Belgische boete voor nieuwsbrief die dacht een servicebericht te zijn

LadyBB / Pixabay

De Belgische Gegevensbeschermingsautoriteit heeft een boete van 10.000 euro uitgedeeld aan de spoorwegmaatschappij NMBS. Dat meldde Tweakers donderdag. De NMBS had zonder aanleiding een nieuwsbrief verstuurd, en roepen dat “dat de nieuwsbrief noodzakelijk was voor het waarborgen voor de ‘sanitaire veiligheid’ van treinreizigers” was daarbij geen argument.

De toezichthouder was een onderzoek gestart naar aanleiding van een klacht op Twitter (kom daar eens om in Nederland). De gebruiker had in 2020 een nieuwsbrief van de Spoorwegen gehad over de Hello Belgium Railpass, een initiatief waarmee iedere Belg van twaalf jaar of ouder twaalf gratis treinritten mag maken. Kennelijk kreeg iedereen die deze kaart had gehad, extragratis ook de nieuwsbrief.

Dat gebeurt veel, maar is juridisch eigenlijk niet in de haak. Nieuwsbrieven (zeker met commerciële inslag) vereisen toestemming, en alleen bij betalende klanten kun je werken op basis van opt-out – mits deze op het bestelformulier al wordt aangeboden. Dat is dus, en ik zeg het nog even voor al die webwinkeliers achterin, nadrukkelijk NIET hetzelfde als “in elke nieuwsbrief zit een opt-out”.

De NMBS had een andere truc gevonden, namelijk de grondslag noodzaak uitvoering overeenkomst. In het jargon heet dit het ‘servicebericht’, mensen op de hoogte houden van dingen rondom hun bestelling, inschrijving et cetera. Natuurlijk mag je dat sturen zonder aparte opt-in. Ik krijg dan ook wekelijks mails van handige jongens die “even willen checken” of hun mail kan tellen als ‘servicebericht’ of willen weten hoe veel procent reclame er in een servicebericht mag. Inderdaad, “we zijn druk bezig met je bestelling” gevolgd door drie pagina’s reclame. Nee.

Het was volgens verweerder bovendien noodzakelijk dat de e-mails verzonden werden gezien de precaire situatie op dat moment, waarbij een tweede golf in de Covid-19-epidemie in België op komst was en een ieder derhalve extra alert moest zijn teneinde de veiligheid in de treinen de kunnen waarborgen. Om de reizigers tijdig te bereiken was NMBS derhalve genoodzaakt om de aanvragers de nieuwsbrief per e-mail toe te sturen. De disclaimer van de e-mail bevatte volgens verweerder duidelijke informatie over het beoogde doel van de e-mail, namelijk het informeren van de reizigers over de manier waarop de Railpass zo correct en optimaal mogelijk gebruikt diende te worden.
Natuurlijk was het in die tijd even extra risicovol om met OV te reizen, maar laten we de nieuwsbrief er even bij pakken:
(i) “Herontdek meer dan 500 bestemmingen in België” vergezeld van een knop ‘Vind inspiratie’; (ii) “MoveSafe-app: jouw veiligheid” vergezeld van een knop ‘Download de app’ (iii) “Klaar voor je eerste reis?”; (iv) “Nog vragen? Raadpleeg onze FAQ over het gebruik van je Hello Belgium Railpass”, vergezeld van een knop ‘Bekijk de voorwaarden’; (v) De mededeling “We wensen je leuke reizen toe met je Hello Belgium Railpass!”; (vi) Disclaimer.
En wat lezen we dan onder punt (i):
Bijna 3,6 miljoen Belgen hebben een Hello Belgium Railpass aangevraagd. Gelijk hebben ze! Je moet natuurlijk in alle veiligheid op ontdekkingstocht kunnen gaan in ons land. Laat je inspireren door onze blogs die overlopen van ideeën om op citytrip te vertrekken, op stap te gaan in de natuur, met familie of met vrienden… Je vindt in België voor elk wat wils!
Ik heb al jaren een vuistregel over serviceberichten: je stuurt ze eigenlijk liever niet. Sorry, dit weekend onderhoud. Uw pakket is vertraagd. We hebben geen geitenmelk deze week. Op uw mijn onze taal punt nl staat de factuur voor u klaar. Maar “Je vindt in België voor elk wat wils” kan ik met geen mogelijkheid rechtvaardigen binnen die vuistregel.

