Waarom mag een app gewoon verwijzen naar privacybeleid van derden?

| AE 9422 | Auteursrecht, Beveiliging | 2 reacties

Een lezer vroeg me:

Veel apps op de telefoon gebruiken analyticssoftware van derden. In de EULA en/of wordt er dan verwezen naar het privacy beleid van de derde partij en aangegeven dat ik daar moet zijn voor een opt-out. Nu vraag ik me af of dat zo wel mag. Is de leverancier van de App niet degene die dit met de derde partij moet regelen? Ik heb toch alleen een end-user overeenkomst met de leverancier van de App?

Het klopt dat je die software gebruikt onder een eindgebruikersovereenkomst (EULA) met die leverancier. Maar dat wil niet zeggen dat je dus altijd alleen maar een relatie met die partij hebt.

Een softwareleverancier mag software van derden bundelen. Dit kan gebeuren onder sublicentie – het gebruiksrecht is deel van de eigen EULA – of als aparte licenties. In dat laatste geval zou je dan ieder van die licenties apart moeten accepteren.

Meestal zal de leverancier die software van derden onder sublicentie verspreiden, zodat je geen aparte EULA per derde nodig zal hebben. Maar als die software iets doet waarbij data wordt opgeslagen of uitgelezen op je computer (terwijl dat niet technisch noodzakelijk is) dan is er desondanks toestemming nodig – dat is waar de cookiewet voor bedoeld is.

Wie precies die toestemming moet vragen, is onder de cookiewet altijd een lastige. Voor de hand ligt dat de derde dat moet doen – het is zijn analytics of andere opslag/uitlezen immers. Maar ik doe zaken met die ene leverancier en het boeit mij niet met wie hij samenwerkt, dus dan is het ook weer logisch dat hij toestemming vraagt voor zijn partners.

Als er geen toestemming wordt gevraagd, dan is het problematisch voor beide partijen, want dan overtreedt die software de cookiewet. (Tenzij het gaat om simpele first party analytics gefaciliteerd door een derde, dan is er geen toestemming nodig. Ook geen opt-out trouwens.)

Arnoud

Hela, volgens de nieuwe polisvoorwaarden mogen ze me reclame mailen?

| AE 7143 | Privacy | 13 reacties

spam-verboden.pngEen lezer vroeg me: Bij mijn nieuwe zorgpolis zat een tekst in kleine lettertjes en ik vroeg me af of dit wel legaal is?<br/>

Het verzamelen en verwerken van uw persoonsgegevens is nodig voor het aangaan en uitvoeren van de verzekering(en). De doeleinden waarvoor uw persoonsgegevens worden gebruikt, zijn uitgebreid. Wij kunnen uw gegevens ook gebruiken:
– voor werving voor onze eigen en gelijksoortige diensten en producten en daarbij behorende marketingactiviteiten (tot 1 jaar na beëindiging van de verzekeringsovereenkomst).

In een privacyverklaring of polisfolder is het niet mogelijk om toestemming op te eisen om marketingactiviteiten uit te mogen voeren. Toestemming onder de privacywet moet namelijk apart en expliciet worden gegeven, anders is deze niet rechtsgeldig.

Specifiek in deze situatie is toestemming echter niet nodig. Het is namelijk legaal om reclame en direct marketing per mail naar je klanten toe te doen zonder toestemming. Dit staat expliciet als uitzondering in de Telecommunicatiewet.

Wel moet je in die situatie aan een aantal eisen voldoen:

  • Het moet gaan om betaalde product- of dienstafname;
  • Het moet gaan om reclame voor eigen producten of diensten;
  • Producten of diensten moeten verwant zijn aan hetgeen de klant afneemt;
  • Elke reclameuiting moet een afmeldoptie hebben;
  • Bij verkrijging van de persoonsgegevens moet gemeld zijn dat men dergelijke reclame wil sturen;
  • De klant moet op dat moment bezwaar hebben kunnen maken (“verzet”) tegen dergelijke reclame.

Deze tekst in de folder lijkt bedoeld om aan de enalaatste eis te voldoen. Maar er zal ook ergens een mogelijkheid moeten zijn om bezwaar te maken, en die zagen we in de folder zo snel niet.

