Het gebruik van tracking software op persoonlijke e-mails – zonder gerechtvaardigd belang- is in strijd met de AVG . Dat heeft de Dienst Uitvoering Onderwijs (DUO) onlangs ondervonden. DUO heeft toegegeven software te hebben gebruikt op alle verzonden e-mails naar studenten, om inzicht te krijgen of zij de e-mails hebben geopend of niet.

Dit bericht heeft voor aardig wat opschudding gezorgd. Tracking software in e-mails is namelijk niks nieuws en wordt al jaren gebruikt. Echter, nu is gebleken dat DUO de privacyregels met deze software heeft overtreden, zijn er binnen veel organisaties alarmbellen afgegaan. Maar hoe terecht is dit en wat zijn nu de regels omtrent tracking software? Wij leggen het u graag uit.

DUO volgde alle e-mails

Om de zaak goed te begrijpen, is het belangrijk om na te gaan hoe tracking van een e-mail werkt en hoe DUO de software gebruikte. In het kort: er worden tracking pixels toegevoegd aan e-mails. Dit zijn traceerbare stukjes informatie waarmee kan worden gezien of een e-mail is geopend of niet. Deze informatie wordt vervolgens weer gestuurd naar de verzender, die dit inzichtelijk krijgt en deze informatie kan gebruiken voor verschillende doeleinden.

En daar ligt het knelpunt: deze doelen kunnen verschillen per organisatie en daarmee in strijd zijn met de regelgeving volgens de AVG. Er is namelijk vastgelegd welke data organisaties mogen verzamelen en aan welke voorwaarden moet worden voldaan. Eén daarvan is dat er een gerechtvaardigd belang moet zijn, als het gaat om de verwerking van persoonsgegevens.

DUO heeft alle e-mails aan studenten verzonden met de tracking software. Zelfs als daar geen gerechtvaardigd belang bij was. Daarnaast waren de studenten niet geïnformeerd over het feit dat er gebruik werd gemaakt van tracking. En dat gaat tegen de regels in van de AVG, want deze stelt dat betrokkenen op de hoogte moeten worden gesteld dat hun leesgedrag wordt gevolgd.

Het tracken van e-mails is dus niet in strijd met de AVG, mits het een aantoonbaar en gerechtvaardigd doel heeft en de ontvangers op de hoogte zijn gesteld. Door alle verzonden e-mails te volgen – zonder medeweten van de ontvangers – heeft DUO dus een grens overschreden.

E-mailtracking met een gerechtvaardigd belang

SmartLockr maakt ook gebruik van e-mailtracking. Maar, dit wordt slechts ingezet als krachtige functie voor een gerechtvaardigd belang: het ontdekken en melden van datalekken. Mocht de verzender van een e-mail per ongeluk verkeerde informatie hebben gestuurd of informatie naar de verkeerde persoon, dan kan e-mailtracking helpen om inzicht te geven of er een eventueel datalek is. Mocht dit het geval zijn, dan zorgt de verkregen informatie ervoor dat ditHet gemeld kan worden bij de Autoriteit Persoonsgegevens. Enkel voor dit doel wordt e-mailtracking ingezet.

In aanvulling daarop zullen wij ontvangers duidelijk inlichten over het feit dat het leesgedrag wordt gevolgd. Door het toevoegen van een melding in de e-mail, waarbij de ontvanger op de hoogte wordt gesteld van de tracking software, kunnen wij misverstanden uit de weg gaan. Wij willen namelijk dat iedereen zo goed mogelijk geïnformeerd wordt en op de hoogte blijft omtrent alle ontwikkelingen op gebied van beveiliging.