Verslag vergadering Commissie voor Cultuur, Jeugd, Sport en Media
Vraag om uitleg over de voorbeeldrol van de VRT inzake privacy van mediagebruikers
Verslag
De heer Bajart heeft het woord.
Voorzitter, minister, in het antwoord op mijn schriftelijke vraag van 19 september 2016 omtrent het privacybeleid van de VRT gaf u aan dat de VRT op dat moment een aangepast en modern privacybeleid aan het uitwerken was. Meer zelfs, de VRT zou de ambitie hebben om een voorbeeld te zijn van de manier waarop met gegevens wordt omgegaan, en ze had de intentie om de Privacycommissie te betrekken bij de oefening met betrekking tot haar privacybeleid.
Dat was september van vorig jaar. Nu stel ik vast, op basis van uw antwoord op een recente schriftelijke vraag van collega Segers, dat de VRT nog niet heeft overlegd met de Privacycommissie. Nog in het antwoord op die vraag erkent de VRT dat opties voor gebruikers om hun gegevens te beschermen op dit moment niet gebruiksvriendelijk zijn, maar dat daarvan werk zal worden gemaakt.
Minister, ik wil daar een aantal vragen bij stellen. Waarom heeft het aangekondigde overleg met de Privacycommissie nog niet plaatsgevonden? Werd het al gepland, en over welke tijdspanne spreken we dan? Waarom werd het niet gepland bij het uitrollen van de nieuwe website VRT NU, aangezien die, zoals ook uit de vraag van collega Segers blijkt, belangrijke privacyaspecten kent? Ik wil daarbij ook even meegeven dat het me niet zozeer gaat om de persoonsgegevens die daarbij worden gevraagd. Die lijken verantwoordbaar, zeker ook gezien het aspect van rechten dat hierbij een rol speelt. Om de website ook bruikbaar te doen zijn in het buitenland moet de VRT er natuurlijk ook voor zorgen dat het gaat om Vlamingen, dus moet ze het adres vragen, want enkel daarvoor verwerft de VRT de rechten voor programma’s. Wat wel speelt, is de vraag hoe de gegevens dan worden beschermd, wat er wel en niet mee mag gebeuren en welke controle gebruikers daarover hebben.
In het antwoord op mijn schriftelijke vraag van september werd een onderscheid gemaakt tussen twee vormen van tracking: er is enerzijds het bekende verzamelen van persoonsgegevens voor commerciële doeleinden en anderzijds het verzamelen van geanonimiseerde gegevens voor analytische en statistische doeleinden. Voor kinderwebsites besliste de VRT principieel om die eerste vorm uit te sluiten. Gelet op het antwoord op de schriftelijke vraag van collega Segers, moeten we daaruit dan begrijpen dat dat voor de andere websites niet zo is?
De VRT zou de intentie hebben een voorbeeld te zijn van de manier waarop met gegevens wordt omgegaan. Dat kan ik uiteraard enkel toejuichen. Ik stel enkel vast dat die voorbeeldrol veeleer lijkt te worden beperkt tot een ‘opt-out’-mogelijkheid. Nochtans zou men ook kunnen kiezen voor ‘privacy by default’ en overgaan tot ‘opt-in’-mogelijkheden. Dat zou immers echt het opnemen van een voorbeeldrol zijn.
Ziet de VRT enkel een voorbeeldrol voor zichzelf in het gebruiksvriendelijk maken van privacyinstellingen of gaat die voorbeeldfunctie verder dan dat? Dat is de hele vraag. Waarom kiest de VRT niet voor een beleid van ‘privacy by default’?
Mevrouw Segers heeft het woord.
Voorzitter, mijn vraag sluit aan bij die van collega Bajart. VRT NU is eigenlijk een groot succes: al in april hadden 375.000 mensen een profiel aangemaakt, vooral jongeren. Dat is natuurlijk de goede manier om aansluiting te blijven vinden bij dat publiek. VRT NU komt ook eigenlijk wel laat als je vergelijkt met andere Europese openbare omroepen, maar enfin, beter laat dan nooit.
‘So far so good’, maar wat blijkt? Een profiel aanmaken lukt enkel indien men akkoord gaan met de gebruiksvoorwaarden en het privacybeleid van de VRT, en wat dat laatste betreft, knelt eigenlijk het schoentje. De VRT communiceert wel transparant over de persoonsgegevens die worden verzameld, maar het is voor de gebruiker niet evident om zich te verzetten tegen het gebruik van zijn gegevens voor directmarketingdoeleinden. Als je de zogenaamde opt-out wil doen, dan word je doorverwezen naar een externe website, namelijk Pebble Media, waarop eigenlijk geen enkele verwijzing te vinden is over hoe men zich kan uitschrijven.
