COMMISSIE VAN DE E UROPESE GEMEENSCHAPPEN Ongevraagde c omme rc iële c ommu nic atie en gegevensbe sc herming Samenvatting van de conclusies van het onderzoek(∗ ) - januari 2001 Serge Gauthronet & Étienne Drouard
Meer dan vijf jaar geleden hebben het Europees Parlement en de Raad belangrijke richtlijnen goedgekeurd die erop gericht zijn een hoog beschermingsniveau te waarborgen van de persoonlijke levenssfeer in verband met het elektronisch verwerken van persoonsgegevens. Het betreft hier Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens en Richtlijn 97/66/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de telecommunicatiesector. Nu de omzetting van de bepalingen van deze richtlijnen in de nationale wetgeving van de lidstaten van de Europese Unie bijna is voltooid, worden wij in onze moderne samenlevingen geconfronteerd met steeds zorgwekkender problemen die samenhangen met de groei van internet en elektronische handel: het ongeoorloofd verzamelen van persoonsgegevens, de opbouw van omvangrijke bestanden met persoonsprofielen, ongecontroleerde handel in gegevens, massale elektronische verspreiding van reclameberichten, een toename van malafide praktijken en ernstige aantasting van de persoonlijke levenssfeer. De Commissie houdt zich al verscheidene jaren met deze problemen bezig en heeft daarbij in het bijzonder aandacht geschonken aan het verschijnsel 'spamming', ongevraagde commerciële communicatie. De Commissie heeft Serge Gauthronet en Etienne Drouard, consultants van het bureau ARETE, opdracht gegeven dit onderwerp te onderzoeken en duidelijk in kaart te brengen. Het onderzoek was gericht op twee aspecten: er is gekeken naar de bedrijfstak en naar de juridische dimensie. Wat betreft de bedrijfstak is geanalyseerd op welke manier ongevraagde communicatie zich manifesteert, hoe de branche zich de afgelopen jaren heeft ontwikkeld, wat er op technologisch gebied wordt aangeboden en welke praktijken voorkomen. Om over relevante gegevens te kunnen beschikken is dit deel van het onderzoek in de Verenigde Staten uitgevoerd. Gebleken is dat de Amerikaanse maatschappij, onder druk van de internetgemeenschap, geleidelijk middelen heeft gevonden om de enorme hoeveelheid reclame in de elektronische postbussen van internetgebruikers terug te dringen. Ook zien we in de Verenigde Staten de opmars van nieuwe, op consensus en toestemming berustende emailmarketingstrategieën, die door enkele toonaangevende bedrijven over de hele wereld ontwikkeld zijn. Deze marketingvormen, die duidelijk minder inbreuk op de privacy maken, verleggen het probleem van bescherming van de persoonlijke ∗) DG Interne markt – Contractnr. ETD/99/B5-3000/E/96
levenssfeer, zonder hiervoor een volledig bevredigende oplossing aan te dragen. In het juridische deel van het onderzoek is gekeken naar het juridische kader van weten regelgeving, bestuursrecht, rechtspraak, rechtsleer en ethiek waarin ongevraagde elektronische marketing zich in de lidstaten van de Europese Unie, binnen het bestaande Gemeenschapsrecht, ontwikkelt of zal ontwikkelen. Daarnaast geeft het inzicht in de overeenkomsten en verschillen die er op nationaal niveau bestaan in aanpak, zowel van overheidswege als op het particuliere vlak, van deze vorm van reclame. Op basis van deze analyses worden overwegingen geformuleerd en aanbevelingen gedaan over het juridische kader dat de beste voorwaarden schept om de rechtszekerheid van Europese ondernemers in de elektronische handel te waarborgen en de in E uropa erkende rechten van internetgebruikers te beschermen.
I) –Bedrijfstakstudie: e-mailmarketing en spamming - algemene situatie, werkwijzen en dienstenaanbod De uitkomsten van de studie kunnen worden samengevat in zes hoofdpunten, die het economische kader van e-mailmarketing, de geschiedenis ervan en de huidige werkwijzen van de marktdeelnemers uiteenzetten, evenals de technologische ontwikkeling en de nieuwe werkwijzen op basis van 'permission based'-marketing. I.1) – Interactieve marketing vindt in internet een groeiterrein bij uitstek. Dit blijkt duidelijk uit de verschuivingen van de investeringen van adverteerders in de Verenigde Staten. Nu al maken de uitgaven aan direct marketing in de Verenigde Staten 50% uit van het totale budget dat door adverteerders aan commerciële communicatie wordt uitgegeven. Er zijn drie hoofdredenen die de groeiende populariteit van internet verklaren: •
De kosten van reclamecampagnes op internet vallen in het niet vergeleken bij die via de traditionele media. Zo komt de gemiddelde prijs van een emailmarketingcampagne in de Verenigde Staten uit op circa USD 0,10 per verzonden bericht, terwijl de kosten van een mailing per post tussen de USD 0,50 en USD 1,00 per verzonden exemplaar liggen.
•
De slaagpercentages van marketing via e-mail liggen tussen de 5% en 15%, terwijl die van gebruikelijke mailings per post tussen de 0,5% en 2% liggen.
•
De effectiviteit van marketing per e-mail verschilt aanzienlijk van die van advertentiebanners. Terwijl e-mailmarketing een 'doorklikpercentage' (1) van zo'n 18% genereert, daalt dit percentage bij banners al enige tijd en komt het volgens Forrester Research niet boven 0,65%. Andere bronnen, zoals Nielsen Netratings (maart 2000) spreken zelfs van een daling van 2,5% in het midden van de jaren 90 tot 0,36% in maart 2000.
1) 'Doorklikken': de handeling van een internetgebruiker die op een hyperlink klikt en zo direct op de website van de adverteerder en diens commerciële aanbod terechtkomt. Het plaatsen van een order wordt een 'click order' genoemd.
2
Het is dus zeer aannemelijk dat we de komende jaren te maken krijgen met een steeds grotere verschuiving van investeringen naar direct marketing op internet en dan met name naar e-mailmarketing. I.2) – Spamming is een kinderziekte van e-mailmarketing. Spamming, zoals dat zich in het midden van de jaren negentig voornamelijk in de Verenigde Staten heeft voorgedaan, is inmiddels op zijn retour. Een blik op de dive rse zwarte lijsten met namen van spammers die on line te raadplegen zijn, is voldoende om vast te stellen dat dit verschijnsel tussen 1995 en 1998 zijn hoogtepunt heeft gekend. Sinds een jaar of twee worden deze lijsten gestaag korter. Er zijn vier factoren die deze recente ontwikkeling in gang hebben gezet: •
1. Maatregelen van Internet Service Providers. Providers hebben greep gekregen op het dataverkeer via mail- en nieuwsservers en hebben tegenwoordig de beschikking over middelen om snel te kunnen reageren, zoals het MAPS-RBLsysteem voor internet (Mail Abuse Prevention System en Realtime Blackhole List)( 2) en UDP voor Usenet (Usenet Death Penalty).
•
2. Regelgeving van de Amerikaanse overheden(3). Hoewel deze zeker niet afdoende zijn, kunnen spammers op grond ervan tot hoge boetes worden veroordeeld. De gemiddelde boete bedraagt USD 10,00 per 'bulkmail', met een maximum van USD 25 000,00 per dag. Omdat de marktspelers kleine bedrijven zijn met beperkte financiële middelen kan worden aangenomen dat dit een redelijk a fschrikwekkend en in sommige gevallen zelfs afdoend middel is.
2) Het overgrote deel van de providers maakt tegenwoordig meedogenloos jacht op spammers en heeft zich met dit doel onder andere georganiseerd in een netwerk van vrijwillige beheerders, genaamd The Mail Abuse Prevention System (MAPS–Redwood City, Californië-USA), dat verantwoordelijk is voor een zwarte lijst, genaamd de Realtime Blackhole List (RBL). Deze lijst is een middel voor massale boycots waarmee providers die duizenden routers en mailservers onder hun beheer hebben, elkaar op de hoogte houden van spammingbombardementen en waarmee ze de IPadressen en domeinnamen die voor het versturen van ongevraagde commerciële boodschappen verantwoordelijk zijn, kunnen afsluiten. Iedere spammer wiens account is afgesloten, wordt aan de zwarte lijst toegevoegd, zodat de overige providers die een abonnement op de RBL hebben - dat zijn er wereldwijd 2000, ongeveer een derde van de markt - en die door de spammer benaderd zouden kunnen worden, onmiddellijk op de hoogte zijn van de werkelijke aard van diens activiteiten en hem vervolgens als klant kunnen weigeren. Naast deze vrij traditionele manier van rapporteren is het MAPS-systeem tevens een filter dat met behulp van algoritmen automatisch de berichten kan blokkeren die van een geïdentificeerde spammer afkomstig zijn, en tevens die van de provider bij wie hij een abonnement heeft, en die dus niet voldoet aan zijn verplichting om met het oog op de collectieve internetbelangen vervuiling tegen te gaan. 3) Vooruitlopend op federale regelgeving zijn er in een twintigtal Amerikaanse staten wetteksten voor het aan banden leggen van spamming geformuleerd die het afgelopen jaar zijn goedgekeurd of waarvan de goedkeuringsprocedure nu loopt. Sommige hiervan hebben tevens betrekking op commerciële communicatie per fax. Op basis ervan zijn reeds gerechtelijke stappen tegen spammers ondernomen. Tot de belangrijkste bepalingen van deze wetteksten behoren de verplichting tot het bieden van een 'opt-out'-mogelijkheid (opt-out wil zeggen dat de ontvanger zelf te kennen moet geven dat hij van de mailinglijst verwijderd wil worden), en de verplichting om een verzoek van een internetgebruiker om van de lijst te worden verwijderd, in te willigen. Tevens bevatten ze een verbod op het gebruik van een vals adres en van misleidende berichthoofden of onderwerpen, allebei kenmerken van spamming. Enkele wetten stellen het gebruik van de aanduiding ('label') 'ADV' in de koptekst verplicht om aan te geven dat er sprake is van een reclameboodschap of van 'ADLT' in geval van een advertentie voor een site die bestemd is voor volwassenen. Een derde van de wetteksten definieert spamming als het versturen van berichten aan internetgebruikers zonder dat zij hier vooraf uitdrukkelijk om hebben verzocht.