De Belgische toezichthouder ook niet. Heel misschien was er wat mogelijk geweest op grond van eigen gerechtvaardigd belang, maar (a) dat was niet vooraf in de privacyverklaring zo uitgewerkt en (b) er was geen opt-out aangeboden zoals artikel 21 AVG wel eist.

Moraal van het verhaal: serviceberichten laat je niet door de marketingafdeling schrijven maar door een chagrijnige senior magazijnmedewerker. Marketing werkt met toestemming, en anders niet.

Arnoud

Ik word een beetje moe van al die ongevraagde commerciële DMs op Linkedin wat kan ik doen?

Een lezer vroeg me:

Ik krijg in toenemende mate ongewenste commerciële berichten via Linkedin van niet-contacten. Soms wederom niet gericht op mijn werk en/of interesses, maar meestal wel, want “We zitten toch in dezelfde groep op Linkedin!” Dit nog los van de officiële gesponsorde berichten die je via LinkedIn zelf kunt versturen. Hoezo is dat legaal, en wat kan ik er aan doen?
Ik herken zelf deze ergernis maar al te goed, ik loop ook vol met zulke berichten. Soms ook nog eens heel generiek “even weer bellen?” bijvoorbeeld, en dan blijkt het een cold call. Dat schiet dus niet op.

Hoofdregel is dat ongevraagde commerciële DM’s niet mogen, niet per mail, niet per Linkedin bericht, gewoon niet. Je moet toestemming hebben, en dat moet expliciet. De antispamwet (artikel 11.7 Telecommunicatiewet) is daar duidelijk in:

Het gebruik van automatische oproep- en communicatiesystemen zonder menselijke tussenkomst, faxen en elektronische berichten voor het overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden is verboden, tenzij de verzender kan aantonen dat de desbetreffende eindgebruiker daarvoor voorafgaand toestemming heeft verleend.
Bij die frase “elektronische berichten” denken mensen vaak aan e-mail, en dat is natuurlijk ook de bulk van de spam, maar de term is breder. Al in 2009 werd een spammer beboet voor het sturen van ongewenste berichten op Hyves (jaja, dat heette krabbels, weet u het nog). LinkedIn is in principe in dezelfde positie juridisch gezien, en dezelfde wet is dus van toepassing.

Het maakt niet uit of iemand in jouw netwerk zit, of een uitnodiging om te linken heeft gecommuniceerd. Natuurlijk is “hoi kunnen we linken” gevolgd door “link” wel een toestemming om communicatie met elkaar uit te wisselen, maar ongevraagde commerciële communicatie heeft nu eenmaal een andere status. Ik zou zeggen dat alleen “mag ik je een commercieel voorstel doen, accepteer mijn linkverzoek dan praten we verder” nog net kan. Die vraag zou ik in de context van LinkedIn nog niet als een reclamebericht zelf willen zien, en uit de tekst blijkt dat het accepteren dan bedoeld is als toestemming voor het reclamebericht.

Wel anders is natuurlijk de gesponsorde InMail, dat is een dienst van LinkedIn zelf en dat hoort dus gewoon bij hoe het platform werkt. Dus daar zou dan aparte toestemming niet meer aan de orde zijn. LinkedIn biedt overigens hiervoor een afmeldmogelijkheid, en sinds ik die gebruik lijkt dat ook echt te werken.

Arnoud

Mag een gemeente WhatsApp-reclamebordjes ophangen ter buurtpreventie?

Via Twitter:

Het logo van WhatsApp op de borden [met “Attentie buurtpreventie” zie hiernaast] heeft geen enkele functie bij het attenderen van burgers op de aanwezigheid van buurtpreventie. Het is dus weldegelijk reclame.
Dit haakt in op een discusssie de de Piratenpartij Delft voerde met de gemeente, naar aanleiding van diens oproep om een vragenlijst over veiligheid in te vullen. De PP had bij de oproep een foto gezien van zo’n bordje in Delft, en vroeg zich af waarom de gemeente stug reclame blijft maken voor privacy schendende diensten van WhatsApp-eigenaar Facebook.

