Een lezer vroeg me:
Is het straks onder de Privacyverordening (AVG of GDPR) nog toegestaan om gratis e-book of deelname aan een quiz of iets dergelijks te koppelen aan een verplichte opt-in voor een nieuwsbrief?
Het is een populaire manier van nieuwsbriefbuilding: bied een ebook of factsheet of andere interessante download aan, maar alleen nadat men het e-mailadres heeft ingevuld zodat daar de nieuwsbrief heengestuurd kan worden. (Zelfs mijn kantoor doet het.) Ook bij allerlei quizzen en tests zie je dit veel: vul je e-mailadres in om de resultaten te ontvangen, en dan krijg je meteen ook de nieuwsbrief.
Mag het straks nog? Toestemming onder de GDPR moet namelijk in vrijwilligheid worden gegeven, en zeggen “geef toestemming of anders geen ebook voor jou” klinkt niet als heel vrijwillig.
Expliciet uitgesloten is het niet. Het dichtst bij komt artikel 7.4 over toestemming:
Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.
Dit artikel verbiedt het dus niet, maar zegt wel “dit weegt zwáár mee bij de bepaling of het vrijwillig is”.
Bij de overeenkomst tot deelname aan een quiz of tot schenking van een ebook is het niet echt noodzakelijk ook de nieuwsbrief te ontvangen. De daarvoor geëiste toestemming valt dus onder artikel 7.4 en is dus verdacht. Je zou dan moeten zeggen, zó belangrijk is zo’n ebook of quiz nou ook weer niet, dus what’s the harm, zeker omdat je de nieuwsbrief op ieder moment weer kunt opzeggen. Dan zou uit die beoordeling toch komen dat de toestemming vrijwillig is gegeven.
Soms wordt wel verdedigd dat je zo’n nieuwsbrief mag sturen omdat de quizdeelnemer of ebookaanvrager een dienst bij je afneemt, en klanten mag je mailen zonder toestemming. Dat klopt in principe, maar “klant” is wel beperkt tot iemand die een betaalde dienst (of product) afneemt. Bij een gratis dienst is het dus überhaupt niet mogelijk je te beroepen op dit recht. Bovendien moet er voor of bij het doen van de bestelling een opt-out worden geboden, dus dat pakt ook onhandig uit: mensen kunnen dan meteen zeggen “laat maar die nieuwsbrief” en vervolgens alsnog het ebook of de quiz afnemen.
Arnoud
Hoe werkt dit dan bij een site waar je wel een betaalde dienst afneemt maar niet direct aan die site zelf betaalt, bijvoorbeeld doordat je de bestelling via een webservice doorzet naar een leverancier? Mag je die
klant
dan wel als klant bestempelen?Is het niet vaak met van die gratis ebooks juist andersom geformuleerd? “Meld je nu aan voor de nieuwsbrief, dan krijg je een gratis ebook” Daar valt niet zoveel tegenin te brengen lijkt me, de bewuste keuze is je aanmelden voor de nieuwsbrief, het ontvangen van een ebook het side effect.
Dat was ook mijn gedacht. Meteen volkomen helderheid scheppen over wat iemand krijgt in ruil voor wat lijkt mij voldoende. Klopt dat juridisch echter ook?
Dat lijkt mij inderdaad ook. Ik heb een hekel aan ongewenst nieuwsbrieven krijgen (vanuit irritatie- maar ook privacygedachten), maar als er duidelijk staat dat je nieuwsbrieven gaat ontvangen en beter nog: welke (inderdaad omdat je in ruil daarvoor dan bijv. een e-book gratis ontvangt), dan heb ik er qua privacy geen probleem mee. Let wel: ik ben geen jurist, maar zo zie ik het als eindgebruiker.
Dat is juridisch volkomen juist. Er is an sich niets illegaals aan de transactie “persoonsgegevens voor ebook”, de wet (ook de AVG/GDPR) eist niet meer dan duidelijke informatie en een goede opt-in.
In zoverre is het zwak dat ik die toestemming 0,1 seconde na verstrekking weer kan intrekken, maar goed dat is sowieso de zwakte van dit model. Neem zo’n 20-minuten mailadres of blokkeer de afzender zodra je je ebook hebt gehad.
