Belgische boete voor nieuwsbrief die dacht een servicebericht te zijn

| AE 13316 | Ondernemingsvrijheid, Privacy | 13 reacties

LadyBB / Pixabay

De Belgische Gegevensbeschermingsautoriteit heeft een boete van 10.000 euro uitgedeeld aan de spoorwegmaatschappij NMBS. Dat meldde Tweakers donderdag. De NMBS had zonder aanleiding een nieuwsbrief verstuurd, en roepen dat “dat de nieuwsbrief noodzakelijk was voor het waarborgen voor de ‘sanitaire veiligheid’ van treinreizigers” was daarbij geen argument.

De toezichthouder was een onderzoek gestart naar aanleiding van een klacht op Twitter (kom daar eens om in Nederland). De gebruiker had in 2020 een nieuwsbrief van de Spoorwegen gehad over de Hello Belgium Railpass, een initiatief waarmee iedere Belg van twaalf jaar of ouder twaalf gratis treinritten mag maken. Kennelijk kreeg iedereen die deze kaart had gehad, extragratis ook de nieuwsbrief.

Dat gebeurt veel, maar is juridisch eigenlijk niet in de haak. Nieuwsbrieven (zeker met commerciële inslag) vereisen toestemming, en alleen bij betalende klanten kun je werken op basis van opt-out – mits deze op het bestelformulier al wordt aangeboden. Dat is dus, en ik zeg het nog even voor al die webwinkeliers achterin, nadrukkelijk NIET hetzelfde als “in elke nieuwsbrief zit een opt-out”.

De NMBS had een andere truc gevonden, namelijk de grondslag noodzaak uitvoering overeenkomst. In het jargon heet dit het ‘servicebericht’, mensen op de hoogte houden van dingen rondom hun bestelling, inschrijving et cetera. Natuurlijk mag je dat sturen zonder aparte opt-in. Ik krijg dan ook wekelijks mails van handige jongens die “even willen checken” of hun mail kan tellen als ‘servicebericht’ of willen weten hoe veel procent reclame er in een servicebericht mag. Inderdaad, “we zijn druk bezig met je bestelling” gevolgd door drie pagina’s reclame. Nee.

Het was volgens verweerder bovendien noodzakelijk dat de e-mails verzonden werden gezien de precaire situatie op dat moment, waarbij een tweede golf in de Covid-19-epidemie in België op komst was en een ieder derhalve extra alert moest zijn teneinde de veiligheid in de treinen de kunnen waarborgen. Om de reizigers tijdig te bereiken was NMBS derhalve genoodzaakt om de aanvragers de nieuwsbrief per e-mail toe te sturen. De disclaimer van de e-mail bevatte volgens verweerder duidelijke informatie over het beoogde doel van de e-mail, namelijk het informeren van de reizigers over de manier waarop de Railpass zo correct en optimaal mogelijk gebruikt diende te worden.
Natuurlijk was het in die tijd even extra risicovol om met OV te reizen, maar laten we de nieuwsbrief er even bij pakken:
(i) “Herontdek meer dan 500 bestemmingen in België” vergezeld van een knop ‘Vind inspiratie’; (ii) “MoveSafe-app: jouw veiligheid” vergezeld van een knop ‘Download de app’ (iii) “Klaar voor je eerste reis?”; (iv) “Nog vragen? Raadpleeg onze FAQ over het gebruik van je Hello Belgium Railpass”, vergezeld van een knop ‘Bekijk de voorwaarden’; (v) De mededeling “We wensen je leuke reizen toe met je Hello Belgium Railpass!”; (vi) Disclaimer.
En wat lezen we dan onder punt (i):
Bijna 3,6 miljoen Belgen hebben een Hello Belgium Railpass aangevraagd. Gelijk hebben ze! Je moet natuurlijk in alle veiligheid op ontdekkingstocht kunnen gaan in ons land. Laat je inspireren door onze blogs die overlopen van ideeën om op citytrip te vertrekken, op stap te gaan in de natuur, met familie of met vrienden… Je vindt in België voor elk wat wils!
Ik heb al jaren een vuistregel over serviceberichten: je stuurt ze eigenlijk liever niet. Sorry, dit weekend onderhoud. Uw pakket is vertraagd. We hebben geen geitenmelk deze week. Op uw mijn onze taal punt nl staat de factuur voor u klaar. Maar “Je vindt in België voor elk wat wils” kan ik met geen mogelijkheid rechtvaardigen binnen die vuistregel.

De Belgische toezichthouder ook niet. Heel misschien was er wat mogelijk geweest op grond van eigen gerechtvaardigd belang, maar (a) dat was niet vooraf in de privacyverklaring zo uitgewerkt en (b) er was geen opt-out aangeboden zoals artikel 21 AVG wel eist.

Moraal van het verhaal: serviceberichten laat je niet door de marketingafdeling schrijven maar door een chagrijnige senior magazijnmedewerker. Marketing werkt met toestemming, en anders niet.

