De AP beoordeelt direct marketing regels strenger dan andere toezichthouders

Senator Hatch: “How do you sustain a business model in which users don’t pay for your service?” Zuckerberg: “Senator, we run ads”

Hierboven leest u een beroemde quote van Facebook-oprichter Mark Zuckerberg tijdens een zitting rondom het proces van het Facebook en Cambridge Analytica-dataschandaal. Cambridge Analytica, een Brits data(analyse)bedrijf, kreeg toegang tot gegevens van meer dan 87 miljoen Facebook-gebruikers terwijl hiervoor door de meeste betrokkenen geen toestemming was verleend. Als gevolg hiervan ging het bedrijf failliet en kreeg Facebook een enorme boete. Cambridge Analytica maakte onder andere gebruik van data-analyse en verschillende direct marketingcampagnes voor grote verkiezingscampagnes. Zo zou het bedrijf met behulp van de door hen verkregen persoonsgegevens een grote invloed hebben gehad op de Trump-campagne, waarbij het heeft geprobeerd kiezers te beïnvloeden, en het Brexit-referendum. Het schandaal is één van de grootste schandalen met betrekking tot het gebruik van persoonsgegevens voor marketingdoeleinden. Het gebruik van persoonsgegevens voor dergelijke doeleinden en de discussie over privacy werden hierdoor opnieuw in de publieke schijnwerpers gezet.

Direct marketing en privacybewustwording

Het bovenstaande laat zien dat de bewustwording op het gebied van privacy in onze maatschappij steeds groter wordt. Direct marketing speelt hierbij een belangrijke rol. Consumenten vinden het over het algemeen niet prettig als men ongevraagd benaderd wordt voor commerciële doeleinden. Direct marketing is tegelijkertijd een populair middel voor bedrijven om klanten te werven. Het is echter voor velen, zowel consumenten als bedrijven, een grijs gebied, omdat er veel onduidelijkheid bestaat over de wettelijke grenzen van direct marketing. Bovendien is sommige relevante wetgeving niet aangepast aan de technologische ontwikkelingen van de afgelopen jaren. Vanwege deze onduidelijkheden heeft Consignium een onderzoek laten uitvoeren naar de geldende privacyregels voor direct marketing. Ook is onderzocht hoe deze wettelijke regels door de Autoriteit Persoonsgegevens (AP) worden geïnterpreteerd. In dit artikel zullen de belangrijkste bevindingen uit dit onderzoek kort worden samengevat.

Relevante wetgeving AVG en Tw

Direct marketing is een technisch en juridisch ingewikkeld begrip. De toepasselijke regels zijn deels opgenomen in de Algemene Verordening Gegevensbescherming (AVG) en deels in de Telecommunicatiewet (Tw). De regelgeving omtrent dit onderwerp uit beide wetten is deels overlappend en deels aanvullend. De AP houdt toezicht op de naleving van de AVG, terwijl de Tw het domein is van de Autoriteit Consument en Markt (ACM). Wat betreft de AVG is het vooral van belang tot wie de marketing gericht is. Voor de toepassing van de Tw is vooral het kanaal of middel relevant.

Autoriteit Persoonsgegevens

In Nederland is de Autoriteit Persoonsgegevens (AP) belast met het houden van toezicht op de correcte naleving van de AVG. Omdat de regels uit de AVG niet altijd even duidelijk zijn, publiceert de AP met enige regelmaat opvattingen en interpretaties over begrippen en regels uit de AVG. Zo heeft de AP eind 2018 een interpretatie gepubliceerd over de (spel)regels voor direct marketing. Daarnaast heeft de AP in een publicatie uitleg gegeven over het gebruik van één van de grondslagen op basis waarvan persoonsgegevens mogen worden verwerkt voor direct marketingdoeleinden: ‘het gerechtvaardigd belang’.

Direct marketing wordt onderverdeeld in drie verschillende categorieën: digitale direct marketing (e-mail, sms, sociale media etc.), telemarketing en direct marketing per post (reclamepost). Voor elk van deze vormen gelden verschillende regels. Volgens de AP moet de verzender van zowel digitale direct marketing als marketing per post in de meeste gevallen toestemming vragen aan de ontvanger voordat direct marketing verstuurd mag worden, dit wordt ook wel het opt-in vereiste genoemd. Behorend bij het opt-in vereiste geldt dat de verzender moet kunnen aantonen dat de ontvanger toestemming heeft gegeven. Ook moet de verzender aan de ontvanger een effectieve afmeldmogelijkheid bieden voor elke verdere vorm van communicatie. Op het gebied van telemarketing geldt daarentegen het opt-out vereiste. Dit betekent dat consumenten telefonisch benaderd mogen worden, tenzij men ingeschreven staat in het Bel-me-niet Register. Voor het telefonisch benaderen van bedrijven (BV’s, NV’s en andere rechtspersonen) geldt deze uitzondering van het Bel-me-niet Register niet.

