DDMA PrivAcy Autoriteit 2011

- toezicht & handhaving in directe communicatie - JAArverSLAG

De DDMA Privacy Autoriteit is een onafhankelijk handhavingsorgaan dat toeziet op de naleving van de privacyregels door organisaties die het Privacy Waarborg voeren. Daarnaast lost de Autoriteit geschillen op tussen consumenten en bedrijven en bemiddelt zij in geschillen tussen bedrijven onderling. Het Privacy Waarborg is een keurmerk waarmee organisaties de consument (B2c en B2B) en hun relaties kunnen laten zien dat zij op een juiste manier omgaan met persoonsgegevens in het toesturen van reclame. Het Waarborg wordt uitsluitend gevoerd door organisaties die zijn aangesloten bij de branchevereniging DDMA. Deze organisaties hebben zichzelf extra strenge regels opgelegd die verder gaan dan de wettelijke verplichtingen voor het gebruik van persoonsgegevens voor reclame- en marketingdoeleinden. Deze extra regels zijn onderdeel van de zelfregulering en zijn vastgelegd in zelfreguleringcodes. De organisaties die het Privacy Waarborg voeren worden gecontroleerd op naleving van de wetgeving en zelfregulering. Het Privacy Waarborg geeft organisaties: de zekerheid dat hun marketing voldoet aan de geldende privacyregels de mogelijkheid dit uit te dragen advies bij privacyvraagstukken kosteloze klachtenbehandeling door de DDMA Privacy Autoriteit

inhoudsopgave
voorWoorD teruGBLik 2011 coMPLiAnce
Werkwijze Aantal(len) DDMA Privacy checklists knelpunten checklists Bedrijfsbezoeken

01 03 06

kLAcHten

klachten (herkomst en behandeling) Aanbevelingen

11 15 21

Wie voeren Het WAArBorG

overzicht organisaties Best practice Mensen kerntaken

De DDMA PrivAcy Autoriteit

vooruitBLik 2012

23

01

voorwoord
Door: carel rog, voorzitter DDMA Privacy Autoriteit commercile communicatie is een onmisbaar instrument in een succesvolle markteconomie, die vorm krijgt in een samenspel tussen consumenten en organisaties. in een succesvolle economie vinden innovaties plaats die de moeite van het kennisnemen waard zijn. in hedendaagse marketing is het gebruik van data gemeengoed: bedrijven en andere organisaties monitoren klanten om koopgedrag te achterhalen, voorspellen en benvloeden. Doel is om een potentile klant beter te leren kennen en dit te gebruiken om hem te bewegen een product of dienst aan te schaffen. Hierbij richt de marketeer zich vrijwel nooit op het invidu, maar op de grootste gemeenschappelijke deler van een gedifferentieerde en onbekende groep mensen. uiteraard bepaalt uiteindelijk de vraag het aanbod, maar dit impliceert niet dat het aanbod de vraag niet kan sturen. Hoe neemt de consument kennis van een nieuwe markttoetreder met scherpe aanbiedingen? ongevraagde aanbiedingen zijn niet altijd ongewenst. it takes two to tango, vraag en aanbod. Gevraagd en ongevraagd hebben elkaar nodig. Hierbij is van belang dat verleiden nooit misleiden mag zijn. consumentenvertrouwen is zeker in tijden van crisis een beslissende factor. en betrouwbare organisaties houden zich aan de privacyregels. een adverteerder dient de consument inzicht te geven hoe hij aan zijn gegevens komt, wat er met zijn gegevens gebeurt en hem de mogelijkheid te bieden in te grijpen als hij het hier niet mee eens is. om organisaties hierin te steunen heeft DDMA het Privacy Waarborg ontwikkeld. D

02

De beoordeling van de Privacy Autoriteit geeft organisaties houvast en het klachtenloket geeft de consument (terecht) greep op zijn gegevens. een waardevolle dienst, omdat de wettelijke toezichthouders individuele klachten in de regel niet behandelen, maar acteren op grond van meerdere, gelijksoortige klachten. De DDMA Privacy Autoriteit beoogt het bedrijfsleven dat verantwoord wil communiceren met haar klanten, effectieve steun te bieden. De inspanningen in het afgelopen jaar hebben geleid tot de certificering van ruim 120 organisaties. komend jaar werken we verder aan de promotie van het Privacy Waarborg en het uitbreiden van de auditing onder invloed van de nieuwe regels voor e-mail per januari 2012, en op handen zijnde wetgeving voor behavioural advertising. We streven ernaar dat begin 2013 alle DDMA-leden zijn gecertificeerd.

