Mag je mensen nog verplicht op nieuwsbrieven laten abonneren onder de Privacyverordening?

| AE 9508 | E-mail, Privacy | 23 reacties

Een lezer vroeg me:

Is het straks onder de Privacyverordening (AVG of GDPR) nog toegestaan om gratis e-book of deelname aan een quiz of iets dergelijks te koppelen aan een verplichte opt-in voor een nieuwsbrief?

Het is een populaire manier van nieuwsbriefbuilding: bied een ebook of factsheet of andere interessante download aan, maar alleen nadat men het e-mailadres heeft ingevuld zodat daar de nieuwsbrief heengestuurd kan worden. (Zelfs mijn kantoor doet het.) Ook bij allerlei quizzen en tests zie je dit veel: vul je e-mailadres in om de resultaten te ontvangen, en dan krijg je meteen ook de nieuwsbrief.

Mag het straks nog? Toestemming onder de GDPR moet namelijk in vrijwilligheid worden gegeven, en zeggen “geef toestemming of anders geen ebook voor jou” klinkt niet als heel vrijwillig.

Expliciet uitgesloten is het niet. Het dichtst bij komt artikel 7.4 over toestemming:

Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.

Dit artikel verbiedt het dus niet, maar zegt wel “dit weegt zwáár mee bij de bepaling of het vrijwillig is”.

Bij de overeenkomst tot deelname aan een quiz of tot schenking van een ebook is het niet echt noodzakelijk ook de nieuwsbrief te ontvangen. De daarvoor geëiste toestemming valt dus onder artikel 7.4 en is dus verdacht. Je zou dan moeten zeggen, zó belangrijk is zo’n ebook of quiz nou ook weer niet, dus what’s the harm, zeker omdat je de nieuwsbrief op ieder moment weer kunt opzeggen. Dan zou uit die beoordeling toch komen dat de toestemming vrijwillig is gegeven.

Soms wordt wel verdedigd dat je zo’n nieuwsbrief mag sturen omdat de quizdeelnemer of ebookaanvrager een dienst bij je afneemt, en klanten mag je mailen zonder toestemming. Dat klopt in principe, maar “klant” is wel beperkt tot iemand die een betaalde dienst (of product) afneemt. Bij een gratis dienst is het dus überhaupt niet mogelijk je te beroepen op dit recht. Bovendien moet er voor of bij het doen van de bestelling een opt-out worden geboden, dus dat pakt ook onhandig uit: mensen kunnen dan meteen zeggen “laat maar die nieuwsbrief” en vervolgens alsnog het ebook of de quiz afnemen.

Arnoud

Waarom mag een app gewoon verwijzen naar privacybeleid van derden?

| AE 9422 | Auteursrecht, Beveiliging | 2 reacties

Een lezer vroeg me:

Veel apps op de telefoon gebruiken analyticssoftware van derden. In de EULA en/of wordt er dan verwezen naar het privacy beleid van de derde partij en aangegeven dat ik daar moet zijn voor een opt-out. Nu vraag ik me af of dat zo wel mag. Is de leverancier van de App niet degene die dit met de derde partij moet regelen? Ik heb toch alleen een end-user overeenkomst met de leverancier van de App?

Het klopt dat je die software gebruikt onder een eindgebruikersovereenkomst (EULA) met die leverancier. Maar dat wil niet zeggen dat je dus altijd alleen maar een relatie met die partij hebt.

Een softwareleverancier mag software van derden bundelen. Dit kan gebeuren onder sublicentie – het gebruiksrecht is deel van de eigen EULA – of als aparte licenties. In dat laatste geval zou je dan ieder van die licenties apart moeten accepteren.

Meestal zal de leverancier die software van derden onder sublicentie verspreiden, zodat je geen aparte EULA per derde nodig zal hebben. Maar als die software iets doet waarbij data wordt opgeslagen of uitgelezen op je computer (terwijl dat niet technisch noodzakelijk is) dan is er desondanks toestemming nodig – dat is waar de cookiewet voor bedoeld is.

Wie precies die toestemming moet vragen, is onder de cookiewet altijd een lastige. Voor de hand ligt dat de derde dat moet doen – het is zijn analytics of andere opslag/uitlezen immers. Maar ik doe zaken met die ene leverancier en het boeit mij niet met wie hij samenwerkt, dus dan is het ook weer logisch dat hij toestemming vraagt voor zijn partners.

Als er geen toestemming wordt gevraagd, dan is het problematisch voor beide partijen, want dan overtreedt die software de cookiewet. (Tenzij het gaat om simpele first party analytics gefaciliteerd door een derde, dan is er geen toestemming nodig. Ook geen opt-out trouwens.)

Arnoud

Hela, volgens de nieuwe polisvoorwaarden mogen ze me reclame mailen?

| AE 7143 | Privacy | 13 reacties

spam-verboden.pngEen lezer vroeg me: Bij mijn nieuwe zorgpolis zat een tekst in kleine lettertjes en ik vroeg me af of dit wel legaal is?<br/>

Het verzamelen en verwerken van uw persoonsgegevens is nodig voor het aangaan en uitvoeren van de verzekering(en). De doeleinden waarvoor uw persoonsgegevens worden gebruikt, zijn uitgebreid. Wij kunnen uw gegevens ook gebruiken:
– voor werving voor onze eigen en gelijksoortige diensten en producten en daarbij behorende marketingactiviteiten (tot 1 jaar na beëindiging van de verzekeringsovereenkomst).