In het antwoord op mijn schriftelijke vraag, waarnaar ook collega Bajart verwees, erkent de VRT dat de toepassing niet gebruiksvriendelijk is en stelt ze dat er op termijn een menu zal komen waarmee de gebruikers de instellingen voor een bepaald gebruik kunnen aanpassen. De VRT argumenteert echter dat er voor een dergelijk menu vandaag geen standaard is op de markt.
We hebben dan zelf aan de Privacycommissie gevraagd om dat privacybeleid van de VRT even onder de loep te nemen. Ik citeer de Privacycommissie: “De VRT heeft als verantwoordelijke voor de verwerking van persoonsgegevens een eigen plicht die ze niet naar derden (...) kan overdragen.” Met ‘derden’ bedoelt ze Pebble Media. Verder stelt de Privacycommissie eerder te hebben geoordeeld dat het recht van verzet van de betrokkene tegen verwerkingen met het oog op direct marketing niet mag worden ondermijnd door het te koppelen aan voorwaarden. Men kan, aldus de commissie, de vraag stellen of het verplichten van de betrokkene om een speciale of moeilijke procedure te doorlopen om zijn recht van verzet uit te oefenen, geen belemmering vormt voor het recht van verzet.
Daarnaast merkt de Privacycommissie op dat op andere platformen van verantwoordelijken die het kijkgedrag analyseren, bijvoorbeeld MyPromixus en Mijn Telenet, de betrokkene wél een gemakkelijke wijziging van zijn privacysettings kan doorvoeren. Men kan zich dus afvragen, aldus de Privacycommissie, waarom de VRT niet voor die optie heeft gekozen.
Dat de VRT stelt dat er voor een dergelijk menu vandaag geen standaard is op de markt, is dus wellicht een beetje kort door de bocht, zeker als je kijkt naar Telenet en Proximus. Bovendien mag je van een openbare omroep toch wel verwachten dat die de lead neemt in het ontwikkelen van een transparant, gebruiksvriendelijk privacybeleid.
Minister, u gaf in onze commissie al aan dat waakzaamheid is geboden inzake de verwerking van persoonsgegevens met het oog op commerciële communicatie en dat een duidelijke keuze van de gebruiker vereist is. Dat is natuurlijk ook de hele opzet van de Europese privacyverordening of General Data Protection Regulation (GDPR).
Onder de huidige wetgeving kan men de VRT weliswaar nog niet verplichten om expliciet toestemming te vragen aan gebruikers voor de verwerking van hun persoonsgegevens. Dat is de zogenaamde opt-in waarvan de GDPR uitgaat. Het lijkt me echter de logica zelve dat de openbare omroep een dergelijk opt-insysteem zo snel mogelijk introduceert, wat trouwens gewoon zal worden verplicht vanaf 25 mei 2018. Ik begrijp eerlijk gezegd niet waarom de VRT dat niet onmiddellijk heeft gedaan bij de lancering van VRT NU.
Minister, strookt het huidige privacybeleid van de VRT met uw persoonlijke visie op een goed beleid over de verwerking van persoonsgegevens met het oog op commerciële communicatie? Hoe interpreteert u de opmerkingen van de Privacycommissie daaromtrent? Deelt u het standpunt dat de VRT een voorbeeldrol dient te vervullen inzake privacy? Zo ja, zult u er bij de VRT op aandringen om die taak verder ter harte te nemen en zo snel mogelijk een opt-insysteem te ontwikkelen? Plant de VRT haar inzichten inzake dat privacybeleid te delen met andere mediabedrijven, ook conform de beheersovereenkomst? Zo ja, op welke manier zal dat gebeuren?
Minister Gatz heeft het woord.
Bij de lancering van VRT NU werd een nieuw privacybeleid gepubliceerd. Dat was een eerste stap in de richting van een modern privacybeleid, dat zal beantwoorden aan de bepalingen van de nieuwe Europese wetgeving met betrekking tot de bescherming van persoonsgegevens. Die wetgeving treedt in mei 2018 in werking en bevat nieuwe juridische, technische en organisatorische verplichtingen voor bedrijven die persoonsgegevens verwerken. Voor elk bedrijf is de implementatie van deze wetgeving een uitdaging. Ook de collega’s in de andere Vlaamse en internationale mediabedrijven moeten op dit moment deze oefening voeren. De VRT bereidt zich momenteel voor op de implementatie van deze privacywetgeving.
