Toestemming onder de privacywet

| AE 2663 | Privacy | 25 reacties

yes-toestemming-ja-permission.pngHet gebruik van e-mailadressen en andere persoonlijke gegevens van mensen valt onder de strenge privacywet, de Wet bescherming persoonsgegevens. Deze schrijft voor dat je in principe alleen gebruik mag maken van zulke gegevens als je toestemming hebt. Recent heeft het overlegorgaan van privacywaakhonden, de Artikel 29-Werkgroep een opinie over toestemming gepubliceerd die uitwerkt hoe je toestemming moet krijgen. Hieruit blijkt nog maar eens hoe streng deze regels zijn, en hoe snel je in de fout kunt gaan.

Toestemming is het uitgangspunt, omdat de privacywet is gebaseerd op het idee dat de betrokkene zelf beslist wie wanneer zijn gegevens gebruikt. Gebruik van persoonsgegevens is dus een gunst en geen recht. Dit blijkt ook nog eens uit het feit dat men toestemming op elk moment mag intrekken van de wet.

Steeds meer sites en apps maken gebruik van persoonsgegevens als onderdeel van hun bedrijfsmodel. Spelletjes vragen toegang tot de vriendenlijst of het MSN-account zodat ze zichzelf kunnen promoten. Websites en advertentienetwerken bouwen profielen op zodat ze getargete advertenties kunnen tonen. Dit mag, maar hiervoor is wel apart toestemming nodig.

Het grootste probleem in de praktijk is dat mensen niet goed weten waar ze toestemming voor geven. Hoe veel sites zijn erniet waar men volstaat met “U geeft toestemming voor gebruik voor marketing” of “onze zorgvuldig geselecteerde partners mogen u mailen”, of met “ik aanvaard het privacyreglement” waarna je in tien pagina’s juridisch jargon mag nalezen wat men onder ‘privacy’ verstaat.

Dergelijke vormen van ‘toestemming’ vragen zijn expliciet niet genoeg, zegt de Werkgroep nu. Enkel en alleen als de toestemming gebaseerd is op een vrije beslissing, na geïnformeerd te zijn over wat er specifiek gaat gebeuren, is de toestemming rechtsgeldig. Een paar voorbeelden:

  • Het aan hebben staan van Bluetooth is geen toestemming voor het ontvangen van reclameberichten via Bluetooth. Gaat men zelf naar een billboard toe waar staat “Hou je telefoon hier en ontvang onze aanbieding”, dan is dat lopen natuurlijk wel een vorm van toestemming geven.
  • Medewerkers een mailtje sturen met daarin een voorbeeld (preview) van hun vermelding in het smoelenboek op intranet, gevolgd door een duidelijke “ja/nee” knop, levert toestemming op als mensen op “ja” klikken. Als de manager mails rondstuurt dat “nee” klikken “niet op prijs” gesteld wordt of “niet past bij onze professionele opvattingen”, is de toestemming niet meer rechtsgeldig.
  • Een privacystatement linken onderaan elke pagina van een forum met daarin dat je gebruikersinformatie (naam, e-mailadres etcetera) gebruikt kan worden voor marketingdoeleinden is geen manier om toestemming te krijgen. Ook een expliciet akkoord vragen op het privacystatement is niet genoeg – wie gaat de marketing doen en wat voor marketing is dat dan?
  • Een expliciete melding dat je e-mailadres wordt verstrekt aan bedrijven X en Y zodat die je reclame kunnen sturen voor hun producten is wél een vorm van toestemming, mits men maar op dat moment de verstrekking nog kan tegenhouden.

Het laatste item is gebaseerd op een opmerkelijk standpunt van de werkgroep omtrent sociale netwerksites. De werkgroep signaleert namelijk de trend dat zulke sites mensen min of meer dwingen in te stemmen met getargete advertenties als voorwaarde om lid te mogen worden van de site. En dat vindt men niet kunnen:

Considering the importance that some social networks have acquired, some categories of users (such as teenagers) will accept the receipt of behavioural advertising in order to avoid the risk of being partially excluded from social interactions. The user should be put in a position to give free and specific consent to receiving behavioural advertising, independently of his access to the social network service.

