Een Brits bedrijf dat qr-codes voor bron- en contactonderzoek aanbiedt heeft van de Britse privacytoezichthouder ICO een boete van omgerekend 9300 euro gekregen wegens het versturen van bijna 84.000 marketingmails, zonder dat hiervoor de benodigde geldige toestemming was verkregen.

De Britse overheid kwam vorig jaar met regels voor bedrijven waarbij ze gegevens van hun bezoekers moesten bijhouden. Het bedrijf Tested.me ontwikkelde een oplossing die voor individuen een qr-code genereert. Deze personen kunnen hun qr-code vervolgens bij restaurants, hotels en andere bedrijven laten scannen, zodat hun contactgegevens automatisch aan de betreffende locatie worden verstrekt.

Tijdens het hoogtepunt van de pandemie vorig jaar, tussen september en november, verstuurde Tested.me bijna 84.000 e-mails waarin reclame voor een digitaal gezondheidspaspoort werd gemaakt. Dit zorgde voor klachten bij de Britse privacytoezichthouder die een onderzoek instelde. Daaruit bleek dat Tested.me niet over een geldige toestemming beschikte van de personen naar wie het de marketingmails stuurde.

Onder de tekst waarin toestemming werd gevraagd voor het versturen van marketingmateriaal stond een disclaimer vermeld dat gegevens niet met andere bedrijven en organisaties werden gedeeld en na 21 dagen zouden worden verwijderd. Er werd verder geen enkele privacy-informatie gegeven. Daardoor is er geen sprake van geldige toestemming, aldus de ICO. Volgens de toezichthouder heeft het bedrijf de privacy en elektronische communicatiewetgeving (PECR) niet opzettelijk geschonden, maar had het wel beter moeten weten.