Privacyhandhaving[1] vindt in Europa vrijwel uitsluitend plaats door nationale privacytoezichthouders. Zij passen primair sectorspecifieke regulering toe gebaseerd op de Europese Privacyrichtlijn.[2] De verantwoordelijkheid ligt primair bij de onafhankelijke nationale privacytoezichthouders. In de Verenigde Staten wordt op federaal niveau privacy vooral gehandhaafd door de Federal Trade Commission op basis van algemene regels inzake misleidende en oneerlijke handelspraktijken. In dit artikel wordt het Amerikaanse systeem besproken en naast de Europese kaders gezet. Hieruit blijkt dat ook in Europa de regels over handelspraktijken kunnen worden ingezet voor privacyhandhaving. Er zijn goede argumenten om dit ook te doen: veel fricties betreffen het op markt/consumenten-gericht gebruik van persoonsgegevens. Het ligt dan voor de hand om deze fricties dan ook binnen markt/consument kaders aan de orde te stellen.
Inleiding
Deze bijdrage is als volgt opgebouwd. Eerst wordt aangegeven hoe in de Verenigde Staten vraagstukken van privacy worden aangepakt via het toepassen van regels over oneerlijke handelspraktijken. De VS-regels over oneerlijke handelspraktijken en de toepassing ervan op privacy worden uitgelegd, waarna aan de hand van twee voorbeelden wordt aangegeven hoe dit in de praktijk uitwerkt. Bijzondere aandacht gaat uit naar het instrument van ‘consent agreements’, waarbij partijen die zich niet aan de regels hebben gehouden met de toezichthouder, de Federal Trade Commission, langdurige verplichtingen aangaan. Vervolgens wordt ingegaan op de Europese regels voor oneerlijke handelspraktijken, zoals neergelegd in de richtlijn oneerlijke handelspraktijken en geïmplementeerd in Nederland. Er wordt ingegaan op de handhavingspraktijk van de ACM als voorbeeld van nationale toepassing. Het is niet de bedoeling om een uitputtende beschrijving te geven van het VS en Europese/Nederlandse kader, maar om een eerste aanzet te doen voor een alternatieve benadering. Tenslotte vindt in de analyse en conclusies een vergelijking plaats tussen de kaders in de Verenigde Staten en in Europa. Daaruit volgt onder meer de conclusie dat deze kaders op essentiële onderdelen overeenstemmen. De Europese (en Nederlandse) regels over oneerlijke handelspraktijken zouden daarom op overeenkomstige wijze kunnen worden ingezet en aangegeven wordt wat daar de meerwaarde van is.
Oneerlijke handelspraktijken in de VS
De Federal Trade Commission (FTC) is in de Verenigde Staten al meer dan honderd jaar de handhavingsinstantie voor misleidende en oneerlijke handelspraktijken.[3] De FTC werd begin vorige eeuw opgericht om kartels te breken en monopolievorming te voorkomen. Vandaag de dag richt de FTC zich met name op het voorkomen van oneerlijke mededinging en het beschermen van de rechten van de consument. De FTC is verantwoordelijk als handhaver van en toezichthouder op meer dan 70 uiteenlopende wetten.[4] Haar bevoegdheden ontleent de FTC aan de Federal Trade Commission Act (FTC-Act) uit 1914.[5] Deze geeft de FTC ruime onderzoeksbevoegdheden en de taak om verslagen en aanbevelingen voor wetsveranderingen op te stellen voor het Amerikaanse Congres. Het is de FTCAct die in Section 5, lid 1 een algemeen verbod bevat op oneerlijke (unfair acts or practices) of misleidende (deceptive acts or practices) handelspraktijken:
15 U.S. Code § 45 – Unfair methods of competition unlawful; prevention by Commission. (a)Declaration of unlawfulness; power to prohibit unfair practices; inapplicability to foreign trade (1) Unfair methods of competition in or affecting commerce, and unfair or deceptive acts or practices in or affecting commerce, are hereby declared unlawful.
Er is bewust voor gekozen om de interpretatie van deze open normen niet te beperken tot een strikte uitleg.[6] Hierdoor zou de FTC ook de mogelijkheid om op te treden in het geval van onvoorziene (technologische) ontwikkelingen in het bedrijfsleven. In de loop der jaren is er steeds verder invulling gegeven aan de termen misleidende en oneerlijke handelspraktijken via beleidsregels, aanvullende regelgeving en jurisprudentie. Zo heeft de FTC in 1980 en in 1983 in twee policy statements de interpretatie van Section 5 verder vormgegeven.[7] Onder meer op basis van in de tussentijd ontwikkelde jurisprudentie worden hierin criteria geformuleerd voor de concrete toetsing van oneerlijke en misleidende handelspraktijken. Van misleidende handelspraktijken is sprake wanneer aan drie criteria wordt voldaan:[8]
– ‘First, there must be a representation, omission or practice that is likely to mislead the consumer; – Second, we examine the practice from the perspective of a consumer acting reasonably in the circumstances. If the representation or practice affects or is directed primarily to a particular group, the Commission examines reasonableness from the perspective of that group;
– Third, the representation, omission, or practice must be a “material” one. The basic question is whether the act or practice is likely to affect the consumer’s conduct or decision with regard to a product or service.’
Voor oneerlijke handelspraktijken hanteert de FTC als meest relevante criterium de vraag of de consument schade heeft opgelopen door de betreffende praktijk.[9] Daartoe wordt een drie stappen-test doorlopen die sinds 1993 is gecodificeerd in de FTC-Act:[10]
To justify a finding of unfairness the injury must satisfy three tests:
– First of all, the injury must be substantial. The Commission is not concerned with trivial or merely speculative harms;
– Second, the injury must not be outweighed by any offsetting consumer or competitive benefits that the sales practice also produces; – Finally, the injury must be one which consumers could not reasonably have avoided.
