Laatst annuleerde een opdrachtgever een onderzoek omdat, bij nader inzien, de Chief Information Officer van het bedrijf van mening was dat de e-mailadressen van klanten niet zonder toestemming van de betrokkenen gebruikt mochten worden om hen uit te nodigen voor een klanttevredenheidsonderzoek. Dit is voor het eerst dat ik dit heb meegemaakt in de jaren dat ik Privacy Officer ben van Blauw Research. En ondanks dat ik echt mijn best heb gedaan, lukte het mij niet hem er van te overtuigen dat dit wel toegestaan is.
Het privacyspook waart rond!
Nu kan ik niet uitsluiten dat dit lag aan mijn overtuigings-kwaliteiten, maar ik denk dat er meer aan de hand is. Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) of op z’n Engels de GDPR van toepassing. En dat is iets waar we heel erg bang voor moeten zijn, want we zijn allemaal niet of onvoldoende voorbereid. Dat zien we immers vaak voorbij komen in de media. Dus het is volkomen logisch dat je in paniek raakt, want de mogelijke boetes zijn niet mis toch?
Marktonderzoek en privacywetgeving
Nu ben ik zelf niet zo bang aangelegd. Ik geloof niet in spoken of het bovennatuurlijke. Als econometrist en marktonderzoeker, baseer ik me liever op feiten. En ik beperk me hier voor het gemak even tot de feiten die betrekking hebben op het vak waarin ik werkzaam ben (en jij waarschijnlijk ook, aangezien de titel van dit artikel je interesseerde). Maar hoe zit het nu echt? Daarvoor is nodig om te weten waar we vandaan komen. Hoe is marktonderzoek geregeld onder de huidige privacy wetgeving? De wettekst van de Wbp bevat een aantal verwijzingen naar het de term “verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden”. Nu denk je misschien: “maar daar staat toch geen marktonderzoek?” Dat was ook het argument van de CIO hierboven. Daarvoor is het nodig om naar de Wbp naslag te kijken. Dit is de toelichting op de Wbp, waarin staat hoe de wet geïnterpreteerd dient te worden. Hierin staat een uitspraak van de minister van justitie toen de Wbp werd besproken in de tweede kamer en deze luidt: “Mede tegen deze achtergrond achten wij het overbodig en ook onwenselijk in het wetsvoorstel een onderscheid aan te brengen tussen zuiver wetenschappelijk en commercieel onderzoek zoals beleidsonderzoek en marktonderzoek.” Of in normaal Nederlands: waar de Wbp spreekt over statistische doeleinden mag je marktonderzoek lezen.
Marktonderzoek onder de Wbp
En waar spreekt de Wbp over statistische doeleinden? De belangrijkste artikelen zijn artikel 9 lid 3, 10 lid 2, 23 lid 2 en artikel 44. Deze artikelen bevatten uitzonderingen op de Wbp daar waar persoonsgegevens worden verwerkt voor onderzoeksdoeleinden. En die uitzonderingen zijn wij als branche heel blij mee, omdat het ons in staat stelt om mensen deel te laten nemen aan onderzoek en de uitkomsten van die onderzoek op geaggregeerd (en dus niet individueel herleidbaar) terug te koppelen aan onze opdrachtgevers.
Als ik de inhoud van bovenstaande artikelen probeer te vertalen in normaal Nederlands, dan zou ik het als volgt samenvatten:
- persoonsgegevens (bijv. e-mailadressen) mogen gebruikt worden voor onderzoeksdoeleinden, ook al heeft degene die het betreft geen toestemming gegeven om het daarvoor te gebruiken, toen hij de gegevens verschafte (art. 9 lid 3). Je hebt dus geen toestemming nodig van een respondent om hem te mogen uitnodigen voor onderzoek.
- Je mag gegevens langer bewaren voor onderzoeksdoeleinden dan nodig was voor het doel waarvoor de gegevens zijn verkregen (art. 10 lid 2).
- Bijzondere persoonsgegevens (ras, religie, etc.) mogen gebruikt worden voor onderzoeksdoeleinden, mits je er zeer zorgvuldig mee omgaat en aan specifieke regels houdt die voorkomen dat respondenten er mogelijk nadelen van ondervinden (art. 23 lid 2)
- Je hoeft betrokken niet te informeren dat je hun gegevens gebruikt voor onderzoek en je hoeft ook geen inzage te geven in de gegevens die je gebruikt als een betrokkene daar om vraagt (art. 44).
