ZBC Kennisbank

Privacy regelen in je voorwaarden is toch lekker praktisch?

 

Bij het adviseren van organisaties geeft ZBC regelmatig aan, dat privacy onderwerpen in de algemene voorwaarden geregeld kunnen worden. Dit is heel pragmatisch. Meestal heb je immers al een set standaardvoorwaarden klaarliggen. Je voegt er een paar artikeltjes aan toe en je bent klaar met je privacy beleid, toch? Vaak is dit voldoende, maar niet altijd.

De Consumentenbond heeft onderzoek gedaan bij een tiental grote Nederlandse websites. Bij dit onderzoek zijn vooral de bepalingen over het verder mogen verhandelen van persoonsgegevens van consumenten aan ‘geselecteerde partners’ onder de loep genomen. Daarbij vond de Consumentenbond naar eigen zeggen “nogal wat verontrustende issues”. In een aantal gevallen bleken privacy onderwerpen tussengeschoven te zijn in de algemene voorwaarden.
Op 27 februari jongstleden mocht onze jurist Wendy Franken bij BNR Radio toelichten waarom de pragmatische insteek die wij zo graag hanteren, niet altijd zonder meer mogelijk is. Bij een radio-uitzending is de tijd uiteraard beperkt. Daarom heeft Wendy nu hieronder nog eens op een rijtje gezet welke juridische aspecten en privacy aspecten een rol spelen.

Hoe zit dit juridisch?

Vanuit praktisch oogpunt is heel goed te begrijpen waarom websites bepaalde onderwerpen tussenschuiven in de algemene voorwaarden. Maar juridisch ligt dit lastig. En dan vooral wanneer je met consumenten van doen hebt.
Aan de basis bestaat er in Nederland contractvrijheid. Wanneer één partij een aanbod doet en de andere partij aanvaardt dat, dan bestaat er wilsovereenstemming en komt er dus een overeenkomst tot stand. Ditzelfde mechanisme geldt voor algemene voorwaarden.
Bij consumenten moet je echter wel zeker zijn dat er ook echt sprake is van wilsovereenstemming. Van een gemiddelde consument mag je verwachten dat hij begrijpt dat documenten met opschrift: “algemene voorwaarden” of “leveringsvoorwaarden” inderdaad de door jouw gehanteerde betaal- en leveringsvoorwaarden omvatten. Een beding over datahandel heeft echter niets te maken met de koopovereenkomst die tot stand komt. Om die reden hoeft een gemiddelde consument zeker niet beducht te zijn op zo’n beding. En toch bevatten koopovereenkomsten bij de Googles, Amazons en Facebooks van deze wereld vaak zo’n beding, net als bij goededoelenorganisaties, uitgevers van tijdschriften, kranten en klantenkaarten en veel webshops. En zelfs ZBC deelt gegevens van bezoekers met zijn partners.

De lijsten en het herroepingsrecht

Bij het opstellen van je algemene voorwaarden voor consumenten ben je gebonden aan het consumentenrecht. Het consumentenrecht kent lijsten met bedingen die worden geacht “onredelijk bezwarend” te zijn voor een consument: een zwarte lijst, een grijze lijst en een blauwe lijst. Als je als ondernemer een beding van één van deze lijsten opneemt in je algemene voorwaarden, dan is dat beding nietig: het heeft dan nooit echt bestaan. Een beding over datahandel schurkt dicht tegen een onredelijk bezwarend beding aan. De consument moet een overeenkomst kunnen sluiten zonder gedwongen te zijn een akkoord te geven op het verder verhandelen van zijn persoonsgegevens.
En dan komt aan consumenten die via internet kopen ook nog een recht toe tot herroeping van de koop. Dit houdt in dat de koper een termijn van veertien dagen heeft om het product terug te sturen. Daarbij hoort ook dat de consumentkoper de koopsom terugkrijgt.

Indirecte ophoging koopprijs

Maar als de koop wordt herroepen, wat gebeurt er in dat geval met de afgegeven en reeds verder verhandelde persoonsgegevens? Je kunt ze moeilijk teruggeven aan de consument. En dit brengt dan het vermoeden mee, dat de consument die de koopprijs voldoet en tevens verplicht is om persoonsgegevens te laten verhandelen, in feite indirect een opslag op de koopprijs betaalt. Hij betaalt immers de koopprijs van bijvoorbeeld een paar schoenen, waaraan de website verdient, en vervolgens verdient de website ook nog aan de handel in zijn persoonsgegevens.
Ook dit komt niet redelijk en billijk over. En daarmee wordt de roep om het reeds bij de bron economisch waarderen van persoonsgegevens steeds sterker.

Hoe zit dit privacy technisch?

