Moet ik voor de AVG al mijn opt-ins opnieuw om toestemming vragen voor de nieuwsbrief?

| AE 10433 | E-mail | 24 reacties

Een lezer vroeg me:

Ik heb al jaren goedlopende nieuwsbrieven, waar ik aan verdien met affiliatelinks. Ik heb altijd netjes confirmed opt-in gehanteerd, maar ik lees nu overal dat toestemming on der de AVG veel strenger wordt. Ook zou er geen coulanceregeling zijn voor bestaande opt-ins. Klopt dat? Moet ik echt al mijn opt-ins opnieuw gaan halen?

Het klopt dat de AVG strenger is dan de huidige wet waar het gaat om toestemming, maar wie nu werkt met heldere, vrijwillig gegeven opt-ins voor nieuwsbrieven zal daar weinig last van hebben.

In de kern komt toestemming onder de AVG neer op een vrijwillige actieve handeling. Een vakje aanvinken, je e-mailadres invullen in een veld direct onder “Abonneren nieuwsbrief” en dergelijke zijn duidelijke actieve handelingen die mensen in volle vrijheid doen. Daarentegen zou een vinkje weghalen (wat we nu opt-out noemen) niet genoeg zijn, net als mensen een verplichte popup bieden waarna ze alleen verder kunnen na invullen mailadres.

Vereist is ook dat je specifiek en duidelijk hebt uitgelegd wat er gaat gebeuren na die handeling. Enkel om een e-mailadres vragen is dus niet genoeg, je moet er expliciet bij zetten dat dat mailadres geabonneerd gaat worden op de nieuwsbrief. Die bekende formulieren “vul uw mailadres in en download een ebook” zijn dus niet rechtsgeldig, omdat er niet bij staat dat je de nieuwsbrief(-ven) gaat ontvangen.

Een praktisch probleem kan zijn dat de AVG strenger is in de bewijslast. Je moet als afzender van zo’n nieuwsbrief kunnen bewijzen dat je ontvangers opt-in hebben gegeven. Weinig mensen hebben logbestanden van opt-ins op nieuwsbrieven. Maar dat hoeft ook niet. Als je kunt aantonen dat je hebt gewerkt met confirmed opt-in (dus een bevestigingslink mailen en pas na klikken daarop mensen inschrijven) dan staat voldoende vast dat mensen zich vrijwillig hebben ingeschreven.

Ingewikkelder wordt het onder de AVG voor nieuwsbriefinschrijvingen die gekoppeld zijn aan gratis downloads, zoals ebooks, whitepapers of webinars. De AVG vermeldt namelijk expliciet dat een afgedwongen toestemming niet mag, en toestemming voor iets niet-noodzakelijks verplichten bij afname van een dienst noemen ze als voorbeeld van afdwingen. Hier kom ik volgende week op terug.

Arnoud

Kun je als volwassen je kinderfoto’s offline halen?

| AE 10354 | Privacy | 10 reacties

Een lezer vroeg me:

Wanneer ouders of andere mensen een foto van jou als kind online hebben gezet, kun je die dan weg laten halen met een beroep op je privacy als je meerderjarig bent?

Dat kan, maar zal er vooral van afhangen of je ouders destijds ingestemd hebben met de publicatie.

Als je ouders toestemming hebben gegeven, dan kun je relatief makkelijk eisen dat de foto wordt verwijderd. Die toestemming is in te trekken, zo staat in de Wet bescherming persoonsgegevens (artikel 5 lid 2). Ook door jou, even los van of je ouders dat willen. Het belang van de wederpartij doet er in principe niet toe. En vanaf zestien jaar kunnen je ouders rechtsgeldig geen toestemming meer geven voor publicatie van je foto’s (artikel 5 lid 1), dat moet je zelf doen. Dus in die situatie kan de wederpartij zich niet beroepen op toestemming gegeven door je wettelijk vertegenwoordigers.

Je zult je overigens nog lange tijd op de Wbp moeten beroepen; de AVG of GDPR die er 25 mei aankomt geldt namelijk niet voor ‘verwerkingen’ oftewel publicaties van voor die datum. Maar voor wie deze blog over een paar jaar leest, dan heb je minder mogelijkheden: eenmaal gegeven toestemming onder de AVG is niet intrekbaar wanneer de verwerking oftewel publicatie plaatsvindt voor journalistieke of literaire doeleinden. En dat geldt ook voor publicatie door bijvoorbeeld een school of je tante op Facebook, de term “journalistiek” is heel breed.

Als er geen toestemming is gegeven, dan is dat moeilijker. Hoofdregel is dat de privacy van een minderjarige hoog wordt aangeslagen, zodat die het dus in principe snel zal winnen van iemands recht om foto’s te publiceren. Natuurlijk zijn er uitzonderingen mogelijk, en dat zit hem dan met name in de nieuwswaarde van de foto. Als er een duidelijk nieuwsbelang is bij de foto, dan kun je er geen bezwaar tegen maken. Denk aan deelname aan een openbaar sportevenement, een bijzondere maatschappelijke prestatie of iets dergelijks. Dit zal natuurlijk vaak tot discussie leiden.

Arnoud

Wanneer zijn toestemmingsvinkjes nou verplicht?

| AE 9600 | Contracten, Privacy | 8 reacties

Een lezer vroeg me:

Hoe zit het nu precies met die vinkjes die je overal moet zetten om toestemming te geven voor van alles en nog wat? Sommige sites doen dat niet (met algemene voorwaarden), anderen zelfs niet met nieuwsbrieven. Wat zegt de GDPR hierover?