Natuurlijk, je kunt altijd de helpdesk bellen en die kunnen dit vast verwerken. Maar volgens mij is dat niet genoeg; je moet “bij de verkrijging” de gelegenheid bieden om bezwaar te maken. En achteraf de helpdesk bellen “hee doe eens niet” is volgens mij niet bij maar na de verkrijging.

Arnoud

Acht ton boete voor reclamemails wegens ontoereikende toestemming

| AE 7011 | E-mail | 4 reacties

daisycon-optin-email-spamDe Autoriteit Consument & Markt (ACM, voorheen OPTA) heeft acht ton boete opgelegd aan affiliatenetwerk Daisycon voor haar betrokkenheid bij het op grote schaal versturen van spamberichten. Het bedrijf had tussen oktober 2009 en juli 2011 enkele miljoenen reclamemails verstuurd op basis van de bekende zin “aanbiedingen van dit bedrijf en (geselecteerde) partners”. En de ACM oordeelt nu volstrekt terecht dat die zin zinloos is: opt-in voor mail moet specifiek en dat vereist zeggen wie de partners zijn. De zogeheten coregistratie is niet rechtsgeldig.

Daisycon is een affiliatenetwerk: men bemiddelt tussen adverteerders en websites. Websites die advertenties laten zien, krijgen een vergoeding als er bezoekers of concrete leads naar de adverteerder worden geleid. Naast websites konden ook reclames per mail worden gedaan. Zo werden per mail nieuwsbrieven als als de Nationale Consumenten Enquête rondgestuurd, met daarin advertenties voor Daisycon’s adverteerders.

De ACM oordeelt nu dat die mails ongevraagde commerciële communicatie zijn, oftewel dus spam, waarvoor geen toestemming is gegeven. En nou ja er stond wel een vakje bij (zie boven) waar het woord ‘toestemming’ in staat maar daarin werd verwezen naar ‘partners’ en als generieke term is dat onvoldoende.

In het onderzoeksrapport laat de ACM zien dat dit vér gaat. Ook als je wel degelijk partijen noemt, is het niet genoeg: de “en overige partners” wordt Daisycon stevig aangerekend zelfs nu deze niet wordt gebruikt. Bovendien

… nu de gebruikte privacy statements doorgaans geen uitputtende lijst bevatten, maar ook vermelddendat mogelijk andere derdenof niet nader gespecificeerde “partners” of “adverteerders”onderdeel uit maakten van de geselecteerde bedrijven. Hierbij moet worden opgemerkt dat Daisycon heeft verklaard dat zij geen gegevens daadwerkelijk heeft uitgeleverd aan partijendie niet bij naam waren opgenomen in het privacy statement. Dit laat echter onverlet dat het privacy statement niet uitputtend was en derhalve is een dergelijke bepaling onvoldoende specifiek.

Betekent dit nu dat in de vráág zelf de partners genoemd moeten worden? Het is juist dat je niet met een privacystatement kunt volstaan maar als ik een lijst heb met twintig partners dan moet het toch duidelijk zijn als ik zeg “klik hier voor de partners”?

Waar het ook misging, was dat de genoemde partners niet zelf reclame stuurden maar dat deden namens weer anderen. En dan gaat het inderdaad mis: toestemming is partijgebonden en kan niet worden overgedragen, verhuurd of verkocht.

Dat Daisycon de bestanden met mailadressen heeft ingekocht bij anderen, maakt voor de ACM niets uit. Terecht. Ook al staat er in je contract dat de leverancier van alles garandeert, dat is gewoon niet genoeg. Hooguit kun je met zo’n contract de boete dan verhalen op de leverancier. Maar je blijft zelf verantwoordelijk voor gebruik van aangekochte mailadressen.

In sommige gevallen hadden adverteerders in de enquêtes gesponsorde vragen laten opnemen: “Wil je lid worden van ons netwerk van 1900 aangesloten webwinkels”? Dat lijkt specifiek en duidelijk, maar er stond niet bij wie dit dan waren, hoe vaak je de mails zou krijgen en waar dit dan over zou gaan. En oh ja, je kreeg ook mails van dat netwerk als je “nee” had gezegd. Auw.