03

Terugblik 2011
betrouwbare organisaties houden zich aan privacyregels. dit dragen zij actief uit door het privacy waarborg te voeren. het waarborg laat zien dat organisaties op een correcte en verantwoorde manier persoonsgegevens gebruiken voor directe communicatie.

04

privacy waarborg krijgT momenTum in 2011 en opnieuw voor 2012 heeft DDMA het toekennen van het Privacy Waarborg tot prioriteit van de vereniging benoemd. Belangrijkste onderdeel hiervan is het creren van meer bekendheid van het Waarborg bij consumenten. Het kanaal om dit te realiseren zijn de leden die het logo actief voeren bij invulformulieren, privacy statements, in de nieuwsbrieven of op de website. op deze manier gaan consumenten het logo herkennen en zich erin verdiepen. De inspanningen in het afgelopen jaar hebben geleid tot de beoordeling van ongeveer 165 organisaties, waarvan ruim 120 zijn gecertificeerd. De discrepantie tussen de beoordeelde en gecertificeerde organisaties ontstaat omdat een relatief groot aantal organisaties geen persoonsgegevens verwerkt, denk hierbij aan ongeadresseerde postverspreiders, sales promotion- en consultancybureaus. Daarnaast is er een aantal organisaties dat de privacyregels onvoldoende heeft ingebed in het bedrijfsproces. Zij worden door de Privacy Autoriteit begeleid bij de veranderingen in hun bedrijfsprocessen. Door aansluiting van de emailassociatie bij DDMA in de zomer van 2011, zijn nog niet alle DDMA-leden beoordeeld. Dit staat voor begin 2012 gepland.

05

veel van de geaccrediteerde organisaties dragen het Waarborg actief uit. onder hen ook een aantal organisaties met groot bereik onder consumenten. De telegraaf, de nS en rtL plaatsen het Waarborg zichtbaar bij hun directe commercile communicatie. Door de toenemende zichtbaarheid weet de consument het klachtenloket van het Privacy Waarborg beter en sneller te vinden. Bijna 80% van de ontvangen klachten is opgelost nadat de Privacy Autoriteit contact zocht met de organisaties. organisaties waarderen de wijze van klachtoplossen, waarbij zij inzage krijgen in klachten en zich desgewenst ook zelf kunnen verontschuldigen bij een consument. toenmalig minister Maria van der Hoeven zei bij de introductie van het Privacy Waarborg Als een ondernemer het keurmerk gebruikt, maakt dit duidelijk dat hij privacy en veiligheid belangrijk vindt. Dat kan een concurrentievoordeel zijn. Dit blijkt een uitspraak met voorspellende waarde. Het Privacy Waarborg is voor steeds meer organisaties een belangrijke reden om lid te worden van DDMA.

compliance
werkwijze Het Privacy Waarborg ziet toe op de bepalingen uit de Wet Bescherming Persoonsgegevens, de telecommunicatiewet en de zelfreguleringcodes die extra regels voorschrijven voor het gebruik van persoonsgegevens voor marketing. DDMA-leden zijn verplicht de Privacy Waarborg checklist in te vullen, aan de hand waarvan de DDMA Privacy Autoriteit bekijkt of zij de privacywetgeving en zelfregulering goed hebben ingebed in de bedrijfsprocessen. om te controleren of de vragen naar waarheid zijn beantwoord, wordt een aantal externe controles uitgevoerd. Zo wordt gekeken naar de cBP-melding, privacy statement, uitingen en eventuele ontvangen klachten. op deze wijze beoordeelt de Privacy Autoriteit of de basisprincipes van eerlijke verwerking van persoonsgegevens worden nageleefd: Het recht op informatie: worden burgers door organisaties begrijpelijk en volledig genformeerd dat er gegevens van hen worden vastgelegd voor marketingdoeleinden, bijvoorbeeld in een privacy statement? Het recht op inzage, correctie en verzet: informeren organisaties burgers over hun privacyrechten, zoals het recht van verzet, of het recht op inzage en correctie? en worden eventuele verzoeken ingewilligd? Het recht op gericht gebruik: gebruiken organisaties de gegevens ook waarvoor ze zeggen dat ze deze gebruiken? Toestemming: is er vooraf toestemming verkregen voor bepaalde verwerkingen, zoals het sturen van een commercile email?

