/2002/03, 28851, A, p. 3 en 3, p. 46). Om dit te herstellen is bij amendement (Kamerstukken l/ 2010/ , 16) het artikel opgenomen in de wet. Inschakelen van derden. Als een onderneming een derde inschakelt voor het verrichten van werkzaamheden (bijvoorbeeld via onderaanneming) blijft de ondernemer (als opdrachtgever) verantwoordelijk voor een goede dienstverlening aan zijn klanten en voor naleving van wettelijke verplichtingen. Dat geldt ook voor de aanbieder van een openbaar elektronisch communicatienetwerk of de aanbieder van een openbare elektronische communicatiedienst die door een derde werkzaamheden laat uitvoeren ten behoeve van zijn netwerk of diens~erlening. In de afspraken met de uitvoerende partij zal een aanbieder ook moeten voorzien in het waarborgen van de naleving van de in dit artikel opgenomen verplichtingen ten aanzien van de vertrouwelijkheid van communicatie en gegevens. Immers, als de in dit artikel opgenomen verplichtingen worden geschonden, zal de toezichthouder de verantwoordelijke aanbieder daarop aanspreken, ook als de aanbieder de betrokken werkzaamheden heeft uitbesteed aan een derde. Deep Packet Inspeetion (DPI). De aanduiding 'deep packet inspection' wordt gebruikt voor verschillende technologieën waarbij niet alleen de afzend- en bestemmingsadressen (lp-adressen, poortnummers) worden geanalyseerd. maar ook verdere gegevens met betrekking tot het verkeer, waaronder soms zelfs de inhoud. Toepassing van een dergelijke technologie moet aan de hand van dit artikel worden beoordeeld. Op basis van DPI kunnen verschillende vormen van communicatie (spraaktelefonie, video, spam, of anderszins) verschillend worden behandeld (zie ook Handelingen l/2010/11. p. 90, 3, 16 en 24).lnjuni 2013 publiceerde Cbp op haar website zogenaamde rapporten van bevindingen waarin verslag wordt gedaan van onderzoek naar de analyse van gegevens over en uit het mobiele dataverkeer door achtereenvolgens KPN, Tele2, T-Mobile en Vodafone ( Eerder had OPTA al op basis van een 'quick-scan' al vastgesteld dat er op basis van de Telecommunicatiewet geen aanletding was voor handhavend optreden ( Art 139c en 273d Sr. In art. 139c en 273d Sr zijn ook bepalingen opgenomen die erop gericht zijn te voorkomen dat de aanbieder inbreuk maakt op het communicatiegeheim.ln aanvulling daarop bepaalt het artikel dat aanbieders van elektronische communicatienetwerken en diensten alleen onder bepaalde voorwaarden (zoals met uitdrukkelijke toestemming van de abonnee of voor in het artikel genoemde doeleinden) mogen overgaan tot het aftappen van of meeluisteren met of anderszins onderscheppen of controleren van de communicatie via hun netwerken. 2. Algemene zorgplicht (lid 1 ). Lid 1 bevat een algemene zorgplicht van de aanbieders ten aanzien van de communicatie die via hun netwerken en diensten wordt doorgegeven en daarmee verband houdende gegevens. Deze zorgplicht is een nadere uitwerking van de plicht van aanbieders om het communicatiegeheim te waarborgen en te respecteren. Het doet niet af aan de bepalingen in hoofdstuk 13 (over de aftapbaarbeid van netwerken en diensten). De term 'met de communicatie verband houdende gegevens' is breed en omvat onder meer verkeersgegevens en locatiegegevens (zie art aant. 3 en 5; Kamerstukken l/2010/ , nr. 16, p. 2). 3. Verbod meeluisteren (lid 2). Lid 2 bevat een algemeen verbod op het meeluisteren naar verkeer dat via aanbieders wordt getransporteerd, behalve in het geval dat specifiek omschreven uitzonderingen van toepassing zijn. Verboden is niet alleen het pslaan. maar ook het zonder opslag analyseren van communicatie. De uitzonderinn in onderdeel a tot en met d moeten beperkt worden uitgelegd. De uitzondering ~ogen niet verder gaan dan noodzakelijk is, en moeten dus voldoen aan strikte eisen van proportionaliteit. a. Uitdrukkelijke toestemming(onderdeel a). De abonnee heeft de vrijheid om ervoor te kiezen dat zijn communicatie wordt geanalyseerd. Een dergelijke analyse betreft een vergaande inperking van de persoonlijke levenssfeer en het communicatiegeheim van zowel de abonnee als andere gebruikers waarmee de abonnee communiceert is. Daarom is vereist dat de toestemming van de klant 'uitdrukkelijk' is. Hiermee wordt gedoeld op de toestemming als bedoeld in art. 23 Wbp. De abonnee moet dus in woord, schrift of gedrag uitdrukking te hebben gegeven aan zijn wil roestemming te geven. Onvoldoende is stilzwijgende of impliciete toestemming (zie art. 23 Wbp, aant. 2 onder a). b. Integriteit en de veiligheid van de netwerken en diensten. Aanbieders mogen maatregelen nemen die noodzakelijk zijn voor het beschermen van de integriteit en de veiligheid hun netwerken of diensten. Het meeluisteren. aftappen of anderszins onderscheppen van communicatie is toegestaan, als dat voor dat specifieke doel nodig is. c. Noodzakelijk zijn voor het overbrengen van informatie (onderdeel c). Deze uitzondering in onderdeelcis afkomstig uit art. 5lid 1e-Privacyrichtlijn. Volgens de parlementaire geschiedenis staat het artikel niet in de weg aan 'normaal' netwerkbeheer. Zo mag bij toepassing van dit artikel (lid 2 onderdeel c), een aanbieder van een netwerk om te beoordelen of zijn netwerk goed is gedimensioneerd of dat wellicht uitbreiding nodig is de diverse verkeersstromen die over dat netwerk worden afgewikkeld in kaart brengen. Hij mag in dat kader, bijvoorbeeld, gegevens verzamelen over het volume van het verkeer van bepaalde diensten of applicaties, het aantal keren dat verbinding wordt gemaakt enz. Wel is belangrijk dat het verzamelen van dergelijke gegevens niet verder gaat dan nodig is voor het goed laten functioneren van het netwerk en de daarover afgewikkelde diensten (MvA, Kamerstukken / , nr. E, p ). d. Uitvoering van een wettelijk voorschrift of rechterlijk bevel (onderdeel d). Als meeluisteren, aftappen enz. nodig is om uitvoering te geven aan een wettelijk voorschrift of rechterlijk bevel, is dat ook onder het artikel toegestaan (Kamerstukken l/2010/ , nr. 16, p. 2-3). 0 4.Informatieplicht (lid 3). Het verkrijgen van toereikende toestemming vereist per definitie (zie art. 11.1, aant. 8; art. 1 Wbp, aant. 10) dat de abonnee van tevoren zodanig is geïnformeerd dat hij of zij voldoende kennis heeft voor datgene waarop de toestemming betrekking heeft. Als er overeenkomstig lid 2 onderdeel a van het artikel op basis van uitdrukkelijke toestemming wordt meegeluisterd met de communicatie, moet er ten minste aan de abonnee Informatie worden verstrekt over de soort gegevens die wordt afgetapt, afgeluisterd, onderschept of gecontroleerd en de doeleinden waarvoor dat gebeurt en de duur daarvan. S.Intrekken van toestemming (lid 4). Aan het begrip toestemming (vrije wilsuiting) is inherent dat deze altijd kan worden ingetrokken. In lid 4 van het artikel wordt dat, Wellicht ten overvloede, bepaald (zie ook art. 11.1, aant. 8; art. 1 Wbp, aant. 10). Artikel De in artikel11.2 bedoelde aanbieders treffen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abon-

7 nees en gebruikers passende technische en organisatorische maatregelen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten. De maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau dat in verhouding staat tot het desbetreffende risico. 2. De maatregelen als bedoeld in het eerste lid omvatten in elk geval: a. waarborgen dat slechts daartoe gemachtigd personeel voor wettelijk toege. stane doeleinden toegang heeft tot de persoonsgegevens, b. de bescherming van opgeslagen of verzonden persoonsgegevens tegen onbedoelde of niet toegestane opslag, verwerking, toegang, verstrekking, wijziging, verlies, vernietiging, en c. de invoering van een veiligheidsbeleid met betrekking tot de verwerking van persoonsgegevens. 3. De in artikel 11.2 bedoelde aanbieders dragen er zorg voor dat de abonnees worden geïnformeerd over: a. bijzondere risico's voor de doorbreking van de veiligheid of de beveiliging van het aangeboden netwerk of de aangeboden dienst; b. de eventuele middelen waarmee de onder a bedoelde risico's kunnen worden tegengegaan, voor zover het andere maatregelen betreft dan die welke de aanbieder op grond van het eerste lid gehouden is te treffen, alsmede een indicatie van de verwachte kosten. 4. Bij of krachtens algemene maattegel van bestuur kunnen de in artikelt1.2 bedoelde aanbieders in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van abonnees en gebruikers nadere verplichtingen en beperkingen worden opgelegd ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten. ( , Stb. 235, i.w.tr /kamerstukken 32549/ [Passende technische en organisatorische maatregelen! 1. Algemeen. Het artikel implementeert art. 4 e-privacyrichtlijn (Bijlage A5). Anders dan de richtlijn adresseert het artikel echter niet alleen de aanbieder van elektronische communicatiediensten, maar ook de aanbieder van elektronische communicatienetwerken. Dit is gedaan omdat de dienstenaanbieder voor de beveiliging afhankelijk is van de netwerkaanbieder (Kamerstukken /97, , nr. 3, p. 119). 2. Verplichtingen met betrekking tot veiligheid en beveiliging (lid 1 ), De netwerk en dienstenaanbieders dienen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, passende technische en organisatorische maatregelen te treffen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten De aanbieders worden geacht de veiligheidsrisico's af te wegen tegen het beveiligingsniveau en hebben daarmee de nodige ruimte om ook te concurreren op beveiligingsniveau (Kamerstukken /97, 25533, 3, p. 119). Bij de wijze waarop wordt bepaald wat een passend beveiligingsniveau is, wordt aangesloten bij art. 13 Wbp. Dit is in overeenstemming met overweging 20 e-privacyrichtlijn (Bijlage AS), voordat die gewijzigd werd door de Richtlijn burgerrechten (Bijlage A7), waarin staat dat de beveiliging wordt beoordeeld in het licht van art. 17 e-privacyrichtlijn: Art Komerstukken / , p ). Handhaving. ACM ziet toe op de handhaving van art Bij besluit van 16 december 2013 (kenm. ACM/DJZ/2013/ OV) heeft ACM aan KPN een boete van in totaal opgelegd voor het onvoldoende beveiligen van persoonsgegevens. Art. 13 Wbp. Art. 13 Wbp bevat de zorgplicht met betrekking tot de beveiliging van persoonsgegevens. Op grond daarvan is degene die verantwoordelijk is voor de verwerking van deze gegevens gehouden passende technische en organisatorische maatregelen ten uitvoer te leggen om persoonsgegevens te beveiligen tegen verlies oftegen enige vorm van onrechtmatige ver.yerking. Deze maatregelen dienen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, te leiden tot een passend beveiligingsniveau (art 13 Wbp, aant. 2 ). 3. Technische en organisatorische maatregelen (lid 2). Lid 2 implementeert art. 4 lid 1 bis e-privacyrichtlijn (Bijlage AS ), dat door de Richtlijn burgerrechten (Bijlage A7) is toegevoegd aan de eerstgenoemde richtlijn. Het geeft een nadere uitwerking van de technische en organisatorische maatregelen die de aanbieder van een openbaar elektronisch communicatienetwerk en -dienst op grond van lid 1 in elk geval moet nemen om de veiligheid en de beveiliging van de door hem aangeboden netwerken en diensten te garanderen. De in dit lid aangeduide maatregelen zorgen er in ieder geval voor dat alleen gemachtigd personeel voor wettelijk toegestane doeleinden toegang tot de persoonsgegevens heeft en dat zowel de opgeslagen als verzonden persoonsgegevens als het netwerk en de diensten beschermd zijn. Bovendien moet er een veiligheidsbeleid met betrekking tot de verwerking van persoonsgegevens worden uitgewerkt om kwetsbare punten in het systeem vast te stellen. Dit stelt de organisatie in staat regelmatig te monitoren of de preventieve en corrigerende maatregelen nog afdoende zijn. De opsomming in lid 2 is niet limitatief. Als nog andere passende maatregelen uit het oogpunt van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten nodig zijn, dienen die naast de genoemde maatregelen ook genomen te worden. Ook de verplichtingen die met betrekking tot de beveiliging van persoonsgegevens voortvloeien uit de Privacyrichtlijn 1995, zoals geïmplementeerd in de Wbp gelden onverminderd (Kamerstukken /11, 32549, 7, p. 73 ). Detecteren van beveiligingsinbreuken. De te treffen passende technische en organisatorische beveiligings- en veiligheidsmaatregelen moeten in een bepaalde mate van automatische detectie van inbreuken voorzien. Als een inbreuk niet is ged~tecteerd terwijl dat gezien de stand der techniek wel verwacht mag worden, wordt met voldaan aan de Yerplichting passende maatregelen te treffen op grond van art (Kamerstukken /11, 32549, 7, p. 43 ). 4. Informatieplicht (lid 3). De informatieplicht ziet op de bijzondere risico's die er bestaan voor de doorbreking van de veiligheid en de beveiliging van het aangeboden netwerk of de aangeboden dienst en voorts op de eventuele middelen waarmee de bedoelde bijzondere risico's en de kosten die daarmee gemoeid zijn kunnen worden Uitgesloten of verkleind. a. Bijzondere risico's (onderdeel a). De netwerk- en diens~enaanbieders zijn niet verplicht de abonnees te informeren over elk beveiligingsri Sico maar alleen over bijzondere risico's en dan met name die risico's die een bijzondere band hebben met de aard van het desbetreffende netwerk of de desbetreffende dienst. De zorgverplichting strekt tot het informeren van de abonnees en gaat niet zo ver dat het afdekken van de risico's voor rekening komt van de aanbieders. Het treffen

8 van extra voorzieningen tegen de lisico's komt voor rekening van de abonnee (Kamerstukken II1996/ , nr. 3, p. 119). b. Beveiligingsmaatregelen (onderdeel b). De informatieverplichting betreft verder de maatregelen die met betrekking tot bijzondere beveiligingslisico's zouden kunnen worden genomen. Daarbij gaat het, omdat het moet gaan om andere maatregelen dan die welke de aanbieder op grond van lid 1 moet treffen, ook om de eventuele maatregelen die de abonnee zelf zou kunnen treffen en een indicatie van de verwachte kosten. De middelen waarover het hier in het bijzonder gaat, betreffen onder andere middelen om de inhoud van belichten ('communicatie' in de zin van art onderdeel e) te versleutelen en middelen om aanvallen van derden op de eigen computer tijdens het afnemen van een elektromsche communicatiedienst af te slaan ('firewalls'). De aanbieder kan hier volstaan met het aangeven van enkele van die middelen en een indicatie van de verwachte kosten daarvan (Kamerstukken II2002/03, , nr. 3. p ). s. Nadere verplichtingen en beperkingen bij AMvB. Met de Richtlijn betere regelgeving (Bijlage AG) wordt punt 16 in de Bijlage bij de Machtigingslichtlijn (Bijlage A3) vervangen. Het nieuwe punt 16 maakt mogelijk dat aan aanbieders van openbare elektronische communicatiediensten verplichtingen en beperkingen worden opgelegd ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten. In lid 4 wordt van deze mogelijkheid gebruik gemaakt door in aanvulling op art lid 1 en 11.3 lid 2 in art lid 4, een grondslag op te nemen voor het kunnen opleggen van nadere verplichtingen en beperkingen. Op grond van art. 51 Wbp zal het CBP advies worden gevraagd over een ontwerp van een algemene maatregel van bestuur als er aanleiding bestaat nadere regels in de wetgeving op te nemen betreffende de veiligheid en beveiliging van aangeboden netwerken en diensten (Kamerstukken II2010/ ,3, p ). Artike111.3a t. De aanbieder van een openbare elektronische communicatiedienst stelt de Autoriteit Consument en Markt onverwijld in kennis van een inbreuk op de beveiliging. bedoeld in artikelt1.3, die nadelige gevolgen heeft voor de bescherming van persoonsgegevens die zijn verwerkt in verband met de levering van een openbare elektronische communicatiedienst in de Europese Unie. 2. De aanbieder. bedoeld in het eerste lid, stelt degene wiens persoonsgegevens het betreft onverwijld in kennis van een inbreuk in verband met persoonsgegevens indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. 3. De kennisgeving aan de Autoriteit Consument en Markt en de persoon wiens persoonsgegevens het betreft. omvat in ieder geval de aard van de inbreuk in vetband met persoonsgegevens, de instanties waar meer informatie over de inbreuk kan worden verkregen en de aanbevolen maatregelen om de negatieve gevolgen van de inbreuk te beperken. De kennisgeving aan de Autoriteit Consument en Markt omvat tevens de gevolgen van de inbreuk op de persoonsgegevens en de maatregelen die de aanbieder voorstelt of heeft getroffen om de inbreuk aan te pakken. 4.lndien de aanbieder van een openbare elektronische communicatiedienst geen kennisgeving als bedoeld in het tweede lid doet, kan de Autoriteit Consument en Art. 11.3a l'ifarkt. indien het van oordeel is dat de inbreuk in verband met persoonsgegevens waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de persoon wiens persoonsgegevens het betreft, van de aanbieder verlangen dat hij die persoon alsnog in kennis stelt van de inbreuk. 5. oe kennisgeving, bedoeld in het tweede lid, is niet vereist indien de aanbieder naar het oordeel van de Autoriteit Consument en Markt gepaste technische bescherrningsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft, versleuteld of anderszins onbegrijpelijk zijn voor een ieder die geen recht heeft op roegang tot die gegevens. 6. oe aanbieder van een openbare elektronische communicatiedienst houdt een overzicht bij van alle inbreuken in verband met persoonsgegevens. Dit overzicht bevat in elk geval de feiten en de in het derde lid bedoelde gegevens. 1. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gegeven met betrekking tot de in dit artikel bedoelde eisen met betrekking tot het verstrekken van informatie en de kennisgeving. ( , Stb. 102, i.w.tr /kamerstukken 33186{ (Meldplicht datalekken I t. Algemeen. Het artikel implementeert lid 3, 4 en 5 van art. 4 e-privacyrichtlijn (Bijlage AS). Het artikel beoogt de persoonsgegevens en de persoonlijke levenssfeer van de abonnee of gebruiker van een aanbieder van een elektronische communicatiedienst beter te beschermen tegen inbreuken op de veiligheid van persoonsgegevens en de ongunstige gevolgen die dit kan hebben voor de persoonlijke levenssfeer van degene wiens persoonsgegevens het betreft. Verordening betreffende maatregelen voor het melden van inbreuken. De Europese Commissie heeft in een verordening nadere regels en voorschriften gesteld met betrekking tot de meldplicht. Deze hebben onder andere betrekking op de bij de melding te verstrekken gegevens en de maatregelen inzake de technologische bescherming die kunnen worden genomen om gegevens onbegrijpelijk te maken voor engeautoriseerde personen (versleuteling). Zie Verordening (EU) 611/2013 van de commissie van 24 juni 2013 betreffende maatregelen voor het melden van inbreuken in verband met persoonsgegevens op grond van Richtlijn 2002/58/EG van het Europees Parlement en de Raad betreffende pnvacy en elektronische communicatie, PbEU 2013, L173/2. Advies 03/2014 over meldplicht bij inbreuken in verband met persoonsgegevens. Op 25 maart 2014 publiceerde de Artikel29 Werkgroep zijn Advies 03/2014 over kennisgeving bij inbreuken in verband met persoonsgegevens, met daarin een analyse van inbreuken waai'van de betrokken personen in kennis moesten worden gesteld en een uiteenzetting wat bij de opzet van het systeem hadden kunnen worden gedaan om de inbreuk te voorkomen of welke maatregelen in ieder geval genomen hadden kunnen worden zodat kennisgeving van de betrokkenen niet nodig was geweest {art. 29 WP, 693/14/EM WP 213 ). Komend recht: de 'brede meldplicht' art. 34a Wbp. Wetsvoorstel (Meldplicht datalekken) treedt op 1 januari 2016 in werking. Het introduceert een bredere meldplicht met betrekking tot inbreuken op de beveiliging van persoonsgegevens. Dergelijke beveiligingsinbreuken moeten worden gemeld aan het College bescherming persoonsgegevens. Om redenen van doelmatigheid is het voornemen om de beide meldplichten zoveel mogelijk is onderling op elkaar af te stemmen en wordt voorgesteld de

9 melding op grond van art. 11.3a Tw bij het College bescherming persoonsgegevens ( CBP) te beleggen. Dit doet er niet aan af dat de ACM primair belast blijft met het toezicht op de naleving van art Tw. Zie Kamerstukken / /14, 33662, Verplichting beveiligingsinbreuken te melden aan ACM (lid 1 ). Op grond van art 11.3 zijn aanbieders van openbare elektronische communicatienetwerken en -diensten gehouden passende technische en organisatorische maatregelen te nemen ten behoeve van de veiligheid en beveiliging van de door hen aangeboden netwerken en diensten. Op deze aanbieders is een meldplicht van toepassing voor het geval er, ondanks de genomen veiligheidsmaatregelen, toch sprake is van inbreuken op de beveiliging die nadelige gevolgen kunnen hebben voor de veiligheid van de persoonsgegevens die zijn verstuurd, opgeslagen of anderszins verwerkt in verband met de levering van een openbare elektronische communicatiedienst In dergelijke gevallen zijn de aanbieders verplicht de inbreuk, onverwijld nadat zij die inbreuk hebben geconstateerd, te melden bij ACM. Doel van melding. Het doel van de melding bij ACM is dat de toezichthouder dan kan nagaan of de inbreuk gevolgen kan hebben voor de persoonlijke levenssfeer van degene wiens persoonsgegevens het betreft, of de door de aanbieder genomen maatregelen ter bescherming van de persoonsgegevens redelijkerwijs als afdoende konden worden beschouwd en of er aanleiding is de abonnee wiens gegevens het betreft te informeren over de inbreuk. Dit onderzoek door ACM zal binnen de beschikbare middelen zo spoedig mogelijk plaatsvinden. 3. Verplichting beveiligingsinbreuken te melden aan abonnees en eindgebruikers (lid 2). Als de beveiligingsinbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonsgegevens en de persoonlijke levenssfeer van degene wiens persoonsgegevens het betreft, dient de aanbieder degen~ wiens persoonsgegevens het betreft onmiddellijk in kennis te stellen van de inbreuk. Doel van de melding. De abonnee wordt geïnformeerd om hem in staat te stellen alle mogelijke maatregelen te nemen die mogelijk zijn om de negatieve gevolgen van de inbreuk zoveel als mogelijk te beperken. Ook kan dit aanleiding zijn voor degene wiens persoonsgegevens het betreft (nadere) maatregelen te nemen die een mogelijke toekomstige inbreuk verkleinen. Er kan bijvoorbeeld worden gedacht aan het overstappen naar een andere aanbieder die zwaardere beschermingsmaatregelen neemt maar daarvoor mogelijk ook een hoger tarief in rekening brengt. 4. De melding (lid 3). Inhoud van de melding. In de kennisgeving aan de toezichthouder en degene wiens persoonsgegevens het betreft dient een aantal gegevens te worden vermeld, te weten: een omschrijving van de aard van de inbreuk op de persoonsgegevens, de adresgegevens van instanties waar meer informatie verkregen kan worden over inbreuken en de mogelijke gevolgen daarvan, en de maatregelen die de aanbieder degene wiens persoonsgegevens het betreft heeft aanbevolen te nemen om de negatieve gevolgen te beperken. Ook dient de toezichthouder geïnformeerd te worden over de gevolgen van de inbreuk en van de door de aanbieder voorgestelde of getroffen maatregelen om de inbreuk in verband met persoonsgegevens aan te pakken. Wijze van melding. De melding betreft veiligheidsinbreuken betreffende persoonsgegevens. Als de betreffende persoonsgegevens contactgegevens van abon- Art. 11.3a nees of gebruikers bevatten kan op eenvoudige WiJze aan de meldplicht worden voldaan. Als er geen contactgegevens beschikbaar zijn, kan aan de meldplicht worden voldaan door een kennisgeving op de eigen site van de aanbieder of via een ander medium (Kamerstukken / , 7, p. 43 ). ACM en het Agentschap Telecom l!ebben een gezamenlijk loket geopend voor de meldplicht van dit artikel en art. 11 a.2 (zie zoekterm 'meldplicht'). Meldingen kunnen 24 uur per dag telefonisch of via de website worden gedaan. 5. Opdracht van ACM om te melden aan abonnee of eindgebruiker (lid 4). Op grond van lid 3 is de aanbieder niet gehouden de abonnee of gebruiker te informeren als de inbreuk waarschijnlijk geen ongunstige gevolgen zal hebben voor de persoonsgegevens en de persoonlijke levenssfeer van degene wiens persoonsgegevens het betreft. In het geval ACM, anders dan de aanbieder, meent dat er wel ongunstige gevolgen kunnen zijn voor de persoonsgegevens en de persoonlijke levenssfeer, kan de toezichthouder de aanbieder opdragen alsnog de persoon wiens persoonsgegevens het betreft te informeren (Kamerstukken /12010/11, 32549, 3, p ). 6. Versleutelde of onleesbaar gemaakte gegevens (lid 5). De aanbieder van de openbare elektronische communicatiedienst behoeft degene wiens persoonsgegevens het betreft niet te informeren over de inbreuk indien als gevolg van de door hem (preventief) genomen technische beschermingsmaatregelen de persoonsgegevens onbegrijpelijk zijn gemaakt voor eenieder die geen recht op toegang tot die gegevens heeft. Of er in een bepaald geval sprake is van voldoende versjeuteling of andere effectieve beschermingsmaatregelen, wordt beoordeeld door ACM nadat die de melding heeft ontvangen. Daarbij moet de toezichthouder een inschatting maken van het op dat moment bestaande risico dat de gebruikte beschermingsmaatregelen kunnen worden omzeild. Acht de toezichthouder het risico te groot dan zal alsnog gemeld moeten worden aan de persoon wiens gegevens het betreft. Als er wel een inbreuk is geweest, maar onbevoegden de betreffende gegevens niet kunnen lezen omdat deze bijvoorbeeld zijn versleuteld, heeft de inbreuk geen ongunstige gevolgen voor de persoonlijke levenssfeer van betrokkene. In een dergelijke situatie is het volgens de wetgever niet in het belang van de betrokkene om hem te informeren over de inbreuk op de beveiliging (Kamerstukken /12010/ ,7, p. 43). 7. Overzicht van beveiligingsinbreuken (lid 6). Om de toezichthouder in staat te stellen te controleren of de verplichtingen die in dit artikel aan de aanbieder worden opgelegd, worden nagekomen door de aanbieder, wordt de aanbieder verplicht een inventaris bij te houden van inbreuken op persoonsgegevens die hebben plaatsgevonden. Die inventaris dient in elk geval de volgende gegevens te bevatten: alle feiten die verband houden met de inbreuken die zich hebben voorgedaan, de ongunstige gevolgen ervan voor de persoonlijke levenssfeer van degene wiens gegevens het betreft en de herstelmaatregelen die zijn genomen. Dit overzicht is niet openbaar aangezien het vertrouwelijke gegevens kan bevatten van personen van wie de persoonlijke levenssfeer kan zijn geschonden. Naast ACM kan ook het College bescherming persoonsgeg~vens ( CBP) vanuit zijn toezichthoudende taak op de algemene privacyregels (dat WJI zeggen de Wbp) inzage verlangen in het overzicht.

