Privacy, slimme TV, Netflix nog slimmer?

Ook verschenen: Jutd 2013/0122 d.d. 24-10-2013

Bedrijven zijn steeds meer op jacht naar de gegevens van hun klanten, zodat zij niet alleen ‘service op maat’ kunnen bieden, maar ook persoonlijk gerichte aanbiedingen kunnen doen. Regelmatig stuiten zij dan op Nederlandse privacyregelgeving.

Bonuskaart

Een greep. Albert Heijn introduceert op dit moment de ‘Mijn Bonus’ bonuskaartdienst waaraan voordelen zijn verbonden zoals op de persoon toegespitste aanbiedingen en extra kortingen, natuurlijk gebaseerd op van deze persoon verzamelde inkoopgegevens. Vóór invoering heeft het College Bescherming Persoonsgegevens (‘Cbp’) Albert Heijn moeten opdragen alsnog specifiek toestemming te vragen voor het activeren van deze dienst. Vervolgens: Philips’ nieuwe smart TV. Deze bleek al te slim: het apparaat en de achtergelegen internetdienst blikt op een slimme wijze terug in het kijk-/surfgedrag van de consument, met het doel om de consument gerichte aanbiedingen te doen. Weer leidde dit tot een terechtwijzing van het Cbp, omdat niet werd gevraagd om een ondubbelzinnige toestemming van de gebruiker, zodat een rechtsgeldige basis voor het verzamelen en gebruik van de gegevens ontbrak.

Het Cpb tilt zwaar aan de eis van een rechtsgeldige toestemming voor het verzamelen van gegevens ‘over het online kijkgedrag, gebruik van apps en websitebezoek van gebruikers van smart tv’s’, aangezien deze gegevens een ‘indringend beeld geven van iemands gedrag en belangstelling’ kunnen geven.

Netflix

Hoe zit het dan – ten slotte – met de recent in Nederland geïntroduceerde ‘on demand’ videodienst Netflix? Deze biedt – als eerste – de deal dat je voor een overzichtelijk bedrag per maand onbeperkt een overweldigend aanbod films en tv-series online kunt afroepen. Ook andere aanbieders (Videoland, RTL) maken zich op om een vergelijkbare onbeperkte online videotheekdienst aan te bieden. Met het gebruik van persoonsgegevens door Netflix is iets geks aan de hand. Netflix beschouwt als ‘persoonsgegevens’ alleen gegevens die direct tot een persoon (de gebruiker) te herleiden zijn. Dit legt Netflix keurig uit als volgt (privacy policy, d.d. 11 september 2013):

(we) gebruiken (..) de term ‘persoonsgegevens’ voor gegevens waarmee je kunt worden geïdentificeerd of door middel waarvan we contact met je kunnen opnemen.

Niet-persoonlijke gegevens zijn gegevens die niet direct aan jou kunnen worden gerelateerd. We kunnen niet-persoonlijke gegevens voor alle doeleinden verzamelen, gebruiken, overbrengen en openbaar maken.

Een aanzienlijke vrijheid ‘voor alle doeleinden’ voor gebruik van niet-persoonsgegevens, dus. Zolang sprake is van een anoniem gegeven, niet voorzien dus van een ‘naam en/of adreskaartje’ mag Netflix met dat gegeven doen wat zij wil. Precies over deze definitie van (niet-)persoonlijke gegevens door Netflix zijn kortgeleden kamervragen beantwoord door staatssecretaris Dekker. Het blijkt dat ook de staatssecretaris meent dat onze Wet bescherming persoonsgegevens (Wbp) een ruimere uitleg van een ‘persoonsgegeven’ lijkt voor te schrijven. Namelijk: elk gegeven waarmee een persoon direct of indirect kan worden geïdentificeerd (bijvoorbeeld aan de hand van een identificatienummer), of informatie uit andere bronnen. Bepalend is of iemands identiteit – direct of via nadere stappen – redelijkerwijs, dat wil zeggen zonder onevenredige inspanning, kan worden vastgesteld. Gegevens over het kijkgedrag, waaruit mogelijk religieuze en seksuele voorkeuren zijn af te leiden, gelden zelfs als bijzondere (gevoelige) persoonsgegevens, zodat bij interactieve diensten uitdrukkelijke toestemming is vereist en deze pas aanwezig mag worden geacht als de betrokkene zijn verzoek voor een specifieke dienst nog eens middels een aparte klik heeft bevestigd, aldus de staatssecretaris.