Strengere beoordeling direct marketing regels kan negatieve gevolgen hebben

De eerdergenoemde publicaties hebben naast het geven van antwoorden ook de nodige vragen opgeroepen. De publicatie over het gebruik van het gerechtvaardigd belang als grondslag voor verwerking heeft daarnaast de nodige kritiek opgeleverd van juristen, marketeers en datahandelaren. Zo zou de AP enkel focussen op wat niet kan en niet op wat wel mogelijk is.

Het is opvallend dat de publicatie geen concrete uitleg over omstandigheden, waarin voor direct marketing-doeleinden een succesvol beroep kan worden gedaan op een gerechtvaardigd belang, bevat. De AP focust slechts op wat niet tot de mogelijkheden behoort ten aanzien van direct marketing en het gerechtvaardigd belang. In de publicatie wordt specifiek benoemd dat ‘Het enkel dienen van zuiver commerciële belangen’ en ‘winstmaximalisatie’ twee belangen zij die, volgens de AP, niet kunnen worden gekwalificeerd als een gerechtvaardigd belang

Deze stellingname van de AP is vooral opmerkelijk in het licht van overweging 47 van de AVG. Hierin wordt een aantal voorbeelden genoemd van gerechtvaardigde belangen. Direct marketing wordt in de overweging specifiek als voorbeeld genoemd: ‘De verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.’ De normuitleg van de AP lijkt daarom niet in overeenstemming met de overweging bij de AVG. De AP biedt ook geen duidelijkheid over de verhouding tussen de normuitleg en overweging 47 AVG.

Bovendien verschilt de publicatie op enkele punten van de interpretaties van andere Europese toezichthouders. Als de AP de regels van direct marketing in Nederland strenger beoordeelt dan andere toezichthouders binnen de EU, kan dit de marktwerking tegengaan. De interpretatie van de AP kan dus negatieve gevolgen hebben voor Nederlandse bedrijven. Een aantal andere toezichthouders binnen de EU bieden bedrijven in hun eigen land op dit moment meer ruimte, in vergelijking met Nederland, om op grond van commerciële motieven data te verzamelen.

Nieuwe verordening

De regels voor direct marketing zijn, zoals eerder vermeld, deels vastgelegd in de Telecommunicatiewet. Deze regels vloeien voort uit de e-Privacyrichtlijn (ePR), die stamt uit 2002.  Sinds 2002 heeft onze wereld een behoorlijke digitale transformatie doorgemaakt. Dit heeft onder andere geleid tot de oprichting van social media platformen als Facebook, Youtube en Whatsapp. Deze ontwikkelingen hebben er ook voor gezorgd dat het verkrijgen van persoonsgegevens en het bezit van data steeds belangrijker zijn geworden. Zo kunnen bedrijven door middel van cookies en profilering steeds beter inspelen op de behoeftes en wensen van consumenten. Uiteindelijk zijn dit allemaal redenen geweest voor de Europese Commissie om een voorstel te ontwerpen voor de aanpassing van de, inmiddels gedateerde, ePR. Deze nieuwe verordening wordt de e-Privacy Verordening (ePV) genoemd en zal rechtstreekse werking krijgen binnen de lidstaten van de Europese Unie.

Het voorstel bevat aangepaste regels over onder andere het gebruik van cookies, de vertrouwelijkheid van communicatie en direct marketing. Wat betreft direct marketing zal de ePV vooral grote gevolgen hebben voor telemarketing. In de toekomst zal namelijk ook voor telemarketing voorafgaande toestemming verkregen moeten worden. Het eerdergenoemde opt-out vereiste voor telemarketing komt daarmee te vervallen. Deze verandering zal in de praktijk van grote invloed zijn op bedrijven die werkzaam zijn in de telemarketingsector.

De eerste versie van de ePV is op 10 januari 2017 door de Europese Commissie naar het Europees Parlement en de Raad van de Europese Unie gestuurd. Initieel was het de verwachting dat de ePV gelijktijdig met de AVG op 25 mei 2018 van toepassing zou zijn. Echter, bleek dit achteraf een té optimistische doelstelling. Binnen het Parlement bestaat verdeeldheid over het voorstel. Hierdoor zal het nog wel enige tijd duren voordat de ePV daadwerkelijk in werking treedt. De voorstellen van het Parlement zijn op sommige punten niet geheel in overeenstemming met de standpunten van de Raad. Vooral op het gebied van cookies en het gebruik van andere privacygevoelige technologieën is nog geen overeenstemming bereikt over de regelgeving. Naar verwachting zal de ePV daarom voorlopig nog niet in werking treden. Daarnaast is de technologie tegelijkertijd nog steeds volop in ontwikkeling, waardoor het te hopen is dat de uiteindelijke definitieve tekst goed aansluit op deze ontwikkelingen, zodat de Verordening nog een lange tijd meekan.