image

Juridische vraag: Kan het versturen van een e-mail een toestemmingshandeling onder de privacywet zijn?

woensdag 3 mei 2017, 14:59 door Arnoud Engelfriet, 8 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: In het privacystatement van Vereniging Eigen Huis staat het volgende:

Het anderszins verwerken van uw persoonsgegevens geschiedt alleen voor zover u Vereniging Eigen Huis daarvoor ondubbelzinnig toestemming heeft verleend. Die toestemming kan blijken uit het enkele feit dat u per e-mail of anderszins een vraag aan Vereniging Eigen Huis stelt.

Is dat laatste wel rechtsgeldig? Hoe kan men nu uit zo'n "enkel feit" toestemming afleiden?

Antwoord: Natuurlijk kan een bedrijf of instelling niet zelf bepalen hoe wettelijke termen moeten worden uitgelegd.

Volgens mij klopt het zoals VEH het formuleert. In principe mag je persoonsgegevens alleen verwerken met toestemming. Toestemming moet vrijwillig worden gegeven, maar het is niet verplicht dat expliciet te laten doen. Toestemming mag je onder de privacywet ook concluderen uit ander handelen, zolang maar duidelijk is dat die handeling bedoeld was als (mede) een toestemmingshandeling.

Het lijkt mij dat als iemand je een mail stuurt met een vraag, je wel mag concluderen dat je toestemming hebt om die persoon terug te mailen. Ik denk dat je ook nog wel toestemming hebt om een week later na te mailen of de oplossing beviel en of ze een enquete in willen vullen.

Verder hoef je denk ik niet bang te zijn dat men die toestemming dan gebruikt om bijvoorbeeld verkoop van je gegevens aan de hoogste bieder te rechtvaardigen. Dat kan namelijk niet onder de privacywet: toestemming moet specifiek en doelgebonden zijn. Deze tekst maakt dat duidelijk met "voor zover". Ze zeggen dus zelf niet meer te doen dan waarvoor je toestemming hebt gegeven.

Toestemming om een antwoord op je vraag te mailen is wezenlijk iets anders dan toestemming om op een nieuwsbrief te komen, of om je gegevens aan een derde te verstrekken. In programmeertaal: toestemming is geen boolean maar een array met toegestane handelingen. En in dit geval zal er dus niet meer gebeuren dan een reactie op je mail.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (8)
03-05-2017, 15:57 door Anoniem
Ik zie dat anders Arnoud, benieuwd naar je mening:
Om persoonsgegevens te verwerken is toestemming van de betrokkene een wettelijke grond. Als we al even vooruit denken naar de GDPR moet het dan gaan om een vrije, specifieke, geinformeerde en ondubbelzinnige wilsuiting (vervang eventueel geinformeerd met "op informatie berustend" voor WVP). Ik zie niet in hoe de betrokkene door een mail te sturen specifiek is in zijn toestemming, of geinformeerd is over waar hij precies toestemming voor geeft (doel, middelen, bewaartermijn, contact voor uitoefenen rechten, etc). Ik zou zo'n mail toch niet meteen als voldoende beschouwen tenzij er in ieder geval extra informatie rond de verwerking bij zit.

Andere insteek zou kunnen zijn dat je door het sturen van de mail een overeenkomst aangaat: jij stuurt een vraag, VEH gaat die beantwoorden en om dat te kunnen doen moeten er nu eenmaal wat persoonsgegevens verwerkt worden. Ook dan blijft echter de plicht tot informatie over de verwerking. Maar dat leunt er toch al wat dichter tegenaan.
03-05-2017, 21:17 door Anoniem
Nog een leuke vraag die hierbij aansluit:
Ik heb lang geleden op mijn werk eens een spontane e-mail gekregen die begon met de publieke sleutel van de afzender.
We maakten zelf toen geen gebruik van beveiligde e-mail, en tegenwoordig is dat ook nog meestal zo.
Mag zo'n persoon die een spontane e-mail stuurt verwachten dat de onleesbare string van karakters door de ontvanger wordt herkend als een publieke sleutel, en moet de afzender dan met gebruik van zijn publieke sleutel secure worden teruggemaild? En heb je een case als die afzender niet met een secure mail wordt teruggemaild?
04-05-2017, 09:33 door Anoniem
Door Anoniem: Ik zie dat anders Arnoud, benieuwd naar je mening:
Om persoonsgegevens te verwerken is toestemming van de betrokkene een wettelijke grond. Als we al even vooruit denken naar de GDPR moet het dan gaan om een vrije, specifieke, geinformeerde en ondubbelzinnige wilsuiting (vervang eventueel geinformeerd met "op informatie berustend" voor WVP). Ik zie niet in hoe de betrokkene door een mail te sturen specifiek is in zijn toestemming, of geinformeerd is over waar hij precies toestemming voor geeft (doel, middelen, bewaartermijn, contact voor uitoefenen rechten, etc). Ik zou zo'n mail toch niet meteen als voldoende beschouwen tenzij er in ieder geval extra informatie rond de verwerking bij zit.