Privacy als oneerlijke handelspraktijk
Sinds de opkomst van het internet is de FTC de voornaamste toezichthouder en handhaver van online privacy- en gegevensbescherming van de consument op de Amerikaanse markt. De betreffende afdeling van de FTC, Division of Privacy and Identity Protection van het Bureau of Consumer protection, heeft de afgelopen jaren meer dan 130 spam- en spyware zaken, 40 algemene privacyzaken en 69 data securityzaken behandeld.[11] Handhaving heeft zich gericht op zowel kleine als grote bedrijven, waaronder Facebook, Google, Twitter en Microsoft.
Section 5 fungeert als de belangrijkste basis,[12] waarbij de FTC onder meer voortbouwt op haar jarenlange ervaring op het gebied van misleidende reclame.[13] Zo vormt het feit dat vele online diensten gratis worden aangeboden geen reden om deze diensten uit te sluiten. De FTC neemt ook geen fundamenteel rechtelijke benadering als uitgangspunt, maar heeft een economisch perspectief gericht op de bescherming van de consument: ‘In all of its privacy work, the FTC’s goals have remained constant: to protect consumers’ personal information and ensure that consumers have the confidence to take advantage of the many benefits offered in the marketplace.’[14]
De meeste online privacyzaken betreffen misleidende handelspraktijken, waarbij het dus moet gaan om een representatie, omissie of praktijk die misleidend is voor de consument.[15] Hiervan is bijvoorbeeld sprake wanneer de privacy policy van een online dienst essentiële informatie weglaat of onwaarheden bevat over de wijze waarop gebruikers worden gevolgd.[16] Voor een misleidende handelspraktijk is geen schade vereist, enkel het feit dat de consument is misleid, volstaat. Bij een oneerlijke handelspraktijk is schade wel een vereiste, hetgeen lastiger te bewijzen is wanneer het gaat om immateriële schade zoals in privacyzaken vaak het geval is. In het begin van de jaren negentig werd daarom gedacht dat privacyzaken niet onder de oneerlijke handelspraktijken zouden kunnen vallen. Dat is tegenwoordig niet meer de opvatting. Alhoewel individuele personen misschien weinig of geen schade oplopen, kan de openbaarmaking van grote hoeveelheden persoonlijke data er gezamenlijk voor zorgen dat zich schade voordoet.[17]
Privacyhandhaving door de FTC: consent agreements
De FTC is geheel vrij om te bepalen op welke wijze tot handhaving wordt overgegaan.[18] Zij kan op eigen initiatief of naar aanleiding van een ingediende klacht een onderzoek starten naar oneerlijke handelspraktijken. De FTC heeft hierbij bijzondere onderzoeksbevoegdheden tot haar beschikking, zoals het dagvaarden van getuigen of het opvragen van documenten. De FTC heeft geen algemene bevoegdheid om zelf boetes op te leggen. Boetes kunnen alleen door de rechter worden opgelegd via aanvullende procedures of wanneer de wetgeving daarvoor een specifieke grondslag biedt.[19]
Veel privacyhandhavingszaken resulteren daarom in een schikking tussen de FTC en de overtreder. Door de schikking is de zaak definitief beslecht en doet de overtreder afstand van zijn recht op een rechterlijk proces. Deze schikking wordt neergelegd in een zogenaamd consent agreement, dat sterk gericht is op het bewerkstelligen van gedragsverandering. Ter illustratie van wat in een consent agreement wordt overeengekomen en wat de consequenties daarvan kunnen zijn, volgen hier twee voorbeelden. Het gaat om zaken waarbij Google en Facebook betrokken waren.
Oneerlijke handelspraktijken: Google en Facebook[20]
In 2004 werd Google, dat de wereld aan het veroveren was met zijn zoekmachine, nog een beetje beroemder door de introductie van een gratis emaildienst, Gmail. Niet de emaildienst was bijzonder, maar wel het feit dat de gebruikers maar liefst 1 gigabyte aan opslagruimte kregen. Het moest een grap zijn; de lancering van Gmail was op 1 april en de populaire concurrent Windows Hotmail dienst verstrekte destijds slechts 2 megabyte opslagruimte aan haar gebruikers. Niets bleek minder waar, het aanbod was echt. Gebruikers zouden nooit meer hun email behoeven te wissen. Natuurlijk sneed het mes aan twee kanten. Doordat de informatie niet verwijderd werd en – op grond van de voorwaarden – de gebruikers toestonden dat deze informatie geanalyseerd werd, verkreeg Google toegang tot grote hoeveelheden data op basis waarvan de dienstverlening verder verbeterd kon worden.
Hetzelfde jaar startte Facebook met wat later de grootste sociale netwerkdienst ter wereld zou worden. Facebook groeide als gevolg van de netwerkeffecten snel, zeer snel. Eind 2004 waren er 1 miljoen gebruikers, in 2008 100 miljoen en in februari 2010 zo’n 400 miljoen.[21]
Een reactie van Google op Facebook kon niet uitblijven. In februari 2010 werd daarom ‘Google Buzz’ gelanceerd. Met Google Buzz zouden gebruikers vergaande informatie met elkaar kunnen delen, zowel in het openbaar als in besloten groepen. Om een vliegende start te maken, werden de meer dan 37 miljoen gebruikers van Gmail ingezet om Google Buzz te bevolken. Bij de start van Google Buzz kregen de gebruikers een openingsscherm met de vraag of ze wel ‘Sweet! Check out Buzz’ of niet ‘Nah, go to my inbox’ van Google Buzz gebruik wilde maken. Ongeacht de keuze van de gebruiker werd Google Buzz geactiveerd.
De lancering van Google Buzz zorgde voor publieke verontwaardiging en grootschalige oppositie tegen de nieuwe service, ook al vertoonde de service zelf veel overeenkomsten met reeds bestaande sociale media platforms. Op Buzz konden gebruikers, net als op Twitter of Facebook, elkaar volgen of gevolgd worden. Ter gemak voor de gebruiker stelde Google deze lijsten automatisch samen op basis van het e-mailverkeer van de gebruiker. Wanneer de gebruiker een profiel aanmaakte, werd deze lijst zonder expliciete waarschuwing automatisch zichtbaar voor het publiek. Door de Buzz service werd persoonlijke informatie, zoals namen en e-mailadressen van advocaten, doctoren of (ex-)geliefden, zonder expliciete toestemming c.q. zonder dat de gebruiker zich daarvan bewust was, openbaar gemaakt.