Wat benadrukt moet blijven, is dat datahandel helemaal niet verboden is of wordt. Artikel 1 van AVG geeft dat duidelijk aan. Wel zijn er strikte voorwaarden waaronder die handel kan plaatsvinden. Het voornaamste principe hierbij is ‘transparantie’.
De handel in persoonsgegevens kan bijvoorbeeld plaatsvinden wanneer daarvoor vrije en geïnformeerde toestemming is gegeven. Wanneer die toestemming wordt afgedwongen in een set voorwaarden zonder welk de consument de beoogde overeenkomst niet kan sluiten, dan is moeilijk te verdedigen dat er sprake is van vrije toestemming. Je kunt zelfs stellen dat de concepten ‘vrije toestemming’ en ‘voorwaarde’ elkaar uitsluiten.
Ook verwerking en eventuele verdere verhandeling van persoonsgegevens zonder toestemming mag, wanneer dat noodzakelijk is voor het uitvoeren van de overeenkomst. Echter hoeven de ‘zorgvuldig geselecteerde partners’ dan nog steeds geen marketingacties te plegen op de nietsvermoedende consument.

Kosten-baten afweging: verantwoordingsplicht en aansprakelijkheid

In de AVG zal het vanaf mei 2018 zo zijn:

Artikel 5
Beginselen inzake verwerking van persoonsgegevens

  1. Persoonsgegevens moeten:
    1. worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”);
    2. voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; („doelbinding”);
    3. toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);
    4. juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren („juistheid”);
    5. worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is („opslagbeperking”);
    6. door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is („integriteit en vertrouwelijkheid”).

Waarbij in dit geval vooral lid 2 interessant is:

2. De verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van lid 1 en kan deze aantonen („verantwoordingsplicht”).

Wanneer een website op oneigenlijke wijze overgaat tot verhandeling van persoonsgegevens, dan wordt deze websiteondernemer verantwoordelijk en aansprakelijk voor elke verwerking die er nadien mee plaatsvindt. Dit geldt ongeacht hetgeen je in de verwerkersovereenkomst met deze ‘zorgvuldig geselecteerde partners’ bent overeengekomen.
De grote vraag is dan; durf jij in te staan voor al die partijen waaraan je de gegevens hebt doorgegeven?

Hoe mag dit wel binnen de grenzen van de wet?

Alles draait om transparantie en het recht van consumenten om toestemming te weigeren.
Zo had een goededoelenorganisatie op de website blokken staan met de opties “doneren voor een actie”en “doneer je mobiel”. Daar hebben ze nu bijgeplaatst: ”doneer je data”. In de toelichting wordt duidelijk aangegeven dat je persoonsgegevens een waarde hebben en dat je de organisatie indirect financieel steunt wanneer deze je data mag verkopen aan derde partijen die jou een aanbieding willen doen. Essentieel is dus, dat je hier transparant over bent.
Ook de ZBC kennisbank is heel transparant over het delen van bezoekersgegevens met derden. Maar ook zonder dat je persoonsgegevens afstaat, heb je toegang tot alle content op de kennisbank. Je bent dus niet verplicht om gegevens af te staan.
Voor de meeste webshops die data verkopen, zal dit niet werken. Wel zouden ze kunnen aangeven dat een consument korting kan krijgen op de koopsom door middel van het verstrekken van persoonsgegevens voor verhandeling. De consument die dit niet wil, voldoet dan de reguliere koopprijs: transparanter wordt het niet.
Wanneer je dit goed inricht, worden de persoonsgegevens ineens wél onderdeel van de hoofdovereenkomst zelf. Daarmee zou je de grondslag ‘uitvoering van de overeenkomst’ (AVG art 6 lid 1b) kunnen verdedigen wanneer de consument achteraf alsnog de toestemming intrekt.
Kortom, als je als commercieel bedrijf privacy wilt regelen in je voorwaarden, dan is het verstandig om hier sowieso een jurist naar te laten kijken, om te voorkomen, dat een rechter je voorwaarden als onrechtmatig beoordeelt. Zeker omdat binnenkort als aanvulling op de AVG de e-Privacy verordening van kracht wordt, die ervan uitgaat dat consumenten en ook bedrijven een ‘nee-nee’-sticker op hun digitale brievenbus hebben geplakt.

Via coaching ondersteunt ZBC organisaties om hun privacy op een pragmatische wijze op orde te krijgen. Ook geeft ZBC cursussen over privacy.
DownloadDownload artikel als MS Word document Download artikel als PDF document Print deze pagina Verstuur deze pagina naar een vriend (email)
Auteur(s): Wendy Franken | 15 maart 2018


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *