Frederik Zuiderveen Borgesius


Het 'right to be forgotten' en bijzondere persoonsgegevens

Zuiderveen Borgesius, F.

Een advocaat heeft een ‘right to be forgotten’-verzoek gedaan bij Google, met betrekking tot een blogpost over een strafrechtelijke veroordeling van de advocaat in het buitenland. De Rechtbank Rotterdam heeft beslist dat Google niet meer naar de blogpost mag verwijzen als mensen zoeken op de naam van de advocaat. De rechtbank wees het verwijderingsverzoek toe omdat de blogpost een strafrechtelijke veroordeling betreft: een bijzonder persoonsgegeven. De redenering van de rechtbank over bijzondere persoonsgegevens leidt tot problemen voor de vrijheid van meningsuiting. Deze bijdrage verkent hoe die problemen verkleind kunnen worden.


Privacy van consumenten

Zuiderveen Borgesius, F.

In: Handboek consumentenrecht: een overzicht van de rechtspositie van de consument, E.H. Hondius & G.J. Rijken (red.), Zutphen: Paris 2015, p. 483-497.


Access to Personal Data and the Right to Good Governance during Asylum Procedures after the CJEU's YS. and M. and S. judgment (C-141/12 and C-372/12)

Zuiderveen Borgesius, F.

Case report.

In the YS. and M. and S. judgment, the Court of Justice of the European Union ruled on three procedures in which Dutch judges asked for clarification on the right of asylum seekers to have access to the documents regarding the decision on asylum applications. The judgment is relevant for interpreting the concept of personal data and the scope of the right of access under the Data Protection Directive, and the right to good administration in the EU Charter of Fundamental Rights. At first glance, the judgment seems disappointing from the viewpoint of individual rights. Nevertheless, in our view the judgment provides sufficient grounds for effective access rights to the minutes in future asylum cases.


Informed Consent. We Can Do Better to Defend Privacy

Zuiderveen Borgesius, F.

Informed consent as a means to protect privacy is flawed, especially when considering the privacy problems of behavioral targeting. Policymakers should pay more attention to a combined approach that both protects and empowers individuals.


Mensen aanwijzen maar niet bij naam noemen: behavioural targeting, persoonsgegevens en de nieuwe Privacyverordening

Zuiderveen Borgesius, F.

In Europa is het gegevensbeschermingsrecht het belangrijkste juridische instrument om privacy te beschermen en een behoorlijke omgang met persoonsgegevens te bevorderen. Het gegevensbeschermingsrecht is alleen van toepassing als ‘persoonsgegevens’ verwerkt worden. Er is veel discussie over de vraag of het gegevensbeschermingsrecht van toepassing is als bedrijven gegevens over mensen verwerken maar daar geen naam aan koppelen. Zulke gegevens worden bijvoorbeeld gebruikt voor behavioural targeting. Bij deze marketingtechniek, een vorm van gepersonaliseerde communicatie, volgen bedrijven het gedrag van mensen op het internet, en gebruiken ze de verzamelde informatie om mensen gerichte advertenties te tonen. Deze bijdrage analyseert de discussie over de reikwijdte van het begrip ‘persoonsgegeven’, en trekt twee conclusies. Ten eerste blijkt uit een analyse van het geldende recht, in ieder geval volgens de interpretatie van de Europese privacytoezichthouders, dat de regels voor persoonsgegevens doorgaans van toepassing zijn op behavioural targeting. Ten tweede zouden die regels ook vanuit een normatief perspectief van toepassing moeten zijn.


Op zoek naar de risicoburger

Zuiderveen Borgesius, F.

Trouw, De Verdieping, 27 mei 2016, p. 2.

Om afwijkend gedrag bij burgers te herkennen, koppelt de overheid allerlei gegevens uit haar databases en laat er analyses op los. Wat betekent dat voor de relatie tussen burger en die overheid?


Should we worry about filter bubbles?

Bodó, B.

Helberger, N.

Möller, J.

Trilling, D.

de Vreese, C.H.

