AVG bewijsdilemma: “Ik heb me nooit aangemeld voor uw nieuwsbrief” Echt niet?

“Voor de lunch de nieuwsbrief verstuurd. Vervolgens belt er iemand boos en gefrustreerd op. Ze wil die nieuwsbrief niet.”

Je denkt dat je je zorgvuldig aan de AVG houdt, maar toch klopt er iets niet. Heel herkenbaar en frustrerend. Wie heeft er een fout gemaakt? Of laat de techniek je in de steek?

Het citaat in de inleiding is afkomstig uit een tweet van juriste Charlotte Meindersma. Zij blogt, vlogt en tweet onder de titel Charlottes Law regelmatig over dillemmas en vraagstukken die te maken hebben met de Algemene Verordening Gegevensbescherming.

Meindersma noemt zich ‘de social media jurist van Nederland’. Terecht. Haar online bijdragen zijn interessant, helder en professioneel. Een aanrader voor iedereen die meer wil weten over de AVG.

 

De tweet van Charlotte over de woedende vrouw die belt omdat ze zegt zich nooit te hebben ingeschreven voor de nieuwsbrief van Charlottes Law is herkenbaar voor beide partijen in soortgelijke situaties.

De AVG is heel duidelijk wat betreft de adressenlijst van nieuwsbrieven. De eigenaar van de site moet kunnen aantonen dat de ontvanger ooit expliciet heeft aangegeven de nieuwsbrief te willen ontvangen. Dat kan via een dubbele optin.

Na de aanmelding krijgt de aanmelder een mail waarin om bevestiging van de aanmelding wordt gevraagd. Als de aanmelder op de link in deze bevestigingsmail klikt wordt dat vastgelegd in de database van het systeem dat gebruikt wordt om de nieuwsbrieven te versturen.

Als iemand een klacht indient en zegt zich niet te hebben aangemeld kun je in deze database controleren of de klacht terecht is.

Charlotte liet naar aanleiding van de klacht van de vrouw meteen uitzoeken wat er aan de hand kon zijn.

“Wij uitzoeken”, tweet ze. “Heeft zich inmiddels zelf uitgeschreven. Afton spreekt voicemail in om uitleg te geven excuses aan te bieden. Mevrouw belt terug >”

Netjes afgehandeld, denk je dan. Maar er blijft een dilemma. Hoe kwam het mailadres van mevrouw in de database voor de nieuwsbrief van Charlottes Law terecht? Als er gebruik is gemaakt van dubbele optin kan het niet anders dan dat er ooit een aanmelding is gedaan via het mailadres van mevrouw. Immers, de aanmelding moet altijd worden bevestigd via datzelfde mailadres.

Kan het zijn dat de site van Charlotte is gehackt?

Zit er een fout in het systeem?

Frustrerende vragen waar je in het kader van de AVG onderzoek naar zult moeten doen. Je moet in je verwerkingsregister melding maken van het incident. Je moet aangeven welke maatregelen je hebt genomen.

Maar stel nou dat de fout gemaakt is door degene die klaagt? Hoe bewijs je dat dan? Het is jouw woord tegen het woord van de klager.

Charlotte had inmiddels gecontroleerd dat het mailadres inderdaad in haar database stond. Ze vermeldt het niet in haar tweet, maar waarschijnlijk was er een dubbele optin bevestiging.

Maar daarmee is ze nog geen stap verder. Zoeken naar een speld in een hooiberg. Een speld die er misschien helemaal niet is.

Charlotte had dit keer geluk. Mevrouw reageerde op de excuses die waren aangeboden via haar voicemail. Ze erkende heel netjes dat ze zelf fout zat.

“Het was haar man die zich had ingeschreven ‘omdat (ik) zo leuk schrijf(t)’. Dus hij heeft zich weer ingeschreven, meteen voor alle lijsten 🙂 Ze wenst ons een zonnige dag. 🙂 Een vrolijke is het in elk geval.”

 

Maar stel nu dat de klager niet ruiterlijk aangeeft dat ze fout zit? Wat dan?

Waarschijnlijk zal de Autoriteit Persoonsgegevens er geen halszaak van maken als het een enkel incident is.

Maar het ligt natuurlijk anders als er regelmatig soortgelijke klachten binnenkomen over dezelfde website.

En stel dat dan blijkt dat je site is geinfecteerd, gehackt? Dan moet je uitleggen waarom je na de eerste klacht geen maatregelen hebt genomen. Het is dus zaak om iedere klacht serieus te nemen. En vooral ook beleefd te communiceren met de klager. Hoe gefrustreerd die ook reageert.

En de verklaring van de klaagster legt ook een ander praktisch probleem bloot bij de omgekeerde bewijslast voor ondernemers die een AVG-klacht aan hun broek krijgen. Hoe bewijs je dat sommige privépersonen computers of mailadressen delen? Dat dergelijke online partners tegenstrijdige interesses hebben? Zoals in dit geval.

Charlottes Law:

Blog: https://www.charlotteslaw.nl
Twitter: @charlotteslaw
YouTube: https://www.youtube.nl/charlotteslawnl