We zijn allemaal dol op koopjes en aanbiedingen, vooral als het product of de dienst nét is waar jij behoefte aan hebt. Of wanneer je persoonlijk wordt aangesproken. Voor organisaties is het dan ook waardevol om hun klanten te kennen – dat verhoogt de kans op een aankoop. Onlangs kondigde ING aan dat zij de betaalgegevens van haar klanten wil gaan benutten voor het versturen van gepersonaliseerde aanbiedingen – financiële producten die passen bij de behoefte van de klant.
De Autoriteit Persoonsgegevens (‘AP’) heeft via Twitter aangegeven hier verder onderzoek naar te doen en er zijn Kamervragen over gesteld aan de minister van Financiën. Hoog tijd dus om de regels over het versturen van persoonlijke reclame onder de loep te nemen. Want persoonlijke reclame op basis van betaalgedrag, mag dat zomaar?
De regels voor het e-mailen van consumenten
De regels over het aanbieden van reclame (ook wel ‘direct marketing’ genoemd) staan in de AVG. Daarnaast gelden ook specifieke verplichtingen over direct marketing, die staan nu nog in de Telecommunicatiewet. Deze zal op termijn (waarschijnlijk in 2021) vervangen worden door de ePrivacy Verordening.
In Nederland is het uitgangspunt voor het versturen van direct marketing via e-mail, sms of app aan consumenten dat daar vooraf ‘opt-in’ toestemming voor moet worden gevraagd. Worden klanten benaderd die al een keer wat hebben gekocht? Dan is toestemming volgens de Telecommunicatiewet niet nodig, mits het daarbij gaat om het aanbieden van eigen gelijksoortige producten of diensten: deze berichten moeten dus van dezelfde entiteit afkomstig zijn als waar een aankoop is gedaan. De klant moet bovendien vooraf geïnformeerd zijn over de ontvangst van dergelijke e-mails en de gelegenheid hebben gekregen om zich hiertegen te verzetten (‘opt-out’). In alle gevallen moet de ontvanger van een bericht zich steeds eenvoudig kunnen afmelden voor volgende marketingberichten. Dit is ook de reden dat er in nieuwsbrieven een afmeldbutton staat.
Als direct marketing berichten worden verzonden aan nieuwe klanten / prospects en/of niet aan bovengenoemde vereisten is voldaan, moet er dus om toestemming worden gevraagd. Die toestemming moet voldoen aan de vereisten die de AVG daaraan stelt: de ontvanger moet door middel van een actieve handeling toestemming hebben gegeven, goed geïnformeerd zijn en slechts toestemming ten aanzien van specifieke doeleinden hebben gegeven. Daarnaast dient de ontvanger bij het geven van toestemming ‘vrij’ te zijn, dat wil zeggen dat hij of zij ook de mogelijkheid moet hebben om geen toestemming te geven. Ook moet kunnen worden aangetoond dat er daadwerkelijk toestemming is gegeven.
Naast deze speciale regels over direct marketing, geldt dat ook steeds sprake is van het verwerken van persoonsgegevens om marketing e-mails te versturen. Er moet dus ook aan de AVG worden voldaan. Dit betekent onder andere dat er een grondslag aanwezig moet zijn voor het verzenden van direct marketing e-mails. Over het algemeen kan worden aangenomen dat een organisatie een gerechtvaardigd belang heeft voor marketingactiviteiten. Dat is zo’n grondslag uit de AVG waarbij er een afweging moet worden gemaakt tussen het belang van degene die persoonsgegevens verwerkt en de betrokkene, in dit geval de ontvanger van de e-mail. Deze afweging kan twee kanten uitgaan. Factoren die bij een belangenafweging meespelen, zijn bijvoorbeeld het feit dat een bedrijf op grootschalige wijze individuele profielen opbouwt en/of daarbij gevoeligere persoonsgegevens gebruikt. In zo’n geval valt de belangafweging sneller uit in het voordeel van de betrokkene.
Het geval van ING
ING wil klanten gaan benaderen zonder daar eerst toestemming voor te vragen. Zij kiest daarbij dus voor een ‘opt-out’. Het is nog niet helemaal duidelijk hoe ING haar klanten wil benaderen, vermoedelijk zal dat per e-mail gebeuren. In aanvulling op de Telecommunicatiewet is dan ook de AVG van toepassing: ING gaat hiervoor immers persoonsgegevens gebruiken van haar klanten. Voor het verwerken van persoonsgegevens geldt dan ook dat ING een grondslag moet hebben. ING heeft aangegeven dat zij het benaderen van klanten baseert op de grondslag ‘gerechtvaardigd belang’.
Zoals hierboven beschreven, moet de verwerking van persoonsgegevens bij een ‘gerechtvaardigd belang’ noodzakelijk zijn voor het belang van de ING. Het marketingbelang van de ING moet worden afgewogen tegen het privacybelang van de klant. Er zijn dan verschillende factoren die meewegen: bijvoorbeeld het feit dat ING recht heeft op de vrijheid van ondernemerschap, bestaande klanten benadert met haar eigen producten en diensten en deze niet met derden deelt. Anderzijds zijn financiële gegevens bijzonder gevoelige gegevens en zijn deze verkregen voor het afnemen van de betaaldiensten van ING. Mag een klant dan verwachten om ook commerciële berichten te ontvangen naar aanleiding van deze intieme gegevens en is dit echt noodzakelijk voor de ING? De ING vond van wel, maar de AP gaat de belangenafweging van ING onderzoeken. Dan zal blijken of de AP ook vindt dat de belangenafweging in het voordeel van ING uitpakt.
Al met al een interessante kwestie. ING kwam overigens in 2014 in opspraak doordat zij betaalgegevens commercieel wilde gaan inzetten om deze vervolgens te delen met derde partijen. Die plannen zijn toen afgeblazen. Ook een interessante vraag is of het gebruik van deze gegevens wel verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Wellicht merkt de AP daar nog een en ander over op.