Waarom mag een app gewoon verwijzen naar privacybeleid van derden?

| AE 9422 | Auteursrecht, Beveiliging | 2 reacties

Een lezer vroeg me:

Veel apps op de telefoon gebruiken analyticssoftware van derden. In de EULA en/of wordt er dan verwezen naar het privacy beleid van de derde partij en aangegeven dat ik daar moet zijn voor een opt-out. Nu vraag ik me af of dat zo wel mag. Is de leverancier van de App niet degene die dit met de derde partij moet regelen? Ik heb toch alleen een end-user overeenkomst met de leverancier van de App?

Het klopt dat je die software gebruikt onder een eindgebruikersovereenkomst (EULA) met die leverancier. Maar dat wil niet zeggen dat je dus altijd alleen maar een relatie met die partij hebt.

Een softwareleverancier mag software van derden bundelen. Dit kan gebeuren onder sublicentie – het gebruiksrecht is deel van de eigen EULA – of als aparte licenties. In dat laatste geval zou je dan ieder van die licenties apart moeten accepteren.

Meestal zal de leverancier die software van derden onder sublicentie verspreiden, zodat je geen aparte EULA per derde nodig zal hebben. Maar als die software iets doet waarbij data wordt opgeslagen of uitgelezen op je computer (terwijl dat niet technisch noodzakelijk is) dan is er desondanks toestemming nodig – dat is waar de cookiewet voor bedoeld is.

Wie precies die toestemming moet vragen, is onder de cookiewet altijd een lastige. Voor de hand ligt dat de derde dat moet doen – het is zijn analytics of andere opslag/uitlezen immers. Maar ik doe zaken met die ene leverancier en het boeit mij niet met wie hij samenwerkt, dus dan is het ook weer logisch dat hij toestemming vraagt voor zijn partners.

Als er geen toestemming wordt gevraagd, dan is het problematisch voor beide partijen, want dan overtreedt die software de cookiewet. (Tenzij het gaat om simpele first party analytics gefaciliteerd door een derde, dan is er geen toestemming nodig. Ook geen opt-out trouwens.)

Arnoud

Acht ton boete voor reclamemails wegens ontoereikende toestemming

| AE 7011 | E-mail | 4 reacties

daisycon-optin-email-spamDe Autoriteit Consument & Markt (ACM, voorheen OPTA) heeft acht ton boete opgelegd aan affiliatenetwerk Daisycon voor haar betrokkenheid bij het op grote schaal versturen van spamberichten. Het bedrijf had tussen oktober 2009 en juli 2011 enkele miljoenen reclamemails verstuurd op basis van de bekende zin “aanbiedingen van dit bedrijf en (geselecteerde) partners”. En de ACM oordeelt nu volstrekt terecht dat die zin zinloos is: opt-in voor mail moet specifiek en dat vereist zeggen wie de partners zijn. De zogeheten coregistratie is niet rechtsgeldig.

Daisycon is een affiliatenetwerk: men bemiddelt tussen adverteerders en websites. Websites die advertenties laten zien, krijgen een vergoeding als er bezoekers of concrete leads naar de adverteerder worden geleid. Naast websites konden ook reclames per mail worden gedaan. Zo werden per mail nieuwsbrieven als als de Nationale Consumenten Enquête rondgestuurd, met daarin advertenties voor Daisycon’s adverteerders.

De ACM oordeelt nu dat die mails ongevraagde commerciële communicatie zijn, oftewel dus spam, waarvoor geen toestemming is gegeven. En nou ja er stond wel een vakje bij (zie boven) waar het woord ‘toestemming’ in staat maar daarin werd verwezen naar ‘partners’ en als generieke term is dat onvoldoende.

In het onderzoeksrapport laat de ACM zien dat dit vér gaat. Ook als je wel degelijk partijen noemt, is het niet genoeg: de “en overige partners” wordt Daisycon stevig aangerekend zelfs nu deze niet wordt gebruikt. Bovendien

… nu de gebruikte privacy statements doorgaans geen uitputtende lijst bevatten, maar ook vermelddendat mogelijk andere derdenof niet nader gespecificeerde “partners” of “adverteerders”onderdeel uit maakten van de geselecteerde bedrijven. Hierbij moet worden opgemerkt dat Daisycon heeft verklaard dat zij geen gegevens daadwerkelijk heeft uitgeleverd aan partijendie niet bij naam waren opgenomen in het privacy statement. Dit laat echter onverlet dat het privacy statement niet uitputtend was en derhalve is een dergelijke bepaling onvoldoende specifiek.

Betekent dit nu dat in de vráág zelf de partners genoemd moeten worden? Het is juist dat je niet met een privacystatement kunt volstaan maar als ik een lijst heb met twintig partners dan moet het toch duidelijk zijn als ik zeg “klik hier voor de partners”?

Waar het ook misging, was dat de genoemde partners niet zelf reclame stuurden maar dat deden namens weer anderen. En dan gaat het inderdaad mis: toestemming is partijgebonden en kan niet worden overgedragen, verhuurd of verkocht.

