Acht ton boete voor reclamemails wegens ontoereikende toestemming

| AE 7011 | Privacy | 4 reacties

daisycon-optin-email-spamDe Autoriteit Consument & Markt (ACM, voorheen OPTA) heeft acht ton boete opgelegd aan affiliatenetwerk Daisycon voor haar betrokkenheid bij het op grote schaal versturen van spamberichten. Het bedrijf had tussen oktober 2009 en juli 2011 enkele miljoenen reclamemails verstuurd op basis van de bekende zin “aanbiedingen van dit bedrijf en (geselecteerde) partners”. En de ACM oordeelt nu volstrekt terecht dat die zin zinloos is: opt-in voor mail moet specifiek en dat vereist zeggen wie de partners zijn. De zogeheten coregistratie is niet rechtsgeldig.

Daisycon is een affiliatenetwerk: men bemiddelt tussen adverteerders en websites. Websites die advertenties laten zien, krijgen een vergoeding als er bezoekers of concrete leads naar de adverteerder worden geleid. Naast websites konden ook reclames per mail worden gedaan. Zo werden per mail nieuwsbrieven als als de Nationale Consumenten Enquête rondgestuurd, met daarin advertenties voor Daisycon’s adverteerders.

De ACM oordeelt nu dat die mails ongevraagde commerciële communicatie zijn, oftewel dus spam, waarvoor geen toestemming is gegeven. En nou ja er stond wel een vakje bij (zie boven) waar het woord ‘toestemming’ in staat maar daarin werd verwezen naar ‘partners’ en als generieke term is dat onvoldoende.

In het onderzoeksrapport laat de ACM zien dat dit vér gaat. Ook als je wel degelijk partijen noemt, is het niet genoeg: de “en overige partners” wordt Daisycon stevig aangerekend zelfs nu deze niet wordt gebruikt. Bovendien

… nu de gebruikte privacy statements doorgaans geen uitputtende lijst bevatten, maar ook vermelddendat mogelijk andere derdenof niet nader gespecificeerde “partners” of “adverteerders”onderdeel uit maakten van de geselecteerde bedrijven. Hierbij moet worden opgemerkt dat Daisycon heeft verklaard dat zij geen gegevens daadwerkelijk heeft uitgeleverd aan partijendie niet bij naam waren opgenomen in het privacy statement. Dit laat echter onverlet dat het privacy statement niet uitputtend was en derhalve is een dergelijke bepaling onvoldoende specifiek.

Betekent dit nu dat in de vráág zelf de partners genoemd moeten worden? Het is juist dat je niet met een privacystatement kunt volstaan maar als ik een lijst heb met twintig partners dan moet het toch duidelijk zijn als ik zeg “klik hier voor de partners”?

Waar het ook misging, was dat de genoemde partners niet zelf reclame stuurden maar dat deden namens weer anderen. En dan gaat het inderdaad mis: toestemming is partijgebonden en kan niet worden overgedragen, verhuurd of verkocht.

Dat Daisycon de bestanden met mailadressen heeft ingekocht bij anderen, maakt voor de ACM niets uit. Terecht. Ook al staat er in je contract dat de leverancier van alles garandeert, dat is gewoon niet genoeg. Hooguit kun je met zo’n contract de boete dan verhalen op de leverancier. Maar je blijft zelf verantwoordelijk voor gebruik van aangekochte mailadressen.

In sommige gevallen hadden adverteerders in de enquêtes gesponsorde vragen laten opnemen: “Wil je lid worden van ons netwerk van 1900 aangesloten webwinkels”? Dat lijkt specifiek en duidelijk, maar er stond niet bij wie dit dan waren, hoe vaak je de mails zou krijgen en waar dit dan over zou gaan. En oh ja, je kreeg ook mails van dat netwerk als je “nee” had gezegd. Auw.

Ook op het gebied van opt-out ging het mis. Meerdere bij Daisycon aangesloten partijen konden hetzelfde mailadres gebruiken, maar wie zich wilde afmelden kon dat slechts per nieuwsbrief. Er had ook een algemene opt-out moeten zijn voor álle nieuwsbrieven van aangesloten partijen.

Daisycon gaat in hoger beroep dus het is afwachten wat overeind blijft maar mij doet de uitspraak stevig en duidelijk aan. De geschetste praktijken zijn populair bij e-mailmarketeers maar buitengewoon irritant voor ontvangers. Het legt wel de bijl aan de wortel van handel in e-mailadressen, maar misschien moet dat ook maar eens gewoon kappen. (Haha, kappen en wortel.)

