Belgische boete voor nieuwsbrief die dacht een servicebericht te zijn

LadyBB / Pixabay

De Belgische Gegevensbeschermingsautoriteit heeft een boete van 10.000 euro uitgedeeld aan de spoorwegmaatschappij NMBS. Dat meldde Tweakers donderdag. De NMBS had zonder aanleiding een nieuwsbrief verstuurd, en roepen dat “dat de nieuwsbrief noodzakelijk was voor het waarborgen voor de ‘sanitaire veiligheid’ van treinreizigers” was daarbij geen argument.

De toezichthouder was een onderzoek gestart naar aanleiding van een klacht op Twitter (kom daar eens om in Nederland). De gebruiker had in 2020 een nieuwsbrief van de Spoorwegen gehad over de Hello Belgium Railpass, een initiatief waarmee iedere Belg van twaalf jaar of ouder twaalf gratis treinritten mag maken. Kennelijk kreeg iedereen die deze kaart had gehad, extragratis ook de nieuwsbrief.

Dat gebeurt veel, maar is juridisch eigenlijk niet in de haak. Nieuwsbrieven (zeker met commerciële inslag) vereisen toestemming, en alleen bij betalende klanten kun je werken op basis van opt-out – mits deze op het bestelformulier al wordt aangeboden. Dat is dus, en ik zeg het nog even voor al die webwinkeliers achterin, nadrukkelijk NIET hetzelfde als “in elke nieuwsbrief zit een opt-out”.

De NMBS had een andere truc gevonden, namelijk de grondslag noodzaak uitvoering overeenkomst. In het jargon heet dit het ‘servicebericht’, mensen op de hoogte houden van dingen rondom hun bestelling, inschrijving et cetera. Natuurlijk mag je dat sturen zonder aparte opt-in. Ik krijg dan ook wekelijks mails van handige jongens die “even willen checken” of hun mail kan tellen als ‘servicebericht’ of willen weten hoe veel procent reclame er in een servicebericht mag. Inderdaad, “we zijn druk bezig met je bestelling” gevolgd door drie pagina’s reclame. Nee.

Het was volgens verweerder bovendien noodzakelijk dat de e-mails verzonden werden gezien de precaire situatie op dat moment, waarbij een tweede golf in de Covid-19-epidemie in België op komst was en een ieder derhalve extra alert moest zijn teneinde de veiligheid in de treinen de kunnen waarborgen. Om de reizigers tijdig te bereiken was NMBS derhalve genoodzaakt om de aanvragers de nieuwsbrief per e-mail toe te sturen. De disclaimer van de e-mail bevatte volgens verweerder duidelijke informatie over het beoogde doel van de e-mail, namelijk het informeren van de reizigers over de manier waarop de Railpass zo correct en optimaal mogelijk gebruikt diende te worden.
Natuurlijk was het in die tijd even extra risicovol om met OV te reizen, maar laten we de nieuwsbrief er even bij pakken:
(i) “Herontdek meer dan 500 bestemmingen in België” vergezeld van een knop ‘Vind inspiratie’; (ii) “MoveSafe-app: jouw veiligheid” vergezeld van een knop ‘Download de app’ (iii) “Klaar voor je eerste reis?”; (iv) “Nog vragen? Raadpleeg onze FAQ over het gebruik van je Hello Belgium Railpass”, vergezeld van een knop ‘Bekijk de voorwaarden’; (v) De mededeling “We wensen je leuke reizen toe met je Hello Belgium Railpass!”; (vi) Disclaimer.
En wat lezen we dan onder punt (i):
Bijna 3,6 miljoen Belgen hebben een Hello Belgium Railpass aangevraagd. Gelijk hebben ze! Je moet natuurlijk in alle veiligheid op ontdekkingstocht kunnen gaan in ons land. Laat je inspireren door onze blogs die overlopen van ideeën om op citytrip te vertrekken, op stap te gaan in de natuur, met familie of met vrienden… Je vindt in België voor elk wat wils!
Ik heb al jaren een vuistregel over serviceberichten: je stuurt ze eigenlijk liever niet. Sorry, dit weekend onderhoud. Uw pakket is vertraagd. We hebben geen geitenmelk deze week. Op uw mijn onze taal punt nl staat de factuur voor u klaar. Maar “Je vindt in België voor elk wat wils” kan ik met geen mogelijkheid rechtvaardigen binnen die vuistregel.

