Met name is van belang dat de harmonisatie binnen ...[Lees meer].]]> Niettegenstaande  de geruchten dat de tekst van het (definitieve)voorstel voor de nieuwe privacy verordening ter  herziening van de huidige Privacy Richtlijn (95/64/EG) zou worden uitgesteld tot eind februari, (volgens kwade tongen  door de VS in de wereld gebracht) is de tekst toch op 25 januari bekend geworden.

Met name is van belang dat de harmonisatie binnen Europa is gediend bij het gebruik van het instrument verordening in plaats van een richtlijn. Een verordening is immers een op een van toepassing op de nationale regelgeving. Marges en verschillen in toepassing tussen de regelgeving van de verschillende lidstaten horen hiermee tot het verleden, tenminste als dit voorstel  als verordening wordt aangenomen en dat kan nog wel tot ruim  in 2013 duren.

De reden om te kiezen voor een verordening is, onder andere, dat de bescherming van persoonsgegevens (niet de privacy!) zoals neergelegd in artikel 8 Europees Verdrag Rechten van de Mens (EVRM) niet gebaat is bij verschillen in nationale wetgeving  binnen de Europese Unie. Afwijkingen tussen staten onderling zou belemmeringen zowel voor de bescherming als zodanig als ook voor het verkeer van die data tussen de lidstaten opleveren.

De eerder uitgelekte tekst (versie 34) had al veel protest opgeroepen bij het bedrijfsleven omdat de lasten met name bij dat bedrijfsleven werden gelegd zonder dat er sprake zou zijn van een werkelijke verbetering van de positie van de betrokkene.

Het uiteindelijke voorstel van de verordening is volgens mij niet zo desastreus voor het bedrijfsleven. De lobby, met name vanuit de direct marketing (DM) hoek, heeft zijn vruchten afgeworpen.

Voor direct marketing is immers wederom  een uitzondering gemaakt op het uitgangspunt dat uitdrukkelijke toestemming voor het verzamelen en gebruiken van gegevens is  vereist. De bewijslast van die verkregen toestemming ligt overigens bij de verwerkende organisatie (artikel 7). Gegevens van kinderen onder de 13 worden zonder toestemming van de ouders niet verwerkt.

Natuurlijk zijn er wel  verdergaande verplichtingen voor het bedrijfsleven en overigens alle overige verwerkers van persoonsgegevens. Elektronische verzoeken tot informatie, verwijdering of, wijziging  van persoonlijke informatie  dienen zonder vertraging en in ieder geval binnen een maand te worden afgewikkeld. Dit is nog een redelijke termijn voor de organisatie (artikel 12).

Wat betreft de beginselen (artikel  5 – 11) wordt een grote nadruk gelegd op de transparantie (artikel 11 -18)en een minimalisatie van het gebruik van persoonsgegevens.  Nieuw is het recht ”om vergeten te worden” (artikel 17) en toestemming te onthouden aan “profiling”activiteiten (artikel 19 en 20) voor zover technisch mogelijk natuurlijk. In de praktijk zal zo’n “vergeetknop” moeilijk zijn te hanteren omdat het onmogelijk zal worden om alle informatie  bij bijvoorbeeld alle ”facebook-vrienden” over een bepaalde persoon te verwijderen, laat staan de informatie buiten de reikwijdte van die organisatie.

Verder moeten bedrijfsleven en organisaties kunnen aantonen dat zij persoonsgegevens adequaat beschermen. Om te beginnen moet de bescherming gebaseerd zijn op “privacy by design’, De beveiligingsmaatregelen dienen afdoende te zijn, in aanmerking nemende de aard van de gegevens, state of the art en de kosten die bescherming met zich meebrengt, niet revolutionair in vergelijking met de bestaande regelgeving..

Wel tamelijk ingrijpend, maar  al eerder meegenomen in een wetsvoorstel tot wijziging van de WBP en de Telecommunicatiewet, is de bepaling dat als er sprake is van een datalek, de verantwoordelijken  dit zo spoedig mogelijkmoeten  melden bij de nationale privacytoezichthouder (artikel30)  Verder dient ook de betrokkene te worden ingelicht (artikel 31) als er daadwerkelijk schade wordt verwacht door de inbreuk..

