Jaarverslag 2013 DDMA Privacy Autoriteit
Inhoudsopgave Voorwoord 04 Terugblik 2013 05 Compliance 06 Werkwijze Aantallen checklists Focus toezicht Bedrijfsbezoeken Klachten 08 Herkomst en behandeling Wie voeren het Waarborg 11 Overzicht organisaties Best practice 14 De DDMA Privacy Autoriteit 16 Toezicht en handhaving Mensen Taakstelling Vooruitblik 2014 18 Toezicht en handhaving in directe communicatie 03
Voorwoord Consumentenvertrouwen is essentieel voor de huidige informatiemaatschappij. De overheid beoogt dit te waarborgen door nieuwe regels te ontwikkelen. We zien dat die regels zich niet langer toespitsen op principes van transparantie en keuze, maar vaker op specifieke technologieën, zoals cookies. Europa werkt aan een nieuwe privacy verordening. Ook hier bestaat het risico dat men kiest voor een one-size-fits-all benadering, waarbij veel dingen tot op de punt en de komma geregeld worden. Dit brengt hoge kosten met zich mee, waardoor privacy letterlijk onbetaalbaar wordt. Economische groei mag niet ten koste gaan van verworven vrijheden. Maar privacywetgeving opereert ook niet in een vacuüm. Het moet gezien worden in relatie tot andere grondrechten (handel, vrijheid van meningsuitingen) in een mondiale context. Europa is geen eiland. Zelfregulering kan uitkomst bieden. De sector heeft de kennis om principes als transparantie en keuze op een gebruiksvriendelijke manier te implementeren. De marketingindustrie is hierin leidend met een zelfreguleringstraditie die teruggaat tot 1970. Wij zijn de enige industrie waarvan haar Privacy gedragscode goedgekeurd is door de Europese Privacy toezichthouders, verenigd in de Artikel 29 Werkgroep. wint aan bekendheid bij de consument. De meldingen via het online klachtenloket zijn verdubbeld ten opzichte van voorgaande jaren. Het klachtenloket geeft de consument (terecht) greep op zijn gegevens. Een waardevolle dienst, omdat de wettelijke toezichthouders enkele klachten in de regel niet behandelen, maar acteren op meerdere gelijksoortige klachten. Om organisaties nog meer houvast te bieden, wordt de audit komend jaar uitgebreid met een cookie- en beveiligingscheck. DDMA-leden hebben oktober j.l. ingestemd met een voorstel hiertoe. Deze commitment moet ons inziens wel betekenen dat als bedrijven zich committeren aan deze transparantie, de wetgever armslag biedt voor groei en ontwikkeling. Commerciële communicatie is een onmisbaar smeermiddel van een succesvolle markteconomie, met als voordeel dat de consument deel blijft uitmaken van deze economie, die innovaties genereert die de moeite van het kennisnemen waard zijn. Carel Rog Voorzitter DDMA Privacy Autoriteit De toetsing van de implementatie van deze principes door het Privacy Waarborg is een logische vervolgstap. Inmiddels zijn 147 DDMAleden geaccrediteerd. De leden die zijn afgekeurd worden begeleid bij het op orde krijgen van hun processen. Het Privacy Waarborg 04 Jaarverslag 2013 DDMA Privacy Autoriteit
Terugblik 2013 Afgelopen jaar zijn veel DDMA-leden het Privacy Waarborg bij hun communicatie gaan voeren. Leden als de Telegraaf, Dela, RTL en KWF plaatsen het Waarborg bij hun e-mail of invulformulieren. Dit zorgt ervoor dat het Waarborg beter bekend wordt bij de consument. Dit uit zich in een stijging van het aantal vragen en klachten bij het consumentenloket op www.privacywaarborg.nl. In 2013 hebben ruim 200 consumenten een klacht of vraag ingediend. Een verdubbeling ten opzichte van 2012. De Privacy Autoriteit heeft in deze gevallen een bemiddelende rol gespeeld in het vinden van een oplossing. Een win voor de