De Belgische toezichthouder ook niet. Heel misschien was er wat mogelijk geweest op grond van eigen gerechtvaardigd belang, maar (a) dat was niet vooraf in de privacyverklaring zo uitgewerkt en (b) er was geen opt-out aangeboden zoals artikel 21 AVG wel eist.

Moraal van het verhaal: serviceberichten laat je niet door de marketingafdeling schrijven maar door een chagrijnige senior magazijnmedewerker. Marketing werkt met toestemming, en anders niet.

Arnoud

Wanneer is mijn reclamemail voor “gelijksoortige” producten toegestaan zonder opt-in?

Een lezer vroeg me:

Ik heb een webwinkel en wil meer reclame maken. Nu las ik dat je daarvoor normaal toestemming nodig hebt, maar niet als je “soortgelijke” producten adverteert aan je klant. Wanneer is het volgens de wet “soortgelijk”?
Voor veel ondernemers is deze uitzondering interessant, omdat het verzamelen van toestemming voor reclame toch vaak best pittig blijkt. Maar het is een heel beperkte, en ik denk dat je er weinig aan hebt. Zeg ik maar even vooraf.

De wet (art. 11.7 Telecommunicatiewet) staat toe om klanten (dus mensen die jou betalen) reclame te sturen zonder opt-in als het gaat om “eigen gelijksoortige producten of diensten” volgens de wet. Er is nooit een rechtszaak geweest waarin definitief hét criterium is toegelicht. Dat is ergens ook wel logisch, want wat zou dat dan moeten zijn in het algemeen? Je komt dan niet verder dan synoniemen voor die term.

De ACM heeft in haar richtsnoeren gezegd dat je vooral moet kijken naar de verwachting van de ontvanger: zou die gek opkijken als hij voor dát product reclame krijgt gezien zijn bestelling? Dat vind ik wel een mooie. Het idee van “gelijksoortig” is immers dat je iets relevants, iets logischerwijs erbij horends meestuurt.

In de Memorie van toelichting van de wet is gezegd dat je ook moet meewegen wat er is gecommuniceerd, hoe de winkel zich presenteert. Ben ik een brillenwinkel dan is reclame voor schoenen raar, ben ik de Bijenkorf dan kan het wel. Dan gaat het immers om mode in het algemeen, en bij een bril is een bijpassend paar schoenen niet zo raar als advies in een modewinkel.

De angel zit hem bij deze constructie in een ander aspect: je mag weliswaar zonder toestemming mailen, maar je moet het bij de bestelling hebben gemeld op het formulier en een áfmeldmogelijkheid (optout) hebben geboden. Dus na een paar jaar bedenken “ik wil meer reclame maken” is gewoon niet genoeg, je hebt dan nooit mensen dit gezegd laat staan ze een afmeldmogelijkheid gegeven. En dan kun je je niet op deze uitzondering beroepen.

Deze uitzondering is dan weer wel de reden waarom de “Ik wil de nieuwsbrief ontvangen”-aanvinkvakjes vooraf aangevinkt mogen zijn bij bestelformulieren. Het weghalen van dat vinkje is dan de opt-out.

Arnoud

Wat mag je nog met tracking pixels tegenwoordig?

orgverzekeraars maken gebruik van omstreden tracking-software die is verstopt in e-mails aan klanten, zo meldde Radio 1 onlangs. Deze reportage was een vervolg op eerdere berichten dat onderwijsdienst DUO trackers gebruikte om te zien of studenten hun mail wel lazen, zonder dit te melden. Dat zou in strijd zijn met de AVG. DUO is ermee gestopt, de door Reporter Radio onderzochte zorgverzekeraars gaan hun privacyverklaring aanpassen maar lijken niet te stoppen. Wat dus de vraag oproept, mag dat nu wel of niet van de AVG?