Andere insteek zou kunnen zijn dat je door het sturen van de mail een overeenkomst aangaat: jij stuurt een vraag, VEH gaat die beantwoorden en om dat te kunnen doen moeten er nu eenmaal wat persoonsgegevens verwerkt worden. Ook dan blijft echter de plicht tot informatie over de verwerking. Maar dat leunt er toch al wat dichter tegenaan.
Stel dat het sturen van een e-mail niet als toestemming mag worden gezien, dan mag VEH het e-mailadres van de afzender niet verwerken. Maar als de e-mail aankomt, wordt dit e-mailadres automatisch verwerkt door de mailserver. Dit zou onder de aanname "e-mail is geen toestemming" al een overtreding zijn...

Als ik een instantie een vraag stel, is het duidelijk dat ik van die organisatie een antwoord verwacht. Als ik die vraag per e-mail stel, dan geef ik dus ondubbelzinnig toestemming dat mijn e-mailadres voor het beantwoorden van mijn vraag wordt verwerkt. Als ik de vraag per brief stel, dan is de toestemming ondubbelzinnig voor het verwerken van mijn adres. Anders mag de organisatie mijn vraag helemaal niet beantwoorden, sterker nog, zij mag mijn vraag (per e-mail) niet eens ontvangen!

En dat is ook precies wat Arnoud schrijft: de vraagsteller geeft door het stellen van de vraag per e-mail toestemming voor de verwerking van het e-mailadres om de vraag te beantwoorden en niet meer dan dat.
04-05-2017, 10:53 door Anoniem
Door Anoniem:
Door Anoniem: Ik zie......dichter tegenaan.
Stel dat het sturen van een e-mail niet als toestemming mag worden gezien, dan mag VEH het e-mailadres van de afzender niet verwerken. Maar als de e-mail aankomt, wordt dit e-mailadres automatisch verwerkt door de mailserver. Dit zou onder de aanname "e-mail is geen toestemming" al een overtreding zijn...

Als ik een instantie een vraag stel, is het duidelijk dat ik van die organisatie een antwoord verwacht. Als ik die vraag per e-mail stel, dan geef ik dus ondubbelzinnig toestemming dat mijn e-mailadres voor het beantwoorden van mijn vraag wordt verwerkt. Als ik de vraag per brief stel, dan is de toestemming ondubbelzinnig voor het verwerken van mijn adres. Anders mag de organisatie mijn vraag helemaal niet beantwoorden, sterker nog, zij mag mijn vraag (per e-mail) niet eens ontvangen!

En dat is ook precies wat Arnoud schrijft: de vraagsteller geeft door het stellen van de vraag per e-mail toestemming voor de verwerking van het e-mailadres om de vraag te beantwoorden en niet meer dan dat.

Ja, dit zijn de details die nog voor bv. de AVG/GDPR in praktijk nader ingevuld moeten worden. Zo heb je het dilemma van iemand die wil dat de gegevens gewist worden: hoe kan je iemand terugmelden dat alles gewist is, als je alle gegevens (waaronder bv. naam en email adres) gewist hebt? Want als je niets terugmeldt weet de aanvrager niet of er gewist is, maar als je niet alles wist om terug te kunnen melden ben je in overtreding...

Q
04-05-2017, 11:30 door Anoniem
Zo zie je maar weer dat de juridische/wetgeving wereld een totaal andere wereld is dan de technische wereld.
IT'ers gaan meteen denken "maar als je een mail ontvangt ben je al in overtreding want dan sla je een combinatie
van naam en e-mail adres op dus verwerking persoonsgegevens dus mag niet" terwijl een rechter of wetgever dat soort
kronkel gedachten niet heeft en er dus ook niet in voorziet.
Die wet is natuurlijk bedoeld om ongebreidelde opslag en verwerking van allerlei details over personen aan banden te
leggen, niet om dit soort dingen moeilijk of onmogelijk te maken. En dat snapt een rechter best, dus je hoeft echt
niet te proberen een bedrijf aan te klagen omdat ze gereplied hebben op een mailtje van jou zonder dat jullie eerst
out-of-band een overeenkomst verwerking persoonsgevens gesloten hebben.
04-05-2017, 12:06 door Anoniem
Door Anoniem: Zo heb je het dilemma van iemand die wil dat de gegevens gewist worden: hoe kan je iemand terugmelden dat alles gewist is, als je alle gegevens (waaronder bv. naam en email adres) gewist hebt? Want als je niets terugmeldt weet de aanvrager niet of er gewist is, maar als je niet alles wist om terug te kunnen melden ben je in overtreding...
Dat is niet zo moeilijk. Je mailt terug wat je tot nu toe gedaan hebt, bijvoorbeeld dat je alles wat je kon vinden (lijstje graag!) behalve het emailadres gewist hebt, en dat je gelijk na zenden ook het emailadres zal wissen.

