Privacy-perikelen in de polder

De Europese Unie werkt hard aan een nieuwe Europese Privacy Verordening die de privacyrichtlijn uit 1995 moet vervangen. Met deze nieuwe verordening wil de EU ervoor zorgen dat in alle Europese landen exact dezelfde privacyregels gelden. Zolang de nieuwe verordening er nog niet is, blijven er van land tot land verschillen in wetgeving en in de interpretatie ervan. Hoe zit het in Nederland? In dit artikel belichten we enkele opmerkelijke Hollandse privacy-perikelen. Vanwege de grote financiële belangen zorgen die soms voor juridische haarkloverij op het scherp van de snede.

Casus 1. Reformatorisch Dagblad handelt in strijd met de wet

Na onderzoek concludeert het College bescherming persoonsgegevens (CBP) dat Erdee Media, de uitgever van het Reformatorisch Dagblad, zonder toestemming van abonnees hun naam- en adresgegevens aan andere partijen heeft verstrekt voor direct-marketingdoeleinden. De uitgever handelt hiermee in strijd met de Wet bescherming persoonsgegevens (Wbp). Deze zaak draait om de bescherming van bijzondere persoonsgegevens, in dit geval iemands godsdienst. Hiervoor gelden strenge wettelijke eisen. Deze gegevens mogen alleen met uitdrukkelijke toestemming van betrokkenen worden verwerkt.

Bijzondere persoonsgegevens

Uit tal van communicatie-uitingen van het het Reformatorisch Dagblad blijkt dat zijn lezers behoren tot de gereformeerde gezindte. De uitgever belooft (potentiële) adverteerders dat de verschillende media van Erdee Media volop mogelijkheden bieden de ‘gereformeerde gezindte’ te bereiken. Het label ‘behorende tot de gereformeerde gezindte’ zorgt voor een rechtstreeks verband tussen de naam- en adresgegevens van de abonnees en gegevens over hun godsdienst. Het verstrekken van de abonneegegevens moet dan ook worden aangemerkt als verwerking van bijzondere persoonsgegevens en dat is wettelijk verboden.
Verstrekking van deze abonneegegevens aan derde partijen voor direct-marketingdoeleinden kan enkel rechtmatig zijn als de abonnees hiervoor uitdrukkelijke toestemming hebben gegeven. Het CBP concludeert dat de uitgever geen toestemming heeft gevraagd en daarom met de verstrekking van de abonneegegevens in strijd met de wet handelt.

Duidelijkheid zorgt voor onduidelijkheid

Wat deze casus interessant maakt, is dat zij de uitgever in kwestie duidelijk maakt wat mag en niet mag, maar tegelijk vragen oproept bij andere uitgevers. Wat betekent dit voor andere uitgevers die met hun publicaties een publiek aanspreken op bijzondere persoonskenmerken? Denk aan een magazine dat zich richt op homofiele lezers, zoals de Gay Krant. Seksuele geaardheid wordt door de wet aangemerkt als bijzonder persoonsgegeven. Of denk aan een dagblad dat een publiek aanspreekt dat politiek links georiënteerd is, zoals de Volkskrant. Politieke voorkeur wordt door de wet aangemerkt als bijzonder persoonsgegeven.

Casus 2. Postcodeloterij omzeilt recht van verzet

Bijna elke Nederlander heeft wel eens postreclame ontvangen van de Nationale Postcodeloterij. Als je laat weten hiervan verschoond te willen blijven, komt er een kruisje achter jouw adres. Overigens verdwijnt dat kruisje na drie jaar en wordt het sturen van postreclame hervat.
Op een dag is een man in Haarlem dit spuugzat. Hij stapt naar de rechter. Het komt tot een schikking: hij zal nooit meer post krijgen van de Nationale Postcodeloterij.
Na enige tijd ontvangt hij tóch weer post, ditmaal gericht aan ‘de bewoners van dit pand’. De man stapt opnieuw naar de rechter. Hij wil nu uit elk bestand van de Postcodeloterij worden verwijderd. Ja, óók uit het blokkadebestand. Dat is een lastig punt: als hij niet meer in het blokkadebestand staat, hoe kan de Postcodeloterij dan voorkomen dat hij post ontvangt?

Verwijdering uit bestanden

De Wet bescherming persoonsgegevens geeft het absolute recht om verwijdering te eisen uit bestanden ‘met het oog op werving voor commerciële of charitatieve doelen’. Het postreclame-adressenbestand van de Nationale Postcodeloterij behoort hiertoe. Op grond van dit wetsartikel kan de man dus eisen geen post meer te ontvangen van de Postcodeloterij.
Verwijdering uit het postweigeraarsbestand gaat evenwel niet lukken. Di bestand dient een ander doel dan werving. Bovendien is de combinatie ‘verwijdering uit postweigeraarsbestand’ en ‘geen post meer krijgen’ innerlijk tegenstrijdig, zo oordeelt de rechter.

