Er is een bacterie gevonden in het drinkwater in de regio Utrecht. Dat meldde RTV Utrecht vorige week. De darmbacterie enterokokken kan gevaarlijk voor de gezondheid zijn. Veel mensen klaagden echter het niet direct van het waterbedrijf gehoord te hebben. Dat mocht niet van de AVG, zei hij spottend.
Volgens RTV Utrecht is het gevaar relatief:
Die bacterie komt van nature ook voor in de darmen van mensen en is niet gevaarlijk voor gezonde mensen. Voor mensen met een kwetsbare gezondheid kan de bacterie wel vervelende gevolgen hebben, zoals een infectie.Desondanks is het advies breed gegeven om water drie minuten te koken voor consumptie (en werd het bronwater in alle supermarkten diezelfde ochtend leeggekocht). Maar niet iedereen kreeg de waarschuwing van waterbedrijf Vitens. Deels is het probleem dat niet iedere bewoner ook de klant is, zoals bij de verhuurder van een studentenwoning. Maar het blijkt ook juridisch moeilijk te zijn:
Daarnaast hebben sommige klanten toen ze zich ooit aanmeldden bij Vitens of daarna aangegeven dat ze geen mail van het bedrijf willen ontvangen. “Dan mogen we ze wettelijk ook geen mail sturen. Ook niet bij een calamiteit zoals deze.” [aldus een woordvoerder]Dit doet natuurlijk vreemd aan, waarom zou bij een calamiteit de nood niet de wet breken?
Daarvoor moeten we naar artikel 6 lid 1 punt d AVG, een verwerking die noodzakelijk is om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen. De AP legt uit:
Een vitaal belang is aan de orde als het over een belang gaat dat essentieel is voor iemands leven of gezondheid. En u die persoon niet om toestemming kunt vragen om persoonsgegevens te verwerken. Bijvoorbeeld wanneer er acuut gevaar dreigt, maar iemand bewusteloos is of mentaal niet in staat om toestemming te geven.Ik ken deze grond vooral uit de boekjes, want er wordt zeer zelden een beroep op gedaan. Overweging 46 noemt als voorbeelden natuurrampen en door de mens veroorzaakte rampen, en deze infectie is zeker niet op dat niveau. Daarbij komt dat de verwerking ‘essentieel’ moet zijn, dus niet “handig” of “beter uitkomend” dan andere vormen.
Belangrijker is voor mij dat een beroep op deze grondslag (overweging 46) alleen mogelijk is als je geen andere grondslag kunt inroepen. Hier had vooraf een vraag gesteld kunnen worden “Wilt u bij ernstige risico’s zoals bacteriën een noodbericht krijgen”, en om die reden vervalt deze mogelijkheid.
Blijft (zoals altijd) het gerechtvaardigd belang over. Dat mag altijd, ook zonder toestemming. Niet bij reclame (dat vereist opt-in), maar dit servicebericht is zeker weten geen reclame. Alleen zit je hier dan met het probleem dat bij verkrijging is aangegeven dat men ook geen serviceberichten wil. En dan houdt dat dus op.
Arnoud
Deze discussie voelt wel heel kafkaiaans aan.
Echt? Je kunt het ook heel simpel bekijken. Jij zei, ik wil geen enkele mail van Vitens. Prima, dan krijg je geen enkele mail van Vitens.
Als je als bedrijf laat opt-outen voor alle communicatie per mail (en daarmee dus ook voor serviceberichten), heb je het m.i. niet goed begrepen.
Daar kan ik tegenover stellen dat ik met enige frequentie klachten krijg van mensen die dachten zich voor alles af te melden en tóch serviceberichten via de mail kregen, zoals de jaarlijkse prijsverhoging. Er is dus kennelijk een zekere maatschappelijke behoefte om géén e-mail te ontvangen. Moet je dat niet respecteren?