06

07

aanTallen checklisTs De DDMA Privacy Autoriteit controleert DDMA-leden jaarlijks op de toepassing van de privacy wet- en regelgeving in marketingcommunicatie aan de hand van een online vragenlijst. De antwoorden worden door de Autoriteit vervolgens gecontroleerd op juistheid door ze te vergelijken met bepalingen in privacy statements, reclameuitingen en de cBP-melding van een organisatie. Grafiek 1: Aantal checklists retour
retour noG te ontvAnGen

164 106
n = 270 (in absolute aantallen)

Per december 2012 hebben 164 DDMA-leden de Privacy checklist geretourneerd. een aantal leden heeft daarnaast aangegeven intern de bedrijfsprocessen te willen evalueren alvorens de vragenlijst in te vullen. Met hen is nauw contact over de vorderingen. De e-mail associatie sloot zich mid-2011 aan bij DDMA. Deze nieuwe leden hebben inmiddels een uitnodiging ontvangen de vragenlijst in te vullen. Met bestaande leden die nog geen vragenlijst hebben ingevuld, wordt Q1 2012 opnieuw contact gezocht. Leden die de vragenlijst weigeren in te vullen, worden geroyeerd.

08

Grafiek 2: Aantal checklists voldoende/onvoldoende/nvt

voLDoenDe onvoLDoenDe nvt te BeoorDeLen verkeerDe cHeckLiSt

122 17 14 5 6
n = 164 (in absolute aantallen)

120 organisaties voeren nu het Privacy Waarborg. onder hen bekende organisaties als Simavi, de telegraaf Media Groep, de rabobank en PriceWaterhousecoopers. Zeventien organisaties hebben geen Privacy Waarborg gekregen. De Privacy Autoriteit begeleidt een aantal van de organisaties bij de aanpassingen in de bedrijfsprocessen. Q1 2012 neemt de DDMA Privacy Autoriteit met de overige organisaties contact op om te vragen hoe zij de aanbevelingen zullen opvolgen. indien zij hun beroepspraktijk niet aanpassen, zal dit leiden tot royement uit de DDMA. veertien organisaties verwerken geen persoonsgegevens voor marketingdoeleinden, voor hen is accreditatie niet van toepassing.

09

De Privacy checklist dwingt opdrachtgevers interne procedures tegen het licht te houden. Grafiek 3: Verdeling verantwoordelijke/ broker/ bewerker
BeWerker LiStBroker nvt verAntWoorDeLiJke VerAnTWoorDelijke/broker

73 9 14 63 5
n = 164 (in absolute aantallen)

Focus ToezichT 1. onvolledige cBP-melding De Privacy Autoriteit blijft de cBP-meldingen van DDMA leden actief controleren en kijkt hierbij met name naar: Het opnemen van derdenverstrekking als doeleinde van de verwerking De volledigheid van de melding van categorien van gegevens die worden verwerkt

10

2. transparantie Persoonsgegevens mogen verwerkt worden indien er toestemming is van de betrokkene (email, fax, sms, bijzondere persoonsgegevens) of voor een gerechtvaardigd ondernemersbelang, mits het privacybelang van de betrokkene niet prevaleert). organisaties genereren leads door online enqutes en prijsvragen: de vraag is hierbij hoe zij de toestemming hebben ingericht. Weet de deelnemer echt waar hij akkoord op geeft? bedrijFsbezoeken in 2011 legde de Privacy Autoriteit twee bedrijfsbezoeken af. Zij deed dit omdat de vragen uit de DDMA Privacy checklist niet aansloten op het businessmodel van de organisaties. tijdens de bezoeken heeft de Privacy Autoriteit inzage gekregen in de bedrijfsmodellen en zijn vragen beantwoord. indien er zich bij een beoordeling wederom dergelijke situaties voordoen, zal de Privacy Autoriteit ook deze organisaties bezoeken.

