E-mail tracking met tracking pixels voor marketingdoeleinden
Data die wordt verzameld met e-mail tracking door middel van een tracking pixel, is veelal gekoppeld aan het e-mailadres of het IP-adres van de ontvanger. Deze gegevens zijn aan te merken als persoonsgegevens zodat de AVG hierop van toepassing is. Mag je dit inzetten, bijvoorbeeld als marketinginstrument en hoe dien je hiermee om te gaan?
Wat is e-mail tracking
Bij e-mail tracking wordt aan een getrackte mail een minuscule afbeelding toegevoegd. Denk hierbij aan de grootte van slechts één pixel. Deze pixel is transparant, waardoor die niet zichtbaar is. Wanneer je deze mail opent, wordt de onzichtbare afbeelding automatisch gedownload van een internetserver van de verzender. Op die server wordt jouw download geregistreerd inclusief een aantal gegevens, zoals bijvoorbeeld het tijdstip van openen, je IP-adres en je locatiegegevens. Telkens wanneer je de mail opent wordt dit geregistreerd.
Marketinginstrument
De techniek van e-mail tracking is overigens niet nieuw. E-mail tracking is al lange tijd populair bij marketeers. Door deze techniek toe te passen is bijvoorbeeld eenvoudig te zien hoevaak een nieuwsbrief wordt geopend en door wie. De tools die e-mail tracking mogelijk maken zijn eenvoudig te verkrijgen en op grote schaal in te zetten.
Toestemming als grondslag voor verwerking
De data die een getrackte mail verzamelt wordt dus gekoppeld aan het e-mailadres en/of het IP-adres van de ontvanger. De gegevens zijn aan te merken als persoonsgegevens in de zin van de AVG. De European Data Protection Board (EDPB), voorheen de Artikel 29 Werkgroep, heeft zich hierover een aantal jaren gelden al uitgelaten. De EDPB is een samenwerkingsverband van alle privacy-toezichthouders in de Europese Unie en is opgericht rondom de AVG. De EDPB fungeert tevens als Europese toezichthouder en verzekert dat de AVG binnen de EU zo veel mogelijk op dezelfde wijze wordt uitgelegd en toegepast.
Uitleg van de EDPB
The Working Party 29 expresses the strongest opposition to this processing because personal data about addressees’ behavior are recorded and transmitted without an unambiguous consent of a relevant addressee. This processing, performed secretly, is contradictory to the data protection principles requiring loyalty and transparency in the collection of personal data (…).
In order to carry out the data processing activity consisting in retrieving from the recipient of an email, whether the recipient has read it and when and whether it has forwarded it to third parties, unambiguous consent from the recipient of the email is necessary. No other legal grounds justify this processing. Therefore, the data processing that is performed secretly is contradictory to the data protection principles requiring unambiguously given consent, (…).
Ondubbelzinnige toestemming
De verwerking van gegevens waaruit blijkt of een ontvanger van een e-mailbericht dit heeft gelezen en of hij het heeft doorgestuurd naar derden, vereist ondubbelzinnige toestemming van die ontvanger. Geen andere rechtsgrond kan deze verwerking rechtvaardigen, zo stelt de EDPB. De EDPB zet hiermee de overige vijf grondslagen die de AVG kent voor het verwerken van persoonsgegevens buiten spel. Laat ik de grondslagen nog maar eens een keer noemen:
- Toestemming van de betrokken persoon en noodzakelijk voor:
- de uitvoering van een overeenkomst.
- het nakomen van een wettelijke verplichting.
- ter bescherming van de vitale belangen.
- de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.
- de behartiging van gerechtvaardigde belangen.
Cookie wetgeving in de Telecommunicatiewet
De vereiste voor “ondubbelzinnige toestemming” zie je ook terug bij de cookiewetgeving in art.11.7a Telecommunicatiewet. Hierbij geldt het uitgangspunt dat het via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker, alleen is toegestaan op voorwaarde dat die gebruiker daarvoor toestemming heeft verleend en dat de gebruiker hierover wordt geïnformeerd. Op grond van lid 3 van ditzelfde artikel is het vragen van toestemming overigens niet nodig voor cookies die uitsluitend worden gebruikt om informatie te verkrijgen over de kwaliteit of effectiviteit van de geleverde dienst, mits dit geen of slechts geringe gevolgen heeft voor de persoonlijke levenssfeer van de gebruiker.
Cookiewetgeving voor e-mailtracking?
Ik kan me voorstellen dat hetgeen opgaat voor cookies ook kan gelden voor e-mailtracking. De ontvanger dient vooraf te worden geïnformeerd en dient toestemming te verlenen voor het inzetten van e-mailtracking. Echter wanneer de e-mailtracking slechts wordt gebruikt om de effectiviteit van bijvoorbeeld een nieuwsbrief te meten en de privacy gevolgen zijn gering, dan kan toestemming achterwege blijven. Gezien de actualiteit van dit onderwerp verwacht ik dat er op korte termijn meer duidelijkheid gaat komen, bijvoorbeeld in de zin van jurisprudentie of richtlijnen. Deze vorm van e-mail tracking heeft in 2019 al een keer de publiciteit gehaald doordat de Dienst Uitvoering Onderwijs (DUO) volgsoftware had gebruikt in e-mails aan studenten. Na overleg met de Autoriteit Persoonsgegevens is DUO daarna gestopt met de toepassing ervan.
Vragen of meer weten over over dit onderwerp?
Op de site van Juridict vindt je meer artikelen, of neem voor meer informatie gerust contact op. Vragen staat vrij!