Moet je bij een Linkedin-wervingsbericht een opt-out opnemen?

| AE 10517 | E-mail | 18 reacties

Een lezer vroeg me:

Onder de AVG ben je verplicht om bij alle direct marketing uitingen mensen apart te wijzen op het recht van opt-out (verzet). Hoe pakt dat uit bij Linkedinberichten, waar immers het doel van de dienst bestaat uit het contacteren van mensen voor (in mijn geval) bijvoorbeeld personeelsbemiddeling? Het is volstrekt ondoenlijk om op een dergelijk platform het recht van verzet onder elk bericht te plaatsen. Los van de karakterlimiet en de wijze waarop het volstrekt legitiem en vaak welkom contact besmeurt, zal het niet de bedoeling van de wetgever zijn om zich te mengen in contact waar mensen zich nota bene expliciet voor hebben aangemeld. Toch heb ik geen uitzondering kunnen vinden en lijkt het (hoewel enigszins theoretisch) nog steeds verplicht om ook via Linkedin mensen te wijzen op hun recht van verzet.

Vanaf 25 mei heb je inderdaad het recht op verzet oftewel opt-out bij iedere vorm van direct marketing. Wanneer je geen zin (meer) hebt in dergelijke gerichte reclame, kun je daar op ieder moment eenvoudig en gratis bezwaar tegen maken en dat moet dan stoppen.

Bijzonder aan dit recht van verzet is dat het bij de direct marketing berichten zelf gemeld moet worden, en ook nog eens apart en gescheiden van andere informatie. Je mag dit dus niet apart in je privacyverklaring verstoppen, het moet duidelijk en direct te vinden zijn zodat mensen dat recht direct uit kunnen oefenen. Toegegeven, dat is onhandig als je via een kort berichtje via de chatfunctie van Linkedin jezelf wilt voorstellen en wilt hengelen naar een zakelijk kopje koffie met winstoogmerk.

Ik denk alleen dat het bij LinkedIn anders werkt. Je kunt (moet?) op je profiel aangeven dat je wel of niet openstaat voor arbeidsbemiddeling (“Beschikbaar voor nieuwe carrièrekansen”). Binnen de context van Linkedin mag je dat opvatten als toestemming. Denk ik. En daarmee kunnen mensen dus die berichten sturen onder de grondslag toestemming, waarbij je dan géén recht van verzet hoeft te bieden. Toestemming is immers intrekbaar, verzet is niet aan de orde. Maar het is niet verplicht apart en uitdrukkelijk te zeggen dat toestemming kan worden ingetrokken.

Eerlijk gezegd weet ik niet of dit nu het grootste probleem is onder de AVG. Het lost zichzelf ook op, want wie al te hard die berichten stuurt krijgt een verbanning van Linkedin. En dan is er juridisch gezien verder geen probleem.

Arnoud

Mogen loonstroken onder de AVG nog gewoon per e-mail als pdf?

| AE 10454 | E-mail | 42 reacties

Een lezer vroeg me:

Als administratiekantoor verzorgen wij onder meer salarisadministratie voor medewerkers. De loonstroken sturen wij dan per mail met in de bijlage de pdf met de informatie. Mogen we dit onder de AVG blijven doen, of moeten we het versleutelen of op een portaal aanbieden?

Onder de AVG gaat er veel veranderen, maar specifiek waar het gaat om beveiliging blijven de regels in de kern gelijk. Je moet als bedrijf zorgen voor “adequate” oftewel gewoon goede beveiliging bij alles dat je doet met persoonsgegevens.

De AVG eist vooral duidelijkheid, vastgelegd in beleid. Er moet dus vastgelegd zijn welke beveiligingskeuzes zijn gemaakt en waarom dit zorgt voor het gewenste niveau van beveiliging.

E-mail is daarbij een heikel punt. Het is het meestgebruikte medium om informatie van A naar B te transporteren, maar een erg veilig medium is het van zichzelf niet. Goed beveiligingsbeleid heeft dus ook een sectie over e-mail en regelt daarin wat wanneer mag worden gemaild, wanneer encryptie moet worden gebruikt en wanneer een ander, veiliger kanaal moet worden ingezet.

