Mag direct marketing per post straks ook niet meer van de AVG?

| AE 9691 | Ondernemingsvrijheid, Privacy | 26 reacties

Een lezer vroeg me:

Recent kreeg ik geadresseerde reclame per post van een webshop waar ik vorig jaar wat had gekocht. Dat is dus een verwerking van mijn persoonsgegevens! Kan ik daar straks onder de Privacyverordening wat tegen doen? Er is nooit om toestemming gevraagd voor reclamepost namelijk.

Het klopt dat het toesturen van geadresseerde reclamepost vanaf 25 mei dus onder de Privacyverordening (AVG of GDPR) gaat vallen. Die wet geldt immers niet alleen voor elektronische communicatie, maar voor álle verwerkingen van persoonsgegevens. (Onder de huidige wet valt het er denk ik buiten, omdat het gaat om een niet-elektronische verwerking die niet gericht is op opname in een bestand.)

Dat wil niet zeggen dat er dús toestemming nodig is voor het verzenden van post. Dat is een van de grondslagen, maar er zijn er meer. Als de post nodig is voor uitvoering van een overeenkomst (je bestelling moet opgestuurd, of nazending van een reserve-onderdeel bijvoorbeeld) dan mag dat natuurlijk ook gewoon.

En voor direct marketing is er nog een grond: het eigen gerechtvaardigd belang. Kort gezegd moet de verzender van die post dan een goede reden hebben om het bericht te versturen, en direct marketing en reclame is een dergelijk belang, zo staat in de AVG (overweging 47). Wel moet hij een privacy-afweging maken: hoe ernstig is de privacy-inbreuk die ik maak met deze post?

Ik denk dat dit in principe wel positief voor de verzender uit zal pakken. Reclame in de post is irritant maar moeilijk een schending van je persoonlijke levenssfeer te noemen. Dat zou ik pas zien als je adressen werden verkocht of verhuurd aan derden. Ik denk dat dát gewoon echt verboden is vanaf 25 mei.

Wel heb je als ontvanger van dergelijke berichten een recht van bezwaar:

De betrokkene heeft te allen tijde het recht om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens [op grond van een eigen gerechtvaardigd belang].

Het bezwaar moet gebaseerd zijn op de specifieke situatie van de betrokkene. Hij mag dus niet volstaan met algemene of principiële bezwaren tegen verwerking van zijn gegevens, maar moet specifieke omstandigheden aandragen. Een voorbeeld zou zijn dat een medewerker in een rolstoel bezwaar maakt tegen een vertoning van camerabeelden waar gezichten zijn uitgeblurd; in zijn specifieke situatie is hij dan immers nog steeds herkenbaar.

Bij geadresseerde reclamepost is het niet zo evident, verder dan “ik vind het irritant” kom ik niet en ik betwijfel of dat genoeg is. En dat zou betekenen dat de afzender het bezwaar gemotiveerd mag afwijzen. Maar gelukkig is er een sterkere variant voor direct marketing:

Wanneer persoonsgegevens ten behoeve van direct marketing worden verwerkt, heeft de betrokkene te allen tijde het recht bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens voor dergelijke marketing, met inbegrip van profilering die betrekking heeft op direct marketing. … Wanneer de betrokkene bezwaar maakt tegen verwerking ten behoeve van directe marketing, worden de persoonsgegevens niet meer voor deze doeleinden verwerkt.

Hier is gewoon géén reactie op mogelijk, anders dan het bestand meteen op te schonen. Je hebt dus een keihard recht van opt-out.

Daar komt bij dat de afzender je vooraf moet melden dát hij je gegevens voor direct marketing gaat gebruiken:

21.4. Het in de leden 1 en 2 bedoelde recht wordt uiterlijk op het moment van het eerste contact met de betrokkene uitdrukkelijk onder de aandacht van de betrokkene gebracht en duidelijk en gescheiden van enige andere informatie weergegeven.

Om de betrokkene te informeren over dit recht van bezwaar, dient de verwerkingsverantwoordelijke dit expliciet aan hen te melden. Deze informatie moet uitdrukkelijk en apart gebeuren. Gescheiden van andere informatie betekent dus niet bijvoorbeeld slechts in de privacyverklaring.

Arnoud

In ons bedrijfshandboek staat dat e-mail als bedrijfspost geldt!

| AE 9196 | Ondernemingsvrijheid, Privacy | 24 reacties

Een lezer vroeg me:

In het bedrijfshandboek van mijn kantoor staat dat e-mail dient te worden beschouwd als het elektronisch equivalent van zakelijke post, en dat de directie derhalve zich het recht voorbehoudt e-mail te lezen als zij daar aanleiding toe ziet. Oftewel, ze mogen je mail lezen als ze willen. Kan dat zomaar?

