Wat zijn de rechten en plichten van de GDPR straks?

Tekst: Michiel Alkemade*

Het zal je ongetwijfeld niet ontgaan zijn dat op 25 mei 2018 de Algemene Verordening Gegevensbescherming (in het Engels afgekort tot GDPR (General Data Protection Regulation) van kracht wordt.

Met de GDPR gaan we een derde generatie regelgeving op het gebied van de bescherming van data in.

Of zoals het ook wordt genoemd, de bescherming van het fundamentele recht op privacy. En aangezien hier sprake is van een fundamenteel recht, zal wetgeving op dit gebied niet uitblijven. Wat zijn de te verwachten rechten en plichten van de GDPR waar bedrijven zich straks in de praktijk aan gehouden weten wanneer zij persoonsgegevens gebruiken en verwerken voor direct marketing en CRM-doeleinden?

 De GDPR verbiedt nadrukkelijk niet het verwerken van persoonsgegevens, maar gaat over het creëren van voorwaarden en regels die ervoor zorgen dat de data alleen onder strikte voorwaarden kan worden verzameld  en enkel voor legitieme doeleinden, zoals direct marketing, gebruikt.

Organisaties die persoonsgegevens verzamelen en verwerken moeten deze gegevens derhalve beschermen tegen misbruik en bepaalde rechten die betrokkenen hebben, respecteren.

Natuurlijke personen en rechtspersonen

De GDPR heeft in eerste aanleg betrekking op de verwerking van gegevens van natuurlijke personen. Gegevens worden enkel als persoonsgegevens beschouwd als de persoon direct of indirect identificeerbaar is. Wanneer iemand zich op het internet begeeft, zal hij vaak vitale persoonlijke informatie, zoals naam, adres en creditcardnummer vrijgeven aan de Internet Service Provider en aan de website die hij gebruikt.

Van indirecte identificatie is bijvoorbeeld sprake als een natuurlijke persoon zijn zakelijke computer gebruikt en er een tracking cookie wordt geplaatst. Hoewel identificatie op naam, et cetera, niet mogelijk is, worden elke keer dat het tracking cookie wordt uitgelezen, de verzamelde data aangemerkt als persoonsgegevens.

 Als er meer informatie dan alleen de contactgegevens van de rechtspersoon wordt verzameld, en de informatie bijvoorbeeld ook de naam van een contactpersoon, diens geregistreerde hobby’s, leeftijd en/of andere persoonlijke voorkeuren bevat, wordt dit beschouwd als gegevens van een natuurlijke persoon en is de GDPR dus ook van kracht.

Toestemming en blokkeren

Voor sommige elektronische communicatiekanalen is  toestemming (opt-in) of opt-out vereist. Zo zal voor het gebruik van e-mail/sms/mms met een direct marketing-boodschap (een boodschap voor commerciële doeleinden) voorafgaande toestemming nodig zijn. Het verzoek om toestemming moet  in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal gebeuren.

 ‘Eens gegeven, altijd gegeven’ gaat niet op als het gaat om het geven van toestemming voor het verzamelen en verwerken van gegevens. Iemand heeft altijd het recht om zijn gegevens te blokkeren tegen de verwerking voor direct marketing-doeleinden. Een rechtspersoon heeft dit recht niet, die kan alleen zijn toestemming voor het gebruik van het-emailadres intrekken.

Het uiteindelijke resultaat is echter hetzelfde

Profilering

Direct marketeers gebruiken profileringstechnieken voor segmentatiedoeleinden of om een

relevante doelgroep te selecteren. Met de GDPR blijft dit toegestaan zolang de marketingactie niet gericht is op het creëren van een rechtsgevolg of significant effect. Als er een serieus rechtsgevolg of significant effect is, dan is dit alleen toegestaan in geval van de uitvoering van een overeenkomst,

toestemming van de betrokkene of een wet, en zal er wederhoor moeten worden geboden.

Ten aanzien van de verwerkingsprincipes blijven  de bestaande principes (Rechtmatigheid, behoorlijkheid en transparantie; Doelbeperking en verenigbaar gebruik voor statistisch onderzoek; Gegevensminimalisering; Juistheid; Opslagbeperking; Integriteit en vertrouwelijkheid) van kracht.

Een nieuw beginsel, te weten de verantwoordingsplicht, wordt toegevoegd. Met dit principe wordt de verwerkingsverantwoordelijke verantwoordelijk voor de naleving en moet hij deze naleving tevens kunnen aantonen.

De GDPR is vooral bedoeld om consumenten beter te beschermen. En ja, dit brengt nieuwe verplichtingen mee voor bedrijven om GDPR-compliant te worden. Tegelijkertijd ben ik er ook van overtuigd dat de GDPR het denken van bedrijven over data privacy kan veranderen en tot nieuwe kansen kan leiden.

Maar hierover meer in mijn volgende blogs.

*Dit is blog 1 uit een serie van drie die Michiel Alkemade, algemeen directeur van Computer Profile Nederland, schreef over direct marketing en GDPR. De volgende blog, volgende week maandag, gaat over hoe de GDPR het denken van bedrijven over privacy verandert, aan de hand van dataportabiliteit. 

Beeld: Descrier