Mag je info@ adressen spammen? (en een webdevelopervacature)

| AE 8895 | Privacy | 20 reacties

spam-verboden.pngNaar aanleiding van onze vacature voor een webdeveloper met dreigende taal tegen acquisitie kreeg ik onder meer deze reactie via Twitter:

Een algemene [acquisitiemail] naar info@ is denk ik wel vrijgesteld (art 11.7 2a). (niet van mij hoor)

Die dreigende taal? In onze vacature hebben wij staan:

Acquisitie op basis van deze advertentie wordt niet op prijs gesteld en kan juridische consequenties hebben.

De juridische consequenties zouden dan een tip bij de ACM zijn wegens spammen: het ongevraagd sturen van commerciële berichten is immers verboden (art. 11.7 Telecommunicatiewet). Ook als het maar één mail is die op maat geschreven is. Of wellicht gaan we civiele schadeclaims indienen op diezelfde grond.

Maar dat lid 2a dan? Inderdaad, er staat een uitzondering op het spamverbod in de wet. Bij bedrijven (zowel eenmanszaken als rechtspersonen) is geen toestemming nodig als je een commerciële mail stuurt

indien de verzender bij het overbrengen van de communicatie gebruik maakt van elektronische contactgegevens die door de gebruiker daarvoor zijn bestemd en bekendgemaakt, en deze zijn gebruikt in overeenstemming met de door de gebruiker aan die contactgegevens verbonden doeleinden, of

Oftewel, als je zégt “stuur me hier alsjeblieft een aanbieding” op je website dan is het geen spam als mensen dat doen. Ik heb deze clausule nooit begrepen, volgens mij geef je gewoon tóestemming dan wel vraag je om deze aanbieding dus dan is het niet meer ongevraagd. Maar goed.

Een info@ adres is gewoonlijk voor algemene communicatie een bedrijf, en meestal wordt dat ook wel bekendgemaakt met teksten als “Vragen, interesse, mail ons!”. Mag je daaruit concluderen dat het info@ adres mag worden gespamd?

Dat gaat me toch wat ver. De wet vermeldt dat het adres daarvoor moet zijn bestemd en bekendgemaakt, oftewel voor het soort berichten dat de spammer stuurt. Ik denk dat dat toch echt betekent dat het een specifieke aanduiding moet zijn: “Kent u iemand die deze vacature kan vervullen of kunt u bemiddelen, dan horen we graag van u”. Of “Wie goedkope toner voor onze fax heeft, laat het even weten”. Er moeten immers bepaalde doeleinden bij staan en je moet in overeenstemming daarmee handelen.

Dus nee, het gaat me te snel om te zeggen dat je info@ adressen mag spammen. Je zult echt moeten laten zien dat het adres voor jouw soort berichten is opengesteld, en dat vereist meer dan enkel “info@ is de verzamelbak voor alles”.

Enne oh ja die vacature: Laravel, Symfony, Elastic én juridische zaken, wat wil je nog meer. Reageren kan tot 23 september! (update: schaam over typefout in Laravel en Symfony)

Arnoud

Mag ik een sms naar mijn klanten sturen?

| AE 8775 | Privacy | 14 reacties

whatsappEen lezer vroeg me:

Ons bedrijf wil per Whatsapp gaan communiceren met klanten. Ik heb dat als security officer afgeraden, omdat we niet weten wat er in Amerika gebeurt met de persoonsgegevens die er dan over de lijn gaan. SMS lijkt me een betere optie, maar hoe zit dit wettelijk?

WhatsApp zou ik tegenwoordig wel durven aanraden mits de end-to-end encryptie aan staat. Dan kan WA immers niet meelezen. Ik denk dat je er tegenwoordig wel op mag vertrouwen dat die encryptie een redelijk niveau van beveiliging geeft. Misschien zou je bij medische gegevens meer moeten doen.

SMS-berichten zijn niet versleuteld maar gaan over een afgeschermd netwerk. Dat lijkt me security-technisch ook wel in orde.

Een ander punt is wat klanten ervan vinden om ineens berichtjes te krijgen via deze kanalen. Zeker bij SMS vinden (in mijn ervaring) een hoop mensen het erg opdringerig, om niet te zeggen ongewenst. Heel formeel is dénk ik geen toestemming nodig voor serviceberichten naar je klanten. Het sturen van reclame per sms (of WhatsApp) mag niet zonder toestemming, maar bijvoorbeeld een klant een reminder voor een afspraak per sms sturen is volstrekt legaal als zij hun 06 hebben gegeven.

