Aandachtspunten bij het opstellen
en analyseren van ICT-contracten

Mr. Lynn Pype en mr. Liesa Boghaert (Timelex)

Webinar op donderdag 16 mei 2024


Handelspraktijken en consumentenbescherming:
recente topics onder de loep

Dr. Stijn Claeys en mr. Arne Baert (Racine)

Webinar op vrijdag 30 augustus 2024

Nieuwsbrieven? Vaak nog verboden direct marketing! (deJuristen)

Auteur: Kris Seyen (deJuristen)

Direct marketing. Het lijkt een moeilijk concept onder de GDPR. Nochtans hoeft het zo niet te zijn. Direct marketing is nuttig, en best ook wel mogelijk terwijl je tóch in regel bent. Zolang je als ondernemer en marketeer maar bereid bent om de jarenlange evidentie van “ik doe toch wat ik wil” achterwege te laten, en vooral ook het perspectief van het datasubject mee in overweging te nemen.

Dat heeft ook de NMBS ondervonden. In een recente beslissing doorprikte de Gegevensbeschermingsautoriteit de gladde marketing praatjes over algemeen belang en spitsvondigheden zoals de uitvoering van een overeenkomst. Op de kop toe volgde er ook nog maar eens een boete.

Direct marketing? So what?

We schreven het reeds in 2020: onze toezichthouder interpreteert het begrip direct marketing zeer ruim. En doet bovendien de moeite om daar een document met richtlijnen van ongeveer 80 pagina’s aan te besteden.

We herhaalden het vervolgens enkele maanden later n.a.v. van de eerste boete die de GBA oplegde voor een overtreding op de regels over direct marketing. Hier werd al meteen duidelijk gemaakt dat men zich niet te onpas kan beroepen op het gerechtvaardigd belang om aan direct marketing te doen.

In onze adviesverlening zijn we het vervolgens blijven herhalen voor de vele klanten die bij ons aanklopten. Een jaar later in 2021 hebben we het nog eens netjes samengevat in onze reeks dJ Talks.

Het leidt soms tot verhitte discussies met marketeers en ondernemers. Hoezeer we ook met hen proberen mee te denken, ze lijken vaak niet overtuigd van de noodzaak om hun commerciële exploraties, die ze jarenlang onbeperkt hebben kunnen botvieren, wat te temperen. Ook nu, met deze veroordeling van de NMBS en een overduidelijk standpunt van de GBA, zal de verbazing opnieuw erg groot zijn.

We zullen dus nog even op dezelfde nagel moeten blijven kloppen…

De “nieuwsbrief” van de NMBS: nieuws of reclame?

Wat heeft de NMBS dan mispeuterd, dat ze de toorn van de GBA over zich krijgen?

In 2020 stuurt de NMBS aan alle reizigers die gebruik maken van de Hello Belgium Railpass een email. De railpass zelf was een initiatief van de federale overheid om een aantal gratis treinritten aan te bieden tijdens de corona crisis.

Het is evident dat de NMBS instaat voor de uitvoering van deze railpass. Bij de aanvraag werden naam en email-adres van de aanvragers verzameld, en verwerkt om de toekenning van de railpass te garanderen.

Maar voor de NMBS stopte het verhaal daar niet. De aanvragers van de railpass krijgen later ook een nieuwsbrief per email. En dat schiet blijkbaar in het verkeerde keelgat…

De mailing wil de gebruiker van de railpass bewust maken van het juiste gebruik en de risico’s verbonden aan het reizen met de trein, waarbij zorg gedragen moet worden voor een goede spreiding van de reizigers, onder meer door het spreiden van de bestemmingen om drukte te vermijden.

De bewuste email-communicatie maakt dan ook gewag van “meer dan 500 bestemmingen in België” die met verve worden aangeprezen.

Geen verwerking zonder rechtsgrond

Laten we het daarover eens zijn? Een basisbeginsel voor de toegelaten verwerking van persoonsgegevens is dat er een rechtsgrond moet zijn. En deze zijn limitatief opgesomd in de GDPR.

Uitvoering van de overeenkomst

De NMBS beroept zich voor het versturen van de email op “de uitvoering van een overeenkomst”. Voor de liefhebbers, dit is art. 6.1 (b) van de GDPR.

Deze rechtsgrond is zonder enige twijfel terecht wat betreft het toekennen van de railpass als dusdanig. Maar geldt dit ook voor de email communicatie achteraf?

De GBA is alvast een ander mening toegedaan. De nieuwsbrief is immers véél ruimer dan de praktische uitvoering van de toekenning van de railpass. Het gaat immers over het promoten van verschillende toeristische eindbestemmingen voor de reiziger.

In zoverre de NMBS de boodschap onder de aandacht zou willen brengen dat grote drukte in populaire stations ook een gezondheidsrisico met zich zou kunnen meebrengen, was het voldoende geweest om deze boodschap als dusdanig te communiceren.

Integendeel. De NMBS heeft er de voorkeur aan gegeven om een mailing te versturen met promotie van toeristische bestemmingen, die bezocht kunnen worden door gebruik te maken de railpass, maar evenzeer via andere formules die door de NMBS worden aangeboden….

De GBA is dan ook van oordeel dat het versturen van deze emails helemaal niet noodzakelijk is in het kader van de uitvoering van de overeenkomst tussen de aanvragen van de railpass en de NMBS.

Hierbij is vooral van belang om aan te stippen dat de bewuste emails zich niet louter beperken tot de bewustmaking van de precaire sanitaire situatie, maar in meer algemene bewoordingen een promotie omvatten van interessante bestemmingen die door de NMBS bediend worden.

