DUO gebruikt e-mailtrackingsoftware: staat privacy daaraan in de weg?

08-08-2019

Mourcous, Lora

De Dienst Uitvoering Onderwijs (DUO) heeft gebruikgemaakt van trackingsoftware in aan studenten persoonlijk gerichte e-mails, waarmee kan worden aangetoond dat een student een belangrijk bericht heeft geopend. Volgens DUO heeft de Autoriteit Persoonsgegevens (AP) aan DUO laten weten dat het gebruik van de trackingsoftware mogelijk in strijd is met de Algemene verordening gegevensbescherming (AVG), maar dat sprake is van een grijs gebied.

Wat is e-mailtracking?

Het is voor een ontvanger doorgaans niet te zien dat een afzender van een bepaalde e-mail gebruikmaakt van trackingsoftware. De tracking werkt met een transparante pixel of plaatje in de e-mail van één pixel lang en één pixel breed die de afzender helemaal onderaan de e-mail plaatst.

Zodra de ontvaner een e-mail met een dergelijke pixel opent, wordt het plaatje gedownload van de internetserver van de afzender. Daarbij worden (afhankelijk van de software) verschillende gegevens over de ontvanger geregistreerd, zoals het onderwerp van de e-mail; datum en tijd waarop de e-mail is verstuurd; bevestiging dat de ontvanger de e-mail heeft ontvangen; bevestiging dat de ontvanger de e-mail heeft geopend nadat deze is ontvangen; tijdstempel van elke keer dat de e-mail wordt geopend; de geschiedenis van het aantal keer (aantal, datum en tijd) dat de ontvanger de ontvangen e-mail heeft geopend; IP-adres van waaraf de e-mail is geopend en de browser en besturingssysteem die gebruikt zijn door de ontvanger die de e-mail heeft geopend.

Deze data kunnen eenvoudig gekoppeld worden aan het e-mailadres van de ontvanger. De gegevens zijn daarom aan te merken als persoonsgegevens in de zin van de AVG. Daarbij wordt doorgaans ook het IP-adres van de ontvanger geregistreerd, dat op zichzelf al een persoonsgegeven is.

Is het vragen van toestemming voor e-mailtracking verplicht?

In 2006 hebben de Europese privacytoezichthouders (verenigd in de Artikel 29 Werkgroep – nu European Data Protection Board) het gebruik van e-mailtrackingsoftware al aangestipt:

´De Groep van artikel 29 wijst op de ontwikkeling van nieuwe software en diensten zoals "DidTheyReadIt?" waarmee kan worden nagegaan of een e-mailbericht geopend werd. […] De gegevens worden geheim verwerkt; er wordt dus geen informatie over gegeven aan de ontvangers waarvan de gegevens worden vergaard. Bovendien is het voor de ontvangers niet mogelijk om de verzameling van de hierboven vermelde gegevens toe te staan of te weigeren. In tegenstelling tot de klassieke systemen voor de bevestiging van ontvangst van e-mails, heeft de ontvanger bij deze nieuwe producten dus niet de mogelijkheid te aanvaarden of te weigeren dat ontvangstgegevens worden verwerkt ten behoeve van de gebruiker van dit programma.

De Groep van artikel 29 verzet zich ten stelligste tegen deze praktijk, omdat persoonsgegevens over het gedrag van de geadresseerde worden opgeslagen en doorgegeven zonder dat de betrokkene daarmee uitdrukkelijk heeft ingestemd. Deze heimelijk uitgevoerde verwerking is strijdig met de beginselen inzake gegevensbescherming, die eerlijkheid en voorzichtigheid bij het verzamelen van persoonsgegevens vereisen […].

De verwerking van gegevens waaruit blijkt of een ontvanger van een e-mailbericht dit heeft gelezen en of en wanneer hij het heeft doorgezonden naar derden, vereist de ondubbelzinnige toestemming van die ontvanger. Geen andere rechtsgrond kan deze verwerking rechtvaardigen´, aldus de Werkgroep.

Of de Autoriteit Persoonsgegevens deze lijn ook nu zal volgen is nog maar de vraag. De opinie van de Artikel 29 Werkgroep is uitgebracht in 2006, toen trackingsoftware nog in de kinderschoenen stond, zoals door de werkgroep ook in de opinie is bevestigd.

Is er een alternatief?

Een mogelijk alternatief zou zijn om voor e-mailtracking eenzelfde benadering te hanteren als geldt voor cookies. Onder de cookiewetgeving (artikel 11.7a Telecommunicatiewet) geldt het uitgangspunt dat het via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker, alleen is toegestaan op voorwaarde dat de betrokkene daarvoor toestemming heeft verleend. Het vragen van toestemming is echter niet nodig voor cookies die uitsluitend worden gebruikt om informatie te verkrijgen over de kwaliteit of effectiviteit van een website of app, mits het gebruik van dit type cookies geen of slechts geringe gevolgen heeft voor de persoonlijke levenssfeer van de internetgebruiker.

Analytische cookies worden bijvoorbeeld gebruikt om het gebruik van een bepaalde website in kaart te brengen en te analyseren, zodat de kwaliteit van de website verbeterd kan worden. Dit is een duidelijk voorbeeld van cookies die worden gebruikt om informatie te verkrijgen over de kwaliteit of effectiviteit van een dienst van de informatiemaatschappij.

Als de privacygevolgen voor de internetgebruiker gering zijn, valt het gebruik van analytische cookies onder de uitzondering op de cookiebepaling. Om te voorkomen dat het gebruik van analytische cookies meer dan geringe gevolgen heeft voor de privacy van de internetgebruiker, is het vereist dat deze cookies of de daarmee gegeneerde gegevens niet worden gebruikt om bijvoorbeeld een profiel van de internetgebruiker op te stellen, ook niet door een eventuele derde.

Het standpunt zou kunnen worden ingenomen dat wanneer trackingsoftware voor e-mails uitsluitend wordt gebruikt om het bereik van (bijvoorbeeld) een nieuwsbrief te meten, de privacygevolgen voor betrokkenen daarmee gering zijn, zodat het vragen van toestemming achterwege kan worden gelaten. Het verwerken van de geregistreerde persoonsgegevens kan dan ook op een andere AVG grondslag worden gebaseerd, namelijk het gerechtvaardigd belang dat de afzender heeft bij het analyseren van het bereik en de effectiviteit van zijn verzonden nieuwsbrieven. Uiteraard moet de afzender de ontvangers, bij het verkrijgen van het e-mailadres, (in het privacy statement) informeren over het gebruik van e-mailtrackingsoftware.

SLOT

Verschillende nieuwsberichten suggereren dat DUO de gegevens ook kan inzetten in juridische geschillen met (ex)-studenten over het terugbetalen van de studielening. De privacygevolgen van het gebruiken van persoonsgegevens middels trackingsoftware voor een dergelijk doel, zullen in die situatie meer dan gering zijn. DUO gaat hierover nog in gesprek met de AP. Voorlopig is DUO gestopt met trackingsoftware in persoonlijke e-mails.


Dit artikel is ook te vinden in het dossier AVG

Meer artikelen van SOLV Advocaten

Van onze partners

Magazine: Eén jaar AVG

→ Lees meer

Masterclass Privacy: the next step

→ Lees meer

Seminar: Privacy en de gemeente

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer