Natuurlijk wel!
In de afgelopen maanden heb ik veel marktpartijen gesproken over de AVG (GPDR) en de impact die dit heeft op hun marketing praktijk. Daarbij valt mij op dat veel mensen denken dat onder de AVG er ongeveer niks meer mag. En dat terwijl als je de wet nauwkeurig leest, het opvalt dat de AVG ongeveer hetzelfde regelt als de Wet Bescherming Persoonsgegevens. Er is praktisch niets veranderd. Dus als je in het verleden je aan de wetgeving hield, is dat na 25 mei nog steeds het geval.
De twee belangrijkste veranderingen zijn dat de boetes zijn verhoogd en dat verduidelijkt op welke drie onafhankelijke regels je wordt geacht te kunnen aantonen dat je compliant bent. En met name die drie regels zorgen voor veel onduidelijkheid. Ze worden door elkaar gehaald, er worden onderlinge verbanden verondersteld die er niet zijn, ze worden anders geïnterpreteerd dan de wet zegt, etc. Om die reden zal ik kort uitleggen wat je als marketeer wordt geacht aan te tonen om aan de wet te voldoen:
Regel 1 Grondslag: heb ik het recht om persoonsgegevens te verwerken voor (online)marketing doeleinden?
Ja dat recht heb je. Zolang je er maar een goede reden voor hebt die door de wet wordt erkend. In de wet worden dit grondslagen genoemd. Er zijn er 6 (o.a. noodzakelijk voor de uitvoering van een contractuele verplichting, vitaal belang, publiekrechtelijke taak, etc.) Jij als marketeer zal meestal een beroep doen op ofwel permissie/toestemming, ofwel gerechtvaardigd belang. Merk op dat direct marketing expliciet wordt genoemd in de wet als domein waarop gerechtvaardigd belang als grondslag van toepassing is.
Permissie is dus lang niet altijd verplicht en dus ook niet altijd nodig. Permissie is wel verplicht op persoonsgegevens die via elektronische weg zijn verzameld (bijvoorbeeld cookie informatie en e-mail adressen) en dus onder de telecommunicatiewet van 2016 vallen. Maar dat is al meer dan 2 jaar zo, dus daar is niks veranderd onder de AVG. Informatie zoals CRM-data, transactiehistorie, profielinformatie van derden kan ook worden ingezet onder de grondslag gerechtvaardigd belang.
Regel 2 Doelbinding: Voor welk doel mag ik persoonsgegevens verwerken?
Je mag persoonsgegevens verwerken voor het doel waarvoor je die gegevens verzameld hebt (doelbinding). De truc is dat je moet aantonen dat je aan de eisen van doelbinding voldoet. Dat betekent dat je in een document moet vastleggen voor welke doelen je de gegevens verwerkt. Het privacy beleid is een prima plaats daarvoor. Vervolgens moet je er ook voor zorgen dat de individuen van wie je persoonsgegevens verwerkt, hiervan op de hoogte kunnen zijn door transparante communicatie. En je moet je houden aan de doelen die je hebt vastgelegd in je privacy document. Als je dan vragen krijgt, kun je enerzijds aantonen dat je je aan het beginsel van doelbinding houdt en anderzijds dat het individu dit had kunnen weten.
Doelbinding staat los van grondslag. Je moet aan de eisen van doelbinding voldoen ongeacht van welke grondslag je je bedient. Je moet ook transparant zijn in jouw communicatie en consumenten het recht bieden van inzage, verwijdering, vergetelheid, portabiliteit etc., ongeacht de grondslag die je gebruikt. Andersom is er ook geen eis over welke grondslag je moet gebruiken, gekoppeld aan enig doel. Dus het zijn allebei harde eisen maar ze hebben in beginsel geen relatie onderling.
Regel 3 Verwerking: Op welke manier mag ik persoonsgegevens verwerken?
Je mag persoonsgegevens verwerken op verschillende manieren. Je kunt persoonsgegevens in een kaartenbak in je kluis bewaren, ze op individuele basis laten oproepen door je callcenter medewerkers ter ondersteuning van telefoongesprekken, je kunt er statistische analyses mee maken of selecties. Je kunt ze ook gebruiken voor profiling, zoals persona's. Al deze toepassingen zijn mogelijk en toegestaan. Wel is bij profiling een extra regel van toepassing. Immers, omdat profiling gebruik maakt van voorspellingstechnieken en veronderstelde correlaties, is het niet toegestaan om geautomatiseerd beslissingen te nemen over individuen die rechtsgevolgen hebben voor het individu. Maar keuzes over welke marketingboodschap je aan wie communiceert mogen zeker op basis van profiling worden gemaakt.
Ook hier geldt weer dat er geen relatie is tussen de eisen rond verwerking en de andere twee regels (grondslagen en/of doelbinding). Als je besluit profiling in te zetten, moet je je houden aan de profiling regels. Er is geen verband met of je de grondslag permissie gebruikt of de grondslag gerechtvaardigd belang. En de regels rond doelbinding veranderen ook niet op basis van welke verwerkingsmethode je hanteert.
Samengevat
Het is voor marketeers toegestaan persoonsgegevens te verwerken voor hun (online)marketing praktijk. Zolang je maar een in de wet vastgelegde reden of grondslag hebt. Voor data die onder de telecommunicatiewet valt is permissie verplicht, het gebruik van andere persoonsgegevens is prima te rechtvaardigen onder de grondslag “gerechtvaardigd belang”. En zolang je je aantoonbaar aan de regels van doelbinding en transparantie houdt is de AVG niet veel anders dan de WBP. Wel een aanzienlijk grotere administratieve taak maar niet een beperking van de marketingmogelijkheden.
Wil je reageren op dit bericht of heb je een vraag?
-----