Nieuwe e-commerce-wet in aantocht

“Je moet je niet blind staren op e-business advocaat in vlaardingen. Het is onzin op speciale regelgeving
te maken voor internet. Wetgeving is technologie-onafhankelijk. Bij gegevensverzameling
gaat het om de informatie en wat je ermee doet.” Dat zegt mr. Alexander Singewald,
directeur van Singewald Consultants Group BV in de masterclass Juridische Zaken
en e-business van de kenniskring EBIZ-CRM.

In deze hoedanigheid adviseert hij bedrijven over juridische- en managementvraagstukken
en brengt helderheid in de juridische wirwar. Ook geeft hij les aan de Universiteiten
in Tilburg en Nijenrode en hij is betrokken diverse initiatieven omtrent direct
marketing, zo is hij voorzitter van de Stichting Zelfregulering Direct Marketing
die met de e-mail infofilter is gekomen. Via dit filter kunnen consumenten aangeven
via welke kanalen zij commerciële informatie wensen te ontvangen.

Nieuwe wet
Deze betrokkenheid in stichtingen voor direct marketing vindt hij nodig om te
voorkomen dat de marketing wordt dichtgetimmerd met wetten en regels, zeker met
het oog op de wijziging van de Telecommunicatiewet en e-commerce, die in maart
in de Eerste Kamer wordt behandeld.

Belangrijk hierin zijn vooral de artikelen over de algemene informatieplicht,
de commerciële communicatie en het contracteren langs de electronische snelweg
(3:15d, 3:15e, 3:15f uit het BW; 6:227a, 227b en 227 c ).

In de nieuwe wet geldt een opt in regeling voor e-mail en SMS berichten naar
consumenten. Dit behelst dat de verzender van de commerciële boodschappen vooraf
toestemming heeft van de ontvanger voor het toesturen van commerciële, ideele
en charitatieve doeleinden aan abonnees. De verzender moet die toestemming kunnen
bewijzen. Bedrijven mogen wel hun eigen klantrelaties gebruiken voor het aanbieden
van andere van hun eigen producten of diensten. Wel moeten bij elke communicatie
wijzen het recht van verzet (soft opt-in). OPTA moet toezicht houden op naleving
van deze wet.

Korea
Ondanks dat deze wet ook wel anti-spamwetgeving wordt genoemd, zal het de spamoverlast
niet kunnen bestrijden. De meeste spammail komt namelijk binnen van buitenlandse
organisaties vaak via computers in China en Korea.

Dat is een kwestie dat veel mensen, ook deelnemers van de masterclass bezighoudt.
Onder welke regelgeving valt een bedrijf valt dat zijn mailserver in China heeft
staan? Hierbij is de lokatie van de verzender relevant. Als de hoofdvestiging
van het bedrijf in Nederland staat, valt deze onder de Nederlandse wetgeving,
ongeacht waar de server of de techniek staat opgesteld. Het probleem alleen is
dat het toezicht op de locaties van de techniek minder makkelijk is.

En als een europese consument te maken krijgt met een Amerikaans bedrijf dat
zijn servers in China heeft staan, dan mogen de hier vergaarde gegevens niet naar
het hoofdkantoor in de Verenigde Staten worden gestuurd. Bedrijven kunnen hiervoor
eventueel ontheffing vragen aan het ministerie van justitie.

Voor Singewald is de discussie over de privacywetgeving die aan deze wet vooraf
ging – en nog steeds gaande is overigens – , een herhaling van eerdere redetwisten.
In 1972 start de discussiegeschiedenis over Direct marketing. In 1976 konden burgers
hun ongenoegen over Direct Marketing kwijt via het antwoordnummer 666. Later ebde
de discussie af. Rond 1990 ontstond eenzelfde sinusbeweging over de discussie
van telefonische marketing. Na het instellen van het telefonisch antwoordnummer
0224666 doofde ook deze ophef. In 1992 werd de discussie over het ongeadresseerde
versturen van post in de kiem gesmoord door de verspreiding van de Nee/Ja-stickers
(via de vereniging Mail DB, waarvan Singewald ook directeur is).

