door Matthias de Bruyne
Om de nieuwe regelgeving goed te kunnen uitleggen aan e-mail- en telemarketeers, moeten we verder kijken dan de Algemene verordening gegevensbescherming (AVG). Je komt dan al snel uit bij de Telecommunicatiewet (Tw). Deze wet die waarschijnlijk volgend jaar wordt vervangen door de Europese ePrivacy Verordening, bepaalt de regels op kanaalniveau.
Een van de bepalingen is dat voor e-mail een opt-in verplicht is (e-mail is spam, tenzij er toestemming van de ontvanger is) en voor telemarketing een opt-out (bellen mag, tenzij iemand aangeeft dit niet te willen). Bestaande klanten vormen een uitzondering op deze hoofdregels.
Hoewel het hier feitelijk over een andere wet gaat, speelt de AVG wel een grote rol. Dit omdat je voor e-mail en telemarketing nu eenmaal persoonsgegevens nodig hebt, zoals een e-mailadres of telefoonnummer. En over het verwerken van die gegevens gaat de AVG. Je moet dus met beide wetten rekening houden. Voor de regels voor het benaderen (mag ik deze persoon bellen of mailen?) kijk je naar de Tw. Voor al het overige (mag ik deze gegevens verwerken, met wie mag ik ze delen, et cetera) kijk je naar de AVG.
Opt-ins opnieuw opvragen?
De AVG is direct van invloed op de Telecommunicatiewet omdat die voor de definitie van het verkrijgen van toestemming verwijst naar de Wet Bescherming Persoonsgegevens (Wbp). En laat deze nu net worden vervangen door de AVG. Dat klinkt ingewikkelder dan het is. Het belangrijkste verschil met de huidige definitie voor opt-in, is dat de toestemming van de consument voortaan ‘ondubbelzinnig’ moet zijn.
Toestemming kan niet worden ontleend aan een akkoord op de algemene voorwaarden of het privacy statement. Bij een win-actie bijvoorbeeld mag je de deelnemer niet verplichten akkoord te gaan met de algemene voorwaarden en daarin schrijven dat deelnemers toestemming geven voor het ontvangen van de e-mailnieuwsbrief. Dat is voor Nederland overigens niet nieuw.
Wat wel nieuw is, is de bewijslast die AVG vereist. Als je toestemming hebt verkregen, moet je die kunnen aantonen. De Artikel 29 Werkgroep, een overkoepelend orgaan van Europese privacytoezichthouders, geeft organisaties op dit punt de vrijheid om hiervoor een methode te ontwikkelen die past bij hun dagelijkse bedrijfsprocessen.
Verder blijven de spelregels voor opt-in en opt-out zoals ze zijn. Voor marketeers die zich afvragen of ze nu al hun opt-ins opnieuw moeten aanvragen, is het antwoord dus nee. Tenminste niet als die opt-ins conform de huidige wetgeving zijn verkregen en je ook kunt aantonen hoe je dat hebt gedaan.
Gerechtvaardigd marketingbelang
Sowieso is de kans klein dat je voor het verwerken van persoonsgegevens die je nu gebruikt voor e-mailmarketing nog eens extra toestemming moet vragen. Een voorbeeld: je vraagt een opt-in voor het verzenden van een e-mailnieuwsbrief. Dat is verplicht vanwege de Tw, maar de opt-in moet straks wel voldoen aan de toestemmingsvereisten uit de AVG.
Je moet dus zorgen voor een grondslag op basis waarvan je die gegevens mag verwerken. Voor het e-mailadres heb je toestemming gevraagd, voor de bijkomende personalisatiegegevens niet. Die verwerk je op basis van een andere grondslag: het ‘gerechtvaardigd marketingbelang’.
In de praktijk zal het dus niet vaak voorkomen dat je, naast de toestemming voor e-mail, nog afzonderlijk toestemming nodig hebt om personalisatiegegevens te verwerken. Dat is pas het geval wanneer de impact op de privacy van betrokkenen zwaarder weegt dan jouw marketingbelang.
Bewijsplicht is cruciaal
Behalve toestemming vragen zijn er nog een paar AVG-regels die impact op de bedrijfsvoering hebben. Een daarvan is accountability. Vanaf 25 mei moet je alles vastleggen in een verwerkingenregister én altijd uit kunnen leggen waarom je bepaalde gegevens hebt verzameld en op basis van welke grondslag (zoals toestemming of gerechtvaardigd belang).
Zoals hierboven al uitgelegd moet je toestemming vanaf nu kunnen aantonen. Deze verplichting dwingt je als organisatie vooraf beter na te denken over welke gegevens je van een klant nodig hebt om een bepaalde marketingactie uit te voeren. Het is een extra stok achter de deur om nog meer vanuit het belang van de klant te denken. Om dit zo effectief mogelijk bij te houden, gebruikt een van onze leden hiervoor het privacymanagementsysteem Privacy Perfect.
Informeer je klanten
De extra informatieplicht in de AVG sluit aan op het denken in het klantbelang. Vernieuw daarom je privacy statement en leg duidelijk uit waarom je bepaalde persoonsgegevens nodig hebt, wat je ermee gaat doen en hoe lang je ze bewaart. TUI probeert in dit privacy statement zo min mogelijk juridische taal te gebruiken, legt senior Customer Data Manager Manja Haket uit. ‘ Sterker nog, we zijn zelfs bezig met een video waarin we onze data-aanpak in gewonemensentaal uitleggen. We vinden het echt belangrijk dat onze klanten weten waarom we bepaalde gegevens verwerken.’
Vergeet mij, vergeet mij niet
Naast dit recht op informatie (en het al bestaande recht van verzet en het recht om toestemming in te trekken) hebben mensen voortaan ook het recht om vergeten te worden. Dit is een uitbreiding van het bestaande recht van de betrokkene om persoonsgegevens (onder bepaalde voorwaarden) te laten verwijderen door een organisatie.
Onder de AVG hebben mensen meer mogelijkheden om een bedrijf te verzoeken om hun gegevens te verwijderen. Het is daarom zaak dat je bij het in kaart brengen van de data in je bedrijf, beoordeelt welke data in aanmerking komen voor het recht om vergeten te worden. Zorg ook dat je technisch in staat bent om deze gegevens te verwijderen.
Wees je er ook van bewust dat een verwijderverzoek kan zorgen voor een vreemde situatie: als je alle gegevens van een persoon verwijdert, verwijder je ook eventuele inschrijvingen op je suppressielijst. Je kunt dan ook niet meer garanderen dat je deze persoon nooit meer zult benaderen via bijvoorbeeld een telemarketingactie. Probeer dit daarom zo goed mogelijk uit te leggen als een klant met zo’n vergeetverzoek komt.
In het volgende deel laat ik zien wat de AVG voor social advertising betekent. Heb je nu al een vraag? Ga dan naar de DDMA AVG Hulplijn.
Matthias de Bruyne is legal counsel bij DDMA
Plaats als eerste een reactie
Ook een reactie plaatsen? Word lid van Adformatie!