Mag direct marketing per post straks ook niet meer van de AVG?

Een lezer vroeg me:

Recent kreeg ik geadresseerde reclame per post van een webshop waar ik vorig jaar wat had gekocht. Dat is dus een verwerking van mijn persoonsgegevens! Kan ik daar straks onder de Privacyverordening wat tegen doen? Er is nooit om toestemming gevraagd voor reclamepost namelijk.

Het klopt dat het toesturen van geadresseerde reclamepost vanaf 25 mei dus onder de Privacyverordening (AVG of GDPR) gaat vallen. Die wet geldt immers niet alleen voor elektronische communicatie, maar voor álle verwerkingen van persoonsgegevens. (Onder de huidige wet valt het er denk ik buiten, omdat het gaat om een niet-elektronische verwerking die niet gericht is op opname in een bestand.)

Dat wil niet zeggen dat er dús toestemming nodig is voor het verzenden van post. Dat is een van de grondslagen, maar er zijn er meer. Als de post nodig is voor uitvoering van een overeenkomst (je bestelling moet opgestuurd, of nazending van een reserve-onderdeel bijvoorbeeld) dan mag dat natuurlijk ook gewoon.

En voor direct marketing is er nog een grond: het eigen gerechtvaardigd belang. Kort gezegd moet de verzender van die post dan een goede reden hebben om het bericht te versturen, en direct marketing en reclame is een dergelijk belang, zo staat in de AVG (overweging 47). Wel moet hij een privacy-afweging maken: hoe ernstig is de privacy-inbreuk die ik maak met deze post?

Ik denk dat dit in principe wel positief voor de verzender uit zal pakken. Reclame in de post is irritant maar moeilijk een schending van je persoonlijke levenssfeer te noemen. Dat zou ik pas zien als je adressen werden verkocht of verhuurd aan derden. Ik denk dat dát gewoon echt verboden is vanaf 25 mei.

Wel heb je als ontvanger van dergelijke berichten een recht van bezwaar:

De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens [op grond van een eigen gerechtvaardigd belang].

Het bezwaar moet gebaseerd zijn op de specifieke situatie van de betrokkene. Hij mag dus niet volstaan met algemene of principiële bezwaren tegen verwerking van zijn gegevens, maar moet specifieke omstandigheden aandragen. Een voorbeeld zou zijn dat een medewerker in een rolstoel bezwaar maakt tegen een vertoning van camerabeelden waar gezichten zijn uitgeblurd; in zijn specifieke situatie is hij dan immers nog steeds herkenbaar.

Bij geadresseerde reclamepost is het niet zo evident, verder dan “ik vind het irritant” kom ik niet en ik betwijfel of dat genoeg is. En dat zou betekenen dat de afzender het bezwaar gemotiveerd mag afwijzen. Maar gelukkig is er een sterkere variant voor direct marketing:

Wanneer persoonsgegevens ten behoeve van direct marketing worden verwerkt, heeft de betrokkene te allen tijde het recht bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens voor dergelijke marketing, met inbegrip van profilering die betrekking heeft op direct marketing. … Wanneer de betrokkene bezwaar maakt tegen verwerking ten behoeve van directe marketing, worden de persoonsgegevens niet meer voor deze doeleinden verwerkt.

Hier is gewoon géén reactie op mogelijk, anders dan het bestand meteen op te schonen. Je hebt dus een keihard recht van opt-out.

Daar komt bij dat de afzender je vooraf moet melden dát hij je gegevens voor direct marketing gaat gebruiken:

21.4. Het in de leden 1 en 2 bedoelde recht wordt uiterlijk op het moment van het eerste contact met de betrokkene uitdrukkelijk onder de aandacht van de betrokkene gebracht en duidelijk en gescheiden van enige andere informatie weergegeven.

Om de betrokkene te informeren over dit recht van bezwaar, dient de verwerkingsverantwoordelijke dit expliciet aan hen te melden. Deze informatie moet uitdrukkelijk en apart gebeuren. Gescheiden van andere informatie betekent dus niet bijvoorbeeld slechts in de privacyverklaring.

Arnoud

In ons bedrijfshandboek staat dat e-mail als bedrijfspost geldt!

Een lezer vroeg me:

In het bedrijfshandboek van mijn kantoor staat dat e-mail dient te worden beschouwd als het elektronisch equivalent van zakelijke post, en dat de directie derhalve zich het recht voorbehoudt e-mail te lezen als zij daar aanleiding toe ziet. Oftewel, ze mogen je mail lezen als ze willen. Kan dat zomaar?

