Een lezer vroeg me:
Als ik iets online bestel wordt ik vaak door de bezorgdienst gemaild, terwijl ik niet expliciet toestemming heb gegeven aan de webwinkel om mijn e-mailadres aan de bezorgdienst door te geven. Hoe is dat geregeld onder de AVG?Expliciete toestemming is lang niet altijd nodig om persoonsgegevens zoals mailadressen te mogen gebruiken onder de AVG. Er zijn nog vijf andere grondslagen (zoals dat juridisch heet), waarbij voor deze vraag het meest relevant is de “uitvoering van de overeenkomst” (art. 6 lid 1 sub b AVG).
Kort gezegd, als bepaalde gegevens nodig zijn om een overeenkomst te sluiten of uit te voeren, dan is dat gewoon mogelijk. Apart toestemming vragen is dan dus niet aan de orde. De enige eis is dat je kunt onderbouwen waarom het “noodzakelijk” is dat je die gegevens gebruikt.
Voor “noodzaak” geldt een hoge lat. De gebruikelijke vuistregel is dat het nakomen van de overeenkomst niet haalbaar is als je die gegevens niet hebt. Dat naam en bezorgadres naar de bezorgdienst gaan, lijkt me een mooi voorbeeld: hoe moet dat pakket anders bij de juiste persoon aankomen? Maar een geboortedatum van de klant verstrekken is zelden relevant, behalve wellicht bij levering van alcohol.
Jouw bedrijfsbelang als ondernemer is zeker nog geen noodzaak. Maar een hoop zit daar tussenin. In 2012 oordeelde de rechtbank Utrecht dat het in- en uitchecken bij de ov-chipkaart een “noodzaak” was, hoewel je goed kunt twisten over of dit nou echt de enige manier was om studenten (met vrij reizen product) per trein te vervoeren.
Bij de vraagsteller gaat het om het e-mailadres van de ontvanger. Die krijgt daarop berichten van de vervoerder, zoals “we komen morgen bij u langs” of wellicht opties voor neerzetten of afleveren bij een servicepunt. Erg handig, maar kun je daar spreken van een noodzaak? Ook zonder die mails kan de bezorger prima langskomen zou je zeggen.
Toch valt er goed wat te zeggen voor een noodzaak: anno 2022 is het voor veel mensen zeer wenselijk dat ze een pakket kunnen omleiden of op andere datum kunnen bestellen. Dan moet een goede bezorgdienst daar aan tegemoet komen en dus die opties communiceren, en per e-mail is dan de enige reële manier.
Terzijde, er zijn vele websites die je bij een bestelformulier toestemming laten geven om je gegevens te gebruiken voor de levering. Die hebben het dus niet begrepen. Probeer voor de grap eens na levering en vóór facturatie je toestemming in te trekken, dan komt de boodschap misschien wel over.
De vervoerovereenkomst wordt gesloten tussen de webshop en de vervoerder. De ontvanger van het pakketje is derhalve geen partij bij de vervoerovereenkomst en daarom kan de grondslag ‘overeenkomst’ niet worden gebruikt voor het verwerken van persoonsgegevens van de ontvanger. De grondslag ”gerechtvaardigd belang’ blijft enkel over.
Ik ga er vanuit, dat de webshop ervoor verantwoordelijk is, dat de bestelling bij de klant aankomt. Daarom is het wel degelijk in het belang van de webshop, dat de vervoerder (als uitvoerende van dit deel van de overeenkomst) in staat wordt gesteld afwijkingen van de levering te communiceren. Dit is in het belang van de webshop (als verantwoordelijk voor de levering) en de klant.
Het gaat niet om de vervoersovereenkomst maar om de koopovereenkomst op afstand tussen de consument en de winkel. De vraag is: is het noodzakelijk dat de status van de bezorging wordt gemeld binnen die koopovereenkomst. Inderdaad is niet relevant of en waar er vervoersovereenkomsten zijn gesloten.
Wellicht is het wel nodig dat die status word gemeld (daar heb ik verder geen mening over), maar ik zou denken dat AVG-technisch het dan de verkoper, niet de vervoerder, is die de aangewezen persoon is om dat soort berichten te sturen.
