Mag direct marketing per post straks ook niet meer van de AVG?

Een lezer vroeg me:

Recent kreeg ik geadresseerde reclame per post van een webshop waar ik vorig jaar wat had gekocht. Dat is dus een verwerking van mijn persoonsgegevens! Kan ik daar straks onder de Privacyverordening wat tegen doen? Er is nooit om toestemming gevraagd voor reclamepost namelijk.

Het klopt dat het toesturen van geadresseerde reclamepost vanaf 25 mei dus onder de Privacyverordening (AVG of GDPR) gaat vallen. Die wet geldt immers niet alleen voor elektronische communicatie, maar voor álle verwerkingen van persoonsgegevens. (Onder de huidige wet valt het er denk ik buiten, omdat het gaat om een niet-elektronische verwerking die niet gericht is op opname in een bestand.)

Dat wil niet zeggen dat er dús toestemming nodig is voor het verzenden van post. Dat is een van de grondslagen, maar er zijn er meer. Als de post nodig is voor uitvoering van een overeenkomst (je bestelling moet opgestuurd, of nazending van een reserve-onderdeel bijvoorbeeld) dan mag dat natuurlijk ook gewoon.

En voor direct marketing is er nog een grond: het eigen gerechtvaardigd belang. Kort gezegd moet de verzender van die post dan een goede reden hebben om het bericht te versturen, en direct marketing en reclame is een dergelijk belang, zo staat in de AVG (overweging 47). Wel moet hij een privacy-afweging maken: hoe ernstig is de privacy-inbreuk die ik maak met deze post?

Ik denk dat dit in principe wel positief voor de verzender uit zal pakken. Reclame in de post is irritant maar moeilijk een schending van je persoonlijke levenssfeer te noemen. Dat zou ik pas zien als je adressen werden verkocht of verhuurd aan derden. Ik denk dat dát gewoon echt verboden is vanaf 25 mei.

Wel heb je als ontvanger van dergelijke berichten een recht van bezwaar:

De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens [op grond van een eigen gerechtvaardigd belang].

Het bezwaar moet gebaseerd zijn op de specifieke situatie van de betrokkene. Hij mag dus niet volstaan met algemene of principiële bezwaren tegen verwerking van zijn gegevens, maar moet specifieke omstandigheden aandragen. Een voorbeeld zou zijn dat een medewerker in een rolstoel bezwaar maakt tegen een vertoning van camerabeelden waar gezichten zijn uitgeblurd; in zijn specifieke situatie is hij dan immers nog steeds herkenbaar.

Bij geadresseerde reclamepost is het niet zo evident, verder dan “ik vind het irritant” kom ik niet en ik betwijfel of dat genoeg is. En dat zou betekenen dat de afzender het bezwaar gemotiveerd mag afwijzen. Maar gelukkig is er een sterkere variant voor direct marketing:

Wanneer persoonsgegevens ten behoeve van direct marketing worden verwerkt, heeft de betrokkene te allen tijde het recht bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens voor dergelijke marketing, met inbegrip van profilering die betrekking heeft op direct marketing. … Wanneer de betrokkene bezwaar maakt tegen verwerking ten behoeve van directe marketing, worden de persoonsgegevens niet meer voor deze doeleinden verwerkt.

Hier is gewoon géén reactie op mogelijk, anders dan het bestand meteen op te schonen. Je hebt dus een keihard recht van opt-out.

Daar komt bij dat de afzender je vooraf moet melden dát hij je gegevens voor direct marketing gaat gebruiken:

21.4. Het in de leden 1 en 2 bedoelde recht wordt uiterlijk op het moment van het eerste contact met de betrokkene uitdrukkelijk onder de aandacht van de betrokkene gebracht en duidelijk en gescheiden van enige andere informatie weergegeven.

Om de betrokkene te informeren over dit recht van bezwaar, dient de verwerkingsverantwoordelijke dit expliciet aan hen te melden. Deze informatie moet uitdrukkelijk en apart gebeuren. Gescheiden van andere informatie betekent dus niet bijvoorbeeld slechts in de privacyverklaring.

Arnoud

26 reacties

    1. Lijkt er wel op, sterker nog: een extra vinkje per doel/doeleinden:

      Toestemming dient te worden gegeven door middel van een duidelijke actieve handeling, bijvoorbeeld een schriftelijke verklaring, ook met elektronische middelen, of een mondelinge verklaring, waaruit blijkt dat de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemt. Hiertoe zou kunnen behoren het klikken op een vakje bij een bezoek aan een internetwebsite, het selecteren van technische instellingen voor diensten van de informatiemaatschappij of een andere verklaring of een andere handeling waaruit in dit verband duidelijk blijkt dat de betrokkene instemt met de voorgestelde verwerking van zijn persoonsgegevens. Stilzwijgen, het gebruik van reeds aangekruiste vakjes of inactiviteit mag derhalve niet als toestemming gelden. De toestemming moet gelden voor alle verwerkingsactiviteiten die hetzelfde doel of dezelfde doeleinden dienen. Indien de verwerking meerdere doeleinden heeft, moet toestemming voor elk daarvan worden verleend.

