ACM deelt megaboete voor lead generation uit – en nu?

2 oktober 2014, 13:30

Telecomtoezichthouder ACM heeft een boete van 810.000 euro opgelegd aan Daisycon voor het overtreden van de e-mailwetgeving. De bestuurders van Daisycon zijn ook privé aansprakelijk gesteld. Daisycon is beboet voor haar leadgeneration-concepten. Het besluit bevat in wezen drie boetes voor het versturen van verschillende e-mails in drie verschillende rollen. Daisycon is beboet a) als adverteerder in de e-mail van derden, b) als verzender van e-mail met daarin advertenties van derden en c) als affiliate netwerk, waarbij Daisycon makelaar is tussen adverteerder en publisher. Dat ACM Daisycon ook aanspreekt in haar rol als affiliate, is opmerkelijk.

Tussenpersoon nu ook medepleger

Daisycon heeft een eigen affiliate netwerk. Hierbij treedt zij op als ‘makelaar’ tussen adverteerders die hun reclame per e-mail willen verspreiden en zogenaamd publishers (bedrijven die toestemming hebben om in hun nieuwsbrieven reclame van andere adverteerders op te nemen). De publishers zijn volgens de Telecomwet verantwoordelijk voor het krijgen van een goede opt-in van de consument. De adverteerder is verantwoordelijk voor de inhoud van de boodschap. Tot zover niets nieuws. Maar, redeneert de ACM, óók Daisycon is als affiliatenetwerk verantwoordelijk en wel om de volgende redenen:

  • De e-mailberichten bevatten in de broncode een link naar de domeinnaam van Daisycon. Deze link(s) worden gebruikt voor afrekenmodellen binnen het affiliatenetwerk.
  • Daisycon had een bepaalde vrijheid in het aanpassen van promotiemateriaal van de adverteerders en het kiezen van de nieuwsbrieven waarin de reclame-uiting mee zou worden gezonden.

Hierom concludeert de ACM dat Daisycon ook hier als medepleger aangemerkt kan worden. Een verstrekkende interpretatie van het begrip e-mailverzender.

Ook boete voor rol als adverteerder en publisher

Daisycon is daarnaast ook beboet als adverteerder in e-mail van andere partijen en als verzender van e-mailnieuwsbrieven. Daisycon ging als adverteerder mee in de enquêtes van verschillende publishers. Hiermee wierf Daisycon deelnemers voor haar eigen enquêtes. Als publisher gaf Daisycon andere adverteerders en leadgeneration-partijen de mogelijkheid te adverteren in haar nieuwsbrieven. In beide gevallen was volgens ACM geen sprake van een goede opt-in van de consument. Ook was er geen goede afmeldmogelijkheid.

Eisen aan de opt-in voor leadgeneration via e-mail

Volgens de ACM was in alle drie de gevallen geen goede opt-in verzameld. Toestemming moet volgens de wet vrij en specifiek gegeven worden en op informatie berusten. Met andere woorden: iemand moet weten waar hij “ja” tegen zegt. De bewijslast ligt in principe bij de adverteerder. Daisycon heeft in geen van de gevallen kunnen aantonen dat zij een goede opt-in had verkregen, stelt de ACM. Ze geeft hiervoor drie redenen, die er gezamenlijk voor hebben gezorgd dat de toestemming niet aan de eisen specifiek en geïnformeerd voldeed.

  • In de toestemmingsvraag werd via een hyperlink duidelijk gemaakt wie de ‘geselecteerde partners’ waren aan wie de e-mailadressen werden verstrekt. Volgens ACM was een hyperlink in dit geval onvoldoende en had dit in de vraag duidelijk moeten worden gemaakt voor wie de adressen werden verzameld en welke (frequentie en inhoud) e-mail de consument kon verwachten.
  • Doordat de opt-in gecombineerd was voor meerdere adverteerders en andere derden die niet bij naam werden genoemd, had de consument volgens ACM onvoldoende keuze om aan te geven van wie hij specifiek e-mail wilde ontvangen en van wie niet.
  • Tot slot bevatte de lijst van derden ook andere publishers aan wie de e-mailadressen werden verstrekt. Deze publishers tonen ook weer advertenties van andere adverteerders en zo blijft de consument e-mail ontvangen van partijen die hij niet wil hebben.

Op grond van deze drie redenen concludeert ACM “dat de toestemming die zou zijn verworven middels de privacy-statements niet is aan te merken als specifiek en op informatie berustend. Daarom is ACM van oordeel dat de verklaringen die door middel van co-registratie zijn verkregen niet zijn aan te merken als de wettelijk vereiste voorafgaande toestemming”.

Afmeldmogelijkheid onvoldoende

Tot slot zegt de ACM dat de afmeldmogelijkheid niet goed is ingericht. Een opt-out, of het Recht van verzet, zoals het in de privacywetgeving heet, moet ervoor zorgen dat een consument geen e-mail meer ontvangt waar hij niet op zit te wachten. Dat liet in deze casus te wensen over. De consument werd namelijk in veel gevallen alleen uitgeschreven bij de bestandseigenaar en niet bij alle adverteerders en publishers aan wie het e-mailadres werd doorgegeven, waardoor hij dezelfde e-mail bleef ontvangen.