Als er klachten komen van mensen die dachten zich voor alles afgemeld te hebben, heeft het mogelijk geschort aan duidelijke communicatie. “Ja, je kunt je afmelden voor de nieuwsbrief en andere commerciële uitingen, maar serviceberichten (zoals x, y en z) blijf je ontvangen”. Serviceberichten zijn m.i. essentieel (en bevatten dus niet óók reclame).
Tja, als je opt-out voor serviceberichten faciliteert, moet je dat natuurlijk respecteren. Ik vind het (subtiel gezegd) nogal onhandig om opt-out voor serviceberichten te faciliteren. Dan kun je dus inderdaad geen prijsverhogingen meer communiceren, geen wijzigingen in de algemene voorwaarden, niet meer digitaal factureren, niet meer vragen de meterstanden door te geven, enz.
Je hoeft als bedrijf niet in elke behoefte te voorzien, denk ik.
Dat, en naast de genoemde voorzienbare communicatie kunnen er altijd onvoorziene omstandigheden optreden waarvoor communicatie met de afnemer van de dienst toch nodig is., Het is m.i. erg onhandig ook elke onvoorziene omstandigheid bij voorbaat te laten opt-outen.
Als de communicatie “nodig” is voor de dienst dan kan het onder de grond “nodig voor het contract”. Alleen dan is de vraag wat nodig is onder het contract. Factureren natuurlijk wel (maak kan ook per post), maar bij “dienstberichten” is dat niet direct het geval – het word dan een kwestie van of het niet versturen van het bericht een significante afbreuk doet aan het contract (de dienst). Mijns inziens is het communiceren van het falen van het contract (bijv. watervoorziening is/word onderbroken, laat de kraan eerst een tijdje lopen als het water weer terug is) iets dat redelijk onder het contract verwacht kan worden.
Natuurlijk is alles echter contextueel, en als je dan klanten de mogelijkheid geeft om zich af te melden voor alle communicatie onder toestemming of redelijk belang, dan is het ook niet meer redelijk in de verwachting, behalve onder zeer uitzonderlijke situaties. Het beste is om dienstberichten buiten die toestemming (of objectie) te houden, maar dat kan niet achteraf.
Dat is het punt. Ik kies altijd voor “helemaal geen mail”, want ik heb in het verleden te vaak gehad dat die zogenaamde “serviceberichten” toch eigenlijk vooral verkapte commerciele berichten waren. Ze staan, ook al gaat het om een bericht over een tariefsverhoging, altijd vol met commercieel getinte afbeeldingen (van aantrekkelijke mensen die met een grote glimlach op hun gezicht aan de keukentafel van hun landelijk gelegen huis zitten met een kop koffie of een croissant en dan aan hun net zo hard lachende partner op het scherm aanwijzen hoe blij ze zijn met hun leverancier) en links naar producten en diensten. Bijna altijd zitten er ook trackers in. Bovendien kreeg ik soms dan berichten die neerkwamen op “we weten dat u geen reclame wil, maar deze aanbieding is zo speciaal dat we die u toch niet wilden onthouden”. Ik ben er mee gestopt, en ik maak voor alle diensten een tijdelijk adres aan dat ik vervolgens dicht zet zodat het bounced.
Als bedrijven eens zouden leren om keuzes daadwerkelijk te respecteren, en zouden stoppen om elk klein stukje geimpliceerde toestemming te misbruiken voor commerciele doeleinden, dan zouden wellicht meer mensen toestemming geven voor email die daadwerkelijk belangrijk is.
Persoonlijk zeg ik dus: heel goed van Vitens. Geen email is geen email, punt. In het geval van iets echt daadwerkelijk ernstigs als ebola zoals Jeroen als voorbeeld gaf is er altijd die “essentieel voor iemands leven of gezondheid” reden.
Je moet die afmelding ‘ik wil geen enkele email’ niet op zichzelf bekijken, maar in het kader van het primaire doel van de overeenkomst: veilig drinkwater leveren/ontvangen. Die afmelding is natuurlijk alleen geldig als de hoofdprestatie geleverd wordt zoals afgesproken.
Als Vitens niet aan zijn deel van deal kan voldoen, dan MOET dat gemeld worden.