Interessant is verder het opnemen van een “data impact assesment”,  “bij risicovolle verwerkingen van gevoelige gegevens, gedragingen of voorkeuren van natuurlijke personen” of “gevoelige verwerkingen” als video opnamen van bewegingen en gedrag (artikel 33). Overigens vindt dit onderzoek plaats door de verantwoordelijke of bewerker van de eigen organisatie, een directe koppeling naar een onafhankelijk partij of toezichthoudend orgaan is niet verplicht.

De reactie van het CBP op het voorstel is  enigszins  terughoudend en verder tamelijk neutraal in zijn bewoordingen. Het College erkent dat het voorstel voor de verordening op onderdelen een versterking van de rechten van burgers betekent maar is niet juichend.
Wel  is het College verheugd over de versteviging van de rol van privacytoezichthouders. In het voorstel staan  duidelijke criteria voor de onafhankelijkheid van de privacytoezichthouders en hun onderzoeksbevoegdheden. Privacytoezichthouders hebben bijvoorbeeld het recht op informatie van bedrijven en organisaties en moeten toegang kunnen krijgen tot hun panden. Ook krijgen de toezichthouders geharmoniseerde en krachtige handhavingbevoegdheden, inclusief een boetebevoegdheid waarbij de boetes kunnen oplopen tot één miljoen euro.

Het CBP -en naar alle waarschijnlijkheid ook het bedrijfsleven- zijn verder positief over het vervallen van de bestaande verplichting tot melden van gegevensverwerking bij de toezichthouders, omdat dit een verlichting van de administratieve lasten betekent en tegelijkertijd, naar hun zeggen, niet ten koste gaat van het niveau van bescherming persoonsgegevens.

Kortom, door de verwachte wijzigingen  wordt de positie van de datasubjecten enigszins verbeterd  en het bedrijfsleven  niet echt zwaar getroffen. De realiseerbaarheid van de doelstellingen is echter niet altijd even doordacht. Dit is enigszins teleurstellend, gezien het lange draagtraject dat tot deze geboorte van de verordening heeft geleid.

Nu maar eens kijken wat er van de uiteindelijke verordening en de toepassing en handhaving overblijft!

Wat de invoering van deze verordening voor de gegevensverwerkende bedrijven en organisaties betekent,  zal dit voorjaar in een aantal door Mitopics georganiseerde workshops uiteen worden gezet.

U bent van harte uitgenodigd, let op de komende berichtgeving.

In het kader van het twintig jarig bestaan van Mitopics, wordt een reeks masterclasses op universiteiten gegeven. Deze masterclasses staan ...[Lees meer].]]> Op dinsdag 10 januari jl. vond de eerste van een reeks Mitopics masterclasses plaats. Walter van Holst, senior IT-jurist bij Mitopics, gaf de aftrap met een masterclass IT en Recht aan de Vrije Universiteit in Amsterdam. 

In het kader van het twintig jarig bestaan van Mitopics, wordt een reeks masterclasses op universiteiten gegeven. Deze masterclasses staan in het teken van het raakvlak tussen informatietechnologie en recht in de praktijk. De masterclasses worden door onze senior consultants gegeven gedurende de twintig weken waarin Mitopics haar verjaardag viert (zie voor meer informatie over het Mitopics lustrum).

De eerste masterclass vond plaats in de Kerkzaal van de Vrije Universiteit en werd bezocht door zowel masterstudenten als bachelorstudenten van rechtsgeleerdheid. Aan de hand van een aantal smeuïge voorbeelden, waaronder de Diginotar-affaire (zie ook een weblog over de Diginotar-affaire), werd ingegaan op onderwerpen als de praktijkproblemen die voorkomen bij de inkoop van ICT en de plaats die informatiebeveiliging daarbij krijgt. Hierdoor werd een praktische aansluiting gevonden bij de vakken die de studenten op het moment volgden: ‘Privacy en Security’ en ‘Cybercrime’.

