Zonder toestemming versturen van e-mails kan duur uitpakken. Onlangs werd bekend dat de Autoriteit Consument en Markt (ACM) een boete van 810.000 euro voor spam heeft opgelegd aan affiliate-marketingbedrijf Daisycon. In het tachtig pagina’s dikke besluit (hier te vinden) komt voor marketeers en juristen veel interessants aan de orde.
Volgens artikel 11.7 Telecommunicatiewet is voor het mogen verzenden van commerciële e-mails vereist dat verzender kan aantonen dat de ontvanger daarvoor toestemming heeft verleend. Deze bepaling bevat twee essentiële begrippen (verzender en toestemming), waarover veel (onduidelijks) in het Daisconbesluit te vinden is.
Wie is verzender in de zin van de wet? De ACM gaat uit van het ‘brede verzenderbegrip’: het begrip verzender omvat niet alleen degene die op de verzendknop drukt (de feitelijk verzender), maar ook degene waarvan het bericht afkomstig is (de materiële verzender). Nu is Daisycon in haar rol als affiliate netwerk feitelijk noch materieel verzender. Helemaal geen verzender dus, zou je denken. Daar denkt de ACM anders over. Zij vindt dat de rol die Daisycon speelt (en dus ook andere affiliate netwerken) binnnen het brede verzenderbegrip valt. En dat heeft grote gevolgen: de ACM koppelt daaraan de conclusie dat alle verzenders ‘desgevraagd in staat moeten zijn aan te tonen dat de abonnee vooraf zijn toestemming heeft gegeven’. In het geval van een affilliatenetwerk moeten dus zowel de affiliatepartij (in dit geval Daisycon) als de adverteerder/publisher kunnen aantonen dat er toestemming is. Volgens de ACM moet ‘elke schakel in de gehele keten, die betrokken is bij de verzending, in staat [zijn] om te beschikken over de afgegeven toestemming van de ontvangers en om deze over te kunnen leggen’. Dit betekent niet dat de verschillende betrokken partijen ook afzonderlijk toestemming gevraagd moeten hebben, maar wel dat ze ieder moeten kunnen aantonen dat er toestemming is gegeven . Daisycon kon dat volgens de ACM niet. In dit geval heeft de ACM haar peilen gericht op Daisycon, maar zij had ook naar Daisycon’s klanten kunnen kijken (en kan dat natuurlijk alsnog doen).
Wat moet de verzender (of verzenders!) dan kunnen aantonen? De ACM zegt het zo: ‘dat (i) de betreffende ontvanger toestemming heeft gegeven, (ii) wanneer hij toestemming heeft gegeven, (iii) aan wie de toestemming is gegeven, en (iv) waarvoor deze toestemming is gegeven, en (v) de wijze waarop de toestemming van de betreffende ontvanger is verkregen’. Omdat de verzenders dat moeten kunnen aantonen moet alles opgeslagen en bewaard worden, en moeten alle verzenders over die informatie kunnen beschikken. Vastleggen in een overeenkomst dus, lijkt mij, als het praktisch al te realiseren valt.
Dan gaat het er vervolgens om wanneer er sprake is van toestemming. Voor de definitie van toestemming haakt de Telecommunicatiewet aan bij de Wet Bescherming Persoonsgegevens : een ‘vrije, specifieke en op informatie berustende wilsuiting’. Het bekende ‘Geeft u toestemming voor de ontvangst van e-mails met aanbiedingen van dit bedrijf en (geselecteerde) partners?’ voldoet daar in ieder geval niet aan . Een verwijzing naar een bepaling in de algemene voorwaarden of privacy statement is ook niet genoeg . Co-registratie voldoet evenmin. Een consument moet kunnen zien van wie hij e-mails kan verwachten. Dat sluit volgens de ACM co-registratie uit. Co-registratie wil volgens de ACM ‘zeggen dat het privacy-statement van bijvoorbeeld een enquête of prijsvraag de namen van een aantal bedrijven en organisaties bevat aan wie de gegevens van deelnemers worden uitgeleverd en welke mogelijk contact op kunnen nemen met de deelnemer’.
Wanneer is er dan wel sprake van geldige toestemming? De ACM is duidelijker over wat niet dan over wat wel als toestemming moet worden gezien. Zij zegt dat een consument moet kunnen zien van wie hij e-mails kan verwachten. De ontvanger moet uit de vraag om toestemming kunnen opmaken wat voor een e-mailberichten er verstuurd zullen worden, van wie die afkomstig zijn en hoeveel dit er zullen zijn. De ACM gaat hier verder dan de regering onlangs in het debat over de aanpassing van de cookiebepaling in de Telecommunicatiewet. Daar zegt minister Kamp dat impliciete toestemming (bijvoorbeeld doorgaan met het bezoeken van een website) onder omstandigheden voldoende is. (Daarover later meer op deze blog.)
Kortom, de ACM neemt snel aan dat er sprake is van een verzender, en niet snel dat er sprake is van toestemming. Uiteindelijk heeft de rechter (ook) hierover het laatste woord. De voorzieningenrechter van de Rechtbank Rotterdam concludeerde onlangs (vonnis hier) dat het besluit van de ACM naar verwachting in een bodemprocedure in stand zal blijven (daarom is het Daisycon-besluit, dat immers al dateert van 2013, nu pas gepubliceerd). De rechter volgt de ACM in haar uitleg van de begrippen verzender en toestemming. Daisycon heeft ongetwijfeld een bodemprocedure tegen het besluit ingesteld. Naar de uitkomst daarvan zien juristen en marketeers met meer dan gemiddelde belangstelling uit. De vraag is of de ACM zich in afwachting van die procedure stil houdt. Voor het geval ze dat niet doet: nog maar eens goed (laten) kijken hoe het zit met verkregen toestemmingen en afmeldmogelijkheden. Dat kan veel geld schelen.