Vooraf aangevinkte hokjes mogen niet meer!

checkbox-ja-nee-optin-optoutVanaf nu geldt een verbod op vooraf aangevinkte hokjes (pre-ticked boxes) die vaak worden gebruikt om consumenten ongemerkt extra (betaalde) opties in de maag te splitsen, meldde Webwereld vorige week. Dergelijke aanvinkvakjes moeten úit staan en alleen als de consument ze zelf actief aanzet, zit de consument eraan vast.

Bij de verboden alvastaangevinkteaanvinkvakjes gaat het om zaken als een verzekering, accessoires, een navigatie-unit en dergelijke upsells. Vaak zijn die aanvullende producten of dienten niet echt nodig, en gaf het dus een hoop ergernis dat je die toch gekocht bleek te hebben als je snel door het bestelproces heenklikte. Dat mag nu dus niet meer. Art. 6:230j BW:

De consument is niet zonder zijn uitdrukkelijke instemming gebonden aan een verbintenis tot een aanvullende betaling van een geldsom ter verkrijging van een prestatie die niet de kern van de prestatie is. Uit het gebruik van standaardopties die de consument moet afwijzen, kan geen uitdrukkelijke instemming worden afgeleid.

Opties mogen dus wel mits de vinkjes maar uit staan.

Natuurlijk kan het zijn dat je bij het product verplicht het een of ander moet afnemen. Dat is prima – zolang dat maar vooraf is gemeld én de productprijs inclusief die extra’s wordt gemeld. Je mag dus niet het basisproduct tonen en bij het bestelproces pas de verplichte verzendkosten, verzekering of administratiekosten in rekening brengen. Art. 6:230m BW eist in lid e namelijk dat je bij het product vermeldt:

de totale prijs van de zaken of diensten, met inbegrip van alle belastingen, of, als door de aard van de zaak of de dienst de prijs redelijkerwijs niet vooraf kan worden berekend, de manier waarop de prijs moet worden berekend, en, in voorkomend geval, alle extra vracht-, leverings- of portokosten en eventuele andere kosten of, indien deze kosten redelijkerwijs niet vooraf kunnen worden berekend, het feit dat er eventueel dergelijke extra kosten verschuldigd kunnen zijn.

Met “redelijkerwijs vooraf niet kunnen berekenen” bedoelen ze bijvoorbeeld verzendkosten die afhangen van het gewicht en/of dat het door de brievenbus kan of niet.

Het is een beetje jammer dat Webwereld als voorbeeld precies het enige aangevinktje hokje laat zien dat nog wél mag, namelijk de opt-out van een nieuwsbrief of reclame voor betalende klanten. En die mag wel vooraf aangevinkt zijn, omdat de wet hierbij geen opt-in eist maar een recht van verzet, oftewel een opt-out. Maar goed.

Hebben jullie wel eens zo’n optie gekocht zonder het vooraf te beseffen?

Arnoud

Wat gaan we nou eens doen met die cookiewet?

cookie-bril.jpgNederlandse websites schenden massaal de privacywetgeving door informatie over surf- en klikgedrag van bezoekers, zonder hun toestemming, door te geven aan advertentiebedrijven, meldde NRC gisteren. Grote woorden: het gaat zo te lezen om de inzet van Google Analytics en dergelijke tools, niet om drones die bij de bezoeker in de slaapkamer het gedrag livestreamen naar Dumpert.nl. De reacties van enkele sites zijn dan ook schouderophalend. Uiteraard schuimbekken de politici – het is immers verkiezingstijd – over deze grove schending. Maar eh jongens wat gaan we nou eens dóen met die stomme cookiewet?

De cookiewet is in 2012 aangenomen in de verwachting dat websites dan minder cookies zouden droppen, want toestemming vragen was toch best vervelend en de privacy van de bezoeker staat toch hoog in het vaandel bij elke site, getuige immers hun privacyverklaringen. Maar de reactie was een massaal “deze wet is gek” en veel partijen gingen gewoon door met cookies zetten, of plaatsten een niet te ontwijken toestemmingsknop op hun site om zo die toestemming af te dwingen. Ik ken geen site die heeft gezegd, wat een goed idee die cookiewet, wij stoppen met het tracken van onze bezoekers.

Dat dit niet mag, staat boven kijf. De cookiewet eist dat je toestemming hebt verkregen om cookies te mogen plaatsen, en wanneer zo’n cookie gebruikt wordt voor tracking of profiling dan val je ook nog eens onder de Wet bescherming persoonsgegevens met haar eisen over inzage, correctie en zorgvuldige verwerking.