Nog tot eind mei zullen masterclasses gegeven worden aan verschillende universiteiten.

Wilt u meer weten over onze masterclasses? Neem dan contact op met Myrthe Herwig.

De verwerking van ...[Lees meer].]]> Bij steeds meer IT-contracten is er sprake van verwerking van persoonsgegevens door de leverancier. Onder persoonsgegevens worden gegevens verstaan die (indirect) herleidbaar zijn tot natuurlijke personen. Tom Jozak behandelt in zijn weblog-bijdrage de eisen die de Wet bescherming persoonsgegevens stelt aan de verwerkers van persoonsgegevens en onderwerpen die een bewerkersovereenkomst moet bevatten.

De verwerking van persoonsgegevens mag slechts onder bepaalde voorwaarden plaatsvinden. Belangrijk hierbij is dat het doel waarvoor persoonsgegevens zijn verkregen welbepaald is, zij ter zake dienend zijn en niet bovenmatig worden verzameld. De verwerking moet op behoorlijke en zorgvuldige wijze gebeuren.

Uit de Wbp volgt verder dat iedere verwerkingshandeling, (onder meer het verzamelen, vastleggen, bewaren, wijzigen, opvragen, raadplegen, verspreiden, maar ook vernietigen van deze gegevens) aan regels van de Wbp is onderworpen. Eén van deze regels is dat het door een derde laten verwerken van persoonsgegevens, bijvoorbeeld in het kader van uitbesteding, een bewerkersovereenkomst vereist. Het bestaan van deze bewerkersovereenkomst is daarbij in het belang van zowel afnemer als leverancier. De leverancier zal doorgaans de Wbp al overtreden door deze gegevens voorhanden te hebben zonder het bestaan van een dergelijke overeenkomst.

De afnemer (of de verantwoordelijke, degene die het doel en de middelen voor de verwerking vaststelt) moet met de leverancier (de bewerker) afspraken betreffende de gegevensverwerking doorgaans in een aparte overeenkomst opnemen. Daarnaast moeten ook verplicht een aantal onderwerpen worden opgenomen in een bewerkersovereenkomst.

Wilt u meer weten over de onderwerpen die aan bod moeten komen in een bewerkersovereenkomst en of uw organisatie aangemerkt kan worden als bewerker in de zin van Wbp, neemt u dan contact op met mr. Tom Jozak.

In deze zaak stelde ...[Lees meer].]]> Bij Europese aanbestedingen van ICT-projecten heeft de aanbestedende organisatie, en in het bijzonder de afdeling ICT, dikwijls specifieke voorkeuren voor bepaalde oplossingen.  Een recente uitspraak van de rechtbank Den Bosch bevestigt het belang van de concrete onderbouwing van uw eisen bij Europees aanbesteden van ICT (van 18 oktober 2011, LJN: BT8712).

In deze zaak stelde de aanbestedende dienst als eis dat de benodigde multifunctionals een scansnelheid van 150 pagina’s per minuut konden halen. Al tijdens de procedure heeft een leverancier verzocht deze eis bij te stellen, omdat hieraan slechts één leverancier kon voldoen. De aanbestedende dienst heeft geweigerd aan dit verzoek te voldoen, omdat kort gezegd deze snelheid noodzakelijk en wenselijk is voor de bedrijfsvoering. Nadat gebleken was dat er inderdaad maar één leverancier een offerte had ingediend, is de leverancier die eerder verzocht had de eis bij te stellen, naar de rechter gestapt, met het argument dat er voor de eis van de scansnelheid geen objectieve rechtvaardiging bestond en dat hierdoor de mededinging beperkt wordt. De rechter heeft de betreffende leverancier in het gelijk gesteld, omdat de tijdwinst bij het scannen van een dossier van 50 pagina’s slechts 20 seconden was. Een dergelijke zware mededingingsbeperkende eis met betrekking tot de scansnelheid vond de rechter in dit geval daarom te zwaar.