De zorg is terecht, maar ik heb wel moeite met deze consequentie. Het zou genoeg moeten zijn om vooraf te horen wat de site van plan is, waarna je kunt besluiten lid te worden of niet. Goed, bij sommige sites heb je vrijwel geen keuze, daar móet je lid van zijn (Facebook als tiener of Linkedin als professional). Heel misschien is het dan verdedigbaar.

Apps die je via die netwerkdienst kunt gebruiken, moeten apart toestemming vragen voor wat zij willen doen. En ook die toestemming moet expliciet en uitgebreid zijn. Niet alleen maar “This app wants to access your account”; nee, welke onderdelen en informatie worden benaderd en wat gebeurt daarmee? Verandert hoe de app werkt, dan moet apart opnieuw toestemming worden gevraagd.

Heeft de app bijvoorbeeld een nieuwe functie om je highscore te twitteren, dan moet apart gevraagd worden of deze geactiveerd mag worden. Ook moeten mensen vooraf zien wat er wordt getwitterd. En als ik dat standpunt hierboven goed begrijp, dan is zelfs te verdedigen dat de gebruiker het activeren van deze functie moet kunnen weigeren zonder gestraft te worden met een niet meer werkende app.

De wet noemt overigens enkele uitzonderingen op de eis van toestemming. Zo mag je gegevens zonder nadere toestemming gebruiken als dat nodig is voor het uitvoeren van een overeenkomst. Je mag dus bijvoorbeeld het adres van een klant aan je vervoerder geven zodat deze de bestelling kan bezorgen. Ook mag je in bijzondere gevallen zonder toestemming iemands gegevens gebruiken als dat noodzakelijk is voor een eigen zwaarwegend doel, én dat doel zwaarder weegt dan de privacy van de betrokkene. Dit is echter meestal niet van toepassing, behalve bij journalistieke publicaties kan ik er eigenlijk geen bedenken..

Arnoud

Deel dit artikel

  1. Tja, de wet schrijft wel voor dat dit niet mag, maar wat als een site de wet gewoon aan haar laars lapt? Zo biedt de site planet49.nl (die ondertussen door McAfee wordt geblokkeerd wegens “risky behavior”) allerlei advertentie-banners aan waarmee je een iPad of ander apparaat kunt winnen als je eerst een spelletje wint en daarna je persoonsgegevens invoert. Je hebt vast wel ergens een van die banners gezien, denk ik. Ik heb een keer een speciaal email account aangemaakt om mij eens in te schrijven en dat adres is alleen bij deze site-makers bekend. Binnen een week na de eerste spam ook meteen hun de toestemming ontnomen om mij nog verder te emailen op dit adres en inderdaad, de hoeveelheid spam nam iets af. Maar in zo’n drie maanden tijd heb ik nog wel zo’n 80 extra emailtjes ontvangen op een adres dat alleen bij Planet49 bekend is.

    En wat kun je tegen een dergelijk bedrijf doen? Bij Spamklacht een klacht indienen werkt niet. McAfee werkt al enigszins mee door de site te blokkeren als je SiteAdvisor aan hebt staan maar dat stopt de spammer nog niet. En het bedrijf is eigenlijk in Duitsland gevestigd wat het juridisch iets lastiger maakt. Wel biedt de spam een mogelijkheid om je uit te schrijven, wat ik nu maar eens probeer. Ik betwijfel of het werkt maar we zien wel…

    Maar wetgeving is nutteloos als je in de praktijk je recht gewoon niet kunt krijgen. Veel mensen staan hun email adres af en ontvangen vroeg of laat een hele hoop ongewenste emailtjes omdat “ergens” hun adres is gelekt. Soms per ongeluk en soms gewoon omdat een bedrijf dergelijke informatie gewoon doorverkoopt. Spam is nu al ruim 15 jaar een wereldwijd fenomeen dat bijna niet te bestrijden is. En wat het erger maakt, spammers kunnen nog steeds prima vanuit Europa opereren zonder zich al te veel van de wetgeving aan te trekken. De winsten die ze behalen maken de boetes voor spammen lachwekkend laag en als een bedrijf over de kop gaat doordat justitie deze ontmantelt komen er elders weer nieuwe bedrijven bij die zich met spammen bezig houden.

  2. @Wim: Spamklacht.nl is geen geautomatiseerd systeem waar jij mailt en de OPTA een boete uitdraait. OPTA verzamelt je mails, en pakt dan elke zoveel tijd de grootste stapels om onderzoek te doen. Ik heb ze ooit gezegd dat ze een automatische terugkoppeling moeten sturen plus een paar maanden later een mailtje van 2 regels wat ermee gaat gebeuren (ook als dat “helaas helemaal niets”) is, maar dat schijnt moeilijk te zijn.

  3. @5,6 Spamklacht richt zich (voornamelijk) op nederlandse spam. Als het bedrijf in duitsland zit dan kunnen/willen/mogen ze er niets mee. Of er wordt niet genoeg geklaagd.

    https://www.spamklacht.nl/klacht-indienen/ “Vanwege de enorme hoeveelheid spamklachten, kan OPTA niet bij iedere klacht een afzonderlijk onderzoek instellen. Het gaat echt om aanpak van grote overlast. ” “Als spam wordt verstuurd van buiten Nederland, kan OPTA daar alleen tegen optreden wanneer de opdrachtgever zich in Nederland bevindt.”

  4. @Arnoud, inderdaad zou een geautomatiseerd systeem de OPTA kunnen helpen om de aanmelders van klachten op de hoogte te stellen, zelfs als dat een bericht is in de vorm: “wij doen even niets met deze melding.” In het geval van Planet49 vind ik het echter opvallend dat McAfee de site heeft geblokkeerd wegens riskant gedrag maar de OPTA kennelijk niets tegen deze Nederlandse site doet. Okay, de host/eigenaar zit in Duitsland, maar de site richt zich op Nederlanders. Of misschien heeft de OPTA wel stappen tegen deze site ondernomen maar wordt daarover niets gerapporteerd aan de media. Dat zou juist wel een goed idee zijn, want als ik weet dat de OPTA bezig is om Planet49 aan te pakken dan stelt dat mij weer gerust. Het probleem is vooral dat mensen klachten indienen en vervolgens niets meer erover horen. Op het TROS Radar forum is ondertussen al een onderwerp over deze site en er zijn vast nog meer sites waar over hun klachten wordt geklaagd. McAfee schijnt de site te blokkeren omdat ze kennelijk spyware uitgeven, niet wegens de spam.

    En zoals @Franc al aangeeft, de OPTA kan kennelijk niets ondernemen tegen bedrijven in het buitenland zodat dergelijke bedrijven gewoon “vlak over de grens” kunnen opereren zonder al te veel problemen. Dan is die wetgeving ook een wassen neus omdat er kennelijk niet gehandhaafd kan worden.

  5. Arnoud, ik lees hier wat dingen die misschien een beetje tegenstrijdig lijken met wat er in je boek ‘De wet op internet’ staat over reclame-emails. Stel nu dat ik in een winkel iets aanschaf en de verkoper vraagt of hij me de factuur ook mag mailen. Ik vind dat goed en geef mijn mailadres, en 5 minuten later staat er een nette mail met een factuur in mijn mailbox. Een week later ontvang ik echter een nieuwsbrief van deze winkel met hun aanbiedingen voor die week. Volgens wat je in je boek schrijft, Hoofdstuk 12, Digitaal Zakendoen, kopje Digitale reclame, ben ik nu klant bij deze winkel en mogen ze mij relevante productaanbiedingen sturen. Ik heb immers mijn e-mailadres vrijwillig afgegeven, de mail is als reclame herkenbaar en ik heb zelfs de mogelijkheid om te opt-outen. Toch lees ik in je blogbericht hierboven dat dit wellicht niet mag, omdat ik slechts toestemming heb gegeven voor het verwerken van mijn e-mailadres ten behoeve van het sturen van de factuur. Nu noem je in je blogbericht dat het een ‘opiniestuk’ is van een overlegorgaan is, dus ik twijfel nog even aan hoe we dit nou moeten zien…