De DDMA Privacy Autoriteit, die namens DDMA consumentenklachten in behandeling neemt, oordeelde al eerder dat bij lead-generation afmeldingen moeten worden doorgegeven aan adverteerders in een netwerk.

En nu?

Na het lezen van de toelichting op de boete blijft de sector met een aantal vragen zitten. Is het aanmerken van een affiliate netwerk als e-mailverzender realistisch? Ligt hier de verantwoordelijkheid voor een goede opt-in niet primair bij een bestandseigenaar? En kan een affiliate netwerk door het maken van betere afspraken, bijvoorbeeld in bewerkersovereenkomst, ervoor zorgen dat zij niet aansprakelijk wordt gesteld voor overtredingen in het netwerk?

Ook de toestemming voor co-registratie roept vraagtekens op. Hoe specifiek moeten de derden benoemd worden? Volstaan categorieën van derden bijvoorbeeld? En hoezo mag je niet via een hyperlink verwijzen naar de andere adverteerders, terwijl dit bij cookiestatements gebruikelijk is? DDMA overlegt met haar leden en de commissie Regelgeving over deze vraagstukken. Wordt ongetwijfeld vervolgd…

Jitty van Doodewaerd
Compliance Officer bij DDMA

Als compliance officer van branchevereniging DDMA ben ik betrokken bij verschillende lobbytrajecten in Den Haag en Europa. Daarnaast ben ik lid van de Legal Affairs Committee van de Federation for European Direct and Interactive Marketing (FEDMA) en de Privacy Commissie van VNO-NCW.

Categorie
Tags

5 Reacties

    harmen

    Het gaat hier natuurlijk niet om een kleine overtreding er zijn door Daisycon ruim 2 miljard emails verstuurd. Teen zo een overtreding moet gewoon keihard opgetreden worden. Daisycon heeft al eerder meerder rechtszaken verloren en zal dat ook nu ongetwijfeld in het stof bijten.

    Het lijkt me in elk geval een goed teken als de DDMA Daisycon als lid zou royeren. Een dergelijke oproep is ook door invloedrijke partijen bij de PAN ingediend.

    Ik ben erg benieuwd maar ook ik verwacht niet veel van het PAN. Tot nu toe is dit enkel een koffiedrinkend clubje gebleken zonder enige daadkracht.

    De PAN moet je toch al niet serieus nemen om dat het een vriendenclubje van de B-netwerken uit Nederland is. Een echt grote partij als TradeTracker blijkt niets eens lid te zijn.


    2 oktober 2014 om 17:32
    Karel

    Harmen, Daisycon heeft geen 2 miljard emails verstuurd.

    Bovendien is het nog maar de vraag of mails, en welke aantallen, die door de andere partijen zijn verstuurd wel daadwerkelijk als spam kunnen worden bestempeld.

    Het ACM schept in ieder geval al veel verwarring en onduidelijkheid door de termen ongevraagde email en toestemming vooraf en wat dit gaat betekenen voor email marketing in het algemeen.

    Het lijkt er namelijk op da men naar een situatie toe wil waarin een publisher/bestandseigenaar zijn abonnee vooraf voor elke mail met commerciële content telkens apart weer om toestemming vraagt. p.s. Die vraag per email stellen zou in principe op zich al weer een ‘ongevraagde mail’ zijn.

    Je oproep tot royement zou juist de doodsteek voor de hele branche zijn.

    Jammer van je visie en afgeven op PAN en haar leden en ophemelen van Tradetracker.


    2 oktober 2014 om 21:32
    john

    Dank je Kitty voor je heldere verhaal. Het lijkt me dat dit betekend dat elke email die via een netwerk verzonden is een dergelijke complexe toestemming moet hebben.

    Ik ontving gisteren een email van Zanox waarin ze oa naar de DDMA verwijzen en aangeven dat zij wel, als enig netwerk compliant zouden zijn met de nieuwe ACM regels, hoe doen zij dat dan? Wellicht heb jij hier meer info over, ze noemen zoals gezegd de DDMA als referentie.


    3 oktober 2014 om 22:13
    Jittyvandoodewaerd

    Beste John, dank voor je reactie. Interessant dat Zanox aangeeft compliant te zijn. Zanox is geen lid van de DDMA, wat niet wegneemt dat zij natuurlijk wel de Code e-mail kunnen naleven en hun toestemming voor lead-generation op een manier hebben ingericht die de ACM voorstaat. Ik heb hier geen inzicht in.

    Harmen, ik ben met je eens dat opgetreden moet worden tegen overtredingen. In de Code E-mail die DDMA mede heeft opgesteld, staan duidelijke regels met betrekking tot informatie die een organisatie moet geven als hij e-mailadressen verzameld voor derden. De toestemmingsvraag mag niet weggestopt worden in Algemene Voorwaarden of een privacy statement. Maar wij zijn wel van mening dat co-registratie in principe moet kunnen als iemand weet waar hij “ja” tegen zegt en zich effectief kan afmelden.


    6 oktober 2014 om 08:57
    Lorena

    Hey, that’s the grseetat! So with ll this brain power AWHFY?


    12 juli 2016 om 06:05

Marketingfacts. Elke dag vers. Mis niks!