• E-mail
    wordt gesponsord door

Alles wat je als marketeer moet weten over toestemming onder de AVG

Alles wat je als marketeer moet weten over toestemming onder de AVG
, DDMA
@ddma

Met de nieuwe Algemene Verordening Gegevensbescherming (AVG of GDPR) krijgen consumenten meer controle over hun eigen data, zoals we in deel 3 van deze blogserie beschreven. Voor marketeers brengt dat een aantal nieuwe uitdagingen met zich mee als het gaat om toestemming voor het verwerken van die data. De toezichthouder, de Autoriteit Persoonsgegevens, heeft nog niet op alle wijzigingen toelichting gegeven, maar wat er tot nu toe bekend is zetten we alvast voor je op een rijtje. Waar heb je straks precies toestemming voor nodig?

Dit artikel is geschreven in samenwerking met mijn collega Sanne Mulder, legal counsel bij DDMA.

1. Er is niet overal toestemming voor nodig

Laten we eenvoudig beginnen: je hoeft niet altijd toestemming te vragen. Voor de verwerking van persoonsgegevens is er weliswaar altijd een ‘rechtmatige grondslag’ nodig, maar dat kan bij marketing ook het geval zijn als een verwerking noodzakelijk is voor je (verkoop)overeenkomst of bij een gerechtvaardigd marketingbelang van jouw organisatie. Sommige gegevens van jouw klanten of prospects kun je dus verwerken zonder toestemming. Heb je geen overeenkomst of is het gerechtvaardigd belang niet van toepassing, dan moet je dus toestemming vragen.

2. Toestemming moet actief gegeven worden

Maar wat is ‘toestemming’ precies? Het belangrijkste is dat mensen weten waar ze mee akkoord gaan en wat ze kunnen verwachten. Onder de AVG moet er daarom door een verklaring of actieve handeling toestemming worden gegeven. Een vooraf aangeklikt vakje valt hier dus niet onder, de gebruiker moet het echt zelf doen. Toestemming vragen in het privacy statement of de algemene voorwaarden is ook niet voldoende. De toestemming is dan niet ondubbelzinnig gegeven. 

3. Soft opt-in bij bestaande klantrelatie voor e-mail

Bij bestaande klantrelaties geldt momenteel al de soft opt-in voor het versturen van charitatieve, ideële en commerciële e-mails. In de praktijk betekent dit dat je e-mails zonder opt-in kan versturen, zolang er bij het ontstaan van de klantrelatie (bijvoorbeeld een webformulier) gecommuniceerd wordt dat het e-mailadres gebruikt wordt voor het versturen van een nieuwsbrief en bij het ontstaan van de klantrelatie een opt-out wordt gegeven.

In de praktijk lijkt dit heel veel op de normale opt-in, maar wettelijk gezien is er een verschil. Met de invoering van de AVG komt hier geen verandering in, omdat deze klantrelatie onder de Telecommunicatiewet is geregeld. Eventuele veranderingen hangen samen met invoer van de E-Privacy Verordening, die momenteel nog in ontwikkeling is. Naar verwachting is daar snel meer duidelijkheid over.

Dit artikel is onderdeel van een reeks over de gevolgen en kansen van GDPR/AVG. Hier vind je alle artikelen in de reeks.

4. Toestemming met terugwerkende kracht

De AVG geldt niet met terugwerkende kracht, dus alles wat je voor 25 mei 2018 doet valt onder de oude regels. Daarna moet je echter aan de nieuwe regels voldoen: het kan dus best dat je eerder toestemming hebt verkregen, maar controleer wel goed of deze toestemming voldoet aan de nieuwe regels. Zo niet, dan mag je de gegevens niet langer verwerken.

5. Toestemming met ander doeleinde

Voldoet je bestaande toestemming aan de voorwaarden van de AVG? Mooi zo. Zorg alleen wel dat je precies weet waar je precies toestemming voor hebt gekregen. Wie persoonsgegevens voor een ander doeleinde wil gebruiken dan datgene waar toestemming voor is gegeven, zal daar opnieuw toestemming voor moeten vragen. Dit is niet anders dan nu, maar wel een heel belangrijk punt. Wanneer iets dan precies een ‘ander doeleinde’ is, is niet altijd duidelijk. 

