Nieuws & Blogs – Wanneer is een tell-a-friend systeem AVG proof?

0
601

Tell-a-friend systemen zijn voor veel bedrijven een uitkomst. Het principe is simpel: een bedrijf vraagt je om een product, of misschien de winkel of organisatie zelf, aan te prijzen aan je vrienden. Hoe meer vrienden je naar dat bedrijf weet te lokken, hoe hoger de beloning die je in ruil daarvoor krijgt. Maar mag dit eigenlijk wel?

Nee, in de vorm zoals het voorbeeld hierboven beschrijft is het tell-a-friend systeem niet zomaar toegestaan. Er zijn namelijk een paar voorwaarden aan verbonden aan de tell-a-friend systemen. Deze voorwaarden zijn opgesteld omdat er persoonsgegevens in het spel zijn en omdat er sprake kan zijn van ongevraagde elektronische commerciële berichten. Oftewel: spam. In onderstaande blog leg ik uit hoe je een tell-a-friend systeem zo kan inrichten dat deze wél aan de vereisten voldoet!

Welke toezichthouders?

Er zijn twee toezichthouders die zich bezighouden met spamwetgeving.  Dit zijn de Autoriteit Persoonsgegevens (AP) en de Autoriteit Consument en Markt (ACM). Dit onderwerp ligt namelijk op het snijvlak van het telecommunicatierecht en het privacyrecht. Al een behoorlijke tijd geleden, in 2008, hebben deze twee toezichthouders (destijds het CBP en de OPTA) een gezamenlijk rechtsoordeel gegeven over de tell-a-friend systemen. Deze is nog steeds van toepassing.

Scope

In dat rechtsoordeel wordt eerst benadrukt dat de concrete werking van de tell-a-friend systemen van website tot website kan verschillen. Het rechtsoordeel richt zich op systemen waarbij de internetgebruiker het e-mailadres van een derde (kennissen of vrienden) aan de verwerkingsverantwoordelijke voor de website verstrekt, door het invoeren van deze adressen op een website. Daaronder wordt ook verstrekking van e-mailadressen bedoeld door toegang te bieden tot een adresboek. De verantwoordelijke voor die website verzendt vervolgens een e-mail naar dat opgegeven e-mailadres.

Commerciële versus persoonlijke communicatie

Het uitgangspunt van de Telecommunicatiewet is dat het verzenden van ongevraagde elektronische berichten voor een commercieel, ideëel of charitatief doeleinde niet is toegestaan zonder aantoonbare, voorafgaande toestemming van de ontvanger. Nu de geadresseerden van tell-a-friend mails niet zelf toestemming hebben gegeven vooraf, vormen deze systemen een inbreuk. Maar er bestaat ook nog zoiets als persoonlijke communicatie. Deze vorm van communicatie wordt natuurlijk niet als spam aangemerkt. Daarom besloten de toezichthouders dat wanneer een website het tell-a-friend systeem zo inricht dat de communicatie hoofzakelijk van persoonlijke aard is, dit is toegestaan.

Voorwaarden

Daarvoor stelden de toezichthouders vier voorwaarden op:

  1. de communicatie gebeurt volledig op eigen initiatief van de internetgebruiker (of afzender), de website stelt hier geen (kans op) beloning tegenover voor afzender of ontvanger;
  2. voor de ontvanger moet het duidelijk zijn wie de initiatiefnemer van de e-mail is, zodat hij diegene kan aanspreken als hij niet gediend is van dergelijke mails.
  3. de afzender moet volledige inzage hebben in het bericht dat namens hem wordt verzonden, zodat hij de verantwoordelijkheid kan nemen voor de persoonlijke inhoud van het bericht.
  4. de website in kwestie mag de e-mailadressen en andere persoonsgegevens niet gebruiken of bewaren voor andere doeleinden dan het eenmalig verzenden van een bericht namens de afzender. Daarnaast dient de website het systeem te beveiligen tegen misbruik, zoals het geautomatiseerd verzenden van spam.

Toepassing

Deze voorwaarden maken het dus best lastig om een tell-a-friend systeem op te zetten dat aan de wet voldoet. Het benaderen van een geheel adresboek zonder toestemming mag niet en bij persoonlijke benadering mag er geen beloning tegenover staan. Ook aan de overige voorwaarden moet worden voldaan. Twijfel je of jouw tell-a-friend systeem aan de voorwaarden voldoet? Neem dan gerust contact met ons op!

Source link

Vorig artikelBIT-blogs – Security monitoring bij BIT
Volgend artikelSIDN Labs – Architectural Considerations for IoT Device Security in the Home