Alles wat je als marketeer moet weten over toestemming onder de AVG

30 november 2017, 07:00

Met de nieuwe Algemene Verordening Gegevensbescherming (AVG of GDPR) krijgen consumenten meer controle over hun eigen data, zoals we in deel 3 van deze blogserie beschreven. Voor marketeers brengt dat een aantal nieuwe uitdagingen met zich mee als het gaat om toestemming voor het verwerken van die data. De toezichthouder, de Autoriteit Persoonsgegevens, heeft nog niet op alle wijzigingen toelichting gegeven, maar wat er tot nu toe bekend is zetten we alvast voor je op een rijtje. Waar heb je straks precies toestemming voor nodig?

Dit artikel is geschreven in samenwerking met mijn collega Sanne Mulder, legal counsel bij DDMA.

1. Er is niet overal toestemming voor nodig

Laten we eenvoudig beginnen: je hoeft niet altijd toestemming te vragen. Voor de verwerking van persoonsgegevens is er weliswaar altijd een ‘rechtmatige grondslag’ nodig, maar dat kan bij marketing ook het geval zijn als een verwerking noodzakelijk is voor je (verkoop)overeenkomst of bij een gerechtvaardigd marketingbelang van jouw organisatie. Sommige gegevens van jouw klanten of prospects kun je dus verwerken zonder toestemming. Heb je geen overeenkomst of is het gerechtvaardigd belang niet van toepassing, dan moet je dus toestemming vragen.

2. Toestemming moet actief gegeven worden

Maar wat is ‘toestemming’ precies? Het belangrijkste is dat mensen weten waar ze mee akkoord gaan en wat ze kunnen verwachten. Onder de AVG moet er daarom door een verklaring of actieve handeling toestemming worden gegeven. Een vooraf aangeklikt vakje valt hier dus niet onder, de gebruiker moet het echt zelf doen. Toestemming vragen in het privacy statement of de algemene voorwaarden is ook niet voldoende. De toestemming is dan niet ondubbelzinnig gegeven.

3. Soft opt-in bij bestaande klantrelatie voor e-mail

Bij bestaande klantrelaties geldt momenteel al de soft opt-in voor het versturen van charitatieve, ideële en commerciële e-mails. In de praktijk betekent dit dat je e-mails zonder opt-in kan versturen, zolang er bij het ontstaan van de klantrelatie (bijvoorbeeld een webformulier) gecommuniceerd wordt dat het e-mailadres gebruikt wordt voor het versturen van een nieuwsbrief en bij het ontstaan van de klantrelatie een opt-out wordt gegeven.

In de praktijk lijkt dit heel veel op de normale opt-in, maar wettelijk gezien is er een verschil. Met de invoering van de AVG komt hier geen verandering in, omdat deze klantrelatie onder de Telecommunicatiewet is geregeld. Eventuele veranderingen hangen samen met invoer van de E-Privacy Verordening, die momenteel nog in ontwikkeling is. Naar verwachting is daar snel meer duidelijkheid over.

Dit artikel is onderdeel van een reeks over de gevolgen en kansen van GDPR/AVG. Hier vind je alle artikelen in de reeks.

4. Toestemming met terugwerkende kracht

De AVG geldt niet met terugwerkende kracht, dus alles wat je voor 25 mei 2018 doet valt onder de oude regels. Daarna moet je echter aan de nieuwe regels voldoen: het kan dus best dat je eerder toestemming hebt verkregen, maar controleer wel goed of deze toestemming voldoet aan de nieuwe regels. Zo niet, dan mag je de gegevens niet langer verwerken.

5. Toestemming met ander doeleinde

Voldoet je bestaande toestemming aan de voorwaarden van de AVG? Mooi zo. Zorg alleen wel dat je precies weet waar je precies toestemming voor hebt gekregen. Wie persoonsgegevens voor een ander doeleinde wil gebruiken dan datgene waar toestemming voor is gegeven, zal daar opnieuw toestemming voor moeten vragen. Dit is niet anders dan nu, maar wel een heel belangrijk punt. Wanneer iets dan precies een ‘ander doeleinde’ is, is niet altijd duidelijk.

