Mag een bedrijf toestemming afleiden uit het feit dat je ze mailt?

Een lezer vroeg me:

In het privacystatement van Vereniging Eigen Huis staat: “Het anderszins verwerken van uw persoonsgegevens geschiedt alleen voor zover u Vereniging Eigen Huis daarvoor ondubbelzinnig toestemming heeft verleend. Die toestemming kan blijken uit het enkele feit dat u per e-mail of anderszins een vraag aan Vereniging Eigen Huis stelt.” Is dat laatste wel rechtsgeldig? Hoe kan men nu uit zo’n “enkel feit” toestemming afleiden?

Toestemming wordt als begrip in de Wet bescherming persoonsgegevens gedefinieerd als een “vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt”. Dat is een vrij open definitie, maar natuurlijk kan een bedrijf of instelling niet zelf bepalen hoe wettelijke termen moeten worden uitgelegd.

Volgens mij klopt het wel zoals VEH het formuleert. In principe mag je persoonsgegevens alleen verwerken met toestemming. Toestemming moet vrijwillig worden gegeven, maar het is niet verplicht dat expliciet te laten doen. Toestemming mag je onder de privacywet ook concluderen uit ander handelen, zolang maar duidelijk is dat die handeling bedoeld was als (mede) een toestemmingshandeling.

Het lijkt mij dat als iemand je een mail stuurt met een vraag, je wel mag concluderen dat je toestemming hebt om die persoon terug te mailen. Ik denk dat je ook nog wel toestemming hebt om een week later na te mailen of de oplossing beviel en of ze een enquete in willen vullen.

Verder hoef je denk ik niet bang te zijn dat men die toestemming dan gebruikt om bijvoorbeeld verkoop van je gegevens aan de hoogste bieder te rechtvaardigen. Dat kan namelijk niet onder de privacywet: toestemming moet specifiek en doelgebonden zijn. Deze tekst maakt dat duidelijk met “voor zover”. Ze zeggen dus zelf niet meer te doen dan waarvoor je toestemming hebt gegeven.

Toestemming om een antwoord op je vraag te mailen is wezenlijk iets anders dan toestemming om op een nieuwsbrief te komen, of om je gegevens aan een derde te verstrekken. In programmeertaal: toestemming is geen boolean maar een array met toegestane handelingen. En in dit geval zal er dus niet meer gebeuren dan een reactie op je mail.

Arnoud

8 reacties

  1. Ik denk dat je ook nog wel toestemming hebt om een week later na te mailen of de oplossing beviel en of ze een enquete in willen vullen.

    Die -automatische- navraag over de oplossing is louter bedoeld om je aan te moedigen de enquête in te vullen. En aan een enquête heb je als klant helemaal niks. Het strookt ook niet met het doel waarvoor je impliciet toestemming hebt gegeven (namelijk: een inhoudelijk antwoord ontvangen).

  2. Maar wat is de meerwaarde van het opnemen van zulke bepalingen in (privacy) voorwaarden? Als je iemand een mail stuurt zal deze heel gauw informatie in de mail tot zich nemen en mogelijk een inhoudelijke reactie geven. Wat is hier het verschil tussen e-mail en de brief via Postnl?

  3. Bij het versturen van een email met een vraag verwacht ik dat de ontvanger mij een bericht met een antwoord terugstuurt. Daar is een behoorlijke hoeveelheid geautomatiseerde gegevensverwerking voor nodig (vraag moet naar email server instantie, daar in een email client geopend worden, waarschijnlijk doorgestuurd worden naar de behandelende afdeling en dan moet het antwoord ook nog terug…) Vanwege het email adres en (waarschijnlijk) naam en adres van de vraagsteller gaat het in alle gevallen om verwerking van persoonsgegevens.

    Omdat de VEH een strenge “privacy first” policy heeft is het naar haar klanten toe wel zo netjes om aan te geven dat bepaalde geautomatiseerde verwerking in reactie op een actie van haar klant onvermijdelijk is. Een organisatie die privacy wat minder hoog in het vaandel heeft staan kan dat nalaten.

  4. zal er dus niet meer gebeuren dan een reactie op je mail.

    Aangezien er persoonsgegevens in de mail staan: moet de mail-wisseling eigenlijk verwijderd worden? (Je geeft geen ondubbelzinnige toestemming voor bewaren). Of mag deze bewaard blijven in de mailbox? Hoe lang?

    1. Dat wordt nog een interessante case ooit: Er is een conflict, en de ene partij zegt: Beste rechter, wij hadden zus-en-zo afgesproken per email, maar mochten dit niet bewaren om privacy redenen, en als gevolg is het voor ons onmogelijk om ons gelijk te bewijzen. U kunt ons toch niet in het ongelijk stellen omdat we drie jaar geleden de privacywetgeving volgden?

  5. Ik krijg soms wel eens telefoontjes of brieven van banken, telefoonmaatschappijen, kabelmaatschappijen, verzekeraars etc waar ik klant ben. En die willen dan graag hun nieuwe product aan mij verkopen.

    Ik denk de laatste tijd steeds vaker: Jullie hebben mijn gegevens om de bestaande contracten te kunnen uitvoeren, EN VERDER NERGENS VOOR, dus ook niet om mij een brief met een pakketaanbod te sturen, of om mij te bellen om eens langs te komen om te bespreken of ik mijn hypotheek niet moet overzetten naar een vaste rentevoet. Heb ik daar gelijk in?

    1. volgens mij is dat toegestaan door de ePrivacyrichtlijn wat een specificatie is van de privacywetgeving, zolang het om vergelijkbare diensten of producten gaat (geïmplementeerd in de Telecommunicatiewet).

  6. Volgens mij is toestemming in dit geval helemaal niet noodzakelijk. De misvatting is vaak dat je alleen persoonsgegevens mag verwerken op grond van toestemming. Maar er zijn ook andere wettelijke gronden op basis waarvan je persoonsgegevens mag verwerken. Zo kan het noodzakelijk zijn voor de uitvoering van een overeenkomst of is er een gerechtvaardigd belang om de gegevens te verwerken. In dit geval lijkt me het evident dat VEH een gerechtvaardigd belang heeft om je persoonsgegevens te verwerken om je mail te kunnen beantwoorden.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.