Frappant is dat juist in de vakantieperiode een sterke toename is van de Nee/Nee
sticker, zodat de buurvrouw niet zoveel post uit de brievenbus hoeft te halen.
Uit deze actie blijkt dat slechts tien procent van de Nederlanders geen ongeadresseerde
post wil. Sterker nog, volgens Singewald vinden de meeste mensen het prettig om
reclamemateriaal te krijgen.

Infofilter Nu anno 2004 zitten we in de discussie die vanaf 2002 begon over de e-mail infofilter.
De discussie gaat alleen veel verder, want hikt op een wettelijk verbod. Straks
gaat eenzelfde discussie beginnen over marketing via SMS. Door invloed uit te
oefenen in de lobby-gangen wil Singewald proberen de weten te verzachten. “Er
zijn krachten in Nederland die direct marketing willen tegenhouden”. Een van die
krachten is bijvoorbeeld bitsoffreedom.nl, die Singewald betitelt als een internetayatollah.
Een ander kracht waartegen hij vecht(te) zijn mensen als bijvoorbeeld Martijn
van Dam (PvdA en oud business consultant van Philips) die vijftien amendementen
heeft in gediend voor het aanpassen van de Telecommunicatiewet gericht op het
verbieden van e-mail voor commerciële verkoop en marketing. “Omdat al die amendementen
verder gaan dan de Europese richtlijnen, zijn ze gelukkig geneutraliseerd.” “Meneer
Van Dam komt altijd met die voorbeelden van Koreaanse bedrijven die ongewenste
email sturen. Daarmee kun je niet het Nederlandse bedrijfsleven vergelijken. Nederlandse
bedrijven die aan direct mail doen, spammen niet,” vindt Singewald. Het raakt
Singewald wanneer mensen in de discussies hierover spam te vaak verwarren met
e-mail-marketing. Het verschil hiertussen zit voornamelijk in de mate van verspreiding.
Spam duidt volgens de jurist op het verspreiden van e-mail naar adressen die via
een harvest-techniek zijn gevonden. Daarbij wordt software gebruikt om her en
der gebruikte adressen te verzamelen en soms adressen te verzinnen. Dat is in
strijd met de privacywetgeving. Spam is niet hetzelfde als communiceren met je
doelgroep, vindt de jurist, hetgeen niet bij wet is verboden. “E-mail-marketing
moet je ook niet willen verbieden. Vooral voor het MKB is e-mail- marketing een
heel geschikt middel om te groeien.” Mensen die last hebben van ongewenste e-mail
kunnen de afzender aanmelden bij www.spamvrij.nl of bij bof.nl. Persoonsgegevens Singewald praat vanavond uitvoerig over de bescherming van de persoonsgegevens
via internet. In de perceptie van Singewald draait e-business uiteindelijk om
de commerciële communicatie. “E-business kan niet zonder commerciële communicatie
via het vastleggen van gegevens in databases die via het medium e-mail worden
gedistribueerd.” Deze redenatie stuit nogal op een aantal juridische velden op
onder meer het gebied van databases, uiting, media en distributie en daar bovenop
nog op diverse regelgevingen. De regelgeving over persoonsgegevens komt volgens
Singewald voor honderd procent uit Brussel. “Zelfs de zelfregulering is met name
afkomstig van Brusselse branche-organisaties.” Om de juridische velden van commerciële
communicatie inzichtelijk te maken is inzicht nodig in de Wet Bescherming Persoonsgegevens
(zie kader). Singewald weet wetsteksten en bepalingen te larderen met praktische
voorbeelden en geeft een aantal eye-openers over deze wet. “Je krijgt eerder met
persoonsgegevens te maken dan je denkt.” Deze wet gaat om het verwerken van persoonsgegevens,
heeft bepalingen over de betrokkenen en verantwoordelijken en het recht van verzet.
Bedrijven mogen niet zomaar adressen van mensen verzamelen en verwerken. Daar
zijn regels voor. Onder meer geldt dat bedrijven dergelijke activiteiten moeten
melden bij het College Bescherming Persoonsgegevens. Mocht het college erachter
komen dat een bedrijf hierin verzuimt, dan kan heteen geldboete van 4500 euro
opleggen en een persbericht uitsturen met de melding dat het bedrijf zich bezondigt
aan het schenden van privacy. Naast deze melding bij het college zijn bedrijven
verplicht om op elk forum waarmee gegevens worden verzameld, verplicht te informeren
over het doel van die verzameling, te wijzen op een recht van verzet van de eigenaar
van die gegevens of in elk geval te verwijzen naar die informatie. Het colofon
is een veel gebruikte plaats waar deze informatie in wordt gepubliceerd.