  6. @Bart, ik denk dat dit mede afhangt van hoe de winkelier het vraagt. Als hij alleen vraagt om een email adres naar toe te sturen, dan nee. Verboden. Maar als hij vraagt of je klant wilt worden en dus de factuur per email wilt ontvangen dan ben je dus een klant en kan hij nieuwsbrieven versturen. Bij webwinkels zie je vaak dat je een account kunt (of moet) aanmaken voor de bestelling wordt afgerond. Veel mensen denken misschien dat je dit moet invoeren om de factuur en andere data te ontvangen maar met zo’n account word je gewoon een klant. En vaak zie je ook dat je bij het aanmaken van een account kunt aangeven of je wel of niet de nieuwsbrief en andere reclame wilt ontvangen. Toestemming hoeft niet schriftelijk, in drievoud en meteen ook door een notaris en twee getuigen bekrachtigd. Een mondelinge toezegging werkt ook. (Is achteraf echter lastig aan te tonen als de tegenpartij vervolgens de afspraak ontkent.) Een formuliertje in een winkel invullen dat bedoeld is om klantgegevens mee vast te leggen kan al geldig zijn als toestemming. Opletten dus op de manier waarop je je gegevens doorgeeft aan een winkel.

    Vraag is dus: waar heb je eigenlijk toestemming voor gegeven toen je in die winkel je email adres doorgaf?

  7. Ik ben per definitie klant, want ik heb wat gekocht… Dat is toch de definitie van klant? En de winkel heeft mijn e-mail… Als ik Arnouds boek to the letter interpreteer, dan mag de winkel mij dus reclame e-mails sturen. Als ik echter bovenstaand blog lees, en jouw reactie, dan mag het niet. Ben in de war… 🙂

  8. @Bart: Als jij een klant zo’n mail stuurt, dan heb je geen toestemming van die klant. Gelukkig heb jij een wettelijke uitzonderingsgrond om toch die mail te mogen sturen, namelijk artikel 11.7 Telecommunicatiewet lid 3. Die zegt dat je klanten mag spammen (zonder toestemming) met gerelateerde aanbiedingen. Wel moet je een opt-out bieden.

    Het klopt dat deze uitzondering niet in de privacywet staat. Maar in het recht geldt het uitgangspunt dat specifieke regels voor algemene regels gaan. De regel over toestemming uit de privacywet is algemener dan de regel uit de Tw over e-mail naar klanten. Dus handel je legaal als je die laatste netjes volgt.

    De opinie is dus juist maar speciaal voor e-mail is er een uitzondering elders die toestemming vragen overbodig maakt.

  9. @Arnoud, maar een nieuwsbrief is niet per se een gerelateerde aanbieding. Zo zijn er (web)winkels die een verscheidenheid aan producten verkopen. Als ik b.v. naar de Praxis ga om daar potgrond te kopen en ze gaan mij vervolgens spammen over de nieuwste boormachines die ze in de aanbieding hebben… Dat is niet gerelateerd…

  10. @Wim: De wet spreekt van “eigen gelijksoortige producten of diensten”. Dus er is discussieruimte genoeg: is het gelijksoortig omdat het producten uit de bouwmarkt zijn, of producten voor in de tuin? Want een boor kan ook in de tuin handig zijn.

    Er is nog nooit een rechtszaak of OPTA-besluit geweest over wat “gelijksoortig” is. Ik denk wel dat áls er ooit geoordeeld is dat de algemene nieuwsbrief of folder niet gelijksoortig is aan een specifiek product, er een rel ontstaat vergelijkbaar met het cookieverbod.

  11. @Bart, tja… Andersom dan? Je koopt een boormachine en krijgt daarna spam voor tuinaarde en tuingereedschap? Handig voor op een flatje, ergens drie hoog achter. 🙂 Maar goed, dat een winkel deze ongerelateerde artikelen verkoopt betekent nog niet dat ze gerelateerd zijn. Je zou ook kunnen denken aan winkels die naast fysieke producten ook bankproducten, verzekeringen, creditcards, telefonie-abonnementen en/of vakanties aanbieden. Koop je een brood bij de bakker, krijg je later spam voor een goedkope vliegvakantie naar Turkije, om maar wat te noemen. En ja, dat is gerelateerd want het is een Turkse bakker… Of je koopt een hondenriem in een dierenwinkel en je krijgt vervolgens spam voor een WA verzekering want je hond kon wel eens iemand bijten en dan ben je aansprakelijk. Of je koopt een bureaustoek bij Ikea en je krijgt een aanbieding voor een creditcard want dergelijke stoelen zijn duur en zo kun je deze eenvoudiger afbetalen. Vraag is dus: hoe gerelateerd moet het dus zijn? Die grens is te vaag.