In dit kader heeft de openbare omroep nog steeds de intentie om de Privacycommissie te betrekken. De VRT is van mening dat een rechtstreeks overleg met de Privacycommissie echter pas nuttig zal zijn als de omroep intern volledig zijn voorbereiding heeft gemaakt. Deze voorbereiding is volop aan de gang. Gelet op de vaak gedetailleerde verplichtingen die een impact hebben op vele geledingen in de organisatie, is dat niet iets wat van vandaag op morgen gebeurt, laat de VRT weten en er is dus op dit moment geen overleg gepland, maar het zal er wel komen.
De nieuwe wetgeving bevat overigens nog onduidelijkheden. Daarom hebben de nationale toezichthouders en internationale instanties interpretatieve richtlijnen aangekondigd over welke bedrijven bij de implementatie moeten helpen. Deze zijn momenteel nog in volle voorbereiding. De bedrijfswereld hoopt dat deze richtlijnen afdoende antwoorden zullen bieden op openstaande vragen. Indien dat niet het geval zou zijn, zal een overleg hierover met de Privacycommissie aangewezen zijn.
De VRT neemt ondertussen deel aan diverse overkoepelende initiatieven rond dit thema. De privacy-werkgroepen van MediaNet Vlaanderen en de European Broadcasting Organisation zijn daar een voorbeeld van. Ik heb vernomen dat er deze maand trouwens nog een vergadering plaatsvindt. In het kader van de werkgroepen worden vragen rond sectorspecifieke uitdagingen aan de nationale toezichthouders en nationale en internationale instanties gesteld.
Over het meer specifieke onderwerp van de aanpassingen van het cookiebeleid op de VRT-websites en de daarin opgenomen gebruiksvriendelijkere ‘opt-out’-mogelijkheid voor gebruikers, zijn er ondertussen wel al verschillende contacten tussen de VRT en de Privacycommissie geweest.
Op de meeste VRT-websites en applicaties van de radio- en televisiemerken worden inderdaad gegevens verzameld voor direct-marketingdoeleinden, met name het oog op het verspreiden van aangepaste online-advertenties. Dat is niet voor alle websites en applicaties het geval. Bijvoorbeeld op de Ketnet-websites en -applicaties worden geen gegevens voor dit doeleinde verzameld. Het kan immers gaan om gegevens van kinderen. Ook bij de VRT NU-website bestaat deze vorm van tracking vandaag niet. De VRT heeft ondertussen werk gemaakt van een aangepast cookiebeleid die het voor de gebruiker gemakkelijker maakt om al dan niet akkoord te gaan met de verwerking van gegevens bij website-bezoeken met het oog op het gebruik ervan voor onder andere direct-marketingdoeleinden.
Daarmee wordt de keuzevrijheid van de gebruiker gewaarborgd. Dat keuzemenu, zoals het vandaag op Deredactie.be en Sporza.be beschikbaar is, zal de komende maanden op alle VRT-websites worden geïmplementeerd en verder worden uitgebreid naar cookies afkomstig van sociale media.
Dan waren er enkele vragen over de voorbeeldfunctie van de VRT en de ‘privacy by default’-keuze. De VRT ziet naar eigen zeggen haar voorbeeldrol breder dan enkel het gebruiksvriendelijk maken van privacy-instellingen. Dat is immers maar een onderdeel van een breder privacybeleid over diverse aspecten die verschillende geledingen van de organisatie raken. Enkele bestaande voorbeelden: het cookies-filmpje op Ketnet.be. Op een manier die is aangepast aan het kinderpubliek wordt daarin het gebruik van cookies op de website toegelicht. Dit is een voorbeeld van hoe de VRT op een pedagogische manier haar publiek informeert en sensibiliseert.
Tweede voorbeeld: de samenwerking van de VRT met het Kenniscentrum voor Mediawijsheid over de gezamenlijke lancering van het informatieplatform MediaNest. Daarmee draagt de VRT bij aan de sensibilisering van het publiek rond het thema privacy.
In het kader van de modernisering van haar algemeen privacybeleid en de implementatie van de nieuwe Europese wetgeving zal de VRT nog verdere stappen zetten. De concrete acties zullen gaandeweg worden gedefinieerd.
In het kader van de implementatie van de nieuwe wetgeving zal elk bedrijf moeten handelen volgens het ‘privacy by default’-principe. Dat principe impliceert evenwel niet noodzakelijk dat voor elke verwerking van gegevens de uitdrukkelijke toestemming – een opt-in dus – vereist is van de gebruiker. De wetgeving voorziet ook in andere mogelijkheden die binnen het ‘privacy by default’- principe kunnen passen.
