Moet je bij een Linkedin-wervingsbericht een opt-out opnemen?

| AE 10517 | Privacy | 18 reacties

Een lezer vroeg me:

Onder de AVG ben je verplicht om bij alle direct marketing uitingen mensen apart te wijzen op het recht van opt-out (verzet). Hoe pakt dat uit bij Linkedinberichten, waar immers het doel van de dienst bestaat uit het contacteren van mensen voor (in mijn geval) bijvoorbeeld personeelsbemiddeling? Het is volstrekt ondoenlijk om op een dergelijk platform het recht van verzet onder elk bericht te plaatsen. Los van de karakterlimiet en de wijze waarop het volstrekt legitiem en vaak welkom contact besmeurt, zal het niet de bedoeling van de wetgever zijn om zich te mengen in contact waar mensen zich nota bene expliciet voor hebben aangemeld. Toch heb ik geen uitzondering kunnen vinden en lijkt het (hoewel enigszins theoretisch) nog steeds verplicht om ook via Linkedin mensen te wijzen op hun recht van verzet.

Vanaf 25 mei heb je inderdaad het recht op verzet oftewel opt-out bij iedere vorm van direct marketing. Wanneer je geen zin (meer) hebt in dergelijke gerichte reclame, kun je daar op ieder moment eenvoudig en gratis bezwaar tegen maken en dat moet dan stoppen.

Bijzonder aan dit recht van verzet is dat het bij de direct marketing berichten zelf gemeld moet worden, en ook nog eens apart en gescheiden van andere informatie. Je mag dit dus niet apart in je privacyverklaring verstoppen, het moet duidelijk en direct te vinden zijn zodat mensen dat recht direct uit kunnen oefenen. Toegegeven, dat is onhandig als je via een kort berichtje via de chatfunctie van Linkedin jezelf wilt voorstellen en wilt hengelen naar een zakelijk kopje koffie met winstoogmerk.

Ik denk alleen dat het bij LinkedIn anders werkt. Je kunt (moet?) op je profiel aangeven dat je wel of niet openstaat voor arbeidsbemiddeling (“Beschikbaar voor nieuwe carrièrekansen”). Binnen de context van Linkedin mag je dat opvatten als toestemming. Denk ik. En daarmee kunnen mensen dus die berichten sturen onder de grondslag toestemming, waarbij je dan géén recht van verzet hoeft te bieden. Toestemming is immers intrekbaar, verzet is niet aan de orde. Maar het is niet verplicht apart en uitdrukkelijk te zeggen dat toestemming kan worden ingetrokken.

Eerlijk gezegd weet ik niet of dit nu het grootste probleem is onder de AVG. Het lost zichzelf ook op, want wie al te hard die berichten stuurt krijgt een verbanning van Linkedin. En dan is er juridisch gezien verder geen probleem.

Arnoud

Mag een vereniging met instemming van de ALV je postadresverkopen?

| AE 10444 | Privacy | 18 reacties

Verandering in de manier waarop de KNLTB met jouw persoonsgegevens omgaat, las ik op de site van de Koninklijke Nederlandse Lawn Tennis Bond (KNLTB), en ik moest ook even zoeken wat de L was. De verandering houdt in dat men op zoek gegaan is naar manieren om “meerwaarde voor jouw KNLTB-lidmaatschap te creëren”, wat inderdaad neerkomt op “we gaan je persoonlijke informatie verkopen”. Maar geen zorgen, de ALV heeft ingestemd met deze nieuwe manier van werken en je kunt je altijd afmelden. Maar, wacht, AVG, wat?

Tussen de regels door lees ik dat de KNLTB op zoek is naar extra bronnen van inkomens, en haar ledenlijst als een waardevol betaalmiddel ziet. Daarom is besloten om die ledenlijst eens commercieel te activeren, door ze aan (ongetwijfeld zorgvuldig geselecteerde) partners te geven. Deze mogen dan bellen of brieven sturen met reclame, totaal maximaal drie keer per kwartaal. E-mail is uitgezonderd, daarvoor moeten leden een aparte opt-in geven vanwege het spamverbod uit de Telecomwet.