3
•
3. Maatregelen van beroepsorganisaties en brancheverenigingen. Met name de AIM, een zelfstandige dochterorganisatie van de zeer invloedrijke DMA, toont zich op basis van zeer praktijkgerichte onderzoeken ondubbelzinnig een fel tegenstander van spamming. Uit het werk van deze organisatie komt heel duidelijk het verschil in effectiviteit naar voren tussen UCE (Unsollicited Commercial E-mail) en e-mailmarketingactiviteiten die berusten op een reeds bestaande commerciële relatie. De AIM heeft dit jaar een pakket heel duidelijke richtlijnen goedgekeurd waarin de welbekende praktijken van spammers worden veroordeeld. De DMA, die minder ver gevorderd is, werkt met een lijst van namen van consumenten die hebben aangegeven dat ze geen e-mailreclame wensen te ontvangen (e-MPS - Electronic Mail Preference Service)( 4).
•
4. De tegencultuur van e-marketing. Deze gaat, als reactie op de massareclame die tot oververzadiging en verwarring van het publiek leidt, steeds meer uit van de principes van 'permission marketing'. 'Permission marketing' wil zeggen dat er met de consumenten wordt gecommuniceerd op basis van vrijwilligheid, waarbij geleidelijk een belangenrelatie en uiteindelijk een vertrouwensrelatie wordt opgebouwd. Hoe groter het vertrouwen, hoe meer de consument - onder invloed van subtiel op zijn behoeften afgestemde toezeggingen, die uiteraard moeten worden nagekomen ('incentive marketing') wordt gemotiveerd steeds verdergaande toestemming te geven: toestemming om meer gegevens te verzamelen over zijn le vensstijl, zijn hobby's en interesses; toestemming om over nieuwe soorten producten of diensten geïnformeerd te worden en om spaarpunten voor geschenken of miles, een monster of een tijdelijk abonnement te ontvangen. Zo wordt een anonieme persoon naarmate de relatie wordt opgebouwd een persoon met wie het bedrijf contact onderhoudt, een potentiële klant, vervolgens een klant en uiteindelijk een trouwe klant. Het opbouwen van een dergelijke relatie kost tijd en vereist veelvuldig contact, zo mogelijk tegen aanvaardbare kosten. Internet is het medium bij uitstek voor deze interactiviteit en geleidelijke opbouw, en een gunstiger manier van toeste mming verkrijgen dan door bewuste inschrijving op een 'opt-in'-lijst, is nauwelijks denkbaar. De verzendkosten zijn uitermate gering, de resultaten van testcampagnes zijn vrijwel direct beschikbaar, het responspercentage is vijftien keer hoger dan bij traditionele campagnes. Bovendien kan een continue relatie met de potentiële klanten worden onderhouden zonder dat dit een al te zware last op het communicatiebudget van de adverteerder of van de afdeling
4) Het e-MPS-systeem is een gratis dienst die elke internetgebruiker de mogelijkheid biedt zijn emailadres op een lijst te plaatsen, onder vermelding van de soort berichten waarvoor men de 'opt-out' wenst te gebruiken (business-to-consumer, business-to-business of beide). Direct-marketingbedrijven van hun kant hebben de mogelijkheid hun lijst met e-mailadressen aan de hand van het e-MPSsysteem te laten opschonen (d.w.z. de adressen van de e-MPS-lijst te laten verwijderen uit hun verzendlijsten); de kosten hiervan bedragen USD 100,00 voor organisaties die niet bij de DMA zijn aangesloten. Dit opschonen kan on line en neemt niet langer dan enkele uren in beslag. Actieve tegenstanders van spam in Amerika, met name vertegenwoordigers van de MAPS, Junkbusters Corp. en de CAUCE, hebben fel geprotesteerd tegen het opstellen van de lijst en sommige DMA-leden hebben zich gedistantieerd van de standpunten van hun brancheorganisatie. Er is op diverse punten kritiek geuit op de lijst; het is inderdaad betreurenswaardig dat de DMA het e-MPS-systeem niet toegankelijk heeft gemaakt voor providers die gebruik wensen te maken van een algehele 'opt-out' van al hun domeinnamen en abonnees. De DMA stelt zich op het standpunt dat het systeem op basis van individuele verzoeken tot uitschrijving dient te functioneren.
4
klantenrelaties legt, mits men het proces voldoende kan automatiseren. En drukkosten zijn er niet. Dit alles is buitengewoon verhelderend uiteengezet door Seth Godin, vice-president van Yahoo. 'Permission marketing' wint steeds meer marketeers en handelaren op internet voor zich. Zij zien in hoe effectief het nieuwe concept is van marketingcampagnes die gericht zijn op doelgroepen die hiermee bewust hebben ingestemd. 'Opt-in-e-mailmarketing' is vandaag het toverwoord in de Verenigde Staten. II.3) – Spamming komt helaas nog steeds voor en dankt zijn bestaan aan producten - 'spamware' - of diensten die in de meeste de gevallen door kleine bedrijven worden aangeboden. Er zijn twee soorten 'spamware' te onderscheiden. Naast de zogenaamde 'pullinstrumenten', die adressen verzamelen, bestaan er de 'pushinstrumenten', die massaal berichten versturen. De softwarepakketten voor het verzamelen van adressen zijn relatief eenvoudig te gebruiken. Ze werken op basis van geautomatiseerde navigatie over websites en algemeen toegankelijke pagina's van Usenet via vooraf gespecificeerde internetadressen of in zoekmachines ingevoerde trefwoorden die een lijst met relevante adressen opleveren. De software verzamelt vervolgens systematisch alle e-mailadressen die op de webpagina's van deze sites of in discussiegroepen worden aangetroffen. De ontwikkelaars van deze programma's claimen allemaal dat hun producten 'spam-traps' weten te omzeilen. 'Pushinstrumenten' zijn programma's waarmee massaal berichten kunnen worden verstuurd zonder gebruik te maken van een mailserver van een provider. Deze producten, die algemeen verkrijgbaar zijn, zorgen ervoor dat de computer waarop ze geïnstalleerd zijn als een echte mailserver functioneert, en de spammer loopt daarbij in principe niet het risico dat zijn internetprovider problemen maakt omdat hij overbelasting van de lijnen veroorzaakt. Deze programma's zijn in zekere mate in staat door de 'anti-spam'-filters van mailservers te breken en kunnen berichthoofden vervalsen. Het is nogal paradoxaal dat dergelijke producten tegenwoordig vrij verkrijgbaar zijn en verkocht worden door naar het schijnt officiële dealers, terwijl een deel van hun functies gericht is op misbruik van internet dat in een toenemend aantal Amerikaanse staten is verboden. Het aanbod aan diensten is grofweg in twee categorieën in te delen: 'campagne hosting', ook 'hostspamming' te noemen, en 'listbroking'. De 'hosts' leveren een complete dienstverlening voor het opzetten van spammingcampagnes. Diverse kleine bedrijven bieden deze diensten openlijk aan op internet. Hun tarieven variëren van USD 5,00 per 1000 voor een mailing tot USD 20,00 per 1000 wanneer de klant tevens over de adressen wil beschikken. Een aantal van hen heeft zich gespecialiseerd in 'bulletproof' dienstverlening, dat wil zeggen dat ze in principe in staat zijn de acties van providers tegen 'spam' te omzeilen. Het aantal 'listbrokers' is vrij groot. Verscheidene bedrijven bieden een lidmaatschap aan met drie soorten abonnementen op adreslijsten: 300 000 adressen per week voor USD 19,95 per maand, 500 000 adressen per week voor USD 29,95 per maand en 1 000 000 adressen per week voor USD 39,95 per maand. Daarnaast worden er adressen aangeboden die on line gekocht en direct gedownload kunnen worden. De prijzen hiervan variëren van USD 19,95 voor 300 000 interne tadressen tot bijvoorbeeld USD 49,95 voor 1 000 000 internetadressen of USD 99,95 voor 4 000 000 AOLadressen. Het aanbod van e-mailadreslijsten is dermate groot dat er onvermijdelijk vraagtekens moeten worden geplaatst bij de kwaliteit en de bruikbaarheid ervan, en
5
het is uiterst twijfelachtig of de adressen wel zijn verzameld met toestemming van de betrokkenen. Doelgroeplijsten worden in de meeste gevallen op een vrij vage manier aangeduid. De meest gangbare selectiecriteria zijn land, staat, woonplaats, geslacht, interesses, beroep en branche. De interesses zijn opgesplitst in een vijftigtal gangbare subgroepen die doen denken aan de structuur van onderwerpen op Usenet. Spammers die volharden in hun praktijken en op dezelfde bedenkelijke weg doorgaan en zich daarbij de afkeuring van de internetgemeenschap op de hals halen, zijn niets beter dan amateurs of opportunisten die proberen op internet hun slechte ideeën aan de man te brengen. Verschillende recente gevallen van spamming zijn nader onderzocht en de weinige gevallen ervan in Europa tonen aan dat dit het werk is van weinig scrup uleuze personen, die zich vaak niets gelegen laten liggen aan rechterlijke bevelen, maar die ontegenzeggelijk het risico lopen te worden veroordeeld tot het betalen van zeer hoge schadevergoedingen. Hoewel deze aanpak vanuit het gezichtspunt van het recht op bescherming van persoonsgegevens niet bevredigend is, kan deze niettemin effectief zijn en helpen op korte termijn definitief een einde te maken aan dit verschijnsel. I.4) – De echte, meest actieve markt, waar het meest op het spel staat, is de markt van e-mailmarketing. Op deze markt claimt tegenwoordig iedere aanbieder dat hij de privacygedragsregels strikt naleeft en werkt met lijsten van potentiële klanten die hiermee volledig hebben ingestemd. E-mailmarketing consolideert zich op een veel krachtiger model op financieel en technologisch vlak. Het belang van het op een eerlijke manier verkrijgen