Mag direct marketing per post straks ook niet meer van de AVG?

| AE 9691 | Privacy, Webwinkels | 26 reacties

Een lezer vroeg me:

Recent kreeg ik geadresseerde reclame per post van een webshop waar ik vorig jaar wat had gekocht. Dat is dus een verwerking van mijn persoonsgegevens! Kan ik daar straks onder de Privacyverordening wat tegen doen? Er is nooit om toestemming gevraagd voor reclamepost namelijk.

Het klopt dat het toesturen van geadresseerde reclamepost vanaf 25 mei dus onder de Privacyverordening (AVG of GDPR) gaat vallen. Die wet geldt immers niet alleen voor elektronische communicatie, maar voor álle verwerkingen van persoonsgegevens. (Onder de huidige wet valt het er denk ik buiten, omdat het gaat om een niet-elektronische verwerking die niet gericht is op opname in een bestand.)

Dat wil niet zeggen dat er dús toestemming nodig is voor het verzenden van post. Dat is een van de grondslagen, maar er zijn er meer. Als de post nodig is voor uitvoering van een overeenkomst (je bestelling moet opgestuurd, of nazending van een reserve-onderdeel bijvoorbeeld) dan mag dat natuurlijk ook gewoon.

En voor direct marketing is er nog een grond: het eigen gerechtvaardigd belang. Kort gezegd moet de verzender van die post dan een goede reden hebben om het bericht te versturen, en direct marketing en reclame is een dergelijk belang, zo staat in de AVG (overweging 47). Wel moet hij een privacy-afweging maken: hoe ernstig is de privacy-inbreuk die ik maak met deze post?

Ik denk dat dit in principe wel positief voor de verzender uit zal pakken. Reclame in de post is irritant maar moeilijk een schending van je persoonlijke levenssfeer te noemen. Dat zou ik pas zien als je adressen werden verkocht of verhuurd aan derden. Ik denk dat dát gewoon echt verboden is vanaf 25 mei.

Wel heb je als ontvanger van dergelijke berichten een recht van bezwaar:

De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens [op grond van een eigen gerechtvaardigd belang].

Het bezwaar moet gebaseerd zijn op de specifieke situatie van de betrokkene. Hij mag dus niet volstaan met algemene of principiële bezwaren tegen verwerking van zijn gegevens, maar moet specifieke omstandigheden aandragen. Een voorbeeld zou zijn dat een medewerker in een rolstoel bezwaar maakt tegen een vertoning van camerabeelden waar gezichten zijn uitgeblurd; in zijn specifieke situatie is hij dan immers nog steeds herkenbaar.

Bij geadresseerde reclamepost is het niet zo evident, verder dan “ik vind het irritant” kom ik niet en ik betwijfel of dat genoeg is. En dat zou betekenen dat de afzender het bezwaar gemotiveerd mag afwijzen. Maar gelukkig is er een sterkere variant voor direct marketing:

Wanneer persoonsgegevens ten behoeve van direct marketing worden verwerkt, heeft de betrokkene te allen tijde het recht bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens voor dergelijke marketing, met inbegrip van profilering die betrekking heeft op direct marketing. … Wanneer de betrokkene bezwaar maakt tegen verwerking ten behoeve van directe marketing, worden de persoonsgegevens niet meer voor deze doeleinden verwerkt.

Hier is gewoon géén reactie op mogelijk, anders dan het bestand meteen op te schonen. Je hebt dus een keihard recht van opt-out.

Daar komt bij dat de afzender je vooraf moet melden dát hij je gegevens voor direct marketing gaat gebruiken:

21.4. Het in de leden 1 en 2 bedoelde recht wordt uiterlijk op het moment van het eerste contact met de betrokkene uitdrukkelijk onder de aandacht van de betrokkene gebracht en duidelijk en gescheiden van enige andere informatie weergegeven.

Om de betrokkene te informeren over dit recht van bezwaar, dient de verwerkingsverantwoordelijke dit expliciet aan hen te melden. Deze informatie moet uitdrukkelijk en apart gebeuren. Gescheiden van andere informatie betekent dus niet bijvoorbeeld slechts in de privacyverklaring.