Naast Google is Facebook meerdere malen verweten de privacy van gebruikers te schenden. Zo startte Facebook in 2007 met ‘Beacon’, een applicatie waarbij het webverkeer gebruikers op Facebooks partnerwebsites werd getraceerd. Wanneer de gebruiker een aankoop deed op een van de partnerwebsites, werd automatisch een melding van de activiteit gestuurd naar de Facebookvrienden van de gebruikers. Veel gebruikers waren niet goed op de hoogte gesteld van de nieuwe service. Dit leidde tot allerlei ongemakkelijke situaties, van het verklappen van kerstcadeautjes tot het onthullen van gênante aankopen.[22] Het Beacon-programma werd in 2009 van de website verwijderd. Datzelfde jaar veranderde Facebook haar privacypolicy, in haar eigen woorden, ‘to give you more control of your information and help you stay connected’. Wat Facebook niet duidelijk genoeg vertelde, was dat door de nieuwe privacy-instellingen de bestaande instellingen van facebookgebruikers werden overschreven, waardoor informatie, zoals vriendenlijsten, profielfoto’s en facebookgroepen, niet langer als privéinformatie werd afgeschermd. De betreffende clausules in Facebooks nieuwe privacypolicy trokken ook de belangstelling van de Amerikaanse Senaat.[23] Verder was het voor veel gebruikers onduidelijk in hoeverre Facebook de gegevens die zij van haar gebruikers verzamelde, deelde met derde partijen. Facebook had meerdere malen gesteld geen informatie van haar gebruikers te delen met adverteerders, terwijl gebruikers toch ‘targeted advertisments’ kregen te zien. Deze advertenties zijn speciaal voor gebruiker geselecteerd op basis van persoonlijke kenmerken zoals: leeftijd, locatie, geslacht, burgerlijke staat en opleiding.
In een onderzoek naar aanleiding van een klacht kwam de FTC tot de conclusie dat Google in de beschreven zaak misleidend had gehandeld ten opzichte van de consument. Ten eerste had Google in haar Gmail privacystatement expliciet duidelijk gemaakt dat persoonlijke informatie van Gmail gebruikers alleen zou worden gebruikt voor het beschikbaar stellen van de emaildienst. Wanneer Google de data voor andere doeleinden zou gebruiken, zou zij vooraf toestemming aan de gebruiker vragen. In tegenstelling tot haar belofte had Google Gmail-gegevens zonder toestemming gebruikt om Google Buzz te ondersteunen. Ten tweede had Google haar gebruikers misleid door de indruk te wekken dat bij het aanklikken van de ‘Nah, go to my inbox’-knop de Buzz service niet geactiveerd zou worden. Ten derde was Google er niet in geslaagd om op afdoende wijze duidelijk te maken dat de gebruiker geen controle had over het openbaar maken van persoonlijke informatie, namelijk de e-mailadressen en namen van de personen waarmee hij het meeste contact had. Deze handelspraktijken waren misleidend en daarom in strijd met Section 5 van de FTC-Act.
Uit het onderzoek van de FTC inzake Facebook bleek dat Facebook de FTC-Act gedurende de periode 2007-2009 zeven keer had overtreden. Zes keer door het begaan van misleidende praktijken en een keer door zich in te laten met oneerlijke praktijken. De misleidende praktijken in de Facebook-zaak waren vergelijkbaar met de Google-zaak. Facebook kwam beloften in de privacypolicy niet na door bijvoorbeeld toch informatie door te verkopen aan adverteerders, wanneer zij beloofd had dit niet te doen. Verder misleidde Facebook de gebruiker met teksten zoals ‘to give you more control’, wanneer dit in praktijk niet het geval was en door sommige ‘third party apps’ te voorzien met een ‘Verified Apps’ button. Deze ‘Verified Apps’ button kon door de apps zelf worden gekocht tegen een betaling aan Facebook en had niets te maken met de veiligheid of het vertrouwelijke karakter van de apps. Verder handelde Facebook oneerlijk toen zij in 2009 haar privacysettingen veranderde en met terugwerkende kracht de informatie die zij voorheen van gebruikers had verzameld openbaar maakte door de huidige instellingen van gebruikers te overschrijven. Dit veroorzaakte volgens de FTC schade voor de gebruikers. Gebruikers konden nu op basis van vriendenlijsten ongewenst contact opnemen met voorheen onvindbare gebruikers. Verder werden pagina’s die de gebruiker had afgeschermd nu voor iedereen toegankelijk, waardoor gevoelige informatie zoals de politieke of seksuele voorkeur van de gebruiker openbaar werd. Een vergelijkbaar probleem werd geconstateerd met betrekking tot de openbaarmaking van alle profielfoto’s van de gebruikers.
Consent Agreements Google en Facebook
Beide zaken werden geschikt in consent agreements met de FTC.[24] Deze agreements zijn zeer compact en ‘to the point’. Ze beslaan niet meer dan zo’n tien pagina’s. Ofschoon de afspraken zijn toegeschreven op de omstandigheden van het geval, stemmen zij op belangrijke onderdelen overeen en kan gesteld worden dat de voorwaarden in hoge mate gestandaardiseerd zijn (andere eerdere en latere agreements kennen vergelijkbare voorwaarden). Het betreft met name afspraken over de verwerking van gegevens, interne compliance, en rapportage/informatieverplichtingen, zoals hier nader geïnventariseerd.
