Over opt-in en partnermailings: privacy in de reissector

Data is king, ook in de reissector.  Een zo sterk mogelijke database uitbouwen met enerzijds zo veel mogelijk data records, maar anderzijds ook met zo relevant en volledig mogelijke data records, is een uitdaging voor elk bedrijf en dat geldt niet minder in de reissector.

Een makkelijke manier om je database te verrijken is om beroep te doen op partnermailings via een van de vele lead generation bedrijven, die zich toeleggen op het ter beschikking stellen van hun immense database aan geïnteresseerde adverteerders.

Enige voorzichtigheid is hierbij echter geboden, zoals nogmaals blijkt uit een recente beslissing van de Nederlandse Stichting Reclame Code betreffende een mailing voor een hotel bookingswebsite die gebruik maakte van een partnermailing om nieuwe leads te genereren.  Daarbij moet immers rekening gehouden worden met privacyrecht en anti-spamwetgeving.

Partnermailings

In dit concrete geval blijkt een bookingswebsite gebruik gemaakt te hebben van de mailingdiensten van het bedrijf TicketSpy.  TicketSpy is een bedrijf dat commerciële e-mails verzendt aan (specifieke segmenten van) zijn immense database en daarin advertenties aanbiedt van partners, zoals in casu dus de betreffende hotel booking engine.  De bookingswebsite biedt in de mailing van TicketSpy een advertentie aan voor vakantieverblijven in luxehotels met de woordenWord nu met één klik lid van [X] om alle [X] SuperSales te bekijken en wees er op tijd bij!en plaatst daarbij een link met de tekst “Aanmelden en bekijken“.  Wie op de link klikt, wordt doorgestuurd naar de website van de booking engine, waar hij of zij een pop-up te zien krijgt met de vraag om een paswoord aan te maken om een account te activeren.

De klager in dit geval, besloot om geen paswoord in te vullen en sloot de pop-up gewoon af.  Tot zijn verbazing ontving hij enkele minuten later een e-mail met de melding dat een account voor hem was aangemaakt bij [X].

Hij was het hier niet mee eens.  Hij had immers op geen enkel ogenblik toestemming gegeven aan [X] om zijn e-mail adres op te slaan en aan een account te koppelen.

Foutje in de communicatie

De Nederlandse Stichting Reclame Code oordeelde dat de adverteerder hier wel degelijk in de fout ging.  Onder Nederlands recht immers bestaat, naast wettelijek regels over pricavy en anti-spam, ook een Reclame Code E-mail Marketing, die vereist dat de consument voorafgaand verwittigd wordt als door het klikken op een button zijn gegevens doorgegeven worden aan een derde (andere dan de afzender van de mail).

De bookingwebsite erkende oveirgens in dit geval dat er een foutje gebeurd was en dat de voorziene waarschuwingstekst door een menselijke nalatigheid niet in de betreffende mail opgenomen was.  Geen kwade wil dus van de zijde van de adverteerder.

Privacywetgeving en anti-spam

België kent geen Reclame Code E-mail Marketing, zoals in Nederland, maar ook hier gelden strenge regels die de consument beschermen tegen adverteerders die met zijn of haar persoonsgegevens aan de lsag willen gaan.

Zowel de Privacywet van 1992 als de Wet Elektronische Handel van 2002 bevatten immers een aantal regels waar rekening mee gehouden moet worden.

De belangrijkste is meteen ook de eenvoudigste: het bijhouden en verwerken van persoonsgegevens kan enkel met de voorafgaande vrije en geïnformeerde toestemming van de betrokkene.  Dat betekent dat het opslaan van iemands e-mail adres in je database enkel mogelijk is mits de betrokkene daarvan op de hoogte is en er zijn (actieve) toestemming voor gegeven heeft.  De wet voorziet wel een uitzondering wanneer een bedrijf meent dat het een “gerechtvaardigde reden” heeft om geen toestemming te vragen, maar direct marketing of reclame in het algemeen is in de meeste gevallen géén “gerechtvaardigde reden”.