(stel dat Vitens besluit om geheel te stoppen met de drinkwaterlevering, want er is geen droog brood mee te verdienen. Dan moeten ze toch zeker ook aan hun klanten melden dat ze niet meer aan het contract willen/kunnen voldoen? Dat is hier hetzelfde: ze kunnen tijdelijk niet aan hun contract voldoen, NATUURLIJK moet dat gemeld worden aan de klanten)
De verwerkingsgrond is volgens mij gewoon ‘uitvoering overeenkomst’. Daar hoort een bij: een melding dat de overeenkomst tijdelijk niet uitgevoerd kan worden.
Als je geen drinkwater meer levert krijg je júist droog brood…
Als de nood echt aan de man is, kan (en volgens mij moet) Vitens ook met auto’s met speakers op het dak door de getroffen wijken gaan rondrijden. Dat lijkt mij ingrijpender dan een emailtje, maar niet geblokkeerd door dit soort juridische regeltjes — maar daarbij, als je besluit die auto’s de weg op te sturen, dan is er echt wat aan de hand (ebola in het water, ik noem iets geks), en dan ga je ook alle andere kanalen inzetten, inclusief emails en NL-alert op alle telefoons.
Ik snap niet waarom je dit de AVG verwijt, gezien dit alleen gebeurde bij mensen die actief hebben gezegd “mail mij niet”. Is het dan, los van de AVG en telecomwet, niet gewoon een stukje redelijkheid dat je die mensen niet mailt?
Wat mij betreft valt mijn voorbeeld in de categorie als iemand zegt “ik schud liever geen handen”, en dan later weigeren die persoon te redden (meer aanraken impliceert dan handen schudden) als die dreigt te verdrinken, of weigeren hartmassage toe te passen als die persoon een hartstilstand heeft. Dan is de overweging, zou die persoon het mij kunnen verwijten dat ik dat niet doe. In dergelijke gevallen zou ik mij beroepen op overmacht en een morele verplichting alles in het werk te stellen mensen te redden (of te waarschuwen voor een levensbedreigende situatie) want dan breekt nood wet – tenzij het verzoek expliciet ook die situatie afdekt. (Stuur mij geen email, ook niet in levensbedreigende situaties; raak mij niet aan, ook niet als ik dreig te overlijden.)
De voorwaarde dat je je niet op de d-grond kunt beroepen als er geen andere grondslag is, geldt toch alleen als het gaat om het vitale belang van een andere dan de betrokkene?
Voor de leverancier geldt dat zij de contractant (haar klant) informeert. De contractant is mogelijk niet de bewoner, nee. Maar in hoeverre is het redelijk dat het waterbedrijf dáár rekening mee houdt? Op het moment dat deze situatie, incidentdeel en ad hoc, zich voordoet, kun je geen andere grondslag meer inroepen. Dan nog om toestemming vragen, lukt niet meer.
Het mailen lijkt me omwille van de snelheid beter dan een brief (die er ondanks potentieel acuut gevaar toch een stuk langer over doet (en gelet op de afzender mogelijk op de stapel beland om in het weekend een keer de administratie te doen). Als klant zou ik het, zelfs als ik opt-out had gegeven terwijl ik deze situatie natuurlijk niet had voorzien, fijn vinden.
Ik begrijp niet waarom Vitens dan niet kiest om de informatie wel te sturen aan degenen die wel mail willen ontvangen. Dan mis je ‘sommige klanten’ maar de bulk krijgt de informatie snel en zonder toegevoegde onzin van de media.
Vitens heeft alle klanten die niet opted out waren om 6:30 een mail gestuurd.
Dan begrijp ik eigenlijk niet dat er VEEL mensen klaagden dat ze niks gehoord hadden.
Ik lees mijn (privé) email een keer per dag, zo rond zeven uur ’s avonds.
Waarom zou je het e-mail adres vast leggen van iemand die aangeeft geen e-mail te willen ontvangen? Mag dat dan wel van de AVG?