Verwerking gegevens[25]
Ten aanzien van de verwerking van gegevens worden verplichtingen overeengekomen om op geen enkele manier verkeerde informatie te verstrekken, expliciet of impliciet, over a) het (doel van het) verzamelen en openbaar maken/verwerken van informatie; b) de mate waarin gebruikers over deze informatie controle hebben of kunnen verkrijgen; c) de mate waarin informatie beschikbaar is of wordt gemaakt aan derden; d) de stappen die de onderneming onderneemt om de privacy of security van derde partijen te verifiëren; e) in hoeverre de onderneming informatie beschikbaar maakt voor derde partijen wanneer de account van de gebruiker is verwijderd of gedeactiveerd; f) in hoeverre de onderneming bepaalde standaarden onderschrijft of aan speciale programma’s deelneemt zoals het US-EU Safe Harbor raamwerk en g) het vooraf informeren over consequenties over nieuwe vormen van informatiedeling met derden.
Compliance[26]
Voor wat betreft interne compliance wordt afgesproken dat een uitgebreid privacyprogramma wordt geïmplementeerd en onderhouden dat ontworpen is om privacyrisico’s voor nieuwe en bestaande producten en services voor consumenten aan te pakken en de privacy en vertrouwelijkheid van informatie te beschermen. Het programma moet afgestemd zijn op de complexiteit en de grootte van de onderneming en onder meer omvatten: a) het aanwijzen en opleiden van medewerkers verantwoordelijk voor het privacyprogramma; b) het identificeren van redelijk voorzienbare risico’s die kunnen resulteren in het ongeautoriseerd verzamelen of openbaar maken van informatie; c) het invoeren van redelijke privacycontroles en procedures om de geïdentificeerde risico’s tegen te gaan. Deze controles en procedures moeten worden getest en gemonitord op hun effectiviteit; e) het ondernemen van redelijke stappen om serviceproviders te selecteren die voldoende privacybescherming bieden en contracten met de serviceproviders af te sluiten om deze bescherming in stand te houden en f) het evalueren en aanpassen van het privacyprogramma wanneer er veranderingen tot stand komen die invloed kunnen hebben op de effectiviteit van het programma.
Rapportage/informatie[27]
Beide ondernemingen stemmen in met substantiële rapportage en informatie-verplichtingen: binnen 180 dagen na de agreement en daarna op tweejarige basis voor twintig jaar lang zullen zij zorgen voor rapportage door een objectieve, onafhankelijke derde partij waaruit blijkt dat de onderneming een privacyprogramma heeft geïmplementeerd dat voldoet aan de FTC vereisten. Verder wordt ingestemd met het beschikbaar houden en op aanvraag van de FTC ter beschikking stellen van documenten. Daarbij gaat het om a) voor een periode van drie jaar na de totstandkoming, de verklaringen die beschrijven hoe de gedaagde de privacy en vertrouwelijkheid van informatie behoudt en al het materiaal dat is gebruikt om deze verklaringen te onderbouwen; b) voor een periode van zes maanden na ontvangst, alle klachten die de gedaagde heeft ontvangen over ongeautoriseerde verzameling, gebruik of openbaarmaking van informatie; c) voor een periode van 5 jaar na ontvangst, alle documenten die de consent agreement tegenspreken of nakoming van de consent agreement in twijfel trekken en d) voor een periode van 3 jaar na de totstandkoming van de verplichtingen met betrekking tot compliance waaronder rapporten, studies, trainingsmateriaal.
Consequenties consent agreements
Wanneer na betekening van de consent agreement een bedrijf toch nog oneerlijk of misleidend handelt, kan de FTC de federale rechtbank verzoeken om een boete op te leggen. Dit gebeurde bij Google in 2012. Na onderzoek kwam de FTC tot de conclusie dat Google tussen 2011 en 2012 tracking cookies voor advertentiedoeleinden had geplaatst op de computers van gebruikers van het browserprogramma Safari, wanneer zij websites binnen het Google DoubleClick advertentienetwerk bezochten. Google meldde de gebruikers dat zij automatisch zouden worden afgemeld voor deze tracking cookies, vanwege de standaard instellingen van de Safari browser op een Mac, iPhone of IPad. In tegenstelling tot deze belofte omzeilde Google de standaard instellingen van de gebruikers en plaatste zij de cookies op computers van de gebruikers. Google handelde hierdoor in strijd met de consent agreement, aldus de FTC. Het District Court of the Northern District of California stelde de boete voor het overtreden van de consent agreement vast op 22,5 miljoen dollar, destijds de hoogste boete voor het overtreden van een consent agreement met de FTC ooit.[28]
De consent agreement tussen de FTC en Facebook heeft tot gevolg gehad dat de FTC in 2014 een open brief met betrekking tot de overname van WhatsApp naar beide bedrijven stuurde.[29] De FTC uitte daarin haar zorg over nakoming van de privacybeloftes die WhatsApp aan haar gebruikers had gemaakt. De directeur van Bureau of Consumer Protection schreef: ‘WhatsApp has made a number of promises about the limited nature of the data it collects, maintains, and shares with third partiespromises that exceed the protections currently promised to Facebook users’. Wanneer WhatsApp deze beloften niet langer waar kon maken, zouden beide bedrijven Section 5 van de FTC-wet overtreden en zou Facebook ook in strijd handelen met de in de consent agreement gemaakte afspraken. Zowel Facebook als WhatsApp hebben vervolgens naar mening van de FTC adequate maatregelen getroffen om de privacy van hun gebruikers te waarborgen.
Oneerlijke handelspraktijken in de Europese Unie
Sinds 2005 zijn de regels over oneerlijke handelspraktijken binnen de EU geharmoniseerd door de Richtlijn Oneerlijke Handelspraktijken (Richtlijn OHP).[30] De richtlijn beoogt de regelgeving omtrent oneerlijke handelspraktijken in de lidstaten verregaand te harmonisering (zogenaamde ‘maximum harmonisatie’).[31] De richtlijn is niet alleen van toepassing op alle oneerlijke handelspraktijken in business-to-consumer transacties (goederen en diensten) tenzij deze expliciet zijn uitgezonderd, maar is ook het leidende instrument bij dit soort transacties. Zo is de maximale harmonisatie van de Richtlijn niet van toepassing op financiële diensten en onroerende goederen en staat bijvoorbeeld specifiek in de richtlijn vermeld dat artikel 13 lid 3, betreffende ongewenste communicatie (spam), van de E-Privacy Richtlijn onverminderd van kracht blijft.[32] Wanneer de richtlijn niet is uitgezonderd in sectorspecifieke EU-regelgeving, geldt de regel van lex specialis. Dit is dus ook het geval met de Algemene Privacy Richtlijn. Beide instrumenten zijn naast elkaar inzetbaar.