Wel is vereist dat ergens in de privacyverklaring staat dat dit zal gebeuren, en is wenselijk dat de klant zich kan afmelden voor die berichten. Verder zou het voor mij ook van de context afhangen: waarom geef ik dat 06-nummer, is dat om eenmalig teruggebeld te worden of is het deel van mijn klantprofiel?

Toch zou ik altijd aanraden om toestemming te vragen.

Arnoud

Hoe de KNVB en Always meisjes maandverband opdringen

| AE 8651 | Privacy | 18 reacties

e-mail-email-brief-post-envelopIemand met de functie ‘marketing intelligence’ bevestigt dat de KNVB ‘persoonsgegevens’ van leden verkoopt, meldde de Volkskrant licht verontwaardigd. De verkochte persoonsgegevens betroffen namelijk Volkskrantlezer Anne de Rooij en haar elfjarige dochter, die een “vrolijke envelop met smileys en de tekst ‘Kleine meisjes worden groot…’ ” ontving met daarin twee stuks Always maandverband. Ja, die puntjes vond ik ook dubieus. Maar goed, laten we bij het juridische blijven: mag de KNVB dat zo doen en mag de Always dan die reclame uit sturen?

De dochter blijkt vier jaar eerder bij de KNVB lid te zijn geweest. De voetbalbond heeft bepaalde gegevens (ongeveer: “Op adres X woont een meisje geboren in 2005”) verkocht aan databeheerbedrijf EDM, die ze op basis van intelligente profielen in liet zetten voor deze reclameactie van het maandverbandmerk. Dus laten we eens met de KNVB beginnen, mag die dat? Ja, aldus de bond: er is door de ledenvergadering toestemming gegeven voor dergelijke handel. Dat lijkt me niet heel relevant, sinds wanneer geeft de ledenvergadering opt-ins op lidgegevens?

Toen viel ik van mijn stoel, want de journalist had de Autoriteit Persoonsgegevens gebeld en die zegt:

Een vereniging mag na toestemming van de ledenvergadering inderdaad gegevens over die leden verstrekken voor commerciële activiteiten.

Dat wordt bevestigd in hun informatieblad over verenigingen:

Uw vereniging hoeft u niet expliciet om toestemming te vragen om uw gegevens door te geven als het gaat om activiteiten die zijn goedgekeurd door de ledenvergadering.

Wel moet je worden geïnformeerd en heb je een recht van verzet (opt-out) als je niet wilt dat men dit doet.

In telefonisch overleg meldt de AP aan mij dat goedkeuring door de ALV niet genoeg is. Je moet nog steeds toestemming of een andere grondslag vinden, bijvoorbeeld een eigen dringende noodzaak (art. 8 sub f) die zwaarder weegt dan de privacy van de leden. De goedkeuring ALV is een extra controle: zonder goedkeuring mag het überhaupt niet. Maar goedkeuring impliceert niet “alles mag”. Ik kan dan werkelijk geen rechtvaardiging bedenken onder die dringende noodzaak die handel in persoonsgegevens rechtvaa rdigt.

Dan duik ik nog even in de melding van de KNVB van haar verwerkingen als vereniging. Hierin staat gemeld dat men gegevens gebruikt voor reclame- en marketingactiviteiten. Alleen zie ik daar niet dat er verstrekt wordt aan dat EDM, tenzij dat onder “listmanagers” valt wat ik wel héél obscuur zou vinden. Verder is dat gebruik gekoppeld aan “Informatievoorziening aan de leden”, wat voor mij betekent dat het informatievoorziening dóór de KNVB is, waaronder reclame en marketing. Van de KNVB zelf dus. Ik zie dan ook geen melding van deze verkoop aan derden.

Via Twitter wijst Simon Hania erop dat het mogelijk kan gaan om een foute interpretatie van het Vrijstellingsbesluit Wbp. Daarin staat namelijk een vrijstelling voor verenigingen bij een verstrekking van persoonsgegevens aan

anderen, in de gevallen bedoeld in artikel 8, onder e en f, van de wet, voor zover het slechts gegevens betreft als bedoeld in het derde lid, onder a, en nadat het voornemen daartoe aan de betrokkene of diens wettelijk vertegenwoordiger is medegedeeld en deze gedurende een redelijke termijn in de gelegenheid is geweest het recht als bedoeld in artikel 40 of 41 van de wet uit te oefenen.

