In een eerdere blog schreef ik over mijn online-shop-ervaring met die ene zomerjurk. Omdat die webshop om mijn akkoord vroeg voor haar privacyverklaring, vroeg ik mij af of zij wellicht stiekem mijn persoonsgegevens voor andere doeleinden wilde gebruiken en daarom een vinkje voor akkoord vroeg. In de tussentijd heb ik nog véél meer webshops bezocht en ook allerlei creatieve privacyverklaringen én misplaatste checkboxes gezien (ja, ik ben zo’n shopaholic ;)).

Marketing en privacy

Ook op zakelijk vlak kwam ik een vergelijkbare situatie tegen. Recentelijk ondersteunde ik een fitnessclub die een wijziging van de privacyverklaring nodig had. Waarom? De club wilde graag méér doen met de persoonsgegevens van haar klanten. Er wordt namelijk een nieuwe app gelanceerd waarin sporters personal training kunnen boeken en tips (plus mooie aanbiedingen) over trainingen, voedingsschema’s en supplementen kunnen krijgen. Om die app te promoten, zijn er ook mooie marketingplannen gemaakt waarvoor, je raadt het al, data nodig blijkt te zijn. Volgens deze fitnessclub was een simpele aanvulling in de privacyverklaring voldoende om de persoonsgegevens uit de database van bestaande klanten hiervoor te mogen gebruiken.

AVG-fabeltje van vandaag: Met mijn klantgegevens mag ik alles, als ik dat maar in de privacyverklaring zet. 

Ik hoor je denken: ‘is dat wel een fabeltje?’ Terecht, dit is tricky omdat er ook een stukje waarheid in zit. In de privacyverklaring informeer je onder meer over wat je als organisatie zoal doet met persoonsgegevens. Informeer je volledig, toegankelijk en in begrijpelijke taal? Dan voldoe je al snel aan de informatieplicht. Hartstikke goed natuurlijk, maar je bent er nog niet. De informatieplicht is namelijk niet de enige eis waar je bij (nieuwe) gegevensverwerkingen rekening mee moet houden.

 

Doelbinding

Je hebt persoonsgegevens op een bepaalde manier en met een specifieke reden verkregen. Dat geldt ook voor de eerdergenoemde fitnessclub. Het bestand met klantgegevens dat zij wil gebruiken voor het promoten van de app is ontstaan doordat haar klanten zichzelf ooit als lid hebben ingeschreven. Haar websitebezoekers hebben zich ooit voor de nieuwsbrief aangemeld en zijn zo in het nieuwsbrievenbestand terechtgekomen. De fitnessclub mag die gegevens dan enkel gebruiken voor het doel waar ze deze persoonsgegevens voor heeft gekregen. Wil zij toch méér doen met die persoonsgegevens, dan mag dat alleen wanneer het doel van die nieuwe verwerking (in dit geval het promoten van die app door middel van gebruik van klant- of websitebezoekersgegevens verenigbaar is met het oorspronkelijke doel. Dat wil zeggen dat je de gegevens die je in je bezit hebt, niet opeens mag gaan gebruiken voor doeleinden die geen verband houden met het oorspronkelijke doel, namelijk het lidmaatschap of het bezoek aan de website en ontvangen van de nieuwsbrief. Verenigbaar met het doel zou namelijk zijn het gebruiken van de gegevens van de websitebezoekers om een beter functionerende website te kunnen aanbieden of de klanten te informeren over de gewijzigde openingstijden.

Gerichte marketing e-mails over de nieuwe app en de supplementen die je wil verkopen is per definitie niet verenigbaar met het oorspronkelijke doel. De websitebezoekers (of klanten) die via de nieuwsbrief op de hoogte willen blijven van nieuwtjes over de fitnessclub, mag je onder bepaalde omstandigheden wel informeren over de app, maar niet altijd zomaar benaderen met de spannende nieuwe marketinginitiatieven.

 

Waar moet je dan volgens de AVG rekening mee houden bij het bepalen of er sprake is van een verenigbaar doel? In ieder geval moet je beoordelen:

  • Of er een verband bestaat tussen het oorspronkelijke doel waarvoor de persoonsgegevens zijn verzameld en de doeleinden van de verwerking die je voor ogen hebt (de verdere verwerking);
  • Of de verwerking past in het kader waarin de persoonsgegevens waren verzameld en of deze nieuwe (verdere) verwerking door de betrokkene te verwachten Hier is met name belangrijk om te kijken of deze verdere verwerking past binnen de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke (bijv. werknemer – werkgeverrelatie);
  • Of de aard van de persoonsgegevens de verdere verwerking toelaat, met name of bijzondere categorieën van persoonsgegevens worden verwerkt;
  • Wat de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen zijn en hoe groot de impact hiervan is op het privéleven van de betrokkene;
  • In hoeverre er al passende waarborgen zijn getroffen om de impact op het privéleven zo beperkt mogelijk te houden. Denk hierbij aan de toepassing van versleuteling of pseudonimisering.

