Recht doen aan privacyverklaringen Een juridische analyse van privacyverklaringen op internet Eric W. Verfielst Kluwer - Deventer 2012
VOORWOORD LUST VAN AFKORTINGEN XIII 1. Inleiding 1 1.1 Inleiding 1 1.2 Probleemstelling 4 1.3 Opzet van het onderzoek 5 1.4 Belang van het onderzoek 6 1.5 Afbakening 8 2. De informatieplicht en de privacyverklaring 9 2.1 Inleiding 9 2.2 De infonnatieplicht van de verantwoordelijke 9 2.2.1 Artikelen 33 en 34 Wbp 9 2.2.2 eprivacyrichtlijn 16 2.2.2.1 Informatieverstrekking en toestemmingsvereiste 16 2.2.2.2 Verhouding tussen de informatieplicht uit de Wbp en artikel 11.7a Telecommunicatiewet 27 2.2.3 Evaluatiestudies, onderzoeksrapporten en kabinetsstandpunten 28 2.2.4 Recapitulatie 42 2.3 De privacyverklaring als instrument ter uitwerking van de informatieplicht 43 2.3.1 De kenbaarheid en de verschijningsvormen van een privacyverklaring 45 2.3.2 De inhoud van een privacyverklaring 45 2.3.3 Verplichtstellen van het gebruik van een privacyverklaring door een belangenorganisatie 52
2.4 Handhaving van de informatieplicht 55 2.5 Rechtsmiddelen van de betrokkene 57 2.6 Samenvatting en conclusies 58 3. De privacyverklaring als overeenkomst 63 3.1 Inleiding 63 3.2 De toelaatbaarheid van een overeenkomst die ziet op de verwerking van persoonsgegevens 64 3.3 De inhoud van de privacyovereenkomst 67 3.4 Wettelijk kader voor elektronisch contracteren 70 3.5 De totstandkoming en naleving van de privacyovereenkomst 72 3.6 Ontbinding 75 3.6.1 Ontbinding op grond van artikel 6:265 BW 75 3.6.2 Ontbinding wegens het door de verantwoordelijke niet voldoen aan de informatieplicht voorafgaand aan en ten tijde van de totstandkoming van de privacyovereenkomst 76 3.6.3 Ontbinding op grond van het niet bevestigen van de aanvaarding van de betrokkene 78 3.6.4 Ontbinding ten gevolge van het intrekken ondubbelzinnige toestemming 79 3.7 Vernietiging en nietigheid van de privacyovereenkomst 80 3.7.1 Vernietiging wegens het door de verantwoordelijke niet voldoen aan de informatieplicht 80 3.7.2 Vernietiging van de privacyovereenkomst op grond van dwaling 82 3.7.3 Vernietiging op grond van artikel 6:248 BW 83 3.7.4 Nietigheid wegens het ontbreken van ondubbelzinnige toesternming 83 3.8 Schadevergoeding 84 3.9 De privacyverklaring als elektronische algemene privacyvoorwaarden 85 3.10 Conclusie 89 4. Empirisch onderzoek onder online winkels 4.1 Inleiding 91 4.2 De keuze voor de online segmenten Verzekeringen, Reizen en Kleding 91 4.2.1 Omvang van de te verstrekken persoonsgegevens 92
[X 4.2.2 Verstrekking van gevoelige persoonsgegevens 93 4.2.3 De mate van georganiseerdheid en 94 4.3 De selectie van de online winkels 96 4.4 Vragenlijst 98 4.5 Statistische toets 99 4.6 Onderzoeksperiode 99 4.7 De aanwezigheid, vorm en kenbaarheid van de privacyverklaring 99 De aanwezigheid van de privacyverklaring 99 4.7.2 De vorm van de privacyverklaring 100 4.7.3 De kenbaarheid van de privacyverklaring 101 4.7.4 Mogelijkheid tot opslaan van de privacyverklaring 103 4.8 De inhoud van de privacyverklaring: verplichte elementen identiteit en doel van de verwerking 4.8.1 Verplicht element: identiteit van de verantwoordelijke 103 4.8.2 Verplicht element: doel van de verwerking 104 4.9 De inhoud van de privacyverklaring: passieve informatieplicht 105 4.10 De inhoud van de privacyverklaring: nadere informatie als waarborg voor een behoorlijke en zorgvuldige verwerking 4.10.1 Inleiding 106 Erkenning van het privacybelang van de betrokkene 4.10.3 Verwijzing naar de informatieplicht uit de Wbp 107 Het fysieke en elektronische adres van de verantwoordelijke 107 4.10.5 Verwerking van bijzondere gegevens 108 4.10.6 Verplichte of facultatieve verstrekking van