Arnoud

Wanneer is mijn reclamemail voor “gelijksoortige” producten toegestaan zonder opt-in?

| AE 12531 | Ondernemingsvrijheid, Regulering | 12 reacties

Een lezer vroeg me:

Ik heb een webwinkel en wil meer reclame maken. Nu las ik dat je daarvoor normaal toestemming nodig hebt, maar niet als je “soortgelijke” producten adverteert aan je klant. Wanneer is het volgens de wet “soortgelijk”?
Voor veel ondernemers is deze uitzondering interessant, omdat het verzamelen van toestemming voor reclame toch vaak best pittig blijkt. Maar het is een heel beperkte, en ik denk dat je er weinig aan hebt. Zeg ik maar even vooraf.

De wet (art. 11.7 Telecommunicatiewet) staat toe om klanten (dus mensen die jou betalen) reclame te sturen zonder opt-in als het gaat om “eigen gelijksoortige producten of diensten” volgens de wet. Er is nooit een rechtszaak geweest waarin definitief hét criterium is toegelicht. Dat is ergens ook wel logisch, want wat zou dat dan moeten zijn in het algemeen? Je komt dan niet verder dan synoniemen voor die term.

De ACM heeft in haar richtsnoeren gezegd dat je vooral moet kijken naar de verwachting van de ontvanger: zou die gek opkijken als hij voor dát product reclame krijgt gezien zijn bestelling? Dat vind ik wel een mooie. Het idee van “gelijksoortig” is immers dat je iets relevants, iets logischerwijs erbij horends meestuurt.

In de Memorie van toelichting van de wet is gezegd dat je ook moet meewegen wat er is gecommuniceerd, hoe de winkel zich presenteert. Ben ik een brillenwinkel dan is reclame voor schoenen raar, ben ik de Bijenkorf dan kan het wel. Dan gaat het immers om mode in het algemeen, en bij een bril is een bijpassend paar schoenen niet zo raar als advies in een modewinkel.

De angel zit hem bij deze constructie in een ander aspect: je mag weliswaar zonder toestemming mailen, maar je moet het bij de bestelling hebben gemeld op het formulier en een áfmeldmogelijkheid (optout) hebben geboden. Dus na een paar jaar bedenken “ik wil meer reclame maken” is gewoon niet genoeg, je hebt dan nooit mensen dit gezegd laat staan ze een afmeldmogelijkheid gegeven. En dan kun je je niet op deze uitzondering beroepen.

Deze uitzondering is dan weer wel de reden waarom de “Ik wil de nieuwsbrief ontvangen”-aanvinkvakjes vooraf aangevinkt mogen zijn bij bestelformulieren. Het weghalen van dat vinkje is dan de opt-out.

Arnoud

Wat mag je nog met tracking pixels tegenwoordig?

| AE 11460 | Privacy | 25 reacties

orgverzekeraars maken gebruik van omstreden tracking-software die is verstopt in e-mails aan klanten, zo meldde Radio 1 onlangs. Deze reportage was een vervolg op eerdere berichten dat onderwijsdienst DUO trackers gebruikte om te zien of studenten hun mail wel lazen, zonder dit te melden. Dat zou in strijd zijn met de AVG. DUO is ermee gestopt, de door Reporter Radio onderzochte zorgverzekeraars gaan hun privacyverklaring aanpassen maar lijken niet te stoppen. Wat dus de vraag oproept, mag dat nu wel of niet van de AVG?

Een tracking pixel is een al wat oudere truc om te achterhalen of iemand je mailbericht heeft gelezen, althans opengeklikt. Er zit dan een plaatje van 1 bij 1 pixel in de mail, en je mailprogramma haalt dat plaatje op net zoals andere afbeeldingen. Dat valt jou als lezer niet op want het is maar 1×1 pixel en bovendien wit of transparant. Maar bij het ophalen wordt je IP-adres geregistreerd, en de bestandsnaam is uniek voor jou als ontvanger zodat de afzender kan zien dat deze pixel vanuit jouw mailbericht is opgevraagd. Dat is dan het bewijs dat jij die mail hebt geopend.

In deze context is dat IP-adres een persoonsgegeven, of iets preciezer: die unieke bestandsnaam in combinatie met IP-adres en datum plus tijd van opvraging is het persoonsgegeven “persoon ed@example.com heeft de mail opengeklikt”. En dan is de AVG van toepassing.

Onder de AVG moet je allereerst een grondslag hebben. Dat zal gewoonlijk het eigen gerechtvaardigd belang moeten zijn, want toestemming vraagt geen hond en echt noodzakelijk voor een overeenkomst is het niet. Welke nieuwsbrief is zo belangrijk dat je moet moet moet weten dat deze aangekomen is? Maar een eigen belang – marketing en statistieken – dat zie ik wel. Daar staat dan natuurlijk het privacybelang van de ontvanger tegenover, maar wanneer je de vastlegging uitsluitend gebruikt voor algemene statistieken (deze truc geeft 5% meer opens, in België leest slechts 20% onze nieuwsbrief) dan denk ik dat het marketingbelang wint.