Het deed me denken aan de KNVB, die als vereniging het besluit nam om namens leden toestemming te geven. Maar dat is niet het geval hier, want de FAQ biedt zowaar een juridische uitleg:

De grondslag voor het delen van persoonsgegevens met partners van de KNLTB is gebaseerd op een gerechtvaardigd belang, dat is ontstaan door de beslissing die de Ledenraad hierover heeft genomen in december 2017. Het delen van persoonsgegevens geldt voor eigen acties en promotionele acties van partners van de KNLTB of partijen waarmee de KNLTB een samenwerking is aangegaan.

Dit schuurt bij mij een beetje want het lijkt allemaal sterk op wat er in de AVG staat, maar het klopt volgens mij net niet. Het klopt dat je je kunt beroepen op een eigen gerechtvaardigd belang, en dan mag je persoonsgegevens gebruiken zonder toestemming. Direct marketing wordt in de AVG genoemd als een dergelijk belang, en in principe kun je dat dan doen mits je een opt-out toepast. Dat belang kan van de verantwoordelijke (de KNLTB) zelf zijn of van een derde, dus die marketing zou ook door een partner kunnen gebeuren. De relevantie van het besluit van de ledenraad zie ik niet direct, je hebt als organisatie een belang of niet en daarover stemmen verandert je belang niet, volgens mij.

Alleen wat ontbreekt en wat nou net de kern is van dat belang is dat er een áfweging achteraan komt waarom dit gepast is gezien de privacy en je eigenlijk geen andere optie hebt dan deze invulling. En dat is waar het bij direct marketing al heel snel misgaat. Toestemming vragen is immers niet moeilijk – in tegenstelling tot bijvoorbeeld cameratoezicht of fraude-detectie.

Daar staat tegenover dat de verkochte gegevens alleen je postadres en telefoonnummer zijn. De privacy-impact van reclame per post vind ik kleiner dan e-mail, zeker omdat er geen persoonlijke interesses en dergelijke worden verkocht. Behalve dan dat je houdt van lawn tennis natuurlijk.

Daarom denk ik dat dit misschien toch wel door de beugel kan, mede vanwege de duidelijke communicatie en de afmeldmogelijkheid. De KNTLB moet er wel zelf voor zorgen dat die partners je gegevens dan ook weggooien, overigens.

Arnoud

Mag direct marketing per post straks ook niet meer van de AVG?

| AE 9691 | Ondernemingsvrijheid, Privacy | 26 reacties

Een lezer vroeg me:

Recent kreeg ik geadresseerde reclame per post van een webshop waar ik vorig jaar wat had gekocht. Dat is dus een verwerking van mijn persoonsgegevens! Kan ik daar straks onder de Privacyverordening wat tegen doen? Er is nooit om toestemming gevraagd voor reclamepost namelijk.

Het klopt dat het toesturen van geadresseerde reclamepost vanaf 25 mei dus onder de Privacyverordening (AVG of GDPR) gaat vallen. Die wet geldt immers niet alleen voor elektronische communicatie, maar voor álle verwerkingen van persoonsgegevens. (Onder de huidige wet valt het er denk ik buiten, omdat het gaat om een niet-elektronische verwerking die niet gericht is op opname in een bestand.)

Dat wil niet zeggen dat er dús toestemming nodig is voor het verzenden van post. Dat is een van de grondslagen, maar er zijn er meer. Als de post nodig is voor uitvoering van een overeenkomst (je bestelling moet opgestuurd, of nazending van een reserve-onderdeel bijvoorbeeld) dan mag dat natuurlijk ook gewoon.

En voor direct marketing is er nog een grond: het eigen gerechtvaardigd belang. Kort gezegd moet de verzender van die post dan een goede reden hebben om het bericht te versturen, en direct marketing en reclame is een dergelijk belang, zo staat in de AVG (overweging 47). Wel moet hij een privacy-afweging maken: hoe ernstig is de privacy-inbreuk die ik maak met deze post?