Uit deze zaak blijkt temeer dat je bij het opstellen van eisen en wensen heel goed moet kunnen uitleggen waarom deze voor jouw organisatie zo belangrijk zijn. Wilt u meer weten over onze ICT-inkoop en aanbestedingsdiensten, neemt u dan contact op met Richard Heijne den Bak of 06-51190472.

De Nederlandse ...[Lees meer].]]> Met ingang van 1 januari 2012 vervangt de ‘Code reclame via e-mail’ (Code e-mail) de bestaande codes voor commerciële e-mail aan bedrijven en consumenten. Verstuurt uw organisatie reclame per e-mail? Zo ja, wees alert en controleer of u gebonden bent aan de Code e-mail en aan welke regels u zich dan dient te houden.

De Nederlandse Reclame Code (NRC) en de verschillende bijzondere Codes, waaronder de Code e-mail, zijn een vorm van zelfregulering. Veel brancheorganisaties hebben zich aangesloten bij de Nederlandse Reclame Code die hen verplicht de codes na te leven. Hiermee voldoen zij aan een strenger regime, dan de wet hen oplegt. Gaat u adverteren via e-mail, dan is het verstandig om na te gaan of u bent aangesloten bij een branche-organisatie of vakvereniging die is aangesloten bij de NRC. Is dit het geval, dan bent u verplicht zich te houden aan de NRC in uw reclame-uitingen. Overigens kunt u zich ook vrijwillig aansluiten bij de code.

De nieuwe Code voorziet onder andere in de volgende regels bij het sturen van reclame via e-mail:

• U dient vooraf expliciet toestemming te hebben verkregen van de geadresseerde voor het toesturen van reclame per e-mail. Vooral sinds de opkomst van social media (Facebook, LinkedIn, etc) komt het regelmatig voor dat in een friends-request op Facebook of een invitation op LinkedIn wordt beschouwd als toestemming voor het toesturen van e-mail. Dit is onjuist.
• Als uitzondering op de vorige regel, mag u reclame via e-mail sturen, als u het e-mailadres heeft verkregen in het kader van verkoop of schenking door de geadresseerde en wordt gebruikt voor het aanbieden van gelijksoortige producten of diensten.
• Als u e-mailadressen niet zelf heeft verzameld, let er dan op dat degene van wie u de adressen heeft gekregen/gekocht, zich ook houdt aan de Code.
• Bijlagen van reclame per e-mail mogen niet groter zijn dan 150kb.
• Als een URL van een rechtstreeks te downloaden bestand wordt meegestuurd, moeten de omvang en het type van het bestand worden aangegeven.
• Bij het verzamelen van e-mailadressen zijn er informatieplichten. Aangeven zal moeten worden wat de identiteit van de bestandseigenaars is, dat het e-mailadres wordt gebruikt voor het toezenden van reclame en of het e-mailadres wordt gebruikt voor eigen gebruik dan wel (mede) voor gebruik ten behoeve van derden.

Voor meer informatie over dit onderwerp, neemt u gerust contact op met mr. dr. ing. Maarten van Stekelenburg

Voor een volledig overzicht kunt u ...[Lees meer].]]> Samen met Heliview geeft Mitopics een aantal keer per jaar de volgende trainingen: Opstellen en beoordelen van IT-contracten, Contractmanagement en SLA’s voor niet-juristen.

Voor een volledig overzicht kunt u hier kijken.

BREIN vs XS4ALL/Ziggo schept een gevaarlijk precedent

Wie is mijn leverancier: agent of distributeur?

Persoonsgegevens: waar eindigt ...[Lees meer].]]> U vindt hier de drie best gelezen weblogs, geschreven door onze consultants.

BREIN vs XS4ALL/Ziggo schept een gevaarlijk precedent

Wie is mijn leverancier: agent of distributeur?

Persoonsgegevens: waar eindigt de reis?