Bonus Overigens mag een bedrijf niet zomaar adresgegevens verzamelen en verwerken,
behalve als dit het bedrijfsbelang dient. De bonuskaart van de Albert Heijn kent
een illustratieve geschiedenis van de toepassing van de Wet Bescherming Persoonsgegevens
WBP). Aanvankelijk moest iedereen die die kaart wilde, een keur aan vragen invullen
over zijn persoonlijke levenssfeer. Totdat de toezichthouder vroeg naar de motivatie
ervan. De grootgrutter antwoordde daarop dat klanten op vertoon van de pas een
korting krijgen. Daarop beoordeelde de toezichthouder dat de gegevens voor die
kaart, volgens artikel 11.1 van de WBP bovenmatig zijn. Het doel is immers korting
geven aan klanten op vertoon van de pas. Om een pas te tonen is geen gegevensverstrekking
nodig. Nu zijn er twee kaarten: een anonieme en een waarbij klanten er zelf voor
kiezen om allerlei persoonsgegevens in te vullen. Ook de verspreiding van de euromuntjespakketten,
die de overheid bij de introductie aan alle Nederlanders schonk, in strijd met
de WBPverlopen, zegt Singewald. “De gemeentelijke Basisadministratie heeft zonder
toestemming van de mensen de persoonsgegevens verstrekt aan de belastingdienst
die die gegevens heeft doorgestuurd naar het ministerie van Financiën. Het principiële
punt, naast de familiale ongemakken, is voornamelijk het feit dat de overheid
regels overtreedt die zij bedrijven voorhoudt te volgen.” Dat vindt Singewald
niet kies. Bedrijven die diensten uitbesteden (outsourcen) moeten ook opletten.
De wet kent een aantal bepalingen over de verantwoordelijke en de bewerker. Als
er geen duidelijke afspraken worden gemaakt over de verantwoordelijkheid van de
persoonsgegevens, is het extern bureau wellicht onbedoeld verantwoordelijk voor
de verwerking van de gegevens zoals bepaald in het WBP. Zeer strikte (outsourcing)
contracten met een precieze beschrijving van de werkzaamheden, verwantwoordelijkheden,
voorwaarden voor eventuele sub-werkers en beveiliging zijn dan ook aan te raden.
Vooral bij bedrijven als data-entry bureaus, call-centers, analisten, fullfillmenthouses
en lettershops speelt deze kwestie een rol. Coca Cola ondervond hoe het mis kan
gaan als de zeggenschap niet duidelijk is geregeld. Een data-entry bureau bleek
zonder die zeggenschap verantwoordelijk voor de gegevens van Coca-Cola en verkocht
deze voor veel geld door aan de concurrent Pepsi.

