Direct marketingrecht #5: gepersonaliseerde reclame

“ING gaat persoonlijke aanbiedingen doen op basis van bij- en afschrijvingen” zo luidde de krantenkoppen begin juni. Voor je het weet heb je dus een voorstel voor een reisverzekering in je mailbox, de dag nadat je een vakantie hebt geboekt. Of staat er een grote advertentie in je beeldscherm voor een inboedelverzekering, vlak nadat je de notariskosten hebt betaald voor je nieuwe woning. Maar mag dat eigenlijk wel?

Direct marketingreeks

Geregeld zetten organisaties data in voor direct marketingdoeleinden. In deze blogserie schrijven we over de regels omtrent direct marketing en het gebruik van data voor marketingdoeleinden. Als eerste is de regelgeving omtrent handel in data behandeld, daarna zijn we ingegaan op de regels met betrekking tot telemarketing, om vervolgens de wetgeving op het gebied van elektronische berichten, zoals app-berichten en e-mails te bespreken. In de voorlaatste blog lees je wat de regels zijn voor marketing via briefpost, oftewel reclamepost.

In deze blogpost lees je onze opinie over het doen van persoonlijke aanbiedingen op basis van af- en bijschrijvingen, gezien de regels uit de Telecommunicatiewet (Tw) en de Algemene Verordening Gegevensbescherming (AVG).

Profilering

Persoonlijk adverteren, zoals door de ING wordt gedaan, is een vorm van profilering op ‘basis van geautomatiseerde individuele besluitvorming’. Van deze vorm van profilering is sprake als via een geautomatiseerde verwerking van persoonsgegevens persoonlijke aspecten worden geëvalueerd en vervolgens voorspellingen worden gedaan over iemands economische situatie, persoonlijke voorkeuren of gedrag. Immers wordt de data die ING van een klant heeft gebruikt om klantprofielen aan te maken (persoon houdt van reizen, want betaling gedaan aan reisorganisatie), en wordt aan deze klantprofielen een automatisch besluit gekoppeld (toon advertentie over de reisverzekering).

Een automatisch besluit nemen op basis van het profiel van de betrokkene, waarbij het automatische besluit bepaalde rechtsgevolgen heeft voor die betrokkene, is in principe een verboden vorm van profilering. Deze vorm van profilering is tevens verboden wanneer het automatisch genomen besluit de betrokkene op een andere manier in “aanmerkelijke mate” treft. Dit betekent dat het besluit een behoorlijke impact heeft op omstandigheden, gedrag of de keuzevrijheid van betrokkenen of een ander langdurig of blijvend effect heeft op de betrokkene (denk aan discriminatie).  Het verbod op het automatisch nemen van besluiten die bepaalde rechtsgevolgen heeft voor de betrokkene geldt alleen niet als:

  • deze vorm van profilering noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de verantwoordelijke en de betrokkene;
  • een wet deze profilering toestaat;
  • de betrokkene uitdrukkelijke toestemming heeft gegeven voor deze profilering.

Of een bepaalde manier van profilering is toegestaan, wordt getoetst door voorafgaand aan het starten van de profilering een verplichte data protection impact assessment (DPIA) uit te voeren. Uit de DPIA komt naar voren of er omstandigheden zijn die deze vorm van profilering al dan niet verboden maken en of er bepaalde maatregelen genomen moeten worden om risico’s voor de rechten van betrokkenen weg te nemen. Als uit de DPIA blijkt dat profilering verboden is óf dat er sprake is van bepaalde risico’s voor de rechten en vrijheden van betrokkenen, dan mag profilering niet plaatsvinden.

Profilering inzetten voor direct marketing

Profilering zoals dit wordt uitgevoerd door ING is niet verboden voor zover het enige effect van deze profilering is dat bepaalde vormen van dienstverlening vanuit ING specifiek bij bepaalde profielen onder de aandacht worden gebracht, en andere niet. In dat geval zou toestemming van de betrokkene of het gerechtvaardigd belang van ING als grondslag kunnen dienen. Het gerechtvaardigd belang voor gepersonaliseerde advertenties van ING zou dan gelegen zijn in haar direct marketing belang. Het is wel zaak dat ING dit duidelijk vermeldt in haar privacyverklaring en haar belang goed beschrijft. Aanvullend, dient de betrokkene altijd het recht van bezwaar te worden geboden tegen verwerkingen op basis van het gerechtvaardigd belang. Dit bezwaar dient uitdrukkelijk en duidelijk en gescheiden van enige andere informatie onder de aandacht van de betrokkene te worden gebracht. Het enkel opnemen van het recht van bezwaar in bijvoorbeeld de privacyverklaring is onvoldoende.

De profilering zoals dit wordt uitgevoerd door ING is echter wél verboden, wanneer er bijvoorbeeld gebruik wordt gemaakt van prijspersonalisatie (Pieter, de frequente reiziger, krijgt een andere prijs voor een reisverzekering aangebonden dan Mia, die nooit reist) of als er wezenlijke rechtsgevolgen aan de profilering worden gekoppeld (Pieter mag geen reisverzekering afsluiten omdat die vaak op vakantie gaat, maar Mia wel). Mocht de ING dat van plan zijn dan is dat alleen toegestaan als zij hiervoor uitdrukkelijke toestemming van de betrokkene heeft gevraagd, aangezien geen wet of uitvoering van enige overeenkomst hierin voorziet.

Is het personaliseren van reclame mogelijk?

Wanneer het gebruik van profilering door middel van het tonen van gepersonaliseerde advertenties niet leidt tot wezenlijke gevolgen of rechtsgevolgen voor een betrokkene, kan dat op basis van het gerechtvaardigd direct marketingbelang van de verantwoordelijke plaatsvinden.

Deze grondslag vereist dat er een belangenafweging heeft plaatsgevonden welke positief voor de verantwoordelijke is uitgevallen. Daarnaast dient er een grondslag te zijn voor het gebruik en het eventueel combineren van verschillende gegevens voor profilering. De grondslag kan worden getoetst middels de verplicht uit te voeren DPIA. Er dient verder een grondslag te zijn voor het versturen van gepersonaliseerde commerciële berichten (denk aan toestemming voor de nieuwsbrief) en betrokkenen moeten over de profilering zijn geïnformeerd. Ten slotte moet aan betrokkenen altijd in het geval van profilering uitdrukkelijk het recht van bezwaar zijn geboden.

Update 10 juli 2019:

De Autoriteit Persoonsgegevens (AP) heeft per brief aan de Nederlandse Vereniging van Banken haar zorgen geuit over de voornemens van banken met betrekking tot gepersonaliseerde reclame. De AP roept de betrokken banken op om deze voornemens te heroverwegen, omdat de verdere verwerking van persoonsgegevens in transactiegegevens voor direct marketing-doeleinden zonder toestemming waarschijnlijk onverenigbaar is met het doel – afhandeling transacties – waarvoor de gegevens oorspronkelijk zijn verzameld én dus onrechtmatig.  

Als reactie op de brief heeft ING haar personalisatie plannen voorlopig in de ijskast gezet. De ABN AMRO bood al een tijdje dergelijke gepersonaliseerde reclame aan, maar heeft aangegeven hier voor nu mee te stoppen. Beide banken bestuderen de inhoud van de brief en zijn in gesprek met de AP.


Deze blog is geschreven door Michelle Wijnant
, in samenwerking met Elsbeth Penninkhof en Derk Jan Pilat.

Terug naar overzicht