Een tracking pixel is een al wat oudere truc om te achterhalen of iemand je mailbericht heeft gelezen, althans opengeklikt. Er zit dan een plaatje van 1 bij 1 pixel in de mail, en je mailprogramma haalt dat plaatje op net zoals andere afbeeldingen. Dat valt jou als lezer niet op want het is maar 1×1 pixel en bovendien wit of transparant. Maar bij het ophalen wordt je IP-adres geregistreerd, en de bestandsnaam is uniek voor jou als ontvanger zodat de afzender kan zien dat deze pixel vanuit jouw mailbericht is opgevraagd. Dat is dan het bewijs dat jij die mail hebt geopend.

In deze context is dat IP-adres een persoonsgegeven, of iets preciezer: die unieke bestandsnaam in combinatie met IP-adres en datum plus tijd van opvraging is het persoonsgegeven “persoon ed@example.com heeft de mail opengeklikt”. En dan is de AVG van toepassing.

Onder de AVG moet je allereerst een grondslag hebben. Dat zal gewoonlijk het eigen gerechtvaardigd belang moeten zijn, want toestemming vraagt geen hond en echt noodzakelijk voor een overeenkomst is het niet. Welke nieuwsbrief is zo belangrijk dat je moet moet moet weten dat deze aangekomen is? Maar een eigen belang – marketing en statistieken – dat zie ik wel. Daar staat dan natuurlijk het privacybelang van de ontvanger tegenover, maar wanneer je de vastlegging uitsluitend gebruikt voor algemene statistieken (deze truc geeft 5% meer opens, in België leest slechts 20% onze nieuwsbrief) dan denk ik dat het marketingbelang wint.

Wel moet je duidelijk informeren over de tracking. Dat zal op zijn minst in de privacyverklaring moeten gebeuren. Maar eigenlijk denk ik dat het duidelijker moet dan dat – een zin bij het “inschrijven voor de nieuwsbrief” formulier, en misschien zelfs wel een zin in de mail zelf. Hoewel dat laatst eigenlijk wat laat is, de tracking pixel is dan al ingeladen. Ook moet er een opt-out (bezwaar) mogelijkheid zijn. Dat mensen zelf blockers kunnen installeren, is wat mager. Je zult mensen dat dan uit moeten leggen. Maar ik denk dat je dan een heel eind komt.

Oh ja, dan is er ook nog de Telecommunicatiewet die in tegenstelling tot wat de Volkskrant zegt wél geldt voor tracking pixels. Er wordt immers een pixel op je computer gezet. Dat “de registratie gebeurt op de server van de afzender” is niet relevant, de Telecomwet gaat niet over waar persoonsgegevens worden verwerkt maar of er data op randapparatuur wordt opgeslagen. Maar het gaat desondanks goed, omdat dergelijke simpele analytics vallen onder de Nederlandse uitzondering op de cookiewet. Dit schendt niet of nauwelijks de privacy en is bedoeld om de effectiviteit van een geleverde dienst te meten. Dan is er geen toestemming nodig.

Dus onder de streep kom ik uit bij een kopje in de privacyverklaring “nieuwsbrief en volgsysteem” waaronder je uitlegt dat je tracking toepast, welke gegevens je vastlegt daarvoor en hoe mensen dit tegen kunnen houden. Toestemming vragen is niet nodig.

Voor DUO ligt dat anders. Dat is een overheidsinstantie, dat die mails verstuurt in de uitoefening van haar publieke taak. In dat geval is zij niet bevoegd de grondslag van het eigen gerechtvaardigd belang in te roepen – zij moet een wettelijke grondslag hebben om dit te mogen doen. En die is er niet.

Arnoud

Mag een vereniging haar leden ongevraagd mailings toesturen?