10 Telecommunicatiewet. Hfdst Nadere regels bij of krachtens Algemene Maatregel van Bestuur (lid 7). Op grond van het door de Richtlijn burgerrechten (Bijlage A7) toegevoegde lid S van de gewijzigde e-privacyrichtlijn (Bijlage AS ) is de Commissie bevoegd technische uitvoeringsmaatregelen te nemen teneinde een samenhangende tenuitvoerlegging van art lid 2 en art. 11.3a te bewerkstelligen. Dit lid bevat een delegatiebepaling om dergelijke door de Commissie te nemen uitvoeringsmaatregelen bij lagere wetgeving te kunnen implementeren (Kamerstukken / S49, nr. 3, p. 7S). Artikel De aanbieder van een openbare elektronische communicatiedienst is verplicht de abonnee op diens verzoek: a. geleverde elektronische communicatiediensten door middel van geheel of gedeeltelijk niet-gespecificeerde nota's in rekening te brengen; b. de mogelijkheid te bieden kosteloos en op eenvoudige wijze de doorschakeling van oproepen van derden naar het bij hem in gebruik zijnde netwerkaansluitpunt ongedaan te maken. 2. Bij algemene maatregel van bestuur kunnen in het belang van de bescherming van persoonsgegevens en de bescherming van de persoonlijke levenssfeer van oproepende gebruikers en opgeroepen abonnees regels worden gesteld met betrekking tot het specificeren van nota's voor geleverde elektronische communicatiediensten. Deze regels kunnen onder meer betrekking hebben op de toekenning van rechten aan abonnees, de behandeling van klachten, de verstrekking van informatie en de vergoeding van kosten. Bij de algemene maatregel van bestuur kunnen aan de Autoriteit Consument en Markt taken worden opgedragen en bevoegdheden verleend. 3. Bij algemene maatregel van bestuur kunnen regels worden gesteld ten aanzien van de keuzemogelijkheden voor de wijze van betaling van geleverde elektronische communicatiediensten. ' { , Stb. 102, i.w.tr /kamerstukken 33186/ [Niet-gespecificeerde rekening; ongedaan maken doorschakeling] 1. Algemeen. In het artikel worden twee verplichtingen opgelegd aan aanbieders van elektronische communicatiediensten (en dus niet aan aanbieders van elektronische communicatienetwerken). De met deze rechten corresponderende rechten van abonnees (niet noodzakelijk gebruikers) betreffen het recht op een niet-gespecificeerde rekening (lid I onderdeel a) en het recht op het ongedaan kunnen maken van geautomatiseerde doorschakelingen (lid 1 onderdeel b). De onderscheiden rechten zijn afkomstig van art. 7 respectievelijk art. 11 e-privacyrichtlijn (Bijlage AS ). Om redenen van systematiek zijn deze bepalingen, die beide rechten voor abonnees bevatten. bij elkaar in hetzelfde artikellid geplaatst (Kamerstukken /97, 2SS33, 3. p. 119}. a. Niet gespecificeerde nota (lid 1 onderdeel a). Digitale netwerken (bijvoorbeeld de netwerken waarin gebruik wordt gemaakt van GSM, GPRS, UMTS- of LTE-technologie) stellen de aanbieders daarvan in staat details betreffende de verleende diensten te specificeren in de nota, zoals de opgeroepen nummers, datum, tijdstip en duur van gesprekken. De abonnee kan door een gespecificeerde rekening inzicht verkrijgen in de wijze waarop andere gebruikers (bijvoorbeeld huisgenoten) van de diensten ge- Art bruik maken. Om de persoonlijke levenssfeervan deze gebruikers te kunnen beschermen. heeft de abonnee (niet noodzakelijk de gebruiker) het recht op een niet of niet volledig gespecificeerde rekening. Wel gespedjiceerde nota. Voor zover het gaat om de universele telefoondienst (dat wil zeggen de vaste telefoondienst die op grond van art. 9.2 jo. art moet worden aangeboden door KPN ) hebben abonnees recht op een gespecificeerde rekening. Dit is geregeld in art. 2.2 Regeling universele dienstverlening en eindgebruikersbelangen (RUDE ) jo. art Besluit universele dienstverlening en eindgebruikersbelangen (BUDE) (NvT BUDE, Stb. 2004, 203, p. 9). Zie art. 9.2, aant. 3 onder b). b. Ongedaan maken doorschakeling van derden (lid 1 onderdeel b). veel (digitale) elektronische communicatienetwerken bieden de mogelijkheid oproepen door te schakelen naar een andere abonnee zonder dat deze van de doorschakeling tevoren op de hoogte wordt gesteld. Het artikel biedt de abonnee demogelijkheid in bijzondere, door de abonnee aangeduide, gevallen van de overlast van doorschakeling gevrijwaard te blijven. Het artikel gaat echter niet zo ver dat de aanbieder op verzoek van de abonnee doorschakeling van alle oproepen naar zijn aansluiting categorisch onmogelijk moet maken. De ongedaanmaklog moet kosteloos en eenvoudig zijn te realiseren. Verder wordt het aan de aanbieders overgelaten op welke manieren zij aan abonnees tegemoet komen (Kamerstukken /98, 2SS33, s. p ). Ontheffing ex art Op grond van art komt een aanbieder in aanmerking voor ontheffing van de verplichtingen die voortvloeien uit het artikel als is voldaan aan de volgende (cumulatieve) voorwaarden: a. het gaat om abonneelijnen die zijn verbonden met analoge centrales, én b. de nakoming van de verplichting is niet haalbaar of brengt onevenredig veel financiële lasten voor de aanbieder met zich. Deze ontheffingen komen uit art. 3 lid 2 e-privacyrichtlijn (Kamerstukken /03, 288Sl, 3, p. 162). 2. Algemene maatregelen van bestuur (lid 2 en 3). De AMvB's die op grond van lid 2 en 3 kunnen worden vastgesteld, maken het mogelijk om uitvoering te geven aan de verplichting van art. 7lid 2 e-privacyrichtlijn (Bijlage AS ). Daarin staat dat lidstaten nationale bepalingen moeten toepassen om de rechten van abonnees die gespecificeerde facturen ontvangen, in overeenstemming te brengen met het recht op bescherming van de persoonlijke levenssfeer van oproepende abonnees en opgeroepen gebruikers. Dat kan door ervoor te zorgen dat die gebruikers en abonnees beschikken over voldoende alternatieve communicatie- of betalingswijzen, waarmee waarborgen worden geboden voor de bescherming van de persoonlijke levenssfeer van deze gebruikers en abonnees. Voorbeelden van alternatieve mogelijkheden zijn openbare telefooncellen, telefoonkaarten en mogelijkheden tot betaling met kredietkaarten, prepaidkaarten voor mobiele telefonie, collect call en gratis 0800-nummers. Verder kan worden gedacht aan de mogelijkheid van een gespecificeerde factuur waarin een aantal cijfers van het opgeroepen nummer is weggelaten (overweging 33 e-privacyrichtlijn; NV Il, Kamerstukken /98, 2SS33, S, p ). Discretionaire be... voegdheid. De wetgever i ~ van mening dat de behoefte aan de bij AMvB te stellen regels betreffende gespecificeerde facturen beperkt is tot openbare (vaste en mo?iele) telefoondiensten en carrier(pre)selectiediensten (in de zin van art. 1.1 onderdeel 1BUDE. Voor andere diensten, zoals internetdiensten, is deze behoefte niet duidelijk, laat staan dat al duidelijk zou zijn welke nadere regels er dan zouden moeten worden gesteld. Om deze reden is niet de verplichting opgenomen om nadere regels te stellen

11 maar een discretionaire bevoegdheid daartoe (Kamerstukken l/2002/03, , p. 19).1nhoud AMvB. Om misverstanden te voorkomen is opgenomen dat deze bij AMvB te stellen regels kunnen worden gesteld in het belang van zowel oproepende gebruikers en opgeroepen abonnees, alsmede dat die regels onder meer betrekking kunnen hebben op de toekenning van rechten aan abonnees, klachtenafhandeling, informatieverstrekking en vergoeding van kosten. In dezelfde AMvB kunnen aan ACM taken worden opgedragen en bevoegdheden worden verleend. Geen subdelegatie. De Tweede Kamer heeft bij amendement de mogelijkheid tot subdelegatie geschrapt door delegati~alleen 'bij' (en niet ook 'krachtens') AMvBtoe te staan (Kamerstukken /98,25533, 53; Handelingen l/1998/98, p en 5205). 3. Afschenningsrecht van art. 4.2 BUDE. Van de in lid 2 geregelde discretionaire bevoegdheid is gebruik gemaakt door in het BUDE (art. 4.2) een bepaling op te nemen. waarin is bepaald dat de abonnee het recht heeft om aan te geven dat zijn nummer niet mag worden vermeld op de nota van degene met wie hij heeft gebeld. Als de abonnee dit aan zijn eigen aanbieder heeft kenbaar gemaakt, moet deze aanbieder dit vervolgens doorgeven aan de aanbieder die de nota opstelt ten behoeve van degene met wie de abonnee heeft gebeld. Deze laatste aanbieder is dan gehouden het nummer af te schermen. Dit moet gebeuren door dat nummer weg te laten of door de laatste vier cijfers daarvan onleesbaar te maken. Dit 'nota-afschermingsrecht' geldt vanaf 1 maart Voor de gebruikmaking ervan mogen geen kosten in rekening worden gebracht (zie besluit van 8 september 2004 (Stb. 2004, 458)). Relatie met 'geheime nummers' en nummeridentificatie. Het nota-afschermingsrecht kan worden gezien als complement op het in art opgenomen recht van de abonnee om niet te worden opgenomen in een abonneelijst of het bestand van een abonnee-informatiedienst alsmede op de in art. 11.9lid 1 onderdeel a geregelde mogelijkheid voor de oproepende abonnee en gebruiker pm de weergave van zijn nummer te blokkeren (respectievelijk art. 11.6, aant. 3 en art aant. 2 onder a). Artikel De aanbieder van een openbaar elektronisch communicatienetwerk en de aanbieder van een openbare elektronische communicatiedienst verwijderen dan wel anonimiseren de door hen verwerkte en opgeslagen verkeersgegevens met betrekking tot abonnees of gebruikers, zodra deze verkeersgegevens niet langer nodig zijn ten behoeve van de overbrenging van communicatie, onverminderd het tweede, derde en vijfde lid. 2. De aanbieder mag verkeersgegevens verwerken die noodzakelijk zijn voor facturering. waaronder het opstellen van een factuur voor een abonnee of voor degene die zich tegenover de aanbieder rechtens verbonden heeft die factuur te voldoen, dan wel ten behoeve van een betaling van verleende toegang. De verkeers gegevens mogen worden verwerkt tot het einde van de wettelijke termijn waarbinnen de factuur in rechte kan worden betwist of de betaling in rechte kan worden afgedwongen. 3. De aanbieder van elektronische communicatiediensten mag voorts de in bet eerste lid bedoelde verkeersgegevens verwerken, voor zover en voor zolang dat noodzakelijk is voor: Art a. marktonderzoek of verkoopactiviteiten met betrekking tot elektronische communicatiediensten, of b. de levering van diensten met toegevoegde waarde, mits de abonnee of de gebruiker waarop de verkeersgegevens betrekking hebben daarvoor voorafgaand aan de verwerking zijn toestemming heeft gegeven. De abonnee of gebruiker kan de gegeven toestemming voor de verwerking van verkeersgegevens te allen tijde intrekken. 4. oe aanbieder stelt de abonnee of gebruiker in kennis van de soorten verkeersgegevens die worden verwerkt voor de in het tweede en derde lid bedoelde doeleinden alsmede omtrent de duur van de verwerking. Voor zover het de verwerking van verkeersgegevens ten behoeve van de doeleinden. bedoeld in het derde lid betreft, wordt de desbetreffende informatie verstrekt voorafgaand aan het verkrijgen van de in dat lid bedoelde toestemming van de abonnee of gebruiker. 5. De verwerking van verkeersgegevens in overeenstemming met het eerste tot en met vierde lid mag alleen geschieden door personen die werkzaam zijn onder het gezag van de aanbieder voor facturering, verkeersbeheer, behandeling van verzoeken om inlichtingen van klanten, opsporing van fraude alsmede marktonderzoek of verkoopactiviteiten met betrekking tot elektronische communicatiediensten of de levering van diensten mettoegevoegde waarde en moet beperkt blijven tot hetgeen noodzakelijk is om die activiteiten te kunnen uitvoeren. 6. De aanbieder mag de verkeersgegevens verstrekken aan personen en instanties die zijn belast met de berechting van enig geschil dan wel de beslissing van een geschil als bedoeld in de artikelen 12.1, 12.2 voor zover van toepassing. of { , Stb. 235, Lw.tr /kamerstukken 32549/!Anonimiserlng verkeers-en rekeninggegevens I 1. Algemeen. Het artikel implementeert art. 6 e-privacyrichtlijn (Bijlage AS ) en geeft regels voor de verwerking van verkeersgegevens door aanbieders van openbare elektronische communicatienetwerken of -diensten. Het begrip verkeersgegevens is gedefinieerd in art onderdeel b (zie art. 11.1, aant. 3 ). Relatie tot Wbp. Het artikel geeft invulling aan enkele in de Wet bescherming persoonsgegevens (Wbp) met betrekking tot persoonsgegevens gestelde vereisten, zoals het vereiste van art. 9 Wbp dat persoonsgegevens die voor een bepaald doel zijn verzameld niet mogen worden verwerkt voor een ander doel dat daarmee onverenigbaar is, alsmede het vereiste van art. 10 Wbp dat persoonsgegevens niet langer mogen worden bewaard in een vorm die het mogelijk maakt de betrokkene te identificeren, di!n nodig is voor het doel waarvoor ze zijn verkregen (zie respectiev,elijk art. 9 Wbp, aant. 1-5 en art. 10.Wbp, aant. I-3 ). Zie voor de verhouding tussen verkeer~gegevens en persoonsgegevens art. 11.1, aant. 3. Relatie tot art. 13.2a. Aanbieders van openbare elektronisch communicatienetwerken en -diensten waren op grond van het buiten werking gestelde art. 13.2a gehouden verkeersgegevens betreffende telefoondiensten voor een periode van twaalf maanden te bewaren ten behoeve van de opsporing en vervolging van ernstige strafbare feiten, voor verkeersgegevens betreffende internetdiensten was deze bewaartermijn teruggebracht tot zes maanden (Kamerstukken / ,3, p. 75 ; Kamerstukken /10,32185,3, p. 1-2; Stb. 2011, 380). Art. 13.2a.

12 is buiten werking gesteld bij uitspraak van Rb. Den Haag (vzr.) 11 maart 2015, ECLI:NL:RBHA:2015:2498 (zie art. 13.2a, aant. 1, onder b}. 2. Hoofdregel: verkeersgegevens verwijderen of anonimiseren (lid 1 }. Als hoofdregel geldt dat alle door aanbieders van openbare elektronische communicatienetwerken en -diensten verwerkte en opgeslagen verkeersgegevens met betrekking tot abonnees en gebruikers worden verwijderd dan wel geanonimiseerd, zodra deze gegevens niet langer nodig zijn ten behoeve van (het doel van} de overbrenging van communicatie. Daarbij wordt onder anonimiseren verstaan dat de betreffende gegevens volledig en op onomkeerbare wijze worden ontdaan van hun persoonsidentificerende kenmerken (Kamerstukken //2002/03,28851, 3, p. 154). Het gaat erom dat de gegevens zodanig worden bewerkt dat deze redelijkerwijs niet meer zijn te herleiden tot individuele natuurlijke personen of, waar het gaat om abonnees, rechtspersonen. Er kan niet altijd worden volstaan met het verwijderen van naamgegevens. Het kan nodig zijn dat er andere maatregelen worden getroffen om daadwerkelijke herleiding van de gegevens tot individuele (rechts}personen te voorkomen (Kamerstukken /98, 25892, 3, p. 48 }. Moment van verwijdering of anonimisering. De verkeersgegevens moeten als hoofdregel worden verwijderd op het moment dat ze niet meer nodig zijn voor de overbrenging van de communicatie. Voor spraaktelefoniediensten betekent dit dat de gegevens. behoudens de in het tweede en derde lid opgenomen uitzonderingen, moeten worden verwijderd of geanonimiseerd zodra één van de gebruikers het gesprek heeft beëindigd. Voor internetverkeer is dit afhankelijk van de soort activiteit die wordt verricht. Als het gaat om elektronische post zullen de verkeersgegevens moeten worden verwijderd of geanonimiseerd zodra de gebruiker zijn of haar elektronische post heeft gedownload en deze niet meer wordt bewaard op de server van de dienstverlener. Zie overw. 28 e-privacyrichtlijn (Kamerstukken /03, , nr. 3, p ). 3. Uitzonderingen (lid 2 en 3). Het gebruiken van niet-geanonimiseerde verkeersgegevens is, behalve voor het gebruik ten behoeve van de levering van de elektronische communicatiediensten, toegestaan voor factureringsdoeleinden in ruime zin. Verder mogen deze gegevens onder nadere voorwaarden (dat wil zeggen met toestemming van de abonnee of gebruiker) worden gebruikt voor marktonderzoek of verkoopactiviteiten met betrekking tot elektronische communicatiediensten of voor de levering van diensten met toegevoegde waarde zoals gedefinieerd in art onderdeel h (zie art. 11.1, aant. 9). a. Facturering (lid 2 ). Verkeersgegevens mogen (uiteraard ) worden verwerkt ten behoeve van de facturering van de geleverde elektronische communicátiedienst. Dit verwerkingsdoel wordt ruim opgevat. Onder de verwerking ten behoeve van de facturering wordt niet alleen het opstellen van een factul.jr verstaan. maar ook bijvoorbeeld het registreren van het beltegoed van prepaid-klanten (Kamerstukken //2002/03, 28851, 13, p. 20} alsmede de betaling van verleende toegang in de zin van art. 1.1 onderdeel!, zoals interconnectiebetalingen (zie overweging 26 e-pri vacyrichtlijn (Bijlage AS): Komerstukken /03, 28851, 3, p ). Verder blijkt uit lid 5 dat onder dit verwerkingsdoel ook verkeersbeheer, inlichtingenverstrekking aan klanten en fraudebestrijding moet worden begrepen (overweging 28 e-privacy richtlijn; Kamerstukken /03,28851,3, p. 156). Noodzakelijkheid. De niet-geanonimiseerde verkeersgegevens mogen worden verwerkt zolang de verwerking voor de Art genoemde doelein_den noodzakelijk is. Dit n~odz~kelijkheidscriterium wordt nader ingevuld doordat IS bepaald dat de verwerkmg IS toegestaan tot het einde van de wettelijke termijn waarbinnen de factuur in rechte kan worden betwist of de betaling in rechte kan worden afgedwongen. In veel gevallen zal dat op grond van art. 3:307 e.v. BW neerkomen op een termijn van ten hoogste vijf jaar. Een en ander betekent echter niet dat in alle gevallen - ongeacht of er sprake is van wel of niet betaling of wel of niet betwisting van de factuur- de verkeersgegevens tot het einde van die termijn mogen worden bewaard. In de gevallen dat de factuur is betaald en er voor het overige daaromtrent geen geschillen ontstaan, is niet meer nodig de desbetreffende verkeersgegevens langer voor deze doeleinden te bewaren. In die gevallen moeten de gegevens dan ook worden verwijderd of geanonimiseerd (Kamerstukken /03, 28851,3, p. 155}. b. Marktonderzoek en verkoopactiviteiten met betrekking tot elektronische communicatiediensten (lid 3 onderdeel a). Verwerking van niet-geanonimiseerde verkeersgegevens ten behoeve van marktonderzoek en de verkoop van elektronische communicatiediensten is toegestaan als de abonnee of de gebruiker waarop de gegevens betrekking hebben daarvoor toestemming heeft gegeven. Het begrip toestemming is gedefinieerd in art onderdeelgen sluit aan bij de definitie van art. 1 onderdeel i Wbp (zie art. 11.1, aant. 8}. Het moet gaan om een vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt (zie art. 11.1, aant. 8, alsmede art. 1 onderdeel i Wbp, aant. 10). De toestemming moet zijn gevraagd en verkregen voorafgaande aan het moment dat de verkeersgegevens langer worden bewaard dan toegestaan door art id 1 (Kamerstukken /11, 32549,3, p. 75). De toestemming kan te allen tijde worden ingetrokken. Dit is, voor zover het persoonsgegevens betreft, ook bepaald in art. 5 lid 2 Wbp (art. 5 Wbp, aant. 2 ). Niet per se eigen diensten. Het marktonderzoek en de verkoopactiviteiten behoeven niet per se betrekking te hebben op eigen diensten. Wél geldt het in het vijfde lid neergelegde vereiste dat de gegevens alleen mogen worden verwerkt door personen onder het gezag van de aanbieder (zie art. 11.5, aant. 5 ). c. Levering toegevoegde waardediensten (lid 3 onderdeel b ). Verkeersgegevens mogen ook worden bewaard en verwerkt voor de levering van diensten met toegevoegde waarde (in de zin van art onderdeel h} ofwel diensten die de verwerking vereisen van verkeersgegevens of locatiegegevens en d1e verder gaan dan hetgeen noodzakelijk is voor de overbrenging van de communicatie of de facturering daarvan (zie art aant. 9). Evenals bij de verwerking van verkeersgegevens ten behoeve van marktonderzoek en verkoopactiviteiten (lid 3 onderdeel a) moet de abonnee of gebruiker waarop de gegevens betrekking hebben daa~oor toestemming (in de zin van art onderdeel g) hebben gegeven. De verwerkmg va~ verkeersgegevens voor dit doel mag plaatsvinden zowel voor de levering van e1gen diensten als voor de levering van diensten van derden. Echter, evenals bij het marktonderzoek en de verkoopactiviteiten genoemd in lid 2 onderdeel a, mogen d~ gegevens alleen worden verwerkt door personen onder het gezag van de aanbieder (Zie art. 11.5, aant. 5 ). :-Informatieplicht aanbieder (lid 4). Voor de verwerking van verkeersgegevens ten _ehoeve van het overbrengen van de communicatie en de facturering (respectievelijk ~ 1 en 2) is geen t~stemming van de desbe t~effende abonnee of gebruikers vereist. el moet de aanbieder de abonnee of gebrulkers waar de gegevens betrekking op

