Informatieportal voor IT-recht

Dinsdag 11 februari 2014

Marketing en spam

Tijdens het gebruik van het internet worden gegevens achtergelaten waar bedrijven gebruik van maken in het kader van marketing en voor het versturen van spam. Het gaat dan bijvoorbeeld om informatie uit cookies of adresgegevens bij het doen van een aankoop in een webshop. Sommige van deze gegevens worden ‘persoonsgegevens’ genoemd en zijn niet vogelvrij; wat exploitanten van websites ermee mogen doen is aan regels gebonden. In dit artikel zal kort uiteengezet worden wat deze regels zijn en wat hiervan de concrete implicaties zijn ten aanzien van marketing en spam.

Privacy
Het recht op bescherming van de persoonlijke levenssfeer vloeit voort uit artikel 8 van het Europese Verdrag tot bescherming van Rechten van de Mens en de fundamentele vrijheden en artikel 10 van de Grondwet. De belangrijkste regels hierover zijn neergelegd in de Wet bescherming persoonsgegevens (Wbp). De kernbegrippen uit deze wet zijn ‘persoonsgegevens’ en de ‘verwerking’ daarvan. Uit deze wet blijkt dat persoonsgegevens enkel verwerkt mogen worden met toestemming van de betrokkene en niet voor een ander doel mogen worden gebruikt dan dat waarvoor ze verzameld zijn. Het doel van de verwerking moet voorafgaand aan het verstrekken van de persoonsgegeven worden medegedeeld aan de betrokkene. Dit betreft de informatieplicht van de verantwoordelijke. Daarnaast bestaat er ook een inzage- en correctierecht van de betrokkene. Het College Bescherming Persoonsgegevens (CBP) houdt toezicht op naleving van de Wbp. (zie ook artikel Wbp)

Marketing
Persoonsgegevens mogen dus enkel onder bepaalde voorwaarden verwerkt worden door de exploitant van een website. De wet geeft regels over deze voorwaarden. Als persoonsgegevens zijn verzameld met toestemming van de gebruiker van een website, dan mogen deze gegevens gebruikt worden voor marketingdoeleinden. Dit geldt echter alleen voor de marketingdoeleinden waarvoor specifiek toestemming is gegeven door de gebruiker van de website. Deze toestemming moet ondubbelzinnig zijn en mag zodoende niet in algemene voorwaarden verborgen zijn. 1MvT Wbp, p. 197 Verzamelde persoonsgegevens mogen dus bijvoorbeeld worden gebruikt om gepersonaliseerde advertenties aan de gebruiker van een website te laten zien als daarvoor toestemming is gegeven.

Het kan ook voorkomen dat gegevens  zijn verzameld zonder medeweten van de gebruiker, te denken valt aan zogeheten ‘cookies’. Voor de vraag of deze gegevens gebruikt mogen worden voor marketingdoeleinden moet eerst de vraag worden beantwoord of de door een cookie verzamelde gegevens  persoonsgegevens betreffen. Onderscheid moet worden gemaakt tussen verschillende soorten cookies. Functionele cookies zijn noodzakelijk om een webshop te laten functioneren en verzamelen geen identificeerbare persoonsgegevens. Hiervoor is dus geen toestemming van de gebruiker nodig omdat het niet onder de Wbp valt. Analytische cookies volgen het handelen van de gebruiker en zijn bedoeld om een website te verbeteren (bijvoorbeeld het bijhouden van bezoekersstatistieken). Dit doel – prestatiemeting – kan ook bereikt worden door middel van zogenaamde trackingcookies, welke cookies gegevens kunnen verzamelen die zijn te herleiden tot een bepaald individu (zoals IP-fingerprint-tracking). Voor cookies zijn aanvullende regels opgesteld door de wetgever.

Artikel 11.7a van de Telecommunicatiewet (Tw) vloeit voort uit de Europese richtlijn betreffende privacy en elektronische communicatie (2002/58/EC) en regelt het gebruik van cookies. Deze regels gelden in ieder geval voor trackingcookies en tot op heden ook nog voor analytische cookies. Er is echter een wetsvoorstel in behandeling waarin dit laatste wordt gewijzigd en de regels niet meer gelden voor analytische cookies die geen of geringe gevolgen hebben voor de privacy van de internetgebruiker. 2Het wetsvoorstel is reeds ter advies aan de Raad van State voorgelegd. Functionele of technische cookies zijn al uitgezonderd in het derde lid van dit artikel. Overigens zijn de bepalingen in artikel 11.7a van de Tw zo ruim geformuleerd dat niet alleen het gebruik van cookies eronder valt, maar alle vormen van opslaan van gegevens op de computer van een gebruiker (bijvoorbeeld java-scripts en spyware).

