“De privacy knelpunten van

online marketing”

• Offline is opt-out• E-mail en cookies (opt-in) ook specifiek in de wet geregeld,

maar…

• sociale media niet: grijs gebied!

Technologie loopt op wetgeving vooruit

“the rules on personal data apply to them”

Viviane Reding & Neelie Kroes

I. Juridisch speelveld (opt-in/opt-out)II. Push/pull III. Facebook Custom Audiences & WhatsAppIV. Vragen

Vandaag:

1) Wet bescherming persoonsgegevens 2) Telecommunicatiewet3) Gedragscodes4) Voorwaarden van de desbetreffende dienst

Met welke wetten & regels rekening houden?

Artikel 10 Grondwet:

1. Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.

2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.

3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.

“De wet” = Wet bescherming persoonsgegevens

Van toepassing op elke verwerking van persoonsgegevens:

Persoonsgegevens: alle gegevens herleidbaar tot een individu.Denk aan: emailadres, telefoonnummer, maar ook foto’s, IP-adressen etc.

Verwerken: alles wat je kan doen met gegevens.Denk aan: verzamelen, bewaren, verwijderen, verrijken, delen met derden.

Wet bescherming persoonsgegevens (Wbp)

• Reden voor verwerking: gerechtvaardigd belang of toestemming hebt (DM = gerechtvaardigd belang!);

• Informeren; Je de betrokkenen én de toezichthouder hebt geïnformeerd over de doeleinden van de verwerking (reclame- en marketingdoeleinden en/of derdenverstrekking)

• Afmeldmogelijkheid: Je de betrokkene in iedere uiting wijst op het recht van verzet

Wat zegt de Privacywet?

Anti-spamwet (e-mailmarketing)

Artikel 11.7 lid 1TelecommunicatiewetHet gebruik van automatische oproepsystemen zonder menselijke tussenkomst, faxen en elektronische berichten voor het overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden aan abonnees is uitsluitend toegestaan, mits de verzender kan aantonen dat de desbetreffende abonnee daarvoor voorafgaand toestemming heeft verleend, onverminderd hetgeen is bepaald in het tweede en derde lid.

“elke vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt”

Keuze om NEE te zeggen (belonen mag) Duidelijk en volledig omschreven NIET via een akkoord op algemene voorwaarden/privacy statement Door middel van actieve handeling (Code E-mail)

E-mail = Opt-in

Klantrelatie• Is het e-mailadres verkregen van de klant zelf in het kader van

een verkoop(!)?

• Wordt het gebruikt om eigen en gelijksoortige producten aan te bieden?

• Is de klant bij het verkrijgen geïnformeerd over het gebruik van het e-mailadres voor marketingdoeleinden én is een afmeld-mogelijkheid geboden?

Dan mag onder de klantrelatie (soft opt-in) gemaild worden.

Klantrelatie: Van opt-in naar opt-out

Cookiewet

Artikel 11.7a Telecommunicatiewet

1. Onverminderd de Wet bescherming persoonsgegevens is het via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker, alleen toegestaan op voorwaarde dat de betrokken gebruiker:

a. is voorzien van duidelijke en volledige informatie overeenkomstig de Wet bescherming persoonsgegevens, in ieder geval over de doeleinden waarvoor deze informatie wordt gebruikt, en

b. daarvoor toestemming heeft verleend.

Duidelijke en volledige informatie Impliciete toestemming mag Nog voordat eerste cookie (waarvoor toestemming nodig is)

geplaatst wordt Cookiewall mag (toegang website weigeren, bij niet akkoord)

Cookiemelding & cookie statement: Welke cookies geplaatst worden, voor welk doel, welke informatie

met een cookie wordt vastgelegd, of de informatie wordt verstrekt aan derden.

Cookies = Opt-in

Persoonsgegevens verwerkt? Wet bescherming persoonsgegevens van toepassing

Elektronische communicatie? Anti-spamwet van toepassing

Informatie uitgelezen uit randapparatuur? Cookiewet van toepassing

OPT-IN/OPT-OUT?

Hoe zit het bij social media?

PULL communicatieConsument vraagt om communicatie Vriendverzoek/followen Informeren (gerechtvaardigd belang)

PUSH communicatieAdverteerder is verzenderOngevraagde elektronische communicatie Toestemming

Makkelijker onderscheid:

Iemand wordt een vriend van jouw organisatie op Facebook Je gaat getarget adverteren op Instagram gebruikers Iemand volgt jouw organisatie op Snapchat Je verstuurt een pushbericht in een mobile app Deze app vraagt toegang tot iemand zijn contactenlijst,

locatievoorziening of foto’s Je gaat getarget adverteren via Facebook Custom Audiences

Push of pull? Toestemming of informeren?

Gericht specifieke personen targeten in Facebook

E-mailadressen, telefoonnummers of Facebook ID’s van de betreffende doelgroep worden lokaal gecodeerd. Daarna geüpload en verzonden aan Facebook.