persoonsgegevens 108 4.10.7 Categorieën van ontvangers 109 4.10.8 Bewaartermijnen 109 4.10.9 Beveiligingsmaatregelen College bescherming persoonsgegevens en Functionaris voor de Contactpersonen in verband met de uitoefening van rechten of het hebben van vragen 4.10.12 Verstrekking van persoonsgegevens aan derden 112 4.10.13 Gebruik van 114 4.10.14 Betrokkenheid derden bij de totstandkoming van de privacyverklaring Gebondenheid aan gedragscode 4.10.16 Akkoordverklaring en toestemming 4.10.17 (Rechts)maatregelen 119 4.10.18 Wijziging van de privacyverklaring 120
4.11 De privacyverklaring en elektronische algemene voorwaarden 121 Elektronische algemene voorwaarden Identiteit en doel van de verwerking in elektronische algemene voorwaarden of elders op de website 123 4.12 Lidmaatschap van een belangenorganisatie 125 4.12.1 Lidmaatschap: Segment Verzekeringen 125 Conclusie met betrekking tot het segment Verzekeringen 128 4.12.2 Lidmaatschap: Segment Reizen 128 4.12.2.1 Conclusie met betrekking tot het segment Reizen 130 4.12.3 Lidmaatschap: Segment Kleding 130 4.12.3.1 Conclusie met betrekking tot het segment Kleding 132 4.13 Systematische samenvatting en conclusies ten aanzien van het empirisch onderzoek 132 Systematische samenvatting 132 4.13.2 Conclusies met betrekking tot verschillen tussen de segmenten Verzekeringen, Reizen en Kleding 135 4.13.3 Conclusie 138 5. De privacyverklaring in het licht van transparantie en accountability 141 5.1 Inleiding 141 5.2 Knelpunten en discussie met betrekking tot het gebruik van de privacyverklaring 141 5.3 Transparantie in relatie tot de privacyverklaring 5.3.1 De aanwezigheid van de privacyverklaring 147 5.3.2 De naamgeving, traceerbaarheid en de toegankelijkheid van de privacyverklaring 5.3.3 De vorm van de privacyverklaring 149 5.3.4 De leesbaarheid en begrijpelijkheid van de privacyverklaring 149 5.4 Initiatieven ter bevordering van de transparantie van privacyverklaringen 155 5.5 Accountability 161 5.6 Conclusies 167
XI 6. De privacyverklaring als 169 6.1 Inleiding 169 6.2 De keuze tussen overheidsregulering en zelfregulering 6.3 De gestandaardiseerde sectorale privacyverklaring als zelfreguleringsinstrument 178 6.3.1 De informatieplicht uit de Wbp: wettelijk geconditioneerde 6.3.2 De vorm en inhoud van het zelfreguleringsinstrument privacyverklaring 6.3.3 Binding van belanghebbenden aan zelfregulering 182 6.3.4 De rechtspositie van de betrokkene 6.3.5 Gebondenheid van branchegenoot die geen lid is van een brancheorganisatie 6.3.6 De positie van de Consumentenbond en de overheid 187 6.3.7 Toezicht en handhaving 189 6.4 Afronding: aanbevelingen en ambitie 7. Conclusies in kort bestek 193 7.1 Inleiding 193 7.2 Conclusie ten aanzien van de juridische status van een online privacyverklaring 193 7.3 Conclusie ten aanzien van vorm en inhoud van de online privacyverklaring in de praktijk 7.4 Conclusie ten aanzien van het nader sturen op vorm, inhoud en het gebruik van een online privacyverklaring, mede met het oog op ontwikkelingen op EU-niveau Summary 199 Bijlage Al: Overzicht online verzekeraars Bijlage A2: Overzicht online Bijlage A3: Overzicht online kledingwinkels 219 Bijlage B: Vragenlijst empirisch onderzoek 223 Bijlage Cl: Tabellen segment verzekeringen 227 Bijlage C2: Tabellen segment verzekeringen 229 Bijlage C3: Tabellen segment verzekeringen Bijlage D: Tabellen Stichting Centraal Informatie Systeem 235 Bijlage El: Tabellen segment reizen 237 Bijlage E2: Tabellen segment reizen 239 Bijlage E3: Tabellen segment reizen 243
XII Bijlage F: Tabellen segment kleding 247 Bijlage G: Web-based financial privacy notice 251 Bijlage H: Model privacyverklaring Kelly et al. 253 Bibliografie 255