 

Is er geen doelbinding? Dan heb je een nieuwe grondslag nodig, zoals toestemming.  De mogelijkheid van verdere verwerking kan namelijk niet als zelfstandige grondslag voor die verwerkingen optreden. Wanneer we het hebben over het versturen van nieuwsbrieven, is niet alleen de AVG van belang, maar speelt ook de Telecommunicatiewet een rol. Dit is een Nederlandse wet die gaat over communicatie via de telefoon of het internet.

Toestemming?

Uit die Telecommunicatiewet blijkt dat in bepaalde gevallen geen toestemming nodig is voor het versturen van een nieuwsbrief, maar dat geldt alleen als er een bestaande klantrelatie is. Klanten die hun contactgegevens zélf hebben verstrekt bij de aanschaf van een product of dienst, mogen nieuwsbrieven krijgen over gelijksoortige producten of diensten van diezelfde organisatie. De klant moet dan bij het invullen van zijn gegevens destijds wél een mogelijkheid hebben gehad om aan te geven dat hij dit niet wil. Bovendien moet bij elke nieuwsbrief worden vermeld hoe de klant het versturen van verdere reclame stop kan zetten. Dat zijn aanvullende vereisten, waar de fitnessclub geen rekening mee had gehouden. Voor de marketinginitiatieven van de fitnessclub is dan ook een nieuwe grondslag nodig. De bestaande klanten of de websitebezoekers moeten dan worden gevraagd of ze op de hoogte willen worden gehouden van de nieuwe ontwikkelingen, producten en diensten van de fitnessclub en kunnen dan voor die doeleinden hun gegevens verstrekken. De aangewezen grondslag is dan ook de actieve inschrijving voor die nieuwsbrief wat als toestemming kan worden gezien. Die toestemming moet ook weer aan een aantal vereisten voldoen, die lees je terug in mijn eerdere blog.

 

In lijn met de AVG

Is dat alles? Wat betreft de informatieplicht en grondslag zou je kunnen zeggen van wel. Maar de AVG is breder dan alleen die onderwerpen. De AVG is er niet om allerlei zaken te verbieden of moeilijker te maken, maar juist om op een verantwoorde manier te werken met persoonsgegevens. Door dat te doen kun je aan jouw klanten laten zien dat je op een veilige en rechtmatige manier wil omgaan met klantgegevens. Gelukkig is dat ook wat deze fitnessclub wilde, namelijk haar applicatie en gegevensverwerkingen in lijn met de AVG brengen. Daar helpen wij natuurlijk graag bij!

 

De fitnessclub is dan ook geadviseerd om een DPIA uit te voeren omdat in de app profielen worden aangemaakt en gegevens over gewicht, lengte en eventuele trainingsbeperkingen en allergieën worden geregistreerd. Het verwerkingsregister moet worden aangevuld én er moeten de nodige afspraken worden gemaakt met eventuele, leveranciers, beheerders of hostingbedrijven van de app. Tot slot had de fitnessclub nog niet nagedacht over de rechten van betrokkenen en beveiliging van de persoonsgegevens. Genoeg werk aan de winkel dus, náást het uiteindelijke informeren over de nieuwe applicatie en marketinginitiatieven in de privacyverklaring.

 

Heb je vragen naar aanleiding van dit artikel, of advies nodig over de informatieplicht of ander verplichtingen in het kader van de verwerking van persoonsgegevens? De consultants van Cuccibu staan graag voor jou(w organisatie) klaar!

Tot de volgende editie!

 


Hulp nodig?

De auteur Linde Mensink is Privacy & Legal consulent bij Cuccibu. Informatie is van onschatbare waarde. Voor organisaties, consumenten, werknemers, voor iedereen. Veiligheid van informatie is geen vanzelfsprekendheid en op allerlei vlakken liggen bedreigingen op de loer. Cuccibu helpt organisaties die bedreigingen, die risico’s, op een verantwoorde manier te behandelen (Reduce Risk) zonder het doel van de organisatie uit het oog te verliezen (Create Value). Onze missie: Reduce Risk, Create Value!

Heb je vragen over dit onderwerp of wil je verder praten? Of twijfel je erover of veilige authenticatie van medewerkers of collega’s op dit moment wel goed is geregeld? Neem dan gerust contact met mij op of met een van onze betrouwbare professionals via:

info@cuccibu.nl of +31 (0) 85 3030 2984.