Zelfs als de noodzaak om iets te melden er is, wil dat nog niet zeggen dat jan-en-alleman dat mogen doen, alleen partijen die op grond van de AVG dat mogen.
Ik kan in de AVG geen bezwaar vinden tegen de vervoerder dit laten doen. Welk probleem zie jij, niet perse een wetstekst maar gewoon waarom is het vervelend dat PostNL zegt “wij komen eraan” en niet Bol.com “ze komen eraan”?
Ik heb de gewoonte per webshop een mail adres aan te maken, zoals bol@example.com, zodat als er veel spam op binnenkomt ik weet dat wie er verantwoordelijk is voor het lekken van het mail adres. Als de Bol dit adres dan aan post.nl doorgeeft (en dhl of andere pakketdienst), dan zijn er dus meerdere partijen die verantwoordelijk voor dit lekken kunnen zijn.
Klopt. Maar dan nog blijft in dit geval Bol verantwoordelijk toch?
Omdat ik met Bol.com een contract heb, hun privacypolicy kan inzien en kan protesteren als die me niet aanstaat (of gewoon niet bestellen), mijn gegevens kan laten verwijderen en corrigeren etc.
Dat kan ik bij PostNL niet, of toch niet zo makkelijk. Die zullen eerst zeggen: ga maar bij Bol.com klagen (of varianten daarop).
En voordat ik een email van de vervoerder heb gehad, weet ik niet eens WIE de vervoerder is (hoef ik ook niet te weten als die maar goed levert), dus dan kan ik niets eens hun privacypolicy bekijken en/of me afmelden, en dus niet mijn AG rechten uitoefenen.
Apart, email zou een no-go zijn, maar de andere NAW, zoals naam en adres gegevens niet?
Vaak wordt het al aangekondigt bij de FAQ en de leveringsvoorwaarden waar je mee akkoord gaat.
Het is qua AVG wellicht toegestaan, maar ik vind het persoonlijk jammer dat dat zo is. Ik had graag gezien dat webshops een apart vinkje hadden met iets als “geef email-adres door aan bezorger zodat u op de hoogte gehouden kan worden van de status van de bezorging”. Nu krijg ik meestal direct na verzending van de webshop zelf een verzendbevestiging met een track&trace code waarmee ik de status kan bekijken als ik dat mocht willen, maar vervolgens van de pakketdienst ook nog een hele serie emails elke keer als een medewerker het pakketje ergens in handen heeft. Het is natuurlijk allemaal klein leed maar bij sommige bestellingen krijg ik wl 10 of soms zelfs meer emails in totaal (je bestelling is ontvangen, je bestelling is bevestigd of betaald, je bestelling is overgedragen aan de bezorger, hier is je factuur, uw pakket is door ons in ontvangst genomen, dank voor uw bestelling en klik hier om een account aan te maken zodat u volgende keer eenvoudiger kan bestellen, uw pakket is aangekomen in ons distributiecentrum, wij komen dan-en-dan bij u langs, je pakket is onderweg, beste klant hier wat ongevraagde reclame en klik hier om u uit te schrijven, u bent succesvol uitgeschreven, onze bezorger staat om zo-en-zo laat voor de deur, beoordeel alstublieft onze dienstverlening, uw pakket is zojuist bezorgd). Ik zit er echt niet op te wachten.. Ik gebruik sinds kort simplelogin.io. Op het moment dat ik de factuur binnen heb disable ik direct het tijdelijke mailadres, dat scheelt een hoop spam in de inbox.
Ik geef toe dat er erger zaken in de wereld zijn, maar goed als je zo redeneert dan kan je alleen maar klagen over het allerergste dat er in de wereld aan de hand is en verder nergens over.
Dit kan in strijd zijn met het spamverbod uit de (artikel 11.7) Telecommunicatiewet.
Nee hoor.
Ten eerste gaat artikel 11.7 TW over “ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden” en dat is niet het geval. Er is geen commercieel doel, het is de uitvoering van een opdracht.
Bovendien zegt 11.7.2a “indien de verzender bij het overbrengen van de communicatie gebruik maakt van elektronische contactgegevens die door de gebruiker daarvoor zijn bestemd en bekendgemaakt, en deze zijn gebruikt in overeenstemming met de door de gebruiker aan die contactgegevens verbonden doeleinden” en dat is het geval. En ook al zou dat niet het geval zijn geweest dan biedt lid 11 nog een extra escape.