  12. Zolang er een opt-out bij zo’n mailtje zit kan de markt prima die grens bepalen. Ziet het bedrijf dat door haar reclame die niet gerelateerd of relevant is, meteen 50% van de ontvangers uitschrijft, dan is het blijkbaar onverstandig om morgen zo’n zelfde mail te sturen. Terwijl je bij relevante productaanbiedingen een veel lagere opt-out zult zien, en dan zijn de producten dus blijkbaar voldoende gerelateerd.

  13. Tja, die opt-out optie. Heb ik mijn moeder (bijna 70 en niet computer-technisch) net afgeleerd om op links in spamberichten te klikken en om niet te reageren op spam, moet ik haar nu ook gaan uitleggen dat ze van “betrouwbare” winkels dus wel de opt-out knop mag aanklikken. En dat terwijl er ook spammers zijn die hun spam verbergen onder het uiterlijk van een echte winkel. Het probleem van opt-out vind ik dat veel mensen dit gewoon niet snappen! Natuurlijk, klanten die in een computerwinkel hardware en software kopen zullen wel enig verstand van zaken hebben. Maar er is een groter aantal personen dat erg onervaren is op ICT-gebied die niet weten hoe opt-out werkt of die dit wel weten maar daardoor ook opt-outen bij spammers en zo meer spam blijven ontvangen. De uitdaging die ik met mijn moeder heb is haar duidelijk maken dat ze bepaalde stappen moet volgen zodra ze een ongewenst bericht is. Eerst kijken naar de afzender en het adres dat die afzender gebruikt. Komt die bekend voor of niet? Heeft ze ooit wat in die winkel gekocht? En natuurlijk ook de stappen die nodig zijn om de afzender aan de junk mail toe te voegen. Plus daarnaast de beslissing nemen om wel of niet voor de opt-out te kiezen. En wat te doen indien de winkel de opt-out methode een beetje complex heeft opgezet of als deze niet lijkt te werken omdat de site van de winkel plat ligt. Een beetje ICT’er doet dit automatisch. Maar veel mensen hebben al moeite met het kopieren van foto’s van hun digitale camera naar een folder op hun laptop en vanaf daar weer naar een foto-site… Veel mensen hebben maar een beperkt aantal toepassingen voor hun computer, zoals webbrowsen, email lezen, spelletjes spelen en af en toe wat documenten schrijven, lezen en afdrukken. Voor mijn moeder zou een Chrome OS laptop al ideaal zijn omdat deze dit soort zaken eenvoudig houdt maar ze kan gewoon niet met GMail omgaan. Ik vind dus dat je een duidelijke opt-in moet doen voor je dergelijke berichten ontvangt. Zeker als de berichten ook nog eens niet gerelateerd zijn aan mijn aankopen bij die winkel. Als ik een paar sokken bij Wehkamp koop wil ik daarna geen spam ontvangen over hun creditcard aanbiedingen of de vakanties die ik via hen kan boeken. Want ik zie daar gewoon geen relatie tussen. Maar ja, ik weet hoe opt-in en opt-out werkt. 🙂 Er zijn echter genoeg mensen die dit niet weten. Er zijn zelfs genoeg mensen die niet eens weten dat er spamfilters bestaan en die dus ieder ongewenst bericht dan maar handmatig verwijderen. En dit kan wel eens 80% van de klanten betreffen die dus nooit een opt-out zullen doen ongeacht de berichten die een winkel stuurt.

  14. Dan zal jouw moeder ook niet in een winkel zeggen ‘oh, doe mij die bon maar digitaal, dat is makkelijker’.

    De wet vereist een opt-out mogelijkheid, en als die wordt geboden dan heeft iemand die niet snapt hoe dit werkt een probleem. Maar dat is dan niet het probleem van de gene die de opt-out aanbiedt, maar van de gene die niet snapt hoe deze werkt. Tenzij het bedrijf het onnodig of onredelijk complex maakt, maar dan is het weer in overtreding omdat het geen degelijke opt-out mogelijkheid biedt.