Oneerlijke handelspraktijken onder de richtlijn OHP
Artikel 5 van de Richtlijn OHP geeft limitatief de gronden op basis waarvan een handelspraktijk oneerlijk kan zijn. Daarvoor dient de praktijk a) strijdig te zijn met de vereisten van professionele toewijding en b) het economisch gedrag van de gemiddelde consument met betrekking tot het product wezenlijk te verstoren of te kunnen verstoren. De richtlijn beschouwt misleidende handelspraktijken en agressieve handelspraktijken als bijzonder oneerlijk. Bij dergelijke praktijken behoeft niet meer te worden nagegaan of in strijd met de vereisten inzake professionele toewijding is gehandeld. Wel blijft onverminderd van kracht dat de handelspraktijk het economische gedrag van de consument wezenlijk verstoort of kan verstoren.[33] Misleidende handelspraktijken zijn veruit de meest gebruikte grond uit de richtlijn voor handhaving van oneerlijke handelspraktijken.[34] De artikelen 6 en 7 van de richtlijn geven nadere duiding ten aanzien van misleidende handelspraktijken. Van misleiding is met name sprake, wanneer het gaat om a) foutieve informatie, misleidende representatie of misleidende omissie, b) waardoor de gemiddelde consument c) een besluit over een transactie neemt, dat hij of zij anders niet had genomen.[35] Agressieve handelspraktijken zijn volgens artikel 8 en 9 handelspraktijken waarbij intimidatie, dwang of ongepaste beïnvloeding plaats heeft. In een bijlage bij de richtlijn is een zwarte lijst opgenomen. Handelingen op deze lijst zijn sowieso verboden en vergen geen nadere toetsing. Op de lijst staan onder meer het als gratis aanbieden van een product wanneer dit niet feitelijk het geval is en ‘bait advertising’ (een aantrekkelijk offer dat enkel wordt gebruikt om een ander product te verkopen).
Kortom, om na te gaan of van een oneerlijke handelspraktijk sprake is, moet de richtlijn eigenlijk van achter naar voren gelezen worden. Eerst wordt gekeken of de handelspraktijk op de zwarte lijst staat, vervolgens of de handelspraktijk onder de definitie van een agressieve of een misleidende praktijk valt, en tenslotte kan de open norm van ‘strijd met de vereisten van professionele toewijding’ uit artikel 5 lid 2 als vangnet dienen.[36] Behalve de zwarte lijst is het aan de handhavende instanties en nationale rechter overgelaten om in individuele gevallen na te gaan of van een oneerlijke handelspraktijk sprake is. Zo zijn oneerlijke handelspraktijken in Nederland bijvoorbeeld ondergebracht in het open normenstelsel van de onrechtmatige daad.[37]
Privacy onder de richtlijn OHP
In Europa lijkt de richtlijn OHP of de nationale implementatie ervan niet of nauwelijks te worden ingezet in het kader van privacyhandhaving.[38] Handhaving vindt vrijwel uitsluitend plaats op basis van de sectorspecifieke privacyregulering, zoals ontleend aan de Privacy richtlijn.[39] Zoals eerder opgemerkt, heeft de richtlijn OHP een zeer ruim toepassingsgebied. De richtlijn OHP is ter waarborging van de belangen van consumenten van toepassing op alle business-to-consumer transacties in alle sectoren en is het leidende instrument.[40] Ook geeft jurisprudentie aan dat een betaling van geld niet centraal hoeft te staan. Het Hof van Justitie maakt in het Trento Sviluppoarrest duidelijk kenbaar dat toepassing verder gaat dan alleen de traditionele aankoop van een product in een winkel.[41] De Europese Commissie onderschrijft eveneens een ruime strekking van het transactiebegrip: ‘the Member States remain free to extend the scope of the UCPD or to regulate, in conformity with other EU legislation, other types of relations.’[42]
Handhaving oneerlijke handelspraktijken: Nederland
De concrete handhaving van oneerlijke handelspraktijken in de EU is niet geharmoniseerd, maar overgelaten aan de individuele lidstaten. Artikel 11 van de richtlijn stelt dat de lidstaten moeten zorgen voor ‘passende en doeltreffende middelen ter bestrijding van oneerlijke handelspraktijken’ en dat personen of organisaties oneerlijke handelspraktijken moeten kunnen bestrijden door in rechte op te treden en/of oneerlijke handelspraktijken voor te leggen aan administratieve instanties. De lidstaten maken zelf de keuze of tegen oneerlijke handelspraktijken kan worden opgetreden via een publieke of private rechtsgang, of een combinatie van beide. Ook is het aan de lidstaten om vast te stellen wat voor sancties van toepassing zijn bij schending van de richtlijn. Artikel 13 schrijft voor dat de sancties doeltreffende, evenredige en afschrikwekkende moeten zijn. In aanvulling op de richtlijn ziet een afzonderlijke EU-verordening toe op de coördinatie tussen de toezichthoudende instanties betreffende consumentenzaken van de 28 lidstaten.[43] In Nederland is de Autoriteit Consument en Markt (ACM) belast met het toezicht en de handhaving van de regels inzake oneerlijke handelspraktijken.[44] Er liggen geen bevoegdheden bij de privacytoezichthouder, de Autoriteit Persoonsgegevens (AP).
Op basis van een klacht of eigen bevinding kan de ACM overgaan tot onderzoek naar oneerlijke handelspraktijken, waarbij zij onder meer bevoegd is plaatsen te betreden en inzage in bepaalde documenten te vorderen. De ACM beschikt over ruime handhavingsinstrumenten: last onder dwangsom, een bindende aanwijzing, toezegging of een (publieke) waarschuwing.[45] Ook kan de ACM in geval van oneerlijke handelspraktijken een boete van maximaal 450.000 euro per overtreding opleggen.[46] Boetes kunnen worden opgelegd zowel aan een rechtspersoon als aan een leidinggevende. In twee recente zaken werden hoge boetes opgelegd vanwege oneerlijke handelspraktijken.