11

klachTen
herkomsT en behandeling consumenten kunnen eenvoudig online een klacht indienen op www.privacywaarborg.nl als zij menen dat hun privacy geschonden is door een reclame-uiting. Alle klachten worden door de DDMA Privacy Autoriteit in behandeling genomen. indien een klacht gegrond is, zoekt de DDMA Privacy Autoriteit contact met de organisatie waarover de klacht is ingediend en verzoekt hen een oplossing aan te dragen. indien dit niet gebeurt, of er geen bevredigende uitkomst is, zijn er twee vervolgtrajecten mogelijk: Bij een DDMA-lid zal de DDMA Privacy Autoriteit een sanctie opleggen varirend van een publieke waarschuwing tot royement. Bij een niet-lid: zal de DDMA Privacy Autoriteit de klacht doorverwijzen naar een bevoegde instantie als de oPtA, het college Bescherming Persoonsgegevens of de Stichting reclame code.

12

Grafiek 4 en 5: Percentage leden/niet-leden & Aard van de klachten

LeDen niet-LeDen

39 34 39 11 6 5 2 2 1 1 6 34
n = 73 (in absolute aantallen)

e-MAiL onLine LeAD GenerAtion teLeMArketinG GeBruik DAtA MiSLeiDinG SMS onGeADreSSeerD onLine BeHAviorAL ADvertiSinG niet vAn toePASSinG

13

2011 kwamen 73 klachten binnen via het online klachtenloket op de website www.privacywaarborg.nl. 39 klachten betroffen DDMA-leden. 34 klachten betroffen niet-leden. verreweg de meeste klachten (39) gingen over een niet werkende afmeldhyperlink. elf klachten betroffen online lead generation, een stijging ten opzichte van 2010. Hierbij valt op dat mensen met name klagen over het feit dat afmelden voor deze werving niet of moeilijk gaat. Zes klachten gingen over telemarketing en nog eens vijf over het gebruik van data. Bij telemarketing blijkt het soms onvoldoende duidelijk dat consumenten die ingeschreven staan in het Bel-me-niet register nog wel benaderd kunnen worden door organisaties waar zij een klantrelatie mee hebben. De overige klachten betroffen misleiding, ongeadresseerd reclamedrukwerk en online behavioral advertising. Grafiek 1: oplossingspercentage
oPGeLoSt onGeGronD nieT oPGelosT/ in beHAnDelinG

56 7 10 5
n = 73 (in absolute aantallen)

14

56 van de 73 klachten zijn opgelost. Zeven klagers zijn doorverwezen naar de ontdubbelregisters van Postfilter en het Bel-me-niet register. tien klachten zijn niet opgelost. in n geval betrof het een buitenlandse aanbieder (geen DDMA-lid) en is de klager doorverwezen naar oPtA. in vijf gevallen betrof het een nederlandse aanbieder (geen DDMA-lid), die niet reageerde. Deze klagers zijn doorverwezen naar de Stichting reclame code en de oPtA. in n geval betrof het een brede klacht die niet te herleiden was naar een enkele organisatie. en in twee gevallen vermeldden de klagers niet over welke organisatie hun klacht ging, met hen wordt contact gezocht. consumenten en DDMA-leden spreken hun waardering uit voor de snelle afhandeling van hun klachten. aanbevelingen De Privacy Autoriteit heeft in twee gevallen een aanbeveling gedaan. De eerste klacht betrof een misleidende titel van een online enqute bestemd voor lead-generation. De organisatie heeft de aanbeveling deze titel aan te passen, opgevolgd. De tweede klacht betreft het ontdubbelen met de eigen suppressielijst van een organisatie. De klager is opgenomen op een interne suppressielijst, maar ontving desondanks e-mail van de organisatie omdat deze op een extern bestand mailde. De organisatie moet nog reageren op de aanbeveling van de Autoriteit, waarin kenbaar wordt gemaakt dat ook externe bestanden ontdubbeld dienen te worden met de eigen supressielijst.

