Wanneer is mijn reclamemail voor “gelijksoortige” producten toegestaan zonder opt-in?

Een lezer vroeg me:

Ik heb een webwinkel en wil meer reclame maken. Nu las ik dat je daarvoor normaal toestemming nodig hebt, maar niet als je “soortgelijke” producten adverteert aan je klant. Wanneer is het volgens de wet “soortgelijk”?
Voor veel ondernemers is deze uitzondering interessant, omdat het verzamelen van toestemming voor reclame toch vaak best pittig blijkt. Maar het is een heel beperkte, en ik denk dat je er weinig aan hebt. Zeg ik maar even vooraf.

De wet (art. 11.7 Telecommunicatiewet) staat toe om klanten (dus mensen die jou betalen) reclame te sturen zonder opt-in als het gaat om “eigen gelijksoortige producten of diensten” volgens de wet. Er is nooit een rechtszaak geweest waarin definitief hét criterium is toegelicht. Dat is ergens ook wel logisch, want wat zou dat dan moeten zijn in het algemeen? Je komt dan niet verder dan synoniemen voor die term.

De ACM heeft in haar richtsnoeren gezegd dat je vooral moet kijken naar de verwachting van de ontvanger: zou die gek opkijken als hij voor dát product reclame krijgt gezien zijn bestelling? Dat vind ik wel een mooie. Het idee van “gelijksoortig” is immers dat je iets relevants, iets logischerwijs erbij horends meestuurt.

In de Memorie van toelichting van de wet is gezegd dat je ook moet meewegen wat er is gecommuniceerd, hoe de winkel zich presenteert. Ben ik een brillenwinkel dan is reclame voor schoenen raar, ben ik de Bijenkorf dan kan het wel. Dan gaat het immers om mode in het algemeen, en bij een bril is een bijpassend paar schoenen niet zo raar als advies in een modewinkel.

De angel zit hem bij deze constructie in een ander aspect: je mag weliswaar zonder toestemming mailen, maar je moet het bij de bestelling hebben gemeld op het formulier en een áfmeldmogelijkheid (optout) hebben geboden. Dus na een paar jaar bedenken “ik wil meer reclame maken” is gewoon niet genoeg, je hebt dan nooit mensen dit gezegd laat staan ze een afmeldmogelijkheid gegeven. En dan kun je je niet op deze uitzondering beroepen.

Deze uitzondering is dan weer wel de reden waarom de “Ik wil de nieuwsbrief ontvangen”-aanvinkvakjes vooraf aangevinkt mogen zijn bij bestelformulieren. Het weghalen van dat vinkje is dan de opt-out.

Arnoud

ING gaat persoonlijke aanbiedingen doen op basis van bij- en afschrijvingen, en ik weet niet waarom dat mag

ING gaat klanten ‘persoonlijke aanbiedingen’ doen op basis van hun bij- en afschrijvingen, las ik bij Tweakers. Het gaat om aanbiedingen van ING zelf, dus niet van externe partijen, en klanten kunnen zich er voor afmelden. Dat mag, zegt de bank: “Volgens de AVG moet er een wettelijke grondslag zijn voor het gebruik van persoonsgegevens. Gerechtvaardigd belang is ook een wettelijke grondslag die gebruikt kan worden voor direct marketing.” Maar is daarmee de privacyrechtelijke kous af, gezien de boosheid en het onbegrip van veel klanten dat hier niet met opt-in oftewel toestemming wordt gewerkt?

Het is veel mensen een doorn in het oog, maar het klopt juridisch dat je zonder toestemming oftewel opt-in mensen reclame onder de neus kunt duwen. De enige situatie waarin dat niet kan, is bij e-mailreclame: de Telecommunicatiewet eist gewoon altijd opt-in oftewel toestemming (behalve bij mailings aan klanten, daar is het dan weer opt-out). Maar wat ING hier doet, is geen e-mailreclame voor zover ik kan zien, dus niks met de Telecomwet te maken.