13 hebben in kennis stellen van de soorten verkeersgegevens die worden verwerkt voor deze doeleinden alsmede de duur van de verwerking. Dit gebeurt veelal via de algemene webpagina van een aanbieder of de privacyverklaringen van aanbieders (Aanhangsel Handelingen ll2010{11. 2S9S). Voor zover het gaat om verwerkingen ten behoeve van marktonderzoek of verkoopactiviteiten en de levering van toegevoegde waardediensten. waarvoor toestemming van de betrokken abonnee of gebruiker wél is vereist (lid 3 onderdeel a en b) moet de informatie worden verstrekt voordat de toestemming wordt gevraagd en verkregen (overweging 26 e-privacyrichtlijn; Kamerstukken {03, 288S1. 3, p. 1SS). De abonnee of gebruiker moet immers begrijpen waarvoor hij toestemming geeft ('informed consent'. zie art aant. 8). 5. Verwerking alleen door personen werkzaam onder gezag aanbieder (lid 5). Werkzaam onder gezag van de aanbieder. De verwerking van de verk~ersgegevens mag uitsluitend geschieden door personen die werkzaam zijn onder het gezag van de aanbieder. Wat precies wordt bedoeld met 'werkzaam onder het gezag' blijkt niet uit de wetsgeschiedenis. In overweging 32 e-privacyrichtlijn (Bijlage AS) staat evenwel dat de aanbieder de voor het aanbieden van zijn diensten noodzakelijke verwerkingen aan een derde ('een andere entiteit') mag uitbesteden. onder de voorwaarde dat deze onderaanneming en de daaruit voortvloeiende verwerking plaatsvinden met inachtneming van de regels die de algemene Privacyrichtlijn 199S (Bijlage A 10) geeft met betrekking tot de personen die verantwoordelijk zijn voor de verwerking en de verwerkers van persoonsgegevens. Daaruit kan worden opgemaakt dat de aanbieder moet worden aangemerkt als verantwoordelijke in de zin van art. 1 onderdeel d Wbp: Dat wil zeggen dat hij, binnen de in het artikel gestelde grenzen, zeggenschap heeft over de doeleinden van en de middelen voor de verwerking van de gegevens. Hij bepaalt hoe de gegevens worden gebruikt, of de gegevens worden verstrekt aan derden, hoelang ze worden opgeslagen enz. (Kamerstukken /03, 288S1. 3. p. 1S6; zie ook art. 1 onderdeel d Wbp, aant. Sen 6).ln Hvj EU 22 november C-119/12 (Probstfnextnet) is het Hofvanjustitie ingegaan op de rechtsvraag of een aanbieder verkeersgegevens mag verstrekken aan een cessionaris (dat wil zeggen degene aan wie de vorderingen worden gecedeerd, bijvoorbeeld een incassobureau) met het oog op de inning van de vorderingen betreffende zijn telecommunicatiedienstverlening. Volgens het arrest mogen de gegevens inderdaad worden verstrekt, en mogen deze gegevens ook worden verwerkt door de cessionaris, op voorwaarde dat deze. in de eerste plaats, handelt onder het gezag van de aanbieder voor de verwerking van die gegevens en, in de tweede plaats, enkel de verkeersgegevens verwerkt die noodzakelijk zijn voor de inning van de gecedeerde vorderingen. Ongeacht de kwalificatie van de cessieovereenkomst wordt de cessionaris geacht te handelen onder het gezag van deze aanbieder als hij voor de verwerking van verkeersgegevens handelt in uitsluitende opdracht en onder toezicht van die aanbieder. Dit betekent in het bijzonder dat de overeenkomst tussen aanbieder en cessionaris bepalingen bevat die de wettige verwerking van de verkeersgegevens door de cessionaris waarborgen en de aanbieder de mogelijkheid bieden zich op elk ogenblik ervan te vergewissen dat de betrokken cessionaris die bepalingen inderdaad naleeft. Verwerkingsdoeleinden. De gegevens-mogen worden verwerkt voor facturering. verkeersbeheer. behandeling van verzoeken om inlichtingen van klanten. opsporing van fraude alsmede marktonderzoek en verkoopactiviteiten met betrekking tot elektronische communi- Art. 11.5a atiediensten of de levenng van diensten met toegevoegde waarde. Volgens de wetcever betreffen verkeersbeheer. inlichtingenverstrekking en opsporing van fraude :een zelfstandige verwerkingsdoeleinden. maar worden deze geacht afgeleid te zijn uit het factureringsdoel en waarschijnlijk ook het doeleinde van het overbrengen van de communicatie. zoals genoemd in lid I en 2 (zie aant. 3; Kamerstukken { p. 1S6). Noodzakelijkheid. De verwerking moet beperkt blijven tot hetg~en noodzakelijk is om die activiteiten te kunnen uitvoeren. Htermee wordt art. 6 hd S e-privacyrichtlijn (Bijlage AS ) geïmplementeerd. 6. Gegevensverstrekking aan geschilbeslechtende personen en instanties (lid 6). In lid 6 wordt art. 6lid 6 e-privacyrichtlijn geïmplementeerd. Het stelt buiten twijfel dat de aanbieder de verkeersgegevens in voorkomend geval kan verstrekken aan personen en instanties die zijn belast met de berechting van de geschillen bedoeld in art art voor zover van toepassing, of art De gegevens mogen derhalve worden verstrekt aan de geschillencommissie telecommunicatie (art ). alsmede aan ACM in zijn rol alsbeslechtervan geschillen tussen marktpartijen onderling (art. 12.2) en van geschillen tussen marktpartijen en consumenten (art. 12.9). 1. Uitzonderingen in verband met nationale veiligheid en opsporing strafbare feiten. In art lid 1 staat dat aanbieders de regeling van verkeersgegevens in het artikel buiten toepassing kunnen laten, als dat nodig is in het belang van de nationale veiligheid of de voorkoming. opsporing en vervolging van strafbare feiten. Daarmee is duidelijk dat aanbieders desgevraagd kunnen voldoen aan de vorderingen van politie en justitie op grond van met name art. 126n of 126u Sv tot verstrekking van locatiegegevens, waaraan aanbieders op grond van art moeten meewerken. Om misverstanden te voorkomen staat vervolgens in art lid 2 dat de gegevens die op grond van (het buiten werking gestelde) art. 13.2a moeten worden bewaard (zijnde de verkeers- en andere gegevens van de bijlage bij de wet) alleen voor deze nationale veiligheids-, opsporings- en vervolgingsdoeleinden mogen worden gebruikt. tenzij het gegevens betreft waarvan de verwerking op grond van de art. 11.S (of art. 11.5a) is toegestaan en de verwerking plaatsvindt met inachtneming van die artikelen (Kamerstukken {07, 3114S, 3, p S).In art lid 3 is ten slotte bepaald dat aanbieders bevoegd zijn om, in afwijking van het artikel verkeersgegevens te verwerken, als dat nodig is voor een onderzoek naar hinderlijke en kwaadwillige oproepen, zoals bedoeld in art lid 4 en art lid 5 (Kamerstukken /03, 288S1. 3, p. 16S; art 11.13, aant. 2). Artikel 115a I. De verwerking van locatiegegevens, niet zijnde verkeersgegevens. betreffende abonnees of gebruikers van openbare elektronische communicatienetwerken of openbare elektronische communicatiediensten, is slechts geoorloofd, indien: a. deze gegevens zijn geanonimiseerd, of b. de desbetreffende abonnee of gebruiker voor de verwerking van deze gegevens toestemming heeft gegeven ten behoeve van de levering van een dienst met toegevoegde waarde.

14 2. Voorafgaand aan het verkrijgen van toestemming als bedoeld in het eerste lid, onderdeel b, verstrekt de aanbieder van de toegevoegde waardedienst aan de abonnee of gebruiker de volgende informatie: a. de soort locatiegegevens die zullen worden verwerkt; b. de doeleinden waarvoor de locatiegegevens worden verwerkt; c. de duur van de verwerking, en d. of de gegevens aan een derde zullen worden verstrekt ten behoeve van de levering van de dienst met toegevoegde waarde. 3. De verwerking van de gegevens ten behoeve van de levering van een dienst met toegevoegde waarde als bedoeld in het eerste lid, onderdeel b, is slechts toegestaan voor zover en voor zolang dat noodzakelijk is voor de levering van de desbetreffende dienst.ln afwijking van de eerste volzin mag de aanbieder van de dienst met toegevoegde waarde die gegevens verwerken die noodzakelijk zijn voor het opstellen van een factuur. Artikel l l.s, tweede lid, laatste volzin. is van overeenkomstige toepassing. 4. Een abonnee of gebruiker kan de verleende toestemming voor de verwerking van de hem betreffende gegevens op elk moment intrekken. s. De aanbieder van een dienst met toegevoegde waarde biedt aan de abonnee of gebruiker wiens gegevens worden verwerkt de mogelijkheid om kosteloos en op eenvoudige wijze de verwerking van diens gegevens tijdelijk te beletten voor elke overbrenging van communicatie of elke verbinding met het openbare elektronische communicatienetwerk dat gebruikt wordt voor de levering van de desbetreffende dienst. 6. De verwerking van de gegevens mag slechts plaatsvinden door personen die werkzaam zijn onder het gezag van de aanbieder of de derde, bedoeld in het tweede lid, onder d, en is beperkt tot die gegevens die noodzakelijk zijn om de dienst met toegevoegde waarde te kunnen aanbieden. [ , Stb. 189, i.w.tr /kamerstukken 28851/ [Verwerking locatlegegevens niet zijnde verkeersgegevens) 1. Algemeen. Het artikel implementeert art. 9 e-privacyrichtlijn (Bijlage AS ). dat een specifieke regeling introduceert voor de verwerking van andere locatiegegevens dan verkeersgegevens (in het artikel aangeduid als locatiegegevens. niet zijnde verkeersgegevens ). Definities van de begrippen 'verkeersgegevens' en 'locatiegegevens' zijn opgenomen in art onderdeel c end (zie art. 11.1, aant. 4 en 5). Aan de hand van dergelijke locatiegegevens niet zijnde verkeersgegevens kunnen diverse soorten toegevoegde waardediensten aan de gebruiker worden geleverd. Tegelijkertijd kunnen deze gegevens een bedreiging vormen voor de persoonlijke levenssfeer van de gebruiker, aangezien dergelijke gegevens een nauwkeurige indicatie kunnen geven waar een eindgebruiker (althans diens randapparaat) op welk moment was. Met het oog op de privacybescherming van abonnees en gebruikers vereist dit dan ook aanvullende normering (Kamerstukken /04, 28851, 3. p. 46). Afzonderlijke regeling naast die van verkeersgegevens. Het artikel heeft geen betrekking op de locatiegegevens die tevens verkeersgegevens zijn (ofwel de locatiegegevens die worden verwerkt voor het overbrengen van communicatie over het netwerk) en waarvoor art de relevante regels geeft. De reden om voor locatiegegevens niet zijnde verkeers- Art. ll.sa gegevens een afzonderlijk~ regeling op te nemen houdt verband met de omstandigheid dat voor deze gegevens m het netwerk specifieke voorzieningen moeten worden getroffen, waardoor deze veel nauwkeuriger kunnen zijn dan verkeersgegevens. Anders dan verkeersgegevens die betrekking hebben op netwerkcellen met een omvang van veelal honderden meters, kan met dergelijke locatiegegevens de locatie van de gebruiker met een nauwkeurigheid van een tiental meters worden bepaald. Deze locatiegegevens zullen vaak uitsluitend worden gebruikt voor de levering van toegevoegde waar~ed1ensten. En daarbij geldt dat hoe nauwkeuriger de locatiegegevens zijn. hoe speafieker en meer op de situatie van de desbetreffende abonnee of gebruiker toegesneden de desbetreffende toegevoegde waardedienst kan zijn. Een en ander betekent dat deze locatiegegevens veel meer inzicht kunnen geven in de exacte locatie van de.?ebruik~r ( ~!thans dien~ randapparaat) en het mogelijk maken om deze gebruiker m re al tm~e te volgen. D1t betekent dat aan de verwerking van deze gege ~~ns verdergaande e1sen moeten worden gesteld die erop zijn gericht om de persoonlijke levenssfeer van de desbetreffende abonnees en gebruikers zo optimaal mogelijk t~ beschermen (Kame:stukken 11200~ /0~ , 3, p. 157). Van toepassing op aanbieders van elektromsche commumcat1ediensten. Uit de tekst van de wet lijkt te kunnen ~orden opgemaakt ~at het artikel ook van toepassing kan zijn op anderen dan aa~b1e~.ers v~n elektromsche communicatiediensten. Onder verwijzing naar de Kadernchtlijn ~ Bijlage A 1 ) meent het overlegorgaan van Europese privacytoezichtooude.rs, de Artlkel29 Werkgroep, evenwel dat deze verplichtingen alleen van toepassmg ZIJn op aanbieders van elektronische communicatiediensten, voor zover deze toegevoegde ~a?rdedienste~ aanbieden. Zie Artikel 29 Werkgroep, 'Advies 13/2011 over geolocat1ed1ensten op slimme mobiele apparaten', WP185, 16 mei 2011, p. 8-9 en Verwerking v~n locatiegegevens, niet zijnde verkeersgegevens (lid 1 onderdeel a en b). De locatlegegevens waar het artikel betrekking op heeft mogen alleen onder smkte voo~a~rden worden verwerkt. Het uitgangspunt is dat de gegevens alleen in met-geanomm1seerde vorm mogen worden verwerkt voor zover dat nodig is voor de levenng van toegevoegde waardediensten, en dan alleen als de gebruiker of abonnee waarop de gegevens betrekking hebben, daarvoor toestemming heeft verleend. Verder moet. aan de gebruiker?f ab?nn~~ de mogelijkheid worden geboden om op een eenvoudige en kosteloze WijZe tijdelijk de verwerking van diens locatiegegevens te belet. te? ( K~merstukk~n ll2?03/04, 28851,3, p ). Toestemming. Het begrip toestemmmg IS ge~efimeerd m art onderdeel gen sluit aan bij de definitie van art. 1 onderdeel! Wbp. Het moet gaan om een vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgt;gevens wo ~den verwerkt. Zoals ook blijkt uit lid 4 kan de toestemming te allen tijde worden mgetrokken (zie aant. 5 en art. 11.1, aant. 8 en art. 1 onderdeel i Wbp aant. 10 onderfen art. 5 lid 2 Wbp, aant. 2). Of de toestemming van de abonnee of van de gebruiker moet worden verkregen, hangt af van de te verwerken gegevens en de aard van de te leveren toegevoegde waardedienst, alsmede van de technische Procedurele en contractuele mogelijkheden om onderscheid te maken tussen de persoon die gebruik maakt van de dienst (de gebruiker) en degene die daarvoor een overeenkomst heeft gesloten (de abonnee; zie overweging 31 e-privacyrichtlijn; zie OOk Kamerstukken /04, 28851, 3, p. 157).

15 3.1nformatieplicht (lid 2). Voorafgaand aan het verkrijgen van de in lid 1 genoemde toestemming van de abonnee of gebruiker, dient de aanbied~r van d~ dienst met toegevoegde waarde aan de abonnee of gebruiker de volgende mformatl~ te hebben verstrekt: de soort locatiegegevens die zullen worden verwerkt, de doetemden waarvoor de locatiegegevens worden verwerkt, de duur van de verwerking en, voorzo~er van toepassing, of de gegevens aan een derde zullen worden verstrekt voor de levenng van de dienst met toegevoegde waarde. 4. Verwerking ten behoeve van de levering en facturering van de toegevoegde waardedienst (lid 3). Als de abonnee of gebruiker toestemming heeft gegeven voor de verwerking van de gegevens ten behoeve van de levering van een toegevoegde waardedienst. is deze verwerking alleen toegestaan voor zover en voor zolang dat noodzakelijk is voor de levering van de desbetreffende dienst. Na de levering van. de dienst moet de verwerking worden gestaakt, met de (vanzelfsprekende) u1tzondenng dat de gegevens nog wel mogen worden gebruikt voor zover dat nodig is voor het opstellen van de factuur. Opstellen van factuur. Met betrekking tot de in het artikel bedoelde locatiegegevens wordt verwerking strikt genomen alleen toegestaan ~oo r het opstellen van de factuur. en niet zoals in art lid 2 is bepaald voor het ru1mer omschreven verwerkingsdoel van: "de facturering, waaronder het opstellen van een factuur voor een abonnee of voor degene die zich tegenover de aanbieder rechtens verbonden heeft die factuur te voldoen". Het is evenwel niet aannemelijk dat de wetgever wat dat betreft een onderscheid heeft willen maken, zodat kan worden aangenomen dat de gegevens zo nodig ook mogen worden gebruikt voor eventuele andere factureringsdoeleinden dan het opstellen van de factuur (Kamerstukken /1 2002/ , 3, p. 80; Kamerstukken 1/2002/03, 28851, 3, p. 80; NvW, Kamerstukken /03, 28851, 13, p. 19). Duur van de verwerking. Met betrekking tot de duur van de verwerking voor dit doel is art lid 3 la<!_tste volzin, van overeenkomstige toepassing. Dit betekent dat de verwerking is toegestaan tot h~t einde van de ~ettelijke termijn waarbinnen de factuur in rechte kan worden betwist of de betaling m rechte kan worden afgedwongen. In veel gevallen zal dat op grond van art. 3:307 e.v. BV>f neerkomen op een termijn van ten hoogste vijf jaar. Daarbij wordt opgemerkt dat d1t niet betekent dat in alle gevallen - ongeacht of er sprake is van wel of niet betaling of wel of niet betwisting van de factuur - de verkeersgegevens tot het einde van die termijn mogen worden bewaard. In de gevallen dat de factuur is betaald en er voor het overige daaromtrent geen geschillen ontstaan. is het niet nodig de desbetreffende verkeersgegevens langer voor deze doeleinden te bewaren. In die gevallen moeten de gegevens dan ook worden verwijderd of geanonimiseerd (Kamerstukken 1/2002/ , p. 155 en , art. 11.5; aant. 3 onder a). S. lntrekking toestemming (lid 4). De abonnee of gebruiker kan de in lid 1 vereiste toestemming voor de verwerking van de locatiegegevens te allen tijde intrekken (Kamerstukken /03, 28851, 3, p. 157). Voor zover het persoonsgegevens betreft is dit ook bepaald in art. 51id 2 Wbp (zie aant. 2 en art. 5 Wbp, aant. 2). 6. Mogelijkheid om gegevensverwerking tijdelijk te beletten (lid 5). De aanbieder van een dienst met toegevoegde waarde moet de abonnee of gebruiker wiens gegevens worden verwerkt, de mogelijkheid bieden om kosteloos en op eenvoudige wijze de Art. 11.5a verwerking van diens gegevens tijdelijk te beletten voor elke overbrenging van communicatie of elke verbinding met het elektronisch communicatienetwerk dat voor de levering van de desbetreffende dienst wordt gebruikt. Anders dan bij het in lid 4 vastgelegde recht van de abonnee of gebruiker om de toestemming tot verwerking te allen tijde in te kunnen trekken, waarmee de verwerking van de locatiegegevens. niet zijnde verkeersgegevens, permanent wordt belet, gaat het hier om een tijdelijke onderbreking, waarbij de abonnee of gebruiker tijdelijk geen dienst met toegevoegde waarde wenst te ontvangen (Kamerstukken /03, 28851, 3, p. 158). Wel verstrekking aan beheerder van alarmnummer. De gegevens moeten altijd worden verstrekt aan de aangewezen beheerders van een alarmnummer voor publieke diensten, zoals bedoeld in art lid I. als er communicatie over een dergelijk alarmnummer wordt afgewikkeld. Dit moet ook als de abonnee of gebruiker gebruik heeft gemaakt van de mogelijkheid om tijdelijk de verwerking van de hem betreffende locatiegegevens te beletten (zie art , aant. 3). 1. Verwerking alleen door personen werkzaam onder gezag aanbieder (lid 6). De locatiegegevens waar het artikel op ziet mogen alleen worden verwerkt door personen die werkzaam zijn onder het gezag van de aanbieder of de derde aan wie de gegevens worden verstrekt ten behoeve van de levering van de toegevoegde waardedienst, bedoeld in lid 3 onderdeel d. De verwerking is beperkt tot die gegevens die noodzakelijk zijn om de dienst met toegevoegde waarde te kunnen aanbieden (Kamerstukken /12002/03, 28851, 3, p. 158; zie art. 11.5, aant. 4). Werkzaam onder gezag van de aanbieder. Evenals bij de regeling voor de verwerking van verkeersgegevens in art is niet precies duidelijk wat wordt bedoeld met 'werkzaam onder het gezag'. ln overweging 32 e-privacyrichtlijn (Bijlage AS) staat evenwel dat de aanbieder de voor het aanbieden van zijn diensten noodzakelijke verwerkingen aan een derde ('een andere entiteit') mag uitbesteden, onder de voorwaarde dat deze onderaanneming en de daaruit voortvloeiende verwerking plaatsvinden met inachtneming van de regels die de algemene Privacyrichtlijn 1995 (Bijlage AIO) geeft met betrekking tot de personen die verantwoordelijk zijn voor de verwerking en de verwerkers van persoonsgegevens. Daaruit kan worden opgemaakt dat de aanbieder moet worden aangemerkt als verantwoordelijke in de zin van art. 1 onderdeel d Wbp. Dat wil zeggen dat hij, binnen de in het artikel gestelde grenzen, zeggenschap heeft over de doeleinden van en de middelen voor de verwerking van de gegevens. Hij bepaalt hoe de gegevens worden gebruikt, of de gegevens worden verstrekt aan derden, hoelang ze worden opgeslagen enz. (Kamerstukken /03,28851, 3, p. 156; zie ook art. 1 Wbp, aant. 5 en 6). In Hvj EU 22 november C-119/12 (Probst vs nextnet) heeft het Hof van justitie, voor zover het gaat om de verstrekking van verkeersgegevens aan een cessionaris in de context van art. 11.5, het begrip 'werkzaam onder gezag van de aanbieder' nader ingevuld (zie art. 11.5, aant. 5). Noodzakelijkheid. De verwerking moet beperkt blijven tot hetgeen noodzakelijk is om de toegevoegde waardediensten te kunnen leveren en te factureren (zie aant. 4). 8. Uitzonderingen in verband met nationale veiligheid en opsporing strafbare feiten. In art lid 1 staat dat aanbieders de regeling van verkeersgegevens in het artikel buiten toepassing kunnen laten, als dat nodig is in het belang van de nationale veiligheid of de voorkoming, opsporing en vervolging van strafbare feiten. Daar-