Steeds vaker worden gegevens van Europese burgers en bedrijven verwerkt door Amerikaanse aanbieders van cloudcomputing-diensten. Aangezien de Amerikaanse Patriot Act van toepassing is op deze aanbieders, kan de Amerikaanse overheid al deze gegevens inzien. Dit is voor veel Europese landen een onaanvaardbare situatie. De laatste jaren promoten daarom steeds meer Europese ...[Lees meer].]]> (Eerder verschenen op ITenRecht.nl)

Steeds vaker worden gegevens van Europese burgers en bedrijven verwerkt door Amerikaanse aanbieders van cloudcomputing-diensten. Aangezien de Amerikaanse Patriot Act van toepassing is op deze aanbieders, kan de Amerikaanse overheid al deze gegevens inzien. Dit is voor veel Europese landen een onaanvaardbare situatie. De laatste jaren promoten daarom steeds meer Europese landen de regionale cloudcomputing-agenda. Na Duitsland neemt nu ook Frankrijk dit standpunt in. Deze nieuwe ontwikkeling zou enorme gevolgen kunnen hebben voor de uitwisseling van data op het internationaal niveau en voor de huidige aard van cloudcomputing in het algemeen. Stand van zaken nu en een blik naar de toekomst.

France Telecom werkt samen met Thales SA, maker van lucht-, ruimtevaart en industriële elektronica, om een cloud-van-eigen-bodem te realiseren en de cloudsoftware binnen en buiten Frankrijk te kunnen aanbieden, bericht Bloomberg. “Het is het begin van een gevecht tussen twee reuzen [Frankrijk(Europa) en de Verenigde Staten, edit TJ]“, zegt Jean-François Audenard, France Telecom Cloud security adviseur. Audenard vervolgt:

It’s extremely important to have the governments of Europe take care of this issue because if all the data of enterprises were going to be under the control of the U.S., it’s not really good for the future of the European people.

Deze ontwikkeling is op gang gekomen naar aanleiding van de Amerikaanse Patroit Act. Als gevolg van deze wetgeving zijn de Verenigde Staten (VS) namelijk bevoegd om de data die is opgeslagen in de cloud te raadplegen, indien deze data kan worden gebruikt om een bedreiging van de nationale veiligheid te signaleren en/of te weren. Het mag duidelijk zijn dat deze wetgeving de bevoegde Amerikaanse overheidsinstanties vrije handen geeft om bij een geringst vermoeden van bedreiging van de nationale veiligheid, bepaalde (persoons)gegevens door te lichten. Afgelopen voorjaar heeft ook Microsoft naar buiten gebracht dat zij de beschikbare cloudgegevens aan de Amerikaanse autoriteiten desgevraagd zou overdragen, zelfs als deze data zich in één van haar op het Europese grondgebied gevestigde datacentra zou bevinden.

Dergelijke verklaringen veroorzaken consternatie in landen van de Europese Unie, met name in Duitsland, waar veel strengere eisen gelden op het gebied van privacy dan in de meeste Europese landen.

Vorig jaar september verklaarde Reinhard Clemens, CEO van Deutsche Telekom’s T-Systems Group, dat lokale wetgevers en toezichthouders de technische ontwikkelingen om een super beveiligde ‘cloud’ op het Europese grondgebied mogelijk te maken, niet in de weg mogen staan. Dit vraagt harmonisatie-inspanningen van de lidstaten op Europees niveau. Er is immers steeds meer vraag van klanten die niet willen dat hun informatie of informatie van hun klanten toegankelijk is voor derden zoals de Amerikaanse overheid. Ook grotere Europese bedrijven zijn zich hiervan bewust en zien kansen op dit gebied. Zij wachten niet af en zijn op steeds grotere schaal bezig met het (na)bouwen van de oplossingen die voorheen alleen vanuit Amerika afkomstig waren. Een ware concurrentieslag wordt nu uitgevochten als gevolg van de conflicterende Amerikaanse en Europese wetgeving. Het is echter slechts een kwestie van tijd voordat Europese bedrijven (‘de nieuwkomers’) hun diensten naar Amerika uitbreiden en aldaar aan de Amerikaanse wetgeving moeten voldoen. De Europese klant kan hier uiteindelijk de dupe van worden, tenzij de wetgever ingrijpt. Dat een oplossing hiervoor in de maak is, kan uit berichtgeving van Eurocommissaris Viviane Reding (en voorheen Neelie Kroes) worden afgeleid. De nieuwe General Data Protection Regulation (d.d. 29/11/2011), die nu als conceptvoorstel ter beoordeling ligt, geeft onafhankelijke Europese toezichthouders de middelen in handen om op te treden tegen eenzijdige beslissingen van Amerika bij het raadplegen van de uit Europa afkomstige persoonsgegevens (zie bijv. art. 79 lid 4 sub j van deze verordening, die een boete van 5% van de jaarlijkse wereldwijde omzet oplegt aan een bedrijf dat zonder toestemming uit Europa afkomstige data exporteert naar een land buiten Europa). Deze wetgeving gaat waarschijnlijk aanstaande woensdag in werking treden, bericht Tweakers.