De AVG kent naast toestemming (opt-in) nog vijf redenen om iemands persoonsgegevens te mogen verwerken – juridische taal voor onder meer “iemand langs elektronische weg een reclameboodschap vertonen die op hem toegespitst is”. De door ING ingeroepen reden is het eigen gerechtvaardigd belang, wat vereist dat je een eigen belang aandraagt dat legitiem is en een belangenafweging (al dan niet met invoering van privacybeschermende maatregelen) maakt waarom jouw belang wint van de privacy van je klanten of andere betrokkenen.

Direct marketing staat letterlijk in de AVG genoemd als een voorbeeld van een eigen belang. Daarmee is het dus in principe mogelijk om direct marketing zonder toestemming te doen, mits je de belangenafweging met privacy rond krijgt. En daar zit hem natuurlijk de kneep, want wat zijn je argumenten dan? Enkel “wij hebben zin in marketing dus dat gaan we doen” voelt wat mager, maar ik kan niet ontkennen dat marketing als deel van de vrijheid van ondernemen (een grondrecht) aan te merken is. Net zoals journalistiek of kunst ook mag zonder toestemming.

Het zal dus neerkomen op de privacy-afweging. Hoe ernstig is het gebruik van de gegevens, en hoe belangrijk is het marketingbelang in deze context? Daar heb ik in dit geval wel een mening over. Want we hebben het hier niet over zomaar wat gegevens van willekeurige personen, maar over toch behoorlijk privé aanvoelende gegevens, namelijk je financiële handel en wandel. Niet voor niets is het eigenlijk altijd een datalek als je financiële informatie kwijt raakt over iemand. Daar marketing op bedrijven is dan wel behoorlijk invasief.

En ja, dan is het leuk dat je een opt-out biedt en dat het alleen eigen producten zijn. Dat zijn argumenten om de belangenafweging naar je voordeel toe te trekken. Want eigen producten zijn minder erg dan verkoop aan derden, en een opt-out is zeg maar de best practice bij direct marketing op basis van eigen belang. Maar die maatregelen kun je bij iedere vorm van marketing met alle mogelijke gegevens inzetten, en daarom vind ik ze niet sterk. Verder lees ik geen echt inhoudelijke argumenten (“70% van onze klanten geeft in een trial aan deze reclame waardevol te vinden”, kijk dat was nou eens een bevinding geweest) en daarom concludeer ik dus eigenlijk meteen al dat dat helemaal niet mag.

Daarnaast kun je nog andere stevige bezwaren aan laten rukken: die financiële gegevens zijn verstrekt voor het doel van de bancaire dienstverlening, en marketing van andere producten heeft volgens mij niets te maken met de eigenlijke dienstverlening. Kun je dan wel spreken van doelbinding, alleen hergebruiken voor verwante doelen? De AVG (artikel 6.4) is nogal strikt bij hergebruik voor andere doeleinden, en eist onder meer dat je expliciet rekening houdt met het verband tussen origineel en nieuw doel, de aard van de gegevens en de relatie tussen betrokkene en bank. Ook vanuit die hoek zie ik niet hoe je het argument rondkrijgt dat je gewoon marketingboodschappen mag gaan genereren. (Oh, en je schijnt ook nog iets te moeten met privacy by default van de AVG: waarom zou je deze optie net net zo goed standaard uit kunnen zetten.)

Alles bij elkaar kan ik me dus niet voorstellen dat dit overeind blijft. De AP heeft al gemeld dit te gaan onderzoeken.

Arnoud

Mag een vereniging haar leden ongevraagd mailings toesturen?

Via Twitter: Databank en nieuwsbrief NOvA Tuchtrecht Updates gelanceerd en verplichte nieuwsbrief. Inderdaad, de Orde van Advocaten verzorgt elke twee weken een nieuwsbrief met tuchtrechtelijke uitspraken, iets waar advocaten ongetwijfeld meer over willen weten. Maar het verbaast wel dat er geen opt-in wordt gevraagd, zomaar nieuwsbrieven sturen is juridisch gezien een tikje twijfelachtig zal ik maar zeggen. Toch denk ik dat er in deze situatie meer mag dan in het algemene geval van “bedrijf wil reclame sturen aan mogelijke klanten”.