De analyse gaat nog verder: de GBA doet uit eigen beweging de inspanning om na te gaan of er andere rechtsgronden zouden kunnen ingeroepen worden om dergelijke mailings te verantwoorden.

Wettelijke verplichting

Meer bepaald wordt gekeken naar de uitvoering in het kader van de overheidstaken van de NMBS wat zou leiden tot een wettelijke verplichting. Ook dit argument faalt, aangezien dit hooguit kan gekoppeld worden aan het ter beschikking stellen van de Railpass als dusdanig.

Er is geen enkele indicatie voorhanden die aannemelijk maakt dat de NMBS ook andere mededelingen zou moeten kenbaar maken aan de gebruikers van de Railpass.

Gerechtvaardigd belang

Een populaire catch-all is het gerechtvaardigd belang. Het siert de GBA dat ook hierbij wordt stilgestaan. Al is de oefening niet zo moeilijk. De toets moet immers 3 elementen weerstaan: 1) de doeltoets, 2) de noodzakelijkheidstoets, en 3) de afwegingstoets.

Het is duidelijk dat de essentie van de bewuste emails een verband had met het promoten van het gebruik van de Railpass. De gebruikers werden als het ware warm gemaakt om te gaan reizen. Als doel streefde de NMBS dus een commercieel belang na. Daar is natuurlijk niets mis mee.

Maar was dit alles noodzakelijk? Helemaal niet, oordeelt de GBA. De NMBS had haar diensten ook via andere kanalen kunnen promoten, en hoefde daarvoor geen mailing te versturen naar de aanvragers van de Railpass…

Dat brengt ons tot het laatste element, de afwegingstoets. De GBA is van oordeel dat de aanvrager van een Railpass geenszins kon verwachten om nadien ook nog geconfronteerd te worden met een verwerking die duidelijk verder gaat dan het toekennen van de Railpass als dusdanig.

Foutieve direct marketing

Wat meer is: de NMBS beschikt duidelijk niet over een geldige rechtsgrond, bovendien bezondigt zij zich een niet-toegelaten vorm van direct marketing.

De bewuste email beperkt zich helemaal niet tot het onder de aandacht brengen van bepaalde gezondheidsrisico’s die zich zouden kunnen voordoen door het massaal gebruik maken van het openbaar vervoer met dezelfde bestemmingen tijdens een pandemie.

Integendeel, de email maakt ook promotie voor een breed scala aan bestemmingen die via de trein kunnen bezocht worden – al dan niet door gebruik te maken van de Railpass.

Het argument van de NMBS dat zij helemaal niets wenste te promoten, en dat het daarom niet over direct markering ging, houdt geen steek. Ook al bestaat er geen wettelijke definitie van direct marketing, reeds in 2020 werd door de GBA haar interpretatie verduidelijkt:

“Elke communicatie, in welke vorm dan ook, gevraagd of ongevraagd, afkomstig van een organisatie of persoon en gericht op de promotie of verkoop van diensten, producten (al dan niet tegen betaling), alsmede merken of ideeën, geadresseerd door een organisatie of persoon die handelt in een commerciële of niet- commerciële context, die rechtstreeks gericht is aan een of meer natuurlijke personen in een privé-of professionele context en die de verwerking van persoonsgegevens met zich meebrengt”. Onder “direct marketing” worden dus verschillende vormen van promotie verstaan, zoals nieuwsbrieven per e-mail, commerciële telefoontjes of sms’jes of e-mails, of online reclame en dit, al dan niet in een commerciële context.”

Dat de NMBS in deze communicatie niet op directe wijze iets wenste te verkopen, is dus volstrekt irrelevant.

Het is echter des te belangrijker voor alle ondernemers die hun “meerwaarde” willen onder de aandacht brengen, zonder daarom meteen iets te willen verkopen! Ook dit is immers direct marketing!

Direct marketing vereist toestemming, én het recht op bezwaar

Het is duidelijk dat de NMBS niet beschikte over de noodzakelijke toestemming voor het versturen van dergelijke emails, die minstens ook een promotionele functie vervulden.

In de mate dat het dus gaat over direct marketing, blijkt dat het datasubject helemaal niet zo eenvoudig gebruik kon maken van het recht op bezwaar. Er werd daarover immers niet gesproken!

Het lijkt een detail, maar het is een essentieel onderdeel van het beschermingsmechanisme binnen de GDPR: het datasubject heeft, naast de klassieke rechten op inzage, correctie, en gegevenswissing, een afzonderlijk recht op bezwaar. Hiervoor moet één enkele klik volstaan.

Al had het datasubject dus in de eerste plaats nooit de email mogen ontvangen, dan heeft de NMBS de zaken nog wat erger gemaakt door het recht op bezwaar niet te faciliteren.

Conclusie

Direct marketing is niet beperkt tot het promoten van de verkoop van producten of diensten.

Ook heel wat andere communicatie valt onder dit containerbegrip. Belangrijk is steeds om te beschikken over de juiste rechtsgrond. Is dit de uitvoering van een overeenkomst, dan zal dit zeer restrictief geïnterpreteerd worden. Is dit daarentegen toestemming, dan moet deze vrij, geïnformeerd, actief, en doelgebonden zijn.

Het perspectief van het datasubject staat hier dus voorop, niet dat van de onderneming.

Bron: deJuristen

» Bekijk alle artikels: Privacy & Gegevensbescherming