Gepubliceerd op vrijdag 30 september 2011
IT 518
De weergave van dit artikel is misschien niet optimaal, omdat deze is overgenomen uit onze oudere databank.

Handhavingsbeleid Cbp

Aanhangsel Handelingen II, 2011-12, nr. 86; 2011Z16964 Antwoord vragen Van Dam en Recourt over inbreuk op de privacy door LinkedIn

2. Hanteert het College bescherming persoonsgegevens (Cbp) specifieke richtlijnen voor de omgang met en het beschermen van persoonsgegevens door sociale netwerksites? Zo ja, wat zijn deze regels? Zo nee, waarom niet? Bent u in dat laatste geval voor of tegenstander van nadere regelgeving?

Desgevraagd heeft het Cbp mij laten weten dat het de volgende richtlijnen hanteert met betrekking tot de omgang en het beschermen van persoonsgegevens door sociale netwerksites:

  • de standaardinstellingen van sociale netwerksites dienen op privacyvriendelijk te staan;
  • voor de beoordeling van de vraag of sprake is van ondubbelzinnige toestemming van de betrokkene, zoals vereist in de Wet bescherming persoonsgegevens (Wbp) dient de toestemming in vrijheid gegeven te zijn en specifiek op een bepaalde gegevensverwerking betrekking te hebben;
  • de betrokkene dient vooraf over de noodzakelijke inlichtingen te beschikken om de toestemming te kunnen geven;
  • het uitblijven van een reactie (opt-out) staat niet gelijk aan het geven van toestemming.
    Voornoemde uitgangspunten zijn tevens terug te vinden in een gemeenschappelijk standpunt over het begrip toestemming van 13 juli 2011 van de Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep (zie met name pagina 35).1

3. Deelt u de mening dat, los van deze specifieke casus, het principeel onjuist is indien sociale netwerksites persoonlijke gegevens van hun gebruikers zonder (expliciete) toestemming vooraf voor reclame dan wel andere commerciële doeleinden gebruiken?
Eén van de eisen die de Wbp stelt aan de verwerking van persoonsgegevens is de aanwezigheid van een grondslag voor de gegevensverwerking. De Wbp bevat een aantal rechtsgeldige grondslagen, waaronder ondubbelzinnige toestemming van de betrokkene voor de verwerking. Sociale netwerksites moeten zich bij de verwerking van persoonsgegevens te allen tijde houden aan de eisen van de Wbp.

4. Deelt u tevens de mening dat, indien het sociale netwerksites binnen de huidige richtlijnen van het Cbp is toegestaan accountinstellingen van hun gebruikers ongevraagd te wijzigen teneinde persoonsgegevens te gebruiken voor commerciële doeleinden, dit ongewenst is? Zo ja, bent u bereid het Cbp op te dragen deze te wijzigen. Zo nee,
waarom niet?

Het Cbp vult haar toezicht- en handhavingsbevoegdheden nader in via handhavingsbeleid. Met betrekking tot de omgang met en bescherming van persoonsgegevens door sociale netwerksites hanteert het Cbp richtlijnen zoals in mijn antwoord op vraag 2 weergegeven. Daaruit leid ik af dat het Cbp al diverse kwalitatieve eisen stelt aan de omgang van en de bescherming van persoonsgegevens door sociale netwerksites, in het bijzonder waar het de invulling van het begrip
ondubbelzinnige toestemming betreft.
Overigens heeft het Cbp een wettelijk gegarandeerde onafhankelijke positie. Gelet hierop beschik ik
niet over bevoegdheden om het Cbp voor te schrijven hoe zich te gedragen in individuele
toezichtszaken.

1 Zie https://www.cbpweb.nl/downloads_int/wp187_en.pdf