Arnoud

Wat gaan we nou eens doen met die cookiewet?

| AE 6488 | Innovatie, Privacy | 37 reacties

cookie-bril.jpgNederlandse websites schenden massaal de privacywetgeving door informatie over surf- en klikgedrag van bezoekers, zonder hun toestemming, door te geven aan advertentiebedrijven, meldde NRC gisteren. Grote woorden: het gaat zo te lezen om de inzet van Google Analytics en dergelijke tools, niet om drones die bij de bezoeker in de slaapkamer het gedrag livestreamen naar Dumpert.nl. De reacties van enkele sites zijn dan ook schouderophalend. Uiteraard schuimbekken de politici – het is immers verkiezingstijd – over deze grove schending. Maar eh jongens wat gaan we nou eens dóen met die stomme cookiewet?

De cookiewet is in 2012 aangenomen in de verwachting dat websites dan minder cookies zouden droppen, want toestemming vragen was toch best vervelend en de privacy van de bezoeker staat toch hoog in het vaandel bij elke site, getuige immers hun privacyverklaringen. Maar de reactie was een massaal “deze wet is gek” en veel partijen gingen gewoon door met cookies zetten, of plaatsten een niet te ontwijken toestemmingsknop op hun site om zo die toestemming af te dwingen. Ik ken geen site die heeft gezegd, wat een goed idee die cookiewet, wij stoppen met het tracken van onze bezoekers.

Dat dit niet mag, staat boven kijf. De cookiewet eist dat je toestemming hebt verkregen om cookies te mogen plaatsen, en wanneer zo’n cookie gebruikt wordt voor tracking of profiling dan val je ook nog eens onder de Wet bescherming persoonsgegevens met haar eisen over inzage, correctie en zorgvuldige verwerking.

Om toch te kunnen tracken, wrong menig site zich in allerlei bochten. De populairste bocht was bovenaan een zwarte balk met “Wij zetten cookies, daar gaat u mee akkoord door deze site te blijven gebruiken”. En heel vaak roepen dat deze opt-out een opt-in was, hielp daar ook bij. Maar vooral het feit dat de OPTA – tegenwoordig ACM – geen zichtbare actie ondernam tegen sites die op deze manier de wet schenden, was een grote klap voor de geloofwaardigheid van die wet.

De doodsteek kwam toen de minister een wetsvoorstel aankondigde om analyticscookies buiten de wet te plaatsen. Cookies met als doel “informatie verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij” die “geen of geringe gevolgen” voor de privacy hadden, zouden dan legaal zijn zonder toestemming. Volgens de minister mag dat van Europa, omdat het doel van de cookiewet is de privacy te waarborgen dus hoeven privacymetrustlatende cookies niet onder de wet te vallen. Dat de Europese cookiewet expliciet naar álle cookies verwijst en mede als doel heeft te zorgen dat er geen informatie op iemands harddisk komt zonder toestemming, zal ik dan maar niet te hard zeggen.

De ophef en frustratie – om niet te zeggen sábotage – bij de cookiewet is ergens wel begrijpelijk want het voorziene systeem is onwerkbaar. En we zijn zó gewend aan uitgebreide analytics en monitoring van onze websites dat het voelt alsof we weer terug moeten naar paard en wagen. En ook als privacymindende gebruiker heb ik een hekel aan de cookiewet: waar ik vroeger met een cookieblocker prima kon surfen, krijg ik door diezelfde blocker nu elke keer die stomme balken in beeld. Ik moet nu dus akkoord geven op privacyschendingen die ik voorheen kon voorkomen. Hoe is dat vooruitgang?

Goed. Ja ik ben alweer rustig. Maar de vraag blijft: wat gaan we doen met die cookiewet? Het lijkt me duidelijk dat het ding niet werkt zoals verwacht. En als een wet zó massaal wordt genegeerd en gepasseerd, dan wordt het lijkt mij de hoogste tijd eens wat aan die wet te gaan doen (u krijgt nog de groeten van de Auteurswet 1912). Ik zou alleen niet weten wat.

De belangrijkste beperking die ik zie, is dat het systeem van toestemming fundamenteel niet werkt. Mensen willen geen ja of nee zeggen tegen privacy-dingen, ze willen hun plaatje of filmpje of grappig artikel. Denken dat mensen met voldoende uitleg en knoppen wél gaan nadenken hierover, vind ik uitermate naïef. De enige reële route is volgens mij in de wet opnemen wat er wel en niet mag, bijvoorbeeld via een grijze en zwarte lijst van privacyschendingen. Zwartelijstverwerkingen mogen dan nooit (bv. individuele profielen die gezondheidsinformatie bevatten aan verzekeraars geven) en grijzelijstverwerkingen mogen dan alleen als de verwerker kan aantonen een groot belang te hebben én de privacyinbreuk wordt geminimaliseerd (bv. Google Streetview met opt-out). Dan hoef je het de mensen niet meer te vragen en voeren we het debat over privacy waar het hoort: in het parlement, bij het maken van een wet hierover.

Ja, ik kan lang wachten op zulke lijsten, ik weet het. Maar wat gaan we dan wél doen met die cookiewet?

Arnoud