Financiële gegevens zoals salarisstroken vind ik relatief kwetsbaar en daar moet dus extra aandacht voor veiligheid bij komen. Dit per mail sturen zou ik alleen acceptabel vinden als de wederpartij daar zelf om vraagt (zoals een particulier die per mail vraagt om een financieel advies) maar een ‘gedwongen’ situatie (je werkgever laat je loonstroken per mail versturen, zonder te vragen) zou ik er meer moeite mee hebben.

Specifiek bij loonstroken geldt nog dat de werknemer er uitdrukkelijk mee ingestemd moet hebben. Dat mag in de arbeidsovereenkomst of later zijn gebeurd. Als daarbij is gezegd dat dit per mail gebeurt, dan denk ik dat dit ook wel door de beugel kan. Als werkgever zul je dus wel moeten nagaan of je personeel kan overzien waar ze voor tekenen als ze hier ja op zeggen, en afgedwongen toestemming kan natuurlijk niet door de beugel.

Encryptie of de zaken via een beveiligd portaal aanbieden zijn goede alternatieven. Hun nadeel is wel dat het technisch complexer wordt en dat je dan weer moet nadenken over beheersing van de wachtwoorden.

Arnoud

Mag een vereniging met instemming van de ALV je postadresverkopen?

| AE 10444 | E-mail, Privacy | 18 reacties

Verandering in de manier waarop de KNLTB met jouw persoonsgegevens omgaat, las ik op de site van de Koninklijke Nederlandse Lawn Tennis Bond (KNLTB), en ik moest ook even zoeken wat de L was. De verandering houdt in dat men op zoek gegaan is naar manieren om “meerwaarde voor jouw KNLTB-lidmaatschap te creëren”, wat inderdaad neerkomt op “we gaan je persoonlijke informatie verkopen”. Maar geen zorgen, de ALV heeft ingestemd met deze nieuwe manier van werken en je kunt je altijd afmelden. Maar, wacht, AVG, wat?

Tussen de regels door lees ik dat de KNLTB op zoek is naar extra bronnen van inkomens, en haar ledenlijst als een waardevol betaalmiddel ziet. Daarom is besloten om die ledenlijst eens commercieel te activeren, door ze aan (ongetwijfeld zorgvuldig geselecteerde) partners te geven. Deze mogen dan bellen of brieven sturen met reclame, totaal maximaal drie keer per kwartaal. E-mail is uitgezonderd, daarvoor moeten leden een aparte opt-in geven vanwege het spamverbod uit de Telecomwet.

Het deed me denken aan de KNVB, die als vereniging het besluit nam om namens leden toestemming te geven. Maar dat is niet het geval hier, want de FAQ biedt zowaar een juridische uitleg:

De grondslag voor het delen van persoonsgegevens met partners van de KNLTB is gebaseerd op een gerechtvaardigd belang, dat is ontstaan door de beslissing die de Ledenraad hierover heeft genomen in december 2017. Het delen van persoonsgegevens geldt voor eigen acties en promotionele acties van partners van de KNLTB of partijen waarmee de KNLTB een samenwerking is aangegaan.

Dit schuurt bij mij een beetje want het lijkt allemaal sterk op wat er in de AVG staat, maar het klopt volgens mij net niet. Het klopt dat je je kunt beroepen op een eigen gerechtvaardigd belang, en dan mag je persoonsgegevens gebruiken zonder toestemming. Direct marketing wordt in de AVG genoemd als een dergelijk belang, en in principe kun je dat dan doen mits je een opt-out toepast. Dat belang kan van de verantwoordelijke (de KNLTB) zelf zijn of van een derde, dus die marketing zou ook door een partner kunnen gebeuren. De relevantie van het besluit van de ledenraad zie ik niet direct, je hebt als organisatie een belang of niet en daarover stemmen verandert je belang niet, volgens mij.