In een privacyverklaring of polisfolder is het niet mogelijk om toestemming op te eisen om marketingactiviteiten uit te mogen voeren. Toestemming onder de privacywet moet namelijk apart en expliciet worden gegeven, anders is deze niet rechtsgeldig.

Specifiek in deze situatie is toestemming echter niet nodig. Het is namelijk legaal om reclame en direct marketing per mail naar je klanten toe te doen zonder toestemming. Dit staat expliciet als uitzondering in de Telecommunicatiewet.

Wel moet je in die situatie aan een aantal eisen voldoen:

  • Het moet gaan om betaalde product- of dienstafname;
  • Het moet gaan om reclame voor eigen producten of diensten;
  • Producten of diensten moeten verwant zijn aan hetgeen de klant afneemt;
  • Elke reclameuiting moet een afmeldoptie hebben;
  • Bij verkrijging van de persoonsgegevens moet gemeld zijn dat men dergelijke reclame wil sturen;
  • De klant moet op dat moment bezwaar hebben kunnen maken (“verzet”) tegen dergelijke reclame.

Deze tekst in de folder lijkt bedoeld om aan de enalaatste eis te voldoen. Maar er zal ook ergens een mogelijkheid moeten zijn om bezwaar te maken, en die zagen we in de folder zo snel niet.

Natuurlijk, je kunt altijd de helpdesk bellen en die kunnen dit vast verwerken. Maar volgens mij is dat niet genoeg; je moet “bij de verkrijging” de gelegenheid bieden om bezwaar te maken. En achteraf de helpdesk bellen “hee doe eens niet” is volgens mij niet bij maar na de verkrijging.

Arnoud

Acht ton boete voor reclamemails wegens ontoereikende toestemming

| AE 7011 | E-mail | 4 reacties

De Autoriteit Consument & Markt (ACM, voorheen OPTA) heeft acht ton boete opgelegd aan affiliatenetwerk Daisycon voor haar betrokkenheid bij het op grote schaal versturen van spamberichten. Het bedrijf had tussen oktober 2009 en juli 2011 enkele miljoenen reclamemails verstuurd op basis van de bekende zin “aanbiedingen van dit bedrijf en (geselecteerde) partners”. En de… Lees verder

Hoe sneaky kun je zijn met je verstopte aanvinkvakjes?

| AE 6761 | E-mail | 10 reacties

Een lezer (dank S) stuurde me het onderstaande screenshot van de Nederlandse Spoorwegen, waar opt-in wordt gevraagd per e-mail. Oh en niet alleen dat, kijkt u zelf even? Inderdaad, daar staat in de privacybeleidstekst nog een aanvinkvakje voor offline spam. Mag dat juridisch? Tsja. De wet zegt niets over papieren spam, dus je mag mensen… Lees verder

Vooraf aangevinkte hokjes mogen niet meer!

| AE 6728 | Webwinkels | 20 reacties

Vanaf nu geldt een verbod op vooraf aangevinkte hokjes (pre-ticked boxes) die vaak worden gebruikt om consumenten ongemerkt extra (betaalde) opties in de maag te splitsen, meldde Webwereld vorige week. Dergelijke aanvinkvakjes moeten úit staan en alleen als de consument ze zelf actief aanzet, zit de consument eraan vast. Bij de verboden alvastaangevinkteaanvinkvakjes gaat het… Lees verder

Wat gaan we nou eens doen met die cookiewet?

| AE 6488 | Innovatie, Privacy | 37 reacties

Nederlandse websites schenden massaal de privacywetgeving door informatie over surf- en klikgedrag van bezoekers, zonder hun toestemming, door te geven aan advertentiebedrijven, meldde NRC gisteren. Grote woorden: het gaat zo te lezen om de inzet van Google Analytics en dergelijke tools, niet om drones die bij de bezoeker in de slaapkamer het gedrag livestreamen naar… Lees verder

Mag een werkgever zijn werknemers op een nieuwsbrief inschrijven?

| AE 6322 | Arbeidsrecht, E-mail | 6 reacties

Een lezer vroeg me: Mag een werkgever zijn werknemer op nieuwsbrieven van derden inschrijven? Bij mijn bedrijf krijg ik wekelijks een nieuwsbrief die korting biedt op kunst, cultuur en entertainment. Ik heb me hier niet voor opgegeven, maar mijn werknemerwerkgever heeft iedereen tegelijk hiervoor ingeschreven. Is dat legaal? Wanneer het gaat om werkgerelateerde zaken, heeft… Lees verder

Voor hoe veel dingen mag je in één keer opt-in vragen met een aanvinkvakje?

| AE 5725 | Internetrecht | 9 reacties

Via Twitter (dank) kregen we een heel uitgebreid aanvinkvakje aangereikt: Meestal bevat zo’n aanvinkvakje niet meer tekst dan “ik wil de nieuwsbrief ontvangen”, of “ik ga akkoord met mail van zorgvuldig geselecteerde derden. Of het foute “ik ga akkoord met de privacyverklaring“. Of het buitengewone zen “ik ga akkoord” en dan verder niets, dat ik… Lees verder

Ga wég met je optionele aanvinkvakjes bij installatie van software

| AE 5448 | Internetrecht | 27 reacties

Gisteren blogde ik op Cookierecht over het aanvinkvakje van Oracle’s Java-installer bij de Ask.com toolbar. Dat vinkje staat alvast aan, en wie de toolbar niet wil, moet het weghalen. Dat moet je maar net even zien. En nee, dat mag niet van de cookiewet. Maar het kan nóg erger: de installatiezin van AVG Toolbar waar… Lees verder