Sinterklaas overtreedt de regels niet

22 november 2011, 08:45

Nederlandse ouders zijn boos: het Sinterklaasjournaal heeft hun kinderen gechanteerd! De oproep om naam en e-mailadres achter te laten om zo in Het Grote Boek van Sinterklaas te komen, viel bij velen in het verkeerde keelgat. Want, zo meldde de redactie van Ouders Online, hiervan is geen melding gemaakt bij het College ter Bescherming van Persoonsgegevens. Maar weten ze dat wel zeker? En bovendien: wie zegt dat de e-mailadressen opgeslagen en gebruikt worden?

Dankzij mijn kinderen van vier en zes jaar kwam ik enige tijd geleden al in aanraking met de omstreden oproep van het Sinterklaasjournaal. Ondanks de haast van mijn kinderen – ook zij wilden niet ontbreken in Het Grote Boek – keek ik uiteraard even naar de voorwaarden. Onderaan kwam ik het zinnetje ‘De Sint mag contact met mij opnemen in verband met pakjesavond’ tegen. Het was inderdaad slimmer geweest om zelf een vinkje te laten zetten, waarmee je duidelijk toestemming vraagt. En ik raad de Sint aan om geen gebruik te maken van de adressen die hij op deze manier verzameld heeft, ook al gaat het bijvoorbeeld om een onschuldige oproep om te kijken naar een speciale uitzending van het Sinterklaasjournaal. De reden daarvoor is simpel: ouders moeten hiervoor toestemming geven. De Reclame Code Commissie geeft immers aan dat voor het verzenden van een commerciële boodschap aan kinderen onder de zestien jaar toestemming van de ouders nodig is. Voor de duidelijkheid: een vermelding bij het College ter Bescherming van Persoonsgegevens is daarvoor niet voldoende. Dit is een puur administratieve handeling, waarmee de toestemming niet geregeld is.

Geen paniek

Vooralsnog heeft het Sinterklaasjournaal de gegevens nog niet gebruikt. Geen probleem, dus. Blijft de vraag: waarom is er gevraagd naar het e-mailadres? Ik kan hiervoor maar één verklaring bedenken: om het echter te maken. Hoe weet Sinterklaas anders dat jij het bent, als je alleen maar je naam achterlaat? ‘Als we het doen, moeten we het goed doen’, zal de redactie gedacht hebben. Hoe dan ook, zolang de gegevens niet gebruikt worden, is er geen reden tot paniek.

Met de vulpen

En Sinterklaas zelf, moet hij geen toestemming vragen voor het opslaan van al die namen in zijn Grote Boek? Zolang hij het Boek netjes met zijn vulpen bijhoudt en de gegevens niet opslaat op zijn computer, is er ook op dat vlak geen vuiltje aan de lucht. Ga zo door, Sinterklaas!

11 Reacties

    Henk Boeke

    1. De dataverzameling is niet aangemeld bij het College Bescherming Persoonsgegevens (CBP). Vanzelfsprekend hebben we dit gecheckt. Een woordvoerder van het CBP bevestigde dat er geen meldingen waren van de NTR of het Sinterklaasjournaal. Dit is een schending van de Wet bescherming persoonsgegevens (WBP).

    2. Voor het verzamelen van persoonsgegevens bij kinderen onder de 16 jaar is toestemming van de ouders nodig. Op de pagina waar je de gegevens invult, wordt NIET gezegd dat kinderen VOOR het invullen van hun gegevens eerst toestemming aan hun ouders moeten vragen. (Dat staat alleen bij de vraag of de Sint contact met ze mag opnemen.) Ook hier wordt dus de WBP geschonden.

    3. Er verschijnt een popup waarin kinderen de namen en adressen van vriendjes en vriendinnetjes kunnen invullen. Ook hier wordt niet gezegd dat daar eerst toestemming van hún ouders (van die vriendjes en vriendinnetjes) voor nodig is. Opnieuw een schending van de WBP.

    Kortom: de regels worden wel degelijk overtreden. En dat de site van het Sinterklaasjournaal afgelopen weekend gehackt is (gewoon om te laten zien dat zoiets kan) maakt het allemaal nog eens extra pijnlijk.

    Henk Boeke – eindredacteur Ouders Online


    22 november 2011 om 10:03
    SergeFerraro

    Henk,

    bedankt voor je reactie!

    Laat ik voorop stellen dat ik het goed vind dat we kritisch kijken met wat er met persoongegevens gebeuren, zeker als het gaat om kinderen. Ook ik fronste mijn wenkbrauwen toen ik in eerste instantie de actie zag. Toch heb ik met deze blog enige nuance willen aanbrengen, zonder wel of geen gelijk te willen hebben. Hieronder mijn reactie op jouw punten:

    1. Inderdaad moet een verwerking van persoonsgegevens aangemeld worden. Echter, mijn ervaring is dat de aanmeldingen bij het CBP slecht opvraagbaar zijn. Hierdoor lijkt dat er geen melding is gedaan, maar er welk degelijk is. Dit kan komen door vertraging in de verwerking, dan wel een andere juridische entiteit. Ook kan het zijn dat het reeds onder een andere melding valt.