Via Twitter: Databank en nieuwsbrief NOvA Tuchtrecht Updates gelanceerd en verplichte nieuwsbrief. Inderdaad, de Orde van Advocaten verzorgt elke twee weken een nieuwsbrief met tuchtrechtelijke uitspraken, iets waar advocaten ongetwijfeld meer over willen weten. Maar het verbaast wel dat er geen opt-in wordt gevraagd, zomaar nieuwsbrieven sturen is juridisch gezien een tikje twijfelachtig zal ik maar zeggen. Toch denk ik dat er in deze situatie meer mag dan in het algemene geval van “bedrijf wil reclame sturen aan mogelijke klanten”.

De Nederlandse Orde van Advocaten (NOvA) lanceerde onlangs haar website Tuchtrecht Updates, met daarop uitspraken van alle tuchtcolleges voor de advocatuur gerangschikt naar onderwerp, instantie en datum. Daaraan gekoppeld een nieuwsbrief, want:

De NOvA vindt het voor een behoorlijke uitoefening van de praktijk belangrijk dat alle advocaten van deze uitspraken kennisnemen. Alle advocaten ontvangen daarom elke twee weken van Boom Juridisch per e-mail een nieuwsbrief met de meest relevante disciplinaire uitspraken. Zo bent u altijd op de hoogte van de belangrijkste tuchtrechtelijke ontwikkelingen.

Dat gaf dus wat boosheid, want hoezo stuurt men zonder voorafgaande opt-in aan de leden van deze organisatie zomaar nieuwsbrieven?

Of het netjes is, laat ik in het midden maar ik denk dat het juridisch wel mag. De regel dat nieuwsbrieven opt-in vereisen is gebaseerd op artikel 11.7 Telecommunicatiewet (het spamverbod) en dat is nadrukkelijk beperkt tot “ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden”. Andersoortige communicatie mag ongevraagd worden verstuurd.

Een nieuwsbrief met de laatste aanbiedingen is natuurlijk commerciële communicatie, maar een nieuwsbrief met relevant nieuws voor je vereniging vind ik echt een heel ander verhaal. Zeker als de Orde zich op het standpunt stelt dat je deze informatie gewoon moet weten als advocaat. Dan kom je op het niveau van de aankondiging van de ALV van de schaakvereniging of de melding van Ziggo dat dit weekend het internet eruit gaat voor werkzaamheden (het servicebericht). Daar is echt geen opt-in voor nodig.

Arnoud

Moet ik voor de AVG al mijn opt-ins opnieuw om toestemming vragen voor de nieuwsbrief?

Een lezer vroeg me:

Ik heb al jaren goedlopende nieuwsbrieven, waar ik aan verdien met affiliatelinks. Ik heb altijd netjes confirmed opt-in gehanteerd, maar ik lees nu overal dat toestemming on der de AVG veel strenger wordt. Ook zou er geen coulanceregeling zijn voor bestaande opt-ins. Klopt dat? Moet ik echt al mijn opt-ins opnieuw gaan halen?

Het klopt dat de AVG strenger is dan de huidige wet waar het gaat om toestemming, maar wie nu werkt met heldere, vrijwillig gegeven opt-ins voor nieuwsbrieven zal daar weinig last van hebben.

In de kern komt toestemming onder de AVG neer op een vrijwillige actieve handeling. Een vakje aanvinken, je e-mailadres invullen in een veld direct onder “Abonneren nieuwsbrief” en dergelijke zijn duidelijke actieve handelingen die mensen in volle vrijheid doen. Daarentegen zou een vinkje weghalen (wat we nu opt-out noemen) niet genoeg zijn, net als mensen een verplichte popup bieden waarna ze alleen verder kunnen na invullen mailadres.