De Nederlandse Orde van Advocaten (NOvA) lanceerde onlangs haar website Tuchtrecht Updates, met daarop uitspraken van alle tuchtcolleges voor de advocatuur gerangschikt naar onderwerp, instantie en datum. Daaraan gekoppeld een nieuwsbrief, want:

De NOvA vindt het voor een behoorlijke uitoefening van de praktijk belangrijk dat alle advocaten van deze uitspraken kennisnemen. Alle advocaten ontvangen daarom elke twee weken van Boom Juridisch per e-mail een nieuwsbrief met de meest relevante disciplinaire uitspraken. Zo bent u altijd op de hoogte van de belangrijkste tuchtrechtelijke ontwikkelingen.

Dat gaf dus wat boosheid, want hoezo stuurt men zonder voorafgaande opt-in aan de leden van deze organisatie zomaar nieuwsbrieven?

Of het netjes is, laat ik in het midden maar ik denk dat het juridisch wel mag. De regel dat nieuwsbrieven opt-in vereisen is gebaseerd op artikel 11.7 Telecommunicatiewet (het spamverbod) en dat is nadrukkelijk beperkt tot “ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden”. Andersoortige communicatie mag ongevraagd worden verstuurd.

Een nieuwsbrief met de laatste aanbiedingen is natuurlijk commerciële communicatie, maar een nieuwsbrief met relevant nieuws voor je vereniging vind ik echt een heel ander verhaal. Zeker als de Orde zich op het standpunt stelt dat je deze informatie gewoon moet weten als advocaat. Dan kom je op het niveau van de aankondiging van de ALV van de schaakvereniging of de melding van Ziggo dat dit weekend het internet eruit gaat voor werkzaamheden (het servicebericht). Daar is echt geen opt-in voor nodig.

Arnoud

Moet je bij een Linkedin-wervingsbericht een opt-out opnemen?

Een lezer vroeg me:

Onder de AVG ben je verplicht om bij alle direct marketing uitingen mensen apart te wijzen op het recht van opt-out (verzet). Hoe pakt dat uit bij Linkedinberichten, waar immers het doel van de dienst bestaat uit het contacteren van mensen voor (in mijn geval) bijvoorbeeld personeelsbemiddeling? Het is volstrekt ondoenlijk om op een dergelijk platform het recht van verzet onder elk bericht te plaatsen. Los van de karakterlimiet en de wijze waarop het volstrekt legitiem en vaak welkom contact besmeurt, zal het niet de bedoeling van de wetgever zijn om zich te mengen in contact waar mensen zich nota bene expliciet voor hebben aangemeld. Toch heb ik geen uitzondering kunnen vinden en lijkt het (hoewel enigszins theoretisch) nog steeds verplicht om ook via Linkedin mensen te wijzen op hun recht van verzet.

Vanaf 25 mei heb je inderdaad het recht op verzet oftewel opt-out bij iedere vorm van direct marketing. Wanneer je geen zin (meer) hebt in dergelijke gerichte reclame, kun je daar op ieder moment eenvoudig en gratis bezwaar tegen maken en dat moet dan stoppen.

Bijzonder aan dit recht van verzet is dat het bij de direct marketing berichten zelf gemeld moet worden, en ook nog eens apart en gescheiden van andere informatie. Je mag dit dus niet apart in je privacyverklaring verstoppen, het moet duidelijk en direct te vinden zijn zodat mensen dat recht direct uit kunnen oefenen. Toegegeven, dat is onhandig als je via een kort berichtje via de chatfunctie van Linkedin jezelf wilt voorstellen en wilt hengelen naar een zakelijk kopje koffie met winstoogmerk.

Ik denk alleen dat het bij LinkedIn anders werkt. Je kunt (moet?) op je profiel aangeven dat je wel of niet openstaat voor arbeidsbemiddeling (“Beschikbaar voor nieuwe carrièrekansen”). Binnen de context van Linkedin mag je dat opvatten als toestemming. Denk ik. En daarmee kunnen mensen dus die berichten sturen onder de grondslag toestemming, waarbij je dan géén recht van verzet hoeft te bieden. Toestemming is immers intrekbaar, verzet is niet aan de orde. Maar het is niet verplicht apart en uitdrukkelijk te zeggen dat toestemming kan worden ingetrokken.