Het is een misverstand dat je alleen akkoord kunt gaan met algemene voorwaarden door een vinkje of iets dergelijks. De wet eist niet meer dan dat je gewezen bent op de voorwaarden en dat je mocht begrijpen dat ze van toepassing zouden zijn. Dat kan prima door enkel de tekst “Door op ‘Bestellen’ te klikken, gaat u tevens akkoord met de verkoopvoorwaarden.” op te nemen net boven de bestelknop. (Wel even linken naar een downloadbare versie van die voorwaarden.)

Meer algemeen zegt de wet eigenlijk nergens dat een aparte handeling nodig is om instemming met wat dan ook te verkrijgen. Rechtshandelingen zijn vormvrij, zoals dat heet. Het mag op iedere manier, zolang maar duidelijk is dát die handeling opgevat gaat worden als instemming. Dat vinkje is dus eigenlijk sowieso nergens voor nodig en volgens mij vooral gemakzucht om het zo op te nemen.

Of nou ja, één wet wel, namelijk de privacyverordening oftewel AVG/GDPR. Wanneer daaronder toestemming vereist is, dan moet die “door middel van een verklaring of een ondubbelzinnige actieve handeling” worden verkregen. Dit houdt in dat de handeling waarmee toestemming wordt gegeven, niet voor meerdere interpretaties vatbaar mag zijn. Een bestelknop in een webwinkel kan dus niet tevens worden gebruikt om toestemming mee te vragen, zoals met een tekst “Door uw bestelling te plaatsen, gaat u tevens akkoord met ontvangst van onze nieuwsbrief” onder die knop. Het is immers niet ondenkbaar dat mensen wel de prominent vormgegeven knop zien maar niet de tekst daaronder.

Specifiek wordt daarbij verder nog bepaald:

Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, wordt het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden.

De toestemmingsvraag moet dus echt apart komen te staan. En ik denk dat het in de praktijk dan vrijwel onvermijdelijk is dat er een vinkje bij komt te staan, al is het maar om vast te stellen dat de persoon echt bedoeld had die toestemming te geven. Een apart vormgegeven paragraaf over privacytoestemming voldoet wel aan het ‘zodanige presentatie’ vereiste, maar ik aarzel of je dat ondubbelzinnig genoeg kunt vinden.

Arnoud

Mag een bedrijf toestemming afleiden uit het feit dat je ze mailt?

| AE 9406 | Privacy | 8 reacties

Een lezer vroeg me: In het privacystatement van Vereniging Eigen Huis staat: “Het anderszins verwerken van uw persoonsgegevens geschiedt alleen voor zover u Vereniging Eigen Huis daarvoor ondubbelzinnig toestemming heeft verleend. Die toestemming kan blijken uit het enkele feit dat u per e-mail of anderszins een vraag aan Vereniging Eigen Huis stelt.” Is dat laatste… Lees verder

Is bij mailafspraken stilzwijgen als toestemmen rechtsgeldig?

| AE 9198 | Contracten, E-mail | 14 reacties

Een lezer vroeg me: Ik mailde voor een behandeling bij een fysiotherapeut. Deze stuurde me een datumvoorstel (in reactie op de drie data die ik had voorgesteld) en sloot af met “Zonder tegenbericht zie ik je dan.” Helaas zag ik die mail pas een dag van tevoren en moest ik afzeggen, maar daarop reageerde hij… Lees verder

Moeten we de toestemming niet eens afschaffen in het privacyrecht?

| AE 9153 | Privacy | 37 reacties

Meteen maar even een heilig huisje omver in het nieuwe jaar: moeten we niet eens stoppen met het idee dat toestemming vragen voor privacy-inbreuken een werkbaar idee is? Want allemaal leuk en aardig, maar anno 2017 is het concept toestemming geven verworden tot een volstrekt betekenisloze klik onder verwijzing naar een futloze lap tekst die… Lees verder

‘Cookiewet is duur en beschermt onvoldoende’

| AE 9021 | Internetrecht | 31 reacties

De cookiebepaling die bepaalt dat websites om toestemming moeten vragen voor het gebruik van zogenoemde ‘tracking cookies’, is duur en zorgt voor een hoop ergernis. Dat las ik bij Nu.nl. De basis is een onderzoek van Actal, het Adviescollege toetsing regeldruk. Niet alleen zouden bedrijven 74 miljoen euro kwijt zijn voor cookietoestemmingspopups, ook zijn consumenten… Lees verder

Moet de IT-afdeling toestemming vragen om een pc over te nemen?

| AE 8758 | Arbeidsrecht | 20 reacties

Een lezer vroeg me: Ik werk op de IT-afdeling van een bedrijf (~120 medewerkers). Wij hebben op alle pc’s UltraVNC geïnstalleerd, zodat we op afstand beheer kunnen uitvoeren. Dat doen we uiteraard alleen als mensen ons daar toestemming voor geven. Alleen die toestemming vragen we gewoon aan de telefoon of in de chat als we… Lees verder

De cookiewet is dus gemaakt om stiekeme Windows 10-preloads tegen te gaan

| AE 8013 | Privacy, Software | 27 reacties

Microsoft schendt de Europese cookiewet met het automatisch en stilletjes downloaden van Windows 10-installatiebestanden op Windows 7 en 8.1. Dat schreef PCM gisteren op gezag van ondergetekende. Wie Windows 7 of 8 heeft, kan nu zomaar extragratis en stiekem een installatiebestand van 5 gigabyte op zijn harddisk hebben om naar Windows 10 te upgraden (kijk… Lees verder