Dat bedrijfshandboek gaat wat kort door de bocht. E-mail is wezenlijk anders dan gewone post. Waar je bij post nog kunt zeggen, dat zal 99% zeker weten zakelijk zijn, is dat bij e-mail echt heel anders. Mensen zien dat als persoonlijker, informeler en daarmee moet je dan rekening houden als werkgever.

Verder is het zo dat een werknemer ook op het werk gewoon recht heeft op (enige) privacy. Niet zo veel als thuis, maar ook niet nul. Daarom mag je als werkgever niet zomaar in de e-mail kijken.

Het eerste dat je nodig hebt om werknemersmails te lezen is een reglement dat uitlegt wanneer en waarom dat gebeurt. “Altijd en als wij zin hebben” is daarbij niet genoeg, dat houdt namelijk geen rekening met de privacy van de werknemers. Geef maar criteria: collega’s als die waarnemen bij ziekte, de ICT-er bij technische problemen of virussen, de directie bij wanfunctioneren of vermoeden van diefstal, et cetera.

Daarnaast moet de reden wel sterk genoeg zijn om het lezen te kunnen rechtvaardigen. De voorbeelden uit de vorige alinea zijn vrij standaard, maar ik zie ook wel bedrijven die zeggen “als je output op een dag onder de X zakt” of “als je meer dan X mails naar externe partijen stuurt”. Dat gaat een beetje ver natuurlijk.

Je mag ook niet méér lezen dan nodig is voor het doel. Die ICT-er mag bijvoorbeeld een virusscanner loslaten op je mailbox en de mails bekijken waar deze op afgaat, maar niet handmatig alles lezen of je wellicht rare dingen binnenkrijgt. Een twijfelaar is voor mij alle berichten met bijlage openen om te zien of de extensie iets van .jpg.exe is.

Een handboek gaat hier niets aan veranderen. Privacy is een grondrecht, en daar doorheen gaan vereist sterke rechtvaardigingen. Die kun je niet op voorhand met standaardzinnen claimen. Het handboek is wel nódig, want zonder uitgewerkte regeling mag er niets. Maar de regeling moet binnen de wet passen.

Ik blijf het vragen: wat is dat toch met e-mail en ICT, dat mensen meteen “ik kan alles, dus ik mag alles” denken?

Arnoud

Mag mijn werkgever zomaar mijn inkomende post scannen en mailen?

e-mail-email-brief-post-envelopEen lezer vroeg me:

Op mijn werk geldt sinds kort de regel dat alle papieren post centraal wordt geopend, gescand en per e-mail wordt doorgestuurd naar de medewerker. Dit “vanwege de efficiency”. Maar soms wordt die mail naar een centraal adres of een collega gestuurd. Ik voel me hier niet prettig bij, kan dit zomaar?

In principe kan dit. De werkgever bepaalt hoe het werk wordt uitgevoerd, dus als hij vindt dat post voortaan als gescande mail het bedrijf in moet, dan heb jij daar maar mee te werken. Ook als hij vindt dat bepaalde brieven naar een centraal adres of een collega moeten, dan is dat in principe zijn bevoegdheid.

Natuurlijk is het de vraag of zoiets wel handig is, maar uiteindelijk is dat een zakelijke beslissing.

Je beroepen op briefgeheim zal niet veel zin hebben: het briefgeheim is met name iets voor de postbode en voor onbevoegden die jouw post in handen hebben gekregen. Maar je werkgever is bevoegd wanneer de post aan het bedrijf is geadresseerd, ook als het ter attentie van jou is.

Een uitzondering zou moeten gelden als de post evident persoonlijk is. Ook op het werk heb je immers recht op privacy. Bij post die dan ook expliciet als “persoonlijk” of “uitsluitend voor geadresseerde” is gemarkeerd, zou je dan ook mogen verwachten dat die niet wordt gescand maar als stuk papier aan je wordt overhandigd.

Arnoud

Een met vervalste gegevens geplaatste bestelling, wat nu?

doos-pakket-beschadigd.jpgMet enige regelmaat duikt het op: mensen ontvangen een pakket dat ze niet besteld hebben, maar er zit wel een acceptgiro bij. En als ze dan navraag doen, dan blijkt dat de (web)winkel toch echt een bestelling heeft ontvangen waarbij hun adres is opgegeven als koper. Dus graag even betalen. Wat nu?