6. Bewijs dat je toestemming hebt gekregen

Onder de AVG moet je kunnen aantonen dat je toestemming hebt gekregen. Daarvoor moet je in ieder geval de volgende gegevens kunnen aantonen:

  • Dat de betreffende persoon toestemming heeft gegeven
  • Wanneer er toestemming is gegeven
  • Aan wie er toestemming is gegeven (organisatie of bedrijf)
  • Waarvoor er toestemming is gegeven
  • De manier waarop er toestemming is gegeven (vinkje, tekst)

Heb je de toestemming, de administratie en de bewijslast vanaf 25 mei 2018 niet goed geregeld? Dan loop je zoals bekend het risico op een boete.

Is jouw organisatie klaar voor de AVG? En wil je weten of de vorderingen van jullie AVG-voorbereidingen vergelijkbaar zijn met andere organisaties? Doe dan de gratis DDMA AVG Status Check.

Matthias De Bruyne
Legal Counsel bij DDMA

Matthias De Bruyne is legal counsel bij DDMA, branchevereniging voor data en marketing. In deze functie helpt hij DDMA-leden te voldoen aan de geldende (Europese) privacywetgeving. Hij biedt juridische ondersteuning bij vraagstukken die spelen binnen marketingcampagnes en geeft advies en voorlichting over de juridische ontwikkelingen op het gebied van (onder meer) privacy, data security, telecom, reclame, kansspelen en consumentenrecht. Hierbij ligt de focus op de praktische vertaalslag van wetgeving, regels en richtlijnen naar de marketingpraktijk.

Categorie
Tags

4 Reacties

    Hans Snel

    Beste Matthias, kun jij een paar praktijkvoorbeelden geven van persoonsgegevens, waarbij er niet sprake is van een bestaande klantrelatie of een gerechtvaardigd belang, waarbij ook niet aan de andere grondslagen, zoals wettelijke verplichting, wordt voldaan en waarvoor je dus toestemming nodig hebt? Want waarom zou een normaal bedrijf persoonsgegevens verzamelen zonder gerechtvaardigd belang?


    30 november 2017 om 07:34
    Anne

    Beetje mager artikel voor een van de hete hangijzers van de GDPR. Zo kun je inderdaad denken dat bijna nergens expliciete toestemming voor nodig is. Maar misschien is dat vanuit de DDMA geredeneerd ook wel de bedoeling? ‘Gemakshalve’ vergeet je er even bij punt 1 bij te vermelden dat:

    – Als een verwerking noodzakelijk is voor een (verkoop)overeenkomst de gegevens ook alleen gebruikt mogen worden voor het uitvoeren van die overeenkomst (en dus niet voor iets anders).

    – Er bij het gebruik van ‘gerechtvaardigd marketingbelang’ geen fundamentele (privacy) rechten en vrijheden van betrokkenen mogen worden geschonden, in het bijzonder bij kinderen. Als je gebruik wil maken van deze verwerkingsgrond dien je deze afweging in een ‘balancing test’ vast te leggen die inzichtelijk is voor alle betrokkenen.

    – Er bij kinderen toestemming nodig is van de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt.

    – Er bij de verwerking van gevoelige persoonsgegevens (ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid) er in het kader van marketing ook expliciete toestemming nodig is.

    Ook de andere punten zijn te kort door de bocht.


    30 november 2017 om 09:40
    Matthias

    @Hans, bij het gerechtvaardigd belang als grondslag moet het belang van de verantwoordelijke organisatie afgewogen worden tegen de belangen van de betrokkene. Het recht op privacy speelt daarin een belangrijke rol. Afhankelijk van de impact van de verwerking kan het zo zijn dat de belangen van de betrokkene zwaarder wegen. Bijvoorbeeld omdat je locatiegegevens vastlegt. Het is dan niet zo dat de organisatie geen gerechtvaardigd belang heeft, de belangen van de betrokkene wegen alleen zwaarder. Je hebt dan een andere grondslag nodig. Toestemming vragen is dan een voor de hand liggende keuze.


    30 november 2017 om 13:51

Marketingfacts. Elke dag vers. Mis niks!