  15. Nee, maar mijn moeder doet regelmatig boodschappen bij C1000 en heeft ook hun website ontdekt en de mogelijkheid om ermee boodschappen-briefjes mee te maken. En vandaag kwam ze weer met een vraag naar mij over die C1000 site (want ik ben kennelijk de expert) want ze kon zich inschrijven voor hun nieuwsbrief maar had geen bevestiging ontvangen… (Geduld, Mams.) Haar email is soms vertraagd en inderdaad, 10 minuten later komt het emailtje binnen en de vraag wat ze nu moest doen. (Klik op de rode button, Mams.) Even de bevestigingslink aanklikken en moeders ontvangt de nieuwsbrief. Goed, ze kiest dus zelf om deze te ontvangen. Kost enige moeite maar toch… En de nieuwsbrief bevat ook keurig netjes een opt-out optie. Maar zoals ik wel vaker zie is die opt-out melding in een kleiner lettertype en lichtgrijs op een witte achtergrond. Voor mij al redelijk lastig leesbaar en voor mijn moeder bijna onzichtbaar en dus ook moeilijk uit te leggen waar ze moet kijken. Hoe dit eruit ziet is te zien in deze screenshot. Zeg zelf maar of je de opt-out optie duidelijk genoeg vindt. Mijn moeder snapt wel hoe het werkt maar heeft vaak gewoon problemen met het opvolgen van vervolg-instructies. Zeker ook zoals in deze email, waar staat:

    U ontvangt deze mail omdat u zich heeft aangemeld voor de C1000 Actiemail. Mocht u geen e-mail van C1000 meer willen ontvangen dan kunt u zich eenvoudig afmelden via de link “afmelden”.
    Alleen, waar is die link dan weer? Tja, die staat weer ietsje hoger naast de woorden “contact” en “www.c1000.nl” en ik moest er ook even naar zoeken! Maar goed, ik druk gewoon op CTRL+A zodat alle tekst op de browser wordt geselecteerd en de grijze tekst op witte achtergrond verandert in witte tekst op een blauwe achtergrond. Meteen beter leesbaar! Maar ook dat is een truuk die ik mijn moeder weer moet uitleggen. Overigens betreft het hier een actiemail en geen nieuwsbrief zoals ik eerder zei. Maar betekent dit dan ook dat ze nieuwsbrieven mogen toesturen zonder acties? Nou ja, ik heb mijzelf ook aangemeld met een speciaal mail adres voor C1000 dus als zij gaan spammen weet ik dat snel genoeg. Ik verwacht alleen maar aktiemails te ontvangen want daar heb ik mij voor ingeschreven.

    Maar goed, de opt-out van C1000? Op zich redelijk eenvoudig maar ook eenvoudig om over het hoofd te zien! Het is een beetje een grensgeval omdat ervaren ICT’ers snel herkennen dat er grijze tekst in de witruimte staat en dit dus ook lezen. Maar het zal mij niet verbazen als veel anderen dit niet zien…

  16. Ik ben helemaal met je eens dat dit niet de meest gebruiksvriendelijke manier is om je af te melden, maar toch denk ik dat C1000 hier wel binnen de wet handelt. Zolang de wetgever slechts een mogelijkheid vereist om af te melden en verder geen eisen stelt aan de presentatie daarvan, zit C1000 hier goed denk ik. Kan me overigens goed voorstellen dat ze zo weinig mogelijk afmeldingen willen, dus de keuze voor een grote duidelijke knop bovenin de mail of een kleine grijze onleesbare tekst onderin lijkt me snel gemaakt…

  17. @Bart, daar heb je gelijk in. C1000 handelt nog wel binnen de wet maar ze doen wel veel moeite om te voorkomen dat mensen zich afmelden. Wat ik verder ook wel eens opmerk is dat bedrijven ook nog extra consequenties verbinden aan het afmelden. Bijvoorbeeld door klanten erop te wijzen dat ze kortingen zullen mislopen als ze zich afmelden want kortings-codes komen ook in de emails. Of mogelijk zelfs het compleet uitschrijven van een klant zodat ze een volgende keer weer een nieuwe account moeten aanmaken om te kunnen bestellen. Veel webwinkels zullen gaan uitproberen waar de grensen liggen. Misschien moeten die grensen duidelijker gemaakt worden?

Laat een reactie achter

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren en <em> en <strong> voor italics en vet.

(verplicht)

Volg de reacties per RSS