Kijk die Belgen delen wél AVG boetes uit waar je wat aan hebt

| AE 12043 | Ondernemingsvrijheid | 7 reacties

De Belgische Gegevensbeschermingsautoriteit heeft een AVG-boete van 10.000 euro uitgedeeld aan een bedrijf, meldde Tweakers begin deze week. Het bedrijf stuurde “door een menselijke fout” een marketingmail naar een verkeerd persoon en deed te weinig om dat probleem op te lossen. Zo te zien was zijn mailadres zonder zijn medeweten toegevoegd aan een commercieel mailbestand waar het bedrijf een reclamebericht mee stuurde, alleen kon niemand hem vertellen waar het adres vandaan kwam of waarom het in het mailbestand stond. Oh en in de tussentijd kreeg hij gewoon nóg een keer reclame. Dat voelt wel erg rommelig dan natuurlijk. Opvallend, het gaat dus om één fout mailbericht dat door een handmatige fout (zo te lezen het overtypen van een papieren formulier) en dat zou leiden tot een boete? Kijk, dat moeten we hebben.

Het reclamebericht was voor een workshop voor kleine ondernemingen, maar de ontvanger was geen klant bij het bedrijf en had ook geen idee hoe die aan zijn mailadres was gekomen. Vandaar een vraag (artikel 15) hoe dat zat. Daar kwam de nodige uitleg op (na een irritante vraag om naam en geboortedatum, hoezo is dat relevant bij een e-mailnieuwsbrief).

Na enig heen en weer mailen kwam er niet echt soelaas. En toen kreeg meneer nóg een keer die reclame gestuurd. Dat wijst erop dat de organisatie haar processen niet op orde heeft: dat mailadres had op zijn minst direct tijdelijk bevroren moeten worden, totdat duidelijk was waar de optin of andere grondslag vandaan kwam. Maar zoals ik het lees, zat de helpdesk in het proces “AVG lastpak, afpoeieren” en wist de marketingafdeling niet van enige klacht. Niet handig natuurlijk.

Vervolgens werd het stil aan de overkant, waarna de man naar de Gegevensbeschermingsautoriteit (Gba) stapte. Die nam de klacht serieus en constateert de nodige overtredingen. Geen transparantie (waar komt het mailadres vandaan), geen duidelijke uitleg (artikel 12), geen overzicht kunnen geven van de persoonsgegevens – en geen duidelijk geborgd proces met maatregelen om de verwerkingen aan de AVG laten conformeren (artikel 24). Want alleen maar netjes reageren op vragen, en zelfs de mailadressen dan snel weghalen, is niét hetzelfde als je hele organisatie AVG compliant hebben draaien.

De voornaamste reden om dan direct een boete op te leggen, is omdat dat laatste punt “verontrustend” is gezien de omvang van de organisatie. Een groot bedrijf (al heb ik geen idee hóe groot, dat blijft anoniem) kan niet gewoon doorhobbelen met enkel wat instructies voor de helpdesk en handmatig ingrijpen als er een keer een klacht komt. Die moet de boel op orde hebben. Daar staat tegenover dat de overtreding relatief gering is, zodat uiteindelijk de boete op 10.000 euro neerkomt.

Een kleine boete, voor zo’n groot bedrijf? Kennelijk dacht men er zelf anders over: er werd onmiddellijk bezwaar gemaakt tegen publicatie, omdat dat tot “onherstelbare reputatieschade” zou lijden. En daarom ben ik er ook blij mee: dit soort boetes maakt wél indruk, want het is niet leuk en laat zien dat je de boel niet op orde hebt. En omdat het gaat om het soort fout dat u of ik ook kunnen maken, is het generaal preventief effect van die boete een stuk hoger dan bij een boete van zeg 50 miljoen voor Google. Dus ik hoop dat er nog vele volgen.

Arnoud

Hoe misleidend mag je zijn in aanvulling op je kleine lettertjes?

| AE 11364 | Ondernemingsvrijheid | 16 reacties

De Australische consumentenorganisatie ACCC heeft Samsung aangeklaagd, omdat die vindt dat Samsung consumenten misleidt met advertenties voor zijn Galaxy-smartphones. De advertenties laten mensen zien die hun telefoon in een zwembad of in zee gebruiken. Dat meldde Tweakers vorige week. Samsung heeft niet getest of de smartphones tegen zwembad- of zeewater kunnen, raadt in de handleiding gebruik in of rond zwembaden of stranden af en geeft geen garantie op claims wegens water in de telefoon. Maar ze tonen wel foto’s zoals hiernaast met de telefoon onder water in het zwembad. Samsungs verweer lijkt te zijn dat de telefoons voldoen aan de IP-certificering voor waterdichtheid, waarbij niet vereist is dat de telefoon moet kunnen zwemmen of de zee mee in. Eh wacht, wat?