De Amerikaanse cloudmarktleiders (Amazon, Facebook, Google, IBM en Microsoft) protesteren uiteraard tegen deze protectionistische benadering. Zij zijn namelijk bezig om een nieuw universeel clouddatanetwerk te creëren door middel van efficiënte, gedecentraliseerde datacenters om daarmee hun enorme cloudoperaties uit te voeren, en eigen (commerciële) belangen in Europa veilig te stellen. Als de Europese landen deze ontwikkelingen tegengaan, kan de waarde van cloudcomputing, niet alleen voor deze bedrijven, maar ook voor hun klanten aanzienlijk verminderen, zij het dat dit vooralsnog ‘slechts’ tussen de in de VS en de in EU gevestigde bedrijven parten zal spelen.

Deze Europese protectionistische benadering van cloudcomputing, initieel veroorzaakt door Amerikaanse wetgeving zal, als de patstelling langer voortduurt, ook nadelen brengen voor de Europese bedrijven, stelt Informa. Zij vervolgt:

The European telecom operators who promote this strategy risk being sidelined in the global cloud computing market as aggressive North American and Asian operators spend billions to build international presence.

The Informa Telecom Cloud Monitor (pdf) laat zien dat Europese operators slechts 7 procent uitmaken van de totale wereld cloudactiva, gemeten vanaf 2011, terwijl hun Noord-Amerikaanse en Aziatische collega’s goed zijn voor 90 procent.

GigaOM meldde vorige maand nog, dat de Amerikaanse technologiegiganten deze bedreiging niet ongemoeid voorbij laten gaan. Google, IBM, Citi en een aantal andere grote Amerikaanse bedrijven en federale banken lobbyen bij hun regering voor verdragen die de vrije stroom van informatie over de grenzen waarborgen. De Patriot Act staat hun inspanningen echter in de weg en dat zal binnen afzienbare tijd ook niet veranderen, aangezien de nationale veiligheid vóór commerciële belangen gaat. De wil om een vrije stroom van informatie te waarborgen is er echter aan beide kanten van de Atlantische oceaan – als we een informeel commentaar op het nieuw voorstel voor General Data Protection Regulation mogen geloven en beide partijen lijken hetzelfde doel na te streven. Dit biedt hoop op een blijvende oplossing met betrekking tot vrije uitwisselbaarheid van gegevens tussen de twee nog steeds tegenstrijdige benaderingen. We zullen dus nog een tijdje geduld moeten hebben voordat bezorgdheden en openstaande punten worden weggewerkt en dat geeft op een korte termijn weinig troost.

(Bron: Bloomberg, GigaOm)

Afbeelding: Sue Waters

De Nederlandse Reclame ...[Lees meer].]]> Met ingang van 1 januari 2012 vervangt de ‘Code reclame via e-mail’ de bestaande codes voor commerciële e-mail aan bedrijven en consumenten. Dat levert voor sommige organisaties de vraag op of zij gebonden zijn aan deze code en zo ja, met welke regels zij dan te maken krijgen.