Daarnaast moet de betrokkene op het ogenblik dat hij zijn toestemming geeft weten wie de verwerker is, welke data hij zal verwerken, hoelang die data bewaard zal worden, etc…  Bovendien moet de betrokkene geïnformeerd worden over zijn recht om fouten te laten verbeteren, om inzage te krijgen in zijn gegevens en om -in een aantal gevallen- zich te verzetten tegen de verdere verwerking van zijn gegevens.

Bovendien verbieden de anti-spamregels uit de Wet Elektronische Handel om reclame te verzenden aan een bestemmeling die niet vooraf expliciet toestemming heeft gegeven om reclame te ontvangen.  Enige uitzondering hierop is het recht om reclame te versturen zonder expliciete opt-in aan bestaande klanten en voor gelijkaardige producten als deze die eerder aangekocht werden.

Dat betekent dat een advertentie in een partnermail met reclame voor bijvoorbeeld een reis of een hotelverblijf altijd vereist dat

1/ er géén automatisch profiel aangemaakt wordt bij het doorklikken naar de website,

2/ het e-mail adres niet automatisch toegevoegd wordt aan de database van de adverteerder als de consument op de link naar diens website klikt,

3/ het feit dat men doorgelinkt wordt naar de website van een derde door te klikken op een banner zeer duidelijk is vermeld,

4/ de consument voorafgaand aan het aanmaken van een profiel alle verplichte informatie ontvangt (via een link naar de privacy policy) en vooral ook

5/ de toestemming voor het oplsaan van zijn gegevens niet noodzakelijk gelijk is aan zijn akkoord om reclame te ontvangen; hiervoor is een afzondelrijk expliciet akkoord vereist.

Voorzichtigheid troef dus voor wie zijn database wil uitbreiden of verrijken.  Er is heel wat mogelijk opm dat vlak, maar daarbij moet wel rekening gehouden worden met bovenstaande regeltjes.

General Data Protection Regulation

De regels hierboven worden overigens vanaf het voorjaar van 2018 aanzienlijk strenger.  Dan treedt immers de “General Data Protection Regulation” of “Algemene Verordening Gegevensbescheming” van de Europese Unie in werking.  Die “GDPR” bevat enkele nieuwe en bijkomende regels om rekening mee te houden.

Het verwerken van gegevens van minderjarigen (-16) wordt bijvoorbeeld verboden zonder expliciete toestemming van de ouders.  Wie data huurt of inkoopt, zal boven dien binnen 30 dagen de betrokkene op de hoogte moeten stellen van het feit dat hij zijn data bekomen heeft en ook wie data doorgeeft aan derden zal dit binnen 30 dagen moeten melden aan de betrokkene wiens data hij doorgeeft.  Er wordt bovendien een “right to be forgotten” gecreëerd en een recht om zich te verzetten tegen “geautomatiseerde beslissingname” (waarbij software zonder menselijke tussenkomst een beslissing neemt om bvb een bestelling toe te staan of te weigeren).

Diezelfde GDPR bevat nog een hele reeks zo mogelijk nóg belangrijkere andere verplichtingen voor bedrijven die met data omgaan: “privacy by design” en “privacy by default“, de verplichting om een Data Protection Officer in dienst te nemen, het opstellen van een Data Breach Risk Analyses en een noodplan voor het geval data zou verloren gaan of gestolen worden, een meldplicht datalekken, bijkomende veiligheidsmaatregelen, verplichte contracten voor onderaannemers, etc…

Te veel om hier op te sommen, maar de inhoud van deze GDPR heeft wel érg vergaande impact op dataverwerking binnen bedrijven en met name ook binnen de toeristische sector.  Sirius Legal zal om die reden tijdens The Conference van Travel 360 dit jaar de impact van een en ander op de reissector op een rijtje zette, zodat ook uw bedrijf in 2017 tijdig aan de slag kan met de voorbereidingen op de inwerkingtreding van de GDPR in het voorjaar van 2018.

Vragen over privacy, reclamerecht of reisrecht?

Bart Van den Brande helpt u graag verder.  U kan hem bereiken op bart@siriuslegal.be of op 0486 901 931.