Het is natuurlijk een heel oude truc: doe een mooie belofte en ontkracht deze met een sterretje of kleine letters. Dan kun je mensen verlokken en toch “haha ja meneertje had u maar moeten lezen” zeggen. Deze foto’s van Samsung zijn daar een mooi voorbeeld van, ik zie een meneer onder water in het zwembad op zijn telefoon, en bij Tweakers nog een mevrouw die surft in zee met haar telefoon aan de broeksriem. Super gaaf, zo’n telefoon wil ik ook. Ga ik de IP-68 specificatie lezen of zeewater inbegrepen is? Nee, natuurlijk niet. Ben ik nu misleid?

Een misleidende of oneerlijke handelspraktijk is volgens de wet een handeling van de verkoper “waardoor de gemiddelde consument een besluit over een overeenkomst neemt of kan nemen, dat hij anders niet had genomen”. Een reclame-uiting is een voorbeeld van zo’n handeling. Mensen laten zich meenemen door reclame, en besluiten dus mede op basis van wat de reclame zegt. Natuurlijk is er meer dan alleen de reclamefoto, in dit geval dus de IP68-certificering en de kleine lettertjes in de handleiding. (Laten we even doen alsof je die kunt lezen voor je het product koopt.)

Wat precies een gemiddelde consument is, blijft juridische discussie. De standaard definitie is een “gemiddeld geïnformeerde, omzichtige en oplettende gewone consument”, wat volgens juristen erop neerkomt (zie gelinkt artikel) dat de consument zich goed inleest, labels doorneemt en reclame-uitingen met een korreltje zout neemt. Ik vond helemaal sterk de casus van etikettering van een vruchtenthee, waarbij reclame werd gemaakt met “framboosvanille avontuur” maar de thee in het geheel geen geen vanille- of frambozenaroma’s bevatte. Wel was er “natuurlijk aroma met frambozen/vanillesmaak” opgenomen op de ingrediëntenlijst. Was dat nu misleidend?

Ja, want je kunt mensen misleiden met

de etikettering van een levensmiddel en de wijze waarop deze is uitgevoerd, middels het voorkomen, de beschrijving of een grafische voorstelling van een bepaald ingrediënt de indruk kunnen wekken dat dit levensmiddel dat ingrediënt bevat, terwijl het dit in werkelijkheid niet bevat, wat uitsluitend blijkt uit de lijst van ingrediënten die op de verpakking van dat levensmiddel staat’.

Je kunt dus niet van de consument verlangen dat hij in detail de ingrediëntenlijst (zeg maar de kleine lettertjes) leest, als de aanprijzingen en etikettering (dus zeg maar de grote letters) al duidelijk een bepaalde kant op wijzen. Dat gaat natuurlijk specifiek om ingrediënten bij voedingswaren, maar ik zie niet in waarom je datzelfde principe niet mag loslaten op kleine lettertjes in handleidingen of algemene voorwaarden bij certificeringsklassen.

Het enige tegenargument dat ik nog kan bedenken is dat toch iedereen weet dat mobieltjes niet werken onder water. Maar daar staat tegenover dat we dat op die foto’s toch echt zien gebeuren. Moet je dan weten dat ze hier een grapje uithalen, de gebruikelijke overdrijving in reclame? Dus als ze zeggen “stootvast” en ze tonen een stoomwals die zonder problemen over de telefoon dendert, dan weten we dat dat een grap is en dat je niet écht die telefoon mag pletten?

Arnoud

Een cent overmaken is wel een heel creatieve manier van spammen

| AE 11245 | Informatiemaatschappij | 19 reacties

Het betreft een door klaagster via haar privé bankrekening ontvangen uiting, onder meer omtrent de bijschrijving van € 0,01 op haar bankrekening. Wacht, wat. Ja inderdaad, dat is hoe een recente uitspraak van de Reclame Code Commissie over ongewenste elektronische reclame begon. KPN had een consument een cent gegeven, en in de omschrijving reclame opgenomen voor een nieuwe dienst naar aanleiding van het stoppen van de dienst ISDN (nee dat wist ik ook niet, dat ISDN stopt). KPN kon niet onderbouwen hoe ze aan de gegevens van de consument was gekomen, waarop deze naar de RCC stapte voor een uitspraak over of dit nu de Telecommunicatiewet overtreedt.

De gewraakte overboeking had als omschrijving:

ISDN stopt Wij helpen u verder. Bel gratis 0800-5025 op werkdagen 09.00 17.30u voor een persoonlijk advies. Voor info: kpn.com/ ISDNstopt IBAN: (bankrekeningnummer) Kenmerk: (een nummer) Datum maandag 12 november 2018 Bedrag € 0,01 Tegenrekening (in de bij de klacht overgelegde uiting weggelakt) Mutatiesoort Verzamelbetaling

Ik zou daar in mijn internetbankieren ook een tikje chagrijnig van worden. Dit riekt naar reclame, KPN’s eerste standpunt dat sprake was van een “servicebericht” ten spijt. De term ‘servicebericht‘ is in de e-mailmarketing ingeburgerd als vakterm voor mails die geen reclame zijn. Mijn vuistregel daarvoor is wel dat je het eigenlijk niet leuk vindt om te sturen – dit weekend gaat uw internetdienst offline, de levering is helaas vertraagd, dat werk. Bovenstaand bericht voldoet daar natuurlijk voor geen cent (haha) aan.