van gegevens en een op vrijwilligheid en instemming gebaseerde relatie tussen de adverteerder en zijn potentiële klanten komen centraal te staan. De bedrijven die volgens deze principes werken, in de meeste gevallen starters, zijn bezig interne tmarketing voor de komende jaren vorm te geven. Het is zeker de moeite waard stil te staan bij hun aanpak om de persoonlijke levenssfeer te beschermen op basis van 'opt-in'-e-maillijsten. Er zijn momenteel zo'n vijftig dienstverlenende bedrijven, waarvan sommige van buiten Europa afkomstig zijn en zich hebben gevestigd in Europa, waar zij een belangrijk deel van de markt van direct marketing per e-mail in handen hebben. Onder hen zijn 24/7 Media, NetCreations Inc., YesMail.com, Exactis.com Inc., MessageMedia, BulletMail, Axciom, evenals enkele ondernemingen die zich met 'incentive marketing' bezighouden, zoals MyPoints, Netcentives, Beenz, CyberGold, ClickRewards, Freeride. Portaalsites als bijvoorbeeld www.xoom.com weten zich een positie op de markt te verwerven dankzij hun bestanden met vele tientallen miljoenen abonnees die regelmatig per e-mail op hun behoeften en interesses afgestemde aanbiedingen ontvangen voor on line te bestellen producten. Ook bedrijven in 'webvertising' als DoubleClick of Flycast ontwikkelen inmiddels een aanbod op het gebied van e-mailmarketing. Veel van deze bedrijven staan genoteerd aan de Nasdaq en hebben alle kenmerken van de interneteconomie: hun activiteiten zijn volop in ontwikkeling, hebben een hoge beurswaarde en zijn onvoldoende rendabel. Het merendeel groeit door middel van het overnemen van bedrijven in dezelfde branche. Hoewel hun visie verschilt, hebben ze gemeenschappelijk dat ze op het professionele vlak dezelfde waarden delen en de principes van 'permission basedmarketing' en 'opt-in'-e-mail aanhangen.
6
Deze e-mailmarketingbedrijven ontwikkelen een zeer breed spectrum aan activiteiten, zoals het verwerven van persoonsgegevens, het administreren en beheren van gemeenschappelijke databases, listbroking, het opzetten van emailmarketingcampagnes, pushactiviteiten, CRM (Customer Relationship Management)( 5), follow-up, rapportage, facturering van campagnes en betaling van sites die potentiële klanten verzamelen. De methode om met toestemming gegevens te verkrijgen, bestaat erin dat op een netwerk van 100 tot 200 drukbezochte sites formulieren geplaatst worden die de bezoekers kunnen invullen om een nieuwsbrief te ontvangen, mee te doen aan een wedstrijd, een programma of een bepaalde promotieactie of om commerciële aanbiedingen te ontvangen die zijn afgestemd op de door henzelf aangegeven interessegebieden. Gegronde redenen om het expliciet verkrijgen van persoonsgegevens via een website te rechtvaardigen. De bedrijven krijgen de beschikking over de gegevens die op het formulier( 6) zijn ingevuld. Hiermee worden bestanden met 15 tot 20 miljoen e-mailadressen opgebouwd. Daarvan zal ongeveer een kwart afkomstig zijn van Europese internetgebruikers. Op deze methode bestaat een aantal varianten die verschillen wat betreft de eerlijkheid: van vooraf aangevinkte vakjes(7) tot het andere uiterste: de bezoeker om een dubbele 'opt-in' verzoeken, dat wil zeggen dat ter bevestiging van de inschrijving een automatisch bericht naar zijn elektronische postbus wordt gestuurd( 8). 5) Het gaat hier om front- en middle-officeactiviteiten waarbij voor de adverterende klant wordt gewerkt aan een één-tot-één relatie per e-mail met diens potentiële klanten ten einde hen aan te moedigen tot het kopen van producten. Hierbij wordt het gegevensbestand aangevuld met extra persoonsgegevens, worden de vertrouwensrelatie en de klantenbinding versterkt, worden aanvragen tot in- of uitschrijving verwerkt, leveringsproblemen behandeld, vragen van gebruikers en klachten afgehandeld, bevestigingsberichten verzonden en e-mailadreswijzigingen verwerkt. Deze activiteiten steunen op speciale, zogenaamde CRM- of ERM-software (ERM staat voor E-mail Relationship Management). 6) Er zijn in hoofdzaak twee modellen van dataverkeer te onderscheiden; periodieke overdracht in batches, die dan in de gemeenschappelijke database worden geïntegreerd, en directe (real time) overdracht. Enkele bedrijven die actief zijn in de e-mailmarketing kunnen ook het volledige beheer van de 'opt-in'-formulieren voor hun klanten verzorgen ('hosting'). 7) Het is gebleken dat enkele 'permission marketing'-programma's gebruik maken van vooraf aangevinkte vakjes. Dit is bijvoorbeeld het geval bij de inschrijfformulieren die op de sites van BigFoot, Dreamlife of Theglobe.com te vinden zijn. De 'opt-in'-formulieren op deze drie sites worden samen met 24/7 Media beheerd. De gedachte dringt zich op dat deze handelwijze nauwelijks in overeenstemming is met het idee achter 'permission marketing', omdat niet de zekerheid bestaat dat de klant werkelijk heeft toegestemd. Het is namelijk heel goed mogelijk dat deze de betreffende regel heeft overgeslagen zonder hem te hebben gelezen. Hierdoor bestaat het gevaar dat de ontvanger de toegestuurde commerciële boodschappen als spam beschouwt, omdat hij ervan overtuigd is dat hij deze nooit heeft aangevraagd. 8) De dubbele 'opt-in' vervult een voorbeeldfunctie ten aanzien van de kwaliteit van de verkregen toestemming en de transparantie van het proces. Wanneer een internetgebruiker zich bijvoorbeeld abonneert op een nieuwsbrief van de CNET-groep, krijgt hij via een 'pop-up-venster' een reeks aan te vinken vakjes aangeboden die corresponderen met onderwerpen waarvoor hij toestemming verleent commerciële aanbiedingen te ontvangen. Onderaan deze lijst staat een koppeling waarmee naar een pagina van de CNET-site over de 'privacy policy' geklikt kan worden. Dit privacybeleid is zeer volledig en bevat een waarschuwing betreffende de inschrijving voor een nieuwsbrief, die er heel expliciet de aandacht op vestigt dat er een derde onderneming in het spel is - in dit geval de e-marketingdienstverlener Netcreations - die de gegevens verzamelt. Nadat de bezoeker het formulier heeft ingevuld en de onderwerpen heeft aangegeven waarover hij geïnformeerd wenst te worden, bevestigt hij zijn inschrijving. Dit is zijn eerste 'opt-in'-handeling. Onmiddellijk daarna ontvangt hij een bevestigingsbericht van Netcreations dat tot doel heeft zeker te stellen dat de inschrijving door de
7
Al deze systemen en boodschappen bevatten uiteraard 'opt-out'-links, die de internetgebruiker in staat stellen zich gemakkelijk van de inschrijflijsten te laten verwijderen. Er zijn bedrijven die per dag verscheidene 'opt-out'-verzoeken ontvangen en vragen krijgen van mensen die willen weten waar, dat wil zeggen op welke site, en wanneer hun 'opt-in' is geregistreerd. Sommigen willen het precieze karakter en de omvang weten van de persoonsgegevens die in de databanken zijn opgenomen. Om deze vragen te kunnen beantwoorden brengt een aantal emailmarketingbedrijven de klantrelatie in kaart, met name de informatie die uitwijst in welke context de 'opt-in' heeft plaatsgevo nden. De adressen worden verhandeld via 'listbroking' of 'campagne hosting' (ESB: E-mail Service Bureau). Over het algemeen omhelst een standaarddienstverlening op basis van gemeenschappelijke bestanden vijf acties: het lokaliseren van de eigenlijke adressen, het programmeren van een link in het bericht naar de site van de adverteerder, het verzenden van de berichten, het registreren van het aantal ontvangers dat doorklikt naar de site en het rapporteren over de resultaten van de campagne. Het tarief wordt berekend per 1000 bereikte personen (CPM), zoals ook reclamebureaus doen. De basisprijs voor professionele e-mailmarketing bedraagt USD 200,00 per 1000, oftewel USD 0,20 per e-mailbericht. Deze standaardprijs is exclusief de kosten van selectiecriteria, zoals die per domeinnaam en geografisch gebied, demografische kenmerken (geslacht, leeftijdsklasse, huwelijkse staat, aantal kinderen), inkomen, functie in een bedrijf, opleidingsniveau of interesses. De mogelijkheden van het maken van een selectie op basis van interesses lijken tot in het oneindige verder te kunnen worden verfijnd, maar uiteindelijk is de detaillering van de informatie die uit de formulieren wordt verkregen, bepalend. Uit het oogpunt van bescherming van gegevens liggen bepaalde kwalificatiecriteria zeer gevoelig, bijvoorbeeld wanneer hierdoor etnische of religieuze groepen, rokers, diabetici of kankerpatiënten kunnen worden geselecteerd, zelfs indien de betrokken gegevens met hun instemming zijn verkregen. De lijsten met e-mailadressen leveren eveneens zeer waardevolle informatie over het gedrag van internetgebruikers; vooral ten aanzien van hun on-lineaankopen in de voorafgaande periode (1, 3, 6 of 12 maanden). In veel gevallen is er geen sprake van direct verkregen informatie, maar informatie die indirect verkregen is via commerciële partners van het emailmarketingbedrijf waarbij de potentiële klanten aankopen hebben gedaan. Voor elke specifieke selectie op deze aanvullende gegevens, waarmee de doelgroep beter kan worden afgebakend, wordt een meerprijs per duizend in rekening gebracht. Hoe gedetailleerder de gevraagde selectie, hoe hoger de prijs. De meest gevraagde en duurste selectie betreft het criterium van de geneigdheid van internetgebruikers om on line aankopen te doen.