consument, wiens klacht opgelost wordt én een win voor DDMA-leden, die rechtstreeks met hun klanten in contact komen. Het belang van een check op de borging van privacy wordt steeds breder erkend door bedrijven. Inmiddels heeft 80% van de DDMAleden deelgenomen aan de audit. Van hen is 60% geaccrediteerd. De discrepantie tussen de beoordeelde en gecertificeerde organisaties ontstaat omdat een aantal organisaties geen persoonsgegevens verwerkt, denk hierbij aan folderaars en (consultancy)bureaus. In 2014 zullen zij hierom worden vrijgesteld van deelname. Er is ook een aantal organisaties dat de privacyregels onvoldoende heeft geborgd in het bedrijfsproces. Het wijzigen van de procedures binnen deze bedrijven duurt langer dan in eerste instantie ingeschat. De DDMA Privacy Autoriteit heeft frequent contact met deze bedrijven over de status van de aanpassingen. Intussen blijft ook de politiek zich roeren. De Commissie voor burgerlijke vrijheden (LIBE) van het Europees Parlement stemde in oktober 2013 in met een nieuwe privacy verordening. Deze moet de huidige privacyregels van de Wet Bescherming Persoonsgegevens vervangen. Het Parlement moet hierover onderhandelen met de lidstaten, vertegenwoordigd in de Europese Raad van Ministers. Waarschijnlijk wordt er geen overeenkomst bereikt voor de parlementsverkiezingen in mei 2014. In dat geval kan het nog twee of drie jaar duren voordat deze nieuwe privacyregels worden ingevoerd. De gekozen richting is echter duidelijk. Organisaties moeten transparanter worden in gegevensverzameling. Het Privacy Waarborg speelt hier nu al op in! In Nederland heeft minister Kamp een voorstel tot aanpassing van de cookiewet ingediend. Naast functionele cookies die nodig zijn om communicatie mogelijk te maken of een dienst te leveren (winkelwagentjes, logindata), worden nu ook cookies die een geringe invloed hebben op de privacy uitgezonderd van de verplichting om te informeren en toestemming te vragen. Bij tracking cookies moet wel worden geïnformeerd en toestemming gevraagd worden. Die toestemming hoeft volgens Kamp niet expliciet gevraagd te worden, maar kan blijken uit een handeling van de bezoeker. In het voorjaar zal de Tweede Kamer hierover stemmen. Privacywetgeving is dynamisch. Om relevant te blijven beweegt het Privacy Waarborg mee. Er wordt hard gewerkt aan een uitbreiding van de audit op het gebied van beveiliging en cookies. Verderop in dit jaarverslag leest u hier meer over. Toezicht en handhaving in directe communicatie 05
Compliance Werkwijze Organisaties die het Privacy Waarborg voeren, worden gecontroleerd op naleving van de privacywetgeving en aanvullende gedragsregels door de DDMA Privacy Autoriteit. Aan de hand van een audit oordeelt de Privacy Autoriteit of bedrijven op een correcte wijze reclame toesturen. Het Privacy Waarborg ziet toe op de bepalingen uit de Wet Bescherming Persoonsgegevens, de Telecommunicatiewet en de zelfreguleringcodes die extra regels voorschrijven voor het gebruik van persoonsgegevens voor marketing. Het Privacy Waarborg bekijkt of een organisatie de basisprincipes van eerlijke verwerking van persoonsgegevens naleeft: Het recht op informatie: worden burgers door organisaties begrijpelijk en volledig geïnformeerd dat er gegevens van hen worden vastgelegd voor marketingdoeleinden? Het recht op inzage, correctie en verzet: informeren organisaties burgers over hun privacyrechten, zoals het Recht van verzet, of het Recht op inzage en correctie? En worden eventuele verzoeken ingewilligd? Het recht op gericht gebruik: gebruiken organisaties de gegevens ook