15

besT pracTice
overzichT organisaTies:
2contact 2organize 3BM Address Services 4DM Services A.A.B. communicatie Ace european Group limited Acquisitiebureau noord-nederland Add to Favorites bv Admitter nederland bv Aids Fonds Alembo Annie connect bv AnWB Artsen Zonder Grenzen Arvato Services nederland B.v. Blinker B.v. Bruka Service B.v. cAPter cendris Data consulting cherridata B.v. clickQ closecontact communicatie Data Diensten nederland crazy 88 Media Database Fulfilment bv dB online telemarketing DDMS B.v. DeLA Delphi communications B.v. Direct Force B.v. Dix reclamebureau DMcc nederland B.v. DM Desk direct marketing DM interface DraftFcB d-tail company e2Ma Consumer Profiling ecircle ematters euro Mail bv experian nederland B.v. Focus conferences B.v. Fund!team Green orange digital marketing Hersenstichting nederland iDreams ifunds impress inBetween Marketing Services invicta B.v. keystone consultancy B.v. kWF kankerbestrijding LaSer nederland B.v. LcF Data Processing B.v. Loyalty Lab B.v. MarktSelect Mark & Mini McLS nv MDS Group Measuremail Mindwize Mister Mail bv Multi-M/iT research & Consultancy nederlandse Hartstichting nederlandse Stichting voor het Gehandicapte kind nederlandse vereniging tot Bescherming van Dieren nierstichting nederland novins nr6 nuon oMG/Mailmedia outPost bv oxyma Group Pepperminds Pricewaterhousecoopers B.v.

16
Wie voeren het Privacy Waarborg
PrimaPost B.v. Propulsion B.v. Provecho B.v. PSi vransen Qamel rabobank nederland r&F ideas and Application Development rapidSugar bv reed Business reputy robeco Direct n.v. rtL nederland Santander consumer Finance Schober information Group nederland Schoolpagina Selligent interactive B.v. Sellvation Marketing Simavi SnS Bank Snt nederland SSP Stichting Alzheimer nederland Stichting Greenpeace nederland Stichting kinderpostzegels nederland Stop Aids now tapps telegraaf Media Groep n.v. teleteam nederland B.v. tiM Dialogue Marketing B.v. tomeloos tripolis Solutions turnstile Benelux B.v. Unamic/HCn b.V. vandenbusken, the dialogue & branding agency veritate viPcode B.v. WDM nederland Web Power B.v. Wegener nieuwsmedia Wereld natuur Fonds Wij Special Media WWAv van rooij B.v. yourzine

17

besT pracTice Het Privacy Waarborg staat of valt met bekendheid van het logo bij consumenten. Wij zagen het afgelopen jaar enkele mooie voorbeelden voorbij komen:

Schoolpagina

Stichting kinderpostzegels nederland

18

Artzen zonder Grenzen

DMDesk Direct Marketing B.v.

19

telegraaf Media Groep n.v.

DeLA

keystone consultancy B.v.