“De gemeente gebruikt facebook, maar bijvoorbeeld ook Twitter, Instagram en de gemeentewebsite als ‘middel’ om bepaalde informatie te verspreiden en om bepaalde doelgroepen te bereiken,” reageerde een woordvoerder. Wat natuurlijk geen antwoord is, vandaar dat men doorvroeg en dit antwoord kreeg:

Veel bewonersgroepen werken met WhatsApp voor buurtpreventie. De borden zijn standaard borden die men erop attendeert dat er buurtpreventie actief is. Het is dus geen reclame. De vormgeving van de attenderingsborden sluiten aan op wat landelijk gebruikt wordt.
Het terechte punt van de PP is natuurlijk waarom men WhatsApp noemt bij die dienst. Dat een buurt zich bezighoudt met buurtpreventie is op zich logisch en een gemeente kan dat prima toejuichen. Maar net zoals de gemeente zal verwijzen naar supermarkten in plaats van naar de Albert Heijn, zou men dan toch moeten verwijzen naar, eh ja, een chatdienst buurtpreventie? Ik geef toe dat dat volstrekt niet bekt.

Het concept van “WhatsApp buurtpreventie” stamt voor zover ik kan zien uit 2015. Toen was WhatsApp eigenlijk de enige serieuze groepsmessenger in Nederland, dus als je snel elkaar tips wilde geven over verdachte sujetten of vervelende situaties in de openbare ruimte, dan was een WhatsApp-groep de enige echte optie. Dat dat dan groeit tot “het” woord voor dat soort gezamenlijk opletten, dat begrijp ik dan wel.

Daaruit volgt dat je als gemeente ook gewoon “WhatsApp buurtpreventie” zegt als je bedoelt dat men buurtpreventie doet en daarbij een groepschatapp gebruikt. Want met die term herkent iedereen het, en het logo is ook zeer aansprekend. Bordje erbij, klaar is Trevor.

En ja, dan promoot je als gemeente dus een commerciële dienst – die óók nog eens een keer gekoppeld is aan rechtsextremisme-aanwakkerende datagraaiende dienst Facebook, dus hoe haalt Delft het in zijn hoofd. Ja, ik zie de raadslieden zich al warmlopen bij de interruptiemicrofoon. Maar ik zou zelf deze wijze van gebruik van het logo niet direct als “reclame voor WhatsApp” benoemen. Dit is hoe we dit soort diensten noemen in Nederland.

Arnoud

 

Wanneer is mijn reclamemail voor “gelijksoortige” producten toegestaan zonder opt-in?

Een lezer vroeg me:

Ik heb een webwinkel en wil meer reclame maken. Nu las ik dat je daarvoor normaal toestemming nodig hebt, maar niet als je “soortgelijke” producten adverteert aan je klant. Wanneer is het volgens de wet “soortgelijk”?
Voor veel ondernemers is deze uitzondering interessant, omdat het verzamelen van toestemming voor reclame toch vaak best pittig blijkt. Maar het is een heel beperkte, en ik denk dat je er weinig aan hebt. Zeg ik maar even vooraf.

De wet (art. 11.7 Telecommunicatiewet) staat toe om klanten (dus mensen die jou betalen) reclame te sturen zonder opt-in als het gaat om “eigen gelijksoortige producten of diensten” volgens de wet. Er is nooit een rechtszaak geweest waarin definitief hét criterium is toegelicht. Dat is ergens ook wel logisch, want wat zou dat dan moeten zijn in het algemeen? Je komt dan niet verder dan synoniemen voor die term.

De ACM heeft in haar richtsnoeren gezegd dat je vooral moet kijken naar de verwachting van de ontvanger: zou die gek opkijken als hij voor dát product reclame krijgt gezien zijn bestelling? Dat vind ik wel een mooie. Het idee van “gelijksoortig” is immers dat je iets relevants, iets logischerwijs erbij horends meestuurt.

In de Memorie van toelichting van de wet is gezegd dat je ook moet meewegen wat er is gecommuniceerd, hoe de winkel zich presenteert. Ben ik een brillenwinkel dan is reclame voor schoenen raar, ben ik de Bijenkorf dan kan het wel. Dan gaat het immers om mode in het algemeen, en bij een bril is een bijpassend paar schoenen niet zo raar als advies in een modewinkel.