Arnoud

Je hebt nog 256 dagen om de AVG te implementeren #256totAVG

| AE 9606 | Privacy | 32 reacties

Vandaag zijn er nog precies 256 dagen te gaan tot de nieuwe Europese privacywet in werking treedt. Op 25 mei 2018 zal namelijk de Algemene Verordening Gegevensbescherming (AVG, ook wel General Data Protection Regulation oftewel GDPR) van kracht worden. En dan wordt de wereld weer een stukje interessanter, want het is me een partij regelgeving waar je aan moet voldoen. Ik blijf erbij dat de AVG een van de belangrijkste nieuwe wetten voor de ICT-dienstverlening gaat worden, en dat de discussies en aanvaringen hierover groter gaan worden dan de auteursrechtenoorlog van de afgelopen 15 jaar.

Voor een groot deel is de AVG aanscherpen van de regels uit de huidige wetgeving. Dat echt alles verboden zou worden, is dan ook een tikje overtrokken. De angel daar zit hem er vooral in dat je uitgewerkt moet hebben waarom je doet wat je doet. Onderbouw maar eens waarom je een belang hebt bij het vergaren van iemands gegevens, en laat maar zien hoe je die toestemming hebt gevraagd die specifiek deze handeling toestaat. Je moet dit per verwerking(!) in een intern register bijhouden zodat na te zoeken is waarom je dingen doet.

Sommige dingen zijn wel nieuw. Privacy by design staat nu als harde ontwerpeis in de wet, en moet dus meegenomen zijn in elk traject om tot nieuwe informatiesystemen te komen. Bij elk scherm aangeven waar de privacy een rol speelt en wat daarover is besloten. Keuzes motiveren waarom het niet een onsje minder kon met die persoonsgegevens die je hier ziet. En aan de achterkant waarom de security op orde is.

Ah ja, security. Steeds belangrijker maar weinig méér daarover in de wet. Zorg er voor dat je het op orde hebt en dat je dat kunt aantonen. Inclusief je proces om datalekken op te sporen en te melden bij de toezichthouder (en meestal ook betrokkenen). En oh ja, ook dat moet in een intern register worden gedocumenteerd.

Veel registratie dus. Verwerkingen, datalekken, security en je designkeuzes ten aanzien van privacy. Wie gaat dat beheren? Een privacy officer oftewel functionaris gegevensbescherming is niet verplicht onder de AVG (tenzij je overheid bent, met bijzondere persoonsgegevens werkt of structureel aan tracking of besnuffelen doet) maar kan wel een goed idee zijn. In ieder geval totdat je organisatie gewend is aan de nieuwe wet.

En dat is uiteindelijk waar de pijn zit met de AVG. Dit is niet een nieuwe wet die een kwestie is van wat extra vinkjes, je privacyverklaring nieuwe terminologie geven en een Excelsheet met daarin de nieuwsbrief en de klantenadministratie genoemd bij wijze van register. Het vereist een nieuwe manier van denken, van omgaan met persoonsgegevens. Waarom hebben we die, kan het niet wat minder en hoe borgen we dat alles goed blijft verlopen? Wie denkt dat hij er zonder kleerscheuren vanaf komt met alleen die Excel erbij en wat klusjes voor Juridische Zaken, gaat het voelen.

Vandaar dat ik steeds zeg dat dit de belangrijkste wet gaat worden voor de komende 15 jaar. We hebben sinds ongeveer 2000 geworsteld in de ICT-rechtspraktijk met de botsing tussen auteursrecht en ondernemen, van notice/takedown tot aansprakelijkheid van tussenpersonen daarvoor. Ook het merkenrecht (denk domeinnaam) was natuurlijk een belangrijke bron van conflicten. Die strijd is wel zo’n beetje voorbij, maar was zo tekenend dat je veel kantoren zag die zich IE/ICT kantoren zijn gaan noemen. Vandaag de dag zou ik eerder Privacy/ICT kantoren verwachten.

