Wat e-mail- en telemarketeers moeten weten over de nieuwe Europese privacywet

De AVG is direct van invloed op de Telecommunicatiewet omdat die voor de definitie van het verkrijgen van toestemming verwijst naar de Wet Bescherming Persoonsgegevens (Wbp). En laat deze nu net worden vervangen door de AVG. Dat klinkt ingewikkelder dan het is. Het belangrijkste verschil met de huidige definitie voor opt-in, is dat de toestemming van de consument voortaan ‘ondubbelzinnig’ moet zijn.

Toestemming kan niet worden ontleend aan een akkoord op de algemene voorwaarden of het privacy statement. Bij een win-actie bijvoorbeeld mag je de deelnemer niet verplichten akkoord te gaan met de algemene voorwaarden en daarin schrijven dat deelnemers toestemming geven voor het ontvangen van de e-mailnieuwsbrief. Dat is voor Nederland overigens niet nieuw.

Wat wel nieuw is, is de bewijslast die AVG vereist. Als je toestemming hebt verkregen, moet je die kunnen aantonen. De Artikel 29 Werkgroep, een overkoepelend orgaan van Europese privacytoezichthouders, geeft organisaties op dit punt de vrijheid om hiervoor een methode te ontwikkelen die past bij hun dagelijkse bedrijfsprocessen.

Verder blijven de spelregels voor opt-in en opt-out zoals ze zijn. Voor marketeers die zich afvragen of ze nu al hun opt-ins opnieuw moeten aanvragen, is het antwoord dus nee. Tenminste niet als die opt-ins conform de huidige wetgeving zijn verkregen en je ook kunt aantonen hoe je dat hebt gedaan.

Sowieso is de kans klein dat je voor het verwerken van persoonsgegevens die je nu gebruikt voor e-mailmarketing nog eens extra toestemming moet vragen. Een voorbeeld: je vraagt een opt-in voor het verzenden van een e-mailnieuwsbrief. Dat is verplicht vanwege de Tw, maar de opt-in moet straks wel voldoen aan de toestemmingsvereisten uit de AVG.

Je moet dus zorgen voor een grondslag op basis waarvan je die gegevens mag verwerken. Voor het e-mailadres heb je toestemming gevraagd, voor de bijkomende personalisatiegegevens niet. Die verwerk je op basis van een andere grondslag: het ‘gerechtvaardigd marketingbelang’.

In de praktijk zal het dus niet vaak voorkomen dat je, naast de toestemming voor e-mail, nog afzonderlijk toestemming nodig hebt om personalisatiegegevens te verwerken. Dat is pas het geval wanneer de impact op de privacy van betrokkenen zwaarder weegt dan jouw marketingbelang.

Behalve toestemming vragen zijn er nog een paar AVG-regels die impact op de bedrijfsvoering hebben. Een daarvan is accountability. Vanaf 25 mei moet je alles vastleggen in een verwerkingenregister én altijd uit kunnen leggen waarom je bepaalde gegevens hebt verzameld en op basis van welke grondslag (zoals toestemming of gerechtvaardigd belang).

Zoals hierboven al uitgelegd moet je toestemming vanaf nu kunnen aantonen. Deze verplichting dwingt je als organisatie vooraf beter na te denken over welke gegevens je van een klant nodig hebt om een bepaalde marketingactie uit te voeren. Het is een extra stok achter de deur om nog meer vanuit het belang van de klant te denken. Om dit zo effectief mogelijk bij te houden, gebruikt een van onze leden hiervoor het privacymanagementsysteem Privacy Perfect.

De extra informatieplicht in de AVG sluit aan op het denken in het klantbelang. Vernieuw daarom je privacy statement en leg duidelijk uit waarom je bepaalde persoonsgegevens nodig hebt, wat je ermee gaat doen en hoe lang je ze bewaart. TUI probeert in dit privacy statement zo min mogelijk juridische taal te gebruiken, legt senior Customer Data Manager Manja Haket uit. ‘ Sterker nog, we zijn zelfs bezig met een video waarin we onze data-aanpak in gewonemensentaal uitleggen. We vinden het echt belangrijk dat onze klanten weten waarom we bepaalde gegevens verwerken.’

Naast dit recht op informatie (en het al bestaande recht van verzet en het recht om toestemming in te trekken) hebben mensen voortaan ook het recht om vergeten te worden. Dit is een uitbreiding van het bestaande recht van de betrokkene om persoonsgegevens (onder bepaalde voorwaarden) te laten verwijderen door een organisatie.

Onder de AVG hebben mensen meer mogelijkheden om een bedrijf te verzoeken om hun gegevens te verwijderen. Het is daarom zaak dat je bij het in kaart brengen van de data in je bedrijf, beoordeelt welke data in aanmerking komen voor het recht om vergeten te worden. Zorg ook dat je technisch in staat bent om deze gegevens te verwijderen.

Wees je er ook van bewust dat een verwijderverzoek kan zorgen voor een vreemde situatie: als je alle gegevens van een persoon verwijdert, verwijder je ook eventuele inschrijvingen op je suppressielijst. Je kunt dan ook niet meer garanderen dat je deze persoon nooit meer zult benaderen via bijvoorbeeld een telemarketingactie. Probeer dit daarom zo goed mogelijk uit te leggen als een klant met zo’n vergeetverzoek komt.

In het volgende deel laat ik zien wat de AVG voor social advertising betekent. Heb je nu al een vraag? Ga dan naar de DDMA AVG Hulplijn.

Matthias de Bruyne is legal counsel bij DDMA