“AP biedt duidelijkheid over direct marketing”, zo berichtte de Autoriteit Persoonsgegevens (“AP”) op 4 oktober 2018. In een reeds lang aangekondigde Q&A geeft de AP haar zienswijze op de privacyregels die in acht moeten worden genomen bij direct marketing. Het is de eerste keer sinds de inwerkingtreding van de Algemene Verordening Gegevensbescherming (“AVG”) op 25 mei 2018, dat de toezichthouder met een dergelijke toelichting komt.
Het is bewonderingswaardig dat de AP aftrapt met een toelichting op dit – technisch en juridisch ingewikkelde – onderwerp. Er bestaat veel onduidelijkheid over de uitleg van de AVG bij direct marketing terwijl de belangen enorm zijn. De AP maakt in haar toelichting geen onderscheid tussen de regels die van toepassing zijn op (a) het verwerken van persoonsgegevens voor direct marketing (namelijk: de AVG) en (b) de kanalen waarlangs de direct marketingboodschappen kunnen worden verzonden (de Telecommunicatiewet). Beide onderwerpen lijken door elkaar te worden gehaald met veel onjuistheden en tegenstrijdigheden als gevolg.
Zo wijst de AP er op dat het toegestaan is om consumenten met digitale marketing te benaderen maar laat zij na te vermelden dat deze uitzondering ook geldt voor bedrijven. Daarnaast stelt de AP dat direct marketing in veel gevallen alleen is toegestaan met toestemming, terwijl de AVG voldoende ruimte biedt om digitale marketing te baseren op het gerechtvaardigd belang van de ondernemer. Wat nog het meest opvalt, is dat de AP voorschrijft dat voor het toezenden van direct marketing per post aan mensen die (nog) geen klant zijn, toestemming vereist is. In de toelichting schrijft de AP eerst dat deze toestemming doorgaans vereist is (bij herhaling gebruikt ze in de toelichting de termen “doorgaans” en “zo goed als altijd”) om daarna te stellen dat die altijd vereist is. De uitleg van de AP waarom zij vindt dat altijd toestemming vereist is, ontbreekt.
Dit zijn enkele voorbeelden, op grond waarvan de indruk ontstaat dat de AP in de toelichting een eigen invulling probeert te geven aan de interpretatie van de AVG in relatie tot direct marketing. Het roept de vraag op of deze toelichting afgestemd is met de Autoriteit Consument en Markt, de huidige toezichthouder op de Telecommunicatiewet. Bovendien is de vraag of de mening van de AP gedeeld wordt door de andere Europese toezichthouders op het gebied van gegevensbescherming. En als dat niet het geval is, wat is dan de waarde van de toelichting? Heeft de AP de ruimte om eigenhandig strenger beleid te ontwikkelen? Ondergraaft ze daarmee niet de harmonisatiegedachte? Verwordt de AVG door dit soort toelichtingen opnieuw tot een lappendeken aan lokale interpretaties?
Voor zover ons bekend, heeft de AP bij het opstellen van de toelichting geen input gevraagd vanuit de markt. Dat is een gemiste kans. Op die manier had de AP tot een ware toelichting kunnen komen. Nu geeft de ‘toelichting’ aanleiding tot vragen en kritische kanttekeningen onder juristen en (direct) marketeers. Die zullen nu vooral met de vraag zitten: maar hoe moet ik nu verder? Wat moet of mag ik allemaal? Een optie is om de concrete vragen neer te leggen bij de AP, in hoop dat je dan wel een helder en bevredigd antwoord krijgt. Of je handelswijze laten beoordelen door een van de adviseurs op dit terrein, die dan met niet meer kunnen komen dan een wel afgewogen risico-inschatting. Als je alle verwerkingen op toestemming baseert zit je veilig, maar let goed op als je verwerking van persoonsgegevens voor direct marketing doeleinden op een andere grondslag wilt baseren.
Ik doe hierbij dan ook nog een oproep aan de AP om bij de aangekondigde toelichting op cookies en Wi-Fi-tracking (ook een lastig onderwerp) wel eerst de markt te consulteren alsook de Autoriteit Consument en Markt te betrekken. Op die manier kan de zo belangrijke toelichting op de AVG ook de gewenste duidelijkheid verschaffen.