Lastiger is dat er dan nog dingen in je mail logs zullen staan waarvan de gemiddelde kantoorklerk geen flauw benul zal hebben.
04-05-2017, 12:32 door Anoniem
Afz FB

Beste mensen,
Het gaat niet om de regeltjes en alle mogelijke rare interpretaties en consequenties ervan.
Het gaat om de bedoelingen. Die staan heel duidelijk in GDPR verwoord.

De bedoeling is niet dat alle bedrijven, organisaties, etc niets van mensen mogen weten.
In tegendeel. De wet is er juist voor om de belangen van mensen (waaronder hun privacy) af te wegen tegen belangen die organisaties hebben (waaronder vrij zakelijk verkeer binnen de EER). Daarom ook zijn er verschillende rechtvaardigheidsgronden waarom organisaties persoonsgegevens mogen verwerken en gebruiken.

In het geval van VEH is de opmerking onnodig (ad1). Kan zelfs 'schadelijk' zijn (ad2).
ad 1) VEH heeft het recht de emails van de afzenders te verwerken omdat ze nu eenmaal antwoord moeten kunnen geven. Daarvoor is geen toestemming nodig (bijv art 6 1b of 1d).
ad 2) De opmerking van VEH impliceert dat een afzender toestemming geeft Art 6 1a. En een toestemming kan ingetrokken worden. En dan komt de discussie of er alsnog onder lid 1b of 1d het emailadres verwerkt mag worden.

Voor de discussie terugmelding aan betrokkene dat de betreffende gegevens verwijderd zijn. Het verzoek is een wettelijk recht van betrokkene en is een wettelijke verantwoordelijkheid van verantwoordelijke. Dan valt verwerking onder art 6 lid 1c. Afgezien dat een verantwoordelijke in vele gevallen wettelijk gezien de gegevens niet eens mag verwijderen (bijv personeelsadministratie, fiscale administratie), lijkt het mij dat een verantwoordelijke moet kunnen aantonen dat gegevens zijn verwijderd en dat daarvan melding is gedaan aan betrokkene. Dit record kan vallen onder Art 6 lid 1c of anders onder art 6 lid 1f.

Natuurlijk blijft altijd de verplichtingen aan verantwoordelijke bestaan bijv
- om persoonlijke gegevens voldoende te beschermen.
- om betrokkenen te informeren over waarom welke persoonsgegevens worden gebruikt (tenzij al opgenomen in een wet)
- enz
17-03-2018, 13:12 door Anoniem
Zou het ook niet kunnen zijn dat het vastleggen van emailadres en als opgegeven de naam van de verzender en de email zelf om een email van iemand te kunnen beantwoorden op de grondslag van "gerechtvaardigd belang" kan plaatsvinden? Het gerechtvaardigde belang van een organisatie om te kunnen reageren op een emailvraag lijkt mij dat het voor de reputatie van de organisatie een slechte zaak is om emailvragen (of ook per brief) NIET te beantwoorden. Om daarna de communicatie over de vraag en het antwoord goed te kunnen uitvoeren moeten zowel de emailvraag en de (email)adresgegevens en naam van de verzender als het teruggestuurde antwoord gedurende een redelijke termijn bewaard worden vanuit datzelfde gerechtvaardigde belang, zou ik denken.

Bij de grondslag (in de nieuwe AVG) van "gerechtvaardigd belang" is geen expliciete toestemming vereist. Die wordt ook door de verzending van een email van een vragensteller naar een organisatie ook niet gegeven en kan dus ook geen grondslag zijn. Impliciete toestemming veronderstellen mag nou net niet onder de nieuwe wet.

Voordeel van de grondslag "gerechtvaardig belang" is ook dat er geen toestemming kan worden ingetrokken. Wel geldt dat de organisatie het eigen gerechtvaardigd belang moet afwegen tegen een privacy belang van een vragensteller.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.