De angel zit hem bij deze constructie in een ander aspect: je mag weliswaar zonder toestemming mailen, maar je moet het bij de bestelling hebben gemeld op het formulier en een áfmeldmogelijkheid (optout) hebben geboden. Dus na een paar jaar bedenken “ik wil meer reclame maken” is gewoon niet genoeg, je hebt dan nooit mensen dit gezegd laat staan ze een afmeldmogelijkheid gegeven. En dan kun je je niet op deze uitzondering beroepen.

Deze uitzondering is dan weer wel de reden waarom de “Ik wil de nieuwsbrief ontvangen”-aanvinkvakjes vooraf aangevinkt mogen zijn bij bestelformulieren. Het weghalen van dat vinkje is dan de opt-out.

Arnoud

Kijk die Belgen delen wél AVG boetes uit waar je wat aan hebt

De Belgische Gegevensbeschermingsautoriteit heeft een AVG-boete van 10.000 euro uitgedeeld aan een bedrijf, meldde Tweakers begin deze week. Het bedrijf stuurde “door een menselijke fout” een marketingmail naar een verkeerd persoon en deed te weinig om dat probleem op te lossen. Zo te zien was zijn mailadres zonder zijn medeweten toegevoegd aan een commercieel mailbestand waar het bedrijf een reclamebericht mee stuurde, alleen kon niemand hem vertellen waar het adres vandaan kwam of waarom het in het mailbestand stond. Oh en in de tussentijd kreeg hij gewoon nóg een keer reclame. Dat voelt wel erg rommelig dan natuurlijk. Opvallend, het gaat dus om één fout mailbericht dat door een handmatige fout (zo te lezen het overtypen van een papieren formulier) en dat zou leiden tot een boete? Kijk, dat moeten we hebben.

Het reclamebericht was voor een workshop voor kleine ondernemingen, maar de ontvanger was geen klant bij het bedrijf en had ook geen idee hoe die aan zijn mailadres was gekomen. Vandaar een vraag (artikel 15) hoe dat zat. Daar kwam de nodige uitleg op (na een irritante vraag om naam en geboortedatum, hoezo is dat relevant bij een e-mailnieuwsbrief).

Na enig heen en weer mailen kwam er niet echt soelaas. En toen kreeg meneer nóg een keer die reclame gestuurd. Dat wijst erop dat de organisatie haar processen niet op orde heeft: dat mailadres had op zijn minst direct tijdelijk bevroren moeten worden, totdat duidelijk was waar de optin of andere grondslag vandaan kwam. Maar zoals ik het lees, zat de helpdesk in het proces “AVG lastpak, afpoeieren” en wist de marketingafdeling niet van enige klacht. Niet handig natuurlijk.

Vervolgens werd het stil aan de overkant, waarna de man naar de Gegevensbeschermingsautoriteit (Gba) stapte. Die nam de klacht serieus en constateert de nodige overtredingen. Geen transparantie (waar komt het mailadres vandaan), geen duidelijke uitleg (artikel 12), geen overzicht kunnen geven van de persoonsgegevens – en geen duidelijk geborgd proces met maatregelen om de verwerkingen aan de AVG laten conformeren (artikel 24). Want alleen maar netjes reageren op vragen, en zelfs de mailadressen dan snel weghalen, is niét hetzelfde als je hele organisatie AVG compliant hebben draaien.

De voornaamste reden om dan direct een boete op te leggen, is omdat dat laatste punt “verontrustend” is gezien de omvang van de organisatie. Een groot bedrijf (al heb ik geen idee hóe groot, dat blijft anoniem) kan niet gewoon doorhobbelen met enkel wat instructies voor de helpdesk en handmatig ingrijpen als er een keer een klacht komt. Die moet de boel op orde hebben. Daar staat tegenover dat de overtreding relatief gering is, zodat uiteindelijk de boete op 10.000 euro neerkomt.

Een kleine boete, voor zo’n groot bedrijf? Kennelijk dacht men er zelf anders over: er werd onmiddellijk bezwaar gemaakt tegen publicatie, omdat dat tot “onherstelbare reputatieschade” zou lijden. En daarom ben ik er ook blij mee: dit soort boetes maakt wél indruk, want het is niet leuk en laat zien dat je de boel niet op orde hebt. En omdat het gaat om het soort fout dat u of ik ook kunnen maken, is het generaal preventief effect van die boete een stuk hoger dan bij een boete van zeg 50 miljoen voor Google. Dus ik hoop dat er nog vele volgen.