Het feit dat er geldelijk voor betaald wordt, is geen criterium voor een product- of dienstlevering. Je bent dus ook gewoon een klant als deze gratis is. Hierover heb ik zekerheidshalve eerder al eens contact gehad met de Autoriteit Persoonsgegevens. (Vreemd is het niet. Er zijn nogal wat ‘gratis’ diensten, zoals Facebook, Gmail, etc.) En een bestaande klantrelatie mag je inderdaad onderhouden. Binnen de grenzen van de Telecomwet weliswaar.
Wat hier volgens mij een belangrijke rol speelt, is dat betrokkene moet weten waar hij toestemming voor geeft. En dat deze bovendien specifiek moet zijn. Toestemming voor gebruik van het e-mailadres t.b.v. de (gratis) productaanvraag is niet automatisch ook gelijk toestemming voor gebruik van de (dienst) ‘periodieke nieuwsbrief’. Dat zou een te algemene toestemming zijn. Dit zouden dus separate toestemmingen moeten zijn. Periodieke nieuwsbrief als opt-in bij de productaanvraag, lijkt me de Koninklijke route.
Vanuit de Telecomwet geredeneerd: betrokkene moet de mogelijkheid hebben gehad bij verstrekking van zijn gegevens aan te geven geen acht op te slaan op dergelijke communicatie. Zonder die voorwaarde mag je het dus ook niet eens gebruiken voor het onderhoud van de klantrelatie.
Bottemline: respecteer de privacy. Wees transparant en vraag toestemming voor wat je werkelijk van plan bent. Kans op averechtse werking (van hopelijk goede bedoelingen) neemt daarmee ook nogal af.
Dit was dan ook het eerste wat bij me opkwam na het lezen van
Ik zie het punt, maar de Autoriteit Consument en Markt (die gaat over de telecomwet waar dat artikel in staat over klanten spammen) ziet “klant” echt als een partij die een betaalde dienst afneemt. En in de E-privacy verordening komt ook letterlijk een ‘sale’ als vereiste te staan. Ik denk dat het écht ver gezocht is om te betogen dat een transactie waarbij je persoonsgegevens besnuffeld worden, gelijk komt te staan aan een koop in de zin van het Burgerlijk Wetboek. Al is het maar omdat persoonsgegevens formeel geen waarde hebben.
Ik zie een klant ook als iemand die een account aanmaakt, maar nog geen aankoop heeft gedaan, misschien ook wel nooit een aankoop doet. Dat de ACM dit anders ziet, is m.i. een te krappe interpretatie van de wet. Er wordt bij het aanmaken van een account een duidelijke relatie gevormd.
Ik zie er wel wat in. Een betaalrelatie vind ik toch gevoelsmatig wat steviger dan enkel een contractuele relatie. Als ik jouw redenering volg, dan mag ik nu jou op mijn nieuwsbrief zetten omdat je een reactie hier plaatste, dat is ook een duidelijke relatie tussen jou en mij toch?
Ware het niet dat jij, waarschijnlijk heel bewust, posten zonder account toestaat.
OT: Ik zie zelfs geen enkele voorwaarden bij het posten staan. Desondanks gaat het er hier geciviliseerd aan toe. Moge andere fora hier nota van nemen.
Dat van geldelijk betalen voor het afnemen van een product of dienst niet noodzakelijkerwijs sprake hoeft te zijn om toch van een ‘klantrelatie’ te kunnen spreken, wil natuurlijk niet zeggen dat alles wat gratis is automatisch leidt tot een ‘klantrelatie’. Daarbij komt nog dat een ‘relatie’, waar sneller sprake van zal zijn, ook niet gelijk is aan een ‘klantrelatie’.
Je betaald voor de dienst door je persoonsgegevens af te geven. Zie: leidraad oneerlijke handelspraktijken, pp. 161-162 http://ec.europa.eu/justice/consumer-marketing/files/ucp_guidance_nl.pdf
Volgens mij loop je al snel tegen het “privacy by default” principe aan 25.2
https://gdpr-info.eu/art-25-gdpr/Je gebruikt die data om een e-book te versturen en als je die verzonden hebt dan is de “period of their storage” voorbij. Dus als jij een nieuwsbrief wilt sturen dan zul je dat specifiek vast moeten leggen om voor dat doel het email adres op te slaan en te gebruiken.
Het grootste probleem bij het opzeggen, Arnoud, is dat sommige van die gratis diensten niet één nieuwsbrief sturen namens hun, maar vaak ook nog vele namens partners of dochterbedrijven. Dus dan wordt opzeggen al een stuk moeilijker.