Vereist is ook dat je specifiek en duidelijk hebt uitgelegd wat er gaat gebeuren na die handeling. Enkel om een e-mailadres vragen is dus niet genoeg, je moet er expliciet bij zetten dat dat mailadres geabonneerd gaat worden op de nieuwsbrief. Die bekende formulieren “vul uw mailadres in en download een ebook” zijn dus niet rechtsgeldig, omdat er niet bij staat dat je de nieuwsbrief(-ven) gaat ontvangen.

Een praktisch probleem kan zijn dat de AVG strenger is in de bewijslast. Je moet als afzender van zo’n nieuwsbrief kunnen bewijzen dat je ontvangers opt-in hebben gegeven. Weinig mensen hebben logbestanden van opt-ins op nieuwsbrieven. Maar dat hoeft ook niet. Als je kunt aantonen dat je hebt gewerkt met confirmed opt-in (dus een bevestigingslink mailen en pas na klikken daarop mensen inschrijven) dan staat voldoende vast dat mensen zich vrijwillig hebben ingeschreven.

Ingewikkelder wordt het onder de AVG voor nieuwsbriefinschrijvingen die gekoppeld zijn aan gratis downloads, zoals ebooks, whitepapers of webinars. De AVG vermeldt namelijk expliciet dat een afgedwongen toestemming niet mag, en toestemming voor iets niet-noodzakelijks verplichten bij afname van een dienst noemen ze als voorbeeld van afdwingen. Hier kom ik volgende week op terug.

Arnoud

Mag je mensen nog verplicht op nieuwsbrieven laten abonneren onder de Privacyverordening?

Een lezer vroeg me:

Is het straks onder de Privacyverordening (AVG of GDPR) nog toegestaan om gratis e-book of deelname aan een quiz of iets dergelijks te koppelen aan een verplichte opt-in voor een nieuwsbrief?

Het is een populaire manier van nieuwsbriefbuilding: bied een ebook of factsheet of andere interessante download aan, maar alleen nadat men het e-mailadres heeft ingevuld zodat daar de nieuwsbrief heengestuurd kan worden. (Zelfs mijn kantoor doet het.) Ook bij allerlei quizzen en tests zie je dit veel: vul je e-mailadres in om de resultaten te ontvangen, en dan krijg je meteen ook de nieuwsbrief.

Mag het straks nog? Toestemming onder de GDPR moet namelijk in vrijwilligheid worden gegeven, en zeggen “geef toestemming of anders geen ebook voor jou” klinkt niet als heel vrijwillig.

Expliciet uitgesloten is het niet. Het dichtst bij komt artikel 7.4 over toestemming:

Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.

Dit artikel verbiedt het dus niet, maar zegt wel “dit weegt zwáár mee bij de bepaling of het vrijwillig is”.

Bij de overeenkomst tot deelname aan een quiz of tot schenking van een ebook is het niet echt noodzakelijk ook de nieuwsbrief te ontvangen. De daarvoor geëiste toestemming valt dus onder artikel 7.4 en is dus verdacht. Je zou dan moeten zeggen, zó belangrijk is zo’n ebook of quiz nou ook weer niet, dus what’s the harm, zeker omdat je de nieuwsbrief op ieder moment weer kunt opzeggen. Dan zou uit die beoordeling toch komen dat de toestemming vrijwillig is gegeven.

Soms wordt wel verdedigd dat je zo’n nieuwsbrief mag sturen omdat de quizdeelnemer of ebookaanvrager een dienst bij je afneemt, en klanten mag je mailen zonder toestemming. Dat klopt in principe, maar “klant” is wel beperkt tot iemand die een betaalde dienst (of product) afneemt. Bij een gratis dienst is het dus überhaupt niet mogelijk je te beroepen op dit recht. Bovendien moet er voor of bij het doen van de bestelling een opt-out worden geboden, dus dat pakt ook onhandig uit: mensen kunnen dan meteen zeggen “laat maar die nieuwsbrief” en vervolgens alsnog het ebook of de quiz afnemen.