Zuiderveen Borgesius, F.

Some fear that personalised communication can lead to information cocoons or filter bubbles. For instance, a personalised news website could give more prominence to conservative or liberal media items, based on the (assumed) political interests of the user. As a result, users may encounter only a limited range of political ideas. We synthesise empirical research on the extent and effects of self-selected personalisation, where people actively choose which content they receive, and pre-selected personalisation, where algorithms personalise content for users without any deliberate user choice. We conclude that at present there is little empirical evidence that warrants any worries about filter bubbles.


Singling out people without knowing their names - Behavioural targeting, pseudonymous data, and the new data protection regulation

Zuiderveen Borgesius, F.

Information about millions of people is collected for behavioural targeting, a type of marketing that involves tracking people’s online behaviour for targeted advertising. It is hotly debated whether data protection law applies to behavioural targeting. Many behavioural targeting companies say that, as long as they do not tie names to data they hold about individuals, they do not process any personal data, and that, therefore, data protection law does not apply to them. European Data Protection Authorities, however, take the view that a company processes personal data if it uses data to single out a person, even if it cannot tie a name to these data. This paper argues that data protection law should indeed apply to behavioural targeting. Companies can often tie a name to nameless data about individuals. Furthermore, behavioural targeting relies on collecting information about individuals, singling out individuals, and targeting ads to individuals. Many privacy risks remain, regardless of whether companies tie a name to the information they hold about a person. A name is merely one of the identifiers that can be tied to data about a person, and it is not even the most practical identifier for behavioural targeting. Seeing data used to single out a person as personal data fits the rationale for data protection law: protecting fairness and privacy.


Scoping Electronic Communication Privacy Rules: Data, Services and Values

van Hoboken, J.

Zuiderveen Borgesius, F.

We use electronic communication networks for more than simply traditional telecommunications: we access the news, buy goods online, file our taxes, contribute to public debate, and more. As a result, a wider array of privacy interests is implicated for users of electronic communications networks and services. . This development calls into question the scope of electronic communications privacy rules. This paper analyses the scope of these rules, taking into account the rationale and the historic background of the European electronic communications privacy framework. We develop a framework for analysing the scope of electronic communications privacy rules using three approaches: (i) a service-centric approach, (ii) a data-centric approach, and (iii) a value-centric approach. We discuss the strengths and weaknesses of each approach. The current e-Privacy Directive contains a complex blend of the three approaches, which does not seem to be based on a thorough analysis of their strengths and weaknesses. The upcoming review of the directive announced by the European Commission provides an opportunity to improve the scoping of the rules.


Open Data, Privacy, and Fair Information Principles: Towards a Balancing Framework

van Eechoud, M.

Zuiderveen Borgesius, F.

Open data are held to contribute to a wide variety of social and political goals, including strengthening transparency, public participation and democratic accountability, promoting economic growth and innovation, and enabling greater public sector efficiency and cost savings. However, releasing government data that contain personal information may threaten privacy and related rights and interests. In this paper we ask how these privacy interests can be respected, without unduly hampering benefits from disclosing public sector information. We propose a balancing framework to help public authorities address this question in different contexts. The framework takes into account different levels of privacy risks for different types of data. It also separates decisions about access and re-use, and highlights a range of different disclosure routes. A circumstance catalogue lists factors that might be considered when assessing whether, under which conditions, and how a dataset can be released. While open data remains an important route for the publication of government information, we conclude that it is not the only route, and there must be clear and robust public interest arguments in order to justify the disclosure of personal information as open data.


New Data Security Requirements and the Proceduralization of Mass Surveillance Law after the European Data Retention Case

Arnbak, A.

Zuiderveen Borgesius, F.