Die zou goed kunnen. Er is een wijdverbreid misverstand dat dingen mogen omdat ze in een vrijstelling staan. Dat is echt onzin. De vrijstelling gaat immers alleen over het moeten melden van deze verwerking. Het wil niet zeggen dat de verwerking überhaupt legaal is. Je moet nog steeds gewoon voldoen aan alle wettelijke eisen, en netjes het Vrijstellingsbesluit volgen is géén garantie dat je voldoet. Maar als ik een euro kreeg voor elke keer dat mensen dat misverstand uiten, dan had ik een dag minder kunnen werken. Maar de tekst hier lijkt genoeg op die uit het informatieblad om de basis te kunnen zijn van het misverstand.

Vervolgens dat matchen en reclamemaken door EDM voor Always. Als er een grondslag is voor de KNVB om die gegevens aan EDM te geven ten behoeve van marketing, dan mag EDM natuurlijk ook die marketingactiviteit uitvoeren. Niet naar kinderen, staat er dan. Klopt: het is een verboden (‘agressieve’) handelspraktijk, art. 6:193i BW om

e. kinderen in reclame er rechtstreeks toe aanzetten om geadverteerde producten te kopen of om hun ouders of andere volwassenen ertoe over te halen die producten voor hen te kopen;

Het doet dan wel wat raar aan dat de envelop zodanig is opgemaakt dat een kind zou denken, dit is wat voor mij. Maar goed, daar ben ik vast een kniesoor in.

En raar, dat is het algehele gevoel dat ik hierbij heb. Ik kan niet vinden hoe dit legaal is onder de Wbp. Maar je zou denken dat een club als de KNVB toch wel dingen juridisch checkt voordat ze zulke marketing doen?

Tijd om massaal te gaan opt-outen tegen zulke handel?

Arnoud

Hoe eenvoudig is het om je website met WordPress te bouwen?

| AE 7956 | Intellectuele rechten | 11 reacties

Je eigen website in een handomdraai, zo stond enige tijd terug in een advertentie te lezen. Bouw je website met het professionele en gebruiksvriendelijke WordPress, zonder kennis van technologie of HTML ga je online. Met die belofte probeerde een hostingbedrijf klanten te werven. Een lezer maakte echter bezwaar bij de Reclame Code Commissie: het installeren… Lees verder

Gastblog: Aanhaakverpakkingen: beter goed gejat dan slecht bedacht?

| AE 7910 | Ondernemingsvrijheid | 32 reacties

Omdat ik met vakantie ben vandaag een gastbijdrage. Vandaag: advocaat Nine Bennink die misgreep bij de supermarkt en met Vlugge Japie thuiskwam. Een tijdje geleden deed ik mijn boodschappen bij een Duitse discounter (ja die, met dat blauw/gele logo) en ik zag daar in de schappen de “Vlugge Japie” ontbijtkoek liggen. Even dacht ik dat… Lees verder

Woede om misleidende Efteling-actie BankGiro Loterij

| AE 7842 | Informatiemaatschappij | 51 reacties

Een actie met ‘gratis’ Efteling-tickets leidt tot een stortvloed aan woedende reacties op internet, las ik bij Looopings. Op reclamezendingen van de BankGiro Loterij staat op de envelop “Alstublieft, uw Efteling-tickets t.w.v € 72” maar wie de envelop openmaakt, ontdekt dat je die pas krijgt als je gaat meespelen in deze loterij. Hoe misleidend is… Lees verder

Hela, volgens de nieuwe polisvoorwaarden mogen ze me reclame mailen?

| AE 7143 | Privacy | 13 reacties

Een lezer vroeg me: Bij mijn nieuwe zorgpolis zat een tekst in kleine lettertjes en ik vroeg me af of dit wel legaal is?<br/> Het verzamelen en verwerken van uw persoonsgegevens is nodig voor het aangaan en uitvoeren van de verzekering(en). De doeleinden waarvoor uw persoonsgegevens worden gebruikt, zijn uitgebreid. Wij kunnen uw gegevens ook… Lees verder

Gastpost: Mogen advocaten bloggen en reclame maken?

| AE 6845 | Informatiemaatschappij | 25 reacties

Omdat ik met vakantie ben deze week een aantal bijdragen van vaste bezoekers. Vandaag jurist Rogier Pieters over een vraag die ik ook wel eens heb: waarom maken advocaten zo weinig (online) reclame, mogen ze dat soms niet? Een maand geleden was ik op bezoek bij mijn oud-professor Arno Lodder. Enthousiast vertelde ik hem dat… Lees verder