Het gebruik van analytische en trackingcookies door website-exploitanten wordt vermoed een verwerking in de zin van de Wbp te zijn (artikel 11.7a, eerste lid Tw). Voor gebruik van die cookies moet dus door de gebruiker van de website toestemming zijn gegeven. Deze toestemming moet “vrij, specifiek en op informatie berustend” zijn. Concreet betekent dit dat de gebruiker geïnformeerd moet worden voordat een cookie op diens computer wordt geplaatst en dat de toestemming een actieve handeling door de betrokkene vereist. Ook kunnen de gegevens alleen gebruikt worden voor datgene waarvoor toestemming is gegeven. Daarnaast is voor deze cookies een omgekeerde bewijslast ingevoerd. Als een website-exploitant geen toestemming heeft verkregen moet hij aan de toezichthouder bewijzen dat er geen privacygevoelige informatie is verzameld.

De Autoriteit Consument en Markt (ACM), de op telecommunicatieaanbieders toezichthoudende organisatie (voorheen OPTA), heeft de website consuwijzer.nl gemaakt. Hierop kunnen klachten over het plaatsen en het gebruik van cookies gemeld worden. ConsuWijzer registreert de klacht en geeft deze door aan de ACM. ACM gebruikt klachten voor onderzoek naar mogelijke overtredingen.

Spam
Spam is ongevraagde reclame via e-mail, mobiele telefoon (SMS of MMS) of fax. Een deel van de regels omtrent spam is opgenomen in de Telecommunicatiewet. Een ander deel vloeit voort uit de Wbp, nu reeds verzamelde e-mailadressen worden gebruikt om dergelijke reclame te versturen. Omdat e-mailadressen persoonsgegevens zijn, valt het versturen van spam ook onder de reikwijdte van de Wbp.

Evenals bij het gebruik voor marketingdoeleinden, is voor het verwerken of gebruik van persoonsgegevens voor het verzenden van reclame toestemming van de betrokkene nodig. Op grond van de Wbp moet de betrokkene van tevoren op de hoogte zijn gesteld dat diens persoonsgegevens voor reclamedoeleinden gebruikt zullen worden. De verwerker heeft voorafgaand aan het gebruik van de persoonsgegevens toestemming nodig (artikel 8, eerste lid Wbp). Deze toestemming moet vrijelijk gegeven worden door een actieve handeling van de gebruiker waaruit de intentie blijkt. Tot slot moet de toestemming gespecificeerd zijn (geen carte blanche). 3Vergelijk het advies van de “Werkgroep artikel 29” omtrent toestemming voor het gebruik van cookies

Daarnaast is het op grond van artikel 11.7 Tw verboden om ongevraagde elektronische berichten van charitatieve, commerciële en/of ideële aard te versturen. Hieruit vloeit voor dat het verzenden van spam alleen mogelijk is indien de ontvanger toestemming heeft gegeven, kan zien van wie berichten afkomstig zijn en kan zien hoe en bij wie hij zich kan afmelden als geen prijs meer wordt gesteld op ontvangst van deze berichten.

De voorafgaande geïnformeerde toestemming is geen formeel vereiste in de Tw, maar wel de enige manier waarop de verzender kan bewijzen dat hij niet ongevraagde berichten heeft verzonden.

In het tweede lid van artikel 11.7 Tw is een uitzondering gemaakt op de eis dat een ontvanger toestemming gegeven moet hebben. Dit betreft het geval dat adresgegevens worden verkregen bij verkoop van een product of dienst en een bedrijf ongevraagde reclame aan klanten wil toesturen voor soortgelijke producten of diensten. Dan is geen voorafgaande toestemming nodig, maar moet wel al op moment van verkrijging van de adresgegevens een gemakkelijke en kosteloze mogelijkheid zijn geboden om hiervan af te zien. Ook blijven de twee overige eisen in dergelijke gevallen gelden.

De website spamklacht.nl is door de op telecommunicatieaanbieders toezichthoudende organisatie (ACM) gemaakt. Hierop kan onrechtmatig verzonden spam aangemeld worden.

Conclusie
Uit het bovenstaande blijkt dat het gebruik van de gegevens die een gebruiker op een website achterlaat niet zonder meer is toegestaan. Over het algemeen is voor het gebruik van gegevens – die herleidbaar zijn tot een identificeerbare natuurlijke persoon -voor marketingdoeleinden en ongevraagde mailing toestemming nodig van de betrokken persoon. Ook voor het gebruik van een aantal andere gegevens, zoals in geval van analytische cookies, is vooralsnog voorafgaande toestemming van de betrokkene nodig.

Bij schending van regels kan hiervan melding worden gemaakt op respectievelijk mijnprivacy.nl, consuwijzer.nl en spamklacht.nl.

De vraag is echter wat het nut is van een dergelijke pop-up toestemming voor het gebruik van cookies. Over het algemeen zal toestemming gegeven worden om volledige toegang te krijgen tot de website. Daarnaast zal de gemiddelde consument niet snel actie ondernemen richting webshop-exploitanten of bedrijven bij oneigenlijk gebruik van cookies en ongevraagde reclameboodschappen. Tot slot lijken de bevoegde autoriteiten (ACM en Cbp) tot nu toe niet erg proactief in te grijpen.

   [ + ]

1. MvT Wbp, p. 197
2. Het wetsvoorstel is reeds ter advies aan de Raad van State voorgelegd.
3. Vergelijk het advies van de “Werkgroep artikel 29” omtrent toestemming voor het gebruik van cookies