persoon zelf is gedaan en niet door iemand anders in zijn naam. Deze bevestiging heeft drie belangrijke kenmerken. Allereerst wordt de ontvanger hierin opnieuw herinnerd aan het bestaan en de naam van een derde partij die betrokken is bij de site waar hij zich voor een nieuwsbrief inschrijft. Dit is een niet te verwaarlozen gegeven voor het geval de gebruiker niet op de link naar het privacybeleid heeft geklikt. Verder vermeldt het bericht nog eens in het kort de nieuwsbrieven en de exacte verzendlijst met commerciële informatie waarvoor de bezoeker zich heeft ingeschreven. Tenslotte kan er geen enkele communicatie tot stand komen zolang de e-mailbevestiging niet door de ontvanger is teruggezonden. In feite moet de internetgebruiker een soort van contractuele overeenkomst met de site sluiten. Zodra de site de bevestiging van de inschrijving heeft teruggekregen, krijgt de abonnee automatisch een laatste e-mail om hem welkom te heten.
8
De sites die e-mailadressen verzamelen ontvangen een vergoeding op commissiebasis van deze e-mailmarketingbedrijven. Elke keer dat een adres wordt gebruikt, krijgt de betreffende site een vergoeding die in hoogte kan variëren, maar veelal 50% van de verkoopprijs bedraagt. Enkele e-mailmarketingbedrijven hebben een geavanceerd systeem ontwikkeld voor het geval dat twee websites het eigendom van een bepaald adres kunnen opeisen. De regel is dat alleen de site waarvan de lijst e-mailadressen de voorkeur heeft van de klant, een vergoeding ontvangt. Daarnaast worden er ook voorschotten betaald op de opbrengsten van de partne rwebsites. I.5) – De snelle ontwikkeling van 'permission based' e-mailmarketing, de vorm die naar verwachting het toonaangevende model van commerciële communicatie op internet zal worden, roept vragen op over de kwaliteit van de 'opt-in' en over de interpretatiefouten en misstappen die gemaakt kunnen worden. Allereerst is het van belang te beseffen dat een adverteerder, om een 'opt-in'-relatie tot stand te brengen, geneigd kan zijn een 'interruption marketing'-relatie aan te gaan, waardoor hij zich aan spamming schuldig maakt met een ongekwalificeerd adressenbestand dat min of meer op consensus berust. Met andere woorden: het is de vraag of 'spam' eigenlijk niet een noodzakelijke stap is op weg naar emailmarketing op basis van 'opt-in'. Het lijkt misschien een wat provocerende vraag, maar in feite is het wel degelijk een wezenlijke kwestie, want het werkelijke probleem waar verkopers bij de directe verkoop mee kampen is hoe ze de relatie met toestemming kunnen beginnen en daarvoor zijn er helaas nauwelijks andere middelen dan die welke erop gericht zijn het publiek te verleiden, hun belangstelling te wekken en hen met allerlei soorten, in de reclamewereld welbekende, 'teasings' ertoe over te halen contact te leggen. Maar hoe moet je dan bekendheid krijgen op internet? Doelgroepgerichte e-mailmarketing is in die situatie heel verleidelijk. Maar dan bestaat het gevaar dat men zich tot een 'listbroker' wendt en de reclameboodschap massaal, met miljoenen tegelijk, verstuurt, in de hoop dat een enkeling het bericht oppikt en reageert. Deze methode is sociaal echter weinig acceptabel en in strijd met de gedragscodes die steeds duidelijker worden gepropageerd door brancheorganisaties, die het pri ncipe van 'vooraf verkregen toestemming van de gebruiker' aanhangen. De enige acceptabele methode, maar niet zonder voorbehoud, is 'webvertising', dat wil zeggen het plaatsen van advertentiebanners, afgestemd op interessegebieden en levensstijlen die aansluiten bij de producten of diensten van de adverteerder. De banner kan 'click-through's' genereren naar een website en het begin zijn van een 'opt-in'-relatie, doordat de bezoekers op de site formulieren kunnen invullen. Alle grote spelers op de markt van internethandel en e-mailmarketing gaan tegenwoordig over op 'opt-in'. Dit geldt overigens eveneens voor pornosites, die de afgelopen jaren flink aan spamming hebben gedaan. Dit betekent dat zeker aandacht geschonken zal moeten worden aan de kwaliteit van de 'opt-in'. Het gevaar bestaat dat adverteerders, in welke branche ook, in de toekomst geneigd zullen zijn een op zijn zachtst gezegd rekbare interpretatie aan het begrip 'opt-in' te geven. In het uiterste geval lijkt deze ruime opvatting van het begrip 'opt-in' soms het simpele feit te omvatten dat een bezoeker van een site bijvoorbeeld uit onachtzaamheid op de knop 'OK' drukt in een dialoogvenster dat hem vraagt of hij de desbetreffende site aan zijn
9
favorieten wil toevoegen. Het is heel gemakkelijk om taal te gebruiken die op verschillende manieren geïnterpreteerd kan worden en om een ergens op een onvindbare plek op de site voorwaarden op te nemen waarin de beheerder in kleine letters vermeldt dat de bezoeker hem door het toevoegen van zijn site aan de favorieten toestemming geeft om vervolgens reclamemail naar die bezoeker te zenden. Een iets onschuldiger voorbeeld is dat van liefhebbers van diepzeeduiken die zich ooit op een lijst hebben ingeschreven om geïnformeerd te worden over aanbiedingen voor duikmaterialen en vervolgens informatie krijgen over vakantie in alle duikcentra over de hele wereld. Is het geoorloofd iemand die heel af en toe on line koopt, verscheidene keren per week met commerciële aanbiedingen te overstelpen? Grote e-commercebedrijven als Amazon, Barnes & Noble, CD Now of Travelocity, die marktleiders zijn op het gebied van de elektronische handel, zouden er goed aan doen hun manier van werken in dit opzicht te veranderen en wat meer terughoudendheid te betrachten ten aanzien van incidentele klanten. I.6) –Het recente voorstel voor een richtlijn van de Europese Commissie (12 juli 2000) betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie(9) is in dit verband van grote betekenis, omdat hierin het belang wordt benadrukt dat aan 'opt-in' bij emailmarketing moet worden gehecht. Wij durven zelfs te stellen dat deze problematiek van levensbelang is voor het voortbestaan van internet, gezien het feit dat alle exploitanten hebben aangekondigd apparatuur (servers, routers en backbones) aan te willen schaffen, die in staat is per dag meer dan 100 miljoen commerciële e-mailberichten te versturen. We kunnen nu enkele statistische en financiële berekeningen uitvoeren. Er zijn op dit moment wereldwijd zo'n 300 miljoen internetgebruikers (en circa 560 miljoen elektronische postbussen). Wanneer nu zowat alle e-mailmarketingbedrijven apparatuur gaan aanschaffen waarmee 100 miljoen e-mailberichten per dag kunnen worden verstuurd, is dan het gevaar niet levensgroot aanwezig dat de internetgebruikers overstelpt worden met berichten? Uitgaande van de veronderstelling dat 200 bedrijven daadwerkelijk over deze apparatuur beschikken, zouden er dagelijks 20 miljard commerciële e-mailberichten via internet worden verzonden. Dit komt neer op gemiddeld iets meer dan 60 ontvangen e-mailberichten per internetgebruiker, waarmee, uitgaande van de huidige technologie en zonder rekening te houden met het feit dat reclamemail steeds vaker vergezeld gaat van foto- of videomateriaal, een downloadtijd van ongeveer een uur gemoeid is. Dit zou er werkelijk toe kunnen leiden dat internet volledig ontregeld raakt, tenzij er snel maatregelen worden genomen om tot een passend regelgevingsniveau te komen. Een extreem strikte interpretatie van het begrip 'opt-in' lijkt noodzakelijk voor de overlevingskansen van internet. Tenslotte kunnen ook enkele berekeningen worden gemaakt en voorspellingen worden gedaan ten aanzien van de geschatte kosten voor de internetgemeenschap. Voor de gemiddelde internetgebruiker, die een vast abonnement heeft van €12,00 om per maand 10 uur te kunnen internetten (inclusief telefoonkosten), die over 9) Voorstel voor een richtlijn betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie, PB C 365 E van 19.12.2000, COM(2000) 385 def. van 12.7.2000.
