Mijn mailadres was fout en de webwinkel stuurt me nu incassokosten!

| AE 11390 | Ondernemingsvrijheid | 9 reacties

Een lezer vroeg me:

Een tijd geleden had ik wat besteld bij een webwinkel, maar kennelijk een typefout in mijn mailadres gemaakt. Het bestelde is geleverd, en nu twee maanden later krijg ik een brief van een incassobureau of ik even de prijs plus incassokosten wil betalen, anders gaan ze dagvaarden. Het klopt dat ik had gekozen voor achterafbetalen, en toen ik belde met de winkel bleek inderdaad dat het mailadres fout was en dat ik daarom de herinneringen per mail niet gehad heb. Maar moet ik nu zomaar de incassokosten betalen?

Een verkeerd mailadres invullen is in principe jouw risico, net als iets op een onjuist adres laten bezorgen. Een webwinkel kan niet weten dat dit niet jouw adres is. Maar het is in zoverre raar dat accounts normaal worden geverifieerd (klik op deze link om je account te bevestigen) zodat dit niet zomaar moet gebeuren. Ik ben dus verrast dat dat hier niet gebeurt.

Dat gezegd hebbende, de juridische vraag komt neer op wanneer een winkel incassokosten mag (laten) rekenen bij een niet-reagerende consument. Dat is sinds een paar jaar apart wettelijk geregeld: je moet een aanmaning krijgen met daarin een termijn van veertien dagen (art. 6:96 lid 6 BW), en pas daarna mogen kosten worden gerekend. Zo te lezen is dat hier niet gebeurd, de eerste brief van het incassobureau was gelijk mét incassokosten. Dat mag dus niet.

Het lijkt er echter op dat een dergelijke veertiendagenbrief ook per mail mag. Het is geen ingebrekestelling die schriftelijk moet, en de wetgever heeft nergens bij invoering van dit wetsartikel een schriftelijkheidseis ingevoerd. Het is dus mogelijk dat het incassobureau ook die veertiendagenbrief per mail heeft gestuurd, met dus precies hetzelfde effect als de eerdere herinneringen: nooit aangekomen.

Hoofdregel uit de wet is dat wie een bericht verstuurt, moet bewijzen dat het is aangekomen. Bij mail valt dat niet mee, tenzij je met trackers gaat werken of mensen naar zo’n portaal stuurt waar mensen moeten inloggen om het eigenlijke bericht te zien. Dat is hier niet het geval. Ik zou er dus naar neigen te zeggen dat de veertiendagenbrief niet is aangekomen zodat geen incassokosten mogen worden gerekend.

Het enige tegenargument volgt uit art. 3:37 lid 3 BW:

Nochtans heeft ook een verklaring die hem tot wie zij was gericht, niet of niet tijdig heeft bereikt, haar werking, indien dit niet of niet tijdig bereiken het gevolg is van zijn eigen handeling, van de handeling van personen voor wie hij aansprakelijk is, of van andere omstandigheden die zijn persoon betreffen en rechtvaardigen dat hij het nadeel draagt.

Je zou hier dan zeggen dat de typefout een “eigen handeling” is waardoor het bericht niet aan kon komen, of dat dit een “omstandigheid zijn persoon betreffende” oplevert. Ik zie die ergens wel, jij máákt de typefout. Maar het is zo gebruikelijk om mailadressen te verifiëren dat ik daar wel moeite mee heb.

Daar komt bij dat je normaal een foutmelding krijgt als mail niet aankomt, zodat de afzender wéét dat hier een typefout was. Dan zou ik het raar vinden dat deze achterover kan zitten en incassokosten kan gaan vragen. Helemaal als je bedenkt dat wanneer de mail wél aankomt en de ontvanger deze negeert, de afzender niet kan bewijzen dat deze is aangekomen en dan géén incassokosten mag vangen. Dat voelt zo oneerlijk dat ik zeg: ondanks deze typefout mogen geen incassokosten worden gerekend.