Arnoud

Hoe misleidend mag je zijn in aanvulling op je kleine lettertjes?

De Australische consumentenorganisatie ACCC heeft Samsung aangeklaagd, omdat die vindt dat Samsung consumenten misleidt met advertenties voor zijn Galaxy-smartphones. De advertenties laten mensen zien die hun telefoon in een zwembad of in zee gebruiken. Dat meldde Tweakers vorige week. Samsung heeft niet getest of de smartphones tegen zwembad- of zeewater kunnen, raadt in de handleiding gebruik in of rond zwembaden of stranden af en geeft geen garantie op claims wegens water in de telefoon. Maar ze tonen wel foto’s zoals hiernaast met de telefoon onder water in het zwembad. Samsungs verweer lijkt te zijn dat de telefoons voldoen aan de IP-certificering voor waterdichtheid, waarbij niet vereist is dat de telefoon moet kunnen zwemmen of de zee mee in. Eh wacht, wat?

Het is natuurlijk een heel oude truc: doe een mooie belofte en ontkracht deze met een sterretje of kleine letters. Dan kun je mensen verlokken en toch “haha ja meneertje had u maar moeten lezen” zeggen. Deze foto’s van Samsung zijn daar een mooi voorbeeld van, ik zie een meneer onder water in het zwembad op zijn telefoon, en bij Tweakers nog een mevrouw die surft in zee met haar telefoon aan de broeksriem. Super gaaf, zo’n telefoon wil ik ook. Ga ik de IP-68 specificatie lezen of zeewater inbegrepen is? Nee, natuurlijk niet. Ben ik nu misleid?

Een misleidende of oneerlijke handelspraktijk is volgens de wet een handeling van de verkoper “waardoor de gemiddelde consument een besluit over een overeenkomst neemt of kan nemen, dat hij anders niet had genomen”. Een reclame-uiting is een voorbeeld van zo’n handeling. Mensen laten zich meenemen door reclame, en besluiten dus mede op basis van wat de reclame zegt. Natuurlijk is er meer dan alleen de reclamefoto, in dit geval dus de IP68-certificering en de kleine lettertjes in de handleiding. (Laten we even doen alsof je die kunt lezen voor je het product koopt.)

Wat precies een gemiddelde consument is, blijft juridische discussie. De standaard definitie is een “gemiddeld geïnformeerde, omzichtige en oplettende gewone consument”, wat volgens juristen erop neerkomt (zie gelinkt artikel) dat de consument zich goed inleest, labels doorneemt en reclame-uitingen met een korreltje zout neemt. Ik vond helemaal sterk de casus van etikettering van een vruchtenthee, waarbij reclame werd gemaakt met “framboosvanille avontuur” maar de thee in het geheel geen geen vanille- of frambozenaroma’s bevatte. Wel was er “natuurlijk aroma met frambozen/vanillesmaak” opgenomen op de ingrediëntenlijst. Was dat nu misleidend?

Ja, want je kunt mensen misleiden met

de etikettering van een levensmiddel en de wijze waarop deze is uitgevoerd, middels het voorkomen, de beschrijving of een grafische voorstelling van een bepaald ingrediënt de indruk kunnen wekken dat dit levensmiddel dat ingrediënt bevat, terwijl het dit in werkelijkheid niet bevat, wat uitsluitend blijkt uit de lijst van ingrediënten die op de verpakking van dat levensmiddel staat’.

Je kunt dus niet van de consument verlangen dat hij in detail de ingrediëntenlijst (zeg maar de kleine lettertjes) leest, als de aanprijzingen en etikettering (dus zeg maar de grote letters) al duidelijk een bepaalde kant op wijzen. Dat gaat natuurlijk specifiek om ingrediënten bij voedingswaren, maar ik zie niet in waarom je datzelfde principe niet mag loslaten op kleine lettertjes in handleidingen of algemene voorwaarden bij certificeringsklassen.