Arnoud

Wat is het verschil tussen een nieuwsbrief en een persoonlijke mail?

e-mail-email-brief-post-envelopEen lezer vroeg me:

Ik begrijp dat het niet toegestaan is mensen ongevraagd nieuwsbrieven of reclame te sturen. Echter, wat is nu een nieuwsbrief? Stel ik mail iemand gewoon met “zullen we koffie doen, volgens mij kunnen wij wat voor elkaar betekenen”, is dat dan ook al verboden? Hoe kun je dan ooit nog nieuwe klanten leren kennen?

Veel mensen denken dat het bij het spamverbod gaat om nieuwsbrieven of expliciet als reclame omschreven uitingen. Dat is onjuist. De wet maakt geen onderscheid naar soort mail, die zegt alleen dat toestemming nodig is als het gaat om een mail met commerciële, charitatieve of ideële inhoud. Iedere vorm van commerciële promotie zou er volgens mij dus onder vallen.

De reden dat het in de praktijk vaak gaat over nieuwsbrieven, is simpelweg dat reclameuitingen daar meestal in gegoten worden. “Abonneer je op onze nieuwsbrief” is haast synoniem voor “ontvang wekelijks onze reclamefolder”. Maar hoe je het ding noemt, is irrelevant bij de vraag of het onder het verbod valt. Ook is niet relevant naar hoe veel mensen je het bericht tegelijkertijd doet. Eén reclamemail naar één ontvanger is al verboden als je geen toestemming hebt.

De mail van de vraagsteller is geen nieuwsbrief, maar ik bespeur er wel een ondertoon in van koude acquisitie. Het is niet zo expliciet als “Beste Wim, zullen we eens afspraken om jullie algemene voorwaarden door te nemen”, wat volgens mij evident een reclameboodschap is. Maar de réden om die “zullen we eens koffie doen” mail te sturen, is volgens mij niet omdat je graag koffie doet – je zit te hengelen naar een opdracht, iets dat commercieel voordeel oplevert.

Hoe ver te ver gaat dit volgens jullie? Hoe formuleer je wél een “hee zullen wij eens commercieel koffie doen” bericht zonder dat het reclame wordt?

Arnoud

Acht ton boete voor reclamemails wegens ontoereikende toestemming

daisycon-optin-email-spamDe Autoriteit Consument & Markt (ACM, voorheen OPTA) heeft acht ton boete opgelegd aan affiliatenetwerk Daisycon voor haar betrokkenheid bij het op grote schaal versturen van spamberichten. Het bedrijf had tussen oktober 2009 en juli 2011 enkele miljoenen reclamemails verstuurd op basis van de bekende zin “aanbiedingen van dit bedrijf en (geselecteerde) partners”. En de ACM oordeelt nu volstrekt terecht dat die zin zinloos is: opt-in voor mail moet specifiek en dat vereist zeggen wie de partners zijn. De zogeheten coregistratie is niet rechtsgeldig.

Daisycon is een affiliatenetwerk: men bemiddelt tussen adverteerders en websites. Websites die advertenties laten zien, krijgen een vergoeding als er bezoekers of concrete leads naar de adverteerder worden geleid. Naast websites konden ook reclames per mail worden gedaan. Zo werden per mail nieuwsbrieven als als de Nationale Consumenten Enquête rondgestuurd, met daarin advertenties voor Daisycon’s adverteerders.

De ACM oordeelt nu dat die mails ongevraagde commerciële communicatie zijn, oftewel dus spam, waarvoor geen toestemming is gegeven. En nou ja er stond wel een vakje bij (zie boven) waar het woord ’toestemming’ in staat maar daarin werd verwezen naar ‘partners’ en als generieke term is dat onvoldoende.

In het onderzoeksrapport laat de ACM zien dat dit vér gaat. Ook als je wel degelijk partijen noemt, is het niet genoeg: de “en overige partners” wordt Daisycon stevig aangerekend zelfs nu deze niet wordt gebruikt. Bovendien

… nu de gebruikte privacy statements doorgaans geen uitputtende lijst bevatten, maar ook vermelddendat mogelijk andere derdenof niet nader gespecificeerde “partners” of “adverteerders”onderdeel uit maakten van de geselecteerde bedrijven. Hierbij moet worden opgemerkt dat Daisycon heeft verklaard dat zij geen gegevens daadwerkelijk heeft uitgeleverd aan partijendie niet bij naam waren opgenomen in het privacy statement. Dit laat echter onverlet dat het privacy statement niet uitputtend was en derhalve is een dergelijke bepaling onvoldoende specifiek.