Art 11.7.2a bestaat sinds vorig jaar niet meer, maar verder met je eens dat het geen spam is.
Ik ben zéér benieuwd naar je toelichting waarom PostNL met de communicatie die in het kader van een commerciële opdracht plaats vindt geen commercieel doel zou hebben!
Het lijkt mij juist dat de mails van PostNL zowel een commercieel als ideëel doel hebben.
Je hebt een overeenkomst met de (web)winkel voor de aankoop en levering van een product. Alle dataverwerking binnen dat proces gebeurt in principe dus op de grond van het uitvoeren van die overeenkomst. Dat de (web)winkel de levering door een derde partij laat uitvoeren, maakt dat niet anders.
PostNL mag jou enkel emails sturen over de levering van jouw pakket; je zult dan ook niet ineens reclame-emails van PostNL ontvangen om de nieuwe postzegels te komen kopen of een wekelijkse nieuwsbrief ontvangen. PostNL mag jouw email-adres alleen gebruiken om je te informeren over de levering en niet voor reclame-doeleinden. De emails zijn daarmee informatief van aard en relevant voor de uitvoering van de overeenkomst, en niet commercieel.
Het wordt anders wanneer PostNL advertenties in haar emails zou gaan plaatsen en je een soort nieuwsbrief krijgt met een “oh ja, je pakketje, trouwens” ergens ertussen.
Neen, uit het gegeven dat er een overeenkomst volgt niet dat alle dataverwerking legitiem is. Vanuit de AVG geldt er een noodzakelijkheidscriteruim. En ik ben genegen om te zeggen dat de verzending van een pakket prima kan zonder een e-mail te versturen. En artikel 11.7 lid 1 Telecommunicatiewet vereist toestemming, die PostNL niet heeft. Artikel 11.7 lid 3 Telecommunicatiewet geeft hierop als uitzondering dat de elektronische contactgegevens zijn verstrekt voor dat doel. Het enkel verstrekken van elektronische contactgegevens is onvoldoende, omdat hieruit niet volgt dat deze zijn verstrekt om aan PostNL door te geven noch om gebruik te worden om de betrokkene op de hoogte te houden van de status van zending. Artikel 11.7 lid 3 Telecommunicatiewet geeft een uitzonderingspositie aan de gene die de gegevens heeft verkregen in het kader van een verkoop of dienst ten behoeve van eigen soortgelijke producten of diensten, maar daaruit volgt niet automatisch dat deze uitzondering ook voor een willekeurige derde geldt.
Het beroep op Art. 11.7 Telecommunicatiewet gaat mijns inziens niet op. Zoals hierboven als is gezegd, heeft het betrekking op berichten met commerciële, charitatieve, of ideële inhoud. Dat is hier niet aan de orde: het gaat om serviceberichten. Emails van PostNL over de levering van jouw product bieden geen diensten of producten van PostNL aan, vragen niet om donaties aan PostNL, en proberen je niet van een standpunt te overtuigen.
Voor wat betreft het noodzakelijkheidscriterium: ik lees dit als dat de verwerking van persoonsgegevens noodzakelijk is voor het bereiken van het gestelde doel, niet dat het gestelde doel zelf strikt noodzakelijk dient te zijn. Serviceberichten als “we hebben uw pakketje verzonden”, “bent u tevreden met de levering van uw product”, en “er is een terugroepactie vanuit de fabrikant” zijn zelf inderdaad niet strikt noodzakelijk voor het uitvoeren van de overeenkomst, maar wel redelijk en legitiem binnen dat kader. De verwerking van contactgegevens is wel strikt noodzakelijk om dergelijke berichten te kunnen verzenden, waarbij een emailadres het meest eenvoudige en minimale gegeven is om te verwerken.
Ik zie echt geen NOODZAAK, hooguit dat bepaalde personen het misschien handig zullen vinden.
De meeste webshops bezorgen zelf een “track and trace” en daar kan ik alles mee bekijken, als ik dat zou willen.
Wel enkele keren meegemaakt met dezelfde pakjesdienst die kinderen laat inzetten bij de bezorging en niet legaal tewerkgestelden. Voor mij een reden om een andere webshop te nemen.