Bijvoorbeeld omdat je de (digitale) aanmelding wilt kunnen bevestigen. Of omdat iemand een Mijn-account heeft om meterstanden door te geven of facturen in te zien.
Wat als het was misgegaan? Iemand heeft zich afgemeld voor serviceberichten, drinkt veel water en komt te overlijden. Ik zie de koppen al voor me: “Eerste GDPR dode in Nederland.”
Het is breed gecommuniceerd via diverse media, maar daarbij, waarom zou dat de schuld van de GDPR zijn? Die doet in dit geval niets meer dan zorgen dat mensen niet helemaal plat gespammed worden door alle bedrijven die dat email-adres te pakken krijgen. Ik denk dat als er een optie was “alleen berichten als het echt ernstig is”, en dat zou ook daadwerkelijk gerespecteerd worden door bedrijven, dan zouden meer mensen dat toestaan. De praktijk is dat het veelal is “alles of niets”, als je email toestaat krijg je ook aanbiedingen, aanbiedingen en reclame vermomd als “tips om duurzamer te leven”, nieuwsbrieven en allerlei andere niet relevante zooi. Ik heb zelfs een keer, ik weet helaas niet meer welke site dat was, een waarschuwing gezien bij de communicatie-voorkeuren waar stond “We respect your choices. If you do not allow us to send you email you will receive no email. This includes password resets, answers to support requests, and relevant security messages including but not limited to data breaches”. De enige andere mogelijkheid om een password te resetten was via “certified mail”, waarvoor je dus in de USA daadwerkelijk naar het postkantoor moet. Uiteraard had je daar geen last van als je email toestond, waarmee je dan ook toestemming gaf voor reclame.
Als iemand geen televisie heeft en de berichten in de media zou missen, zouden de koppen dan ook zijn “Eerste televisie dode in Nederland”?
In dit geval is die site in overtreding (als het een op de EU gerichte site is – is de GDPR van toepassing?). Want de keuze hier is duidelijk geen vrije keuze voor specifieke verwerkingen. Ze hebben niet goed begrepen dat hetzelfde gegeven (bijv. email adres) voor verschillende doeleinden (bijv. reclame, paswoord, ondersteuningsberichten, beveiligingsinformatie) allemaal een eigen doeleinde zijn en dus onafhankelijk een verwerkingsgrond hebben, en dus ook onafhankelijk toestemming (of objectie) hebben als dat relevant is voor de grond.
Het was een Amerikaanse website, wel internationaal georienteerd maar duidelijk Amerikaans en ook daar gevestigd. Het “probleem” met de GDPR is dat die daar natuurlijk niet van toepassing is. Als zo’n site in de VS zit en geen vestiging o.i.d in de EU heeft dan kunnen we er in feite niets tegen doen en heeft die site het volste recht om die hele GDPR volkomen naast zich neer te leggen.
En dat is, vind ik, op zich ook hoe het hoort te werken natuurlijk. Wij zouden het immers ook niet accepteren als Iran of Saudi-Arabie de mogelijkheid zou hebben om alhier tegen een Nederlands bedrijf te zeggen dat ze geen foto’s van modellen in bikini op hun bikini-webshop zouden mogen plaatsen omdat die content in Iran of SA niet is toegestaan.
Terugkomend op die email, ik heb geen zin om voor elke site uit te gaan zoeken of ze zich houden aan die wetgeving, ze krijgen domweg van mij geen werkend emailadres meer. Ik heb te vaak als “servicebericht” vermomde reclame ontvangen om die fout nog te maken.
Zelfs als een bedrijf daar gevestigd is, kan de AVG gewoon van toepassing zijn (artikel 3).
Ik heb niet de indruk dat ze zich daar in de VS veel van aan trekken.. “accepteer tracking cookies of betaal” mag ook niet, maar dat zie ik ook geregeld.
Hoe zouden we het uberhaupt handhaven?
Tja, theorie en praktijk. Ik reageerde specifiek op de stelling dat een Amerikaanse site “het volste recht [heeft] om die hele GDPR volkomen naast zich neer te leggen”.