Toepassingsbereik van de Code

De Nederlandse Reclame Code en de verschillende bijzondere Codes, waaronder de ‘Code reclame via e-mail’, zijn een vorm van zelfregulering. De codes binden een partij op grond van de Mediawet (de Ster, lokale, regionale en commerciële media-instellingen die reclame of telewinkelboodschappen in het programma-aanbod opnemen), op grond van aansluiting bij een branche- of belangenvereniging, of op grond van vrijwillige aansluiting. Aangezien niet iedere organisatie die reclame per e-mail verstuurt ook behoort tot de zojuist genoemde groepen, schept de Code niet automatisch verplichtingen voor deze organisaties. Waarom zouden zij zich dan toch willen houden aan de Code, terwijl de wet al dwingend voorschrijft wat wel en niet mag? De Code schept namelijk alleen maar extra verplichtingen, terwijl er niets tegenover staat aan rechten. Toch is er een goede reden te noemen. Als een organisatie vrijwillig de Code van toepassing verklaart, geeft zij hiermee een signaal af, dat zij wil handelen volgens stringentere normen dan de wet opdraagt en wat in het professionele veld als ‘best practise’ wordt beschouwd. In het kader van maatschappelijk verantwoord ondernemen, wordt hiermee een signaal afgegeven en kunnen (potentiële) klanten zien met welke normen de betreffende organisatie zich afficheert. Op deze normen zal ik hieronder verder in gaan.

Het toezenden van reclame per e-mail

De Code geeft de voorwaarden waaronder reclame via e-mail toegezonden mag worden aan geadresseerden. Ten eerste moet de geadresseerde daarvoor vooraf en door middel van een actieve handeling toestemming hebben gegeven. ‘Vooraf’ wil zeggen, dat pas na toestemming van de geadresseerde de eerste reclame-uiting per e-mail mag worden gestuurd. Het sturen van reclame (of een andere uiting) waarin wordt gevraagd om toestemming, is niet toegestaan; dat betreft namelijk al reclame. Ten tweede moet sprake zijn van een actieve toestemmingshandeling gericht op het willen ontvangen van reclame. Hiervan is bijvoorbeeld sprake, als een geadresseerde een leeg selectievakje (checkbox) op een website aanvinkt. Daarbij moet dan tevens ondubbelzinnig staan aangegeven dat met het aankruisen van de checkbox, de geadresseerde instemt met het ontvangen van reclame per e-mail. Als de checkbox al is aangevinkt en de geadresseerde moet deze afvinken om geen e-mail te ontvangen, dan is geen sprake van een actieve toestemmingshandeling. Ook als een geadresseerde enkel zijn e-mailadres invoert, kan sprake zijn van een actieve handeling. Wel moet dan ondubbelzinnig duidelijk zijn dat het invoeren van zijn e-mailadres is gericht op het geven van toestemming. Het probleem is dat iedereen zomaar een adres van een ander kan ingeven. Daarom is het aan te raden om te verifiëren dat het e-mailadres inderdaad toebehoort aan de persoon die het adres heeft ingevoerd. Dit kan door een bevestigingse-mail naar het adres te sturen met het verzoek te bevestigen dat de persoon van wie het e-mailadres is, reclame wenst te ontvangen. De Code verplicht hiertoe echter niet.

Reclame per e-mail voor soortgelijke producten of diensten

Ook is het toegestaan een geadresseerde reclame per e-mail te sturen, als het e-mailadres is verkregen in het kader van verkoop aan of schenking door de geadresseerde en wordt gebruikt voor het aanbieden van gelijksoortige producten of diensten. Voorwaarde is wel dat de geadresseerde tevens geen gebruik heeft gemaakt van een mogelijkheid zich af te melden. Zo mag een online elektronica winkel waarbij een geadresseerde eens een mp3-speler heeft gekocht, reclame sturen aan de geadresseerde voor meer elektronische producten. Mocht deze winkel het assortiment uitbreiden met kleding en voedselwaren, dan mag deze voor die producten geen reclame sturen aan de geadresseerde.