waarvoor ze zeggen dat ze deze gebruiken? Toestemming: is er vooraf toestemming verkregen voor bepaalde verwerkingen, zoals het sturen van een commerciële e-mail? Aantallen checklists DDMA-leden zijn verplicht de Privacy Waarborg Checklist in te vullen, aan de hand waarvan de DDMA Privacy Autoriteit bekijkt of zij de privacywetgeving en zelfregulering goed hebben ingebed in hun bedrijfsprocessen. Er worden externe controles uitgevoerd om te controleren of de vragen naar waarheid zijn beantwoord. Zo wordt onder andere gekeken naar de CBP-melding, het privacy statement, reclame-uitingen en ontvangen klachten. Grafiek 1: Aantal checklists retour 0 50 100 150 200 250 300 N = 254 (in absolute aantallen) Retour: 200 Nog te ontvangen: 54 06 Jaarverslag 2013 DDMA Privacy Autoriteit
Per december 2013 hebben 200 DDMA-leden de Privacy Checklist ingevuld. Nieuwe DDMA-leden hebben een uitnodiging ontvangen om de vragenlijst in te vullen. Met bestaande leden die nog geen vragenlijst hebben ingevuld, wordt in 2014 opnieuw contact gezocht. Leden die de vragenlijst weigeren in te vullen worden geroyeerd. hen is de audit dan ook niet van toepassing. Grafiek 3: Verdeling verantwoordelijke/broker/bewerker Grafiek 2: Aantal checklist voldoende/onvoldoende/n.v.t. 0 50 100 150 200 0 50 100 150 200 N = 200 (in absolute aantallen) Goedgekeurd: 147 Afgekeurd: 34 NVT: 15 Te beoordelen: 4 147 DDMA-leden voeren het Privacy Waarborg. Onder hen bekende organisaties als Air Miles, DELA, de Telegraaf Media Groep, NCRV en de NS. 34 organisaties hebben geen Privacy Waarborg gekregen. Deze organisaties worden door de Privacy Autoriteit begeleid bij het aanpassen van hun bedrijfsprocessen. Vijftien organisaties verwerken geen persoonsgegevens voor marketingdoeleinden. Voor N = 181 (goedgekeurde + afgekeurde organisaties in absolute aantallen) Verantwoordelijke = 82 Verantwoordelijke/ listbroker = 6 Listbroker = 8 Bewerker = 85 Focus toezicht De Privacy Autoriteit controleert of de doeleinden van een verwerking van persoonsgegevens zijn vastgelegd binnen een organisatie. Dit kan bijvoorbeeld doormiddel van een privacy statement. Vervolgens wordt gekeken of consumenten op een juiste manier geïnformeerd worden over de verwerking van hun persoonsgegevens. Hierbij wordt ook goed gekeken of er persoonsgegevens aan derden worden verstrekt. Dit moet op een transparante manier gebeuren. De Privacy Autoriteit kijkt verder of het Recht van Verzet (de Toezicht en handhaving in directe communicatie 07
afmeldmogelijkheid) en het Recht op Inzage en Correctie op een juiste manier worden aangeboden en verwerkt. In het geval van online data wordt ook goed gekeken of een consument op een juiste wijze toestemming kan geven voor de verwerking van zijn persoonsgegevens voor marketingdoeleinden. Klachten Herkomst en behandeling In 2013 werd een recordaantal van 204 meldingen, klachten en vragen ingediend bij het Privacy Waarborg klachtenloket, een verdubbeling ten opzichte van 2012. En een belangrijke indicatie dat het Waarborg bekend wordt bij de consument. 76 klachten betroffen DDMA-leden. Er is 74 keer geklaagd over niet-leden. Ook klachten van niet-leden werden in behandeling genomen. In de overige klachten werd geen adverteerder genoemd. Klagers maken in dit geval een algemene opmerking als: ik wil geen e-mail meer ontvangen. Het secretariaat heeft in alle gevallen navraag gedaan om de betreffende organisatie te achterhalen, maar hier is niet op gereageerd. Grafiek 4: Aantallen klachten, vragen en meldingen 204 60 2011 107 2012 2013 Jaar 2011: 60 2012: 107 2013: 204 08 Jaarverslag 2013 DDMA Privacy Autoriteit