10
standaardapparatuur beschikt (geen snellere internetverbindingen), en die per minuut ongeveer 180 Kb kan downloaden, kunnen de kosten van het binnenhalen van zo'n vijftien berichten per dag, wat overeenkomt met 500 tot 800 Kb in totaal, in het ergste geval oplopen tot €30,00 per jaar. Voor het totale aantal internetgebruikers in een heel land zijn dit aanzienlijke bedragen. Wanneer er in de toekomst wereldwijd 400 miljoen internetgebruikers zijn, zullen de totale uitgaven van het ophalen van reclameboodschappen, uitgaande van de huidige technologie, minimaal €10 miljard bedragen, en dan spreken we alleen nog maar over de kosten die door de internetgebruikers zelf wo rden gedragen.
11
II) -
Welke bescherming is er in Europa?
Sinds bijna vier jaar staat de bescherming van personen met betrekking tot de ontvangst van ongevraagde elektronische commerciële boodschappen op de agenda van de Europese Unie. Het debat heeft zich voornamelijk geconcentreerd op twee mogelijke aanpakken. De ene aanpak houdt uitsluitend in dat duidelijker voorwaarden worden gesteld aan de verzending van ongevraagde berichten. Dit is de 'opt-out'-aanpak. De voorstanders van deze aanpak pleiten ervoor dat mensen die geen reclamemail wensen te ontvangen waar zij vooraf niet om hebben verzocht, dit kenbaar kunnen maken. Van deze groep menen sommigen dat dit recht van verzet alleen uitgeoefend mag worden ten aanzien van degene die de ongevraagde boodschap heeft verzonden. Anderen zijn voorstander van een systeem van nationale of internationale lijsten waarop ieder die bezwaar maakt tegen het ontvangen van ongevraagde communicatie, zich, voor of na de ontvangst ervan, kan inschrijven; Europese adverteerders moeten dan verplicht worden deze lijsten regelmatig te raadplegen zodat ze de door de betrokkenen geuite wens kunnen inwilligen. Bij de andere aanpak worden de voorwaarden voor het verzenden van ongevraagde berichten gekoppeld aan de eis van eerlijk verkregen e-mailadressen. Dit is de 'optin'-aanpak. Voorstanders van deze aanpak vinden dat ongevraagde commerciële communicatie alleen mag worden verzonden aan personen die vooraf met het ontvangen van dergelijke berichten hebben ingestemd. II.1) - Voor een goed inzicht in de discussie is het nuttig het Europese juridische kader ten aanzien van ongevraagde communicatie te recapituleren. De "algemene" Richtlijn 95/46/EG( 10) van 24 oktober 1995 schrijft met name in de artikelen 6, 7, 10, 11 en 14 voor dat de persoonsgegevens slechts verwerkt mogen worden indien ze op een eerlijke manier verkregen zijn en verwerkt worden en ten behoeve van duidelijk omschreven en gerechtvaardigde doelen. - Artikel 6, lid 1, onder a): de gegevens moeten eerlijk worden verkregen en verwerkt. - Artikel 7, onder a): de verwerking kan als rechtmatig worden beschouwd als de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend. - Artikel 7, onder f): de verwerking kan geschieden indien deze 'noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke, mits het belang of de fundamentele rechten en vrijheden van de betrokkene niet prevaleren'. - Artikel 10: in geval van verkrijging van de gegevens bij de betrokkene, dient deze geïnformeerd te worden over de doeleinden van de verkrijging, de ontvangers van de gegevens, de vraag of men al dan niet verplicht is te antwoorden en het bestaan van een recht op toegang tot zijn eigen gegevens en rectificatie van die gegevens. - Artikel 11: wanneer de gegevens niet bij de betrokkene zijn verkregen dient de voor de verwerking verantwoordelijke de betrokkene hierover te informeren op het moment van
10) Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
12
registratie van de gegevens of, wanneer verstrekking aan een derde persoon wordt overwogen, op het moment van overdracht van deze gegevens aan deze derde. - Artikel 14: de betrokkene kan zich kosteloos verzetten tegen de verwerking van hem betreffende gegevens met het oog op direct marketing en tegen de verstrekking van deze gegevens aan derden, waarover hij vooraf dient te worden ingelicht.
Richtlijn 97/66/EG betreffende de telecommunicatiesector(11) verduidelijkt de toepassing van deze beginselen in de telecommunicatiesector. E-mailmarketing komt in deze richtlijn niet expliciet ter sprake, maar de richtlijn bepaalt wel dat 'het gebruik van automatische oproepsystemen zonder menselijke tussenkomst (oproepapparaten) of faxen met het oog op direct marketing alleen kan worden toegestaan met betrekking tot abonnees die daarmee vooraf hebben ingestemd' (artikel 12). Voor de overige vormen van marketing wordt de keuze tussen voorafgaande instemming en het recht van verzet overigens aan de lidstaten zelf overgelaten. Richtlijn 97/7/EG inzake verkoop op afstand(12) brengt opnieuw de waarborg van voorafgaande instemming bij marketing via geautomatiseerde oproepsystemen of per fax ter sprake (artikel 10). Elektronische post komt in deze richtlijn expliciet ter sprake bij de technieken voor communicatie op afstand die gebruikt mogen worden 'indien de consument hiertegen kennelijk geen bezwaar heeft'. Richtlijn 2000/31/EG inzake elektronische handel(13) tenslotte, voorziet in twee soorten technische mechanismen voor het verzenden van ongevraagde elektronische boodschappen. - Artikel 7, lid 1: 'zorgen de lidstaten die ongevraagde commerciële communicatie via elektronische post toestaan, ervoor' dat een dergelijke commerciële communicatie […] 'meteen bij de ontvangst ervan duidelijk en ondubbelzinnig als zodanig herkenbaar is.' - Artikel 7, lid 2: 'onverminderd Richtlijn 97/7/EG en Richtlijn 97/66/EG, nemen de lidstaten maatregelen om ervoor te zorgen dat dienstverleners die via elektronische post ongevraagde commerciële communicatie doorgeven, de "opt-out"-registers regelmatig raadplegen en ook respecteren waarin natuurlijke personen die dergelijke commerciële communicatie niet wensen te ontvangen, zich kunnen inschrijven'.
Door op het bestaan van 'opt-out-registers' te wijzen bevordert deze richtlijn van 8 juni 2000 een technische voorziening bestemd voor het uitoefenen van het recht van verzet. Uit de in het kader van deze studie gevoerde gesprekken komt naar voren dat voor- en tegenstanders van de 'opt-out'-oplossing ervan overtuigd zijn dat Richtlijn 2000/31/EG het bestaan van een eenvoudig recht van verzet bevordert. Opgemerkt kan worden dat bij de aandacht die de goedkeuring van deze tekst in de media heeft gekregen, in het geheel voorbij is gegaan aan het niettemin duidelijk door de 11) Richtlijn 97/66/EG van het Europees Parlement en de Raad van 15 december 1997 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de telecommunicatiesector. 12) Richtlijn 97/7/EG van het Europees Parlement en de Raad van 20 mei 1997 betreffende de bescherming van de consument bij op afstand gesloten overeenkomsten. Deze richtlijn moest voor 21 mei 2000 in de nationale wetgeving van de lidstaten van de Europese Unie zijn omgezet. 13) Richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt (PB L 178 van 17 juli 2000), om te zetten voor 17 januari 2002.
13
communautaire wetgever geuite voornemen zich niet bezig te houden met de in Europa aan internetgebruikers toegekende rechten. De onduidelijkheid die dit tot gevolg heeft, is een grote bron van rechtsonzekerheid voor e-commercebedrijven. Richtlijn 2000/31/EG lijkt geen verband meer te leggen tussen de regelmatigheid van de verzending van een ongevraagde boodschap en de oorspronkelijke voorwaarden voor het verkrijgen van de e-mail. Weliswaar wordt de beschikbaarheid van 'opt-outregisters' verplicht gesteld en verwijst artikel 7 naar 'overige voorschriften van het Gemeenschapsrecht', op grond waarvan persoonsgegevens dienen te worden beschermd, maar deze enkele verwijzing is niet van dien aard dat zij voor de marktpartijen op internet duidelijkheid schept over alle regels waaraan zij zich dienen te houden. II.2 - Spamming heeft Europa nog niet veroverd • Discussies, maar weinig conflictsituaties In Europa wordt het verschijnsel spamming net als in de Verenigde Staten hoofdzakelijk vanuit een juridische invalshoek belicht. Sinds 1997 berichten de Europese media over spamming en de omvang ervan in de Verenigde Staten. In Europa bestonden de rechtsregels echter al voordat spamming in de Verenigde Staten werd gesignaleerd en was dit verschijnsel al impopulair voordat er ook maar sprake van was. Terwijl in de Verenigde Staten voor de verkoop van e-maillijsten zeer verfijnde systemen voor de verdeling van kosten en winsten zijn ontwikkeld, is men in Europa in de branche tot op heden nog niet in staat de cruciale vraag te beantwoorden hoeveel een e-mailadres waard is. De nationale toezichthoudende autoriteiten hebben tot nu toe zeer weinig klachten ontvangen over duidelijke gevallen van spamming. Wel hebben de Spaanse autoriteiten een bedrijf dat ongevraagde elektronische post verstuurde tot een forse boete veroordeeld, omdat het niet kon bewijzen dat de betreffende internetgebruikers hiermee vooraf hadden ingestemd. Tegen deze beslissing is beroep aangetekend. In Frankrijk heeft de CNIL(14) in oktober 1999 een oriënterend rapport( 15) gepubliceerd dat aangeeft dat 'het versturen van elektronische berichten […] berust op het vooraf verkrijgen van de e-mailadressen', die 'als persoonsgegevens moeten worden beschouwd' en dat 'voor het verkrijgen van deze adressen op internet moet worden voldaan aan de bepalingen van de wetgeving inzake de bescherming van persoonsgegevens en dat hierbij de rechten van de betrokkenen dienen te worden gerespecteerd'. Het rapport concludeert daarom dat 'het geautomatiseerd verkrijgen van e-mailberichten voor commerciële doeleinden op grond van de algemene Richtlijn 95/46/EG slechts is toegestaan indien de betrokkenen daarmee ondubbelzinnig hebben ingestemd'.