Eerlijk gezegd weet ik niet of dit nu het grootste probleem is onder de AVG. Het lost zichzelf ook op, want wie al te hard die berichten stuurt krijgt een verbanning van Linkedin. En dan is er juridisch gezien verder geen probleem.

Arnoud

Moet ik voor de AVG al mijn opt-ins opnieuw om toestemming vragen voor de nieuwsbrief?

Een lezer vroeg me:

Ik heb al jaren goedlopende nieuwsbrieven, waar ik aan verdien met affiliatelinks. Ik heb altijd netjes confirmed opt-in gehanteerd, maar ik lees nu overal dat toestemming on der de AVG veel strenger wordt. Ook zou er geen coulanceregeling zijn voor bestaande opt-ins. Klopt dat? Moet ik echt al mijn opt-ins opnieuw gaan halen?

Het klopt dat de AVG strenger is dan de huidige wet waar het gaat om toestemming, maar wie nu werkt met heldere, vrijwillig gegeven opt-ins voor nieuwsbrieven zal daar weinig last van hebben.

In de kern komt toestemming onder de AVG neer op een vrijwillige actieve handeling. Een vakje aanvinken, je e-mailadres invullen in een veld direct onder “Abonneren nieuwsbrief” en dergelijke zijn duidelijke actieve handelingen die mensen in volle vrijheid doen. Daarentegen zou een vinkje weghalen (wat we nu opt-out noemen) niet genoeg zijn, net als mensen een verplichte popup bieden waarna ze alleen verder kunnen na invullen mailadres.

Vereist is ook dat je specifiek en duidelijk hebt uitgelegd wat er gaat gebeuren na die handeling. Enkel om een e-mailadres vragen is dus niet genoeg, je moet er expliciet bij zetten dat dat mailadres geabonneerd gaat worden op de nieuwsbrief. Die bekende formulieren “vul uw mailadres in en download een ebook” zijn dus niet rechtsgeldig, omdat er niet bij staat dat je de nieuwsbrief(-ven) gaat ontvangen.

Een praktisch probleem kan zijn dat de AVG strenger is in de bewijslast. Je moet als afzender van zo’n nieuwsbrief kunnen bewijzen dat je ontvangers opt-in hebben gegeven. Weinig mensen hebben logbestanden van opt-ins op nieuwsbrieven. Maar dat hoeft ook niet. Als je kunt aantonen dat je hebt gewerkt met confirmed opt-in (dus een bevestigingslink mailen en pas na klikken daarop mensen inschrijven) dan staat voldoende vast dat mensen zich vrijwillig hebben ingeschreven.

Ingewikkelder wordt het onder de AVG voor nieuwsbriefinschrijvingen die gekoppeld zijn aan gratis downloads, zoals ebooks, whitepapers of webinars. De AVG vermeldt namelijk expliciet dat een afgedwongen toestemming niet mag, en toestemming voor iets niet-noodzakelijks verplichten bij afname van een dienst noemen ze als voorbeeld van afdwingen. Hier kom ik volgende week op terug.

Arnoud

Mag je mensen nog verplicht op nieuwsbrieven laten abonneren onder de Privacyverordening?

Een lezer vroeg me:

Is het straks onder de Privacyverordening (AVG of GDPR) nog toegestaan om gratis e-book of deelname aan een quiz of iets dergelijks te koppelen aan een verplichte opt-in voor een nieuwsbrief?

Het is een populaire manier van nieuwsbriefbuilding: bied een ebook of factsheet of andere interessante download aan, maar alleen nadat men het e-mailadres heeft ingevuld zodat daar de nieuwsbrief heengestuurd kan worden. (Zelfs mijn kantoor doet het.) Ook bij allerlei quizzen en tests zie je dit veel: vul je e-mailadres in om de resultaten te ontvangen, en dan krijg je meteen ook de nieuwsbrief.