Het enige tegenargument dat ik nog kan bedenken is dat toch iedereen weet dat mobieltjes niet werken onder water. Maar daar staat tegenover dat we dat op die foto’s toch echt zien gebeuren. Moet je dan weten dat ze hier een grapje uithalen, de gebruikelijke overdrijving in reclame? Dus als ze zeggen “stootvast” en ze tonen een stoomwals die zonder problemen over de telefoon dendert, dan weten we dat dat een grap is en dat je niet écht die telefoon mag pletten?

Arnoud

Een cent overmaken is wel een heel creatieve manier van spammen

Het betreft een door klaagster via haar privé bankrekening ontvangen uiting, onder meer omtrent de bijschrijving van € 0,01 op haar bankrekening. Wacht, wat. Ja inderdaad, dat is hoe een recente uitspraak van de Reclame Code Commissie over ongewenste elektronische reclame begon. KPN had een consument een cent gegeven, en in de omschrijving reclame opgenomen voor een nieuwe dienst naar aanleiding van het stoppen van de dienst ISDN (nee dat wist ik ook niet, dat ISDN stopt). KPN kon niet onderbouwen hoe ze aan de gegevens van de consument was gekomen, waarop deze naar de RCC stapte voor een uitspraak over of dit nu de Telecommunicatiewet overtreedt.

De gewraakte overboeking had als omschrijving:

ISDN stopt Wij helpen u verder. Bel gratis 0800-5025 op werkdagen 09.00 17.30u voor een persoonlijk advies. Voor info: kpn.com/ ISDNstopt IBAN: (bankrekeningnummer) Kenmerk: (een nummer) Datum maandag 12 november 2018 Bedrag € 0,01 Tegenrekening (in de bij de klacht overgelegde uiting weggelakt) Mutatiesoort Verzamelbetaling

Ik zou daar in mijn internetbankieren ook een tikje chagrijnig van worden. Dit riekt naar reclame, KPN’s eerste standpunt dat sprake was van een “servicebericht” ten spijt. De term ‘servicebericht‘ is in de e-mailmarketing ingeburgerd als vakterm voor mails die geen reclame zijn. Mijn vuistregel daarvoor is wel dat je het eigenlijk niet leuk vindt om te sturen – dit weekend gaat uw internetdienst offline, de levering is helaas vertraagd, dat werk. Bovenstaand bericht voldoet daar natuurlijk voor geen cent (haha) aan.

Reclame dus. Maar vrij zeldzaam, deze manier. Hoe kon dat gebeuren? KPN had een zakelijke klant gevonden die aan het bankrekeningnummer van deze mevrouw was gekoppeld, en die zou de reclame-uiting wel hebben willen ontvangen / de service hebben willen genieten. Dat gelooft de RCC inderdaad ook niet. Deze merkt de reclame dan ook aan als verboden spam onder de Telecommunicatiewet.

Je kunt als jurist natuurlijk nog wel enige vraagtekens stellen bij of dat laatste écht zo is. Immers, de wet definieert spam als:

Het gebruik van automatische oproep- en communicatiesystemen zonder menselijke tussenkomst, faxen en elektronische berichten voor het overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden aan abonnees of gebruikers (…)

Je kunt je dan natuurlijk afvragen of wel sprake is van een automatisch communicatiesysteem. Ik vind het een tikje gezocht om te spreken van een “communicatiesysteem” waar het enkel gaat over een veld waar je een opmerking bij een overboeking achterlaat. Is dat ‘communiceren’ met de ontvanger van dat geld?

Arnoud

Kamer van Koophandel neemt maatregelen tegen zzp-spam

De Kamer van Koophandel stopt met het op grote schaal verkopen van kant-en-klare bestanden met adressen, las ik bij de NOS. Dit na aandringen van de Autoriteit Persoonsgegevens, omdat dergelijke handel in persoonsgegevens in strijd is met de AVG. De Kamer van Koophandel biedt al sinds jaar en dag bestanden aan met contactgegevens van ondernemers, waarmee telemarketeers en andere handige jongens snel gerichte reclame kunnen sturen. Een doorn in het oog van veel ondernemers, maar iets dat de KVK altijd rechtvaardigde met een beroep op haar wettelijke taak om gegevens over ondernemingen te verstrekken. Men stopt dan ook niet met de volledige toegang, maar alleen met de laagdrempelige bulkproducten.

