In de Verenigde Staten zijn zogeheten data brokers geen onbekend fenomeen. Data brokers, of information brokers, zijn instanties die ongevraagd informatie verzamelen over personen. Deze informatie wordt vervolgens weer doorverkocht aan adverteerders.
Voor adverteerders is dit uiteraard ideaal. In een database staat precies opgesomd wat bijvoorbeeld de politieke voorkeuren, uitstaande schulden, etniciteit en medicijngebruik van individuele personen zijn. Gerichter adverteren is haast niet mogelijk. Hoewel wij in Nederland een vrij strenge privacywetgeving kennen, blijkt ook hier veel data verhandeld te worden. Kan dit zomaar?
Het druist natuurlijk tegen alle beginselen van privacy in wanneer persoonlijke gegevens zomaar verhandeld mogen worden aan adverteerders. Om deze reden stelt de Wet bescherming persoonsgegevens grenzen aan de doorgifte van persoonlijke gegevens aan derden indien er geen sprake is van een rechtsgeldige grondslag. Bij data brokers zal er geen sprake zijn van een rechtsgeldige grondslag, aangezien in dit geval data slechts verzameld en verkocht wordt om geld te verdienen. Doorgifte is in dit geval slechts toegestaan indien van de individuele persoon waarvan gegevens doorgegeven worden, ondubbelzinnige toestemming is verkregen.
Aan deze toestemming zitten wel een aantal vereisten namelijk: 1) de toestemming moet uit vrije wil gegeven worden, 2) de toestemming moet specifiek zijn en 3) de toestemming moet op informatie berusten, het moet dus duidelijk zijn waarvoor er toestemming wordt gegeven.
Dit houdt in, dat slechts het aanvinken van een hokje waarbij de mededeling staat: ‘u gaat akkoord met de algemene voorwaarden en de privacyverklaring’, onvoldoende is.
Voor doorgifte aan derden dient het vóóraf duidelijk te zijn aan welke instanties de gegevens worden doorgegeven. Deze instanties dienen dus bij naam genoemd te worden. Daar komt ook nog bij dat tevens vermeld dient te worden waarvoor de informatie wordt doorgegeven. De doeleinden voor het gebruik van de gegevens door derden dienen dus duidelijk genoemd te worden.
Het verkrijgen van ondubbelzinnig toestemming kan op de volgende wijze gebeuren:
'Ik ga akkoord dat mijn persoonsgegevens doorgegeven worden aan Instantie 1 en Instantie 2, voor het ontvangen van commerciële aanbiedingen.'
Het is dus in het geval van data brokers pas toegestaan persoonsgegevens door te geven aan derden, wanneer ondubbelzinnige toestemming is verkregen. Is deze toestemming niet, of niet op de juiste manier verkregen? Dan is er sprake van onrechtmatige verwerking van persoonsgegevens. Met de komst van de nieuwe Europese Privacyverordening kan dit hoge boetes opleveren.
In de toekomst zullen namelijk boetes opgelegd kunnen worden oplopend tot €100.000.000,-, of vijf procent van de jaarlijkse omzet. Het bedrag dat hoger is zal opgelegd worden. Het is daarom wijsheid voor data brokers om te checken of er daadwerkelijk ondubbelzinnige toestemming verkregen is, vóórdat persoonsgegevens doorgegeven worden.
Benieuwd wat Nederlandse instanties over je weten? Lees dan het artikel ‘Welke bedrijven weten wat over mij? Hoe weten ze dat?’ in NRC.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.