16 mee is duidelijk dat aanbieders desgevraagd kunnen voldoen aan de vorderingen van politie en justitie op grond van met name art. 126n of art. 126u Sv tot verstrekkmg van locatiegegevens. Om misverstanden te voorkomen staat vervolgens m a.rt lid 2 dat de gegevens die op grond van art. 13.2a moeten worden bewaard (ZIJ~de de verkeers- en andere gegevens van de bijlage bij de wet) alleen voor deze natjonale veiligheids-, opsporings- en vervolgingsdoeleinden mogen worden gebruikt, tenzij het gegevens betreft waarvan de verwerking op grond van de art. 1 I.S (of art. 11.5a) is toegestaan en de verwerking plaatsvindt met inachtneming van die artikelen (Kamerstukken /07, 31 14S, nr. 3, p , 44-4S). ln art lid 3 is ten slotte bepaald dat aanbieders bevoegd zijn om, in afwijking van h~t arti~~l. verkeersgege_v~ns te verwerken, als dat nodig is voor een onderzoek naar hmderlljke en kwaadwllhge oproepen, zoals bedoeld in art lid 4 en lid S (Kamerstukken /03,28 8S1, nr. 3, p. 16S, art , aant. 2~ Artikel U.Sb 1. Certificatiedienstverleners die certificaten aan het publiek afgeven, verwerken alleen persoonsgegevens die van de betrokkene zelf of met diens uitdrukkelijke toestemming zijn verkregen, en voor zover de verwerking van deze persoonsgegevens voor de afgifte en het beheer van het certificaat is vereist. 2. De in het eerste lid bedoelde persoonsgegevens worden niet voor andere doeleinden verzameld of verwerkt, tenzij de betrokkene daarvoor zijn uitdrukkelijke toestemming heeft gegeven. 3.1n afwijking van het tweede lid is de uitdrukkelijke toestemming van de betrokkene niet vereist, indien de verwerking van de in het eerste lid bedoelde persoonsgegevens noodzakelijk is ten behoeve van de opsporing van fraude, of indien de verwerking overigens bij of krachtens de wet wordt gevorderd. {22-Q4-2004, Stb. 189, i.w.tr /kamerstukk_en (Verwerking persoonsgegevens door certificatiedienstverleners elektronische handtekeningen) Betekenis. Het artikel implementeert art. 8 lid 2 Richtlijn elektronische handtekeningen (Bijlage A14) en bepaalt dat certificatiedienstverleners alleen persoonsgegevens mogen verwerken die van de betrokkene (in de zin van art. 1 onderdeel f Wbp) zelf of met diens uitdrukkelijke toestemming zijn verkregen, en dan alleen voor zover de afgifte en het beheer van het certificaat dit vereisen. Verdere verwerking van deze gegevens, zoals voor het opmaken en versturen van nota's, is alleen toeg:staan als de betrokkene daarvoor uitdrukkelijk toestemming heeft gegeven. Het artikel 1s opgenomen in de wet, omdat het verder gaat dan de bepalingen over het verwerken en verkrijgen van persoonsgegevens in de Wbp (met name art. 8 en 9 Wbp). De regel dat uitdrukkelijke toestemming is vereist lijdt alleen uitzondering als het verwerken van de bij de certificatiedienstverlener bekende gegevens noodzakelijk is voor het opsporen van fraude alsmede in die gevallen dat de medewerking van de certificatiedienstverlener op grond van een bij of krachtens de wet gegeven bevoegdheid wordt gevorderd (Kamerstukken /01, , nr. 3, p en 21 ). Uitdrukkelijke toestemming. Aan de toestemming worden verdergaande eisen gesteld dan aan de toestemming van de art. 1 l.s. 1 t.sa en Aan het 'uitdrukkelijkheidsvereiste' is voldaan Art als de bet~o kken abonnee expliciet zijn wil omtrent de verwerking heeft geuit. De abonnee d1ent m woord, schnft of gedrag uitdrukking te hebben gegeven aan zijn wil westemmmg te geven voor de gegevensverwerking (Kamerstukken /01, , nr. 3. p. 6S-66 en ; zie art. 23 Wbp, aant 2). Artikelll.6 1. Eenieder die een algemeen beschikbare abonneelijst uitgeeft of een algemeen beschikbare abonnee-in formoltiedienst verzorgt. stelt de abonnee voorafgaand aan opneming van hem betreffende persoonsgegevens in de abonneelijst of in het voor de abonnee-informatiedienst gebruikte abonneebestand kosteloos op de hoogte van: a. de doeleinden van de desbetreffende abonneelijst en de desbetreffende abonnee-informatiedienst en, voor zover het een elektronische versie van de abonneelijst betreft, van de gebruiksmogelijkheden op basis van daarin opgenomen zoekfuncties, en b. de soorten persoonsgegevens die, gelet op de vastgestelde doeleinden van de desbetreffende abonneelijst en desbetreffende abonnee-informatiedienst, daarin kunnen worden opgenomen. 2.1n een algemeen beschikbare abonneelijst en in het voor een abonnee-informatiedienst gebruikte abonneebestand worden uitsluitend persoonsgegevens van een abonnee opgenomen, indien de abonnee daarvoor toestemming heeft verleend en blijft deze beperkt tot de door hem daarbij aangegeven persoonsgegevens. Aan het niet opgenomen zijn in een abonneelijst of het voor een abonnee-informatiedienst gebruikte abonneebestand mogen geen kosten worden verbonden. 3. Voor zover de verwerking van persoonsgegevens in een algemeen beschikbare abonneelijst en in het voor een abonnee-informatiedienst gebruikte abonneebestand betrekking heeft op andere doeleinden dan het bieden van de mogelijkheid tot het zoeken van nummers aan de hand van gegevens betreffende de naam in combinatie met gegevens betreffende het adres en huisnummer, postcode en woonplaats van de abonnee, is met betrekking tot elk van die andere doeleinden afzonderlijke toestemming van de abonnee vereist. 4. De abonnee heeft het recht om kosteloos hem betreffende persoonsgegevens in een algemeen beschikbare abonneelijst of in het voor een abonnee-informatiedienst gebruikte abonneebestand te verifiëren, te laten verbeteren of te laten verwijderen. { , Stb. 189, i. w.tr /kamerstukken (Algemeen beschikbare abonneelijsten en abonnee-informatiedienstrn) 1. Algemeen. Het artikel implementeert art. 12 e-privacyrichtlijn (Bijlage AS), dat re?els geeft voor abonneelijsten. Abonneelijst en abonnee-informatiedienst. De be ~nppen ~bo~neelijst' en :abonnee-informatiedienst' worden niet gedefinieerd. De abonneehjst_ 1s een synomem voorde telefoongids (NvT, BUDE, Stb. 2004, 203, p. 11 ). H.et betreft met alleen de traditionele telefoongids maar ook de gedrukte of elektronische gidsen (op CD-rom of op internet) waarin adressen voor elektronische post en ~~dere ~ontactgegev~ns van abonnees zijn opgenomen. Dit blijkt uit overweging 38 n de nchth)n waann wordt gesproken van abonneelijsten van elektronische commumcatiediensten (Kamerstukken I/ 2002/03, 28851,3, p. 158 ). De abonnee-informa-

17 tiedienst betreft in elk geval de dienst waar men het nummer van gebruikers kan opvragen. zoals bijvoorbeeld het informatienummer '118' (Kamerstukken /03, 28851, 3. p. 142). Algemeen beschikbaar. Het moet gaan om algemeen beschikbare abonneelijsten en abonnee-informatiediensten. Interne telefoongidsen of informatiediensten op een intranet van bedrijven en instellingen vallen dus niet onder de werking van het artikel. Geadresseerden. Het artikellegt verplichtingen op aan iedereen die een algemeen beschikbare abonneelijst uitgeeft of een algemeen beschikbare abonnee-informatiedienst verzorgt. Dat is niet noodzakelijk een aanbieder van een elektronische communicatiedienst of -netwerk. Zo.zijn de verplichtingen ook van toepassing op aanbieders die via internet een telefoongids met mobiele telefoonnummers aanbieden, waarin men zich op de desbetreffende website kan doen opnemen door het invullen van enkele gegevensvelden (Kamerstukken /03, 28851, 3, p. 158).Alleen natuurlijke personen (art. 11.8).1n art heeft de wetgever gebruik gemaakt van de in art. 121id 4 e-privacyrichtlijn geboden mogelijkheid om de werking van het artikel te beperken tot abonnees die natuurlijke personen zijn. zodat er geen toestemming nodig is voor het opnemen van gegevens van bedrijven. Dit is gedaan om de aansluiting met de algemene privacyregelgeving van de Wbp zo veel mogelijk te handhaven (Kamerstukken /97, 25533, 3, p. 120; NV 11, Kamerstukken /98,25533,5, p. 128). Bij amendement is-geprobeerd ook abonnees die geen natuurlijke personen zijn onder de werking van het artikel te brengen. Dit amendement is evenwel niet overgenomen, omdat bedrijven in het algemeen juist zo goed mogelijk telefonisch vindbaar willen zijn en er volgens de regering geen signalen waren van het bedrijfsleven dat men zit te wachten om onder de werking van het artikel te worden gebracht (Kamerstukken /04, 28851, 18; Handelingen / p. 789). 2. lnfonnatieplichten (lid 1 ). Aanbieders van apenneelijsten en abonnee-informatiediensten zijn verplicht om de desbetreffende abonnees te informeren over de gegevens die over hen worden opgenomen en wat daarmee gebeurt. Voor zover het gaat om abonneelijsten of abonnee-informatiedienst( en) van een aanbieder van een elektronische communicatiedienst kan deze informatie worden verstrekt op het moment dat deze abonnee de overeenkomst ter zake van de desbetreffende diensten aangaat. Zo kan een mobiele aanbieder zijn nieuwe abonnees informeren op het moment dat deze een abonnement aangaan. Abonneelijst- of informatiedienstaanbieders die niet ook elektronische communicatiediensten aanbieden zouden ofwel zelf de abonnees kunnen informeren ofwel daarover afspraken maken met de aanbieders van elektronische communicatiediensten. Wet bescherming persoonsgegevens (Wbp). Het artikel geeft invulling aan de in art. 33 en 34 Wbp opgenomen verplichtingen van de verantwoordelijke om degene op wie de gegevens betrekking hebben. informatie te verstrekken over (onder andere) de doeleinden van gegevensverwerkingen (zie art. 33 Wbp, aant. 3 en 4 en art. 34 Wbp, aant. 3 en 4). a. Doeleinden en gebruiksmogelijkheden (onderdeel a). Voordat persoonsgegevens van de abonnee worden opgenomen. moet de abonneelijst- of abonnee-informatiedienstaanbieder deze abonnee kosteloos op de hoogte te stellen van de doeleinden van de abonneelijst of abonneeinformatiedienst. Voor zover het een elektronische versie van de abonneelijst (cd-rem of internetdienst) betreft moet hij de abonnee ook op de hoogte stellen van de gebruiksmogelijkheden op basis van de opgenomen zoekfuncties. Dit laatste omdat, Art anders dan bij de gedrukte versie van een abonneelijst (de traditionele telefoongids) bij een elektronische versie meer zoekmogelijkheden kunnen worden geboden. Gedacht moet worden aan omgekeerde zoekmogelijkheden ('reversed search') waarbij bijvoorbeeld naw-gegevens kunnen worden gevonden aan de hand van een telefoonnummer. Ook als de gegevens in de abonneelijst of abonnee-informatiedienst aan derden kunnen worden verstrekt, moet de abonnee daarvan op de hoogte worden gesteld (Kamerstukken / , 3, p. 159: Kamerstukken /03, 28851, 7. p ). b. Soorten persoonsgegevens (onderdeel b ). Verder moet de abonnee op de hoogte worden gesteld van de soorten persoonsgegevens die, gelet op de doeleinden van de desbetreffende abonneelijst of abonnee-informatiedienst, daarin kunnen worden opgenomen. 3. Toestemming voor opneming gegevens (lid 2). Er geldt een 'opt-in' regime. en daarmee een recht op een 'geheim nummer'. De gegevens mogen alleen worden opgenomen in de abonneelijst of abonnee-informatiedienst voor zover de abonnee daarvoor toestemming heeft gegeven. En de gegevens die worden opgenomen. zijn beperkt tot die welke de abonnee heeft aangegeven. Als de abonnee niet wil worden opgenomen in de abonneelijst of de abonnee-informatiedienst, mogen daaraan geen kosten zijn verbonden. Echter. desgewenst kan de aanbieder van de abonneelijst of abonnee-informatiedienst een vergoeding vragen voor het wél opnemen van gegevens. Overigens hebben de abonnees aan wie telefoonnummers zijn toegekend, op grond van art. 2.3 BUDE ook het recht op vermelding van hun gegevens in de gedrukte en elektronische universele abonneelijst c.q. telefoongids (zie art. 9.1, aant. 2: Kamerstukken /03, , p ). Zie daarover ook het commentaar op art Toestemming. Het begrip 'toestemming' betreft elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem of haar betreffende persoonsgegevens worden verwerkt. Zie art aant. 8. Toestemming gevraagd door telefoonaanbieders voor opneming in standaardgids (art 3.2 BUDE). In art. 3.2 BUDE is een regeling getroffen met betrekking tot het verkrijgen van toestemming voor het opnemen van gegevens in zogeheten 'standaard abonneelijsten' en 'standaard abonnee-informatiediensten'. Uit art. 1.1 onderdeel d ene BUDE blijkt dat daaronder worden verstaan de abonneelijsten en abonnee-informatiediensten die alleen de mogelijkheid bieden tot het zoeken van telefoonnummers aan de hand van naw-gegevens van de abonnee (dus geen omgekeerde zoekmogelijkheden of mogelijkheden om te zoeken naar andere nummers dan telefoonnummers). Met betrekking tot deze standaardabonneelijsten en informatiediensten wil de wetgever voorkomen dat iedereabonneelijst-en abonnee-informatiedienstaanbieder aan iedere abonnee afzonderlijk toestemming moer vragen voor het opnemen van de gegevens. Om deze reden wordt in art. 3.2 BUDE aan aanbieders van openbare telefoondiensten een verplichting opgelegd, die inhoudt dat als zo'n aanbieder voor of bij het sluiten van een overeenkomst de naam, het adres en huisnummer, postcode en woonplaats van de abonnees vraagt, hij tevens aan deze abonnee moet vragen of deze gegevens en zijn telefoonnummer(s) in een algemeen beschikbare telefoongids of abonnee-informatiedienst mogen worden opgenomen. De desbetreffende aanbieder mag dus niet alleen toestemming vragen voor opname in zijn eigen telefoongids of abonnee-informatiedienst, maar moet in algemene zin toestemming vragen voor opname in alle (standaard)abonneelijsten en abonnee-informatiediensten. Een aanbieder van een stan-

18 daardabonneelijst of abonnee-informatiedienst kan deze toestemming vervolgens opvragen' bij de aanbieder van de openbare telefoondienst en behoeft ~an ~elf geen toestemming meer te vragen van de betrokken abonnees voor opname m ZIJ~ abo_nneelijst of abonnee-informatiedienst. Daarbij wordt opgemerkt dat deze regel~ng met af doet aan de informatieplicht van lid 1 (NvT, BUDE, Stb. 2~04, 2?3 p._11 ; z1e aa~t. 2). Relatie met het 'nota-afschermingsrecht' en nummende~tlficatle. De opt-m regeling met betrekking tot de opneming van abonneegegevens m d~ abonneelijst en abonnee-informatiedienst vormt een logisch complement op het m art. 4.2 BUDE geregelde nota-afschermingsrecht' en de in art lid 2 onderdeel a, opgenomen mogelijkheid voor de oproepende abonnee en g~brui~er om de weergave van het nummer te blokkeren (zie art. 11.4, aant. 3 respectlevelijk art. 11.9, aant. 2 onder a). 4. Afzonderlijke toestemming voor verdergaa~de doeleinden (lid 3). Als de abonneegegevens worden gebruikt voor andere doetemden dan het zoeken van een nummer aan de hand van naw-gegevens, wordt verlangd dat de desbetreffe_nde abonnee daarvoor aanvullend toestemming verleent. Dit betekent dat afzo~derhjke toeste~ming van de abonnees nodig is voor het opnemen van de gegevens meen abonneelijst met mogelijkheden tot 'omgekeerd zoeken'. Hetzelfde geldt als de gegevens aan derden worden verstrekt (overweging 39 e-privacyrichtlijn; Kamerstukken ~/03, 28851, 3, p. 84 en 159). Deze afzonderlijke toestemming moet worden onderschelden van de toestemming die openbare telefoonaanbieders op grond van art. 3.2 BUDE moeten vragen. Deze laatste toestemming heeft immers geen betrek~ing op andere doeleinden dan het opnemen van gegevens in een standaardabonneelijst of abonneeinformatiedienst die alleen de mogelijkheid bieden tot het zoeken van.nummers aan de hand van naw-gegevens van de abonnee. Handhaving. Op i _~ternet ~orden met enige regelmaat omgekeerde zoekdiensten aange~oden, w~arbij de _te v_mde~. abonnees géén toestemming hebben gegeven. Deze Qlensten ZIJD derhalve m_ stnjd. met het verbod van lid 3. De toezichthouder, ACM treedt daartegen evenwel m begmsel niet op. Dit onder andere omdat, naar haar o?rdeel, omgekeerd zoeken o~ zichzelf genomen niet als een inbreuk op de persoonlijke levenssfeer wordt ervaren. alsmed_e omdat omgekeerd zoeken in het buitenland soms wel wordt toegestaan (z1e beslult OPTA 17 oktober 2007 (OPTA/IPB/2007/202118) te vinden op s. Verificatie-, verbeterings- en verwijderingsrecht (lid 4). De abonnee heeft het recht om kosteloos de hem betreffende persoonsgegevens in een algemeen beschikbare abonneelijst of in het voor een abonnee-informatiedienst gebruikte abonneebe_~ stand te verifiëren, te laten verbeteren of te laten verwijderen. Dit recht simt a~n bij de verbeterings-en verwijderings-of afschermingsrechten van art. 36 Wbp (zie art. 36 Wbp, aant. 1 ). 6. Overgangsrecht. In art. 16 e-privacyrichtlijn (Bijlage AS) worden enkele overgangsbepalingen voor abonneelijsten en abonnee-informatiediensten geformulee~d. De_ze zijn geïmplementeerd in art Tw. De regehng komt erop neer ~at het art1ke~ _met geldt voor de reeds op de datum van inwerkingtreding van het artl~el gereed ZIJnde duurzame publicaties van abonneelijsten, zoals gedrukte telefoongidsen en elektronische abonneelijsten die anders dan on-line worden aangeboden (cd-ram). Met betrekking tot persoonsgegevens die reeds worden verwerkt op het moment van Art inwerkingtreding van het artikel wordt van aanbieders van algemeen beschikbare abonneelijsten en abonnee-informatiediensten niet verlangd dat zij voldoen aan de informatieplicht van lid 1. Zij worden geacht toestemming op basis van lid 2 te hebben verkregen. Met het oog op verwerking van persoonsgegevens die reeds in de abonneelijsten en abonneebestanden zijn opgenomen op het moment van inwerkingtreding, moet aan de desbetreffende abonnees binnen zes maanden de mformatie als bedoeld in lid 1 worden verstrekt. Voor de (verdere) verwerking van deze gegevens is geen toestemming vereist, maar kan de abonnee tegen (verdere) verwerking verzet aantekenen (zie het commentaar op art ). Artikelll Het gebruik van automatische oproep- en communicatiesystemen zonder menselijke tussenkomst, faxen en elektronische berichten voor het overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden aan abonnees of gebruikers is uitsluitend toegestaan, mits de verzender kan aantonen dat de desbetreffende abonnee of gebruiker daarvoor voorafgaand toestemming heeft verleend, onverminderd hetgeen is bepaald in het tweede en derde lid. 2.Indien de gebruiker, bedoeld in het eerste lid, een rechtspersoon is dan wel een natuurlijke persoon die handelt in de uitoefening van zijn beroep of bedrijf, geldt met betrekking tot het door middel van elektronische berichten overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden dat geen voorafgaande toestemming is vereist: a. indien de verzender bij het overbrengen van de communicatie gebruik maakt van elektronische contactgegevens die door de gebruiker daarvoor zijn bestemd en bekendgemaakt, en deze zijn gebruikt in overeenstemming met de door de gebruiker aan die contactgegevens verbonden doeleinden, of b. indien de gebruiker is gevestigd buiten de Europese Economische Ruimte en voldaan is aan de in het desbetreffende land geldende voorschriften met betrekking tot het lierzenden van ongevraagde communicatie. 3. Een ieder die elektronische contactgegevens voor elektronische berichten heeft ver~n in het kader van de verkoop van zijn product of dienst mag deze gegevens gebrulken voor het overbrengen van communicatie voor commerciële ideële of charitatieve doeleinden met betrekking tot eigen gelijksoortige product~n of diensten, mits bij de verkrijging van de contactgegevens aan de klant duidelijk en uitdrukkelijk de gelegenheid is geboden om kosteloos en op gemakkelijke wijze verzet aan te teke_nen tegen het gebruik van die elektronische contactgegevens, en, indien de kl_ant h1ervan geen gebruik heeft gemaakt, hem bij elke overgebrachte commumcatie de mogelijkheid wordt geboden om onder dezelfde voorwaarden verzet aa~ te tekenen tegen het verder gebruik van zijn elektronische contactgegevens. Artikel41, tweede lid, van de Wet bescherming persoonsgegevens is van overeenkomstige toepassing. 4. Op het gebruik van elektronische berichten voor de in het eerste lid genoemde doeleinden zijn de vereisten van artikel 15e, eerste lid, onderdelen a tot en met c, van b~ek 3 van het Burgerlijk Wetboek van overeenkomstige toepassing en bedoeld?ebru1k bevat geen aanmoedigingen informatie op het internet te raadplegen die 1 11 strijd is met dat artikel. Bij dat gebruik dienen te allen tijde de volgende gegevens te Worden vermeld:

19 Te/ecommunicatiewet, Hfdst. 11 a. de werkelijke identiteit van degene namens wie de communicatie wordt overgebracht, en b. een geldig postadres of nummer waaraan de ontvanger een verzoek tot beëindiging van dergelijke communicatie kan richten. 5. Het gebruik van andere dan de in het eerste lid bedoelde middelen voor het overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden is toegestaan met inachtneming van het bepaalde in het zesde tot en met twaalfde lid, tenzij de abonnee op de in het zesde lid bedoelde wijze dan wel anderszins te kennen heeft gegeven dat hij de ongevraagde communicatie niet wenst te ontvangen. 6. Er is een register waarin de contactgegevens van de abonnee worden opgenomen die daarmee te kennen geeft dat hij ongevraagde communicatie als bedoeld in het vijfde lid niet wenst te ontvangen. De inschrijving in het register is voor onbepaalde tijd totdat de abonnee te kennen geeft dat zijn contactgegevens uit het register verwijderd kunnen worden. Het register wordt gehouden door een door Onze Minister aan te wijzen beheerder. De beheerder is verantwoordelijke als bedoeld in artikel1, onder d, van de Wet bescherming persoonsgegevens. 7. Het register heeft als doel de abonnee te vrijwaren van de ongevraagde communicatie waarvan hij heeft aangegeven dat hij die niet wenst te ontvangen. De contactgegevens van de abonnee die zijn opgenomen in dit register worden niet voor enig ander doel gebruikt. 8. De beheerder blokkeert of verwijdert op verzoek van degene die communicatie als bedoeld in het vijfde lid wil overbrengen contactgegevens van abonnees die in het register zijn opgenomen uit aan hem aangeboden bestanden met contactgegevens van abonnees, of stelt op verzoek de contactgegevens van abonnees uit het register voor dat doel beschikbaar aan degene die ongevraagde communicatie als bedoeld in het vijfde lid wil overbrengen., 9. Het is verboden om communicatie als bedoeld in het vijfde lid over te brengen aan een abonnee die door opname van zijn contactgegevens in het register te kennen heeft gegeven deze ongevraagde communicatie niet te willen ontvangen. 10. Degene die communicatie als bedoeld in het vijfde lid overbrengt, gebruikt voor het overbrengen van ongevraagde communicatie uitsluitend bestanden waaruit de contactgegevens die in het register zijn opgenomen, zijn geblokkeerd of verwijderd. 11. Het negende en tiende lid zijn niet van toepassing op het overbrengen van communicatie als bedoeld in het vijfde lid voor zover de contactgegevens zijn verkregen in het kader van de verkoop van een product of dienst of in het kader van schenking aan een ideële of charitatieve organisatie en deze worden gebruikt voor het overbrengen van communicatie als bedoeld in het vijfde lid met betrekking tot eigen gelijksoortige producten of diensten of schenkingen aan de ideële of charitatieve organisatie. 12. Tijdens elke overgebrachte communicatie wordt tijdens het gesprek gewezen op het register en op de mogelijkheid voor de abonnee verzet aan te tekenen tegen het verdere gebruik van zijn elektronische contactgegevens en wordt de abonnee de mogelijkheid geboden tot onmiddellijke opname in het register, bedoeld in het zesde lid. Aan de abonnee worden in dat geval geen kosten in rekening gebracht van voorzieningen waarmee wordt voorkomen dat hem ongevraagde communica- Art tie wordt overgebracht Artikel41, tweede lid, van de Wet bescherming persoonsgegevens is van overeenkomstige toepassing. 13. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld ten aanzien van: a. het blokkeren of verwijderen van contactgegevens van abonnees uit bestanden die gebruikt worden om communicatie over te brengen als bedoeld in het vijfde lid. het beschikbaar stellen van contactgegevens van abonnees uit het register en de periode gedurende welke de bestanden bewaard blijven en gebruikt kunnen worden; b. de taken, inrichting en verantwoording van de beheerder van het register; c. de toegang tot het register alsmede de inrichting en het gebruik van het register; d. de mogelijkheid van verzet als bedoeld in het twaalfde lid; e. de mogelijkheid van onmiddellijke opname in het register als bedoeld in het twaalfde lid. { , Stb. 235, i.w.tr /kamerstukken 32549/ [Ongevraagde oproepen voor commerciële, ideële of charitatieve doejein den) 1. Algemeen. Het artikel implementeert art. 13 e-privacyrichtlijn (Bijlage AS ) en stelt regels voor ongevraagde elektronische communicatie. Het maakt daarbij onderscheid tussen twee varianten: art. 13 lid 1-4 voorziet in een (streng) opt-in regime voor ongevr~agde elektronische communicatie zonder menselijke tussenkomst (spam e.d.) en ovengeleden van het artikel voorzien in een (minder streng) opt-out regime voor ongevraagde elektronische communicatie met menselijke tussenkomst (telemarketing). 2. Opt-ln voor automatische oproepsystemen zonder menselijke tussenkomst, faxen en elektronische berichten (lid 1 ). Er geldt een opt -in regime voor automatische oproepsystemen zonder menselijke tussenkomst, faxen en elektronische berichten. Voor deze vormen van ongevraagde elektronische communicatie geldt dus dat de verzender voorafgaan~ aan de verzending toestemming moet hebben verkregen van de abonnees of gebrulkers aan wie de communicatie wordt verzonden. Abonnees en.gebruikers. De toestemming moet worden gevraagd en verkregen van de abonnees of m voorkomende gevallen van de gebruikers. Als het gaat om automatische belautomaten (automated calling devices) en faxen wordt de communicatie gericht aan geselecteerde telefoonnummers van abonnees. In deze gevallen kan alleen een voorafgaande toestemming worden gevraagd en verkregen van abonnees, omdat gebruikers van dat nummer (dat wil zeggen degenen die de telefoon opnemen of de fax in o~tvangst nemen) een te onbepaalde groep vormen die niet kan worden benaderd. D1t IS meestal anders als het gaat om een automatisch communicatiesysteem waarmee zonder menselijk tussenkomst - of sms-berichten worden verzonden. In deze gevallen kan (en moet) de toestemming worden gevraagd en verkregen van de gebruikers d1e gebruik maken van de desbetreffende adressen of mobiele telefoonnummers. Dit is van belang in de gevallen waarin de gebruikers niet ook abonnees ZIJn, zoals wanneer het gaat om kinderen waarvan het abonnement staat op naam