Om even een misverstand weg te nemen: gegevens over ondernemers zijn persoonsgegevens, en blijven dat ook als ze in een openbaar register zijn opgenomen voor een wettelijk verplichte registratie. De AVG kent het concept van “publiek domein” of “openbare bron” niet, persoonsgegevens zijn persoonsgegevens als ze over een persoon gaan – en dat is bij een zzp’er of een vof gewoon het geval wanneer je gegevens over deze ondernemer(s) noteert.

De KVK heeft natuurlijk gelijk dat ze van de Handelsregisterwet 2007 een register moeten houden met daarin gegevens van alle ondernemingen in Nederland. Het is verplicht je daar in te schrijven, en vervolgens kan iedereen je daarin zoeken. Doel daarvan is primair dat je na kunt gaan of een bedrijf echt bestaat en wat de authentieke gegevens daarvan zijn.

Een onbedoeld bijeffect was dat bedrijven grote hoeveelheden gegevens gingen opvragen om zo marketingacties te kunnen doen: reclame per post, maar ook telefonische acquisitie en zelfs e-mailreclame. Dat laatste was altijd al een probleem onder de Telecomwet, maar bellen en met name post sturen zijn populair gebleven. Tot ergernis van vele ondernemers. Maar die marketeers riepen dan, het is een openbaar bestand en wij bellen het bedrijf, niet de persoon. Een argument dat dus zeker onder de AVG nu ongeldig is gebleken.

Natuurlijk kun je je afvragen of de wettelijke taak wel zo ver gaat dat je gegevens in bulk moet verkopen voor reclamedoeleinden. Dat mensen recht hebben op inzage of een kopie van iemands gegevens, betekent immers nog niet dat je het makkelijk moet maken om duizenden gegevens tegelijk te verstrekken. Dat standpunt heeft de AP dus ingenomen, zodat de KVK zich nu genoodzaakt ziet om te stoppen met deze handel. (Opvallend vond ik nog dat de KVK vorig jaar zei “Dat doen we al honderd jaar zo”, alsof dat een argument is bij een nieuwe wet.)

Arnoud

Moet je bij een Linkedin-wervingsbericht een opt-out opnemen?

Een lezer vroeg me:

Onder de AVG ben je verplicht om bij alle direct marketing uitingen mensen apart te wijzen op het recht van opt-out (verzet). Hoe pakt dat uit bij Linkedinberichten, waar immers het doel van de dienst bestaat uit het contacteren van mensen voor (in mijn geval) bijvoorbeeld personeelsbemiddeling? Het is volstrekt ondoenlijk om op een dergelijk platform het recht van verzet onder elk bericht te plaatsen. Los van de karakterlimiet en de wijze waarop het volstrekt legitiem en vaak welkom contact besmeurt, zal het niet de bedoeling van de wetgever zijn om zich te mengen in contact waar mensen zich nota bene expliciet voor hebben aangemeld. Toch heb ik geen uitzondering kunnen vinden en lijkt het (hoewel enigszins theoretisch) nog steeds verplicht om ook via Linkedin mensen te wijzen op hun recht van verzet.

Vanaf 25 mei heb je inderdaad het recht op verzet oftewel opt-out bij iedere vorm van direct marketing. Wanneer je geen zin (meer) hebt in dergelijke gerichte reclame, kun je daar op ieder moment eenvoudig en gratis bezwaar tegen maken en dat moet dan stoppen.

Bijzonder aan dit recht van verzet is dat het bij de direct marketing berichten zelf gemeld moet worden, en ook nog eens apart en gescheiden van andere informatie. Je mag dit dus niet apart in je privacyverklaring verstoppen, het moet duidelijk en direct te vinden zijn zodat mensen dat recht direct uit kunnen oefenen. Toegegeven, dat is onhandig als je via een kort berichtje via de chatfunctie van Linkedin jezelf wilt voorstellen en wilt hengelen naar een zakelijk kopje koffie met winstoogmerk.

