All your database belong to us

Adressenbestanden van failliete internetbedrijven. 'Koopjes' zijn het inmidels niet meer. De macht van de klant groeit en de waarde van de bestanden wordt uitgehold, door Europese regelgeving en 'adresinflatie'.

Post uit het hiernamaals: Hot-Orange, het internetwarenhuis dat vorig jaar failliet ging, laat op 4 april van zich horen. Het is ook niet Hot-Orange zelf dat contact zoekt, maar Orange (voorheen Dutchtone), dat de klantgegevens heeft overgenomen, hiervan melding maakt en belooft dat het bestand "daags na verzending van deze mail overgedragen wordt aan Kortingsbon.nl".

Drie dagen later heet Kortingsbon.nl de nieuwe klant hartelijk welkom. Het eindpunt is echter nog niet bereikt. In zijn gebruikersvoorwaarden meldt de site dat het de persoonsgegevens van zijn leden ter beschikking stelt aan de bedrijven waar het mee samenwerkt, waaronder Praxis, Duinrel, Frisia Financieringen en Prénatal. (Toevoeging: het gaat hierbij om 'niet tot personen herleidbare gegevens', zoals geslacht, woonplaats en leeftijd)

Bovenstaande is een nette transactie volgens de in Nederland geaccepteerde direct marketing-methoden. De klant wordt op de hoogte gehouden wanneer de persoonsgegevens verkocht zijn en heeft bij ieder contact met de koper de mogelijkheid om zich af te melden (opt-out). Toch roept het vragen op. Waarom dien ik me af te melden en me niet – zoals bij alle bedrijven waar ik klant wordt – juist aan te melden? Mogen mijn bestanden aan buitenlandse bedrijven worden verkocht? En, wat gebeurt er met betalingsgegevens, zoals het creditcardnummer?

Bij de verkoop van adresbestanden is de curator gebonden aan de Wet bescherming persoonsgegevens (WBP), die sinds september vorig jaar in werking is. Volgens deze wet mogen persoonsgegevens alleen verkocht worden als ze gebruikt gaan worden met 'hetzelfde doel' als waarvoor ze vergaard zijn. De klanten van Hot-Orange kunnen dus niet zomaar tot (proef-) abonnee van een pornosite gemaakt worden. Een tweede element is dat de geadresseerde bezwaar kan maken tegenover gebruik van zijn gegevens voor direct marketing-gebruik door anderen. De koper van het adressenbestand dient dan direct te stoppen met het benaderen van de geadresseerde.

Verkoop van adressenbestanden aan het buitenland is toegestaan, zolang de koper maar afkomstig is uit een land dat gelijkwaardige rechtsbescherming voor de persoonsgegevens biedt als Nederland. Binnen Europa geldt dit voor de landen die evenals Nederland de Europese richtlijn op dit gebied hebben onderschreven.

Safe Harbor

Anders werd het toen eBay, dat vorig jaar de veilingsite iBazar overnam, besloot om het Nederlandse klantenbestand van iBazar over te hevelen naar de Verenigde Staten. Regels over de bescherming van persoonsgegevens verschillen tussen Europa en de Verenigde Staten. De koper dient dezelfde rechtsbescherming te bieden als de verkoper. Dit kan door bijvoorbeeld het Safe Harbor-verdrag te onderschrijven waarin handelsafspraken tussen Europa en de Verenigde Staten zijn gemaakt, ondermeer over uitwisseling van persoonsgegevens. Ebay had dit gedaan en kreeg het groene licht.

Wat voor gegevens worden er eigenlijk verkocht? Persoonsgegevens zijn alle gegevens die te herleiden zijn tot een persoon, direct of indirect. Dus behalve naw-gegevens (naam, adres, woonplaats) kunnen ook e-mailadressen en IP-nummers gezien worden als persoonsgegevens, want via de service provider is te achterhalen wie bij deze gegevens hoort. Hetzelfde geldt voor 'anonieme' mailadressen.

Inflatie

De handel in adressenbestanden wordt echter op twee manieren uitgehold. De waarde van een adres is aan inflatie onderhevig. Dit werd duidelijk zichtbaar bij de verkoop van internetproviders, waar een abonnee nog slechts een fractie waard is van het bedrag dat eraan werd toegekend op het hoogtepunt van de internethype. Hoeveel er momenteel wordt neergeteld voor een adressenbestand van een failliet internetbedrijf verschilt uiteraard per geval, maar dat er nu minder voor wordt betaald dan twee jaar geleden lijkt voor de hand te liggen.

Een tweede bedreiging voor de waarde van adressenbestanden komt uit Brussel. Hoewel een definitief besluit nog genomen moet worden neigt de EU naar het instellen van opt-in, waarbij iemand vooraf toestemming dient te geven voordat hij benaderd mag worden met reclame. Dat maakt een adressenbestand in de praktijk onbruikbaar. Zonder toestemming geen mailing, en vice versa. Wel bestaat er volgens de WBP een informatieplicht tegenover eigenaren van persoonsgegevens wanneer hun gegevens elders verwerkt worden. Dat biedt een opening, een bedrijf kan in deze bekendmaking de mogelijkheid van opt-in aanbieden, met het verzoek of er in de toekomst nogmaals mail gestuurd mag worden.

Volgens de DMSA zullen kopers vaker bedingen dat de kosten voor een dergelijke bekendmaking op rekening komt van de verkoper. Daar zal de curator niet blij mee zijn, want het failliete bedrijf maakt dan extra kosten. Maar veel keuze is er niet, ook als de gegevens vernietigd worden dienen de klanten volgens voorschriften van de WBP daarvan op de hoogte te worden gebracht, met eveneens kosten tot gevolg.