Verwarring alom. ACM, Daisycon en spam - Blog

17 november 2014
Verwarring alom: ACM, Daisycon en spam.
Door Jos Swinkels – Advocaat, Versteeg Wigman Sprey Advocaten
Zonder toestemming versturen van e-mails kan duur uitpakken. Onlangs werd bekend dat de
Autoriteit Consument en Markt (ACM) een boete op van 810.000 euro voor spam heeft opgelegd
aan affiliate-marketingbedrijf Daisycon. In het tachtig pagina’s dikke besluit (hier te vinden) komt
voor marketeers en juristen veel interessants aan de orde.
Volgens artikel 11.7 Telecommunicatiewet is voor het mogen verzenden van commerciële e-mails
vereist dat verzender kan aantonen dat de ontvanger daarvoor toestemming heeft verleend. Deze
bepaling bevat twee essentiële begrippen (verzender en toestemming), waarover veel
(onduidelijks) in het Daisconbesluit te vinden is.
Wie is verzender in de zin van de wet? De ACM gaat uit van het ‘brede verzenderbegrip’: het begrip
verzender omvat niet alleen degene die op de verzendknop drukt (de feitelijk verzender), maar ook
degene waarvan het bericht afkomstig is (de materiële verzender). Nu is Daisycon in haar rol als
affiliate netwerk feitelijk noch materieel verzender. Helemaal geen verzender dus, zou je denken.
Daar denkt de ACM anders over. Zij vindt dat de rol die Daisycon speelt (en dus ook andere
affiliate netwerken) binnnen het brede verzenderbegrip valt. En dat heeft grote gevolgen: de ACM
koppelt daaraan de conclusie dat alle verzenders ‘desgevraagd in staat moeten zijn aan te tonen
dat de abonnee vooraf zijn toestemming heeft gegeven’.1 In het geval van een affilliatenetwerk
moeten dus zowel de affiliatepartij (in dit geval Daisycon) als de adverteerder/publisher kunnen
aantonen dat er toestemming is. Volgens de ACM moet ‘elke schakel in de gehele keten, die
betrokken is bij de verzending, in staat [zijn] om te beschikken over de afgegeven toestemming
van de ontvangers en om deze over te kunnen leggen’.2 Dit betekent niet dat de verschillende
betrokken partijen ook afzonderlijk toestemming gevraagd moeten hebben, maar wel dat ze ieder
moeten kunnen aantonen dat er toestemming is gegeven3. Daisycon kon dat volgens de ACM niet.
In dit geval heeft de ACM haar peilen gericht op Daisycon, maar zij had ook naar Daisycon’s
klanten kunnen kijken (en kan dat natuurlijk alsnog doen).
Wat moet de verzender (of verzenders!) dan kunnen aantonen? De ACM zegt het zo: ‘dat (i) de
betreffende ontvanger toestemming heeft gegeven, (ii) wanneer hij toestemming heeft gegeven,
(iii) aan wie de toestemming is gegeven, en (iv) waarvoor deze toestemming is gegeven, en (v) de
wijze waarop de toestemming van de betreffende ontvanger is verkregen’4. Omdat de verzenders
dat moeten kunnen aantonen moet alles opgeslagen en bewaard worden, en moeten alle
verzenders over die informatie kunnen beschikken. Vastleggen in een overeenkomst dus, lijkt mij,
als het praktisch al te realiseren valt.
Dan gaat het er vervolgens om wanneer er sprake is van toestemming. Voor de definitie van
toestemming haakt de Telecommunicatiewet aan5 bij de Wet Bescherming Persoonsgegevens6: een
‘vrije, specifieke en op informatie berustende wilsuiting’. Het bekende ‘Geeft u toestemming voor
de ontvangst van e-mails met aanbiedingen van dit bedrijf en (geselecteerde) partners?’ voldoet
daar in ieder geval niet aan7. Een verwijzing naar een bepaling in de algemene voorwaarden of
privacy statement is ook niet genoeg8. Co-registratie voldoet evenmin. Een consument moet
kunnen zien van wie hij e-mails kan verwachten. Dat sluit volgens de ACM co-registratie uit. Co1
2
3
4
5
6
7
8
Besluit, randnr. 104
Besluit, randnr. 238
Besluit, randnr. 239, 240
Besluit, randnr. 98
Art. 11.7 lid 1 jo 11.1 onder g Tw
Art. 1 onder i Wbp
Besluit, randnr. 97
Besluit, randnr. 103
registratie wil volgens de ACM ‘zeggen dat het privacy-statement van bijvoorbeeld een enquête of
prijsvraag de namen van een aantal bedrijven en organisaties bevat aan wie de gegevens van
deelnemers worden uitgeleverd en welke mogelijk contact op kunnen nemen met de deelnemer’9.
Wanneer is er dan wel sprake van geldige toestemming? De ACM is duidelijker over wat niet dan
over wat wel als toestemming moet worden gezien. Zij zegt dat een consument moet kunnen zien
van wie hij e-mails kan verwachten. De ontvanger moet uit de vraag om toestemming kunnen
opmaken wat voor een e-mailberichten er verstuurd zullen worden, van wie die afkomstig zijn en
hoeveel dit er zullen zijn10.
De ACM gaat hier verder dan de regeing onlangs in het debat over de aanpassing van de
cookiebepaling in de Telecommunicatiewet. Daar zegt minister Kamp dat impliciete toestemming
(bijvoorbeeld doorgaan met het bezoeken van een website) onder omstandigheden voldoende is.
(Daarover later meer op deze blog.)
Kortom, de ACM neemt snel aan dat er sprake is van een verzender, en niet snel dat er sprake is
van toestemming. Uiteindelijk heeft de rechter (ook) hierover het laatste woord. De
voorzieningenrechter van de Rechtbank Rotterdam concludeerde onlangs (vonnis hier) dat het
besluit van de ACM naar verwachting in een bodemprocedure in stand zal blijven (daarom is het
besluit, dat immers al dateert van 2013, nu pas gepubliceerd). De rechter volgt de ACM in haar
uitleg van de begrippen verzender en toestemming. Daisycon heeft ongetwijfeld een
bodemprocedure tegen het besluit ingesteld. Naar de uitkomst daarvan zien juristen en marketeers
met meer dan gemiddelde belangstelling uit. De vraag is of de ACM zich in afwachting van die
procedure stil houdt. Voor het geval ze dat niet doet: nog maar eens goed (laten) kijken hoe het zit
met verkregen toestemmingen en afmeldmogelijkheden. Dat kan veel geld schelen.
9
Besluit, randnr. 251
Besluit, randnr. 259
10