Reclame dus. Maar vrij zeldzaam, deze manier. Hoe kon dat gebeuren? KPN had een zakelijke klant gevonden die aan het bankrekeningnummer van deze mevrouw was gekoppeld, en die zou de reclame-uiting wel hebben willen ontvangen / de service hebben willen genieten. Dat gelooft de RCC inderdaad ook niet. Deze merkt de reclame dan ook aan als verboden spam onder de Telecommunicatiewet.

Je kunt als jurist natuurlijk nog wel enige vraagtekens stellen bij of dat laatste écht zo is. Immers, de wet definieert spam als:

Het gebruik van automatische oproep- en communicatiesystemen zonder menselijke tussenkomst, faxen en elektronische berichten voor het overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden aan abonnees of gebruikers (…)

Je kunt je dan natuurlijk afvragen of wel sprake is van een automatisch communicatiesysteem. Ik vind het een tikje gezocht om te spreken van een “communicatiesysteem” waar het enkel gaat over een veld waar je een opmerking bij een overboeking achterlaat. Is dat ‘communiceren’ met de ontvanger van dat geld?

Arnoud

Kamer van Koophandel neemt maatregelen tegen zzp-spam

| AE 11175 | Ondernemingsvrijheid | 8 reacties

De Kamer van Koophandel stopt met het op grote schaal verkopen van kant-en-klare bestanden met adressen, las ik bij de NOS. Dit na aandringen van de Autoriteit Persoonsgegevens, omdat dergelijke handel in persoonsgegevens in strijd is met de AVG. De Kamer van Koophandel biedt al sinds jaar en dag bestanden aan met contactgegevens van ondernemers,… Lees verder

Moet je bij een Linkedin-wervingsbericht een opt-out opnemen?

| AE 10517 | Privacy | 18 reacties

Een lezer vroeg me: Onder de AVG ben je verplicht om bij alle direct marketing uitingen mensen apart te wijzen op het recht van opt-out (verzet). Hoe pakt dat uit bij Linkedinberichten, waar immers het doel van de dienst bestaat uit het contacteren van mensen voor (in mijn geval) bijvoorbeeld personeelsbemiddeling? Het is volstrekt ondoenlijk… Lees verder

Mag een vereniging met instemming van de ALV je postadresverkopen?

| AE 10444 | Privacy | 18 reacties

Verandering in de manier waarop de KNLTB met jouw persoonsgegevens omgaat, las ik op de site van de Koninklijke Nederlandse Lawn Tennis Bond (KNLTB), en ik moest ook even zoeken wat de L was. De verandering houdt in dat men op zoek gegaan is naar manieren om “meerwaarde voor jouw KNLTB-lidmaatschap te creëren”, wat inderdaad… Lees verder

Hoe verboden is een spambericht van een relatie in je WhatsApp?

| AE 10379 | Privacy | 10 reacties

Een lezer vroeg me: Met enige regelmaat krijg ik van zakelijke relaties ongevraagd commerciële berichtjes in mijn WhatsApp. Dat varieert van uitnodigingen voor congressen tot gepushte nieuwe boeken, maar ook wel een verzoek eens een kop koffie te doen om te kijken wat we in 2018 voor elkaar kunnen betekenen. Valt dat eigenlijk onder het… Lees verder

Mag direct marketing per post straks ook niet meer van de AVG?

| AE 9691 | Ondernemingsvrijheid, Privacy | 26 reacties

Een lezer vroeg me: Recent kreeg ik geadresseerde reclame per post van een webshop waar ik vorig jaar wat had gekocht. Dat is dus een verwerking van mijn persoonsgegevens! Kan ik daar straks onder de Privacyverordening wat tegen doen? Er is nooit om toestemming gevraagd voor reclamepost namelijk. Het klopt dat het toesturen van geadresseerde… Lees verder

Mag je reclame maken in je vlog?

| AE 9396 | Ondernemingsvrijheid | 15 reacties

In zo’n 90 procent van de populaire Nederlandstalige YouTube-vlogs worden producten aangeprezen, meldde Nu.nl vorige week. In driekwart van de gevallen is niet altijd duidelijk of het hier gaat om betaalde aandacht of niet. Dit constateerde het Commissariaat voor de Media in een onderzoek naar populaire vlogs. Het onderzoek is aanleiding om te pleiten voor… Lees verder

Wat als je stemassistent reageert op reclame en een Whopper bestelt?

| AE 9383 | Iusmentis | 10 reacties

Fastfoodketen Burger King heeft in de Verenigde Staten een televisiereclame uitgezonden die opzettelijk de stemassistent van Google activeerde, las ik bij Nu.nl. De reclame bevatte de tekst “OK Google, wat is de Whopper-burger?” waarop de stemassistent de -door Burger King aangepaste- Wikipedia-inleiding van de burger ging voorlezen. Wat diverse lezers ertoe bracht mij te vragen,… Lees verder