14) CNIL: Commission Nationale de l’Informatique et des Libertés. Zie http://www.cnil.fr 15) Beschikbaar in het Frans op http://www.cnil.fr/thematic/index.htm
14
De 'Groep gegevensbescherming artikel 29'( 16) heeft op 3 februari 2000 zijn advies 1/2000 betreffende ongevraagde commerciële communicatie goedgekeurd, dat vervolgens is overgenomen in advies 7/2000 van 2 november 2000 betreffende het door de Europese Commissie ingediende voorstel voor een richtlijn tot wijziging van Richtlijn 97/66/EG(17) en in een gedetailleerd werkdocument over bescherming van de persoonlijke levenssfeer op internet, dat op 21 november 2000 is goedgekeurd( 18). De groep wijst erop dat de communautaire regelgeving inzake de bescherming van persoonsgegevens van toepassing is op vraagstukken die verband houden met de elektronische handel en dat de door elektronische marketing veroorzaakte problemen aan de hand de algemene beginselen van Richtlijn 95/46/EG en Richtlijn 97/66/EG kunnen worden opgelost. De groep meent dat de toepassing van de beginselen van eerlijke verkrijging van gegevens, transparantie van het verdere gebruik van de gegevens en het recht van verzet bij gebruik voor commerciële doeleinden en verstrekking aan derden in geen geval wordt opgeheven door de technische voorzieningen van Richtlijn 2000/31/EG. De groep meent verder dat het verkrijgen van e-mailadressen in de vrij toegankelijke ruimten van internet strijdig is met de beginselen betreffende eerlijke verkrijging (artikel 6, lid 1, onder a) van Richtlijn 95/46/EG), doeleinden (artikel 6, lid 1, onder b)) en gerechtvaardigdheid van de verwerkingen (artikel 7, onder f)). De groep steunt het voorstel van de Europese Commissie om te eisen dat vooraf toestemming is verleend voor het versturen van de ongevraagde commerciële communicatie. Het geringe aantal juridische geschillen kan worden verklaard door het feit dat de Richtlijnen 95/46/EG, 97/66/EG en 97/7/EG nog niet in alle lidstaten zijn omgezet en dat internetgebruikers zich bij spamming in eerste instantie tot hun provider wenden. • Consensus en behoedzaamheid in de branche Onder brancheorganisaties bestaat een relatieve consensus over spamming. De FEDMA(19) is, net als de meeste nationale en internationale brancheorganisaties op het gebied van elektronische handel, de mening toegedaan dat 'het noodzakelijk is spamming aan te pakken'. Verenigingen van e-commercebedrijven geven bij navraag aan dat het ondenkbaar is dat er zich onder hun leden spammers zouden bevinden, hoewel geen van hen verklaart maatregelen te hebben getroffen voor het uitsluiten van een lid dat zich aan spamming schuldig heeft gemaakt. Organisaties die verantwoordelijk zijn voor kwaliteitskeurmerken onderkennen wel het belang van dergelijke regels tot uitsluiting bij spamming, aangezien het ontbreken ervan de geloofwaardigheid van hun keurmerk in gevaar zou kunnen brengen. Tegelijkertijd worden er zeer veel 'opt-out'-lijsten opgezet voor zowel afzonderlijke beroepsorganisaties als voor bedrijfstakken, op nationaal of zelfs internationaal 16) Uit hoofde van artikel 29 van Richtlijn 95/46/CE is de Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens opgericht. Het is een adviesorgaan dat onafhankelijk van de Europese Unie opereert. De taken en verantwoordelijkheden van de Groep zijn vastgelegd in artikel 30 van Richtlijn 95/46/EG en artikel 14 van Richtlijn 97/66/EG. 17) Advies 7/2000 betreffende het door de Europese Commissie ingediende voorstel van 12 juli 2000 voor een richtlijn van het Europees Parlement en de Raad betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie. 18) Zie: http://europa.eu.int/comm/internal_market/fr/media/dataprot/wpdocs 19) FEDMA: Federatie van Europese Direct Marketing. Zie: http://www.fedma.org
15
niveau. Zo heeft bijvoorbeeld de FEVAD (Fédération des Entreprises de vente à Distance) in Frankrijk als eerste een lijst samengesteld van personen die zich tegen e-mailmarketing verzetten: de 'e-Robinson'-lijst( 20). In België is een dergelijke lijst ingesteld door het BDMV (Belgisch Direct Marketing Verbond), dat met dit doel de lijsten van alle afzonderlijke leden heeft samengevoegd. Ook in Engeland, Duitsland, Nederland, Spanje, Noorwegen, Zweden, Finland en Italië wordt aan dergelijke lijsten gewerkt. De initiatieven op dit gebied zijn alle genomen in de context van de goedkeuring van Richtlijn 2000/31/EG inzake de elektronische handel en zijn in de eerste plaats bestemd voor toepassing op het grondgebied van de desbetreffende lidstaat. De betrokken brancheorganisaties hebben echter vrijwel allemaal voor ogen hun activiteiten op dit gebied op korte termijn naar Europees niveau, of zelfs buiten de Europese Unie, in het bijzonder naar de Verenigde Staten, uit te breiden. In Europa zijn tussen de Amerikaanse DMA en enkele vergelijkbare Europese brancheorganisaties partnerprojecten gestart om tot een gemeenschappelijk 'opt-out'-register te komen( 21). Daarnaast is er in enkele landen zeer recente nationale regelgeving die de particuliere initiatieven op de voet volgt teneinde in het geval van diverse concurrerende lijsten de nationale samenhang te waarborgen. Ondanks deze constateringen kan niet worden voorbijgegaan aan het feit dat de verleiding tot spamming blijft bestaan en dat dit verschijnsel in de gaten wordt gehouden. De geringe zichtbaarheid van de gevallen van spamming in Europa is mede te verklaren door de 'anti-spam'-activiteiten van Europese en Amerikaanse providers. Hun dagelijkse strijd brengt voor hen een extra belasting op fina ncieel, personeel, technisch en commercieel gebied met zich mee, waarvan de omvang afhankelijk is van het aantal abonnees. Sommige van deze providers wisselen onderling zwarte lijsten met adressen van spammers uit, waarvan de deugdelijkheid en toelaatbaarheid discutabel zijn. EuroISPA(22), waarin het grootste deel van de Europese providers is vertegenwoordigd, voert sinds meer dan twee jaar strijd tegen spamming. De vereniging onderschrijft het principe dat de betrokkenen vooraf toestemming moeten hebben verleend voor het gebruik van hun e-mailadres en stelt dat dit de enige manier is om naleving van Richtlijn 95/46/EG mogelijk te maken. II. 3 - Onduidelijkheid over het begrip en uiteenlopende praktijken • Spamming of ongevraagde direct marketing Spamming wordt over het algemeen beschouwd als het op grote schaal en herhaaldelijk versturen van ongevraagde commerciële boodschappen door een afzender die zijn identiteit verbergt of vervalst. Het is dus een vorm van ongevraagde direct marketing. Spamming onderscheidt zich echter doordat deze marketingactiviteit op zeer grote schaal, herhaaldelijk en op een oneerlijke manier plaatsvindt. Kortom, spamming is altijd ongevraagde direct marketing, maar niet alle ongevraagde direct marketing is spamming. 20) http://www.e-robinson.com 21) Zie: http://www.e-mps.org over de 'E-mail Preference Service' van de Amerikaanse DMA. 22) Zie: http://www.euroispa.org
16