Grafiek 5: Aantallen klachten leden/niet-leden 0 50 100 150 200 250 N = 204 (in absolute aantallen) Leden: 76 Niet-leden: 74 Onbekend: 23 Algemene vragen: 31 Over de werking van het Bel-me-niet register bestaat nog altijd onduidelijkheid. Consumenten klagen dat zij worden gebeld ondanks een inschrijving in het Bel-me-niet register. Veel realiseren zich niet dat dit mag als er een klantrelatie is met het betreffende bedrijf. Consumenten kunnen zich dan beroepen op het Recht van Verzet, in dat geval mag het bedrijf waar zij klant zijn hen niet meer bellen. Klachten over het gebruik van data gingen vooral over wat mag en niet mag met persoonsgegevens. Grafiek 6: Aard van de klachten Meldingen en klachten In 2013 werden 173 klachten ingediend. De meeste klachten gaan evenals voorgaande jaren over een niet-werkende afmeldhyperlink bij e-mail. Opvallend is het toegenomen aantal klachten over post en social media. De toename in klachten over post is te verklaren doordat de Privacy Autoriteit hier nauw samenwerkt met Stichting Postfilter in het oplossen van deze klachten. De klachten over social media betreffen met name cookies. Dit is te verklaren door de inwerkingtreding van de zogeheten cookiewet, die begin dit jaar voor veel onduidelijkheid zorgde bij burgers en bedrijven. Ook het niet kunnen verwijderen van foto s op profielen was een klacht. 0 50 100 150 200 N= 173 (in absolute aantallen) E-mail: 111 Telemarketing: 11 Cookies: 12 Post: 27 Social Media: 1 Gebruik data: 8 Streetmarketing: 1 Anders: 2 Toezicht en handhaving in directe communicatie 09
Vragen De Privacy Autoriteit ontving vorig jaar ook een groot aantal vragen van consumenten. Een illustratie van de levendige privacydiscussie in de maatschappij. De meeste vragen gingen over cookies en de soms verplichte acceptatie daarvan (cookiewall). Verder waren er vragen over wanneer er sprake is van een klantrelatie en hoe organisaties aan data komen. Grafiek 7: Aard van de vragen organisatie welke, na onderzoek, de fout niet had begaan. Klagers hebben bijvoorbeeld geen afmeldhyperlink onder een e-mail gezien of snapten niet hoe een organisatie aan hun naam kwam. 22 klachten zijn niet opgelost of onbekend. Dit kwam voornamelijk doordat een klager een klacht indiende, maar de organisatie niet noemde of niet meer wist. De vragen zijn allemaal beantwoord. In vijftien gevallen over niet-ddma leden werd er na diverse verzoeken door de Privacy Autoriteit, niet meer gereageerd op de doorgegeven klachten. In deze gevallen werd de klacht doorverwezen naar de Stichting Reclame Code. In zes gevallen ging het om buitenlandse partijen. Deze klachten werden doorverwezen naar de Autoriteit Consument en Markt (ACM). Grafiek 8: Oplossingspercentage 0 5 10 15 20 25 30 35 N = 31 E-mail: 6 Telemarketing: 4 Cookies: 9 Post: 2 Social Media: 2 Gebruik data: 5 Apps: 1 Anders: 2 Afhandeling 114 van de 173 klachten zijn opgelost. Elf klachten hiervan bleken ongegrond. Hier ging het bijvoorbeeld om klachten over een 0 50 100 150 200 250 N = 204 Opgelost: 114 Ongegrond: 11 Onbekend/niet opgelost: 22 Algemene vragen beantwoord: 31 In behandeling: 3 Doorverwezen: 23 10 Jaarverslag 2013 DDMA Privacy Autoriteit