6. Bewijs dat je toestemming hebt gekregen

Onder de AVG moet je kunnen aantonen dat je toestemming hebt gekregen. Daarvoor moet je in ieder geval de volgende gegevens kunnen aantonen:

  • Dat de betreffende persoon toestemming heeft gegeven
  • Wanneer er toestemming is gegeven
  • Aan wie er toestemming is gegeven (organisatie of bedrijf)
  • Waarvoor er toestemming is gegeven
  • De manier waarop er toestemming is gegeven (vinkje, tekst)

Heb je de toestemming, de administratie en de bewijslast vanaf 25 mei 2018 niet goed geregeld? Dan loop je zoals bekend het risico op een boete.


Delen

0
9


Er zijn 4 reacties op dit artikel

  • Beste Matthias, kun jij een paar praktijkvoorbeelden geven van persoonsgegevens, waarbij er niet sprake is van een bestaande klantrelatie of een gerechtvaardigd belang, waarbij ook niet aan de andere grondslagen, zoals wettelijke verplichting, wordt voldaan en waarvoor je dus toestemming nodig hebt? Want waarom zou een normaal bedrijf persoonsgegevens verzamelen zonder gerechtvaardigd belang?

    geplaatst op
  • Beetje mager artikel voor een van de hete hangijzers van de GDPR. Zo kun je inderdaad denken dat bijna nergens expliciete toestemming voor nodig is. Maar misschien is dat vanuit de DDMA geredeneerd ook wel de bedoeling? ‘Gemakshalve’ vergeet je er even bij punt 1 bij te vermelden dat:

    - Als een verwerking noodzakelijk is voor een (verkoop)overeenkomst de gegevens ook alleen gebruikt mogen worden voor het uitvoeren van die overeenkomst (en dus niet voor iets anders).

    - Er bij het gebruik van ‘gerechtvaardigd marketingbelang’ geen fundamentele (privacy) rechten en vrijheden van betrokkenen mogen worden geschonden, in het bijzonder bij kinderen. Als je gebruik wil maken van deze verwerkingsgrond dien je deze afweging in een ‘balancing test’ vast te leggen die inzichtelijk is voor alle betrokkenen.

    - Er bij kinderen toestemming nodig is van de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt.

    - Er bij de verwerking van gevoelige persoonsgegevens (ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid) er in het kader van marketing ook expliciete toestemming nodig is.

    Ook de andere punten zijn te kort door de bocht.

    geplaatst op
  • @Hans, bij het gerechtvaardigd belang als grondslag moet het belang van de verantwoordelijke organisatie afgewogen worden tegen de belangen van de betrokkene. Het recht op privacy speelt daarin een belangrijke rol. Afhankelijk van de impact van de verwerking kan het zo zijn dat de belangen van de betrokkene zwaarder wegen. Bijvoorbeeld omdat je locatiegegevens vastlegt. Het is dan niet zo dat de organisatie geen gerechtvaardigd belang heeft, de belangen van de betrokkene wegen alleen zwaarder. Je hebt dan een andere grondslag nodig. Toestemming vragen is dan een voor de hand liggende keuze.

    geplaatst op
  • @Anne, er valt inderdaad nog meer over toestemming en de andere grondslagen te vertellen. Dit is maar één deel van een tiendelige blogreeks, dus er volgt zeker nog meer informatie!

    Bij DDMA hebben een uitgebreid voorlichtingstraject om onze leden voor te bereiden op de AVG: https://ddma.nl/algemene-verordening-gegevensbescherming

    geplaatst op

Plaats zelf een reactie

Log in zodat je (in het vervolg) nóg sneller kunt reageren

Vul jouw naam in.
Vul jouw e-mailadres in. Vul een geldig e-mailadres in.
Vul jouw reactie in.

Herhaal de tekens die je ziet in de afbeelding hieronder


Let op: je reactie blijft voor altijd staan. We verwijderen deze dus later niet als je op zoek bent naar een nieuwe werkgever (of schoonmoeder). Reacties die beledigend zijn of zelfpromotioneel daarentegen, verwijderen we maar al te graag. Door te reageren ga je akkoord met onze voorwaarden.