This paper discusses the regulation of mass metadata surveillance in Europe through the lens of the landmark judgment in which the Court of Justice of the European Union struck down the Data Retention Directive. The controversial directive obliged telecom and Internet access providers in Europe to retain metadata of all their customers for intelligence and law enforcement purposes, for a period of up to two years. In the ruling, the Court declared the directive in violation of the human rights to privacy and data protection. The Court also confirmed that the mere collection of metadata interferes with the human right to privacy. In addition, the Court developed three new criteria for assessing the level of data security required from a human rights perspective: security measures should take into account the risk of unlawful access to data, and the data’s quantity and sensitivity. While organizations that campaigned against the directive have welcomed the ruling, we warn for the risk of proceduralization of mass surveillance law. The Court did not fully condemn mass surveillance that relies on metadata, but left open the possibility of mass surveillance if policymakers lay down sufficient procedural safeguards. Such proceduralization brings systematic risks for human rights. Government agencies, with ample resources, can design complicated systems of procedural oversight for mass surveillance – and claim that mass surveillance is lawful, even if it affects millions of innocent people.


Freedom of Expression and 'Right to Be Forgotten' Cases in the Netherlands after Google Spain

Zuiderveen Borgesius, F.

Since the Google Spain judgment of the Court of Justice of the European Union, Europeans have, under certain conditions, the right to have search results for their name delisted. This paper examines how the Google Spain judgment has been applied in the Netherlands. Since the Google Spain judgment, Dutch courts have decided on two cases regarding delisting requests. In both cases, the Dutch courts considered freedom of expression aspects of delisting more thoroughly than the Court of Justice. However, the effect of the Google Spain judgment on freedom of expression is difficult to assess, as search engine operators decide about most delisting requests without disclosing much about their decisions.


Online Price Discrimination and Data Protection Law

Zuiderveen Borgesius, F.

Forthcoming as a conference paper for the Amsterdam Privacy Conference 23-26 October 2015.

Online shops can offer each website customer a different price – a practice called first degree price discrimination, or personalised pricing. An online shop can recognise a customer, for instance through a cookie, and categorise the customer as a rich or a poor person. The shop could, for instance, charge rich people higher prices. From an economic perspective, there are good arguments in favour of price discrimination. But many regard price discrimination as unfair or manipulative. This paper examines whether European data protection law applies to personalised pricing. Data protection law applies if personal data are processed. This paper argues that personalised pricing generally entails the processing of personal data. Therefore, data protection law generally applies to personalised pricing. That conclusion has several implications. For instance, data protection law requires a company to inform people about the purpose of processing their personal data. A company must inform customers if it personalises prices.


Privacy van consumenten

Zuiderveen Borgesius, F.

Hoofdstuk in: Handboek Consumentenrecht: Een overzicht van de rechtspositie van de consument, prof. mr. E.H. Hondius, mr. G.J. Rijken (red.), 2015.
ISBN 9789462510753.


Personal data processing for behavioural targeting: which legal basis?

Zuiderveen Borgesius, F.

Key Points:
The European Union Charter of Fundamental Rights only allows personal data processing if a data controller has a legal basis for the processing.
This paper argues that, in most circumstances, the only available legal basis for the processing of personal data for behavioural targeting is the data subject's unambiguous consent.
Furthermore, the paper argues that the cookie consent requirement from the e-Privacy Directive does not provide a legal basis for the processing of personal data.
Therefore, even if companies could use an opt-out system to comply with the e-Privacy Directive's consent requirement for using a tracking cookie, they would generally have to obtain the data subject's unambiguous consent if they process personal data for behavioural targeting.


Improving privacy protection in the area of behavioural targeting

Zuiderveen Borgesius, F.

Alphen aan den Rijn, Kluwer Law International, 2015, 432 pp.
ISBN 9789041159908.

This book provides you with a highly readable overview of the policy issues underlying behavioural targeting, and explains how the law could improve on privacy protection.


De implicaties van het Google Spain-arrest voor de vrijheid van meningsuiting

Kulk, S.

Zuiderveen Borgesius, F.

In deze bijdrage wordt het Google Spain-arrest van het Hof van Justitie van de Europese Unie besproken, evenals de ontwikkelingen na het arrest. Centraal staat de vraag naar de gevolgen van het arrest voor de vrijheid van meningsuiting. De auteurs betogen dat het Hof onvoldoende aandacht schenkt aan de vrijheid van meningsuiting.