Ook op het gebied van opt-out ging het mis. Meerdere bij Daisycon aangesloten partijen konden hetzelfde mailadres gebruiken, maar wie zich wilde afmelden kon dat slechts per nieuwsbrief. Er had ook een algemene opt-out moeten zijn voor álle nieuwsbrieven van aangesloten partijen.

Daisycon gaat in hoger beroep dus het is afwachten wat overeind blijft maar mij doet de uitspraak stevig en duidelijk aan. De geschetste praktijken zijn populair bij e-mailmarketeers maar buitengewoon irritant voor ontvangers. Het legt wel de bijl aan de wortel van handel in e-mailadressen, maar misschien moet dat ook maar eens gewoon kappen. (Haha, kappen en wortel.)

Arnoud

Hoe sneaky kun je zijn met je verstopte aanvinkvakjes?

| AE 6761 | E-mail | 10 reacties

Een lezer (dank S) stuurde me het onderstaande screenshot van de Nederlandse Spoorwegen, waar opt-in wordt gevraagd per e-mail. Oh en niet alleen dat, kijkt u zelf even? Inderdaad, daar staat in de privacybeleidstekst nog een aanvinkvakje voor offline spam. Mag dat juridisch? Tsja. De wet zegt niets over papieren spam, dus je mag mensen… Lees verder

Vooraf aangevinkte hokjes mogen niet meer!

| AE 6728 | Webwinkels | 20 reacties

Vanaf nu geldt een verbod op vooraf aangevinkte hokjes (pre-ticked boxes) die vaak worden gebruikt om consumenten ongemerkt extra (betaalde) opties in de maag te splitsen, meldde Webwereld vorige week. Dergelijke aanvinkvakjes moeten úit staan en alleen als de consument ze zelf actief aanzet, zit de consument eraan vast. Bij de verboden alvastaangevinkteaanvinkvakjes gaat het… Lees verder

Wat gaan we nou eens doen met die cookiewet?

| AE 6488 | Innovatie, Privacy | 37 reacties

Nederlandse websites schenden massaal de privacywetgeving door informatie over surf- en klikgedrag van bezoekers, zonder hun toestemming, door te geven aan advertentiebedrijven, meldde NRC gisteren. Grote woorden: het gaat zo te lezen om de inzet van Google Analytics en dergelijke tools, niet om drones die bij de bezoeker in de slaapkamer het gedrag livestreamen naar… Lees verder

Mag een werkgever zijn werknemers op een nieuwsbrief inschrijven?

| AE 6322 | Arbeidsrecht, E-mail | 6 reacties

Een lezer vroeg me: Mag een werkgever zijn werknemer op nieuwsbrieven van derden inschrijven? Bij mijn bedrijf krijg ik wekelijks een nieuwsbrief die korting biedt op kunst, cultuur en entertainment. Ik heb me hier niet voor opgegeven, maar mijn werknemerwerkgever heeft iedereen tegelijk hiervoor ingeschreven. Is dat legaal? Wanneer het gaat om werkgerelateerde zaken, heeft… Lees verder

Voor hoe veel dingen mag je in één keer opt-in vragen met een aanvinkvakje?

| AE 5725 | Internetrecht | 9 reacties

Via Twitter (dank) kregen we een heel uitgebreid aanvinkvakje aangereikt: Meestal bevat zo’n aanvinkvakje niet meer tekst dan “ik wil de nieuwsbrief ontvangen”, of “ik ga akkoord met mail van zorgvuldig geselecteerde derden. Of het foute “ik ga akkoord met de privacyverklaring“. Of het buitengewone zen “ik ga akkoord” en dan verder niets, dat ik… Lees verder

Ga wég met je optionele aanvinkvakjes bij installatie van software

| AE 5448 | Internetrecht | 27 reacties

Gisteren blogde ik op Cookierecht over het aanvinkvakje van Oracle’s Java-installer bij de Ask.com toolbar. Dat vinkje staat alvast aan, en wie de toolbar niet wil, moet het weghalen. Dat moet je maar net even zien. En nee, dat mag niet van de cookiewet. Maar het kan nóg erger: de installatiezin van AVG Toolbar waar… Lees verder