Arnoud

Hoe lang mag je je zakelijke e-mail bewaren onder de AVG?

| AE 11208 | Ondernemingsvrijheid, Privacy | 34 reacties

Een lezer vroeg me:

Je leest natuurlijk veel over bewaartermijnen onder de AVG. Sommige kun je gewoon opzoeken, zoals de bewaartermijnen van facturen, maar bij andere dingen is dat lastiger. Met name bij e-mail kom ik er niet uit: hoe lang mag je die nu bewaren?

De AVG stelt als een van haar beginselen dat je persoonsgegevens niet langer mag bewaren dan nodig voor het doel waarvoor je ze inzet. Er is dus eigenlijk geen bewaarplicht maar een vernietigplicht-tenzij. Motiveer maar waarom deze mail nog niet door de shredder is, anders mag ie per direct alsnog weg.

De vraag hoe lang je een bepaalde soort persoonsgegevens nodig hebt, is niet in algemene zin te beantwoorden. Al helemaal niet bij mail. Sommige mails kunnen eigenlijk direct weg (“wat was je 06 ook weer”), andere mails wil je langer bewaren (“top werk dit, niets op aan te merken”) en weer andere mails móet je bewaren (“hierbij ga ik akkoord met uw offerte”).

Ik durf de stelling dan ook wel aan dat wie het heeft over “bewaartermijnen van e-mail” zijn zaakjes niet goed op orde heeft. E-mail is geen aparte categorie verwerkingen, het is een middel om persoonsgegevens te transporteren. Daar boven onderscheid je pas die categorieën: kattebelletjes, memo’s, informatieve berichten, formele dossiercorrespondentie, rechtshandelingen, verzin ze maar. En voor díe categorieën kun je bewaartermijnen (oké, wistermijnen) vaststellen.

Het ingewikkelde is denk ik vooral dat de meeste mensen dat onderscheid in soorten mails niet maken. E-mail is je inbox, en wie ouderwets is heeft er nog mapjes onder zitten. En daar zitten de offertes, aansprakelijkheidsstellingen, complimentjes en gebabbel gewoon gezellig naast elkaar. Vanuit dat perspectief wil je alle mails dus als één categorie behandelen natuurlijk. Maar ik denk dat dat niet kan.

Vanuit AVG oogpunt is het denk ik onvermijdelijk om voor zakelijke mails over te stappen naar een CRM systeem, waarbij je mails koppelt aan categorieën. Offerte, aanvaarding, factuur, dispuut, en ga zo maar door. Voor die categorieën kun je dan bewaartermijnen bepalen.

De enige uitweg die ik kan bedenken, is dat je een relatief korte bewaartermijn kiest die voor alle soorten mails die je hebt, redelijk is. Dan zeg je, voor het werkproces e-mail geldt een bewaartermijn van zeg zes maanden omdat we zo operationeel nu eenmaal werken en dit niet anders kan zonder enorme kosten. Het is te ingewikkeld voor ons om dan per klant of per mail terug te gaan en dingen te wissen. Daarom wissen we álle mail na zes maanden, en echt belangrijke zaken bewaren we geselecteerd in een apart klantdossier of archief.

Wie denkt dat hij met meer dan zes maanden wegkomt, ik hoor het graag.

Arnoud

Mag een bedrijf mijn mail tracken vanwege een wettelijke plicht?

| AE 10833 | Ondernemingsvrijheid, Privacy | 22 reacties

Een lezer vroeg me:

Mag een bedrijf via email zonder toestemming tracken of je de email opent en of op een link klikt om te voldoen aan een wettelijke verplichting die op het bedrijf rust?

Het klinkt als een makkelijke vraag: als een bedrijf iets moet van de wet, dan mag men dat ook van de AVG. De AVG is als ‘algemene’ wet namelijk in principe altijd ondergeschikt aan andere wetten.

Het punt is alleen, er is bij mijn weten geen enkele wet die eist dat een bedrijf nagaat of een werknemer (of een klant) een mail geopend heeft. Ik kan de opmerking van “wettelijke verplichting” dus niet plaatsen.

