We zijn allemaal dol op koopjes en aanbiedingen, vooral als het product of de
dienst nét is waar jij behoefte aan hebt. Of wanneer je persoonlijk wordt
aangesproken. Voor organisaties is het dan ook waardevol om hun klanten te
kennen – dat verhoogt de kans op een aankoop. Onlangs
kondigde ING aan dat zij de betaalgegevens van haar klanten
wil gaan benutten voor het versturen van gepersonaliseerde aanbiedingen –
financiële producten die passen bij de behoefte van de klant.
De Autoriteit Persoonsgegevens
(‘AP’) heeft via
Twitter aangegeven hier verder onderzoek naar te doen en er zijn Kamervragen
over gesteld aan de minister van Financiën. Hoog tijd dus om de
regels over het versturen van persoonlijke reclame onder de loep te nemen. Want
persoonlijke reclame op basis van betaalgedrag, mag dat zomaar?
De regels voor het e-mailen van consumenten
De regels over het aanbieden van reclame (ook wel ‘direct marketing’ genoemd)
staan in de AVG. Daarnaast gelden ook specifieke verplichtingen over direct
marketing, die staan nu nog in de Telecommunicatiewet. Deze zal op termijn (waarschijnlijk
in 2021) vervangen worden door de ePrivacy Verordening.
In Nederland is het uitgangspunt voor het versturen van direct marketing via
e-mail, sms of app aan consumenten dat daar vooraf ‘opt-in’ toestemming voor moet
worden gevraagd. Worden klanten benaderd die al een keer wat hebben gekocht?
Dan is toestemming volgens de Telecommunicatiewet niet nodig, mits het daarbij
gaat om het aanbieden van eigen
gelijksoortige producten of diensten: deze berichten moeten dus van
dezelfde entiteit afkomstig zijn als waar een aankoop is gedaan. De klant moet
bovendien vooraf geïnformeerd zijn over de ontvangst van dergelijke e-mails en
de gelegenheid hebben gekregen om zich hiertegen te verzetten (‘opt-out’). In
alle gevallen moet de ontvanger van een bericht zich steeds eenvoudig kunnen
afmelden voor volgende marketingberichten. Dit is ook de reden dat
er in nieuwsbrieven een afmeldbutton staat.
Als direct marketing berichten worden verzonden aan nieuwe klanten / prospects
en/of niet aan bovengenoemde vereisten is voldaan, moet er dus om toestemming
worden gevraagd. Die toestemming moet voldoen aan de vereisten die de AVG daaraan
stelt: de ontvanger moet door middel
van een actieve handeling toestemming hebben gegeven, goed geïnformeerd zijn en
slechts toestemming ten aanzien van specifieke doeleinden hebben gegeven.
Daarnaast dient de ontvanger bij het geven van toestemming
‘vrij’ te zijn, dat wil zeggen dat hij of zij ook de mogelijkheid moet
hebben om geen toestemming te geven. Ook moet kunnen worden aangetoond
dat er daadwerkelijk toestemming is gegeven.
Naast deze speciale regels over direct marketing, geldt dat ook steeds sprake
is van het verwerken van persoonsgegevens om marketing e-mails te versturen. Er moet dus ook aan de AVG worden voldaan. Dit betekent onder andere dat er een grondslag
aanwezig moet zijn voor het verzenden van direct marketing e-mails. Over het
algemeen kan worden aangenomen dat een organisatie een gerechtvaardigd belang heeft
voor marketingactiviteiten. Dat is zo’n grondslag uit de AVG waarbij er een afweging
moet worden gemaakt tussen het belang van degene die persoonsgegevens verwerkt
en de betrokkene, in dit geval de ontvanger van de e-mail. Deze afweging kan twee
kanten uitgaan. Factoren die bij een belangenafweging meespelen, zijn bijvoorbeeld
het feit dat een bedrijf op grootschalige wijze individuele profielen opbouwt
en/of daarbij gevoeligere persoonsgegevens gebruikt. In zo’n geval valt de
belangafweging sneller uit in het voordeel van de betrokkene.
Het
geval van ING
ING wil klanten gaan benaderen zonder daar eerst toestemming voor te vragen. Zij
kiest daarbij dus voor een ‘opt-out’. Het is nog niet helemaal duidelijk hoe
ING haar klanten wil benaderen, vermoedelijk zal dat per e-mail gebeuren. In
aanvulling op de Telecommunicatiewet is dan ook de AVG van toepassing: ING gaat
hiervoor immers persoonsgegevens gebruiken van haar klanten. Voor het verwerken
van persoonsgegevens geldt dan ook dat ING een grondslag moet hebben. ING
heeft aangegeven dat zij het benaderen van klanten baseert op
de grondslag ‘gerechtvaardigd belang’.
Zoals hierboven beschreven,
moet de verwerking van persoonsgegevens bij een ‘gerechtvaardigd belang’ noodzakelijk
zijn voor het belang van de ING. Het marketingbelang van de ING moet worden
afgewogen tegen het privacybelang van de klant. Er zijn dan verschillende
factoren die meewegen: bijvoorbeeld het feit dat ING recht heeft op de vrijheid
van ondernemerschap, bestaande klanten benadert met haar eigen producten en
diensten en deze niet met derden deelt. Anderzijds zijn financiële gegevens bijzonder gevoelige gegevens en zijn
deze verkregen voor het afnemen van de betaaldiensten van ING. Mag een klant
dan verwachten om ook commerciële berichten te ontvangen naar aanleiding van
deze intieme gegevens en is dit echt noodzakelijk voor de ING? De ING vond van wel, maar de AP gaat de
belangenafweging van ING onderzoeken. Dan zal blijken of de AP ook vindt dat de belangenafweging
in het voordeel van ING uitpakt.
Al met al een interessante
kwestie. ING kwam overigens in 2014 in opspraak doordat zij betaalgegevens
commercieel wilde gaan inzetten om deze vervolgens te delen met derde partijen.
Die plannen zijn toen afgeblazen. Ook een interessante vraag is of het gebruik
van deze gegevens wel verenigbaar is met het doel waarvoor de gegevens zijn
verzameld. Wellicht merkt de AP daar nog een en ander over op.