Strikt genomen heeft een ongevraagde commerciële boodschap twee kenmerken: het feit dat zij commercieel is en dat er niet om gevraagd is, dat wil zeggen dat de internetgebruiker er geen verzoek toe heeft gedaan. Dit lijkt de interpretatie van Richtlijn 2000/31/EG, die geen onderscheid maakt tussen een commerciële boodschap die bestemd is voor een klant van een bedrijf, iemand die alleen maar de site bezoekt of een internetgebruiker met wie nog nooit eerder direct contact is geweest. Ook al houdt de overgrote meerderheid van de Europese marketeers zich verre van spamming, zij geven ontwijkende antwoorden op vragen over hun wens ongevraagde boodschappen te versturen. Hoe meer men echter onderscheid maakt tussen spamming en de overige vormen van ongevraagde direct marketing, hoe minder het essentiële probleem van het verkrijgen van het e-mailadres aan de orde komt. De regelmatigheid van de verzending van een ongevraagde boodschap hangt echter in de allereerste plaats af van de manier waarop de e-mailadressen zijn verkregen. • Van een leeg keuzevakje tot een vooraf aangevinkte optie Steeds meer Europese websites bieden de internetgebruiker door middel van een keuzevakje dat hij kan aanvinken, de mogelijkheid om aan te geven of hij al dan niet reclameboodschappen wil ontva ngen. Talloze beroepsorganisaties in Europa bevelen een dergelijke manier van werken aan, die veel verder gaat dan het bepaalde in Richtlijn 2000/31/EG over elektronische handel. Een aantal e-commercebedrijven gebruikt echter bij het verzamelen van de informatie nog steeds elektronische formulieren met een vooraf aangevinkt vakje. Dergelijke handelwijzen zijn in strijd met de bepalingen van Richtlijn 95/46/EG van 24 oktober 1995 betreffende doorzichtigheid en eerlijkheid en brengen in de huidige context slechts de oneerlijkheid van de handelaar in kwestie aan het licht. • Van het succes van het aanvinkvakje tot 'opt-in' Inmiddels treden enkele bedrijven duidelijk naar buiten met hun keus voor 'opt-in' - de vooraf verleende toestemming - die zij als de meest gunstige oplossing voor elektronische handel bescho uwen. Deze sterke trend van dit moment is het resultaat van commerciële overwegingen die beantwoorden aan de doelstellingen op het punt van bescherming van persoonsgegevens. In plaats van de internetgebruiker voor te stellen de handelsrelatie te beëindigen door hem de mogelijkheid van 'opt-out' te geven (het recht van verzet), doet de handelaar immers het tegenovergestelde: hij nodigt hem uit de relatie voort te zetten; kortom: 'permission marketing'. Deze manier van interactie - 'opt-in' - biedt talrijke voordelen op commercieel gebied. 'Opt-in' bevordert de levering van een dienst die een internetgebruiker wenst. Deze internetgebruiker levert, doordat hij zijn wensen te kennen geeft en toestemming verleent om deze informatie te verwerken, informatie met een grote toegevoegde waarde die kan worden geclassificeerd en waaraan een tarief kan worden
17
toegekend. In tegenstelling tot de 'opt-out'-registers, die niet verkocht kunnen worden, kunnen de 'opt-in'-registers wel te gelde worden gemaakt. Daarmee is het verkrijgen van gegevens en het voor commerciële doeleinden verwerken ervan met voorafgaande toestemming van de betrokkenen niet alleen een bron van inkomsten en een nieuwe financieringsmethode in de elektronische handel, maar ook de beste manier om zicht te houden op het gebruik van deze gegevens. Een e-commercebedrijf dat bepaalde informatie heeft verzameld, kan dus een vergoeding krijgen wanneer een van zijn partners dit gegeven bij zijn marketingactiviteiten gebruikt. De marketeer heeft op zijn beurt de zekerheid dat hij zich op een doelgroep richt die openstaat voor zijn commerciële boodschappen, waardoor deze doeltreffender zullen zijn. Bedrijven die op deze manier ophouden met lukrake, contraproductieve en impopulaire marketingactiviteiten, winnen het vertrouwen van de internetgebruikers. Wanneer de internetgebruiker verzoekt om verwijdering van zijn gegevens of de herkomst ervan wil weten, kunnen de direct marketeer en de eerste ontvanger van de gegevens hem exact aangeven wanneer, aan wie en waarom deze gegevens zijn verstrekt. Deze sterke trend van 'permission marketing' heeft in Europa een bevestiging gevonden tijdens een internationale conferentie die van 12 tot 15 september 2000 plaatshad in Parijs (www.webcommerce-europe.com). In Finland is een gedragscode voor direct marketing opgesteld die voorafgaande toestemming voorschrijft. II.4 - De noodzaak van een verduidelijking Gemeenschapsteksten die elkaar lijken tegen te spreken, beroepspraktijken die niet met elkaar overeenstemmen en een sterke trend richting 'opt-in' maken een verheldering van de Europese situatie noodzakelijk. • Tot nu toe hebben reeds vijf lidstaten een systeem van voorafgaande toestemming ('opt-in') goedgekeurd voor het versturen van ongevraagde commerciële boodschappen. Vier daarvan, Oostenrijk, Denemarken, Finland en Italië, hebben voor dit systeem gekozen bij de omzetting van Richtlijn 97/66/EG in hun nationaal recht. In een vijfde land, Duitsland, geldt eveneens de eis van voorafgaande toestemming, maar op andere rechtsgronden. I)
Er lijkt onder marketingbedrijven verwarring te bestaan over wat in Europa is toegestaan.
Deze verwarring lijkt niet te worden weggenomen door het grote aantal teksten dat op ongevraagde direct marketing van toepassing is. Integendeel, veel marketeers hebben (ten onrechte) de overtuiging dat de bepalingen van Richtlijn 2000/31/EG op zichzelf staan en toereikend zijn. De richtlijnen van 20 mei 1997 over verkoop op afstand en van 8 juni 2000 over elektronische handel geven slechts de voorwaarden weer waaronder een ongevraagde elektronische boodschap mag worden verzonden, maar gaan niet in op de vraag wanneer e-mailadressen op regelmatige wijze zijn verkregen; dit wordt uitsluitend geregeld bij Richtlijn 95/46/EG.
18
Het versturen van ongevraagde commerciële communicatie is in Europa dus geregeld in vier richtlijnen, die van toepassing zijn op drie volkomen verschillende situaties, al naar gelang direct marketing gericht is op: - een (potentiële) klant die zelf zijn e-mailadres aan de marketeer heeft gegeven (1); - een persoon wiens e-mailadres de marketeer via een derde heeft verkregen, die het op zijn beurt weer van de betrokkene zelf heeft gekregen (2); - een internetgebruiker waarvan het e-mailadres buiten zijn medeweten via internet is verkregen (website, gids, verzendlijst) (3). 1. De ongevraagde boodschap is bestemd voor een internetgebruiker die zijn emailadres aan de marketeer heeft gegeven toen hij direct met hem in contact stond. Op grond van de 'algemene' Richtlijn 95/46/EG mag de marketeer hem commerciële e-mailberichten sturen, onder voorbehoud van het recht dat de internetgebruiker heeft om zich te verzetten tegen het ontvangen van dergelijke berichten en/of tegen het verstrekken van zijn e-mailadres aan derden. Richtlijn 97/7/EG betreffende de verkoop op afstand bepaalt dat alles mogelijk is wanneer de consument, nadat hij expliciet is geïnformeerd, hiertegen 'kennelijk geen bezwaar heeft'. Richtlijn 97/66/EG met betrekking tot de telecommunicatiesector laat de keus tussen voorafgaande toestemming (een systeem dat in vijf lidstaten van toepassing is) en het recht van verzet aan de lidstaten zelf over. Richtlijn 2000/31/EG tenslotte verplicht een handelaar die bij zijn eigen klant aan direct marketing doet om het commerciële karakter van de boodschap duidelijk herkenbaar te maken, en de bestaande 'opt-out'-registers te raadplegen. Paradoxaal genoeg kan de richtlijn inzake de elektronische handel ertoe leiden dat een onderneming niet op een gewone manier contact kan houden met haar klant wanneer deze laatste zich heeft laten registreren op een 'opt-out'-lijst. 2. Het e-mailadres is door de internetgebruiker aan een handelaar geleverd die zijn bestand met e-mailadressen vervolgens aan een derde heeft verstrekt ten behoeve van direct marketing. Op grond van Richtlijn 95/46/EG zijn de overdracht en het gebruik van het desbetreffende bestand rechtmatig wanneer de betrokkenen vooraf zijn geïnformeerd over hun recht zich kosteloos tegen deze overdracht te verzetten. In geval van het on line verkrijgen van het adres van de internetgebruiker vereist artikel 14 van Richtlijn 95/46/EG feitelijk dat het elektronische formulier waarmee het adres wordt verkregen, een keuzevakje en een duidelijke boodschap bevat met informatie over het recht van verzet in geval van de verstrekking van de gegevens aan derden voor commerciële doeleinden. 3. Het e-mailadres is via vrij toegankelijke sites op internet verkregen (nieuwsgroepen, e-mailadresgidsen, etc.). Ervan uitgaande dat de betrokkenen zich niet vooraf tegen deze verkrijging hebben kunnen verzetten, is deze handelwijze verboden op grond van de richtlijn van 1995, omdat deze het beginsel inzake doeleinden schendt (artikel 6), betwistbaar is wat betreft het beginsel van de rechtmatigheid van de verwerkingen (artikel 7, onder f)), voorbijgaat aan het bepaalde in artikel 10 en 11, en artikel 14 schendt.