Uitgeverij Calatus kreeg een boete van 200.000 euro, leidinggevenden een boete van 50.000 en 25.000 euro.[47] Bij Lecturama ging het om respectievelijk 745.000 euro boete voor de onderneming en 300.000 euro voor de leidinggevende.[48]
De ACM-praktijk van handhaving inzake oneerlijke handelspraktijken bestaat met name uit het opleggen van boetes. Specifieke gedragsveranderende maatregelen, zoals het bindend verklaren van een toezegging (artikel 49a Mededingingswet) zijn in beginsel wel mogelijk en lijken de mogelijkheid te bieden om te komen tot een remedie die vergelijkbaar is met een FTC-consent agreement.[49] Dit neemt niet weg dat de ACM bijvoorbeeld in haar taak als telecomtoezichthouder met KPN een compliance-afspraak is overeengekomen die op onderdelen vergelijkbaar is met de compliance bepalingen in een consent agreement.[50] In dit KPN ‘compliance handvest’ dat in 2014 is vernieuwd, zitten bijvoorbeeld bepalingen die zich richten op interne informatieverstrekking en organisatiecultuur om de naleving van de regels van de Telecommunicatiewet te bevorderen.
Analyse en conclusie
Hiervoor is vanuit Amerikaans en Europees perspectief het leerstuk van oneerlijke handelspraktijken beschreven in relatie tot de handhaving van privacyregels. In de Verenigde Staten is er een hechte relatie tussen oneerlijke handelspraktijken en privacyhandhaving. Een lange traditie en het ontbreken van ‘omnibus’-regulering, zoals een Federale privacywetgeving, zal daar mede debet aan zijn. In Europa hebben de rechtsgebieden oneerlijke handelspraktijken en privacybescherming zich los van elkaar ontwikkeld. Consumenten- en privacyrechten zijn gebaseerd op verschillende normatieve kaders, uitgewerkt in verschillende richtlijnen en kennen verschillende nationale handhavingstrajecten en -instanties.
De FTC handhaaft een verbod op oneerlijke handelspraktijken op basis van twee gronden: oneerlijke handelspraktijken en misleidende handelspraktijken. Voor oneerlijke handelspraktijken onder de FTC-Act staat schade aan de consument open.
Oneerlijke handelspraktijken vallen in de richtlijn OHP zowel onder de open norm van artikel 5 lid 2, agressieve handelingen, als onder de verboden handelingen op de zwarte lijst. Met name de zwarte lijst illustreert een verschillende wetgevende aanpak. In Section 5 van de FTC-Act staan geen handelspraktijken genoemd die zonder normatieve toets altijd als oneerlijk moeten worden beschouwd.
De FTC handhaaft de meeste privacyzaken op grond van het verbod op misleidende handelspraktijken uit Section 5. Dit verbod vertoont duidelijke overeenkomsten met het verbod op misleidende handelspraktijken onder artikel 6 en 7 van de richtlijn OHP. Hoewel de terminologie niet identiek is, corresponderen de regels in hoge mate, zoals uit onderstaande tabel kan worden afgeleid.
Voor wat betreft de handhaving beschikt de FTC in het kader van oneerlijke handelspraktijken niet over zelfstandige handhavingsinstrumenten. In het VS-model dient de FTC zich tot een rechter te wenden om een concrete sanctie op leggen. Constateert de FTC echter een overtreding, dan leidt dit in de regel tot een ‘consent agreement’ waarin afspraken worden gedaan gericht op gedragsverandering en nadere handhaving. Tot op zekere hoogte heeft een consent agreement daarmee trekken van een last onder dwangsom. Het niet-naleven van een consent agreement leidt tot een verzoek aan de rechter een boete op te leggen. Deze boetes kunnen een substantiële omvang hebben.
In Europa wordt voor de naleving en handhaving van privacyregels primair een beroep gedaan op de sectorspecifieke regels zoals neergelegd in de privacyrichtlijn (te vervangen door de nieuwe privacyverordening). Hierbij past de kanttekening dat mede door ontbrekende bevoegdheden en ervaring, de handhaving in de praktijk beperkt is gebleven. Dat geldt ook voor de richtlijn oneerlijke handelspraktijken (OHP) als het leidende instrument voor wat betreft relaties tussen aanbieders van goederen/diensten en consumenten. De inzet ervan voor privacyvraagstukken is verwaarloosbaar, terwijl juist de aanbieder-klantrelatie meer en meer aan belang wint. Het verzamelen en verwerken van persoonsgegevens heeft in de hedendaagse informatiesamenleving vooral een transactioneel karakter: gericht op het realiseren van de koop van een product of het leveren van een dienst. De Europese richtlijn over oneerlijke handelspraktijken laat het aan de lidstaten om te zorgen voor een stelsel van effectieve handhaving. In Nederland impliceert een en ander dat de ACM direct boetes kan opleggen, naast andere maatregelen. Twee beschreven gevallen geven aan dat de ACM substantiële boetes niet uit de weg gaat.
Materieel is er grote overeenstemming tussen het Amerikaanse en Europese regelkader inzake oneerlijke handelspraktijken, zoals uit bovenstaande tabel blijkt. De begrippenkaders sluiten goed bij elkaar aan en in beide gevallen staat de bescherming van de consument centraal.[51] Er zijn dan ook geen belemmeringen om in Europa het leerstuk van oneerlijke handelspraktijken toe te passen in de context van privacyhandhaving. De toepassing van de regels van de richtlijn oneerlijke handelspraktijken als algemeen reguleringskader is niet uitgesloten en daarmee is het in een business-to-consumer relatie verzamelen en verwerken van persoonsgegevens tot de werkingssfeer van de richtlijn te rekenen.