Het mijnenveld van het informatierecht

Zuiderveen Borgesius, F.


In theorie lijkt de bescherming van persoonsgegevens op orde: internetbedrijven moeten mensen informeren over wat er met hun gegevens gebeurt, en doorgaans toestemming vragen voor ze die gegevens gebruiken. Maar in de praktijk schiet die ‘geïnformeerde toestemming’ als privacybeschermingsmaatregel tekort. Om privacy beter te beschermen moet volgens onderzoeker Frederik Borgesius de privacywetgeving beter worden nageleefd en gehandhaafd én op de schop. Hij pleit voor een breder privacydebat. “We móeten dat mijnenveld in.”


Privacybescherming online kan beter: De mythe van geïnformeerde toestemming

Zuiderveen Borgesius, F.

De huidige privacyregels leggen veel nadruk op de geïnformeerde toestemming van internetgebruikers. Met zulke toestemmingsregels probeert de wet mensen in staat te stellen om keuzes te maken in hun eigen belang. Maar inzichten uit gedragsstudies trekken de effectiviteit van deze wetgevingstactiek in twijfel. Zo klikken internetgebruikers in de praktijk 'OK' op vrijwel elk toestemmingsverzoek dat op hun scherm verschijnt. De wet zou meer aandacht moeten geven aan de daadwerkelijke bescherming van de privacy van mensen die het internet opgaan.


Kinderen worden gevolgd op websites en in apps

Zuiderveen Borgesius, F.

Frederik Borgesius te gast bij het programma Kassa over websites en apps voor kinderen. Zie ook het artikel in De Correspondent van Dimitri Tokmetzis, Dit zijn de virtuele stalkers van uw kind, waar o.a. Ot van Daalen aan het woord komt.


Google Spain v. González: Did the Court forget about freedom of expression?

Kulk, S.

Zuiderveen Borgesius, F.

In this note we discuss the controversial judgment in Google Spain v. González of the Court of Justice of the European Union (CJEU). Our focus is on the judgment’s implications for freedom of expression. First, the facts of the case and the CJEU’s judgment are summarised. We then argue that the CJEU did not give enough attention to the right to freedom of expression. By seeing a search engine operator as a controller regarding the processing of personal data on third party web pages, the CJEU assigns the operator the delicate task of balancing the fundamental rights at stake. However, such an operator may not be the most appropriate party to balance the rights of all involved parties, in particular in cases where such a balance is hard to strike. Furthermore, it is a departure from human rights doctrine that according to the CJEU privacy and data protection rights override, “as a rule”, the public’s right to receive information. In addition, after the judgement it has become unclear whether search engine operators have a legal basis for indexing websites that contain special categories of data. We also discuss steps taken by Google to comply with the judgment.


Behavioural Sciences and the Regulation of Privacy on the Internet

Zuiderveen Borgesius, F.

Draft chapter for the book 'Nudging and the Law - What can EU Law learn from Behavioural Sciences?', editors A-L. Sibony & A. Alemanno, Hart Publishing.

This chapter examines the policy implications of behavioural sciences insights for the regulation of privacy on the Internet, by focusing in particular on behavioural targeting. This marketing technique involves tracking people’s online behaviour to use the collected information to show people individually targeted advertisements. Enforcing data protection law may not be enough to protect privacy in this area. I argue that, if society is better off when certain behavioural targeting practices do not happen, policymakers should consider banning them.


Inzage in de minuten van de asielprocedure: persoonsgegevens of geen persoonsgegevens?

Zuiderveen Borgesius, F.

Uitspraak van de maand: HvJEU, Y.S. en M. en S. tegen Minister voor Immigratie, Integratie en Asiel, C-141/12 en C-372/12.


Consent to Behavioural Targeting in European Law - What are the Policy Implications of Insights from Behavioural Economics?

Zuiderveen Borgesius, F.