19
• Om de verwarring weg te kunnen nemen, dient de discussie te worden verschoven van de regelmatigheid van het versturen naar de voorwaarden van eerlijke verkrijging van de adressen. Ondanks de verwijzing naar het bestaande communautaire recht lijkt Richtlijn 2000/31/EG de benadering te laten prevaleren volgens welke het rechtmatig is een ongevraagde commerciële boodschap te versturen indien deze boodschap als commercieel herkenbaar is en de mogelijkheid biedt om te zorgen dat het hierbij blijft, dat wil zeggen dat de internetgebruiker niet meer dan één boodschap ontvangt en zich hier onmiddellijk tegen kan verzetten. De richtlijn inzake elektronische handel legt alle marketeers dezelfde verplichtingen op. Ook wie zich heeft verdiept in de interesses van zijn klant en zijn klant heeft ingelicht over het gebruik van zijn e-mailadres voor commerciële doeleinden, wordt verplicht een algemene, nationale, Europese of internationale 'opt-out'-lijst te raadplegen, waardoor hij mogelijk deze klant niet meer over zijn nieuwe commerciële aanbod mag informeren. Wanneer exact is vastgesteld onder welke voorwaarden sprake is van op een eerlijke wijze verkregen gegevens, kunnen het e-commercebedrijf en de internetgebruiker in een transparante situatie beslissen over de aard van hun relatie en over het voortzetten ervan. Wanneer geen enkele richtlijn echter duidelijk de 'opt-in'-oplossing voorschrijft in de directe relatie tussen e-commercebedrijf en klant, lijkt het logisch de regels die op direct marketing door middel van automatische oproepsystemen of fax van toepassing zijn, eveneens voor e-mailmarketing te laten gelden, aangezien deze als gemeenschappelijke kenmerken hebben dat ze ongevraagd binnendringen en niet tegen te houden zijn. De ervaring wijst uit dat hoe lager de direct-marketingkosten zijn, hoe groter het risico van misbruik is. E-mailmarketing is op dit moment verreweg de goedkoopste vorm van massamarketing. De bescherming die individuen wordt geboden is bovendien altijd al in verhouding geweest met het risico van aantasting van de rust en de persoonlijke levenssfeer en heeft verschillende gradaties: van het recht van verzet (direct marketing per telefoon) tot voorafgaande toestemming (direct marketing via automatische oproepsystemen en per fax). Uiteindelijk lijkt 'opt-in' de meest geschikte oplossing voor internet te zijn. 'Optin' maakt het mogelijk bestanden met e-mailadressen winstgevend te maken, een persoonlijke relatie tussen e-commercebedrijf en internetgebruiker in stand te houden en lijkt bovendien - zoals in de Verenigde Staten is gebleken - aan de verwachtingen van de internetgebruikers te voldoen. Daarnaast heeft deze aanpak het voordeel dat kan worden gewaarborgd dat een bepaald gegeven niet wordt gebruikt voor doeleinden die tegen de wens van de internetgebruiker ingaan. Want hoe kan men er bij een opt-out-aanpak zeker van zijn dat niet iemand benaderd wordt die zich op een lijst heeft laten registreren? Voor dit probleem hebben de voorstanders van een 'optout' nog geen oplossing gevonden. Zo laat de FEDMA op haar site weten dat ze een groot onderzoek instelt om de bestaande 'opt-out'-registers te inventariseren. 'Opt-out' biedt een bedrijf dat zijn klant een commerciële boodschap wil sturen niet de mogelijkheid zich van een spammer te onderscheiden die in de 'opt-out'-registers ook
20
redenen zou hebben gevonden om zijn activiteiten te rechtvaardigen. Het is aannemelijk dat een duurzame 'opt-out'-regeling met het oog op rechtszekerheid op termijn dwingende nationale of communautaire regels noodzakelijk maakt die gericht zijn op één internationaal register van alle personen die geen commerciële boodschappen willen ontvangen. Een dergelijk register kan tot gevolg hebben dat wanneer een internetgebruiker zich verzet tegen direct marketing van een of meer bedrijven, dit verzet ten opzichte van alle handelaren geldt. Daarom lijkt de oplossing van het voorafgaand instemmen met direct marketing het gunstigst voor het onderhouden - en beëindigen - van een persoonlijke commerciële relatie tussen bedrijven en internetgebruikers. 'Opt-in' staat direct marketing onder klanten of bezoekers niet in de weg. Integendeel, deze wordt toegestaan, mits de aan de internetgebruiker verstrekte informatie op dit punt duidelijk genoeg is geweest. Ook overdracht aan derden van door internetgebruikers verstrekte informatie wordt er niet door belet, maar wel onder voorwaarde van voorafgaande kennisgeving, conform de richtlijn uit 1995, en het recht van verzet. Ook het opstellen van e-mailadreslijsten is bij 'opt-in' niet onmogelijk. Integendeel, de 'opt-in' is een wezenlijk element voor de handel in direct marketingbestanden en maakt een doelmatige exploitatie daarvan mogelijk. Het op een oneerlijke manier verkrijgen en gebruiken van gegevens is daarentegen bij 'optin' verboden, zodat een optimale bescherming van persoonsgegevens, rechtszekerheid voor handelaren en vertrouwen gewaarborgd zijn en bescherming van persoonsgegevens en de elektronische handel niet meer tegenover elkaar staan.
II.5 Conclusies Sinds tenminste 1995 stelt de Europese Unie zich op het standpunt dat de aan personen geboden bescherming groter moet zijn naarmate er meer risico op inbreuk op de persoonlijke levenssfeer bestaat. Het is te betreuren dat de technische mechanismen uit de richtlijn betreffende elektronische handel niet beter op de kenmerken van ongevraagde e-mailmarketing zijn afgestemd (oneerlijkheid, binnendringing in de persoonlijke levenssfeer, kosten voor de ontvanger) en dat de communautaire tekst op dit punt niet de duidelijkheid bezit waardoor vroeger al een ondubbelzinnige en aan de risico's aangepaste regel had kunnen worden vastgesteld. Tegelijkertijd zijn er in de Verenigde Staten in bepaalde staten een aantal wetten en sancties aangenomen en hebben de e-mailmarketeers de commerciële voordelen van 'permission marketing' ontdekt. De huidige situatie in Europa is heterogeen. Enerzijds hebben vijf lidstaten, Duitsland, Oostenrijk, Denemarken, Finland en Italië, gekozen voor een systeem van voorafgaande toestemming. Anderzijds organiseren ondernemingen zich om de in Richtlijn 2000/31/EG genoemde 'opt-out'-registers te verwezenlijken. En tenslotte gaat een aantal Europese e-commercebedrijven over op toepassing van het 'opt-in'systeem. In deze context komt het voorstel voor een richtlijn( 23) van de Europese Commissie van 12 juli 2000 als geroepen. Het heeft als doel te komen tot een 23) Voorstel voor een richtlijn betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie, PB C 365 E van 19.12.2000, COM(2000) 385 def. van 12.7.2000.
21
communautair kader voor gegevensbescherming dat onafhankelijk is van de gebruikte technologie. De keuze voor 'opt-in' zal, met name gezien de bevindingen in dit rapport met betrekking tot de Amerikaanse en Europese situatie, naar verwachting succesvol blijken. Het is raadzaam om deze gelegenheid tevens aan te grijpen om de wetgevingen van de lidstaten - die vóór de omzetting van de richtlijn inzake elektronische handel reeds uiteenlopen - op één lijn te brengen, zodat een gemeenschappelijk standpunt inzake de verkrijging van voorafgaande toestemming ingenomen kan worden. De 'toestemming' in Richtlijn 95/46/EG wordt gezien als de absolute uitoefening door het individu van zijn erkende rechten. Dit is het uitgangspunt van de voorstanders van 'permission marketing'. Als de toestemming eenmaal verkregen is, zou alles mogelijk zijn. Dit betekent dat er een gegevensbescherming 'met twee snelheden' zou kunnen ontstaan: aan de ene kant bescherming van de minst begunstigden, die afneemt naarmate commerciële aanbiedingen hen ertoe aanzetten met alles in te stemmen en vooral om geen gebruik te maken van hun rechten. En aan de andere kant bescherming van diegenen wier financiële situatie dusdanig is dat zij onafhankelijk kunnen beslissen om al dan niet toe te stemmen. Dit scenario moet echter nog worden genuanceerd. De toestemming kan alleen maar verleend worden met het oog op een verwerking waarvan het doel bepaald is. De reikwijdte van de toestemming hangt dus in de praktijk af van de duidelijkheid van de aan de betrokken persoon verstrekte informatie. Bovendien is de toestemming herroepbaar. De wijze van het on line verkrijgen van toestemming behoeft nadere omschrijving. De richtlijn van 1995 geeft een precieze omschrijving van het begrip toestemming (artikel 2, onder h)): het is een positieve wilsuiting ten gunste van iets. Om er zeker van te zijn dat de internetgebruiker met het ontvangen van de boodschap heeft ingestemd, moet deze dus deze wil expliciet uitspreken. Toestemming voor direct marketing zou kunnen worden verkregen door middel van een invulveld op het formulier waarmee de informatie wordt verzameld. Deze concrete vorm is in overeenstemming met de omschrijving in de richtlijn van 1995. Wanneer de internetgebruiker dit veld, bestemd voor het registreren van zijn toestemming, niet zelf heeft geactiveerd, moet de toestemming als niet gegeven worden beschouwd. Daarnaast moet ook zeer nauwlettend worden toegezien op de duidelijkheid van de informatie aan de internetgebruiker. Wanneer deze methode wordt toegepast, is het mogelijk de persoonsgegevens gelijktijdig te verkrijgen met de voorwaarden die de betrokkene aan de verwerking ervan verbindt. Alleen al door het simpele bestaan ervan stimuleert deze een eerlijke verkrijging van de gegevens - het basisbeginsel van het Europese recht - zodat de gegevens onmiddellijk en veilig voor commerciële doeleinden kunnen worden gebruikt, waarbij de rechten van de betrokkenen worden gerespecteerd. De transparantie die inherent is aan deze op voorafgaande toestemming gebaseerde methode dient algemeen te worden verbreid. Iedereen moet inzien dat het nadelig is voor de ontwikkeling van de elektronische handel wanneer internetgebruikers bij het kopen van een product of dienst twijfels hebben over de eerlijkheid van de aanbieder.
22