Er is ook alle reden om in de huidige informatiesamenleving te kiezen voor een meer markt-consumenten gerelateerde benadering. Het verzamelen en verwerken van (persoons) gegevens is wel omschreven als ‘the new oil’, als de nieuwe driver voor de economie.[52] Foutief gedrag in de context van privacy en het verzamelen/verwerken van persoonsgegevens is vooral ingegeven door economische overwegingen en niet door een streven om een fundamenteel recht te schenden. Het tweede volgt meer uit het eerste.[53] Dit moet consequenties hebben voor de naleving en handhaving: die dient in de eerste plaats consument gericht te zijn. Privacyvraagstukken met een kleine ‘p’ – waar het dus vooral om marktgedrag gaat – horen primair binnen de marktregulering te worden opgelost, zo is onze de stelling. Daar past dus bij dat Europese markt- en consumententoezichthouders zich actiever opstellen, al dan niet in afstemming met privacytoezichthouders. Het is immers hun taak voor de markt- en consumentenbelangen op te komen. Dit is des te meer wenselijk wanneer effectiever kan worden opgetreden, bijvoorbeeld doordat direct sancties kunnen worden opgelegd, zonder dat veelal eerst een aanwijzing noodzakelijk is zoals de gewijzigde wet op de bescherming van persoonsgegevens voorschrijft (artikel 66, lid 3 Wbp).[54] Effectieve handhaving bestaat echter niet alleen bij de gratie van het kunnen opleggen van boetes, maar dient tevens gericht te zijn op preventie en gedragsverandering. Artikel 49a Mededingingswet waarin de bevoegdheid is geregeld om een toezegging bindend te verklaren zou een mogelijke basis kunnen zijn om te komen tot een gedragsveranderende maatregel die vergelijkbaar is met een consent agreements tussen de FTC en een marktpartij.
Eindnoten
* Emilie Kannekens is onderzoeksmasterstudent Informatierecht. Nico van Eijk is als hoogleraar informatierecht verbonden aan het Instituut voor Informatierecht (IViR, Universiteit van Amsterdam). De auteurs danken prof. mr. M.B.M. Loos en prof. mr. J.J.C. Kabel voor hun nuttig commentaar/suggesties.
1. In deze bijdrage wordt ‘privacy’ in de regel als een verzamelbegrip gehanteerd voor privacy in traditionele zin, maar ook voor de opslag en verwerking van (digitale) persoonsgegevens in het algemeen.
2. Deze richtlijn (95/46/EG) vervalt met de inwerkingtreding de verordening Gegevensbescherming die twee jaar na plaatsing in het publicatieblad van kracht wordt (Verordening (EU) 2016/679 d.d. 27 april 2016, Publ. L 119 d.d. 4 mei 2016.
3. Hierna wordt voor misleidende en oneerlijke handelspraktijken het verzamel begrip ‘oneerlijke handelspraktijken’ gehanteerd, tenzij het specifieke onderscheid relevant is.
4. Statutes Enforced or Administered by the Commission, FTC.gov.
5. FTC-Act – 15 U.S.C. §§ 41-58.
6. C. J. Hoofnagle, Federal Trade Commission, Privacy Law and Policy, New York: Cambridge University Press, 2016, [Hoofnagle] p. 120.
7. G.S. Hans, Privacy Policies, Terms of Service, and FTC Enforcement: Broadening Unfairness Regulation for a New Era, 19 Mich. TeleComm. & Tech. L. Rev, 2012, p.169.
8. Letter from James C. Miller I, Chairman, Fed. Trade Comm’n, et al., to Rep. John D. Dingell (Oct. 14, 1983) (FTC policy Statement on Deception). In de praktijk worden deze criteria ook door de rechter gehanteerd.
9. Letter from Michael Pertschuk, Chairman, Fed. Trade Comm’n, et al., to Sen. Wendell H. Ford & Sen. John C. Danforth (Dec. 17, 1980) (FTC Policy Statement on Unfairness).
10. 15 U.S.C. § 45(n)
11. Federal Trade Commission, Privacy & Data Security Update, 2015, p.2.
12. De FTC beschermt de privacy van de consument ook op basis van specifieke regelgeving zoals de Children’s Online Privacy Protection Act 1998 (COPPA).
13. Hoofnagle, p. 146.
14. Federal Trade Commission, Privacy & Data Security Update, 2015, p. 1.
15. Hoofnagle, p. 156-160.
16. Sears Holdings Mgmt. Corp., Docket No. C-4264, File No. 0823099, Federal Trade Commission, 9 september 2009, (Complain), p.5.
17. Zie oa: In the Matter of Gateway Learning Corp., FTC File No. 042 3047 (September 17, 2004).
18. Hoofnagle, p.100.
19. Zoals de Children’s Online Privacy Protection Act 1998 (COPPA). In 2006 legde de FTC een boete van 1 miljoen dollar op, omdat de website Xanga.com zonder toestemming van de ouders gegevens van minderjarigen verwerkte. Zie ook: Chris Jay Hoofnagle, Assessing the Federal TrademCommission’s Privacy Assessments, 14(2) IEEE Security & Privacy 58–64. (Mar/Apr. 2016), p.59.
20. De beschrijving in deze paragraaf is mede gebaseerd op de klachtendossiers van de FTC in beide zaken, zie voor de volledige dossiers: In the matter of Google Inc. en In the matter of Facebook.
21. Facebook claimt vandaag de dag (2016) meer dan 1 miljard gebruikers te hebben.
22. E. Nakashima, ‘Feeling Betrayed, Facebook Users Force Site to Honor Their Privacy’ The Washington Post, 30 november 2007.
23. C. Dwyer, ‘Privacy in the Age of Google and Facebook’, IEEE T&S Magazine, 13 september 2011, p.62.
24. In the Matter of Google inc., File No. 102 3136 en In the Matter of Facebook Inc., FTC.gov.
25. Samenvatting/beschrijving van de paragrafen I en II van de consent orders.
26. Samenvatting/beschrijving van de paragraaf III (Google) en paragraaf IV (Facebook) van de consent orders. 27. Samenvatting/beschrijving van de paragrafen IV en V (Google) en paragrafen V en VI (Facebook) van de consent orders.