Conference (draft) paper for Privacy Law Scholars Conference (PLSC), 6-7 June 2013, Berkeley, United States


Segmentação Comportamental, Do Not Track e o desenvolvimento jurídico europeu e holandês

Zuiderveen Borgesius, F.

Behavorial Targeting, Do Not Track, and European and Dutch Legal Developments


Behavioral Targeting: A European Legal Perspective

Zuiderveen Borgesius, F.

Behavioral targeting, or online profiling, is a hotly debated topic. Much of the collection of personal information on the Internet is related to behavioral targeting, although research suggests that most people don't want to receive behaviorally targeted advertising. The World Wide Web Consortium is discussing a Do Not Track standard, and regulators worldwide are struggling to come up with answers. This article discusses European law and recent policy developments on behavioral targeting.


Filtering for Copyright Enforcement in Europa after the Sabam cases

Zuiderveen Borgesius, F.

Artikel ook gepubliceerd in European Intellectual Property Review, 2012-11, p. 54-58.

Sabam, a Belgian collective rights management organisation, wanted an internet access provider and a social network site to install a filter system to enforce copyrights. In two recent judgments, the Court of Justice of the European Union decided that the social network site and the internet access provider cannot be required to install the filter system that Sabam asked for. Are these judgments good news for fundamental rights? This article argues that little is won for privacy and freedom of information.


Commentaren op het nieuws dat Equens pingegevens wil gaan verkopen

Zuiderveen Borgesius, F.

Wat zijn onze gegevens waard?, NOS Radio Journaal, 24 mei 2013. Pingegevens: wat zijn ze waard?, NOS Televisie Journaal, 24 mei 2013.


Behavioral Targeting: Legal Developments in Europe and the Netherlands

Zuiderveen Borgesius, F.

Position paper for the W3C Do Not Track Workshop, november 2012.


Google's Dead End, or: on Street View and the Right to Data Protection: An analysis of Google Street View's compatibility with EU data protection law

B. van der Sloot, d.

Zuiderveen Borgesius, F.

May a company photograph the daily lives of people all over the world, store those photos, and publish them on the internet? This article assesses which obligations Google has to fulfil in order to respect the European data protection rules. The focus lies on three questions. First, which data processed for the Street View service are personal data? Second, does Google have a legitimate ground for processing personal data? Third, does Google comply with its transparency obligations and does it respect the rights of the data subjects, specifically their right to information?


Google and Personal Data Protection

B. van der Sloot, d.

Zuiderveen Borgesius, F.

Working paper
This chapter discusses the interplay between the European personal data protection regime and two specific Google services, Interest Based Advertising and Google Street View. The chapter assesses first the applicability of the Data Protection Directive, then jurisdictional issues, the principles relating to data quality, whether there is a legitimate purpose for data processing, and lastly the transparency principle in connection with the rights of the data subject. The conclusion is that not all aspects of the services are easy to reconcile with the Directive's requirements.


De meldplicht voor datalekken in de Telecommunicatiewet

Zuiderveen Borgesius, F.

Het Wetsvoorstel wijziging van de Telecommunicatiewet ter implementatie van de herziene telecommunicatierichtlijnen introduceert een meldplicht voor inbreuken in verband met persoonsgegevens. Aanbieders van openbare elektronische communicatiediensten moeten zulke datalekken voortaan melden aan OPTA, de Onafhankelijke Post en Telecommunicatie Autoriteit. Als een datalek waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van degene wiens persoonsgegevens het betreft, moeten aanbieders ook deze inlichten. In dit artikel wordt deze regeling besproken. Daarbij zal blijken dat er nog een aantal onduidelijkheden zijn. Ook wordt ingegaan op de vraag in hoeverre de meldplicht geschikt is om de doelen die de Europese regelgever nastreeft te bereiken. Geconcludeerd wordt dat een meldplicht nut kan hebben, maar dat de effectiviteit van de meldplicht aanzienlijk wordt beperkt doordat hij slechts geldt voor aanbieders van openbare elektronische communicatiediensten. Zelfs als een bredere meldplicht ingevoerd zou worden, zijn meer maatregelen nodig om alle genoemde doelen te bereiken.