Elk bedrijf dient per type verwerking van gegevens in functie van de omstandigheden te bepalen of hij een beroep doet op de toestemming als grondslag, dan wel of er andere beschikbare grondslagen zijn. Dit kan bijvoorbeeld een overeenkomst zijn of wanneer de gegevensverwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van diegene die de gegevens verwerkt.
De essentie blijft, ongeacht de gemaakte keuze, dat bij elk type verwerking telkens de nodige waarborgen worden ingebouwd opdat de verplichtingen en rechten van de gebruikers worden nageleefd. Deze problematiek leeft algemeen binnen de mediasector. Het sector-overkoepelend initiatief van MediaNet, waar de VRT aan meewerkt, zal deze problematiek nader onderzoeken en aankaarten bij de bevoegde instanties.
U vroeg ook naar mijn visie op dit hele gebeuren. De VRT heeft de afgelopen tijd verder werk gemaakt van haar privacybeleid. Zoals zonet aangegeven werkt ze ook verder aan de voorbereiding van de nieuwe privacy-verordening. Wat het cookiebeleid betreft, werd aandacht besteed aan een gebruiksvriendelijke manier voor de gebruiker om zich te verzetten tegen bepaalde cookies, het zogenaamde opt-outsysteem.
Momenteel is op deredactie.be en sporza.be reeds een keuzemenu voor de gebruiker beschikbaar. De gebruiker krijgt de keuze om de cookies te aanvaarden, dan wel om zijn of haar cookie-instellingen aan te passen per type cookie. Direct-marketingcookies zullen daarbij kunnen worden uitgeschakeld. In een volgende fase zullen ook sociale-mediacookies kunnen worden uitgeschakeld. De VRT heeft daarover overleg met de Privacycommissie en gaat ervan uit dat deze oplossing een antwoord biedt op de vermelde bedenkingen van de commissie. Deze oplossing wordt in een eerste versie in de komende weken uitgerold over alle andere VRT-websites.
De gegevens die in het kader van VRT NU worden verzameld, worden op dit ogenblik niet voor commerciële doeleinden gebruikt. In mijn antwoorden op eerdere parlementaire vragen lichtte ik toe waarvoor deze gegevens dan wel worden gebruikt, met name het uitvoeren van een aantal voorafgaande, noodzakelijke controles en het organiseren van een meer gepersonaliseerde dienstverlening.
De vergelijking door de Privacycommissie met andere platformen die het kijkgedrag analyseren zoals u aanhaalt in uw vraagstelling – over myproximus en mytelenet – klopt, volgens de VRT, daarom niet helemaal. Het gaat bij deze bedrijven niet om vrij toegankelijke websites waar gebruikers zonder enige vorm van registratie gebruik van kunnen maken, maar om klantenaccounts waarbij de klant zijn eigen settings bepaalt. Voor vrij toegankelijke websites van deze en andere mediabedrijven worden dit soort settings op de markt daarentegen niet standaard toegepast. Zoals aangehaald, zal de VRT een menu beschikbaar maken op al haar websites.
Dat de VRT een voorbeeldfunctie te vervullen heeft als openbare omroep in het medialandschap en als omroep, staat buiten kijf. Zo moet de VRT inzetten op bepaalde specifieke thema’s en moet ze ook samenwerken met de sector. Die en vele andere principes staan in de beheersovereenkomst, zoals jullie weten.
De VRT wil een voorbeeldrol vervullen op het vlak van privacy, maar tegelijkertijd wil zij ook de praktische werkbaarheid van een en ander nader onderzoeken. Dit zijn zaken die op basis van artikel 14 van het Mediadecreet behoren tot de operationele werking van de openbare omroep en bijgevolg onder de verantwoordelijkheid vallen van de gedelegeerd bestuurder. Hierbij moet vanzelfsprekend rekening worden gehouden met het wettelijke kader en de naleving van de verplichtingen en de rechten van de gebruikers.
De VRT neemt deel aan diverse overkoepelende initiatieven en deelt in dat kader de informatie die ze verwerft over de vragen die er leven binnen de bedrijven, de implementatie van nieuwe wetgeving in de organisatie enzovoort. Enige voorzichtigheid is hier wel geboden. Het gaat hier soms ook over bedrijfsgevoelige informatie. Die specifieke informatie kan onderling niet zomaar worden gedeeld.
