De waarschuwing van ACM kwam eind juni naar buiten via een persbericht. ‘Het bedrijf dat belt moet aantonen dat de mensen die hij belt expliciet toestemming hebben gegeven dat zij gebeld mogen worden. Deze toestemming moet verifieerbaar zijn en gekoppeld kunnen worden aan diegene die gebeld wordt. Sommige bedrijven denken dat een procesbeschrijving of een bellijst voldoende is om de vereiste toestemming te bewijzen. Dat is niet het geval. De ACM geeft met deze publicatie een duidelijk signaal: alleen specifiek, persoonlijk en duidelijk vastgelegde toestemming die gekoppeld kan worden aan de gebelde persoon is voor hen voldoende.’
Kritische blik van ACM is positief
Vooropgesteld is DDMA blij dat de ACM de telemarketingbranche kritisch volgt en aankondigt te gaan handhaven. Het afgelopen jaar hebben we de ACM meerdere keren op het belang van handhaving gewezen. Ook zijn we het eens met de uitspraak dat bedrijven die telemarketing uitbesteden in zee moeten gaan met telemarketingbedrijven die zich houden aan de regels. Ketenverantwoordelijkheid is dan ook een focusthema voor onze Commissie Telemarketing.
Expliciete toestemming alleen vereist bij bijzondere persoonsgegevens
Bij de uitleg over expliciete toestemming en de bijbehorende bewijslast stellen we echter vraagtekens. De verplichting dat telemarketing alleen mag met voorafgaande toestemming komt uit de Telecommunicatiewet waar de ACM de toezichthouder van is. Diezelfde wet (artikel 11.1g) verwijst naar de Algemene Verordening Gegevensverwerking (AVG) voor de definitie van toestemming. De ‘expliciete toestemming’ waar de ACM over spreekt, is volgens de AVG alleen een vereiste bij bijzondere persoonsgegevens.
Uitleg over bewijslast strenger dan Europese toezichthouder
Bij geldige AVG-toestemming hoort daarnaast het kunnen aantonen van die toestemming. De EDPB, de koepel van Europese privacytoezichthouders, heeft daarom in een Guideline in 2020 uitgelegd hoe je toestemming moet aantonen: ‘Het staat verwerkingsverantwoordelijken vrij om methodes te ontwikkelen om aan deze bepaling te voldoen op een manier die past bij hun dagelijkse bedrijfsvoering. Tegelijkertijd mag de verplichting om aan te tonen dat door een verwerkingsverantwoordelijke geldige toestemming is verkregen op zichzelf niet leiden tot het verwerken van buitensporige hoeveelheden extra gegevens. Dit betekent dat verwerkingsverantwoordelijken genoeg gegevens moeten hebben om een verband met de verwerking aan te tonen (om te laten zien dat toestemming is verkregen), maar dat ze niet meer informatie mogen verzamelen dan nodig is.’
Organisaties leggen op dit moment aan de hand van bovenstaande uitleg hun opt-ins vast. De ACM lijkt echter een stap verder te gaan, met het signaal dat ‘alleen specifiek, persoonlijk en duidelijk vastgelegde toestemming die gekoppeld kan worden aan de gebelde persoon’ voldoende is. Bovendien is er discrepantie tussen de uitgebreide bewijslast die de ACM voor ogen ziet en de plicht tot dataminimalisatie van de EDPB.
In gesprek met de ACM
De onduidelijkheid die de nieuwe interpretatie van de ACM met zich meebrengt in de sector willen wij graag wegnemen. Met het omlaag brengen van het aantal ongewenste telefoontjes en het aanpakken van misstanden dienen DDMA en de ACM hetzelfde doel. Daarom gaan we in gesprek met de ACM, om samen te kijken naar een passende manier van het aantonen van toestemming, die in lijn met de regels én haalbaar is.
Ben je lid van DDMA en heb je een juridische vraag? Stuur een mailtje naar legal@ddma.nl.