Wie voeren het Waarborg 22 Times 2Contact 2organize 3BM Address Services 4DMS 4orange B.V. A.A.B. Communicatie ACE European Group Limited Acquisitiebureau Noord-Nederland Add to Favorites B.V. Adequaat B.V. Adfinitas Admitter Nederland B.V. Air Miles Amnesty International AMREF Flying Doctors Annie Connect B.V. ANWB Media Artsen zonder Grenzen Arvato Benelux B.V. B-Total Hot Creative Concepts Bisnode Nederland Blinker B.V. Brinkerink & partners B.V. Bruka Service B.V. Cendris B.V. Cherridata B.V. CloseContact Communicatie Data Diensten Nederland (CDDN) CONCERN/ Schoenmakers communicatie projecten d-tail Company Davinci Groep B.V. db Online Telemarketing De Zaak DELA Delphi Communications B.V. DHL Express Dierenbescherming Digimo Media Groep Digital Media Group B.V. Direct Force B.V. Dix Reclamebureau DM Interface B.V. DMCC Nederland B.V. Dmdesk Doornvogel brand intimacy DR3DATA Draftfcb E-ngine B.V. E-Village ecircle EDM Toezicht en handhaving in directe communicatie 11
emailmonday Ematters Euro Mail B.V. Experian Nederland B.V. Focum Focus Conferences B.V. Fund!team GraphicMail Benelux Green Orange digital marketing GroupM Interaction GW Management Hersenstichting Nederland iconneqt ID Factory idreams ifunds Impress InBetween Marketing Services Invicta B.V. Kadasterdata Keystone Consultancy B.V. KWF Kankerbestrijding LaSer Nederland B.V. LCF Data Processing B.V. Lead Today Loyalty Lab B.V. Mailhouse Rock Mark&Mini MCLS N.V. Measuremail Mindwize MMIT NCRV Nederlandse Hartstichting Nederlandse Spoorwegen Nederlandse Stichting voor het Gehandicapte Kind Nierstichting Nederland NR6 NUON Marketing & Sales Nederland OHRA Online Marketing Group OutPost B.V. Oxyma Group Pepperminds Pon s Automobielhandel Pondres PostNL PricewaterhouseCoopers PrimaPost B.V. Propulsion B.V. Prosu B.V. Provecho Beheer B.V. 12 Jaarverslag 2013 DDMA Privacy Autoriteit
PSI Vransen Direct Marketing Producties B.V. Qamel Quality Contacts R&F Ideas & Application Development Rabobank Nederland RapidSugar B.V. RDC Nederland B.V. Reclamefolder.nl Reed Business Reputy Robeco Direct N.V. RTL Nederland Santander Consumer Finance Schoolpagina Selligent Interactive B.V. Sellvation Marketing Simavi SNS Bank SNT Nederland Stichting Aids Fonds Stichting Alzheimer Nederland Stichting CliniClowns Nederland Stichting Dierenlot Stichting Greenpeace Nederland Stichting Kinderpostzegels Nederland Stichting Selectieve Post Telegraaf Media Groep N.V. Teleteam Nederland B.V. The Fundraising Company TIM Dialogue Marketing B.V. Tomeloos Tripolis Solutions Turnstile Benelux B.V. UPC Nederland Van Wanten Etcetera vandenbusken, branding & dialogue marketing Veritate webpower B.V. Wegener Nieuwsmedia Wereld Natuur Fonds WIJ Special Media B.V. WPG Uitgevers Wuzzon Company WWAV Yourzine Toezicht en handhaving in directe communicatie 13
Best practice Het Privacy Waarborg wordt zichtbaar gevoerd door DDMA-leden. Zij plaatsen het Waarborg op plekken waar zij consumentendata verzamelen, bij afmeldmogelijkheden en privacy statements. Kinderpostzegels Santander website OHRA website 14 Jaarverslag 2013 DDMA Privacy Autoriteit
WNF website NS website Toezicht en handhaving in directe communicatie 15
DDMA Privacy Autoriteit Toezicht & handhaving De DDMA Privacy Autoriteit is een onafhankelijk handhavingsorgaan dat toeziet op de naleving van de privacyregels door organisaties die het Privacy Waarborg voeren. De Privacy Autoriteit controleert de bedrijfsvoering van organisaties proactief met behulp van een vragenlijst: de DDMA Privacy Checklist. Daarnaast controleert zij privacy statements en uitingen van de betreffende organisaties om te bepalen wie van hen gerechtigd is het Privacy Waarborg te voeren. De controle door de DDMA Privacy autoriteit blijkt voor organisaties een goede reden om de processen aan te scherpen of tegen het licht te houden. Carel Rog - Voorzitter DDMA Privacy Autoriteit Carel Rog was directeur Benelux van