Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: In discussies over hoeveel informatie sociale media van je mogen gebruiken, wordt er vaak gezegd dat je niet moet zeuren dat ze je gegevens gebruiken en doorspelen naar derden, omdat je daarmee akkoord bent gegaan op het moment dat je op ‘agree’ klikte toen de gebruiksvoorwaarden werden gepresenteerd.

Zitten er aan die gebruiksvoorwaarden nog grenzen over wat redelijk is, vooral op het gebied van privacy en bescherming van persoonsgegevens, of mag een bedrijf min of meer alles van je verkopen omdat je nou eenmaal in hebt gestemd met hun voorwaarden?

Antwoord: Voor deze vraag moeten we het concept 'gegevens' in twee splitsen, omdat het Europese juridische kader onderscheid maakt tussen persoonsgegevens (gegevens over mensen) en niet-persoonsgegevens (alle andere).

Voor niet-persoonsgegevens zijn er vrij weinig regels, afgezien van de recente Datawet (Data Act), een Europese verordening uit 2025 over toegang tot data. Dit raakt aan data uit slimme apparaten, maar ook voor data opgeslagen in clouddiensten. De Datawet zegt echter niets over wat de dienstverlener met je data mag, behalve enkele specifieke verboden:

• Alleen doen wat je in de voorwaarden hebt gezegd (en 'alles dat ik wil' zeggen is niet toegestaan)
• Geen gebruik om de commerciële positie van de gebruiker te ondermijnen (het Amazon-jat-je-product probleem)
• Geen doorverkoop of verstrekking aan derden behalve voor zover nodig voor de dienst zelf

Hier zijn dus de voorwaarden inderdaad leidend, en bestaat er een redelijkheidstoets bij wat die voorwaarden mogen zeggen. Jurisprudentie daarover is er (nog) niet.

Voor persoonsgegevens is het hard en simpel: het is juridisch niet mogelijk om in gebruiksvoorwaarden, terms of service of hoe je wilt noemen toestemming te bedingen voor welk gebruik van persoonsgegevens dan ook. Volgens de AVG moet een dergelijke toestemming 'specifiek' worden gegeven, en een toestemmingsbeding in voorwaarden is dat haast per definitie niet. Daarnaast eist artikel 7 lid 2 dat

het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden.

Een juridisch artikel in voorwaarden haalt deze lat eigenlijk nooit. Je ontkomt dus niet aan een apart vinkje. En dat moet specifiek zijn ook "Wij mogen je gegevens verkopen" is dat niet - er moet bij staan aan wie.

De vervolgreactie in discussies als deze is dan "je moet sowieso de voorwaarden lezen, en als je dan zulke rare -of zelfs verboden- dingen toch leest, dan moet je de dienst niet gebruiken". Begrijpelijk, maar ik heb daar structureel moeite mee: we zijn compleet doodgegooid als maatschappij met zulke voorwaarden, het is irreëel te verwachten dat mensen dat allemaal lezen. En dat zeg ik als jurist.

Belangrijker: het wettelijk systeem in Europa is dat je het niet hoeft te lezen. Voorwaarden gelden ook als je ze niet leest, maar daar tegenover staat dat ze makkelijk van tafel te vegen zijn ("vernietigbaar") wanneer ze rare dingen bevatten ("onredelijk bezwarend"). De regel is dus niet "je moet ze lezen en dan gewoon niet gebruiken" maar "rare dingen in de voorwaarden mag je negeren, zijn niet bindend".

Natuurlijk zal zo'n bedrijf zich daar niets van aantrekken, ook niet na een formele brief van een advocaat die hierbij per direct de vernietiging uitspreekt van het onredelijk bezwarend beding krachtens relevante Europese richtlijnen en artikel 6:233 Burgerlijk Wetboek. Maar dat is een algemener probleem: het uitoefenen van je juridische rechten, zeker als consument, is duur en tijdrovend, en toezichthouders zitten hier niet altijd bovenop. Dat kan ook niet altijd, zeker niet bij niet-Europese bedrijven.

Arnoud Engelfriet is ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als chief knowledge officer bij juridisch adviesbureau ICTRecht en blogt dagelijks over internetrecht. Hij schreef onder meer de boeken ICT&Recht en AI&Algorithms, en verzorgt de opleiding tot Certified Cybersecurity Compliance Officer.