Eye-openers en weetjes

  • de wet is technolgie-onafhankelijk. Met andere woorden: voor de wet bescherming
    persoonsgegevens makt het niet uit of via welk kanaal gegevens worden verzameld
    en verwerkt.
  • Bij tachtig procent van de commerciële communicatie is geen toestemming van de
    klant nodig. Er is alleen ondubbelzinnige toestemming nodig als de artikelen 8b
    en 8f niet toereikend genoeg zijn.
  • Cadeaus die worden weggegeven bij marketingacties, mogen niet duurder zijn dan
    2300 euro. De loterijen op de commerciële zenders vallen hierbuiten omdat de hoofdvestigingen
    hiervan vallen onder de wetten van Luxemburg. De wet op kansspelen is bovendien
    anders.
  • de wet bescherming persoonsgegevens draait om de verwerking van gegevens en niet
    om de plaats waar die gegevens worden vastgelegd.
  • Bij het verzamelen van gegevens moet al rekening worden gehouden met de eisen
    van de Wet bescherming Persoonsgegevens. Verplicht hierbij aan te geven is de
    noodzaak voor het verzamelen; de aanvullende marketing informatie is facultatief advocaten in vlaardingen.
  • Een inschrijfformulier valt onder de wet persoonsgegevens.
  • Bedrijven dienen het gebruik van persoonsgegevens, op basis van de Wet bescherming
    Persoonsgegevens, te melden bij het College Bescherming Persoonsgegevens (CBP),
    of bij de Functionaris voor de gegevensbescherming, tenzij een verwerking is vrijgesteld
    van melden.
  • Het CBP houdt toezicht op de naleving en toepassing van de Wet bescherming persoonsgegevens
    (WBP), de Wet politieregisters (Wpolr) en de Wet gemeentelijke basisadministratie
    (Wet GBA).
  • Een abonnementenadministratie hoeft niet te worden gemeld.
  • Het niet melden van het gebruik van persoonsgegevens kan leiden tot een boete
    van 4500 euro en een persbericht van het CBP waarin staat dat bedrijf X zich niet
    heeft gehouden aan de wet, met alle nadelige gevolgen van dien (imagoschade).
  • alle betrokkenen van wie persoonsgegevens verwerkt worden, kunnen met de Wet
    bescherming persoonsgegevens in de hand, inzage krijgen in de eigen verwerkte
    gegevens.
  • Bedrijven moeten consumenten bij elke communicatievorm wijzen op het recht van
    verzet.
  • gesegmenteerde inserting betekent bijvoorbeeld dat bij een abonnement op een
    blad een insert wordt geschoven die niet voor alle leden gelijk is, zoals bij
    algemene inserting. Bijvoorbeeld de dames krijgen en vrouwenparfum monster en
    de heren een mannelijk geurtje. Dit valt onder de WBP omdat de adverteerder of
    de uitgever de klantendatabase heeft moeten segmenteren.
  • Verkopen op afstand is elke verkoop waarbij de ver- en de kopende partij niet
    fysiek in een ruimte zijn.
  • Voor e-business gelden altijd regels voor database, uiting, media en distributie.
  • op een database zitten in principe geen auteursrechten, feitelijke gegevens bevatten
    immers geen originaliteit. Toch heeft een bedrijf hier ooit een zaak mee gewonnen
    van een ex-medewerker die gegevens stal, het voorste en achterste deel wiste,
    het bestand brandde op cd-roms en die cd-roms verkocht. . Een fout – die het bestand
    dus uniek maakte – in de oorspronkelijke bestand was gewoon ook overgenomen en
    door die fout bleek die database wel onder de auteursrechtenwet te vallen. Gevolg
    de adressencd moest uit de handel worden genomen.
  • e-mail is opt-in.
Begrippenkader
  • Persoonsgegevens – elk gegeven betreffende een geïdentificeerde of identificeerbare
    natuurlijk persoon (bijvoorbeeld een kentekennummer, een telefoonnummer of een
    e-mailadres. Maar het adres mickeymouw@hotmail.com is een twijfelgeval. Een e-mail-adres