Alleen wat ontbreekt en wat nou net de kern is van dat belang is dat er een áfweging achteraan komt waarom dit gepast is gezien de privacy en je eigenlijk geen andere optie hebt dan deze invulling. En dat is waar het bij direct marketing al heel snel misgaat. Toestemming vragen is immers niet moeilijk – in tegenstelling tot bijvoorbeeld cameratoezicht of fraude-detectie.

Daar staat tegenover dat de verkochte gegevens alleen je postadres en telefoonnummer zijn. De privacy-impact van reclame per post vind ik kleiner dan e-mail, zeker omdat er geen persoonlijke interesses en dergelijke worden verkocht. Behalve dan dat je houdt van lawn tennis natuurlijk.

Daarom denk ik dat dit misschien toch wel door de beugel kan, mede vanwege de duidelijke communicatie en de afmeldmogelijkheid. De KNTLB moet er wel zelf voor zorgen dat die partners je gegevens dan ook weggooien, overigens.

Arnoud

Mag een mail gateway iemands mail weggooien zonder dit te melden?

| AE 10436 | E-mail | 10 reacties

Een lezer vroeg me: Ons bedrijf is overgestapt naar een externe maildienst die een mail gatewaydienst aanbiedt (scannen op malware, virussen en andere bedreigingen). Nu blijkt dat deze mails met dergelijke bedreigingen gewoon stilletjes weggooit. Mag dat zomaar? Het doet nogal raar aan dat een bedrijf dit zou doen, maar ik denk dat het wel… Lees verder

Moet ik voor de AVG al mijn opt-ins opnieuw om toestemming vragen voor de nieuwsbrief?

| AE 10433 | E-mail | 24 reacties

Een lezer vroeg me: Ik heb al jaren goedlopende nieuwsbrieven, waar ik aan verdien met affiliatelinks. Ik heb altijd netjes confirmed opt-in gehanteerd, maar ik lees nu overal dat toestemming on der de AVG veel strenger wordt. Ook zou er geen coulanceregeling zijn voor bestaande opt-ins. Klopt dat? Moet ik echt al mijn opt-ins opnieuw… Lees verder

Hoe verboden is een spambericht van een relatie in je WhatsApp?

| AE 10379 | E-mail | 10 reacties

Een lezer vroeg me: Met enige regelmaat krijg ik van zakelijke relaties ongevraagd commerciële berichtjes in mijn WhatsApp. Dat varieert van uitnodigingen voor congressen tot gepushte nieuwe boeken, maar ook wel een verzoek eens een kop koffie te doen om te kijken wat we in 2018 voor elkaar kunnen betekenen. Valt dat eigenlijk onder het… Lees verder

Wanneer mogen wij de mailbox van een werknemer van een klant openen?

| AE 9818 | E-mail, Privacy | 10 reacties

Een lezer vroeg me: Mijn bedrijf verzorgt hosted e-mail en calendaring diensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan? Vaste… Lees verder

Hoe rechtsgeldig is e-mail in communicatie met de overheid?

| AE 9636 | E-mail | 14 reacties

Heeft de Hoge Raad ineens e-mail rechtsgeldig verklaard, kreeg ik van diverse mensen als vraag. Recent wees men arrest in een zaak over parkeerheffingen, waarbij een bezwaarschrift per e-mail mocht worden ingediend. Dat kun je lezen als “e-mail is rechtsgeldig”, wat ze bijvoorbeeld bij MR doen, maar het ligt volgens mij iets subtieler. E-mail is… Lees verder

Mag je mensen nog verplicht op nieuwsbrieven laten abonneren onder de Privacyverordening?

| AE 9508 | E-mail, Privacy | 25 reacties

Een lezer vroeg me: Is het straks onder de Privacyverordening (AVG of GDPR) nog toegestaan om gratis e-book of deelname aan een quiz of iets dergelijks te koppelen aan een verplichte opt-in voor een nieuwsbrief? Het is een populaire manier van nieuwsbriefbuilding: bied een ebook of factsheet of andere interessante download aan, maar alleen nadat… Lees verder