Ik denk dat dit in principe wel positief voor de verzender uit zal pakken. Reclame in de post is irritant maar moeilijk een schending van je persoonlijke levenssfeer te noemen. Dat zou ik pas zien als je adressen werden verkocht of verhuurd aan derden. Ik denk dat dát gewoon echt verboden is vanaf 25 mei.

Wel heb je als ontvanger van dergelijke berichten een recht van bezwaar:

De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens [op grond van een eigen gerechtvaardigd belang].

Het bezwaar moet gebaseerd zijn op de specifieke situatie van de betrokkene. Hij mag dus niet volstaan met algemene of principiële bezwaren tegen verwerking van zijn gegevens, maar moet specifieke omstandigheden aandragen. Een voorbeeld zou zijn dat een medewerker in een rolstoel bezwaar maakt tegen een vertoning van camerabeelden waar gezichten zijn uitgeblurd; in zijn specifieke situatie is hij dan immers nog steeds herkenbaar.

Bij geadresseerde reclamepost is het niet zo evident, verder dan “ik vind het irritant” kom ik niet en ik betwijfel of dat genoeg is. En dat zou betekenen dat de afzender het bezwaar gemotiveerd mag afwijzen. Maar gelukkig is er een sterkere variant voor direct marketing:

Wanneer persoonsgegevens ten behoeve van direct marketing worden verwerkt, heeft de betrokkene te allen tijde het recht bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens voor dergelijke marketing, met inbegrip van profilering die betrekking heeft op direct marketing. … Wanneer de betrokkene bezwaar maakt tegen verwerking ten behoeve van directe marketing, worden de persoonsgegevens niet meer voor deze doeleinden verwerkt.

Hier is gewoon géén reactie op mogelijk, anders dan het bestand meteen op te schonen. Je hebt dus een keihard recht van opt-out.

Daar komt bij dat de afzender je vooraf moet melden dát hij je gegevens voor direct marketing gaat gebruiken:

21.4. Het in de leden 1 en 2 bedoelde recht wordt uiterlijk op het moment van het eerste contact met de betrokkene uitdrukkelijk onder de aandacht van de betrokkene gebracht en duidelijk en gescheiden van enige andere informatie weergegeven.

Om de betrokkene te informeren over dit recht van bezwaar, dient de verwerkingsverantwoordelijke dit expliciet aan hen te melden. Deze informatie moet uitdrukkelijk en apart gebeuren. Gescheiden van andere informatie betekent dus niet bijvoorbeeld slechts in de privacyverklaring.

Arnoud

Acht ton boete voor reclamemails wegens ontoereikende toestemming

| AE 7011 | Privacy | 4 reacties

De Autoriteit Consument & Markt (ACM, voorheen OPTA) heeft acht ton boete opgelegd aan affiliatenetwerk Daisycon voor haar betrokkenheid bij het op grote schaal versturen van spamberichten. Het bedrijf had tussen oktober 2009 en juli 2011 enkele miljoenen reclamemails verstuurd op basis van de bekende zin “aanbiedingen van dit bedrijf en (geselecteerde) partners”. En de… Lees verder

Vooraf aangevinkte hokjes mogen niet meer!

| AE 6728 | Ondernemingsvrijheid | 20 reacties

Vanaf nu geldt een verbod op vooraf aangevinkte hokjes (pre-ticked boxes) die vaak worden gebruikt om consumenten ongemerkt extra (betaalde) opties in de maag te splitsen, meldde Webwereld vorige week. Dergelijke aanvinkvakjes moeten úit staan en alleen als de consument ze zelf actief aanzet, zit de consument eraan vast. Bij de verboden alvastaangevinkteaanvinkvakjes gaat het… Lees verder

Opt-out: zo moet het dus niet!

| AE 1745 | Informatiemaatschappij | 68 reacties

Per 1 oktober worden zakelijke mailings aan banden gelegd. Commerciële, ideële en charitatieve mails aan zakelijke e-mailadressen mogen dan alleen nog met voorafgaande en ondubbelzinnige toestemming. Jaja, zult u denken, dat wisten we allemaal al (waarom het 1 oktober moest worden in plaats van de toegezegde 1 juli weet ik nog steeds niet). Dat het… Lees verder