Betekent dit nu dat in de vráág zelf de partners genoemd moeten worden? Het is juist dat je niet met een privacystatement kunt volstaan maar als ik een lijst heb met twintig partners dan moet het toch duidelijk zijn als ik zeg “klik hier voor de partners”?

Waar het ook misging, was dat de genoemde partners niet zelf reclame stuurden maar dat deden namens weer anderen. En dan gaat het inderdaad mis: toestemming is partijgebonden en kan niet worden overgedragen, verhuurd of verkocht.

Dat Daisycon de bestanden met mailadressen heeft ingekocht bij anderen, maakt voor de ACM niets uit. Terecht. Ook al staat er in je contract dat de leverancier van alles garandeert, dat is gewoon niet genoeg. Hooguit kun je met zo’n contract de boete dan verhalen op de leverancier. Maar je blijft zelf verantwoordelijk voor gebruik van aangekochte mailadressen.

In sommige gevallen hadden adverteerders in de enquêtes gesponsorde vragen laten opnemen: “Wil je lid worden van ons netwerk van 1900 aangesloten webwinkels”? Dat lijkt specifiek en duidelijk, maar er stond niet bij wie dit dan waren, hoe vaak je de mails zou krijgen en waar dit dan over zou gaan. En oh ja, je kreeg ook mails van dat netwerk als je “nee” had gezegd. Auw.

Ook op het gebied van opt-out ging het mis. Meerdere bij Daisycon aangesloten partijen konden hetzelfde mailadres gebruiken, maar wie zich wilde afmelden kon dat slechts per nieuwsbrief. Er had ook een algemene opt-out moeten zijn voor álle nieuwsbrieven van aangesloten partijen.

Daisycon gaat in hoger beroep dus het is afwachten wat overeind blijft maar mij doet de uitspraak stevig en duidelijk aan. De geschetste praktijken zijn populair bij e-mailmarketeers maar buitengewoon irritant voor ontvangers. Het legt wel de bijl aan de wortel van handel in e-mailadressen, maar misschien moet dat ook maar eens gewoon kappen. (Haha, kappen en wortel.)

Arnoud

Ik wil een prijs winnen maar krijg honderd nieuwsbrieven!

winnen-wedstrijd-button-knopEen lezer vroeg me:

Afgelopen vrijdag vulde ik via Facebook een Deel en Win actie in om kans te maken op een tv. Er werd gezegd, “Vul een paar vragen in en win”, dat bleken 50 vragen te zijn. De eerste drie gaan over tv en de rest is allemaal gesponsord, als wilt u een nieuwe keuken, begrafenisverzekering, lening, boekenserie en weet ik allemaal wat. Uiteraard moet je op het einde je mailadres en telefoonnummer achterlaten om te winnen. Mijn mailbox zit nu al vol met nieuwsbrieven en aanbiedingen, en het lijkt me dus wachten op de telefoontjes. Dit mag toch niet zomaar?

Dit is een bekende praktijk. Buitengewoon ergerlijk, maar heel weinig aan te doen vrees ik. Behalve dan “vul dat niet in” als advies.

Juridisch gezien is het dubieus wat die bedrijven doen. Je mag mensen immers niet ongevraagd bellen of mailen met commerciële aanbiedingen. Dat vereist toestemming (opt-in), zo bepaalt de Telecommunicatiewet.