    als info@bedrijf.nl is geen identificeerbaar adres, tenzij ide wel aan een persoon
    is gelinkt. Een adres als jan.pietersen @bedrijf valt wel onder de wet bescherming
    persoonsgegevens.
  • Persoonsgegevens gelden zowel bij business-to-consumer als business-tot business.
    Persoonsgegevens in de zakelijke sfeer zijn bijvoorbeeld gegevens over eenmanszaken,
    een VOF, vrije beroepsbeoefenaren of maatschappen en bij Directeuren Groot Aandeelhouders..
    Bij deze bedrijfsconstructies is het vaak moeilijk aan te geven of een fax met
    reclame is geadresseerd aan de directeur van de eenmanszaak of de directeur als
    privé-persoon. Gegevens over de vennoten van een VOF vallen geheel onder de wet
    persoonsbescherming, maar die van de eigenaren van een NV niet.
  • Een bedrijf dat alleen klantnummers in haar database heeft zitten kan ook vallen
    onder de wet persoonsgegevens omdat die database kan worden gekoppeld aan een
    database met NAW-gegevens (naam, adres, woonplaats)
  • Het overtreden van de wet persoonsgegevens kan worden bestraft met een bestuurlijke
    boete – die eindeloos aanvechtbaar is of met een strafrechtelijke boete die
    direct moet worden afgerekend.
  • De Wet beschermingspersoonsgegevens gaat om de Verwerking van persoonsgegevens,
    de betrokkene, de verwantwoordelijke voor gegevensverwerking en het recht van
    verzet.
  • onder verwerking van persoonsgegevens wordt verstaan: elke handeling of geheel
    van handelingen: verzamelen, vastleggen, ordenen, bewaren, uitwerken, wijzigen,
    opvragen, raadplegen, gebruiken, verstrekken door doorzending, afschermen, uitwissen,
    vernietigen.
  • Recht van verzet: consumenten hebben altijd het recht om geregistreerde gegevens
    te laten blokkeren. Indien gegevens worden verwerkt in verband met totstandbrenging
    of instandhouding van een directe relatie tussen de verantwoordelijke of een derde
    en de betrokkene met het oog op werving voor commerciële of charitatieve doelen,
    kan de betrokkene te allen tijde kosteloos verzet aantekenen. Een voorbeeldtekst
    is : Als u op deze informatie geen prijs stel dat kunt u dit schriftelijk melden
    aan [naambedrijf], Postbus……
  • als een consument gebruik maakt van het recht op verzet dan treft de verantwoordelijke
    maatregelen om deze vorm van verwerking terstond te beëindigen
  • bedrijven zijn verplicht eens per jaar het recht van verzet bekend te maken aan
    betrekkenen via dag-, nieuws-, of huis aan huis balden of op andere geschikte
    wijzen zoals branche-advertenties en mededelingen in reclamemateriaal.
  • Ondubbelzinnige toestemming: dat er geen twijfel over mag bestaan dat de betrokkene
    zijn toestemming heeft gegeven en voor welke specifieke verwerkingen. De toestemming
    hoeft niet schriftelijk te worden gegeven; ook een handeling van de betrokkene
    kan gericht zijn op het geven van toestemming. Bij een dergelijke stilzwijgende
    of impliciete toestemmin mag er echter geen twijfel bestaan over de reikwijdte
    daarvan. Bij twijfel moet de verantwoordelijke nagaan of hij er terecht vanuit
    gaat dat de betrokkene met de verwerking heeft ingestemd. Toestemming kan altijd
    worden ingetrokken. Een dergelijke intrekking heeft geen terugwerkende kracht.
  • Opt-in: voorafgaande toestemming van de betrokkene. Vb: automatische belautomaten
    zonder menselijke tussenkomst en faxen
  • Opt-out recht om te blokkeren door betrokkene zelf. Bijvoorbeeld: Geadresseeerde
    mail, spraak telefoon en ongeadresseerde mail.
Wetten uit de Wet bescherming Persoonsgegevens