Om toch te kunnen tracken, wrong menig site zich in allerlei bochten. De populairste bocht was bovenaan een zwarte balk met “Wij zetten cookies, daar gaat u mee akkoord door deze site te blijven gebruiken”. En heel vaak roepen dat deze opt-out een opt-in was, hielp daar ook bij. Maar vooral het feit dat de OPTA – tegenwoordig ACM – geen zichtbare actie ondernam tegen sites die op deze manier de wet schenden, was een grote klap voor de geloofwaardigheid van die wet.

De doodsteek kwam toen de minister een wetsvoorstel aankondigde om analyticscookies buiten de wet te plaatsen. Cookies met als doel “informatie verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij” die “geen of geringe gevolgen” voor de privacy hadden, zouden dan legaal zijn zonder toestemming. Volgens de minister mag dat van Europa, omdat het doel van de cookiewet is de privacy te waarborgen dus hoeven privacymetrustlatende cookies niet onder de wet te vallen. Dat de Europese cookiewet expliciet naar álle cookies verwijst en mede als doel heeft te zorgen dat er geen informatie op iemands harddisk komt zonder toestemming, zal ik dan maar niet te hard zeggen.

De ophef en frustratie – om niet te zeggen sábotage – bij de cookiewet is ergens wel begrijpelijk want het voorziene systeem is onwerkbaar. En we zijn zó gewend aan uitgebreide analytics en monitoring van onze websites dat het voelt alsof we weer terug moeten naar paard en wagen. En ook als privacymindende gebruiker heb ik een hekel aan de cookiewet: waar ik vroeger met een cookieblocker prima kon surfen, krijg ik door diezelfde blocker nu elke keer die stomme balken in beeld. Ik moet nu dus akkoord geven op privacyschendingen die ik voorheen kon voorkomen. Hoe is dat vooruitgang?

Goed. Ja ik ben alweer rustig. Maar de vraag blijft: wat gaan we doen met die cookiewet? Het lijkt me duidelijk dat het ding niet werkt zoals verwacht. En als een wet zó massaal wordt genegeerd en gepasseerd, dan wordt het lijkt mij de hoogste tijd eens wat aan die wet te gaan doen (u krijgt nog de groeten van de Auteurswet 1912). Ik zou alleen niet weten wat.

De belangrijkste beperking die ik zie, is dat het systeem van toestemming fundamenteel niet werkt. Mensen willen geen ja of nee zeggen tegen privacy-dingen, ze willen hun plaatje of filmpje of grappig artikel. Denken dat mensen met voldoende uitleg en knoppen wél gaan nadenken hierover, vind ik uitermate naïef. De enige reële route is volgens mij in de wet opnemen wat er wel en niet mag, bijvoorbeeld via een grijze en zwarte lijst van privacyschendingen. Zwartelijstverwerkingen mogen dan nooit (bv. individuele profielen die gezondheidsinformatie bevatten aan verzekeraars geven) en grijzelijstverwerkingen mogen dan alleen als de verwerker kan aantonen een groot belang te hebben én de privacyinbreuk wordt geminimaliseerd (bv. Google Streetview met opt-out). Dan hoef je het de mensen niet meer te vragen en voeren we het debat over privacy waar het hoort: in het parlement, bij het maken van een wet hierover.

Ja, ik kan lang wachten op zulke lijsten, ik weet het. Maar wat gaan we dan wél doen met die cookiewet?

Arnoud

Mag een werkgever zijn werknemers op een nieuwsbrief inschrijven?

discount-korting-afgeprijsd-actie-aktie.pngEen lezer vroeg me:

Mag een werkgever zijn werknemer op nieuwsbrieven van derden inschrijven? Bij mijn bedrijf krijg ik wekelijks een nieuwsbrief die korting biedt op kunst, cultuur en entertainment. Ik heb me hier niet voor opgegeven, maar mijn werknemerwerkgever heeft iedereen tegelijk hiervoor ingeschreven. Is dat legaal?

Wanneer het gaat om werkgerelateerde zaken, heeft de werkgever zeggenschap hoe dat werk wordt uitgevoerd. Een werkgever mag dus bepalen dat de werknemer bepaalde informatie moet lezen, en mag die dan ook meteen toesturen of op het bureau van de werknemer leggen. Dat zou dus ook prima een nieuwsbrief van een derde kunnen zijn.

Wel moet het gaan om werkgerelateerde informatie. Een werkgever kan niet namens de werknemer opt-in geven voor een nieuwsbrief die niets met het werk te maken heeft. En dat is volgens mij waar het hier om gaat: die kortingsregeling is een leuk kado aan de werknemers, maar die staat los van het werk dus kan de werkgever niet besluiten dat de werknemer dit mag ontvangen.