20

WDM

tAPPS

21

de ddma privacy auToriTeiT

ToezichT & handhaving De DDMA Privacy Autoriteit is een onafhankelijk handhavingsorgaan dat toeziet op de naleving van de privacyregels door organisaties die het Privacy Waarborg voeren. De Privacy Autoriteit controleert de bedrijfsvoering van organisaties op grond van een jaarlijkse vragenlijst: de DDMA Privacy checklist. Daarnaast controleert zij Privacy Statements en uitingen van de betreffende organisaties om te bepalen wie van hen gerechtigd is het Privacy Waarborg te voeren. De DDMA Privacy Autoriteit treedt eveneens op bij geschillen tussen consumenten en bedrijven. Zij doet dit op een snelle en efficinte manier. mensen De DDMA Privacy Autoriteit bestaat uit een voorzitter en twee leden. Drie deskundigen bij uitstek op het gebied van privacy, marketing en nieuwe media. carel rog was directeur Benelux van readers Digest. Daarnaast was hij voorzitter van het DMin (een voorloper van DDMA), de FeDMA en de Privacy commissie van vno-ncW. Hij was lid van de raad van Advies van het cBP en bestuurslid van de Stichting reclame code. edith smit is hoogleraar Media en Advertising aan de uvA en voorzitter van SWocc.

carel rog consumentenvertrouwen is zeker in tijden van crisis een beslissende factor. En betrouwbare organisaties houden zich aan de privacyregels. voorzitter DDMA Privacy Autoriteit paul molenaar verdiende zijn sporen in de online wereld, onder meer als ceo van ilse Media en coo van Sanoma uitgevers. tegenwoordig heeft hij zijn eigen onderneming en is hij lid van de raad van toezicht van de consumentenbond. visie De DDMA Privacy Autoriteit is een handhavingsorgaan voor en door het bedrijfsleven. Zij houdt actief toezicht. De Privacy Autoriteit staat voor verantwoorde directe communicatie en duidelijkheid voor de consument. vertel wat je doet en waarom, zodat iemand een genformeerd besluit kan nemen. Dit is de meetlat waarlangs de DDMA Privacy Autoriteit aanvragen voor het Waarborg legt en klachten beoordeelt. omdat zij gelooft dat ons vakgebied toekomstbestendig is als we verantwoord communiceren. TaaksTelling De Privacy Autoriteit heeft de volgende taken: klachtenloket - voor klachten over het gebruik van persoonsgegevens voor reclame- en marketing doeleinden Bemiddeling - tussen consumenten(organisaties) en bedrijven en bedrijven onderling inzake verwerking van persoonsgegevens voor reclame-doeleinden Monitoring - van leden van de branchevereniging DDMA inzake hun naleving van de wetgeving en zelfregulering met betrekking tot privacy

22

23

vooruiTblik 2012
in 2012 zullen de resterende DDMA-leden geaccrediteerd worden. Leden die de vragenlijst niet invullen en hun bedrijfsprocessen weigeren aan te passen, komen in een sanctietraject, met als uiteindelijke sanctie royement van de vereniging. Daarnaast zal genvesteerd worden in het creren van meer bekendheid. Dit komt allereerst door de inzet en het vertrouwen van de DDMA leden. Het DDMA-ledenbestand is uniek: de vereniging heeft zowel leveranciers als adverteerders als lid. Doordat DDMA-leden op hun websites, bij invulformulieren en privacystatements het logo van het waarborg plaatsen, gaan mensen dit herkennen en zich er in verdiepen. een groot aantal DDMA-leden heeft zich voor 2012 gecommitteerd het logo actief uit te dragen. Als dit op grote schaal wordt toegepast, wordt een breed publiek bereikt. Het Privacy Waarborg is ontwikkeld als middel om welwillende bedrijven te helpen bij de inbedding van privacywet- en regelgeving in hun bedrijfsprocessen. Met name organisaties waarvan data niet de core-business is, zien soms door de bomen van toepasselijke wet- en regelgeving het bos niet meer. Daarom blijft DDMA haar leden assisteren bij het correct toepassen van de Privacy Wetgeving. naast de bestaande juridische dienstverlening, voorlichtingsbijeenkomsten en masterclasses privacy, maakt DDMA een begin met de ontwikkeling van standaard voorwaarden, privacy statements en contracten.

24

Dit zijn onze ambities. en uiteraard horen we graag wat u hiervan vindt. Heeft u opmerkingen of aanvullingen, neem dan contact met ons op via info@privacywaarborg.nl of bel met onze secretaris Jitty van Doodewaerd op 020-4528413. carel rog voorzitter edith Smit Paul Molenaar

www.privacywaarborg.nl