28. United States District Court for the Northern District of California, November 16, 2012, No. CV 12-04177 SI, p.2. Zie verder: C. Arthur, ‘Google to pay record $22,5m fine to FTC over Safari tracking’, The Guardian, 9 augustus 2012.
29. WhatsApp's Statements to Consumers Regarding Privacy, FTC, April 10, 2014
30. Richtlijn 2005/29/EG, PbEU 2005, L149/22.
31. Het eerste rapport over de werking van de richtlijn OHP door de Europese Commissie bevat een opsomming met door het Hof van Justitie afgekeurde nationale ‘general prohibitions’, welke in strijd zijn met de maximale harmonisatie van de Richtlijn. Zie: Europese Commissie, COM (2013) 139 final, First Report on the application of Directive 2005/29/EC, p.6.
32. Richtlijn 2005/29/EG, PbEU 2005, L149/22 Art.3 lid 9 & preambule 13.
33. HvJ EU 16 april 2015, C-388/13, ECLI:EU:C:2015:225, TvC 2015, afl. 6, p. 323-328, m.nt. Duivenvoorde (Nemzeti Fogyasztóvédelmi Hatóság/UPC), r.o. 61.
34. Europese Commissie, COM (2013) 139 final, First Report on the application of Directive 2005/29/EC, p 14.
35. Zie voor nadere duiding de richtsnoeren van de Europese Commissie: Europese Commissie, Guidance on the Implementation/Application of Directive 2005/29/Ec On Unfair Commercial Practices, 2009.
36. R.W. de Vrey, Handelspraktijken en Reclame, in: E.H Hondius, G.J. Rijken, Handboek Consumentenrecht, Zutphen: uitgeverij Paris bv, 2015, p.385.
37. Afdeling 3A, titel 3 Boek 6 BW. Zie ook: B Duivenvoorde, Oneerlijke handelspraktijken, TvC 2006/1, p.16.
38. Er is geen uitgebreid onderzoek gedaan, maar een eerste scan van toegankelijke literatuur en tijdschriften levert geen recente informatie op. Uitzondering is Duitsland waar het leerstuk van oneerlijke handelspraktijken altijd al op de nodige aandacht kon rekenen. Zo werd in een recente uitspraak het registreren van wanbetaling als een oneerlijke handelspraktijk gezien (Bundesgerichtshof, d.d. 19/3/2015, zaak no. 40/2015. Commentaar op deze zaak: P. Palzer, ‘Und willst kein braver Schuldner du sein, dann meld’ ich bei der Schufa dich ein! – Ein lauterkeitsrechtlicher Blick auf ein ambivalentes Phänomen’ in: Wettbewerb in Recht und Praxis (WRP), 2016/4, p. 427-434. Verder stelde het Bundeskartellambt een onderzoek in naar de mededingingsrechtelijke aspecten van een schending van privacyregels.
39. Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG 1995, L 281/31).
40. Dit werd recent nog eens bevestigd in het voorstel tot aanpassing van de richtlijn audiovisuele mediadiensten. Op p. 4 wordt de richtlijn OHP genoemd als het leidende kader voor business-to-consumer praktijken (COM (2016 287/4); IP/16/1873).
41. HvJ EU 19 december 2013, C-281/12, ECLI:EU:C:2013:859, TvC 2014 afl. 3 p.192-196 (Trento Sviluppo) r.o. 36.
42. Europese Commissie, COM (2013) 139 final, First Report on the application of Directive 2005/29/EC p.9 (UCPD: Unfair Commercial Practices Directive. Engelstalige versie richtlijn OHP).
43. Verordening (EG) 2006/2004, 9 december 2004, betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming (PbEU 2004, L 364/1).
44. Artikel 2.2 Wet handhaving consumentenbescherming. Naast de ACM is ook de AFM bevoegd voor zover het betreft oneerlijke handelspraktijken op de financiële markten. De AFM blijft verder onbesproken.
45. Onze toezichtsstijl, ACM.nl.
46. Beleidsregel van de Minister van Economische Zaken van 4 juli 2014, nr. WJZ/14112617, met betrekking tot het opleggen van bestuurlijke boetes door de Autoriteit Consument en Markt (Boetebeleidsregel ACM 2014).
47. ACM, 1 juli 2015, Zaaknummer: 15.0396.32 (Boete voor Calatus oneerlijke handelspraktijken).
48. ACM, 30 april 2015, Zaaknummer: 14.0986.32 (Boete voor Lecturama oneerlijke handelspraktijken), p.189.
49. Aannemende dat artikel 49a ook kan worden toegepast op consumenten aangelegenheden. Zo niet dan zou een verbreding van artikel 49a overwogen kunnen worden om zo een vergelijkbare maatregel als een consent agreement mogelijk te maken.
50. Compliance Handvest KPN en OPTA, ACM.nl.
51. Alhoewel er ook reflexwerking van uit gaat vergelijkbaar met het leerstuk van de vergelijkende reclame. Bedrijven beroepen zich op deze regels om een level playing field te creëren, waarop de concurrenten geacht worden dezelfde spelregels eropna te houden. Zie R.W. de Vrey, ‘Handelspraktijken en reclame’ in: E.J. Hondius & G.J. Rijken (red), Handboek Consumentenrecht, p. 382-385.
52. Zie toespraak voormalig EU Commissaris Kroes.
53. Waarmee vooral niet gezegd is dat fundamentele rechten als zodanig van een ondergeschikt belang zijn. Integendeel, maar fundamentele rechten zijn zo waardevol dat daar – anders dan aan oneerlijke handelspraktijken – geen prijskaartje aan kan worden gehangen.
54. Dit werd nodig geacht omdat er in de Wbp te veel sprake zou zijn van open normen. Voor de mededingingswet en het consumentenrecht (in het bijzonder de genoemde regels inzake oneerlijke handelspraktijken) waar van vergelijkbare open normen sprake is, geld een dergelijke beperking niet. Deze beperking op het privacytoezicht lijkt met name te zijn ingegeven door politiek opportunisme.