Ik denk dat het bedrijf dit zo zegt omdat ze moeten bewijzen dat een bericht is aangekomen. Denk aan een aanzegging voor een niet-verlengd arbeidscontract, een bevestiging van een online aankoop of een formele waarschuwing. Het tracken van de e-mail en loggen dat een daarin opgenomen link is aangeklikt, geeft daarvoor voldoende bewijs.

Echter, dat iets effectief is onder wet A betekent nu net nog niet dat het onder de AVG ineens mag. De AVG is dus ondergeschikt, maar een gekozen maatregel om een andere wet na te leven moet wel noodzakelijk zijn om die wet na te leven. De vraag is dus altijd: is dit echt de enige manier, kan het niet een onsje minder privacyonvriendelijk?

Er zijn vele manieren om een bericht te doen aankomen en daar bewijs van te krijgen. Daarmee is “ik moet bewijzen dat je dit bericht hebt gehad” op zich dus géén excuus voor privacyonvriendelijke tracking. Grofweg zou dit alleen kunnen als dit de énige reële manier is om te bewijzen dat het bericht is ontvangen. Maar ik moet de eerste situatie nog tegenkomen waarin dat werkelijk zo is.

Arnoud

Mogen loonstroken onder de AVG nog gewoon per e-mail als pdf?

| AE 10454 | Privacy | 42 reacties

Een lezer vroeg me: Als administratiekantoor verzorgen wij onder meer salarisadministratie voor medewerkers. De loonstroken sturen wij dan per mail met in de bijlage de pdf met de informatie. Mogen we dit onder de AVG blijven doen, of moeten we het versleutelen of op een portaal aanbieden? Onder de AVG gaat er veel veranderen, maar… Lees verder

Hoe verboden is een spambericht van een relatie in je WhatsApp?

| AE 10379 | Privacy | 10 reacties

Een lezer vroeg me: Met enige regelmaat krijg ik van zakelijke relaties ongevraagd commerciële berichtjes in mijn WhatsApp. Dat varieert van uitnodigingen voor congressen tot gepushte nieuwe boeken, maar ook wel een verzoek eens een kop koffie te doen om te kijken wat we in 2018 voor elkaar kunnen betekenen. Valt dat eigenlijk onder het… Lees verder

Wanneer mogen wij de mailbox van een werknemer van een klant openen?

| AE 9818 | Privacy | 10 reacties

Een lezer vroeg me: Mijn bedrijf verzorgt hosted e-mail en calendaring diensten, en wij beheren dan ook de mailboxen van medewerkers van onze klanten. Soms krijgen wij de vraag van een klant om een mailbox te openen, bijvoorbeeld omdat iemand uit dienst is of omdat er een geschil is. Wanneer mogen wij dit toestaan? Vaste… Lees verder

Hoe rechtsgeldig is e-mail in communicatie met de overheid?

| AE 9636 | Privacy | 14 reacties

Heeft de Hoge Raad ineens e-mail rechtsgeldig verklaard, kreeg ik van diverse mensen als vraag. Recent wees men arrest in een zaak over parkeerheffingen, waarbij een bezwaarschrift per e-mail mocht worden ingediend. Dat kun je lezen als “e-mail is rechtsgeldig”, wat ze bijvoorbeeld bij MR doen, maar het ligt volgens mij iets subtieler. E-mail is… Lees verder

Is e-mail nou wel of niet veilig genoeg voor communicatie van basale persoonsgegevens?

| AE 9042 | Privacy, Security | 38 reacties

Een lezer vroeg me: Ik heb een discussie met het waterbedrijf. Zij mailen mij met allerlei informatie, maar nemen elke keer ook naam, adres, klantnummer en dergelijke van mij op. Laatst stuurden ze zelfs mijn bankrekeningnummer in een mail. Op mijn vraag hoe dat zit met bescherming van persoonsgegevens, zei men dat e-mail buiten haar… Lees verder