Dat Daisycon de bestanden met mailadressen heeft ingekocht bij anderen, maakt voor de ACM niets uit. Terecht. Ook al staat er in je contract dat de leverancier van alles garandeert, dat is gewoon niet genoeg. Hooguit kun je met zo’n contract de boete dan verhalen op de leverancier. Maar je blijft zelf verantwoordelijk voor gebruik van aangekochte mailadressen.

In sommige gevallen hadden adverteerders in de enquêtes gesponsorde vragen laten opnemen: “Wil je lid worden van ons netwerk van 1900 aangesloten webwinkels”? Dat lijkt specifiek en duidelijk, maar er stond niet bij wie dit dan waren, hoe vaak je de mails zou krijgen en waar dit dan over zou gaan. En oh ja, je kreeg ook mails van dat netwerk als je “nee” had gezegd. Auw.

Ook op het gebied van opt-out ging het mis. Meerdere bij Daisycon aangesloten partijen konden hetzelfde mailadres gebruiken, maar wie zich wilde afmelden kon dat slechts per nieuwsbrief. Er had ook een algemene opt-out moeten zijn voor álle nieuwsbrieven van aangesloten partijen.

Daisycon gaat in hoger beroep dus het is afwachten wat overeind blijft maar mij doet de uitspraak stevig en duidelijk aan. De geschetste praktijken zijn populair bij e-mailmarketeers maar buitengewoon irritant voor ontvangers. Het legt wel de bijl aan de wortel van handel in e-mailadressen, maar misschien moet dat ook maar eens gewoon kappen. (Haha, kappen en wortel.)

Arnoud

Vooraf aangevinkte hokjes mogen niet meer!

| AE 6728 | Webwinkels | 20 reacties

checkbox-ja-nee-optin-optoutVanaf nu geldt een verbod op vooraf aangevinkte hokjes (pre-ticked boxes) die vaak worden gebruikt om consumenten ongemerkt extra (betaalde) opties in de maag te splitsen, meldde Webwereld vorige week. Dergelijke aanvinkvakjes moeten úit staan en alleen als de consument ze zelf actief aanzet, zit de consument eraan vast.

Bij de verboden alvastaangevinkteaanvinkvakjes gaat het om zaken als een verzekering, accessoires, een navigatie-unit en dergelijke upsells. Vaak zijn die aanvullende producten of dienten niet echt nodig, en gaf het dus een hoop ergernis dat je die toch gekocht bleek te hebben als je snel door het bestelproces heenklikte. Dat mag nu dus niet meer. Art. 6:230j BW:

De consument is niet zonder zijn uitdrukkelijke instemming gebonden aan een verbintenis tot een aanvullende betaling van een geldsom ter verkrijging van een prestatie die niet de kern van de prestatie is. Uit het gebruik van standaardopties die de consument moet afwijzen, kan geen uitdrukkelijke instemming worden afgeleid.

Opties mogen dus wel mits de vinkjes maar uit staan.

Natuurlijk kan het zijn dat je bij het product verplicht het een of ander moet afnemen. Dat is prima – zolang dat maar vooraf is gemeld én de productprijs inclusief die extra’s wordt gemeld. Je mag dus niet het basisproduct tonen en bij het bestelproces pas de verplichte verzendkosten, verzekering of administratiekosten in rekening brengen. Art. 6:230m BW eist in lid e namelijk dat je bij het product vermeldt:

de totale prijs van de zaken of diensten, met inbegrip van alle belastingen, of, als door de aard van de zaak of de dienst de prijs redelijkerwijs niet vooraf kan worden berekend, de manier waarop de prijs moet worden berekend, en, in voorkomend geval, alle extra vracht-, leverings- of portokosten en eventuele andere kosten of, indien deze kosten redelijkerwijs niet vooraf kunnen worden berekend, het feit dat er eventueel dergelijke extra kosten verschuldigd kunnen zijn.

Met “redelijkerwijs vooraf niet kunnen berekenen” bedoelen ze bijvoorbeeld verzendkosten die afhangen van het gewicht en/of dat het door de brievenbus kan of niet.

Het is een beetje jammer dat Webwereld als voorbeeld precies het enige aangevinktje hokje laat zien dat nog wél mag, namelijk de opt-out van een nieuwsbrief of reclame voor betalende klanten. En die mag wel vooraf aangevinkt zijn, omdat de wet hierbij geen opt-in eist maar een recht van verzet, oftewel een opt-out. Maar goed.

Hebben jullie wel eens zo’n optie gekocht zonder het vooraf te beseffen?

Arnoud

Opt-out: zo moet het dus niet!

| AE 1745 | Internetrecht | 68 reacties

Per 1 oktober worden zakelijke mailings aan banden gelegd. Commerciële, ideële en charitatieve mails aan zakelijke e-mailadressen mogen dan alleen nog met voorafgaande en ondubbelzinnige toestemming. Jaja, zult u denken, dat wisten we allemaal al (waarom het 1 oktober moest worden in plaats van de toegezegde 1 juli weet ik nog steeds niet). Dat het… Lees verder