Dat bedrijfshandboek gaat wat kort door de bocht. E-mail is wezenlijk anders dan gewone post. Waar je bij post nog kunt zeggen, dat zal 99% zeker weten zakelijk zijn, is dat bij e-mail echt heel anders. Mensen zien dat als persoonlijker, informeler en daarmee moet je dan rekening houden als werkgever.

Verder is het zo dat een werknemer ook op het werk gewoon recht heeft op (enige) privacy. Niet zo veel als thuis, maar ook niet nul. Daarom mag je als werkgever niet zomaar in de e-mail kijken.

Het eerste dat je nodig hebt om werknemersmails te lezen is een reglement dat uitlegt wanneer en waarom dat gebeurt. “Altijd en als wij zin hebben” is daarbij niet genoeg, dat houdt namelijk geen rekening met de privacy van de werknemers. Geef maar criteria: collega’s als die waarnemen bij ziekte, de ICT-er bij technische problemen of virussen, de directie bij wanfunctioneren of vermoeden van diefstal, et cetera.

Daarnaast moet de reden wel sterk genoeg zijn om het lezen te kunnen rechtvaardigen. De voorbeelden uit de vorige alinea zijn vrij standaard, maar ik zie ook wel bedrijven die zeggen “als je output op een dag onder de X zakt” of “als je meer dan X mails naar externe partijen stuurt”. Dat gaat een beetje ver natuurlijk.

Je mag ook niet méér lezen dan nodig is voor het doel. Die ICT-er mag bijvoorbeeld een virusscanner loslaten op je mailbox en de mails bekijken waar deze op afgaat, maar niet handmatig alles lezen of je wellicht rare dingen binnenkrijgt. Een twijfelaar is voor mij alle berichten met bijlage openen om te zien of de extensie iets van .jpg.exe is.

Een handboek gaat hier niets aan veranderen. Privacy is een grondrecht, en daar doorheen gaan vereist sterke rechtvaardigingen. Die kun je niet op voorhand met standaardzinnen claimen. Het handboek is wel nódig, want zonder uitgewerkte regeling mag er niets. Maar de regeling moet binnen de wet passen.

Ik blijf het vragen: wat is dat toch met e-mail en ICT, dat mensen meteen “ik kan alles, dus ik mag alles” denken?

Arnoud

Mag mijn werkgever zomaar mijn inkomende post scannen en mailen?

| AE 7429 | Ondernemingsvrijheid, Privacy | 27 reacties

e-mail-email-brief-post-envelopEen lezer vroeg me:

Op mijn werk geldt sinds kort de regel dat alle papieren post centraal wordt geopend, gescand en per e-mail wordt doorgestuurd naar de medewerker. Dit “vanwege de efficiency”. Maar soms wordt die mail naar een centraal adres of een collega gestuurd. Ik voel me hier niet prettig bij, kan dit zomaar?

In principe kan dit. De werkgever bepaalt hoe het werk wordt uitgevoerd, dus als hij vindt dat post voortaan als gescande mail het bedrijf in moet, dan heb jij daar maar mee te werken. Ook als hij vindt dat bepaalde brieven naar een centraal adres of een collega moeten, dan is dat in principe zijn bevoegdheid.

Natuurlijk is het de vraag of zoiets wel handig is, maar uiteindelijk is dat een zakelijke beslissing.

Je beroepen op briefgeheim zal niet veel zin hebben: het briefgeheim is met name iets voor de postbode en voor onbevoegden die jouw post in handen hebben gekregen. Maar je werkgever is bevoegd wanneer de post aan het bedrijf is geadresseerd, ook als het ter attentie van jou is.

Een uitzondering zou moeten gelden als de post evident persoonlijk is. Ook op het werk heb je immers recht op privacy. Bij post die dan ook expliciet als “persoonlijk” of “uitsluitend voor geadresseerde” is gemarkeerd, zou je dan ook mogen verwachten dat die niet wordt gescand maar als stuk papier aan je wordt overhandigd.

Arnoud

Een met vervalste gegevens geplaatste bestelling, wat nu?

| AE 6720 | Ondernemingsvrijheid | 65 reacties

Met enige regelmaat duikt het op: mensen ontvangen een pakket dat ze niet besteld hebben, maar er zit wel een acceptgiro bij. En als ze dan navraag doen, dan blijkt dat de (web)winkel toch echt een bestelling heeft ontvangen waarbij hun adres is opgegeven als koper. Dus graag even betalen. Wat nu? Een simpele oplossing… Lees verder