20 van de ouders of de zakelijke gebruikers waarvan het abonnement st~at op naam van de werkgever (Kamerstukken / , 3, p ). Het vereiste ~at m voorkomende gevallen ook toestemming moet worden gevraagd van d~ geb~1ker~s do~r de Richtlijn burgerrechten (Bijlage A7) toegevoegd aan art. 13 e-privacynchtlijn (BIJlage AS). Bescherming rechtspersonen. Onder de abonne_e verstaat art. 1.1 onderdeel p, degene die partij is bij een overeenkomst met een aanbieder van open~are elektronische communicatiediensten voor de levering van dergelijke diensten. D1t kan zowel een natuurlijke persoon of rechtspersoon zijn (art. 1.1, aant. 15). Vo~r zover het gaat om automatische oproep- en communicatiesystemen zoqder me~selijk~ tussenkomst, faxen en elektronische berichten is de toepassing van het artikel met beperkt tot natuurlijke personen, maar strekt deze zich nadrukkelijk o~k uit tot rechtspersonen. Dit blijkt uit art (Kamerstukken /04, 26_643, 51; z1e het commenta~r op art. 11.8). Wel wordt in lid 2 voorzien in een versoepeling voor zover ~et ga~t om. a. abonnees die rechtspersonen zijn of natuurlijke personen handelend m de mtoefemng van bedrijf of beroep; en b. abonnees gevestigd buiten de EER (Kamerstukken /06, 30661, 3, p. 9-10). 3. versoepeld regime voor rechtspersonen, bedrijven en ondernemingen (lid 2). Het in lid 1 gestelde opt-in vereiste wordt versoepeld voor zov~r het gaat om verze_~ding van ongevraagde elektronische berichten aan gebruikers d1e rechtsp~rsonen ZIJn of natuurlijke personen die handelen in de uitoefening van beroep of be~njf. Het mo~t daarbij gaan om elektronische berichten in de ~in van art ond~rdeel1, zoals , sms en dergelijke, maar niet fax en automatische oproepe~ (zie art. 11.1, aant. 10). voor de verzending van dergelijke berichten aan deze gebruikers 1s geen voorafgaande toestemming vereist als daarbij gebruik wordt gemaakt van d~arvoo~ bedoelde elektronische contactgegevens en als het gaat om gebruikers gevestigd bmten de EER (Kamerstukken /12010/ , 3, p ). a. ~ebruik van daarvoor bed~eld_e elektronische contactgegevens (onderdeel a). Geen voorafgaande toe~temm1~g IS vereist als er gebruik wordt gemaakt van elektronische contactgegevens d1e gebruikers (rechtspersonen. bedrijven, ondernemers) _voor dat ~oe! bekend hebben gemaakt. Deze gebruikers hebben dus de mogelijkheld om de m lid 1 be~oe_lde toestemmmg niet van geval tot geval maar in zijn algemeenheid te geven. De m lid 1 be~oelde gebruikers kunnen dit bijvoorbeeld doen door dit aan te geven op ~un website en een daarvoor bedoeld adres bekend te maken (zeg: aanbiedmgenhier~een@bedrijfsnaam.nl, maar niet zonder meer info@bedrijfsnaam.nl). Op deze WIJZe word_~ beoogd tegemoet te komen aan de behoefte van bedrijv~n ~m ze!~ te bepalen of ZIJ ongevraagde elektronische commerciële, chantat1eve of 1deele benchten Willen ontvangen. Elektronische contactgegevens. Onder elektronische contactgegevens wordt niet alleen het adres verstaan maar ook het mobiele telefoonnummer, als dat wordt gebruikt voor de verzending van sms-berichten (zie Kamerstukken /?6, 30661,3, p. 10 en 24; Kamerstukken /07, ,. p. 12). b. Abonnee gevestigd buiten de EER en voldaan aan aldaar geldende vereisten (onderd~l b). V~or het overbrengen van ongevraagde elektronische communicatie naar g~brmkers bmten de EER (dat wil zeggen EU met ljsland, Noorwegen en Liecht~nstel~) IS geen voorafgaande toestemming vereist, als is voldaan aan de voors~hnfte~ d1e daarvoor m het desbetreffende land gelden. Alleen als in dat land een opt-m vereiste geldt m~et voc.rafgaande toestemming worden verkregen. De regeling beoogt zo ondernemmgen m Art Nederland in staat te stellen om op voet van gelijkheid met buitenlandse concurrenten aan (potentiële) klanten hun product- en diensteninformatie te zenden (zie Kamerstukken /06, 30661, 3, p , 23-24). Relatie situatie onderdeel a en onderdeel b. Ook als er gebruik wordt gemaakt van de daarvoor bedoelde elektronische contactgegevens (situatie genoemd in onderdeel a) kan de specifieke regeling betreffende de abonnee van buiten de EER (situatie genoemd in onderdeel b) van toepassing zijn. Er mag dan dus ook vanuit worden gegaan dat voorafgaande toestemming is verkregen als er reclame wordt verzonden naar het adres van abonnees die in het algemeen bekend hebben gemaakt marketinginformatie te willen ontvangen op het daarvoor bedoelde contactadres (Kamerstukken /06, 30661, 3, p. 12). 4. Elektronische contactgegevens verkregen in het kader van verkoop van dienst of product (lid 3). Lid 3 betreft een specifieke voorziening voor het gebruik van de elektronische contactgegevens die zijn verkregen in het kader van de verkoop van eigen producten of diensten. Voor het gebruik van deze elektronische contactgegevens geldt een opt -out regime als het gaat om het overbrengen van ongevraagde communicatie met betrekking tot eigen en gelijksoortige diensten en producten (zie art. 11.7, aant. 3). Bestaande klanten(?). Volgens ACM (voorheen OPTA) kan van deze uitzondering alleen gebruik worden gemaakt in de situatie waarin er daadwerkelijk sprake is geweest van het verkopen van producten of diensten van de betreffende partij bij het verkrijgen van de elektronische contactgegevens voor elektronische berichten. Als de elektronische contactgegevens ( adres) zijn verkregen in het kader van een offerteaanvraag kan er volgens de toezichthouder geen gebruik worden gemaakt van de uitzondering. Zie OPTA-besluit 2 oktober 2012, OPTA/ACNB/2012/ _OV, rand nr. 100 e.v. en het Veelgestelde vragen- en antwoorden-document van ACM over ongevraagde communicatie, te vinden op en Steun voor deze beperkte uitleg van de uitzondering vindt de toezichthouder in enkele passages in de parlementaire geschiedenis, zijnde: Kamerstukken /03, 28851, 3, p. 160; Kamerstukken l/2007/08, 30661,8, p. 8. Deze beperkte uitlegvan de uitzondering staat op gespannen voet met de tekst van de bepaling, die immers_ruimte laat voor het gebruik van contactgegevens van degenen van wie contactgegevens zijn verkregen in het kader van de verkoop van een dienst of product, zonder dàt de vérkoop al is gerealiseerd ('prospects'). S.lnforrnatieplicht (lid 4). Bij het gebruik van elektronische berichten voor commerciële, ideële en charitatieve doeleinden moet altijd de werkelijke identiteit worden medegedeeld van degene namens wie de communicatie wordt overgebracht. Het gebruik van een valse naam of pseudoniem is dus niet toegestaan. Ook moet in het elektronisch bericht een geldig postadres of nummer (in de zin van art. 1.1 onderdeel bb, zie art aant. 28) worden vermeld waar de ontvanger een verzoek tot beëindiging van dergelijke communicatie kan indienen (zie art. 11.7, aant. 4). Het CBb heeft daarbij uitgemaakt dat deze afmeldmogelijkheid (opt-out) zowel bij gevraagde als bij ongevraagde commerciële communicatie moet worden opgenomen. Ook heeft het rechtscollege, onder verwijzing naar de parlementaire geschiedenis van de wet en uitgaand van een richtlijnconforme interpretatie, uitgemaakt dat de term 'communicatie voor commerciële, ideële of charitatieve doeleinden' moet worden uitgelegd als direct marketing genoemd in art. 13 lid 4 e-privacyrichtlijn (Bijlage AS). Volgens het

21 rechtscollege moet daarom niet bij ieder gebruik van elektronische berichten voor commerciële doeleinden een afmeldingsmogelijkheid [... j worden geboden - zoals de tekst van de bepaling wel suggereert- maar alleen als daarbij sprake is van 'direct marketing'. Zie CBb 5 juni 2014, ECU:NL:CBB:2014:206, Mediaforum 2014/10, p , m.nt. Zwenne & Van Hooidonk. 6. Opt-out vo'or andere middelen c.q. telemarketing (lid 5-13). Er geldt een opt -out regime voor andere dan de in lid 1 van het artikel genoemde middelen voor het overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden. Bij dergelijke andere communicatiemiddelen moet )!Vorden gedacht aan telemarketing, dat wil zeggen het ongevraagd telefonisch benaderen van abonnees om de producten of diensten te verkopen of om hen te bewegen een schenking te doen aan een ideële of charitatieve instelling. Alleen natuurlijke personen. In art wordt de toepassing van de bepalingen over telemarketing (dat wil zeggen lid 5-12) beperkt tot abonnees die natuurlijke personen zijn (zie art. 11.8, aant. 1 ).In de praktijk blijkt overigens wel dat de verschillende bepalingen zo worden toegepast dat ook gebruikers niet zijnde abonnees erdoor worden beschermd (vergelijk Kamerstukken /12011/12, 27879, 42, p. 3 ). OI'I'A Standpunt Telemarketing 201 l.ln zijn Standpunt Telemarketing heeft OPTA (thans ACM) uiteengezet hoe hij de regels van lid 5-11 uitlegt en toepast. a. Opt-out regime (lid 5). Onder de voorwaarden van lid 5-12 mag gebruik worden gemaakt van de zogeheten 'andere middelen', tenzij de desbetreffende abonnee daartegen bezwaar heeft gemaakt. Bij deze andere middelen moet worden gedacht aan allerlei vormen van telemarketing. De abonnee moet bij elke overgebrachte communicatie (dus in het gesprek tussen relemarketeer en de abonnee) een opt-out mogelijkheid worden geboden (Kamerstukken 12003/04, 28851, C, p ; Kamerstukken /12007/08, 30661, 19, p. 3). b. 'Bel-mij-niet'-register (lid 6-8). Om abonnees in staat te stellen op eenvoudige wijze aan te geven dat zij niet ongevraagd willen worden gebeld (of anderszins via de zogeheten andere communicatiemiddelen worden benaderd), wordt voorzien in een wettelijkopt-out register, ofwel een register met gegevens van de abonnees die niet wensen te worden gebeld door telemarketingbedrijven. Voor deze bedrijven geldt de verplichting om de door hen voor ongevraagde communicatie gebruikte abonneebestanden op te schonen aan de hand van een dergelijk 'bel-mij-niet-register' (afgekort: bmnr). Een cjergelijk register bestond eerder onder naam 'infofilter' overigens al enige tijd op basis van zelfregulering (Kamerstukken /08, 30661, 8, p. 5-6). Beheerder bel-me-nietrregister. In het Aanwijzingsbesluit beheerder bel-me-niet-register (Stcrt. 2009, 86. Stcrt. 2009, 98 en Stcrt. 2012, 17228) wordt dt; Stichting Infofilter aangewezen als beheerder van het bel-me-niet-register. c. Verbod en verplichtingen (lid 9, 10 en 12). Er geldt een verbod om de in het register opgenomen abonnees ongevraagd via de andere communicatiemiddelen (met name telefonisch) te benaderen voor commerciële, ideële of charitatieve doeleinden. Verder geldt er de verplichting om alleen gebruik te maken van abonneebestanden waaruit de contactgegevens ( telefoonnummers) van de in het register opgenomen abonnees zijn verwijderd. Tijdens iedere overgebrachte communicatie (dat wil zeggen in ieder telefoongesprek) moet de abonnee worden geïnformeerd over het register, en dient hem of haar de mogelijkheid te worden geboden om direct in het register te worden opgenomen. Toepassing. Uit de rechtspraak blijkt dat er ook sprake is van communicatie in de zin van de bepaling als Art er is gebeld maar de telefoon niet is opgenomen. Zie Rb. Rotterdam 14 januari 2013, ECLI:NL:RBROT:2013:BY9426,JBP 2014/44, m.nt. Zwenne. In andere telemarketinguitspraken oordeelde de rechtbank al dat het niet uitmaakte wie er via het gebelde nummer werd bereikt. Ook als iemand anders dan de abonnee de telefoon opneemt, kan er volgens de rechtbank sprake zijn van een overtreding. Zie Rb. Rotterdam 13 december ECU:NL:RBROT:2012:BY6184; Rb. Rotterdam (vzr.) 21 febr.uari 2013, ECLI:NL:RBROT:2013:BZ4032. d Uitzondering voor gebruik contactgegevens van bestaande klanten of relaties (lid 11 ). Op het verbod van lid 9 en de verplichting van lid 10 wordt een uitzondering gemaakt voor de abonnees met wie er reeds een bestendige relatie is. dat wil zeggen: voor zover er gebruik wordt gemaakt van contactgegevens van bestaande klanten of relaties c.q. donateurs én de communicatie (telemarketing) is gericht op de verkoop van eigen gelijksoortige producten en diensten of schenkingen aan ideële of charitatieve instellingen. Onder deze voorwaarden mogen deze abonnees wel worden benaderd als ze zijn opgenomen in het opt -out register. Verder behoeven hun gegevens niet te worden verwijderd uit de bestanden waarvan gebruik wordt gemaakt voor deze specifieke telemarketingacties. Wel moeten ook deze abonnees in ieder gesprek worden gewezen op de opt-out mogelijkheid met betrekking tot het verdere gebruik van hun gegevens. Ook moeten deze abonnees in ieder gesprek worden gewezen op de mogelijkheid om in het opt-out register te worden opgenomen (Kamerstukken /08,30661, 8, p. 7-8). e Nadere regels bij AMvB (lid 13). Lid 13 voorziet in een wettelijke grondslag voor het Besluit bel-me-niet-register (Bijlage 83) dat op zijn beurt weer de grondslag biedt voor de Regeling tarieven bel-me-niet-register 2014 (Stcrt. 2009,5824 en Stcrt ). Daarin is vastgelegd hoe een en ander praktisch moet worden ingevuld. Het gaat dan om het beheer van het register, de bas.is voor bekostiging en binnen hoeveel tijd een melding geëffectueerd moet zijn, en dergelijke (Kamerstukken /08, , p. 7}. 7. Handhaving. De naleving van de verplichtingen in het artikel wordt actief gehandhaafd door ACM. Voor de bepalingen met betrekking tot ongevraagde elektronische communicatie zonder menselijke tussenkomst (lid 1-4 van het artikel) heeft de toezichthouder zijn uitgangspunten, prioriteiten en dergelijke vastgelegd in de beleidsregels Handhavingsbeleid spam (Stcrt. 2010, 660).ln voorkomende gevallen maakt de toezichthouder gebruik van waarschuwingen en met enige regelmaat worden boetes opgelegd uiteenlopend van enkele tienduizenden euro's tot soms meer dan één miljoen euro voor een aantal samenhangende overtredingen. In de regel begint ACM een onderzoek naar aanleiding van klachten die zijn binnengekomen op specifiek daarvoor aangeboden websites, zijnde voor ongevraagde elektronische communicatie zonder menselijke tussenkomst (art id 1-4) en nl voor telemarketing (art lid 5-13 ). Er is rechtspraak over onder meer de mate waarin ACM de beboete partij in kennis moet stellen van de identiteit van klagers ( CBb 22januari ECU:N L:CBB:2009:BH6932) en over de beginselplichttot handhaving: als er sprake is van slechts één of enkele klachten is ACM niet gehouden over te gaan tot handhaving (CBb 15 juni 2011, ECLI:NL:CBB:2011 :BQ8708). Zie voor een bespreking van telemarketingsanctiebesluiten en rechtspraak daarover Zwenne & Yan Hooidonk, 'Enige kanttekeningen bij de handhaving van telemarketingregels', Mediaforum 2012/6, p

22 Telecommunicatiewer. Hfdsr. 11 Artike111.7a 1. Onverminderd de Wet bescherming persoonsgegevens is het via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker, alleen toegestaan op voorwaarde dat de betrokken gebruiker: a. is voorzien van duidelijke en volledige informatie overeenkomstig de Wet bescherming persoonsgegevens, in ieder geval over de doeleinden waarvoor deze informatie wordt gebruikt, en b. daarvoor toestemming heeft verleend. 2. De in het eerste lid, onder a en b, genoemde vereisten zijn ook van toepassing in het geval op een andere wijze dan door middel van een elektronisch communicatienetwerk wordt bewerkstelligd dat via een elektronisch communicatienetwerk informatie wordt opgeslagen of toegang wordt verleend tot op het randapparaat opgeslagen informatie. 3. Het bepaalde in het eerste lid is niet van toepassing indien het de opslag of toegang betreft: a. met als uitsluitend doel de communicatie over een elektronisch communicatienetwerk uit te voeren, b. die strikt noodzakelijk is om de door de abonnee of gebruiker gevraagde dienst 'van de informatiemaatschappij te leveren of- mits dit geen of geringe gevolgen heeft voor de persoonlijke levenssfeer van de betrokken abonnee of gebruikerom informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij. 4. Een handeling als bedoeld in het eerste lid, die tot doel heeft gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren zodat de betrokken gebruiker of abonnee anders behandeld kan woeden, wordt vermoed een verwerking van persoonsgegevens te zijn, als bedoeld in artikell, onderdeel b, van de Wet bescherming persoonsgegevens. 5. De toegang van de gebruiker tot een dienst van de informatiemaatschappij die wordt geleverd door of namens een krachtens publiekrecht ingestelde rechtspersoon wordt niet afhankelijk gemaakt van het verlenen van toestemming als bedoeld In het eerste lid. 6. Bij of krachtens algemene maatregel van bestuur kunnen in overeenstemming met Onze Minister van Veiligheid en justitie nadere regels wórden gegeven met betrekking tot de in het eerste lid, onder a en b, genoemde vereisten en de in het derde lid genoemde uitzonderingen. Het College bescherming persoonsgegevens wordt om advies gevraagd over een ontwerp van bedoelde algemene maatregel van bestuur. { , Stb. 100, i.w.rr /kamersrukken 33902} [Toegang gegevens op randapparatuur (waaronder 'cooldes')) 1. Algemeen. Het artikel beoogt art. 5 lid 3 e-privacyrichtlijn (Bijlage AS) te implementeren. In deze richtlijnbepaling wordt van de wetgever verlangd dat hij ervoor zorgdraagt dat er alleen informatie op randapparatuur van de abonnee of gebruiker wordt opgeslagen. of daar vanaf wordt gehaald, met toestemming van de desbetref- Art. 11.7a fende abonnee. of g~bruiker en nadat deze daarover volledig en duidelijk is geïnformeerd. Het artikel Ziet dus op zgn. cookies maar ook op java-scripts. dialersoftware, device-fing~~pnnting en ~atuurlijk ook op spyware. virussen, trojans en dergelijke. In het dagelijks taalgebruik wordt ook wel gesproken over de cockiebepaling of het cockieartikel (Kam~rsrukken / , 3, p. 41 en 78; Kamerstukken / 11, 32549, 25; Handelrngen I~ 90, _P _ en 3-40; Kamersrukken / 2011/ , F. p. 4 eng. p. 5). Het artikel 1s mgevoegd bij de wet tot wijziging van de Telecommunicatiewet ter implementatie van de herziene telecommunicatierichtlijnen (Stb ). De wettekst is gewijzigd per 11 maart 2015 (Stb. 2015, 100) om een uitzondering op de informatieplicht en het toestemmingsvereiste op te nemen voor cockies die geen of geringe gevolgen hebben voor de persoonlijke levenssfeer van de betrokken abo~nee of ge~~iker en die worden gebruikt om informatie te verkrijgen o~.er de kwahte1t of effecttvitelt van een geleverde dienst van de informatiemaatschappij._ Geadresseerde. Als Uitgangspunt geldt dat de verplichtingen op grond van het artikel rusten op degene d1e.verantwoordelijk is voor het plaatsen van gegevens in de randapparat.u~r e~ het ~~rknjgen van toegang tot de in de randapparatuur opgeslagen gegevens. D1t IS met.altijd degene die verantwoordelijk is voor de door de gebruiker bezochte site (domem) of gevraagde dienst. Het komt veel voor dat de bezochte site zich als frame voor andere sites voordoet, met andere woorden, dat via de ene site een andere site wordt vertoond. Een voorbeeld hiervan is een adverteerder die via een banner op een andere site zijn site (dat wil zeggen een advertentie) toont. Deze adverteerder kan bij het vertonen van de banner een cookie gebruiken. Op de adverteerder rusten dan de verplichtingen bedoeld in het eerste lid voor de door de adverteerdergebruikte cookie (Kamerstukken /11, 32549, 3, p. 41 en 80-81; Kamersrukken ~ 2011/12, 32549: E, p. 4).!erritoriale toepassing. Over de toepassing van het artikel IS de parlementaire gesc~1edenis niet eenduidig. In de Tweede Kamer lijkt te worden aangenomen dat het artikel alleen van toepassing is op de aanbieders die vanuit Ne ~erland cookies en dergelijke plaatsen op de randapparatuur van gebruikers (Handelrngen /12,90, p en 3-32).1n de Eerste Kamer stelt de regering zich evenwel op het standpunt dat de Nederlandse wet ook van toepassing is als een buitenlandse website zich richt tot Nederlandse gebruikers (of eigenlijk: gebruikers in Ned~rland ). Het artikel geldt dan dus niet alleen voor Nederlandse partijen die cookies Willen plaatsen en lezen. maar voor eenieder die zich richt tot Nederlandse gebruikers en op de. randapparatuur van deze gebruikers cookies willezen en plaatsen. Omdat de bepalingtot doel heeft om gebruikers te beschermen, geldt deze voor eenieder die gegevens WJI plaatsen op randapparatuur van gebruikers in Nederland, of op die apparatuur opgeslagen gegevens wil lezen, ongeacht waar deze partij gevestigd is. Uit Hvj EU 7 december 2010, C-585/08 en C-144/09 blijkt dat snel moet worden aangenomen dat een partij zich richt tot de Nederlandse markt/gebruikers. Ook buitenlandse aanb1e~ers van internetpagina's die cookies plaatsen op en lezen van computers van gebrulkers m Nederland vallen dus onder het artikel (Kamerstukken /2011/ , E, p. 7-8). Handhaving. De online advertentienetwerken die gebruik make~ van tracki?g cookies opereren wereldwijd, maar zijn volgens de regering veelal ook gevestigd m Nederland. Om deze reden zou de handhaving van het artikel. ook als het gaar om dergelijk~ w~reldwijd opererend~ partijen, niet problematisch hoeven te zijn. Als het om een met m Nederland gevestigde partij gaat die opereert vanuit een an-