Wel moet je duidelijk informeren over de tracking. Dat zal op zijn minst in de privacyverklaring moeten gebeuren. Maar eigenlijk denk ik dat het duidelijker moet dan dat – een zin bij het “inschrijven voor de nieuwsbrief” formulier, en misschien zelfs wel een zin in de mail zelf. Hoewel dat laatst eigenlijk wat laat is, de tracking pixel is dan al ingeladen. Ook moet er een opt-out (bezwaar) mogelijkheid zijn. Dat mensen zelf blockers kunnen installeren, is wat mager. Je zult mensen dat dan uit moeten leggen. Maar ik denk dat je dan een heel eind komt.

Oh ja, dan is er ook nog de Telecommunicatiewet die in tegenstelling tot wat de Volkskrant zegt wél geldt voor tracking pixels. Er wordt immers een pixel op je computer gezet. Dat “de registratie gebeurt op de server van de afzender” is niet relevant, de Telecomwet gaat niet over waar persoonsgegevens worden verwerkt maar of er data op randapparatuur wordt opgeslagen. Maar het gaat desondanks goed, omdat dergelijke simpele analytics vallen onder de Nederlandse uitzondering op de cookiewet. Dit schendt niet of nauwelijks de privacy en is bedoeld om de effectiviteit van een geleverde dienst te meten. Dan is er geen toestemming nodig.

Dus onder de streep kom ik uit bij een kopje in de privacyverklaring “nieuwsbrief en volgsysteem” waaronder je uitlegt dat je tracking toepast, welke gegevens je vastlegt daarvoor en hoe mensen dit tegen kunnen houden. Toestemming vragen is niet nodig.

Voor DUO ligt dat anders. Dat is een overheidsinstantie, dat die mails verstuurt in de uitoefening van haar publieke taak. In dat geval is zij niet bevoegd de grondslag van het eigen gerechtvaardigd belang in te roepen – zij moet een wettelijke grondslag hebben om dit te mogen doen. En die is er niet.

Arnoud

Mag een vereniging haar leden ongevraagd mailings toesturen?

| AE 11162 | Regulering | 7 reacties

Via Twitter: Databank en nieuwsbrief NOvA Tuchtrecht Updates gelanceerd en verplichte nieuwsbrief. Inderdaad, de Orde van Advocaten verzorgt elke twee weken een nieuwsbrief met tuchtrechtelijke uitspraken, iets waar advocaten ongetwijfeld meer over willen weten. Maar het verbaast wel dat er geen opt-in wordt gevraagd, zomaar nieuwsbrieven sturen is juridisch gezien een tikje twijfelachtig zal ik… Lees verder

Moet ik voor de AVG al mijn opt-ins opnieuw om toestemming vragen voor de nieuwsbrief?

| AE 10433 | Privacy | 28 reacties

Een lezer vroeg me: Ik heb al jaren goedlopende nieuwsbrieven, waar ik aan verdien met affiliatelinks. Ik heb altijd netjes confirmed opt-in gehanteerd, maar ik lees nu overal dat toestemming on der de AVG veel strenger wordt. Ook zou er geen coulanceregeling zijn voor bestaande opt-ins. Klopt dat? Moet ik echt al mijn opt-ins opnieuw… Lees verder

Mag je mensen nog verplicht op nieuwsbrieven laten abonneren onder de Privacyverordening?

| AE 9508 | Privacy | 25 reacties

Een lezer vroeg me: Is het straks onder de Privacyverordening (AVG of GDPR) nog toegestaan om gratis e-book of deelname aan een quiz of iets dergelijks te koppelen aan een verplichte opt-in voor een nieuwsbrief? Het is een populaire manier van nieuwsbriefbuilding: bied een ebook of factsheet of andere interessante download aan, maar alleen nadat… Lees verder

Acht ton boete voor reclamemails wegens ontoereikende toestemming

| AE 7011 | Privacy | 4 reacties

De Autoriteit Consument & Markt (ACM, voorheen OPTA) heeft acht ton boete opgelegd aan affiliatenetwerk Daisycon voor haar betrokkenheid bij het op grote schaal versturen van spamberichten. Het bedrijf had tussen oktober 2009 en juli 2011 enkele miljoenen reclamemails verstuurd op basis van de bekende zin “aanbiedingen van dit bedrijf en (geselecteerde) partners”. En de… Lees verder

Mag een werkgever zijn werknemers op een nieuwsbrief inschrijven?

| AE 6322 | Ondernemingsvrijheid, Privacy | 6 reacties

Een lezer vroeg me: Mag een werkgever zijn werknemer op nieuwsbrieven van derden inschrijven? Bij mijn bedrijf krijg ik wekelijks een nieuwsbrief die korting biedt op kunst, cultuur en entertainment. Ik heb me hier niet voor opgegeven, maar mijn werknemerwerkgever heeft iedereen tegelijk hiervoor ingeschreven. Is dat legaal? Wanneer het gaat om werkgerelateerde zaken, heeft… Lees verder