Readers Digest. Daarnaast was hij voorzitter van het DMIN (een voorloper van DDMA), de FEDMA en de Privacy Commissie van VNO-NCW. Hij was lid van de Raad van Advies van het CBP en bestuurslid van de Stichting Reclame Code. Consumenten kunnen op de website van het Privacy Waarborg ook een klacht indienen. In al deze gevallen neemt de DDMA Privacy Autoriteit contact op met de organisatie om de klacht door te geven. Hierbij kan een organisatie ook rechtstreeks met de klager communiceren. Een voordeel ten opzichte van de toezichthouders die de gegevens van klagers niet vrijgeven. Mensen De DDMA Privacy Autoriteit bestaat uit een voorzitter en twee leden. Drie deskundigen bij uitstek op het gebied van privacy, marketing en nieuwe media. Edith Smit Edith Smit is hoogleraar Media en Advertising aan de UvA en voorzitter van SWOCC. Daarnaast is zij president van de EAA, de European Advertising Academy. 16 Jaarverslag 2013 DDMA Privacy Autoriteit
Paul Molenaar Paul Molenaar verdiende zijn sporen in de online wereld, onder meer als CEO van Ilse Media en COO van Sanoma Uitgevers. Tegenwoordig heeft hij zijn eigen onderneming en is hij Commissaris bij het ANP en lid van de Raad van Toezicht van de Consumentenbond. Taakstelling De Privacy Autoriteit heeft de volgende taken: Klachtenloket - voor klachten over het gebruik van persoonsgegevens voor reclame- en marketingdoeleinden. Bemiddeling - tussen consumenten(organisaties) en bedrijven en bedrijven onderling betreffende verwerking van persoonsgegevens voor reclamedoeleinden. Monitoring - van leden van de branchevereniging DDMA inzake hun naleving van de wetgeving en zelfregulering met betrekking tot privacy. Vragenbaak - voor vragen over privacy gerelateerde marketingvraagstukken. Toezicht en handhaving in directe communicatie 17
Vooruitblik 2014 In 2014 wordt de belofte van het Privacy Waarborg en de verwachting van consument en leden dichter bij elkaar gebracht. De evaluatie wordt inhoudelijk uitgebreid met een beveiligings- en een cookiecheck. Het Privacy Waarborg positioneert organisaties als betrouwbare partners in dialoogmarketing en streeft transparantie na. In de hedendaagse (big) data marketing, maakt beveiliging een onlosmakelijk onderdeel uit van dit credo. Desk research en interviews wijzen uit dat de consument bij zijn privacy de garantie zoekt dat organisaties zorgvuldig met zijn data omgaan. Deze focus willen we aanbrengen in de audit. Hiermee geeft het Waarborg geen waterdichte garantie, maar creëert het de nodige bewustwording over beveiligingsrisico s onder de aangesloten organisaties. De check focust hierbij op key-indicatoren als good governance, dataentry en toegangsbeleid. De security audit zal worden opgesteld in samenwerking gaan met onafhankelijke IT-auditers. Zodra de geplande wetswijziging van de cookiebepaling uit de Telecomwet een feit is, zal de Privacy Waarborgevaluatie ook hierop toezien. De vragenlijst wordt uitgebreid met een deel dat is toegespitst op het gebruik van cookies door site-eigenaren en advertentienetwerken. Ook krijgen organisaties toegang tot een handige tool, waarmee zij eenvoudig zelf kunt controleren welke cookies er vanuit hun domeinen worden geplaatst. Dit zijn onze ambities. Heeft u opmerkingen of aanvullingen, neem dan contact met ons op via info@privacywaarborg.nl of bel met onze secretaris Jitty van Doodewaerd op 020-452 84 13 Carel Rog - Voorzitter DDMA Privacy Autoriteit Edith Smit Paul Molenaar 18 Jaarverslag 2013 DDMA Privacy Autoriteit
DDMA WG Plein 508 1054 SJ Amsterdam www.privacywaarborg.nl Ontwerp: Dix Reclamebureau