23 Telecommunicatiewet, Hfdst. 11 dere lidstaat, is een toezichthouder in die andere lidstaat bevoegd om de norm uit de richtlijn te handhaven (zie aant. 7; Kamerstukken / , E, p ). 2. Cookies en dergelijke (lid 1). Het opslaan van gegevens op randapparatuur, en het daar vanaf halen, gebeurt vooral met behulp van cookies (zie aant. 1). In veel gevallen gaat het om eenvoudige tekstbestandjes waarmee een website-exploitant bijvoorbeeld de toegankelijkheid van de eigen website kan vergemakkelijken. Een voorbeeld betr~ft het in een cookie opslaan van gebruikersnaam en/of wachtwoord, waardoor de gebruiker niet telkens opnieuw deze gegevens behoeft _in te voeren. Andere, in termen van privacybescherming minder onschuldig geachte cookies worden gebruikt om het surfgedrag van bezoekers op een of meerdere websites in kaart te brengen. Dergelijke cookies worden wel aangeduid als 'tracking cookies' of ook wel'analytic cookies'. Er wordt gesproken van 'first party cookies' als het gaat om cookies die worden gebruikt door de website-exploitant van wie de website wordt bezocht. Van 'third party cookies' is sprake als de cookies worden geplaatst door andere partijen (zoals adverteerders) dan de website-exploitant. Onder 'flash-cookies' worden cookies verstaan die gebruikmaken van de Adobe flash-speler, een toepassing waarvan websites gebruikmaken om audio- en videobestanden af te spelen. Het vermijden of verwijderen van flash-cookies is doorgaans veellastiger dan het geval is bij gewone cooktes. Voor de cookies die worden gebruikt voor commerciële, charitatieve of ideële doeleinden (zie aant. 3) wordt in de parlementaire geschiedenis ook wel de term 'commerciële cookies' gebruikt (Kamerstukken 1/2010/11, 32549, 39; Kamerstukken I 2011/12,32549, E, p. 4-5; Handelingen 1/2010/11.90, p en 3-33). First party analytic cookies. Onder first party analytic (of: analytische) cookies of statistiekcaokies worden de cookies verstaallwaarmee uitsluitend gegevens over het gebruik van de eigen website worden verzameld ten behoeve van het verbeteren van de werking van die website. Met inwerkingtreding van de wetswijziging van 11 maart 2015 (Stb. 2015, 100) is beoogd dergelijke 'effectiviteits- àf kwaliteitscookies' uit te zonde:en van de in lid 1 van het artikel opgenomen informatieplicht en toestemmingsveretste (aant. 8). Geadresseerde. De verantwoordelijkheid voor het naleven van in het artikel opgelegde verplichtingen rust op degene die verantwoordelijk is voor het opslaan van gegevens in de randapparatuur en het daar vanaf halen. Dit is niet altijd degene die verantwoordelijk is voor de door de gebruiker bezochte website (domein) of gevraagde dienst. Een adverteerder kan bijvoorbeeld gebruik maken van cookies bij het vertonen van zijn banners op de website van ander. Op deze adverteerder rusten dan de verplichtingen bedoeld in lid 1 voor de door de adverteerder gebruikte cookie.ln veel gevallen zal deze adverteerder daarvoor afspraken moeten maken met de verantwoordelijke voor de website waarop zijn banner is te zien (Kamerstukken 1/2010/ 11, 32549, 3, p. 41 en ). Gebruiker. De in het artikel opgelegde verplichtingen (informatieplicht genoemd in onderdeel a en het toestemmingsvereiste genoemd in onderdeel b) gelden ten opzichte van de gebruiker, en niet ten opzichte van de abonnee. Onder het begrip 'gebruiker van randapparatuur' worden zowel de abonnee die gebruiker is verstaan als de gebruiker die geen abonnee is. Degene die de verplichtingen moet naleven, kan niet weten of hij te doen heeft met een abonnee en dat valt door hem niet te controleren. Denk aan een gezinssituatie waarbij een van de ouders de abonnee is en waarbij ook gezinsleden gebruik maken van op hetzelfde lp-adres. Evenmin kan deze niet weten of meerdere gebruikers gebruik maken van hetzelfde randapparaat Art. 11.7a In de toelichting wordt aangegeven dat dit ook niet behoeft te worden gecontroleerd (Kamerstukken 1/2010/11,32549, 3. p. 81 ). a Duidelijke en volledige informatie (onderdeel a). De gebruiker moet duidelijk en volledig zijn geïnformeerd over het opslaan van de informatie op de randapparatuur of het daar vanaf halen, en in elk geval over de doeleinden waarvoor dit wordt gedaan. De informatie dient duidelijk leesbaar, gemakkelijk vindbaar en volledig te zijn voor de gebruiker. Daarvoor kan worden gezorgd door middel van een duidelijk zichtbare hyperlink naar een webpagina met het privacy- of cookiebeleid, waarop de informatie in een duidelijke vorm is te vinden. Het is echter niet voldoende als de informatie wordt gegeven in niet gemakkelijk vindbare algemene voorwaarden en als het niet duidelijk is dat die informatie in de algemene voorwaarden staat (Handelingen /1 1, 8 juni , p. 3 en 2728). Bonners. Het voldoen aan de informatieplicht kan lastig zijn voor de adverteerder die banners plaatst op een website van een ander, en die in dat kader een cookie plaatst (zie aant. 1). De' voor de banner beschikbare ruimte is doorgaans te beperkt om de gebruiker volledig te informeren over het geplaatste cookie. In dat geval kan de adverteerder overeenkomen met de verantwoordelijke voor de site waarop zijn banner is te zien, dat de laatste de informatieverplichting namens de adverteerder zal uitvoeren. Dit kan door de informatie over de door de adverteerder gebruikte cookies te plaatsen op de bezochte site, bijvoorbeeld als onderdeel van de informatie over de cookies die door de bezochte site worden gebruikt. Daarbij dient wel duidelijk te worden gemaakt dat de caokies worden gebruikt door een ander dan degene die de bezochte website aanbiedt (Kamerstukken /11,32549, 3, p ). Wet bescherming persoonsgegevens. Het informeren van de gebruiker moet gebeuren overeenkomstig de Wet bescherming persoonsgegevens {Wbp) (art. 33 en 34 Wbp ). Daarin staat dat, als er sprake is van verwerking van persoonsgegevens, aan de betrokkene informatie moet worden verstrekt over de identiteit van degene die verantwoordelijk is voor de gegevensverwerkingen, de doeleinden waarvoor de gegevens worden verwerkt, alsmede nadere informatie voor zover dat nodig is om tegenover de betrokkenen een zorgvuldige verwerking te waarborgen (art. 33 Wbp, aant. 2-4, art. 34 Wbp, aant. 2 en 3). Onduidelijk is in hoeverre de in art. 43 Wbp voorziene uitzonderingen ook van toepassing kunnen zijn op de informatieplicht voor cookies en andere op de randapparatuur van de gebruiker te plaatsen of daar vanaf te halen persoonsgegevens (art. 43 Wbp, aant 1 en 2). Uit de tekst van het artikellijkt te moeten worden afgeleid dat, in het geval er geen sprake is van verwerking van persoonsgegevens, er geen betekenis toekomt aan voornoemde Wbp-bepalingen. Van belang is wel dat het gebruik van zogeheten 'commerciële cookies' of 'tracking cookies' wordt vermoed verwerking van persoonsgegevens te betreffen (zie aant. 3). b Toestemming (onderdeel b). Voor het opslaan van gegevens op randapparatuur. en het daar vanaf halen van gegevens, is toestemming van de gebruiker vereist. Onder toestemming van een gebruiker wordt in art onderdeel g verstaan toestemming van een betrokkene als bedoeld in art. 1 onderdeel i Wbp, dat wil zeggen: een vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. Uit art onderdeel a blijkt dat een gebruiker in de context van hoofdstuk 11 Tw een natuurlijke persoon is die gebruik maakt van een openbare elektronische communicatiedienst voor particuliere of zakelijke doeleinden zonder noodzakelijkerwijze op die dienst te zijn geabonneerd (respectievelijk art. 11.1, aant. 8 en 2). Geen ondubbelzinnige toestemming. Een amendement (Ka-

24 merstukken / , 14) dat ertoe strekte om in plaats van gewone toestemming voor cookies ondubbelzinnige toestemming te vereisen is niet aangenomen. Wel is door middel van een ander amendement (Kamerstukken l/2010/ , 39) voor zogeheten commerciële cooldes een bewijsvermoeden opgenomen met betrekking tot de toepassing van de Wbp (zie aant. 3 ). Volgens het CBP betekent dit dat dergelijke caokies uitsluitend mogen worden geplaatst met de ondubbelzinnige toestemming van de desbetreffende internetgebruiker. Dit omdat 'het plaatsen en lezen van de cookies en de bijbehorende verwerking van persoonsgegevens nauw verbonden zijn', zodat. volgens de privacytoezichthouder. 'voor d.e verwerking van de persoonsgegevens onvermijdelijk de ondubbelzinnige toestemming van de betrokken internetgebruiker nodig is'; zie het CBP-Rapport definitieve bevindingen inzake het Onderzoek naar de verwerking van persoonsgegevens door YD voor behavioural targeting, Z , 29 april 2014 ( In de parlementaire geschiedenis is voor dit standpunt echter geen steun te vinden (Kamerstukken l/2013/14, 33902, 3, p ). Geen toestemming voor iedere geplaatste cookie. Er hoeft geen toestemming te worden gevraagd voor iedere afzonderlijke cookie (of andere toepassing dan cookies; zie aant. I) die wordt geplaatst of benaderd. Het is mogelijk dat de gebruiker één keer toestemming geeft aan een website voor een bepaalde duur. Het is daarna gedurende die periode dus niet meer nodig om nogmaals toestemming te vragen en te verkrijgen (Handelingen l/2010/11. 90, p. 3-28). Ook is mogelijk dat een websiteaanbieder ervoor kiest eenmalig namens alle partijen (adverteerders ) die via zijn website cookies plaatsen en lezen toestemming te vragen. Ook kan de partij die cookies plaatst en leest en daarbij gebruik maakt van meerdere sites eenmalig toestemming vragen voor het lezen en plaatsen van cookies via al deze sites. Ook een combinatie van beide wijzen van omgaan met het toestemmingsvereiste is mogelijk. Hierdoor kan het aantal malen dat daadwerkelijk toestemming moet worden gegeven aanzienlijk worden beperkt (Kamerstukken /2011 /12,32549, E.p. 12). Bewijs van toestemming. Op grond van art. 5:45 Awb kan ACM tot vijf jaar nadat een mogelijke overtreding van het bepaalde in lid 1 heeft plaatsgevonden een onderzoek starten en eventueel handhavend optreden. Dit betekent dat degene die een cookie plaatst of uitleest gedurende vijf jaar daarna zal moeten kunnen aantonen dat hij dit uitsluitend heeft gedaan nadat de gebruiker daarvoor toestemming heeft verleend. Over de wijze waarop de websitehouder dit zou moeten doen was bij de parlementaire behandeling van de caokieregels discussie. Op haar website deed ACM de_suggestie om vast te leggen hoe de toestemming is verkregen. hoe de gebruiker daarbij geïnformeerd werd en het tijdstip waarop de toestemming is verkregen. En daarbij zouden dan ook de lp-adressen kunnen worden opgeslagen van de (randapparaten van de) gebruikers die toestemming hebben verleend. Een meer voor de hand liggende manier om aan te tonen dat overeenkomstig het in lid 1 bepaalde is gehandeld, is om het proces van het plaatsen en lezen van caokies softwarematig zo in te richten dat dit niet kan gebeuren zonder toestemming van de gebruiker. Deze bewijsmethode wordt aanbevolen, omdat die minder privacygevoelig is en ook minder administratieve lasten met zich mee brengt. ACM heeft aangegeven dat partijen ook kunnen_ bewijzen conform de wet te hebben gehandeld door een beschrijving van hun proces te overleggen waaruit blijkt dat geen cookies geplaatst kunnen worden zonder toestemming van de gebruiker. Om ook tot vijf jaar later op verzoek van ACM te kunnen aantonen dat het proces van het plaatsen en lezen van cookies al die tijd zo is ingericht dat geen caokies worden geplaatst of Art. l1.7a gelezen zonder toestemming van gebruikers, kan een log worden bijgehouden van eventuele softwarematige wijzigingen met betrekking tot het proces van het plaatsen en lezen van cookies en de tijdstippen waarop die zijn doorgevoerd. Dan is niet nodig om een lijst bij te houden van de lp-adressen van gebruikers en de tijdstippen waarop zij toestemming hebben verleend; aldus Kamerstukken /15, 33902, E. p Browserinstellingen. In de instellingen van de gebruikte webbrowser (bijvoorbeeld Internet Explorer, Safari, Firefox of Chrome) kan de gebruiker zelf aangeven of bepaalde cookies moeten worden geaccepteerd of niet. In overweging 66 Richtlijn burgerrechten (Bijlage A7) wordt erop gewezen dat, overeenkomstig de desbetreffende bepalingen van de Privacyrichtlijn 1995, de toestemming van de gebruiker met verwerking wordt uitgedrukt door gebruik te maken van de desbetreffende instellingen van een browser of een andere toepassing. In zijn advies over het wetsvoorstel kon de Raad van State zich daarin echter niet zonder meer vinden. In zijn advies verwijst hij naar Opinion 2/2010 on behaviaral advertising van 22 juni 2010 van de Artikel 29 Werkgroep (zie 17l_en.pdf). Daarin wordt opgemerkt dat veel browsers als standaardinstelling caokies accepteren en ook dat de door de gebruiker gemaakte keuze door nashcookies kunnen worden omzeild, alsmede dat er via de browserinstellingen eenmalig toestemming zou worden gegeven voor alle toekomstige cookies zonder nadere overweging omtrent het doel daarvan. Om deze redenen meent de werkgroep dat er niet zonder meer vanuit moet worden gegaan dat een gebruiker door middel van browserinstellingen inderdaad toestemming heeft gegeven (Kamerstukken / , 3, p. 80; Kamerstukken l/2010/ , 4. p. 4-5; Kamerstukken I /12, 32549, E, p. 9). Do NotTrack standaard. Zowel de Commissie als de Federal Trade Commission, alsook het World Wide Web Consortium (W3C) proberen te komen tot werkbare en gebruiksvriendelijke wijzen om gebruikers controle te geven over de caokies die op hun randapparatuur worden geplaatst en uitgelezen. De bedoeling daarvan is om te komen tot een protocol (Do Not Track) op basis waarvan webbrowsers geschikt kunnen worden gemaakt om toestemming over te brengen (zie Kamerstukken 12011/12, 32549, G. p. 3; Kamerstukken /2011 / , I~ Veelgestelde vragen over cookieregels. In een document met de titel 'Veelgestelde vragen over de cookiebepaling' heeft ACM toelichting gegeven op hoe enkele van de relevante begrippen uit het artikel naar haar oordeel moeten worden uitgelegd ( Voor zover er persoonsgegevens worden verwerkt (of: vermoed wordt te worden verwerkt) met behulp van cookies heeft ook het College bescherming persoonsgegevens op zijn website ( toelichting gegeven over hoe naar zijn oordeel de wet moet worden uitgelegd. 3. Voorafgaand aan elektronische communicatie te instaueren software (lid 2). De informatieverplichting en het toestemmingsvereiste van lid 1 onderdeel a en b, gelden niet alleen als dit gebeurt door middel van een elektronisch communicatienetwerk, maar ook als er aan de gebruiker software ter beschikking wordt gesteld die na installatie door middel van elektronische communicatie een verbinding maakt, Waarmee een ander vervolgens toegang kan verkrijgen tot gegevens die zijn opgeslagen op het randapparaat of waarmee gegevens daarop kunnen worden geplaatst. Als dergelijke software wordt verkocht of ter beschikking wordt gesteld, moet de gebruiker daarover dus worden geïnformeerd. Ook moet bij installatie ervan de toestemming

25 Telecommunicatiewet, Hfdst. 11 van de gebruiker worden gevraagd en verkregen (zie memorie van toelichting bij het ontwerpwetsvoorstel Wijziging van de Telecommunicatiewet ter implementatie van de herziene telecommunicatierichtlijnen (consultatieversie 15 april2010), p. 40). 4. Uitgezonderde cookies: technische en functionele cookies, kwaliteits-of effectiviteitscookies (lid 3). Technische en functionele cookies. Caokies kunnen een legitiem en nuttig hulpmiddel zijn om ervoor te zo~gen dat de di~nstverlening via internet naar behoren functioneert. Zo maken caokies het mogelijk dat de door de gebruiker gekozen persoonlijke instellingen en voork~uren van een websi~e (zoals de taal ) worden 'onthouden' bij het browsen of surfen bmnen het bezochte mternetdomein en bij herhaald bezoek aan dit domein. Deze zogeheten 'techni~che cookies'.of 'functionele cookies' worden alleen geplaatst en gelezen door de website (het domem) die (dat) de gebruiker zelf bezoekt. Er zijn met andere woorden situaties w~arin de technische opslag of toegang tot gegevens inherent is aan de toegepaste techmek voor de communicatie over een elektronisch communicatienetwerk: zonder deze technische opslag of toegang tot gegevens, is communicatie met gebruik van voorkeuren en instellingen niet mogelijk dan wel uitermate moeilijk. Daarnaast komt het voor dat de opslag van gegevens of het lezen van gegevens no?dzakelijk is om ervoo~. te zorg~n dat de aanbieder een door de gebruiker gevraagde dienst kan leveren. Zo ZIJn caokies vaak nodig bij het plaatsen van bestellingen in webwinkels en het verrichten van transacties. Als deze gegevens worden opgeslagen, dan wel toegang tot deze opgeslagen gegevens wordt verleend, met als uitsluitend doel de uitvoering van de_ communicatie of, indien dit strikt noodzakelijk is, om ervoor te zorgen dat de aanbieder van een uitdrukkelijk door de gebruiker gevraagde dienst van de informatiemaatschappij deze dienst levert, vallen deze handelingen onder de uitzonderingsbepaling in dit lid. Daarbij kan bijvoorbeeld ook worden gedacht aan het gebruik van het cachegeheu?en. Over het opslaan van en toegang verkrijgen tot de!"!:elijke gegevens_hoeft de gebruiker dus niet te worden geïnformeerd, en evenmin behoeft toestemmmg te worden verkregen (Kamerstukken /11, 32549, 3, p. 78; Handelingen /11, nr. 90, item 3, p. 28).lnstellingen en voorkeuren. Over de toepassing van ~eze uitz~nderi_ng wor~~ in de EU-lidstaten verschillend gedacht. Uit de parlementaire geschiedems daarbij lijkt te kunnen worden opgemaakt dat volgens de Nederlandse wetgever ook caokies die het mogelijk maken om een wachtwoord of taalinstellingen vast te leggen, onder deze uitzondering vallen. In zijn Opinion 04/2012 lijkt de Artikel 29 Werkgroep, het overlegorgaan van nationale privacytoezichthouders, deze opvatting niet te delen (http: /fec.europa.eufjustice/data-protectionfarticle-29/index_en.htm). Kwaliteits-of effectiviteitscookies met geringe privacygevolgen. Er zijn ook caokies die, alhoewel niet technisch noodzakelijk, wel heel nuttig zijn en die ook nauwelijks nadelige gevolgen hebben voor de privacy van de gebruiker. Het gaat hierbij om caokies die uitsluitend worden gebruikt om informatie te verkrijgen over de kwaliteit of effectiviteitvan een dienst van de informatiemaatschappij. Ook deze caokies zijn uitgezonderd van de informatieplicht en het toestemmingsvereiste van lid 1. mits het gebruik ervan geen of slechts geringe gevolgen heeft voor de persoonlijke levenssfeer van de internetgebruiker. Het gaat dan onder andere om 'analytics', 'affiliate cookies' of 'performance cookies' en 'a/b-test cookies'. Analytics. Analytic caokies worden gebruikt om het gebruik van een bepaalde website in kaart te brengen en te analyseren, zodat de kwaliteit van de website verbeterd kan worden. Dit is een duidelijk voorbeeld van Art. 11.7a caokies die worden gebruikt om informatie te verkrijgen over de kwaliteit of effectiviteit van een dienst van de informatiemaatschappij. Om onder de uitzondering te vallen. mag het gebruik van deze caokies geen of slechts geringe gevolgen hebben voor de persoonlijke levenssfeer van de internetgebruiker. Ook eventueel verder gebruik van de met deze caokies gegenereerde gegevens mag niet meer dan geringe gevolgen hebben voor de privacy. Als de privacygevolgen voor de internetgebruiker gering zijn, valt het gebruik van analytic caokies onder de uitzondering op de cao kiebepaling. Dit geldt voor zowel first party analytic cookies, als third party analytic cookies: beide kunnen onder de uitzondering vallen (Kamerstukken /14,33902, 3. p. 8-9). A.ffiliate caokies (peiformance cookies). Een ander voorbeeld van caokies die onder de uitzondering vallen, zijn affiliate of performance cookies, zijnde de caokies die worden gebruikt om bij te houden welke advertentie leidt tot een aankoop, zodat degene die deze advertentie heeft getoond (de affiliate ), hiervoor een beloning kan ontvangen. Dit type caokies kan worden geplaatst bij vertoning van een advertentie voor een bepaald product. Op het moment dat een bezoeker via een webwinkel dit product heeft aangeschaft, worden één of meer caokies uitgelezen door de affiliatenetwerken waarvan de adverteerder gebruik maakt. Door middel van de caokies wordt nagegaan of de bezoeker tot deze aankoop is overgegaan na het zien van de advertentie waarbij de affiliate cookie is geplaatst, en zo ja, door welke affiliate.lndien dit het geval is, ontvangt de affiliate die de advertentie heeft vertoond een commissie van de verkoper van het product. Deze affiliate caokies verschaffen informatie over de effectiviteit van een getoonde advertentie (een geleverde dienst van de informatiemaatschappij) in die zin dat de cookie bijhoudt of de advertentie geleid heeft tot een aankoop. Met deze informatie wordt bepaald welke affiliate recht heeft op de beloning omdat zijn advertentie heeft geleid tot een verkoop.lndien de caokies en de daarmee verkregen gegevens uitsluitend met dit doel worden gebruikt, zal dit geen of nauwelijks gevolgen hebben voor de privacy van de internetgebruiker. De cookie is ook niet bedoeld om informatie te verzamelen over de gebruiker. Hiermee valt het gebruik van dit type caokies-mits uitsluitend met dit doel - onder de uitzondering op de cookiebepaling. Of de caokies alleen voor dit doel worden gebruikt kan onder meer blijken uit de omstandigheid dat de levensduur van de caokies niet langer is dan nodig voor dit doel (Kamerstukken /14, 33902, 3, p. 9-10). Ajb-testing. Bij afbtesting worden twee verschillende versies (versie a en versie b) van bijvoorbeeld een reclamebanner of een website getoond, en wordt met behulp van een cookie bijgehouden welke van de twee varianten het meest effectief is. Voor reclamebanners kan die effectiviteit bijvoorbeeld worden gemeten in de hoeveelheid bezoekers die op de reclamebanner klikt. Om te meten op welke van de twee versies relatief het vaakst wordt geklikt, kan gebruik worden gemaakt van caokies (Kamerstukken /14, 33902, 3, p. 10). Overige situaties. De genoemde voorbeelden zijn niet uitputtend. Indien toekomstige ontwikkelingen daar aanleiding toe geven kan de ACM in overleg met het CBP in een beleidsregel duidelijk maken of andere dan deze categorieën van cookies worden beschouwd als caokies die noodzakelijk zijn om informatie te verkrijgen over de kwaliteit of effectiviteit van een dienst van de informatiemaatschappij, en welke omstandigheden relevant zijn bij de beoordeling of voldaan wordt aan de voorwaarde dat er geen of slechts geringe gevolgen zijn voor de persoonlijke levenssfeer van de betrokken abonnee of gebruiker. Daarrover kunnen nadere regels worden gesteld bij of krachtens AMvB (Kamerstukken IJ 2013/14, 33902, 3, p. 11 ).