En de telecomwet dan?
Dus jij zegt dat je mensen mag e-mailen om deel te nemen aan onderzoek ook al heb je geen toestemming (opt-in)? Precies! En daar raakt menig marketeer of CIO compleet van in de war. Hiervoor is het nodig om terug te gaan naar 2007. Toen is bepaald: “Telefonische informatievergaring ten behoeve van markt- en verkiezingsonderzoek worden niet onder het begrip telemarketing begrepen” bron. In die tijd kwam online onderzoek nog maar net om de hoek kijken en was telefonisch onderzoek nog de standaard. En naar analogie mag deze uitspraak ook worden toegepast voor online onderzoek. Niet overtuigd dat dit ook geldt voor e-mails? Lees dit eens!
Maar met de GDPR wordt alles toch anders?
De GDPR heeft zeker impact. Zo zijn bedrijven in bepaalde gevallen verplicht een Functionaris Gegevensbescherming aan te wijzen en tevens verplicht zogenaamde Privacy Impact Assesments (PIA’s) te doen. Maar op het gebied van marktonderzoek is er iets bijzonders aan de hand. Heel veel van de uitzonderingen die de Wbp biedt voor marktonderzoek komtje ook tegen in de GDPR! Je moet er wel 88 pagina’s in kleine lettertjes voor doorlezen, maar dan weet je het ook precies. De artikelen 5 lid 1 b en 1 e, 9 lid 2 j, 14 5 b en artikel 89 bevatten, in andere woorden, dezelfde uitzonderingen voor statistische doeleinden als de Wbp. Om te laten hoe de twee wetten zich tot elkaar verhouden heb ik dit overzicht gemaakt.
Verandert er dan helemaal niets met de GDPR?
Nee, er verandert wel iets. Waar de Wbp het recht op inzage niet verplicht stelt, zie ik geen uitzondering voor statistische doeleinden in de GDPR. Klopt iemand bij je aan, en vraagt hij/zij welke persoonsgegevens je verwerkt voor je onderzoek, dan dien je daar dus antwoord op te geven. Is dat erg? Als het goed is niet. De toelichting op de Gedragscode voor Onderzoek en Statistiek, waar alle leden van de MOA zich aan dienen te houden, bevat altijd al een passage die luidt: “Alhoewel de Wet bescherming persoonsgegevens in artikel 44 bepaalt dat bij onderzoek het inzagerecht op basis van artikel 35 Wbp kan worden geweigerd, zijn de opstellers van mening dat voor het onderzoek waarop deze gedragscode betrekking heeft, een inzage verzoek niet per definitie moet worden geweigerd. Wanneer een betrokkene inzage vraagt in zijn gegevens zal naar redelijkheid en billijkheid hieraan worden voldaan.”
En een belangrijke toevoeging van de GDPR is het “recht op vergetelheid” of in het Engels “the right to be forgotten”. Als de persoonsgegevens niet meer nodig zijn voor het doel waarvoor ze zijn verkregen, dan mag de betrokken eisen dat de gegevens gewist worden. Maar ook hier geldt: de GDPR maakt een uitzondering voor marktonderzoek (Artikel 17 lid 3 d).
Gewoon doorgaan zoals we gewend zijn dus?
Dat ligt er aan. Ook onder de huidige wetgeving zijn er duidelijke regels waaraan we ons dienen te houden. Bijv. niet als bewerker optreden zonder bewerkersovereenkomst en op de juiste manier rapporteren, op geaggregeerd niveau en niet herleidbaar (of toestemming vragen gegevens door te mogen geven). Als je je nu niet aan de privacywetgeving houdt, zal je dat onder de GDPR ook niet doen. En dan moet je misschien toch een beetje bang zijn voor het privacy spook :)
Heb je vragen over de manier waarop je onderzoek doet of wilt gaan doen, en wil je zeker weten dat je voldoet aan de privacywetgeving? Aarzel niet om contact met Ivo Langbroek op te nemen!
Plaats als eerste een reactie
Ook een reactie plaatsen? Word lid van Adformatie!