Gisteren las ik een artikel bij Tweakers over opt-in voor SSID's: mag Google zomaar netwerknamen verzamelen bij haar Street View dienst, of moet ze toestemming vragen? Het Cbp besliste dat de opt-out genoeg was gezien het karakter van de dienst, waarop de Tweede Kamer een aparte regeling wilde maken die tot opt-in zou verplichten. De staatssecretaris voelt daar weinig voor: dat is juridisch niet mogelijk en economisch onverstandig.
Het juridische zit hem in het punt dat het Europese Hof enige tijd terug besloot dat lidstaten überhaupt geen extra eisen mogen toevoegen aan de privacywet. In Spanje had men bijvoorbeeld vermeld dat je zonder toestemming alleen gegevens uit openbare bronnen mag verwerken, maar dat stond niet in de Europese regels en was dus niet toegestaan, aldus de hoogste Europese rechter.
Om dezelfde reden zou een regeling die zegt "verzamelen van SSIDs vereist toestemming" in strijd zijn met Europees recht. Hoewel toestemming (opt-in) de hoofdregel is in de privacywet, zijn er uitzonderingen (waar Google dus onder valt, volgens het Cbp). En die uitzonderingen kun je niet buiten toepassing verklaren.
Bij Tweakers stak daarbij de weer discussie op of SSIDs überhaupt wel persoonsgegevens zijn, met hier en daar het bekende misverstand dat als iets een persoonsgegeven is, je altijd toestemming nodig hebt. Dat is dus niet zo: iets kan best een persoonsgegeven zijn en toch zonder toestemming te verwerken te zijn. Als er een wettelijke uitzondering van toepassing is, dan is 'verwerking' daarmee mogelijk zonder toestemming.