26 5. Vermoeden van verwerking persoonsgegevens (lid 4).In de Tweede Kamer was enige discussie over de vraag of de Wbp van toepassing is op cockies en dergelijke toepassingen (Kamerstukken /11, 32549, 3. p. 79 en nr. 39; Handelingen /11. nr. 90, item 3, p. 28, 32 en 33 ). Uitgaand van de in deze wet gegeven begripsomschrijvingen en de toepasselijkheidsregeling (respectievelijk art. 1 Wbp, aant. 1 en 2, art. 2 Wbp, aant. 1 en art. 4 Wbp, aant. 1 en 2) is dat het geval als er met behulp van cockies persoonsgegevens worden verwerkt door een verantwoordelijke in Nederland (art. 1 Wbp, aant. 5 ). Ook waren er in de Kamer zorgen over de privacy-implicaties van cockies die door anderen dan de bezochte website worden geplaatst, zogenaamde 'third party cookies' (zie aant. 2; Kamerstukken /11, 32549, 39), alsmede over de cookies waarmee surfgedrag, interesses en andere gegevens van gebruikers worden geanalyseerd voor commerciële doeleinden (zogenaamde 'behavaria! advertising' of 'behavorial targetting'). Om deze laatste zorgen zoveel mogelijk weg te nemen, is bij amendement (Kamerstukken /12, 32549, 39) aan dit lid een alinea toegevoegd dat voorziet in een bewijsvermoeden: als er door middel van caokies gegevens worden verzameld, gecombineerd geanalyseerd voor commerciële, charitatieve of ideële doeleinden, wordt vermoed dat er sprake is van een verwerking van persoonsgegevens in de zin van art. 1 onderdeel a en b Wbp (art. 1 Wbp, aant. 1 en 2). Op een dergelijke verwerking kan de Wbp van toepassing zijn als is voldaan aan de voorwaarden van art. 2 en 4 van deze wet (art. 2 Wbp, aant. 1 en 2. art. 4, aant. 1 en 2). Anders dan in de toelichting van het amendement wordt gesuggereerd leidt de eventuele toepassing van de Wbp er niet noodzakelijkerwijs toe dat dan altijd moet worden voldaan aan het strengere vereiste van ondubbelzinnige toestemming (zie aant. 1 onder b en art. 8 Wbp, aant. 1 onder a). Art. 8 Wbp biedt ook andere verwerkingsgrondslagen, zoals de uitvoering van een overeenkomst of het gerechtvaardigd belang van de verantwoordelijke of een derde (zie art. 8 Wbp, aant. 1 onder b-f) Kamerstukken /12, 32549, E, p. 5-6~Kamerstrlkken /14, 33902, 3, p Echter, omdat er op grond van lid 1 hoe dan ook toestemming is vereist, zal het soms wel voor de hand kunnen liggen om uit te gaan van ondubbelzinnige toestemming. Verenigbaarheid met EU-recht. Het bewijsvermoeden gaat verder dan de e-privacyrichtlijn (Bijlage AS) vereist. Volgens de toelichting is het toch niet in strijd met de richtlijn en het EU-recht, omdat de bepaling materieel niet daarvan zou afwijken (Kamerstukken /12,32549, E.p. 2 en 4-5. eng. p. 1-2). Omdat het niettemin niet wenselijk wordt gevonden dat er in Nederland, gelet op de interne markt, andere regels gelden dan in de rest van de EU. heeft de Eerste Kamer erop aangedrongen op terughoudendheid daarbij. Als er toch wordt afgeweken van de Europese richtlijnen meent de senaat dat de rechtvaardiging daarvan expliciet en gemotiveerd aan de orde moet worden gesteld bij de behandeling van het wetsvoorstel of amendementen daarop (Kamerstukken / , KJ. Inwerkingtreding. De inwerkingstredingsdatum van het bewijsvermoeden dat volgt uit de tweede volzin van lid 1 was bepaald op 1 januari Dit omdat daarvoor een redelijke termijn nodig werd geacht om eraan te kunnen voldoen (aldus NvT, Besluit implementatie herziene telecommunicatierichtlijnen, Stb , p. 33). 6. Geen cookiemuur bij krachtens publiekrecht ingestelde rechtspersonen (lid 5). De term 'cookiemuur' duidt op de situatie waarin alleen toegang wordt gegeven tot een (deel van) een website als de gebruiker toestemming geeft voor het plaatsen en Art tezen. van cookies.. Lid 5 is bij amendement in de wet opgenomen en verbiedt dat de webs1~es van pubheke mstel~ingen, ~oals de Nederlandse Publieke Omroep of NPO, gebrul~. mogen maken van z~ n cook1emuur. De gebruikers van deze websites moeten dus alt!jd toeg~ng kunnen knjgen tot deze websites, ook indien zij bepaalde privacygevoelige cook1es met accepteren. Omdat deze websites met overheidsgeld.. fi. rd en d d.. b ZIJO ge,_ nanc1e us ree.. s ZIJO etaald, kan de internetgebruiker niet worden gedwongen o~ n~gmaals met ZIJn pnvacy voor toegang tot deze websites te betalen. De gebruiker d1ent m deze gevallen dus te allen tijde een keuzemogelij.kheid te hebb oelige c k' en om pnvacygev. oo Jes me~ te a~cepte~n. Om deze reden is een verbod op cockiemuren voor websites van publieke mstelhngen gerechtvaardigd (Kamerstukken en Handelingen 112 oktober 2014/9, nr. 4, p. 16). ' 7. Nad~re regels met betrekking tot informatieplicht en toestemmingsvereiste {lid 6). Er 1s (nog) g_een alge~ene maatregel van bestuur vastgesteld met nadere regels betre~en~e de mforma.tlephcht en het toestemmingsvereiste. Dit omdat het de verwachtmg IS van de bewmds~rsoon dat in de handhavingspraktijk snel duidelijkheid zal ontstaan ove.r de toepassmg van regels in een concreet geval. Voor de nog op te stellen ~egelgevmg ~eldt d~t deze zal worden geconsulteerd (aldus toelichtin. bi' BeslUlt 1mplementat~ e hemene telefommunicatierichtlijnen, Stb. 2012, 236, p. f3). J 8. Toezicht. ACM is verantwoordelijk voor het toezicht op de naleving van de verplichnngen van ~et artikel. Daarvoor is. ge~ozen omdat ACM al was belast met het toezicht o~ de cook1ebepahng en de verphchtmg voor aanbieders van elektronische commumcatledlensten om ~aan:egelen.te treffen om de privacy van hun klanten te beschermen. De wetgever wilde, m het hcht van zijn keuze voor strikte implementatie geen verandenngen aanbrengen in het toez!cht (Kamerstukken //2010/11, 32549, 3, ~ ).. Als er persoonsgegevens door mlddel van cockies en dergelijke (vergelijk het bewijsvermoeden van slotzin van lid 3; aant. 3) worden verwerkt, is ook de Wbp van toepassmg. Op de nalevmg van de Wbp ziet het CBP toe. Maar in alle gevallen blijft ACM (ook) bevoegd om toe te z1en op de naleving van art. 11.7a Tw (Kamerstukken /12,32549, E, p ). Artikel11.8 De toepassing van de artikelen 11.6 en 11. 7, vijfde tot en met twaalfde lid is beperkt tot abonnees die natuurlijke personen zijn. { , Stb. 525, i.w.tr /kamerstukken '.!Toepassing art en 11.71id 5 t{m 12 beperkt tot abonnees-natuurflik personen) e :~kenls. De toepassingvan de eers~evier!~den van art strekt zich uit tot abonbesc die r~chtspersonen zijn. Dit omdat de wetgever ook deze abonnees onder de de a~ermmg wilde brengen van het daarin geregelde opt -in regime voor ongevraag- 2005/omatlsche oproepen, faxen en.elektronische berichten (zie Kamerstukken 11 (I d , ~r. 3, p. 8). De toepassmgvan de bepalingen die zien op telemarketing e en 5 t/m 12) IS beperkt tot abonnees die natuurlijke personen zijn.

27 Artikel11.8a 1. Indien de Autoriteit Consument en Markt met bevoegde nationale instanties in andere lidstaten maatregelen overeen komt aangaande grensoverschrijdende samenwerking bij de handhaving van hoofdstuk 11 waarbij grensoverschrijdende gegevensstromen betrokken zijn, verstrekt de Autoriteit Consument en Markt de Europese Commissie ruime tijd voordat die maatregelen worden vastgelegd een samenvatting van de redenen voor optreden, de geplande afspraken en de voorgestelde aanpak. 2. Bij het vastleggen van de maatregelen houdt de Autoriteit Consument en Markt zoveel mogelijk rekening met de door de Europese Commissie gemaakte opmerkingen en aanbevelingen. [ , Stb. 102, Lw.tr /kamerstukken 33186/ (Handhaving grensoverschrijdende gegevensstromen I Betekenis. In het artikel wordt lid 4 van art. 1Sbis e-privacyrichtlijn (Bijlage AS) geïmplementeerd. Voor een effectieve handhaving van enkele bepalingen van hoofdstuk 11 kan het nodig zijn dat ACM en de NRI's van een of meer andere lidstaten samenwerkingsarspraken maken en daartoe procedures opstellen. Hierbij kan worden gedacht aan de bestrijding van grensoverschrijdende spam en spyware. In art. 15bis lid 4 e-privacyrichtlijn wordt voorgeschreven dat alvorens die afspraken en procedures worden vastgelegd deze tijdig aan de Commissie worden voorgelegd. De Commissie kan opmerkingen over de verstrekte informatie maken of aanbevelingen doen met name om er voor te zorgen dat de beoogde maatregelen geen negatieve gevolgen voor de werking van de gemeenschappelijke markt hebben. ACM dient zoveel mogelijk met de opmerkingen en aanbevelingen van de Commissie rekening te houden. Deze verplichting is neergelegd in lid 2 van het artikel. Zie memorie van toelichting bij het ontwerp-wetsvoorstel Wijziging van de Telecommunicatiewet ter implementatie van de herziene telecommunicatierichtlijnen ( consultatieversie 15 april2010), p Nummeridentificatie Artikel De aanbieder van een openbaar elektronisch communicatienetwerk en de aanbieder van een openbare elektronische communicatiedienst die door middel van dat netwerk of als onderdeel van die dienst nummeridentificatie aanbiedt, biedt: a. aan iedere oproepende gebruiker onderscheidenlijk abonnee mogelijkheden aan om kosteloos de verstrekking van het nummer van het oproepende netwerkaansluitpunt dan wel een nummer waarmee een individuele gebruiker kan worden geïdentificeerd te blokkeren onderscheidenlijk de verstrekking van nummers van oproepende netwerkaansluitpunten dan wel nummers waarmee individuele gebruikers kunnen worden geïdentificeerd voor elke afzonderlijke abonneelijn te blokkeren; b. aan iedere opgeroepen abonnee mogelijkheden aan om: Art de verstrekking van het nummer van het oproepende netwerkaansluitpunt dan wel een nummer waarmee een individuele gebruiker kan worden geïdentificeerd te verhinderen; 2o oproepen waarbij de verstrekking van het nummer van het oproepende netwerkaansluitpunt dan wel een nummer waarmee een individuele gebruiker kan worden geïdentificeerd is geblokkeerd, te weigeren; 3 indien nummeridentificatie als bedoeld in artikel U, onderdeel cc, onder 2, wordt aangeboden, kosteloos de verstrekking van het nummer van het opgeroepen netwerkaansluitpunt dan wel een nummer waarmee een individuele gebruiker kan worden geïdentificeerd aan het oproepende netwerkaansluitpunt te blokkeren. 2. Bij ministeriële regeling worden nadere regels gesteld met betrekking tot: a. mogelijkheden tot blokkering en weigering; b. de voorwaarden waaronder de abonnee de identificatie van het nummer van oproepende netwerkaansluitpunten dan wel een nummer waarmee een individuele gebruiker kan worden geïdentificeerd kan doen verhinderen; c. de wijze waarop uitvoering aan nummeridentificatie in het internationale elektronische communicatieverkeer kan worden gegeven, en d. de wijze waarop de aanbieders, gebruikers en abonnees voorlichten over het gebruik van nummeridentificatie. f , Stb. 5,93. i.w.tr /kamerstukken 30027/ ( Nummeridentificatie I 1. Algemeen. Het artikel implementeert art. 8 Richtlijn 2002/58/EG ( e-privacyrichtlijn, bijlage AS) en stelt regels voor nummeridentificatie. ('calling line identification' afge kort 'CU'), een faciliteit die standaard wordt aangeboden in digitale netwerken_( zoals ISDN, GSM. UMTS en l.te) maar ook wel in analoge netwerken en bepaalde randapparatuur. Het begrip nummeridentificatie wordt in art. 1.1 onderdeel cc gedefinieerd. Het betreft de faciliteit die erin bestaat dat het nummer van de opgeroepen of het oproepende netwerkaansluitpunt - voordat de verbinding tot stand komt- zichtbaar wordt gemaakt op het beeldscherm of afleesvenster van het desbetreffende telefoontoestel of andere randapparaat waarvan gebruik wordt gemaakt (zie art 1.1 onderdeel cc, aant. 25 ). Voor de bescherming van persoonsgegevens en de persoonlijke levenssfeer is nummeridentificatie met name van belang omdat het de opgeroepene in staat stelt geautomatiseerd het nummer vast te leggen waarvan gebruik wordt gemaakt om hem te bellen (Kamerstukken I/2000/01, 27576, 3, p. 8; Kamerstukken /98, 25533, ~. p ; NV 11. Kamerstukken /98, , p , 129). 2. Rechten met betrekking tot nummerblokkering (lid 1 }. Het artikellegt in algemene zin verplichtingen op aan alle aanbieders van elektronische communicatienetwerken en -diensten die nummeridentificatie aanbieden. Op grond van art kan ACM evenwel in individuele gevallen ontheffing van deze verplichtingen verlenen. Deze ontheffingsbevoegdheid is geclausuleerd. Overeenkomstig art. 3 lid 2 e-privacyrichtlijn (Bijlage AS) is ontheffing uitsluitend mogelijk, als deze betrekking heeft op abonneelijnen verbonden met analoge centrales. en nakoming van de desbetreffende verplichtingen technisch niet haalbaar is of onevenredig veel financiële lasten voor?

28 de aanbieder met zich meebrengt. ACM kan een ontheffing onder beperkingen verlenen en kan daaraan voorschriften verbinden (Kamerstukken /03, 28851, 3, p. 162; zie het commentaar op art ). a. Rechten van oproepende abonnee en ge. bruiker (onderdeel a). De aanbieders moeten ervoor zorgdragen dat oproepende abonnees en gebruikers kosteloos de mogelijkheid wordt geboden de nummeridentificatie te blokkeren. De abonnee of gebruiker die de oproep doet, kan zo voorkomen dat het nummer waarvandaan hij de oproep doet, bekend wordt gemaakt aan degene die wordt opgeroepen. Deze verplichting geldt voor elke afzonderlijke abonneelijn ('per line blocking'; NV 11, Kamerstukken /03, 28851, 7, p ). Relatie met 'het nota-a.(schenningsrechr en 'geheime nummers'. Een logisch complement van deze rechten van oproepende abonnees en gebruikers met betrekking tot nummeridentificatie betreft het 'nota-afschermingsrecht' van art. 4.2 Besluit universele dienstverlening en eindgebruikersbelangen en het recht op een 'geheim nummer' van art 11.6 lid 2 (zie resp. art. 11.4, aant. 3 en art. 11.6, aant. 2). b. Rechten van opgeroepen abonnee (onderdeel b ). De opgeroepen abonnee heeft drie rechten met betrekking tot de nummeridentificatie, namelijk het recht om nummeridentificatie te blokkeren, het recht om geblokkeerde oproepen te weigeren, en het recht om de identificatie van het opgeroepen nummer te voorkomen. Blokkering nummeridentificatie (1 ). Aan de abonnee moet de mogelijkheid worden geboden om ervoor te zorgen dat het nummer van degenen die hem oproepen, niet aan hem worden doorgegeven. De abonnee kan daarmee bewerkstelligen dat degenen die hem bellen anoniem blijven. Deze mogelijkheid tot blokkering van nummeridentificatie door de opgeroepen abonnee is met name van belang voor artsen, geestelijken en juridische bijstandsverleners. Weigering oproepen met blokkering nummeridentificatie (2 ). Dit recht van de opgeroepen abonnee is het logische complement van het recht van het in het tweede lid, onder a, neergelegde recht van de oproepende gebruiker of abonnee om de nummeridentificatie te voorkomen. De abonnee moet de mogelijkheid worden geboden om oproepen te blokkeren waarvan de oproepende abonnee of gebruiker de nummeridentificatie heeft geblokkeerd. Dit stelt de opgeroepen abonnee in staat verschoond blijven van oproepen waarvan de herkomst onbekend is. Het belang daarvan ligt bijvoorbeeld bij abonnees die te maken hebben met telefoonterreur. Blokkering nummeridentificatie opgeroepen nummer (3 ). Ten slotte moet de opgeroepen abonnee de mogelijkheid worden geboden om te voorkomen dat zijn eigen nummer wordt bekend gemaakt aan degene die de oproep maakt. Dit recht heeft betekenis voor het geval het gekozen nummer is doorgeschakeld naar een ander nummer of een elektronische postbus (Kamerstukken /97, 25533, 3, p. 120). 3. Ministerii?le regeling (lid 2). De in het tweede lid bedoelde nadere regels zijn neergelegd in de art. 4.1 tot en met art 4.5 van de Regeling universele dienstverlening en eindgebruikersbelangen (RUDE). Daar is onder andere bepaald dat de aanbieders ervoor moeten zorgdragen dat onderscheiden faciliteiten eenvoudig te gebruiken zijn en dat daarover op genoegzame wijze informatie beschikbaar is. Ook is bepaald dat het blokkeren van nummeridentificatie (eerste lid, onder b, onderdeel 1 ) kosteloos is. tenzij er sprake is van herhaald gebruik zonder redelijk doel, in welk geval de aanbieder een redelijke vergoeding in rekening mag brengen. Art Artikel oe aanbieder van een openbaar elektronisch communicatienetwerk en de aanbieder van een openbare elektronische communicatiedienst die nummeridentificatie aanbiedt, is verplicht aan de door Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties, in overeenstemming met Onze Minister, aangewezen beheerders van een alarmnummer voor publieke diensten, indien er elektronische communicatie met een alarmnummer wordt afgewikkeld, gelijktijdig: a. het nummer van het oproepende netwerkaansluitpunt te verstrekken, ook indien bij dat netwerkaansluitpunt gebruik wordt gemaakt van een in artikel 11.9, tweede lid, onder a, bedoelde blokkeringsmogelijkheid; b. de naam, en de beschikbare adres-, postcode- en woonplaatsgegevens van de abonnee, dan wel de locatie van de openbare betaaltelefoon, die onder het desbetreffende nummer is aangesloten, te verstrekken. 2. De aanbieder van een openbaar elektronisch communicatienetwerk en de aanbieder van een openbare elektronische communicatiedienst, die locatiegegevens kan verwerken omtrent abonnees of gebruikers, is verplicht aan de aangewezen beheerders van een alarmnummer voor publieke diensten, bedoeld in het eerste lid, indien er communicatie over een dergelijk alarmnummer wordt afgewikkeld, gelijktijdig de daarop betrekking hebbende locatiegegevens te verstrekken, ook indien de abonnee of gebruiker, voor zover het betreft de locatiegegevens als bedoeld in artikel11.5a, op de voet van het vijfde lid van dat artikel, gebruik heeft gemaakt van de mogelijkheid om tijdelijk de verwerking van de hem betreffende locatiegegevens te beletten. 3. De verstrekte nummers, alsmede de in het eerste lid, onder b, en de in het tweede lid, bedoelde gegevens worden door de beheerders, bedoeld in he~ eerste lid, vastgelegd met het oog op de hulpverlening in noodsituaties of de bestrijding van het misbruik van een alarmnummer voor publieke diensten. De beheerders zijn verantwoordelijke in de zin van artikell, onderdeel d, van de Wet beschérming persoonsgegevens voor deze vastlegging. 4. Verstrekking van nummers en gegevens door de beheerder vindt slechts plaats met het oog op de hulpverlening in noodsituaties of de bestrijding van het misbruik ~an ee~ alarmnu~mer voor publieke diensten. De beheerder is verantwoordelijke m de zm van artikelt, onderdeel d, van de Wet bescherming persoonsgegevens voor deze verstrekkingen. 5. Verstrekking van nummers en gegevens met het oog op de hulpverlening in noodsituaties vindt slechts plaats aan de door Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties, in overeenstemming met Onze Minister, aangewezen publieke diensten belast met hulpverleningstaken. 6. _ve~ekking van nummers en gegevens met het oog op de bestrijding van het ffilsbru1k van een alarmnummer voor publieke diensten vindt slechts plaats aan degene die op grond van artikel141 of 142 van het Wetboek van Strafvordering is belast met de opsporing van strafbare feiten. 7. De termijn gedurende welke de nummers en gegevens door de beheerder worden bewaard bedraagt ten hoogste: a. twee maanden indien de nummers en gegevens betrekking hebben op gevallen Waarin kennelijk sprake is van een verzoek om hulpverlening in een noodsituatie;