Mag het straks nog? Toestemming onder de GDPR moet namelijk in vrijwilligheid worden gegeven, en zeggen “geef toestemming of anders geen ebook voor jou” klinkt niet als heel vrijwillig.

Expliciet uitgesloten is het niet. Het dichtst bij komt artikel 7.4 over toestemming:

Bij de beoordeling van de vraag of de toestemming vrijelijk kan worden gegeven, wordt onder meer ten sterkste rekening gehouden met de vraag of voor de uitvoering van een overeenkomst, met inbegrip van een dienstenovereenkomst, toestemming vereist is voor een verwerking van persoonsgegevens die niet noodzakelijk is voor de uitvoering van die overeenkomst.

Dit artikel verbiedt het dus niet, maar zegt wel “dit weegt zwáár mee bij de bepaling of het vrijwillig is”.

Bij de overeenkomst tot deelname aan een quiz of tot schenking van een ebook is het niet echt noodzakelijk ook de nieuwsbrief te ontvangen. De daarvoor geëiste toestemming valt dus onder artikel 7.4 en is dus verdacht. Je zou dan moeten zeggen, zó belangrijk is zo’n ebook of quiz nou ook weer niet, dus what’s the harm, zeker omdat je de nieuwsbrief op ieder moment weer kunt opzeggen. Dan zou uit die beoordeling toch komen dat de toestemming vrijwillig is gegeven.

Soms wordt wel verdedigd dat je zo’n nieuwsbrief mag sturen omdat de quizdeelnemer of ebookaanvrager een dienst bij je afneemt, en klanten mag je mailen zonder toestemming. Dat klopt in principe, maar “klant” is wel beperkt tot iemand die een betaalde dienst (of product) afneemt. Bij een gratis dienst is het dus überhaupt niet mogelijk je te beroepen op dit recht. Bovendien moet er voor of bij het doen van de bestelling een opt-out worden geboden, dus dat pakt ook onhandig uit: mensen kunnen dan meteen zeggen “laat maar die nieuwsbrief” en vervolgens alsnog het ebook of de quiz afnemen.

Arnoud

Waarom mag een app gewoon verwijzen naar privacybeleid van derden?

Een lezer vroeg me:

Veel apps op de telefoon gebruiken analyticssoftware van derden. In de EULA en/of wordt er dan verwezen naar het privacy beleid van de derde partij en aangegeven dat ik daar moet zijn voor een opt-out. Nu vraag ik me af of dat zo wel mag. Is de leverancier van de App niet degene die dit met de derde partij moet regelen? Ik heb toch alleen een end-user overeenkomst met de leverancier van de App?

Het klopt dat je die software gebruikt onder een eindgebruikersovereenkomst (EULA) met die leverancier. Maar dat wil niet zeggen dat je dus altijd alleen maar een relatie met die partij hebt.

Een softwareleverancier mag software van derden bundelen. Dit kan gebeuren onder sublicentie – het gebruiksrecht is deel van de eigen EULA – of als aparte licenties. In dat laatste geval zou je dan ieder van die licenties apart moeten accepteren.

Meestal zal de leverancier die software van derden onder sublicentie verspreiden, zodat je geen aparte EULA per derde nodig zal hebben. Maar als die software iets doet waarbij data wordt opgeslagen of uitgelezen op je computer (terwijl dat niet technisch noodzakelijk is) dan is er desondanks toestemming nodig – dat is waar de cookiewet voor bedoeld is.

Wie precies die toestemming moet vragen, is onder de cookiewet altijd een lastige. Voor de hand ligt dat de derde dat moet doen – het is zijn analytics of andere opslag/uitlezen immers. Maar ik doe zaken met die ene leverancier en het boeit mij niet met wie hij samenwerkt, dus dan is het ook weer logisch dat hij toestemming vraagt voor zijn partners.