  • Artikel 6: Persoonsgegevens worden in overeenstemming met de wet en op behoorlijke
    en zorgvuldige wijze verwerkt.
  • Artikel 7: Persoonsgegevens worden voor welbepaalde, uitdrukkelijk omschreven
    en gerechtvaardige doeleinden verzameld.
  • Artikel 8b: Gegevens mogen pas worden verstrekt als deze (artikel 8b) noodzakelijk
    zijn voor de uitvoering van een overeenkomst waarbij de betrokkene partij is,
    of voor het nemen van precontractuele maatregelen (uitbrengen van offertes) naar
    aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het
    sluiten van een overeenkomst. <.li>Artikel8c: noodzakelijk om wettelijke verplichting
    na te komen8d: noodzakelijk ter vrijwaring van een vitaal belang van betrokkenen.
  • Artikel 8f: indien de gegevensverwerking noodzakelijk is voor de behartiging
    van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan
    wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten
    en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van
    de persoonlijke levenssfeer, prevaleert.
  • Artikel 9: persoonsgegevens worden niet verwerkt op een wijze die onverenigbaar
    is met de doelinden waarvoor ze zijn verkrengen. De overneingbaarheid wordt beoordeel
    voglens: de verwantschap tussen het doel van de beoogde verwerking en het doel
    waarvoor de gegevens zijn verkregen; de aard van de betreffende gegevens; de gevolgen
    van de beoogde verwerking voor de betrokkene; de wijze waarop de gegevens zijn
    verkregen
  • Artikel 10.1: Persoonsgegevens worden niet langer bewaard in een vorm die het
    mogelijk maakt de betrokkene te identificeren, dan noodzakelijk is voor de verwerking
    van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt.
  • Artikel 11.1: persoonsgegevens worden slechts verwerkt voor zover zijn, gelet
    op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt,
    toereikend, ter zake dienend en niet bovenmatig zijn.
  • Artikel 11.2: De verantwoordelijke treft de nodige maatregelen opdat persoonsgegevens,
    gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt,
    juist en nauwkeurig zijn.
  • Artikel 12.1: Een ieder die handelt onder het gezag van de verantwoordelijke
    of van de bewerker, alsmede de bewerker zelf, voor zover deze toegang hebben tot
    persoonsgegevens, verwerkt deze slechts in opdracht van de verantwoordelijke,
    behoudens afwijkende wettelijke verplichtingen.
  • Artikel 12.2: De personen, bedoeld in het eerste lid, voor wie niet reeds uit
    hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt,
    zijn verplicht tot geheimhouding van de persoonsgegeven waarvan zij kennis nemen,
    behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of
    uit hun taak de noodzaak te mededeling voortvloeit. Artikel 272, tweede lid, van
    het Wetboek van Strafrecht is niet van toepassing.
  • Artikel 33: indien gegevens worden verkregen van de betrokkene deelt de verantwoordelijke
    de betrokkene het volgende mede, voor het moment van verkrijging, tenzij de betrokkene
    reeds op de hoogte is: identiteit van de verantwoordelijke doeleinden van de verwerking
    onder omstandigheden, nadere informatie, nodig om tegen de betrokkene een behoorlijke
    en zorgvuldige verwerking te waarborgen via het wijzen op het recht van verzet
    voor het moment van verkrijging en het wijzen op het verplicht of niet-verplicht
    karkater van gegevens verstrekking door betrokkene.
  • Artikel 34: indien gegeven worden verkregen niet van de betrokkene deelt de verantwoordelijk ede betrokkene het volgende mede
    tenzij de betrokkene reeds op de hoogte is: identiteit van de verantwoordelijke
    doeleinden van de verwerking onder omstandigheden, nadere informatie, nodig om
    tegen de betrokkene een behoorlijke en zorgvuldige verwerking te waarborgen via
    het wijzen van het recht van verzet. Het moment van mededeling is bij vastlegging
    van gegevens het eerste moment van vastleggen en wanneer gegevens worden verstrekt
    aan derden moet ook dit uiterlijk op het eerste moment van verstrekking worden
    gemeld. Tenzij de mededeling onmogelijk is of als dat een onevenredige inspanning
    kost.