29 b. zes maanden indien de nummers en gegevens betrekking hebben op gevallen waarin kennelijk sprake is van misbruik van een alarmnummer voor publieke diensten; c. 24 uur in alle overige gevallen. 8. De op grond van het eerste lid aangewezen beheerder vergoedt de kosten die zijn gemoeid met het verstrekken van de in het eerste lid, onder a en b, en de in het tweede lid bedoelde gegevens. 9. De bekendmaking van het besluit tot aanwijzing van de beheerders, bedoeld in het eerste lid, en de publieke diensten, bedoeld in het vierde lid, geschiedt door plaatsing in de Staatscourant door Onze Minister van Binnenlandse Zaken en Koninkrijksrelaties. 10. De beheerders, bedoeld in het eerste lid, zijn bevoegd om ten behoeve van de controle op de effectiviteit van de hulpverlening in noodsituaties de bij het alarmnummer voor publieke diensten Ingekomen oproepen vast te leggen en voor ten hoogste twee maanden te bewaren. Bij de vastlegging worden de datum en het tijdstip van de oproep geregistreerd. 11. Bij of krachtens algemene maatregel van bestuur worden regels gesteld met betrekking tot de nauwkeurigheid en betrouwbaarheid van de te verstrekken gegevens, bedoeld in het eerste en tweede lid. { , Stb. 235, Lw.tr /kamerstukken 32549/ r (Nummeridentificatie en gegevensverstrekking bij publiek alarmnummerj 1. Algemeen. Het artikel implementeert art. 10 onderdeel b e-privacyrichtlijn (Bijlage AS) en treft ten behoeve van politie, brandweer en ambulancediensten een regeling voor de ongedaanmaking van d~ blokkering van nummeridentificatie. Een dergelijke regeling stelt deze hulpdiensten in staat oproepen te beantwoorden die om wat voor reden dan ook voortijdig zijn afgebroken. In aanvulling daarop voorziet het artikel in een niet in de richtlijn opgenomen regeling voor de vastlegging en het gebruik van abonnee- en andere gegevens (waaronder locatiegegevens) ter voorkoming van misbruik van alarmnummers. Verder voorziet het artikel in een eveneens niet in de richtlijn opgenomen regeling die het mogelijk maakt gesprekken vast te leggen teneinde deze te gebruiken om in voorkomende gevallen de effectiviteit van de hulpverlening te reconstrueren en te controleren. 2. Verplichtingen (lid 1 ). Het artikel legt verplichtingen op aan de in art genoemde aanbieders die nummeridentificatie aanbieden (zie art. 11.9, aant. 2). a. Verstrekking nummer (lid 1 onderdeel a). De aanbieders zijn verplicht het nummer te verstrekken waar vandaan naar het alarmnummer wordt gebeld, ongeacht de eventuele blokkering daarvan op grond van art lid 2 onderdeel a. b. Verstrekking andere gegevens (lid 1 onderdeel b). De aanbieders zijn verder verplicht naam- en voor zover beschikbaar adres-, postcode- en woonplaatsgegevens van de desbetreffende abonnee te verstrekken. Als de oproep wordt gedaan vanuit een openbare telefooncel, moet worden opgegeven waar deze telefooncel zich bevindt. c. Aangewezen beheerder van alarmnummers voor publieke diensten (lid 1 aanhef). Het nummer en de andere gegevens moeten worden verstrekt aan de aangewezen beheerders van publieke alarmnummers. De aanwijzing heeft plaatsgevonden in het Besluit Art alarmcentrales (Stb. 1998, 235 ). Aangewezen zijn de korpsbeheerders, bedpeld in art. 23 politiewet 1993, en de Minister vanjustitie als beheerder van het Korps landelijke politiediensten. Alarmnummer voor publieke diensten. Het begrip 'alarmnummer voor publieke diensten' wordt gebruikt om aan te geven dat het gaat om politie, brandweer en ambulancevervoerders, en niet om de particuliere alarmdiensten van de ANWB, verzekeringsmaatschappijen of beveiligingsbedrijven en dergelijke. 3. verstrekking locatiegegevens (lid 2). Voor aanbieders die locatiegegevens kunnen verwerken geldt een extra verplichting. Als er communicatie naar een alarmnummer wordt verzorgd moeten deze aanbieders gelijktijdig de in verband daarmee verwerkte locatiegegevens verstrekken. Deze verplichting geldt niet alleen in de gevallen dat daadwerkelijk locatiegegevens worden verwerkt, maar ook als de aanbieder deze zou kunnen verwerken. Dit betekent echter niet dat aanbieders op grond van deze verplichting ten behoeve van deze verplichting nieuwe systemen zouden moeten bouwen, waarmee nog nauwkeuriger locatiegegevens kunnen worden gegenereerd. Alleen als aanbieders ertoe overgaan een dergelijk systeem te bouwen, moeten de als gevolg daarvan beschikbare gegevens worden verstrekt (Kamerstukken f 2003/04, , C, p. 34 ). De verplichting geldt ook in het geval het gaat om locatiegegevens, niet zijnde verkeersgegevens, zoals bedoeld in art. 11.5a, ook als de abonnee of gebruiker gebruik heeft gemaakt van de mogelijkheid in lid 5 daarvan om tijdelijk de verwerking van de hem betreffende locatiegegevens te beletten. l.ocatiegegevens. Het begrip 'locatiegegevens' wordt in art. 11.1, onderdeel d, gedefinieerd als de gegevens die de geografische positie van de randapparatuur (bijvoorbeeld mobiel telefoontoestel) aangeven (zie art. 11.1, aant. 5). Bedoeling. Met de verstrekking van de locatiegegevens wordt beoogd de desbetreffende instanties beter in staat te stellen om de oproepen die met het alarmnummer plaatsvinden op adequate wijze te beantwoorden. Afhankelijk van de mate van nauwkeurigheid kunnen de verstrekte locatiegegevens een indicatie geven van de locatie van waaruit de oproep is gedaan. Als de oproeper niet in staat is OJ11 zelf door te geven waar hij zich bevindt, kunnen vervolgens de zoekinspanningen naar de juiste locatie door de hulpverlenende instanties meer gericht plaatsvinden. Verder kunnen de locatiegegevens nuttig zijn bij de bestrijding van misbruik van het alarmnummer (Kamerstukken ff2002/03, , nr. 3, p. 162). 4. Vastlegging en verstrekking gegevens (lid 3-6). De nummers en andere gegevens moeten worden vastgelegd ten behoeve van de hulpverlening onderscheidenlijk de misbruikbestrijding. De verschillende gegevens mogen vervolgens alleen ten behoeve van deze doeleinden worden verstrekt aan de aangewezen diensten. Voor zover het persoonsgegevens betreft geeft de bepaling een invulling aan art. 9 Wbp dat verlangt dat de gegevens niet verder worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verzameld. Verantwoordelijke in de zin van de Wbp.ln lid 2 staat dat de beheerders, voor zover het de vastlegging van deze gegevens betreft, worden aangemerkt als 'verantwoordelijke' in de zin van de Wbp. Dit begrip wordt in art. 1, onderdeel d, Wbp gedefinieerd als "de natuurlijke persoon of rechtspersoon die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt". De aanwijzing van de beheerders als verantwoordelijken stelt buiten twijfel dat zij zich dienen te houden aan de desbetreffende bepalingen van de Wbp.

30 s. Bewaartermijnen (lid 7). Voor de onderscheiden gevallen worden verschillende bewaartermijnen gehanteerd. Voor zover het persoonsgegevens betreft (gegevens betreffende een geïdentificeerde of identificeerbare natuurlijk personen) wordt daarmee invulling gegeven aan art. 10 Wbp dat verlangt dat de gegevens niet langer worden bewaard dan noodzakelijk voor de doeleinden waarvoor ze zijn verzameld (zie art. 10 Wbp, aant. 1 ). Tweemaandentennijn. Er geldt een bewaartermijn van twee maanden voor de nummers en gegevens die betrekking hebben op gevallen waarin kennelijk sprake is van een verzoek om hulpverlening. Als motivering van deze bewaartermijn wordt aangegeven dat deze nodig is om de effectiviteit van de hulpverlening. in welk kader een reconstructie van gebeurtenissen plaatsvindt, te kunnen controleren (zie Kamerstukken //2004/05, nr. 3. p. 18). 6. Kostenvergoeding (lid 8). De in lid 1 genoemde aanbieders hebben aanspraak op vergoeding van de kosten die verband houden met het verstrekken van het nummer en de naam-. adres-, postcode en woonplaatsgegevens of de locatie van de openbare betaaltelefoon van waaruit de oproep is gemaakt. 1. Bekendmaking aanwijzing (lid 9). De aanwijzing heeft plaatsgevonden in het Besluit alarmcentrales (Stb. 1998, 235). Aangewezen zijn de korpsbeheerders, bedoeld in art. 23 Politiewet 1993, en de Minister van Justitie als beheerder van het Korps landelijke politiediensten. 8. Vastleggen oproepen (lid 10). Art. Slid 1 e-privacyrichtlijn (Bijlage AS; zie ook art. 11.2a) verbiedt het opnemen van gesprekken, maar art. 151id 1 staat een uitzondering toe wanneer het belang van de openbare orde in het geding is. Daaronder valt het goed functioneren van de noodhulpverlening. De vastgelegde gesprekken mogen niet worden gebruikt voor andere doeleinden dan de kwaliteitscontrole op de noodhulpverlening. Het is derhalve niet toegestaan de opnames te gebruiken voor de misbruikbestrijding. Bewaartennijn. De opnames mogen twee maanden worden bewaard. Deze bewaartermijn correspondeert met de in lid 7 onderdeel a opgenomen termijn voor de nummers en gegevens die betrekking hebben op gevallen waarin kennelijk sprake is van een verzoek om hulpverlening in een noodsituatie (Kamerstukken /98,25 533, nr. 6, p. 9-10). Als motivering van deze bewaartermijn wordt aangegeven dat deze nodig is om de effectiviteit van de hulpverlening, in welk kader een reconstructie van gebeurtenissen plaatsvindt, te kunnen controleren (Kamerstukken //2004/05, , nr. 3, p. 18). 9. Bij lagere regelgeving vast te stellen criteria (lid 11 ). In lid 11 wordt, ter uitvoering van art. 261id 5,1aatste volzin, Universeledienstrichtlijn (Bijlage A4), voorzien in een grondslag voor lagere regelgeving waarin de criteria worden vastgesteld ten aanzien van de nauwkeurigheid en betrouwbaarheid van de op grond van lid 1 en 2 te verstrekken locatiegegevens. Aan de hand van de locatiegegevens kan de alarmcentrale zien waar de beller zich bevindt, hetgeen de hulpverlening vergemakkelijkt. Met de nauwkeurigheid van de locatiegegevens wordt bedoeld op hoeveel meter nauwkeurig de locatie van de beller wordt aangegeven of in hoeverre de weergegeven locatie mag afwijken van de werkelijke locatie van de beller. Regels met betrekking tot de betrouwbaarheid van de locatiegegevens kunnen bijvoorbeeld bepalen dat de doorge- Art geven locatiegegevens de locatie van de beller weergeven en niet van de centrale of het netwerk waarvan de beller gebruikmaakt (Kamerstukken Il2010/11, , nr. 3, p. Sl). Artikelll.ll 1. Een abonnee die last heeft van hinderlijke of kwaadwillige oproepen, waarbij de verstrekkingvan het nummer van het oproepende netwerkaansluitpunt is geblokkeerd, kan aan de aanbieder van een openbaar elektronisch communicatienetwerk of van een openbare elektronische communicatiedienst verzoeken om het nummer van de oproepende abonnee en de beschikbare daarop betrekking hebbende naam-, adres-, postcode- en woonplaatsgegevens, te verstrekken. 2. Een verzoek als bedoeld in het eerste lid voldoet aan de volgende vereisten: a. het verzoek is schriftelijk en bevat de naam-, adres-, postcode- en woonplaatsgegevens van de verzoeker alsmede het nummer waarop de oproepen betrekking hebben, en b. het verzoek bevat een indicatie van de data en tijdstippen waarop de desbetreffende oproepen hebben plaatsgevonden. 3. De verzoeker informeert de aanbieder onverwijld omtrent hinderlijke of kwaadwillige oproepen, die plaats hebben gevonden na indiening van het verzoek, bedoeld in het eerste lid 4. De aanbieder stelt naar aanleiding van het verzoek een onderzoek in, teneinde vast te stellen of tot verstrekking van de gegevens, bedoeld in het eerste lid, dient te worden overgegaan. S.lndien bij het onderzoek blijkt dat het oproepende nummer toebehoort aan een abonnee van een andere aanbieder, verleent de desbetreffende aanbieder op een daartoe strekkend verzoek van de met het onderzoek belaste aanbieder medewerking aan het onderzoek en verstrekt, indien het onderzoek daartoe aanleiding geeft, de beschikbare op het oproepende nummer betrekking hebbende naam-, adres-, postcode- en woonplaatsgegevens aan de aanbieder die met het onderzoek belast is. 6. Van de gegevensverstrekking aan een verzoeker wordt door de aanbieder mededeling gedaan aan de abonnee, wiens gegevens het betreft. 7. Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld met betrekking tot: a. het onderzoek, bedoeld in het vierde lid: b. de gegevensverstrekking, bedoeld in het vierde lid; c. de medewerkingsverplichting, bedoeld in het vijfde lid; d de kennisgeving van de verstrekking van de gegevens, bedoeld in het zesde lid. / , Stb. 189, i.w.tr /kamerstukken 28851] (Hinderlijke of kwaadwillige oproepen] I. Algemeen. Het artikel implementeert art. 10 onderdeel a e-privacyrichtlijn (Bijlage AS ) en voorziet in een regeling op grond waarvan aanbieders tijdelijke nummerblokkering kunnen opheffen om tegemoet te komen aan verzoeken van abonnees die Worden lastig gevallen door hinderlijke of kwaadwillige oproepen. Bij dergelijke oproepen moet worden gedacht aan veelvuldig gepleegde oproepen waarbij de opge-

31 Telecommunicatiewet. Hfdst. 11 roepene wordt lastig gevallen (onder meer in de vorm van bedreigingen ~f liederlijke taal). Veelal wordt in zo een geval gebruik gemaakt van ~ummerblokkenng (art lid 1 onderdeel a). zodat de identiteit van de oproeper met kan worden a~hterhaa l d. In dat geval heeft de opgeroepenede mogelijkheid om oproepen, waarbij de w~ergave van het nummer door de oproeper is geblokkeerd, te weige~en (art hd 1 onderdeel bonder 2"). Echter dat biedt geen bevredigende oplossmg, omdat er ook veel andere, niet hinderlijke of niet kwaadwillige oproepen plaatsvinden, die de?pgeroepene wel degelijk zou willen beantwoorden. Om deze reden voomet het artikel in een regeling op grond waarvan de abonnee het geblokkeerde nummer en andere gegevens van de hinderlijke of kwaadwillige oproeper kan opvragen bij de desbet~effende aanbieder (Kamerstukken ll2002/03, , nr. 3, p ). Verstrekkmg naw-gegevens als geen gebruik is gemaakt van nummerblokkering. Er kan er ook behoefte zijn aan verstrekking van naw-gegevens als de oproepende abonnee _geen gebruik maakt van nummerblokkering. In dat geval zal de desbetreffende aanbieder aan de hand van de regels in de Wbp (met name art. 8 onderdeel f daarvan) moeten beoordelen of hij overgaat tot verstrekking van de hem beschikbare identificerende gegevens uit zijn abonnee-administratie (Kamerstukken ll2002/03, nr. 3, p. 85). 2. Verzoek verstrekking geblokkeerd nummer (lid 1 ). Een abonnee die last heeft van hinderlijke of kwaadwillige oproepen, waarbij gebruik wordt gemaakt van nummerblokkering (art id 2 onderdeelbonder 2") kan zijn aanbieder het verzoek doen het geblokkeerde oproepende nummer te verstrekken alsmede de ~~arop _betrekking hebbende naw-gegevens van de abonnee. Dit verzoek moet erop ZIJD gencht_om de oproepende abonnee te identificeren, zodat de opgeroepen abonnee of g~brmker aan de hand van de door de aanbieder te verstrekken gegevens nadere act1e tegen betrokkene kan ondernemen. Daarbij kan worden gedacht aan een civielrechtelijke actie of het indienen van een klacht als bedoeld in art. 285b lid 2 Sr (Kamerstukken /03, , nr. 3, p. 163). Beschikbare gegevens. Het verzoek van de abonnee heeft betrekking op de gegevens waarover de aanbieder beschikt. Er is geen sprake van impliciete identificatieplicht met betrekking tot prepaidklanten (Kamerstukken Tl 2002/03, , nr. 7, p. 83; NvW. Kamerstukken l/ 2002{03, , nr. 13, p. 20). 3. Vereisten van het verzoek (lid 2). Het in te dienen verzoek moet aan een aantal eisen voldoen. Allereerst moet het in schriftelijke vonn worden ingediend en moet het de naw-gegevens van de abonnee bevatten alsmede het nummer waarop de oproepen betrekking hebben. Dit laatste is wenselijk, omdat een abonnee ~~er nummers tot zijn beschikking kan hebben. Verder dient het verzoek een omschnjv_mg te bevatten van de aard en ernst van de ondervonden last. Daannee kan de aanb1eder vervolgens beoordelen of er sprake is van hinderlijke of kwaadwillige oproepen. Daarnaast dient het verzoek een zo nauwkeurig mogelijke opgave te bevatten van de data en tijdstippen waarop de oproepen hebben plaatsgevonden. Eén en ander beoogt ~ede te voorkomen dat dergelijke verzoeken lichtvaardig worden gedaan. Van belang IS dat door de verstrekking van de gegevens van de oproepende abonnee aan de verzoeker een inbreuk wordt gemaakt op de persoonlijke levenssfeer van de oproepende abonnee (Kamerstukken l/2002}03, , nr. 3, p. 163). Art tnfonneren over nieuwe hinderl_ijk~ o~ kwaadwillige op~pen (lid 3). Behalve de verstrekking van gegevens bij de md1enmg van het ve ~~oek d1ent de verzoeker de nbieder onverwijld op de hoogte te stellen van hmderhjke of kwaadw1lhge oproeaa n die hebben plaatsgevonden na indiening van het verzoek. Dit is met name van ~: l ~ng voor die gevallen, waarbij de aanbieder niet meer de beschikking heeft over gegevens terzake van de desbetreffende oproepen (Kamerstukken l/2002{03, , nr. 3. p ). 5. onderzoek door aanbieder (lid 4). De aa~b i eder moet onderzoeken of de ab~nnee en zodanige last ondervindt dat verstrekkmg van gegevens van de oproeper 1s ge ~echtvaardigd. Of daarvan sprak_e is, ~ a l van geval_ tot ge~al die~en te worden vast~e steld. De aanbieder heeft daarbij emge beoordeltngsru1mte. ZIJn onderzoek zal z1ch concentreren op objectief vaststelbare feiten, zoals onder ander~ h~t b~lpatroon en de frequentie van de gewraakte oproepen. Het onderzoek zal (pnma1r) d1enen plaats te vinden aan de hand van de gegevens die door de verzoeker zijn verstre~t. en wel in het bijzonder aan de hand van de door de verzoeker verstrekte data en tijdstippen waarop de oproepen hebben plaatsgevonden (dat wil zeggen de gegevens als bedoeld in lid 2 onderdeel c) alsmede de meldingen als bedoeld in lid 3. Als ernog(verkeers) gegevens uit de desbetreffende periode beschikba~r zijn, kan de aanbieder, _door vergelijking van de gegevens die door de verzoeker ZIJn aangeleverd met ZIJn e1gen (verkeers )gegevens vaststellen of op de genoemde data en tijdstippen de gewraakte oproepen hebben plaatsgevonden en of het inderdaad om een situa_tie gaat waarbij sprake is van oproepen afkomstig van een en hetzelfde nummer d1e meer dan een incidenteel karakter dragen (Kamerstukken l/2002/03, , nr. 3, p. 164). 6. Medewerking andere aanbieder (lid 5). Als uit het onderzoek van de aanbieder blijkt dat het nummer van de hinderlijke of kwaadwillige oproeper toebehoort aan een eigen abonnee, zal de aanbieder zelf beschikken over de naw-gegevens van deze abonnee. Maar als het oproepende nummer toebehoort aan een abonnee van een andere aanbieder, is medewerking van de andere aanbieder noodzakelijk. In verband daarmee is bepaald dat de desbetreffende aanbieder op een daartoe strekkend verzoek van de met het onderzoek belaste aanbieder de gevraagde medewerking verleent en, indien het onderzoek daartoe aanleiding geeft, de op het oproepende nummer betrekking hebbende gegevens verstrekt aan de aanbieder die met het onderzoek is belast. En als blijkt dat op de door de verzoeker aangegeven data en tijdstippen inderdaad vanuit een bepaald nummer de gewraakte oproepen zijn gepleegd, dan zal verstrekking van de in lid 1 bedoelde gegevens kunnen plaatsvinden. Overigens staat het artikel er niet aan in de weg dat de aanbieder, voordat hij tot verstrekking overgaat, eerst met degene aan wie het oproepende nummer toebehoort contact opneemt en daarbij de betrokkene confronteert met zijn bevindingen (Kamerstukken l/2002/03, , nr. 3, p. 164 ~ 7. Mededeling aan de oproepende abonnee (lid 6). Als sluitstuk van de regeling is VOOrzien in de verplichting om de abonnee over wie de gegevens in het kader van een verzoek op grond van lid 1, zijn verstrekt, van deze verstrekking op de hoogte te stellen. Dit omdat het aan deze abonnee ingevolge art toekomende recht op nummerblokkering opzij wordt gezet. Verder wordt de abonnee op deze wijze voorbereid

32 Telecommunicatiewet, Hfclst. 11 op eventuele acties zijdens de verzoeker en kan wellicht worden bewerkstelligd dat deze zijn gewraakte gedrag voor de toekomst achterwege laat (Kamerstukken /03, nr. 3, p. 164). 8. AMvB (lid 7}.1n art lid 7 is ten slotte nog voorzien in. de mogelijkheid om bij AMvB nadere regels te stellen met betrekking tot enkele daann b.enoemde?nderw~ r pen (Kamerstukken II2002/03, nr. 3, p. 165). Een dergelijke AMvB IS nog met vastgesteld Ontheffing Artikel Aan een aanbieder van een openbaar elektronisch communicatienetwerk en een aanbieder van een openbare elektronische communicatiedienst kan ~oor. de Aut~riteit consument en Markt ontheffing worden verleend van de verplichtingen d1e voortvloeien uit de artikelen 11.4, eerste lid, onderdeel b, en 11.9 tot en met Een ontheffing als bedoeld in het eerste lid kan uitsluitend worden verleend, indien: a. deze betrekking heeft op abonneelijnen verbonden me~ anal?ge centrale~, en b. nakoming van de desbetreffende verplichtinge~ techmsch ~uet haalbaar IS of onevenredig veel financiële lasten voor de aanbieder met z1ch meebrengt. 3. Een ontheffing kan onder beperkingen worden verleend. Aan een ontheffing kunnen voorschriften worden verbonden. ( , Stb. 102, i.w.tr /kamerstukken 33186/ )Ontheffingen betreffende doorschak!ling en nummeridentificatie I Betekenis. Op grond van het artikel kan ACM in individuele ~evallen ontheffing verlenen van de verplichtingen van achtereenvolgens art 11.4 hd 1 onderdeel b (d?o~schakeling), en art ( nummeridentificatie ). Deze ontheffingsbe~oegdheld IS geclausuleerd. Overeenkomstig art. 3 lid 2 e-privacyrichtlijn (Bijlage A5 ) IS ontheffing alleen mogelijk als is voldaan aan twee voorwaarden. namelijk (a} dat de ontheffing betrekking heeft op abonneelijnen verbonden met analoge centrale~ en (b} dat nak~ming van de desbetreffende verplichtingen technisch niet haalbaar IS of onevenredig veel financiële lasten voor de aanbieder met zich meebrengt. ACM kan een ontheffing onder beperkingen verlenen en kan daaraan voorschriften verbinden (Kamerstukken 1/2002/03,28851, 3, p. 162: zie ook art. 11.9, aant. 2) Uitzonderingen Artikel Aanbieders van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten kunnen de artikelen 11.5, 11.5a en 11.9, eerste lid,l>uiten toepassing laten, indien dit noodzakelijk is in het belang van: a. de nationale veiligheid; Art b. de voorkoming, opsporing en vervolging van strafbare feiten. ", 2. oe verkeers- en locatiegegevens die de aanbieders van openbare elektronische communicatienetwerken of openbare elektronische communicatiediensten bewaren op grond van artikel 13.2a, tweede lid, worden door de aanbieders niet voor andere doelen verwerkt, tenzij het gegevens betreft waarvan de verwerking op grond van de artikelen 11.5 en 11.5a is toegestaan en de verwerking.plaatsvindt met inachtneming van die artikelen. 3. Aanbieders van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten mogen, in afwijking van artikel 11.5, eerste lid. verkeersgegevens verwerken, indien en voor zolang dat noodzakelijk is voor een onderzoek als bedoeld in artikel11.11, vierde en vijfde lid. De verkeersgegevens mogen voor een periode van ten hoogste drie maanden na beëindiging van een onderzoek als bedoeld in artikel11.11, vierde lid, door de desbetreffende aanbieders worden bewaard. Na afloop van deze periode worden de verkeersgegevens verwijderd. f!b , Stb. 333, i.w.tr /kamerstukken 31145/ (Uitzonderingen betreffende verkeers- en locatiegegevens en nummeridentificatie) 1. Uitzondering (lid 1 ). Art. 15 lid 1 e-privacyrichtlijn (Bijlage A5 ) voorziet in de mogelijkheid dat lidstaten wettelijke maatregelen treffen waarbij de reikwijdte van de rechten en plichten van enkele in de richtlijn opgenomen bepalingen worden beperkt in verband met (onder andere) de nationale veiligheid en de opsporing van strafbare feiten. Bij de soort maatregelen waar art. 15 van de richtlijn op ziet, moet onder andere worden gedacht aan het aftappen en opnemen van telecommunicatie en de vordering van verkeersgegevens. Dergelijke maatregelen vergen (veelal} de medewerking van de aanbieders van elektronische communicatienetwerken en openbare elektronische communicatiediensten, waarbij deze in strijd kunnen komen met de verplichtingen die op grond van de genoemde bepalingen in dit hoofdstuk op deze aanbieders rusten. In verband daarmee bepaalt het artikel dat aanbieders van openbare elektronische communicatienetwerken en openbare elektronische communicatiediensten, als dit noodzakelijk is in het belang van de nationale veiligheid of de voorkoming, opsporing en vervolging van strafbare fe iten, art. 11.5, 11.5a en 11.9lid 1 van de wet buiten toepassing kunnen laten (Kamerstukken /12002/03, , nr. 3, p. 165). 2. Verwerking verkeers- en locatiegegevens bewaard voor onderzoek, opsporing en vervolging ernstige misdrijven (lid 2). Op grond van art. 13.2a moeten aanbieders van openbare telecommunicatiediensten en -netwerken (onder andere} verkeers-en locatiegegevens voor een periode van zes of twaalf maanden bewaren, teneinde te verzekeren dat deze gegevens beschikbaar zijn voor politie, justitie en inlichtingendiensten voor het onderzoeken, opsporen en vervolgen van ernstige misdrijven. Zie art. 13.2a, aant Deze gegevens van die aanbieders mogen niet voor andere doelen worden verwerkt. tenzij het gegevens betreft waarvan de verwerking op grond van art en 11.5a is toegestaan en de verwerking plaatsvindt met inachtneming van die artikelen (zie art. 11.5, aant. 7 ).