    Een melding is aan de andere kant niet nodig als de gegevens niet verwerkt worden. Kort gezegd als het niet vastgehouden, gebruikt (etc) wordt. Tot op heden zijn de gegevens niet gebruikt. Ik kan niet met zekerheid stellen of de gegevens echt zijn vastgehouden (de hack ging over iets anders). Als het wel vastgehouden wordt, dan moet inderdaad melding zijn gedaan.

    2. en 3. Klopt helemaal dat de ouders toestemming moeten geven en dat het eerder gemeld moet worden. Echter als de gegevens niet verwerkt worden, dan hoeft de toestemming niet gevraagd worden. Voor het toesturen hoeft geen toestemming gevraagd worden, alleen natuurlijk weer als het betreffende vriendje het wil invullen.

    Volgens mij is de conclusie dan eenvoudig: of de gegevens van de kinderen worden niet vastgehouden en is de privacy dus gewaarborgd of als het wel vastgehouden wordt, dan heb je helemaal gelijk. Het advies in ieder geval aan het NTR is om niets met de gegevens te doen en als het onverhoopt wel vastgehouden is, onmiddellijk te vernietigen.

    Wat betreft de hack: dit gaat om iets anders. Natuurlijk een zeer kwalijke zaak. Men heeft de verplichting tot goede beveiliging, maar het staat los van bovenstaande discussie.

    Serge


    22 november 2011 om 10:50
    ArnoudEngelfriet

    @SergeFerraro: hoezo worden ze niet verwerkt? Ze worden verzonden naar jullie server en die slaat ze op. Juridisch is dát al ‘verwerken’. Dat je er niets mee doet in de commerciële betekenis van het woord, is een ander verhaal.


    22 november 2011 om 12:00
    SergeFerraro

    Hi Arnoud,

    wij werken niet samen met NTR of Sinterklaasjournaal, dus wij hebben niets met deze casus te maken. Even voor de zekerheid, anders komen er onduidelijkheden in de wereld.

    Ik weet niet of de servers de informatie daadwerkelijk vasthouden. Als dat het geval is, heb je natuurlijk helemaal gelijk. Ik vergelijk het hierbij met bv tell a friend: via server wordt de informatie doorgestuurd, maar niet vastgehouden. In dat kader is er volgens mij geen sprake van verwerking.

    Serge


    22 november 2011 om 12:06
    SergeFerraro

    Hoi Robert,

    ik heb niet beweerd dat als de gegevens niet gebruikt worden er geen sprake is van verzamelen. Dit is zoals je zelf stelt ook het geval. Het enige wat ik me afvraag is of de gegevens wel sprake is van verzamelen. Als de gegevens niet opgeslagen worden, dan zal er geen sprake zijn van van verzamelen. OP het moment dat ik deze blog schreef was het mij niet ondubbelzinnig duidelijk dat dat het geval was. De schijn hadden ze wel tegen. Persoonlijk zou ik deze werkwijze ook niet hebben geadviseerd. Gezien de reacties vandaag lijkt het inderdaad erop dat de gegevens verzameld zijn en dus de WBP van toepassing is.

    Ik wilde vooral aangeven dat om te bepalen of de WBP van toepassing is, eerst bepaald moest worden of er wel sprake is van een verzameling.

    Wat betreft de TAF: er mag zonder dat er iets tegenover wordt gesteld een mail uit naam van de verzender een mail worden verstuurd. Dit emailadres mag niet worden vastgehouden. Pas als het vriendje zich inschrijft, dan kan er sprake zijn van verzamelen en gelden de toestemmingsvereisten (waaronder toestemming door de ouder).

    Serge


    22 november 2011 om 18:02
    Henk Boeke

    Nee dus. Zie de reactie van Arnoud Engelfriet.


    22 november 2011 om 19:03
    Gyurka Jansen

    Serge,

    Misschien een rare vraag maar waarom ga je er zonder meer van uit dat de gegevens niet worden opgeslagen? Zie je dan niet dat het in ieder geval moreel erg fout is? Je werkt zelf voor Cendris, dan moet je ook weten dat er in “de industrie” soms nog te snel en gemakkelijk acties worden opgezet die -veelal niet met opzet- regels overtreden. Het zij je vergeven dat je van de NTR beter verwacht, maar ik vind het wel wat raar dat je er bij een dergelijke oproep van uit gaat.