Ik begrijp het ongeduld van de vraagstellers, maar ik heb u toch wat dieper inzicht proberen te geven in de methode en het ritme dat de VRT hierin volgt, over de waarborgen die nu en in de toekomst wettelijk verplicht zijn, en die ze daarbij voor ogen houdt vanuit het perspectief van de mediagebruiker.
De heer Bajart heeft het woord.
Minister, ik dank u voor uw antwoord en de diepere inzichten. Het is niet mijn gewoonte om dit te zeggen, maar ik blijf wat op mijn honger zitten. Dit is een gemiste kans. De VRT zegt wel een voorbeeldrol te willen spelen en dat lijkt me ook duidelijk een belangrijke taak van de openbare omroep. In de feiten zien we niet dat ze dit effectief opneemt.
Bijdragen aan mediawijsheid is een belangrijk onderdeel, niet alleen van het beleid waar u mee bezig bent, maar ook van de beheersovereenkomst van de VRT.
De bijdrage aan mediawijsheid die de VRT zou kunnen leveren door niet enkel mediawijsheid in enkele programma’s aan bod te laten komen, maar door het voortouw te nemen in een echt privacybeleid, is niet te onderschatten. Door mensen te laten zien hoe het kan, hoe het beter kan, kan de VRT iedereen de kans geven de vergelijking te maken met bedrijven die het niet goed doen en bewuster met privacy om te gaan.
Op de website van de privacycommissie staat een teller die tot op de seconde aangeeft hoelang het nog duurt voor de Europese wetgeving van kracht wordt. Dat is nu nog minder dan een jaar, namelijk 345 dagen. De vraag wordt dus minder of de VRT een voorbeeld zal zijn dan wel of de VRT de deadline zal halen.
Mevrouw Segers heeft het woord.
Inderdaad, over minder dan een jaar treedt de Europese verordening in werking en het is voor de VRT een ongelooflijk gemiste kans om niet het moment van de lancering van VRT NU aan te grijpen om conform de verordening te zijn. De VRT spreekt van een gebruiksvriendelijke opt-out. Sorry, maar een gebruiksvriendelijke opt-out is een contradictio in terminis. Het lanceren van VRT NU had het moment moeten zijn om onmiddellijk te kiezen voor een opt-in. De VRT moet er zijn voor alle Vlamingen, maar wie niet akkoord gaat, wie het vakje niet aanvinkt, kan gewoon niet inloggen. Die mogelijkheid zou er wel moeten zijn.
Dan zijn er de third part cookies, die naar Pebble Media verwijzen. Je moet al behoorlijk mediawijs zijn om de cookie-instellingen te vinden en aan te passen. Ik nodig alle collega’s uit de oefening te doen. Sinds we onze vraag hebben ingediend, is er op de website van Pebble Media een nieuwe button verschenen met 'privacy instellingen' en werd er een e-mailadres gelanceerd. Dat is een stap in de goede richting, maar we zijn er nog lang niet.
De heer Vandaele heeft het woord.
Ik deel de bekommernis van mijn collega’s en ik denk dat we die allemaal delen. De VRT heeft een voorbeeldfunctie op alle gebieden en dus ook wanneer het over het bewaken van de privacy gaat. Het is onbegrijpelijk dat de VRT op het ogenblik dat alles naar een opt-in evolueert, zich blijft vastklampen aan die opt-out. Dat begrijp ik niet zo goed van een openbare omroep die toonaangevend wil zijn en met zijn tijd wil meegaan. Ik blijf altijd bezorgd, ondanks alle garanties die worden gegeven, dat persoonsgegevens die worden verzameld, voor commerciële aangelegenheden worden gebruikt. Men ontkent altijd wel in alle toonaarden dat dat zal gebeuren, maar als men gegevens verzamelt, bestaat altijd de kans dat er iets mee wordt gedaan dat we liever niet zien.
Mevrouw Brouwers heeft het woord.
Minister, ik kan alleen maar akkoord gaan met de collega’s. U hebt zelf verwezen naar het initiatief van MediaNet om naar een zelfregulerend kader te gaan. De VRT neemt daaraan weliswaar deel, maar het is jammer dat de VRT niet zelf het voortouw heeft genomen. We volgen dit verder op. Als ik de collega’s goed heb begrepen, hebben we nog een jaar te gaan en dat is niet zo heel veel tijd om alles op poten te zetten.
Mevrouw Segers heeft het woord.
In onze gezamenlijke oproep, die we net ook op Knack.be hebben gepubliceerd, roepen collega Bajart en ikzelf de VRT op 'to lead by example' inzake privacybeleid.
De vragen om uitleg zijn afgehandeld.