  1. Kan de winkel hier vormeisen aan geven? Zoals het sturen van een email naar een speciaal e-mailadres. Ik kan me voorstellen dat men een opmerking in het opmerkingenveld bij een bestelling mist, als ik daarin zou zetten dat ik geen reclame wil.

  2. Service e-mails na een bestelling, zoals “geef aan hoe je bestelling is gelopen” of “plaats een review”. Ik gok dat die er dan buiten vallen? Het is niet echt onderdeel van de bestelling maar er wel redelijk nauw aan verwant. Bol.com stuurt van dit soort mailtjes ook met verzoeken om reviews te plaatsen.

  3. Om de betrokkene te informeren over dit recht van bezwaar, dient de verwerkingsverantwoordelijke dit expliciet aan hen te melden. Deze informatie moet uitdrukkelijk en apart gebeuren. Gescheiden van andere informatie betekent dus niet bijvoorbeeld slechts in de privacyverklaring.

    Hoe zit dat met bedrijven die nu al mijn gegevens in hun bezit hebben en na ingang van AVG (weer of voor het eerst) gebruiken voor direct mail?

    1. Dat is ook mijn vraag uit de post boven de jouwe. Als er voor inwerkingtreding geen expliciete toestemming is verkregen (of als zodanig is vastgelegd), moet die dan alsnog verkregen worden? Krijgen we eenzelfde situatie als ten tijde van de invoering van artikel 11.7 Tw (op-in voor e-mail).

  4. En wat als de verstrekker van de persoonsgegevens de overheid is? Ik heb al een aantal brieven in de bus gehad over zaken als collectieve inkoop zonnepanelen of woningisolatie waarbij in de brief staat “in samenwerking met gemeente xyz”?

            1. Dat zou ik onder ideële reclame vinden vallen, het bekendmaken en promoten van ideeën en opvattingen. Maar of dat vanuit de overheid ook hieronder zou vallen, betwijfel ik. (Krijg jij nog wel eens flyers van de overheid in het kader van zulke campagnes?)

              Een merkencampagne is wel commercieel want indirect willen ze dat je meer van het merkproduct verkoopt.

          1. Ho, wacht, welke data verzamelt die app? Er is wel degelijk een gevaar dat er zo persoonlijke data bij de bdienst komt die ze helemaal niet nodig hebben voor het verwerken van de belasting aangifte of het opstellen van de belasting aanslag.

  5. Vroeger, toen ik nog niet zo lang op het internet zat, klikte ik wel eens op een link “afmelden” bij ongewenste reclame-mail. Tegenwoordig weet ik dat je daarmee alleen maar bevestigt dat je e-mail-adres bestaat en dat je de reclame-mail leest; daarmee lok je alleen nog maar meer spam uit.

    Opt-out is gewoon geen handig systeem. Het zou opt-in moeten zijn.

  6. ‘En voor direct marketing is er nog een grond: het eigen gerechtvaardigd belang’

    Ik baal daar een beetje van. Het eigen belang van een ander is vrij willekeurig en kunstmatig. Dat is alleen maar zijn eigen belang omdat hij heeft BESLOTEN dat dat de hoeksteen van zijn businessmodel is.

  7. Was nog even wat verder onderzoek naar GDPR aan het doen, en mij vielen een aantal dingen op 1.) de GDPR is nu al van kracht. Alleen de enforcement date is 25 mei 2018. Dit betekend dat je nu al op basis van de GDPR verzoeken kunt doen, en dat de gestelde termijnen (reactie binnen 1 maand) dus nu al beginnen te lopen, en dat een bedrijf die niet aan zo’n verzoek gehoor geeft meteen op 25 mei 2018 een boete kan krijgen. 2.) dat de GDPR een faciliteit voor dataportabiliteit heeft die zeker nog wel een paar blogs waardig is, en voor aardig wat consternatie zal gaan zorgen. 3.) dat de verzoeken om deze data gratis beantwoord moeten worden, dus dat bijvoorbeeld de BKR zijn abonnementen a 12 euro wel kan vergeten. 4.) Dat ik bij GDPR steeds onwillekeurig moet denken aan “German Democratic People’s Republic” (al hete het voormalige Oost-Duitsland natuurlijk de GDR), en in het verlengde de data-verzamel-gekte van de Stasi….

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.