Dat is een scheve redenering, volgens mij. Dat een dienst gratis is betekent nog niet dat er geen klanten kunnen zijn. Een klant is iemand met wie een transactie is uitgevoerd. Maar dat hoeft nog geen financiële transactie te zijn. Meer iets in de trant van: “Als U zich inschrijft voor onze nieuwsbrief dan krijgt U ons gratis eBook.” Een vorm van ruilhandel, dus. Daarmee wordt het een transactie en ben je dus klant, ook al is er geen geld uitgewisseld.
Het eBook is dan ook niet gratis maar wordt “gekocht” met informatie en het geven van toestemming.
In de winkel krijg je een kraslot. Onder de kraslaag staat een code. Na invullen van code + emailadres op een website krijg je per mail te horen of je iets gewonnen hebt. Ondertussen sta je ingeschreven in twee nieuwsbrieven, dat stond in de algemene voorwaarden. Mag dit? Deze actie loopt momenteel bij de Plus supermarkten. https://plus-nl.basebuilder.com/
Een opt-in (meer algemeen: een toestemming voor verwerking van persoonsgegevens) kan niet in algemene voorwaarden of een privacyverklaring worden opgeëist. Deze moet apart worden gevraagd. De actie is dus niet legaal totdat ze op het kraslot zelf vermelden dat deelname betekent dat je twee nieuwsbrieven gaat krijgen.
Plus supermarkten geeft je keurig een “opt-in” op het moment dat je je deelname bevestigt. Ze doen dat overigens niet echt netjes, want je gaat met 1 vinkje accoord met zowel de algemene voorwaarde als de “abonnementen” op 2 nieuwsbrieven. Daarnaast moet je je ook je voornaam, achternaam, geboortedatum en geslacht verplicht invullen. Ondanks het feit dat er geen geldelijke transactie plaatsvindt voelt dit toch wel een beetje als ‘betalen met je gegevens’. Aan de andere kant ook wel weer logisch dat ze die informatie vragen, het is per slot van rekening een soort van kansspel.
Op zich worden de regels wel duidelijk weergegeven dus ben je volgens mij voldoende geinformeerd voordat je accoord gaat.
Maar maken ze reclame voor de actie en ga je daardoor niet naar een andere winkel? En stel je wilt die nieuwsbrief vervolgens niet, kun je dan ook de transactie die het lot heeft opgeleverd ongedaan maken?
Anders kun je dat soort acties met de meest belachelijke voorwaarden/nieuwsbrieven bedenken en het kan je niet direct iets kosten.
Even voor de duidelijkheid. Als ik als webwinkelier een bestand hebt met betalende klanten, maar ik vraag niet expliciet toestemming of deze een nieuwsbrief willen ontvangen. Mag ik deze klanten dan wel een nieuwsbrief sturen (vanaf 2018)?
Dat mag als je ze op het bestelformulier hebt gewaarschuwd dat dit gaat gebeuren en ze toen opt-out konden geven. De makkelijkste manier is een vakje “Ik wil graag de nieuwsbrief” op het bestelformulier dat je alvast aanvinkt. Klanten kunnen dat dan afvinken en zo opt-out geven.
Het stukje betreft wel/geen klantrelatie bij bijvoorbeeld het downloaden van een whitepaper blijf ik lastig vinden.
Situatieschets: op een website wordt een whitepaper aangeboden. Om deze te ontvangen moet naam + bedrijf + e-mailadres ingevuld worden. Vervolgens wordt het whitepaper per mail toegestuurd. Opent men niet, dan ontvang men enkele dagen een reminder met nogmaals de downloadlink. Een week na downloaden ontvangt men een whitepaper over een aansluitend onderwerp. Downloadt men deze dan volgt er een week later nog een mail, met de verwijzing naar een interessante case / blog. Alle mails bevatten een afmeldlink.
Wat vinden jullie, valt bovenstaande binnen de richtlijnen? Of zou bij het downloaden aangegeven moeten worden dat het om een flow bestaande uit meerdere mails gaat? En als er een jaar later een ge-updatete versie van het whitepaper uitkomt, mag deze dan nog toegezonden worden?
Mag het andersom? Mag je iemand in laten schrijven op je nieuwsbrief en dan een e-book ‘kado’ doen? Dus eigenlijk valt je digitale weggever dan onder de nieuwsbrief.
Dat is eigenlijk precies hoe ik het nu steeds adviseer. Je mag best bij een opt-in voor een nieuwsbrief een lokkertje doen. Ik heb ook wel gezien dat men zegt, of nieuwsbrief abonneren of 25 euro betalen en dan downloaden.