Een simpele oplossing kan zijn dat je het product terugstuurt. Vanaf vandaag geldt een retourtermijn van veertien dagen na ontvangst waarbinnen je aan de webwinkel moet melden dat je je recht van retour wilt gebruiken. Enige nadeel is dat je dan mogelijk de retourportokosten moet betalen.

Dit vereist wel dat is besteld bij een webwinkel, juridisch gezegd dat een overeenkomst op afstand is gesloten. Dat zal in deze situatie vaak het geval zijn maar je moet het wel even controleren. En het werkt niet bij de variant waarbij je alleen de acceptgiro krijgt en het product elders is bezorgd.

Verder bepaalt de wet in artikel 7:7 BW dat wie ongevraagd een product ontvangt, dit mag houden ongeacht wat er bij de zending staat. Dat wetsartikel is gericht op de “gratis proefzending, indien u dit niet wilt moet u een aangetekende brief laten sturen door uw notaris”-handelspraktijken die vroeger populair waren. Het is de vraag of je je op dat artikel kunt beroepen. Hoewel je er feitelijk niet om hebt gevraagd, is het uit de verpakking en begeleidende tekst duidelijk dat dit pakket niet bedoelt je over te halen iets te kopen. Men gaat er (weliswaar onterecht) vanuit dat je al iets gekocht hébt.

De bewijslast ligt bij de winkel: die stelt dat er een overeenkomst is, en dat moet hij dan maar bewijzen. Hij heeft vast een ingevuld webformulier, maar omdat hij met een acceptgiro werkte, is dat erg mager om te bewijzen dat de ontvanger ook werkelijk dat formulier heeft ingevuld. Echter krijgt de winkel dat hard gemaakt, dan moet de ontvanger bewijzen dat hij niet degene was die het formulier heeft ingevuld. Dat kan ook lastig zijn natuurlijk. Is hij onder een ander account al klant bij die winkel, dan kan dat een aardig begin zijn voor zo’n bewijs.

Een lastige is dat de winkel met een beetje pech gewoon volhoudt dat jij het wel had, en de acceptgiro ter incasso gaat aanbieden zonder naar je verweer te luisteren. Mag niet, gebeurt wel.

Wat zouden jullie doen (of heb je gedaan) met zo’n ongevraagd pakket?

Arnoud

Wanneer is een aangetekende brief ontvangen?

aanbesteding-tender-hahaha.pngIk wilde toch nog even terugkomen op de discussie van vorige week over de vraag of een mail in de spambox ontvangen is, en wie welke bewijslast heeft. Een lezer wees me namelijk op een arrest van Gerechtshof Leeuwarden over aangetekende post. Vanaf welk moment zou het al dan niet ontvangen daarvan voor rekening van de ontvanger hebben moeten komen?

In die zaak ging het om de vraag of een brief waarin een verjaringstermijn werd gestuit nu wel of niet was ontvangen. De brief was via gewone én aangetekende post verzonden, maar nooit afgehaald door de ontvanger. Het Hof neemt terecht als uitgangspunt artikel 3:37 lid 3 BW, dat bepaalt dat het toch jouw verantwoordelijkheid wordt als het niet bereiken van de post het gevolg is van je eigen handeling, van handelingen van personen voor wie jij aansprakelijk bent of van “andere omstandigheden die jou betreffen en rechtvaardigen dat jij het nadeel draagt”.

De post was volgens de stempels van (toen nog) TPG Post op 27 december 2003 verzonden en op 30 december 2003 en 4 februari 2004 aangeboden, maar zonder gehoor bij de ontvanger. In de weken daarna is de brief ook nooit afgehaald op het postkantoor. De geadresseerde had gesteld nooit een briefje van TPG Post te hebben gehad dat er een aangetekende brief op het postkantoor lag. Dus wiens verantwoordelijkheid was het nu?

Voor de gewone brief is het Hof snel klaar. Hoofdregel uit de wet is dat je moet bewijzen dat de post aangekomen is (art. 3:37 lid 3 BW). En bij gewone post is dat vrijwel onmogelijk (tenzij de ontvanger op een of andere manier een bevestiging aan je geeft). Bij aangetekende post lijkt dit iets makkelijker: de postbode heeft immers genoteerd wanneer hij aan de deur was. Maar dat is niet genoeg:

[Er] blijkt uit de stickers op de envelop niet meer dan dat de postbode tot tweemaal toe “geen gehoor” kreeg toen hij de brief ten huize van [ontvanger] wilde aanbieden en dat de brief vervolgens niet door [ontvanger] van het postkantoor is afgehaald en aan [afzender] is geretourneerd. Anders dan [afzender] heeft gesteld, volgt uit die feiten nog niet (het vermoeden) dat de brief (tijdig) aan [ontvanger] is aangeboden op de wijze die daartoe ter plaatse van de bestemming is voorgeschreven (vergelijk HR, 8 september 1995, NJ 1996, 567 en HR 4 juni 2004, NJ 2004, 411). Daartoe is vereist dat aannemelijk is dat de postbode, nadat hij “geen gehoor” kreeg, een schriftelijk bericht van aankomst heeft achtergelaten.