Als er geen toestemming wordt gevraagd, dan is het problematisch voor beide partijen, want dan overtreedt die software de cookiewet. (Tenzij het gaat om simpele first party analytics gefaciliteerd door een derde, dan is er geen toestemming nodig. Ook geen opt-out trouwens.)

Arnoud

Hela, volgens de nieuwe polisvoorwaarden mogen ze me reclame mailen?

spam-verboden.pngEen lezer vroeg me: Bij mijn nieuwe zorgpolis zat een tekst in kleine lettertjes en ik vroeg me af of dit wel legaal is?<br/>

Het verzamelen en verwerken van uw persoonsgegevens is nodig voor het aangaan en uitvoeren van de verzekering(en). De doeleinden waarvoor uw persoonsgegevens worden gebruikt, zijn uitgebreid. Wij kunnen uw gegevens ook gebruiken:
– voor werving voor onze eigen en gelijksoortige diensten en producten en daarbij behorende marketingactiviteiten (tot 1 jaar na beëindiging van de verzekeringsovereenkomst).

In een privacyverklaring of polisfolder is het niet mogelijk om toestemming op te eisen om marketingactiviteiten uit te mogen voeren. Toestemming onder de privacywet moet namelijk apart en expliciet worden gegeven, anders is deze niet rechtsgeldig.

Specifiek in deze situatie is toestemming echter niet nodig. Het is namelijk legaal om reclame en direct marketing per mail naar je klanten toe te doen zonder toestemming. Dit staat expliciet als uitzondering in de Telecommunicatiewet.

Wel moet je in die situatie aan een aantal eisen voldoen:

  • Het moet gaan om betaalde product- of dienstafname;
  • Het moet gaan om reclame voor eigen producten of diensten;
  • Producten of diensten moeten verwant zijn aan hetgeen de klant afneemt;
  • Elke reclameuiting moet een afmeldoptie hebben;
  • Bij verkrijging van de persoonsgegevens moet gemeld zijn dat men dergelijke reclame wil sturen;
  • De klant moet op dat moment bezwaar hebben kunnen maken (“verzet”) tegen dergelijke reclame.

Deze tekst in de folder lijkt bedoeld om aan de enalaatste eis te voldoen. Maar er zal ook ergens een mogelijkheid moeten zijn om bezwaar te maken, en die zagen we in de folder zo snel niet.

Natuurlijk, je kunt altijd de helpdesk bellen en die kunnen dit vast verwerken. Maar volgens mij is dat niet genoeg; je moet “bij de verkrijging” de gelegenheid bieden om bezwaar te maken. En achteraf de helpdesk bellen “hee doe eens niet” is volgens mij niet bij maar na de verkrijging.

Arnoud

Acht ton boete voor reclamemails wegens ontoereikende toestemming

daisycon-optin-email-spamDe Autoriteit Consument & Markt (ACM, voorheen OPTA) heeft acht ton boete opgelegd aan affiliatenetwerk Daisycon voor haar betrokkenheid bij het op grote schaal versturen van spamberichten. Het bedrijf had tussen oktober 2009 en juli 2011 enkele miljoenen reclamemails verstuurd op basis van de bekende zin “aanbiedingen van dit bedrijf en (geselecteerde) partners”. En de ACM oordeelt nu volstrekt terecht dat die zin zinloos is: opt-in voor mail moet specifiek en dat vereist zeggen wie de partners zijn. De zogeheten coregistratie is niet rechtsgeldig.

Daisycon is een affiliatenetwerk: men bemiddelt tussen adverteerders en websites. Websites die advertenties laten zien, krijgen een vergoeding als er bezoekers of concrete leads naar de adverteerder worden geleid. Naast websites konden ook reclames per mail worden gedaan. Zo werden per mail nieuwsbrieven als als de Nationale Consumenten Enquête rondgestuurd, met daarin advertenties voor Daisycon’s adverteerders.

De ACM oordeelt nu dat die mails ongevraagde commerciële communicatie zijn, oftewel dus spam, waarvoor geen toestemming is gegeven. En nou ja er stond wel een vakje bij (zie boven) waar het woord ’toestemming’ in staat maar daarin werd verwezen naar ‘partners’ en als generieke term is dat onvoldoende.