Ik denk alleen dat het bij LinkedIn anders werkt. Je kunt (moet?) op je profiel aangeven dat je wel of niet openstaat voor arbeidsbemiddeling (“Beschikbaar voor nieuwe carrièrekansen”). Binnen de context van Linkedin mag je dat opvatten als toestemming. Denk ik. En daarmee kunnen mensen dus die berichten sturen onder de grondslag toestemming, waarbij je dan géén recht van verzet hoeft te bieden. Toestemming is immers intrekbaar, verzet is niet aan de orde. Maar het is niet verplicht apart en uitdrukkelijk te zeggen dat toestemming kan worden ingetrokken.

Eerlijk gezegd weet ik niet of dit nu het grootste probleem is onder de AVG. Het lost zichzelf ook op, want wie al te hard die berichten stuurt krijgt een verbanning van Linkedin. En dan is er juridisch gezien verder geen probleem.

Arnoud

Mag een vereniging met instemming van de ALV je postadresverkopen?

Verandering in de manier waarop de KNLTB met jouw persoonsgegevens omgaat, las ik op de site van de Koninklijke Nederlandse Lawn Tennis Bond (KNLTB), en ik moest ook even zoeken wat de L was. De verandering houdt in dat men op zoek gegaan is naar manieren om “meerwaarde voor jouw KNLTB-lidmaatschap te creëren”, wat inderdaad neerkomt op “we gaan je persoonlijke informatie verkopen”. Maar geen zorgen, de ALV heeft ingestemd met deze nieuwe manier van werken en je kunt je altijd afmelden. Maar, wacht, AVG, wat?

Tussen de regels door lees ik dat de KNLTB op zoek is naar extra bronnen van inkomens, en haar ledenlijst als een waardevol betaalmiddel ziet. Daarom is besloten om die ledenlijst eens commercieel te activeren, door ze aan (ongetwijfeld zorgvuldig geselecteerde) partners te geven. Deze mogen dan bellen of brieven sturen met reclame, totaal maximaal drie keer per kwartaal. E-mail is uitgezonderd, daarvoor moeten leden een aparte opt-in geven vanwege het spamverbod uit de Telecomwet.

Het deed me denken aan de KNVB, die als vereniging het besluit nam om namens leden toestemming te geven. Maar dat is niet het geval hier, want de FAQ biedt zowaar een juridische uitleg:

De grondslag voor het delen van persoonsgegevens met partners van de KNLTB is gebaseerd op een gerechtvaardigd belang, dat is ontstaan door de beslissing die de Ledenraad hierover heeft genomen in december 2017. Het delen van persoonsgegevens geldt voor eigen acties en promotionele acties van partners van de KNLTB of partijen waarmee de KNLTB een samenwerking is aangegaan.

Dit schuurt bij mij een beetje want het lijkt allemaal sterk op wat er in de AVG staat, maar het klopt volgens mij net niet. Het klopt dat je je kunt beroepen op een eigen gerechtvaardigd belang, en dan mag je persoonsgegevens gebruiken zonder toestemming. Direct marketing wordt in de AVG genoemd als een dergelijk belang, en in principe kun je dat dan doen mits je een opt-out toepast. Dat belang kan van de verantwoordelijke (de KNLTB) zelf zijn of van een derde, dus die marketing zou ook door een partner kunnen gebeuren. De relevantie van het besluit van de ledenraad zie ik niet direct, je hebt als organisatie een belang of niet en daarover stemmen verandert je belang niet, volgens mij.

Alleen wat ontbreekt en wat nou net de kern is van dat belang is dat er een áfweging achteraan komt waarom dit gepast is gezien de privacy en je eigenlijk geen andere optie hebt dan deze invulling. En dat is waar het bij direct marketing al heel snel misgaat. Toestemming vragen is immers niet moeilijk – in tegenstelling tot bijvoorbeeld cameratoezicht of fraude-detectie.

Daar staat tegenover dat de verkochte gegevens alleen je postadres en telefoonnummer zijn. De privacy-impact van reclame per post vind ik kleiner dan e-mail, zeker omdat er geen persoonlijke interesses en dergelijke worden verkocht. Behalve dan dat je houdt van lawn tennis natuurlijk.

Daarom denk ik dat dit misschien toch wel door de beugel kan, mede vanwege de duidelijke communicatie en de afmeldmogelijkheid. De KNTLB moet er wel zelf voor zorgen dat die partners je gegevens dan ook weggooien, overigens.

Arnoud