Spring naar content

In het besluit (enkel in het Deens beschikbaar), geeft de Deense toezichthouder nadere toelichting over de conclusies die zijn getrokken na onderzoek. Een Deens groeifonds maakte in haar nieuwsbrieven gebruik van e-mail pixels en een ontvanger diende hierover een klacht in. Met de pixels verzamelde het groeifonds meerdere soorten gegevens, zoals:

  • e-mailadressen van de ontvangers van de nieuwsbrief,
  • informatie over het land van waaruit de nieuwsbrieven worden geopend,
  • hoeveel mensen de nieuwsbrief openen en hoe vaak dat is gebeurd,
  • welke artikelen worden geopend,
  • hoe het publiek van de nieuwsbrief wordt verdeeld op geslacht (gezien vanuit elke naam in e-mail),
  • welke ontvangers meer nieuwsbrieven openen en over hoe ze zich aanmelden voor nieuwsbrieven.

Geldige grondslag nodig voor gebruik e-mail pixels

Volgens de Deense toezichthouder zijn e-mail pixels cookies en is het groeifonds daardoor verplicht om een geldige grondslag te hebben voor het verzamelen van persoonsgegevens. Daarnaast dient het groeifonds te informeren over het verzamelen van de persoonsgegevens via e-mail pixels.

Het groeifonds was in de veronderstelling dat bij het aanmelden voor de nieuwsbrief ook toestemming zou worden verkregen voor het gebruik van e-mail pixels. De toezichthouder veegde dit daarentegen van tafel omdat er geen specifieke toestemming was gevraagd voor het meesturen van de e-mail pixel én geen informatie over was verstrekt (ook niet in het privacy statement). Inmiddels is het groeifonds, nadat zij eerder had beloofd haar beleid aan te passen, gestopt met het gebruik van e-mail pixels. Daardoor besloot de toezichthouder enkel ernstige kritiek te uiten en geen boete op te leggen.

Gerechtvaardigd belang?

Opvallend aan dit besluit is dat de Deense toezichthouder niet ingaat op de mogelijkheid om gegevens te verzamelen via e-mail pixels op basis van het gerechtvaardigd belang. Concluderend dat e-mail pixels ‘hetzelfde’ doen als cookies zouden ook de regels uit de ePrivacy Directive, in Nederland omgezet in de Telecommunicatiewet, van toepassing zijn. In deze wetgeving is als hoofdregel opgenomen dat toestemming vereist is voor het plaatsen van cookies en het verzamelen van persoonsgegevens daarmee. Als uitzondering is daarentegen geen toestemming vereist voor cookies met analytische doeleinden, mits deze geen of geringe impact hebben op de privacy van de betrokkene. Vaak wordt verondersteld dat e-mail pixels (afhankelijk van de data die wordt verzameld) onder deze uitzondering zou kunnen vallen. De toezichthouder gaat hier helaas niet op in.

Wat betekent dit voor jou?

Concreet betekent dit besluit nog niet veel voor jouw praktijk. Ten eerste is het een besluit van de Deense toezichthouder en weten we niet wat onze nationale toezichthouder (de Autoriteit Persoonsgegevens) van e-mail pixels vindt. Ten tweede is de Deense toezichthouder niet dieper ingegaan op de vraag of het gerechtvaardigd belang een geldige grondslag is voor het verzamelen van gegevens via e-mail pixels. Het zou dus kunnen dat deze grondslag ook nog als mogelijkheid wordt gezien door toezichthouders.

Toch doe je er goed aan om deze ontwikkelingen goed in de gaten te houden. Als Europese toezichthouder op de naleving van de AVG is de uitleg van de Deense toezichthouder wel impactvol en zouden andere toezichthouders hierop kunnen aansluiten. Daarnaast is de Deense toezichthouder wel duidelijk geweest over het feit dat er geïnformeerd dient te worden over het gebruik van e-mail pixels. Controleer daarom nog eens het privacy statement van jouw organisatie nog eens goed of het deze informatie bevat.

Romar van der Leij

Voormalig Legal counsel | DDMA

Ook interessant

Lees meer
AVG |

Privacykoepel deelt richtlijnen voor ‘consent or pay’ model voor grote online platformen

Meta introduceerde eind vorig jaar de nieuwe ‘consent or pay’ banner. Naar aanleiding van deze wijziging komt de koepel van Europese privacytoezichthouders onder leiding van de Nederlandse Autoriteit Persoonsgegevens (AP)…
Lees meer
AVG |

Europees Hof: IAB Europe aansprakelijk voor TCF-cookiebanners

De hoogste Europese rechter oordeelde recentelijk dat IAB Europe verwerkingsverantwoordelijke is bij de inzet van het Transparency and Consent Framework. Daarmee lijkt IAB niet onder de boete uit te kunnen…
Lees meer
AVG |

Verbod gepersonaliseerd adverteren voor Facebook en Instagram: wat is de impact?

De koepel van Europese privacytoezichthouders (EDPB) eist een dringend verbod voor het verwerken van persoonsgegevens door Meta voor advertentiedoeleinden. Het huidige systeem van gepersonaliseerde advertenties voor Facebook en Instagram is…