    “Om het echt te laten lijken”, waarom wordt er dan niet gewoon om de naam gevraagd? Volgens Ouders Online (en jij zelf ook) was er sowieso sprake van een “opt-out” zinnetje, dat wijst toch al richting opslag en verwerking?

    In ieder geval heeft de NTR inmiddels duidelijkheid geboden: “Aangezien de Pieten de afgelopen dagen het boek kwijt raakten, neemt Hoofdpiet vanavond zelf contact op met alle mensen die zich via sinterklaasjournaal.nl hebben ingeschreven.”

    Wel opslag. Dus.

    Paniek is inderdaad niet nodig, maar fout was het wel.


    23 november 2011 om 07:27
    Gyurka Jansen

    Wat betreft tell-a-friend, ik weet niet direct hoe dat zit met minderjarigen. Het klopt idd wat Serge zegt over “als er niets tegenover staat”. Maar in ieder geval moet je sinds enige tijd óók precies zien welk bericht er uit jouw naar wordt gestuurd, zo ver ik weet. Dat is dus nog een extra voorwaarde, ter aanvulling.

    Zie ook het blog van Arnoud.


    23 november 2011 om 07:32
    SergeFerraro

    @Gyurka,

    zeker geen rare vraag. Ik ben er niet zonder meer vanuit gegaan dat de gegevens niet worden opgeslagen. Ik wilde alleen een tegengeluid laten horen, dat het wellicht ook anders zou kunnen zijn. OP het moment dat de discussie loskwam, was het wat mij betreft niet ondubbelzinnig duidelijk dat de gegevens ook opgeslagen waren. Ik zag ook niet dat er navraag gedaan was.

    In het algemeen merk ik dat rondom gebruik van persoonsgegevens dat er snel wordt geconcludeerd zonder dat de feiten helemaal kloppen. Het ging mij dus vooral om te triggeren om alle punten mee te nemen. En met een knipoog naar Sinterklaas is de discussie makkelijker te voeren.

    Je hebt ook helemaal gelijk dat ik geregeld zie dat marketeers, ongewild, juist te makkelijk zijn in het verzamelen/opslaan van persoonsgegevens. Daarbij vind ik het ook belangrijk dat hier tegen wordt geageerd. Juist bij zoiets gevoeligs als persoonsgegevens.

    Inmiddels is door de reactie van het NTR het zonder meer duidelijk dat de gegevens zijn verzameld en ze dus zoals oudersonline al aangaf onrechtmatig zijn verwerkt. De NTR was dus in overtreding.

    Een klein uurtje geleden kregen mijn kinderen het volgende emailtje:

    Hoi ****,

    Het Grote Boek van Sinterklaas is kwijt! Daarom zoekt de Hoofdpiet contact met jou!

    Klik hier om meteen contact met hem op te nemen.

    Groetjes,

    Het Sinterklaasjournaal

    N.B: Alle persoonlijke gegevens die u of uw kind heeft achtergelaten om in het Grote Boek te komen worden na deze actie verwijderd. Vanaf dit moment zal er niets meer met deze gegevens gedaan worden.

    —-

    Persoonlijk vind ik dit dan weer zeer onverstandig van de NTR. Tot op heden waren in ieder geval de gegevens niet gebruikt, nu gaan ze toch willens en wetens de gegevens gebruiken. Ook al gaat het om aan te geven dat de gegevens vernietigd worden, zou ik dit kanaal niet meer gebruikt hebben. Ze hadden het beter in het Sinterklaasjournaal kunnen vermelden.

    Daarnaast klopte (bij ons) de gepersonaliseerde link niet goed. We kregen de naam en achternaam van iemand anders. Juridisch alles behalve handig, en ook vanuit marketingperspectief slordig.

    Serge


    23 november 2011 om 08:33
    Robert

    @Serge

    Ah, op die fiets. Maar het lijkt mij dat zelfs het laten invullen van een emailadres zonder het op te slaan al onder de omschrijving van verwerken van persoonsgegevens in het wetboek valt.

    over tell-a-friend:

    Ik wees er alleen even op dat tell-a-friend volgens de telecommunicatiewet echt niet zomaar mag.

    Jij stelt: “Voor het toesturen hoeft geen toestemming gevraagd worden” en “er mag zonder dat er iets tegenover wordt gesteld een mail uit naam van de verzender een mail worden verstuurd”.

    Maar voor tell-a-friend/toesturen/doorsturen zonder toestemming wordt alleen een uitzondering gemaakt als er aan vier specifieke eisen wordt voldaan. Voldoe je niet volledig aan alle vier de gestelde eisen dan geldt de uitzondering niet en overtreed je het spamverbod als je geen toestemming hebt.


    23 november 2011 om 11:38

Marketingfacts. Elke dag vers. Mis niks!