E-mailadressen verkregen van derden

Als een adverteerder reclame stuurt aan e-mailadressen die hij niet zelf heeft verkregen, dan moet hij zich ervan vergewissen dat de bestandseigenaar (en andere tussenpersonen) die de adverteerder inschakelt, de bepalingen van de Code naleeft. Als een adverteerder gebruikmaakt van e-mailadressen die hij niet zelf heeft verkregen, doet hij er daarom verstandig aan om in een overeenkomst met de bestandseigenaar een garantie en vrijwaring op te nemen. De garantie zal moeten bepalen dat degene die de e-mailadressen aan de adverteerder levert, ervoor instaat dat de noodzakelijke toestemming expliciet is verleend door de geadresseerde. De vrijwaring zal moeten bepalen dat als deze toestemming achteraf toch mocht ontbreken, de leverancier van de adressen hem zal vrijwaren voor alle daaruit voortvloeiende schade.

Social media

Met het oog op de integratie van verschillende IT-toepassingen (zoals de integratie van social media als Facebook en LinkedIn met e-mailprogramma’s) is het verstandig om op te passen dat niet automatisch e-mailadressen aan mailinglists worden toegevoegd. Het aangaan van een relatie via bijvoorbeeld LinkedIn betekent niet, dat hiermee toestemming is verleend om reclame per e-mail te sturen. Hetzelfde geldt voor het klikken op de ‘like-button’ op Facebook. Ook een mededeling op het profiel van de adverteerder dat het linken aan het profile van de adverteerder inhoudt dat hij toestemming verleent om reclame naar zijn adres te sturen, betekent niet dat er toestemming is volgens de Code. In alle bovenstaande gevallen is namelijk geen sprake van een actieve handeling die gericht is op toestemming tot het sturen van reclame.

Tell-a-friend

Nieuw in de Code is de zogenaamde ‘tell-a-friend’-bepaling. Hiervan is sprake als een natuurlijk persoon die niet handelt in de uitoefening van beroep of bedrijf (dus geen rechtspersoon als een b.v. of stichting) besluit om via een platform van de adverteerder een reclame-uiting te verzenden naar een persoonlijke relatie. Deze vorm van marketing wordt steeds vaker toegepast door adverteerders. Het brengt een boodschap heel gericht en soms voorzien van persoonlijke noot en enthousiasme van de bevriende persoon aan de geadresseerde. De Code speelt in op deze situaties door te bepalen dat de naam van de verzendende natuurlijk persoon moet worden opgenomen in het ‘Van-veld’ en het ‘Reply To-veld’ het e-mailadres van de deze persoon moet bevatten.

Inhoudelijke en technische verplichtingen

Naast de bepalingen over toestemming geeft de Code een aantal regels over wat verplicht is in de e-mail regels over wat moet worden opgenomen in het ‘Van-veld’ en het ‘Reply to-veld’. Ook mogen de bijlagen van reclame per e-mail niet groter zijn dan 150kb en als een URL van een rechtstreeks te downloaden bestand wordt meegestuurd, en moeten de omvang en het type van het bestand worden aangegeven. Verder wordt de bestandseigenaar dan wel adverteerder gebonden aan een aantal informatieplichten. Hij zal moeten aangeven dat het e-mailadres zal worden gebruikt voor het toezenden van reclame, over de identiteit van de bestandseigenaar(s) aangeven of het e-mailadres wordt gebruikt voor eigen gebruik dan wel (mede) voor gebruik ten behoeve van derden. Aan deze informatieplicht kan overigens niet worden voldaan uitsluitend door middel van een bepaling in de algemene voorwaarden of privacystatement.

Zoals al eerder gesteld, schept de Code verplichtingen voor partijen die zijn aangesloten bij de Code. Het voldoen aan de verplichtingen bovenop de al wettelijke verplichtingen, is niet heel moeilijk te realiseren. Voor organisaties die vanuit maatschappelijk oogpunt opereren, is het daarom zeker de moeite waard om te onderzoeken of de Code voor hen van toegevoegde waarde kan zijn.

De complete Code is te vinden op de website van de Reclame Code Commissie (www.reclamecode.nl). Ook kunt u voor meer informatie over dit onderwerp contact opnemen met de schrijver van dit artikel: Maarten van Stekelenburg, werkzaam als IT-jurist bij Mitopics.