Dwangsom

Wel krijgt de eiser zijn zin en mag de Nationale Postcodeloterij óók geen post meer naar zijn huisadres sturen die is gericht ‘aan de bewoners van dit pand’. De man valt immers ook onder ‘de bewoner(s) van’ dat adres. En het is niet de bedoeling dat de Postcodeloterij de wet omzeilt en mensen die op grond van het ene wetsartikel niet meer benaderd kunnen worden met geadresseerde brievenbusreclame, langs een andere weg alsnog worden bestookt met ongeadresseerde brievenbusreclame.
De Nationale Postcodeloterij mag de man op straffe van een dwangsom helemaal geen post meer sturen.
Het is voor de man te hopen dat zijn straat bij de Postcodeloterij niet in de prijzen valt…

Casus 3. YD Display Advertising overtreedt cookie- én privacywet

In Nederland weet de online marketingbranche de ogen van het College bescherming persoonsgegevens (Cbp) op zich gericht. Vorig jaar concludeerde het Cbp dat het Amsterdamse online advertentiebedrijf YS Display Advertising tracking cookies gebruikt zonder voorafgaande toestemming van internetgebruikers. Het plaatsen en lezen van deze cookies is niet toegestaan zonder adequate informatie en voorafgaande toestemming van internetgebruikers, zo zegt de cookiewet, onderdeel van de Telecommunicatiewet.

Cookiewet

Met de tracking cookies verzamelt YD Display Advertising informatie over producten of diensten die internetgebruikers hebben bekeken op websites van zijn adverteerders. Vervolgens laat het bedrijf in de dagen daarna, op basis van kennelijke interesses en voorkeuren van de internetgebruiker, op andere websites advertenties zien van zijn adverteerder (retargeting). YD Display Advertising biedt wel een opt-out mogelijkheid, maar de cookiewet gaat uit van opt-in. Het Cbp stelt daarom dat YD de cookiewet overtreedt, want zij geeft onvoldoende informatie en vraagt niet op een juiste manier toestemming.

Privacywet

Het Cbp is daarnaast van oordeel dat YD de privacywet overtreedt. De informatie die YD verzamelt, wordt door het Cbp beschouwd als persoonsgegeven. De (re)targeting cookies worden gebruikt om een webbezoeker te individualiseren, meent het Cpb. Daarom moet YD niet alleen voldoen aan de cookiewet, maar ook aan de privacywet. Dit betekent dat:
1. YD de webbezoeker had moeten informeren over de doelen van de verwerking,
2. YD beter had moeten informeren over de bewaartermijnen van de cookies,
3. YD de opt-out mogelijkheid duidelijker had moeten maken.

Achtervolgen

Het Cbp oordeelt dat YD de privacywet overtreedt, omdat zij de webbezoekers niet informeert dat hun cookiedata gebruikt wordt voor het opstellen van profielen en het targeten van advertenties. Dit is volgens het Cbp niet (alleen) de verantwoordelijkheid van de adverteerder. YD speelt in het plaatsen van de cookie, het maken van doelgroepen en het selecteren van een publiek een dusdanig grote rol dat zij hier ook (deels) verantwoordelijk is. Het Cpb stelt: ‘Door de werkwijze van YD worden mensen achtervolgd door advertenties op het web zonder dat is gevraagd of ze dat wel willen. Internetgebruikers hebben het recht om te weten wie welke persoonsgegevens van hen verzamelt en met welk doel dat gebeurt.’

Verantwoordelijkheid

Tot dusver is er altijd van uitgegaan dat het informeren van de consument over het plaatsen van cookies de verantwoordelijkheid is van de exploitant van de website waarop dit gebeurt. Deze uitspraak van het Cpb is de eerste van een privacytoezichthouder over een cookiepartij. Ook die moeten nu dus goed op hun hoede zijn.

Casus 4. Bel-me-niet-register (NL) vs. Bel-me-niet-meer (BE)

Nederland kent sinds 2009 het wettelijk Bel-me-niet Register. België kent sinds juni 2015 iets vergelijkbaars: BelMeNietMeer.be. Voor die tijd was er in België ook al een dergelijke database, maar telemarketeers waren niet verplicht zich daaraan te houden. In de praktijk werkte dat niet goed.
Er is een belangrijk verschil tussen het Belgische en het Nederlandse Bel-me-niet-(meer) register: in Nederland mag een bedrijf zijn eigen klanten bellen, ook als zij in het Bel-me-niet register staan. In België mag dat niet. In België mogen bedrijven klanten die geregistreerd staan bij BelMeNietMeer.be niet bellen. Blijkbaar maakt de Belgische overheid een andere afweging dan de Nederlandse als het gaat om het (privacy)belang van de burger en het economisch belang van bedrijven. Voor veel Belgen zal het niet verrassend zijn dat Nederlanders het economisch belang (lees: geld) zwaarder laten wegen…

Frans Reichardt
De Klantenluisteraar

Bronnen: cbpweb.nl, blog.iusmentis.com, tweakers.net, flib.nl, belmenietmeer.be, bel-me-niet.nl
Met dank aan Jitty van Doodewaerd, Compliance Officer bij de Data Driven Marketing Association (DDMA), ddma.nl

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published. Required fields are marked *