Als laatste: nee, er komt geen overgangsrecht vanaf 25 mei. We zitten namelijk al in het overgangsrecht, dat twee jaar duurt. Daarvan zijn dus nog 255 dagen over. Dus wie nog niet begonnen is: heel veel sterkte met het halen van de deadline.

Arnoud

Valt iedere bit straks onder de Privacyverordening?

| AE 9642 | Privacy | 27 reacties

Naar aanleiding van de recente vraag of een klassenfoto privacygevoelig is, kreeg ik diverse opmerkingen onder meer via Twitter:

Net als het getal 098773557 . Want misschien een bsn. Het AVG virus noem ik dat, elk stukje data wordt er uiteindelijk door besmet.

De Privacyverordening als virus, het moet niet gekker worden. Maar ik snap de zorg, want inderdaad kunnen heel wat brokjes informatie persoonsgegevens zijn, zeker met de nieuwe, brede definitie van dat begrip die we vanaf 25 mei gaan krijgen.

Ik geloof onmiddellijk dat het getal 098773557 ergens een persoonsidentificatie is, maar die definitie is echter niet zo breed dat een sequentie van tekens een persoonsgegeven is enkel omdat het ergens gekoppeld zou kunnen zijn aan een persoon.

Waar het om gaat, is of het getal of andere sequentie met redelijke inspanning te herleiden is tot een persoon. Dat hoeft niet perse door jou te kunnen, het gaat erom of objectief gezien die herleiding mogelijk is. Een IP-adres is daarom dus al snel een persoonsgegeven: via de internetprovider is het te herleiden tot de natuurlijke persoon die abonnee is. Dat die provider daar niet snel aan meewerkt, doet er niet toe. Het is eenvoudig genoeg.

Voor mij gaat het mis bij het genoemde getal: ik heb geen idee hoe ik van daar moet komen tot een persoon, op welke wijze dan ook. Dat ergens iemand dat als sleutel in een lijst heeft, zal best – maar hoe weet ik wie die lijst heeft?

Je zou een redelijke aanname kunnen doen dat een groot bedrijf zoals Shell haar personeel personeelsnummers geeft, en dat 098773557 dan een geldig nummer is. Of een CRM-pakket blijkt met dergelijke identifiers te werken, en je weet een aantal bedrijven te noemen die dat gebruiken en dus (zo mag je vermoeden) iemand hebben als klant of personeel met dat nummer.

Dan blijf je echter terugkomen bij het feit dat met dit nummer wel op een of andere manier bedoeld moet zijn om te wijzen naar die persoon. Waar blijkt dat uit? De tweet in dit voorbeeld geeft nergens enige hint van een persoon wiens bsn dit zou moeten zijn. Daarmee gaat de herleidbaarheid dus al heel snel mis.

Als meneer had getwitterd “Net als het getal 098773557 – ID van een klant van me – …”, dan zou ik het misschien wel een persoonsgegeven noemen. Hij kan dan immers het ID herleiden tot die klant, en dat maakt objectief gezien het gegeven inderdaad persoonlijk. Die tweet wordt daarmee dan in feite giftig afval, en je zou hem dan als een datalek kunnen zien.

Specifiek bij zo’n voorbeeld zou je denk ik het getal nog wel mogen retweeten en betrekken in discussie. De informatievrijheid zou in zo’n geval namelijk ook meewegen, en de kans op identificatie en schade is vrij klein, dus in de belangenafweging onder de AVG kom je denk ik al snel bij een rechtvaardiging uit.

Arnoud

Wat moet je onder de AVG doen met ongewenst verkregen persoonsgegevens?

| AE 9579 | Privacy | 16 reacties

Een lezer vroeg me: Af en toe krijgen wij als PC-reparateurs per mail allerlei persoonlijke informatie van klanten gemaild, ongevraagd. Denk aan een verslag wat er misging, maar soms ook medische of andere gevoelige gegevens. Soms zelfs van collegabedrijven die ons als tweedelijns ondersteuning inschakelen. Dat is een probleem onder de AVG, want die mail… Lees verder