En bij dat laatste gaat het dus fout: de afzender kon niet bewijzen dat dat ook werkelijk gebeurd. Hoewel het normaal is dat de postbode dat doet, is dat onvoldoende om te mogen concluderen dat het in deze zaak ook écht is gebeurd.

Update (1 juni 2012) het feit dat een aangetekende brief niet teruggekomen is, is geen bewijs dat hij bezorgd is.

De bewijslast ligt dus hoog, je mag niet vertrouwen op de normale gang van zaken maar je moet echt expliciet bewijs hebben dat het déze keer ook echt goed verlopen is. Daarom lijkt het me verstandig om bij e-mail gewoon een ontvangstbevestiging te vragen én na te bellen als je die niet krijgt binnen een redelijke termijn.

Mijn ervaring is dat posts als deze vaak reacties aantrekken van leveranciers van gegarandeerde-e-mailbezorgsystemen. Prima, maar dan wel graag met inhoudelijke uitleg waarom je systeem ook bewijst dat de ontvanger daadwerkelijk de mail heeft gehad zoals het Hof hierboven bedoelt. 😉

Arnoud

Recht van verzet tegen de bewoners van dit pand

nee-ga-weg.pngIk wil uit uw bestand en u mag me ook nooit meer post sturen. Die toch enigszins tegenstrijdige vordering stelde een man uit Haarlem in tegen de Nationale Postcodeloterij in een als een redelijke soap lezende briefverwikkeling. Maar het vonnis is wel opmerkelijk: de NPL mag de man nooit meer post sturen, ook niet naar “de bewoners van dit pand”. Zelfs niet als daar een onderhuurder woont die wellicht wél die post wil.

We krijgen allemaal die irritante brieven van de NPL, maar kennelijk wordt er te weinig over geklaagd want ze blijven ze sturen. Hoe dan ook, als je klaagt dan gaat je adres op een blokkade. Alleen blijkt dat men die na drie jaar weer opheft (eh, wat?). De eiser in deze zaak was het zo zat, dat hij daarna naar de rechter stapt. Dat werd geschikt: meneer zou nooit meer post krijgen.

U voelt hem al aankomen: enige tijd later kreeg hij tóch post, alleen ditmaal voor “de bewoners van dit pand”. En toen stapte de man wederom naar de rechter, want nu moest en zou hij toch uit elk bestand van de gokclub. Ja, óók het blokkadebestand. Maar dat is toch een beetje lastig: als je niet meer op de zwarte lijst staat, dan kan men ook niet voorkomen dat men je post stuurt.

De Wet Bescherming Persoonsgegevens geeft je (artikel 41) het absolute recht om verwijdering uit bestanden te eisen die “met het oog op werving voor commerciële of charitatieve doelen” zijn. Op grond van dit artikel kan de man dus eisen geen post van de NPL meer te krijgen, want ook hun postbestand valt hieronder.

Maar verwijdering uit het postweigeraarsbestand gaat niet lukken; dat dient immers een ander doel dan werving. Bovendien is de combinatie van “verwijdering uit postweigeraarsbestand” en “geen post meer krijgen” innerlijk tegenstrijdig, zoals de rechter terecht opmerkt. (Update 11 mei: bevestigd in hoger beroep.)

Wel krijgt hij gelijk dat de NPL óók geen post meer naar zijn huisadres mag studeren als die “aan de bewoners van dit pand” is geadresseerd. Hij valt immers ook onder “de bewoner(s) van” dat adres. En de wet zou wel erg makkelijk te omzeilen zijn als mensen na een beroep op artikel 41 Wbp gewoon doorgepapierenspamd zouden worden met zo’n anonieme aanduiding.

NPL mag op straffe van een dwangsom meneer dan ook geen post meer sturen. (Ben ik nu cynisch als ik me afvraag wat hij gaat doen als zijn straat de postcodeloterij wint?)

Arnoud