De nieuwe cookieregels: alwetende bedrijven en onwetende internetgebruikers?

Zuiderveen Borgesius, F.

Om het zoek- en klikgedrag van een internetgebruikers te monitoren plaatsen bedrijven vaak een cookie op de computer van die gebruiker. Volgens de geamendeerde e-Privacyrichtlijn mogen cookies die niet noodzakelijk zijn voor communicatie of om een aangevraagde dienste te leveren voortaan slechts worden geplaatst nadat de internetgebruiker zijn geïnformeerde toestemming heeft gegeven. Volgens de Nederlandse wetgever kan deze toestemming onder meer blijken uit de instellingen van de browser. In dit artikel wordt nagegaan in hoeverre toestemming middels browserinstellingen in de praktijk zal voldoen aan de eisen die de Dataprotectierichtlijn stelt aan 'toestemming': een vrije, specifieke, op informatie berustende wilsuiting. Geconcludeerd wordt dat 'browsertoestemming' in de praktijk waarschijnlijk niet aan deze eisen zal voldoen.


VMC Studiemiddag

Zuiderveen Borgesius, F.

De Vereniging voor Media- en Communicatierecht en de Vereniging voor Reclamerecht organiseerden op 25 juni 2010 een gezamenlijke studiemiddag over het onderwerp 'behavorial targeting'. Onder dit begrip valt onder meer het vastleggen van surfgedrag op het internet (bijvoorbeeld middels cookies) en het gebruik van deze gegevens om gericht te adverteren. Vanwege het steeds frequenter wordende gebruik van behavioral targeting en het feit dat er nieuwe Europese regels zijn opgesteld, is het debat over behavioral targeting weer opgelaaid.


De amendementen van de Richtlijn Burgerrechten op de e-Privacyrichtlijn

B. van der Sloot, d.

Zuiderveen Borgesius, F.

De e-Privacyrichtlijn, betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie, is onlangs gewijzigd door de Richtlijn Burgerrechten. De wijzigingen worden in dit artikel benoemd en becommentarieerd. Enkele van de belangrijkste wijzigingen zijn de introductie van een opt-in-regel voor cookies, een meldplicht voor datalekken, de mogelijkheid voor providers om spammers in rechte aan te spreken en een artikel betreffende de implementatie en publiekrechtelijke handhaving van de e-Privactrichtlijn.


E-mail na de dood: juridische bescherming van privacybelangen

Zuiderveen Borgesius, F.

Aanbieders van online e-maildiensten zoals Gmail, Hotmail en Yahoo!, bieden een steeds grotere opslagcapaciteit aan hun abonnees, hetgeen de feitelijke beschikkingsmacht van deze aanbieders over de bij hun opgeslagen communicatie vergroot. De honger naar informatie van de aanbieders van dergelijke online communicatiediensten die vaak afhankelijk zijn van advertentie-inkomsten, wordt ruimschoots gevoed door de consument die gretig gebruik maakt van de veelal gratis aangeboden en haast ongelimiteerde opslagcapaciteit die hen in staat stelt om al hun communicatie vanaf iedere gewenste plek te raadplegen. Nu de generatie abonnees die via e-mail communiceert langzamerhand ouder begint te worden, rijst de vraag wat er zal gebeuren met de e-mailcommunicatie die staat opgeslagen bij de aanbieder na overlijden van de abonnee. De centrale vraag van dit artikel luidt dan ook: in hoeverre wordt het privacybelang van de abonnee van een online e-maildienst en diens communicatiepartners beschermd en kunnen zij dit belang beschermen als de abonnee komt te overlijden? Uit onze inventarisatie van de relevante wetgeving, jurisprudentie en literatuur blijkt dat de bescherming van de privacybelangen van de overleden abonnee en zijn communicatiepartners onduidelijk en zelfs gebrekkig is.


More Publications