Netflix laat gebruikers juist in één keer akkoord gaan met haar voorwaarden en datagebruik waarover zij meldt (schrik niet):

We houden je interactie met ons bij en verzamelen gegevens over jou en je gebruik van onze services, zoals je online activiteiten, selectie van titels, reviews, beoordelingen, betalingsoverzicht, correspondentie, IP-adressen, apparaat- en softwaregegevens (zoals type, configuratie en unieke id’s), het direct kijken van films en tv-series, en gerelateerde activiteiten.

We kunnen deze gegevens aanvullen met informatie uit andere bronnen, zoals offline data, je browse-gedrag op andere sites en je interactie met onze advertenties. We verstrekken ook analysegegevens van onze gebruikers in samengevoegde of in een op andere wijze geanonimiseerde vorm aan potentiële partners, adverteerders en andere derden. (etc.)

Nederlandse privacywetgeving

Netflixgebruikers in Nederland nemen dus mogelijk een dienst af die niet voldoet aan Nederlandse privacywetgeving. Echter, deze wetgeving is – ook weer volgens de staatssecretaris – niet van toepassing omdat Netflix geen vestiging in Nederland heeft. Het Cbp heeft daardoor geen bevoegdheid om ten aanzien van Netflix handhavend op te treden. Deze onderneming valt onder de Luxemburgse privacywetgeving. Weliswaar geldt ook in Luxemburg het Europese regime voor bescherming van persoonsgegevens, maar dit regime bestaat uit in de nationale wet om te zetten richtlijnen en laat ruimte voor meer en minder strenge wettelijke bepalingen.

Dit laatste is reden om te streven naar een rechtstreeks werkende en uniforme regeling (‘Algemene Verordening Gegevensbescherming’). Het ontwerp voor een dergelijke regeling bestaat al langer en biedt meer waarborgen, bijvoorbeeld door op meer punten uitdrukkelijke instemming van gebruikers te eisen. Het Europese wetgevingsproces is jarenlang blijven steken, onder meer door een intense lobby mede van de grote Internetbedrijven.

Sinds echter begin dit jaar bleek dat diezelfde Amerikaanse bedrijven als Google, Facebook, Microsoft en Apple meewerken aan het verstrekken aan Amerikaanse inlichtingendiensten van data over hun Europese gebruikers, bestaat weer het nodige enthousiasme voor de voorgestelde regeling en vlot het met de gang door het Europees Parlement.

Ruime uitleg

Bevat dit ontwerp de ruime uitleg van het begrip persoonsgegevens? Zeker, dit zijn namelijk ‘alle gegevens betreffende een (…) natuurlijke persoon die direct of indirect, met behulp van middelen waarvan mag worden aangenomen dat zij redelijkerwijs door de voor de verwerking verantwoordelijke dan wel door een andere natuurlijke of rechtspersoon in te zetten zijn, kan worden geïdentificeerd, met name aan de hand van een identificatienummer, gegevens over de verblijfplaats, een online-identificatiemiddel of een of meer specifieke elementen die kenmerkend zijn voor zijn fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit.’

Tot andere aanbieders zich daadwerkelijk aandienen staat de Netflixgebruiker voor de keuze: kiezen, voor een Netflix-loos bestaan, of delen, van gegevens over ‘ jou en je gebruik van onze services’.

Dit artikel is geschreven door mr. A.J. Gieske, advocaat Intellectueel Eigendomsrecht bij Van Diepen Van der Kroef Advocaten Amsterdam.