Hoe om te gaan met e-mail tracking

In de Volkskrant van vorige week las ik het bericht dat de Dienst Uitvoering Onderwijs (DUO) de privacyregels overtreedt met volgsoftware in e-mails aan studenten. DUO, zo meldt de krant, heeft zogenoemde trackingsoftware gebruikt in aan studenten persoonlijk gerichte e-mails. Dat is in strijd met de Algemene verordening gegevensbescherming (AVG).

De techniek van e-mail tracking is overigens niet nieuw. E-mail tracking is al lange tijd populair bij marketeers. Door deze techniek toe te passen is bijvoorbeeld eenvoudig te zien hoe vaak een nieuwsbrief wordt geopend en door wie. De tools die e-mail tracking mogelijk maken zijn eenvoudig te verkrijgen en op grote schaal in te zetten.

Email tracking

Aan een getrackte mail is een minuscule afbeelding toegevoegd. Denk hierbij aan de grootte van slechts één pixel. Deze pixel is transparant, waardoor die niet zichtbaar is. Wanneer je deze mail opent, wordt de onzichtbare afbeelding automatisch gedownload van een internetserver van de verzender. Op die server wordt jouw download geregistreerd inclusief een aantal gegevens, zoals bijvoorbeeld het tijdstip van openen, je IP-adres en je locatiegegevens. Telkens wanneer je de mail opent wordt dit geregistreerd.

Toestemming als grondslag voor verwerking

De data die een getrackte mail verzamelt wordt dus gekoppeld aan het e-mailadres en/of het IP-adres van de ontvanger. De gegevens zijn aan te merken als persoonsgegevens in de zin van de AVG. De European Data Protection Board (EDPB), voorheen de Artikel 29 Werkgroep, heeft zich hierover een aantal jaren gelden al uitgelaten:

The Working Party 29 expresses the strongest opposition to this processing because personal data about addressees’ behavior are recorded and transmitted without an unambiguous consent of a relevant addressee. This processing, performed secretly, is contradictory to the data protection principles requiring loyalty and transparency in the collection of personal data (…).
In order to carry out the data processing activity consisting in retrieving from the recipient of an email, whether the recipient has read it and when and whether it has forwarded it to third parties, unambiguous consent from the recipient of the email is necessary. No other legal grounds justify this processing. Therefore, the data processing that is performed secretly is contradictory to the data protection principles requiring unambiguously given consent, (…).

De verwerking van gegevens waaruit blijkt of een ontvanger van een e-mailbericht dit heeft gelezen en of hij het heeft doorgestuurd naar derden, vereist ondubbelzinnige toestemming van die ontvanger. Geen andere rechtsgrond kan deze verwerking rechtvaardigen, zo stelt de EDPB. De EDPB zet hiermee de overige vijf grondslagen die de AVG kent voor het verwerken van persoonsgegevens buiten spel. Laat ik de grondslagen nog maar eens een keer noemen:

  • Toestemming van de betrokken persoon.
  • Noodzakelijk voor de uitvoering van een overeenkomst.
  • Noodzakelijk voor het nakomen van een wettelijke verplichting.
  • Noodzakelijk ter bescherming van de vitale belangen.
  • Noodzakelijk voor de vervulling van een taak van algemeen belang of uitoefening van openbaar gezag.

De vereiste voor “ondubbelzinnige toestemming” zie je ook terug bij de cookiewetgeving in art.11.7a Telecommunicatiewet. Hierbij geldt het uitgangspunt dat het via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker, alleen is toegestaan op voorwaarde dat die gebruiker daarvoor toestemming heeft verleend en dat de gebruiker hierover wordt geïnformeerd. Op grond van lid 3 van ditzelfde artikel is het vragen van toestemming overigens niet nodig voor cookies die uitsluitend worden gebruikt om informatie te verkrijgen over de kwaliteit of effectiviteit van de geleverde dienst, mits dit geen of slechts geringe gevolgen heeft voor de persoonlijke levenssfeer van de gebruiker.

Cookiewetgeving voor e-mailtracking?

Ik kan me voorstellen dat hetgeen opgaat voor cookies ook kan gelden voor e-mailtracking. De ontvanger dient vooraf te worden geïnformeerd en dient toestemming te verlenen voor het inzetten van e-mailtracking. Echter wanneer de e-mailtracking  slechts wordt gebruikt om de effectiviteit van bijvoorbeeld een nieuwsbrief te meten en de privacy gevolgen zijn gering, dan kan toestemming achterwege blijven. Gezien de actualiteit van dit onderwerp verwacht ik dat er op korte termijn meer duidelijkheid gaat komen, bijvoorbeeld in de zin van jurisprudentie of richtlijnen.


"Het blog Juridict.nl verschaft inzicht in het domein Recht en ICT. Dit zowel vanuit juridisch- als vanuit ICT perspectief."