Er kan hier trouwens nog een privacygerelateerd ding meespelen. Om zo’n kortingsregeling mogelijk te maken, heeft de werkgever waarschijnlijk de contactgegevens van de werknemer aan die kortingspartij gegeven. Dát is dubieus want ook dat staat los van het werk en vereist dus aparte toestemming. En bij toestemming gevraagd door een werkgever geldt dan nog eens dat je vrijelijk moet kunnen weigeren. Dus niet “als jij niet meedoet dan komen we niet in de 20% categorie!”

Ik vraag me dan altijd af of dit gewoon naïviteit is of iets anders. Je kunt toch op je vingers natellen dat als je mensen nieuwsbrieven gaat sturen die neits met werk te maken hebben, je daar gedoe mee krijgt?

Arnoud

Voor hoe veel dingen mag je in één keer opt-in vragen met een aanvinkvakje?

Via Twitter (dank) kregen we een heel uitgebreid aanvinkvakje aangereikt:

aanvinkvakje-groot-voorbeeld

Meestal bevat zo’n aanvinkvakje niet meer tekst dan “ik wil de nieuwsbrief ontvangen”, of “ik ga akkoord met mail van zorgvuldig geselecteerde derden. Of het foute “ik ga akkoord met de privacyverklaring“. Of het buitengewone zen “ik ga akkoord” en dan verder niets, dat ik ooit zag maar vergat te screenshotten.

Dergelijke generieke teksten zijn fout – nou ja, de eerste is wel oké maar biedt alleen ruimte om een door het bedrijf zelf uitgegeven mailing met nieuws te versturen. (En nee, “onze partner XYZ heeft een fantastische aanbieding voor u” is géén nieuws”.) Je kunt immers voor commerciële e-mail alleen opt-in krijgen als men specifiek ergens mee akkoord gaat. Specifiek en geïnformeerd – het moet er dus bij staan, wie er gaan mailen en wat voor inhoud dat wordt.

Je mag dergelijke informatie niet verstoppen in privacyverklaringen of algemene voorwaarden. Ik denk dat je nog nét wegkomt met een lijst namen die je aanklikbaar aan de tekst “onze sponsoren” of iets dergelijks hangt. Maar dat heeft het probleem dat je de lijst niet kunt updaten, wat veel handige jongens met leuke leadhandeltjes graag willen kunnen doen.

Deze site heeft een creatieve oplossing. Men noemt specifiek Essent en Yarden (wat een combinatie) als partijen die mogen bellen, en vermeldt bij vragen van de quiz nog specifieke sponsoren die mogen bellen. Die sponsoren kunnen wijzigen, en mensen die na zo’n wijziging meespelen kun je dus verhandelen aan de nieuwe sponsoren.

Het gehele bestand gebruikt Smartphonewinnen.nl zelf om “interessante nieuwsbrieven, aanbiedingen en leuke prijsvragen” heen te sturen. Of dát mag, is een andere moeilijke discussie. Als opt-in kan dit denk ik net, hoewel het nogal generiek is. Als de opt-in niet genoeg is, dan wordt vaak het excuus gebruikt dat “je toch klanten mag mailen zonder opt-in”. Dat is wel waar, maar iemand die een gratis dienst afneemt is volgens de ACM (voorheen de OPTA) geen klant. Een klant koopt iets, oftewel die geeft je geld. Servicemails zijn een ander verhaal maar die mogen geen commerciële inhoud bevatten.

Ik vind de oplossing alles bij elkaar netjes volgens ’t boekje maar het voelt toch niet helemaal lekker. Lezen mensen wél een blok tekst als je dat onder het aanvinkvakje zet? Is dit de manier waarop het hóórt te werken?

Oh en geheel andere context maar ’t is zomer: nóg zo’n propvol bord.

Arnoud

Ga wég met je optionele aanvinkvakjes bij installatie van software

Gisteren blogde ik op Cookierecht over het aanvinkvakje van Oracle’s Java-installer bij de Ask.com toolbar. Dat vinkje staat alvast aan, en wie de toolbar niet wil, moet het weghalen. Dat moet je maar net even zien. En nee, dat mag niet van de cookiewet. Maar het kan nóg erger: de installatiezin van AVG Toolbar waar ik gewoon juridisch jeuk van krijg.

Dit is hoe het pakket PowerISO de AVG toolbar presenteerde bij installeren:

powerisoavg

Ziet u hem? “Set, keep and protect AVG Secure Search as my homepage and default search provider.” Dus niet alleen “installeer dit” maar ook “neem alle mogelijke maatregelen die u goeddunkt om te verhinderen dat dit product ooit nog wordt gedeïnstalleerd of aangepast.” Wat zou “keep and protect… as my homepage” anders moeten betekenen?

Na klachten ging AVG dit aanpassen, als volgt:

avgcompliantscreen-v2

Dit is duidelijker dát er iets gaat gebeuren, maar de standaardkeuze staat nog steeds op “doe het” en dat kan ik geen opt-in noemen. Bovendien: die jeukzin staat er gewoon nog stééds. En alleen al daarom zou ik nooit zo’n pakket durven installeren.

Dan zijn er ook nog allerlei pakketten die de tekst omkeren: als u niet wilt dat deze toolbar niet uw default wordt, verwijder dan het vinkje waarbij staat “Installeer deze software niet”.

Wat is de gemeenste installatie-truc die jullie kennen?

Arnoud

NS stuurt mailing ondanks expliciete opt-out

ns-spam.pngCollega Michaël meldde het net voor het weekend: hij kreeg spam van de NS terwijl hij zich had afgemeld voor dergelijke mails. En in de mail stond nog eens dat hij zich expliciet moet gaan afmelden voor nieuwe mailings over “reisinformatie en serviceberichten”. Ook van andere mensen hoorde ik dat ze deze mail hebben gehad hoewel ze zich eerder voor alle mogelijke zaken hebben afgemeld.

Op zich heeft de NS wel degelijk het recht om haar klanten te spammen. Artikel 11.7 lid 3 Telecommunicatiewet staat toe om klanten mails te sturen voor “gerelateerde producten en diensten”, mits

bij elke overgebrachte communicatie de mogelijkheid wordt geboden om onder dezelfde voorwaarden verzet aan te tekenen tegen het verder gebruik van zijn elektronische contactgegevens.

Michaël en de andere mensen die me mailden, hebben dat verzet gebruikt en mogen dus geen reclamemails meer krijgen. Daar valt m.i. ook onder nieuwe soorten “reisinformatie en serviceberichten” want opt-out is opt-out: niet meer mailen dus. Het zou wel erg makkelijk zijn om om een verzet heen te komen door je bestaande nieuwsbrief een nieuwe naam te geven.

Spamklacht indienen dus, zou je zeggen. Maar opmerkelijk genoeg kom je niet door de spamklachtwizard heen. Deze meldt namelijk als je alles eerlijk invult:

Het spamverbod is niet van toepassing op berichten waar u zichzelf voor aangemeld heeft. Ook mag een bedrijf dat uw e-mailadres van u heeft gekregen bij de verkoop van een product of een dienst u gerelateerde berichten zenden, zelfs indien u daar destijds niet expliciet toestemming voor hebt gegeven. OPTA kan uw klacht daarom niet in behandeling nemen.

Als uitgangspunt klopt het, maar je hebt het recht om te allen tijde bezwaar (‘verzet’) aan te tekenen tegen zulke mailings. En vanaf dat moment mag er géén mail meer verstuurd worden.

Update (11 mei): OPTA laat weten dat ook het negeren van aangetekend verzet wel degelijk een klacht dient op te leveren. OPTA meldt: “Ook tegen dit ’type’ spam treden wij op. Want het is uiteraard in strijd met de wet wanneer een bedrijf – ondanks eerder aangetekend verzet tegen verder gebruik van je elektronische contactgegevens – desondanks toch nog berichten verzendt. Wij zullen dit op www.spamklacht.nl dan ook snel verduidelijken. Tot die tijd verzoeken wij klagers om bij de vraag over voorafgaande toestemming aan te vinken dat hij of zij géén toestemming heeft gegeven.”

Wie heeft er nog meer deze mailing gehad, nadat hij zich had afgemeld voor commerciële mails?

Arnoud

Is uw zakelijk mailbestand al opt-in?

spam-verboden.pngGisteren blogde ik op onze ICTRecht weblog over het uitgebreide spamverbod dat per 1 juli in werking zal treden. De grote uitdaging voor veel bedrijven wordt namelijk: welke adressen hadden we ook alweer via opt-in verkregen en welke dachten we tot in de eeuwigheid te mogen spammen?

U mag er daarbij niet vanuit gaan dat mensen die nooit hebben geklaagd over uw mailings, daarmee toestemming hebben gegeven. Opt-in wil zeggen expliciete toestemming. Stilzwijgen is niet genoeg – wie weet gooit men die mails wel ongelezen weg.

Ik ben echt heel benieuwd hoe bedrijven dit gaan aanpakken. Iemand enig idee? Of ben ik te pessimistisch over het opt-ingehalte (optingehalte? opt-in-gehalte?) van de gemiddelde Nederlandse bedrijfse-maildatabase (bedrijfsemaildatabase? bedrijfse-mail-database?) En wat zijn de spellingregels over samengestelde woorden met koppelstreepjes?

(Oh ja, beste Loek: het is ICTRecht zonder spatie.)

Arnoud