In het onderzoeksrapport laat de ACM zien dat dit vér gaat. Ook als je wel degelijk partijen noemt, is het niet genoeg: de “en overige partners” wordt Daisycon stevig aangerekend zelfs nu deze niet wordt gebruikt. Bovendien

… nu de gebruikte privacy statements doorgaans geen uitputtende lijst bevatten, maar ook vermelddendat mogelijk andere derdenof niet nader gespecificeerde “partners” of “adverteerders”onderdeel uit maakten van de geselecteerde bedrijven. Hierbij moet worden opgemerkt dat Daisycon heeft verklaard dat zij geen gegevens daadwerkelijk heeft uitgeleverd aan partijendie niet bij naam waren opgenomen in het privacy statement. Dit laat echter onverlet dat het privacy statement niet uitputtend was en derhalve is een dergelijke bepaling onvoldoende specifiek.

Betekent dit nu dat in de vráág zelf de partners genoemd moeten worden? Het is juist dat je niet met een privacystatement kunt volstaan maar als ik een lijst heb met twintig partners dan moet het toch duidelijk zijn als ik zeg “klik hier voor de partners”?

Waar het ook misging, was dat de genoemde partners niet zelf reclame stuurden maar dat deden namens weer anderen. En dan gaat het inderdaad mis: toestemming is partijgebonden en kan niet worden overgedragen, verhuurd of verkocht.

Dat Daisycon de bestanden met mailadressen heeft ingekocht bij anderen, maakt voor de ACM niets uit. Terecht. Ook al staat er in je contract dat de leverancier van alles garandeert, dat is gewoon niet genoeg. Hooguit kun je met zo’n contract de boete dan verhalen op de leverancier. Maar je blijft zelf verantwoordelijk voor gebruik van aangekochte mailadressen.

In sommige gevallen hadden adverteerders in de enquêtes gesponsorde vragen laten opnemen: “Wil je lid worden van ons netwerk van 1900 aangesloten webwinkels”? Dat lijkt specifiek en duidelijk, maar er stond niet bij wie dit dan waren, hoe vaak je de mails zou krijgen en waar dit dan over zou gaan. En oh ja, je kreeg ook mails van dat netwerk als je “nee” had gezegd. Auw.

Ook op het gebied van opt-out ging het mis. Meerdere bij Daisycon aangesloten partijen konden hetzelfde mailadres gebruiken, maar wie zich wilde afmelden kon dat slechts per nieuwsbrief. Er had ook een algemene opt-out moeten zijn voor álle nieuwsbrieven van aangesloten partijen.

Daisycon gaat in hoger beroep dus het is afwachten wat overeind blijft maar mij doet de uitspraak stevig en duidelijk aan. De geschetste praktijken zijn populair bij e-mailmarketeers maar buitengewoon irritant voor ontvangers. Het legt wel de bijl aan de wortel van handel in e-mailadressen, maar misschien moet dat ook maar eens gewoon kappen. (Haha, kappen en wortel.)

Arnoud

Hoe sneaky kun je zijn met je verstopte aanvinkvakjes?

Een lezer (dank S) stuurde me het onderstaande screenshot van de Nederlandse Spoorwegen, waar opt-in wordt gevraagd per e-mail. Oh en niet alleen dat, kijkt u zelf even?

ns-sneaky

Inderdaad, daar staat in de privacybeleidstekst nog een aanvinkvakje voor offline spam. Mag dat juridisch? Tsja. De wet zegt niets over papieren spam, dus je mag mensen informatie en aanbiedingen sturen per post of ze dat nu willen of niet. Pas nadat men verzet heeft aangetekend (opt-out), moet je daarmee ophouden. Maar jemig zeg, als je met vinkjes gaat werken hiervoor (wat erg netjes is, je kúnt ook gewoon brieven sturen en wachten op de verzetten) waaróm doe je dat dan in vredesnaam niet gewoon in het lijstje met de andere opt-ins?

NS Webcare, kom er maar in. Allemachtig.

Arnoud