De
Dienst Uitvoering Onderwijs (DUO) heeft gebruikgemaakt van trackingsoftware in
aan studenten persoonlijk gerichte e-mails, waarmee kan worden aangetoond dat
een student een belangrijk bericht heeft geopend. Volgens DUO heeft de Autoriteit
Persoonsgegevens (AP) aan DUO laten weten dat het gebruik van de
trackingsoftware mogelijk in strijd is met de Algemene verordening
gegevensbescherming (AVG), maar dat sprake is van een grijs gebied.

WAT
IS E-MAILTRACKING?

Het is voor een ontvanger
doorgaans niet te zien dat een afzender van een bepaalde e-mail gebruikmaakt
van trackingsoftware. De tracking werkt met een transparante pixel of plaatje in de e-mail van één pixel lang en één
pixel breed die de afzender helemaal onderaan de e-mail plaatst.

Zodra de ontvaner een e-mail met
een dergelijke pixel opent, wordt het plaatje gedownload van de internetserver
van de afzender. Daarbij worden (afhankelijk van de software) verschillende
gegevens over de ontvanger geregistreerd, zoals het onderwerp van de e-mail;
datum en tijd waarop de e-mail is verstuurd; bevestiging dat de ontvanger de
e-mail heeft ontvangen; bevestiging dat de ontvanger de e-mail heeft geopend
nadat deze
  is ontvangen; tijdstempel van
elke keer dat de e-mail wordt geopend; de geschiedenis van het aantal keer
(aantal, datum en tijd) dat de ontvanger de ontvangen e-mail heeft geopend;
IP-adres van waaraf de e-mail is geopend en de browser en besturingssysteem die
gebruikt zijn door de ontvanger die de e-mail heeft geopend.

Deze data kunnen eenvoudig
gekoppeld worden aan het e-mailadres van de ontvanger. De gegevens zijn daarom
aan te merken als persoonsgegevens in de zin van de AVG. Daarbij wordt doorgaans ook het IP-adres van de ontvanger geregistreerd, dat op zichzelf al een persoonsgegeven is. 

IS
HET VRAGEN VAN TOESTEMMING VOOR E-MAILTRACKING VERPLICHT?

In 2006 hebben de Europese
privacytoezichthouders (verenigd in de Artikel 29 Werkgroep – nu European Data
Protection Board) het gebruik van e-mailtrackingsoftware al aangestipt:

´De Groep van artikel 29 wijst
op de ontwikkeling van nieuwe software en diensten zoals “DidTheyReadIt?” waarmee kan worden nagegaan of een e-mailbericht
geopend werd. […] De gegevens worden geheim verwerkt; er wordt dus geen
informatie over gegeven aan de ontvangers waarvan de gegevens worden vergaard.
Bovendien is het voor de ontvangers niet mogelijk om de verzameling van de
hierboven vermelde gegevens toe te staan of te weigeren. In tegenstelling tot
de klassieke systemen voor de bevestiging van ontvangst van e-mails, heeft de
ontvanger bij deze nieuwe producten dus niet de mogelijkheid te aanvaarden of
te weigeren dat ontvangstgegevens worden verwerkt ten behoeve van de gebruiker
van dit programma.

De Groep van artikel 29 verzet
zich ten stelligste tegen deze praktijk, omdat persoonsgegevens over het gedrag
van de geadresseerde worden opgeslagen en doorgegeven zonder dat de betrokkene
daarmee uitdrukkelijk heeft ingestemd. Deze heimelijk uitgevoerde verwerking is
strijdig met de beginselen inzake gegevensbescherming, die eerlijkheid en
voorzichtigheid bij het verzamelen van persoonsgegevens vereisen […].

De verwerking van gegevens
waaruit blijkt of een ontvanger van een e-mailbericht dit heeft gelezen en of
en wanneer hij het heeft doorgezonden naar derden, vereist de ondubbelzinnige
toestemming van die ontvanger. Geen andere rechtsgrond kan deze verwerking
rechtvaardigen
´, aldus de Werkgroep.

Of de Autoriteit
Persoonsgegevens deze lijn ook nu zal volgen is nog maar de vraag. De opinie
van de Artikel 29 Werkgroep is uitgebracht in 2006, toen trackingsoftware nog
in de kinderschoenen stond, zoals door de werkgroep ook in de opinie is
bevestigd.

IS
ER EEN ALTERNATIEF?

Een mogelijk alternatief zou
zijn om voor e-mailtracking eenzelfde benadering te hanteren als geldt voor cookies.
Onder de cookiewetgeving (artikel 11.7a Telecommunicatiewet) geldt het
uitgangspunt dat het via een elektronisch communicatienetwerk opslaan van of
toegang verkrijgen tot informatie in de randapparatuur van een gebruiker,
alleen is toegestaan op voorwaarde dat de betrokkene daarvoor toestemming heeft
verleend. Het vragen van toestemming is echter niet nodig voor cookies die
uitsluitend worden gebruikt om informatie te verkrijgen over de kwaliteit of
effectiviteit van een website of app, mits het gebruik van dit type cookies
geen of slechts geringe gevolgen heeft voor de persoonlijke levenssfeer van de
internetgebruiker.

Analytische cookies worden bijvoorbeeld
gebruikt om het gebruik van een bepaalde website in kaart te brengen en te
analyseren, zodat de kwaliteit van de website verbeterd kan worden. Dit is een
duidelijk voorbeeld van cookies die worden gebruikt om informatie te verkrijgen
over de kwaliteit of effectiviteit van een dienst van de
informatiemaatschappij.

Als de privacygevolgen voor de
internetgebruiker gering zijn, valt het gebruik van analytische cookies onder
de uitzondering op de cookiebepaling. Om te voorkomen dat het gebruik van
analytische cookies meer dan geringe gevolgen heeft voor de privacy van de
internetgebruiker, is het vereist dat deze cookies of de daarmee gegeneerde
gegevens niet worden gebruikt om bijvoorbeeld een profiel van de
internetgebruiker op te stellen, ook niet door een eventuele derde.

Het standpunt zou kunnen
worden ingenomen dat wanneer trackingsoftware voor e-mails uitsluitend wordt
gebruikt om het bereik van (bijvoorbeeld) een nieuwsbrief te meten, de
privacygevolgen voor betrokkenen daarmee gering zijn, zodat het vragen van
toestemming achterwege kan worden gelaten. Het verwerken van de geregistreerde
persoonsgegevens kan dan ook op een andere AVG grondslag worden gebaseerd,
namelijk het gerechtvaardigd belang dat de afzender heeft bij het analyseren
van het bereik en de effectiviteit van zijn verzonden nieuwsbrieven. Uiteraard
moet de afzender de ontvangers, bij het verkrijgen van het e-mailadres, (in het
privacy statement) informeren over het gebruik van e-mailtrackingsoftware.

SLOT

Verschillende nieuwsberichten
suggereren dat DUO de gegevens ook kan inzetten in juridische geschillen met
(ex)-studenten over het terugbetalen van de studielening. De privacygevolgen van het gebruiken van
persoonsgegevens middels trackingsoftware voor een dergelijk doel, zullen in die situatie meer dan gering zijn. DUO gaat hierover nog in gesprek met de
AP. Voorlopig is DUO gestopt
met trackingsoftware in persoonlijke e-mails.

 

Source