Bedrijven met acties als deze redeneren “als je interesse meldt in een nieuwe keuken, dan geef je opt-in aan alle keukenbedrijven die wij zorgvuldig selecteren voor ons partnerprogramma”. Maar dat is niet hoe opt-in werkt. Toestemming kan alleen worden gegeven als je weet waarvoor. “Ik wil graag gebeld worden voor een keukenofferte” is dus géén rechtsgeldige toestemming.

In november 2011 deelde de OPTA (tegengewoordig ACM) een stevige boete uit aan een bedrijf dat ook met deze praktijken werkte. Er werd verwezen naar zorgvuldig geselecteerde partners en sectorale opt-ins (bel mij over mijn hypotheek, stuur me informatie over keukens, dat werk). En dat mag gewoon niet:

Het is voor abonnees niet duidelijk van wie zij mailings kunnen verwachten, het wordt immers niet duidelijk wie de partners van Digital Magazines zijn. Hiermee zou een zeer brede en onbepaalde machtiging tot het verwerken van gegevens worden verkregen die volgens de wetsgeschiedenis niet als een geldige toestemming kan worden aangemerkt.

De boete werd bij de rechtbank vernietigd, maar alleen op de grond dat de OPTA niet bewezen was dat er natuurlijke personen gespamd waren (de oude Telecomwet). Wat mij betreft blijft bovenstaande gewoon overeind, ik kan me niet vóórstellen dat een rechtbank het legaal verklaart om te zeggen dat “iedereen mag mij bellen over een nieuwe keuken” een specifieke toestemming tot commercieel bellen is.

Maar goed, wat doe je eraan. Schade claimen en bewijzen is zo goed als onmogelijk. Een signaal afgeven bij de ACM kan (www.spamklacht.nl) maar dat levert geen direct zichtbaar resultaat op. Een zwarte lijst opzetten voelt wat bot, zeker omdat veel bedrijven die de contactgegevens krijgen, wordt verzekerd dat er netjes opt-in verkregen is. Plus, zijn die wel onder de indruk van een dergelijke lijst?

Arnoud

Mag een werkgever zijn werknemers op een nieuwsbrief inschrijven?

discount-korting-afgeprijsd-actie-aktie.pngEen lezer vroeg me:

Mag een werkgever zijn werknemer op nieuwsbrieven van derden inschrijven? Bij mijn bedrijf krijg ik wekelijks een nieuwsbrief die korting biedt op kunst, cultuur en entertainment. Ik heb me hier niet voor opgegeven, maar mijn werknemerwerkgever heeft iedereen tegelijk hiervoor ingeschreven. Is dat legaal?

Wanneer het gaat om werkgerelateerde zaken, heeft de werkgever zeggenschap hoe dat werk wordt uitgevoerd. Een werkgever mag dus bepalen dat de werknemer bepaalde informatie moet lezen, en mag die dan ook meteen toesturen of op het bureau van de werknemer leggen. Dat zou dus ook prima een nieuwsbrief van een derde kunnen zijn.

Wel moet het gaan om werkgerelateerde informatie. Een werkgever kan niet namens de werknemer opt-in geven voor een nieuwsbrief die niets met het werk te maken heeft. En dat is volgens mij waar het hier om gaat: die kortingsregeling is een leuk kado aan de werknemers, maar die staat los van het werk dus kan de werkgever niet besluiten dat de werknemer dit mag ontvangen.

Er kan hier trouwens nog een privacygerelateerd ding meespelen. Om zo’n kortingsregeling mogelijk te maken, heeft de werkgever waarschijnlijk de contactgegevens van de werknemer aan die kortingspartij gegeven. Dát is dubieus want ook dat staat los van het werk en vereist dus aparte toestemming. En bij toestemming gevraagd door een werkgever geldt dan nog eens dat je vrijelijk moet kunnen weigeren. Dus niet “als jij niet meedoet dan komen we niet in de 20% categorie!”

Ik vraag me dan altijd af of dit gewoon naïviteit is of iets anders. Je kunt toch op je vingers natellen dat als je mensen nieuwsbrieven gaat sturen die neits met werk te maken hebben, je daar gedoe mee krijgt?

Arnoud