Mag dat?

Facebook Custom Audiences

1. Doet Facebook zelf nog iets met de data?

2. Voldoen we wel aan de algemene voorwaarden? (als adverteerder ga je akkoord met de algemene voorwaarden van Facebook)

3. Praktische bezwaren: hoe maken we gebruik van Facebook Custom Audiences? • Toestemming? (waar, hoe?)• Informeren? (waar, hoe?)• Recht van verzet? (hoe?)

Bezwaren juristen: Facebook Custom Audiences

Toestemming vragen Voor zover nodig: bij verkrijgen e-mailadres, tenzij klant

(uitzondering!) Toestemmingstekst opt-in zodanig dat social media daaronder valt. Hoe specifiek? Facebook of social media?

Informeren & Recht van verzet Bij verkrijgen e-mailadres én in privacy statementVertel de klant dat zijn e-mailadres ook gebruikt wordt om via social media te adverteren en wat hij kan doen om daarvan af te zien (afmeldmogelijkheid).

Facebook Custom Audiences

“X gebruikt het e-mailadres van haar leden tevens voor Custom Audience targeting via Facebook. X maakt een Custom Audience aan door e-mailadressen van haar leden te uploaden in een advertising-tool. Deze groep kan vervolgens worden gekoppeld aan een specifieke Facebookcampagne: alleen deze Facebook gebruikers krijgen de campagne te zien. Zie voor meer informatie over Custom Audience targeting (…).

Indien jij (…) geen deel uit wilt maken van een Custom Audience advertising tool, kun je dit op ieder moment aangeven via het volgende e-mailadres: communicatie@X.nl.”

Informeren in privacy statement (voorbeeld)

“Y verwerkt Persoonsgegevens voor commerciële doeleinden. Deze gegevens worden, na uw toestemming die gevraagd wordt bij de invulformulieren, ook gedeeld met derde partijen om ons in staat te stellen contact te leggen met u via verschillende kanalen. Voorbeelden hiervan zijn onder andere, maar niet beperkt tot:

Facebook: het koppelen van Facebook ID aan Reclamecampagnes ten behoeve van Y, door middel van een emailadres (Custom Audiences). Linkedin: het koppelen van Linkedin ID aan Reclamecampagnes ten behoeve van Y, door middel van een emailadres (Custom Audiences).”

Informeren in privacy statement (voorbeeld II)

“5. Facebook(…) Als u niet wilt dat uw gegevens via Custom Audience worden geregistreerd, kunt u Custom Audiences uitschakelen. U vindt meer informatie hierover onder: https://www.facebook.com/ads/website_custom_audiences/.”

Is dit voldoende?

Recht van verzet bieden: de afmeldmogelijkheid

• Facebook, Twitter en Google stellen hun database ter beschikking aan derden voor getargete advertenties = derdenverstrekking

• In Europa heb je voor derdenverstrekking van elektronische contactgegevens toestemming nodig van de consument…

Voldoen Facebook, Twitter en Google daaraan?

Ons doel is advertenties en andere commerciële of gesponsorde inhoud te leveren die waardevol zijn voor onze gebruikers en adverteerders. Om ons hierbij te helpen, ga je akkoord met het volgende:

1) Je geeft ons toestemming je naam, profielfoto, inhoud en informatie (zoals een merk dat je leuk vindt) te gebruiken voor commerciële, gesponsorde of gerelateerde inhoud die door ons wordt aangeboden of verbeterd. Dit betekent bijvoorbeeld dat je een bedrijf of een andere entiteit toestaat ons te betalen om je naam en/of profielfoto met je inhoud of informatie te tonen, zonder dat je daarvoor compensatie krijgt. Als je een specifieke doelgroep hebt geselecteerd voor je inhoud of informatie, respecteren we bij het gebruik je keuze.

2) We geven je inhoud of informatie niet zonder jouw toestemming aan adverteerders.

3) Je begrijpt dat we betaalde services en communicatie mogelijk niet altijd als zodanig herkennen.

Over advertenties en andere commerciële inhoud die worden geboden of verbeterd door Facebook (artikel 9 servicevoorwaarden)

Sinds september Instagram Custom Audiences: werkt hetzelfde!

én ook Google biedt een customers match.

Instagram Custom Audiences, Google customers match

“3. WhatsApp Access (…) C. You agree not to use or launch any automated system, (…) that accesses the Services in a manner that sends more request messages to the WhatsApp servers in a given period of time than human can reasonably produce in the same period by using a WhatsApp application (...). Nor to use the communication systems provided by the Service for any commercial solicitation or spam purposes. You agree not to spam, or solicit for commercial purposes any users of the Service.”

Versturen massa berichten met commercieel tintje niet toegestaan Appcare klantenservicedoeleinden lijkt te kunnen (Pull)

WhatsApp als marketingkanaal?

Vragen?

Sabine Straversabinestraver@ddma.nl